Projekta ID
22-TA-3012Atzinuma sniedzējs
Iekšlietu ministrija
Atzinums iesniegts
18.04.2023.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Likumprojekts
Iebildums
Projektā vai tā sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) nav sniegts termina “koplietošanas operāciju centra” skaidrojums. Vienlaikus projekts satur jaunu terminu “kiberdrošības operāciju centrs”, kuram arī nav sniegts skaidrojums.
Aizsardzības ministrija izziņā norāda, ka likumprojekta 26. pantā ir noteikts attiecīgā termina tvērums. Vēršama uzmanība, ka likumprojektā vai tā sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) joprojām nav sniegts skaidrojums, kāds ir attiecīgo operāciju centru veidols, proti, fiziska vienība, digitāla krātuve u.tml.; nav noteikts uzkrāto datu glabāšanas ilgums, kā arī atšķirība starp “koplietošanas operāciju centru” un “kiberdrošības operāciju centru” un to tiesisko nozīmi.
Ievērojot minēto, precizējams projekts vai tā sākotnējās ietekmes novērtējuma ziņojums (anotācija).
Aizsardzības ministrija izziņā norāda, ka likumprojekta 26. pantā ir noteikts attiecīgā termina tvērums. Vēršama uzmanība, ka likumprojektā vai tā sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) joprojām nav sniegts skaidrojums, kāds ir attiecīgo operāciju centru veidols, proti, fiziska vienība, digitāla krātuve u.tml.; nav noteikts uzkrāto datu glabāšanas ilgums, kā arī atšķirība starp “koplietošanas operāciju centru” un “kiberdrošības operāciju centru” un to tiesisko nozīmi.
Ievērojot minēto, precizējams projekts vai tā sākotnējās ietekmes novērtējuma ziņojums (anotācija).
Piedāvātā redakcija
-
2.
Likumprojekts
Iebildums
NIS2 Direktīvas 34.panta ceturtajā un piektajā daļā noteikts piespiedu naudas apmērs. Atsauci uz šo Direktīvas pantu nepieciešams iekļaut attiecīgajā Anotācijas sadaļā kā pamatojumu šādiem piespiedu naudas apmēriem.
Likumprojekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 5.4.1. apakšpunkta 2. aile paredz, ka ar likumprojekta 3. panta pirmo daļu ir pilnībā pārņemts NIS2 direktīvas (versijā, ko 14.12.2022. Aizsardzības ministrija atsūtījusi Iekšlietu ministrijai) 2. pants un stingrākas prasības nav paredzētas. Vēršama uzmanība, ka likumprojekta 3. panta pirmā daļa nosaka: "Likums attiecas uz tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām un citām valsts institūcijām, izņemot valsts drošības iestādes.". Tādējādi likumprojekts paredz, ka tas attiecināms tostarp uz iestādēm, kuru pienākums ir nodrošināt sabiedrisko drošību (nošķirama no valsts drošības) vai tiesībaizsardzību (noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un kriminālvajāšanu). Savukārt NIS2 direktīvas priekšlikuma 2. panta 7. punkts nosaka: "This Directive does not apply to public administration entities that carry out their activities in the areas of national security, public security, defence or law enforcement, including the prevention, investigation, detection and prosecution of criminal offences.".
Likumprojekts un tā sākotnējās ietekmes novērtējuma ziņojums (anotācija) neparedz, ka NIS2 Direktīvas jomas paplašināšana uz sabiedriskās drošības nodrošināšanas iestādēm, tiesībaizsardzības iestādēm pārsniegtu NIS2 Direktīvas prasības, vai, ka tā būtu nacionālā iniciatīva. Vienlaikus izziņā attiecībā uz Iekšlietu ministrijas identiska satura iebildumu norādīts, ka likumprojekta attiecināšana uz minētajām iestādēm ir nacionālā iniciatīva.
Ievērojot minēto, precizējams projekts vai tā sākotnējās ietekmes novērtējuma ziņojums (anotācija).
Likumprojekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 5.4.1. apakšpunkta 2. aile paredz, ka ar likumprojekta 3. panta pirmo daļu ir pilnībā pārņemts NIS2 direktīvas (versijā, ko 14.12.2022. Aizsardzības ministrija atsūtījusi Iekšlietu ministrijai) 2. pants un stingrākas prasības nav paredzētas. Vēršama uzmanība, ka likumprojekta 3. panta pirmā daļa nosaka: "Likums attiecas uz tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām un citām valsts institūcijām, izņemot valsts drošības iestādes.". Tādējādi likumprojekts paredz, ka tas attiecināms tostarp uz iestādēm, kuru pienākums ir nodrošināt sabiedrisko drošību (nošķirama no valsts drošības) vai tiesībaizsardzību (noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un kriminālvajāšanu). Savukārt NIS2 direktīvas priekšlikuma 2. panta 7. punkts nosaka: "This Directive does not apply to public administration entities that carry out their activities in the areas of national security, public security, defence or law enforcement, including the prevention, investigation, detection and prosecution of criminal offences.".
Likumprojekts un tā sākotnējās ietekmes novērtējuma ziņojums (anotācija) neparedz, ka NIS2 Direktīvas jomas paplašināšana uz sabiedriskās drošības nodrošināšanas iestādēm, tiesībaizsardzības iestādēm pārsniegtu NIS2 Direktīvas prasības, vai, ka tā būtu nacionālā iniciatīva. Vienlaikus izziņā attiecībā uz Iekšlietu ministrijas identiska satura iebildumu norādīts, ka likumprojekta attiecināšana uz minētajām iestādēm ir nacionālā iniciatīva.
Ievērojot minēto, precizējams projekts vai tā sākotnējās ietekmes novērtējuma ziņojums (anotācija).
Piedāvātā redakcija
-
3.
Likumprojekts
Iebildums
Projekta 21.panta otrajā daļā norādīts, ka subjekts par kiberdrošības pārziņa noteikšanu ne vēlāk kā piecu darba dienu laikā paziņo Nacionālajam kiberdrošības centram. Paziņojumā norāda kiberdrošības pārziņa vārdu, uzvārdu, personas kodu, ieņemamo amatu, elektroniskā pasta adresi un tālruņa numuru.
Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Datu regula) 5.panta 1.punkta a) apakšpunktā ir noteikts datu apstrādes likumības un godprātības princips, t.i., jebkurai personas datu apstrādei ir jābūt tiesiskam pamatam. Godprātības princips būtībā ietver arī visus pārējos principus (likumīgumu, pārredzamību, nolūka ierobežojumu, datu minimizēšanu, precizitāti, glabāšanas ierobežojumu, integritāti un konfidencialitāti, pārskata atbildību), jo tie visi ir vērsti uz to, lai pārzinis nodrošinātu godīgu attieksmi pret datu subjektu – personu, kuras dati tiek apstrādāti. Datu regulas 5.panta 1.punkta c) apakšpunktā ir ietverts datu minimizēšanas princips, proti, personas dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos. Vēršama uzmanība, ka projekta sākotnējās ietekmes (ex-ante) novērtējuma ziņojumā (turpmāk – anotācija) nav norādīts, kāpēc Nacionālajam kiberdrošības centram ir nepieciešams tieši šāds personas datu apjoms. Tāpat nav norādīts, vai mērķi, kuram ir nepieciešami attiecīgie personas dati, nav iespējams sasniegt apstrādājot (pieprasot) mazāko personas datu apjomu, piemēram, nesniedzot kiberdrošības pārziņa personas kodu.
Ņemot vērā minēto, precizēt projekta 21.panta otro daļu vai arī papildināt projekta anotāciju ar attiecīgo personas datu apstrādes pamatojumu.
Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Datu regula) 5.panta 1.punkta a) apakšpunktā ir noteikts datu apstrādes likumības un godprātības princips, t.i., jebkurai personas datu apstrādei ir jābūt tiesiskam pamatam. Godprātības princips būtībā ietver arī visus pārējos principus (likumīgumu, pārredzamību, nolūka ierobežojumu, datu minimizēšanu, precizitāti, glabāšanas ierobežojumu, integritāti un konfidencialitāti, pārskata atbildību), jo tie visi ir vērsti uz to, lai pārzinis nodrošinātu godīgu attieksmi pret datu subjektu – personu, kuras dati tiek apstrādāti. Datu regulas 5.panta 1.punkta c) apakšpunktā ir ietverts datu minimizēšanas princips, proti, personas dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos. Vēršama uzmanība, ka projekta sākotnējās ietekmes (ex-ante) novērtējuma ziņojumā (turpmāk – anotācija) nav norādīts, kāpēc Nacionālajam kiberdrošības centram ir nepieciešams tieši šāds personas datu apjoms. Tāpat nav norādīts, vai mērķi, kuram ir nepieciešami attiecīgie personas dati, nav iespējams sasniegt apstrādājot (pieprasot) mazāko personas datu apjomu, piemēram, nesniedzot kiberdrošības pārziņa personas kodu.
Ņemot vērā minēto, precizēt projekta 21.panta otro daļu vai arī papildināt projekta anotāciju ar attiecīgo personas datu apstrādes pamatojumu.
Piedāvātā redakcija
-
4.
Likumprojekts
Iebildums
NIS2 Direktīvas 32.panta sestajā daļā noteikts, ka arī fiziskajām personām, kurām ir pilnvaras pārstāvēt juridisko personu vai kurām ir atbildība nodrošināt juridiskās personas darbību saskaņā ar Direktīvu, ir jānosaka juridiskā atbildība par pienākumu neveikšanu saskaņā ar Direktīvu. Likuma 42.pantu nepieciešams papildināt ar sekām, kādas var uzlikt fiziskai personai par savu pilnvarā iekļauto pienākumu neievērošanu, kā arī Anotācija iekļaut pamatojumu šādām sekām.
Piedāvātā redakcija
-
5.
Likumprojekts
Priekšlikums
Likumprojekts satur norādi par piespiedu naudas piemērošanu. Vienlaikus projekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) (6.lpp.) noteikts, ka likumprojekts paredz noteikt arī naudas sodus par kiberdrošības risku ziņošanas un pārvaldības pienākumu pārkāpšanu. Ievērojot minēto, precizēt projektu vai tā sākotnējās ietekmes novērtējuma ziņojumu (anotāciju).
Piedāvātā redakcija
-
6.
Likumprojekts
Priekšlikums
Likumprojekta anotācijā ir skaidrots, ka "Jāuzsver, ka pretstatā Informācijas tehnoloģiju drošības likumā ietvertajam regulējumam (...) termins “drošības nepilnība” Likumprojektā netiek ietverts un lietots. Tas pamatojams ar to, ka izstrādājot Likumprojektu tika konstatēts, ka termins “drošības nepilnība”, kas ir definēts Informācijas tehnoloģiju drošības likumā ir daļa no termina “ievainojamība”, kas savukārt tiek skaidrots Likumprojektā". Tomēr jāvērš uzmanība, ka termins "drošības nepilnība" tiek lietots Likumprojekta 44. pantā kopā ar terminiem "ievainojamība" un "kiberincidents" (minētie termini tekstā tiek atdalīti ar komatiem). Vienlaikus Likumprojektā termins "drošības nepilnība" nav definēts. Savukārt no Likumprojekta 1. pantā ietvertā jēdziena "ievainojamība" definīcijās izriet, ka ievainojamība ir tikai tāda drošības nepilnība, kurai ir sistēmisks raksturs (sistēmiska vājība).
Ņemot vērā minēto, sniedzu priekšlikumu definēt Likumprojektā jēdzienu "drošības nepilnība" un attiecīgi precizēt Likumprojekta anotāciju vai izslēgt no Likumprojekta 44. panta vārdus "drošības nepilnība".
Ņemot vērā minēto, sniedzu priekšlikumu definēt Likumprojektā jēdzienu "drošības nepilnība" un attiecīgi precizēt Likumprojekta anotāciju vai izslēgt no Likumprojekta 44. panta vārdus "drošības nepilnība".
Piedāvātā redakcija
-
7.
Likumprojekts
Priekšlikums
Likumprojekta anotācijā ir skaidrots, ka "Jāuzsver, ka pretstatā Informācijas tehnoloģiju drošības likumā ietvertajam regulējumam (...) termins “drošības nepilnība” Likumprojektā netiek ietverts un lietots. Tas pamatojams ar to, ka izstrādājot Likumprojektu tika konstatēts, ka termins “drošības nepilnība”, kas ir definēts Informācijas tehnoloģiju drošības likumā ir daļa no termina “ievainojamība”, kas savukārt tiek skaidrots Likumprojektā". Tomēr jāvērš uzmanība, ka termins "drošības nepilnība" tiek lietots Likumprojekta 44. pantā kopā ar terminiem "ievainojamība" un "kiberincidents" (minētie termini tekstā tiek atdalīti ar komatiem). Vienlaikus Likumprojektā termins "drošības nepilnība" nav definēts. Savukārt no Likumprojekta 1. pantā ietvertā jēdziena "ievainojamība" definīcijās izriet, ka ievainojamība ir tikai tāda drošības nepilnība, kurai ir sistēmisks raksturs (sistēmiska vājība). Ņemot vērā minēto, ierosinām definēt Likumprojektā jēdzienu "drošības nepilnība" un attiecīgi precizēt Likumprojekta anotāciju vai izslēgt no Likumprojekta 44. panta vārdus "drošības nepilnība".
Piedāvātā redakcija
-
8.
Anotācija (ex-ante)
1.3. Pašreizējā situācija, problēmas un risinājumi
Priekšlikums
Ierosinām svītrot no Likumprojekta anotācijas sadaļas “Rīcība kiberincidenta gadījumā” vārdus “Informācijas tehnoloģiju drošības likuma 6.1. pantā ir noteikta rīcība informācijas tehnoloģiju drošības nepilnības konstatēšanas gadījumā, savukārt”, vai pārcelt tos, ievietojot pirms vārdiem “Likumprojekta 35. un 36. pantā noteikta koordinēta ievainojamību atklāšana un novēršana”, jo Informācijas tehnoloģiju drošības likuma 6.1. pants pēc būtības ir aizvietots ar Likumprojekta 35. pantu un 36. pantu, kur ir noteikta rīcība ievainojamību atklāšanas gadījumā, nevis ar Likumprojekta 33. pantu, kas nosaka ierobežojošās darbības kiberincidenta gadījumā.
Piedāvātā redakcija
-