Projekta ID
22-TA-3183Atzinuma sniedzējs
Viedās administrācijas un reģionālās attīstības ministrija
Atzinums iesniegts
31.01.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Iebildums no VDAA - jautājumu gadījumā kontaktēties ar Arni Vārslavu.
Punktos 45. , 70. , 77.un 84. noteikta virkne pienākumu, kuri tiek deleģēti konkrētiem izpildītājiem, vienlaikus punktos 45, 71 un 85. ir norāde ka par to izpildītājiem “…nedrīkst noteikt konkrētā subjekta kiberdrošības pārvaldnieku
Savukārt punkti 48., 70., 73,. 84., 87. pieprasa uz šīm personām (kuras nedrīkst vienlaikus būt kiberdrošibas pārvaldnieki) attiecināt visus 12. punkta nosacījumus, tajā skaitā punktu 12.6
12.6. … kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP).
Ņemot vērā, ka darbinieki ar šādām kompetencēm Latvijā ir ierobežoti pieejami, tad prasīt lai iestādē būtu VAIRĀKI speciālisti ar norādītajām zināšamām būs praktiski neiespējami vai nepamatoti apgrūtinoši
Priekšlikums
Prasības 12.6 izpildi attiecināt tikai uz kiberdrošibas pārvaldnieku.
Punktos 45. , 70. , 77.un 84. noteikta virkne pienākumu, kuri tiek deleģēti konkrētiem izpildītājiem, vienlaikus punktos 45, 71 un 85. ir norāde ka par to izpildītājiem “…nedrīkst noteikt konkrētā subjekta kiberdrošības pārvaldnieku
Savukārt punkti 48., 70., 73,. 84., 87. pieprasa uz šīm personām (kuras nedrīkst vienlaikus būt kiberdrošibas pārvaldnieki) attiecināt visus 12. punkta nosacījumus, tajā skaitā punktu 12.6
12.6. … kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP).
Ņemot vērā, ka darbinieki ar šādām kompetencēm Latvijā ir ierobežoti pieejami, tad prasīt lai iestādē būtu VAIRĀKI speciālisti ar norādītajām zināšamām būs praktiski neiespējami vai nepamatoti apgrūtinoši
Priekšlikums
Prasības 12.6 izpildi attiecināt tikai uz kiberdrošibas pārvaldnieku.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Iebildums no VDAA - jautājumu gadījumā kontaktēties ar Arni Vārslavu.
Ir gadījumi, kad organizācijas pārziņā esošie visi IKT resursi ir r atzīti par kritisko infrastruktūru - gan organizācijas IT infrastruktūra (kā kopums), gan vairākas organizācijas pārziņā esošas informācijas sistēmas.
Projekta 34. punkts paredz
34. Kritiskās infrastruktūras kopumā iekļautu informācijas sistēmu uzskata par A klases informācijas sistēmu, nepiemērojot šo noteikumu 32. un 33. punktā minēto kārtību.
Savukārt piederība A klases IS nosaka pienākumu kiberdrošības pārvaldības dokumentu kopumu klasificēt kā informāciju dienesta vajadzībām (DV):
24. A kategorijas IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldības dokumentu kopuma daļām nosaka vismaz informācijas dienesta vajadzībām statusu.
Darbu ar DV dokumentiem gan papīra, gan elektroniskā veic saskaņā ar Ministru kabineta 2023.gada 19. decembra noteikumiem Nr. 822 “Valsts noslēpuma, Ziemeļatlantijas līguma organizācijas, Eiropas Savienības un ārvalstu institūciju klasificētās informācijas aizsardzības noteikumi” (turpmāk MK822 ). No tiem izriet, ka visām personām, kuras strādā ar IT infrastruktūras kopumu un tajā esošajām sistēmām (punktu 21.2, 21.3 un 21.4 reģistru un dokumentu kontekstā), darba pienākumu izpildē, komunikācijā un informācijas apstrādē elektroniskā veidā ir jāizmanto IS ESVIS vide (paredzēta DV informācijas apstrādei), kas savukārt rada nesamērīgu administratīvo un finansiālo slogu (ESVIS pieslēgumiekārtu izmaksas).
Priekšlikums:
Svītrot 24. punktu.
Ir gadījumi, kad organizācijas pārziņā esošie visi IKT resursi ir r atzīti par kritisko infrastruktūru - gan organizācijas IT infrastruktūra (kā kopums), gan vairākas organizācijas pārziņā esošas informācijas sistēmas.
Projekta 34. punkts paredz
34. Kritiskās infrastruktūras kopumā iekļautu informācijas sistēmu uzskata par A klases informācijas sistēmu, nepiemērojot šo noteikumu 32. un 33. punktā minēto kārtību.
Savukārt piederība A klases IS nosaka pienākumu kiberdrošības pārvaldības dokumentu kopumu klasificēt kā informāciju dienesta vajadzībām (DV):
24. A kategorijas IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldības dokumentu kopuma daļām nosaka vismaz informācijas dienesta vajadzībām statusu.
Darbu ar DV dokumentiem gan papīra, gan elektroniskā veic saskaņā ar Ministru kabineta 2023.gada 19. decembra noteikumiem Nr. 822 “Valsts noslēpuma, Ziemeļatlantijas līguma organizācijas, Eiropas Savienības un ārvalstu institūciju klasificētās informācijas aizsardzības noteikumi” (turpmāk MK822 ). No tiem izriet, ka visām personām, kuras strādā ar IT infrastruktūras kopumu un tajā esošajām sistēmām (punktu 21.2, 21.3 un 21.4 reģistru un dokumentu kontekstā), darba pienākumu izpildē, komunikācijā un informācijas apstrādē elektroniskā veidā ir jāizmanto IS ESVIS vide (paredzēta DV informācijas apstrādei), kas savukārt rada nesamērīgu administratīvo un finansiālo slogu (ESVIS pieslēgumiekārtu izmaksas).
Priekšlikums:
Svītrot 24. punktu.
Piedāvātā redakcija
-
3.
Noteikumu projekts
Iebildums
Ierosinām mainīt šī punkta pēdējo daļu uz "...nosaka ierobežotas pieejamības statusu" vai šo punktu neiekļaut noteikumos.
Pamatojums.
Kritiskā infrastruktūra veido nozīmīgu daļu no daudzu institūciju informāciju sistēmām. Nosakot, ka to dokumentācijai būs vismaz informācijas dienesta vajadzībām statuss, atbilstoši normatīvajiem aktiem, darbs ar to būtu jāveic ESVIS IS vidē, kas radītu būtiskus apgrūtinājumus sistēmu uzturēšanas, atbalsta, avārijas atkopes un dokumentācijas regulāras atjaunošanas procesā.
Kā vislielāko risku šeit saredzam visaptverošas krīzes scenāriju, kurā varētu būt apgrūtināta piekļuve ESVIS IS sistēmai, kas aizkavētu sistēmu avārijas atkopi vai padarītu to neiespējamu.
Saskaņā ar informācijas atklātības likumu 11.pantu 4.punktu, ierobežoties pieejamības informāciju pieprasa tikai rakstveidā, norādot pamatojumu un mērķi kādam tā tiks izmantota, un saņēmējs uzņemas saistības šo informāciju izmantot tikai tiem mērķiem, kuriem tā ir pieprasīta. Mūsu ieskatā attiecībā uz kiberdrošības pārvaldības dokumentu kopumu tas ir pietiekami stingrs nosacījums šīs informācijas drošībai un reizē pietiekami elastīgs, lai periodiski realizētu nepieciešamās izmaiņas tajos un neradītu šķēršļus sistēmas atkopei krīzes situācijās.
Pamatojums.
Kritiskā infrastruktūra veido nozīmīgu daļu no daudzu institūciju informāciju sistēmām. Nosakot, ka to dokumentācijai būs vismaz informācijas dienesta vajadzībām statuss, atbilstoši normatīvajiem aktiem, darbs ar to būtu jāveic ESVIS IS vidē, kas radītu būtiskus apgrūtinājumus sistēmu uzturēšanas, atbalsta, avārijas atkopes un dokumentācijas regulāras atjaunošanas procesā.
Kā vislielāko risku šeit saredzam visaptverošas krīzes scenāriju, kurā varētu būt apgrūtināta piekļuve ESVIS IS sistēmai, kas aizkavētu sistēmu avārijas atkopi vai padarītu to neiespējamu.
Saskaņā ar informācijas atklātības likumu 11.pantu 4.punktu, ierobežoties pieejamības informāciju pieprasa tikai rakstveidā, norādot pamatojumu un mērķi kādam tā tiks izmantota, un saņēmējs uzņemas saistības šo informāciju izmantot tikai tiem mērķiem, kuriem tā ir pieprasīta. Mūsu ieskatā attiecībā uz kiberdrošības pārvaldības dokumentu kopumu tas ir pietiekami stingrs nosacījums šīs informācijas drošībai un reizē pietiekami elastīgs, lai periodiski realizētu nepieciešamās izmaiņas tajos un neradītu šķēršļus sistēmas atkopei krīzes situācijās.
Piedāvātā redakcija
24. A kategorijas IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldības dokumentu kopuma daļām nosaka vismaz ierobežotas pieejamības statusu.
4.
Noteikumu projekts
Iebildums
Šis punkts ir pretrunā ar no 34.punkta izrietošajām prasībām. Lai kāds būtu SAB saskaņojums, tas nebūs stiprāks par likumu, izrietoši ir risks ka tas tiks pārkāpts.
34.punkts jau norāda, ka par A klases IS uzskatāmas tikai tās, kuras iekļautas kritiskās infrastruktūras kopumā.
Priekšlikums.
Šo punktu dzēst. Papildināt 34.punktu nosakot iespēju precīzāk definēt informāciju sistēmu piederību kritiskajai infrastruktūrai, saskaņojot ar SAB.
34.punkts jau norāda, ka par A klases IS uzskatāmas tikai tās, kuras iekļautas kritiskās infrastruktūras kopumā.
Priekšlikums.
Šo punktu dzēst. Papildināt 34.punktu nosakot iespēju precīzāk definēt informāciju sistēmu piederību kritiskajai infrastruktūrai, saskaņojot ar SAB.
Piedāvātā redakcija
-
5.
Noteikumu projekts
Iebildums
Pamatojums.
Atbilstoši vispārpieņemtajai praksei, kas aprakstīta arī CISM kiberdrošības pārvaldības principos, kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrāde, pārskatīšana un aktualizēšana, līdztekus periodiskam risku novērtējumam, drošības politikas, metriku un kontroļu izstrādei un ieviešanai ir tipiski kiberdrošības pārvaldnieka pienākumi. Savukārt atbildība par IS un IKT darbības nepārtrauktību tipiski ir iestādes vadītājam (-iem), bet par kiberdrošības stratēģijas izstrādi un risku analīzi ciešā sadarbībā ar kiberdrošības pārvaldnieku ir atbildīgs institūcijas pamatdarbības procesu pārvaldnieks vai institūcijas vadība, ja šāda speciāla amata nav.
Priekšlikums
Ierosinām ieviest pamatdarbības procesu pārvaldnieka lomu un definēt to 45.punktā. Līdzīgi kā šobrīd, bet ar atšķirīgām prasībām izglītībai, atstājot spēkā, ka šo lomu nedrīkst pildīt kiberdrošības pārvaldnieks, bet ka tam cieši ar to jāsadarbojas drošības stratēģijas, risku novērtējuma un analīzes procesos. Kvalifikācijas prasības pamatdarbības procesu pārvaldnieka lomai nebūtu profesionālā vai augstākā izglītība kiberdrošības jomā, bet gan biznesa vadībā vai informācijas pārvaldībā. Izrietoši, 12. punkta prasības varētu attiecināt arī uz šo lomu, bet punktu par izglītību un sertifikācijām izdalīt kā atsevišķus punktus, atšķirīgus pamatdarbības procesu pārvaldniekam un kiberdrošības pārvaldniekam. Kā arī atsevišķas kvalifikācijas prasību punktu tehniskajiem darbiniekiem, kas pārvalda žurnālfailus un rezerves kopijas, jo prasība pēc augstākās izglītības kiberdrošības jomā vai CISM sertifikācijas šāda tipa darbiniekiem ir pārmērīgi augsta un pieteikami būtu prasīt izglītību datorzinātnēs vai vismaz 5 gadu pieredzi sistēmu administrēšanā.
Atbilstoši vispārpieņemtajai praksei, kas aprakstīta arī CISM kiberdrošības pārvaldības principos, kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrāde, pārskatīšana un aktualizēšana, līdztekus periodiskam risku novērtējumam, drošības politikas, metriku un kontroļu izstrādei un ieviešanai ir tipiski kiberdrošības pārvaldnieka pienākumi. Savukārt atbildība par IS un IKT darbības nepārtrauktību tipiski ir iestādes vadītājam (-iem), bet par kiberdrošības stratēģijas izstrādi un risku analīzi ciešā sadarbībā ar kiberdrošības pārvaldnieku ir atbildīgs institūcijas pamatdarbības procesu pārvaldnieks vai institūcijas vadība, ja šāda speciāla amata nav.
Priekšlikums
Ierosinām ieviest pamatdarbības procesu pārvaldnieka lomu un definēt to 45.punktā. Līdzīgi kā šobrīd, bet ar atšķirīgām prasībām izglītībai, atstājot spēkā, ka šo lomu nedrīkst pildīt kiberdrošības pārvaldnieks, bet ka tam cieši ar to jāsadarbojas drošības stratēģijas, risku novērtējuma un analīzes procesos. Kvalifikācijas prasības pamatdarbības procesu pārvaldnieka lomai nebūtu profesionālā vai augstākā izglītība kiberdrošības jomā, bet gan biznesa vadībā vai informācijas pārvaldībā. Izrietoši, 12. punkta prasības varētu attiecināt arī uz šo lomu, bet punktu par izglītību un sertifikācijām izdalīt kā atsevišķus punktus, atšķirīgus pamatdarbības procesu pārvaldniekam un kiberdrošības pārvaldniekam. Kā arī atsevišķas kvalifikācijas prasību punktu tehniskajiem darbiniekiem, kas pārvalda žurnālfailus un rezerves kopijas, jo prasība pēc augstākās izglītības kiberdrošības jomā vai CISM sertifikācijas šāda tipa darbiniekiem ir pārmērīgi augsta un pieteikami būtu prasīt izglītību datorzinātnēs vai vismaz 5 gadu pieredzi sistēmu administrēšanā.
Piedāvātā redakcija
45. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nosaka pamatdarbības procesu pārvaldnieku kā atbildīgo par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu. Pamatdarbības procesu pārvaldnieka lomu nedrīkst pildīt konkrētā subjekta kiberdrošības pārvaldnieks.
6.
Noteikumu projekts
Iebildums
VDAA iebildums - jautājumu gadījumā lūdzu kontaktēties ar Arni Vārslavu.
Sekojošā punkta formulējums nav pabeigts un līdz ar to izprotams:
149.5. kompetentā kiberincidentu novēršanas institūcija Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja uzdevumā;
Sekojošā punkta formulējums nav pabeigts un līdz ar to izprotams:
149.5. kompetentā kiberincidentu novēršanas institūcija Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja uzdevumā;
Piedāvātā redakcija
-
7.
Noteikumu projekts
Iebildums
Iebildums no VDAA - jautājumu gadījumā lūdzu kontaktēties ar Arni Vārslavu.
Pārejas perioda neesamība kritiskās infrastruktūras valdītājam
179. Noteikumi stājas spēkā 2025. gada 1. martā.
181. Ārpakalpojumu līgumi, kas noslēgti pirms šo noteikumu stāšanās spēkā un neatbilst šajos noteikumos noteiktajām ārpakalpojumu prasībām, var palikt spēkā ne vēlāk kā līdz 2030. gada 1. janvārim.
182. Šajos noteikumos noteiktās ārpakalpojumu prasības var nepiemērot publiskajiem iepirkumiem, kuri ir uzsākti pirms noteikumu stāšanās spēkā, bet ne vēlāk kā līdz 2030. gada 1. janvārim.
183. Šo noteikumu 181. un 182. punkts neattiecas uz IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju.
Priekšlikums
Noteikt samērīgu (6 mēneši ) pārejas periodu 183. punkta kontekstā IKT kritiskās infrastruktūras valdītājam.
Pārejas perioda neesamība kritiskās infrastruktūras valdītājam
179. Noteikumi stājas spēkā 2025. gada 1. martā.
181. Ārpakalpojumu līgumi, kas noslēgti pirms šo noteikumu stāšanās spēkā un neatbilst šajos noteikumos noteiktajām ārpakalpojumu prasībām, var palikt spēkā ne vēlāk kā līdz 2030. gada 1. janvārim.
182. Šajos noteikumos noteiktās ārpakalpojumu prasības var nepiemērot publiskajiem iepirkumiem, kuri ir uzsākti pirms noteikumu stāšanās spēkā, bet ne vēlāk kā līdz 2030. gada 1. janvārim.
183. Šo noteikumu 181. un 182. punkts neattiecas uz IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju.
Priekšlikums
Noteikt samērīgu (6 mēneši ) pārejas periodu 183. punkta kontekstā IKT kritiskās infrastruktūras valdītājam.
Piedāvātā redakcija
-