Projekta ID
22-TA-3183Atzinuma sniedzējs
Sabiedrība ar ierobežotu atbildību "Cyber Audit"
Atzinums iesniegts
08.04.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Esošajā gadījumā IKT kritiskās infrastruktūras īpašniekam vai tiesiskā valdītājam, izsludinot iepirkumu par kiberdrošības pārvaldnieka pakalpojumu, būs nepieciešams publiski izpaust informāciju par to, ka attiecīgais subjekts ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, kas rada papildus kiberdrošības draudus šim subjektam un ir pretrunā ar likumu “Par valsts noslēpumu” un uz šī likuma pamata izdotajiem Ministru kabineta noteikumiem.
Papildus, šāda prasības noteikšana būtiski paaugstinās iestādes izmaksas Kiberdrošības pārvaldnieka nodrošināšanai. Tā piemēram, ir sagaidāms, ka ārpakalpojuma sniedzēju iespējas piedāvāt kiberdrošības pārvaldnieka pakalpojumu būs ierobežotas un visticamāk ārpakalpojuma sniedzēji nepiedalīsies šādos iepirkumos vai arī piedāvās ārpakalpojumu sniedzēji piedāvās kiberdrošības pārvaldniekus, kuru praktiskās iemaņas un zināšanas visticamāk nebūs tik profesionālas, vai arī maksa par šādu pakalpojumu sniegšanu būs nesamērīgi lielas.
Papildus, šāda prasības noteikšana būtiski paaugstinās iestādes izmaksas Kiberdrošības pārvaldnieka nodrošināšanai. Tā piemēram, ir sagaidāms, ka ārpakalpojuma sniedzēju iespējas piedāvāt kiberdrošības pārvaldnieka pakalpojumu būs ierobežotas un visticamāk ārpakalpojuma sniedzēji nepiedalīsies šādos iepirkumos vai arī piedāvās ārpakalpojumu sniedzēji piedāvās kiberdrošības pārvaldniekus, kuru praktiskās iemaņas un zināšanas visticamāk nebūs tik profesionālas, vai arī maksa par šādu pakalpojumu sniegšanu būs nesamērīgi lielas.
Piedāvātā redakcija
Mēs ieteiktu iekļaut samērīgus ierobežojumus, 17.punktu izsakot šādā redakcijā:
1) “Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku vairāk kā trijos būtisko pakalpojumu sniedzējos, kas ir IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji”; vai arī
2) “Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citam būtisko pakalpojumu sniedzējam, kas ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs”.
1) “Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku vairāk kā trijos būtisko pakalpojumu sniedzējos, kas ir IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji”; vai arī
2) “Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citam būtisko pakalpojumu sniedzējam, kas ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs”.
2.
Noteikumu projekts
Iebildums
Iepriekšējā MK noteikumu versija, kas tika publicēta 2025.gada 24.janvārī, iekļāva šādu redakciju “Minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas, un tas nav pretrunā ar normatīvajiem aktiem par amatu savienošanu.”
Mēs saprotam, ka, veicot papildinājumus šajā punktā, augstāk minētais nosacījumus ir nejauši vai neapzināti izņemts. Lūdzam, Noteikumu 19.punktu papildināt arī ar iepriekšējo nosacījumu: “Minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas, un tas nav pretrunā ar normatīvajiem aktiem par amatu savienošanu”.
Informējam, ka, ja augstāk minētais nosacījums ir apzināti izņemts, tad šādas prasības noteikšana, mūsuprāt, būtu pārmērīga, limitējot kiberdrošības pārvaldnieka darbietilpību. Tā piemēram, tiešās pārvaldes iestādēs tādās kā mākslu izglītības kompetences centros, mākslas skolās, mūzikas skolās, vidusskolās, tehnikumos, muzejos, bibliotēkās, kuros bieži vien darbinieku skaits nepārsniedz 50 darbiniekus un tās savā būtībā tās nav salīdzināmas ar “vidēju” vai “lielu” uzņēmumu, augstāk minētā prasība būtiski samazinās kiberdrošības pārvaldnieku pieejamību tirgū, kas attiecīgi būtiski paaugstinās valsts un pašvaldību iestāžu, un valsts kapitālsabiedrību izmaksas Kiberdrošības pārvaldnieka nodrošināšanai.
Mēs saprotam, ka, veicot papildinājumus šajā punktā, augstāk minētais nosacījumus ir nejauši vai neapzināti izņemts. Lūdzam, Noteikumu 19.punktu papildināt arī ar iepriekšējo nosacījumu: “Minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas, un tas nav pretrunā ar normatīvajiem aktiem par amatu savienošanu”.
Informējam, ka, ja augstāk minētais nosacījums ir apzināti izņemts, tad šādas prasības noteikšana, mūsuprāt, būtu pārmērīga, limitējot kiberdrošības pārvaldnieka darbietilpību. Tā piemēram, tiešās pārvaldes iestādēs tādās kā mākslu izglītības kompetences centros, mākslas skolās, mūzikas skolās, vidusskolās, tehnikumos, muzejos, bibliotēkās, kuros bieži vien darbinieku skaits nepārsniedz 50 darbiniekus un tās savā būtībā tās nav salīdzināmas ar “vidēju” vai “lielu” uzņēmumu, augstāk minētā prasība būtiski samazinās kiberdrošības pārvaldnieku pieejamību tirgū, kas attiecīgi būtiski paaugstinās valsts un pašvaldību iestāžu, un valsts kapitālsabiedrību izmaksas Kiberdrošības pārvaldnieka nodrošināšanai.
Piedāvātā redakcija
Lūdzam, Noteikumu 19.punktu papildināt arī ar iepriekšējo nosacījumu: “Minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas, un tas nav pretrunā ar normatīvajiem aktiem par amatu savienošanu”.
3.
Noteikumu projekts
Iebildums
Ņemot vērā to, ka līdz 2025. gada 1. jūlijam ir atlikuši daži mēneši un iekšējo normatīvo aktu (piemēram, Kiberdrošības politikas, IKT resursu un informācijas sistēmu kataloga, Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrāde) kvalitatīva izstrāde, saskaņošana un apstiprināšana, kā arī darbinieku apmācības un novērtēšana, aizņem būtiskus resursus un varbūt laikietilpīga, mēs rekomendējam šo termiņu aizvietot ar “piemēro no 2026.gada 1.janvāra”.
Piedāvātā redakcija
Mēs rekomendējam šo noteikuma punktu izteikt šādā redakcijā: "Šo noteikumu 21.–81., 85. un 88. punktā noteiktās prasības piemēro no 2026. gada 1. janvāra".
4.
Noteikumu projekts
Iebildums
Vēlamies norādīt, ka “ierobežotas pieejamības informācija” atbilstoši Informācijas atklātības likuma 5.panta 2.punktam ir arī informācija “par fiziskās personas privāto dzīvi”. Ievērojot Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumus, arī informācija “par fiziskās personas privāto dzīvi” vai “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”. Līdz ar augstāk minēto izriet, ka, ja gadījumā informācijas sistēmā (resursā) būs iekļauti personas dati (piemēram, iesniegums no fiziskas personas, kurā ir iekļauts šīs fiziskās personas vārds, uzvārds un personas kods, vai arī, piemēram, video novērošanas ieraksts, kas ļauj identificēt fizisku personu), tad šī informācijas sistēma (resurss) tiks klasificēts kā B klases informācijas resurss. Attiecīgi B klases informācijas resursiem ir jāveic rezerves kopiju veidošanu par pēdējām 365 dienām un jānodrošina citas prasības.
Vēlamies norādīt, ka šādas prasības izvirzīšana ir pretrunā ar Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumiem. Tā piemēram, video novērošanas sistēmai, kurā ir iekļauti personas dati (ierobežotas pieejamības informācija), kas attiecīgi būtu uzskatāmas par “B klases” informācijas sistēmu, līdz šim ieraksti tika dzēsti līdzko ir sasniegts attiecīgais personas datu apstrādes nolūks, kas parasti nepārsniedz 30 dienas, tomēr šobrīd būs pienākums nodrošināt rezerves kopiju veidošanu par pēdējām 365 dienām, kas nav nepieciešams personas datu apstrādes nolūka izpildei.
Vēlamies norādīt, ka šādas prasības izvirzīšana ir pretrunā ar Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumiem. Tā piemēram, video novērošanas sistēmai, kurā ir iekļauti personas dati (ierobežotas pieejamības informācija), kas attiecīgi būtu uzskatāmas par “B klases” informācijas sistēmu, līdz šim ieraksti tika dzēsti līdzko ir sasniegts attiecīgais personas datu apstrādes nolūks, kas parasti nepārsniedz 30 dienas, tomēr šobrīd būs pienākums nodrošināt rezerves kopiju veidošanu par pēdējām 365 dienām, kas nav nepieciešams personas datu apstrādes nolūka izpildei.
Piedāvātā redakcija
Mēs ieteiktu B klases “konfidencialitātes klases” skaidrojumu aizvietot ar šādu redakciju:
1) “informācijas resurss satur vismaz 5000 datu subjektu personas datus vai vismaz 1000 datu subjektu īpašu kategoriju personas datus”; vai arī
2) “informācijas resurss satur vismaz 1000 datu subjektu īpašu kategoriju personas datus”.