Projekta ID
22-TA-3183Atzinuma sniedzējs
Biedrība "Latvijas Informācijas un komunikācijas tehnoloģijas asociācija"
Atzinums iesniegts
31.01.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Pieejamībai būtu jāattiecas uz informācijas resursu pieejamību (nevis IKT resursu), jo IKT resurss var būt pieejams lietošanai arī bez informācijas resursu pieejamības (tas nav ne tas pats, ne līdzvērtīgs).”;
Piedāvātā redakcija
Priekšlikums izteikt 2.17. apakšpunktu sekojošā redakcijā:
“pieejamība – iespēja lietotājam lietot informācijas resursu noteiktā laikā un vietā”
“pieejamība – iespēja lietotājam lietot informācijas resursu noteiktā laikā un vietā”
2.
Noteikumu projekts
Iebildums
Noteikumu projekta 2.22.apakšpunkts skaidro terminu žurnālfaili.
“žurnālfaili – analīzei pieejami pieraksti, kurās serveris automatizēti reģistrē datus par konkrētiem IKT notikumiem (piemēram, piekļuve, datu ievade, maiņa, dzēšana, izvade);”.
Žurnālfailus rada ne tikai serveri, bet arī citas iekārtas, kā piemēram maršrutētāji vai printeri.
“žurnālfaili – analīzei pieejami pieraksti, kurās serveris automatizēti reģistrē datus par konkrētiem IKT notikumiem (piemēram, piekļuve, datu ievade, maiņa, dzēšana, izvade);”.
Žurnālfailus rada ne tikai serveri, bet arī citas iekārtas, kā piemēram maršrutētāji vai printeri.
Piedāvātā redakcija
Priekšlikums izteikt 2.22. apakšpunktu sekojošā redakcijā:
“žurnālfaili – analīzei pieejami pieraksti, kuri tiek automatizēti reģistrēti un satur datus par konkrētiem IKT notikumiem (piemēram, piekļuve, datu ievade, maiņa, dzēšana, izvade);”
Ja piedāvātā redakcija nav pieņemama, lūdzam Anotācijā skaidrot Aizsardzības ministrijas izvēlēto redakciju.
“žurnālfaili – analīzei pieejami pieraksti, kuri tiek automatizēti reģistrēti un satur datus par konkrētiem IKT notikumiem (piemēram, piekļuve, datu ievade, maiņa, dzēšana, izvade);”
Ja piedāvātā redakcija nav pieņemama, lūdzam Anotācijā skaidrot Aizsardzības ministrijas izvēlēto redakciju.
3.
Noteikumu projekts
Iebildums
Noteikumu projekta 11.punkts nosaka kārtību par paziņojuma nosūtīšanu, kurā ieceļ kiberdrošības pārvaldnieku, bet nav noteikta prasība par fiziskās personas piekrišanas apliecinājumu šajā paziņojumā, ka tā tiks iecelta par kiberdrošības pārvaldnieku pie konkrētā subjekta.
Priekšlikums:
Papildināt Noteikumu projekta 3.pielikumu ar fiziskās personas topošā kiberdrošības pārvaldnieka piekrišanas apliecinājumu, kļūt par konkrētā subjekta kiberdrošības pārvaldnieku.
Priekšlikums:
Papildināt Noteikumu projekta 3.pielikumu ar fiziskās personas topošā kiberdrošības pārvaldnieka piekrišanas apliecinājumu, kļūt par konkrētā subjekta kiberdrošības pārvaldnieku.
Piedāvātā redakcija
-
4.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 18. punkta redakciju, kura nosaka ierobežojumu fiziskai personai būt ķiberdrošības pārvaldniekam tikai vienam subjektam, kas ir IKT kritiskās infrastruktūras īpašnieks vai valdītājs. Ņemot vērā, ka subjekts varētu ietilpt uzņēmumu grupas koncernā (piemēram mātes uzņēmums, meitas uzņēmumi) un nereti kiberdrošība, IT pārvaldība ir uzņēmumu grupā kopīgi realizēta funkcija, tādēļ šāds ierobežojums nebūtu attiecināms uz vienas grupas uzņēmumiem.
Piedāvātā redakcija
Priekšlikums izteikt 18.punktu sekojošā redakcijā:
“18. Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citā subjektā vai juridiskā personā. Šis ierobežojums neattiecas uz vienas grupas uzņēmumiem”.
“18. Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citā subjektā vai juridiskā personā. Šis ierobežojums neattiecas uz vienas grupas uzņēmumiem”.
5.
Noteikumu projekts
Iebildums
Iebilstam pret 20.punktu (45.punkts, 70.punkts, 84.punkts):
Subjektam, kas ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, ir ļoti specifiskas prasības, saskaņā ar kurām tā var nozīmēt kiberdrošības pārvaldnieku. Tostarp viena no prasībām ir saņemt Satversmes biroja atzinumu, ka nav konstatēti drošības riski, kas var būt par pamatu apšaubīt fiziskās personas uzticamību. 20.punkts paredz, ka burtiski ir jānodrošina vēl viens kiberdrošības pārvaldnieka prasībām atbilstošs darbinieks, kas burtiski ir otrs kiberdrošības pārvaldnieks. Vienlaikus subjektam ir jānodrošina vēl 3 darbinieki, kas atbilst šīm prasībām un ir saņēmuši Satversmes biroja atzinumu par drošības risku neesamību. Šāda prasība nav samērīga un pamatota, it īpaši attiecībā uz 12.6. un 12.11.apakšpunktiem.
Aicinām precizēt prasības atbilstoši Noteikumos noteiktajam atbildības līmenim, piemēram, nosakot, ka attiecībā uz 20., 45., 70. un 84.punktā noteiktajām personām izvirzāmas tādas prasības, kas izvirzītas būtisko pakalpojumu kiberdrošības pārvaldniekam (kas atbilst šo noteikumu 12.1.-12.5. noteiktajām prasībām un kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā).
Priekšlikums:
Izteikt 20.punktu sekojošā redakcijā:
“20.Subjekts nodrošina, ka fiziskā persona, kura kiberdrošības pārvaldnieka prombūtnes laikā pilda kiberdrošības pārvaldnieka pienākumus, ir kompetenta un apmācīta izpildīt subjekta kiberdrošības pārvaldnieka amata pienākumus.”.
Subjektam, kas ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, ir ļoti specifiskas prasības, saskaņā ar kurām tā var nozīmēt kiberdrošības pārvaldnieku. Tostarp viena no prasībām ir saņemt Satversmes biroja atzinumu, ka nav konstatēti drošības riski, kas var būt par pamatu apšaubīt fiziskās personas uzticamību. 20.punkts paredz, ka burtiski ir jānodrošina vēl viens kiberdrošības pārvaldnieka prasībām atbilstošs darbinieks, kas burtiski ir otrs kiberdrošības pārvaldnieks. Vienlaikus subjektam ir jānodrošina vēl 3 darbinieki, kas atbilst šīm prasībām un ir saņēmuši Satversmes biroja atzinumu par drošības risku neesamību. Šāda prasība nav samērīga un pamatota, it īpaši attiecībā uz 12.6. un 12.11.apakšpunktiem.
Aicinām precizēt prasības atbilstoši Noteikumos noteiktajam atbildības līmenim, piemēram, nosakot, ka attiecībā uz 20., 45., 70. un 84.punktā noteiktajām personām izvirzāmas tādas prasības, kas izvirzītas būtisko pakalpojumu kiberdrošības pārvaldniekam (kas atbilst šo noteikumu 12.1.-12.5. noteiktajām prasībām un kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā).
Priekšlikums:
Izteikt 20.punktu sekojošā redakcijā:
“20.Subjekts nodrošina, ka fiziskā persona, kura kiberdrošības pārvaldnieka prombūtnes laikā pilda kiberdrošības pārvaldnieka pienākumus, ir kompetenta un apmācīta izpildīt subjekta kiberdrošības pārvaldnieka amata pienākumus.”.
Piedāvātā redakcija
-
6.
Noteikumu projekts
Iebildums
Noteikumu projekta 38. punkts nosaka, ka “Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādā, vismaz reizi gadā pārskata un nepieciešamības gadījumā aktualizē informācijas sistēmas drošības klases noteikšanas vadlīnijas. Vadlīnijas publicē Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja mājaslapā internetā.” Ņemot vērā, ka būs pieejams reģistrētu Kiberdrošības pārvaldnieku saraksts, veicot izmaiņas vai publicējot izmaiņas, šādos gadījumos var informēt elektroniski atbildīgās personas.
Piedāvātā redakcija
Priekšlikums izteikt 38.punktu sekojošā redakcijā:
“38.Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādā, vismaz reizi gadā pārskata un nepieciešamības gadījumā aktualizē informācijas sistēmas drošības klases noteikšanas vadlīnijas. Vadlīnijas publicē Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja mājaslapā internetā, kā arī informē Kiberdrošības pārvaldniekus nosūtot paziņojumu uz elektronisko adresi.”
“38.Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādā, vismaz reizi gadā pārskata un nepieciešamības gadījumā aktualizē informācijas sistēmas drošības klases noteikšanas vadlīnijas. Vadlīnijas publicē Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja mājaslapā internetā, kā arī informē Kiberdrošības pārvaldniekus nosūtot paziņojumu uz elektronisko adresi.”
7.
Noteikumu projekts
Iebildums
Noteikumu projekta 49.punkts nosaka, ka “IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs šo noteikumu 45. punktā minētās personas nosaka uz termiņu līdz 3 gadiem. Ne vēlāk kā 3 mēnešus pirms noteiktā termiņa beigām, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs paziņo Satversmes aizsardzības birojam, nosūtot uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu veidlapu par kiberdrošību atbildīgajām personām.”
Priekšlikums:
Lūdzam skaidrot un precizēt 49.punktu, jo šobrīd nav viennozīmīgi saprotams vai viena persona varēs veikt IKT kritiskās infrastruktūras kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu pienākumus pēc 3 gadu termiņa un vai ir jāveic šīs personas atkārtota atbilstības pārbaude šo pienākumu veikšanai.
Priekšlikums:
Lūdzam skaidrot un precizēt 49.punktu, jo šobrīd nav viennozīmīgi saprotams vai viena persona varēs veikt IKT kritiskās infrastruktūras kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu pienākumus pēc 3 gadu termiņa un vai ir jāveic šīs personas atkārtota atbilstības pārbaude šo pienākumu veikšanai.
Piedāvātā redakcija
-
8.
Noteikumu projekts
Iebildums
Noteikumu projekta 57.punkts nosaka, ka visiem informācijas sistēmas reģistrētiem lietotājiem jāiepazīstas ar informācijas sistēmas lietošanas noteikumiem. Kāds tvērums ir šādai prasībai: vai prasības attiecas tikai uz iekšējiem lietotājiem un iekšējām sistēmām vai minētais punkts attiecas arī uz ārējo klientu pakalpojumu sniegšanas informācijas sistēmām, kā piemēram latvija.lv, bis.gov.lv, elektrum.lv, mans.lmt.lv, utt.?
Priekšlikums:
Lūdzam skaidrot un precizēt 57.punkta tvērumu.
Priekšlikums:
Lūdzam skaidrot un precizēt 57.punkta tvērumu.
Piedāvātā redakcija
-
9.
Noteikumu projekts
Iebildums
Noteikumu projekta 63.punkts nosaka, ka “Informācijas sistēmas žurnālfailos fiksē informācijas sistēmas notikuma laiku, kas sinhronizēts ar kiberincidentu novēršanas institūcijas tīmekļvietnē norādīto augstas precizitātes tīkla laika protokola (NTP) serveri, IP adresi, no kuras veikta darbība, vai citu iekārtas unikālu identifikatoru, kas kombinēts ar lietotāja identifikatoru un ļauj nepārprotami identificēt iekārtu un lietotāja kontu, no kura veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).” Iebilstam, ka laika sinhronizācija jāveic ar kiberincidentu novēršanas institūcijas tīmekļvietnē norādīto augstas precizitātes tīkla laika protokola (NTP) serveri.
Piedāvātā redakcija
Priekšlikums izteikt 63.punktu sekojošā redakcijā:
63.Informācijas sistēmas žurnālfailos fiksē informācijas sistēmas notikuma laiku, kas sinhronizēts ar STRATUM-1 augstas precizitātes tīkla laika protokola (NTP) serveri, vai ar alternatīvu risinājumu, kurš saskaņots ar kiberincidentu novēršanas institūciju, IP adresi, no kuras veikta darbība, vai citu iekārtas unikālu identifikatoru, kas kombinēts ar lietotāja identifikatoru un ļauj nepārprotami identificēt iekārtu un lietotāja kontu, no kura veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).
63.Informācijas sistēmas žurnālfailos fiksē informācijas sistēmas notikuma laiku, kas sinhronizēts ar STRATUM-1 augstas precizitātes tīkla laika protokola (NTP) serveri, vai ar alternatīvu risinājumu, kurš saskaņots ar kiberincidentu novēršanas institūciju, IP adresi, no kuras veikta darbība, vai citu iekārtas unikālu identifikatoru, kas kombinēts ar lietotāja identifikatoru un ļauj nepārprotami identificēt iekārtu un lietotāja kontu, no kura veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).
10.
Noteikumu projekts
Iebildums
Noteikumu projekta 70.punkts nosaka, ka IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nosaka par žurnālfailu pārvaldību atbildīgo personu, kas atbilst šo noteikumu 12. punktā noteiktajām prasībām. Mūsu ieskatā attiecināt visas 12.punkta prasības par žurnālfailu pārvaldību atbildīgajai personai ir pārmērīgas.
Priekšlikums:
Papildināt 70.punktu ar apakšpunktiem šādā redakcijā:
70.1.kurai ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonība;
70.2.kura atbilst šo noteikumu 12.2.–12.3. apakšpunkta prasībām;
70.3.kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, Security+), vai kurai ir vismaz divu gadu attiecīga darba pieredze;
Priekšlikums:
Papildināt 70.punktu ar apakšpunktiem šādā redakcijā:
70.1.kurai ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonība;
70.2.kura atbilst šo noteikumu 12.2.–12.3. apakšpunkta prasībām;
70.3.kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, Security+), vai kurai ir vismaz divu gadu attiecīga darba pieredze;
Piedāvātā redakcija
-
11.
Noteikumu projekts
Iebildums
Noteikumu projekta 74.punkts nosaka, ka “IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs šo noteikumu 70. punktā minētās personas nosaka uz termiņu līdz 3 gadiem. Ne vēlāk kā 3 mēnešus pirms noteiktā termiņa beigām, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs paziņo Satversmes aizsardzības birojam, nosūtot uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu veidlapu par kiberdrošību atbildīgajām personām (3.pielikums).”
Priekšlikums:
Lūdzam skaidrot un precizēt 74.punktu, jo šobrīd nav viennozīmīgi saprotams vai par žurnālfailu pārvaldību atbildīgā persona varēs veikt šos pienākumus pēc 3 gadu termiņa un vai jāveic šīs personas atkārtota atbilstības pārbaude šo pienākumu veikšanai.
Priekšlikums:
Lūdzam skaidrot un precizēt 74.punktu, jo šobrīd nav viennozīmīgi saprotams vai par žurnālfailu pārvaldību atbildīgā persona varēs veikt šos pienākumus pēc 3 gadu termiņa un vai jāveic šīs personas atkārtota atbilstības pārbaude šo pienākumu veikšanai.
Piedāvātā redakcija
-
12.
Noteikumu projekts
Iebildums
“77.Subjekts nodrošina, ka ir pieejamas vismaz:
77.1.informācijas sistēmas tehniskās dokumentācijas rezerves kopijas;
77.2.informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda (source code) rezerves kopijas;
77.3.informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas, ja vien tas ir tehniski iespējams.”
No piedāvātās redakcijas izriet, ka nosauktās prasības ir minimums, kas jānodrošina attiecībā uz rezerves kopijām.
77.1.informācijas sistēmas tehniskās dokumentācijas rezerves kopijas;
77.2.informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda (source code) rezerves kopijas;
77.3.informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas, ja vien tas ir tehniski iespējams.”
No piedāvātās redakcijas izriet, ka nosauktās prasības ir minimums, kas jānodrošina attiecībā uz rezerves kopijām.
Piedāvātā redakcija
Priekšlikums papildināt 77. punktu:
“77.Papildus 76.punkta minimālām prasībām subjekts nodrošina, ka ir pieejamas vismaz:”.
“77.Papildus 76.punkta minimālām prasībām subjekts nodrošina, ka ir pieejamas vismaz:”.
13.
Noteikumu projekts
Iebildums
Noteikumu 80.1. apakšpunkts nosaka, ka “rezerves kopijām gan fiziski, gan elektroniskajā vidē var piekļūt tikai par rezerves kopiju atbildīgā persona un kiberdrošības pārvaldnieks”. Piedāvātā redakcija ierobežo iespējas rezerves kopijas glabāt pie trešās puses pakalpojumu sniedzējiem, kā arī ITK administratoriem veikt atjaunošanu no rezerves kopijām .
Priekšlikums:
Lūdzam skaidrot šī apakšpunkta prasības un kā prasības varēs tikt praktiski realizētas.
Priekšlikums:
Lūdzam skaidrot šī apakšpunkta prasības un kā prasības varēs tikt praktiski realizētas.
Piedāvātā redakcija
-
14.
Noteikumu projekts
Iebildums
Noteikumu projekta 84.punkts nosaka, ka “IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nosaka par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu, kas atbilst šo noteikumu 12. punktā noteiktajām prasībām.”. Mūsu ieskatā piemērot atbildīgajai personai par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu visas 12.punkta prasības ir nesamērīgi.
Priekšlikums:
Papildināt 84. punktu ar jauniem apakšpunktiem:
“84.1.kurai ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonība;
84.2.kura atbilst šo noteikumu 12.2.–12.3. apakšpunkta prasībām;
84.3.kura ir apmācīta un prot lietot subjekta rīcībā esošo rezerves kopiju veidošanas un uzglabāšanas risinājumu;”
Priekšlikums:
Papildināt 84. punktu ar jauniem apakšpunktiem:
“84.1.kurai ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonība;
84.2.kura atbilst šo noteikumu 12.2.–12.3. apakšpunkta prasībām;
84.3.kura ir apmācīta un prot lietot subjekta rīcībā esošo rezerves kopiju veidošanas un uzglabāšanas risinājumu;”
Piedāvātā redakcija
-
15.
Noteikumu projekts
Iebildums
Noteikumu 111.punkts nosaka prasības, kas izvirzāmas ārpakalpojuma sniedzējam, kas nodrošina IKT kritiskās infrastruktūras informācijas sistēmas tehnisko resursu piegādi.
111.1.2. apakšpunkts paredz, ka juridiskai personas valdei jāsastāv no fiziskām personām, kuras ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstu pilsoņi. Šāda prasība ir nesamērīga, diskriminējoša un pretrunā ar starptautisko praksi. Vienlaikus tā būtiski ierobežos IKT kritiskās infrastruktūras turētāju spējas nodrošināt tehnisko resursu apgādi un atjaunošanu atbilstoši vajadzībām, jo nepamatoti sašaurina piegādātāju loku. Lūdzam prasību no Noteikumu projekta svītrot.
111.1.2. apakšpunkts paredz, ka juridiskai personas valdei jāsastāv no fiziskām personām, kuras ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstu pilsoņi. Šāda prasība ir nesamērīga, diskriminējoša un pretrunā ar starptautisko praksi. Vienlaikus tā būtiski ierobežos IKT kritiskās infrastruktūras turētāju spējas nodrošināt tehnisko resursu apgādi un atjaunošanu atbilstoši vajadzībām, jo nepamatoti sašaurina piegādātāju loku. Lūdzam prasību no Noteikumu projekta svītrot.
Piedāvātā redakcija
-
16.
Noteikumu projekts
Iebildums
153. punktā noteikts, ka “IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nekavējoties, bet ne vēlāk kā 10 darba dienu laikā, informē Satversmes aizsardzības biroju par ielaušanās testa rezultātiem nosūtot tos uz Satversmes aizsardzības biroja oficiālo elektroniskā pasta adresi” Citos Noteikumu projekta punktos paziņošanas kanāls ir elektroniskā adrese, tādēļ mūsu ieskatā prasībai par informācijas nosūtīšanu uz Satversmes aizsardzības biroja oficiālo elektroniskā pasta adresi nav konsekventa.
Piedāvātā redakcija
Priekšlikums izteikt 153.punktu sekojoši:
“IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nekavējoties, bet ne vēlāk kā 10 darba dienu laikā, informē Satversmes aizsardzības biroju par ielaušanās testa rezultātiem nosūtot tos uz Satversmes aizsardzības biroja oficiālo elektronisko adresi”.
“IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nekavējoties, bet ne vēlāk kā 10 darba dienu laikā, informē Satversmes aizsardzības biroju par ielaušanās testa rezultātiem nosūtot tos uz Satversmes aizsardzības biroja oficiālo elektronisko adresi”.
17.
Noteikumu projekts
Iebildums
Noteikumu projekta 157.5. apakšpunkts nosaka, ka “detalizētus drošības skenēšanas rezultātus drošības skenēšanas veicējs nekavējoties nosūta attiecīgajam kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam un Satversmes aizsardzības birojam, sniedzot arī attiecīgus ieteikumus”.
Lūdzam skaidrot vai jāsūta skenēšanas rezultāti, kurus veikt nosaka prasības nozares standartos, kā piemēram, PCI-DSS Council, vai arī šī punkta regulējums attiecas tikai uz gadījumiem, kad drošības skenēšanu iniciējis Satversmes drošības birojs.
Lūdzam skaidrot vai jāsūta skenēšanas rezultāti, kurus veikt nosaka prasības nozares standartos, kā piemēram, PCI-DSS Council, vai arī šī punkta regulējums attiecas tikai uz gadījumiem, kad drošības skenēšanu iniciējis Satversmes drošības birojs.
Piedāvātā redakcija
-
18.
Noteikumu projekts
Iebildums
Noteikumu projekta 8.3. sadaļa paredz, ka agrās brīdināšanas sensorus subjekta IKT infrastruktūrā izvieto, uztur un demontē kompetentā kiberincidentu novēršanas institūcija, kā arī nosaka prioritāru kārtību, kādā izvieto sensorus, un vērtē agrās brīdināšanas sensoru uzstādīšanas nepieciešamību un lietderību.
Vēršam uzmanību, ka Nacionālās kiberdrošības likumā likumdevējs skaidri noteicis pilnvarojuma saturu un robežas. Likumdevējs nav paredzējis tiesības kiberincidentu novēršanas institūcijai izvietot agrās brīdināšanas sensorus subjektu infrastruktūrā. Likumdevējs attiecībā uz agrās brīdināšanas sensoriem un to izvietošanu likuma 29.pantā ir paredzējis, ka “Ministru kabinets nosaka kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu informācijas un komunikācijas tehnoloģiju infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus.”. Deleģējums paredz Ministru kabinetam noteikt kritērijus tam, kuriem subjektiem obligāti šādi sensori izvietojami, uzstādāmi un izmantojami. Deleģējums neparedz, ka šos sensorus subjekta infrastruktūra izvieto un apkalpo kiberincidentu novēršanas institūcija.
Vēršam uzmanību, ka Satversmes tiesa ir norādījusi, ka nav pieļaujama pamattiesību ierobežojuma noteikšana bez skaidra likumdevēja pilnvarojuma. Savukārt īstenojot pilnvarojumu, ir jāizvairās no personas pamattiesības ierobežošanas, ja uz to ierobežojuu nepieciešamību nav tieši norādīt pilnvarojošajā normā (sk. Satversmes tiesas 2005.gada 21.novembra sprieduma lietā Nr. 2005-13-03-0306 10.punktu un 2016.gada 12.februāra sprieduma lietā Nr. 2015-13-03 15.punktu). Tādi normatīvie akti, kas izdoti bez atbilstoša pilnvarojuma (ultra vires), tiek uzskatīti par spēkā neesošiem un nav saistoši adresātiem.
Aicinām pilnībā pārstrādāt 8.3.sadaļu atbilstoši likumdevēja sniegtajam deleģējumam Nacionālās kiberdrošības likuma 29.pantā, sadaļā ietverot: 1) pazīmes, kuras paredz obligāti uzstādīt agrās brīdināšanas sensorus likuma subjektiem; 2) uzstādīšanas un 3) izmantošanas noteikumus.
Vēršam uzmanību, ka Nacionālās kiberdrošības likumā likumdevējs skaidri noteicis pilnvarojuma saturu un robežas. Likumdevējs nav paredzējis tiesības kiberincidentu novēršanas institūcijai izvietot agrās brīdināšanas sensorus subjektu infrastruktūrā. Likumdevējs attiecībā uz agrās brīdināšanas sensoriem un to izvietošanu likuma 29.pantā ir paredzējis, ka “Ministru kabinets nosaka kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu informācijas un komunikācijas tehnoloģiju infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus.”. Deleģējums paredz Ministru kabinetam noteikt kritērijus tam, kuriem subjektiem obligāti šādi sensori izvietojami, uzstādāmi un izmantojami. Deleģējums neparedz, ka šos sensorus subjekta infrastruktūra izvieto un apkalpo kiberincidentu novēršanas institūcija.
Vēršam uzmanību, ka Satversmes tiesa ir norādījusi, ka nav pieļaujama pamattiesību ierobežojuma noteikšana bez skaidra likumdevēja pilnvarojuma. Savukārt īstenojot pilnvarojumu, ir jāizvairās no personas pamattiesības ierobežošanas, ja uz to ierobežojuu nepieciešamību nav tieši norādīt pilnvarojošajā normā (sk. Satversmes tiesas 2005.gada 21.novembra sprieduma lietā Nr. 2005-13-03-0306 10.punktu un 2016.gada 12.februāra sprieduma lietā Nr. 2015-13-03 15.punktu). Tādi normatīvie akti, kas izdoti bez atbilstoša pilnvarojuma (ultra vires), tiek uzskatīti par spēkā neesošiem un nav saistoši adresātiem.
Aicinām pilnībā pārstrādāt 8.3.sadaļu atbilstoši likumdevēja sniegtajam deleģējumam Nacionālās kiberdrošības likuma 29.pantā, sadaļā ietverot: 1) pazīmes, kuras paredz obligāti uzstādīt agrās brīdināšanas sensorus likuma subjektiem; 2) uzstādīšanas un 3) izmantošanas noteikumus.
Piedāvātā redakcija
-
19.
Noteikumu projekts
Iebildums
Iebilstam pret 5.pielikuma 1.4. apakšpunktu (infrastruktūras pakalpojumi, kas vajadzīgi sakaru tīkla un pakalpojumu darbībai un tā darbības atbalstam), jo Noteikumu projekta 5.pielikuma 1. punkts nosaka publiskā elektronisko sakaru tīkla kritisko daļu, atkarībā no funkcijām, bet 1.4 apakšpunktā tiek norādīti infrastruktūras pakalpojumi. Nav skaidrs uz kāda veida pakalpojumiem 1.4 apakšpunkts ir attiecināms.
Priekšlikums:
Precizēt 1.4 apakšpunkta redakciju vai papildināt ar piemēriem.
Priekšlikums:
Precizēt 1.4 apakšpunkta redakciju vai papildināt ar piemēriem.
Piedāvātā redakcija
-
20.
Noteikumu projekts
Priekšlikums
Vēršam uzmanību uz nesamērīgām kompetences prasībām, kas ir tādas pašas kā kiberdrošības pārvaldniekam (izglītība, darba pieredze), atbildīgajam par rezerves kopiju un logfailu pārvaldību.
Tāpat nav skaidrs, kāpēc ir izceltas tikai dažas (3) lomas, kur nedrīkst noteikt par atbildīgo kiberdrošības pārvaldnieku. Kā paliek ar citām, piemēram, piekļuves tiesību pārvaldība, IKT resursu pārvaldība un citas ITGC (information technology general controls) jomas?
Tāpat nav skaidrs, kāpēc ir izceltas tikai dažas (3) lomas, kur nedrīkst noteikt par atbildīgo kiberdrošības pārvaldnieku. Kā paliek ar citām, piemēram, piekļuves tiesību pārvaldība, IKT resursu pārvaldība un citas ITGC (information technology general controls) jomas?
Piedāvātā redakcija
-
21.
Noteikumu projekts
Priekšlikums
Priekšlikums precizēt tehnisko resursu definīciju.
Ierosinām precizēt noteikumu projekta 2.20. punktā ietverto tehniskā resursa definīciju, iekļaujot skaidru norādi, ka tehniskais resurss ir tāda iekārta, kas ir pieslēdzama tīklam, lai izvairītos no interpretācijas, kas ietvertu tikai tādas iekārtas, kas ir pastāvīgi pieslēgtas pie tīkla (kā tas ir pausts izziņā). Ierosinām papildus skaidrojumu arī iekļaut anotācijas tekstā, kas paskaidrotu, ka kiberdrošībai rada riskus jebkura iekārta, kas ir pieslēdzama tīklam, neatkarīgi vai tā nepārtraukti ir pieslēgta, vai arī tiek pieslēgta periodiski (piemēram, lai atjauninātu programatūru).
Priekšlikums precizētajai definīcijai:
2.20. tehniskais resurss –
2.20.1. aparatūra (hardware), tostarp iekārta, kas ir tīkla vai informācijas sistēmas sastāvdaļa, kā arī atsevišķa IKT infrastruktūrā izmantota iekārta, un tīklam pieslēdzama iekārta.
2.20.2. programmatūra (software), tostarp operētājsistēmas, sistēmfaili, sistēmprogrammas, lietojumprogrammas un palīgprogrammas.
Ierosinām precizēt noteikumu projekta 2.20. punktā ietverto tehniskā resursa definīciju, iekļaujot skaidru norādi, ka tehniskais resurss ir tāda iekārta, kas ir pieslēdzama tīklam, lai izvairītos no interpretācijas, kas ietvertu tikai tādas iekārtas, kas ir pastāvīgi pieslēgtas pie tīkla (kā tas ir pausts izziņā). Ierosinām papildus skaidrojumu arī iekļaut anotācijas tekstā, kas paskaidrotu, ka kiberdrošībai rada riskus jebkura iekārta, kas ir pieslēdzama tīklam, neatkarīgi vai tā nepārtraukti ir pieslēgta, vai arī tiek pieslēgta periodiski (piemēram, lai atjauninātu programatūru).
Priekšlikums precizētajai definīcijai:
2.20. tehniskais resurss –
2.20.1. aparatūra (hardware), tostarp iekārta, kas ir tīkla vai informācijas sistēmas sastāvdaļa, kā arī atsevišķa IKT infrastruktūrā izmantota iekārta, un tīklam pieslēdzama iekārta.
2.20.2. programmatūra (software), tostarp operētājsistēmas, sistēmfaili, sistēmprogrammas, lietojumprogrammas un palīgprogrammas.
Piedāvātā redakcija
-
22.
Noteikumu projekts
Priekšlikums
Lūdzam precizēt attiecībā uz 23. un 24.punktu – kurām kiberdrošības pārvaldības dokumentu kopumu daļām nosakāms vismaz ierobežotas pieejamības informācijas statuss. Vai tas attiecas uz visām kopumu daļām vai uz noteiktām kopumu daļām. Ja, jā, tad uz kuram kopumu daļām.
Piedāvātā redakcija
-
23.
Noteikumu projekts
Priekšlikums
Lūdzam precizēt attiecībā uz 27.punktu – saskaņā ar 21.punktu subjekta kiberdrošības pārvaldības dokumentu kopumu veido kiberdrošības politika, IKT resursu un informācijas sistēmu katalogs, kbierrisku pārvaldības un IKT darbības nepārtrauktības plāns, kiberincidentu žurnāls. Praksē katalogu vienību skaits var pārsniegt simtus. Saskaņā ar 27.punktu subjektam kopuma daļas pēc aktualizēšanas ir jāiesniedz Satversmes aizsardzības birojam. Vai tas nozīmē, ka par katru aktualizēto kopuma vienību ir jāsniedz informācija vai tas attiecas uz visu dokumenta kopuma daļu Noteikumos noteiktās regularitātes aktualizāciju?
Piedāvātā redakcija
-
24.
Noteikumu projekts
Priekšlikums
Lūdzam precizēt attiecībā uz 36.punktu – vai pirms katras jaunas informācijas sistēmas izveides, kas tiek veidota subjekta uzņēmumā, ir jāsniedz sistēmas funkcionālais apraksts, vai tas attiecas tikai uz kritiskās infrastruktūras informācijas sistēmu (Noteikumu 2.6.apakšpunkta izpratnē)? Papildus – kādā termiņā pirms sistēmas izveides ir jāiesniedz dokumentācija un, vai iesniedzot informāciju, jāievēro kāds termiņš pēc kura var sākt sistēmas izveidi?
Piedāvātā redakcija
-
25.
Noteikumu projekts
Priekšlikums
Lūdzam veikt pārbaudi attiecībā uz 75. un 79.punktiem – šķietami funkcijas punktos pārklājas.
Piedāvātā redakcija
-
26.
Noteikumu projekts
Priekšlikums
Lūdzam veikt pārbaudi 85.punktā, 86.punktā attiecībā uz atsaucēm citos Noteikumu punktos, šķietami 77.punkts nav atbilstošs references punkts.
Piedāvātā redakcija
-
27.
Noteikumu projekts
Priekšlikums
Lūdzam veikt pārbaudi 87. un 88. punktā attiecībā uz atsauci Noteikumu 80.punktā – šķietami nav atbilstošs references punkts.
Piedāvātā redakcija
-
28.
Noteikumu projekts
Priekšlikums
Priekšlikums precizēt valstu sarakstu.
Noteikumu projekts ir pārņēmis MK noteikumu Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” ietverto redakciju attiecībā uz izcelsmes valstīm. Tādējādi noteikumu projekta 111. punktā ir iekļauti kritēriji, kas ietver tikai NATO, ES un EEZ dalībvalstis. Šāds ierobežojums izslēdz Šveici, kas nav EEZ dalībvalsts, bet ir cieši integrēta Eiropas ekonomikā un ir Eiropas Brīvās tirdzniecības asociācijas dalībvalsts. Šveice bieži vien ES līmeņa ierobežojumos tiek pielīdzināta EEZ dalībvalstīm arī ja formāli tā nav EEZ dalībvalsts. Vienlaikus šāds ierobežojums izslēdz valstis, kas vēsturiski ir bijušas ES ciešas partnervalstis un kuras ievēro ES un Latvijai līdzvērtīgus drošības pasākumus.
Ierosinām noteikumu projekta 111. punktā iekļaut valstis, kuras ir atzītas par ES partneru valstīm daudzos ES noteiktajos sankciju režīmos: ASV, Japāna, Apvienotā Karaliste, Dienvidkoreja, Austrālija, Kanāda, Jaunzēlande, Norvēģija, Šveice, Lihtenšteina un Islande.
Šāds valstu uzskaitījums ir skaidri redzams, piemēram, Regulas (ES) Nr. 833/2014 par ierobežojošiem pasākumiem saistībā ar Krievijas darbībām, kas destabilizē situāciju Ukrainā. Regulā Šveice tiek pielīdzināta EEZ valstij un VIII pielikumā tiek uzskaitītas tās partnervalstis, uz kurām netiek piemēroti ES ierobežojošie pasākumi: ASV, Japāna, Apvienotā Karaliste, Dienvidkoreja, Austrālija, Kanāda, Jaunzēlande, Norvēģija, Šveice, Lihtenšteina un Islande.
Noteikumu projekts ir pārņēmis MK noteikumu Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” ietverto redakciju attiecībā uz izcelsmes valstīm. Tādējādi noteikumu projekta 111. punktā ir iekļauti kritēriji, kas ietver tikai NATO, ES un EEZ dalībvalstis. Šāds ierobežojums izslēdz Šveici, kas nav EEZ dalībvalsts, bet ir cieši integrēta Eiropas ekonomikā un ir Eiropas Brīvās tirdzniecības asociācijas dalībvalsts. Šveice bieži vien ES līmeņa ierobežojumos tiek pielīdzināta EEZ dalībvalstīm arī ja formāli tā nav EEZ dalībvalsts. Vienlaikus šāds ierobežojums izslēdz valstis, kas vēsturiski ir bijušas ES ciešas partnervalstis un kuras ievēro ES un Latvijai līdzvērtīgus drošības pasākumus.
Ierosinām noteikumu projekta 111. punktā iekļaut valstis, kuras ir atzītas par ES partneru valstīm daudzos ES noteiktajos sankciju režīmos: ASV, Japāna, Apvienotā Karaliste, Dienvidkoreja, Austrālija, Kanāda, Jaunzēlande, Norvēģija, Šveice, Lihtenšteina un Islande.
Šāds valstu uzskaitījums ir skaidri redzams, piemēram, Regulas (ES) Nr. 833/2014 par ierobežojošiem pasākumiem saistībā ar Krievijas darbībām, kas destabilizē situāciju Ukrainā. Regulā Šveice tiek pielīdzināta EEZ valstij un VIII pielikumā tiek uzskaitītas tās partnervalstis, uz kurām netiek piemēroti ES ierobežojošie pasākumi: ASV, Japāna, Apvienotā Karaliste, Dienvidkoreja, Austrālija, Kanāda, Jaunzēlande, Norvēģija, Šveice, Lihtenšteina un Islande.
Piedāvātā redakcija
-
29.
Noteikumu projekts
Priekšlikums
Lūdzam veikt pārbaudi 118.punktā attiecībā uz atsauci Noteikumu 112.punktā – šis punkts ir izņēmuma piemērošanas punkts 111.punktam, tāpēc šķietami nav atbilstošs references punkts.
Piedāvātā redakcija
-
30.
Noteikumu projekts
Priekšlikums
Lūdzam precizēt attiecībā uz 125.punktu – tajā noteikts, ka Satversmes aizsardzības irojs apzina iespējamo A, B un C kategorijas IKT kritisko infrastruktūru. Kādā veidā tiek noteiktas kategorijas infrastruktūrai, ja Noteikumu 4.pielikumā noteiktas tikai drošības klases?
Piedāvātā redakcija
-
31.
Noteikumu projekts
Priekšlikums
Priekšlikums precizēt konkrētu prasību piemērošanas laiku.
Ierosinām precizēt noteikumu projekta 180. punktā ietverto prasību piemērošanas laiku, lai šis piemērošanas laiks būtu samērīgs ar pārējiem ieviešanas termiņiem. Pašlaik noteikumu projekta redakcijā ir atstāts sākotnējais termiņš – 2025. gada 1.jūlijs. Tomēr šis prasību piemērošanas laiks ir nesamērīgs, īpaši, ja noteikumus ir plānots piemērot ar š.g. 1. martu un š.g. 1. oktobris ir termiņš sākotnējam pašvērtējuma ziņojumam. Tādēļ ierosinām precizēt noteikumu projekta 180. punktu, nosakot, ka noteikumu 21.- 94., 96. un 97. punktu piemēro ar 2025. gada 1. oktobri.
Ierosinām precizēt noteikumu projekta 180. punktā ietverto prasību piemērošanas laiku, lai šis piemērošanas laiks būtu samērīgs ar pārējiem ieviešanas termiņiem. Pašlaik noteikumu projekta redakcijā ir atstāts sākotnējais termiņš – 2025. gada 1.jūlijs. Tomēr šis prasību piemērošanas laiks ir nesamērīgs, īpaši, ja noteikumus ir plānots piemērot ar š.g. 1. martu un š.g. 1. oktobris ir termiņš sākotnējam pašvērtējuma ziņojumam. Tādēļ ierosinām precizēt noteikumu projekta 180. punktu, nosakot, ka noteikumu 21.- 94., 96. un 97. punktu piemēro ar 2025. gada 1. oktobri.
Piedāvātā redakcija
-
32.
Noteikumu projekts
Priekšlikums
Vēršam uzmanību, ka šobrīd Noteikumu projekta 8. pielikumā ir vienkārši pārkopētas MK noteikumu nr. 508 2. pielikuma prasības par darbības nepārtrauktības plāna valsts apdraudējuma gadījumā iekļaujamo informāciju kritiskās infrastruktūras turētājiem.
Līdz ar to lūgums sniegt atbildes uz diviem jautājumiem:
a) vai MK noteikumi Nr. 508 tiks likvidēti?
b) vai būs vēl citi noteikumi par IKT darbības nepārtrauktības plānā iekļaujamo informāciju būtiskiem un svarīgiem pakalpojuma sniedzējiem?
Līdz ar to lūgums sniegt atbildes uz diviem jautājumiem:
a) vai MK noteikumi Nr. 508 tiks likvidēti?
b) vai būs vēl citi noteikumi par IKT darbības nepārtrauktības plānā iekļaujamo informāciju būtiskiem un svarīgiem pakalpojuma sniedzējiem?
Piedāvātā redakcija
-