Atzinums

Tieslietu ministrijā ir izskatīts Aizsardzības ministrijas sagatavotais Ministru kabineta noteikumu projekts “Informācijas sistēmu izvietošanas un datu centru drošības prasības” (turpmāk – projekts) un par to izsakām šādus iebildumus un priekšlikumus.
Projektā zem nosaukuma esošajā noteikumu izdošanas norādē nepieciešams svītrot Nacionālās kiberdrošības likuma (turpmāk – likums) 30. panta pirmās daļas norādi, jo minētā likuma norma paredz vispārēju atsauci par Ministru kabineta noteiktajām prasībām, nevis pilnvarojumu Ministru kabinetam par noteikumu izdošanu. Turklāt arī likuma pārejas noteikumos likuma 30. panta pirmā daļa kā pilnvarojuma norma netiek minēta, un arī projekta 1. punktā iekļautajās likuma pilnvarojuma normās (noteikumu apakšpunktos) šī likuma norma netiek norādīta.
 

-

Projekta 1.1. apakšpunktu saskaņā ar Ministru kabineta 2009. gada 3. februāra noteikumu Nr.108 “Normatīvo aktu projektu sagatavošanas noteikumi” 100.2. apakšpunktā noteikto nepieciešams izteikt precīzi atbilstoši likuma 26. pantā noteiktajam pilnvarojumam. Vēršam uzmanību, ka tas paredz ne tikai minimālās kiberdrošības prasības subjektiem, bet arī citas prasības, tai skaitā Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja informēšanas prasības. Attiecīgi arī projekta normās būtu jāiekļauj nepieciešamais regulējums. Savukārt, ja visa likuma 26. pantā noteiktā pilnvarojuma ieviešanai ir paredzēts izstrādāt citus normatīvos aktus, par to izvērsta informācija būtu jāsniedz projekta anotācijas IV sadaļā, kas nosaka tiesību normu sistēmu. Papildus piedāvājam projekta 1.1.apakšpunktā neveidot personu kopuma saīsinājumu “subjekts”, bet skaidrojumu izteikt, piemēram, noteikumu 2. punktā kā ārējo atsauci par likumā esošo terminu un saīsinājumu izmantošanu, jo subjektu kopums ir noteikts likuma 3. panta pirmās daļas 1. punktā.
 

-

Projekta 11.2. apakšpunktā un turpmāk projekta tekstā esošo regulējumu par kiberdrošības auditoriem nepieciešams precizēt atbilstoši likuma 44. pantā noteiktajam regulējumam. Vēršam uzmanību, ka norma šobrīd būs nepārprotamāka, ja tajā būs ārējā atsauce par likuma 44. panta otrajā daļā noteikto kiberdrošības auditoru, bez papildu skaidrojumiem par auditoru sarakstiem, jo šādu regulējumu jau nosaka likums. Vienlaikus šajā normā piedāvājam iekļaut personas visa apzīmējuma saīsinājumu “kiberdrošības auditors”, piemēram, “Nacionālās kiberdrošības likuma. 44. panta otrajā daļā noteiktais kiberdrošības auditors (turpmāk – kiberdrošības auditors)”. Turklāt projekta tekstā ir paredzēts arī “kvalificēts auditors”, ko likums neparedz, bet dažādu likuma regulējumam līdzīgu terminu izmantošana projektā nebūtu pieļaujama. Ievērojot minēto, piedāvājam izvērtēt un precizēt projekta 11.2. un 13.2.1. apakšpunktu, 18., 22. un 44. punktu.

-

Projekta 41. punktu par subjekta atbildību nepieciešams svītrot, jo šāda norma neatbilst likuma pilnvarojumam un tā nav attiecināma kā pārejas regulējums. Turklāt vārdi “atbildība par šo noteikumu prasību neievērošanu attiecināma uz pašu subjektu” nekādi nenosaka nepieciešamā regulējuma mērķi.

-

Projekta 42. punktu nepieciešams precizēt vai svītrot, jo šāda norma neatbilst pārejas regulējuma veidošanas nosacījumiem. Piedāvājam projektā pārejas regulējumu izteikt nepārprotama teksta veidā, nevis kā ārējās atsauces. Vēršam uzmanību, ka šobrīd vārdi “noteikumu 16. punktā noteiktā izpildes sākuma dienas” neatbilst projekta 16. punkta saturam.

-

Projekta 44. punktu par pienākumu Uzraudzības komitejai izpildīt noteiktu uzdevumu nepieciešams izteikt korekti, ar precīziem termiņiem, nevis “Līdz dienai … ”, jo šāda norma neatbilst ārējo normatīvo aktu un to pārejas regulējuma veidošanas nosacījumiem. Vienlaikus piedāvājam izvērtēt iespēju projektam (Ministru kabineta noteikumiem) paredzēt konkrētu spēkā stāšanās datumu, jo tas atvieglotu pārejas regulējuma termiņu skaitīšanu.

-

Projekta 15. punktā un 23.2. apakšpunktā tiek paredzēti privātpersonām saistoši lēmumi (administratīvie akti), ko pieņems Digitālās drošības uzraudzības komiteja, kura atbilstoši likuma 17. panta pirmajai daļai ir aizsardzības ministra pakļautībā. Tādējādi, ņemot vērā tiesiskā regulējuma trūkumu, Digitālās drošības uzraudzības komitejas lēmumu apstrīdēšanas iesniegumu izskatīšana būs aizsardzības ministra kompetencē, jo šobrīd arī Digitālās drošības uzraudzības komitejas nolikums neparedz lēmumu tiesiskuma pārbaudes regulējumu. Ievērojot minēto, piedāvājam izvērtēt lēmumu pieņemšanas procedūras, lai tās būtu nepārprotamas un atbilstošas administratīvā procesa prasībām.

-