Projekta ID
25-TA-977Atzinuma sniedzējs
Tieslietu ministrija
Atzinums iesniegts
29.04.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Informatīvais ziņojums
Iebildums
Informatīvajā ziņojumā aicināts "veikt grozījumus informatīvā ziņojuma “Par Mākslīgā intelekta akta prasību ieviešanu” Pielikumā Nr. 1”. Vēršam uzmanību, ka informatīvie ziņojumi ir informācija vai pārskats par Ministru kabineta kompetencē esoša jautājuma risināšanas gaitu un tie nav grozāmi un nepieciešamības gadījumā izstrādājams jauns informatīvais ziņojums. Nepieciešamības gadījumā lūdzam paredzēt, ka par aktualitāti zaudējušu tiek atzīts konkrēts Ministru kabineta protokollēmumā ietverts uzdevums, kurš uzdots, balstoties uz attiecīgo informatīvo ziņojumu. Tāpat informatīvajā ziņojumā tiek aicināts precizēt norādītos Aizsardzības ministrijas uzdevumus saskaņā ar ietvertajiem skaidrojumiem. Lūdzam attiecīgi precizēt un papildināt Ministru kabineta sēdes protokollēmuma projektu, svītrojot tā 2. punktu.
Piedāvātā redakcija
-
2.
Informatīvais ziņojums
Iebildums
Informatīvajā ziņojumā skaidrots, ka: ”31. pants nosaka prasības attiecībā uz paziņotajām struktūrām (atbilstības novērtēšanas iestādēm), kas tostarp nosaka ievērot atbilstīgas kiberdrošības prasības”. Vēršam uzmanību, ka Eiropas Parlamenta un Padomes 2024. gada 13. jūnija Regula (ES) 2024/1689, ar ko nosaka saskaņotas normas mākslīgā intelekta jomā un groza Regulas (EK) Nr. 300/2008, (ES) Nr. 167/2013, (ES) Nr. 168/2013, (ES) 2018/858, (ES) 2018/1139 un (ES) 2019/2144 un Direktīvas 2014/90/ES, (ES) 2016/797 un (ES) 2020/1828 (turpmāk - MI akts) neiekļauj terminu “atbilstības novērtēšanas iestāde”, bet gan nosaka “atbilstības novērtēšanas struktūru” (skat. MI akta 3. panta 22. punktu) , līdz ar to lūdzam attiecīgi precizēt informatīvo ziņojumu.
MI akta 31. panta 1. punktā noteikts, ka paziņoto struktūru jeb atbilstības novērtēšanas struktūru izveido saskaņā ar dalībvalsts normatīvajiem aktiem, kur 2. punktā tiek noteikts, ka, citstarp, tai ir jāatbilst noteiktajām kiberdrošības prasībām. Informatīvajā ziņojumā skaidrots: ”[..] Gadījumos, kad atbilstības novērtēšanas iestādes vienlaikus nav NKDL subjekti, citos normatīvajos aktos (piemēram, likumā “Par atbilstības novērtēšanu” un/vai ar to saistītajos normatīvajos aktos) var noteikt ievērot kiberdrošību regulējošo normatīvo aktu prasības, nenosakot šīs iestādes par NKDL subjektiem; vienlaikus pastāv arī citi pietiekami veidi, kā paziņotās struktūras varētu pierādīt pienācīgu kiberdrošības līmeni (piemēram, kiberdrošības auditoru izvērtējums, organizācijas sertifikācija (piemēram, ISO 27001)), nenosakot to NKDL, bet zemāka līmeņa normatīvajos aktos vai instrukcijās.” Vēršam uzmanību, ka saskaņā ar MI akta 31. panta 1. punktu paziņotā struktūra ir juridiska persona, kura saskaņā ar 31. panta 4. punktu un 6. punktu ir neatkarīga no tās atbilstības novērtēšanas subjekta.
Pirmkārt, attiecībā uz kiberdrošības prasību noteikšanu instrukcijās skaidrojam, ka saskaņā ar Administratīva procesa likuma 1. panta sesto daļu instrukcijas ir iekšējs normatīvais akts jeb tiesību akts, kuru publisko tiesību subjekts izdevis ar mērķi noteikt savas vai sev padotas institūcijas iekšējās darbības kārtību vai izskaidrot kāda ārējā normatīvā akta piemērošanas kārtību savā darbības jomā (instrukcija, ieteikumi, nolikums u.c.) (skat. arī Ministru kabineta noteikumu Nr. 108 189. punktu, kas noteic, ka iekšējā normatīvā akta projektā neietver normas, kas nosaka pienākumus privātpersonai vai citai personai (iestādei), kura nav padota iekšējā normatīvā akta izdevējam). Privātpersonām iekšējais normatīvais akts nav saistošs. Attiecīgi lūdzam precizēt informatīvo ziņojumu, augstākminēto ievērojot arī skatot informatīvā ziņojuma 9. punktu.
Otrkārt, vēršam uzmanību, ka, izveidojot sadrumstalotu tiesību aktu bāzi, proti, iekļaujot kiberdrošības prasības vairākos normatīvajos tiesību aktos vai pieļaujot vairākus veidus pienācīgā kiberdrošības līmeņa pierādīšanai, tas pirmšķietami būtu pretrunā tiesiskās noteiktības principam, kā arī pret dalībvalsts pienākumu izveidot efektīvu tiesību aktu bāzi, lai īstenotu no MI akta normām izrietošās saistība. Papildus tas radītu slogu valsts akreditācijas struktūrai, kurai saskaņā ar MI akta 29. pantu jāapliecina atbilstība MI akta 31. panta prasībām. Tādējādi pirmšķietami NKDL būtu jāpapildina ar attiecīgajām kiberdrošības prasībām, kas attiektos uz atbilstības novērtēšanas struktūrām. Aicinām attiecīgi papildināt skaidrojumu.
MI akta 31. panta 1. punktā noteikts, ka paziņoto struktūru jeb atbilstības novērtēšanas struktūru izveido saskaņā ar dalībvalsts normatīvajiem aktiem, kur 2. punktā tiek noteikts, ka, citstarp, tai ir jāatbilst noteiktajām kiberdrošības prasībām. Informatīvajā ziņojumā skaidrots: ”[..] Gadījumos, kad atbilstības novērtēšanas iestādes vienlaikus nav NKDL subjekti, citos normatīvajos aktos (piemēram, likumā “Par atbilstības novērtēšanu” un/vai ar to saistītajos normatīvajos aktos) var noteikt ievērot kiberdrošību regulējošo normatīvo aktu prasības, nenosakot šīs iestādes par NKDL subjektiem; vienlaikus pastāv arī citi pietiekami veidi, kā paziņotās struktūras varētu pierādīt pienācīgu kiberdrošības līmeni (piemēram, kiberdrošības auditoru izvērtējums, organizācijas sertifikācija (piemēram, ISO 27001)), nenosakot to NKDL, bet zemāka līmeņa normatīvajos aktos vai instrukcijās.” Vēršam uzmanību, ka saskaņā ar MI akta 31. panta 1. punktu paziņotā struktūra ir juridiska persona, kura saskaņā ar 31. panta 4. punktu un 6. punktu ir neatkarīga no tās atbilstības novērtēšanas subjekta.
Pirmkārt, attiecībā uz kiberdrošības prasību noteikšanu instrukcijās skaidrojam, ka saskaņā ar Administratīva procesa likuma 1. panta sesto daļu instrukcijas ir iekšējs normatīvais akts jeb tiesību akts, kuru publisko tiesību subjekts izdevis ar mērķi noteikt savas vai sev padotas institūcijas iekšējās darbības kārtību vai izskaidrot kāda ārējā normatīvā akta piemērošanas kārtību savā darbības jomā (instrukcija, ieteikumi, nolikums u.c.) (skat. arī Ministru kabineta noteikumu Nr. 108 189. punktu, kas noteic, ka iekšējā normatīvā akta projektā neietver normas, kas nosaka pienākumus privātpersonai vai citai personai (iestādei), kura nav padota iekšējā normatīvā akta izdevējam). Privātpersonām iekšējais normatīvais akts nav saistošs. Attiecīgi lūdzam precizēt informatīvo ziņojumu, augstākminēto ievērojot arī skatot informatīvā ziņojuma 9. punktu.
Otrkārt, vēršam uzmanību, ka, izveidojot sadrumstalotu tiesību aktu bāzi, proti, iekļaujot kiberdrošības prasības vairākos normatīvajos tiesību aktos vai pieļaujot vairākus veidus pienācīgā kiberdrošības līmeņa pierādīšanai, tas pirmšķietami būtu pretrunā tiesiskās noteiktības principam, kā arī pret dalībvalsts pienākumu izveidot efektīvu tiesību aktu bāzi, lai īstenotu no MI akta normām izrietošās saistība. Papildus tas radītu slogu valsts akreditācijas struktūrai, kurai saskaņā ar MI akta 29. pantu jāapliecina atbilstība MI akta 31. panta prasībām. Tādējādi pirmšķietami NKDL būtu jāpapildina ar attiecīgajām kiberdrošības prasībām, kas attiektos uz atbilstības novērtēšanas struktūrām. Aicinām attiecīgi papildināt skaidrojumu.
Piedāvātā redakcija
-
3.
Informatīvais ziņojums
Priekšlikums
Ministru kabineta sēdes rotokollēmuma projekta 2. punktā norādīts, ka nav nepieciešami valsts drošības iestāžu darbību reglamentējošo normatīvo aktu grozījumi, lai īstenotu MI aktu. Vēršam uzmanību, ka, lai gan regulas saskaņā ar Līguma par Eiropas Savienības darbību 288. pantu ir vispārpiemērojamas, uzliekot saistības kopumā, un ir tieši piemērojamas, to pilnīgai īstenošanai dalībvalstīm var tikt uzlikti pienākumi veikt īstenošanas pasākumus, piemēram, pieņemt papildu normatīvos aktus, izstrādāt administratīvo procedūru, noteikt atbildīgās iestādes u.tml. Proti, gandrīz vienmēr regulas ir nepieciešams ieviest nacionālajos tiesību aktos, izpildot regulās noteiktos pienākumus, uzdevumus dalībvalstīm, tādējādi nodrošinot regulu tiešas piemērošanas iespējamību dalībvalstīs.
Informatīvajā ziņojumā skaidrots, ka MI akta 13., 15., 31., 42., 55., 58., 66., 70. un 78. pantā noteiktas prasības nav nepieciešams pārņemt, grozot Nacionālās kiberdrošības likumu (turpmāk – NKDL) vai citus attiecīgos valsts drošības iestāžu darbību reglamentējošos normatīvos aktus. Tieslietu ministrija lūdz precizēt Aizsardzības ministrijas ietvertos skaidrojumus informatīvajā ziņojumā iepretim sekojošiem MI akta pantiem: 13., 15., 31., 70. un 78.
Informatīvajā ziņojumā skaidrots, ka MI akta 13. un 15. panta prasības nav nepieciešams noteikt NKLD, jo tās ir tieši piemērojamas, papildus norādot, ka: ”prasības un konkrētus rādītājus šo līmeņu izmērīšanai noteiks Eiropas Komisija (turpmāk – EK) savu darbības formātu (piemēram, darba grupu un komiteju) ietvaros, pieņemot un publicējot MI aktam piesaistītus īstenošanas aktus.” Vēršam uzmanību, ka MI akta 15. panta 2. punktā norādīts, ka Eiropas Komisija sadarbībā ar attiecīgajām ieinteresētajām personām un organizācijām:” [..] attiecīgā gadījumā veicina [..] metodiku izstrādi,” lai tehniski notiktu, kādā veidā izmērīt: “precizitātes un robustuma līmeņus un jebkādus citus attiecīgus veiktspējas rādītājus.” Proti, MI akta 15. panta 2. punkts nenosaka, ka Eiropas Komisija noteiks konkrētas prasības un rādītājus kibredrošības līmeņa noteikšanai caur īstenošanas aktiem. Papildus MI akta 41. pants atrunā, ka Eiropas Komisija var pieņemt īstenošanas aktus attiecībās uz MI akta 2. iedaļā norādītajām prasībām, ja Eiropas Komisija pieprasa vienai vai vairākām standartizācijas organizācijām izstrādāt saskaņota standarta projektu, utml. Ņemot vērā noradīto, attiecīgi lūdzam precizēt skaidrojumu par vienotas standartizācijas izstrādāšanu, papildus pamatojot, kāpēc NKLD vai citos normatīvajos aktos nevajadzētu atrunāt attiecīgu kiberdrošības līmeni, izstrādājot augsta riska MI sistēmas. It īpaši, ņemot vērā, ka atbilstības novērtēšanas struktūrai saskaņā ar MI akta 34. panta 1. punktu jāpārbauda augsta riska MI sistēmu atbilstību saskaņā ar MI akta 43. pantā noteiktajām atbilstības novērtēšanas procedūrām. Kā arī lūdzam skaidrot, vai kiberdrošības līmenis MI akta 15. panta 2. punkta iztulkojams kā veiktspējas rādītājs.
Informatīvajā ziņojumā skaidrots, ka MI akta 13., 15., 31., 42., 55., 58., 66., 70. un 78. pantā noteiktas prasības nav nepieciešams pārņemt, grozot Nacionālās kiberdrošības likumu (turpmāk – NKDL) vai citus attiecīgos valsts drošības iestāžu darbību reglamentējošos normatīvos aktus. Tieslietu ministrija lūdz precizēt Aizsardzības ministrijas ietvertos skaidrojumus informatīvajā ziņojumā iepretim sekojošiem MI akta pantiem: 13., 15., 31., 70. un 78.
Informatīvajā ziņojumā skaidrots, ka MI akta 13. un 15. panta prasības nav nepieciešams noteikt NKLD, jo tās ir tieši piemērojamas, papildus norādot, ka: ”prasības un konkrētus rādītājus šo līmeņu izmērīšanai noteiks Eiropas Komisija (turpmāk – EK) savu darbības formātu (piemēram, darba grupu un komiteju) ietvaros, pieņemot un publicējot MI aktam piesaistītus īstenošanas aktus.” Vēršam uzmanību, ka MI akta 15. panta 2. punktā norādīts, ka Eiropas Komisija sadarbībā ar attiecīgajām ieinteresētajām personām un organizācijām:” [..] attiecīgā gadījumā veicina [..] metodiku izstrādi,” lai tehniski notiktu, kādā veidā izmērīt: “precizitātes un robustuma līmeņus un jebkādus citus attiecīgus veiktspējas rādītājus.” Proti, MI akta 15. panta 2. punkts nenosaka, ka Eiropas Komisija noteiks konkrētas prasības un rādītājus kibredrošības līmeņa noteikšanai caur īstenošanas aktiem. Papildus MI akta 41. pants atrunā, ka Eiropas Komisija var pieņemt īstenošanas aktus attiecībās uz MI akta 2. iedaļā norādītajām prasībām, ja Eiropas Komisija pieprasa vienai vai vairākām standartizācijas organizācijām izstrādāt saskaņota standarta projektu, utml. Ņemot vērā noradīto, attiecīgi lūdzam precizēt skaidrojumu par vienotas standartizācijas izstrādāšanu, papildus pamatojot, kāpēc NKLD vai citos normatīvajos aktos nevajadzētu atrunāt attiecīgu kiberdrošības līmeni, izstrādājot augsta riska MI sistēmas. It īpaši, ņemot vērā, ka atbilstības novērtēšanas struktūrai saskaņā ar MI akta 34. panta 1. punktu jāpārbauda augsta riska MI sistēmu atbilstību saskaņā ar MI akta 43. pantā noteiktajām atbilstības novērtēšanas procedūrām. Kā arī lūdzam skaidrot, vai kiberdrošības līmenis MI akta 15. panta 2. punkta iztulkojams kā veiktspējas rādītājs.
Piedāvātā redakcija
-
4.
Informatīvais ziņojums
Priekšlikums
MI akta 70. panta 4. punktā norādīts, ka:” Valsts kompetentās iestādes veic atbilstošus pasākumus, lai nodrošinātu pienācīga līmeņa kiberdrošību”. Informatīvajā ziņojumā skaidrots, ka attiecīgās valsts iestādes ir NKLD subjekti, kurām piemērojamas pastiprināts kiberdrošības prasības. Lūdzam skaidrot, vai NKLD definē “pienācīga līmeņa kiberdrošību” MI akta izpratnē, kā arī, vai tas ietver norādes uz “atbilstošajiem pasākumiem”, kas būtu jāveic šādiem subjektiem, lai nodrošināto attiecīgo līmeni.
Piedāvātā redakcija
-
5.
MK sēdes protokollēmuma projekts
Priekšlikums
Saskaņā ar juridiskās tehnikas prasībām visus lietotos saīsinājumus, rakstot pirmo reizi, atšifrē, iekavās norādot to turpmāko lietojumu. Ievērojot minēto, lūdzam Ministru kabineta sēdes protokollēmuma projekta 2. punktā atšifrēt “MIDD” saīsinājumu un protokollēmuma projekta 3. punktā atšifrēt “MI akta” saīsinājumu, izsakot pilnu atsauci uz attiecīgo regulu. Aicinām atsauci uz regulu noformēt atbilstoši Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 „Normatīvo aktu projektu sagatavošanas noteikumi” 170.-172. punktam, atsaucē norādot šādu informāciju: institūcija (Komisija, Padome, Eiropas Parlaments), kas izdevusi attiecīgo tiesību aktu; tiesību akta pieņemšanas datums; veids (regula, direktīva, lēmums); numurs un nosaukums atbilstoši tiesību akta nosaukumam latviešu valodā EUR-Lex datu bāzē. Piemēram, Eiropas Parlamenta un Padomes 2024. gada 13. jūnija Regula (ES) 2024/1689, ar ko nosaka saskaņotas normas mākslīgā intelekta jomā un groza Regulas (EK) Nr. 300/2008, (ES) Nr. 167/2013, (ES) Nr. 168/2013, (ES) 2018/858, (ES) 2018/1139 un (ES) 2019/2144 un Direktīvas 2014/90/ES, (ES) 2016/797 un (ES) 2020/1828 (turpmāk - MI akts). Lūdzam attiecīgi precizēt arī informatīvajā ziņojumā iekļauto atsauci uz regulu.
Piedāvātā redakcija
-