Atzinums

1) Vēršam uzmanību, ka noteikumu projektam ir liela ietekme uz Būvniecības valsts kontroles biroja (turpmāk - Birojs) struktūru un budžetu.
2) Noteikumu projektam būs ietekme uz turpmākajiem Biroja iepirkumiem, kas skar Būvniecības informācijas sistēmu (BIS), Vienoto elektroniskās darba laika uzskaites datubāzi (VEDLUDB), Energoresursu informācijas sistēmu (ERIS), iespējams, arī citas informācijas sistēmas (IS).
3) Noteikumos noteikto pienākumu realizēšanai ir noteikts pārāk īss pārejas periods, it īpaši ņemot vērā to, ka šobrīd Birojā nav darbinieku ar prasīto kompetenci, kā arī ievērojot veicamo darbību apjomu. Savukārt esošais drošības pārvaldnieks nodrošina savu funkciju izpildi iespēju robežās.
4) Iepazīstoties ar noteikumu projektu, rodas iespaids, ka mēģināts tajā iekļaut visas iespējamās prasības, vienlaikus pieteikami neizvērtējot tā realizēšanai nepieciešamās izmaksas un procesus.
5) Iepriekšējos Ministru kabineta noteikumos Nr.442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" bija tāda persona kā drošības pārvaldnieks, kura arī nodrošināja noteikumos minēto prasību izpildi, tai skatā dokumentācijas izstrādi, uzturēšanu, pārskatīšanu, utt. Savukārt šobrīd projekts vairāk nosaka tādu subjektu kā kiberdrosības pārvaldnieks, kurš, secinot no noteikumu projekta, nav iepriekšējā regulējuma drošības pārvaldnieks, vienalaikus par to projektā nekas nav minēts, vispārīgi nosakot, ka subjekts nosaka atbildīgo personu, tomēr norādot, ka tam jāatbilst tām pašam prasībām kā kiberdrosības pārvaldniekam. Līdz ar to nav saprotams, kāpēc skaidrības labā nenoteikt, ka šī atbildīga persona ir drošības pārvaldnieks, norādot tā pienākumus.
6) Anotācijā norādītais spēkā stāšanas termiņš (17.10.2024.) nesakrīt ar noteikumu projektā norādīto (01.03.2025.) un termins "auditācijas pieraksti" nav nomainīts uz "žurnalfaili" atbilstoši noteikumu projektā minētajam.
7) Noteikumu projekta 38.punktā norādīts "mājaslapā internetā", bet pareizāk būtu  "mājaslapā" vai "tīmekļvietnē".

-

Tā kā šobrīd BIS ir B klases IS, tad šo prasību nevaram izpildīt pilnā apmērā no Biroja neatkarīgu apsvērumu dēļ, jo BIS lieto ārzemnieki un tie nevar izmantot latvija.lv daudzfaktoru autentifikāciju, bet tikai lietotājvārdu un paroli. Līdz ar to, vai nu jāparedz izņēmumi noteikumu projektā, vai nu jārāda cita iespēja kā nodrošināt šo prasību izpildi no ārzemnieku puses. Noteikti BIS nav vienīga sistēma, kura sastapsies ar šādu situāciju. Turklāt jauna risinājuma izstrāde un realizēšana noteikti prasīs papildu finansējumu.

-

No noteikumu projekta nav saprotams ar ko kiberdrošības audits atšķiras no atbilstības audita un vai kiberdrosības audits ir tas pats drošības audits. Atbilstoši noteikumu projektam kiberdrošības auditoru sarakstu uztur Digitālās drošības uzraudzības komiteja, vai abus sadaļā "Kiberdrošības audits" minētos auditus var veikt viens un tas pats auditors, vai tos var veikt vienlaicīgi, vai tiem auditoriem ir arī atšķirīgas prasības? Vai šo auditu paredzēts pasūtīt EIS?

-

Tehniskā nepilnība, aiz atsauces uz 8.punktu nav vārds "punkts".
 

9. Ja būtisko vai svarīgo pakalpojumu sniedzējs vienlaikus ir arī IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, tas šo noteikumu 8.punktā minēto statusa paziņojumu iesniedz arī Satversmes aizsardzības birojam.

Lūgums izvērtēt vai arī kiberdrošības pārvaldnieka lomu Birojam pildīs Ekonomikas ministrijas nodarbinātais un vai šo prasību varēs izpildīt, ņemot vērā, punktā noteikto prasību.

-

Minētā prasība tieši ietekmes budžetu, jo izpildot šo prasību infrastruktūras uzturēšanas izmaksas dubultosies.

-

Ievērojot punkta noteikto un arī citos līdzīgos punktos noteikto, secināms, ka atbilstoši noteikumu projektam ir jābūt drošības pārvaldniekam (pēc iepriekšējo noteikumu redakcijas), kurš arī varētu izstrādāt punkta minēto dokumentāciju un citu noteikuma projekta minēto dokumentāciju, kura saistīta ar sistēmu drošu darbību, kā arī jauns amats kibedrosšibas pārvaldnieks, kurš pēc būtības pilda iekšēja kiberdrosības uzrauga funkcijas. Attiecīgi šādai prasībai būs tieša ietekme uz budžetu. Kā arī kā plānots šo realizēt, valsts iestādēs paredzot štata vietas vai resora ietvaros nodrošinot vienu atbildīgo personu?

 

-

Punkta beigās trūkst atsauces uz 3.pielikumu.

49. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs šo noteikumu 45. punktā minētās personas nosaka uz termiņu līdz 3 gadiem. Ne vēlāk kā  3 mēnešus pirms noteiktā termiņa beigām, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs paziņo Satversmes aizsardzības birojam, nosūtot uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu veidlapu par kiberdrošību atbildīgajām personām (3.pielikums).

Vēršam uzmanību, ka apakšpunktam ir tiešā ietekme uz budžetu. Pēc savas būtības datu atlase ir arī meklēšana un datu pārlūkošana. Lai tādā līmenī kontrolētu visus sistēmas lietotājus, būs nepieciešams būtiski palielināt IS spējas apstrādāt datus (būs nepieciešama papildus izstrāde) un tehniskos resursus.

-

Šobrīd šis process BIS nav automatizēts, attiecīgi ierakstu izgūšanai jāvēršas pie sistēmas izstrādātāja/uzturētāja. Savukārt, ja noteikumu projekts ar šo punktu paredz, ka šīs prasības nodrošināšanai nepieciešama neatkarīga piekļuve (neiesaistot izstrādātāju, bet paredzot kā sistēmā iestrādātu funkcionalitāti), tad būs jāpasūta papildus izstrāde, ka attiecīgi ietekmes budžetu, jo prasīs papildu finansējumu.

-

No noteikumu projekta nav saprotams vai šī persona pēc būtības var būt tas pats drošības pārvaldnieks, kurš izstrādā pārvaldības plānu un citus dokumentus (viena persona), vai tomēr tas ir atsevišķs amats (cita persona). Nākamajā punktā ir atrunāts tikai, ka minētajā punktā norādīta persona nevar būt kiberdrošības pārvaldnieks.

-

Vai šīs apmācības ir tās, kuras Birojam šobrīd nodrošina Ekonomikas ministrija? Šobrīd ministrija nodrošina apmācības IT drošībā, bet būtiski saprast, vai punktā nav domātas cita veida un satura apmācības.

-

No punkta nav saprotams par kādu pakalpojumu iet runa - par uzturēšanu, pilnveidošanu, izstrādi, drošības testēšanu, utt.?

-

Vai punktā minētais audits ir drošības audits jeb drošības pārbaude, kuru iepriekš varēja pasūtīt elektronisko iepirkumu sistēmā (EIS), vai arī tas ir cits audits? Kāds process būs minētajām auditam, vai būs jāslēdz līgums un tas tiks nodrošināts EIS, vai arī cita kārtība?

-

Vai norma paredz, ka minēto auditu veic no Digitālās drošības uzraudzības komiteja auditoru saraksta izvēlētā persona, kuras atbilstība jāsaskaņo arī ar Satversmes aizsardzības biroju vai arī tas var būt auditors, kurš nav iekļauts Digitālās drošības uzraudzības komitejas auditoru sarakstā, bet tas jāsaskaņo ar Satversmes aizsardzības biroju?

-

Vai būs iespējams šo realizēt līdz norādītajam termiņam, ņemot vērā, ka sistēmu novērtējums (pēc drošības klases) pēdējo reizi veikts 2020.gadā, attiecīgi šī punkta realizācija sākotnēji jāveic sistēmu pārkvalifikācija. Vai nav nepieciešams ilgāks iesniegšanas periods? Vai šo pašvērtējumu pilda drošības pārvaldnieks vai kāda cita iestāde svadītāja norīkota persona?

-

ņemot vērā veicamo darbu apjomu, nepieciešams noteikt garāku termiņu pārejas periodam.

-