Projekta ID
24-TA-1718Atzinuma sniedzējs
Latvijas Darba devēju konfederācija
Atzinums iesniegts
12.08.2024.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
1. Noteikumi nosaka prasības kiberincidentu novēršanas institūcijām (turpmāk – Institūcijas), kuras savus uzdevumus Latvijas Republikā veic atbilstoši Nacionālās kiberdrošības likumā noteiktajam.
Iebildums
Latvijas Darba devēju konfederācija (turpmāk – LDDK) ir izskatījusi Aizsardzības ministrijas sagatavoto noteikumu projektu “Prasības kiberincidentu novēršanas institūcijām” (24-TA-1718), (turpmāk – Noteikumu projekts) un sākotnējās ietekmes novērtējuma ziņojumu (turpmāk – Anotācija), un sniedz šādus iebildumus:
LDDK iebilst pret minimālo informācijas un komunikācijas tehnoloģiju sistēmu drošības prasību neesamību drošības iestādei, kas ir kiberincidentu novēršanas institūcija.
Pamatojums
Skaidrojam, ka saskaņā ar Nacionālās kiberdrošības likumu, Kiberincidentu novēršanas institūciju (turpmāk – Institūcijas) uzdevumus veic Militārās izlūkošanas un drošības dienests un Latvijas Universitātes Matemātikas un informātikas institūts. Noteikumu projekta anotācijā minēts, ka “pašlaik Kiberincidentu novēršanas institūcijām ir jāievēro prasības, kas noteiktas 2015. gada 28. jūlija Ministru kabineta noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām"”. Savukārt 03.07.2024. publiskajā apspriešanā izsludinātajā Ministru kabineta noteikumu projektā “Noteikumi par minimālajām kiberdrošības prasībām” (22-TA-3183) paredzēts, ka līdz ar šo noteikumu spēkā stāšanos spēku zaudēs 2015. gada 28. jūlija Ministru kabineta noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", kuru prasības tiks iestrādātas Ministru kabineta noteikumos “Noteikumi par minimālajām kiberdrošības prasībām”.
Paredzēts, ka augstāk minētie noteikumi attieksies uz Nacionālās kiberdrošības likuma subjektiem, kuri saskaņā ar šī likuma 3.panta pirmo daļu ir:
1) būtisko pakalpojumu sniedzēji, svarīgo pakalpojumu sniedzēji un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji;
2) tiešās un pastarpinātās pārvaldes iestādes, atvasinātas publiskās personas un citas valsts institūcijas, kā arī privāto tiesību juridiskās personas, kas pilda valsts pārvaldes deleģētu uzdevumu, izņemot valsts drošības iestādes;
3) privāto tiesību juridiskās personas.
Saskaņā ar Nacionālās kiberdrošības likumu uz Militārās izlūkošanas un drošības dienestu, kurš ir valsts drošības iestāde saskaņā ar Valsts drošības iestāžu likuma 11.panta pirmās daļas otro punktu un tādejādi saskaņā ar Nacionālās kiberdrošības pirmās daļas otro punktu nav likuma subjekts, līdz ar Ministru kabineta noteikumu Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" spēkā zaudēšanu vairs nebūs attiecināmas minimālās informācijas un komunikācijas tehnoloģiju sistēmu drošības prasības. Nav pieļaujams, ka Institūcijai, kas veic uzraudzību kiberincidentu novēršanas jomā, nav jāievēro pat minimālas informācijas un komunikāciju tehnoloģiju sistēmu drošības prasības, kas vienlaikus būs jāievēro otrai likumā noteiktajai Institūcijai, jo tā ir likuma subjekts (būtiskais pakalpojuma sniedzējs) un uz to attieksies minimālās kiberdrošības prasības.
LDDK iebilst pret minimālo informācijas un komunikācijas tehnoloģiju sistēmu drošības prasību neesamību drošības iestādei, kas ir kiberincidentu novēršanas institūcija.
Pamatojums
Skaidrojam, ka saskaņā ar Nacionālās kiberdrošības likumu, Kiberincidentu novēršanas institūciju (turpmāk – Institūcijas) uzdevumus veic Militārās izlūkošanas un drošības dienests un Latvijas Universitātes Matemātikas un informātikas institūts. Noteikumu projekta anotācijā minēts, ka “pašlaik Kiberincidentu novēršanas institūcijām ir jāievēro prasības, kas noteiktas 2015. gada 28. jūlija Ministru kabineta noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām"”. Savukārt 03.07.2024. publiskajā apspriešanā izsludinātajā Ministru kabineta noteikumu projektā “Noteikumi par minimālajām kiberdrošības prasībām” (22-TA-3183) paredzēts, ka līdz ar šo noteikumu spēkā stāšanos spēku zaudēs 2015. gada 28. jūlija Ministru kabineta noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", kuru prasības tiks iestrādātas Ministru kabineta noteikumos “Noteikumi par minimālajām kiberdrošības prasībām”.
Paredzēts, ka augstāk minētie noteikumi attieksies uz Nacionālās kiberdrošības likuma subjektiem, kuri saskaņā ar šī likuma 3.panta pirmo daļu ir:
1) būtisko pakalpojumu sniedzēji, svarīgo pakalpojumu sniedzēji un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji;
2) tiešās un pastarpinātās pārvaldes iestādes, atvasinātas publiskās personas un citas valsts institūcijas, kā arī privāto tiesību juridiskās personas, kas pilda valsts pārvaldes deleģētu uzdevumu, izņemot valsts drošības iestādes;
3) privāto tiesību juridiskās personas.
Saskaņā ar Nacionālās kiberdrošības likumu uz Militārās izlūkošanas un drošības dienestu, kurš ir valsts drošības iestāde saskaņā ar Valsts drošības iestāžu likuma 11.panta pirmās daļas otro punktu un tādejādi saskaņā ar Nacionālās kiberdrošības pirmās daļas otro punktu nav likuma subjekts, līdz ar Ministru kabineta noteikumu Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" spēkā zaudēšanu vairs nebūs attiecināmas minimālās informācijas un komunikācijas tehnoloģiju sistēmu drošības prasības. Nav pieļaujams, ka Institūcijai, kas veic uzraudzību kiberincidentu novēršanas jomā, nav jāievēro pat minimālas informācijas un komunikāciju tehnoloģiju sistēmu drošības prasības, kas vienlaikus būs jāievēro otrai likumā noteiktajai Institūcijai, jo tā ir likuma subjekts (būtiskais pakalpojuma sniedzējs) un uz to attieksies minimālās kiberdrošības prasības.
Piedāvātā redakcija
-
2.
Noteikumu projekts
2. Institūcijas atbilst šādām prasībām:
Iebildums
LDDK iebilst Noteikumu projekta "Prasības kiberincidentu novēršanas institūcijām" 2.punkta piedāvātajai redakcijai un aicina to papildināt.
Pamatojums
Skaidrojam, ka Nacionālās Kiberdrošības likuma 37. pants nosaka, ka kompetentās kiberincidentu novēršanas institūcijas uztur ierobežojamo interneta resursu sarakstu, bet noteikumu projekta 2.punktā nav iekļauta ne šāda prasība, ne arī noteikts kādā formātā tiek uzturēts ierobežojamo interneta resursu saraksts.
Aicinām noteikumu projektu papildināt ar atbilstošiem 2.punkta apakšpunktiem:
2.10. nodrošina ierobežojamo interneta resursu saraksta uzturēšanu atbilstoši DNS (Domain Name System) servisa RPZ (Response policy zone) tehnoloģijai;
2.11. mēģinājuma gadījumā piekļūt ierobežotam interneta resursam, nodrošina interneta lietotājam informācijas sniegšanu par mēģinājumu piekļūt ierobežotam resursam.
Pamatojums
Skaidrojam, ka Nacionālās Kiberdrošības likuma 37. pants nosaka, ka kompetentās kiberincidentu novēršanas institūcijas uztur ierobežojamo interneta resursu sarakstu, bet noteikumu projekta 2.punktā nav iekļauta ne šāda prasība, ne arī noteikts kādā formātā tiek uzturēts ierobežojamo interneta resursu saraksts.
Aicinām noteikumu projektu papildināt ar atbilstošiem 2.punkta apakšpunktiem:
2.10. nodrošina ierobežojamo interneta resursu saraksta uzturēšanu atbilstoši DNS (Domain Name System) servisa RPZ (Response policy zone) tehnoloģijai;
2.11. mēģinājuma gadījumā piekļūt ierobežotam interneta resursam, nodrošina interneta lietotājam informācijas sniegšanu par mēģinājumu piekļūt ierobežotam resursam.
Piedāvātā redakcija
2.10. nodrošina ierobežojamo interneta resursu saraksta uzturēšanu atbilstoši DNS (Domain Name System) servisa RPZ (Response policy zone) tehnoloģijai;
2.11. mēģinājuma gadījumā piekļūt ierobežotam interneta resursam, nodrošina interneta lietotājam informācijas sniegšanu par mēģinājumu piekļūt ierobežotam resursam.
2.11. mēģinājuma gadījumā piekļūt ierobežotam interneta resursam, nodrošina interneta lietotājam informācijas sniegšanu par mēģinājumu piekļūt ierobežotam resursam.
3.
Noteikumu projekts
2.1. tās nodrošina savu saziņas kanālu (e-pasts, telefons un citi atbilstoši saziņas kanāli) augstu pieejamības līmeni, izvairoties no situācijām, kad viena kļūme izraisa visu saziņas kanālu darbības pārtraukumu, un tām ir vairāki saziņas kanāli, kas jebkurā laikā ļauj ar tām sazināties un nodrošina saziņu ar citiem. Informācija par Institūciju saziņas kanāliem ir, vai nu publiski pieejama, vai pieejama tām institūcijām un privāto tiesību juridiskajām personām, attiecībā uz kurām Institūcijas veic savus uzdevumus;
Iebildums
LDDK iebilst pret noteikumu projekta 2.1. apakšpunktā lietoto terminoloģiju.
Pamatojums
Noteikumu projekta 2.1. apakšpunkts paredz, ka “(..) Informācija par Institūciju saziņas kanāliem ir, vai nu publiski pieejama, vai pieejama tām institūcijām un privāto tiesību juridiskajām personām, attiecībā uz kurām Institūcijas veic savus uzdevumus;”.
Saskaņā ar Nacionālās kiberdrošības likuma 9.panta pirmo daļu “Kiberincidentu novēršanas institūcijas ir institūcijas, kas sniedz valsts un pašvaldību institūcijām atbalstu kiberdrošības jomā, uztur un aktualizē informāciju par kiberapdraudējumiem un sniedz fiziskajām un juridiskajām personām atbalstu kiberincidentu novēršanā”.
Lūdzam precizēt personu loku (salāgot izmantoto terminoloģiju), kurām pieejami saziņas kanāli, atbilstoši likumā paredzētajam.
Pamatojums
Noteikumu projekta 2.1. apakšpunkts paredz, ka “(..) Informācija par Institūciju saziņas kanāliem ir, vai nu publiski pieejama, vai pieejama tām institūcijām un privāto tiesību juridiskajām personām, attiecībā uz kurām Institūcijas veic savus uzdevumus;”.
Saskaņā ar Nacionālās kiberdrošības likuma 9.panta pirmo daļu “Kiberincidentu novēršanas institūcijas ir institūcijas, kas sniedz valsts un pašvaldību institūcijām atbalstu kiberdrošības jomā, uztur un aktualizē informāciju par kiberapdraudējumiem un sniedz fiziskajām un juridiskajām personām atbalstu kiberincidentu novēršanā”.
Lūdzam precizēt personu loku (salāgot izmantoto terminoloģiju), kurām pieejami saziņas kanāli, atbilstoši likumā paredzētajam.
Piedāvātā redakcija
-
4.
Noteikumu projekts
2.3. informācijas sistēmas tās izvieto telpās, kurās tiek uzturēta optimāla temperatūra un mitruma līmenis, ar dublētiem elektroenerģijas un interneta pieslēgumiem.
Iebildums
LDDK iebilst pret noteikumu projekta 2.3.apakšpunktā ietverto neskaidro formulējumu par prasībām telpām, kurās izvieto informācijas sistēmas.
Pamatojums
Skaidrojam, ka noteikumu projekta 2.3.apakšpunktā minēts, ka Institūcijas “informācijas sistēmas tās izvieto telpās, kurās tiek uzturēta optimāla temperatūra un mitruma līmenis, ar dublētiem elektroenerģijas un interneta pieslēgumiem”.
Lūdzam skaidrot vai precizēt, kas tiek saprasts ar (telpu) optimālu temperatūru un mitruma līmeni, ņemot vērā, ka, piemēram, Ministru kabineta noteikumu projektā “Noteikumi par minimālajām kiberdrošības prasībām” (22-TA-3183) paredzēta precīza telpu temperatūras pieļaujamā amplitūda, precīza telpu ventilāciju un gaisa mitruma līmeņa amplitūda.
Lūdzam arī skaidrot, kura normatīvā akta prasības par telpu temperatūru un mitruma līmeni būs jāpiemēro Institūcijai, uz kuru attieksies arī Ministru kabineta noteikumi “Noteikumi par minimālajām kiberdrošības prasībām”.
Pamatojums
Skaidrojam, ka noteikumu projekta 2.3.apakšpunktā minēts, ka Institūcijas “informācijas sistēmas tās izvieto telpās, kurās tiek uzturēta optimāla temperatūra un mitruma līmenis, ar dublētiem elektroenerģijas un interneta pieslēgumiem”.
Lūdzam skaidrot vai precizēt, kas tiek saprasts ar (telpu) optimālu temperatūru un mitruma līmeni, ņemot vērā, ka, piemēram, Ministru kabineta noteikumu projektā “Noteikumi par minimālajām kiberdrošības prasībām” (22-TA-3183) paredzēta precīza telpu temperatūras pieļaujamā amplitūda, precīza telpu ventilāciju un gaisa mitruma līmeņa amplitūda.
Lūdzam arī skaidrot, kura normatīvā akta prasības par telpu temperatūru un mitruma līmeni būs jāpiemēro Institūcijai, uz kuru attieksies arī Ministru kabineta noteikumi “Noteikumi par minimālajām kiberdrošības prasībām”.
Piedāvātā redakcija
-
5.
Noteikumu projekts
2.6. tās nodrošina, ka tām ir pietiekams atbilstoši apmācītu darbinieku skaits, lai nepieciešamības gadījumā nodrošinātu savu pakalpojumu nepārtrauktu pieejamību;
Iebildums
LDDK iebilst pret noteikumu projekta 2.6.apakšpunktā ietverto neskaidro formulējumu par institūciju sniegtajiem pakalpojumiem.
Pamatojums
Noteikumu projekta 2.6.apakšpunktā noteikts, ka institūcijas “nodrošina, ka tām ir pietiekams atbilstoši apmācītu darbinieku skaits, lai nepieciešamības gadījumā nodrošinātu savu pakalpojumu nepārtrauktu pieejamību;”.
Lūdzam precizēt vai skaidrot, kas ir tie pakalpojumi, ko Institūcijām paredzēts nodrošināt, ja Nacionālais kiberdrošības likums neparedz Institūcijām pakalpojumu sniegšanu, bet gan veikt uzraudzības darbības.
Pamatojums
Noteikumu projekta 2.6.apakšpunktā noteikts, ka institūcijas “nodrošina, ka tām ir pietiekams atbilstoši apmācītu darbinieku skaits, lai nepieciešamības gadījumā nodrošinātu savu pakalpojumu nepārtrauktu pieejamību;”.
Lūdzam precizēt vai skaidrot, kas ir tie pakalpojumi, ko Institūcijām paredzēts nodrošināt, ja Nacionālais kiberdrošības likums neparedz Institūcijām pakalpojumu sniegšanu, bet gan veikt uzraudzības darbības.
Piedāvātā redakcija
-