Projekta ID
22-TA-3470Atzinuma sniedzējs
Satversmes aizsardzības birojs
Atzinums iesniegts
11.01.2023.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Informatīvais ziņojums
Iebildums
1) precizēt Projekta tekstā Nacionālā kiberdrošības centra
(turpmāk - NKDC) kompetenci, uzdevumus, tiesības un
pienākumus, saskaņojot tos ar likumprojektā “Nacionālās
kiberdrošības likums” ietverto regulējumu. Lai arī Projekts ir
precizēts, tas joprojām rada maldīgu priekšstatu, ka, piemēram,
NKDC uzraudzīs visus Eiropas Parlamenta un Padomes 2016. gada
6. jūlija Direktīvas Nr. 2016/1148 par pasākumiem nolūkā panākt
vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā
Savienībā (turpmāk – NIS2 direktīva) subjektus, lai gan saskaņā ar
iepriekšminēto likumprojektu, tos NIS2 direktīvas subjektus, kuri
vienlaikus ir arī informācijas un komunikācijas tehnoloģiju kritiskās
infrastruktūras īpašnieki vai tiesiskie valdītāji, uzrauga SAB.
Alternatīvs piedāvājums ir neiekļaut Projektā tik detalizētu
informāciju par NKDC, tādējādi izvairoties no pretrunām starp
Projektu un likumprojektu “Nacionālās kiberdrošības likums”, īpaši
ņemot vērā, ka arī iepriekšminētais likumprojekts atrodas
saskaņošanas procesā un par to ir saņemta virkne iebildumu, tai
skaitā, par NKDC;
2) precizēt Projektā lietotā saīsinājuma MilCERT atšifrējumu, jo
Latvijā neeksistē Militāro informācijas tehnoloģiju drošības dienests;
3) precizēt Projekta nodaļas “Vīzija, prioritātes un pamatprincipi”
definētās politikas prioritātes “Attīstība” skaidrojumu. Pirmkārt,
vārda “ieviest” izmantošana šīs politikas prioritātes skaidrojumā rada maldīgu priekšstatu, ka līdzšinējo Latvijas kiberdrošības
stratēģiju pārskata periodos (2014.-2018., 2019.-2022.) plānotā
attīstība nav notikusi. Otrkārt, SAB kā informācijas tehnoloģiju
kritisko infrastruktūru uzraugošajai valsts drošības iestādei nav
skaidrs, kas Projektā tiek saprasts ar prioritātes skaidrojumā lietoto
terminu “kritiskās infrastruktūras aizsardzības sistēma”;
4) papildināt Projekta 2. rīcības virzienu “Kiberdrošības
veicināšana un izturētspējas stiprināšana” ar jaunu uzdevumu šādā
redakcijā: “Izstrādāt un pastāvīgi uzturēt Eiroparlamenta, Saeimas
un pašvaldību vēlēšanu IKT sistēmas”, vienlaikus papildinot
2. rīcības virziena tekstu ar rindkopu šādā redakcijā: “Brīvas un
godīgas vēlēšanas ir viens no būtiskākajiem demokrātiskas valsts
elementiem. Līdzīgi kā citās jomās, IKT tiek izmantotas arī vēlēšanu
un to rezultātu apkopošanas procesā, līdz ar to IKT sistēmu, kuras
tiek izmantotas Eiroparlamenta, Saeimas un pašvaldību vēlēšanās,
drošībai ir jāpievērš pastiprināta uzmanība, lai vēlēšanu godīgums
netiktu apstrīdēts. Lai nodrošinātu, ka vēlēšanās izmantotās IKT
sistēmas ir drošas, nepieciešams nodrošināt, ka to izstrādei un
pilnveidošanai, kā arī uzturēšanai nepieciešamais finansējums ir
pieejams katru gadu, nevis tikai vēlēšanu norises gadā. Šāda pieeja
sniegtu iespēju konsekventi un pārdomāti attīstīt vēlēšanu IKT
sistēmas, sniedzot iespēju kompetentajām iestādēm savlaicīgi
pārliecināties par to drošību. Palielinoties IKT nozīmei un
izmantošanai vēlēšanās, ir jāstiprina Centrālās vēlēšanu komisijas
IKT kapacitāte.”;
5) precizēt Projekta 2. rīcības virzienā “Kiberdrošības veicināšana
un izturētspējas stiprināšana” rindkopu, kas veltīta klasificētas
informācijas drošai apritei starp valsts iestādēm (23. lpp.). Šobrīd
nekļūst skaidrs, vai ar klasificētu informāciju šajā rindkopā tiek
saprasta informācija dienesta vajadzībām Informācijas atklātības
likuma izpratnē, vai arī ar to būtu jāsaprot informācija, kas ir valsts
noslēpums un ir klasificēta saskaņā ar Ministru kabineta 2004. gada
26. oktobra noteikumiem Nr. 887 “Valsts noslēpuma objektu
saraksts”.
(turpmāk - NKDC) kompetenci, uzdevumus, tiesības un
pienākumus, saskaņojot tos ar likumprojektā “Nacionālās
kiberdrošības likums” ietverto regulējumu. Lai arī Projekts ir
precizēts, tas joprojām rada maldīgu priekšstatu, ka, piemēram,
NKDC uzraudzīs visus Eiropas Parlamenta un Padomes 2016. gada
6. jūlija Direktīvas Nr. 2016/1148 par pasākumiem nolūkā panākt
vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā
Savienībā (turpmāk – NIS2 direktīva) subjektus, lai gan saskaņā ar
iepriekšminēto likumprojektu, tos NIS2 direktīvas subjektus, kuri
vienlaikus ir arī informācijas un komunikācijas tehnoloģiju kritiskās
infrastruktūras īpašnieki vai tiesiskie valdītāji, uzrauga SAB.
Alternatīvs piedāvājums ir neiekļaut Projektā tik detalizētu
informāciju par NKDC, tādējādi izvairoties no pretrunām starp
Projektu un likumprojektu “Nacionālās kiberdrošības likums”, īpaši
ņemot vērā, ka arī iepriekšminētais likumprojekts atrodas
saskaņošanas procesā un par to ir saņemta virkne iebildumu, tai
skaitā, par NKDC;
2) precizēt Projektā lietotā saīsinājuma MilCERT atšifrējumu, jo
Latvijā neeksistē Militāro informācijas tehnoloģiju drošības dienests;
3) precizēt Projekta nodaļas “Vīzija, prioritātes un pamatprincipi”
definētās politikas prioritātes “Attīstība” skaidrojumu. Pirmkārt,
vārda “ieviest” izmantošana šīs politikas prioritātes skaidrojumā rada maldīgu priekšstatu, ka līdzšinējo Latvijas kiberdrošības
stratēģiju pārskata periodos (2014.-2018., 2019.-2022.) plānotā
attīstība nav notikusi. Otrkārt, SAB kā informācijas tehnoloģiju
kritisko infrastruktūru uzraugošajai valsts drošības iestādei nav
skaidrs, kas Projektā tiek saprasts ar prioritātes skaidrojumā lietoto
terminu “kritiskās infrastruktūras aizsardzības sistēma”;
4) papildināt Projekta 2. rīcības virzienu “Kiberdrošības
veicināšana un izturētspējas stiprināšana” ar jaunu uzdevumu šādā
redakcijā: “Izstrādāt un pastāvīgi uzturēt Eiroparlamenta, Saeimas
un pašvaldību vēlēšanu IKT sistēmas”, vienlaikus papildinot
2. rīcības virziena tekstu ar rindkopu šādā redakcijā: “Brīvas un
godīgas vēlēšanas ir viens no būtiskākajiem demokrātiskas valsts
elementiem. Līdzīgi kā citās jomās, IKT tiek izmantotas arī vēlēšanu
un to rezultātu apkopošanas procesā, līdz ar to IKT sistēmu, kuras
tiek izmantotas Eiroparlamenta, Saeimas un pašvaldību vēlēšanās,
drošībai ir jāpievērš pastiprināta uzmanība, lai vēlēšanu godīgums
netiktu apstrīdēts. Lai nodrošinātu, ka vēlēšanās izmantotās IKT
sistēmas ir drošas, nepieciešams nodrošināt, ka to izstrādei un
pilnveidošanai, kā arī uzturēšanai nepieciešamais finansējums ir
pieejams katru gadu, nevis tikai vēlēšanu norises gadā. Šāda pieeja
sniegtu iespēju konsekventi un pārdomāti attīstīt vēlēšanu IKT
sistēmas, sniedzot iespēju kompetentajām iestādēm savlaicīgi
pārliecināties par to drošību. Palielinoties IKT nozīmei un
izmantošanai vēlēšanās, ir jāstiprina Centrālās vēlēšanu komisijas
IKT kapacitāte.”;
5) precizēt Projekta 2. rīcības virzienā “Kiberdrošības veicināšana
un izturētspējas stiprināšana” rindkopu, kas veltīta klasificētas
informācijas drošai apritei starp valsts iestādēm (23. lpp.). Šobrīd
nekļūst skaidrs, vai ar klasificētu informāciju šajā rindkopā tiek
saprasta informācija dienesta vajadzībām Informācijas atklātības
likuma izpratnē, vai arī ar to būtu jāsaprot informācija, kas ir valsts
noslēpums un ir klasificēta saskaņā ar Ministru kabineta 2004. gada
26. oktobra noteikumiem Nr. 887 “Valsts noslēpuma objektu
saraksts”.
Piedāvātā redakcija
-
2.
Informatīvais ziņojums
Priekšlikums
1) precizēt Ministru kabineta sēdes protokollēmuma projektā
Projekta nosaukumu;
2) Lietot Projekta tekstā vienotu Nacionālā koordinācijas centra
saīsinājumu, to iekļaujot arī Projektā lietoto saīsinājumu sarakstā.
Šobrīd Projekta 12. lpp ir lietots saīsinājums NKC, savukārt 27. lpp
– NCC-LV;
3) precizēt Projekta Kopsavilkumā un nodaļā “Vīzija, prioritātes
un pamatprincipi” kiberdrošības politikas vīzijas formulējumu,
aizstājot vārdu “būtisku” ar vārdu “nozīmīgu”, lai izvairītos no
interpretācijas, ka vīzijas formulējumā ar vārdiem “būtisku
pakalpojumu” tiek saprasti tikai NIS2 direktīvā un likumprojektā
“Nacionālās kiberdrošības likums” minētie būtisko pakalpojumu
sniedzēji konkrētajās saimnieciskās darbības jomās;
4) iekļaut Projektā atbildīgās institūcijas un tām paredzētos
uzdevumus un veicamos pasākumus, vai precizēt Ministru kabineta
sēdes protokollēmuma projekta 5. punktu, Projekta Kopsavilkuma
pēdējo rindkopu un nodaļas “Finansiālās ietekmes novērtējums”
pirmo rindkopu;
5) precizēt Projektā lietotā saīsinājuma CERT.LV atšifrējumu,
saskaņojot to ar likumprojektā “Nacionālās kiberdrošības likums”
lietoto – kiberincidentu novēršanas institūcija;
6) precizēt Projektā lietotā saīsinājuma NITDP atšifrējumu un
lietojumu Projekta tekstā, saskaņojot to ar likumprojektu
“Nacionālās kiberdrošības likums”, kurā Nacionālā informācijas
tehnoloģiju drošības padome ir pārdēvēta par Nacionālo
kiberdrošības padomi;
7) papildināt Projekta nodaļu “Risku pārvaldība” ar atsauci un
informāciju par Ekonomiskās sadarbības un attīstības organizācijas
(turpmāk - ESAO) 2019. gadā izdotajām rekomendācijām
(https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-
0456), kuras papildina šobrīd Projektā minētās ESAO 2015. gada
rekomendācijas;
8) precizēt Projekta 1. rīcības virzienā “Kiberdrošības pārvaldības
pilnveidošana” teikumu “Vienlaikus palielinās nepieciešamība
stiprināt valsts kibertelpas drošību visaptverošas valsts
aizsardzības ieviešanas kontekstā, kādēļ tiek veidota nacionāla
kompetentā iestāde kiberdrošības jomā – Nacionālais kiberdrošības
centrs, kā darbību nodrošinās AM un CERT.LV, veidos valsts
kiberdrošības pārvaldības sistēmas kodolu.”;
9) precizēt Projekta 2. rīcības virzienā “Kiberdrošības veicināšana
un izturētspējas stiprināšana” teikumu “Katrā iestādē joprojām
būtu nepieciešams IKT personāls un drošības pārvaldnieks, kuri būs
atbildīgi par iestāžu infrastruktūru (darbiniekiem, tīklu),
kiberdrošības pasākumu plānošanu un ieviešanu, kā arī darbinieku
izglītošanu kiberdrošības jomā.”, jo šobrīd tas pasaka, ka iestādes
darbinieki ir iestādes infrastruktūras daļa.
Projekta nosaukumu;
2) Lietot Projekta tekstā vienotu Nacionālā koordinācijas centra
saīsinājumu, to iekļaujot arī Projektā lietoto saīsinājumu sarakstā.
Šobrīd Projekta 12. lpp ir lietots saīsinājums NKC, savukārt 27. lpp
– NCC-LV;
3) precizēt Projekta Kopsavilkumā un nodaļā “Vīzija, prioritātes
un pamatprincipi” kiberdrošības politikas vīzijas formulējumu,
aizstājot vārdu “būtisku” ar vārdu “nozīmīgu”, lai izvairītos no
interpretācijas, ka vīzijas formulējumā ar vārdiem “būtisku
pakalpojumu” tiek saprasti tikai NIS2 direktīvā un likumprojektā
“Nacionālās kiberdrošības likums” minētie būtisko pakalpojumu
sniedzēji konkrētajās saimnieciskās darbības jomās;
4) iekļaut Projektā atbildīgās institūcijas un tām paredzētos
uzdevumus un veicamos pasākumus, vai precizēt Ministru kabineta
sēdes protokollēmuma projekta 5. punktu, Projekta Kopsavilkuma
pēdējo rindkopu un nodaļas “Finansiālās ietekmes novērtējums”
pirmo rindkopu;
5) precizēt Projektā lietotā saīsinājuma CERT.LV atšifrējumu,
saskaņojot to ar likumprojektā “Nacionālās kiberdrošības likums”
lietoto – kiberincidentu novēršanas institūcija;
6) precizēt Projektā lietotā saīsinājuma NITDP atšifrējumu un
lietojumu Projekta tekstā, saskaņojot to ar likumprojektu
“Nacionālās kiberdrošības likums”, kurā Nacionālā informācijas
tehnoloģiju drošības padome ir pārdēvēta par Nacionālo
kiberdrošības padomi;
7) papildināt Projekta nodaļu “Risku pārvaldība” ar atsauci un
informāciju par Ekonomiskās sadarbības un attīstības organizācijas
(turpmāk - ESAO) 2019. gadā izdotajām rekomendācijām
(https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-
0456), kuras papildina šobrīd Projektā minētās ESAO 2015. gada
rekomendācijas;
8) precizēt Projekta 1. rīcības virzienā “Kiberdrošības pārvaldības
pilnveidošana” teikumu “Vienlaikus palielinās nepieciešamība
stiprināt valsts kibertelpas drošību visaptverošas valsts
aizsardzības ieviešanas kontekstā, kādēļ tiek veidota nacionāla
kompetentā iestāde kiberdrošības jomā – Nacionālais kiberdrošības
centrs, kā darbību nodrošinās AM un CERT.LV, veidos valsts
kiberdrošības pārvaldības sistēmas kodolu.”;
9) precizēt Projekta 2. rīcības virzienā “Kiberdrošības veicināšana
un izturētspējas stiprināšana” teikumu “Katrā iestādē joprojām
būtu nepieciešams IKT personāls un drošības pārvaldnieks, kuri būs
atbildīgi par iestāžu infrastruktūru (darbiniekiem, tīklu),
kiberdrošības pasākumu plānošanu un ieviešanu, kā arī darbinieku
izglītošanu kiberdrošības jomā.”, jo šobrīd tas pasaka, ka iestādes
darbinieki ir iestādes infrastruktūras daļa.
Piedāvātā redakcija
-