Projekta ID
24-TA-3243Atzinuma sniedzējs
Viedās administrācijas un reģionālās attīstības ministrija
Atzinums iesniegts
12.12.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
2.5. informācijas sistēmas izvietošanas modelis - risinājums, kurā informācijas sistēma vai tās daļa tiek uzturēta, izmantojot datu centru;
Iebildums
Ļoti plaša modeļa definīcija. Būtu jāsašaurina ar apzīmētāju, piemēram, "droša" vai "traucējumnoturīga"
Piedāvātā redakcija
2.5. informācijas sistēmas drošas izvietošanas modelis - risinājums, kurā informācijas sistēma vai tās daļa tiek uzturēta, izmantojot datu centru;
2.
Noteikumu projekts
5. Subjekts nodrošina, ka ir noteiktas fiziskās drošības prasības šādām subjekta IKT infrastruktūras daļām:
Iebildums
IKT infrastruktūru veido trīs pamata elementi: skaitļošana, datu glabātuves un pārraides tīkls. Jāpievieno datu glabātuves kā apakšpunkts.
Atbilstoši jāpapildina arī pielikuma Nr. 1 sadaļa "Subjekta informācijas un komunikācijas tehnoloģiju infrastruktūras prasības".
Atbilstoši jāpapildina arī pielikuma Nr. 1 sadaļa "Subjekta informācijas un komunikācijas tehnoloģiju infrastruktūras prasības".
Piedāvātā redakcija
5. Subjekts nodrošina, ka ir noteiktas fiziskās drošības prasības šādām subjekta IKT infrastruktūras daļām:
5.1. serveru infrastruktūrai – tehniskajiem līdzekļiem, kas uztur informācijas sistēmas;
5.2. datu glabātuvju infrastruktūrai – tehniskajiem līdzekļiem, kas uzglabā datus;
5.3. tīkla infrastruktūrai – tehniskajiem līdzekļiem, kas nodrošina datu pārraidi un savienojumus;
5.4. nodarbināto lietotajai aparatūrai – tehniskajiem līdzekļiem, kurus subjekta nodarbinātie izmanto darbam ar informācijas sistēmām.
5.1. serveru infrastruktūrai – tehniskajiem līdzekļiem, kas uztur informācijas sistēmas;
5.2. datu glabātuvju infrastruktūrai – tehniskajiem līdzekļiem, kas uzglabā datus;
5.3. tīkla infrastruktūrai – tehniskajiem līdzekļiem, kas nodrošina datu pārraidi un savienojumus;
5.4. nodarbināto lietotajai aparatūrai – tehniskajiem līdzekļiem, kurus subjekta nodarbinātie izmanto darbam ar informācijas sistēmām.
3.
Noteikumu projekts
6. Subjekts ar dokumentētām organizatoriskām un tehniskām prasībām nodrošina, ka IKT infrastruktūra:
Iebildums
Lai izvairītos no situācijas, ka sistēmām noteiktās situācijās nevar piekļūt pilnvarotas personas, būtu lietderīgi ietvert, ka tāda piekļuve ir pastāvīgi jānodrošina.
Piedāvātā redakcija
6.1. pastāvīgi nodrošina pilnvarotu piekļuvi;
6.2. nepieļauj nepilnvarotu piekļuvi;
6.3. ir noturīga pret fiziskajiem un vides apdraudējumiem;
6.4. ir aizsargāta pret nejaušu vai tīšu bojāšanu;
4.
Noteikumu projekts
7.1. apstiprina un uztur aktuālu sarakstu ar personām, kurām ir tiesības piekļūt serveru infrastruktūrai un tīkla infrastruktūrai;
Iebildums
Iepriekš bija minēts pilnvarojums, vēlams iekļaut.
Tvērumam jāpievieno datu glabātuves.
Tvērumam jāpievieno datu glabātuves.
Piedāvātā redakcija
"apstiprina un uztur aktuālu sarakstu ar pilnvarotajām personām, kurām ir tiesības piekļūt serveru, datu glabātuvju un tīkla infrastruktūrai;
5.
Noteikumu projekts
7.2. nodrošina kiberdrošības pārvaldniekam piekļuvi subjekta IKT infrastruktūrai neatkarīgi no iekļaušanas 7.1. apakšpunktā minētajā sarakstā;
Iebildums
No formulējuma izriet, ka jebkuram kiberdrošības pārvaldniekam.
Piedāvātā redakcija
7.2. nodrošina subjekta kiberdrošības pārvaldniekam piekļuvi subjekta IKT infrastruktūrai neatkarīgi no iekļaušanas 7.1. apakšpunktā minētajā sarakstā;
6.
Noteikumu projekts
7.3. izstrādā un uztur aktuālu rīcības plānu kiberapdraudējumu un kiberincidentu gadījumiem, tai skaitā serveru infrastruktūras vai tīkla infrastruktūras fiziskiem bojājumiem, mikroklimata ietekmei, elektroapgādes traucējumiem un apsardzes režīma pārkāpumiem, kā arī citiem riskos identificētajiem vides un tehniskajiem apdraudējumiem;
Iebildums
pievienot datu glabātuvju;
uzskaitījumā "vai" vietā "un"
uzskaitījumā "vai" vietā "un"
Piedāvātā redakcija
izstrādā un uztur aktuālu rīcības plānu kiberapdraudējumu un kiberincidentu gadījumiem, tai skaitā serveru, datu glabātuvju un tīkla infrastruktūras fiziskiem bojājumiem, mikroklimata ietekmei, elektroapgādes traucējumiem un apsardzes režīma pārkāpumiem, kā arī citiem riskos identificētajiem vides un tehniskajiem apdraudējumiem;
7.
Noteikumu projekts
7.4. nodrošina, ka nodarbinātie, kuri atbild par subjekta IKT infrastruktūras uzturēšanu, ir iepazīstināti ar šo noteikumu 7.3. apakšpunktā minēto rīcības plānu un viņiem ir pieejama kontaktinformācija, kas nepieciešama rīcības plāna izpildei.
Iebildums
Kritiskās situācijās elektroniski glabātā kontaktinformācija var nebūt pieejama. Būtu jānorāda, ka tai jābūt arī fiziskā, izdrukātā veidā.
Piedāvātā redakcija
7.4. nodrošina, ka nodarbinātie, kuri atbild par subjekta IKT infrastruktūras uzturēšanu, ir iepazīstināti ar šo noteikumu 7.3. apakšpunktā minēto rīcības plānu un viņiem ir pieejama, tostarp fiziskā, izdrukātā veidā, visa kontaktinformācija, kas nepieciešama rīcības plāna izpildei.
8.
Noteikumu projekts
8. Subjekta IKT infrastruktūra ir:
Iebildums
Nepieciešams papildināt ar monitoringu
Definēt pārslodzi un tās novēršanu
Definēt pārslodzi un tās novēršanu
Piedāvātā redakcija
8. Subjekta IKT infrastruktūra ir:
8.1. dokumentēta, uzturot aktuālu informāciju par tehnisko līdzekļu izvietojumu, aizvietojamību un konfigurācijas parametriem;
8.2 uzraudzīta, izmantojot pieejamībai vai integritātei vai atjaunošanas spējai kritisko elementu pieejamības un slodzes monitoringu ar brīdināšanu par atkāpēm no normas;
8.3. apsekota un pārbaudīta atbilstoši ražotāju ieteikumiem vai subjekta iekšējām procedūrām, nodrošinot periodiskumu, kas atbilst riska novērtējumam;
8.4. uzturēta darba kārtībā, savlaicīgi novēršot konstatētos bojājumus un pieejamībai kritisko resursu pārslodzes.
8.1. dokumentēta, uzturot aktuālu informāciju par tehnisko līdzekļu izvietojumu, aizvietojamību un konfigurācijas parametriem;
8.2 uzraudzīta, izmantojot pieejamībai vai integritātei vai atjaunošanas spējai kritisko elementu pieejamības un slodzes monitoringu ar brīdināšanu par atkāpēm no normas;
8.3. apsekota un pārbaudīta atbilstoši ražotāju ieteikumiem vai subjekta iekšējām procedūrām, nodrošinot periodiskumu, kas atbilst riska novērtējumam;
8.4. uzturēta darba kārtībā, savlaicīgi novēršot konstatētos bojājumus un pieejamībai kritisko resursu pārslodzes.
9.
Noteikumu projekts
8.1. dokumentēta, uzturot aktuālu informāciju par tehnisko līdzekļu izvietojumu un īpašībām;
Iebildums
"īpašībām" aizvietot ar "aizvietojamību un konfigurācijas parametriem".
Pievienot aizvietojamības jēdzienu, kuras noteikšana tehniskajiem nodrošina efektīvāku problēmu risināšanu, ja tādas rodas.
Konfigurācijas parametri ir kritiski svarīgi sistēmu atjaunošanā.
Pievienot aizvietojamības jēdzienu, kuras noteikšana tehniskajiem nodrošina efektīvāku problēmu risināšanu, ja tādas rodas.
Konfigurācijas parametri ir kritiski svarīgi sistēmu atjaunošanā.
Piedāvātā redakcija
8.1. dokumentēta, uzturot aktuālu informāciju par tehnisko līdzekļu izvietojumu, aizvietojamību un konfigurācijas parametriem;
10.
Noteikumu projekts
9. Serveru infrastruktūra ir:
Iebildums
Papildināt ar datu glabātuvēm
Piedāvātā redakcija
9. Serveru un datu glabātuvju infrastruktūra ir:
11.
Noteikumu projekts
11. Subjekts, kurš serveru infrastruktūrā uztur A klases (paaugstinātas drošības) vai B klases (pamata drošības) informācijas sistēmu, nodrošina atbilstību šo noteikumu 1. pielikumā noteiktajām prasībām, kurās ir noteikts, kuras prasības ir obligātas katrai subjekta kategorijai un kuras piemērojamas atbilstoši subjekta veikta riska novērtējuma rezultātiem.
Iebildums
Šeit var pārprast, ka jāizpilda tikai tās prasības, kas 1. pielikumā. Pievienot "līdztekus iepriekš uzskaitītajām,"
Prasības infrastruktūrai šeit un 1. pielikumā būtu jādefinē plašāk nekā tikai serveriem, iekļaujot arī arī datu glabātuves un tīkla iekārtas, vai lietojot iekļaujošo terminu IKT infrastruktūra.
Nav norādīts, ka attiecināms uz tām, kas valdījumā.
Prasības infrastruktūrai šeit un 1. pielikumā būtu jādefinē plašāk nekā tikai serveriem, iekļaujot arī arī datu glabātuves un tīkla iekārtas, vai lietojot iekļaujošo terminu IKT infrastruktūra.
Nav norādīts, ka attiecināms uz tām, kas valdījumā.
Piedāvātā redakcija
11. Subjekts, kurš savā valdījumā esošajā IKT infrastruktūrā uztur A klases (paaugstinātas drošības) vai B klases (pamata drošības) informācijas sistēmu, līdztekus iepriekš uzskaitītajām, nodrošina atbilstību šo noteikumu 1. pielikumā noteiktajām prasībām, kurās ir noteikts, kuras prasības ir obligātas katrai subjekta kategorijai un kuras piemērojamas atbilstoši subjekta veikta riska novērtējuma rezultātiem.
12.
Noteikumu projekts
12.2. informācijas sistēmas izvietošanas modelī, kas izmanto datu centru.
Iebildums
Punkts "2.5. informācijas sistēmas izvietošanas modelis - risinājums, kurā informācijas sistēma vai tās daļa tiek uzturēta, izmantojot datu centru;" jau apraksta, ka informācijas sistēmas izvietošanas modelis paredz datu centra izmantošanu. Te ir jēdzienu dubklēšanās.
Ja akceptējāt priekšlikumu 2.5 mainīt uz "2.5. informācijas sistēmas drošas izvietošanas modelis - risinājums, kurā informācijas sistēma vai tās daļa tiek uzturēta, izmantojot datu centru;"
tad šo punktu var saīsināt.
Ja akceptējāt priekšlikumu 2.5 mainīt uz "2.5. informācijas sistēmas drošas izvietošanas modelis - risinājums, kurā informācijas sistēma vai tās daļa tiek uzturēta, izmantojot datu centru;"
tad šo punktu var saīsināt.
Piedāvātā redakcija
12.2. informācijas sistēmas drošas izvietošanas modelī.
13.
Noteikumu projekts
14. Subjekts nodrošina, ka personas datu apstrāde datu centrā vai informācijas sistēmas izvietošanas modelī, kas izmanto datu centru, atbilst Eiropas Parlamenta un Padomes Regulai (ES) 2016/679 (Vispārīgā datu aizsardzības regula), tai skaitā regulas V nodaļai par personas datu pārsūtīšanu uz trešajām valstīm un starptautiskām organizācijām, arī gadījumos, kad datiem piekļūst attālināti no trešās valsts.
Iebildums
Līdzīgi kā iepriekš, "drošas izvietošanas modelī"
Piedāvātā redakcija
14.
Subjekts nodrošina, ka personas datu apstrāde datu centrā vai informācijas sistēmas drošas izvietošanas modelī atbilst Eiropas Parlamenta un Padomes Regulai (ES) 2016/679 (Vispārīgā datu aizsardzības regula), tai skaitā regulas V nodaļai par personas datu pārsūtīšanu uz trešajām valstīm un starptautiskām organizācijām, arī gadījumos, kad datiem piekļūst attālināti no trešās valsts.
Subjekts nodrošina, ka personas datu apstrāde datu centrā vai informācijas sistēmas drošas izvietošanas modelī atbilst Eiropas Parlamenta un Padomes Regulai (ES) 2016/679 (Vispārīgā datu aizsardzības regula), tai skaitā regulas V nodaļai par personas datu pārsūtīšanu uz trešajām valstīm un starptautiskām organizācijām, arī gadījumos, kad datiem piekļūst attālināti no trešās valsts.
14.
Noteikumu projekts
15.2.1. izmantotā IKT infrastruktūra ir paredzēta tikai subjekta un tā subordinēto iestāžu informācijas sistēmām vai tikai vienai informācijas sistēmai;
Iebildums
Ierosinām "paredzēta" aizstāt ar "pilnībā nodalīta izmantošanai". Tas pieļautu efektīvāku sistēmu izmantošanas modeli, kurā fiziskie resursi ir pilnībā nodalīti, piemēram, ar segmentāciju fiziskajā vai virtualizācijas līmenī, vai abējādi.
Atstājot negrozītu, nepieciešamās infrastruktūras izmaiņas būs saistītas ar dauzkārtīgu pārejas uz šo modeli un uzturēšanas izmaksu pieaugumu.
Atstājot negrozītu, nepieciešamās infrastruktūras izmaiņas būs saistītas ar dauzkārtīgu pārejas uz šo modeli un uzturēšanas izmaksu pieaugumu.
Piedāvātā redakcija
15.2.1. izmantotā IKT infrastruktūra ir pilnībā nodalīta izmantošanai tikai subjekta un tā subordinēto iestāžu informācijas sistēmām vai tikai vienai informācijas sistēmai;
15.
Noteikumu projekts
16.3. līgumiskos nosacījumus, kas nodrošina uzraudzības institūcijām tiesības veikt auditēšanu, uzraudzību un pārbaudes, ciktāl tas ir tehniski iespējams un atbilstoši attiecīgās valsts normatīvajiem aktiem.
Iebildums
Kuru valstu uzraudzības institūcijām?
"Attiecīgās valsts" var pārprast.
"Attiecīgās valsts" var pārprast.
Piedāvātā redakcija
16.3. līgumiskos nosacījumus, kas nodrošina Latvijas valsts jurisdikcijā esošajām uzraudzības institūcijām tiesības veikt auditēšanu, uzraudzību un pārbaudes, ciktāl tas ir tehniski iespējams un atbilstoši informācijas sistēmas ārējās rezidentūras valsts normatīvajiem aktiem.
16.
Noteikumu projekts
18.2. karsto rezerves kopiju uzturēšanu, ja:
Iebildums
1) Nav noteikts, vai apakšpunktiem ir jāizpildās visiem vai jebkuram. Visticamāk, ka, lai neradītu papildus riskus, būtu jāizpildās visiem.
2) Būtu vēlama ne vien karstās kopijas definīcija (piem., max RPO; sinhrona vai asinhrona replikācija), bet arī arī siltās un aukstās, un to izvietošanas nosacījumi. Pieņemu, ka var būt identiski kā karstajām.
2) Būtu vēlama ne vien karstās kopijas definīcija (piem., max RPO; sinhrona vai asinhrona replikācija), bet arī arī siltās un aukstās, un to izvietošanas nosacījumi. Pieņemu, ka var būt identiski kā karstajām.
Piedāvātā redakcija
18.2. karsto, silto un auksto rezerves kopiju izmitināšanu un uzturēšanu, ja izpildās visi zemāk minētie nosacījumi:
17.
Noteikumu projekts
20. Datu centra operators nodrošina drošības telemetrijas datu pieejamību reāllaikā (ar datu pieejamību ne vēlāk kā vienu minūti pēc notikuma) kompetentajai kiberincidentu novēršanas institūcijai, pēc tās pieprasījuma, tai skaitā drošības operāciju centru darbības nodrošināšanai.
Iebildums
Nepieciešama proaktīva ziņošana par incidentiem.
Nepieciešama vēsturisko DC infrastruktūras pieejamības datu uzglabāšana.
Nepieciešama vēsturisko DC infrastruktūras pieejamības datu uzglabāšana.
Piedāvātā redakcija
20. Datu centra operators nodrošina drošības telemetrijas datu pieejamību reāllaikā (ar datu pieejamību ne vēlāk kā vienu minūti pēc notikuma) kompetentajai kiberincidentu novēršanas institūcijai, pēc tās pieprasījuma, tai skaitā drošības operāciju centru darbības nodrošināšanai, kā arī proaktīvi nekavējoties paziņo institūcijai par visiem reģistrētajiem kritiskas ietekmes incidentiem, nosūtot augstas prioritātes tipa e-pasta paziņojumu uz institūcijas norādīto adresi, kā arī nodrošina datu centra infrastruktūras pieejamības datu uzglabāšanu vismaz pār pēdējiem 18 mēnešiem.
18.
Noteikumu projekts
4.4. Ārkārtas pārbaudes un izslēgšana no nacionālā sertificēto datu centru saraksta
Iebildums
Nepieciešams definēt kārtību un nosacījumus, kā pēc izslēgšanas operators var atjaunot iekļaušanu datu centru nacionālā sertificēto datu centru sarakstā.
Piedāvātā redakcija
4.5 Atkārtota reģistrēšanās iekļaušanai nacionālā sertificēto datu centru sarakstā. 31. Pēc izslēgšanas datu centra operators var veikt atkārtotu reģistrēšanos iekļaušanai nacionālā sertificēto datu centru sarakstā, iesniedzot dokumentētus pierādījumus, kas apliecina, ka izslēgšanas cēloņi ir pilnībā novērsti.
19.
Noteikumu projekts
29.2. notikuši vairāki līdzīgi kiberincidenti vai fiziskās drošības incidenti datu centrā;
Iebildums
Var notikt vairāki nenozīmīgi, līdzīgi incidenti īsā laikā, kas esošajā redakcijā pieprasītu pārāk ierobežojošus pasākumus.
Piedāvātā redakcija
29.2. datu centrā ne retāk kā pēdējo 12 mēnešu laikā atkārtoti notikuši divi vai vairāk līdzīgi lielas negatīvas ietekmes vai augsta riska iestāšanās seku fiziskās vai kiberdrošības incidenti starp kuriem ir veikta cēloņu noteikšana un novēršana;
20.
Noteikumu projekts
30. Nacionālais kiberdrošības centrs svītro datu centru no nacionālā sertificēto datu centru saraksta, ja:
Iebildums
Jāpapildina ar gadījumu, kad iesniegtie kvalifikācijas dokumenti var nebūt patiesi.
Piedāvātā redakcija
30.3 Ja nacionālais kiberdrošības centrs ir konstatējis, ka datu centra operatora sniegtā informācija, lai kvalificētos iekļaušanai nacionālā sertificēto datu centra sarakstā, neatbilst patiesajam lietu stāvoklim.
21.
Noteikumu projekts
5. Drošības operāciju centru izveides un darbības noteikumi datu centros
Iebildums
Priekšlikumi identiski kā 3. daļā "Prasības datu centru operatoriem"
Piedāvātā redakcija
-
22.
Noteikumu projekts
Pielikuma saturu skatīt dokumentā
Iebildums
t eun turpmāk pievienot datu glabātuves
Piedāvātā redakcija
Serveru un datu glabātuvju infrastruktūra, un tehnoloģiskās infrastruktūras mezgli, tai skaitā fiziskā drošība, tiek pastāvīgi uzraudzīti un ir nodrošināti trauksmes signāli par notikumiem, atbilstoši subjekta definētajiem trauksmes paziņojumu nosacījumiem.
Tehnoloģiskās infrastruktūras mezgli - dzesēšanas sistēmas ārējie bloki, sadalnes telpas/zonas no kurām tiek nodrošināta serveru telpas un serveru telpas tehnoloģisko mezglu elektrobarošana, rezerves elektrobarošanas elementi (piemēram, dīzeļģeneratori, UPS elementi u.c.).
23.
Noteikumu projekts
Pielikuma saturu skatīt dokumentā
Iebildums
Jāparedz kārtība subjekta datu nesēju operatīvai ārkārtas iznīcināšanai, piemēram, ar mērķi nepieļaut sensitīvu (piem., amatpersonu personu datu) nonākšanu iespējamas agresorvalsts valdījumā un no tā izrietošiem šantāžas vai ietekmēšanas riskiem, kas var apgrūtināt valsts spēju efektīvi aizstāvēties, vienlaikus garantējot spēju tos atjaunot no kopijām zema riska atkopes infrastruktūrā.
Šāda veida datiem jānosaka, ka pastāvīgi jāspēj identificēt, kur tie glabājas fiziski, kā arī nosacījumi to pārvietošanai, j atāda ir nepieciešama.
Šo prasību piemērot gan 1., gan 2. pielikumam.
Šāda veida datiem jānosaka, ka pastāvīgi jāspēj identificēt, kur tie glabājas fiziski, kā arī nosacījumi to pārvietošanai, j atāda ir nepieciešama.
Šo prasību piemērot gan 1., gan 2. pielikumam.
Piedāvātā redakcija
Jāparedz kārtība subjekta datu nesēju operatīvai ārkārtas iznīcināšanai, piemēram, ar mērķi nepieļaut sensitīvu (piem., amatpersonu personu datu) nonākšanu iespējamas agresorvalsts valdījumā un no tā izrietošiem šantāžas vai ietekmēšanas riskiem, kas var apgrūtināt valsts spēju efektīvi aizstāvēties, vienlaikus garantējot spēju tos atjaunot no kopijām zema riska atkopes infrastruktūrā.
Šāda veida datiem jānosaka, ka pastāvīgi jāspēj identificēt, kur tie glabājas fiziski, kā arī nosacījumi to pārvietošanai, j atāda ir nepieciešama.
Šo prasību piemērot gan 1., gan 2. pielikumam.
24.
Noteikumu projekts
Pielikuma saturu skatīt dokumentā
Iebildums
2.1. punktā nav specificēts, vai nepieciešami visi sertifikātu tipi, vai jebkurš no uzskaitītajiem.
Piedāvātā redakcija
-
25.
Noteikumu projekts
2.3.1. tai ir noteikta A klases drošības klase vai B klases drošības klase ar konfidencialitātes klasi B saskaņā ar normatīvajiem aktiem par minimālajām kiberdrošības prasībām;
Priekšlikums
Konfidencialitātes klase B jau paredz, ka noteiktā drošības klase būs vismaz B. Rosinām vienkāršot formulējumu.
Piedāvātā redakcija
"2.3.1. tai ir noteikta A klases drošības klase vai konfidencialitātes klase ne zemāka kā B saskaņā ar normatīvajiem aktiem par minimālajām kiberdrošības prasībām;"
26.
Noteikumu projekts
19. Datu centra operators informē klientu par datu centra izslēgšanu no nacionālā sertificēto datu centru saraksta nekavējoties, bet ne vēlāk kā piecu darbdienu laikā no izslēgšanas dienas.
Priekšlikums
Informē rakstiski
Piedāvātā redakcija
19. Datu centra operators, izmantojot oficiālu saziņas veidu, informē klientu par datu centra izslēgšanu no nacionālā sertificēto datu centru saraksta nekavējoties, bet ne vēlāk kā piecu darbdienu laikā no izslēgšanas dienas.