Atzinums

Lūdzam izteikt Likumprojekta 7. panta pirmo un ceturto punktu šādā redakcijā:
“1) īstenot uzraudzības funkcijas, tostarp uzraudzīt, kā informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji izpilda šajā likumā noteiktos pienākumus;
4) izvērtēt informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieku un tiesisko valdītāju kiberrisku pārvaldības pasākumu atbilstību normatīvajos aktos noteiktajām prasībām.”.
Nepieciešams saskaņot SAB un Nacionālā kiberdrošības centra uzdevumu formulējumu, attiecīgi ņemot vērā Likumprojektā noteikto subjektu uzraudzības dalījumu starp SAB un Nacionālo kiberdrošības centru. Šobrīd Likumprojekta 7. panta pirmajā un ceturtajā punktā norādītie SAB uzdevumu formulējumi atšķiras no Likumprojekta 5. panta pirmās daļas otrajā un trešajā punktā norādītajiem Nacionālā kiberdrošības centra uzdevumu formulējumiem, lai gan tie paredz identisku uzdevumu realizāciju, atšķiroties tikai subjektiem, attiecībā uz kuriem šie uzdevumi tiek veikti.

-

Lūdzam izteikt Likumprojekta 19. panta pirmo daļu šādā redakcijā:
“Par informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru šā likuma izpratnē uzskatāma Ministru kabineta
apstiprinātajā kritiskās infrastruktūras kopumā iekļautā informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra.”;

-

SAB norāda, ka izziņā iekļautā Likumprojekta 21. panta redakcija nesakrīt ar Likumprojekta 21. panta redakciju. Ņemot vērā iepriekš minēto un izmaiņas, kas Likumprojektā veiktas līdz tā nodošanai atkārtotai saskaņošanai, SAB uztur iebildumu un aicina izteikt Likumprojekta 21. pantu šādā redakcijā:
“21. pants. Subjekta vadītāja un kiberdrošības pārziņa kompetence.
(1) Subjekta kiberdrošības pārvaldību nodrošina un par to atbild subjekta vadītājs. Katra subjekta vadītājs nosaka atbildīgo
personu, kura īsteno un pārrauga kiberdrošības pasākumu īstenošanu attiecīgajā subjektā (turpmāk – kiberdrošības pārzinis). Ministru kabinets nosaka kiberdrošības pārzinim izvirzītās prasības.
(2) Subjekts par kiberdrošības pārziņa noteikšanu ne vēlāk kā piecu darba dienu laikā paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam. Paziņojumānorāda kiberdrošības pārziņa vārdu, uzvārdu, personas kodu, ieņemamo amatu, elektroniskā pasta adresi un tālruņa numuru.
(3) Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nosaka kiberdrošības pārzini pēc saskaņošanas ar Satversmes aizsardzības biroju, kas veic kiberdrošības pārziņa atbilstības izvirzītajām prasībām pārbaudi.
(4) Subjekts ne vēlāk kā piecu darba dienu laikā paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam par jebkādām izmaiņām šī panta otrajā daļā minētajā paziņojumā norādītajās ziņās.
(5) Kiberdrošības pārzinim ir šādi pienākumi:
1) organizēt institūcijas informācijas un komunikācijas tehnoloģiju infrastruktūras drošības pasākumus;
2) ne retāk kā reizi gadā veikt informācijas un komunikācijas tehnoloģiju drošības pārbaudi un atbilstoši tās rezultātiem organizēt konstatēto trūkumu novēršanu;
3) vismaz reizi gadā apmeklēt kiberincidentu novēršanas institūcijas organizētu apmācību kiberdrošības jautājumos;
4) ne retāk kā reizi gadā veikt institūcijas darbinieku instruktāžu par aktuālajiem kiberriskiem un kiberdrošību.”.

-

Lūdzam izteikt Likumprojekta 37. pantu šādā redakcijā:
“37. pants. Subjektu uzraudzība
Subjekta uzraudzība ietver kiberdrošības prasību ievērošanas kontroli, informācijas un komunikācijas tehnoloģiju klātienes pārbaudes un attālinātu pārraudzību, dokumentācijas pārbaudes, tostarp attiecībā uz risku vadību un auditos konstatēto nepilnību novēršanu.”.
Likumprojekta 19. panta otrā daļa paredz, ka informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumus un to plānošanas un īstenošanas kārtību nosaka Ministru kabinets. Līdz ar to pilnībā vienādotas prasības un procedūras nevarēs attiecināt uz visiem šā likuma subjektiem.

-

Lūdzam svītrot Likumprojekta 39. panta otro un trešo daļu un papildināt 39. pantu ar jaunu daļu šādā redakcijā:
“Pašnovērtējuma ziņojumā iekļaujamās informācijas saturu un apjomu apstiprina Ministru kabinets.”.
Ņemot vērā, ka pašnovērtējuma ziņojuma ikgadēja iesniegšana būs papildu administratīvais slogs likuma subjektiem, pašnovērtējuma ziņojumā iekļaujamās informācijas satura un apjoma apspriešanā un saskaņošanā ir jānodrošina gan sabiedrības, gan nozaru ministriju iesaiste.

-

Lūdzam papildināt Likumprojekta 40. pantu ar jaunu daļu šādā redakcijā:
“Informācijas un komunikācijas tehnoloģiju kritiskajā infrastruktūrā, papildus šā panta otrajā daļā noteiktajām prasībām, ārēju auditu veic ar Satversmes aizsardzības biroju saskaņots kiberdrošības auditors.”.

-

Lūdzam izteikt Likumprojekta 40. panta otro daļu šādā redakcijā:
“Ja konstatētā neatbilstība rada nozīmīga kiberincidenta risku, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs par konstatēto risku informē Ministru kabinetu, bet, ja neatbilstība apdraud nacionālo drošību – Nacionālās drošības padomi.”.

-

Aicinām paredzēt, ka likuma subjekti kiberrisku pārvaldības plānu un darbības nepārtrauktības plānu var apvienot vienā dokumentā,
attiecīgi precizējot Likumprojekta 20. un 24. pantu. SAB ieskatā abi šie plāni ir cieši saistīti un to apvienošana mazinātu administratīvo slogu.

-

Ierosinām papildināt Likumprojekta 28. pantu ar deleģējumu Ministru kabinetam noteikt prasības, pēc kurām starpinstitūciju komisija
vērtē, vai atbalstīt subjekta iekļaušanu vienotā valsts interneta apmaiņas punkta pakalpojumu saņēmēju sarakstā.

-