Projekta ID
24-TA-1718Atzinuma sniedzējs
Biedrība "Latvijas Informācijas un komunikācijas tehnoloģijas asociācija"
Atzinums iesniegts
13.08.2024.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Anotācija (ex-ante)
1.3. Pašreizējā situācija, problēmas un risinājumi
Iebildums
Saskaņā ar Nacionālās kiberdrošības likumu, Kiberincidentu novēršanas institūciju (turpmāk – Institūcijas) uzdevumus veic Militārās izlūkošanas un drošības dienests un Latvijas Universitātes Matemātikas un informātikas institūts.
Noteikumu anotācijā minēts, ka “pašlaik Kiberincidentu novēršanas institūcijām ir jāievēro prasības, kas noteiktas 2015. gada 28. jūlija Ministru kabineta noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām"”.
03.07.2024. izsludinātajā Ministru kabineta noteikumu projektā “Noteikumi par minimālajām kiberdrošības prasībām” (22-TA-3183) paredzēts, ka līdz ar šo noteikumu spēkā stāšanos spēku zaudēs 2015. gada 28. jūlija Ministru kabineta noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", kuru prasības tiks iestrādātas Ministru kabineta noteikumos “Noteikumi par minimālajām kiberdrošības prasībām”.
Paredzēts, ka MK noteikumi attieksies uz Nacionālās kiberdrošības likuma subjektiem, kuri saskaņā ar šā likuma 3.panta pirmo daļu ir: 1) būtisko pakalpojumu sniedzēji, svarīgo pakalpojumu sniedzēji un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji; 2) tiešās un pastarpinātās pārvaldes iestādes, atvasinātas publiskās personas un citas valsts institūcijas, kā arī privāto tiesību juridiskās personas, kas pilda valsts pārvaldes deleģētu uzdevumu, izņemot valsts drošības iestādes; 3) privāto tiesību juridiskās personas.
Saskaņā ar Nacionālās kiberdrošības likumu uz Militārās izlūkošanas un drošības dienestu, kurš ir valsts drošības iestāde saskaņā ar Valsts drošības iestāžu likuma 11.panta pirmās daļas otro punktu un tādejādi saskaņā ar Nacionālās kiberdrošības pirmās daļas otro punktu nav likuma subjekts, līdz ar Ministru kabineta noteikumu Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" spēkā zaudēšanu vairs nebūs attiecināmas minimālās informācijas un komunikācijas tehnoloģiju sistēmu drošības prasības. Nav pieļaujams, ka Institūcijai, kas veic uzraudzību kiberincidentu novēršanas jomā, nav jāievēro pat minimālas informācijas un komunikāciju tehnoloģiju sistēmu drošības prasības, kas vienlaikus būs jāievēro otrai likumā noteiktajai Institūcijai, jo tā ir likuma subjekts (būtiskais pakalpojuma sniedzējs) un uz to attieksies minimālās kiberdrošības prasības.
Noteikumu anotācijā minēts, ka “pašlaik Kiberincidentu novēršanas institūcijām ir jāievēro prasības, kas noteiktas 2015. gada 28. jūlija Ministru kabineta noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām"”.
03.07.2024. izsludinātajā Ministru kabineta noteikumu projektā “Noteikumi par minimālajām kiberdrošības prasībām” (22-TA-3183) paredzēts, ka līdz ar šo noteikumu spēkā stāšanos spēku zaudēs 2015. gada 28. jūlija Ministru kabineta noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", kuru prasības tiks iestrādātas Ministru kabineta noteikumos “Noteikumi par minimālajām kiberdrošības prasībām”.
Paredzēts, ka MK noteikumi attieksies uz Nacionālās kiberdrošības likuma subjektiem, kuri saskaņā ar šā likuma 3.panta pirmo daļu ir: 1) būtisko pakalpojumu sniedzēji, svarīgo pakalpojumu sniedzēji un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji; 2) tiešās un pastarpinātās pārvaldes iestādes, atvasinātas publiskās personas un citas valsts institūcijas, kā arī privāto tiesību juridiskās personas, kas pilda valsts pārvaldes deleģētu uzdevumu, izņemot valsts drošības iestādes; 3) privāto tiesību juridiskās personas.
Saskaņā ar Nacionālās kiberdrošības likumu uz Militārās izlūkošanas un drošības dienestu, kurš ir valsts drošības iestāde saskaņā ar Valsts drošības iestāžu likuma 11.panta pirmās daļas otro punktu un tādejādi saskaņā ar Nacionālās kiberdrošības pirmās daļas otro punktu nav likuma subjekts, līdz ar Ministru kabineta noteikumu Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" spēkā zaudēšanu vairs nebūs attiecināmas minimālās informācijas un komunikācijas tehnoloģiju sistēmu drošības prasības. Nav pieļaujams, ka Institūcijai, kas veic uzraudzību kiberincidentu novēršanas jomā, nav jāievēro pat minimālas informācijas un komunikāciju tehnoloģiju sistēmu drošības prasības, kas vienlaikus būs jāievēro otrai likumā noteiktajai Institūcijai, jo tā ir likuma subjekts (būtiskais pakalpojuma sniedzējs) un uz to attieksies minimālās kiberdrošības prasības.
Piedāvātā redakcija
-