Atzinums

Atbilstoši likumprojekta 3. panta pirmās daļas 2. punktam tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām un citām valsts institūcijām, izņemot valsts drošības iestādes (visi kopā turpmāk – valsts un pašvaldību institūcijas). Saskaņā ar Latvijas Bankas likuma 2.panta pirmo daļu un 3.panta pirmo daļu Latvijas Banka ir Latvijas centrālā banka un tā ir atvasināta publiska persona. Latvijas Banka ir neatkarīga savu lēmumu pieņemšanā un to īstenošanā, kā arī nav institucionālā un funkcionālā padotībā valsts un pašvaldību institūcijām . 
Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīva (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (turpmāk – NIS2 direktīva) 2. panta 1. punktā tiek noteiktas vienības, kuras, sasniedzot vai pārsniedzot vidējiem uzņēmumiem noteiktos maksimālos lielumus un darbojoties NIS2 I un II Pielikuma minētājās nozarēs, ietilpst NIS2 direktīvas tvērumā. Atbilstoši 2. panta otrās daļas "f" apakšpunktam šāda vienība var būt arī centrālā vai reģionālā valsts pārvaldes vienība, ja tas ir noteikts ar valsts normatīviem aktiem. Savukārt, NIS2 direktīvas 6. panta 35. punkts sniedz skaidrojumu terminam "valsts pārvaldes vienība" un norāda izņēmumus no šī termina. Pie izņēmumiem piederas tiesu iestādes, parlaments un centrālās bankas. Proti, arī Latvijas Banka kā Latvijas centrālā banka.
Eiropas Centrālā banka 2022. gada 11. aprīļa atzinumā par NIS2 direktīvu (pieejams: C_2022233LV.01002201.xml (europa.eu)) ir norādījusi, ka “Padome savā vispārīgajā pieejā attiecībā uz ierosināto direktīvu ierosina grozījumu, lai no ierosinātās direktīvas piemērošanas jomas izslēgtu “vienības, kas veic darbības tiesu iestāžu, parlamentu vai centrālo banku jomā” ECB saprot, ka ierosinātais grozījums attiektos uz visiem Eiropas Centrālo banku sistēmas (ECBS) pamatuzdevumiem un kompetencēm, kā noteikts Līguma 127. panta 2. punktā un Eiropas Centrālo banku sistēmas un Eiropas Centrālās bankas Statūtu (turpmāk – “ECBS Statūti”) 3.1. pantā, piemēram, maksājumu sistēmu raitas darbības veicināšanu. Šajā sakarā tiek uzskatīts, ka uz Eurosistēmai piederošām un pārvaldītām finanšu tirgus infrastruktūrām, piemēram, TARGET2 un TARGET2 vērtspapīriem, attiecas Padomes ierosinājums izslēgt centrālās bankas no ierosinātās direktīvas piemērošanas jomas”. Arī Eiropas Parlaments skaidrojumā par NIS2 direktīvas piemērošanu (pieejams: The NIS2 Directive (europa.eu) ) ir norādījis uz dalībvalstu centrālām bankām kā NIS2 direktīvas izņēmumu. Līdz ar to likumprojektā ietvertās tiesību normas, ar kurām transponētas NIS2 direktīvas prasības, nevar attiecināt uz Latvijas Banku
Ņemot vērā minēto, Finanšu ministrija lūdz likumprojektā iekļaut tiesību normu, kas paredz izņēmumu attiecībā uz tā piemērošanu Latvijas Bankai.
Vienlaikus lūdzam turpmāk pie likumprojekta saskaņotājiem ietvert arī Latvijas Banku, ņemot vērā to, ka likumprojekts skar Latvijas Banku. Iebildums ir sagatavots sadarbībā ar Latvijas Banku.
 

-

Likumprojekta 3.panta trešā daļa nosaka, ka likums neattiecas uz finanšu vienībām Eiropas Parlamenta un Padomes 2022. gada 14. decembra regulas (ES) Nr. 2022/2554 par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (turpmāk – DORA regula) 2. panta 2. punkta izpratnē. Likumprojekta anotācijā skaidrots, kāpēc šāds izņēmums tiek noteikts, tostarp, ka “NIS2 direktīva nosaka, ka DORA regula ir uzskatāma par nozarspecifisku ES tiesību aktu saistībā ar NIS2 direktīvu tieši attiecībā uz finanšu vienībām. Tad attiecīgi NIS2 direktīva paredz, ka NIS2 izklāstīto noteikumu vietā būtu piemērojami DORA regulas nosacījumi par informācijas un komunikācijas tehnoloģiju risku pārvaldības pasākumiem, ar informācijas un komunikācijas tehnoloģiju saistītu incidentu pārvaldību un incidentu paziņošanu, kā arī digitālās darbības noturības testēšanu u.c”. 
Atbilstoši DORA regulas 16. apsvērumam šī regula paaugstina dažādo digitālās noturības komponentu saskaņošanas līmeni, ieviešot prasības attiecībā uz IKT riska pārvaldību un ar IKT saistītu incidentu paziņošanu, kuras ir stingrākas salīdzinājumā ar spēkā esošajos Eiropas Savienības finanšu pakalpojumu tiesību aktos noteiktajām prasībām, šis augstākais līmenis nozīmē arī lielāku saskaņošanu salīdzinājumā ar NIS2 direktīvas prasībām. Tādēļ DORA regula attiecībā pret NIS2 direktīvu ir lex specialis. Saskaņā ar DORA regulas 1. panta 2. punktu attiecībā uz finanšu vienībām, kas noteiktas kā būtiskas vai svarīgas vienības saskaņā ar dalībvalsts noteikumiem, ar kuriem transponē NIS direktīvas 3. pantu, DORA regulu uzskata kā uz konkrētu nozari attiecināmu Eiropas Savienības tiesību aktu NIS2 direktīvas 4. panta vajadzībām. Proti, NIS2 direktīvas 4. pants paredz nosacījumus attiecībā uz nozarspecifiskiem Eiropas Savienības tiesību aktiem. NIS2 direktīvas 4. panta 1. punktā ietvertā tiesību normas daļa nosaka, ja nozarspecifiski Eiropas Savienības tiesību akti prasa būtiskajām vai svarīgajām vienībām pieņemt kiberdrošības risku pārvaldības pasākumus vai ziņot par būtiskiem incidentiem un ja šādas prasības ietekmes ziņā ir vismaz līdzvērtīgas šajā direktīvā noteiktajiem pienākumiem, attiecīgos šīs direktīvas noteikumus, tostarp VII nodaļas noteikumus par uzraudzību un izpildes panākšanu, šādām vienībām nepiemēro.
Likumprojekta 3. panta trešajā daļā ir noteikts likuma izņēmums attiecībā uz “finanšu vienībām” DORAS regulas 2. panta 2 .punkta izpratnē.  Likumprojektā minētās “finanšu vienības” saskaņā ar Doras regulas 2. panta 1. punktu ietver , tai skaitā, kredītiestādes, centrālos darījumu partnerus un tirdzniecības vietas. Savukārt atbilstoši likumprojekta 16.panta “n” apakšpunktam – “būtisko pakalpojumu sniedzējs šī likuma izpratnē ir kredītiestāde, centrālais darījumu partneris vai tirdzniecības vietas organizētājs (Finanšu instrumentu tirgus likuma izpratnē)”. 
Ņemot vērā minēto Finanšu ministrija lūdz izvērtēt likumprojekta 3.panta trešajā daļā ietverto izņēmumu attiecībā uz “finanšu vienībām”, tai skaitā, uz kredītiestādi Kredītiestāžu likuma 1. panta otrās daļas 1. punkta izpratnē, tirdzniecības vietu Finanšu instrumentu tirgus likuma 1. panta pirmās daļas 77. punkta izpratnē un centrālo darījumu partneri Eiropas Parlamenta un Padomes 2012. gada 4. jūlija regulas (ES) Nr. 648/2012 par ārpusbiržas atvasinātajiem instrumentiem, centrālajiem darījumu partneriem un darījumu reģistriem (Dokuments attiecas uz EEZ) 2. panta 1. punkta izpratnē, kontekstā ar likumprojekta 16.panta “n” apakšpunktā ietvertajām “finanšu vienībām”, ņemot vērā to, ka DORA regula attiecībā pret NIS2 direktīvu ir lex specialis.
Iebildums ir sagatavots sadarbībā ar Latvijas Banku.
 

-

Likumprojekta 5. panta pirmās daļas 18. punktā un 26. panta trešajā daļā ir minēts “kiberdrošības operāciju centrs”, kuram nav dots skaidrojums anotācjā.   Lūdzam skaidrot , kas ir domāts ar “kiberdrošības operāciju centru.”
 

-

Likumprojekta 26. panta otrās daļas 3.punktā ir minēts, ka Ministru kabinets nosaka koplietošanas operāciju centru izveides un darbības noteikumus koplietošanas datu centros. Taču nekur likumprojektā vai arī anotācijā nav minēts, kas ir saprotams ar “koplietošanas operāciju centru”.  Lūdzam skaidrot anotācijā, kas ir domāts ar “koplietošanas operāciju centru".

-

Likumprojekta 34. pants nosaka, ka Ministru kabinets nosaka kārtību un kritērijus, kādā Latvija veic kiberincidentu attiecināšanu. No likumprojekta teksta nav saprotams, kas ir domāts ar kiberincidentu attiecināšanu. Arī likumprojekta anotācijā nav dots skaidrojums “kiberincidenta attiecināšanai” vai “kiberincidenta attiecināšanas  paziņojumam”.  Līdz ar to lūdzam skaidrot  jēdzienus “kiberincidentu attiecināšana” un “kiberincidentu attiecināšanas paziņojums”.
 

-