Atzinums

Noteikumu projektā ir jānosaka drošības prasības informācijas sistēmu izvietošanai datu centros atbilstoši Nacionālā kiberdrošības likuma subjektu kategorijām un informācijas sistēmām noteiktajām drošības klasēm. Šī brīža redakcija paredz par ierobežotas izvietošanas informācijas sistēmām noteikt gan IKT kritiskās infrastruktūras informācijas sistēmas, gan, piemēram, būtisko pakalpojumu sniedzēju informācijas sistēmas, nosakot vienādus izvietošanas nosacījumus. Attiecībā uz IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja informācijas sistēmām ir jāparedz stingrāki detalizētāki izvietošanas nosacījumi, nekā to šobrīd paredz Noteikumu projekta 2.2.2. apakšnodaļā ietverto nosacījumi, līdz ar to ir nepieciešams veikt detalizētāku ierobežotas informācijas sistēmu izvietošanas nosacījumu gradāciju, piemēram, izdalot atsevišķi IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja informācijas sistēmu izvietošanas nosacījumus ārpus subjekta IKT infrastruktūras. 

-

Noteikumu projekts jau pēc būtība paredz nosacījumus informācijas sistēmu izvietošanai ārpus subjekta IKT infrastruktūras, identificējot normatīvā regulējuma jēgu Noteikumu projekta 1.1.1. apakšpunktā, līdz ar to nav saprotama 12. punkta nepieciešamība.

-

Atbilstoši Noteikumu projekta 2.5. apakšpunktā ietvertajai definīcijai informācijas sistēmas izvietošanas modelis ir risinājums, kurā informācijas sistēma vai tās daļa tiek uzturēta, izmantojot datu centru, ko jau paredz 12.1. apakšpunkts. Lūgums sniegt skaidrojumu 12.1. un 12.2. apakšpunkta iedalījumam, kas šī brīža Noteikumu projekta redakcijā abos variantos pēc būtības paredz informācijas sistēmas izvietošanu datu centrā, vai precizēt Noteikumu projektu. 

-

Lūgums sniegt skaidrojumu par ierobežojuma attiecināšanas nepieciešamību uz visu drošības klašu informācijas sistēmām.

-

Noteikumu projekta ietvaros prasības informāciju sistēmu izvietošanai ārpus subjekta IKT infrastruktūras ir jāveido graduāli, nosakot izvietošanas prasības IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja informācijas sistēmām, kā arī A, B un C drošības klašu informācijas sistēmām, paredzot stingrākās prasības IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja informācijas sistēmām un pakāpeniski tās samazinot līdz C drošības klases informācijas sistēmām.

Šobrīd Noteikumu projekts paredz vienotas informāciju sistēmu izvietošanas prasības gan IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam, gan svarīgo pakalpojumu sniedzējam, kas pēc būtības nevar tikt uzskatītas kā samērīgas.

-

Noteikumu projekta apakšnodaļa neatspoguļo Ministru kabineta 2025. gada 25. jūnija noteikumos Nr. 397 "Minimālās kiberdrošības prasības" noteikto kārtību datu centra kā ārpakalpojuma piesaistei IKT kritiskajai infrastruktūrai.

-

SAB ieskatā Noteikumu 16.2. apakšpunkts ir prakstiski neīstenojams, ņemot vērā, ka nedz Latvijas Republikas Ministru kabineta noteikumi, nedz pakalpojumu līgums ar ārvalstīs reģistrētu pakalpojumu sniedzēju nevar ierobežot attiecīgās ārvalsts nacionālajos normatīvajos aktos noteiktās tiesu varas, drošības vai izlūkošanas iestāžu pilnvaras, tiesības un pienākumus.

-

SAB aicina izvērtēt vai Noteikumu projekta 22. un 23. punkts nedublē Nacionālās kiberdrošības likuma 44. pantā un Ministru kabineta 2025. gada 25. jūnija noteikumos Nr. 397 "Minimālās kiberdrošības prasības" noteikto atbilstības audita veikšanas kārtību.

Papildus iepriekš minētajam, 23. punkts ir jāsalāgo ar iepriekš minēto Ministru kabinetu noteikumu prasībām par auditora kā ārpakalpojuma sniedzēja piesaisti.

-

Lūgums skaidrot nacionālā serticēto datu saraksta nepublisko daļu un tās atbilstību saraksta mērķim.

-

Noteikumu projekta 4.4. apakšnodaļa dublē Nacionālās kiberdrošības likums 46. panta piekto daļu.

-

Nepieciešams paredzēt iespēju veidot atkāpes no noteiktajām prasībām, saskaņojot ar konkrētā subjekta uzraugošo iestādi.

-