Projekta ID
22-TA-3183Atzinuma sniedzējs
Biedrība "Latvijas Informācijas un komunikācijas tehnoloģijas asociācija"
Atzinums iesniegts
09.04.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Uzturam aktuālu iebildumu pret Noteikumu projekta 11.punktu.
Pamatojums:
Noteikumu projekta 11.punkts nosaka kārtību par paziņojuma nosūtīšanu, kurā ieceļ kiberdrošības pārvaldnieku, bet nav noteikta prasība par fiziskās personas piekrišanas apliecinājumu šajā paziņojumā, ka tā tiks iecelta par kiberdrošības pārvaldnieku pie konkrētā subjekta.
Priekšlikums:
Papildināt Noteikumu projekta 3.pielikumu ar fiziskās personas topošā kiberdrošības pārvaldnieka piekrišanas apliecinājumu, kļūt par konkrētā subjekta kiberdrošības pārvaldnieku.
Pamatojums:
Noteikumu projekta 11.punkts nosaka kārtību par paziņojuma nosūtīšanu, kurā ieceļ kiberdrošības pārvaldnieku, bet nav noteikta prasība par fiziskās personas piekrišanas apliecinājumu šajā paziņojumā, ka tā tiks iecelta par kiberdrošības pārvaldnieku pie konkrētā subjekta.
Priekšlikums:
Papildināt Noteikumu projekta 3.pielikumu ar fiziskās personas topošā kiberdrošības pārvaldnieka piekrišanas apliecinājumu, kļūt par konkrētā subjekta kiberdrošības pārvaldnieku.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Uzturam kā prioritāru un aktuālu iebildumu pret Noteikumu projekta 17. punktu.
Pamatojums:
Iebilstam pret Noteikumu projekta 17. punkta redakciju, kura nosaka ierobežojumu fiziskai personai būt ķiberdrošības pārvaldniekam tikai vienam subjektam, kas ir IKT kritiskās infrastruktūras īpašnieks vai valdītājs. Ņemot vērā, ka subjekts varētu ietilpt uzņēmumu grupas koncernā (piemēram mātes uzņēmums, meitas uzņēmumi) un nereti kiberdrošība, IT pārvaldība ir uzņēmumu grupā kopīgi realizēta funkcija, tādēļ šāds ierobežojums nebūtu attiecināms uz vienas grupas uzņēmumiem. Papildus vēlamies uzsvērt, ka uzņēmumu grupas Kiberdrošības pārvaldniekam, kur pastāv pilna IKT funkcijas integrācija (t.sk. IKT drošības), darba apjoms un pienākumi nesamazināsies, ja citos grupas uzņēmumos tiks iecelti papildu Kiberdrošības pārvaldnieka funkciju veicēji, jo fiziskā infrastrukūra, IKT pārvaldība (žurnālfailu analīze, rezerves kopiju veidošana, utt) paliek uzņēmuma pārziņā, kurš veic šo funkciju.
Pamatojums:
Iebilstam pret Noteikumu projekta 17. punkta redakciju, kura nosaka ierobežojumu fiziskai personai būt ķiberdrošības pārvaldniekam tikai vienam subjektam, kas ir IKT kritiskās infrastruktūras īpašnieks vai valdītājs. Ņemot vērā, ka subjekts varētu ietilpt uzņēmumu grupas koncernā (piemēram mātes uzņēmums, meitas uzņēmumi) un nereti kiberdrošība, IT pārvaldība ir uzņēmumu grupā kopīgi realizēta funkcija, tādēļ šāds ierobežojums nebūtu attiecināms uz vienas grupas uzņēmumiem. Papildus vēlamies uzsvērt, ka uzņēmumu grupas Kiberdrošības pārvaldniekam, kur pastāv pilna IKT funkcijas integrācija (t.sk. IKT drošības), darba apjoms un pienākumi nesamazināsies, ja citos grupas uzņēmumos tiks iecelti papildu Kiberdrošības pārvaldnieka funkciju veicēji, jo fiziskā infrastrukūra, IKT pārvaldība (žurnālfailu analīze, rezerves kopiju veidošana, utt) paliek uzņēmuma pārziņā, kurš veic šo funkciju.
Piedāvātā redakcija
Priekšlikums Izteikt 17.punktu sekojošā redakcijā:
“17. Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citā subjektā vai juridiskā personā. Šis ierobežojums neattiecas uz vienas grupas uzņēmumiem, kuriem ir centralizēta IKT pārvaldība, un kuru kopumā ir ne vairāk kā viens IKT kritiskās infrastruktūras īpašnieks vai valdītājs ”.
“17. Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citā subjektā vai juridiskā personā. Šis ierobežojums neattiecas uz vienas grupas uzņēmumiem, kuriem ir centralizēta IKT pārvaldība, un kuru kopumā ir ne vairāk kā viens IKT kritiskās infrastruktūras īpašnieks vai valdītājs ”.
3.
Noteikumu projekts
Iebildums
Iebilstam pret šo Noteikumu projekta 4.pielikumu.
Pamatojums:
Iebilstam pret Noteikumu projekta 4.pielikumu, kurā tiek noteikts kritērijs, kā tiek noteikta B drošības klase informācijas resursiem. Esošā redakcija nosaka, ka par B klases informācijas resursu nosakāms tāds resurss, kurš ierobežotas pieejamības informāciju vai vismaz 1000 datu subjektu īpašu kategoriju personas datus. Uzskatām 1000 datu subjektu īpašu kategoriju personas dati ir pārāk zems slieksnis, jo šim kritērijam atbildīs gandrīz katra ģimenes ārsta prakse, kurā tiek izmantota elektroniska pacientu uzskaites sistēma, kā arī kritērijs par ierobežotas pieejamības informāciju var attiekties uz jebkuru valsts vai pašvaldības iestādes informācijas resursu.
Pamatojums:
Iebilstam pret Noteikumu projekta 4.pielikumu, kurā tiek noteikts kritērijs, kā tiek noteikta B drošības klase informācijas resursiem. Esošā redakcija nosaka, ka par B klases informācijas resursu nosakāms tāds resurss, kurš ierobežotas pieejamības informāciju vai vismaz 1000 datu subjektu īpašu kategoriju personas datus. Uzskatām 1000 datu subjektu īpašu kategoriju personas dati ir pārāk zems slieksnis, jo šim kritērijam atbildīs gandrīz katra ģimenes ārsta prakse, kurā tiek izmantota elektroniska pacientu uzskaites sistēma, kā arī kritērijs par ierobežotas pieejamības informāciju var attiekties uz jebkuru valsts vai pašvaldības iestādes informācijas resursu.
Piedāvātā redakcija
Priekšlikums Izteikt 4.pielikuma B klases Konfidencialitātes kritēriju šādā redakcijā:
“informācijas resurss satur vismaz 5000 datu subjektu īpašu kategoriju personas datus;”
“informācijas resurss satur vismaz 5000 datu subjektu īpašu kategoriju personas datus;”
4.
Noteikumu projekts
Priekšlikums
Precizēt prasības par ārpakalpojuma sniedzēja ziņošanas pienākumu
Esošais punkts: "67. Ārpakalpojuma līgumā nosaka drošības kontroles prasības, tostarp pienākumu ārpakalpojuma sniedzējam nekavējoties ziņot klientam par visām atklātajām programmatūras ievainojamībām un kiberincidentiem."
Ieteiktais precizējums: Papildināt punktu ar jaunu apakšpunktu: "67.1. Ārpakalpojuma sniedzējs var izpildīt ziņošanas pienākumu, izmantojot publisku un centralizētu informācijas kanālu, piemēram, oficiālus drošības biļetenus vai centralizētus incidentu pārvaldības portālus, ja tas garantē savlaicīgu un visaptverošu informācijas pieejamību klientam."
Pamatojums: Mākoņpakalpojumu sniedzēji parasti neziņo katram klientam individuāli par visām ievainojamībām. Piedāvātais precizējums ļauj sniedzējiem efektīvi izpildīt šo prasību, nodrošinot centralizētu, caurskatāmu un operatīvu informāciju par drošības riskiem, kas atbilst Eiropas Parlamenta un Padomes direktīvas (ES) 2022/2555 (NIS2 direktīvas) prasībām par savlaicīgu incidentu atklāšanu un informācijas izplatīšanu.
Esošais punkts: "67. Ārpakalpojuma līgumā nosaka drošības kontroles prasības, tostarp pienākumu ārpakalpojuma sniedzējam nekavējoties ziņot klientam par visām atklātajām programmatūras ievainojamībām un kiberincidentiem."
Ieteiktais precizējums: Papildināt punktu ar jaunu apakšpunktu: "67.1. Ārpakalpojuma sniedzējs var izpildīt ziņošanas pienākumu, izmantojot publisku un centralizētu informācijas kanālu, piemēram, oficiālus drošības biļetenus vai centralizētus incidentu pārvaldības portālus, ja tas garantē savlaicīgu un visaptverošu informācijas pieejamību klientam."
Pamatojums: Mākoņpakalpojumu sniedzēji parasti neziņo katram klientam individuāli par visām ievainojamībām. Piedāvātais precizējums ļauj sniedzējiem efektīvi izpildīt šo prasību, nodrošinot centralizētu, caurskatāmu un operatīvu informāciju par drošības riskiem, kas atbilst Eiropas Parlamenta un Padomes direktīvas (ES) 2022/2555 (NIS2 direktīvas) prasībām par savlaicīgu incidentu atklāšanu un informācijas izplatīšanu.
Piedāvātā redakcija
-
5.
Noteikumu projekts
Priekšlikums
Papildināt punktu par datu lokalizāciju un pārrobežu pārsūtīšanu
Esošais punkts: "87. Ārpakalpojuma līgumā ietver prasību, ka datu apstrāde un glabāšana A klases informācijas sistēmām notiek tikai ES vai EEZ dalībvalstu teritorijā."
Ieteiktais precizējums: Papildināt punktu ar jaunu apakšpunktu: "87.6. Izņēmums pieļaujams gadījumā, ja ārpakalpojuma sniedzējs izmanto globālus kiberdrošības risinājumus (piemēram, drošības monitorings, draudu analīze), ja tiek garantēts, ka dati tiek pārsūtīti un apstrādāti tikai drošības pārvaldības nolūkos, izmantojot atbilstošus juridiskos aizsardzības mehānismus, piemēram, ES standartlīguma klauzulas vai ES-U.S. Data Privacy Framework."
Pamatojums: Mūsdienīgi kiberdrošības risinājumi bieži pieprasa globālu datu analīzi drošības incidentu identificēšanai un reaģēšanai. Šī precizējuma iekļaušana nodrošinās iespēju izmantot modernus kiberdrošības pakalpojumus, vienlaikus saglabājot atbilstību ES datu aizsardzības regulai (GDPR) un Eiropas Parlamenta un Padomes direktīvai (ES) 2022/2555 par augsta kopējā kiberdrošības līmeņa pasākumiem Savienībā (NIS2 direktīva).
Esošais punkts: "87. Ārpakalpojuma līgumā ietver prasību, ka datu apstrāde un glabāšana A klases informācijas sistēmām notiek tikai ES vai EEZ dalībvalstu teritorijā."
Ieteiktais precizējums: Papildināt punktu ar jaunu apakšpunktu: "87.6. Izņēmums pieļaujams gadījumā, ja ārpakalpojuma sniedzējs izmanto globālus kiberdrošības risinājumus (piemēram, drošības monitorings, draudu analīze), ja tiek garantēts, ka dati tiek pārsūtīti un apstrādāti tikai drošības pārvaldības nolūkos, izmantojot atbilstošus juridiskos aizsardzības mehānismus, piemēram, ES standartlīguma klauzulas vai ES-U.S. Data Privacy Framework."
Pamatojums: Mūsdienīgi kiberdrošības risinājumi bieži pieprasa globālu datu analīzi drošības incidentu identificēšanai un reaģēšanai. Šī precizējuma iekļaušana nodrošinās iespēju izmantot modernus kiberdrošības pakalpojumus, vienlaikus saglabājot atbilstību ES datu aizsardzības regulai (GDPR) un Eiropas Parlamenta un Padomes direktīvai (ES) 2022/2555 par augsta kopējā kiberdrošības līmeņa pasākumiem Savienībā (NIS2 direktīva).
Piedāvātā redakcija
-
6.
Noteikumu projekts
Priekšlikums
Precizēt prasības par datu apstrādes pārredzamību līgumos
Esošais punkts: "87.2. ārpakalpojuma līgumā ietver norādes uz Nacionālās kiberdrošības likumā un šajos noteikumos noteiktajām prasībām."
Ieteiktais precizējums: Mainīt formulējumu uz: "87.2. ārpakalpojuma līgumā ietver prasību ārpakalpojuma sniedzējam nodrošināt atbilstību Nacionālās kiberdrošības likuma un šo noteikumu prasībām, detalizēti norādot datu apstrādes mērķus, metodes un piemērojamos drošības pasākumus."
Pamatojums: Mākoņpakalpojumu sniedzēju standartlīgumi bieži vispārīgi apraksta atbilstību normatīvajiem aktiem bez tiešām atsaucēm uz konkrētu valstu regulējumu. Šis formulējums ļauj elastīgāk piemērot starptautiskos līgumus, vienlaikus nodrošinot nepieciešamo drošības prasību izpildi atbilstoši Eiropas Parlamenta un Padomes direktīvas (ES) 2022/2555 (NIS2 direktīvas) prasībām par detalizētu datu pārvaldību un drošības pasākumu caurspīdīgumu.
Esošais punkts: "87.2. ārpakalpojuma līgumā ietver norādes uz Nacionālās kiberdrošības likumā un šajos noteikumos noteiktajām prasībām."
Ieteiktais precizējums: Mainīt formulējumu uz: "87.2. ārpakalpojuma līgumā ietver prasību ārpakalpojuma sniedzējam nodrošināt atbilstību Nacionālās kiberdrošības likuma un šo noteikumu prasībām, detalizēti norādot datu apstrādes mērķus, metodes un piemērojamos drošības pasākumus."
Pamatojums: Mākoņpakalpojumu sniedzēju standartlīgumi bieži vispārīgi apraksta atbilstību normatīvajiem aktiem bez tiešām atsaucēm uz konkrētu valstu regulējumu. Šis formulējums ļauj elastīgāk piemērot starptautiskos līgumus, vienlaikus nodrošinot nepieciešamo drošības prasību izpildi atbilstoši Eiropas Parlamenta un Padomes direktīvas (ES) 2022/2555 (NIS2 direktīvas) prasībām par detalizētu datu pārvaldību un drošības pasākumu caurspīdīgumu.
Piedāvātā redakcija
-
7.
Noteikumu projekts
Priekšlikums
Atzīt starptautisku sertifikāciju kā atbilstības apliecinājumu
Esošais punkts: "92. Subjekts regulāri auditē ārpakalpojuma sniedzēja atbilstību."
Ieteiktais precizējums: Papildināt punktu ar jaunu apakšpunktu: "92.1. Subjekts drīkst izmantot ārpakalpojuma sniedzēja esošos neatkarīgu auditu un sertifikāciju rezultātus (piemēram, ISO/IEC 27001, ISO/IEC 27017 vai ES kiberdrošības sertifikācijas shēmas), lai pierādītu atbilstību šiem noteikumiem, veicot papildu auditus tikai tad, ja pastāv pamatotas šaubas vai risks."
Pamatojums: Starptautiski atzītu sertifikāciju izmantošana būtiski atvieglo drošības pārbaudes procesu, samazinot lieku administratīvo slogu un izvairoties no auditu dublēšanās, vienlaikus nodrošinot augstu drošības līmeni, kā to paredz Eiropas Parlamenta un Padomes regula (ES) 2019/881 par ENISA (Eiropas Savienības Kiberdrošības aģentūru) un kiberdrošības sertifikāciju.
Esošais punkts: "92. Subjekts regulāri auditē ārpakalpojuma sniedzēja atbilstību."
Ieteiktais precizējums: Papildināt punktu ar jaunu apakšpunktu: "92.1. Subjekts drīkst izmantot ārpakalpojuma sniedzēja esošos neatkarīgu auditu un sertifikāciju rezultātus (piemēram, ISO/IEC 27001, ISO/IEC 27017 vai ES kiberdrošības sertifikācijas shēmas), lai pierādītu atbilstību šiem noteikumiem, veicot papildu auditus tikai tad, ja pastāv pamatotas šaubas vai risks."
Pamatojums: Starptautiski atzītu sertifikāciju izmantošana būtiski atvieglo drošības pārbaudes procesu, samazinot lieku administratīvo slogu un izvairoties no auditu dublēšanās, vienlaikus nodrošinot augstu drošības līmeni, kā to paredz Eiropas Parlamenta un Padomes regula (ES) 2019/881 par ENISA (Eiropas Savienības Kiberdrošības aģentūru) un kiberdrošības sertifikāciju.
Piedāvātā redakcija
-
8.
Noteikumu projekts
Priekšlikums
Precizēt prasības par personāla piekļuvi un administrēšanu
Esošais punkts: "101.2. ārpakalpojuma līguma izpildē iesaistītā fiziskā persona ir NATO, ES, EBTA vai IP4 valsts pilsonis."
Ieteiktais precizējums: Mainīt punktu uz: "101.2. ārpakalpojuma līguma izpildē iesaistītajām fiziskajām personām, kam ir tieša administratīva piekļuve A klases informācijas sistēmām vai sensitīviem datiem, ir jābūt NATO, ES, EBTA vai IP4 valsts pilsoņiem. Citos gadījumos piekļuve ir pieļaujama, izmantojot attālinātu pārraudzību un ierobežotas piekļuves tiesības."
Pamatojums: Mākoņpakalpojumu sniedzēji bieži izmanto globālu darbaspēku. Šī precizētā prasība ļauj elastīgi nodrošināt drošību, koncentrējoties uz piekļuves kontroles pasākumiem un datu drošību, nevis tikai fiziskās personas pilsonību. Tas ir saskaņā ar Eiropas Parlamenta un Padomes direktīvas (ES) 2022/2555 (NIS2 direktīvas) prasībām, kas uzsver piekļuves kontroles mehānismu nepieciešamību.
Esošais punkts: "101.2. ārpakalpojuma līguma izpildē iesaistītā fiziskā persona ir NATO, ES, EBTA vai IP4 valsts pilsonis."
Ieteiktais precizējums: Mainīt punktu uz: "101.2. ārpakalpojuma līguma izpildē iesaistītajām fiziskajām personām, kam ir tieša administratīva piekļuve A klases informācijas sistēmām vai sensitīviem datiem, ir jābūt NATO, ES, EBTA vai IP4 valsts pilsoņiem. Citos gadījumos piekļuve ir pieļaujama, izmantojot attālinātu pārraudzību un ierobežotas piekļuves tiesības."
Pamatojums: Mākoņpakalpojumu sniedzēji bieži izmanto globālu darbaspēku. Šī precizētā prasība ļauj elastīgi nodrošināt drošību, koncentrējoties uz piekļuves kontroles pasākumiem un datu drošību, nevis tikai fiziskās personas pilsonību. Tas ir saskaņā ar Eiropas Parlamenta un Padomes direktīvas (ES) 2022/2555 (NIS2 direktīvas) prasībām, kas uzsver piekļuves kontroles mehānismu nepieciešamību.
Piedāvātā redakcija
-