Atzinums

Noteikumu nosaukums neatbilst tā jēgai un būtībai - 187. punktus un 15. pielikumus nekādi nevar pielīdzināt terminam "minimālās prasības". 

-

Noteikumu 18.punkts nosaka, ka “fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citā subjektā vai juridiskā personā”. Šāda prasības noteikšana būtiski paaugstinās iestādes izmaksas Kiberdrošības pārvaldnieka nodrošināšanai. Tā piemēram, ir sagaidāms, ka šādu pakalpojumu nepiedāvās ārpakalpojuma sniedzēji, kas vairs nevarēs sniegt šādus pakalpojumus vairākiem klientiem, vai arī šāds ārpakalpojums tiks piedāvāts par nesamērīgi lielu samaksu, kas būs saistīta ar ierobežojumu šādus pakalpojumus sniegt vairākiem IKT kritiskās infrastruktūras īpašniekiem vai tiesiskiem valdītajiem vienlaicīgi. Tāpat arī vēlamies norādīt, ka nelieliem pašvaldības uzņēmumiem vai iestādēm ar ierobežotu skaitu darbinieku, kur Kiberdrošības pārvaldnieka pienākumus varētu nodrošināt darbinieks uz nepilnu slodzi, šādas prasības noteikšana būtiski palielinās izmaksas, jo attiecīgais darbinieks varēs būt Kiberdrošības pārvaldnieks tikai vienā pašvaldības uzņēmumā vai iestādē, kurai ir noteiks IKT kritiskās infrastruktūras statuss.

Mūsu ieteikums ir Noteikuma 18.punktu dzēst vai arī noteikt, ka “minētais ierobežojums nav attiecināms, ja IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs ir publiskās personas institūcijas vai privāto tiesību juridiskā persona, kas pilda valsts pārvaldes deleģētu uzdevumu”.

Noteikumu 19.punkts nosaka, ka “Fiziskā persona vienlaicīgi var būt noteikta par kiberdrošības pārvaldnieku ne vairāk kā piecos būtisko pakalpojumu sniedzējos. Minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas, un tas nav pretrunā ar normatīvajiem aktiem par amatu savienošanu.” Šāda prasības noteikšana paaugstinās valsts un pašvaldības kapitālsabiedrību, kas pilda valsts pārvaldes deleģētu uzdevumu, izmaksas Kiberdrošības pārvaldnieka nodrošināšanai. Tā piemēram, slimnīcām un  veselības iestādēm, kas atbilst mazā uzņēmuma statusam (tajās ir nodarbināts neliels skaits darbinieku, dažkārt nepārsniedzot 10 darbinieks), bet kuras pilda valsts pārvaldes deleģētu uzdevumu, būs nepieciešams iecelt Kiberdrošības pārvaldnieku, un augstāk minētā prasība visticamāk būtiski palielinās izmaksas, jo attiecīgais darbinieks varēs būt iecelts maksimāli tikai piecos uzņēmumos vienlaicīgi.

Mūsu ieteikums ir Noteikuma 19.punktu dzēst vai arī noteikt, ka “minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēj ir publiskās personas institūcijas vai privāto tiesību juridiskā persona, kas pilda valsts pārvaldes deleģētu uzdevumu”.

Noteikumu 80.1.punkts nosaka, ka “Uzglabājot A un B klases informācijas sistēmu rezerves kopijas, subjekts nodrošina, ka rezerves kopijām gan fiziski, gan elektroniskajā vidē var piekļūt tikai par rezerves kopiju atbildīgā persona un kiberdrošības pārvaldnieks”. Mēs vēlamies norādīt, ka šādas prasības noteikšana radīs papildus izmaksas un radīs papildus nevajadzīgus riskus. Tā piemēram, rezerves kopijas nereti fiziski glabājas telpās, kurās pieeja ārkārtas gadījumos (piemēram, ugunsgrēks, plūdi vai tml.) ir piešķirta arī iestādes / uzņēmuma vadītājam, apsargam un / vai citiem darbiniekiem, kas attiecīgi nodrošina IKT infrastruktūras un informāciju sistēmu uzturēšanu. Lai arī Kiberdrošības pārvaldnieka pienākumos ir uzraudzīt rezerves kopiju veidošanas procesu, šo pienākumu izpildei Kiberdrošības pārvaldniekam nebūs nepieciešams elektroniskā veidā piekļūt rezerves kopijām, t.sk. veikt darbības ar rezerves kopijām (piemēram, informācijas atjaunošanu no rezerves kopijām), ko veiktu tikai atbilstošs IKT personāls, kuram ir pieredze un zināšanas attiecībā uz rezerves kopiju veidošanu un / vai atjaunošanu, izmantojot attiecīgo programmatūru.

-

Noteikumu 85.punkts nosaka, ka “IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs par šo noteikumu 77. punktā minēto personu nedrīkst noteikt tā kiberdrošības pārvaldnieku”. Vēlamies norādīt, ka noteikumu 77.punkts nenosaka pienākumus, līdz ar ko nav saprotama atsauce uz 77.punktu.

-

Noteikumu 86.punkts nosaka, ka “IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, pirms šo noteikumu 77. punktā minēto personu noteikšanas, nosūta Satversmes aizsardzības birojam uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu veidlapu par kiberdrošību atbildīgajām personām (3.pielikums).” Vēlamies norādīt, ka 3.pielikums ir “Paziņojums par kiberdrošības pārvaldnieku”, bet savukārt 85.punkts nosaka, ka “…šo noteikumu 77. punktā minēto personu nedrīkst noteikt tā kiberdrošības pārvaldnieku”, līdz ar ko ir vērojamas pretrunas noteikumu 85.punktā un 86.punktā.

-

Noteikumu 122.punkts nosaka, ka “Būtisko pakalpojumu sniedzējs, slēdzot vispārīgo vienošanos, ietver atsauci uz šo noteikumu 118. punktā minētajiem ierobežojumiem, kas piemērojami vienošanās ietvaros slēdzot ārpakalpojuma līgumus.” Vēlamies norādīt, ka 118.punkts savukārt iekļauj nosacījumu, ka līgumu ir atļauts slēgt “ja ārpakalpojuma sniedzējs  tehniskā resursa iegādei atbilst šo noteikumu 112. punktā noteiktajām prasībām”. Savukārt 112.punkts nosaka izņēmuma gadījumus, kad 111.punktā minētās prasības nepiemēro, tādejādi visos citos gadījumos tiek piemērotas 111.punkta prasības, kas nosaka, ka “ārpakalpojuma līgumu par pakalpojuma sniegšanu atļauts slēgt tikai pēc Satversmes aizsardzības biroja atzinuma saņemšanas, izņemot, ja ārpakalpojuma sniedzēja kapitāldaļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona”. Mūsuprāt, šādas prasības ir pārmērīgas un saprotam, ka visticamāk iekļaujot atsauces ir pieļautas kļūdas.

-

Noteikumu 4.pielikumā, B klases “d) konfidencialitātes klases” skaidrojumā ir iekļauts, ka “informācijas resurss satur ierobežotas pieejamības informāciju vai īpašu kategoriju personas datus”. Vēlamies norādīt, ka “ierobežotas pieejamības informācija” atbilstoši Informācijas atklātības likuma 5.panta 2.punktam ir arī informācija “par fiziskās personas privāto dzīvi”. Ievērojot Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumus, ““personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”. Līdz ar augstāk minēto izriet, ka, ja gadījumā informācijas sistēmā (resursā) būs iekļauti personas dati (piemēram, iesniegums no fiziskas personas, kurā ir iekļauts šīs fiziskās personas vārds, uzvārds un personas kods), tad šī informācijas sistēma (resurss) tiks klasificēts kā B klases informācijas resurss. Mūsuprāt, šāda prasība nav samērīga un mēs ieteiktu B klases “d) konfidencialitātes klases” skaidrojumu aizvietot ar šādu redakciju “informācijas resurss satur vismaz 5000 lietotāju īpašu kategoriju datus”.

-