Atzinums

SAB skatījumā datu centra operators ir tas, kas sniedz datu centra pakalpojumus Latvijas Republikas teritorijā. Savukārt, ja subjekta turējumā vai valdījumā ir datu centrs, tad subjektu nevarētu vienmēr definēt kā datu centra operatoru. Lūdzam precizēt definīciju vai papildināt noteikumu projektu ar jaunu punktu.

-

Vēršam uzmanību uz noteikumu projekta 6., 8. un 29. punktu. Lasot šos nosacījumus kopsakarā, ir saskatāmas pretrunas noteikumos ietvertajos nosacījumos. Vēršam uzmanību, ka 29.punktā ir atsauce uz 6.punktu, bet šajā punktā ir ietverts paplašinājums - informācijas sistēmas var uzturēt privātajā mākonī vai datu centros, kas nav Drošie datu centri. Tā kā normatīvajam regulējumam pēc iespējas ir jābūt skaidram un nepārprotamam, lūdzam atkārtoti izvērtēt minētajos punktos noteikto un definēt skaidrus nosacījumus, kā arī kritērijus, par datu glabāšanu. 

-

Vēršam uzmanību uz noteikumu projekta 6., 8. un 29. punktu. Lasot šos nosacījumus kopsakarā, ir saskatāmas pretrunas noteikumos ietvertajos nosacījumos. Vēršam uzmanību, ka 29.punktā ir atsauce uz 6.punktu, bet šajā punktā ir ietverts paplašinājums - informācijas sistēmas var uzturēt privātajā mākonī vai datu centros, kas nav Drošie datu centri. Tā kā normatīvajam regulējumam pēc iespējas ir jābūt skaidram un nepārprotamam, lūdzam atkārtoti izvērtēt minētajos punktos noteikto un definēt skaidrus nosacījumus, kā arī kritērijus, par datu glabāšanu. 

-

IKT KI uzraudzība ir SAB kompetence. Lūdzam strukturēt noteikumu projekta IV.nodaļu skaidri un precīzi nošķirot kompetences SAB un Nacionālajam kiberdrošības centram. 

-

Lūdzam papildināt punktu ar SAB kompetenci. 

12. Datu centru atbilstību drošības prasībām apstiprina Digitālās drošības uzraudzības komiteja (turpmāk – Uzraudzības komiteja) sadarbībā ar Satversmes aizsardzības biroju.

Tā kā nodaļa attiecās uz nosacījumiem kā datu centrs tiek iekļauts drošajā datu centra reģistrā, lūdzam ietvert nosacījumu, ka dokumenti tiek iesniegti arī SAB. Papildus ir vērtējama nepieciešamība SAB iekļaut Digitālās drošības uzraudzības komitejas sastāvā.

-

Lūgums atkārtoti izvērtēt un skaidrot vai noteikumu projektā kiberdrošības auditors (projekta 11.2. punkts) un kvalificēts auditors ir lietots ar nolūku šādā nozīmē vai tie ir tomēr domāti kā sinonīmi. 

13.2.1. šo noteikumu 10. un 11.punktā norādītos sertifikātus un atzinumu;

Vēršam uzmanību uz noteikumu projekta 6., 8. un 29. punktu. Lasot šos nosacījumus kopsakarā, ir saskatāmas pretrunas noteikumos ietvertajos nosacījumos. Vēršam uzmanību, ka 29.punktā ir atsauce uz 6.punktu, bet šajā punktā ir ietverts paplašinājums - informācijas sistēmas var uzturēt privātajā mākonī vai datu centros, kas nav Drošie datu centri. Tā kā normatīvajam regulējumam pēc iespējas ir jābūt skaidram un nepārprotamam, lūdzam atkārtoti izvērtēt minētajos punktos noteikto un definēt skaidrus nosacījumus, kā arī kritērijus, par datu glabāšanu. Lūdzam pārdomāt, vai šādus nosacījumus nav ērtāk apkopot tabulā un pievienot noteikumiem kā pielikumu.
Papildus vēršam uzmanību arī uz noteikumu projekta 30.punktu, kurā ir atsauce uz 29.punktu.

-

Vēršam uzmanību uz noteikumu projekta 6., 8. un 29. punktu. Lasot šos nosacījumus kopsakarā, ir saskatāmas pretrunas noteikumos ietvertajos nosacījumos. Vēršam uzmanību, ka 29.punktā ir atsauce uz 6.punktu, bet šajā punktā ir ietverts paplašinājums - informācijas sistēmas var uzturēt privātajā mākonī vai datu centros, kas nav Drošie datu centri. Tā kā normatīvajam regulējumam pēc iespējas ir jābūt skaidram un nepārprotamam, lūdzam atkārtoti izvērtēt minētajos punktos noteikto un definēt skaidrus nosacījumus, kā arī kritērijus, par datu glabāšanu. Lūdzam pārdomāt, vai šādus nosacījumus nav ērtāk apkopot tabulā un pievienot noteikumiem kā pielikumu.

-

Lūdzam precizēt noteikumu projekta redakciju, papildinot ar Satversmes aizsardzībs biroja kompetenci. 

33. Subjekts nodrošina aktuālas informācijas uzturēšanu par tā īpašumā vai valdījumā esošām informācijas sistēmām vai to daļām, kas atbilst šo noteikumu 6. punktā minētajiem kritērijiem, norādot datu centrus, kuros tās tiek izvietotas un uzturētas, kā arī savlaicīgu šīs informācijas iesniegšanu un aktualizēšanu Nacionālajam kiberdrošības centram vai Satversmes aizsardzības birojam atbilstoši subjektu uzraudzības kompetencei.

Ja drošības operāciju centrs tiek izvietots datu centrā, kas ir IKT KI, tad SAB ir jābūt par šo informētam un iesaistītam savas kompetences ietvaros. 

-

Lūdzam papildus paredzēt, ka tie subjekti, kas ir IKT KI, tie informē ne tikai datu centa operatorus, bet arī Satversmes aizsardzības biroju. 

-

Lūdzam izvērtēt nepieciešamību noteikt prasības atkarībā no subjekta veida IKT KI, būtisko pakalpojumu sniedzējs un svarīgo pakalpojumu sniedzējs. SAB vērtējumā subjektiem ir noteiktas pārmērīgi augstas prasības.

-

Lūdzam skaidrot vai precizēt, vai ar līdzvērtīgam informācijas drošības pārvaldības standartiem ir domāti šo noteikumu projekta 3.pielikumā minētie starptautiskie sertifikāti.

-

Lūdzam pārdomāt šo iekļauto skaidrojumu - "auditors, kurš iekļauts Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām minētajā auditoru sarakstā". Noteikumu tekstā šādu skaidrojumu iekavās nav īsti korekti ietvert. Ja tāds ir nepieciešams, tad lūdzam pārdomāt šī punkta redakciju, ja tāds nav absolūti nepieciešams, skaidrojumu var ietvert anotācijā un no noteikumu projekta svītrot.

-

Atsauce uz norādi par Ministru kabineta noteikumu tvērumu nav korekta, lūdzam precizēt aprakstu, ko konkrētie noteikumi nosaka.

-