Atzinums

No minētā likumprojekta panta daļas un likumprojekta anotācijas nav skaidrs termina "akreditācija" definējums, proti, kādas atbilstības novērtēšanas darbības tiks akreditētas un atbilstoši kādam akreditācijas standartam. Informācija ir būtiski svarīga, lai savlaicīgi apzinātos, kādas kompetences būs nepieciešamas valsts aģentūrai "Latvijas Nacionālais akreditācijas birojs".

-

Lai mazinātu normu nenoteiktību un uzlabotu teksta skaidrību, aicinām precizēt sniegto definīciju, nosakot, ka liels uzņēmums atbilst Regulas (ES) Nr.651/2014 2.panta 24.punkta prasībām.

-

Lai mazinātu normu nenoteiktību un uzlabotu teksta skaidrību, aicinām precizēt sniegto definīciju, nosakot, ka vidējs uzņēmums atbilst Regulas (ES) Nr.651/2014 2.panta 2.punkta prasībām.

-

Likumprojekta 19.pantā norādīta atsauce uz likumā noteiktiem pakalpojuma sniedzēja pienākumiem un tiesībām. Lūdzu skaidrot, kur likumprojektā ir ietvertas pakalpojuma sniedzēja tiesības

-

Lūdzu skaidrot, pēc kādiem kritērijiem pakalpojumu sniedzējs veiks pašizvērtējumu, lai noteiktu, vai tas atbilst būtiska vai svarīga pakalpojuma sniedzēja statusam (vai tikai atbilstoši likumprojektā noteiktajam uzņēmuma lielumam un definētajai nozarei?). Lūdzu skaidrot, kā ir plānots veikt minēto pakalpojumu sniedzēju uzskaites uzraudzību?

-

Šajā punktā būtu nepieciešams precīzāks formulējums veicamo darbību secībai. Esošā redakcija nosaka to, subjekts uzsāk darbības kiberincidenta novēršanai, paralēli informē kompetento institūciju un ievēro tās sniegtās rekomendācijas. Šādā redakcijā pastāv risk, ka subjekts patvaļīgi veic darbības, kas, iespējams, ir pat pretējas kompetentās institūcijas rekomendācijām, jo esošā redakcija nosaka, ka sākumā ir jārīkojas, tad paralēli jāziņo atbildīgajai institūcijai un tikai tad jāpilda sniegtās rekomendācijas. Vienlaikus, tā kā atbildīgajai institūcijai noteikts pienākums sniegt atgriezenisko saiti 24h laikā, rodas vēl viens risks, ka neveicot vispār nekādas darbības un gaidot rekomendācijas, situācija var kritiski pasliktināties. 
 

Konstatējot kiberincidentu, subjekts nekavējoties informē par kiberincidentu kompetento kiberincidentu novēršanas institūciju un izpilda tās sniegtās rekomendācijas par rīcību kiberincidenta gadījumā. Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberincidenta gadījumā nekavējoties informē par notikušo arī kompetento valsts drošības iestādi.

Lūdzu precizēt Anotācijā ietvertās atsauces uz likumprojekta konkrētiem pantiem (numerācija), kas neatbilst likumprojektam.

-