Atzinums

Noteikumu projekta 29. punktā noteiktās prasības attiecībā uz kiberdrošības politikas sastāvdaļām ir pārmērīgas un pēc būtības noteic pienākumu politikā pārrakstīt ārējos un citus iekšējos normatīvos aktus, kas neatbilst labajai praksei (t.sk. Valsts kancelejas izstrādātajā Normatīvo aktu projektu izstrādes rokasgrāmatā noteiktajam, kas gan nav piemērojama iekšējo normatīvo aktu sagatavošanā, tomēr būtu ņemama vērā kā vadlīnijas). Noteikumu projekta 29.1. apakšpunktā noteiktais pienākums iekļaut kiberdrošības politikā “vispārīgu informāciju par subjektu, tā darbības jomu” mūsu gadījumā nozīmētu pārrakstīt atsevišķus statūtu punktus, savukārt 29.5. apakšpunktā noteiktais pienākums iekļaut “informāciju par Nacionālās kiberdrošības likuma, šo noteikumu un citu subjektam saistošo normatīvo aktu prasībām kiberdrošības jomā” – pārrakstīt ārējo normatīvo aktu prasības. Turklāt noteikumu projekta 29.4. apakšpunktā noteikts, ka politikā iekļaujama informācija par nozīmīgākajiem kiberapdraudējumu veidiem, kas pēc būtības atbilst kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamai informācijai (noteikumu projekta 41.1. apakšpunkts). Ņemot vērā, ka politika kā jumta dokuments praksē ir pieejama visiem darbiniekiem, lūdzam izvērtēt, vai tajā būtu iekļaujama šāda detalizēta informācija attiecībā nozīmīgākajiem kiberapdraudējumu veidiem. Ierosinām precizēt šos noteikumu projekta punktus, izņemot pienākumu politikā iekļaut vispārīgu informāciju par subjektu (29.1. apakšpunkts), nozīmīgākajiem kiberapdraudējumu veidiem (29.4. apakšpunkts) un precizējot 29.5. apakšpunktā minēto, nosakot, ka kiberdrošības politikā iekļaujama tikai atsauce (piemēram, politikas preambulā) uz ārējiem normatīvajiem aktiem un standartiem, kas attiecināmi uz subjekta īpašumā un valdījumā esošajiem IKT resursiem un informācijas sistēmām.

Papildus vēršam uzmanību uz noteikumu projekta 29.3. apakšpunktā noteikto pienākumu kiberdrošības politikā sniegt informāciju par kiberdrošības pārvaldības struktūru, atbildīgo personu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā. Norādām, ka pārvaldības struktūra, struktūrvienību funkcijas un atbildīgo personu pienākumi tiek noteikti zemāka līmeņa iekšējos dokumentos (struktūrvienību nolikumos, darbinieku amatu aprakstos) un to iekļaušana politikas (jumta) līmeņa stratēģiskā dokumentā būtu nelietderīga un radītu nevajadzīgus sarežģījumus piemērošanā un atjaunošanā. Ņemot vērā, ka politikas līmeņa dokumenti parasti tiek apstiprināti augstākās pārvaldības institūcijās (valdē vai, kur tāda izveidota, padomē), savukārt struktūrvienību nolikumu un darbinieku amatu aprakstu apstiprināšana efektivizācijas un administratīvā sloga mazināšanas dēļ parasti ir deleģēta atbildīgajam valdes loceklim, šie dokumenti attiecīgi ir “elastīgāki” un var tikt pārskatīti biežāk atkarībā no nepieciešamības. Tādējādi šādu jautājumu dublēšana politikas līmeņa dokumentā ilgtermiņā radītu neatbilstības un/vai nepieciešamību politikas dokumentu pārskatīt biežāk kā praksē pieņemts. Ievērojot minēto, ierosinām pilnībā dzēst 29.3. apakšpunktu.
 

Izņemt pienākumu politikā iekļaut vispārīgu informāciju par subjektu (29.1. apakšpunkts), nozīmīgākajiem kiberapdraudējumu veidiem (29.4. apakšpunkts), precizēt 29.5. apakšpunktā minēto, nosakot, ka kiberdrošības politikā iekļaujama tikai atsauce (piemēram, politikas preambulā) uz ārējiem normatīvajiem aktiem un standartiem, kas attiecināmi uz subjekta īpašumā un valdījumā esošajiem IKT resursiem un informācijas sistēmām, kā arī pilnībā dzēst 29.3. apakšpunktu.

Noteikumu projekta 48. punktā minētās prasības attiecībā uz kiberincidentu žurnālu ir neelastīgas un apgrūtinās automatizāciju. Eiropas Parlamenta un Padomes direktīvas (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (turpmāk – NIS2) 51. apsvērumā cita starpā minēts aicinājums dalībvalstīm veicināt tādu tehnoloģiju izmantošanu, kas saistītas ar automatizētiem vai pusautomatizētiem kiberdrošības rīkiem. Vēršam uzmanību, ka tirgū pieejamie un Kiberdrošības likuma subjektu ieviestie SIEM risinājumi jau šobrīd ļauj (pus)automatizēti reģistrēt kiberincidentus. Noteikumu projekta 48. punkta prasību ieviešana praksē nozīmētu atteikšanos no šīs automatizācijas, ieviesto risinājumu pielāgošanu (kas attiecīgi prasīs papildu resursus, kas nav plānoti šī gada budžetā), kiberincidentu manuālu apstrādi vai dubultu reģistrēšanu atsevišķā, noteikumu projektam atbilstošā reģistrā (kas savukārt būtu nelietderīgi un neefektīvi). Ievērojot minēto, lūdzam vēlreiz izvērtēt 48. punktā minētās prasības, kā minimums 48.2. punktā un 6. pielikumā ietvertās tipoloģijas vietā paredzot iespēju izmantot citu starptautiski atzītu tipoloģiju, ja Kiberdrošības likuma subjekts izmanto automatizētu kiberincidentu reģistrēšanas risinājumu, kurā iestrādātā tipoloģija atšķiras no noteikumu projekta 6. pielikumā noteiktās

Ja tomēr nav izskatāma iespēja ļaut Kiberdrošības likuma subjektiem kiberdrošības incidentu reģistrēšanai izmantot jau iegādātos risinājumus bez to pielāgošanas un attiecīgi nepieciešams ieviest atsevišķu (papildu) kiberincidentu žurnālu, ierosinām precizēt noteikumu projekta 48. punktu, nosakot samērīgākas prasības, t.i., ka kiberincidentu žurnālā reģistrējami visi kiberincidenti un tikai tādi gandrīz notikuši kiberincidenti, kuru iespējamā ietekme atbilstoši subjekta izmantotajai metodikai novērtējama kā augsta. Tādā veidā būtu iespējams nodrošināt noteikumu projekta prasības attiecībā uz kiberincidentu žurnāliem bez pārmērīga administratīvā sloga

Kiberincidentu žurnālā iekļauj vismaz šādu informāciju par kiberincidentiem un gandrīz notikušiem kiberincidentiem, kuru iespējamā ietekme atbilstoši subjekta izmantotajai metodikai novērtējama kā augsta:

Uzturam jau iepriekš izteikto iebildumu par to, ka noteikumi attiecībā uz apmācību organizēšanu ir pārāk detalizēti un formalizēti. Ierosinam dzēst noteikumu projekta 80. punktā noteikto pienākumu ieviest procesu, lai novērtētu “īstenoto apmācību efektivitāti”. Šādu pienākumu neparedz NIS2 un ir skeptiski vērtējams šāda papildu pienākuma pienesums un lietderīgums, ņemot vērā administratīvo slogu, ko tas uzliek Nacionālā kiberdrošības likuma subjektiem. Apmācību efektivitāti kā tādu ir grūti novērtēt, ņemot vērā, ka darbinieku kiberhigēnas paradumus ietekmē ne tikai apmācību kvalitāte, bet arī apmācāmā personība, motivācija un citi no Nacionālā kiberdrošības likuma subjektiem neatkarīgi faktori, attiecīgi nav iespējams izveidot objektīvi un precīzi nosakāmu apmācību efektivitātes novērtēšanas procesu.

Papildus vēršam uzmanību, ka noteikumu projektā nav ietverts NIS2 20. panta 2. punktā noteiktais pienākums apmācības iziet arī “būtisko un svarīgo vienību pārvaldības struktūru locekļiem”, tādējādi nodrošinot viņu spējas “identificēt riskus un novērtēt kiberdrošības risku pārvaldības praksi, kā arī to ietekmi uz vienības sniegtajiem pakalpojumiem”. Noteikumu projekta 76.2. punktā ir minētas apmācības tikai subjekta nodarbinātajam IKT personālam. Augstāko pārvaldības struktūru (valdes, padomes) locekļi Latvijā nav uzskatāmi par nodarbinātajiem, tādēļ noteikumu projekta 76.2. punkts būtu papildināms, ietverot atsauci arī uz amatpersonām.
 

Subjekts uzskaita organizētās apmācības, kā arī ievieš procesus, lai novērtētu amatpersonu un nodarbināto, kuri lieto IKT, zināšanas kiberdrošības jautājumos.

Noteikumu projekta 120. punktā noteiktas nozīmīga kiberincidenta pazīmes, ietverot atsauci uz Eiropas Komisijas 2024. gada 17. oktobra īstenošanas regulas (ES) 2024/2690, kas attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem nosaka Direktīvas (ES) 2022/2555 piemērošanas noteikumus. Vēršam uzmanību, ka minētā regula neattiecas uz visiem Kiberdrošības likuma subjektiem un regulas 3. panta piemērošana ir neskaidra un apgrūtinoša sevišķi, ņemot vērā, ka tas satur atsauces uz citiem regulas specifiskajiem subjektiem piemērojamiem pantiem, kas nevar būt piemērojami visos gadījumos pēc analoģijas (regulas 5.-14. panti).

Gadījumā, ja regulas 3. panta 1. punktā minētās būtiska kiberincidenta pazīmes ir plānots attiecināt uz visiem Kiberdrošības likuma subjektiem, lai novērtētu kiberincidenta nozīmīgumu, šaubu novēršanai noteikumu projekta 120. punkts būtu precizējams, atsauces uz visiem nepiemērojamas regulas vietā ietverot konkrētas, uz visiem Kiberdrošības likuma subjektiem skaidri attiecināmas pazīmes kiberincidenta nozīmīguma izvērtēšanai.

 

-

NIS2 24. apsvērumā minēts, ka “dalībvalstīm būtu jāievieš automātisks un tiešs ziņošanas mehānisms, kas nodrošina sistemātisku un tūlītēju informācijas kopīgošanu ar CSIRT, kompetentajām iestādēm vai vienotajiem kontaktpunktiem”. Noteikumu projekta 121. punktā noteiktais pienākums ziņot par nozīmīgiem kiberincidentiem, izmantojot noteiktas formas veidlapas un tās pirms nosūtīšanas parakstot ar drošu elektronisko parakstu liedz pilnībā automatizēt ziņošanas procesu un apgrūtina tūlītēju informācijas kopīgošanu. Ierosinām izslēgt noteikumu šīs veidlapas parakstīt ar drošu elektronisko parakstu, kā arī noteikt, ka noteikumu projekta 121. punktā minētās veidlapas nav obligāti izmantojamas, ja Nacionālā kiberdrošības likuma subjekts ir ieviesis automātiskas ziņošanas rīku un sistēmas izsūtītajā ziņojumā tiek iekļauta visa šajās veidlapās minētā informācija.

121.
Par nozīmīgu kiberincidentu subjekts Nacionālās kiberdrošības likuma 34. panta otrajā, trešajā, piektajā un sestajā daļā noteiktajos termiņos ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās elektroniskā pasta adresi elektroniski aizpildītu:
121.1.
agrīnā brīdinājuma veidlapu (9. pielikums);
121.2.
sākotnējā ziņojuma veidlapu (10. pielikums);
121.3.
progresa ziņojuma veidlapu (11. pielikums), ja attiecināms;
121.4.
starpposma ziņojuma veidlapu (12. pielikums), ja attiecināms;
121.5.
galaziņojuma veidlapu (13. pielikums).

122. Noteikumu 121. punktā minētās veidlapas var neizmantot, ja subjekts ir ieviesis automātiskas ziņošanas rīku un sistēmas izsūtītajā ziņojumā tiek iekļauta visa šajās veidlapās minētā informācija.

Ņemot vērā noteikumu projektā ietverto prasību apjomīgumu, t.sk. attiecībā uz ārpakalpojuma līgumiem, pirms noteikumu projekta publicēšanas iesāktos IKT projektus un to ieviešanai nepieciešamo laiku, kā arī nepieciešamību pielāgot kiberincidentu automātiskās reģistrēšanas procesu un pašu kiberincidentu žurnālu, ņemot vērā tam nepieciešamos finanšu līdzekļus, kas nav paredzēti Kiberdrošības likuma subjektu šī gada budžetos, lūdzam noteikumu projekta 160. punktā attiecībā uz IKT kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem noteikt viena gada pārejas periodu.

IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina atbilstību šajos noteikumos noteiktajām prasībām viena gada laikā no šo noteikumu spēkā stāšanās brīža. 

Noteikumu projekta 24. punkta formulējums (“kiberdrošības pārvaldības dokumentu kopumu veido un uztur tai skaitā elektroniskā formātā”) paver interpretācijas iespēju, ka kiberdrošības pārvaldības dokumentu kopums būtu obligāti veidojams arī papīra formātā. Ierosinām 24. punktā dzēst vārdus “tai skaitā”, ja nepieciešams, punktu veidojot atļaujošā formā (“kiberdrošības pārvaldības dokumentu kopumu var veidot un uzturēt elektroniskā formātā”).

Subjekts kiberdrošības pārvaldības dokumentu kopumu veido un uztur elektroniskā formātā.

Sabiedrība lūdz papildināt noteikumu projekta 112. punktu nosakot, ka konkrētais administratora konts jābloķē ne vēlāk kā brīdī, kad personai tiek paziņots par darba tiesisko attiecību izbeigšanu. Nosakot pienākumu bloķēt administratīvo kontu tikai konkrētajā brīdī, kad tiek paziņots par darba tiesisko attiecību izbeigšanu, tiek nepamatoti ierobežotas Nacionālā kiberdrošības likuma subjektu iespējas aizsargāt savas tiesiskās intereses un IKT drošību.

IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, izbeidzot darba tiesiskās attiecības ar personu, kurai ir izveidots administratora lietotāja konts, bloķē konkrēto administratora lietotāja kontu ne vēlāk kā brīdī, kad personai tiek paziņots par darba tiesisko attiecību izbeigšanu.