Atzinums

Lūdzam precizēt noteikumu projekta 2.3.apakšpunktā noteikto ārpakalpojuma definīciju vai papildināt 6.punktu ar papildu noteikumu piemērošanas izņēmumiem, vai papildināt noteikumu projekta anotāciju ar attiecīgu informāciju, jo nav skaidrs, kas ir domāts ar procesu un pakalpojumu IKT infrastruktūrā. Pašreizējā ārpakalpojuma definīcija ir plaša un tajā var tikt ietverti arī pakalpojumi, kas tiek sniegti IKT infrastruktūrā, bet kuri pēc sava rakstura nebūtu attiecināmi uz IKT jomu (piemēram, apkopēju pakalpojumi u.tml.)

-

Subjektam nebūs iespējams operatīvi veikt darbu, pastāvot dokumentu ar statusu “dienesta vajadzībām” apstrādei, piemēram, VAS "Latvijas valsts radio un televīzijas centrs" ir jābūt šādai dokumentu pieejamībai:  
- Kiberdrošības politika, IKT resursu un informācijas sistēmu katalogam  jābūt pieejamam operatīvai lietošanai 90 % darbiniekiem;  
- IKT darbības nepārtrauktības plānam jābūt pieejamam vienmēr, kad tas nepieciešams darba atjaunošanai, jebkurā vietā, neatkarīgi no DV dokumentu apstrādes vides, 50 % darbinieku;
- Kiberrisku pārvaldības un kiberincidentu žurnālam jābūt operatīvi pieejamam apstrādei 20% darbinieku.   
Papildus vēršam uzmanību, ka noteikumu projekta 153. punkts paredz, ka IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs informē Satversmes aizsardzības biroju par ielaušanās testa rezultātiem, nosūtot tos uz Satversmes aizsardzības biroja oficiālo elektroniskā pasta adresi. Tādējādi ielaušanās testu rezultātu sūtīšana, izmantojot publisku tīklu un e-pastu, ir pieļaujama, bet vienlaikus noteikumu projekts paredz prasību, ka visiem kiberdrošības pārvaldības dokumentiem ir jābūt ar statusu “dienesta vajadzībām”.
Ņemot vērā minēto, lūdzam svītrot noteikumu projekta 24. punktu vai izteikt to piedāvātajā redakcijā.

24. IKT infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldības dokumentu kopuma daļām nosaka vismaz ierobežotas pieejamības statusu.

Lūdzam precizēt noteikumu projekta 36. punktu, jo nav skaidrs, vai termins “pirms jaunas informācijas sistēmas izveides” nozīmē pirms līguma noslēgšanas par sistēmas izveidi vai publiska iepirkuma izsludināšanas, kā arī nav skaidras subjekta tālākās veicamās darbības – vai jāsagaida Satversmes aizsardzības biroja atzinums, tāpat būtu precizējams, uz kādām tieši informācijas sistēmām prasība attiecas. 

-

Lūdzam  izvērtēt noteikumu projekta 79. punkta apvienošanu ar noteikumu projekta 75. punktu, jo noteikumu projekta 79. punkta saturs faktiski daļēji dublējas ar noteikumu projekta 75. punktā noteikto.

-

Ņemot vērā to, ka noteikumu projekta 82. punkta prasības var radīt lielu slogu subjektam to izpildes nodrošināšanā, lūdzam izteikt noteikumu projekta 82. punktu piedāvātajā redakcijā.

82. Subjekta kiberdrošības pārvaldnieks nodrošina rezerves kopiju pārvaldības un aizsardzības prasību ievērošanas kontroli, tostarp veic: 
82.1. ikdienas rezerves kopiju sagatavošanas uzraudzību; 
82.2. rezerves kopiju nolasīšanas pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskā resursa konfigurācijai. Pārbaudi veic ne retāk kā reizi 6 mēnešos A klases informācijas sistēmai un ne retāk kā reizi gadā B klases informācijas sistēmai vai pēc būtiskām rezerves kopēšanas procedūras vai infrastruktūras izmaiņām.

Lūdzam pārskatīt visas atsauces noteikumu projektā uz noteikumu projekta punktiem un nepieciešamības gadījumā tās precizēt, piemēram noteikumu projektā 85., 86. un 87. punktā ir ietvertas nekorektas atsauces.

-

Satiksmes ministrija uztur 2024. gada 2. oktobrī atzinumā ietverto iebildumu par noteikumu projekta 97. punktā noteikto, ņemot vērā izziņā ietverts skaidrojums, ka informācijas sistēmu izvietošanas noteikumi datu centros ir ietverti Ministru kabineta noteikumu projektā "Informācijas sistēmu izvietošanas un datu centru drošības prasības" (24-TA-3243). Minētais noteikumu projekts paredz, ka A klases informācijas sistēmas un B klases informācijas sistēmas, kurām noteikta B konfidencialitātes klase, ja tās tiek pilnībā vai daļēji izmantotas valsts pārvaldes pakalpojumu sniegšanai, valsts uzdevumu vai citu valsts mērķu un pasākumu īstenošanai un ir pieejamas, izmantojot publisko interneta tīklu, izvieto datu centrā, kurš atbilst minētajā noteikumu projektā noteiktajām prasībām, secināms, ka pārējās būtisko un svarīgo pakalpojumu sniedzēju informācijas sistēmas, kas netiek izmantotas valsts pārvaldes uzdevumu sniegšanai pēc būtības, var tikt izmitinātas datu centra infrastruktūrā ar daudz zemākām prasībām.

-

Lūdzam precizēt noteikumu projekta 100. punktu vai papildināt noteikumu projektu ar atsevišķu punktu, nosakot pakalpojumu sniedzējam, kas nodrošina A klases informācijas sistēmas vai tās elementu izvietošanu, tādas pašas prasības kā noteiktas noteikumu projekta 99. punktā ietvertās prasības attiecībā uz ārpakalpojumu sniedzēju. Noteikumu projekta regulējums paredz izmitināšanu tikai pēc piederības NATO, EEZ vai ES, bet minētajās valstīs izmitināšanas pakalpojumu sniedzēji var būt ar amatpersonām, darbiniekiem un patiesā labuma guvējiem, piemēram, no Krievijas, Baltkrievijas vai Ķīnas, tādējādi nosacījums izvietot sistēmu pēc piederības NATO, ES vai EEZ var nesasniegt mērķi, līdz ar to būtu nosakāmas papildu prasības arī pakalpojumu sniedzējiem.

-

Lūdzam precizēt noteikumu projekta 101.2. apakšpunktā norādes uz konkrētām Nacionālās kiberdrošības likumā ietvertajām prasībām, kuras būtu attiecināmas uz noteikumu projekta 101.2. apakšpunktu.

-

Lūdzam papildināt noteikumu projektu ar prasībām par informācijas sistēmu koda pārvaldību, izstrādes un testa vidēm. Proti, būtu nepieciešams noteikt regulējumu vismaz šādās jomās:
a) koda pārvaldība, jeb radītais A, B un arī C sistēmu kods, atjauninājumi ir jāizvieto, jāatjaunina un pārvaldība jānodrošina ar  koda repozitorija palīdzību;
b) jāparedz regulējums informācijas sistēmu izstrādes un testa vidēm. Proti, izstrādes un testa vides šobrīd var tikt veidotas jebkur, attiecīgi, informācijas sistēmas izstrāde, tostarp KI un A klases sistēmu izstrāde līdz produkcijas režīmam var atrasties uz ievainojamas infrastruktūras. 

-

Lūdzam precizēt noteikumu projekta 106. punktu, nosakot, ka ārpakalpojuma sniedzējs ir atbildīgs par ārpakalpojuma sniedzēja piesaistītā apakšuzņēmēja atbilstību noteikumos noteiktajām prasībām, jo subjekts nespēs praksē izkontrolēt ārpakalpojuma sniedzēja piesaistītā apakšuzņēmēja atbilstību noteikumu prasībām. Nav skaidrs, kurām tieši prasībām ir jāatbilst apakšuzņēmējiem. Noteikumu projekta 104. punkts paredz, ka apakšuzņēmējs ievēro visas prasības, kas noteiktas ārpakalpojuma sniedzējam. Attiecīgi nav skaidrs, vai ar to domāts, ka visi apakšuzņēmēji (neatkarīgi no nododamās daļas) ir jāpārbauda tāpat kā ārpakalpojuma sniedzējs - reģistrācijas valsts, PLG u.t.t. un gadījumā, ja tā ir domāts, lūdzam papildināt noteikumu projekta 99. punktu arī ar apakšuzņēmēju.
Ņemot vērā minēto, lūdzam precizēt noteikumu projekta 106. punktu, norādot konkrētas prasības, kurām jāatbilst apakšuzņēmējiem.

-

Noteikumu projektā nav noteikta subjekta rīcība gadījumā, ja nav iespējams noskaidrot ārpakalpojuma sniedzēja patiesā labuma guvēju, proti, nav skaidrs, vai šajā gadījumā piemērojams noteikumu projekta 112.2. apakšpunktā noteiktais izņēmums - vai šajā gadījumā ir jāsaņem Satversmes aizsardzības biroja atzinums, kā ir bijis līdz šim, piemērojot Ministru kabineta 2015. gada 28. jūlija noteikumus Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" (zaudēja spēku 2024. gada 18. oktobrī). Līdz ar to, lūdzam attiecīgi precizēt noteikumu projekta 111. vai 112. punkta redakciju.

-

Ņemto vērā, ka subjektam ir būtiski uzzināt sava statusa maiņu, jo statusa maiņas gadījumā mainās pārraugošā institūcija un noteikumos noteiktais informācijas sniegšanas algoritms, lūdzam papildināt noteikumu projekta 125.3. apakšpunktu ar jaunu apakšpunktu piedāvātajā redakcijā.

125.3.3 par IKT kritiskās infrastruktūras izslēgšanu no kritiskās infrastruktūras kopuma.

Lūdzam precizēt noteikumu projekta 182. punktā vārdu “uzsākti” vai skaidrot to noteikumu projekta anotācijā, jo tas ir plaši interpretējams jēdziens, piemēram, nav skaidrs, vai iepirkumu var uzskatīt par uzsāktu, ja ir izsludināta piegādātāju apspriede, bet iepirkums pats par sevi nav izsludināts vai tml.

-

Vēršam uzmanību, ka nav iespējams nodrošināt noteikumu projekta 183. punktā noteikto prasību izpildi, jo no 2025. gada 1. marta, kad stāsies spēkā noteikumi, būs nepieciešams grozīt vai izbeigt līdz šim noslēgtos iepirkuma līgumus, bet:
1) noslēgtajā iepirkuma līgumā atbilstoši Publisko iepirkumu likumam nevar veikt būtiskus grozījumus;
2) ja iepirkuma līgumu izbeidz, nav iespējams īsā laikā veikt jaunu iepirkumu. Faktiski tiktu radīta situācija, ka visi noteikumu projekta 183. punktā noteiktie subjekti pārkāps šos noteikumus, jo izveidotais mehānisms nav paredzējis saprātīgu laiku, kādā nodrošināt atbilstību šiem noteikumiem.  
Līdz ar to lūdzam precizēt noteikumu projekta 183.punktu, nosakot, ka IKT kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji noteikumu prasības nepiemēro iepirkumos vai iepirkuma procedūrās, kas ir uzsāktas līdz noteikumu spēkā stāšanās dienai (2025. gada 1.martam), kā arī nosakot saprātīgu termiņu pārejas periodam jau pirms noteikumu spēkā stāšanās noslēgtajiem līgumiem.

-

Lūdzam papildināt noteikumu projekta 1. punktu ar apakšpunktu, kas paredz, ka noteikumi nosaka ārpakalpojumu prasības, jo tālāk noteikumu projekta tekstā ir noteiktas virkne prasību ārpakalpojumam, kā arī, piemēram, noteikumu projekta 1.6. apakšpunkts paredz tikai publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības.

-

Noteikumu projekta 46. punktā ir atsauce uz noteikumu projekta 17.punktu, kas noteic, ka ne vēlāk kā 3 mēnešus pirms noteiktā kiberdrošības pārvaldnieka termiņa beigām, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs paziņo par kiberdrošības pārvaldnieka termiņa pagarināšanu vai jauna kiberdrošības pārvaldnieka noteikšanu, iesniedzot Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu paziņojuma par kiberdrošības pārvaldnieku veidlapu (3. pielikums). Attiecīgi noteikumu projekta 49. punkts paredz atšķirīgu prasību, proti, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs šo noteikumu 45. punktā minētās personas nosaka uz termiņu līdz 3 gadiem. Ne vēlāk kā  3 mēnešus pirms noteiktā termiņa beigām, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs paziņo Satversmes aizsardzības birojam, nosūtot uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu veidlapu par kiberdrošību atbildīgajām personām. 
Ņemot vērā minēto, lūdzam saskaņot abu punktu redakcijas. Vienlaikus lūdzam izvērtēt iespēju pilnvaru termiņa pagarināšanas iespēju paredzēt arī noteikumu projekta 74. un 88. punktā.

-

Lūdzam izteikt noteikumu projekta  59.5.apakšpunktu piedāvātajā redakcijā, ņemot vērā to, ka nodalīšanu var realizēt loģiskā līmenī, nekompromitējot iekšējo drošību.

59.5. iekšējais tīkls ir fiziski un/vai loģiski nodalīts no ārējā tīkla.

Lūdzam precizēt noteikumu projekta 59.7. apakšpunktu, sadalot to divos apakšpunktos piedāvātajā redakcijā.

59.7. datu pārraide starp iekšējo un ārējo tīklu, kā arī starp iekšējā tīkla segmentiem ir kontrolējama (piemēram, ugunsmūriem, starpniekserveriem);  
…  
59.9. tiek uzraudzīta un ierobežota neatļauta datu plūsma A klases tīklos (piemēram, izmantojot reāllaika kiberuzbrukumu novēršanas un atklāšanas sistēmu svarīgāko mezglu punktos);

Ņemot vērā to, ka ports ne vienmēr norāda pareizi izmantoto servisu, un ir nepieciešams noņemt piemēru un norādīt porta nosaukumu, atdalot to ar slīpsvītru un norādīto protokolu, piemēram - 22/tcp vai 53/udp, lūdzam precizēt noteikumu projekta 64.3. apakšpunktu, izsakot to piedāvātajā redakcijā. 
Papildus lūdzam svītrot noteikumu projekta 64.5. apakšpunktu atbilstoši precizētajai noteikumu projekta 64.3. apakšpunkta redakcijai.

64.3. avota un galamērķa izmantotos tīkla portus un protokolu;

Ņemot vērā to, ka kontekstā ar periodiskumu nedrīkst nofiksēt, ka veicamas tikai pilnās rezerves kopijas, lūdzam noteikumu projekta 78. punkta ievaddaļu izteikt piedāvātajā redakcijā.

78. Subjekts nodrošina, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursu versiju vismaz tādā stāvoklī, kāds bija:

Lūdzam svītrot noteikumu projekta 78.1. un 78.2. apakšpunktā vārdus “iepriekšējā gadā”, jo gada laikā var mainīties apjoms, programmatūras versijas vai risinājums kā tāds. Ja ir nepieciešamas datu kopijas ilgākam periodam, tad to būtu jāpanāk, kopējot tikai pašus datus.

-

Ņemot vērā to, ka atkarībā no izmantotā rezerves kopiju risinājuma, kontrolsummas pie datu deduplikācijas izveidot ir tehniski sarežģīti, lūdzam izteikt noteikumu projekta 79.3.apakšpunktu piedāvātajā redakcijā.

79.3. A klases informācijas sistēmai pēc rezerves kopijas izveides tiek veikta datu integritātes pārbaude un, ja nepieciešams, izveidota rezerves kopijas satura kontrolsumma.

Lūdzam precizēt noteikumu projekta 89. punktu aiz saīsinājumu "IKT”, papildinot to ar vārdu “resursus”.

-

Lūdzam noteikumu projekta anotācijā norādīt, kur ir pieejama informācija par noteikumu projekta 99.1. apakšpunktā minētajām valstīm, kurus Eiropas Parlaments vai Latvijas Republikas Saeima ir atzinusi par terorismu atbalstošu valsti.

-

Lūdzam izvērtēt, vai noteikumu projekta 99.2. apakšpunktā nepieciešams norādīt arī ārpakalpojuma sniedzēja amatpersonas (valdi, padomi), līdzīgi kā tas ir noteikts noteikumu projekta 111. punktā, un veikt attiecīgu precizējumu.

-

Lai padarītu noteikumu projektu skaidrāku, lūdzam izteikt noteikumu projekta 101.3.7. apakšpunktu piedāvātajā redakcijā. 

101.3.7. tiesības pārtraukt ārpakalpojuma līgumu, konstatējot ārpakalpojuma sniedzēja vai apakšuzņēmēju neatbilstību šajos noteikumos noteikto prasību izpildē līguma darbības laikā vai, ja līguma darbības laikā ir saņemts Satversmes aizsardzības biroja atzinums, ka ārpakalpojuma līguma turpināšana var kaitēt nacionālās drošības interesēm;

Lūdzam noteikumu projekta 102. punktā norādīt, kur subjekts nosaka noteikumu projekta 102. punkta apakšpunktos paredzēto - vai tas ir jāparedz līgumā vai citos dokumentos.

-

Noteikumu projekta 104. punktā ir ietverts termina “apakšuzņēmējs” saīsinājums. Ņemot vērā, ka šī termina saīsinājums tiek lietots noteikumu projekta tekstā arī pirms noteikumu projekta 104. punkta, lūdzam saīsinājumu ietvert punktā, kurā termins ir minēts pirmo reizi.

-

Lūdzam svītrot noteikumu projekta 105. punktu, lai nerādītu subjektam un ārpakalpojuma sniedzējam papildu slogu, vai arī vārdu “pamatojumu” aizstāt ar vārdu “skaidrojumu”, lai izvairītos no darbībām pamatojuma pieprasījumam.

-

Lūdzam precizēt noteikumu projekta 110. punktā vārdus “saistībā ar IKT kritiskās infrastruktūras informācijas sistēmu”, kas ir plaši interpretējami, nosakot precīzāk, par ko var tikt noslēgts ārpakalpojuma līgums par pakalpojuma sniegšanu informācijas sistēmas gadījumā. Papildus lūdzam precizēt, kāds Satversmes aizsardzības biroja atzinums jāsaņem – pozitīvs vai tml., lai tiktu atļauts slēgt līgumu.

-

Lūdzam noteikumu projekta 111.1.2.apakšpunktu pirms vārdiem “no fiziskām personām” papildināt ar vārdu “tikai”, jo šobrīd var saprast, ka valde var sastāvēt gan no fiziskām personām, kuras ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstu pilsoņi, gan no citu valstu pilsoņiem. Papildus lūdzam izvērtēt iespēju noteikumu projekta 111.1.2. apakšpunktu papildināt ar ārpakalpojumu sniedzēja padomi.

-

Lūdzam noteikumu projekta 112.2. apakšpunkta ietverto tekstu “ja ir saņemts Satversmes aizsardzības biroja atzinums, ka līgumu var slēgt izņēmuma kārtā” salāgot ar noteikumu projekta 120.2. apakšpunkta ietverto tekstu “ja ir saņemts Satversmes aizsardzības biroja atzinums, ka tā rīcībā nav negatīvas informācijas par ārpakalpojuma sniedzēju”, izsakot to šādā redakcijā: “ja ir saņemts Satversmes aizsardzības biroja atzinums, ka līgumu var slēgt”. Svītrojot vārdus "izņēmuma kārtā", tiktu izslēgti tādi gadījumi, kad iespējamais ārpakalpojuma sniedzējs atbilst noteikumiem, bet subjektam nav instrumentu, lai objektīvi par to pārliecinātos, kad, piemēram, nav iespējams noskaidrot patiesā labuma guvēju vai nav iespējams noskaidrot citu informāciju ārvalsts ārpakalpojuma sniedzēja gadījumā.

-

Lūdzam izvērtēt iespēju saskaņot noteikumu projekta 113.2. apakšpunktu ar Datu valsts inspekciju no personas datu aizsardzības viedokļa, tostarp jautājumā par personu piekrišanas saņemšanas nepieciešamības atbilstību VDAR.

-

Lūdzam papildināt noteikumu projekta 126.2. apakšpunktu ar apakšuzņēmējiem un arī visā noteikumu projekta tekstā konsekventi lietot terminu “darbinieki”, nevis “nodarbinātie”.

-

Lūdzam noteikumu projekta 130. punktā lietot terminu “par IKT kritiskās infrastruktūras kiberdrošību atbildīgā persona” atbilstoši noteikumu projektā lietotajai terminoloģijai.

-

Lūdzam noteikumu projekta 130., 131., 132., 133. un 134. punktu, kas regulē darbības nepārtrauktības plāna izstrādi, ietvert atsevišķā nodaļā.

-

Lūdzam papildināt noteikumu projekta 136. punktu ar jaunu apakšpunktu piedāvātajāā redakcijā, jo nepieciešams norādīt saziņas šifrēšanas veidu, apstiprinot ziņas autentiskumu ar PGP atslēgu.

136.10. nodrošina saziņai publisko PGP atslēgu pieejamību, kas apstiprina ziņas autentiskumu un veic ziņas šifrēšanu.

Lūdzam izvērtēt noteikumu projekta 8.1.apakšnodaļā paredzētā auditoru reģistra nepieciešamību, jo pastāv iespēja, ka kompetenti ārvalstu (ES, EEZ, NATO) auditori var nezināt par reģistru vai nebūt ieinteresēti iedziļināties īpašajās prasībās.

-

Lūdzam papildināt noteikumu projekta 150.1. apakšpunktu ar jaunu apakšpunktu piedāvātajā redakcijā. Tādējādi šāda prakse ļautu izvairīties no ievainojamībām kas līdz ar jaunām funkcionalitātēm vai būtiskiem atjauninājumiem var parādīties laika periodā starp regulārajiem auditiem.

“150.1.3 Pēc lieliem un/vai būtiskiem atjauninājumiem un/vai jaunas funkcionalitātes ieviešanas.”