Atzinums

Latvijas Darba devēju konfederācija ir iepazinusies ar Aizsardzības ministrijas izstrādāto Ministru kabineta noteikumu projektu “Noteikumi par minimālajām kiberdrošības prasībām” un secina, ka Noteikumu projekta 18.punkts nosaka, ka “fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citā subjektā vai juridiskā personā”. Šāda prasības noteikšana būtiski paaugstinās iestādes izmaksas Kiberdrošības pārvaldnieka nodrošināšanai. Līdz ar to aicinām Noteikuma projekta 18.punktu dzēst vai arī noteikt, ka “minētais ierobežojums nav attiecināms, ja IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs ir publiskās personas institūcijas vai privāto tiesību juridiskā persona, kas pilda valsts pārvaldes deleģētu uzdevumu.
 

-

Iebilstam pret Noteikumu projektā 20.punktu (vienlaikus arī 45.punktu, 70.punktu, 84.punktu). Subjektam, kas ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, ir ļoti specifiskas prasības, saskaņā ar kurām tā var nozīmēt kiberdrošības pārvaldnieku. Tostarp viena no prasībām ir saņemt Satversmes biroja atzinumu, ka nav konstatēti drošības riski, kas var būt par pamatu apšaubīt fiziskās personas uzticamību. 20.punkts paredz, ka burtiski ir jānodrošina vēl viens kiberdrošības pārvaldnieka prasībām atbilstošs darbinieks, kas burtiski ir otrs kiberdrošības pārvaldnieks. Vienlaikus subjektam ir jānodrošina vēl 3 darbinieki, kas atbilst šīm prasībām un ir saņēmuši Satversmes biroja atzinumu par drošības risku neesamību. Šāda prasība nav samērīga un pamatota, it īpaši attiecībā uz 12.6. un 12.11.apakšpunktiem. Aicinām precizēt prasības atbilstoši Noteikumos noteiktajam atbildības līmenim, piemēram, nosakot, ka attiecībā uz 20., 45., 70. un 84.punktā noteiktajām personām izvirzāmas tādas prasības, kas izvirzītas būtisko pakalpojumu kiberdrošības pārvaldniekam (kas atbilst šo noteikumu 12.1.-12.5. noteiktajām prasībām un kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā).

-

Skatīt iebildumu pie Noteikumu projekta 20.punkta

-

Iebilstam saistībā ar informācijas sistēmu rezerves kopiju veidošanas un saglabāšanas prasībām, kas ir noteiktas noteikumu projekta 3.10. apakšnodaļā. Lai arī rezerves kopiju veidošana ir būtiska, lai nodrošinātu datu drošību un atjaunošanu, jāņem vērā, vai tiešām ir nepieciešams veikt datu rezerves kopijas tādos apmēros, kādi ir paredzēti šajā projektā. Šāda pieeja var radīt ievērojamu papildu finanšu slogu komersantiem, kas var nebūt pamatota.
Ne Latvijas likums, ne ieviešamā Direktīva neprasa, lai komersanti veidotu un uzkrātu vairākas rezerves kopijas, tostarp ar neaktuālu, pat gadu novecojušu informāciju. Gluži pretēji, Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi uzstāj, ka dati jāuzkrāj tikai tajā apjomā un tikai tik ilgi, cik tas ir nepieciešams konkrētiem mērķiem.
Līdz ar to aicinām pārskatīt šos apmērus un izvērtēt iespējas samazināt nepieciešamo rezerves kopiju skaitu, lai nodrošinātu datu aizsardzības prasību ievērošanu, vienlaikus mazinot komersantiem radīto finanšu slogu.

-

Pamatojoties uz 78. punktu par rezerves kopiju veidošanas periodiskumu un uzglabāšanas laiku, vēlamies izteikt bažas par papildus administratīvo un finansiālo slogu, ko šis noteikums var radīt komersantiem B klases informācijas sistēmām. Šī prasība prasa papildu resursus rezerves kopiju izveidei un uzglabāšanai, kas var radīt administratīvas izmaksas un nepieciešamību iegādāties papildu infrastruktūru. Aicinām pārskatīt šo prasību, ņemot vērā uzņēmumu resursus, lai mazinātu slogu un nodrošinātu elastību atbilstoši komersantu vajadzībām

-

Skatīt iebildumu pie Noteikumu projekta 20.punkta

-

Noteikumu 111.punkts nosaka prasības, kas izvirzāmas ārpakalpojuma sniedzējam, kas nodrošina IKT kritiskās infrastruktūras informācijas sistēmas tehnisko resursu piegādi. 111.1.2. apakšpunkts paredz, ka juridiskai personas valdei jāsastāv no fiziskām personām, kuras ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstu pilsoņi. Šāda prasība ir nesamērīga, diskriminējoša un pretrunā ar starptautisko praksi. Vienlaikus tā būtiski ierobežos IKT kritiskās infrastruktūras turētāju spējas nodrošināt tehnisko resursu apgādi un atjaunošanu atbilstoši vajadzībām, jo nepamatoti sašaurina piegādātāju loku. Lūdzam prasību no Noteikumu projekta svītrot.

-

Noteikumu projekta 8.3..sadaļa paredz, ka agrās brīdināšanas sensorus subjekta IKT infrastruktūrā izvieto, uztur un demontē kompetentā kiberincidentu novēršanas institūcija, kā arī nosaka prioritāru kārtību, kādā izvieto sensorus, un vērtē agrās brīdināšanas sensoru uzstādīšanas nepieciešamību un lietderību.
Vēršam uzmanību, ka Nacionālās kiberdrošības likumā likumdevējs skaidri noteicis pilnvarojuma saturu un robežas. Likumdevējs nav paredzējis tiesības kiberincidentu novēršanas institūcijai izvietot agrās brīdināšanas sensorus subjektu infrastruktūrā. Likumdevējs attiecībā uz agrās brīdināšanas sensoriem un to izvietošanu likuma 29.pantā ir paredzējis, ka “Ministru kabinets nosaka kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu informācijas un komunikācijas tehnoloģiju infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus.”. Deleģējums paredz Ministru kabinetam noteikt kritērijus tam, kuriem subjektiem obligāti šādi sensori izvietojami, uzstādāmi un izmantojami. Deleģējums neparedz, ka šos sensorus subjekta infrastruktūra izvieto un apkalpo kiberincidentu novēršanas institūcija.
Vēršam uzmanību, ka Satversmes tiesa ir norādījusi, ka nav pieļaujama pamattiesību ierobežojuma noteikšana  bez skaidra likumdevēja pilnvarojuma. Savukārt īstenojot pilnvarojumu, ir jāizvairās no personas pamattiesības ierobežošanas, ja uz to ierobežojuu nepieciešamību nav tieši norādīt pilnvarojošajā normā (sk. Satversmes tiesas 2005.gada 21.novembra sprieduma lietā Nr. 2005-13-03-0306 10.punktu un 2016.gada 12.februāra sprieduma lietā Nr. 2015-13-03 15.punktu). Tādi normatīvie akti, kas izdoti bez atbilstoša pilnvarojuma (ultra vires), tiek uzskatīti par spēkā neesošiem un nav saistoši adresātiem.
Aicinām pilnībā pārstrādāt 8.3.sadaļu atbilstoši likumdevēja sniegtajam deleģējumam Nacionālās kiberdrošības likuma 29.pantā, sadaļā ietverot: 1) pazīmes, kuras paredz obligāti uzstādīt agrās brīdināšanas sensorus likuma subjektiem; 2) uzstādīšanas un 3) izmantošanas noteikumus.

-

Lūdzam precizēt attiecībā uz 23. un 24.punktu – kurām kiberdrošības pārvaldības dokumentu kopumu daļām nosakāms vismaz ierobežotas pieejamības informācijas statuss. Vai tas attiecas uz visām kopumu daļām vai uz noteiktām kopumu daļām. Ja, jā, tad uz kuram kopumu daļām.

-

Lūdzam precizēt attiecībā uz 27.punktu – saskaņā ar 21.punktu subjekta kiberdrošības pārvaldības dokumentu kopumu veido kiberdrošības politika, IKT resursu un informācijas sistēmu katalogs, kbierrisku pārvaldības un IKT darbības nepārtrauktības plāns, kiberincidentu žurnāls. Praksē katalogu vienību skaits var pārsniegt simtus. Saskaņā ar 27.punktu subjektam kopuma daļas pēc aktualizēšanas ir jāiesniedz Satversmes aizsardzības birojam. Vai tas nozīmē, ka par katru aktualizēto kopuma vienību ir jāsniedz informācija vai tas attiecas uz visu dokumenta kopuma daļu Noteikumos noteiktās regularitātes aktualizāciju?

-

Lūdzam precizēt attiecībā uz 36.punktu – vai pirms katras jaunas informācijas sistēmas izveides, kas tiek veidota subjekta uzņēmumā, ir jāsniedz sistēmas funkcionālais apraksts, vai tas attiecas tikai uz kritiskās infrastruktūras informācijas sistēmu (Noteikumu 2.6.apakšpunkta izpratnē)? Papildus – kādā termiņā pirms sistēmas izveides ir jāiesniedz dokumentācija un, vai iesniedzot informāciju, jāievēro kāds termiņš pēc kura var sākt sistēmas izveidi?

-

Lūdzam veikt pārbaudi attiecībā uz 75. un 79.punktiem – šķietami funkcijas punktos pārklājas.

-

Lūdzam veikt pārbaudi attiecībā uz 75. un 79.punktiem – šķietami funkcijas punktos pārklājas

-

Lūdzam veikt pārbaudi 85.punktā, 86.punktā attiecībā uz atsaucēm citos Noteikumu punktos, šķietami 77.punkts nav atbilstošs references punkts

-

Lūdzam veikt pārbaudi 87. un 88. punktā attiecībā uz atsauci Noteikumu 80.punktā – šķietami nav atbilstošs references punkts.

-

Lūdzam veikt pārbaudi 118.punktā attiecībā uz atsauci Noteikumu 112.punktā – šis punkts ir izņēmuma piemērošanas punkts 111.punktam, tāpēc šķietami nav atbilstošs references punkts.

-

Lūdzam precizēt attiecībā uz 125.punktu – tajā noteikts, ka Satversmes aizsardzības irojs apzina iespējamo A, B un C kategorijas IKT kritisko infrastruktūru. Kādā veidā tiek noteiktas kategorijas infrastruktūrai, ja Noteikumu 4.pielikumā noteiktas tikai drošības klases?

-