Atzinums

SAB uztur iebildumu par nepieciešamību saskaņot SAB un Nacionālā kiberdrošības centra uzdevumu formulējumu, ņemot
vērā Projektā noteikto subjektu uzraudzības dalījumu starp SAB un Nacionālo kiberdrošības centru. Šobrīd Projekta 7. panta 4. punktā norādītais SAB uzdevuma formulējums atšķiras no Projekta 5. panta pirmās daļas 4. punktā norādītā Nacionālā kiberdrošības
centra uzdevuma formulējuma, lai gan tas paredz identisku uzdevuma realizāciju, atšķiroties tikai subjektiem, attiecībā uz
kuriem šie uzdevumi tiek veikti. Ņemot vērā iepriekš minēto, SABaicina izteikt Projekta 7. panta 4. punktu šādā redakcijā: “izvērtēt
 informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieku un tiesisko valdītāju kiberrisku pārvaldības pasākumu
atbilstību normatīvajos aktos noteiktajām prasībām”.

-

Nepieciešams saskaņot SAB un Nacionālā kiberdrošības centra tiesību formulējumu, ņemot vērā Projektā noteikto subjektu
uzraudzības dalījumu starp SAB un Nacionālo kiberdrošības centru. Ņemot vērā iepriekš minēto, SAB aicina izteikt Projekta 8. panta
2. punktu šādā redakcijā:
“pieprasīt un saņemt no informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un
tiesiskajiem valdītājiem informāciju par to īpašumā un valdījumā esošajām informācijas un komunikācijas tehnoloģijām, kā arī
īstenotajiem un plānotajiem kiberdrošības un kiberrisku pārvaldības pasākumiem, kiberincidentiem, gandrīz notikušiem
kiberincidentiem, kiberapdraudējumiem un ievainojamībām”.
 

-

Lūdzam izteikt Projekta 12. panta pirmo daļu šādā redakcijā: “Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un
kiberincidentu novēršanas institūcijas pēc nepieciešamības un regulāri, bet ne retāk kā reizi ceturksnī savstarpēji apmainās ar
informāciju par aktualitātēm kiberincidentu jomā.”

-

Aicinām izteikt Projekta 12. panta otro daļu šādā redakcijā: “Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs pēc
nepieciešamības un regulāri, bet ne retāk kā reizi ceturksnī savstarpēji apmainās ar informāciju par aktualitātēm subjektu
uzraudzībā, tostarp attiecībā uz subjektu identificēšanu, kiberriskiem, kiberapdraudējumiem, kiberincidentiem, gandrīz
notikušiem kiberincidentiem, kā arī ar kiberdrošību nesaistītiem drošības riskiem, apdraudējumiem un incidentiem, kas skar
subjektus, ja vien apmaiņa ar šādu informāciju nav pretrunā ar nacionālās drošības interesēm.”

-

Ierosinām svītrot Projekta 12. panta trešajā daļā vārdu “relevantu”, vienlaikus papildinot 12. panta trešo daļu pēc vārdiem “informāciju
par” ar vārdiem “finanšu nozares”.
 

-

Ierosinām svītrot Projekta 12. panta septīto daļu, šo un citu nepieciešamo sadarbību un informācijas apmaiņu iekļaujot Regulas 2022/2554 ieviešanas likumā. Papildus, no Projekta nekļūst skaidrs, kas ir tie subjekti kas ir kritiski svarīgās trešās personas - informācijas un komunikācijas tehnoloģiju pakalpojumu sniedzēji Regulas 2022/2554 31. panta izpratnē, tādējādi nav skaidrs attiecībā uz kuriem subjektiem SAB savas kompetences ietvaros būtu jāsniedz Latvijas Bankai tā rīcībā esošā informācija par noteiktajiem
uzraudzības un piespiedu izpildes pasākumiem.
 

-

Aicinām precizēt Projekta 34. panta sesto daļu. Šobrīd ir noteikts, ka ievainojamības atklāšanas ziņojuma iesniedzējs var lūgt
kompetento kiberincidentu novēršanas institūciju neatklāt ziņojuma iesniedzēja identitāti Projekta 12. panta ceturtās daļas
1.-5. punktā minētajām institūcijām. Tai pat laikā ir teikts, ka minētais konfidencialitātes nodrošināšanas pienākums neattiecas
uz Projekta 12. panta ceturtās daļas 5. un 6. punktā minētajiem gadījumiem. Ņemot vērā iepriekš minēto, nepieciešams precizēt,
vai minētais konfidencialitātes nodrošināšanas pienākums attiecas, vai neattiecas uz Projekta 12. panta ceturtās daļas 5. punktā
minētajām institūcijām, attiecīgi precizējot Projekta redakciju.

-