Atzinums

Noteikumu projekta 70.1. un 70.2. apakšpunkts ir plaši interpretējams, kā arī no kiberdrošības, datu arhivācijas un nodrošināšanās pret datu zudumu viedokļa, nav racionāls pamatojums uzturēt lielu rezerves kopiju apjomu. Nepieciešams minimālais scenāriju skaits ar iespēju veikt biežākas kopijas, ja tas nepieciešams, kā arī klients vislabāk pārzin informācijas sistēmu datu rezervācijas nosacījumus.
Ņemot vērā minēto, lūdzam izteikt noteikumu projekta 70.1. un 70.2. apakšpunktu piedāvātajā redakcijā.

70.1. A klases informācijas sistēmai – iepriekšējā dienā (7 dienu kopijas), pirms nedēļas (4 nedēļu kopija), pirms mēneša (1 mēneša kopija); 
70.2. B klases informācijas sistēmai – iepriekšējā dienā (7 dienu kopijas), pirms nedēļas (4 nedēļu kopija), pirms mēneša (1 mēneša kopija).

Rezerves kopiju risinājumos tiek pielietoti dažādi mehānismi, lai nodrošinātu, ka kopijas ir nemanipulējamas. Atsevišķos risinājumos kontrolsummas izveide saistās ar nesamērīgu slodzes paaugstināšanos infrastruktūrai. 
Ņemot vērā minēto, lūdzam izteikt noteikumu projekta 71.3. apakšpunktu piedāvātajā redakcijā.

71.3. A klases informācijas sistēmai pēc rezerves kopijas izveides, ja netiek izmantotas citas tehniskās metodes kopijas integritātes pārbaudei, tiek izveidota rezerves kopijas satura kontrolsumma.

No noteikumu projekta 86. punkta redakcijas izriet, ka regulējums attiecas tikai uz gadījumiem, ja saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu patiesā labuma guvēju ir iespējams noskaidrot, bet nav noteikta subjekta rīcība gadījumā, ja nav iespējams noskaidrot ārpakalpojuma sniedzēja patiesā labuma guvēju, proti, nav skaidrs, vai šajā gadījumā subjekts drīkst slēgt ārpakalpojuma līgumu par IKT resursa vai pakalpojuma iegādi, arī nav noteikta prasība vērsties Satversmes aizsardzības birojā, ja patiesā labuma guvēju nav iespējams noskaidrot. 
Ņemot vērā minēto, lūdzam atbilstoši precizēt noteikumu projektu vai papildināt noteikumu projekta anotāciju ar attiecīgu informāciju. 
Papildus norādām, ka noteikumu projekta 86.3. apakšpunktā ir precizējama atsauce uz 85.1. apakšpunktu (jābūt atsaucei uz 86.1. apakšpunktu).

-

Lūdzam precizēt noteikumu projekta 87.3.2. apakšpunktā ziņošanas tvērumu, nosakot prasību ziņot par kiberincidentu attiecībā uz subjektu, nevis uz jebkuru kiberincidentu, izsakot to piedāvātajā redakcijā.

87.3.2. ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot subjektam par konstatēto kiberincidentu, kas ir attiecināms vai var tikt attiecināms uz subjektu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības;

Satiksmes ministrija uztur iebildumu par noteikumu projekta 90. punkta otrajā teikumā noteikto prasību par subjekta atbildību par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību un atbilstību šajā nodaļā noteiktajām prasībām. Atkārtoti norādām uz to, ka subjekts nespēs praksē izkontrolēt ārpakalpojuma sniedzēja piesaistītā apakšuzņēmēja atbilstību noteikumu prasībām. Papildus paskaidrojam, ka praksē subjekts var kontrolēt un arī kontrolē ārpakalpojuma sniedzēju, bet subjektam nav mehānisma kā kontrolēt un uzraudzīt ārpakalpojuma sniedzēja apakšuzņēmēju, jo subjekts nedibina tiesiskās attiecības ar ārpakalpojuma sniedzēja apakšuzņēmēju, bet tiesiskās attiecības nodibina ārpakalpojuma sniedzējs un apakšuzņēmējs savā starpā. 
Ņemot vērā minēto, lūdzam precizēt noteikumu projekta 90.punkta otro teikumu, svītrojot vārdus “Subjekts un”. 

-

Noteikumu projekta 93. punkta otrais teikums paredz, ka Satversmes aizsardzības birojs atzinumu sniedz trīs mēnešu laikā, nepieciešamības gadījumā atzinuma sniegšanu var pagarināt uz vēl vienu mēnesi. 
Ņemot vērā to, ka minētais termiņš ir nesamērīgs un var ievērojami aizkavēt jaunu iepirkumu līgumu noslēgšanu par pakalpojumu sniegšanu par IKT kritiskās infrastruktūras informācijas sistēmām, lūdzam samazināt atzinuma sniegšanas termiņu līdz vienam mēnesim ar iespēju nepieciešamības gadījumā to pagarināt uz vēl vienu mēnesi. 

-

Noteikumu projekta 94. punkts ir papildināts ar visu šī punkta apakšpunktu prasību attiecināšanu arī uz tehniskā resursa ražotāju un tas nozīmē to, ka, lieliem  starptautiskiem ražotājiem (piemēram, Apple, Microsoft u.tml.) būs jāpārbauda ne tikai reģistrācijas valsts, bet arī valde, padome, dalībnieki un kapitāla daļu īpašnieki un patiesā labuma guvēji. Tas rada nesamērīgu slogu subjektam, līdz ar to lūdzam precizēt noteikumu projekta 94. punktu, tajā paredzot prasību, kas ir līdzīgā noteikumu projekta 86.5. apakšpunktā noteiktajai prasībai, proti, ja iegādājamā IKT resursa ražotājs ir šo noteikumu 86.1. apakšpunktā minētajā valstī reģistrēta juridiska persona vai šīs valsts pilsonis, tādējādi uz tehniskā resursa ražotāju attiecinot tikai prasību pārbaudīt tā reģistrācijas valsti.

-

Noteikumu projekta 98. punkts paredz, ka šo noteikumu 93. punktā minētā atzinuma saņemšana ir attiecināma arī uz ārpakalpojuma sniedzēja ārpakalpojuma līguma izpildē piesaistītajiem apakšuzņēmējiem, bet noteikumu projekta redakcija atsevišķi neparedz, ka noteikumu projekta 95. punktā minētā atzinuma saņemšana ir attiecināma uz apakšuzņēmējiem (proti, saistībā ar atbilstību noteikumu projekta 94. punkta prasībām). Savukārt noteikumu projekta 100. punkts noteic, ka IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ir pienākums nekavējoties, bet ne vēlāk kā 10 darba dienu laikā no informācijas iegūšanas brīža informēt Satversmes aizsardzības biroju par izmaiņām IKT kritiskās infrastruktūras informācijas sistēmu ārpakalpojuma sniedzējā vai apakšuzņēmējā, ja tās nav atbilstošas šo noteikumu 94. punkta prasībām. Ņemot vērā to, ka nav skaidrs, vai uz apakšuzņēmējiem ir attiecināma noteikumu projekta 95. punktā minētā atzinuma saņemšana un attiecīgi noteikumu projekta 94. punktā noteiktās prasības, jo tas noteikumu projektā nav precīzi noteikts (izņemot vispārīgu prasību noteikumu projekta 90. punktā), lūdzam atbilstoši precizēt noteikumu projekta 4.2. nodaļas redakciju. Tas pats ir attiecināms uz noteikumu projekta 106. punktu, kurā ir atsauce uz noteikumu projekta 101. punktu, jo noteikumu projekts atsevišķi neparedz, ka apakšuzņēmējam jāatbilst noteikumu projekta 101. punktam. 

-

Vēršam uzmanību uz to, ka starpinstitūciju sanāksmē Satversmes aizsardzības birojs piekrita pārskatīt šī punkta redakciju, kā arī sanāksmē norādīja, ka atbilstības noteikumu projekta ārpakalpojuma prasībām, kas līdz šim nebija noteiktas, nodrošināšanai, varētu noteikt garāku pārejas periodu. 
Ņemot vērā, ka noteikumu projekta 160. punkts nav precizēts atbilstoši pārrunātajam sanāksmē, Satiksmes ministrija uztur iebildumu par noteikumu projekta 160. punktā noteikto prasību pārejas periodam, kurā IKT kritiskās infrastruktūras īpašniekiem vai tiesiskiem valdītājiem jānodrošina atbilstība noteikumos noteiktajām prasībām (sākotnējais iebildums ir norādīts izziņas 459. punktā).  
Atkārtoti norādām, ka noteikumu projekts paredz plašākas prasības ārpakalpojumam kā līdz šim Ministru kabineta 2015. gada 25.jūlija noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” (turpmāk – MK 442 noteikumi). Proti, MK 442 noteikumos bija noteiktas prasības tikai pašam ārpakalpojuma sniedzējam (MK 442 noteikumu 36. un 36.1 punkts). Savukārt noteikumu projekts paredz šīs prasības piemērot ne tikai pašam ārpakalpojuma sniedzējam, bet arī ārpakalpojuma sniedzēja apakšuzņēmējam. Ņemot vērā, ka noteikumu projekta 90. punktā ir paredzēts, ka subjekts un ārpakalpojuma sniedzējs ir atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību un atbilstību šajā nodaļā noteiktajām prasībām,  IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ir jāpārskata visi noslēgtie ārpakalpojuma līgumi (vai tajos ir piesaistīti apakšuzņēmēji) un jāveic šo apakšuzņēmēju pārbaude. Sešu mēnešu laikā nav iespējams pārskatīt visus jau noslēgtos ārpakalpojuma līgumus, saskaņot apakšuzņēmēju ar Satversmes aizsardzības biroju (ja attiecināms) (tostarp, ņemot vērā noteikumu projekta 93. punktā pašlaik noteikto Satversmes aizsardzības biroja atzinuma sniegšanas termiņu) un gadījumā, ja noslēgto līgumu nevar grozīt vai ārpakalpojuma sniedzējs nepiekrīt līgumu grozīt, veikt jaunu iepirkumu par ārpakalpojuma iegādi. Ja jau noslēgtajiem ārpakalpojuma līgumiem netiek paredzēts ilgāks laiks kā seši mēneši no noteikumu spēkā stāšanās dienas, tiek radīta situācija, ka tiek izdoti Ministru kabineta noteikumi, kurus nav iespējams ievērot. 
Ņemot vērā minēto, lūdzam izteikt noteikumu projekta 160. punktu piedāvātajā redakcijā.

160. IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina atbilstību šajos noteikumos noteiktajām prasībām, izņemot noteikumos noteikto atbilstību ārpakalpojumu prasībām, sešu mēnešu laikā no šo noteikumu spēkā stāšanās brīža.

Vēršam uzmanību uz to, ka starpinstitūciju sanāksmē ir panākta vienošanās, ka atbilstoši Satiksmes ministrijas (LVRTC) iebildumam (izziņas 323. punkts) tiks precizēts noteikumu projekta 7. pielikums, lai tā redakcija paredz arī tādus gadījums, kad nav iespējams noskaidrot patiesā labuma guvēju vai citu informāciju par ārpakalpojuma sniedzēju. Ņemot vērā, ka noteikumu projekta 7. pielikums nav precizēts, Satiksmes ministrija uztur izteikto iebildumu un lūdz precizēt noteikumu projekta 7. pielikuma ailes nosaukumu "Konstatētās neatbilstības minimālajām kiberdrošības prasībām apraksts:", izsakot to šādā redakcijā: "Konstatētās neatbilstības minimālajām kiberdrošības prasībām vai citu to nepiemērošanas iemeslu apraksts:" vai tml.

-

Rezerves kopijas pēc definīcijas ir virtuāls vienums, kam fiziska piekļuve nav realizējama. Jebkurā variantā piekļūt var tikai elektroniskajā vidē. Ņemot vērā minēto, lūdzam izteikt noteikumu projekta 72.1. apakšpunktu piedāvātajā redakcijā.

72.1. rezerves kopijām elektroniskajā vidē var piekļūt subjekta pilnvarotās personas, kā arī par rezerves kopiju atbildīgā persona un kiberdrošības pārvaldnieks. 

Vēršam uzmanību, ka starpinstitūciju sanāksmē ir panākta vienošanās, ka atbilstoši Satiksmes ministrijas (LVRTC) priekšlikumam (izziņas 697. punkts) tiks precizēta noteikumu projekta 93. punkta (iepriekš 110. punkts) pirmā teikuma redakcija, svītrojot vārdus “saistībā ar” un atbilstoši Satversmes aizsardzības biroja sanāksmē piedāvātajai redakcijai. Pašreizējā noteikumu projekta redakcijā šī precizējuma nav. Ņemot vērā minēto, lūdzam precizēt noteikumu projekta 93. punktu atbilstoši sanāksmē pārrunātajam.

-

Lai padarītu noteikumu projekta 96.2. apakšpunktu skaidrāku, lūdzam to izteikt piedāvātajā redakcijā.

96.2. juridiskās personas kā ārpakalpojuma sniedzēja un ārpakalpojumu izpildē iesaistīto apakšuzņēmēju (ja attiecināms) piekrišanu pārbaudes veikšanai, kā arī to ārpakalpojuma izpildē iesaistīto fizisko personu pārbaudes veikšanai, vai fiziskas personas kā ārpakalpojuma sniedzēja piekrišanu pārbaudes veikšanai.  

Lūdzam noteikumu projekta 101.1. un 101.2. apakšpunktā pārskatīt tajās lietotās atsauces uz noteikumu projekta 93. punktu un nepieciešamības gadījumā tās precizēt (iespējams uz 94. punktu).

-