Atzinums

Ņemot vērā, ka ar noteikumu projektu ir pārņemtas Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148, (TID 2 direktīva) (turpmāk - direktīva Nr. 2022/2555) un  Eiropas Parlamenta un Padomes 2018. gada 11. decembra Direktīvas Nr. 2018/1972/ES par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk - direktīva Nr. 2018/1972/ES) prasības, lūdzam papildināt noteikumu projektu ar informatīvo atsauci uz minētajām direktīvām, ievērojot Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" (turpmāk - noteikumi Nr. 108) 4. nodaļā noteikto.

-

Lūdzam izvērtēt un nepieciešamības gadījumā papildināt noteikumu projektu ar regulējumu, kas atbilst Nacionālās kiberdrošības likuma 31. pantā un 32. panta otrajā un trešajā ietvertajam pilnvarojumam, vai alternatīvi lūdzam sniegt skaidrojumu, kā paredzēts izpildīt minēto pilnvarojumu noteikumu projekta anotācijā.

-

Lūdzam precizēt atbilstoši Nacionālās kiberdrošības likuma 42. panta pirmajā daļā noteiktajam.

"1.12. kritērijus un kārtību subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanai;"

Lūdzam izvērtēt un nepieciešamības gadījumā svītrot noteikumu projekta 1.20. apakšpunktu un 6. nodaļu (precizējot arī norādi uz noteikumu projekta izdošanas tiesisko pamatu), ievērojot, ka prasības kiberincidentu novēršanas institūcijām jau ir ietvertas atsevišķā Ministru kabineta noteikumu projektā (24-TA-1718). Ja noteikumu projektā attiecīgais regulējums tiek saglabāts, lūdzam papildināt noteikumu projekta anotācijas 5. sadaļu, ievērojot Tieslietu ministrijas atzinumā par projekta (24-TA-1718) anotāciju norādīto.

-

Atbilstoši juridiskās tehnikas prasībām lūdzam noteikumu projektā neskaidrot terminus, kuri skaidroti vai lietoti tostarp likumos, kuri ir noteikumu projekta izdošanas tiesiskais pamats (piem., ārpakalpojums, drošības pasākums, IKT resursi u.c.), svītrojot attiecīgās noteikumu projekta normas (piem., noteikumu projekta 2.4. apakšpunktu).

-

Tiesiskās noteiktības nolūkā lūdzam noteikumu projekta anotācijā sniegt skaidrojumu par citām saistītām iekārtām (tostarp nepieciešamības gadījumā norādot konkrētus piemērus).

-

Lūdzam svītrot noteikumu projekta 4. punktu, jo attiecīgai normai nav juridiskas slodzes un tā ir deklaratīva. Proti, tālāk noteikumu projektā tiešā tekstā ir norādīts, ka noteikumu projekta konkrētas normas attiecas uz attiecīgo pakalpojumu sniedzējiem.

-

Lūdzam papildināt noteikumu projekta anotāciju ar skaidrojumu par kiberdrošības pārvaldniekam izvirzītajām prasībām un to nepieciešamību pārvaldnieka darbā, kā arī, vai šīs prasības ir samērīgas.

-

Kiberdrošības pārvaldniekam izvirzītās prasības attiecas uz visiem subjektiem. Atbilstoši Nacionālās kiberdrošības likuma 25. panta trešajai daļai informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldnieku nosaka pēc saskaņošanas ar Satversmes aizsardzības biroju, kas pārbauda kiberdrošības pārvaldnieka atbilstību izvirzītajām prasībām. No noteikumu projektā ietvertā regulējuma nav saprotams, kādā veidā subjekta vadītājs, kas nav informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, pārliecināsies (pārbaudīs), vai kiberdrošības pārvaldnieks atbilst izvirzītajām prasībām, lai nodrošinātu atbilstību projektā noteiktajam (piemēram, 8.4.-8.9.apakšpunktā ietvertajām prasībām). Ievērojot minēto, lūdzam izvērtēt noteikumu projekta 8. punktā ietvertās prasības kiberdrošības pārvaldniekam, kā arī subjekta vadītāja iespējas veikt pārbaudi, vai attiecīgais kiberdrošības pārvaldnieks atbilst izvirzītajām prasībām un attiecīgi precizēt (papildināt) projektu un projekta anotāciju.

-

Lūdzam papildināt ar kritērijiem (definējums), kas norāda ka aktivitāte ir uzskatāma par "Drošības skenēšanu".

-

Vēršam uzmanību, ka normatīvajos aktos pie šāda veida ierobežojuma parasti uzskaita arī izlūkdienesta vai pretizlūkošanas dienestus. Piemēram, likumā “Par valsts noslēpumu”, Valsts civildienesta likumā un Militārā dienesta likumā utt. (“kas ir vai ir bijis PSRS, Latvijas PSR vai kādas ārvalsts drošības dienesta, izlūkdienesta vai pretizlūkošanas dienesta štata vai ārštata darbinieks, aģents, rezidents vai konspiratīvā dzīvokļa turētājs”). Ievērojot minēto, lūdzam izvērtēt nepieciešamību precizēt ierobežojumu un attiecīgi to papildināt arī izlūkdienestiem vai pretizlūkošanas dienestiem, vai arī pamatot noteikumu projekta anotācijā šāda ierobežojuma izvēli.
 

-

Lūdzam precizēt prasību attiecībā uz nevalstiskās organizācijas vai nevalstisko organizāciju apvienības darbību. Norādām, ka nav saprotams, kas ir domāts ar to, ka nevalstiskā organizācija ir uzsākusi savu juridisko darbību pirms reģistrācijas, kā arī, kā var šādu darbību konstatēt. Norādām, ka nevalstisko organizāciju darbību regulē Biedrību un nodibinājumu likums. Saskaņā ar Biedrību un nodibinājumu likuma 3. pantu biedrība un nodibinājums iegūst juridiskās personas statusu ar brīdi, kad tie ierakstīti biedrību un nodibinājumu reģistrā. Ievērojot minēto, lūdzam izvērtēt šāda kritērija iekļaušanu 8.9.apakšpunktā. 
Papildus lūdzam precizēt punktu un norādīt konkrētas organizāciju formas, jo normatīvajos aktos pārsvarā netiek lietots termins "nevalstiskā organizācija" (piemēram, - biedrība, nodibinājums, politiskā partija).
Kā arī lūdzam noteikumu projekta anotācijā skaidrot šī ierobežojuma nepieciešamību un tā sasaisti ar kiberdrošības prasībām.

-

Noteikumu projekta 9.punktā tiek norādīts, ka atzinumu par to vai fiziska persona, kurai ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonība, var būt par kibedrošības pārvaldnieku, izdod Satversmes aizsardzības birojs, taču noteikumu projekta 10. punktā tiek norādīts, ka šādu atzinumu izdod kompetentā valsts drošības iestāde. Ņemot vēra to, ka valsts drošības iestāde aptver vairākas iestādes (tai skaitā Militārās izlūkošanas un drošības dienests, Valsts drošības dienests), lūdzam precizēt noteikumu projektu, lai tas būtu skaidrs un saprotams, salāgojot noteikumu projekta 9. punktu ar noteikumu projekta 10. punktu.

-

Lūdzam noteikumu projekta anotācijā skaidrot, konkrēti kā tiks vērtēta iespējamība, ka persona varētu būt pakļauta tādas valsts ietekmei. Norādām, ka, piemērojot fiziskai personai pamattiesību ierobežojošu normu, Satversmes aizsardzības biroja atzinumā jābūt skaidram pamatojumam. Lūdzam izvērtēt vai normā nav svītrojama norāde uz iespējamību, vai sniegt noteikumu projekta anotācijā atbilstošu skaidrojumu šādas normas saturam.

-

Tiesiskās noteiktības nolūkā lūdzam noteikumu projekta 10.2. apakšpunktā norādīt (nepieciešamības gadījumā, piemērveidā), kāda informācija vēl varētu tikt izvērtēta.

-

Lūdzam papildināt noteikumu projekta anotāciju ar informāciju, no kuras konkrēti Nacionālās kiberdrošības likuma vai Elektronisko sakaru likuma normas izriet Ministru kabineta tiesības paredzēt attiecīgi noteikumu projekta 3.2., 3.3., 3.4., 3.6., 3.7., 3.8. 3.9., 3.10., 4.1., 4.2., 4.4., 5. un 8.2. apakšnodaļā ietverto regulējumu.

-

Lūdzam izvērtēt un precizēt noteikumu projekta 11. punktu, nodrošinot loģisku un secīgu tiesību normu izklāstu un sākotnēji 11. punktā norādot subjekta pienākumu attiecīgo dokumentācijas kopumu veidot, kas šobrīd netieši izriet no tālākā noteikumu projekta regulējuma.

-

Lai nodrošinātu tiesību normu pareizu un precīzu piemērošanu, lūdzam noteikumu projektā paredzēt uzdevumu atbildīgajai institūcijai izstrādāt vadlīnijas, kā noteikt sistēmu drošības klasi. 

-

No šīs prasības izriet, ka kiberdoršības pārvaldniekam ir piešķirtas lietotāju kontu administrēšanas loma. 
 

38.3. kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā pieprasīt apturēt saistītos lietotāju kontus un pieprasīt atcelt tiem piešķirtās piekļuves tiesības;

Lūdzam sniegt pamatojumu noteikumu projekta anotācijas 40. punkta apakšpunktos noteiktajiem datu glabāšanas termiņam katrai kategorijai.

-

Tiesiskās noteiktības nolūkā lūdzam noteikumu projektā vai tā anotācijā skaidrot, kas ir domāts ar sistēmiskiem drošības principiem, tostarp nepieciešamības gadījumā norādot uz normatīvajiem aktiem, kur šie principi ir konkretizēti.

-

Rezerves kopēšanas mērķis ir atjaunot sistēmas darbību pēc tehnisko resursu bojājuma nevis atgriezties kādā no versijām, kas vairs faktiski (gadu veca kopija) nav izmantojama. Pie šāda scenārija neviens nevar būt drošs, ka kaut kādā datumā izveidota gada kopija būs izmantojama sistēmas atjaunošanai un tā saturēs nepieciešamos datus. Ja tomēr ir nepieciešams glabāt gadu vai mēnesi kopijas, tad būtu jānorāda kurā datumā.
Ilgtermiņa glabāšanu parasti izmanto arhivēšanas nolūkiem.

51.2.1. A kategorijas informācijas sistēmai – katrā no iepriekšējām četrpadsmit dienām.

Rezerves kopēšanas mērķis ir atjaunot sistēmas darbību pēc tehnisko resursu bojājuma nevis atgriezties kādā no versijām, kas vairs faktiski (mēnesi veca kopija) nav izmantojama. Pie šāda scenārija neviens nevar būt drošs, ka kaut kādā datumā izveidota mēneša kopija būs izmantojama sistēmas atjaunošanai un tā saturēs nepieciešamos datus. Ja tomēr ir nepieciešamas mēneša kopijas, tad būtu jānorāda kurā datumā.
Ilgtermiņa glabāšanu parasti izmanto arhivēšanas nolūkiem.

51.2.2. B kategorijas informācijas sistēmai – iepriekšējās septiņas dienās, 

Rezerves kopēšanas mērķis ir atjaunot sistēmas darbību pēc tehnisko resursu bojājuma nevis atgriezties kādā no versijām, kas vairs faktiski (mēnesi veca kopija) nav izmantojama. Pie šāda scenārija neviens nevar būt drošs, ka kaut kādā datumā izveidota mēneša kopija būs izmantojama sistēmas atjaunošanai un tā saturēs nepieciešamos datus. Ja tomēr ir nepieciešamas mēneša kopijas, tad būtu jānorāda kurā datumā.
Ilgtermiņa glabāšanu parasti izmanto arhivēšanas nolūkiem.

51.2.3. C kategorijas informācijas sistēmai – iepriekšējā darba dienā

Lūdzam izvērtēt un skaidrot noteikumu projekta 60. punkta atbilstību Nacionālā kiberdrošības likuma 25. panta piektās daļas 4. punktā noteiktajam un nepieciešamības gadījumā svītrot vai precizēt minēto noteikumu projekta punktu, nedublējot minēto likumu.

-

Atbilstoši noteikumu Nr. 108 131. punktam noteikumu projektā nav pieļaujamas atsauces uz privātpersonām juridiski nesaistošām vadlīnijām, kas publicētas iestāžu mājaslapā, tādēļ lūdzam svītrot noteikumu projekta 64. punkta pirmo teikumu un nepieciešamības gadījumā citas noteikumu projekta normas. Nepieciešamības gadījumā lūdzam attiecīgās vadlīniju prasības pārņemt noteikumu projekta tekstā.

-

Lūdzam precizēt noteikumu projekta 66. punktā ietverto atsauci uz normatīvajiem aktiem par datu centru drošību, ņemot vērā, ka pirmšķietami attiecīgi normatīvie akti nav atrodami vai alternatīvi lūdzam skaidrot, vai tiks nodrošināta minēto normatīvo aktu spēkā stāšanās vienlaikus ar noteikumu projektu. Vēršam uzmanību, ka atbilstoši juridiskās tehnikas prasībām noteikumu projektā pieļaujams atsaukties vienīgi uz normatīvajiem aktiem, kuri ir spēkā stājušies vai stāsies spēkā vienlaikus ar noteikumu projektu.

-

Lūdzam izvērtēt un noteikumu projekta 66.1. apakšpunktā izvairīties no pieturzīmju iekavas lietojuma. Norādām, ka šobrīd no 66.2. apakšpunkta neizriet, vai šajā apakšpunktā iekļautā prasība arī attiecas uz skapjiem. Skaidrojam, ka atbilstoši juridiskās tehnikas prasībām termins ir jālieto vienā nozīmē, un tas nav aizstājams ar sinonīmiem.
 

-

Lūdzam izvērtēt un svītrot noteikumu projekta 66.7. apakšpunktu, kas daļēji dublē 66.11. apakšpunktā noteikto. Ja tas ir nepieciešams, lūdzam atbilstoši papildināt noteikumu projekta 66.11. apakšpunktu.

-

Lūdzam noteikumu projekta anotācijā skaidrot, konkrēti kā tiks vērtēta iespējamība, ka iekārtas vai programmatūras izstrādātājs, ražotājs, izplatītājs vai ārpakalpojuma sniedzējs varētu būt pakļauts tādas valsts ietekmei. Norādām, ka, piemērojot fiziskai vai juridiskai personai pamattiesību ierobežojošu normu, katram kritērijam noteikumu projektā, un pēc tam arī Satversmes aizsardzības biroja atzinumā, jābūt skaidri pamatotam. Lūdzam izvērtēt vai normā nav svītrojama norāde uz iespējamību, vai sniegt noteikumu projekta anotācijā skaidrojumu šādas normas saturam.

-

Lūdzam noteikumu projekta anotācijā sniegt plašāku skaidrojumu noteikumu projekta 69.1.1. apakšpunktā norādītajam kritērijam, lai nepieļautu, ka tiek ierobežotas iekārtas vai programmatūras izstrādātāja, ražotāja, izplatītāja vai ārpakalpojuma sniedzēja pamattiesības tikai pamatojoties uz izcelsmes valsti, pilsonību.

-

Lūdzam precizēt noteikumu projekta 69.1.4. apakšpunktu, sniedzot atbilstošu skaidrojumu, kas paredz tiesības ierobežot iekārtas vai programmatūras izstrādātāja, ražotāja, izplatītāja vai ārpakalpojuma sniedzēja pamattiesības, paredzot tiesības izdot Satversmes aizsardzības birojam atzinumu, pamatojoties uz to, ka iekārtas vai programmatūras izstrādātājs, ražotājs, izplatītājs vai ārpakalpojuma sniedzēja izcelsmes valsts varētu būt valsts, kurā nav demokrātiska pārvaldes forma. Norādām, ka bez demokrātiskas valdes pārvaldes formas, ir arī citas valsts pārvaldes formas, kas nedod pamatu uzskatīt valsti par nedrošu un ierobežot šajā valstī ražotu iekārtu vai programmatūru, vēl jo vairāk, ja iekārta vai programmatūra ir vai nu:
1) sertificēta atbilstoši kvalitātes un drošības atbilstības prasībām, ko izvirza Eiropas Savienības tiesību akti (piemēram Eiropas Savienības iekārtu drošību reglamentējošās regulas), vai
2) iekārtas reģistrētas un laistas apgrozībā Eiropas Savienības dalībvalstīs atbilstoši Eiropas Savienības tiesību aktiem.
Vienlaikus lūdzam sniegt pamatojumu nolīguma drošības vai datu aizsardzības jomā iekļautajam kritērijam, norādot, kāda ir šī kritērija globāla prakse. Tāpat nepieciešams izvērtēt, vai šāds kritērijs nepamatoti neierobežos iekārtas vai programmatūras izstrādātāja, ražotāja, izplatītāja vai ārpakalpojuma sniedzēja pamattiesības, ņemot vērā to, ka katra iekārta un programmatūra, neņemot vēra to vai šāds nolīgums pastāv ar tā izcelsmes valsti, var būt atzīta par drošu Eiropas Savienībā. Vienlaikus lūdzam iekļaut noteikumu projekta anotācijā izvērtējumu, kā iekārtas vai programmatūra, uz kuru attiecas kritērijs par nolīgumu drošības vai datu aizsardzības jomā, prevalē par Eiropas Savienības drošības standartiem atbilstošu iekārtu vai programmatūru.

-

Lūdzam sniegt noteikumu projekta anotācijā pamatojumu, kā tiks izvērtēts noteikumu projekta 69.1.6. apakšpunkta kritērijs. Norādām, ka jebkura valsts spēj veikt jebkāda veida ietekmēšanu. Attiecīgi nepieciešams projekta anotācijā skaidrot kāda veida ietekmēšana minētajā kritērijā tiek aptverta un kā tā tiek izvērtēta, piemērojot šādu kritēriju. 

-

Lūdzam sniegt pamatojumu noteikumu projekta anotācijā 69.2.1. apakšpunkta kritērijam, norādot, kā Satversmes aizsardzības birojs izvērtēs, ka iekārtas, programmatūras un ārpakalpojumam, izmantošana var radīt draudus nacionālajai drošībai, pamatojoties uz kritēriju - patieso labuma guvēju un īpašnieku struktūru.

-

Lūdzam sniegt noteikumu projekta anotācijā pamatojumu noteikumu projekta 69.2.2. apakšpunkta kritērijam un skaidrot, kā minētā saikne var radīt draudus nacionālai drošībai.

-

Lūdzam sniegt noteikumu projekta anotācijā atbilstošu pamatojumu noteikumu projekta 69.2.3. apakšpunkta kritērijam, norādot, kā Satversmes aizsardzības biroja atzinums, ar kuru iekārta, programmatūra un ārpakalpojuma izmantošana var radīt draudus nacionālajai drošībai, ir salāgojams ar kritēriju - spēju nodrošināt piegādi vai sniegt pakalpojumu. Vēršam uzmanību, ka katram kritērijam ir jābūt pamatotam, ņemot vēra to, ka tie uz Satversmes aizsardzības biroja atzinuma pamata var ierobežot iekārtas, programmatūras izstrādāja, ražotāja, izplatītāja, ārpakalpojuma sniedzēja pamattiesības. Ne no noteikumu projekta, ne no tā anotācijas nav nolasāms, kā Satversmes aizsardzības birojs vērtēs spēju nodrošināt piegādi vai sniegt pakalpojumus un kādēļ šāds kritērijs ir sasaistīts ar nacionālās drošības riskiem.

-

Lūdzam noteikumu projekta anotācijā skaidrot, konkrēti kā tiks vērtēta - iespējamība, ka iekārtas vai programmatūras izstrādātājs, ražotājs, izplatītājs vai ārpakalpojuma sniedzējs varētu būt pakļauts tādas valsts ietekmei. Norādām, ka, piemērojot fiziskai vai juridiskai personai pamattiesību ierobežojošu normu, katram kritērijam noteikumu projektā un pēc tam ari Satversmes aizsardzības biroja atzinumā jābūt skaidri pamatotam. Lūdzam izvērtēt, vai normā nav svītrojama norāde uz iespējamību, vai sniegt noteikumu projekta anotācijā skaidrojumu šādas normas saturam.

-

Lūdzam izvērtēt un noteikumu projektā vai tā anotācijā skaidrot, kas ir domāts ar atbilstošām kiberdrošības prasībām (nepieciešamības gadījumā izdarot atsauci uz konkrētām noteikumu projekta normām) un kā minēto prasību atbilstība būtu novērtējama, tādējādi atvieglojot noteikumu projekta piemērošanu praksē.

-

Vēršam uzmanību, ka Satversmes tiesā ir aktualizēta lieta par pamattiesību ierobežojumu līdzīga satura normai, ņemot vērā to, ka norma tās iepriekšējā redakcijā ir tikusi attiecināta uz ar projektu nesaistītu iekārtu. Līdz šim, atbilstoši Satversmes tiesas kolēģijas 2024. gada 23. augusta lēmumam (pieteikums Nr. 93/2024), vienīgais šķērslis konstitucionālās sūdzības ierosināšanai ir vispārējo tiesību aizsardzības līdzekļu iziešana, jo pēc minēta lēmuma (lēmuma 6.4. apakšpunkts) Satversmes tiesas kolēģija norādījusi, ka pieteikums par apstrīdētās normas atbilstību Satversmes 105. panta pirmajiem trīs teikumiem atbilst Satversmes tiesas likuma 19.2 panta pirmās daļas un sestās daļas 1. punkta prasībām, attiecīgi būtu vērtējams pamattiesību ierobežojums (jo Pieteikuma iesniedzējas ieskatā apstrīdētā norma ierobežo tiesības veikt uzņēmējdarbību. Proti, apstrīdētajā normā izvirzītās prasības Pieteikuma iesniedzējai liedz sniegt konkrētus pakalpojumus medicīnisko laboratorijas iekārtu uzstādīšanā kritiskās infrastruktūras īpašniekiem un pamatpakalpojuma sniedzējiem, tādējādi ierobežojot preču brīvu apriti. Tāpēc apstrīdētā norma aizskarot Pieteikuma iesniedzējas Satversmes 105. pantā ietvertās pamattiesības).
Attiecīgi Tieslietu ministrija konstatē, ka ir pamats secināt, ka norma, kas ir piemērota no Ministru kabineta 2015. gada 28. jūlija noteikumiem Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" (turpmāk - MK noteikumi Nr.442), ir pamattiesību ierobežojoša, attiecīgi lūdzam izvērtēt vai no MK noteikumiem Nr.442 pārņemtā minētā norma nav būtiski precizējama, lai novērstu risku nepamatotam pamattiesību ierobežojumam.
Norādām, ka ņemot vērā to, ka Satversmes tiesas kolēģija lēmumā ir norādījusi, ka pieteikums ar apstrīdētās normas atbilstību Satversmes 105. panta pirmajiem trīs teikumiem atbilst Satversmes tiesas likuma 19.2 panta pirmās daļas un sestās daļas 1. punkta prasībām, vispārēja prakse pēc vispārējo tiesību aizsardzības līdzekļu iziešanas ir pieteicēja vēršanās Satversmes tiesā lūdzot atzīt šāda satura normu (MK noteikumos Nr.442) par neatbilstošu Satversmei. 
Ņemot vērā minēto, lūdzam laicīgi novērst iespējamību, ka no MK noteikumiem Nr. 442 pārņemtās normas varētu nepamatoti ierobežot pamattiesības. 

-

Lūdzam noteikumu projekta anotācijā sniegt plašāku skaidrojumu noteikumu projekta 80.2. apakšpunktā norādītajam kritērijam, lai nepieļautu, ka tiek ierobežotas iekārtas vai programmatūras izstrādātāja, ražotāja, izplatītāja vai ārpakalpojuma sniedzēja pamattiesības tikai pamatojoties uz izcelsmes valsti, pilsonību. Ņemot vēra to, ka norma var ierobežot fiziskas personas pamattiesības, ir jābūt skaidram pamatojumam attiecībā uz katru kritēriju.

-

Ņemot vērā to, ka noteikumu projekta 80. punkts jau regulē kritērijus attiecībā uz fizisku un juridisku personu, lūdzam noteikumu projekta anotācijā skaidrot, kas ir saprotams ar 80.3. apakšpunktā norādīto subjektu. 

-

Lūdzam skaidrot noteikumu projekta anotācijā, kas tiek vērtēts, lai saņemtu kompetentās valsts drošības iestādes atļauju, ja A drošības klases informācijas resursu elektroniskā apstrāde notiek citas valsts teritorijā.

-

Lūdzam noteikumu projekta anotācijā skaidrot, kā būtisko pakalpojumu sniedzējs izvērtēs, vai noteikumu 80. un 81. punkts ir attiecināms. 
Tāpat lūdzam izvērtēt, vai norma, kas paredz vienošanās ietvaros slēgta iepirkuma līguma prasības, nepārkāpj deleģējums robežas un ir atbilstoša Publiska iepirkuma likumam, un kādas sekas noteikumu projekta 82. punkts var sagādāt publisko iepirkumu procesam. 

-

Lūdzam noteikumu projekta anotācijā skaidrot, vai noteikumu projekta 84. pants nepārkāpj deleģējuma robežas, un kā noteikumu projekta 84. punkts atbilst Publisko iepirkumu likumam.

-

Vēršam uzmanību, ka no noteikumu projekta nav saprotams, kādus kritērijus piemēros kompetentā valsts drošības iestāde, izvērtējot to, vai līguma slēgšana vai turpināšana ir pretrunā nacionālās drošības interesēm. Norādām, ka, piemērojot sekas, kas fiziskai vai juridiskai personai rada pamattiesību ierobežojumu, ir jābūt pilnīgi skaidriem kritērijiem. Tāpat norādām, ka šāda valsts drošības iestādes atzinuma izdošanai ir jābūt ar konkrētu pamatojumu, un tikai pie konkrētiem un pamatotiem apstākļiem paredzot atzinumu par līguma slēgšanu vai turpināšanu. 

-

Vēršam uzmanību, ka noteikumu projekta 87. punkts ne tikai pārkāpj deleģējumu, bet arī neatbilst Publisko iepirkumu ielikumam (likuma 42. panta piektajai daļa jau regulē minēto attiecībā uz pasūtītāja pienākumiem publisko iepirkumu procesā). Attiecīgi lūdzam izvērtēt un svītrot minēto punktu.

-

Nacionālās kiberdrošības likuma 24. panta otrajā daļā dotais deleģējums Ministru kabinetam paredz, ka informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību nosaka Ministru kabinets. Ievērojot minēto, lūdzam izvērtēt, vai noteikumu projekta 87. punktā ietvertā norma atbilst šim deleģējumam.
Kā izriet no noteikumu projekta 87. punkta, Satversmes aizsardzības birojam būs tiesības pārbaudīt informāciju attiecībā uz personas sodāmību par tīšu noziedzīgu nodarījumu un faktiem, kas dod pamatu apšaubīt tās spēju saglabāt ierobežotas pieejamības vai klasificētu informāciju. Vēršam uzmanību, ka atbilstoši likumam "Par valsts noslēpumu" jau ir noteikta kārtība valsts noslēpuma aizsardzībai, kā arī izvirzītas prasības personām, lai saņemtu pieeju valsts noslēpumam. Savukārt ierobežotas pieejamības informācijas aizsardzību regulē Informācijas atklātības likums. Ievērojot minēto, Tieslietu ministrijas ieskatā projekta 87. punkts ir svītrojams.

-

Lūdzam izvērtēt un noteikumu projekta anotācijā skaidrot šo noteikumu 7.1. apakšnodaļā ietverto kritēriju atbilstību direktīvas Nr. 2022/2555 23. panta 3. punktā noteiktajam vai atbilstoši precizēt minēto apakšnodaļu.

-

Lūdzam noteikumu projekta 96.3. apakšpunktu papildināt ar atsauci uz konkrētu normatīvo aktu jomu, ievērojot noteikumu Nr. 108 137. punktā noteikto.

-

Lūdzam svītrot noteikumu projekta 99. punktu vai pamatot tajā ietvertā regulējuma atbilstību Nacionālās kiberdrošības likuma 44. panta otrās daļas otrajā teikumā Ministru kabinetam dotajam pilnvarojumam, kas paredz, ka Ministru kabinets nosaka kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību. Vēršam uzmanību uz to, ka pilnvarojumā paredzētā auditoru reģistrācijas kārtība dod tiesības Ministru kabinetam noteikt sākotnējo lēmumu pieņemšanas kārtību, proti, lēmumu reģistrēt auditoru vai atteikt reģistrēt auditoru. Administratīvā procesa likuma 11. pants paredz, ka privātpersonai nelabvēlīgu administratīvo aktu izdot var uz Satversmes, likuma, kā arī uz starptautisko tiesību normas pamata. Ministru kabineta noteikumi var būt par pamatu šādam administratīvajam aktam tikai tad, ja Satversmē, likumā vai starptautisko tiesību normā tieši vai netieši ir ietverts pilnvarojums Ministru kabinetam, izdodot noteikumus, tajos paredzēt šādus administratīvos aktus.

-

Lūdzam svītrot noteikumu projekta 100. punktu, ņemot vērā to, ka attiecīgā norma ir deklaratīva. Vēršam uzmanību uz to, ka lēmumi, kas tiek pieņemti saistībā ar auditoru reģistrāciju, ir administratīvie akti, ja tie atbilst Administratīvā procesa likuma 1. panta trešajā daļā paredzētajām administratīvā akta pazīmēm. No noteikumu projektā ietvertā auditoru reģistrācijas procesa secināms, ka šie lēmumi būs administratīvie akti.

-

Lūdzam izvērtēt un noteikumu projekta 114. punktā paredzēt konkrētu termiņu, kādā subjekts informējams par agrās brīdināšanas sensora uzstādīšanu, ievērojot, ka norāde uz savlaicīgu informēšanu varētu būt pārāk vispārīga un apgrūtinoši piemērojama praksē.

-

Lūdzam izvērtēt un precizēt noteikumu projekta 8.6. apakšnodaļu, svītrojot tajā regulējumu, kas attiecas uz neatbilstības novēršanas kārtību (piem., lemšanu par atbildību, disciplinārlietu ierosināšanu, lēmumu pieņemšanas kārtību par neatbilstību novēršanu), ņemot vērā, ka pilnvarojums noteikt neatbilstības novēršanas kārtību, Nacionālās kiberdrošības likumu izskatot Saeimā, no minētā likuma ir izslēgts, turklāt attiecīgie jautājumi izriet arī no likumiem, piem., no Valsts civildienesta ierēdņu disciplināratbildības likuma. Alternatīvi lūdzam noteikumu projekta anotācijā sniegt izvērstu pamatojumu par minētās apakšnodaļas regulējuma atbilstību noteikumu projekta izdošanas tiesiskajam pamatam.

-

Lūdzam izvērtēt, vai ir pamatoti attiecīgajos gadījumos informēt vienīgi Ministru kabinetu, un sniegt noteikumu projekta anotācijā atbilstoši skaidrojumu, nepieciešamības gadījumā precizējot noteikumu projekta 120. punktu. Norādām, ka ar valsts institūciju varētu arī saprast citas institūcijas, kuras nav Ministru kabineta padotībā.

-

Vēršam uzmanību, ka atbilstoši noteikumu projekta 1.19. apakšpunktam nosakāma ir kārtība ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, attiecīgi no noteikumu projekta 120. punkta un tā anotācijas neizriet, kas ir domāts ar pašvaldības institūcijām un kādēļ uz šīm institūcijām nav attiecināms 119. punkts. Ievērojot minēto, lūdzam izvērtēt un svītrot noteikumu projekta 120. punktā ietverto norādi uz pašvaldības institūciju vai sniegt atbilstošu skaidrojumu par minēto noteikumu projekta anotācijā.

-

Lūdzam pārskatīt un precizēt noteikumu projektu, nodrošinot, ka par spēku zaudējušiem netiek atzīti Ministru kabineta noteikumi, kuri jau ir zaudējuši spēku, stājoties spēkā Nacionālajam kiberdrošības likumam, piemēram, Ministru kabineta 2011. gada 26. aprīļa noteikumi Nr. 327 "Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam un par drošības incidentu būtiskuma kritērijiem", Ministru kabineta 2019. gada 15. janvāra noteikumi Nr. 15 "Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu".

-

Lūdzam noteikumu projekta anotāciju papildināt ar detalizētu pamatojumu noteikumu projekta 127.-132. punktā ietvertajiem noslēguma jautājumiem, jo īpaši ņemot vērā Nacionālajā kiberdrošības likumā paredzētos Ministru kabineta noteikumu izdošanas termiņus un to, ka ir nepieciešams laikā pārņemt Eiropas Savienības direktīvu prasības.

-

Lūdzam precizēt pašvērtējuma ziņojuma veidlapu, nodrošinot tās atbilstību noteikumu projekta 17. punktam attiecībā uz kiberdrošības politikā iekļaujamo informāciju, tostarp nodrošinot, ka nedublējas 0304 ailē iekļautā informācija. Norādām, ka atbilstoši juridiskās tehnikas prasībām tiesību aktu pielikumos ietver tehniskos normatīvus, tabulas, veidlapu paraugus, kartes, zīmējumus u.tml. Pielikumos neietver pastāvīgas tiesību normas un normas, kas neizriet no tiesību akta pamatteksta.

-

Anotācijā ir norādīts, ka "noteikumu projekts paredz, ka kompetentā valsts drošības iestāde pēc savas iniciatīvas var pārbaudīt jebkura subjekta kiberdrošības pārvaldnieka atbilstību minētajām prasībām, par pārbaudes rezultātiem informējot Nacionālo kiberdrošības centru (ja subjekts nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs) un subjekta vadītāju". Lūdzam precizēt, kurā normā šādas kompetentās valsts drošības iestādes tiesības ir noteiktas.

-

Lūdzam izvērtēt un papildināt noteikumu projektu ar regulējumu, kas izriet no Ministru kabineta 2023. gada 28. februāra noteikumiem Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības", bet nav ietverts noteikumu projektā (piem., bet ne tikai 5. nodaļā "V. Piegādes ķēdes drošība un nepārtrauktība"), tostarp attiecībā arī uz kompetento iestāžu (t.i., ne vien Satversmes aizsardzības birojs) un to funkciju noteikšanu drošības prasību piemērošanas uzraudzībai. Alternatīvi lūdzam sniegt skaidrojumu, kādēļ tas nav nepieciešams. Norādām, ka lielākā daļa minēto Ministru kabineta noteikumu normas paredz pārņemt direktīvas Nr.2018/1972/ES 40. panta 1. punktā iekļautās prasības, tādēļ jo īpaši būtiski nodrošināt minēto prasību pārņemšanas nepārtrauktību.

-

Pamatojoties uz Ministru kabineta 2021. gada 7. septembra noteikumu Nr. 617 "Tiesību akta projekta sākotnējās ietekmes izvērtēšanas kārtība" 9.19. apakšpunktu, lūdzam:
pirmkārt, papildināt noteikumu projekta anotācijas 5.4. sadaļas 1. tabulu ar informāciju par direktīvas Nr. 2022/2555 10. panta 1. punktā, 11. panta 1. punkta "a" (attiecībā uz komunikācijas kanālu norādīšanu un darīšanu pieejamu noteiktām personām) apakšpunktā, 21. panta 1. punkta otrajā daļā, 21. panta 3. punktā (attiecībā uz prasību ņemt vērā saskaņā ar 22. panta 1. punktu veikto kritisko piegādes ķēžu koordinēto drošības riska novērtējumu rezultātus), 23. panta 4. punkta otrajā daļa (attiecībā uz uzticamības pakalpojuma sniedzēju), 25. panta 1. punktā ietverto prasību pārņemšanu ar noteikumu projektu;
otrkārt, salāgot noteikumu projekta anotācijā ietverto informāciju ar Nacionālā kiberdrošības likuma (likumprojekta) anotācijas attiecīgajā anotācijas sadaļā norādīto informāciju, tostarp norādot arī minētā likuma vienības, ar kurām ir pārņemtas attiecīgās direktīvas normas (piem., minētās direktīvas 21. panta 1. punktā minētās);
treškārt, skaidrot 5.4. sadaļas 1. tabulas rīcības brīvības ailē, vai ir izmantota direktīvas Nr. 2022/2555 24. panta 1. punktā ietvertā rīcības brīvība, kā tā ir izmantota un to, kādēļ minēto rīcības brīvību nolemts izmantot;
visbeidzot, skaidrot direktīvas Nr. 2018/1972/ES prasību pārņemšanu noteikumu projektā.

-

Atbilstoši vadlīnijām tiesību akta projekta sākotnējās ietekmes novērtējuma ziņojuma sagatavošanai vienotajā tiesību aktu izstrādes un saskaņošanas portālā anotācijā ir jāsniedz informācija, kā projekts ietekmēs katru no mērķgrupām – tieši vai netieši, kāds ir mērķgrupas lielums (ja to ir iespējams novērtēt), kā arī jebkādu citu skaidrojošu informāciju par mērķgrupu. Ņemot vērā minēto, lūdzam būtiski papildināt anotācijas 7. sadaļu, jo nav sniegta informācija, kā noteikumu projekts ietekmēs katru institūciju - Aizsardzības ministriju,Satversmes aizsardzības biroju un Militārās izlūkošanas un drošības dienestu.
Papildus lūdzam aizpildīt anotācijas 7.2., 7.3. un 7.4. apakšpunktu, sniedzot informāciju, vai attiecīgajām institūcijām administratīvais slogs palielināsies, samazināsies vai paliks nemainīgs. Vēršam uzmanību, ka publiskai pārvaldei slogu aprēķina, sākot no 1 euro.

-

Lūdzam precizēt noteikumu projekkta nosaukumu atbilstoši noteikumu Nr. 108 90. un 91. punktam.

"Minimālo kiberdrošības prasību noteikumi"

Lūdzam precizēt atbilstoši Nacionālās kiberdrošības likuma 34. panta septītajā daļā noteiktajam.

"1.11. agrīnā brīdinājuma, sākotnējā ziņojuma, starpposma ziņojuma, progresa ziņojuma un galaziņojuma par nozīmīgu kiberincidentu saturu un iesniegšanas kārtību;"

Lūdzam iekļaut skaidrojumu (definīciju) terminam "tīkls"'. Noteikumos dažkārt ir lietots termins "elektronisko sakaru tīkls" vai "subjekta tīkls". Piedāvājam izmantot terminu "datu pārraides tīkls" ar skaidrojumu "Datu pārraides tīkls ir IKT risinājums, kas nodrošina datu apmaiņu starp dažādām ierīcēm (datoriem)."

-

Atbilstoši juridiskās tehnikas prasībām lūdzam svītrot noteikumu projekta 2.22. apakšpunktu vai precizēt citas noteikumu projekta vienības, ievērojot, ka minētais termins noteikumu projekta pamattekstā netiek lietots.

-

Lūdzam izvērtēt un noteikumu projekta 14. pielikumā svītrot norādi, ka subjektam jāsniedz skaidrojums, ja kiberdrošības politika tikusi pārskatīta retāk, nekā reizi gadā, ievērojot, ka atbilstoši noteikumu projekta 16. punktā noteiktajam pieļaujams pārskatīt minēto politiku reizi trijos gados.

-

Lūdzam izvērtēt un 3.6. nodaļu nosaukt atbilstoši tās saturam un 5.pielikumā norādītajai tipoloģijai.

3.6. Kiberincidentu un gandrīz notikušu kiberincidentu pārvaldība un kiberincidentu gandrīz notikušu kiberincidentu žurnāls.

Ja ar iespējamo kiberincidentu ir domāts gandrīz noticis kiberincidents, lūdzam izvērtēt un  30.1. apakšpunktā vārdus "iespējamo kiberincidentu" aizvietot ar "gandrīz notikušo kiberincidentu", lai neradītu jaunus terminus.

5) gandrīz noticis kiberincidents — notikums, kurš būtu varējis apdraudēt apstrādātus datus vai tīklu un informācijas sistēmu piedāvāto vai ar tīklu un informācijas sistēmu starpniecību pieejamo pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti, bet kura pilnīga īstenošanās tika sekmīgi novērsta vai kurš neīstenojās;

30.1. nodarbināto lomas un atbildību kiberincidenta pazīmju konstatēšanas gadījumā vai informācijas saņemšanas gadījumā par gandrīz notikušu kiberincidentu;

Lūdzam izvērtēt un 5. pielikumā samazināt uzskaitītos kiberincidenta veidus. Daļa no tiem atbilst ievainojamībai, gandrīz notikušam kiberincidentam.

-

Lūdzam terminu "standarta lietotāja konts" aizstāt ar terminu "lietotāja konts", jo noteikumu projektā nav skaidrojums terminam "standarta lietotājs".

-

Lūdzam precizēt iekšējā un ārējā tīkla definīciju, norādot, kādi tīkli ir uzskatāmi par iekšējiem, un kādi - par ārējiem.

-

tīkli būtu arī jānodala pēc to pielietojuma, piemēram videonovērošanas tīkls, tālruņi, signalizācija, TV varbūt vienā drošības klasē, bet samazinātu drošības risku uz citiem IKT resursiem, tie būtu jānodala

iekšējais tīkls ir sadalīts loģiskos segmentos atbilstoši subjekta darbības specifikai, pielietojuma un elektroniski apstrādājamo informācijas resursu drošības klasēm

Lūdzam precizēt, ievērojot, ka noteikumu projektā nav noteikts, ko nozīmē "stingra" autentifikācija.

"39.5. piekļuve iekšējā tīklā esošajiem informācijas resursiem ārpus iekšējā tīkla ir iespējama tikai, izmantojot šifrētu virtuālā privātā tīkla (VPN) risinājumu ar daudzfaktoru autentifikāciju;"

Vārdiem "ja attiecināms," nav nozīmes

39.6.viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski un loģiski atdalītu tīklu ar atsevišķu reālo IP adresi;

lūdzu precizēt uz kādām tīkla iekārtām un cik lielā mērā ir attiecināma šī prasība. Vai šeit ir domāts savstarpēji atdalīta vai atdalīta no kaut kā?

-

Lūdzu precizēt iekšējā tīkla definīciju, norādot kritēriju iekšējiem bezvadu tīklam

-

Lūdzu papildināt ar servisiem kas nodrošina šos sitēmu darbību.

kategorijas informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 18 mēnešus pēc pēdējā ieraksta izdarīšanas;

Lūdzu izteikt šādā redakcijā

kategorijas informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 12 mēnešus pēc pēdējā ieraksta izdarīšanas;

Lūdzu izteikt šādā redakcijā

kategorijas informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 6 mēnešus pēc pēdējā ieraksta izdarīšanas;

Lūdzu izvērtēt un ieviest jaunu terminu, ja 41.6.apakšpunktā  "iespējams kiberincidents" nenozīmē to pašu, ko "gandrīz noticis kiberincidents". Ja tas tomēr ir viens un tas pats, visur pieturēties pie viena termina.

-

proti ne vienmēr norāda kādi pakalpojumi vai lietojumprogrammas bija iesaistītas

43.3. avota un galamērķa izmantotie tīkla porti

Lūdzam izteikt attiecīgo normu šādā redakcijā.

"51.4. par katru rezerves kopijas izveides vai neizveides gadījumu tiek veikts atbilstošs ieraksts auditācijas pierakstos;"

Lūdzu izteikt šādā redakcijā

51.6. A kategorijas informācijas sistēmai pēc rezerves kopijas izveides tiek izveidota rezerves kopijas satura kontrolsumma un reģistrēta auditācijas pierakstos.

Lūgums izvērtēt un aizvietot 55.punktā "nodarbināto" ar "lietotāju", jo ne visiem nodarbinātajiem ir konti kibervidē (nav nepieciešami amatu pienākumu izpildei).

55. Subjekts organizē tā lietotāju apmācību kiberdrošības jautājumos, izvēloties tādu apmācības veidu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Apmācību kopums ietver:

Lūgums izvērtēt un aizvietot 55.1. apakšpunktā "nodarbināto" ar "lietotāju", jo ne visiem nodarbinātajiem ir konti kibervidē (nav nepieciešami amatu pienākumu izpildei).

-

Lūgums izvērtēt un aizvietot 57. punktā "nodarbināto" ar "lietotāju", jo ne visiem nodarbinātajiem ir konti kibervidē (nav nepieciešami amatu pienākumu izpildei).

57. Šo noteikumu 55.1. apakšpunktā minētās instruktāžas ir obligātas visiem subjekta lietotājiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tas informē kiberdrošības pārvaldnieku un vienojas par instruktāžu citā piemērotā laikā un formātā. Kiberdrošības pārvaldnieks ir tiesīgs apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža.

Lūgums izvērtēt un aizvietot 58. punktā "nodarbināto" ar "lietotāju", jo ne visiem nodarbinātajiem ir konti kibervidē (nav nepieciešami amatu pienākumu izpildei).

-

Lūgums izvērtēt un aizvietot 59. punktā "nodarbināto" ar "lietotāju", jo ne visiem nodarbinātajiem ir konti kibervidē (nav nepieciešami amatu pienākumu izpildei).

-

Lūgums izvērtēt un aizvietot 61. punktā "nodarbināto" ar "lietotāju", jo ne visiem nodarbinātajiem ir konti kibervidē (nav nepieciešami amatu pienākumu izpildei).

-

Piedāvāju šeit izmantot risku vērtēšanu nevis "tehniski iespējams" apsvērumus

63. Ievērojot datu subjekta riska vērtējumu, būtisko pakalpojumu sniedzējs pielieto šifrēšanas risinājumus vismaz:

Lūdzu papildināt ar prasību pret datu centra ēku, izvērtējot ārējos ietekmes riskus, piemēram no  eksplozijas, plūdiem, aviokatastrofas

-

Lūdzu papildināt ar prasību pēc nodalīta datu centra,  kur sistēma būtu atjaunojama ārkārtas gadījumā.

-

lūdzu izteikt šādā redakcijā

66.4. telpas ir nodrošinātas ar atbilstošiem klimata uzraudzības un kontroles mehānismiem un procedūrām;

augstas pieejamības sistēmām ir nepieciešāms rezerves datu pārraides tīkls

66.10.4 alternatīvu datu pārraides tīkla pieslēgumu.

Lūdzam izvērtēt un noteikumu projekta 67.1. apakšpunkta otro teikumu papildināt ar norādi uz publiskā elektroniskā sakaru tīkla tiesisko valdītāju vai skaidrot, kādēļ tas nav nepieciešams, noteikumu projekta anotācijā.

-

Lūdzam izvērtēt un salāgot noteikumu projektā ietverto regulējumu ar tā anotācijā norādīto informāciju. Norādām, ka, piemēram, noteikumu projekta anotācijā norādīts uz programmatūras pirmkoda, nevis koda nodošanu.

-

Lūdzam noteikumu projekta 91. punktā norādīt, kādā termiņā informējams Nacionālais kiberdrošības centrs, tādējādi nodrošinot attiecīgās normas nepārprotamu izteiksmi.

-

Lūdzam noteikumu projekta 92.2. apakšpunktā svītrot vārdu "mantiskus", jo zaudējumi var būt vienīgi mantiski.

-

Lūdzam izvērtēt un papildināt 92.5 apakšpunktu ar traucējumu apmēru/ietekmi.

-

Lūdzam noteikumu projekta 95. punktā svītrot atsauci uz iekšējiem normatīvajiem aktiem, ievērojot 131.2. apakšpunktā noteikto.

-

Lūdzu izvērtēt un precizēt nosaukumu 8.1 apakšnodaļai, apakšnodaļa ir par auditoru reģistrēšanas procesu, nevis atbilstības auditu.

-

Lūdzam noteikumu projekta 103.2.1. un 103.2.2 prasības attiecināt arī uz subjekta nodarbināto personālu.

"103.2.1.
atbilst šo noteikumu 80. punkta prasībām;"
"103.2.2.
ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju ielaušanās testu jomā (piemēram, CEH, OSCP), vai kurai ir vismaz divu gadu darba pieredze ielaušanās testu veikšanā;"

Tiesiskās noteiktības nolūkā lūdzam noteikumu projekta 106.4. apakšpunktā norādīt vai anotācijā skaidrot atskaites punktu trīs gadu termiņa aprēķināšanai.

-

Lūdzam precizēt norādi uz Viedās aizsardzības un reģionālās attīstības ministriju, ņemot vērā to, ka ministrijai ir mainīts nosaukums (skat. Ministru kabineta 2024. gada 3. septembra noteikumus Nr. 586 "Viedās administrācijas un reģionālās attīstības ministrijas nolikums"). 

-

Ņemot vērā, ka attiecīgās direktīvas prasības ir jāpārņem līdz 2024. gada 18., nevis 18. oktobrim, lūdzam atbilstoši precizēt noteikumu projekta 126. punktu.

"126. Noteikumi stājas spēkā 2024. gada 18. oktobrī."

Lūdzu pārvērtēt "(a) informācijas resursa pieejamības pārtraukums informācijas sistēmas paredzētajā darbības laikā summāri nedrīkst pārsniegt 0,1% kalendārā gada ietvaros; "norādīto 0,1%, kas faktiski nozīmē, ja sistēmai paredzētais darbības laiks 24/7 vai izrietošais nepieejamības laiks 8.76h (kas faktiski būtiski apgrūtinās valsts vai pašvaldības pamatfunkciju īstenošanu) darba dienā būs pieņemams?

-

Piedāvāju dzēst šo prasību "(c) no informācijas resursa pieejamības ir atkarīga citas informācijas sistēmas darbība, kurai noteikta A pieejamības klase;", A klases sistēmas arhitektūra ir jāveido tā, lai tā nebūtu atkarīga no citu sistēmu darbības vai pieejamības.

-

Lūdzam izvērtēt un iekļaut 5.pielikuma nosaukumā gandrīz notikušu kiberincidentu un ievainojamību. 

Kiberinicidentu, gandrīz notikušu kiberincidentu un ievainojamību tipoloģija.

Lūdzam izvērtēt un paplašināt tabulas nosaukumu vai sašaurināt saturu atbilstoši kiberincidenta definīcijai. Ne visi aprakstītie veidi atbilst kiberincidenta definīcijai, piemēram, ievainojamība "Nacionālajā kiberdrošības likumā" ir atsevišķs termins ar savu skaidrojumu, ielaušanās mēģinājums drīzāk atbilst gandrīz notikuša kiberincidenta definīcijai. 
 

-

Lūdzu pārvērtēt uzskaitīto incidentu veidu atbilstību kiberincidenta definīcijai
11) kiberdrošības incidents (turpmāk — kiberincidents) — notikums, kas apdraud apstrādātus datus vai tādu pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti, kurus piedāvā tīklu un informācijas sistēmas vai kuri pieejami ar tīklu un informācijas sistēmu starpniecību;
 

-

Lūdzam tehniski precizēt 5. sadaļā ietverto atsauci uz direktīvu  "NIS2 direktīvas h) apakšpunkts", norādot minētās direktīvas pantu un punktu.

-