Atzinums

LDDK uzskata, ka kiberdrošības pārvaldība ir būtisks process un nav pieļaujams, ka kiberdrošības pasākumus organizē persona ar nepietiekošām zināšanām un pieredzes. Salīdzinoši ar citiem drošības virzieniem, piemēram darba aizsardzības, elektroaizsardzības, ugunsdrošības nepieciešami kvalifikāciju apstiprinoši sertifikāti, t.sk. personas datu aizsardzības speciālistiem ir jākārto kvalifikāciju apliecinošs eksāmens. Salīdzinājumam, lai varētu kļūt par darba aizsardzības speciālistu, tā kvalifikācijai ir noteiktas prasības MK 2010.gada 10.augusta noteikumu Nr.749 "Noteikumi par apmācību darba aizsardzības jautājumos" 4., 5., 6. punktos.  Lai iegūtu augstākminētos starptautiskos sertifikātus, jākārto kvalifikācijas eksāmens un jābūt vismaz 5 gadu profesionālajai pieredzei. Lai iegūtu starptautisku sertifikātu, personai ir jābūt apliecinātai pieredzei jomā un ir pienākums regulāri papildināt savas zināšanas, par ko noteiktos laika periodos ir jāsniedz informācija sertifikāta uzturētājiem. Divu gadu darba pieredze bez teorētisko un praktisko zināšanu apliecināšanas ir nepietiekoša, lai kļūtu par kiberdrošības pārvaldnieku. Esošā Noteikumu projekta redakcija neparedz kvalifikācijas uzturēšanu vai celšanu.


 

Izteikt 8.3. apakšpunktu sekojošā redakcijā:
“8.3. kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas ir spēkā esošs un apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā  (piemēram, CISM, CISSP) un kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā.”
 

Noteikumu projekta 19.punkts nosaka, ka “subjekts nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) atbilstoši šo noteikumu 4. pielikumā ietvertajai metodikai katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai”.  Savukārt 4.pielikuma A klases konfidencialitātes klases (a) pazīme nosaka, ka “informācijas resurss satur vismaz 70% Latvijas Republikas valstspiederīgo personas datus;”.

 

Nepieciešams precizēt Anotācijā, kā tiek noteikta aprēķināmo procentu bāze, jo komersanti neveic personas datu profilēšanu pēc valstspiederības, ja vien to īpaši neparedz likums (un lielākoties gadījumos to neparedz likums), savukārt citi personas datu apstrādes pamati (uz līguma pamata, leģitīmas intereses pamata, piekrišanas pamata), ko komersanti izmanto personas datu apstrādē, nepieprasa šādu datu vākšanu un apstrādi.

LDDK vērš uzmanību, ka šī norma praktiskā piemērošanā ir neloģiska. Piemēram, apsardzes darbinieka postenī videonovērošanas sistēmai tiek izmantots koplietošanas konts. Sistēma nodrošina auditācijas pierakstu veidošanu par veiktajām darbībām ar sistēmu. Nav nepieciešamības manuāli pierakstīt darbinieka veiktās darbības sistēmā, pietiek identificēt darbinieku, kurš attiecīgajā laika posmā atradās dežūrpostenī.


 

Izteikt 35.1. apakšpunktu sekojošā redakcijā:
“35.1. lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Ja tas nav tehniski iespējams (piemēram, ja informācijas sistēmas darbības nepārtrauktības dēļ aktīvā lietotāja konta nomaiņa tās lietošanas laikā nav iespējama), pieļaujams izmantot, ja tiek nodrošināta iespēja identificēt lietotāju citā veidā, piemēram maiņu grafiks, videonovērošana”.
 

Noteikumu projekta 33.punktā norādīts, ka “subjekts nodrošina lietotāju piekļuves tiesību pārvaldību, lai nodrošinātu tīklu un informācijas sistēmu aizsardzību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi”, ko varētu uzskatīt par lietotāju un piekļuves tiesību pārvaldības virsuzdevumu un mērķi, savukārt 35.punkts nosaka detalizētas prasības, kurām it kā būtu jākalpo, lai sasniegtu 33.punktā noteikto mērķi. 35.punktā minētās prasības ir šauri piemērojamas un tehnoloģiski ierobežojošas, ņemot vērā subjektu uzņēmējdarbības veidu un modeļu tīkla un informācijas sistēmu dažādības un vajadzību praksi. Vienveidīga 33.punktā noteiktā mērķa sasniegšana veicinās ne tikai ievainojamības riska paaugstināšanos, bet arī kavēs tehnoloģisko un tehnisko risinājumu inovācijas.
 

Aicinām no 35.punktā noteiktajām prasībām atteikties vai izteikt 35.punktu šādi:
“35. Subjekts nodrošina, ka IKT resursi ir aizsargāti ar drošu autentifikācijas un autorizācijas mehānismu, kas tiek izmantots lai novērstu neautorzētu piekļuvi IKT resursiem. Autentifikācijas un autorizācijas kontroles ietver  un sistēmkonti un administratoru konti netiek izmantoti ikdienas darbā ar IKT resursiem, tostarp tiek veikta:
35.1. administratoru kontu nodalīšana no lietotāju kontiem un izmantošanas uzraudzība;
35.2. sistēmkontu nodalīšana no lietotāju kontiem, sistēmkontu piekļuves tiesību ierobežošana un uzraudzība”.
 

Šīs normas redakcija ir mulsinoša, kā dēl var radīt dažādu interpretāciju.

Lūdzam skaidrot Noteikumu projekta 35.4.apakšpunktu precīzāk, neizmantojot noliegumus.
 

Noteikumu projekta 36.punkts nosaka, ka “ja vien tas ir tehniski iespējams, subjekts nodrošina obligātu daudzfaktoru autentifikācijas (multi-factor authentication) izmantošanu, lai piekļūtu: A un B kategorijas informācijas sistēmas administratora lietotāja kontam; A kategorijas informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālinātā piekļuve informācijas sistēmai no lietotāja privātās ierīces.”.
Nepieciešams skaidrot Anotācijā, kas tiek saprasts ar atrunu “ja vien tas ir tehniski iespējams” šī punkta kontekstā, kā arī kas tiek saprasts ar jēdzienu kopumu “piekļuve kontam” un vai tas ietver arī konta piekļuvi tīkla un informācijas sistēmām.
 

-

Noteikumu projekta 37.punkts paredz, ka “subjekts nodrošina, ka visi reģistrēti informācijas sistēmas lietotāji pārzina un izprot informācijas sistēmas lietošanas noteikumus”, tostarp nosaka detalizētas prasības attiecībā uz informēšanu, informācijas sistēmas lietošanas noteikumu pieejamību un apmācībām.
Pirmkārt, vienā uzņēmumā var būt desmitiem IS un katrai no IS atkarībā no nozīmīguma un funkcijas var nebūt savi, atsevišķi lietošanas noteikumi, bet uz tās lietošanu tiek attiecināti vispārīgi noteikumi, kas jāievēro informācijas sistēmas lietotājiem. Prasība izstrādāt katrai IS savus lietošanas noteikumu nav lietderīga un radīs tikai administratīvo slogu kiberdrošības pārvaldības procesā, tāpēc aicinām precizēt Anotācijā, ka IS var būt piemērojami centralizēti lietošanas noteikumi, kamēr tie visaptveroši pilda informēšanas funkciju lietotājiem attiecībā uz to pienākumiem un tiesībām IS lietošanas gaitā.
 

Precizēt Anotācijā, ka IS var būt piemērojami centralizēti lietošanas noteikumi, kamēr tie visaptveroši pilda informēšanas funkciju lietotājiem attiecībā uz to pienākumiem un tiesībām IS lietošanas gaitā.
 

Lūdzam precizēt vai tiešām viesu piekļuvei internetam ir jābūt atsevišķi ierīkotai kā fiziskam tīklam - iekšējā tīklā atsevišķiem rūteriem, vadiem un wi-fi antenām. Tas rada situāciju, ka nepieciešams uzturēt 2 paralēlas infrastruktūras ikkatrā iestādē kurā jānodrošina viesu tīkls. Viesu piekļuvi internetam var organizēt dažādos veidos, tajā skaitā loģiski nodalot, piemēram, ar 802.1x autentifikāciju. Neautentificētās iekārtas saņem Guest tīklu un tiešu izeju uz internetu.
Aicinām aizstāt saikli “un” ar “vai”.

 

Izteikt 39.6. apakšpunktu sekojošā redakcijā:
“39.6.ja attiecināms, viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski vai loģiski atdalītu tīklu ar atsevišķu reālo IP adresi”.
 

Salīdzinot ar spēkā esošo regulējumu (Ministru kabineta noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 15.10.apakšpunkts.) ir vājināti nosacījumi, nav iekļauta datu atlase. Ja netiek iekļauta informācija par datu atlasi, ir neiespējami izpildīt Vispārīgās datu aizsardzības regulas Eiropas Parlamenta un Padomes Regula (ES) 2016/679 prasību par tiesībām uz dzēšanu (tiesības "tikt aizmirstam").
Papildināt Noteikumu projekta 41.4.apakšpunktu, ņemot vērā spēkā esošo Ministru kabineta noteikumu Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 15.10.apakšpunktu par auditācijas pierakstiem datu atlasei.

 

Izteikt 41.4. apakšpunktu sekojošā redakcijā:
“41.4.datu pievienošanu, izmaiņām, dzēšanu un datu atlasi”.
 

Piedāvātā redakcija paver iespējas interpretācijām par to cik kopijas ir nepieciešams glabāt. Šobrīd veidojas situācija, ka, lai izpildītu prasības, ir jāglabā 365 dienu kopijas, lai varētu atjaunoties uz jebkuru datumu kalendārā gada laikā.
Piemēram, organizācija izmanto Microsoft 365 mākoņpakalpojumu un ir klasificējusi to kā C kategorijas sistēmu. Rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija C kategorijas informācijas sistēmai – iepriekšējā mēnesī, iepriekšējā gadā.
Pieņemot, ka tiek veikta papildus datu rezerves kopēšana ar trešās puses rīkiem, atjaunot "resursa versiju uz iepriekšējā gada stāvokli" nav jēgpilni un ir liels izaicinājums.


 

Lūdzam skaidrot kā 51.2. apakšpunkts ir piemērojams (piemērs):
dienas kopija: veido katru dienu plkst. 02:00. Uzglabā katru kopiju 7 dienas.
Nedēļas kopija: veido katru svētdienu plkst. 03:00. Uzglabā katru nedēļas kopiju 4 nedēļas.
Mēneša kopija: veido katra mēneša pirmajā svētdienā plkst. 04:00. Uzglabā katru mēneša kopiju 12 mēnešus.
Gada kopija: veido katra gada 1.janvārī (sarkanais datums) plkst. 05:00. Uzglabā katru gada kopiju 3 gadus.
Vai arī piedāvājam rezerves kopijas veidošanas biežumu noteikt pēc Informācijas sistēmas svarīguma un risku novērtējuma.

Noteikumu projekta 51.2.apakšpunkts paredz, ka “51.2.rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija: 51.2.1.A kategorijas informācijas sistēmai – pirms dienas, nedēļas, mēneša, gada un diviem gadiem; 51.2.2. B kategorijas informācijas sistēmai – pirms nedēļas, mēneša, gada un diviem gadiem; 51.2.3. C kategorijas informācijas sistēmai – pirms mēneša, gada un diviem gadiem.”.
Šādu termiņu noteikšana nav pamatota un lietderīga – katrai IS var būt dažādas rezerves kopiju sagatavošanas vajadzības atkarībā no IS mērķa un pielietojuma. Rezerves kopiju veidošanas periodiskums nebūtu jāstandartizē, jo subjektu dažādība un to informācijas sistēmu un tīkla vajadzības atšķiras, tāpēc subjekta kiberdrošības pārvaldniekam ir jānosaka un jāpamato IS rezerves kopiju periodiskums kiberrisku pārvaldības plānā un no tā izrietošajos dokumentos.
 

Aicinām precizēt apakšpunktu šādi:
“51.2.rezerves kopiju veidošanas periodiskumu un uzglabāšanas laiku, kas ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija, nosaka subjekta kiberdrošības pārvaldnieks”.
 

Noteikumu projekta 55.punkts nosaka kiberhigiēnas pasākumus. Taču Noteikumu projektā nav noteikts, kas izstrādās un atjauninās kiberdrošības apmācību materiālus un veiks pārbaudes.


 

Papildināt 55. punktu ar jaunu apakšpunktu.
“Subjekts ieceļ atbildīgo personu par kiberhigiēnas pasākumiem”.

Apmācības atkarībā no organizācijas izmēra, kiberdrošības pārvaldnieka atrašanās organizācijā vai ārpakalpojumā var tikt organizētas dažādā veidā. LDDK aicina noteikt, ka mācības organizē atbildīgā persona par ķiberdrošības apmācībām.



 

Izteikt Noteikumu projekta 57.punktu šādā redakcijā:
“57. Šo noteikumu 55.1. apakšpunktā minētās instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tas informē atbildīgo personu par mācību organizēšanu un vienojas par instruktāžu citā piemērotā laikā un formātā. Kiberdrošības pārvaldnieks ir tiesīgs apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža”.

LDDK ieskatā ir jānosaka, ka auditors nevar būt kāds, kas ir jau līguma attiecībās ar subjektu, ir piedalījies sistēmas izstrādē, testēšanā, uzturēšanā vai kam ir interešu konflikts vai citu apstākļu dēļ nevar nodrošināt objektivitāti un neatkarību.


 

Papildināt 85. punktu ar jauniem apakšpunktiem:
“85.4. pēdējo trīs gadu laikā auditors nav piedalījies auditējamās informācijas sistēmas vai tās daļas izstrādē, uzturēšanā, testēšanā;
85.5. auditoram nav interešu konflikts vai citi apstākļi, kuru dēļ nav nodrošināma objektivitāte un neatkarība”.

Noteikumu projekta 92.4.apakšpunkts nosaka, ka “(Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm:) kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;”.
Uzņēmumiem, kas ir šī likuma subjekti, lielākā daļa no informācijas, it īpaši informācija, kas skar biznesa procesus, cenošanu, piegādes ķēdi, utml, tiek kategorizēta kā ierobežotas pieejamības informācija, jo tā nav publiski pieejama informācija. Vienlaikus kiberincidents, kas skars šīs informācijas pieejamību, integritāti vai konfidenciāliāti, nebūs tāds, kam būs ietekme uz pakalpojuma nepārtrauktību vai sabiedrības interesēm (nozīmīga kiberincidenta pamata pazīme). Šajā apakšpunktā noteiktā pazīme ir pārāk plaša un ievērojami paplašina likumā sniegtās definīcijas tvērumu. 
 

Aicinām apakšpunktu dzēst vai sašaurināt uz noteiktām ierobežotas pieejamības vai klasificētas informācijas kategorijām, vienlaikus nodrošinot Anotācijā skaidrojumu, kāpēc konkrētās kategorijas būtu attiecināmas un sasaistāmas ar kiberincidenta nozīmīgumu.
 

Noteikumu projekta 92.5.apakšpunkts nosaka, ka “(Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm:) kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;”.
Šāda pazīme neatbilst nozīmīga kiberincidenta jēdziena tvērumam, jo aptver jebkuru traucējumu, kas ietekmē vai var ietekmēt subjekta pakalpojuma vai IKT kritiskās infrastruktūras funkcionēšanas procesu. Konceptuāli pazīmes virziens ir atbalstāms, bet būtu nosakāmi specifiski kritēriji, kā novērtēt traucējumu būtiskumu un sasaisti ar pakalpojuma nepārtrauktību vai sabiedrības interesēm, kā piemēram, tas ir noteikts Ministru kabineta noteikumos Nr. 15 “Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu” 2.punktā.
Līdzīga pieeja attiecībā uz būtiska incidenta novērtēšanu iestrādāta Finanšu un kapitāla tirgus komisijas normatīvajos noteikumos Nr. 93 Normatīvie noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem.
 

Aicinām 92.5.apakšpunktu dzēst un izstrādāt precīzas subjekta pakalpojuma saņemšanas un IKT kritiskās infrastruktūras funkcionēšanas traucējumu pazīmes, pēc kuru summas vai kopsummas kiberincidents var tikt uzskatīts par būtisku.
 

Piedāvātā Noteikumu projekta redakcija var radīt pārpratumus attiecībā uz ierobežojuma tvērumu. Mūsu ieskatā nepieciešams papildināt Noteikumu projektu ar punktu, ka ierobežojums attiecas tikai uz testējamo sistēmu.

 

Izteikt 103.2.3. punktu šādā redakcijā:
“103.2.3. Pēdējo trīs gadu laikā nav bijusi iesaistīta testējamās  informācijas sistēmas izstrādē vai uzturēšanā”.
 

Noteikumu 8.3.sadaļā aprakstīta kārtība, kādā tiek veikta subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšana. Kārtībā iztrūkst noteikums, ka drošības skenēšana, kas ir nošķirama no 102.3.apakšpunktā norādītā ielaušanās testa, ko var veikt iestādes pārbaudes ietvaros, ir saskaņojama ar subjektu un subjekts ir iepazīstināms ar drošības skenēšanas rezultātiem, ja tiek atklāj kādu ievainojamību.

 

Aicinām papildināt 8.3.sadaļu ar 107.prim punktu:“Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs iepriekš saskaņo drošības skenēšanu ar subjektu un informē par drošības skenēšanas rezultātiem, ja vien tas nav pretrunā ar nacionālās drošības interesēm”.

Noteikumu projekts paredz, ka subjektu IKT infrastruktūrai nav jāveic ārējie auditi, ielaušanās testi vai citi  neatkarīgi novērtējumi, tādēļ mūsu ieskatā ir nepieciešams noteikt prasību kas garantētu, ka subjekta tīklam un sistēmām tiek veiktas drošības skenēšanas ar definētu regularitāti.


 

Papildināt Noteikumu projekta 105.punktu ar apakšpunktiem šādā redakcijā:
“105.Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs veic subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu (turpmāk - drošības skenēšana):
105.1.pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja iniciatīvas pārbaudes ietvaros;
105.2.pēc subjekta (valsts vai pašvaldības iestādes) pieprasījuma vismaz vienu reizi 6 mēnešos.
106. Subjekts veic regulāru drošības skenēšanu ne retāk kā vienu reizi 2 mēnešos visiem IKT resursiem, kas ir sasniedzami izmantojot publisko tīklu”.

Noteikumu projekta 7.4.sadaļa paredz, ka agrās brīdināšanas sensorus subjekta IKT infrastruktūrā izvieto, uztur un demontē kompetentā kiberincidentu novēršanas institūcija, kā arī nosaka prioritāru kārtību, kādā izvieto sensorus, un vērtē agrās brīdināšanas sensoru uzstādīšanas nepieciešamību un lietderību.
Vēršam uzmanību, ka Nacionālās kiberdrošības likumā likumdevējs skaidri noteicis pilnvarojuma saturu un robežas. Likumdevējs nav paredzējis tiesības kiberincidentu novēršanas institūcijai izvietot agrās brīdināšanas sensorus subjektu infrastruktūrā. Likumdevējs attiecībā uz agrās brīdināšanas sensoriem un to izvietošanu likuma 29.pantā ir paredzējis, ka “Ministru kabinets nosaka kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu informācijas un komunikācijas tehnoloģiju infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus.”. Deleģējums paredz Ministru kabinetam noteikt kritērijus tam, kuriem subjektiem obligāti šādi sensori izvietojami, uzstādāmi un izmantojami. Deleģējums neparedz, ka šos sensorus subjekta infrastruktūra izvieto un apkalpo kiberincidentu novēršanas institūcija.
Vēršam uzmanību, ka Satversmes tiesa ir norādījusi, ka nav pieļaujama pamattiesību ierobežojuma noteikšana  bez skaidra likumdevēja pilnvarojuma. Savukārt īstenojot pilnvarojumu, ir jāizvairās no personas pamattiesības ierobežošanas, ja uz to ierobežojuu nepieciešamību nav tieši norādīt pilnvarojošajā normā (sk. Satversmes tiesas 2005.gada 21.novembra sprieduma lietā Nr. 2005-13-03-0306 10.punktu un 2016.gada 12.februāra sprieduma lietā Nr. 2015-13-03 15.punktu). Tādi normatīvie akti, kas izdoti bez atbilstoša pilnvarojuma (ultra vires), tiek uzskatīti par spēkā neesošiem un nav saistoši adresātiem.
 

Aicinām pilnībā pārstrādāt 8.4.sadaļu atbilstoši likumdevēja sniegtajam deleģējumam Nacionālās kiberdrošības likuma 29.pantā, sadaļā ietverot: 1) pazīmes, kuras paredz obligāti uzstādīt agrās brīdināšanas sensorus likuma subjektiem; 2) uzstādīšanas un 3) izmantošanas noteikumus.

Nepieciešams precizēt Noteikumu projektu attiecībā uz pirmreizējo pašvērtējuma ziņojuma iesniegšanas kārtību un termiņiem attiecībā uz subjektiem, kuriem atbilstība būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam iestāsies pēc 2025.gada 1.aprīļa.
Piemēram, ja kāds subjekts kļūs par svarīgo pakalpojumu sniedzēju 2026.gadā un tam nebūs neviena A kategorijas sistēma, tad pirmais pašvērtējums jāiesniedz līdz 2029.gada pirmajam oktobrim, kas ir nesamērīgi tāls termiņš.

 

Papildināt Noteikumu projektu attiecībā uz  pirmreizējo pašvērtējuma ziņojuma iesniegšanas kārtību un termiņiem attiecībā uz subjektiem, kuriem atbilstība būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam iestāsies pēc 2025.gada 1.aprīļa.
 

Noteikumu projekta 19.punkts nosaka, ka “subjekts nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) atbilstoši šo noteikumu 4. pielikumā ietvertajai metodikai katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai”.  Savukārt 4.pielikuma A klases konfidencialitātes klases (a) pazīme nosaka, ka “informācijas resurss satur vismaz 70% Latvijas Republikas valstspiederīgo personas datus;”.

 

Nepieciešams precizēt Anotācijā, kā tiek noteikta aprēķināmo procentu bāze, jo komersanti neveic personas datu profilēšanu pēc valstspiederības, ja vien to īpaši neparedz likums (un lielākoties gadījumos to neparedz likums), savukārt citi personas datu apstrādes pamati (uz līguma pamata, leģitīmas intereses pamata, piekrišanas pamata), ko komersanti izmanto personas datu apstrādē, nepieprasa šādu datu vākšanu un apstrādi.