Atzinums

Lūdzam precizēt noteikumu projekta 2.7.apakšpunktā paredzēto IKT resursu definīciju, jo tā sašaurina IKT resursu jēdziena tvērumu, ņemot vērā to, ka arī iekārtas un ierīces var tikt pakļautas kiberapdraudējumam (piemēram, kases sistēmas, ūdenssaimniecības ūdens sūkņu pārvaldība u.c. iekārtu pārvaldība). Šobrīd noteikumu projektā lietotā IKT resursu definīcija ir šaurāka, salīdzinot ar Nacionālās kiberdrošības likuma (turpmāk - NKL) 1.panta 7.punktā iekļauto informācijas un komunikācijas tehnoloģijas definīciju. Noteikumu projekta definīcija paredz, ka IKT resursi ir tīklu un informācijas sistēmu sastāvdaļa, bet NKL definīcija attiecas uz jebkuru iekārtu, kas atbilst noteiktām pazīmēm. Ņemot vērā minēto, lūdzam izteikt noteikumu projekta 2.7.apakšpunkta otro teikumu piedāvātajā redakcijā.

IKT resursu kopums ietver informācijas un tehniskos resursus, tostarp lietu interneta (Internet of Things, IoT), kā arī fizisko infrastruktūru, kurā uztur minētos resursus;

Lūdzam precizēt noteikumu projekta 9. un 10.punktā atsauces uz Satversmes aizsardzības biroju (turpmāk - SAB) un kompetento valsts drošības iestādi, kas sagatavo noteikumu 9.punktā minēto atzinumu, jo nav saprotams, vai noteikumu projekta 9. un 10.punktā runa ir par vienu un to pašu iestādi vai dažādām. Papildus norādām, ka nav saprotams, kad tiek saņemts vai prasīts SAB atzinums, līdz ar to lūdzam to precizēt noteikumu projektā.

-

Lūdzam noteikumu projekta 3.2. apakšnodaļā paredzēt, ka subjektam ir tiesības noteikumu 11. punktā norādīto informāciju ietvert arī kādā citā iekšējā normatīvajā aktā, piemēram, noteikumos vai instrukcijās. Atruna nepieciešama, lai netiktu uzlikts par pienākumu visu norādīto informāciju iekļaut tieši dokumentā "Politika", kā arī, lai politikas dokuments nekļūst obligāti par ļoti apjomīgu. Satiksmes ministrijas ieskatā tai būtu jābūt iestādes/uzņēmuma izvēlei, kā organizēt dokumentāciju. 

-

Gan NKL, gan noteikumu projektā subjektu drošības uzraudzībā ir paredzēts kompetenču un atbildību dalījums un IKT kritiskā infrastruktūra (KI) gadījumā tas ir SAB. Piemēram, to nosaka NKL 5.un 8.pants, kur NKL 5.pantā Nacionālās kiberdrošības centra (NKC) nav patstāvīgu uzdevumu pret IKT KI un 5.panta otrajā daļā ir noteikts, ka uzraudzību pret IKT KI neveic. Savukārt NKL 11.panta pirmās daļas 4.punks noteic, ka NKC pārbaudes var veikt tikai pēc SAB pieprasījuma. Ā - un arī IKT KI tīklu skenēšanu saskaņā ar NKL 11.panta otro daļu var veikt tikai pēc saskaņošanas ar SAB.
Ņemot vērā minēto, lūdzam papildināt noteikumu projekta 3.4. apakšnodaļu ar jaunu punktu piedāvātajā redakcijā.

Ja subjekta īpašumā, valdījumā vai turējumā esošās IKT infrastruktūras kopums ir noteikts par IKT Kritisko infrastruktūru, tad subjekts veic infrastruktūras kopumu veidojošo elementu vērtēšanu un saskaņo to ar Satversmes aizsardzības biroju.

Lūdzam noteikumu projekta 3.4. apakšnodaļas virsrakstā svītrot vārdu "resursu", 18.punktā svītrot vārdus "IKT resursus" un 22.punktā svītrot vārdus "IKT resursu", ņemot vērā to, ka uzskaitīt visus IKT resursus ir pārspīlēti un nelietderīgi, jo tad būtu jāuzskaita pilnīgi visi IKT materiāltehniskie līdzekļi, tostarp, tādi, kam nav nekādas ietekmes uz kiberdrošību.

-

Lūdzam noteikumu projekta 3.5. apakšnodaļā paredzēt prasību, ka kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā tiek paredzēta kiberrisku analīze arī piegāžu ķēdēm, ievērojot NIS2 direktīvā un NKL 18. panta ceturtās daļas 1.punktā noteikto, ka pasākumu plānā stratēģijā izvirzīto mērķu sasniegšanai iekļauj pasākumus subjektu informācijas un komunikācijas tehnoloģiju produktu un pakalpojumu piegādes ķēžu drošības uzlabošanai.

-

Noteikumu projekta 30. punkta ievaddaļā ir minēti arī ievainojamības un gandrīz notikušie kiberincidenti, bet noteikumu projekta 30.punktā ir paredzētas prasības tikai attiecībā uz kiberincidentiem. Ņemot vērā minēto, lūdzam attiecīgi precizēt noteikumu projekta 30.punktu un, iespējams arī citus noteikumu projekta 3.6. apakšnodaļas punktus, lai ir skaidri noteiktas prasības pārvaldības procesa ieviešanai, lai identificētu, risinātu un novērstu gandrīz notikušus kiberincidentus un ievainojamības.

-

Ņemot vērā to, ka subjektam (kiberdrošības pārvaldniekam) ne vienmēr ir tehniskas iespējas apturēt jebkura konta darbību, lūdzam svītrot noteikumu projekta 35.6. apakšpunktu un atsevišķi paredzēt, ka subjektam (kiberdrošības pārvaldniekam) ir tiesības apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.

-

Lūdzam noteikumu projekta 3.9.apakšnodaļā paredzēt ne tikai auditācijas failu un datu plūsmas informācijas analīzi un glabāšanu, bet arī veiktspējas informācijas analīzi un glabāšanu, jo tā būs nepieciešama incidentu novēršanas institūcijai, ievērojot NKL 30.panta trešajā daļā noteikto, proti, drošības operāciju centra ietvaros kiberincidentu novēršanas institūcijai ir tiesības vākt, glabāt un elektroniski apstrādāt kiberapdraudējuma identificēšanai nepieciešamos datus, tai skaitā žurnālfailus, datu plūsmas, serveru veiktspējas datus. Datu centra operators, ja tā rīcībā ir nepieciešamie dati, nodod kompetentajai kiberincidentu novēršanas institūcijai ar saviem rīkiem iegūtos datus.

-

Lūdzam noteikumu projekta 3.9. apakšnodaļā paredzēt, kur ģeogrāfiski var glabāties noteikumu projekta 40. punktā minētie pieraksti, ņemot vērā to, ka auditācijas pierakstu vākšana var notikt, piesaistot ārpakalpojumu. Tāpat ierakstu uzglabāšana var notikt ārpus izvietotās informācijas sistēmas.

-

Ņemot vērā, ka sistēmās, kas nodrošina platformu funkcionalitāti, nevar izpildīt noteikumu projekta 48.1. apakšpunkta prasību, lūdzam izteikt noteikumu projekta 48.1. apakšpunktu piedāvātajā redakcijā.

ja vien tas ir tehniski iespējams, informācijas resursu rezerves kopijas;

Lūdzam precizēt noteikumu projekta 52.1. apakšpunktu, ņemot vērā to, ka minētā apakšpunkta prasību nav iespējams nodrošināt praktiski, ja tiek izmantots citā ES, NATO dalībvalstī izvietots datu centrs.

-

Satiksmes ministrija sadarbībā ar LVRTC vērš uzmanību, ka noteikumu projekta 4.2. apakšnodaļas redakcija paredz informācijas sistēmu turētājam tā īpašumā vai valdījumā esošās informācijas sistēmas izmitināšanai izmantot datu centru, kas atbilst normatīvajiem aktiem par datu centru drošību, kā arī izvēlēties sistēmas izmitināšanai neizmantot datu centru, kurš atbilst normatīvajiem aktiem par datu centru drošību. Vienlaikus noteikumu redakcija scenārijā, ja turētājs tā īpašumā vai valdījumā esošās informācijas sistēmas izmitināšanai neizmanto datu centru, kas atbilst normatīvajiem aktiem par datu centru drošību, tam tiek paredzētas tehniskās prasības. Vēršam uzmanību, ka minētās tehniskās prasības definētas minimālā līmenī un būtībā izpildāmas pielāgojot sadzīves telpas. LVRTC ieskatā tik zems prasību slieksnis var radīt risku, ka A un B klasifikācijas sistēmas tiek izmitinātas nepiemērotos apstākļos. Pieņemot, ka datu centru, kas atbilst normatīvajiem aktiem par datu centru drošību, regulējums un prasības būs būtiski augstākas, atzīmējams, ka sistēmu turētāji, kas būs izvēlējušies savu sistēmu izmitināt datu centros, kas atbilst normatīvajiem aktiem par datu centru drošību, nonāk nevienlīdzīgā situācijā kā no prasību, tā arī no finansiālajiem aspektiem. Proti, nodrošināt augstas pieejamības rezervētu datu centru ar atbilstošu personālu, drošības un atbilstības procesiem ir būtiski dārgāk par šo noteikumu redakcijā minēto prasību izpildi. Ņemot vērā, ka šāda situācija nav pieļaujama no kiberdrošības viedokļa, Satiksmes ministrija iebilst noteikumu projekta 4.2. apakšnodaļai un lūdz: 
a) nodaļas prasības pielīdzināt starptautiskos standartos minētajām prasībām vai/un
b) nodaļas prasības pielīdzināt vai likt atsauces uz normatīvajiem aktiem par datu centru drošību un/vai
c)  4.2. apakšnodaļā uzskaitīt/papildināt ar prasību kopumu kas atbilst a un b) punktos minētajam. 
Vienlaikus lūdzam noteikumu 4.2. apakšnodaļā ietvert līdzvērtīgas prasības noteikumu projekta 69.2.1, 69.2.2., 69.2.3. un 69.2.4 apakšpunktā minētajam prasību kopumam arī IKT datu centru infrastruktūrai.

-

Lūdzam noteikumu projekta 66.punktu papildināt ar apakšpunktu, paredzot prasību, ka A un B kategorijas informācijas sistēmas ir izmitinātas telpās, kurām tiek nodrošināts rezervēts datu pārraides vai optiskā tīkla pieslēgums.

-

Lūdzam precizēt noteikumu projekta 67.3.apakšpunkta redakciju, jo:
1. Nav saprotams, kā šī apakšpunkta prasība ir jāpiemēro, vai formulējums "vismaz vienu mēnesi pirms jauna publiskā elektronisko sakaru tīkla vai tā daļas būvniecības, pārbūves vai atsevišķas iekārtas, programmatūras vai ārpakalpojuma sniedzēja nomaiņas" nozīmē SAB informēšanu par izmaiņām šo noteikumu 67.2. apakšpunktā minētajā sarakstā vienu mēnesi pirms būvniecības līguma vai piegādes līguma noslēgšanas vai faktisko būvdarbu veikšanas beigām vai faktiskās jaunās iekārtas iegādes vai kā citādāk.
2) Ja atbilstoši šā iebilduma 1.punktam ar informēšanas termiņa atskaites punktu ir domāta lēmuma par iepirkuma uzvarētāju pieņemšana, tad noteikumu projekta 67.3. apakšpunktā norādītais termiņš pagarinās iepirkuma līguma noslēgšanu. Ja SAB būs jāinformē vismaz vienu mēnesi iepriekš par maiņu, vai pārbūvi, vai tml., tad tas nozīmē secīgi: 1) tiek pieņemts lēmums par iepirkuma uzvarētāju; 2) tiek informēts SAB; 3) un tikai pēc viena mēneša termiņa, subjekts var slēgt līgumu. Tas pēc būtības pagarina publisko iepirkumu procesu.
Ņemot vērā minēto, lūdzam precizēt noteikumu projekta 67.3 apakšpunkta redakciju, aizstājot vārdus "vismaz vienu mēnesi" ar vārdiem "vismaz vienu nedēļu".

-

Lūdzam precizēt noteikumu projekta 68.punktu, jo nav saprotams, kad tiks saņemts vai kad tiek prasīts noteikumu projekta 68.punktā norādītais SAB atzinums.

-

Lūdzam precizēt noteikumu projekta 69. punktu, jo nav saprotams, vai punkts attiecas arī uz gadījumiem, kad ārpakalpojuma priekšmets ir programmatūras izstrāde jeb programmatūra, kas šobrīd vēl nepastāv, bet tiks izstrādāta veiktā iepirkuma rezultātā.

-

Noteikumu projekta 69.1. apakšpunktā ir minēts termins "izplatītājs". Lūdzam izvērtēt šā termina lietošanas nepieciešamību un precizēt minētā apakšpunkta prasību, ja termins "izplatītājs" sakrīt ar terminu "ārpakalpojuma sniedzējs". 

-

Lūdzam skaidrības labad šādi strukturēt noteikumu projekta 4.4. apakšnodaļu:
1. "Prasības pret ārpakalpojuma sniedzēju (piegādātāju)". Šajā nodaļā būtu jāuzskaita, kādas prasības jāievēro subjektam izvēloties pakalpojumu un/vai preču/iekārtu piegādātāju. Šīs nodaļas prasības attiecināmas uz visiem subjektiem, neatkarīgi no tā, vai subjekts ir valsts pārvaldes vai pašvaldības iestāde, valsts vai pašvaldības kapitālsabiedrība vai komercsektora pārstāvis.
2. "Prasības pret pakalpojumu". Šajā nodaļā būtu jāuzskaita, kādas prasības subjektam jāievēro izvēloties pakalpojumu, kādas prasības/pienākumi tiek uzlikti pakalpojuma sniegšanas laikā. Šīs nodaļas prasības attiecināmas uz visiem subjektiem, neatkarīgi no tā, vai subjekts ir valsts pārvaldes vai pašvaldības iestāde, valsts vai pašvaldības kapitālsabiedrība vai komercsektora pārstāvis.
3. "Prasības pret preci/iekārtu/produktu". Šajā nodaļā būtu jāuzskaita, kādas prasības subjektam jāievēro izvēloties preci/iekārtu/produktu. Šīs nodaļas prasības attiecināmas uz visiem subjektiem, neatkarīgi no tā, vai subjekts ir valsts pārvaldes vai pašvaldības iestāde, valsts vai pašvaldības kapitālsabiedrība vai komercsektora pārstāvis.
4. "Prasības subjektiem, kuri pakļauti normatīvo akru prasībām publisko iepirkumu jomā (PIL, ADJIL, SPSIL)". Atsevišķā nodaļā tiek aprakstīta kartība, kādā tiek piemērotas 1., 2. un 3. punktā minētās prasības, ja subjekts pakļauts PIL, ADJIL, SPSIL u.c. normatīvo aktu noteiktam procesam.
Tāpat vēršam uzmanību uz to, ka Ministru kabineta  2015. gada 28. jūlija noteikumu Nr.442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" piemērošana ārpakalpojumiem radīja daudz neskaidrību, tāpēc pārskatot nodaļu, būtu jāņem vērā un jānovērš šobrīd esošās piemērošanas neskaidrības.

-

Lūdzam skaidrot noteikumu projektā, ko saprot ar terminu "IKT produkts". Tāpat vēršam uzmanību uz to, ka termina "ārpakalpojums" skaidrojums neparedz IKT produkta iegādi. Tāpat lūdzam pārskatīt visu noteikumu projekta tekstu un precizēt tajā lietoto terminoloģiju, lai noteikumu projektā tiktu lietoti vienoti termini, noteikumu projektā tek lietoti dažādi termini - iekārtas /programmatūra/ IKT produkti /IKT resursi/visa veida tehniskie resursi (80.punktā) /pakalpojums/ārpakalpojums/prece (82.punktā).
Vienlaikus l​​​ūdzam noteikumu projekta 71.punktā un, iespējams, citos 4.4. apakšnodaļas punktos, nodalīt prasības IKT produkta iegādei no prasībām pakalpojumu iegādei (piemēram audits, konsultācijas, programmatūras noma (SaaS), māķoņpakalpojumi, u.tml.), lai attiecīgās tiesību normas būtu skaidras un vienādi piemērojamas.

-

Lūdzam precizēt noteikumu projekta 73.punktu, nosakot, kāds ir nepieciešamās kontroles apjoms vai kritēriji. Tāpat lūdzu precizēt, par kādiem klasificētiem informācijas resursiem ir runa, jo noteikumu projekts neattiecas uz informācijas sistēmām, kurās apstrādājams valsts noslēpums.

-

Lūdzam precizēt noteikuma projekta 75.punkta redakciju, paredzot precīzus vērtēšanas kritērijus, kā arī datu / informācijas avotus, ko būtisko pakalpojumu sniedzējs ir tiesīgs izmantot, veicot vērtēšanu. Pretējā gadījumā pastāv būtisks risks, ka katra pakalpojuma sniedzēja izpratne par vērtējumu atšķirsies un tiesību norma nesasniegs savu mērķi. Papildus vēršam uzmanību, ka nav skaidrs, ko nozīmē termins "pirms lēmuma pieņemšanas par ārpakalpojuma piegādi". Vai tas ir pirms līguma slēgšanas un arī noteikumu projekta 75.punktā nav noteikta būtisko pakalpojumu sniedzēja rīcība pēc risku izvērtēšanas, kā arī nav skaidrs, kādos gadījumos neslēdz līgumu un kādi pienākumi šajā situācijā rodas kompetentajām iestādēm, piemēram, ja jāsniedz atzinums, tad kādos konkrēti gadījumos.

-

Lūdzam noteikumu projekta 76. un 77.punktā atsaukties uz noteikumu projekta punktiem, kuros ir noteiktas informācijas sistēmas veidam atbilstošas kiberdrošības prasības.

-

Lūdzam precizēt noteikuma projekta 76.punktu, jo nav saprotams, uz kādiem iepirkumiem attiecas šī punkta prasības - tikai uz normatīvajos aktos noteiktiem iepirkumiem (uz kuriem attiecas Publisko iepirkumu likums u.c. likumi publisko iepirkumu jomā), vai uz jebkuru informācijas izstrādes pakalpojumu, tostarp uz to, kas nav pakļauts minētajiem normatīvajiem aktiem.
Lai uzlabotu 76.punkta saprotamību, lūdzam precizēt, vai prasības attiecas uz jebkuras IS izstrādi vai uz IS izstrādi, kas attiecināma uz būtisku pakalpojumu vai arī tikai uz tām IS, kuras ir saistītas ar publisko elektronisko sakaru tīklu (noteikumu projekta 4.3.apakšnodaļa). Tāpat nav saprotams, vai attiecībā uz SaaS risinājumiem (programmatūras noma) arī ir nosakāmas drošības prasības. Ja šādas prasības ir nosakāmas, lūdzam attiecīgi papildināt noteikumu projekta 4.4.apakšnodaļu.

-

Lūdzam noteikumu projekta 78.punkta ievaddaļā atsaukties uz noteikumu projekta punktiem, kuros ir noteiktas informācijas sistēmas veidam atbilstošas kiberdrošības prasības.

-

Lūdzam noteikumu projekta 80.punktu sadalīt divās daļās, kur vienā daļā tiktu noteiktas prasības un kritēriji tehnisko resursu, produktu un programmatūras iegādēm, un otrā daļā - prasības un kritēriji, ar ko var slēgt līgumu par pakalpojumu piegādēm, ja noteikumu projekta 2.punktā tiek definēts termins "pakalpojums". Tāpat lūdzam definēt, uz kādu resursu iegādi ir attiecināmas prasības, jo nav nepieciešams attiecināt uz visu veidu resursiem - tiem, kas nevar ne tehnoloģiski, ne kā savādāk, ietekmēt IS - nav nepieciešamības attiecināt noteikumu projekta prasības.
Papildus lūdzam precizēt noteikumu projekta 80.punkta redakciju, lai ir saprotams, kas ir domāts ar vārdiem "visu veidu" tehnisko resursu iegādi vai svītrot šos vārdus.

-

Lūdzam papildināt noteikumu projekta 4.4.2. apakšnodaļu ar jaunu punktu, lai atrunātu subjekta rīcību gadījumā, ja tiek slēgts noteikumu projekta 80.punktā norādītais līgums un nav iespējams noskaidrot patiesā labuma guvēju, jo noteikumu projekta 80.1.2. apakšpunkta redakcija iekavās nav skaidra. Tāpat nepieciešams atrunāt, kādos gadījumos tiek uzskatīts, ka patiesā labuma guvēju nav iespējams noskaidrot. Gadījumā, ja patiesais labuma guvējs (PLG) ir akcionārs tādā akciju sabiedrībā, kuras akcijas ir iekļautas regulētajā tirgū, un veids, kādā tiek īstenota kontrole pār juridisko personu, izriet tikai no akcionāra statusa; ja LR UR datu bāzēs ir norādīts, ka PLG nav iespējams noskaidrot vai citos gadījumos.

-

Lūdzam precizēt noteikumu projekta 80.1.3.apakšpunkta redakciju, jo nav skaidrs, kā ir piemērojama šī apakšpunkta prasība, piemēram, kā tiek veikta pārbaude, ka pakalpojuma nodrošināšanai izmantotā programmatūra un iekārtu ražotāji ir reģistrēti minētajās valstīs, ja nav iespējams noteikt ne programmatūru, ne iekārtas, ar kurām tiek sniegts pakalpojums. Iespējams, vārdus "tās pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu" var aizstāt ar vārdiem"piegādājamo IKT resursu".

-

Noteikumu projekta 80.1.4.apakšpunktā minētā prasība praksē ir nesamērīga un attiecībā uz ārvalsts pretendentiem neizpildāma, jo ārvalsts personām dalībniekus bieži vien nav iespējams noskaidrot vai ari jābalstās tikai uz paša komersanta sniegto informāciju. Ņemot vārā, ka atbilstoši noteikumiem tiks pārbaudīts patiesais labuma guvējs, kas sakrīt ar dalībnieku, lūdzam svītrot noteikumu projekta 80.1.4.apakšpunktu.

-

Lūdzam precizēt noteikumu projekta 80.3.apakšpunkta redakciju, ņemot vērā to, ka līgums var tikt noslēgts tikai ar fizisku vai ar juridisku personu. Iespējams šajā apakšpunktā ar vārdiem "citu personu" ir domāta fiziska vai juridiska persona, kas neatbilst iepriekšējiem noteikumu projekta 80.punkta nosacījumiem, ja ir saņemta kompetentās valsts drošības iestādes atļauja.

-

Lūdzam precizēt noteikumu projekta 81.punktu, jo nav saprotams, kāda ir subjekta rīcība gadījumā, ja nav iespējams pārliecināties par atbilstību noteikumu projekta 81.1.apakšpunktā noteiktajai prasībai.

-

Lūdzam precizēt noteikumu projekta 82.punkta redakciju, jo nav saprotams, uz ko tieši atteicas termins "prece" - vai uz visu veidu tehniskajiem resursiem, vai tieši uz maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru. Iespējams, jāprecizē atsauce "šajā punktā minēto".

-

Lūdzam precizēt noteikumu projekta 85.punktu vai ietverts atsevišķu punktu, atrunājot kārtību, kādā veidā un kad tiek veikts saskaņojums ar SAB, ja auditors tiek piesaistīts kā ārpakalpojums.

-

1.Lūdzam noteikumu projekta 8.1.apakšnodaļu papildināt ar kārtību, kādā subjekts var izvēlēties starptautisku auditoru no citām ES, NATO dalībvalstīm, kuri visticamāk nebūs iekļauti Latvijas auditoru sarakstā;
2.Noteikumu projekta 8.1.apakšnodaļā nav noteikts, cik bieži tiek veikts audits; noteikumu projekta 8.1.apakšnodaļā nav noteikts kāda atbilstība – subjekta, sistēmu (A,B,C) vai abu kopā tiek vērtēta; nav noteikts cik bieži tiek veikts audits vai audita atskaite tiek iesniegta Subjektam vai ari Digitālās drošības uzraudzības komitejai (DDUK) un Nacionālajām kiberdrošības centram; vai ir jāziņo DDUK un/vai Nacionālajām kiberdrošības centram par neatbilstībām un to novēršanas plānu un plāna izpildes progresu; nav noteikti audita atskaišu kvalitātes rādītāji. Tāpat nav noteikts, piemēram, cik jābūt kritisku neatbilstību maksimums, lai būtiskā pakalpojuma sniedzējam darbība jāaptur līdz neatbilstību novēršanai (analogi arī cik šādu neatbilstību drīkst būt svarīgo pakalpojumu sniedzējam); nav noteikti neatbilstību novēršanas vismaz ieteicamie termiņi. Pēc esošās redakcijas var būt neierobežots kritisku neatbilstību skaits, kuru novēršanas laiks nav limitēts. Ņemot vērā minēto, lūdzam papildināt noteikumu projektu ar minētajām prasībām un citiem auditora pienākumiem, lai nodrošinātu audita/atbilstības pārbaudes kā kontroles sistēmas efektīvu darbību.
3. Tāpat noteikumu projektā lūdzam paredzēt, kādi citi subjekta veikti regulārie auditi nodrošina, ka subjekta pārbaudes ir pielīdzināmas šo noteikumu noteiktajam pienākumam subjektu regulāri auditēt. Piemēram, LVRTC tiek veikts ISO 27001 atbilstības novērtējums un UPS atbilstības novērtējums, kura ietvaros tiek pārbaudītas sistēmas, procesi, personāls, drošības prasību
ievērošana, u.c. prasības un vai ar atbilstības novērtējumu, piemēram, pret ISO 27001 standartu ir pietiekami, lai atzītu, ka subjekts ir pārbaudīts un kritisku ievainojamību nav vai obligāti jāveic vēl viens šo noteikumu 8.1.apakšnodaļā minētais audits.

-

Gan NKL, gan noteikumu projektā subjektu drošības uzraudzībā ir paredzēts kompetenču un atbildību dalījums un IKT kritiskā infrastruktūra (KI) gadījumā tas ir SAB. Piemēram, to nosaka NKL 5.un 8.pants, kur NKL 5.pantā Nacionālās kiberdrošības centra (NKC) nav patstāvīgu uzdevumu pret IKT KI un 5.panta otrajā daļā ir noteikts, ka uzraudzību pret IKT KI neveic. Savukārt NKL 11.panta pirmās daļas 4.punks noteic, ka NKC pārbaudes var veikt tikai pēc SAB pieprasījuma. Ā - un arī IKT KI tīklu skenēšanu saskaņā ar NKL 11.panta otro daļu var veikt tikai pēc saskaņošanas ar SAB.
Ņemot vērā minēto, lūdzam precizēt noteikumu projekta 104. un 105.punktu, paredzot, ka IKT Kritiskās infrastruktūras ielaušanās testus vai skenēšanu var veikt tikai SAB vai SAB saskaņoti eksperti.

-

Lūdzam precizēt noteikumu projekta 8.6.apakšnodaļas redakciju, paredzot, ka visas uzskaitītas Nacionālais kiberdrošības centra veiktās darbības attiecībā uz IKT kritiskās infrastrukstūras īpašniekiem veic SAB.

-

Lūdzam svītrot noteikumu projekta 14.pielikuma 2. nodaļas "Kiberdrošības pārvaldnieks" 0202 un 0206 punktu, ņemot vērā to, ka kompetentu iestāžu rīcībā jau ir šī informācija un pieprasīt informāciju, kas jau ir iestādes rīcībā, neatbilst labas pārvaldības principiem.

-

Lūdzam papildināt noteikumu projekta 2.punktu ar termina "pakalpojums" skaidrojumu. Termina definīcija palīdzētu viest skaidrību, kas ir pakalpojums noteikumu izpratnē. Piemēram, būtu skaidrāk saprotams noteikumu projekta 80.punkts un tā piemērošana.

-

Lūdzam izvērtēt noteikumu projekta 2.2.apakšpunktā ietvertā termina "autentifikācija" lietošanu, ņemot vērā, ka Fizisko personu elektroniskās identifikācijas likuma 1.panta 1.punktā ir noteikts termins "autentifikācija", proti, autentifikācija - elektronisks process, kurā elektroniskās identifikācijas pakalpojuma sniedzējs veic fiziskās personas elektronisko identifikācijas datu pārbaudi, lai nodrošinātu šīs personas elektronisko identifikāciju.

-

Lūdzam izvērtēt, vai noteikumu projekta 2.19. apakšpunktā korekti norādīts termins "nevienai fiziskajai personai" un vai minētā teikuma daļa nav jāaizstāj ar terminu "nevienam lietotājam", nepieciešamajā gadījumā precizējot noteikumu projekta 2.19.apakšpunktu.

-

Lūdzam papildināt noteikumu projekta 3.2.nodaļā dokumentācijas prasības ar prasību veikt dokumentācijas versionēšanu, saglabāt un nodrošināt atsekojamību veikto izmaiņu vēsturei, dokumentācijas versijas spēkā stāšanās datumu, nodrošināt dokumentācijas aizsargāšanu pret izmaiņām (dokuments ir parakstīts ar eParakstu, apzīmogots ar eZīmogu).

-

Lūdzam papildināt noteikumu projekta 11.1.apakšpunktu ar terminu “noteikumi, procedūras”, lai subjektam būtu tiesības norādīto informāciju ietvert arī kādā citā iekšējā normatīvajā aktā, piemēram, noteikumos vai procedūrās.

-

Lūdzam papildināt noteikumu projekta 15. punktu, nosakot, ka dokumentu kopijas ir arī pieejamas subjekta vadībai un visiem subjekta darbiniekiem, ja tas ir nepieciešams viņu darba pienākumu veikšanai.

-

Ņemot vērā to, ka kiberriska pieļaujamās vērtības ir atkarīgas no konkrētā riska, tā izpausmēm, resursiem to pārvaldīt un stratēģijas, ko darīt ar risku un ne vienmēr pieļaujamā riska vērtība, teorētiski, ir sasniedzama, lūdzam izteikt noteikumu projekta 25.1.apakšpunktu piedāvātajā redakcijā.

25.1.kiberrisku novērtēšanas metodiku, kas ietver analizējamo kiberrisku uzskaitījumu un metodoloģijas aprakstu šo risku nozīmīguma novērtēšanai (piemēram, novērtēšanas matrica);

Ņemot vērā to, ka sākumā nebūs iespējams salīdzināt kiberriska novērtējumu ar iepriekšējā perioda kiberrisku novērtējumu, lūdzam izteikt noteikumu projekta 25.2. apakšpunktu piedāvātajā redakcijā.

25.2. kiberrisku novērtējumu, kas ietver identificēto kiberrisku uzskaitījumu un analīzi, katra kiberriska nozīmīguma (ietekmes) novērtējumu attiecībā uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajiem tīkliem, informācijas sistēmām un ar tiem saistītajiem IKT resursiem, kā arī salīdzinājumu ar iepriekšējā perioda kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto kiberrisku novērtējumu, ja tāds ir bijis;

Lūdzam izvērtēt iespēju noteikumu projekta 3.6.apakšnodaļā lietot universālāku apzīmējumu nekā "kiberincidentu žurnāls" vai papildināt nodaļu ar prasību, ka, piemēram, var tikt izmantoti arī atbilstošas funkcionalitātes programmatūras risinājumi, kas atbilst noteiktiem kritērijiem. Ja tiek izmantots centralizēts programmatūras risinājums, tad tas nav žurnāls, bet vienlaikus nepieciešamo informāciju pēc vajadzības ir iespējams eksportēt.

-

Lūdzam izteikt noteikumu projekta 33. punktu piedāvātajā redakcijā.

33. Subjekts nodrošina lietotāju piekļuves tiesību pārvaldību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi.

Lūdzam izteikt noteikumu projekta 36.1.apakšpunktu piedāvātajā redakcijā.

36.1. A kategorijas informācijas sistēmas administratora vai standarta lietotāja kontam;

Lūdzam izteikt noteikumu projekta 38.1.apakšpunktu piedāvātajā redakcijā.

38.1. pārbaudīt lietotāju kontu sarakstu un tiem piešķirtās piekļuves tiesības un to veiktās darbības informācijas sistēmā, tostarp lietotāju veiktās informācijas resursu izmaiņas un tehnisko resursu konfigurāciju izmaiņas;

Lūdzam izteikt noteikumu projekta 38.2. apakšpunktu piedāvātajā redakcijā.

38.2. analizēt auditācijas pierakstus par lietotāju veiktajām darbībām;

Lūdzam izteikt noteikumu projekta 38.3. apakšpunktu piedāvātajā redakcijā.

38.3. kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā bloķēt saistītos lietotāju kontus un/vai atcelt tiem piešķirtās piekļuves tiesības;

Noteikumu projekta 39.5.apakšpunktā ir minēts termins "stingra autentifikācija", kas nav definēts noteikumu projektā. Līdz ar to, lūdzam paredzēt minētā termina skaidrojumu noteikumu projektā.

-

Lūdzam precizēt noteikumu projekta 39.6. apakšpunktu, pirms vārda "viesu" lietojot vārdu "subjekta".

-

Lūdzam papildināt noteikumu projekta 3.10.apakšnodaļu ar prasību, ka, ja tas vien ir tehniski iespējams, subjekts veic aplikāciju konsekventu (application consistent) rezerves kopiju veidošanu, lai samazinātu iespēju, ka rezerves kopija ir nelietojama. 

-

Lūdzam precizēt noteikumu projekta 51.2.apakšpunktu, nodalot pilnu resursa rezerves kopiju no atsevišķi kopējamiem elementiem, piem., datubāzes, failsistēmas.

-

Lūdzam precizēt noteikumu projekta 51.2.1. apakšpunktu, norādot precīzāku apjomu – 7 dienu kopijas (katrai dienai tiek veidotas individuālas kopijas), vienas nedēļas kopijas (katru nedēļu veido jaunu) un viena mēneša kopijas (katru mēnesi veido jaunu), kā arī svītrot vārdus "iepriekšējā gadā", jo gada laikā var mainīties apjoms, programmatūras versijas vai risinājums kā tāds. Pēc līdzīga principa lūdzam precizēt arī noteikumu projekta 51.2.2. un 51.2.3. apakšpunktā noteikto. Rezerves kopiju uzglabāšanas termiņi ir iespējami īsi, jo kopiju kvalitāti un satura integritāti jāuztur ar drošības rīkiem. 

-

Lūdzam precizēt noteikumu projekta 51.3. apakšpunkta redakciju, jo nav saprotams, vai ar IS versiju ir domāts pats rezervējamais resurss vai rezerves kopiju platforma.

-

Lūdzam aizstāt noteikumu projekta 51.5. apakšpunktā vārdu “nekavējoties” ar konkrētu termiņu (piemēram, vienas diennakts laikā), jo dažādiem risinājumiem ir atšķirīga funkcionalitāte atskaišu un paziņojumu sūtīšanā. Vispārēji rezerves kopiju risinājuma darbība tiek uzraudzīta ar monitoringa rīkiem. 

-

Lūdzam svītrot noteikumu projekta 51.6. apakšpunktu, jo pie datu deduplikācijas kontrolsummas izveidot ir tehniski sarežģīti. Savukārt A kategorijas IS var iestatīt un veikt papildu pārbaudes pēc kopijas izveidošanas.

-

Lūdzam aizstāt noteikumu projekta 4.nodaļas tekstā vārdu "šifrēšana" ar vārdu "kriptēšana", lai netiktu jaukti jēdzieni, jo Ministru kabineta 2023. gada 19. decembra noteikumos Nr. 822 "Valsts noslēpuma, Ziemeļatlantijas līguma organizācijas, Eiropas Savienības un ārvalstu institūciju klasificētās informācijas aizsardzības noteikumi" ir noteikts, ka par šifru materiālu apriti ir atbildīga Nacionālā drošības iestāde.

-

Lūdzam aizstāt noteikumu projekta 66.2.apakšpunktā vārdu "vai" ar vārdu "un".

-

Lūdzam svītrot vai precizēt noteikumu projekta 69.2.3.apakšpunkta redakciju, izvērtējot, vai SAB kompetencē ietilpst vērtēt ražotāja, izplatītāja vai ārpakalpojumu sniedzēja spēju nodrošināt piegādi vai sniegt pakalpojumu.

-

Lūdzam precizēt noteikumu projekta 70.3.apakšpunktu, definējot, kādā veidā un kur būs noteikts norādīto ierobežojumu saraksts. Tāpat, ņemot vērā to, ka ārpakalpojuma piesaistei daļai no noteikumu subjektiem jāpiemēro Publisko iepirkumu likums, kurā noteikti vispārējie principi, lūdzam noteikumu projektā paredzēt, kur un kādā kārtībā tiks noteikti ierobežojumi vai nosacījumi, kas jāievēro publisko iepirkumu veicējiem.

-

Lūdzam precizēt noteikumu projekta 71.punktu, jo nav saprotams, vai minētajā punktā noteiktās prasības attiecas uz jebkuru IKT produktu vai pakalpojumu iegādi, vai tikai uz tiem produktiem un pakalpojumiem, kas nodrošinās būtisko pakalpojumu.

-

Lūdzam precizēt noteikumu projekta 80.3. apakšpunktu, nosakot atļaujas derīguma termiņu - cik ilgi nav atkārtoti jāskaņo jau saskaņots produktu, resursu, programmatūras piegādātājs, kā arī ārpakalpojuma sniedzējs.

-

Lūdzam precizēt noteikumu projekta 82.punktu, pirms vārda "vienošanās" lietojot vārdu "vispārīgās".

-

Lūdzam izvērtēt iespēju noteikumu projekta 85. punktu pārcelt uz noteikumu projekta 8.1.apakšnodaļu, kā arī izvērtēt, vai noteikumu projekta 85.punkta prasībām nav jāsakrīt ar noteikumu projekta 96.punktā noteiktajām prasībām auditoram.

-

Lūdzam precizēt noteikumu projekta 8.2. apakšnodaļu, nosakot, kas ir ielaušanās testi un definēt to mērķi. 

-

Lūdzam precizēt noteikumu projekta 7.pielikumā 3.tabulā "Saraksts" zem rindas ar nosaukumu "Izmantotās programmatūras", papildinot kolonnu ar nosaukumu "Versija".

-

Lūdzam papildināt noteikumu projekta 10.pielikuma 4.1.tabulu ar pēdējo rindiņu ar ietekmes vērtējumu “Nav zināms” visās 3 kolonnās, kā arī šādi precizēt tekstu lapas beigās: “Ietekmētās datu kopas, resursi, sistēmas, procesi, programmatūra, pakalpojumi:”.

-

Lūdzam papildināt noteikumu projekta 11.pielikuma 4.1.tabulu ar pēdējo rindiņu ar ietekmes vērtējumu “Nav zināms” visās 3 kolonnās, kā arī šādi precizēt tekstu lapas beigās: “Ietekmētās datu kopas, resursi, sistēmas, procesi, programmatūra, pakalpojumi:”.

-

Lūdzam papildināt noteikumu projekta 12.pielikuma 4.1.apakšpunktu, precizējot tekstu lapas beigās: “Ietekmētās datu kopas, resursi, sistēmas, procesi, programmatūra, pakalpojumi:”.

-

Lūdzam noteikumu projekta 14.pielikumā:
- precizēt 2. nodaļas "Kiberdrošības pārvaldnieks" 0207 punktu, jo nav saprotams, kas ir domāts ar “drošības pārbaudi”. Vēršam uzmanību, ka noteikumu projekts neparedz šādu jēdzienu. Papildus priekšlikums ir noteikt, kā izvēlēties veicamās drošības pārbaudes, prioritizēt – balstoties uz risku vērtējumu;
- precizēt 4. nodaļas "Resursu un informācijas sistēmu katalogs" 0401 punktā jautājumu - “Norādīt, kā tika veikta IKT resursu uzskaite”, jo nav saprotams, kā sniegt atbildi uz šādu jautājumu;
0404 punktā precizēt jautājumu - "Norādīt, kā un kādā formātā tiek veidots katalogs", jo nav saprotams, kā sniegt atbildi uz šādu jautājumu;
- precizēt 6. nodaļas "Kiberindidentu žurnāls un kiberincidentu pārvaldība" 0601 punktā jautājumu - “Norādīt, kā un kādā formātā tiek veidots žurnāls”, jo nav saprotams, kā sniegt atbildi uz šādu jautājumu.

-