Atzinums

Noteikumu projekta anotācijas (ex-ante) 1.3. punktā "Pašreizējā situācija, problēmas un risinājumi" sadaļā "Risinājuma apraksts" noteikts, ka "LVRTC kā Centra nodrošinātājam būs iespēja: 1) Centra lietotājiem sniegt SOC pakalpojumu, papildu SOC pakalpojumu (Threat inteligence, XDR, ievainojamību identificēšana un pielietojamības noteikšana, PIM/PAM), kā arī kiberpoligona mācību un simulācijas pakalpojumu." Savukārt anotācijas (ex-ante) 3. punktā "Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem" sadaļā "Cita informācija" noteikts: "Pasākuma rezultātu ilgtspēja un uzturēšana pēc projekta noslēgšanas tiks nodrošināta LVRTC deleģētā valsts pārvaldes uzdevuma ietvaros no centra lietotāju maksājumiem saskaņā ar Ministru kabineta 2022. gada 8. novembra instrukcijas Nr. 5 “Valsts elektronisko sakaru pakalpojumu centra nodrošināšanas kārtība” 11.punktu."
Vienlaikus vēlamies norādīt, ka Nacionālās kiberdrošības likuma projekta 28. panta (3) daļa nosaka "Drošības operāciju centru izveido un darbību datu centrā nodrošina kompetentā kiberincidentu novēršanas institūcija." Papildus vēršam uzmanību, ka saskaņā ar Informatīvo ziņojumu “Par valsts kiberdrošības pārvaldības uzlabošanu” (Tiesību akta lietas ID 21-TA-1699) SOC pakalpojumu valsts un pašvaldību institūcijām finansēs un nodrošinās Aizsardzības Ministrija.

Līdz ar to Aizsardzības Ministrija secina, ka LVRTC plāno nodrošināt pēc būtības identisku pakalpojumu tam, ko plāno nodrošināt CERT.LV. Jāuzsver, ka CERT.LV Drošības operāciju centra pakalpojumus valsts nozīmes koplietošanas datu centros nodrošinās no valsts budžeta līdzekļiem un pakalpojuma saņēmējiem tā saņemšanai nebūs jāplāno atsevišķi budžeta līdzekļi. Līdz ar to Aizsardzības ministrijas skatījumā, lai novērstu risku, ka tiek nesaimnieciski izlietoti valsts budžeta līdzekļi, detalizētāk jāskaidro abu risinājumu līdzāspastāvēšana un jānodrošina to dekonfliktēšana. Attiecīgi lūdzam precizēt anotācijas tekstu, skaidrojot LVRTC un CERT.LV plānoto pakalpojumu būtību, atšķirības un paredzēto saņēmēju loku.

 

 

-

Anotācija (ex-ante) 1.3. Pašreizējā situācija, problēmas un risinājumi nosaka: "Vienlaikus LVRTC veic deleģēto valsts pārvaldes uzdevumu Centra nodrošināšanā saskaņā ar Deleģēšanas līgumu par valsts elektronisko sakaru pakalpojumu centra izveidošanu, uzturēšanu un darbības nodrošināšanu Nr.SAM 2019/31, kas noslēgts ar Satiksmes ministriju, kā arī saskaņā ar Ministru kabineta 2022. gada 8. novembra instrukciju Nr. 5 “Valsts elektronisko sakaru pakalpojumu centra nodrošināšanas kārtība” (turpmāk – VESPC instrukcija)" un 3.sadaļa "Cita informācija" nosaka: "Pasākuma rezultātu ilgtspēja un uzturēšana pēc projekta noslēgšanas tiks nodrošināta LVRTC deleģētā valsts pārvaldes uzdevuma ietvaros no centra lietotāju maksājumiem  saskaņā ar Ministru kabineta 2022. gada 8. novembra instrukcijas Nr. 5 “Valsts elektronisko sakaru pakalpojumu centra nodrošināšanas kārtība” 11.punktu."
Skatīt noteikumu projekta 22.6. punktu, kas nosaka, ka, īstenojot projektu, finansējuma saņēmējs "nodrošina, lai projektā ieviestā infrastruktūra tiktu izmantota tikai deleģētā valsts pārvaldes uzdevuma izpildei".

Ņemot vērā to, ka, veicot labojumus noteikumu projektā, ir tikusi svītrota norāde uz deleģēto valsts pārvaldes uzdevumu, lūdzam atbilstoši labot anotācijas tekstu.

-

Anotācija (ex-ante) 1.3. "Pašreizējā situācija, problēmas un risinājumi" sadaļa "Risinājuma apraksts" nosaka, ka saskaņā ar VESPC instrukcijas 2.4.apakšpunktu Centra lietotājs ir publiska persona, publiskas personas kapitālsabiedrība, publiskas personas kontrolēta kapitālsabiedrība. Vēršam uzmanību, ka daļa no Centra lietotājiem jau šobrīd atbilst "Informācijas tehnoloģiju drošības likuma" (ITDL) un ir Nacionālās kiberdrošības likuma (NKDL) projekta iekļautajiem subjektiem, kas jau šobrīd izmanto CERT.LV nodrošinātos pakalpojumus, tai skaitā, agrās brīdināšanas sistēmu, kas pēc būtības ir identisks pakalpojums tam, ko LVRTC plāno izveidot VESPC ietvaros.
AM norāda, ka NKDL projekta 11. panta "Kiberincidentu novēršanas institūciju tiesības" 1. daļas 2. punkts nosaka, ka Kiberincidentu novēršanas institūcijas ir tiesīgas " iegūt no subjektiem, valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām tiešsaistes datu plūsmu pēc abpusējas vienošanās kiberapdraudējuma identificēšanai un novēršanai" un 27. pants"Agrās brīdināšanas sensori" paredz attiecīgu kritēriju noteikšanu MK noteikumos, kā arī 28. panta "Datu centru kiberdrošība" 3. daļa nosaka kiberincidentu novēršanas institūcijas tiesības vākt, glabāt un elektroniski apstrādāt kiberdraudu identificēšanai nepieciešamos datus. Ņemot vērā to, ka LVRTC plāno izveidot agrīno ļaundabīgā koda indentificēšanu Centra lietotāju IKT sistēmās un iegādāties iekārtas, ko izvieto VESPC klientu infrastruktūrā, uzskatām, ka ir detalizētāk jāskaidro abu risinājumu līdzāspastāvēšana un ietekme uz kiberincidentu novēršanas institūciju spēju nodrošināt valsts deleģēto uzdevumu izpildi (esošā  ITDL 5. panta 1. daļa/NKDL 5.panta 17. punkts).
Dublēta risinājuma ietvaros CERT.LV potenciāli zaudētu iespēju nodrošināt ITDL subjektiem informācijas tehnoloģiju resursu augstāku drošības līmeni un savlaicīgi atklāt bīstamus un mērķētus informācijas tehnoloģiju uzbrukumus. Attiecīgi lūdzam nepieciešamības gadījumā precizēt noteikumu projekta 11. un 16. punktu.

-

Anotācijas (ex-ante) 1.3. Pašreizējā situācija, problēmas un risinājumi sadaļā Pašreizējā situācijā ir minēts, ka
"Valsts kiberdrošības pārvaldes ietvarā LVRTC pašlaik pilda funkcijas kā uzticamu sertifikācijas pakalpojumu sniedzējs, kurš nodrošina elektroniskās identifikācijas līdzekļu, autentifikācijas rīku, kvalificēta elektroniskā paraksta un loģiski vienotā datu centra darbībai nepieciešamo infrastruktūru, vienlaikus nodrošinot arī valsts vienotā interneta apmaiņas punkta (GLV-IX) darbību un aizsardzību pret piekļuves lieguma uzbrukumiem."
Vēlamies norādīt, ka Valsts vienotā interneta apmaiņas punkta (GLV-IX) darbību nodrošina Aizsardzības Ministrija. LVRTC savukārt nodrošina Valsts vienotā interneta apmaiņas punkta (GLV-IX) pakalpojumu Aizsardzības Ministrijai. Proti LVRTC ir pakalpojuma sniedzējs. Attiecīgi lūdzam to atspoguļot arī noteikumu projekta anotācijā.

"Valsts kiberdrošības pārvaldes ietvarā LVRTC pašlaik pilda funkcijas kā uzticamu sertifikācijas pakalpojumu sniedzējs, kurš nodrošina elektroniskās identifikācijas līdzekļu, autentifikācijas rīku, kvalificēta elektroniskā paraksta un loģiski vienotā datu centra darbībai nepieciešamo infrastruktūru. Savukārt atbilstoši Aizsardzības ministrijas 2022. gada 2. novembra Informatīvajam ziņojumam "Par valsts vienoto interneta plūsmu apmaiņas punktu" Nr. 22-TA-1121 (DV) LVRTC šobrīd nodrošina Aizsardzības Ministrijai kā pakalpojumu arī valsts vienotā interneta apmaiņas punkta (GLV-IX) darbību."

Anotācija (ex-ante) 1.3. "Pašreizējā situācija, problēmas un risinājumi" sadaļa "Risinājuma apraksts" nosaka, ka "..., projekta ietvaros ieviešamā vienotā kiberdrošības risinājuma tehniskā specifikācija tiks saskaņota ar Aizsardzības ministriju un CERT.LV." Sadaļa "Citi nosacījumi", nosaka, ka "Projekta ietvaros ieviešamā vienotā kiberdrošības risinājuma tehniskā specifikācija tiks saskaņota ar Aizsardzības ministriju un CERT.LV."
Lūdzam precizēt, kurā projekta izpildes posmā paredzēts veikt vienotā kiberdrošības risinājuma tehniskās specifikācijas saskaņošanu. Uzskatām, ka iespējami labākais rezultātu varētu sasniegt, ja saskaņošana tiktu nodrošināta regulāri, visa projekta realizācijas laikā.
Nepieciešams paredzēt pietiekamu laiku Aizsardzības ministrijas un CERT.LV pārstāvjiem risinājuma izvērtēšanai, nosakot saprātīgu termiņu saskaņojumam.

-

Anotācija (ex-ante) 1.3. "Pašreizējā situācija, problēmas un risinājumi" sadaļa "Risinājuma apraksts" nosaka, ka Anotācijā "CERT.LV paredz veidot valsts drošības operāciju centrus (SOC) valsts institūciju informācijas sistēmu izmitināšanas datu centros, kā arī likumprojektā “Nacionālās drošības likums” iekļauto deleģējumu Ministru kabinetam izdot kiberdrošības operāciju centru izveides un darbības noteikumus, projekta ietvaros ieviešamā vienotā kiberdrošības risinājuma tehniskā specifikācija tiks saskaņota ar Aizsardzības ministriju un CERT.LV." Lūdzam precizēt anotācijas tekstu, izmantojot terminu "Drošības operāciju centrs", jo šāds termins tiek izmantots likumprojektā "Nacionālās kiberdrošības likums".

-