Atzinums

Vēršam uzmanību, ka likumprojekts neparedz pienākumus nozares ministrijām apkopot informāciju par pakalpojumu sniedzējiem, jo saskaņā ar likumprojekta 18. panta pirmo daļu juridiskā persona veic pašizvērtējumu, nosakot savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam. Atbilstības gadījumā juridiskā persona ne vēlāk kā viena mēneša laikā par to paziņo Nacionālajam kiberdrošības centram. Taču likumprojekta 6. panta pirmās daļas 3. punkts paredz Nacionālā kiberdrošības centra tiesības pieprasīt un saņemt no nozaru ministrijām un atvasinātajām publiskajām personām apkopotu informāciju par to pārziņā esošajiem būtisko un svarīgo pakalpojumu sniedzējiem.
Likumprojekts paredz noteikt citu būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa noteikšanas kārtību salīdzinājumā ar esošo regulējumu. Ar likumprojekta spēkā stāšanos spēku zaudēs Informācijas tehnoloģiju drošības likums un uz tā pamata izdotie Ministru kabineta noteikumi.
Informācijas tehnoloģiju drošības likuma 3.¹ panta piektajā daļā noteikts, ka lēmumu par pamatpakalpojuma sniedzēja un pamatpakalpojuma statusa piešķiršanu, pārskatīšanu un izbeigšanu pieņem par dzeramā ūdens piegādes vai izplatīšanas pakalpojumu jomu, interneta plūsmas apmaiņas punkta pakalpojumu jomu, domēnu nosaukumu sistēmas pakalpojumu jomu, augstākā līmeņa domēna nosaukumu reģistra pakalpojumu jomu un par enerģētikas, transporta un veselības nozari atbildīgā ministrija. Uz minētā likuma 3.¹ panta pamata ir izdoti Ministru kabineta 2019. gada 15. janvāra noteikumi Nr. 43 “Noteikumi par nosacījumiem drošības incidenta būtiski traucējošās ietekmes noteikšanai un kārtību, kādā piešķir, pārskata un izbeidz pamatpakalpojuma sniedzēja un pamatpakalpojuma statusu”, kuru 7.punkts paredz, lai par dzeramā ūdens piegādes vai izplatīšanas, interneta plūsmas apmaiņas punkta, domēnu nosaukumu sistēmas un augstākā līmeņa domēna nosaukumu reģistra pakalpojumu jomu un enerģētikas, transporta un veselības nozari atbildīgā ministrija (turpmāk – atbildīgā ministrija) pamatpakalpojuma sniedzēja un pamatpakalpojuma statusa piešķiršanas vai pārskatīšanas procesā noteiktu drošības incidenta būtiski traucējošo ietekmi uz pakalpojuma sniegšanu, tā pieprasa no privāto tiesību juridiskajām personām visu nepieciešamo informāciju, lai identificētu pamatpakalpojuma sniedzēju.
Arī likumprojekta anotācijas 2.1.sadaļā “Sabiedrības grupas, kuras tiesiskais regulējums ietekmē, vai varētu ietekmēt” uzskaitītas grupas, kuras ietekmēs likumprojekts: uzraudzības iestādes, subjektus, CERT.LV, Satversmes aizsardzības biroju un Nacionālo kiberdrošības centru, tādējādi izrietoši no minētā uzskaitījuma, likumprojekts neietekmēs nozaru ministrijas.
Ņemot vērā minēto, lūdzam izslēgt likumprojekta 6. panta pirmās daļas 3. punktu.

-

Likumprojekta 17. panta pirmās daļas 2.punkta a) apakšpunktā noteikts likuma subjekts “pasta vai kurjerpakalpojumu sniedzējs”.
Vēršam uzmanību, ka minētais termins neatbilst Pasta likumā lietotajai terminoloģijai, kā arī nav korekti pārņemts Eiropas Parlamenta un Padomes 2022. gada 14. decembra direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 II pielikuma 1.punkts, kurā skaidrots, ka pasta un kurjeru pakalpojumi ir tādu pasta pakalpojumu sniedzēji, kā definēts Direktīvas 97/67/EK 2. panta 1.a punktā, tostarp kurjeru pakalpojumu sniedzēji. Eiropas Savienības ietvaros, ņemot vērā Direktīvā 97/67/EK noteikto elastību, dalībvalstīs pastāv atšķirīgs regulējums, proti, dažās valstīs kurjepakalpojumi ir uzskatāmi par pasta pakalpojumiem un uz tiem attiecas pasta nozares regulējums, bet dažās valstīs kurjerpakalpojumi ir ārpus pasta pakalpojumu sniegšanas regulējuma.
Latvijā pasta pakalpojumi kā komercdarbība ir regulējamie sabiedriskie pakalpojumi saskaņā ar likuma “Par sabiedrisko pakalpojumu regulatoriem” 2.panta otrās daļas 3.punktu. Pasta likuma 17.pantā ir uzskaitīti pasta pakalpojumu veidi, kas ietver tradicionālos pasta pakalpojumus, abonēto preses izdevumu piegādes un ar to saistītos pakalpojumus, eksprespasta pakalpojumus un kurjerpasta pakalpojumus. Saskaņā ar Pasta likuma 16.punktu pasta komersants ir komersants, kas noteiktajā kārtībā ir reģistrēts pasta pakalpojumu sniegšanai.
Ņemot vērā minēto, lūdzam ievērot Latvijas pasta nozares regulējumu un atbilstoši precizēt subjekta nosaukumu.

a) pasta komersants;

Likumprojekta 18.panta pirmā daļa nosaka pienākumu juridiskai personai vekt pašizvērtējumu, nosakot savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam un atbilstības gadījumā ne vēlāk kā viena mēneša laikā par to paziņot Nacionālajam kiberdrošības centram.
Vēršam uzmanību, ka šī prasība nedod priekšstatu, no kura brīža tiek skaitīts minētais termiņš. Saskaņā ar likumprojekta 39. pantu subjektam līdz kārtējā gada 1. jūlijam jāiesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam subjekta atbilstības ikgadējo pašnovērtējuma ziņojumu, kurā iekļaujamās informācijas veidu un apjomu, kā arī pašnovērtējuma ziņojuma formu (veidlapu) izstrādās Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju un apstiprinā Digitālās drošības uzraudzības komiteja. Ievērojot, ka likumprojekts vēl nav izskatīts Saeimā, un tā spēkā stāšanās termiņš paredzēts 2023.gada 1.jūlijs, likumprojekta 39. pantā noteiktais termiņš ir nesamērīgs.
Norādām, ka saskaņā ar NIS II direktīvas 3.panta 3. un 4.punktu līdz 2025. gada 17. aprīlim dalībvalstis izveido sarakstu ar būtiskām un svarīgām vienībām, un, veidojot šādu sarakstu, dalībvalstis pieprasa norādītajām vienībām iesniegt kompetentajām iestādēm nepieciešamo informāciju.
Ņemot vērā minēto, lūdzam papildināt likumprojekta anotāciju ar skaidrojošo informāciju, kā arī likumprojekta pārejas noteikumus ar nosacījumiem attiecībā uz pirmreizējo pašizvērtējuma veikšanas un Nacionālajam kiberdrošības centram ziņojuma iesniegšanas termiņiem.

-

Saskaņā ar likumprojekta 39. pantu subjektam līdz kārtējā gada 1. jūlijam jāiesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam subjekta atbilstības ikgadējo pašnovērtējuma ziņojumu, kurā iekļaujamās informācijas veidu un apjomu, kā arī pašnovērtējuma ziņojuma formu (veidlapu) izstrādās Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju un apstiprinā Digitālās drošības uzraudzības komiteja. Ievērojot, ka likumprojekts vēl nav izskatīts Saeimā, un tā spēkā stāšanās termiņš paredzēts 2023.gada 1.jūlijs, likumprojekta 39. pantā noteiktais termiņš ir nesamērīgs.
Norādām, ka saskaņā ar NIS II direktīvas 3.panta 3. un 4.punktu līdz 2025. gada 17. aprīlim dalībvalstis izveido sarakstu ar būtiskām un svarīgām vienībām, un, veidojot šādu sarakstu, dalībvalstis pieprasa norādītajām vienībām iesniegt kompetentajām iestādēm nepieciešamo informāciju.
Ņemot vērā minēto, lūdzam papildināt likumprojekta anotāciju ar skaidrojošo informāciju, kā arī likumprojekta pārejas noteikumus ar nosacījumiem attiecībā uz pirmreizējo pašizvērtējuma ziņojuma veikšanas un Nacionālajam kiberdrošības centram ziņojuma iesniegšanas termiņiem.

-

Lūdzam salāgot likumprojektā ietverto terminoloģiju ar Elektronisko sakaru likumā ietvertajiem terminiem.

2) datu centrs – telpa vai telpu komplekss, kas paredzēts informācijas tehnoloģiju un elektronisko sakaru tīkla iekārtu centralizētai izmitināšanai, savstarpējai savienošanai un darbībai, kas nodrošina datu uzglabāšanas, apstrādes un pārsūtīšanas (transportēšanas) pakalpojumus, kā arī visas iekārtas un infrastruktūras elektroenerģijas sadalei un klimata kontrolei, kā arī nepieciešamo noturības un drošības līmeni, kas nepieciešams, lai nodrošinātu pakalpojuma pieejamību atbilstoši noteiktajām prasībām

Lūdzam precizēt likumprojekta 3.panta 2.punktu.

2) tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām  un citām valsts institūcijām, kā arī privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētu uzdevumu, izņemot valsts drošības iestādes; 

Lūdzam papildināt likumprojekta 5.panta pirmo daļu ar jauniem apakšpunktiem.

23) veicināt subjektu kiberhigēnas ievērošanu, veicināt kiberapdraudējumu simulāciju un preventīvas kiberdrošības rīcības kontrolētās vidēs (kiberpoligonos);
24) saskaņot sakaru nozares, digitālās IT attīstības nozaru attīstības plānus, paredzot subjektu pienākumus sakaru tīklu un IKT pakalpojumu attīstīšanā. 
25) nodrošināt subjektu aizsardzību pret pakalpojumatteices uzbrukumiem, kā arī koordinēt aizsardzības pret pakalpojumatteices uzbrukumiem pakalpojumu saņemšanu sadarbībā ar valsts drošības iestādēm; 

Lūdzam papildināt likumprojekta 6.panta pirmo daļu ar jaunu punktu.

6) pieprasīt un saņemt informāciju no datu centru operatoriem par šī likuma 26.pantā noteikto pienākumu izpildi. 

Lūdzam precizēt likumprojekta 11.panta pirmās daļas 1.punktu. 

1) pieprasīt un saņemt no valsts un pašvaldību institūcijām, subjektiem un privāto tiesību juridiskajām personām: 

Lūdzam precizēt likumprojekta 13.pantu.

13.pants.Sadarbība ar kiberdrošību atbildīgajām institūcijām 
Valsts un pašvaldību institūcijām, subjektiem un privāto tiesību juridiskajām personām ir pienākums sadarboties ar kiberincidentu novēršanas institūcijām, Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju, sniedzot tām nepieciešamo informāciju un pildot to likumīgās prasības.

Lūdzam papildināt uzskaitījumu likumprojekta 16.pantā ar jauniem punktiem, kas ietver sabiedriskos medijus, pārtikas piegādes loģistikas uzņēmumus.

-

Lūdzam precizēt likumprojekta 16.panta 5.punktu.

5) tiešās pārvaldes iestāde un cita valsts institūcija, kā arī privāto tiesību juridiskā persona, kas pilda valsts pārvaldes deleģēto uzdevumu, izņemot valsts drošības iestādes. 

Lūdzam paredzēt sankcijas par likumprojekta 18.pantā minētā pašizvērtējuma veikšanas pienākuma neizpildi vai par nepatiesa pašizvērtējuma veikšanu.

-

Lūdzam papildināt likumprojekta 26.panta trešo daļu ar teikumu šadā redakcijā:
"Datu centra operators, ja tā rīcībā ir nepieciešamie dati,  var nodot kompetentai kiberincidentu novēršanas institūcijai ar saviem rīkiem iegūtos datus." 

-

Lūdzam precizēt likumprojekta 28.panta pirmās daļas 2.punktu.

2) nodrošināt svarīgu sabiedrības funkciju īstenošanai, kā arī cilvēku veselības, aizsardzības, drošības, ekonomiskās un sociālās labklājības, būtisko pakalpojumu sniedzēju sniegto pakalpojumu nodrošināšanai nepieciešamo informācijas sistēmu sasniedzamību gadījumā, ja Latvijas Republikā nav pieejams globālais tīmeklis; 

Lūdzam precizēt likumprojekta 28.panta pirmās daļas 3.punktu.

3) nepieciešamības gadījumā nodrošināt pilnvērtīgu interneta darbību un datu plūsmu apmaiņu Latvijas Republikas teritorijā, ja veikta atslēgšanas no globālā tīmekļa;

Lūdzam precizēt likumprojekta 29.pantu.

29. pants. Kiberhigiēnas prasības 
Ministru kabinets valsts un pašvaldību institūcijām, atvasinātajām publiskajām personām  un citām valsts institūcijām, privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētu uzdevumu, izņemot valsts drošības iestādes nosaka kiberhigiēnas un kibernotūrības pasākumu pamatelementus un prasības kiberhigiēnas un kibernoturības pasākumu īstenošanai. 

Lūdzam papildināt likumprojekta 32.pantu ar regulējumu plāna saskaņošanai (salāgošanai) ar citiem plāniem, piemēram civilās aizsardzības un aizsardzības plāniem. Proti, kiberkrīzes nereti ir saistītas ar civilo vai fizisko apdraudējumu, tādējādi rīcībām ir jābūt saskaņotām un plāniem vienam otru papildinošiem. 

-

Lūdzam precizēt likumprojekta 37.pantu.

37.pants. Subjektu uzraudzība 
Subjekta uzraudzība ietver kiberdrošības prasību ievērošanas kontroli, informācijas un komunikācijas tehnoloģiju klātienes pārbaudes un attālinātu pārraudzību, dokumentācijas pārbaudes, tostarp attiecībā uz risku vadību un auditos vai atbilstības novērtējumos konstatēto nepilnību novēršanu, piemērojot vienādotas prasības un procedūras.

Lūdzam precizēt likumprojekta 41.panta pirmās daļas 3.punktu.

3) apturēt subjekta informācijas sistēmas vai resursa vai e-pakalpojuma darbību līdz konstatētās neatbilstības novēršanai vai;