Projekta ID
22-TA-3183Atzinuma sniedzējs
Medicīnas Tehnoloģiju Piegādātāju Asociācija
Atzinums iesniegts
30.01.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Vēršam uzmanību, ka Projekta 2.20., un 2.20.1. punkti būtiski pārsniedz likumdevēja dotā pilnvarojuma robežas, un normas piedāvātā redakcija pakļaujama objektīvi nepieciešamiem grozījumiem.
Projekta 2.20., un 2.20.1.punkts Projektā paredz legāldefinīciju tehniskā resursa aparatūrai nosakot, ka tehniskā resursa aparatūra (hardware), ir tostarp iekārta, kas ir tīkla darbību nodrošinošās iekārtas, darbstacijas, serveri, datu nesēji un citas saistītas iekārtas vai informācijas sistēmas sastāvdaļa, kā arī atsevišķa IKT infrastruktūrā izmantota iekārta.
Projekta 2.43.punkts punkts Projektā paredz legāldefinīciju ārpakalpojumam nosakot, ka ārpakalpojums ir – jebkura veida vienošanās starp subjektu un pakalpojuma sniedzēju, saskaņā ar kuru šis pakalpojuma sniedzējs nodrošina procesu, sniedz pakalpojumu, veic tehnisko resursu piegādi vai veic citu darbību subjekta uzdevumā IKT infrastruktūrā;
Projekta 2.20.1., punktā iestrādātais terminoloģijas plašums un, līdz ar to, tiesības piemērot Projektā attiecināmās prasības aktuālajā redakcijā skar un paredz ierobežojumus arī uz tādām iekārtām, kuru mērķis, jēga un funkcionalitāte nav saistīti ar informācijas un komunikācijas tehnoloģijām.
Asociācija jau Projekta sākotnējā saskaņošanā pie Projektā pašreiz dzēsta punkta (80.1.) norādīja, ka Projekta tvērumā nepamatoti ielasītas Asociācijas biedru pārstāvētās un kritiskās infrastruktūras subjektiem un būtisko pakalpojumu sniedzējiem piegādājamās iekārtas, t.sk., bet ne tikai, laboratorijas klīniskie testēšanas analizatori, turpmāk - Analizatori.
Šādai projekta iecerei, Projekta prasības attiecināt uz Analizatoriem, jau sākotnēji nebija iespējams konstatēt tiesisko pamatu. Proti, nedz Projekta anotācijā, nedz Projekta deleģējošajos tiesību aktos nacionālajā un Eiropas Savienības līmenī (Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID2 direktīva), turpmāk – Kiberdrošības direktīva) nebija konstatējama kaut norāde uz likumdevēju gribu vai uzdevumu nacionālajiem likumdevējiem paredzēt nepamatoti paplašinātu Projekta objekta tvērumu.
Gluži pretēji.
Eiropas Savienības likumdevējs Kiberdrošības direktīvas 143.apsvērumā norādīja, ka likumdevējs respektē pamattiesības un ievēro principus, kas atzīti Eiropas Savienības Pamattiesību Hartā, turpmāk – Pamattiesību Harta, jo īpaši tiesības uz uzņēmējdarbības brīvību, tiesības uz īpašumu. Pamatojoties uz Kiberdrošības direktīvu Eiropas Savienības likumdevējs no nacionālā likumdevēja prasa papildu uzmanību tam, kādā veidā tas, izstrādājot kiberdrošības nacionālā regulējuma prasības, nodrošinās Kiberdrošības direktīvā, Pamattiesību Hartā un gala beigās dalībvalstu konstitūcijās noteiktās pamattiesības.
Citiem vārdiem, Eiropas Savienības likumdevējs Projekta deleģējošos aktos expresis verbis bija izvirzījis prasības, ar kurām tika sevišķi lūgts nepamatoti neierobežot t.sk., tiesības uz saimniecisko darbību un īpašumu.
Ja Eiropas Savienības likumdevējs, kura griba iedzīvināta Projekta pilnvarojuma deleģējošajos tiesību aktos, noteica prasību domāt, kā noteikumu izstrādē maksimāli neierobežot privātpersonu tiesības uz saimniecisko darbību un īpašumu, tad šāds pienākums attiecās arī uz nacionālo likumdevēju. Aizsardzības ministrijai, turpmāk – AM, nav ekskluzīvu tiesību klaji ignorēt Eiropas Savienības likumdevēja expresis verbis paustos norādījumos tiesību aktu izstrādē un šādu rīcību nevar pamato.
Pēc Projekta 2.20., un 2.20.1.punktu analīzes secināms, ka nacionālais likumdevējs, AM, nav ņēmis vērā nedz Eiropas Savienības likumdevēja gribu, nedz Projekta deleģējošos tiesību aktus, nedz arī Asociācijas sākotnēji paustos iebildumus un Projekta redakcijā 80.1.punkta prasības materiāltiesiskais saturs acīmredzami nav svītrots pēc būtības, bet gan vienkārši pārnests un iestrādāts citā punktā. Proti, Projekta 2.20.1., punktā iestrādātā prasība, ar ko Projekts paredz nevis piemērot pamattiesību ievērojošu saudzīgumu, bet gan neņemt vērā deleģējošos tiesību aktos nacionālajiem likumdevējiem piešķirto pilnvarojuma tvērumu un Projekta pamattiesību ierobežojumus paplašināt arī uz iekārtām, uz kurām likumdevējs to nebija paredzējis attiecināt – t.sk., Analizatoriem.
No tiesību viedokļa, kā jau norādīts, nedz no Projekta pilnvarojuma tiesību aktiem, nedz no nacionālā vai Eiropas Savienības likumdevēja gribas, nedz no Projektu pamatojošiem tiesību akta izstrādes materiāliem nav konstatējama likumdevēja pat mazākā iecere attiecināt pamattiesību ierobežojumus uz pilnīgi visām iekārtām, t.sk., tādām, kuru primārā funkcionalitāte nav saistīta ar IKT.
Līdz ar to, Projektā Analizatori ietilpināti objektu katalogā, kas prettiesiski un pārsniedzot pilnvarojuma apjomu pakļauti Projekta pamattiesību ierobežojošām prasībām.
No tiesību viedokļa tāpat nav konstatējams nacionālā noteikumu izdevēja pilnvarojums nepakļauties Eiropas Savienības pamata tiesību pīlāriem, t.sk., preču brīvai apritei un Eiropas Savienības līmeņa speciālajam tiesību regulējumam, kas nosaka kārtību Analizatoru tiesībām tikt nodotiem civiltiesiskā apritē Eiropas Savienības dalībvalstu, t.sk., kritiskās infrastruktūras un būtisko pakalpojumu sniedzēja subjektiem.
Analizatori kā iekārtas atbilst civiltiesiskās aprites, kvalitātes un drošības atbilstības prasībām saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2017/745 (2017. gada 5. aprīlis), kas attiecas uz medicīniskām ierīcēm, ar ko groza Direktīvu 2001/83/EK, Regulu (EK) Nr. 178/2002 un Regulu (EK) Nr. 1223/2009 un atceļ Padomes Direktīvas 90/385/EK un 93/42/EEK, turpmāk – Regula, kā arī tieši tās pašas iekārtas laistas apgrozībā un pieslēgtas vairāku Eiropas Savienības dalībvalstu kritisko infrastruktūras un būtisko pakalpojumu sniedzēju paaugstinātās drošības sistēmām vairāk kā desmit Eiropas Savienības dalībvalstīs.
Līdz ar to, Projektā nepamatoti nav ņemts vērā, ka Analizatoriem ir Eiropas Savienības līmeņa speciālais regulējums, kurš nosaka ne tikai civiltiesiskās aprites prasības un ierobežojumu kārtību, bet arī drošībai izvirzāmās prasības.
Un treškārt – un galvenokārt – Analizators neatbilst Projekta 2.20.1.punkta citas saistītas iekārtas vai informācijas sistēmas sastāvdaļas vai atsevišķas IKT infrastruktūrā izmantotas iekārtas skaidrojumam.
AM atbildē uz Asociācijas un Tirdzniecības un Rūpniecības Kameras sniegtajiem iebildumiem apgalvoja, ka “iekārtas, kuras esot savienotas ar tīklu, esot daļa no IKT infrastruktūras un, līdz ar to, pakļautas kiberdrošības riskiem, jo veicot kiberuzbrukumu šādai iekārtai, uzbrucējs potenciāli varētu ne tikai prettiesiski piekļūt datiem, bet arī caur iekārtu piekļūt citām tīklā esošajām iekārtām”.
Ikviens vārds no paustā apgalvojuma ir aplamības.
Pirmkārt, nekāds “uzbrucējs” nevar veikt kiberuzbrukumu analizatoram.
Minētajam par pamatu ir objektīvs fakts, ka analizators nav “dators”, kam var “pieslēgties”, jo Analizators sastāv no analizatoru iekārtas (moduļiem). Analizatoru moduļi darbojas autonomi, to vienīgā funkcija ir paraugu testēšana un nevienai personai, objektīvi un ne pie kādiem apstākļiem, nav iespējams “pieslēgties” Analizatoram, vadīt Analizatora moduļus un piekļūt tā datiem, jo tiem nav iebūvēta pieslēgšanās funkcionalitāte.
Līdz ar to apgalvojumi par varbūtējiem kiberriskiem, kas pamatoti ar apgalvotiem kiberuzbrukumiem iekārtai, ir aplamības. Tas objektīvi nav iespējams. Šaubu gadījumā par tehnoloģisko faktu aicinām konsultēties pie sertificētiem speciālistiem, kas sniedz kiberdrošības risinājumus, piemēram, Opticom vai Fortinet.
Otrkārt, Analizators nav savienots ar publisko tīklu. Kā skaidrots, Analizatoru sistēmas moduļiem nav individuālas pieslēgšanās iespējamības. Analizatoru sistēmas moduļus vada Analizatora sistēmas dators, ko nodrošina lokālā tīkla saslēgums starp Analizatora sistēmas datoru un Analizatora moduļiem.
Savukārt Analizatora sistēmas dators ir lokāli savienots ar kritiskās infrastruktūras subjekta uzturēto Laboratorijas informācijas sistēmu, turpmāk – LIS, kuru uztur un par kura drošību atbild kritiskās infrastruktūras subjekts. Turklāt, Analizators ne tikai nav pieslēgts publiskajam tīklam, bet tas arī nav saslēgts lokālajā tīklā tiešā veidā ar LIS, jo Analizatora iekštīkls ar Analizatora datoru atrodas pavisam citā lokālā apakštīklā.
No minētā izriet divi fakti. Pirmkārt, apgalvojumi, ka Analizators ir saslēgts publiskā tīklā, ir aplamības. Analizatora modulis tiek saslēgts lokālā apakštīklā ar Analizatoru sistēmas datoru un Analizatoru sistēmas dators tiek saslēgts atsevišķā lokālā tīklā ar kritiskās infrastruktūras/būtisko pakalpojumu sniedzēja LIS, par kura drošību atbild subjekts, nevis Analizatora piegādātājs, kura iekārta subjekta tīkla drošību nevar ietekmēt. Otrkārt, apgalvojumi par varbūtību kiberincidenta gadījumā pieslēgties citām IKT iekārtām ir aplamības. Analizatoram iespējamās pieslēgšanās virziens no Analizatora virzienā uz citu jebkuru iekārtu nav iespējams – nedz “iebrucēja”, nedz piegādātāja, nedz paša subjekta. Kā jau skaidrots, Analizatoram nav iebūvēta šāda funkcionalitāte un vienīgais virziens, no kura var pieslēgties Analizatora sistēmas datoram, kas vada Analizatora moduļu darbu, ir no subjekta uzturētā tīkla.
Līdz ar to, AM ir jāņem vērā turpmāki tehniskās patiesībās balstīti fakti, un tieši, Analizators 1) nav pieslēgts publiskam tīklam 2) iekārtas, kuras nav pieslēgtas publiskajam tīklam, pat tehniski nevar būt kiberincidenta apdraudējuma ķēdes sākumā un “iebrucējam” nepastāv tehniskas iespējamības tam “pieslēgties”; 3) “iebrucējam” nav iespējams “pieslēgties” Analizatora moduļiem un tad caur to pieslēgties Analizatora datoram, caur kuru tālāk pieslēgties nākamajam apakštīklam un citām iekārtām, jo kā skaidrots 2. apakšpunktā, tad tas tehniski nav iespējams, jo Analizators nav pieslēgts publiskajam tīklam un tehniski nevar būt kiberincidenta apdraudējuma ķēdes sākumā vai par pieslēguma avotu; 4) Analizatori nesatur identificējamus personas datus, jo paraugi Analizatoru moduļos tiek anonimizēti ar svītru kodiem; 5) lokālo tīklu administrēšanas rīki lokālo tīklu segmentē neatkarīgos tīklos un tos kritiskās infrastruktūras objektos administrē ar ugunsmūriem (piemēram, Fortigate) un citiem drošības rīkiem, ko praksē kritiskās infrastruktūras un būtisko pakalpojumu sniedzēji izmanto, padarot Projekta prasību piemērošanu uz iekārtām, kurām nav saistība ar IKT, par nepamatotām un nesamērīgām.
Izvirzītie fakti savukārt nozīmē, ka Analizatoru iekļaušana Projekta tvērumā acīmredzami pārsniedz nepieciešamo, pārkāpj pamattiesības un nav samērīgi vai piemēroti mērķa sasniegšanai.
Pamatojoties uz minēto tiek pieprasīts, ka Projektā tiek izdarīti grozījumi, ar kuriem tiek 1) ievērotas likumdevēja dotā pilnvarojuma robežas, Projekts netiek izdots ultra vires un Projekta prasības netiek attiecinātas uz 2) iekārtām, uz kurām likumdevējs to nebija paredzējis; 3) iekārtām, kuru primārā funkcionalitāte pat attāli nav saistīta ar IKT un 4) iekārtām, kas atbilst civiltiesiskās aprites, kvalitātes un drošības atbilstības prasībām saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2017/745 (2017. gada 5. aprīlis), kas attiecas uz medicīniskām ierīcēm, ar ko groza Direktīvu 2001/83/EK, Regulu (EK) Nr. 178/2002 un Regulu (EK) Nr. 1223/2009 un atceļ Padomes Direktīvas 90/385/EK un 93/42/EEK, un laistas apgrozībā un pieslēgtas vairāku Eiropas Savienības dalībvalstu kritisko infrastruktūras un būtisko pakalpojumu sniedzēju paaugstinātās drošības sistēmām vairāk kā desmit Eiropas Savienības dalībvalstīs.
Tādējādi, Projektā expresis verbis vai anotācijā norādāms, ka 2.20.1.punktu nevar attiecināt uz tādām iekārtām, kuras primārā funkcija neveic IKT pakalpojumu, piemēram, klīniskās testēšanas laboratorijas analizatori, kuriem ir autonoma un ar Projektu materiāltiesisko tvērumu nesaistīta funkcija, kuriem tehniski nav iespējams nokļūt kiberincidentos, un uz kurām nekādā gadījumā nav pieļaujama Projekta pamattiesību ierobežojumu attiecināšana.
Projekta 2.20., un 2.20.1.punkts Projektā paredz legāldefinīciju tehniskā resursa aparatūrai nosakot, ka tehniskā resursa aparatūra (hardware), ir tostarp iekārta, kas ir tīkla darbību nodrošinošās iekārtas, darbstacijas, serveri, datu nesēji un citas saistītas iekārtas vai informācijas sistēmas sastāvdaļa, kā arī atsevišķa IKT infrastruktūrā izmantota iekārta.
Projekta 2.43.punkts punkts Projektā paredz legāldefinīciju ārpakalpojumam nosakot, ka ārpakalpojums ir – jebkura veida vienošanās starp subjektu un pakalpojuma sniedzēju, saskaņā ar kuru šis pakalpojuma sniedzējs nodrošina procesu, sniedz pakalpojumu, veic tehnisko resursu piegādi vai veic citu darbību subjekta uzdevumā IKT infrastruktūrā;
Projekta 2.20.1., punktā iestrādātais terminoloģijas plašums un, līdz ar to, tiesības piemērot Projektā attiecināmās prasības aktuālajā redakcijā skar un paredz ierobežojumus arī uz tādām iekārtām, kuru mērķis, jēga un funkcionalitāte nav saistīti ar informācijas un komunikācijas tehnoloģijām.
Asociācija jau Projekta sākotnējā saskaņošanā pie Projektā pašreiz dzēsta punkta (80.1.) norādīja, ka Projekta tvērumā nepamatoti ielasītas Asociācijas biedru pārstāvētās un kritiskās infrastruktūras subjektiem un būtisko pakalpojumu sniedzējiem piegādājamās iekārtas, t.sk., bet ne tikai, laboratorijas klīniskie testēšanas analizatori, turpmāk - Analizatori.
Šādai projekta iecerei, Projekta prasības attiecināt uz Analizatoriem, jau sākotnēji nebija iespējams konstatēt tiesisko pamatu. Proti, nedz Projekta anotācijā, nedz Projekta deleģējošajos tiesību aktos nacionālajā un Eiropas Savienības līmenī (Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID2 direktīva), turpmāk – Kiberdrošības direktīva) nebija konstatējama kaut norāde uz likumdevēju gribu vai uzdevumu nacionālajiem likumdevējiem paredzēt nepamatoti paplašinātu Projekta objekta tvērumu.
Gluži pretēji.
Eiropas Savienības likumdevējs Kiberdrošības direktīvas 143.apsvērumā norādīja, ka likumdevējs respektē pamattiesības un ievēro principus, kas atzīti Eiropas Savienības Pamattiesību Hartā, turpmāk – Pamattiesību Harta, jo īpaši tiesības uz uzņēmējdarbības brīvību, tiesības uz īpašumu. Pamatojoties uz Kiberdrošības direktīvu Eiropas Savienības likumdevējs no nacionālā likumdevēja prasa papildu uzmanību tam, kādā veidā tas, izstrādājot kiberdrošības nacionālā regulējuma prasības, nodrošinās Kiberdrošības direktīvā, Pamattiesību Hartā un gala beigās dalībvalstu konstitūcijās noteiktās pamattiesības.
Citiem vārdiem, Eiropas Savienības likumdevējs Projekta deleģējošos aktos expresis verbis bija izvirzījis prasības, ar kurām tika sevišķi lūgts nepamatoti neierobežot t.sk., tiesības uz saimniecisko darbību un īpašumu.
Ja Eiropas Savienības likumdevējs, kura griba iedzīvināta Projekta pilnvarojuma deleģējošajos tiesību aktos, noteica prasību domāt, kā noteikumu izstrādē maksimāli neierobežot privātpersonu tiesības uz saimniecisko darbību un īpašumu, tad šāds pienākums attiecās arī uz nacionālo likumdevēju. Aizsardzības ministrijai, turpmāk – AM, nav ekskluzīvu tiesību klaji ignorēt Eiropas Savienības likumdevēja expresis verbis paustos norādījumos tiesību aktu izstrādē un šādu rīcību nevar pamato.
Pēc Projekta 2.20., un 2.20.1.punktu analīzes secināms, ka nacionālais likumdevējs, AM, nav ņēmis vērā nedz Eiropas Savienības likumdevēja gribu, nedz Projekta deleģējošos tiesību aktus, nedz arī Asociācijas sākotnēji paustos iebildumus un Projekta redakcijā 80.1.punkta prasības materiāltiesiskais saturs acīmredzami nav svītrots pēc būtības, bet gan vienkārši pārnests un iestrādāts citā punktā. Proti, Projekta 2.20.1., punktā iestrādātā prasība, ar ko Projekts paredz nevis piemērot pamattiesību ievērojošu saudzīgumu, bet gan neņemt vērā deleģējošos tiesību aktos nacionālajiem likumdevējiem piešķirto pilnvarojuma tvērumu un Projekta pamattiesību ierobežojumus paplašināt arī uz iekārtām, uz kurām likumdevējs to nebija paredzējis attiecināt – t.sk., Analizatoriem.
No tiesību viedokļa, kā jau norādīts, nedz no Projekta pilnvarojuma tiesību aktiem, nedz no nacionālā vai Eiropas Savienības likumdevēja gribas, nedz no Projektu pamatojošiem tiesību akta izstrādes materiāliem nav konstatējama likumdevēja pat mazākā iecere attiecināt pamattiesību ierobežojumus uz pilnīgi visām iekārtām, t.sk., tādām, kuru primārā funkcionalitāte nav saistīta ar IKT.
Līdz ar to, Projektā Analizatori ietilpināti objektu katalogā, kas prettiesiski un pārsniedzot pilnvarojuma apjomu pakļauti Projekta pamattiesību ierobežojošām prasībām.
No tiesību viedokļa tāpat nav konstatējams nacionālā noteikumu izdevēja pilnvarojums nepakļauties Eiropas Savienības pamata tiesību pīlāriem, t.sk., preču brīvai apritei un Eiropas Savienības līmeņa speciālajam tiesību regulējumam, kas nosaka kārtību Analizatoru tiesībām tikt nodotiem civiltiesiskā apritē Eiropas Savienības dalībvalstu, t.sk., kritiskās infrastruktūras un būtisko pakalpojumu sniedzēja subjektiem.
Analizatori kā iekārtas atbilst civiltiesiskās aprites, kvalitātes un drošības atbilstības prasībām saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2017/745 (2017. gada 5. aprīlis), kas attiecas uz medicīniskām ierīcēm, ar ko groza Direktīvu 2001/83/EK, Regulu (EK) Nr. 178/2002 un Regulu (EK) Nr. 1223/2009 un atceļ Padomes Direktīvas 90/385/EK un 93/42/EEK, turpmāk – Regula, kā arī tieši tās pašas iekārtas laistas apgrozībā un pieslēgtas vairāku Eiropas Savienības dalībvalstu kritisko infrastruktūras un būtisko pakalpojumu sniedzēju paaugstinātās drošības sistēmām vairāk kā desmit Eiropas Savienības dalībvalstīs.
Līdz ar to, Projektā nepamatoti nav ņemts vērā, ka Analizatoriem ir Eiropas Savienības līmeņa speciālais regulējums, kurš nosaka ne tikai civiltiesiskās aprites prasības un ierobežojumu kārtību, bet arī drošībai izvirzāmās prasības.
Un treškārt – un galvenokārt – Analizators neatbilst Projekta 2.20.1.punkta citas saistītas iekārtas vai informācijas sistēmas sastāvdaļas vai atsevišķas IKT infrastruktūrā izmantotas iekārtas skaidrojumam.
AM atbildē uz Asociācijas un Tirdzniecības un Rūpniecības Kameras sniegtajiem iebildumiem apgalvoja, ka “iekārtas, kuras esot savienotas ar tīklu, esot daļa no IKT infrastruktūras un, līdz ar to, pakļautas kiberdrošības riskiem, jo veicot kiberuzbrukumu šādai iekārtai, uzbrucējs potenciāli varētu ne tikai prettiesiski piekļūt datiem, bet arī caur iekārtu piekļūt citām tīklā esošajām iekārtām”.
Ikviens vārds no paustā apgalvojuma ir aplamības.
Pirmkārt, nekāds “uzbrucējs” nevar veikt kiberuzbrukumu analizatoram.
Minētajam par pamatu ir objektīvs fakts, ka analizators nav “dators”, kam var “pieslēgties”, jo Analizators sastāv no analizatoru iekārtas (moduļiem). Analizatoru moduļi darbojas autonomi, to vienīgā funkcija ir paraugu testēšana un nevienai personai, objektīvi un ne pie kādiem apstākļiem, nav iespējams “pieslēgties” Analizatoram, vadīt Analizatora moduļus un piekļūt tā datiem, jo tiem nav iebūvēta pieslēgšanās funkcionalitāte.
Līdz ar to apgalvojumi par varbūtējiem kiberriskiem, kas pamatoti ar apgalvotiem kiberuzbrukumiem iekārtai, ir aplamības. Tas objektīvi nav iespējams. Šaubu gadījumā par tehnoloģisko faktu aicinām konsultēties pie sertificētiem speciālistiem, kas sniedz kiberdrošības risinājumus, piemēram, Opticom vai Fortinet.
Otrkārt, Analizators nav savienots ar publisko tīklu. Kā skaidrots, Analizatoru sistēmas moduļiem nav individuālas pieslēgšanās iespējamības. Analizatoru sistēmas moduļus vada Analizatora sistēmas dators, ko nodrošina lokālā tīkla saslēgums starp Analizatora sistēmas datoru un Analizatora moduļiem.
Savukārt Analizatora sistēmas dators ir lokāli savienots ar kritiskās infrastruktūras subjekta uzturēto Laboratorijas informācijas sistēmu, turpmāk – LIS, kuru uztur un par kura drošību atbild kritiskās infrastruktūras subjekts. Turklāt, Analizators ne tikai nav pieslēgts publiskajam tīklam, bet tas arī nav saslēgts lokālajā tīklā tiešā veidā ar LIS, jo Analizatora iekštīkls ar Analizatora datoru atrodas pavisam citā lokālā apakštīklā.
No minētā izriet divi fakti. Pirmkārt, apgalvojumi, ka Analizators ir saslēgts publiskā tīklā, ir aplamības. Analizatora modulis tiek saslēgts lokālā apakštīklā ar Analizatoru sistēmas datoru un Analizatoru sistēmas dators tiek saslēgts atsevišķā lokālā tīklā ar kritiskās infrastruktūras/būtisko pakalpojumu sniedzēja LIS, par kura drošību atbild subjekts, nevis Analizatora piegādātājs, kura iekārta subjekta tīkla drošību nevar ietekmēt. Otrkārt, apgalvojumi par varbūtību kiberincidenta gadījumā pieslēgties citām IKT iekārtām ir aplamības. Analizatoram iespējamās pieslēgšanās virziens no Analizatora virzienā uz citu jebkuru iekārtu nav iespējams – nedz “iebrucēja”, nedz piegādātāja, nedz paša subjekta. Kā jau skaidrots, Analizatoram nav iebūvēta šāda funkcionalitāte un vienīgais virziens, no kura var pieslēgties Analizatora sistēmas datoram, kas vada Analizatora moduļu darbu, ir no subjekta uzturētā tīkla.
Līdz ar to, AM ir jāņem vērā turpmāki tehniskās patiesībās balstīti fakti, un tieši, Analizators 1) nav pieslēgts publiskam tīklam 2) iekārtas, kuras nav pieslēgtas publiskajam tīklam, pat tehniski nevar būt kiberincidenta apdraudējuma ķēdes sākumā un “iebrucējam” nepastāv tehniskas iespējamības tam “pieslēgties”; 3) “iebrucējam” nav iespējams “pieslēgties” Analizatora moduļiem un tad caur to pieslēgties Analizatora datoram, caur kuru tālāk pieslēgties nākamajam apakštīklam un citām iekārtām, jo kā skaidrots 2. apakšpunktā, tad tas tehniski nav iespējams, jo Analizators nav pieslēgts publiskajam tīklam un tehniski nevar būt kiberincidenta apdraudējuma ķēdes sākumā vai par pieslēguma avotu; 4) Analizatori nesatur identificējamus personas datus, jo paraugi Analizatoru moduļos tiek anonimizēti ar svītru kodiem; 5) lokālo tīklu administrēšanas rīki lokālo tīklu segmentē neatkarīgos tīklos un tos kritiskās infrastruktūras objektos administrē ar ugunsmūriem (piemēram, Fortigate) un citiem drošības rīkiem, ko praksē kritiskās infrastruktūras un būtisko pakalpojumu sniedzēji izmanto, padarot Projekta prasību piemērošanu uz iekārtām, kurām nav saistība ar IKT, par nepamatotām un nesamērīgām.
Izvirzītie fakti savukārt nozīmē, ka Analizatoru iekļaušana Projekta tvērumā acīmredzami pārsniedz nepieciešamo, pārkāpj pamattiesības un nav samērīgi vai piemēroti mērķa sasniegšanai.
Pamatojoties uz minēto tiek pieprasīts, ka Projektā tiek izdarīti grozījumi, ar kuriem tiek 1) ievērotas likumdevēja dotā pilnvarojuma robežas, Projekts netiek izdots ultra vires un Projekta prasības netiek attiecinātas uz 2) iekārtām, uz kurām likumdevējs to nebija paredzējis; 3) iekārtām, kuru primārā funkcionalitāte pat attāli nav saistīta ar IKT un 4) iekārtām, kas atbilst civiltiesiskās aprites, kvalitātes un drošības atbilstības prasībām saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2017/745 (2017. gada 5. aprīlis), kas attiecas uz medicīniskām ierīcēm, ar ko groza Direktīvu 2001/83/EK, Regulu (EK) Nr. 178/2002 un Regulu (EK) Nr. 1223/2009 un atceļ Padomes Direktīvas 90/385/EK un 93/42/EEK, un laistas apgrozībā un pieslēgtas vairāku Eiropas Savienības dalībvalstu kritisko infrastruktūras un būtisko pakalpojumu sniedzēju paaugstinātās drošības sistēmām vairāk kā desmit Eiropas Savienības dalībvalstīs.
Tādējādi, Projektā expresis verbis vai anotācijā norādāms, ka 2.20.1.punktu nevar attiecināt uz tādām iekārtām, kuras primārā funkcija neveic IKT pakalpojumu, piemēram, klīniskās testēšanas laboratorijas analizatori, kuriem ir autonoma un ar Projektu materiāltiesisko tvērumu nesaistīta funkcija, kuriem tehniski nav iespējams nokļūt kiberincidentos, un uz kurām nekādā gadījumā nav pieļaujama Projekta pamattiesību ierobežojumu attiecināšana.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Projekta 101.3.3., un 101.6.punkti svītrojami no Projekta. Izslēgšanas pamatojumā ir fakts, ka minētie punkti bez likumdevēja deleģējuma iejaucas publisko iepirkumu regulējumā, Projektā paredzot normas, kas de facto nelabvēlīgi ietekmēs Asociācijas biedru un citu privātpersonu publisko iepirkumu procedūras rezultātā iegūtu ārpakalpojuma izpildes tiesības, kuru anulēšanas vai izbeigšanas kārtību regulē citi tiesību akti.
Ārpakalpojuma tiesiskās attiecības, kas nonāks šo punktu tvērumā, tiks slēgtas starp, t.sk., Asociācijas biedriem, kas kritiskās infrastruktūras subjektiem un būtisko pakalpojumu sniedzējiem piegādā, t.sk., medicīnas tehnoloģijas un citas iekārtas, kuru funkcionalitāte nav saistīta ar IKT. Ņemot vērā apstākli, ka kritiskās infrastruktūras subjekti un būtisko pakalpojumu sniedzēji visbiežāk ir publiskas kapitālsabiedrības, ikvienu ārpakalpojumu noslēgšanas līgumu tiesību iegūšana organizējama publisko iepirkumu procesā, kuros, t.sk., Asociācijas biedri tiek pakļauti kompleksu prasību izpildes atbilstīgumam, t.sk., arī prasībām atbilst visiem un ikvieniem fundamentāliem kiberdrošības noteikumiem. Paredzēt kritiskās infrastruktūras subjektam vai būtisko pakalpojumu sniedzējam tiesības neaprobežoti ierobežot pamattiesības, proti, vienpusēji, iespējams, negodprātīgu interešu nolūkā izbeigt publiskā iepirkumā iegūtas tiesības pildīt līgumu ir nesamērīgi, kaut vai tāpēc, ka neviens likumdevējs nav pilnvarojis AM paplašināt publiskos iepirkumos iegūtu līgumu izbeigšanas pamatu un šāda izbeigšana jau iestrādāta civiltiesisko attiecību noregulējumā.
Līdz ar to, Projekta 101.3.3., un 101.6.punkti svītrojami no Projekta, jo tiem acīmredzami nav pienācīga pamatojuma, tie būtiski pārsniedz to, kas ir nepieciešams kiberdrošības prasību noteikšanā, un ierobežo personu pamattiesības pildīt publisko iepirkumu ceļā iegūtus civiltiesiskus līgumus.
Ārpakalpojuma tiesiskās attiecības, kas nonāks šo punktu tvērumā, tiks slēgtas starp, t.sk., Asociācijas biedriem, kas kritiskās infrastruktūras subjektiem un būtisko pakalpojumu sniedzējiem piegādā, t.sk., medicīnas tehnoloģijas un citas iekārtas, kuru funkcionalitāte nav saistīta ar IKT. Ņemot vērā apstākli, ka kritiskās infrastruktūras subjekti un būtisko pakalpojumu sniedzēji visbiežāk ir publiskas kapitālsabiedrības, ikvienu ārpakalpojumu noslēgšanas līgumu tiesību iegūšana organizējama publisko iepirkumu procesā, kuros, t.sk., Asociācijas biedri tiek pakļauti kompleksu prasību izpildes atbilstīgumam, t.sk., arī prasībām atbilst visiem un ikvieniem fundamentāliem kiberdrošības noteikumiem. Paredzēt kritiskās infrastruktūras subjektam vai būtisko pakalpojumu sniedzējam tiesības neaprobežoti ierobežot pamattiesības, proti, vienpusēji, iespējams, negodprātīgu interešu nolūkā izbeigt publiskā iepirkumā iegūtas tiesības pildīt līgumu ir nesamērīgi, kaut vai tāpēc, ka neviens likumdevējs nav pilnvarojis AM paplašināt publiskos iepirkumos iegūtu līgumu izbeigšanas pamatu un šāda izbeigšana jau iestrādāta civiltiesisko attiecību noregulējumā.
Līdz ar to, Projekta 101.3.3., un 101.6.punkti svītrojami no Projekta, jo tiem acīmredzami nav pienācīga pamatojuma, tie būtiski pārsniedz to, kas ir nepieciešams kiberdrošības prasību noteikšanā, un ierobežo personu pamattiesības pildīt publisko iepirkumu ceļā iegūtus civiltiesiskus līgumus.
Piedāvātā redakcija
-
3.
Noteikumu projekts
Iebildums
Projekta 107.punkta prasība piešķir neattaisnojami plašu rīcības brīvību subjektam nepamatoti un nesamērīgi ietekmēt ārpakalpojuma sniedzēja tiesības uz saimniecisko darbību un īpašumu, tādā veidā bez izsvērta pamatojuma ierobežojot pamattiesības. Saskaņā ar Projekta 107.punktu, ikviena ārpakalpojuma sniedzēja saistību ar Projekta subjektu izpildē izmantojot, t.sk., jebkuru ārpakalpojumu, kas pakalpojumu vai tehniskā resursa nodrošinājuma izpildē paredz informācijas datu glabāšanu drošā un sertificētā mākoņa datu glabāšanas infrastruktūrā, subjektam Projekta 107.punkts paredz neaprobežotas tiesības bez izsvērta pamatojuma ārpakalpojuma sniedzējam noteikt datu centra izvietojuma vietu, paredzot tiesības faktiski ierobežot un neattaisnojami iejaukties ārpakalpojuma sniedzēja saimnieciskās darbības un saistību izpildē pat tad, ja ārpakalpojuma saistības tvērumā izmantotais mākoņa datu glabāšanas pakalpojums un tā datu centru izvietojums atbilst ES noteiktajām datu apstrādes drošības un sertifikācijas prasībām. Šāda prasība acīmredzami nav samērīga, jo ārpakalpojuma sniedzējs praksē nodrošina ES sertificētu un drošības prasībām atbilstīgu mākoņa datu glabāšanas datu centra vietu, taču šī prasība paredzētu subjektam tiesības, neatkarīgi no sniegtā pakalpojuma atbilstīguma drošības prasībām, izvirzīt nepamatotas prasības ārpakalpojuma sniedzējam nodrošināt datu centra vietu saskaņā ar subjekta kaprīzēm, kas nozīmētu nesamērīgas investīcijas no ārpakalpojuma sniedzēja puses, uzsākot dārgu datu pārnešanas procesu uz citu datu centra vietu bez jebkāda izsvērta pamatojuma vai nepieciešamības.
Projekta deleģējošie tiesību akti, t.sk., Kiberdrošības direktīva nepiešķir nacionālajam likumdevējam tiesības nepamatoti apgrūtināt vai ierobežot pamattiesību aizsardzības garantijas, t.sk., tiesībām veikt sertificētu saimniecisko darbību un pakalpojumu brīvu apriti Eiropas Savienības iekšējā zonā. Šāda Projekta punkta prasība ir pretrunā ar Pamattiesību Hartu, Kiberdrošības direktīvas t.sk., 143.apsvērumu, Satversmes 105.panta pirmajiem trijiem teikumiem, kurā konkretizētas tiesības uz īpašumu un saimniecisko darbību, kā arī LESD 49.pantam par tiesībām veikt sertificētu un drošības prasībām atbilstīgu saimniecisko darbību savienības iekšējā zonā.
Paredzot Projekta subjektu šādu neaprobežotu rīcības brīvību Projekta 107.punktā iestrādāts instruments, kas nav piemērots mērķa sasniegšanai, pārsniedz saprātīgām drošības prasībām nepieciešamo un aizskar pamattiesības. Citiem vārdiem, tas nav samērīgs. Šāda norma no projekta ir izslēdzama a priori.
Projekta deleģējošie tiesību akti, t.sk., Kiberdrošības direktīva nepiešķir nacionālajam likumdevējam tiesības nepamatoti apgrūtināt vai ierobežot pamattiesību aizsardzības garantijas, t.sk., tiesībām veikt sertificētu saimniecisko darbību un pakalpojumu brīvu apriti Eiropas Savienības iekšējā zonā. Šāda Projekta punkta prasība ir pretrunā ar Pamattiesību Hartu, Kiberdrošības direktīvas t.sk., 143.apsvērumu, Satversmes 105.panta pirmajiem trijiem teikumiem, kurā konkretizētas tiesības uz īpašumu un saimniecisko darbību, kā arī LESD 49.pantam par tiesībām veikt sertificētu un drošības prasībām atbilstīgu saimniecisko darbību savienības iekšējā zonā.
Paredzot Projekta subjektu šādu neaprobežotu rīcības brīvību Projekta 107.punktā iestrādāts instruments, kas nav piemērots mērķa sasniegšanai, pārsniedz saprātīgām drošības prasībām nepieciešamo un aizskar pamattiesības. Citiem vārdiem, tas nav samērīgs. Šāda norma no projekta ir izslēdzama a priori.
Piedāvātā redakcija
-
4.
Noteikumu projekts
Iebildums
Projekta 109.punkts svītrojams no Projekta. Izslēgšanas pamatojumā ir fakts, ka minētais punkts bez likumdevēja deleģējuma iejaucas publisko iepirkumu regulējumā, Projektā paredzot normas, kas de facto nelabvēlīgi ietekmēs Asociācijas biedru un citu privātpersonu publisko iepirkumu procedūras rezultātā iegūtu ārpakalpojuma izpildes tiesības, kuru anulēšanas vai izbeigšanas kārtību regulē citi tiesību akti.
Ārpakalpojuma tiesiskās attiecības, kas nonāks šo punktu tvērumā, tiks slēgtas starp, t.sk., Asociācijas biedriem, kas kritiskās infrastruktūras subjektiem un būtisko pakalpojumu sniedzējiem piegādā, t.sk., medicīnas tehnoloģijas un citas iekārtas, kuru funkcionalitāte nav saistīta ar IKT. Ņemot vērā apstākli, ka kritiskās infrastruktūras subjekti un būtisko pakalpojumu sniedzēji visbiežāk ir publiskas kapitālsabiedrības, ikvienu ārpakalpojumu noslēgšanas līgumu tiesību iegūšana organizējama publisko iepirkumu procesā, kuros, t.sk., Asociācijas biedri tiek pakļauti kompleksu prasību izpildes atbilstīgumam, t.sk., arī prasībām atbilst visiem un ikvieniem fundamentāliem kiberdrošības noteikumiem. Paredzēt kritiskās infrastruktūras subjektam vai būtisko pakalpojumu sniedzējam tiesības neaprobežoti ierobežot pamattiesības, proti, vienpusēji, iespējams, negodprātīgu interešu nolūkā izbeigt publiskā iepirkumā iegūtas tiesības pildīt līgumu ir nesamērīgi, kaut vai tāpēc, ka neviens likumdevējs nav pilnvarojis AM paplašināt publiskos iepirkumos iegūtu līgumu izbeigšanas pamatu un šāda izbeigšana jau iestrādāta civiltiesisko attiecību noregulējumā.
Līdz ar to, Projekta 109.punkts svītrojams no Projekta, jo tam acīmredzami nav pienācīga pamatojuma, tas būtiski pārsniedz to, kas ir nepieciešams kiberdrošības prasību noteikšanā, un ierobežo personu pamattiesības pildīt publisko iepirkumu ceļā iegūtus civiltiesiskus līgumus.
Ārpakalpojuma tiesiskās attiecības, kas nonāks šo punktu tvērumā, tiks slēgtas starp, t.sk., Asociācijas biedriem, kas kritiskās infrastruktūras subjektiem un būtisko pakalpojumu sniedzējiem piegādā, t.sk., medicīnas tehnoloģijas un citas iekārtas, kuru funkcionalitāte nav saistīta ar IKT. Ņemot vērā apstākli, ka kritiskās infrastruktūras subjekti un būtisko pakalpojumu sniedzēji visbiežāk ir publiskas kapitālsabiedrības, ikvienu ārpakalpojumu noslēgšanas līgumu tiesību iegūšana organizējama publisko iepirkumu procesā, kuros, t.sk., Asociācijas biedri tiek pakļauti kompleksu prasību izpildes atbilstīgumam, t.sk., arī prasībām atbilst visiem un ikvieniem fundamentāliem kiberdrošības noteikumiem. Paredzēt kritiskās infrastruktūras subjektam vai būtisko pakalpojumu sniedzējam tiesības neaprobežoti ierobežot pamattiesības, proti, vienpusēji, iespējams, negodprātīgu interešu nolūkā izbeigt publiskā iepirkumā iegūtas tiesības pildīt līgumu ir nesamērīgi, kaut vai tāpēc, ka neviens likumdevējs nav pilnvarojis AM paplašināt publiskos iepirkumos iegūtu līgumu izbeigšanas pamatu un šāda izbeigšana jau iestrādāta civiltiesisko attiecību noregulējumā.
Līdz ar to, Projekta 109.punkts svītrojams no Projekta, jo tam acīmredzami nav pienācīga pamatojuma, tas būtiski pārsniedz to, kas ir nepieciešams kiberdrošības prasību noteikšanā, un ierobežo personu pamattiesības pildīt publisko iepirkumu ceļā iegūtus civiltiesiskus līgumus.
Piedāvātā redakcija
-