Atzinums

Tieslietu ministrijā ir izskatīts Aizsardzības ministrijas sagatavotais Ministru kabineta noteikumu projekts “Par centralizētu aizsardzību pret pakalpojumatteices kiberuzbrukumiem” (turpmāk – projekts) un par to izsakām šādus iebildumus.
Projekta nosaukumu nepieciešams veidot atbilstoši Ministru kabineta 2009. gada 3. februāra noteikumu Nr.108 “Normatīvo aktu projektu sagatavošanas noteikumi” (turpmāk – noteikumi Nr.108) 90., 91. un 92. punktā noteiktajam, proti, nosaukums jāveido iespējami īss un atbilstošs likumā noteiktajam pilnvarojumam (nosaukumā pilnvarojums nav jākopē), un atbilstošs noteikumu Nr.108 91. punktam. Savukārt ar vārdiem “noteikumi par” nosaukumu uzsāk, ja nav iespējams izveidot stilistiski pareizu noteikumu projekta nosaukumu. Savukārt nosaukuma pirmais vārds “Par …” ir likumos, nevis Ministru kabineta noteikumos. Šajā gadījumā nav problemātiski izveidot korektu un likuma pilnvarojumam atbilstošu projekta nosaukumu, piemēram, “Pakalpojumatteices kiberuzbrukumu centralizētas aizsardzības noteikumi”.
 

-

Projekta 1. punktu saskaņā ar noteikumu Nr.108 100.2. apakšpunktu nepieciešams izteikt precīzi atbilstoši Nacionālās kiberdrošības likuma (turpmāk – likums) 31. pantā noteiktajiem pilnvarojumiem, proti, ja likumā pilnvarojums ir izteikts ar četriem punktiem, arī projektā to nepieciešams izteikt analoģiski. Projekta 1. punktā faktiski šobrīd nav iekļauts likuma 31. panta 3. punktā esošais pilnvarojums noteikt kārtību, kādā tiek izvērtēta informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursu atbilstība šā panta 2. punktā minētajiem kritērijiem. Likuma 31. panta 3. punkts paredz noteikt izvērtēšanas kārtību, kas projekta 1. punktā netiek minēta, turklāt projekta 1. punkta apakšpunktos korekti jāraksta vārdkopa “centralizēti aizsargājamo resursu saraksts” un atšķirīgs tās pieraksta veids pieļaujams, ja projektā būs atrunāts vārdkopas saīsinājums.
 

-

Projekta 4.2. apakšpunktu piedāvājam izvērtēt un svītrot vai projektu precizēt, vienlaikus sniedzot par to skaidrojumu projekta anotācijā. Vēršam uzmanību, ka atbilstoši likuma 7. panta 1. punktam informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra un attiecīgi arī tās īpašnieki un tiesiskie valdītāji ir Satversmes aizsardzības biroja uzraudzībā par visu likumā noteikto pienākumu izpildi. Vienlaikus likuma 24. pantā ir atsevišķs regulējums par informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru un drošības prasībām tai, likumā arī atsevišķi tiek noteikti pieņemto lēmumu apstrīdēšanas nosacījumi. Savukārt projektā Satversmes aizsardzības birojam nekāda kompetence, izņemot dalību komisijā, netiek paredzēta. Ievērojot minēto, projektu nepieciešams atbilstoši precizēt un projekta anotācijā par pakalpojumatteices kiberuzbrukumu centralizētas aizsardzības sistēmu informācijas un komunikācijas tehnoloģiju kritiskajai infrastruktūrai sniegt atbilstošu skaidrojumu.
 

-

Projekta 9. punktā vārdus un skaitļus “Šo noteikumu 6.2. - 6.4. apakšpunktā minētie” piedāvājam aizstāt ar vārdiem “Starpinstitūciju komisijas”. Papildus norādām, ka koleģiālā konsultatīvā institūcijā dažādas informācijas izvērtēšanā un lēmumu pieņemšanā visiem tās locekļiem ir vienādas tiesības un pienākumi, tādēļ arī atzinumi būtu jāsagatavo visu komisijas darbā iesaistīto institūciju pārstāvjiem. Papildus piedāvājam izvērtēt projekta 9. punktā paredzēto lēmumu pieņemšanas procedūru un to savstarpēji saskaņot ar projekta 6. punkta ievaddaļā paredzēto, ka resursus izvērtē un apstiprina starpinstitūciju komisija. Ņemot vērā, ka atbilstoši likumā noteiktajam lēmumi par privātpersonām būs administratīvie akti, projekts jāveido tādējādi, kad lēmuma pieņēmējs – valsts institūcija tiek noteikts precīzi ar atbilstošu lēmuma pieņemšanas procedūru.

-

Projekta 10. punktu par līguma slēgšanu nepieciešams svītrot, jo likuma pilnvarojums to neparedz. Vēršam uzmanību, ka līgums ir divpusējs saistošs dokuments, kas nosaka pušu tiesības un pienākumus. Valsts institūcija nav tiesīga nodrošināt privātpersonu drošību pamatojoties uz līgumu.

-

Projekta 11. punktu par resursu izslēgšanu no pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu saraksta nepieciešams precizēt vai svītrot, jo likuma pilnvarojums neparedz izslēgšanas regulējuma veidošanu projektā, turklāt šāda norma nav juridiski korekta, jo balsojums ir procesuāla darbība, nevis formāls iemesls negatīvai rīcībai. Vēršam uzmanību, ka izslēgšanas pamatojums varētu būt neatbilstība projekta 4. vai 5. punktā paredzētajiem kritērijiem.

-

Projekta 13. punktu un attiecīgi visu projekta IV nodaļu par pakalpojuma saņēmēja tiesībām un pienākumiem nepieciešams precizēt vai svītrot, jo likuma pilnvarojums neparedz šāda regulējuma veidošanu projektā. Vēršam uzmanību, ka projektā kā kritēriju var paredzēt aktīvu darbību, lai resurss tiktu iekļauts pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu sarakstā un attiecīgi neaktīva rīcība būs kā izslēdzošs apstāklis.
 

-