Atzinums

Noteikumu projekta 12. punkts paredz, ka kompetentās institūcijas desmit darba dienu laikā no projekta iesnieguma saņemšanas sniedz Mākslīgā intelekta centram (turpmāk – Centram) atzinumu par projekta iesniegumu. Rosinām Centram attīstīt spējas patstāvīgi veikt projektu izvērtējumu, attiecīgi to paredzot Centra nolikumā. Nepieciešamības gadījumā AiM savas kompetences ietvaros var sniegt konsultatīvu atbalstu kiberdrošības jautājumos. Aicinām Centru izvērtēt iespēju šādiem vērtējumiem piesaistīt ekspertus no akadēmiskā un privātā sektora. Vēršam uzmanību, ka regulatīvajā vidē nenonāk tirgus produkti, bet gan eksperimentāli projekti, tāpēc ir jārada skaidri un konkrēti priekšnoteikumi, kritēriji un dimensijas, pēc kuriem tie tiktu vērtēti. No kiberdrošības kompetences perspektīvas nevaram atbalstīt, ka AiM kā kompetentajai institūcijai desmit darba dienu laikā no projekta iesnieguma saņemšanas ir jāsniedz Centram atzinums par projekta iesniegumu, ņemot vērā, ka nav noteikti šie konkrētie vērtēšanas kritēriji/dimensijas. Turklāt jāņem vērā, ka šādi projekti var būt apjomīgi un to izvērtēšanu no kiberdrošības viedokļa ne vienmēr būs iespējams paveikt desmit dienu laikā. Norādām, ka AiM Kiberdrošības politikas departaments var nodrošināt tikai kiberdrošības aspektu izvērtējumu projektu pieteikumos, nevis vērtēt pieteikumus pēc būtības. Papildus, vēršam uzmanību, ka izvērtējot kiberdrošības prasību atbilstību, AiM to var veikt tikai tiktāl, cik tas ir Nacionālās kiberdrošības likuma un Ministru kabineta 2025. gada 25. jūnija noteikumu Nr. 397 “Minimālās kiberdrošības prasības” tvēruma ietvaros. Tāpat norādām, ka projektu konkursu gadījumā, kā paredzēts Centra likumā, katrā gadījumā atsevišķi ir jāveido nolikums, kurā tiktu definēts, vai AiM eksperts iesaistās vērtēšanas komisijā (atbilstoši izskatāmajiem aspektiem).
Ņemot vērā minēto, aicinām svītrot noteikuma projekta 12. punktu vai mainīt tā redakciju, paredzot, ka kārtība kādā kompetentās institūcijas sniedz atzinumus, t.sk. termiņi un kompetento institūciju sniedzamā informācija, tiek atrunāta noteikumu projekta 6. punktā minētajā iesniegumu atlases nolikumā, kas pirms apstiprināšanas tiek saskaņots ar kompetentajām institūcijām.

-

Noteikumu projekta anotācijas Risinājuma apraksta sadaļas 1. punktā noteikts: “Lai nodrošinātu Regulatīvās vides darbību, CSP var izmantot arī ārpakalpojumus, piem., Rīgas Tehnisko universitāti, Latvijas universitātes Matemātikas un informātikas institūtu. Šajā gadījumā savu izvērtējumu par attiecīgo pakalpojumu izvērtēšanu sniedz CERT.”
Vēršam uzmanību uz to, ka noteikumu projekta anotācijā ir nekorekti norādīts, ka Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (turpmāk – CERT) sniedz izvērtējumu par ārpakalpojumiem. Šāds anotācijā ietvertais papildinājums nav ticis pārrunāts ar CERT, tāpat šāda funkcija arī nav iekļauta CERT pienākumos, kas noteikti Nacionālajā kiberdrošības likumā, līdz ar to lūdzam to svītrot. Tāpat lūdzam svītrot atsauci uz CERT noteikumu projekta anotācijas sadaļā “Projekta izpildes ietekme uz pārvaldes funkcijām un institucionālo struktūru.”

-

Lūdzam izvērtēt, vai noteikumu projekta 22.2. apakšpunkts nedublē Ministru kabineta 2025. gada 25. jūnija noteikumos Nr. 397 “Minimālās kiberdrošības prasības” ietvertās prasības un attiecīgi, vai neveidojas pretrunas starp abiem tiesību aktiem.

-

Noteikumu projekta anotācijas Risinājuma apraksta sadaļas 1. punktā noteikts: “Noteikumu projekts, ka CSP ikgadēji veic savā pārziņā esošā tehnoloģiskā risinājuma drošības pārbaudi. Lai nodrošinātu efektīvu un kompetentu institūciju un speciālistu iesaisti attiecīgās pārbaudes veikšanai CSP var izmantot, piemēram,  Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (turpmāk – CERT) sniegtos pakalpojumus.”
Ierosinām punktu papildināt ar nosacījumu, ka primāri pārbaudi veic CSP pašu spēkiem, kā arī norādīt, ka CERT pakalpojumi nav domāti subjektu atbilstības nodrošināšanai, t.i. CERT pakalpojumu izmantošana sniedz papildus drošību un ielaušanās tests var būt kā papildus līdzeklis.

-