Projekta ID
22-TA-3183Atzinuma sniedzējs
SIA "BITE Latvija"
Atzinums iesniegts
09.04.2025.
Saskaņošanas rezultāts
Saskaņots ar priekšlikumiem
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Priekšlikums
Mūsuprāt, kiberdrošības prasības nebūtu attiecināmas uz t.s. piekļuves tīkla aparatūru (tās ir tehniskās ierīces un iekārtas, kas nodrošina gala iekārtu pieslēgumu elektronisko sakaru tīklam un datu pārraidi starp lietotāju un pakalpojumu sniedzēja infrastruktūru). Tādi kā maršrutētāji (kuri ir uzstādīti pēdējā jūdzē un kas nodrošina datu plūsmu starp gala ierīcēm un tīklu), komutatori (savieno vairākas ierīces vietējā tīklā (LAN) un efektīvi pārvalda datu plūsmu), pieejas punkti (nodrošina bezvadu savienojumu Wi-Fi tīklā), modemi (pārveido signālus, lai savienotu lietotāja ierīces ar interneta pakalpojumu sniedzēju), optiskie tīkla termināļi (tiek izmantoti optiskajos tīklos (piemēram, FTTH – Fiber to the Home), lai pārveidotu optisko signālu par elektronisku signālu gala iekārtām), utmldz.
Piekļuves tīkla aparatūra nav primārais mērķis kiberdrošības uzbrukumiem, un tai jau tiek piemēroti vispārējie tīkla drošības pasākumi. Stingrākas kiberdrošības prasības šajā līmenī būtu neefektīvas, birokrātiskas un ekonomiski nepamatotas. Tāpēc ir loģiskāk koncentrēties uz kiberdrošību attiecībā uz kristisko infrastruktūru un tās sastāvdaļām.
Lai nav nekādu pārpratumu MK noteikumu piemērošanā un lai izvairītos no regulējuma, kas praksē nav īstenojams un rada nesamērīgu slogu komersantiem, vienlaikus nesniedzot būtisku ieguldījumu kiberdrošības stiprināšanā, aicinām papildināt 2.punktu “Noteikumos lietotie termini” ar jaunu definīciju "piekļuves tīkla aparatūra".
Piekļuves tīkla aparatūra nav primārais mērķis kiberdrošības uzbrukumiem, un tai jau tiek piemēroti vispārējie tīkla drošības pasākumi. Stingrākas kiberdrošības prasības šajā līmenī būtu neefektīvas, birokrātiskas un ekonomiski nepamatotas. Tāpēc ir loģiskāk koncentrēties uz kiberdrošību attiecībā uz kristisko infrastruktūru un tās sastāvdaļām.
Lai nav nekādu pārpratumu MK noteikumu piemērošanā un lai izvairītos no regulējuma, kas praksē nav īstenojams un rada nesamērīgu slogu komersantiem, vienlaikus nesniedzot būtisku ieguldījumu kiberdrošības stiprināšanā, aicinām papildināt 2.punktu “Noteikumos lietotie termini” ar jaunu definīciju "piekļuves tīkla aparatūra".
Piedāvātā redakcija
Papildināt 2.punktu “Noteikumos lietotie termini” ar šādu definīciju:
2.18. piekļuves tīkla aparatūra – elektronisko sakaru tīkla fiziskās iekārtas un tehniskie risinājumi (tostarp aktīvie un pasīvie elementi), kas nodrošina galalietotāja pieslēguma punktu savienojumu ar elektronisko sakaru pakalpojumu sniedzēja pamattīklu, neietverot datu apstrādes, glabāšanas vai kritisku sistēmu kontroles funkcijas.
2.18. piekļuves tīkla aparatūra – elektronisko sakaru tīkla fiziskās iekārtas un tehniskie risinājumi (tostarp aktīvie un pasīvie elementi), kas nodrošina galalietotāja pieslēguma punktu savienojumu ar elektronisko sakaru pakalpojumu sniedzēja pamattīklu, neietverot datu apstrādes, glabāšanas vai kritisku sistēmu kontroles funkcijas.
2.
Noteikumu projekts
Priekšlikums
Šī brīža redakcija nosaka uz ko noteikumi neattiecas, izņemot gadījumus, ja gala iekārta ir publiskā elektronisko sakaru tīkla īpašnieka īpašums, kas nodota klienta vai galalietotāja lietošanā.
Proti, no šī brīža redakcijas secināms (pielietojot, gramatisko un sistēmisko tulkošanas metodi), ka minimālās kiberdrošības prasības attiecas uz visām publisko elektronisko sakaru tīklu gala iekārtām, ja tās ir komersanta īpašumā un nodotas klienta vai galalietotāja lietošanā.
Atbilstoši Elektronisko sakaru likuma 1.panta pirmās daļas 23.punktam galiekārta ir iekārta, kas paredzēta pieslēgšanai publiskā elektronisko sakaru tīkla pieslēguma punktam jeb jebkura ierīce, kas pieslēdzas publiskajam elektronisko sakaru tīklam, lai nodrošinātu elektronisko sakaru pakalpojumu lietošanu. Šāda iekārta var būt, piemēram: mobilais tālrunis, dators ar interneta pieslēgumu, maršrutētājs (router), viedierīces (piemēram, viedpulkstenis ar SIM karti), fiksētā tālruņa aparāts.
Tātad, ja klients iegādājās rūteri/ mobilo tālruni utmldz. gala iekārtu savā īpašumā, tad kiberdrošības noteikumi uz viņu nav attiecināmi. Taču, ja to pašu iekārtu komersants ir nodevis klientam lietošanā (patapinājumā vai nomā), tad šajā gadījumā uz iekārtu tiks attiecinātas visas kiberdrošības prasības (kas ir absurdi).
Mūsu ieskatā šāda prasība ir nepamatota un praktiski neizpildāma, jo:
- nav saistības ar kiberdrošību – gala iekārtas, kas tiek nodotas klientiem, nav kritiska publisko elektronisko sakaru tīklu infrastruktūras daļa. To tehniskie risinājumi un drošības pārvaldība nav komersantu kontrolē tādā apjomā, lai nodrošinātu pilnīgu atbilstību kiberdrošības prasībām;
- praktiski neīstenojama prasība – nevienam komersantam nebūs iespējams nodrošināt, ka pilnīgi visas gala iekārtas, kas ir tā īpašumā un tiek nodotas lietošanā klientiem, atbilst noteiktajām kiberdrošības prasībām. Tā būtu nesamērīga administratīvā un finansiālā slodze bez reāla ieguvuma kiberdrošībai;
- atšķirīga pieeja no NIS2 direktīvas – šāda prasība pārsniedz NIS2 direktīvas prasības, kas galvenokārt attiecas uz būtisko un svarīgo pakalpojumu sniedzēju tīklu un informācijas sistēmu aizsardzību, nevis gala iekārtām, kas nonāk patērētāju rīcībā.
Mūsuprāt, tas praksē nav īstenojams un rada nesamērīgu slogu komersantiem, vienlaikus nesniedzot būtisku ieguldījumu kiberdrošības stiprināšanā, līdz ar to aicinām precizēt 5.3.punktu, svītrojot ārā “[...] izņemot gadījumus, ja gala iekārta ir publiskā elektronisko sakaru tīkla īpašnieka īpašums, kas nodota klienta vai galalietotāja lietošanā” (jo MK noteikumu projekts skaidri atruna, kas uzskatāms par tīkla kritisko infrastruktūru un uz ko tiešām vajag attiecināt kiberdrošības prasības).
Tāpat, mūsuprāt, kiberdrošības prasības nebūtu attiecināmas uz t.s. piekļuves tīkla aparatūru (tās ir tehniskās ierīces un iekārtas, kas nodrošina gala iekārtu pieslēgumu elektronisko sakaru tīklam un datu pārraidi starp lietotāju un pakalpojumu sniedzēja infrastruktūru). Tādi kā maršrutētāji (kuri ir uzstādīti pēdējā jūdzē un kas nodrošina datu plūsmu starp gala ierīcēm un tīklu), komutatori (savieno vairākas ierīces vietējā tīklā (LAN) un efektīvi pārvalda datu plūsmu), pieejas punkti (nodrošina bezvadu savienojumu Wi-Fi tīklā), modemi (pārveido signālus, lai savienotu lietotāja ierīces ar interneta pakalpojumu sniedzēju), optiskie tīkla termināļi (tiek izmantoti optiskajos tīklos (piemēram, FTTH – Fiber to the Home), lai pārveidotu optisko signālu par elektronisku signālu gala iekārtām), utmldz.
Piekļuves tīkla aparatūra nav primārais mērķis kiberdrošības uzbrukumiem, un tai jau tiek piemēroti vispārējie tīkla drošības pasākumi. Stingrākas kiberdrošības prasības šajā līmenī būtu neefektīvas, birokrātiskas un ekonomiski nepamatotas. Tāpēc ir loģiskāk koncentrēties uz kiberdrošību attiecībā uz kristisko infrastruktūru un tās sastāvdaļām.
Proti, no šī brīža redakcijas secināms (pielietojot, gramatisko un sistēmisko tulkošanas metodi), ka minimālās kiberdrošības prasības attiecas uz visām publisko elektronisko sakaru tīklu gala iekārtām, ja tās ir komersanta īpašumā un nodotas klienta vai galalietotāja lietošanā.
Atbilstoši Elektronisko sakaru likuma 1.panta pirmās daļas 23.punktam galiekārta ir iekārta, kas paredzēta pieslēgšanai publiskā elektronisko sakaru tīkla pieslēguma punktam jeb jebkura ierīce, kas pieslēdzas publiskajam elektronisko sakaru tīklam, lai nodrošinātu elektronisko sakaru pakalpojumu lietošanu. Šāda iekārta var būt, piemēram: mobilais tālrunis, dators ar interneta pieslēgumu, maršrutētājs (router), viedierīces (piemēram, viedpulkstenis ar SIM karti), fiksētā tālruņa aparāts.
Tātad, ja klients iegādājās rūteri/ mobilo tālruni utmldz. gala iekārtu savā īpašumā, tad kiberdrošības noteikumi uz viņu nav attiecināmi. Taču, ja to pašu iekārtu komersants ir nodevis klientam lietošanā (patapinājumā vai nomā), tad šajā gadījumā uz iekārtu tiks attiecinātas visas kiberdrošības prasības (kas ir absurdi).
Mūsu ieskatā šāda prasība ir nepamatota un praktiski neizpildāma, jo:
- nav saistības ar kiberdrošību – gala iekārtas, kas tiek nodotas klientiem, nav kritiska publisko elektronisko sakaru tīklu infrastruktūras daļa. To tehniskie risinājumi un drošības pārvaldība nav komersantu kontrolē tādā apjomā, lai nodrošinātu pilnīgu atbilstību kiberdrošības prasībām;
- praktiski neīstenojama prasība – nevienam komersantam nebūs iespējams nodrošināt, ka pilnīgi visas gala iekārtas, kas ir tā īpašumā un tiek nodotas lietošanā klientiem, atbilst noteiktajām kiberdrošības prasībām. Tā būtu nesamērīga administratīvā un finansiālā slodze bez reāla ieguvuma kiberdrošībai;
- atšķirīga pieeja no NIS2 direktīvas – šāda prasība pārsniedz NIS2 direktīvas prasības, kas galvenokārt attiecas uz būtisko un svarīgo pakalpojumu sniedzēju tīklu un informācijas sistēmu aizsardzību, nevis gala iekārtām, kas nonāk patērētāju rīcībā.
Mūsuprāt, tas praksē nav īstenojams un rada nesamērīgu slogu komersantiem, vienlaikus nesniedzot būtisku ieguldījumu kiberdrošības stiprināšanā, līdz ar to aicinām precizēt 5.3.punktu, svītrojot ārā “[...] izņemot gadījumus, ja gala iekārta ir publiskā elektronisko sakaru tīkla īpašnieka īpašums, kas nodota klienta vai galalietotāja lietošanā” (jo MK noteikumu projekts skaidri atruna, kas uzskatāms par tīkla kritisko infrastruktūru un uz ko tiešām vajag attiecināt kiberdrošības prasības).
Tāpat, mūsuprāt, kiberdrošības prasības nebūtu attiecināmas uz t.s. piekļuves tīkla aparatūru (tās ir tehniskās ierīces un iekārtas, kas nodrošina gala iekārtu pieslēgumu elektronisko sakaru tīklam un datu pārraidi starp lietotāju un pakalpojumu sniedzēja infrastruktūru). Tādi kā maršrutētāji (kuri ir uzstādīti pēdējā jūdzē un kas nodrošina datu plūsmu starp gala ierīcēm un tīklu), komutatori (savieno vairākas ierīces vietējā tīklā (LAN) un efektīvi pārvalda datu plūsmu), pieejas punkti (nodrošina bezvadu savienojumu Wi-Fi tīklā), modemi (pārveido signālus, lai savienotu lietotāja ierīces ar interneta pakalpojumu sniedzēju), optiskie tīkla termināļi (tiek izmantoti optiskajos tīklos (piemēram, FTTH – Fiber to the Home), lai pārveidotu optisko signālu par elektronisku signālu gala iekārtām), utmldz.
Piekļuves tīkla aparatūra nav primārais mērķis kiberdrošības uzbrukumiem, un tai jau tiek piemēroti vispārējie tīkla drošības pasākumi. Stingrākas kiberdrošības prasības šajā līmenī būtu neefektīvas, birokrātiskas un ekonomiski nepamatotas. Tāpēc ir loģiskāk koncentrēties uz kiberdrošību attiecībā uz kristisko infrastruktūru un tās sastāvdaļām.
Piedāvātā redakcija
Papildināt 5.3.punktu, izsakot to sekojošā redakcijā:
5. Noteikumi neattiecas uz:
5.1. kabeļtelevīzijas tīkliem;
5.2. publiskajos elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija;
5.3. publisko elektronisko sakaru tīklu gala iekārtām pie klienta un citām galalietotāja iekārtām;
5.4. piekļuves tīkla aparatūru;
5.5. tālākpārdošanai paredzētajiem tehniskajiem resursiem.
5. Noteikumi neattiecas uz:
5.1. kabeļtelevīzijas tīkliem;
5.2. publiskajos elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija;
5.3. publisko elektronisko sakaru tīklu gala iekārtām pie klienta un citām galalietotāja iekārtām;
5.4. piekļuves tīkla aparatūru;
5.5. tālākpārdošanai paredzētajiem tehniskajiem resursiem.
3.
Noteikumu projekts
Priekšlikums
Pamatojoties uz Ministru kabineta noteikumu Nr. 22-TA-3183 “Minimālās kiberdrošības prasības” 60. punktu, kas nosaka pienākumu fiksēt tīkla plūsmas žurnālfailos virkni tehniskas informācijas, vēršam uzmanību uz praktiskiem un samērīguma aspektiem attiecībā uz datu apjomu, glabāšanas izmaksām un reālo pievienoto vērtību kiberdrošības kontekstā.
Esošā redakcija nosaka plaša tīkla plūsmas informācijas tvēruma fiksēšanu bez pietiekamas norādes uz to, uz kādām sistēmām šī prasība būtu attiecināma. Ņemot vērā, ka datu plūsma caur publisko elektronisko sakaru tīklu kritiskajām pamattīkla iekārtām iekļauj arī klientu ģenerēto datu apjomu, šāda prasība faktiski nozīmē nepieciešamību apstrādāt un ilgstoši uzglabāt milzīgu datu daudzumu, kas būtiski pārsniedz reāli kiberdrošībai nepieciešamo informāciju.
Šāds regulējums rada vairākas būtiskas problēmas:
Nepamatoti liels datu apjoms, jo tiek reģistrēta arī klientu datu plūsma, kas nav tieši saistīta ar kiberdrošības risku uzraudzību attiecībā uz A, B, C klases sistēmām vai kritiskās infrastruktūras (KI) tīkla daļām.
Augstas izmaksas, kas saistītas ar datu apstrādes resursiem, žurnālfailu glabāšanu un arhivēšanu. Datu glabāšana šādā apjomā nozīmē nesamērīgu infrastruktūras slogu, īpaši vidējiem un mazākiem tirgus dalībniekiem.
Zema praktiskā lietderība, jo iegūto žurnālfailu analīze kļūst apgrūtināta lielā datu apjomā, kas sarežģī reālu kiberdrošības incidentu identificēšanu un izmeklēšanu.
Ņemot vērā iepriekš minēto, priekšlikums ir precizēt 60. punktu, paredzot, ka tīkla plūsmas žurnālfailos informācija tiek fiksēta tikai attiecībā uz datu nosūtīšanas vai saņemšanas notikumiem, kur datu sūtītājs vai saņēmējs ir sistēma vai tīkla daļa, kas iekļauta 57. punktā norādītajā tvērumā.
Šāda redakcija ļautu sasniegt noteikumu mērķi – nodrošināt uzraudzību un notikumu analīzi kritiskajās kiberdrošības jomās – vienlaikus ievērojot samērīguma principu, optimizējot izmaksas un resursu patēriņu, kā arī uzlabojot operatīvu notikumu apstrādi.
Esošā redakcija nosaka plaša tīkla plūsmas informācijas tvēruma fiksēšanu bez pietiekamas norādes uz to, uz kādām sistēmām šī prasība būtu attiecināma. Ņemot vērā, ka datu plūsma caur publisko elektronisko sakaru tīklu kritiskajām pamattīkla iekārtām iekļauj arī klientu ģenerēto datu apjomu, šāda prasība faktiski nozīmē nepieciešamību apstrādāt un ilgstoši uzglabāt milzīgu datu daudzumu, kas būtiski pārsniedz reāli kiberdrošībai nepieciešamo informāciju.
Šāds regulējums rada vairākas būtiskas problēmas:
Nepamatoti liels datu apjoms, jo tiek reģistrēta arī klientu datu plūsma, kas nav tieši saistīta ar kiberdrošības risku uzraudzību attiecībā uz A, B, C klases sistēmām vai kritiskās infrastruktūras (KI) tīkla daļām.
Augstas izmaksas, kas saistītas ar datu apstrādes resursiem, žurnālfailu glabāšanu un arhivēšanu. Datu glabāšana šādā apjomā nozīmē nesamērīgu infrastruktūras slogu, īpaši vidējiem un mazākiem tirgus dalībniekiem.
Zema praktiskā lietderība, jo iegūto žurnālfailu analīze kļūst apgrūtināta lielā datu apjomā, kas sarežģī reālu kiberdrošības incidentu identificēšanu un izmeklēšanu.
Ņemot vērā iepriekš minēto, priekšlikums ir precizēt 60. punktu, paredzot, ka tīkla plūsmas žurnālfailos informācija tiek fiksēta tikai attiecībā uz datu nosūtīšanas vai saņemšanas notikumiem, kur datu sūtītājs vai saņēmējs ir sistēma vai tīkla daļa, kas iekļauta 57. punktā norādītajā tvērumā.
Šāda redakcija ļautu sasniegt noteikumu mērķi – nodrošināt uzraudzību un notikumu analīzi kritiskajās kiberdrošības jomās – vienlaikus ievērojot samērīguma principu, optimizējot izmaksas un resursu patēriņu, kā arī uzlabojot operatīvu notikumu apstrādi.
Piedāvātā redakcija
Precizēt MK noteikumu 60.punktu, izsakot to sekojošā redakcijā:
60. Tīkla plūsmas žurnālfailos fiksē informāciju par datu nosūtīšanas un saņemšanas notikumiem, ja datu sūtītājs vai saņēmējs ir sistēma vai tīkla daļa, kas ietilpst šī regulējuma 57.punktā norādītajā tvērumā. Šādos gadījumos žurnālfailos fiksē vismaz šādu informāciju:
60.1. notikuma laiku, kas sinhronizēts ar augstas precizitātes tīkla laika protokola (NTP) serveri;
60.2. datu nosūtītāja (avota) un saņēmēja (galamērķa) IP adreses;
60.3. avota un galamērķa izmantotos tīkla aplikācijas līmeņa protokolus (piemēram, HTTP, HTTPS, FTP);
60.4. ja attiecināms, avota unikālo identifikatoru (MAC adrese);
60.5. izmantoto tīkla transporta protokolu (piemēram, TCP, UDP);
60.6. pārsūtīto datu apjomu.
60. Tīkla plūsmas žurnālfailos fiksē informāciju par datu nosūtīšanas un saņemšanas notikumiem, ja datu sūtītājs vai saņēmējs ir sistēma vai tīkla daļa, kas ietilpst šī regulējuma 57.punktā norādītajā tvērumā. Šādos gadījumos žurnālfailos fiksē vismaz šādu informāciju:
60.1. notikuma laiku, kas sinhronizēts ar augstas precizitātes tīkla laika protokola (NTP) serveri;
60.2. datu nosūtītāja (avota) un saņēmēja (galamērķa) IP adreses;
60.3. avota un galamērķa izmantotos tīkla aplikācijas līmeņa protokolus (piemēram, HTTP, HTTPS, FTP);
60.4. ja attiecināms, avota unikālo identifikatoru (MAC adrese);
60.5. izmantoto tīkla transporta protokolu (piemēram, TCP, UDP);
60.6. pārsūtīto datu apjomu.