Atzinums

Atkārtoti lūdzam precizēt likumprojektu, paredzot, ka attiecībā uz valsts un pašvaldību iestādēm pieņemtie Nacionālā kiberdrošības centra, Satversmes aizsardzības biroja un kiberincidentu novēršanas institūcijas lēmumi (likumprojekta 29. panta desmitā daļa, 32. panta pirmā daļa un 40. panta pirmā daļa) nav administratīvie akti un attiecīgi pret valsts un pašvaldību iestādēm nevar veikt administratīvā akta piespiedu izpildi (likumprojekta 41. pants un Administratīvā procesa likuma D daļa), ņemot vērā to, ka valsts un pašvaldību iestādes nevar būt administratīvā akta adresāti. Vēršam uzmanību, ka vēsturiski administratīvais process attīstījies kā publiski tiesiskas attiecības starp privātpersonām un publisko tiesību subjektiem. Tādēļ tiesību doktrīnā atzīts, ka uz publisko tiesību juridiskajām personām pamatā nav attiecināma tiesas aizsardzība administratīvā procesa kārtībā. Šāda pārvaldes iekšējā tiesāšanās kaitē pārvaldes vienotības principam (Valsts pārvaldes iekārtas likuma 10. panta ceturtā daļa) (sk. Administratīvā procesa likuma komentāri. A un B daļa. Autoru kolektīvs Dr.iur. J. Briedes zinātniskajā redakcijā. - Rīga: Tiesu namu aģentūra, 2013, 387. lpp.).
Administratīvā procesa likuma 27. panta otrā daļa, kas paredz, ka publisko tiesību subjekts var būt administratīvā akta adresāts gadījumos, kad tas atrodas salīdzināmā situācijā ar privātpersonu un konkrētajā gadījumā ir pakļauts tādiem pašiem tiesību priekšrakstiem kā privātpersona, skatāms kopsakarā ar Administratīvā procesa likuma 31. panta trešo daļu, kas noteic, kādos gadījumos publisko tiesību juridiskā persona var būt pieteicējs tiesā. Tādējādi ir nepieciešams konstatēt, vai publisko tiesību subjekts atrodas salīdzināmā situācijā ar privātpersonu. Salīdzināmā situācija nozīmē, ka publisko tiesību juridiskā persona konkrētajā gadījumā pakļauta tādiem pašiem tiesību priekšrakstiem kā privātpersona jeb atrodas privātpersonai pielīdzināmā jeb aizsargājamā situācijā, respektīvi, tiek līdzīgā vai tādā pašā veidā aizskarta kā privātpersona, piemēram, finanšu jomā vai jautājumos, kas skar publisko tiesību subjekta īpašumu (sk. Administratīvā procesa likuma komentāri. A un B daļa. Autoru kolektīvs Dr.iur. J. Briedes zinātniskajā redakcijā. - Rīga: Tiesu namu aģentūra, 2013, 388. lpp.). Kiberdrošības pārvaldības jomā Latvijā tiek īstenots daļēji centralizēts pārvaldības modelis, kur vadošās iestādes plāno kiberdrošības Stratēģiju un koordinē un īsteno tajā paredzētos uzdevumus, katrai iestādei savas kompetences jautājumos nodrošinot paredzēto uzdevumu praktisku ieviešanu un izpildi. Nacionālās kiberdrošības pārvaldības pamatā ir savstarpējā sadarbība, kur, katrai valsts iestādei pildot savas funkcijas, tajā skaitā kibertelpā, tiek īstenota tieša sadarbība ar citām iestādēm un privāto sektoru vai sadarbība Nacionālās informācijas tehnoloģiju drošības padomē (sk. informatīvā ziņojuma "Latvijas kiberdrošības stratēģija 2019.–2022. gadam" 2.2. apakšnodaļu). Proti, no minētā izriet, ka kiberdrošības pārvaldība ir valsts funkcija, kuru īsteno dažādas valsts iestādes, kuru funkcijas un pienākumi uzskaitītas informatīvā ziņojuma "Latvijas kiberdrošības stratēģija 2019.-2022. gadam" 2.2. apakšnodaļā. Ievērojot minēto, Tieslietu ministrijas ieskatā, nav konstatējams, ka konkrētajā gadījumā publisko tiesību subjekts būtu salīdzināmā situācijā ar privātpersonām, jo likumprojektā paredzētajos gadījumos būtu konstatējams, ka iestādes nepienācīgi izpilda valsts pārvaldes funkcijas kiberdrošības pārvaldības jomā.
Likumprojektā paredzētie lēmumi (administratīvie akti) uzliek par pienākumu tā adresātiem veikt noteiktas darbības, kuru piespiedu izpildi var nodrošināt Administratīvā procesa likumā noteiktajā kārtībā un likumprojekta 40. panta pirmajā daļā paredzēto pienākumu izpildi var nodrošināt arī likumprojekta 41. pantā paredzētajā kārtībā, proti, ar piespiedu naudas palīdzību. Piespiedu naudas uzlikšanas mērķis ir panākt, ka administratīvā akta adresāts izpilda noteiktu darbību vai atturas no noteiktas darbības veikšanas. Saskaņā ar likumprojekta anotācijā noteikto uzraudzības vai izpildes panākšanas pasākumiem ir jābūt iedarbīgiem, samērīgiem un atturošiem. Vēršam uzmanību, ka valsts iestādēm nav pašām sava budžeta, jo tām tiek piešķirti valsts budžeta līdzekļi noteiktu valsts pārvaldes uzdevumu izpildei. Tādējādi jebkādu naudas sodu vai citu piespiedu maksājumu uzlikšana nesasniegs to mērķi, ņemot vērā to, ka šajā gadījumā piespiedu naudas apmaksa notiktu, pārskaitot valsts budžeta līdzekļus no viena Valsts kases konta citā Valsts kases kontā. Piespiedu naudas vai jebkāda cita piespiedu maksājuma noteikšana, lai panāktu, ka valsts un pašvaldību iestāde izpilda tām noteiktos pienākumus, nebūs iedarbīgs un atturošs pasākums.
Vienlaikus norādām, ka vairākas darbības, kuras paredzēts uzlikt par pienākumu veikt subjektiem, tostarp, valsts un pašvaldību iestādēm, var veikt Nacionālās kiberdrošības centrs, Satversmes aizsardzības birojs un kiberincidentu novēršanas institūcija. Tādējādi gadījumos, kad valsts un pašvaldību iestāde neveic tai noteiktos pienākumus, tos var veikt to vietā. Vienlaikus uzsveram, ka likumprojekta 40. panta ceturtā daļa paredz, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir tiesīgi veikt klātienes pārbaudes, tostarp, norīkot amatpersonas pārraudzīt, kā subjekts noteiktā laikposmā ievēro likumprojektā noteiktos pienākumus. Likumprojektā ietvertajam regulējumam ir jānodrošina noteikto pienākumu izpilde un pašmērķis nevar būt piespiedu maksājumu uzlikšana, kas attiecībā uz valsts un pašvaldību iestādēm nebūs efektīvs pienākumu izpildes mehānisms. Tādējādi, Tieslietu ministrijas ieskatā, ir nepieciešams paredzēt, ka gadījumā, kad valsts un pašvaldību iestādes nav izpildījušas tām uzlikto pienākumu noteiktā termiņā, Nacionālās kiberdrošības centrs, Satversmes aizsardzības birojs un kiberincidentu novēršanas institūcija attiecīgo pienākumu izpilda valsts un pašvaldību iestādes vietā vai norīko amatpersonu pārraudzīt, kā valsts un pašvaldību iestāde izpilda tai uzliktos pienākumus.

-

Lūdzam izvērtēt un nepieciešamības gadījumā precizēt likumprojekta 1. panta 3. punktā ietvertā termina definīciju, jo nav skaidrs, vai ar gandrīz notikušu kiberincidentu saprotams tāds notikums, kas varētu apdraudēt pakalpojuma sniegšanu vai radīt draudus informācijas sistēmas, datu pārraides tīkla vai datu konfidencialitātei, integritātei vai pieejamībai. Līdzīgi lūdzam izvērtēt un nepieciešamības gadījumā precizēt likumprojekta 1. panta 8. punktā ietvertā termina skaidrojumu, jo nav skaidrs, vai ar kiberdrošības incidentu saprotams notikums, kas apdraud pakalpojuma sniegšanu vai rada draudus informācijas sistēmas, datu pārraides tīkla vai datu konfidencialitātei, integritātei vai pieejamībai. Proti, nav skaidrs, kā varētu izpausties datu apdraudējums.
Vēršam uzmanību, ka saskaņā ar Līguma par Eiropas Savienības darbību 288. panta trešo daļu direktīvas tām dalībvalstīm, kurām tās adresētas, uzliek saistības attiecībā uz sasniedzamo rezultātu, bet ļauj šo valstu varasiestādēm noteikt to īstenošanas formas un metodes. Līdz ar to Eiropas Savienības dirketīvu normas pārņemamas, ievērojot arī nacionālās tiesību sistēmas prasības.
Turklāt lūdzam, definējot minētos terminus, ņemt vērā arī atšķirības Eiropas Parlamenta un Padomes 2022. gada 14. decembra direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (turpmāk - direktīva Nr. 2022/2555) angļu un latviešu valodas versijās uz korespondējošajiem minēto terminu skaidrojumiem.
 

-

Lūdzam likumprojekta 1. panta 6. un 7. punktā nepārrakstīt Eiropas Parlamenta un Padomes 2019. gada 17. aprīļa Regulā (ES) 2019/881 par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) 526/2013 (Kiberdrošības akts) lietoto terminu skaidrojumus, bet paredzēt, ka attiecīgie likumprojektā lietotie termini tiek saprasti minēto regulu attiecīgo vienību izpratnē, vai alternatīvi - skaidrot tos likumā līdzīgā veidā kā likumprojekta 1. panta 21. punktā paredzēto terminu.

-

Saskaņā ar Līguma par Eiropas Savienības darbību 288. panta trešo daļu direktīvas dalībvalstīm uzliek saistības attiecībā uz sasniedzamo rezultātu, bet ļauj šo valstu varasiestādēm noteikt to īstenošanas formas un metodes. Proti, direktīvas atšķirībā no regulām nav tieši piemērojams Eiropas Savienības tiesību akts, līdz ar to Latvijas tiesību aktu tekstos (normās) neietver atsauces uz direktīvām. Ievērojot minēto, lūdzam precizēt likumprojekta 4. panta otro daļu, izslēdzot no tā atsauci uz direktīvu, bet tā vietā pārņemot attiecīgās direktīvas prasības (piem., vnk. paredzot likumprojektā Nacionālās kiberdrošības centra kā vienotā kontaktpunkta kompetenci vai atsaucoties uz likumprojekta normām, kas to paredz).
 

-

Lūdzam izvērtēt un precizēt likumprojekta 16. panta otro daļu. Vēršam uzmanību, ka direktīvas Nr. 2022/2555 4. panta 1. un 2. punktā paredzēti speciāli nosacījumi attiecībā uz nozarspecifiskiem Savienības tiesību aktiem, tai skaitā - uz Eiropas Parlamenta un Padomes 2022. gada 14. decembra Regulu (ES) Nr. 2022/2554 par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) Nr. 2016/1011 (turpmāk - regula Nr. 2022/2554). Norādām, ka atbilstoši abiem minētajiem punktiem noteiktu šīs direktīvas prasību piemērošana atkarīga no tā, vai attiecīgās regulas prasības ietekmes ziņā ir vismaz līdzvērtīgas šajā direktīvā noteiktajiem pienākumiem. Attiecīgi nav jāpastāv pretrunai starp direktīvu Nr. 2022/2555 un regulu Nr. 2022/2554, bet ir jāsalīdzina un jāvērtē attiecīgo tiesību aktu prasību ietekme, balstoties uz direktīvas Nr. 2022/2555 4. pantā ietvertajiem kritērijiem, kuri būtu jāpārņem likumprojektā.

-

Paužam bažas, ka pienākums visu drošības incidentu gadījumā informēt kompetentās iestādes, varētu nebūt samērīgs, tādēļ lūdzam izvērtēt un precizēt likumprojekta 29. panta pirmo daļu vai sniegt skaidrojumu likumprojekta anotācijā, kādēļ tas nav nepieciešams. Skaidrojam, ka drošības incidenti var būt saistīti ar iekārtu tehniskiem bojājumiem vai arī ar informāciju (datiem), kas nerada būtisku ietekmi sabiedrībai. Vienlaikus vēršam uzmanību, ka atbilstoši direktīvas Nr. 2022/2555 23. panta 1. punktam, kura prasības pārņemtas likumprojekta 29. panta pirmajā daļā, katra dalībvalsts nodrošina, ka būtiskās un svarīgās vienības bez nepamatotas kavēšanās paziņo CSIRT vai attiecīgā gadījumā savai kompetentajai iestādei saskaņā ar 4. punktu par ikvienu incidentu, kam ir būtiska ietekme uz to pakalpojumu sniegšanu, kā minēts 3. punktā (būtisks incidents). Tātad secināms, ka attiecīgās direktīvas prasības attiecināmas uz būtiskiem incidentiem, nevis ikvienu incidentu, kā izriet no likumprojekta.

-

Lūdzam likumprojekta anotācijā skaidrot likumprojekta 34. panta piektajā ietverās kompetentās kiberincidentu novēršanas institūcijas pilnvaras noteikt nosacījumus, kārtību un apjomu, kādā var tikt izpausta informācija par atklāto ievainojamību, nepieciešamības gadījumā precizējot likumprojektu. Vēršam uzmanību, ka nav skaidrs, vai ar minēto saprotama norādījumu sniegšana konkrētā situācijā noteiktiem subjektiem un ievainojamības atklāšanas ziņojuma iesniedzējam (ievainojamības atklājējam) vai arī - minētās institūcijas izstrādāts iekšējais normatīvais akts. Skaidrojam, ka pēdējā gadījumā minētais iekšējais normatīvais akts nebūs saistošs abiem iepriekš minētajiem tiesību subjektiem, bet tā vietā attiecīgie nosacījumi u.c. aspekti, ja tie skar privātpersonas, būtu ietverami ārējā normatīvā aktā (piemēram, paredzot pilnvarojumu Ministru kabineta noteikumu izdošanai).

-

Ņemot vērā, ka saskaņošanas ietvaros paplašināts (precizēts) pilnvarojums Ministru kabineta noteikumu izdošanai (piemēram, sk. likumprojekta 29. panta septīto daļu un 36. panta otro daļu), lūdzam pārskatīt un precizēt likumprojekta anotācijas 4. sadaļu, skaidrojot katra attiecīgā pilnvarojuma būtību un nepieciešamību. T.i., lūdzam visupirms izvērtēt, vai attiecīgs pilnvarojums vispār ir vajadzīgs un vai nepieciešamo regulējumu nevar ietvert pašā likuma tekstā. Savukārt, ja tiek nolemts izstrādāt jaunus Ministru kabineta noteikumus, lūdzam likumprojekta anotācijas 4. sadaļā skaidrot pamatojumu šādai izvēlei, kā arī aprakstīt jauno Ministru kabineta noteikumu saturisko ietvaru.
 

-

Tieslietu ministrija atzinīgi vērtē likumprojekta anotācijas 5. sadaļas papildināšanu, vienlaikus atkārtoti lūdzam:
pirmkārt, papildināt minēto anotācijas sadaļu ar informāciju par direktīvas Nr. 2022/2555 6. panta 1. un 2. punkta, 18., 19., 20., 21., 22.., 23. punkta (un citos šī panta punktos ietverto terminu skaidrojumi, kuri lietoti direktīvas vienībās, kuras ar likumprojektu (vismaz daļēji) tiek pārņemtas), 7. panta 1. punkta "h" apakšpunkta, 26. panta, 32. panta 5. punkta "b" apakšpunkta, 7. punkta apakšpunktu un 37. panta prasību pārņemšanu likumprojektā;
otrkārt, papildināt likumprojekta anotācijas 5. sadaļu ar informāciju par Eiropas Parlamenta un Padomes 2009. gada 25. novembra direktīvas 2009/140/EK, ar ko izdara grozījumus direktīvā 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem, direktīvā 2002/19/EK par piekļuvi elektronisko komunikāciju tīkliem un ar tiem saistītām iekārtām un to savstarpēju savienojumu un direktīvā 2002/20/EK par elektronisko komunikāciju tīklu un pakalpojumu atļaušanu, Eiropas Parlamenta un Padomes 2018. gada 11. decembra direktīvas (ES) 2018/1972 par Eiropas Elektronisko sakaru kodeksa izveidi un direktīvas Nr. 2008/114/EK un direktīvas Nr. 2016/1148 un Eiropas Parlamenta un Padomes 2008. gada 8. decembra direktīvas (ES) 2008/114/EK par to, lai apzinātu un noteiktu Eiropas Kritiskās infrastruktūras un novērtētu vajadzību uzlabot to aizsardzību, prasību pārņemšanu likumprojektā;
treškārt, papildināt ar informāciju par Eiropas Parlamenta un Padomes 2021. gada 20. maija regulā (ES) Nr. 2021/887, ar ko izveido Eiropas Industriālo, tehnoloģisko un pētniecisko kiberdrošības kompetenču centru un Nacionālo koordinācijas centru tīklu, ietverto prasību ieviešanu likumprojektā;
ceturtkārt, pārskatīt 5. sadaļā sniegto skaidrojumu par direktīvas Nr. 2022/2555 2. panta 2. punkta "d" apakšpunkta, 3. panta 1. punkta "a" apakšpunkta, direktīvas 3. panta 1. punkta "b" apakšpunkta un 32. panta 5. punkta trešās daļas pārņemšanu likumprojektā, kas skaidri neizriet no attiecīgajām likumprojekta vienībām;
visbeidzot, aizpildīt likumprojekta anotācijas 5.4. sadaļu, papildinot aili (sniedzot pamatojumu) par dalībvalsts rīcības brīvības izmantošanu direktīvas Nr. 2022/2555 2. panta 7. punktā, 24. panta 1. punktā, 30. panta 2. punkta pirmajā daļā, 31. panta 2. punktā, 31. panta 4. punktā, 34. panta 6. un 7. punktā), norādot konkrētās direktīvas normas, kas paredz rīcības brīvību, kādā veidā minētā rīcības brīvība ir izmantota likumprojektā, un to, kādēļ ir vai nav izmantota direktīvā Nr. 2022/2555 paredzētā rīcības brīvība.

-

Lūdzam izvērtēt un likumprojektā terminu "tīkls" (datu pārraides tīkla kontekstā) aizstāt ar terminu "datu pārraides tīkls".

-

Vēršam uzmanību, ka ir apgrūtinoši secināt, uz kādu pakalpojumu attiecas likumprojekta prasības, piemēram vai ir domāts jebkurš organizācijas sniegtais pakalpojums vai tikai tie pakalpojumi, kas likuma izpratnē ir būtiski vai svarīgi. Lūdzam sniegt atbilstošu skaidrojumu par minēto likumprojekta anotācijā vai nepieciešamības gadījumā - precizēt likumprojektā izmantotos pakalpojuma jēdzienus.

-

Lūdzam aizstāt likumprojekta 1. panta 4. punktā vārdus "kiberuzbrukuma īstenošanai" ar vārdu "kiberapdraudējumam", ņemot vērā direktīvas Nr. 2022/2555 6. panta 15. punktā noteikto.

-

Lūdzam izteikt likumprojekta 1. panta 11. punktu šādā redakcijā: "11) kiberuzbrukums — uzbrucēja rīcība, lai ietekmētu datu un komunikācijas tehnoloģiju pakalpojuma konfidencialitāti, integritāti vai pieejamību;".

-

Vēršam uzmanību, ka atbilstoši regulas Nr. 2022/2554 2. panta 4. punktam finanšu vienību izslēgšana no minētās regulas darbības jomas ir dalībvalstu rīcības brīvība. Attiecīgi lūdzam likumprojekta anotācijā (nepieciešamības gadījumā, ja paredzēta atbilstoša regulējuma izstrāde arī likumprojekta 4. sadaļā) skaidrot, vai attiecīgo rīcības brīvību plānots izmantot, ieviešot iepriekš minētās regulas prasības.

-

Lūdzam likumprojekta 6. panta 3. punktā, 29. panta pirmajā daļā aizstāt vārdu "rekomendācijas" ar vārdu "norādījumus" vai skaidrot sniegto rekomendāciju saistošo raksturu likumprojekta anotācijā. Tai skaitā, piemēram, vēršam uzmanību, ka likumprojektā tiek noteikts pienākums ievērot Satversmes aizsardzības biroja norādījumus, nevis rekomendācijas.

-

Lūdzam pārskatīt likumprojektu un novērst tehniskas kļūdas - nekorektas atsauces, piemēram, likumprojekta 29. panta sestajā daļā ietverto atsauci uz šī panta ceturtajā daļā minēto gala ziņojumu (gala ziņojums ietverts šī panta piektajā daļā),Pārejas noteikumu 3. un 8. punktā ietverto atsauci uz šī likuma 29. panta sestajā daļā minētajiem Ministru kabineta noteikumiem (Ministru kabineta noteikumi ietverti 29. panta septītajā daļā).

-

Atbilstoši juridiskās tehnikas prasībām lūdzam likumprojekta Pārejas noteikumu 10. punktā konsekventi norādīt uz šo likumu.

-