Ministru kabineta noteikumi Nr. 94
Rīgā 2023. gada 28. februārī (prot. Nr. 12 46. §)
22-TA-2017
Publisko elektronisko sakaru tīklu drošības prasības
Izdoti saskaņā ar Elektronisko sakaru likuma 8. panta pirmo un otro daļu
I.Vispārīgie jautājumi
1.
Noteikumi nosaka publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības, kā arī kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā.
2.
Noteikumos lietotie termini:
2.1.
ārpakalpojums – jebkura veida vienošanās starp publiskā elektronisko sakaru tīkla īpašnieku un pakalpojuma sniedzēju, saskaņā ar kuru šis pakalpojuma sniedzējs nodrošina procesu, sniedz pakalpojumu vai veic citu darbību, ko citādi darītu pats publiskā elektronisko sakaru tīkla īpašnieks;
2.2.
drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieļaujamajam līmenim;
2.3.
drošības incidents – kaitīgs notikums vai nodarījums vai vairāki saistīti notikumi, kuru rezultātā tiek apdraudēta publisko elektronisko sakaru tīkla integritāte, pieejamība vai konfidencialitāte;
2.4.
4G tīkls – ceturtās paaudzes mobilo elektronisko sakaru tīkls;
2.5.
5G tīkls – piektās paaudzes mobilo elektronisko sakaru tīkls;
2.6.
pamattīkls – publiskā elektronisko sakaru tīkla daļa, kurā ir savienotas pamattīkla iekārtas (pārraides, komutēšanas, maršrutēšanas, multipleksēšanas vai ekvivalentas iekārtas) un kurai ir pievienots piekļuves tīkls, un kas nodrošina savienojumu ar citu elektronisko sakaru tīklu.
3.
Noteikumi neattiecas uz:
3.1.
kabeļtelevīzijas tīkliem;
3.2.
publiskajos elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija;
3.3.
publisko elektronisko sakaru tīklu gala iekārtām pie klienta un citām galalietotāja iekārtām, izņemot gadījumus, ja gala iekārta ir publiskā elektronisko sakaru tīkla īpašnieka īpašums, kas nodota klienta vai galalietotāja lietošanā.
II.Publiskā elektronisko sakaru tīkla īpašnieka pienākumi
4.
Publiskā elektronisko sakaru tīkla īpašnieka pienākumi risku vadības un mazināšanas jomā:
4.1.
izveidot efektīvu operacionālo risku, tostarp drošības risku, pārvaldības sistēmu, kura vērsta uz pasākumiem risku mazināšanai publiskajos elektronisko sakaru tīklos un ir integrēta kopējos risku pārvaldības procesos;
4.2.
izstrādāt drošības risku pārvaldības sistēmas dokumentāciju un pastāvīgi uzlabot informāciju, pamatojoties uz atziņām, kas uzkrātas publisko elektronisko sakaru tīklu izmantošanas un uzraudzības gaitā;
4.3.
identificēt publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šo noteikumu 1. pielikumu. Publiskā elektronisko sakaru tīkla īpašnieks var identificēt kā kritiskas arī citas publiskā elektronisko sakaru tīkla daļas, kuras nav noteiktas šo noteikumu 1. pielikumā;
4.4.
iesniegt Satversmes aizsardzības birojam sarakstu ar publiskā elektronisko sakaru tīkla kritiskajās daļās izmantotajām iekārtām, programmatūru un ārpakalpojumiem saskaņā ar šo noteikumu 2. pielikumu un informēt Satversmes aizsardzības biroju par izmaiņām minētajā sarakstā vismaz vienu mēnesi pirms jauna publiskā elektronisko sakaru tīkla vai tā daļas būvniecības (projektēšanas stadijā), kā arī ekspluatācijā nodota publiskā elektronisko sakaru tīkla pārbūves vai atsevišķas iekārtas, programmatūras vai ārpakalpojuma sniedzēja nomaiņas;
4.5.
identificēt drošības riskus, kas potenciāli var ietekmēt publisko elektronisko sakaru tīklu;
4.6.
plānot un īstenot drošības pasākumus, lai samazinātu risku līdz pieņemamam līmenim, ja risku analīzē novērtētais risks ir nepieņemams, kā arī, pamatojoties uz risku izmaksu un iespējamo zaudējumu samērojamību un plānotajiem drošības pasākumiem, noteikt pasākumu realizācijas prioritātes, termiņus un atbildīgos;
4.7.
nodrošināt publiskā elektronisko sakaru tīkla drošību, kā arī izstrādāt rīcības plānu publiskā elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai, tajā norādot šādu informāciju:
4.7.1.
vispārīgas ziņas par publiskā elektronisko sakaru tīkla īpašnieku, tā juridisko adresi un elektroniskā pasta adresi;
4.7.2.
personu vai struktūrvienību, kas īsteno publiskā elektronisko sakaru tīkla drošības pasākumus, un tās kontaktinformāciju (tālruņa numuru, elektroniskā pasta adresi);
4.7.3.
publiskā elektronisko sakaru tīkla uzbūves vispārīgu aprakstu un shēmu;
4.7.4.
publiskā elektronisko sakaru tīkla risku analīzi;
4.7.5.
reaģēšanas kārtību uz drošības incidentiem un cita veida kaitējumiem vai nodarījumiem, kas apdraud publiskā elektronisko sakaru tīkla funkcionēšanu (tehniskos un organizatoriskos pasākumus);
4.7.6.
publiskā elektronisko sakaru tīkla darbības atjaunošanas pasākumu aprakstu (tehniskos un organizatoriskos pasākumus).
5.
Šo noteikumu 4.4. apakšpunktā minētā Satversmes aizsardzības biroja informēšana par izmaiņām sarakstā neattiecas uz ekspluatācijā nodotā publiskā elektronisko sakaru tīkla pārbūvi vai atsevišķu iekārtu un programmatūras nomaiņu ja:
5.1.
iekārta tiek nomainīta pret tāda paša modeļa vai tā paša ražotāja iekārtu ar līdzīgām funkcijām kā jau ekspluatācijā esošajai iekārtai;
5.2.
tiek uzstādīti programmatūras atjauninājumi;
5.3.
tiek paplašināta tīkla jauda, izmantojot tāda paša modeļa vai tā paša ražotāja iekārtas ar līdzīgām funkcijām kā jau ekspluatācijā esošajām iekārtām.
6.
Šo noteikumu 4.7. apakšpunktā minētā rīcības plāna kopiju mēneša laikā pēc tā apstiprināšanas vai aktualizēšanas nosūta Informācijas tehnoloģiju drošības incidentu novēršanas institūcijai (turpmāk – CERT.LV) un Satversmes aizsardzības birojam. Nosūtot rīcības plāna kopiju, publiskā elektronisko sakaru tīkla īpašnieks norāda, vai tajā iekļautā informācija ir uzskatāma par ierobežotas pieejamības informāciju. Rīcības plānu aktualizē, ja mainās rīcības plānā iekļautā informācija.
7.
Šo noteikumu 4.7.4. apakšpunktā minēto risku analīzi veic un dokumentē reizi gadā vai biežāk, ja nepieciešams. Risku analīzi veic arī attiecībā uz visām būtiskajām izmaiņām infrastruktūrā, procesos vai procedūrās, kas ietekmē publisko elektronisko sakaru tīklu.
8.
Šo noteikumu 4.7. apakšpunktā minētā prasība izstrādāt rīcības plānu publiskā elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai neattiecas uz informācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem.
9.
Publiskā elektronisko sakaru tīkla īpašnieka pienākumi incidentu novēršanas jomā:
9.1.
nekavējoties ziņot CERT.LV par incidentu, kuram ir ietekme uz publiskā elektronisko sakaru tīkla drošību vai integritāti;
9.2.
sadarboties ar CERT.LV incidenta novēršanā.
10.
Publiskā elektronisko sakaru tīkla kritiskajās daļās neizmanto tādu iekārtu, programmatūru un ārpakalpojumu, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tā izmantošana var radīt draudus nacionālajai drošībai.
11.
Šo noteikumu 10. punktā minētā atzinuma sagatavošanā Satversmes aizsardzības birojs vērtē vismaz vienu no šādiem kritērijiem:
11.1.
iespējamību, ka iekārtas vai programmatūras izstrādātājs, ražotājs, izplatītājs vai ārpakalpojuma sniedzējs varētu būt pakļauts tādas valsts ietekmei:
11.1.1.
kas nav Eiropas Savienības, Ziemeļatlantijas līguma organizācijas vai Eiropas Ekonomikas zonas dalībvalsts;
11.1.2.
kuru Eiropas Parlaments vai Latvijas Republikas Saeima ir atzinusi par terorismu atbalstošu valsti;
11.1.3.
kura ir iekļauta publiskā kiberincidenta attiecināšanas paziņojumā, kuru Latvija ir iniciējusi vai kuram ir pievienojusies;
11.1.4.
kurā nepastāv demokrātiska pārvaldes forma vai ar kuru nav nolīguma drošības vai datu aizsardzības jomā;
11.1.5.
kuras tiesību akti paredz pienākumu iekārtas vai programmatūras izstrādātājam, ražotājam, izplatītājam vai ārpakalpojuma sniedzējam sadarboties ar attiecīgās valsts valdību;
11.1.6.
kura spēj veikt jebkāda veida ietekmēšanu, tostarp attiecībā uz iekārtas vai programmatūras ražošanas vai izstrādes vietu;
11.2.
iekārtas vai programmatūras izstrādātāja, ražotāja, izplatītāja vai ārpakalpojuma sniedzēja:
11.2.1.
patieso labuma guvēju un īpašnieku struktūru;
11.2.2.
saikni ar valsti, kas atbilst šo noteikumu 11.1.1., 11.1.2., 11.1.3., 11.1.4., 11.1.5. un 11.1.6. apakšpunktā minētajiem kritērijiem;
11.2.3.
spēju nodrošināt piegādi vai sniegt pakalpojumu;
11.2.4.
kiberdrošības praksi, tostarp piegādes ķēžu kontroli un to, vai drošības pasākumiem tiek piešķirta pienācīga prioritāte;
11.3.
no partnerdienestiem vai informācijas tehnoloģijas drošības incidentu novēršanas institūcijām saņemto informāciju par iekārtas vai programmatūras izstrādātāja, ražotāja, izplatītāja vai ārpakalpojuma sniedzēja atbilstību vienam vai vairākiem šo noteikumu 11.1. un 11.2. apakšpunktā minētajiem kritērijiem.
III.Informācijas drošība
12.
Publiskā elektronisko sakaru tīkla īpašnieks:
12.1.
nodrošina informācijas drošību, īstenojot informācijas drošības risku kontroli un nepieciešamos drošības pasākumus;
12.2.
pastāvīgi uzrauga apdraudējumus un ievainojamības, kas attiecas uz elektronisko sakaru tīkliem, un regulāri pārskata risku scenārijus, kas tos ietekmē;
13.
Informācijas drošības funkcijas ietvaros publiskā elektronisko sakaru tīkla īpašnieks:
13.1.
nodrošina informācijas drošības politikas izstrādi, uzturēšanu un ieviešanas kontroli;
13.2.
uzrauga noteiktos drošības pasākumus, tai skaitā attiecībā uz ārpakalpojumu sniedzējiem;
13.3.
piedalās infrastruktūras vai procesu būtisku izmaiņu pārvaldībā, ja tās ietekmē drošību;
13.4.
veic regulāras apmācības un informēšanas pasākumus informācijas tehnoloģiju drošības jomā;
13.5.
piedalās drošības incidentu pārvaldībā;
13.6.
piedalās darbības atjaunošanas un nepārtrauktības plānošanā.
14.
Publiskā elektronisko sakaru tīkla īpašnieks nodrošina informācijas drošību, pienācīgi nodalot to no informācijas tehnoloģiju izstrādes un uzturēšanas procesiem, un nosaka par informācijas sistēmu drošību atbildīgajam darbiniekam pienākumu nepastarpināti informēt publisko elektronisko sakaru tīklu īpašnieka vai tiesiskā valdītāja vadību par būtiskiem informācijas tehnoloģiju drošības notikumiem.
15.
Ja par informācijas sistēmu drošību atbildīgais darbinieks savus pienākumus veic darbu apvienošanas kārtībā, tiek ievērots pienākumu nodalīšanas princips, nodrošinot, ka darbu izpildītājs pats sevi nekontrolē.
16.
Publiskā elektronisko sakaru tīkla īpašniekam ir pienākums, izmantojot tehniskus risinājumus:
16.1.
aizsargāt visu informāciju, kas tiek glabāta elektroniski;
16.2.
aizsargāt publiskā elektronisko sakaru tīkla funkcijas.
IV.Ārpakalpojumu drošība
17.
Publiskā elektronisko sakaru tīkla drošības līmenis, ja tīklu attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par publiskā elektronisko sakaru tīkla īpašnieka vai tiesiskā valdītāja noteikto. Ārpakalpojuma saņemšana neatbrīvo publiskā elektronisko sakaru tīkla īpašnieku vai tiesisko valdītāju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības un tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu.
18.
Pirms lēmuma pieņemšanas par ārpakalpojuma iegādi publiskā elektronisko sakaru tīkla īpašnieks izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes, drošības un pieejamības prasības, vērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju.
19.
Publiskā elektronisko sakaru tīkla īpašnieks līgumā ar ārpakalpojuma sniedzēju ietver ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par incidentiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.
20.
Ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam, apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību.
21.
Izmantojot ārpakalpojumu, tai skaitā mākoņskaitļošanu, publiskā elektronisko sakaru tīkla īpašniekam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Publiskā elektronisko sakaru tīkla īpašnieka klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.
V.Piegādes ķēdes drošība un nepārtrauktība
22.
Publiskā elektronisko sakaru tīkla īpašnieka pienākums ir identificēt un samazināt drošības apdraudējumu riskus, kas atkarīgi no citām personām (trešās puses piegādātājiem), kas piegādā preces vai sniedz pakalpojumus publiskā elektronisko sakaru tīkla darbības nodrošināšanai.
23.
Publiskā elektronisko sakaru tīkla īpašnieks iespēju robežās veic piegādātāju diversificēšanu, lai nodrošinātu tā īpašumā vai tiesiskajā valdījumā esošo publiskā elektronisko sakaru tīkla pieejamību, integritāti un konfidencialitāti.
24.
Publiskā elektronisko sakaru tīkla īpašnieks:
24.1.
nodrošina, ka ir izstrādāts plāns tā īpašumā vai tiesiskajā valdījumā esošā publiskā elektronisko sakaru tīkla darbības uzturēšanai, ja piegāde vai trešās puses piegādātāja atbalsts tiek pārtraukts;
24.2.
regulāri pārskata šo plānu.
VI.Kompetentās iestādes drošības prasību piemērošanas uzraudzība un funkcijas
25.
Digitālās drošības uzraudzības komiteja:
25.1.
uzrauga publisko elektronisko sakaru tīklu drošības prasību ievērošanu;
25.2.
sniedz saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
26.
CERT.LV:
26.1.
izvērtē publiskā elektronisko tīkla īpašnieka iesniegto rīcības plānu un, ja konstatē neatbilstības šo noteikumu 4.7.1., 4.7.2., 4.7.3., 4.7.4., 4.7.5. un 4.7.6. apakšpunktā minētajām prasībām, lūdz attiecīgo publiskā elektronisko sakaru tīkla īpašnieku veikt labojumus atbilstoši norādījumiem tās noteiktajā termiņā, kas nav īsāks par mēnesi;
26.2.
sniedz atbalstu Digitālās drošības uzraudzības komitejai publisko elektronisko sakaru tīklu drošības prasību ievērošanas uzraudzības funkcijas īstenošanā;
26.3.
sniedz saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
27.
Satversmes aizsardzības birojs:
27.1.
izvērtē publisko elektronisko sakaru tīklu kritiskajās daļās izmantoto iekārtu, programmatūru un ārpakalpojumu iespējamo ietekmi uz nacionālo drošību;
27.2.
var noteikt ierobežojumus publisko elektronisko sakaru tīklu kritiskajās daļās izmantot tādas iekārtas, programmatūru un ārpakalpojumus, kas var radīt draudus nacionālajai drošībai;
27.3.
var sniegt saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
28.
CERT.LV un Satversmes aizsardzības birojam ir tiesības pieprasīt publiskā elektronisko sakaru tīkla īpašniekam vai tiesiskajam valdītājam papildu informāciju, kā arī sniegto informāciju pārbaudīt jebkurā laikā.
VII.Noslēguma jautājumi
29.
Publiskajiem elektronisko sakaru tīkliem, kuri līdz šo noteikumu spēkā stāšanās dienai ir nodoti ekspluatācijā vai šo noteikumu spēkā stāšanās dienā atrodas projektēšanas, būvniecības, ierīkošanas vai pārbūves stadijā, šo noteikumu 10. punktā minēto prasību neizmantot tādu iekārtu un programmatūru, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tās izmantošana var radīt draudus nacionālajai drošībai, piemēro no 2030. gada 1. janvāra.
Informatīva atsauce uz Eiropas Savienības direktīvu
Noteikumos iekļautas tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 2018. gada 11. decembra Direktīvas Nr. 2018/1972/ES par Eiropas Elektronisko sakaru kodeksa izveidi.
Ministru prezidents A. K. Kariņš
Aizsardzības ministre I. Mūrniece
1.
pielikumsMinistru kabineta
2023. gada 28. februāra
noteikumiem Nr.94
Publisko elektronisko sakaru tīklu kritiskās daļas
2.
pielikumsMinistru kabineta
2023. gada 28. februāra
noteikumiem Nr.94
Publiskā elektronisko sakaru tīkla kritiskajās daļās izmantotās iekārtas, programmatūras un ārpakalpojumi