22-TA-3012
31.Nacionālās kiberdrošības likums
pants.
InodaļaVispārīgie noteikumi
1.
pants.
Likumā lietotie termini
Likumā lietoti šādi termini:
1)
CSIRT tīkls — Eiropas Savienības dalībvalstu datordrošības incidentu novēršanas institūciju tīkls, kas izveidots saskaņā ar ar Eiropas Parlamenta un Padomes 2016. gada 6. jūlija Direktīvas (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (turpmāk – Direktīva 2016/1148) 12. pantu;
2)
ievainojamība — informācijas un komunikācijas tehnoloģiju vai to pakalpojumu nepilnība, kas var tikt izmantota kiberuzbrukuma īstenošanai;
3)
informācijas tehnoloģijas — tehnoloģijas, kuras tām paredzēto uzdevumu izpildei veic informācijas elektronisko apstrādi, tai skaitā izveidošanu, izmainīšanu, dzēšanu, glabāšanu, attēlošanu vai pārsūtīšanu;
4)
kiberapdraudējums — jebkādi iespējami apstākļi, notikums vai darbība vai to iespējamība, kas var ietekmēt vispārēju sabiedrības procesu nodrošināšanu vai pakalpojumu pieejamību, ko sniedz informācijas un komunikācijas tehnoloģijas, bet nozīmīgs kiberapdraudējums var apdraudēt valsts un sabiedrības funkcionēšanai kritisku procesu vai pakalpojumu pieejamību vai radīt materiālus vai nemateriālus zaudējumus;
5)
kiberdrošības nepilnība — informācijas sistēmas vai elektronisko sakaru tīkla izveides, uzturēšanas vai pārveidošanas gaitā tīši vai bez nodoma radīta sistēmiska vājība, kuras rezultātā var tikt apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte;
6)
kiberdrošības incidents (turpmāk – kiberincidents) — notikums vai nodarījums, kura rezultātā tiek apdraudēta ar informācijas tehnoloģijām pārraidīto vai pieejamo glabāto, pārraidīto vai apstrādāto datu vai nodrošināto pakalpojumu integritāte, pieejamība vai konfidencialitāte;
7)
kiberincidenta apstrāde — darbības un procedūras, kuru mērķis ir novērst, atklāt, analizēt un ierobežot kiberincidentu;
8)
kiberrisks — zaudējumu vai ietekmes uz pakalpojumiem iespējamība kiberincidenta ietekmē atbilstoši potenciālajām sekām un to iestāšanās varbūtībai;
9)
kiberuzbrukums — aktīva uzbrucēja rīcība, izmantojot ievainojamības, lai ietekmētu informācijas tehnoloģiju pakalpojuma integritāti, konfidencialitāti vai pieejamību;
10)
kiberhigiēna — ikdienas apzinātu prakšu un paradumu kopums, kas tiek veikts nolūkā nodrošināt datu un tīklu drošību;
11)
liela mēroga kiberincidents — kiberincidents, kuram ir vismaz viena no šādām pazīmēm:
a)
kiberincidents skar vismaz divas Eiropas Savienības dalībvalstis;
b)
kiberincidents pārsniedz vienas Eiropas Savienības dalībvalsts kiberinciddentu reaģēšanas vai novēršanas spējas;
c)
kiberincidents būtiski ietekmē Eiropas Savienības iekšējo tirgu vai rada nozīmīgus finansiālus zaudējumus pakalpojumu sniedzējam vai trešajai pusei.
12)
liels uzņēmums — komersants, kurā nodarbināto darbinieku skaits, gada apgrozījums vai gada bilances kopsumma pārsniedz Eiropas Komisijas 2014. gada 17. jūnija Regulas (ES) Nr. 651/2014, ar ko noteiktas atbalsta kategorijas atzīst par saderīgām ar iekšējo tirgu, piemērojot Līguma 107. un 108. pantu (turpmāk – Regula 651/2014), I pielikuma 2. pantā noteiktās vidējā uzņēmuma kategorijai atbilstošās vērtības;
13)
nacionālā kiberdrošības stratēģija — stratēģiskās plānošanas dokuments, kas nosaka kiberdrošības politikas veidošanas pamatprincipus, mērķi un stratēģiskās prioritātes, tostarp elektronisko sakaru tīklu un informācijas tehnoloģiju drošības pasākumus, politikas un normatīvo aktu izstrādes pasākumus, lai panāktu un saglabātu elektronisko sakaru tīklu un informācijas sistēmu augstu drošības līmeni četru gadu periodam;
14)
NIS sadarbības grupa — Eiropas Savienības tīklu un informācijas sistēmu sadarbības grupa, kas izveidota saskaņā ar Direktīvas 2016/1148 11. pantu;
15)
nozīmīgs kiberincidents — kiberincidents, kuram ir ietekme uz sniegtā pakalpojuma nepārtrauktību vai sabiedrības interesēm un kurš atbilst Ministru kabineta noteiktajiem kritērijiem;
16)
vienotais valsts interneta apmaiņas punkts (GLV-IX) — pastāvīgs fiziskās infrastruktūras un pakalpojumu kopums, kas tiek izveidots un uzturēts, lai nodrošinātu vienotu valsts interneta plūsmu apmaiņu;
17)
vidējs uzņēmums — komersants, kurš ietilpst vidējo uzņēmumu kategorijā saskaņā ar Regulas 651/2014 I pielikuma 2. pantu.
2.
pants.
Likuma mērķis
Likuma mērķis ir:
1)
uzlabot informācijas un komunikācijas tehnoloģiju drošību, tai skaitā nosakot prasības kritisku pakalpojumu saņemšanai un kritisku sistēmu darbībai;
2)
noteikt kārtību kiberdrošības pasākumu nodrošināšanai, paredzot atbildības sadalījumu un Nacionālā kiberdrošības centra kompetenci, sadarbības ietvarus un kiberdrošības veicināšanai veicamos uzdevumus;
3)
veicināt kiberdrošības pasākumu īstenošanu tā, lai varētu savlaicīgi prognozēt un novērst, kā arī pārvarēt kiberapdraudējumu un likvidēt tā sekas, pēc iespējas nodrošinot pakalpojumu pieejamības nepārtrauktību.
3.
pants.
Likuma darbības joma
(1)
Likums attiecas uz valsts un pašvaldību institūcijām, privāto tiesību juridiskajām personām, informācijas tehnoloģiju kritisko infrastruktūru, kā arī šajā likumā noteiktajos gadījumos – uz fiziskajām personām, kas piedalās koordinētas ievainojamību atklāšanas procesā.
(2)
Likums neattiecas uz elektronisko sakaru tīklos pārraidāmās informācijas saturu tostarp, uz informācijas sabiedrības pakalpojumu saturu un audiovizuālajiem darbiem, ja tie netiek izmantoti kā drošības incidentu sastāvdaļa.
4.
pants.
Likuma subjekti
Likuma subjektu kopumu (visi kopā turpmāk – subjekti) veido:
1)
būtisko pakalpojumu sniedzēji;
2)
svarīgo pakalpojumu sniedzēji;
3)
informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji.
IInodaļaPar kiberdrošību atbildīgās institūcijas
5.
pants.
Nacionālais kiberdrošības centrs
(1)
Nacionālais kiberdrošības centrs ir nacionālā kompetentā institūcija informācijas tehnoloģiju drošības jautājumos, kura īsteno nacionālo informācijas un komunikācijas tehnoloģiju drošības un nacionālo kiberdrošības pārraudzību.
(2)
Nacionālo kiberdrošības centru veido Aizsardzības ministrijas struktūrvienība un Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienība (turpmāk – CERT.LV).
(3)
Nacionālā kiberdrošības centra uzdevumu un tiesību kopumu veido šī likuma 4. pantā, 5. pantā, 8. panta pirmajā daļā un 9. pantā noteiktie Aizsardzības ministrijas un CERT.LV uzdevumi un tiesības.
(4)
Nacionālā kiberdrošības centra nolikumu apstiprina Ministru kabinets.
6.
pants.
Aizsardzības ministrijas kompetence un uzdevumi
(1)
Aizsardzības ministrija ir vadošā iestāde kiberdrošības jomā Latvijā un virza nacionālās kiberdrošības rīcībpolitikas iniciatīvas, nodrošina starptautisko sadarbību kiberdrošības jomā.
(2)
Aizsardzības ministrijai ir šādi uzdevumi:
1)
sadarboties ar valsts un pašvaldības iestādēm to informācijas sistēmu drošības līmeņa noteikšanai atbilstoši Ministru kabineta noteiktajai kārtībai;
2)
nodrošināt Digitālās drošības uzraudzības komitejas sekretariāta funkcijas;
3)
izvērtēt informācijas sistēmu attīstības projektus atbilstoši kārtībai par valsts vai institūcijas informācijas sistēmu un to darbībai nepieciešamo informācijas un komunikācijas tehnoloģiju resursu un pakalpojumu attīstības aktivitāšu uzraudzību;
4)
nodrošināt vienotā valsts interneta apmaiņas punkta darbību, kā arī koordinēt vienotā valsts interneta apmaiņas punkta pakalpojumu saņemšanu sadarbībā ar valsts drošības iestādēm;
5)
īstenot uzraudzības funkcijas, tostarp uzraudzīt, kā šā likuma 4. pantā minētie subjekti izpilda šajā likumā noteiktos pienākumus. Šajā apakšpunktā norādītās uzraudzības funkcijas Aizsardzības ministrija neīsteno attiecībā uz valsts drošības iestādēm. Attiecībā uz informācijas tehnoloģiju kritisko infrastruktūru, tai skaitā, informācijas tehnoloģiju kritiskās infrastruktūras kopumā iekļauto valsts un pašvaldību institūciju, būtisko un svarīgo pakalpojumu sniedzēju un elektronisko sakaru komersantu informācijas tehnoloģiju infrastruktūru norādītās uzraudzības funkcijas veic arī valsts drošības iestādes atbilstoši Ministru kabineta noteiktajai kārtībai par informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanu un īstenošanu;
6)
izstrādāt nacionālo kiberdrošības stratēģiju un ne vēlāk kā trīs mēnešus pēc nacionālās kiberdrošības stratēģijas apstiprināšanas informēt par to Eiropas Komisiju;
7)
uzraudzīt publisko elektronisko sakaru tīklu drošības prasību ievērošanu, izņemot attiecībā uz Ministru kabineta apstiprināto informācijas tehnoloģiju kritisko infrastruktūru;
8)
īstenot Eiropas Parlamenta un Padomes 2021. gada 20. maija regulā (ES) Nr. 2021/887, ar ko izveido Eiropas Industriālo, tehnoloģisko un pētniecisko kiberdrošības kompetenču centru un Nacionālo koordinācijas centru tīklu, Nacionālajam koordinācijas centram noteiktās tiesības un pienākumus;
9)
sadarboties ar citu Eiropas Savienības dalībvalstu kompetentajām iestādēm, tostarp pēc kiberincidentu novēršanas institūcijas pieprasījuma nosūtīt tām informāciju par kiberincidentiem, kuriem ir ietekme uz būtisku pakalpojumu darbības nepārtrauktību vai svarīgu pakalpojumu sniegšanu konkrētajā dalībvalstī;
10)
nodrošināt šā likuma 19. pantā minētā plāna izstrādi un integrēt to valsts aizsardzības plānos;
11)
uzturēt valsts iestāžu apkopoto un pašidentificēto būtisko un svarīgo pakalpojumu sniedzēju sarakstu, nodrošināt tā apstiprināšanu Digitālās drošības uzraudzības komitejā, kā arī iesniegt apkopotu un pēc nepieciešamības anonimizētu informāciju Eiropas Savienības Kiberdrošības aģentūrai par identificētajiem būtisko un svarīgo pakalpojumu sniedzējiem;
12)
sadarboties ar Eiropas Savienības Kiberdrošības aģentūru un nekavējoši informēt to par liela mēroga informācijas tehnoloģiju drošības incidentiem, kas skar būtisku vai svarīgu pakalpojumu sniedzējus, kā arī reizi trīs mēnešos sniegt tai ziņojumu par visiem incidentiem un apdraudējumiem, kas identificēti pārskata periodā, tostarp attiecībā uz būtisku un svarīgu pakalpojumu sniedzējiem un to pakalpojumiem;
13)
sadarboties ar NIS sadarbības grupu un īstenot ar to saistītos uzdevumus;
14)
koordinēt informācijas tehnoloģiju drošības incidenta apstrādi liela mēroga kiberincidentu gadījumā sadarbībā ar kiberincidentu novēršanas institūcijām, Eiropas Savienības, ārvalstu un starptautiskajām kompetentajām institūcijām (vienībām);
15)
Nacionālā kiberdrošības centra ietvarā izvērtēt būtisko un svarīgo pakalpojumu sniedzēju risku pārvaldības pasākumu atbilstību normatīvajos aktos noteiktajām prasībām.
7.
pants.
Aizsardzības ministrijas tiesības
(1)
Aizsardzības ministrijai ir šādas tiesības:
1)
veikt būtisko un svarīgo pakalpojumu sniedzēju, un valsts un pašvaldību institūciju uzraudzību, apkopot un analizēt informāciju, tostarp pieprasīt papildu informāciju no 13. pantā minētajiem subjektiem, sniegt saistošus norādījumus kiberdrošības pasākumu veikšanai;
2)
saistošu norādījumu neizpildes gadījumā Aizsardzības ministrija ir tiesīga uzlikt naudas sodu būtisko un svarīgo pakalpojumu sniedzējiem un valsts un pašvaldību institūcijām;
3)
pieņemt lēmumus (arī izdot administratīvos aktus), lai nodrošinātu šajā likumā valsts un pašvaldību institūcijām, kā arī privāto tiesību juridiskajām personām noteikto pienākumu izpildi;
4)
pēc tam, kad no kiberincidentu novēršanas institūcijas saņemta informācija par konstatētajām neatbilstībām vai drošības incidentu, Aizsardzības ministrija ir tiesīga veikt vienu vai vairākas šādas darbības:
a)
ierosināt, lai būtiska pakalpojuma sniedzējs vai svarīga pakalpojuma sniedzējs noteiktā termiņā novērš konstatētās neatbilstības tām drošības prasībām, kuras noteicis Ministru kabinets;
b)
pieņemt lēmumu, ar kuru uzdod būtiska vai svarīga pakalpojuma sniedzējam novērst drošības incidentu, tostarp izpildīt kiberincidentu novēršanas institūcijas rekomendācijas;
(2)
Šī panta pirmajā daļā minētās tiesības Aizsardzības ministrija neīsteno attiecībā uz valsts drošības iestādēm. Attiecībā uz informācijas tehnoloģiju kritisko infrastruktūru, tai skaitā, informācijas tehnoloģiju kritiskās infrastruktūras kopumā iekļauto valsts un pašvaldību institūciju, būtisko un svarīgo pakalpojumu sniedzēju un elektronisko sakaru komersantu informācijas tehnologīju infrastruktūru veic arī valsts drošības iestādes atbilstoši Ministru kabineta noteiktajai kārtībai par informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanu un īstenošanu;
(3)
Šī panta pirmajā daļā noteikto tiesību īstenošanai izdoto valsts drošības vai kiberapdraudējumu novēršanai paredzēto administratīvo aktu apstrīdēšana vai pārsūdzēšana neaptur šo aktu darbību. Tas neattiecas uz administratīvajiem aktiem par administratīvo sodu uzlikšanu.
8.
pants.
Kiberincidentu novēršanas institūcijas
(1)
Kiberincidentu novēršanas institūcijas ir institūcijas, kas uzrauga un veicina kiberdrošību Latvijā.
(2)
Kiberincidentu novēršanas institūciju uzdevumus veic:
1)
Militārās izlūkošanas un drošības dienesta struktūrvienība (turpmāk – MilCERT) attiecībā uz Aizsardzības ministriju, tās padotībā esošajām iestādēm un Nacionālajiem bruņotajiem spēkiem;
2)
CERT.LV attiecībā uz valsts un pašvaldību institūcijām (izņemot attīecībā uz valsts drošības iestādēm un šīs daļas 1. punktā noteikto), kā arī privāto tiesību juridiskajām personām.
(3)
CERT.LV tam noteiktos uzdevumus izpilda un tiesības īsteno Aizsardzības ministrijas pakļautībā atbilstoši normatīvajiem aktiem, deleģēšanas līguma noteikumiem un piešķirtajiem valsts budžeta līdzekļiem.
(4)
Kiberincidentu novēršanas institūcijas šajā likumā noteiktos uzdevumus izpilda atbilstoši tām piešķirtajiem valsts budžeta līdzekļiem, un šīm institūcijām nav tiesību pieprasīt samaksu par veiktajām darbībām.
9.
pants.
Kiberincidentu novēršanas institūciju uzdevumi
(1)
Kiberincidentu novēršanas institūcijām ir šādi uzdevumi:
1)
sniegt atbalstu kiberincidenta novēršanā vai koordinēt tā novēršanu;
2)
organizēt izglītojošus pasākumus, veikt pētniecisko darbu un tematiskas apmācības kiberdrošības jomā;
3)
sniegt atbalstu valsts institūcijām valsts drošības sargāšanā, kā arī noziedzīgu nodarījumu un citu likumpārkāpumu atklāšanā (izmeklēšanā) informācijas tehnoloģiju jomā, ievērojot normatīvajos aktos noteiktos datu apstrādes ierobežojumus;
4)
sadarboties ar Eiropas Savienības, ārvalstu un starptautisko organizāciju kompetentajām iestādēm un kiberincidentu novēršanas institūcijām (vienībām);
5)
nekavējoties informēt Nacionālo kiberdrošības centru par šā likuma 33. panta pirmajā daļā minēto nozīmīgu kiberincidentu, kā arī informēt citas Eiropas Savienības dalībvalsts kompetento iestādi par nozīmīgu kiberincidentu, kas ietekmē būtiska vai svarīga pakalpojuma darbības nepārtrauktību konkrētajā dalībvalstī;
6)
informēt Nacionālo kiberdrošības centru par konstatēto šā likuma 4. pantā minētā subjekta informācijas tehnoloģiju neatbilstību normatīvajiem aktiem, kuri nosaka kiberdrošības drošības prasības, kā arī konstatētajiem gadījumiem, kad subjekts nav ziņojis par kiberincidentu saskaņā ar šā likuma 32. pantu;
7)
īstenot koordinētas ievainojamību atklāšanas procesa koordinēšanu, nodrošinot informācijas fiksēšanu par ievainojamību, atbildīgas atklāšanas ziņojuma sagatavošanu, nosakot tā iesniegšanas, apstrādes kārtību un informācijas publiskošanas apjomu par atklāto drošības nepilnību, kā arī sadarbojoties ar iesaistītajām iestādēm ievainojamību novēršanā;
8)
nepieciešamības gadījumā informē Eiropas Savienības Kiberdrošības aģentūru par informāciju, kas iekļaujama ievainojamību datubāzē;
9)
gadījumos, kad ievainojamība skar arī citu Eiropas Savienības dalībvalsti, sadarbojas ar šīs dalībvalsts kompetentajām institūcijām;
10)
veic citus normatīvajos aktos noteiktos pienākumus.
(2)
Papildus šā panta pirmajā daļā noteiktajam, CERT.LV veic šādus uzdevumus:
1)
uztur vienotu Latvijas kibertelpā notiekošo darbību atainojumu, izņemot tajā pārraidītās informācijas saturu;
2)
uztur sabiedrībai pieejamā veidā atbilstoši aktuālajiem apdraudējumiem izstrādātas rekomendācijas kiberrisku novēršanai;
3)
nepieciešamības gadījumā piedalās Eiropas Savienības dalībvalstu kiberdrošības kapacitātes un rīcībpolitikas izvērtējumos neatkarīgā eksperta statusā;
4)
nodrošina kiberdrošības uzraudzības un operāciju centra darbību informācijas un komunikācijas tehnoloģiju resursiem, kuri izvietoti valsts nozīmes valsts institūciju informācijas sistēmu izmitināšanas datu centros, kā arī ir tiesīgi izvietot kiberdrošības operāciju centrus valsts nozīmes kompetenču centros un citviet pēc nepieciešamības;
10.
pants.
Kiberincidentu novēršanas institūciju tiesības
(1)
Kiberincidentu novēršanas institūcijas ir tiesīgas:
1)
pieprasīt un saņemt no valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām:
a)
informāciju par ieviestajām informācijas tehnoloģiju (tostarp tīklu un informācijas sistēmu) drošības prasībām, identificētajām nepilnībām, ievainojamībām un kiberapdraudējumu,
b)
tehnisko informāciju par notikušu vai notiekošu kiberincidentu (informācija par kiberincidenta apjomu, incidentu izraisījušu kaitniecisku programmatūru datnes, ievainojamību apraksts, incidenta novēršanai veiktie tehniskie pasākumi, informācija par kaitnieku darbībām vai cita tehniskā informācija, ieskaitot IP adreses);
2)
iegūt no valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām tiešsaistes datu plūsmu pēc abpusējas vienošanās kiberapdraudējuma identificēšanai un novēršanai;
3)
veikt pārbaudes valsts pārvaldes un pašvaldību iestādēs, būtisko un svarīgo pakalpojumu sniedzēju infrastruktūrā, kā arī informācijas tehnoloģiju kritiskajā infrastruktūrā.
4)
lūgt, lai Nacionālais kiberdrošības centrs nosūta citas Eiropas Savienības dalībvalsts kompetentajai iestādei, NIS sadarbības grupai, CSIRT tīklam vai Eiropas Savienības Kiberdrošības aģentūrai informāciju par kiberincidentu, kam ir ietekme uz būtisko vai svarīgo pakalpojumu sniegšanu konkrētajā dalībvalstī.
(2)
Šī panta pirmajā daļā noteiktās tiesības kiberincidentu novēršanas institūcijas neīsteno attiecībā uz valsts drošības iestādēm.
11.
pants.
Kiberincidentu novēršanas institūciju sadarbība
(1)
CERT.LV informē MilCERT par savā rīcībā esošo informāciju par kiberincidentiem Aizsardzības ministrijā, tās padotībā esošajās iestādēs un Nacionālajos bruņotajos spēkos.
(2)
MilCERT sniedz informāciju CERT.LV, lai tas nodrošinātu šā likuma 9. panta pirmās daļas 3. punktā noteikto uzdevumu īstenošanu, kā arī citu tā rīcībā esošo informāciju par CERT.LV kompetencē esošajiem kiberincidentiem.
(3)
Kiberincidentu novēršanas institūcijas regulāri savstarpēji apmainās ar informāciju par aktualitātēm informācijas tehnoloģiju drošības incidentu jomā.
12.
pants.
Sadarbība ar par kiberdrošību atbildīgajām institūcijām
Tiešās un pastarpinātās pārvaldes iestādēm, citām valsts institūcijām, atvasinātajām publiskajām personām un privāto tiesību juridiskajām personām ir pienākums sadarboties ar kiberincidentu novēršanas institūcijām, Nacionālo kiberdrošības centru un informācijas tehnoloģiju kritisko infrastruktūru uzraugošajām valsts drošības iestādēm, sniedzot tām nepieciešamo informāciju un pildot to likumīgās prasības.
13.
pants.
Nacionālā informācijas tehnoloģiju drošības padome
(1)
Ministru prezidents izveido Nacionālo informācijas tehnoloģiju drošības padomi, kuras darbību nodrošina Aizsardzības ministrija, un nosaka tās funkcijas.
(2)
Nacionālā informācijas tehnoloģiju drošības padome koordinē ar informācijas tehnoloģiju drošību saistītās politikas izstrādi, kā arī attiecīgu uzdevumu un pasākumu plānošanu un īstenošanu.
14.
pants.
Digitālās drošības uzraudzības komiteja
Digitālās drošības uzraudzības komiteja ir koleģiāla uzraudzības institūcija aizsardzības ministra pakļautībā, kas darbojas Ministru kabineta noteiktajā kārtībā.
IIInodaļaBūtisko un svarīgo pakalpojumu sniedzēji
15.
pants.
Būtisko pakalpojumu sniedzējs
Būtisko pakalpojumu sniedzējs šī likuma izpratnē ir:
1)
augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājs;
2)
domēna vārdu sistēmas pakalpojumu sniedzējs;
3)
elektronisko sakaru komersants;
4)
kvalificēts uzticamības pakalpojumu sniedzējs;
5)
pašvaldība, izņemot pašvaldības padotības iestādes;
6)
valsts tiešās vai pastarpinātās pārvaldes iestāde, vai cita valsts institūcija, izņemot valsts drošības iestādes;
7)
valsts vai pašvaldības institūcija, atvasināta publiska persona vai liels uzņēmums, kas veic saimniecisko darbību Latvijas Republikā vismaz vienā no šādām jomām:
a)
finanšu pakalpojumi (Kredītiestāžu likuma izpratnē) vai finanšu tirgus infrastruktūras pakalpojumi,
b)
dzeramā ūdens piegāde vai tirdzniecība,
c)
interneta plūsmas apmaiņas punkta pakalpojumi,
d)
enerģētika,
e)
transporta pakalpojumi,
f)
veselība,
g)
digitālā infrastruktūra,
h)
kosmosa tehnoloģijas.
16.
pants.
Svarīgo pakalpojumu sniedzējs
Svarīgo pakalpojumu sniedzējs šī likumā izpratnē:
1)
vidējs vai liels uzņēmums, kas nav būtisko pakalpojumu sniedzējs, un kas veic saimniecisko darbību Latvijas Republikā vismaz vienā no šī likuma 15. panta 7. punktā minētajām jomām.
2)
atvasināta publiska persona, vidējs vai liels uzņēmums, kas veic saimniecisko darbību Latvijas Republikā vismaz vienā no šādām jomām:
a)
ražošana,
b)
ķīmiskā rūpniecība un vairumtirdzniecība;
c)
atkritumu apsaimniekošana;
d)
digitālie pakalpojumi;
e)
pasta un kurjerpakalpojumi;
f)
pārtikas ražošana un vairumtirdzniecība.
17.
pants.
Būtisko vai svarīgo pakalpojumu sniedzēja pārstāvis
Par būtiska vai svarīga pakalpojuma sniedzēja pārstāvi var būt fiziskā persona vai privāto tiesību juridiskā persona, kas veic saimniecisko darbību Latvijas Republikā. Uz pakalpojuma sniedzēja pārstāvi attiecas šajā likumā noteiktie pakalpojuma sniedzēja pienākumi un tiesības.
18.
pants.
Būtisko un svarīgo pakalpojumu sniedzēju uzskaite
(1)
Pakalpojumu sniedzēji veic pašizvērtējumu, nosakot savu atbilstību būtiska pakalpojuma sniedzēja vai svarīga pakalpojuma sniedzēja statusam, par to informē Nacionālo kiberdrošības centru, iesniedzot informāciju par pakalpojuma sniedzēja nosaukumu, adresi, kontaktpersonu, interneta protokola adresēm, tautsaimniecības nozarēm, kurās veic saimniecisko darbību, un sniegto pakalpojumu būtību, kā arī norādot citas valstis, kurās pakalpojumu sniedzējs sniedz pakalpojumus.
(2)
Vismaz reizi trīs gados Nacionālais kiberdrošības centrs apkopo un Digitālās drošības uzraudzības komiteja apstiprina būtisko un svarīgo pakalpojumu sniedzēju sarakstu.
(3)
Nacionālajam kiberdrošības centram un Digitālās drošības uzraudzības komitejai ir tiesības regulāri pieprasīt un saņemt apkopotu informāciju no nozaru ministrijām par to pārraudzībā esošajiem būtisko un svarīgo pakalpojumu sniedzējiem.
(4)
Nacionālais kiberdrošības centrs nodrošina apkopotas informācijas par Latvijas Republikā reģistrēto būtisko un svarīgo pakalpojumu sniedzēju skaitu, darbības jomām un sniegtajiem pakalpojumiem iesniegšanu Eiropas Komisijai un NIS sadarbības grupai.
19.
pants.
Kiberrisku pārvaldības plāns
(1)
Būtisko un svarīgo pakalpojumu sniedzējiem ir pienākums izstrādāt kiberrisku pārvaldības plānu un nodrošināt darbiniekiem regulāras apmācības efektīvai plānā iekļauto pasākumu īstenošanai.
(2)
Kiberrisku pārvaldības plānā iekļauj:
1)
informāciju par rīcību un komunikācijas plānu kiberincidenta gadījumā, pasākumu kopumu tīklu un informācijas sistēmu loģiskajai un fiziskajai drošībai;
2)
kiberrisku novērtējuma metodoloģiju;
3)
informācijas sistēmu drošības politiku;
4)
kiberrisku pārvaldības politiku un procedūru aprakstu;
5)
darbības nepārtrauktības plānu, tajā skaitā krīzes pārvaldības, darbības atjaunošanas un datu atkopšanas plānu;
6)
piegāžu ķēžu drošības politiku;
7)
tīkla un informācijas sistēmu iegāžu un uzturēšanas prasības, tostarp ziņošanu par ievainojamībām;
8)
kriptogrāfijas un šifrēšanas politiku;
9)
cilvēkdrošības politiku un piekļuves kontroles risinājumu aprakstu;
10)
daudzfaktoru autentifikācijas pielietojumu;
11)
drošu saziņas līdzekļu izmantošanas kārtību (tai skaitā krīzes gadījumā);
12)
pamata kiberhigiēnas prasības un apmācību aktivitātes.
20.
pants.
Būtisko un svarīgo pakalpojumu sniedzēju uzraudzība
(1)
Būtisko un svarīgo pakalpojumu sniedzēju uzraudzību veic Nacionālais kiberdrošības centrs, un tā iekļauj klātienes pārbaudes, attālinātu pārraudzību, dokumentācijas pārbaudes, tostarp attiecībā uz risku vadību un auditos konstatēto nepilnību novēršanu, piemērojot vienādotas prasības un procedūras.
(2)
Nacionālais kiberdrošības centrs ir tiesīgs veikt būtisko vai svarīgo pakalpojumu sniedzēja atbilstības auditu vai pieprasīt neatkarīgu auditoru izvērtējumu par būtisko vai svarīgo pakalpojumu sniedzēja atbilstību šajā likumā un Ministru kabineta noteiktajām kiberdrošības prasībām.
(3)
Šī panta pirmajā un otrajā daļā minēto atbilstības izvērtējumu Nacionālais kiberdrošības centrs neīsteno attiecībā uz valsts drošības iestādēm un attiecībā uz informācijas tehnoloģiju kritisko infrastruktūru, tai skaitā, informācijas tehnoloģiju kritiskās infrastruktūras kopumā iekļauto valsts un pašvaldību institūciju, būtisko un svarīgo pakalpojumu sniedzēju un elektronisko sakaru komersantu informācijas tehnoloģiju infrastruktūru norādītās uzraudzības funkcijas veic arī valsts drošības iestādes atbilstoši Ministru kabineta noteiktajai kārtībai par informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanu un īstenošanu. Atbilstības izvērtējumu attiecībā uz informācijas tehnoloģiju kritisko infrastruktūru veic kompetentā valsts drošības iestāde.
(4)
Neatbilstības konstatēšanas gadījumā Nacionālais kiberdrošības centrs ir tiesīgs:
1)
izteikt būtisko vai svarīgo pakalpojumu sniedzējam brīdinājumu;
2)
uzdot būtisko vai svarīgo pakalpojumu sniedzējam veikt noteiktas darbības neatbilstības novēršanai;
3)
uzdot būtisko vai svarīgo pakalpojumu sniedzējam informēt pakalpojumu saņēmējus vai publicēt informāciju par konstatētajām neatbilstībām, apdraudējuma veidu un apmēru, kā arī novēršanas darbībām.
(5)
Šī panta otrajāun ceturtajā daļā minēto attiecībā uz informācijas tehnoloģiju kritisko infrastruktūru, tai skaitā, būtisko un svarīgo pakalpojumu sniedzējiem, kuri ir iekļauti informācijas tehnoloģiju kritiskās infrastruktūras kopumā, veic Nacionālais kiberdrošības centrs papildus Satversmes aizsardzības biroja kompetencei, kas noteikta Ministru kabineta noteikumos par informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanai kārtībai un kiberincidentu novēršanas institūciju.
(6)
Gadījumā, ja būtisko vai svarīgo pakalpojumu sniedzējs nav izpildījis šā panta trešās daļas 2. punktā minēto Nacionālā kiberdrošības centra lēmumu, un ja konstatētā neatbilstība rada būtisku kiberincidenta risku, Nacionālais kiberdrošības centrs ir tiesīgs:
1)
apturēt būtisko vai svarīgo pakalpojumu sniedzēja informācijas sistēmas vai resursa darbību līdz konstatētās neatbilstības novēršanai;
2)
piemērot būtisko vai svarīgo pakalpojumu sniedzējam naudas sodu.
21.
pants.
Publisko elektronisko sakaru tīklu drošība
(1)
Elektronisko sakaru komersantiem ir šādi pienākumi:
1)
ja attiecīgais komersants nodrošina publisko elektronisko sakaru tīklu vai publiski pieejamu elektronisko sakaru pakalpojumu, veikt piemērotus un samērīgus tehniskus un organizatoriskus pasākumus, lai atbilstīgi pārvarētu tīklu un pakalpojumu drošības apdraudējumus;
2)
sastādīt rīcības plānu elektronisko sakaru tīkla darbības nepārtrauktības nodrošināšanai, plānā norādot tehniskos un organizatoriskos pasākumus, kuru mērķis ir pārvarēt tīkla un pakalpojumu sniegšanas drošības apdraudējumus;
3)
nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai par kiberincidentu, kas ir būtiski ietekmējis publisko elektronisko sakaru tīklu vai publiski pieejamu elektronisko sakaru pakalpojumu sniegšanu;
4)
gadījumos, kad attiecībā uz publisko elektronisko sakaru tīklu vai publiski pieejamu elektronisko sakaru pakalpojumu pastāv konkrēts nozīmīgs kiberapdraudējums, informēt tīkla vai pakalpojuma galalietotājus, kurus šāds apdraudējums varētu skart, kā arī informēt par iespējamajiem digitāliem aizsardzības pasākumiem vai līdzekļiem, ko galalietotāji var izmantot. Vajadzības gadījumā pakalpojumu sniedzējiem savi galalietotāji jāinformē arī par pašu kiberapdraudējumu;
5)
pēc kompetentās kiberincidentu novēršanas institūcijas pieprasījuma sniegt tai pakalpojumu un tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku;
6)
pēc kompetentās kiberincidentu novēršanas institūcijas vai Nacionālā kiberdrošības centra pieprasījuma, ja konstatēti būtiski drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic ar Nacionālo kiberdrošības centru saskaņots kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts. Audita izmaksas sedz, un auditā konstatētos pārkāpumus novērš elektronisko sakaru komersants. Par drošības audita rezultātiem elektronisko sakaru komersants informē Nacionālo kiberdrošības centru un kompetento kiberincidentu novēršanas institūciju;
7)
pēc kompetentās kiberincidentu novēršanas institūcijas vai Nacionālā kiberdrošības centra pieprasījuma ne ilgāk kā uz piecām dienām slēgt galalietotājam piekļuvi elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai informācijas sistēmu, vai elektronisko sakaru tīklu drošību. Pieprasījumā norāda kiberapdraudējumu, piekļuves ierobežojuma ilgumu un, ja nepieciešams, citas papildu darbības, kas veicamas elektronisko sakaru komersantam (piemēram, datu plūsmas pārvirzīšana uz kompetentās kiberincidentu novēršanas institūcijas infrastruktūru).
(2)
Ministru kabinets nosaka rīcības plānā elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai ietveramo informāciju, šā plāna izpildes kontroles kārtību un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam.
22.
pants.
Informācijas tehnoloģiju kritiskā infrastruktūra
(1)
Informācijas tehnoloģiju kritiskās infrastruktūras kopumu atbilstoši Nacionālās drošības likumam apstiprina Ministru kabinets.
(2)
Ja būtisko vai svarīgo pakalpojumu sniedzējs ir informācijas tehnoloģiju kritiskās infrastruktūras daļa, tās īpašniekam vai valdītājam ir pienākums ārpakalpojuma saņemšanu saskaņot ar kompetento valsts drošības iestādi.
IVnodaļaKiberdrošības pārvaldība
23.
pants.
Minimālās kiberdrošības prasības
Ministru kabinets nosaka minimālās kiberdrošības prasības šī likuma 4. pantā minētajiem subjektiem, kārtību, kādā subjekti nodrošina savu informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām kiberdrošības prasībām, kā arī prasības un veicamos pasākumus valsts pārvaldes un pašvaldību iestāžu informācijas sistēmu pieejamības nodrošināšanai un datu atjaunošanai.
24.
pants.
Par kiberdrošību atbildīgā persona
(1)
Šī likuma 4. pantā minēto subjektu kiberdrošības pārvaldību nodrošina un par to atbild attiecīgā subjekta vadītājs. Katra subjekta vadītājs nosaka atbildīgo personu, kura īsteno kiberdrošības pārvaldību attiecīgajā subjektā (turpmāk — par kiberdrošību atbildīgā persona).
(2)
Par kiberdrošību atbildīgajai personai papildus citos normatīvajos aktos noteiktajam ir šādi pienākumi:
1)
organizēt institūcijas informācijas tehnoloģiju un fiziskās informācijas tehnoloģiju infrastruktūras drošības pasākumus;
2)
ne retāk kā reizi gadā veikt informācijas tehnoloģiju drošības pārbaudi un atbilstoši tās rezultātiem organizēt konstatēto trūkumu novēršanu;
3)
vismaz reizi gadā apmeklēt kiberincidentu novēršanas institūcijas organizētu apmācību kiberdrošības jautājumos;
4)
ne retāk kā reizi gadā veikt institūcijas darbinieku instruktāžu par aktuālajiem kiberriskiem un kiberdrošību.
25.
pants.
Koordinēta ievainojamību atklāšana
(1)
Ja persona, kas nav pilnvarota piekļūt informācijas sistēmai vai elektronisko sakaru tīklam, tajā konstatē ievainojamību, tā nekavējoties, bet ne vēlāk kā piecu darba dienu laikā iesniedz ievainojamības atklāšanas ziņojumu kompetentajai kiberincidentu novēršanas institūcijai.
(2)
Kompetentā kiberincidentu novēršanas institūcija apstiprina ievainojamības atklāšanas ziņojuma saņemšanu, pārbauda ziņojumā ietverto informāciju un informē ziņojuma iesniedzēju par drošības ievainojamības pamatotību un ievainojamības novēršanas rezultātu.
(3)
Ja ievainojamības atklāšanas ziņojumā sniegtā informācijā par ievainojamību kiberincidentu novēršanas institūcijas vērtējumā ir pamatota, kiberincidentu novēršanas institūcija par to nekavējoties informē informācijas sistēmas vai elektronisko sakaru tīkla, kurā konstatēta ievainojamība, īpašnieku vai tiesisko valdītāju.
(4)
Ievainojamības atklāšanas ziņojuma iesniedzējs nedrīkst izpaust informāciju par ievainojamību līdz ievainojamības novēršanai. Ievainojamības atklāšanas ziņojuma saturs ir ierobežotas pieejamības informācija, ja vien normatīvie akti neparedz augstāku klasifikācijas pakāpi.
26.
pants.
Koordinēta ievainojamību novēršana
(1)
Šā likuma 4. pantā minētais subjekts kompetentās kiberincidentu novēršanas institūcijas noteiktajā termiņā, bet ne vēlāk kā 90 dienu laikā no ievainojamības atklāšanas ziņojuma iesniegšanas brīža, veic ievainojamības novēršanai nepieciešamās darbības un par ievainojamības novēršanas gaitu informē kompetento kiberincidentu novēršanas institūciju.
(2)
Ja objektīvu iemeslu dēļ ievainojamību nav iespējams novērst šā panta pirmajā daļā norādītajā termiņā, pēc subjekta pieprasījuma kiberincidentu novēršanas institūcija var pagarināt ievainojamības novēršanas termiņu, bet ne vēlāk kā 180 dienu laikā no ievainojamības atklāšanas ziņojuma iesniegšanas brīža, par to informējot ievainojamības atklāšanas ziņojuma iesniedzēju.
(3)
Privāto tiesību juridiskās personas, uz kurām neattiecas šā panta pirmajā daļā noteiktie pienākumi, pēc savas iniciatīvas var vienoties ar ievainojamības atklāšanas ziņojuma iesniedzēju par ievainojamības novēršanas termiņu, par ievainojamības novēršanas gaitu informējot kompetento kiberincidentu novēršanas institūciju.
(4)
Kompetentā kiberincidentu novēršanas institūcija var sniegt atbalstu saziņā starp ievainojamības atklāšanas ziņojuma iesniedzēju un informācijas sistēmas vai elektronisko sakaru tīkla, kurā konstatēta ievainojamība, īpašnieku un tiesisko valdītāju, ja kāda no pusēm izsaka šādu vēlmi, tai skaitā nodrošināt ievainojamības atklāšanas ziņojuma iesniedzēja identitātes konfidencialitāti.
27.
pants.
Kiberhigiēnas prasības
Ministru kabinets valsts institūcijām un atvasinātajām publiskajām personām nosaka kiberhigiēnas pasākumu pamatelementus un prasības kiberhigiēnas pasākumu īstenošanai.
28.
pants.
Datu centru kiberdrošība
(1)
Valsts un pašvaldību institūciju informācijas sistēmas uztur Ministru kabineta noteiktajām prasībām atbilstošos datu centros, tostarp valsts institūciju informācijas sistēmu izmitināšanas datu centros.
(2)
Ministru kabinets nosaka:
1)
valsts institūciju informācijas sistēmu izmitināšanas datu centru drošības prasības, datu centra uzturētāja pienākumus un akreditācijas kārtību;
2)
valsts informācijas un komunikācijas sistēmu kategorijas un to izvietošanas noteikumus atbilstoši drošības prasībām.
(3)
Valsts institūciju informācijas sistēmu izmitināšanas datu centros iespējama kiberdrošības operāciju centru izveide, ko pēc nepieciešamības var veidot kompetentā kiberincidentu novēršanas institūcija.
(4)
Kiberdrošības operāciju centru ietvarā kiberincidentu novēršanas institūcijai ir tiesības vākt un apstrādāt kiberdraudu identificēšanai nepieciešamo telemetriju.
29.
pants.
Agrās brīdināšanas sensori
Ministru kabinets nosaka kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai valsts un pašvaldību institūcijās.
30.
pants.
Aizsardzība pret pakalpojumatteices kiberuzbrukumiem
Ministru kabinets nosaka:
1)
prasības informācijas tehnoloģiju infrastruktūras un interneta resursu aizsardzībai pret pakalpojumatteices kiberuzbrukumiem;
2)
kritērijus, atbilstoši kuriem informācijas tehnoloģiju infrastruktūras un interneta resursi tiek iekļauti aizsargājamo resursu sarakstā;
3)
kārtību, kādā tiek izvērtēta informācijas tehnoloģiju infrastruktūras un interneta resursu atbilstība šā panta 2. punktā minētajiem kritērijiem;
4)
aizsargājamo resursu saraksta apstiprināšanas kārtību.
31.
pants.
Informācijas tehnoloģiju kritiskās infrastruktūras kiberdrošība
Informācijas tehnoloģiju kritiskās infrastruktūras kiberdrošības pasākumu plānošanas un īstenošanas kārtību nosaka Ministru kabinets.
VnodaļaRīcība kiberinicidenta gadījumā
32.
pants.
Subjekta rīcība kiberincidenta gadījumā
(1)
Konstatējot nozīmīgu kiberincidentu, subjekts nekavējoties veic visas kiberincidenta novēršanai nepieciešamās darbības, kā arī nekavējoši informē par kiberincidentu kompetento kiberincidentu novēršanas institūciju un izpilda tās sniegtās rekomendācijas par rīcību kiberincidenta gadījumā. Informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberincidenta gadījumā nekavējoties informē par notikušo arī kompetento valsts drošības iestādi.
(2)
Subjekts četru stundu laikā pēc tam, kad konstatēts nozīmīgs kiberincidents, vai tiklīdz tas kļuvis iespējams, elektroniski iesniedz kompetentajai kiberincidentu novēršanas institūcijai sākotnējo ziņojumu par kiberincidentu. Sākotnējā ziņojuma saturu un informēšanas kārtību nosaka Ministru kabinets.
(3)
Subjekts mēneša laikā pēc sākotnējā ziņojuma iesniegšanas par nozīmīgu kiberincidentu vai nozīmīga kiberincidenta novēršanas eletroniski iesniedz kompetentajai kiberincidentu novēršanas institūcijai ziņojumu par kiberincidenta novēršanu. Ziņojuma saturu un informēšanas kārtību nosaka Ministru kabinets.
(4)
Privāto tiesību juridiskās personas, uz kurām neattiecas šā panta pirmajā daļā noteiktie pienākumi, kiberincidenta gadījumā veic visas tā novēršanai nepieciešamās darbības un var pēc savas iniciatīvas informēt par notikušo kompetento kiberincidentu novēršanas institūciju. Kiberincidentu novēršanas institūcija vienojas ar kiberincidenta pieteicēju par atbalsta sniegšanu kiberincidenta novēršanā.
33.
pants.
Kiberincidentu novēršanas institūcijas rīcība kiberincidenta gadījumā
(1)
Kiberincidentu novēršanas institūcija 24 stundu laikā no sākotnējās informācijas saņemšanas par nozīmīgu kiberincidentu, vienojas ar pieteicēju par atbalsta sniegšanu nozīmīga kiberincidenta novēršanā, sniedz kiberincidenta sākotnējo vērtējumu un izsaka priekšlikumus kiberincidenta novēršanai.
(2)
Ja konstatētais kiberincidents apdraud nacionālo drošību, kiberincidentu novēršanas institūcija par to informē Nacionālo kiberdrošības centru un kompetento valsts drošības iestādi. Nacionālais kiberdrošības centrs informē aizsardzības ministru, satiksmes ministru, par nozari atbildīgo ministru, kā arī sniedz priekšlikumus par nepieciešamo rīcību.
(3)
Ja konstatētajam kiberincidentam ir nozīmīga ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību, kiberincidentu novēršanas institūcija par to informē Nacionālo kiberdrošības centru. Nacionālais kiberdrošības centrs informē Sabiedrisko pakalpojumu regulēšanas komisiju, kā arī var informēt Eiropas Savienības Kiberdrošības aģentūru un CSIRT tīklu.
(4)
Kiberincidentu novēršanas institūcija var informēt sabiedrību vai arī prasīt, lai to dara attiecīgais subjekts, ja kiberincidenta publiskošana var to atrisināt vai novērst, vai arī citādā ziņā ir sabiedrības interesēs.
34.
pants.
Ierobežojošās darbības kiberincidenta gadījumā
(1)
Ja kiberincidents nozīmīgi apdraud informācijas sistēmu vai elektronisko sakaru tīklu drošību, un kiberincidentu nav iespējams novērst citā veidā, Nacionālais kiberdrošības centrs ir tiesīgs pieņemt lēmumu:
1)
atslēgt vai ierobežot piekļuvi kiberincidentā iesaistītajam augstākā līmeņa domēna ".lv" vārdam,
2)
ierobežot piekļuvi kiberincidentā iesaistītajai interneta protokola (IP) adresei,
3)
ierobežot piekļuvi kiberincidentā iesaistītajai mobilo platformu lietotnei,
4)
veikt izmaiņas domēna vārdu sistēmas ierakstos.
(2)
Šī panta pirmajā daļā minēto lēmumu Nacionālais kiberdrošības centrs pieņem Administratīvā procesa likumā noteiktajā kārtībā, lēmumā norādot piekļuves ierobežojuma ilgumu, kas nav garāks par piecām dienām, un, ja nepieciešams, citas papildu darbības, kas veicamas augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam (piemēram, datu plūsmas pārvirzīšana uz kompetentās kiberincidentu novēršanas institūcijas infrastruktūru).
(3)
Šī panta pirmajā daļā minētais Nacionālā kiberdrošības centra lēmums stājas spēkā tā pieņemšanas brīdī. Lēmuma apstrīdēšana vai pārsūdzēšana neaptur tā darbību un izpildi.
(4)
Augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam un elektronisko sakaru pakalpojumu sniedzējam ir pienākums ne vēlāk kā vienas darbdienas laikā pēc šī panta pirmajā daļā minētā Nacionālā kiberdrošības centra lēmuma to izpildīt.
35.
pants.
Kiberincidenta atribūcija
Ministru kabinets nosaka kārtību, kādā Latvija iniciē vai pievienojas publiskam kiberincidenta atribūcijas paziņojumam.
36.
pants.
Liela mēroga kiberincidentu un krīžu vadība
(1)
Liela mēroga kiberincidentu un krīžu vadību nodrošina Nacionālais kiberdrošības centrs sadarbībā ar valsts drošības iestādēm.
(2)
Liela mēroga kiberincidentu un krīžu vadības mērķi un kārtību nosaka Nacionālajā kiberincidentu krīzes vadības plānā.
(3)
Nacionālā kiberincidentu krīzes vadības plāna izstrādi un pārskatīšanu ne retāk kā reizi 4 gados nodrošina Nacionālais kiberdrošības centrs sadarbībā ar valsts drošības iestādēm. Nacionālo kiberincidentu krīzes vadības plānu apstiprina Ministru kabinets.
(4)
Nacionālajā kiberincidentu krīzes vadības plānā iekļauj:
1)
Nacionālā kiberdrošības centra, kiberincidentu novēršanas institūciju un valsts drošības iestāžu uzdevumus, pienākumus un savstarpējo sadarbības mehānismu;
2)
ar Nacionālā kiberincidentu krīzes vadības plāna īstenošanu saistītas apmācību aktivitātes un izspēli mācību scenārijos;
3)
sadarbības ietvaru ar ārvalstu un starptautiskajiem partneriem;
4)
sadarbību ar valsts un pašvaldību iestādēm, kā arī privātā sektora pārstāvjiem, uz ko potenciāli attiektos liela mēroga kiberincidenta ietekme.
(5)
Nacionālo kiberincidentu krīzes vadības plānā ietverto regulāri iekļauj Nacionālā kiberdrošības centra rīkotajās mācībās un apmācību aktivitātēs.
(6)
Nacionālais kiberdrošības centrs iesniedz Eiropas Komisijā un Eiropas Savienības Kiberkrīžu sadarbības organizācijas tīklā (CyCLONe) informāciju par Nacionālo kiberincidentu krīzes vadības plānu, izkļaujot informāciju, kas skar valsts drošības intereses.
37.
pants.
Rīcība informācijas tehnoloģiju drošības nepilnības konstatēšanas gadījumā
(1)
Šī likuma 4. pantā minētais subjekts, konstatējis drošības nepilnību, 90 dienu laikā veic visas tās novēršanai nepieciešamās darbības, kā arī par konstatēto nekavējoties informē kompetento kiberincidentu novēršanas institūciju.
(2)
Kompetentā kiberincidentu novēršanas institūcija, konstatējusi drošības nepilnību, par šo faktu nekavējoties informē informācijas sistēmas vai elektronisko sakaru tīkla īpašnieku vai tiesisko valdītāju (subjektu). Subjekts kompetentās kiberincidentu novēršanas institūcijas noteiktajā termiņā, bet ne vēlāk kā 90 dienu laikā kopš informēšanas brīža veic visas kiberdrošības nepilnības novēršanai nepieciešamās darbības.
VInodaļaCiti noteikumi
38.
pants.
Nacionālā kiberdrošības stratēģija
(1)
Nacionālās kiberdrošības stratēģijas izstrādi reizi četros gados izstrādā Nacionālais kiberdrošības centrs sadarbībā ar valsts pārvaldes iestādēm un privātā sektora pārstāvjiem un apstiprina Ministru kabinets.
(2)
Nacionālā kiberdrošības stratēģija nosaka:
1)
kiberdrošības pārvaldības stratēģiskos mērķus un modeli, kiberdrošības pārvaldībai nepieciešamos resursus;
2)
kiberdrošības pārvaldībā iesaistīto valsts pārvaldes iestāžu lomu sadalījumu, kā arī nacionālos un starptautiskos sadarbības mehānismus;
3)
valstiski aizsargājamo informācijas tehnoloģiju un resursu noteikšanas un kiberrisku izvērtēšanas kārtību;
4)
kiberincidentu reaģēšanas un novēršanas plānu izstrādes kārtību un prasībām, informācijas apmaiņas veidus, kā arī sadarbību starp publisko un privāto sektoru;
5)
pasākumu kopumu sabiedrības digitālo un kiberdrošības prasmju uzlabošanai.
(3)
Nacionālā kiberdrošības stratēģija attiecas uz valsts pārvaldi, kā arī būtiskajiem pakalpojumiem un būtisko pakalpojumu sniedzējiem, ja vien stratēģijā nav noteikts citādi.
(4)
Pamatojoties uz Nacionālo kiberdrošības stratēģiju var tikt izstrādāti rīcībpolitikas dokumenti tādās jomās kā:
1)
prasības informācijas un komunikācijas tehnoloģiju produktu un pakalpojumu piegāžu ķēdēm;
2)
prasības informācijas un komunikācijas tehnoloģiju produktiem un pakalpojumiem publiskā sektora iepirkumos (iekļaujot sertifikāciju, kriptēšanas prasības un atvērtā koda risinājumu lietojumu);
3)
ievainojamību pārvaldības prasības, ietverot koordinētu ziņošanu par ievainojamībām;
4)
prasības atklāta publiskā interneta integritātei, konfidencialitātei un pieejamībai;
5)
mūsdienīgu un inovatīvu kiberdrošības risinājumu izstrāde un ieviešana;
6)
privātā sektora un sabiedrības izpratnes veicināšana par kiberdrošību, kiberdrošības pētniecība;
7)
izglītības un pētniecības iestāžu kiberdrošības rīcībpolitika;
8)
brīvprātīga kiberdrošības informācijas apmaiņa privātajā sektorā;
9)
mazo un vidējo uzņēmumu kiberdrošības veicināšana, tai skaitā atbalsts mazo un vidējo uzņēmumu kiberdrošības spēju attīstībai;
10)
aktīvā kiberaizsardzība;
11)
reģionālo publiskā sektora iestāžu kiberdrošības veicināšana.
(5)
Nacionālais kiberdrošības centrs divas reizes gadā iesniedz Nacionālajai informācijas tehnoloģiju drošības padomei ziņojumu par Nacionālajā kiberdrošības stratēģijā izvirzīto uzdevumu izpildes statusu.
39.
pants.
Vienotais valsts interneta apmaiņas punkts
(1)
Vienoto valsts interneta apmaiņas punktu izveido un uztur ar mērķi:
1)
pastāvīgi nodrošināt kritiskās datu plūsmas atrašanos tikai Latvijas Republikas teritorijā;
2)
nodrošināt būtiski svarīgu sabiedrības funkciju īstenošanai, kā arī cilvēku veselības, aizsardzības, drošības, ekonomiskās un sociālās labklājības nodrošināšanai nepieciešamo informācijas sistēmu sasniedzamību gadījumā, ja Latvijas Republikā nav pieejams globālais tīmeklis;
3)
nepieciešamības gadījumā veikt atslēgšanos no globālā tīmekļa, vienlaikus saglabājot interneta plūsmu apmaiņu Latvijas Republikas teritorijā.
(2)
Vienotā valsts interneta apmaiņas punkta pakalpojumus ir tiesīgs saņemt ikviens subjekts, kura iekļaušanu vienotā valsts interneta apmaiņas punkta pakalpojumu saņēmēju sarakstā ir atbalstījusi starpinstitūciju komisija. Komisijas sastāvu, izveides un darbības kārtību nosaka Ministru kabinets.
(3)
Ministru kabinets nosaka:
1)
vienotā valsts interneta apmaiņas punkta darbības un pakalpojumu sniegšanas un saņemšanas kārtību;
2)
subjektus, kuriem ir noteikta prasība datu plūsmu nepastarpināti virzīt caur vienoto valsts interneta apmaiņas punktu.
40.
pants.
Personas datu apstrāde
(1)
Kiberincidentu novēršanas institūcija, pildot šajā likumā noteiktos uzdevumus un īstenojot savas tiesības, saņem un apstrādā personu identificējošu informāciju, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu vai to novērstu, kā arī nodrošinātu saziņu ar iesaistītām personām.
(2)
Kiberincidentu novēršanas institūcija ir tiesīga uzglabāt un analizēt datus, kas iegūti, lai pamatotu vai izslēgtu aizdomas par drošības nepilnību, ievainojamību un kiberincidentu, un satur personas datus, pēc nepilnības, ievainojamības un kiberincidenta atrisināšanas, ja tā ir noderīga saistītu drošības nepilnību, ievainojamību un kiberincidentu atklāšanā vai novēršanā.
(3)
Apstrādātos personas datus kiberincidentu novēršanas institūcija drīkst nodot šā likuma 9. pantu pirmās daļas 3. un 4. punktā minētajām institūcijām (vienībām), lai atpazītu un novērstu tādu drošības nepilnību, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai vai sabiedrības drošībai.
(4)
Apstrādātos un neapstrādātos personas datus kiberincidentu novēršanas institūcijas drīkst nodot Zemessardzei tādā apjomā un veidā, lai atpazītu un novērstu tādu drošības nepilnību, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai vai sabiedrības drošībai, ja Zemessardze atbilstoši Latvijas Republikas Zemessardzes likumā noteiktajam tiek iesaistīta atbalsta sniegšanā kompetentajai kiberincidentu novēršanas institūcijai.
Pārejas noteikums
Ar šā likuma spēkā stāšanos spēku zaudē Informācijas tehnoloģiju drošības likums (Latvijas Vēstnesis, 2010, 178. nr.; 2012, 179. nr.; 2013, 228. nr.; 2015, 34. nr.; 2017, 132. nr.; 2018, 210. nr.).
Informatīvā atsauce uz Eiropas Savienības direktīvām
Likumā iekļautas tiesību normas, kas izriet no:
1)
Eiropas Parlamenta un Padomes 2009. gada 25. novembra direktīvas 2009/140/EK, ar ko izdara grozījumus direktīvā 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem, direktīvā 2002/19/EK par piekļuvi elektronisko komunikāciju tīkliem un ar tiem saistītām iekārtām un to savstarpēju savienojumu un direktīvā 2002/20/EK par elektronisko komunikāciju tīklu un pakalpojumu atļaušanu (Dokuments attiecas uz EEZ);
2)
Eiropas Parlamenta un Padomes 2016. gada 6. jūlija direktīvas (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā [tiks aizstāts ar NIS2 pēc tās apstiprināšanas];
3)
Eiropas Parlamenta un Padomes 2018. gada 11. decembra direktīvas (ES) 2018/1972 par Eiropas Elektronisko sakaru kodeksa izveidi.
Likums stājas spēkā 2023. gada 1. janvārī.
Ministrs V. Uzvārds