24-TA-1718
Prasības kiberincidentu novēršanas institūcijām
Izdoti saskaņā ar Nacionālās kiberdrošības likuma 9. panta ceturto daļu
1.
Noteikumi nosaka prasības kiberincidentu novēršanas institūcijām (turpmāk – Institūcijas), kuras savus uzdevumus Latvijas Republikā veic atbilstoši Nacionālās kiberdrošības likumā noteiktajam.
2.
Institūcijas atbilst šādām prasībām:
2.1.
tās nodrošina savu saziņas kanālu (e-pasts, telefons un citi atbilstoši saziņas kanāli) augstu pieejamības līmeni, izvairoties no situācijām, kad viena kļūme izraisa visu saziņas kanālu darbības pārtraukumu, un tām ir vairāki saziņas kanāli, kas jebkurā laikā ļauj ar tām sazināties un nodrošina saziņu ar citiem. Informācija par Institūciju saziņas kanāliem ir, vai nu publiski pieejama, vai pieejama tām institūcijām un privāto tiesību juridiskajām personām, attiecībā uz kurām Institūcijas veic savus uzdevumus;
2.2.
tās nodrošina piekļuvei telpām atbilstošu apmeklētāju kontroli un ēkai, kurā tās atrodas ir nodrošināta apsardze;
2.3.
informācijas sistēmas tās izvieto telpās, kurās tiek uzturēta optimāla temperatūra un mitruma līmenis, ar dublētiem elektroenerģijas un interneta pieslēgumiem.
2.4.
tās ir aprīkotas ar piemērotu sistēmu pieprasījumu pārvaldībai un novirzīšanai, lai atvieglotu efektīvu un lietpratīgu pieprasījumu apstrādi;
2.5.
tās nodrošina savu darbību konfidencialitāti un uzticamību;
2.6.
tās nodrošina, ka tām ir pietiekams atbilstoši apmācītu darbinieku skaits, lai nepieciešamības gadījumā nodrošinātu savu pakalpojumu nepārtrauktu pieejamību;
2.7.
tās ir nodrošinātas ar rezerves informācijas un komunikāciju tehnoloģiju sistēmām un dublētām darba telpām vai iespēju pāriet uz attālinātu darbu, lai nodrošinātu savu pakalpojumu nepārtrauktību;
2.8.
to rīcībā ir piemērota, droša un noturīga saziņas un informācijas infrastruktūra, lai nodrošinātu informācijas apmaiņu ar būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem un citām personām, tai skaitā piedalītos starptautiskos sadarbības tīklos, veicinot drošu kopīgošanas rīku ieviešanu;
2.9.
gadījumos, kad institūcijas sadarbojas ar citām privāto un publisko tiesību juridiskajām personām, tiešās un pastarpinātās pārvaldes iestādēm, atvasinātām publiskajām personām un citām valsts institūcijām, tās pieņem un izmanto vienotu vai standartizētu praksi, klasifikācijas shēmas un taksonomiju attiecībā uz incidentu risināšanas procedūrām, krīžu pārvaldību un koordinētu ievainojamības izpaušanu.
3.
Par Institūciju atbilstību šajos noteikumos noteiktajām prasībām ir atbildīgs katras Institūcijas vadītājs.
4.
Institūcijas pirmreizēji par atbilstību šajos noteikumos noteiktajām prasībām līdz 2024. gada 31. decembrim informē Nacionālo kiberdrošības centru. Institūcijas atbilstību šo noteikumu 2. punktā minētajām prasībām izvērtē reizi piecos gados un par to informē Nacionālo kiberdrošības centru.
Informatīva atsauce uz Eiropas Savienības direktīvām
Noteikumos iekļautas tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 2022. gada 14. decembra direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (Dokuments attiecas uz EEZ).
Ministru prezidents V. Uzvārds
Ministrs V. Uzvārds