31.
pants.
22-TA-3012
Nacionālās kiberdrošības likums
InodaļaVispārīgie noteikumi
1.
pants.
Likumā lietotie termini
Likumā lietoti šādi termini:
1)
CSIRT tīkls — Eiropas Savienības dalībvalstu kiberdrošības incidentu novēršanas institūciju tīkls;
2)
datu centrs — telpa vai telpu komplekss, kas paredzēts informācijas tehnoloģiju un elektronisko sakaru tīkla iekārtu centralizētai izmitināšanai, savstarpējai savienošanai un darbībai, kas nodrošina datu uzglabāšanas, apstrādes un pārsūtīšanas (transportēšanas) pakalpojumus, kā arī visas iekārtas un infrastruktūras elektroenerģijas sadalei un klimata kontrolei, kā arī nepieciešamo noturības un drošības līmeni, kas nepieciešams, lai nodrošinātu pakalpojuma pieejamību atbilstoši noteiktajām prasībām;
3)
gandrīz noticis kiberincidents — notikums, kas būtu varējis apdraudēt apstrādātus datus vai pakalpojumu, kurus piedāvā tīklu un informācijas sistēmas vai kuri pieejami ar tīklu un informācijas sistēmu starpniecību, pieejamību, autentiskumu, integritāti vai konfidencialitāti, bet kura pilnīga īstenošanās tika sekmīgi novērsta vai tas neīstenojās;
4)
ievainojamība — informācijas un komunikācijas tehnoloģiju vai to pakalpojumu drošības nepilnība, kas ir informācijas sistēmas vai elektronisko sakaru tīkla izveides, uzturēšanas vai pārveidošanas gaitā radīta sistēmiska vājība, kuras rezultātā var tikt apdraudēta informācijas un komunikācijas tehnoloģiju konfidencialitāte, integritāte vai pieejamība un, kas var tikt izmantota kiberuzbrukuma īstenošanai;
5)
informācijas un komunikācijas tehnoloģijas — tehnoloģijas, kuras tām paredzēto uzdevumu izpildei ar tehnisko līdzekļu palīdzību veic informācijas elektronisko apstrādi, tai skaitā izveidošanu, izmainīšanu, dzēšanu, glabāšanu, attēlošanu, pārsūtīšanu vai pārraidīšanu (turpmāk – elektroniskā apstrāde), un nodrošina tehnoloģijas izmantotāju savstarpējo komunikāciju;
6)
kiberapdraudējums — jebkādi iespējami apstākļi, notikums vai darbība, kas varētu radīt bojājumus vai traucējumus vai citādi negatīvi ietekmēt tīklu un informācijas sistēmas, to lietotājus un citas personas, kā definēts Eiropas Parlamenta un Padomes 2019. gada 17. aprīļa Regulas (ES) 2019/881 par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) 526/2013 (Kiberdrošības akts) (turpmāk – Regula 2019/881) 2. panta 8. punktā;
7)
kiberdrošība — darbības, kas jāveic, lai aizsargātu tīklu un informācijas sistēmas, to lietotājus un citas personas, kuras skar kiberdraudi, kā definēts Regulas 2019/881 2. panta 1. punktā;
8)
kiberdrošības incidents (turpmāk – kiberincidents) — notikums, kas apdraud apstrādātus datus vai pakalpojumu, kurus piedāvā tīklu un informācijas sistēmas vai kuri pieejami ar tīklu un informācijas sistēmu starpniecību, pieejamību, integritāti, autentiskumu vai konfidencialitāti;
9)
kiberincidenta risināšana — darbību un procedūru kopums, kuru mērķis ir novērst, atklāt, analizēt un ierobežot kiberincidentu vai reaģēt uz kiberincidentu un atgūties no tā;
10)
kiberrisks — zaudējumu vai ietekmes uz pakalpojumiem iespējamība kiberincidenta ietekmē atbilstoši potenciālajām sekām un to iestāšanās varbūtībai;
11)
kiberuzbrukums — aktīva uzbrucēja rīcība, lai ietekmētu datu un informācijas un komunikācijas tehnoloģiju pakalpojuma konfidencialitāti, integritāti vai pieejamību;
12)
kiberhigiēna — ikdienas apzinātu prakšu un paradumu kopums, kas tiek veikts nolūkā novērst kiberapdraudējumus un nodrošināt datu aizsardzību un saglabāt informācijas un komunikācijas tehnoloģiju resursu pieejamību, integritāti un konfidencialitāti;
13)
liels saimnieciskās darbības veicējs — juridiskā vai fiziskā persona, vai šādu personu apvienība, kura veic saimniecisko darbību Latvijas Republikā, un kura atbilst vismaz vienai no šādām pazīmēm:
a)
saimnieciskās darbības veicējs nodarbina vismaz 250 nodarbinātos;
b)
saimnieciskās darbības veicēja pēdējā finanšu gada kopējais neto apgrozījums pasaulē pārsniedz 50 miljonus euro un gada bilances kopsumma pārsniedz 43 miljonus euro;
14)
pakalpojumatteices kiberuzbrukums – uzbrukums, kas tiek izdarīts pret pakalpojuma sniedzēja infrastruktūru ar mērķi negatīvi ietekmēt pakalpojuma pieejamību;
15)
pārrobežu kiberincidents — incidents, kas izraisa traucējumu līmeni, kurš pārsniedz dalībvalsts spēju uz to reaģēt, vai kam ir būtiska ietekme uz vismaz divām dalībvalstīm;
16)
mazs saimnieciskās darbības veicējs — juridiska vai fiziska persona, vai šādu personu apvienība, kura veic saimniecisko darbību Latvijas Republikā, un kura atbilst visām šādām pazīmēm:
a)
saimnieciskās darbības veicējs nodarbina ne vairāk kā 49 nodarbinātos;
b)
saimnieciskās darbības veicēja pēdējā finanšu gada kopējais neto apgrozījums pasaulē vai gada bilances kopsumma nepārsniedz 10 miljonus euro;
17)
nacionālā kiberdrošības stratēģija — stratēģiskās plānošanas dokuments, kas nosaka kiberdrošības politikas veidošanas pamatprincipus, mērķi un stratēģiskās prioritātes, atbilstoši šā likuma 42. pantā noteiktajam.
18)
NIS sadarbības grupa — Eiropas Savienības tīklu un informācijas sistēmu sadarbības grupa;
19)
nozīmīgs kiberapdraudējums — kiberapdraudējums, kuru, ņemot vērā tā tehniskās pamatīpašības, var uzskatīt par spējīgu nopietni ietekmēt kādas juridiskas vai fiziskas personas tīklu un informācijas sistēmas vai šīs personas sniegto pakalpojumu saņēmējus, radot ievērojamu materiālu vai nemateriālu kaitējumu;
20)
nozīmīgs kiberincidents — pārrobežu kiberincidents vai tāds kiberincidents, kuram ir ietekme uz sniegtā pakalpojuma nepārtrauktību vai sabiedrības interesēm un kurš atbilst šā likuma 31. panta pirmajā daļā minētajiem kritērijiem;
21)
tīkls – ir:
a) elektronisko sakaru tīkls;
b) jebkura ierīce vai savstarpēji savienotu vai saistītu ierīču grupa, no kurām viena vai vairākas ierīces atbilstoši programmai veic digitālu datu automātisku apstrādi vai;
c) digitāli dati, ko a) un b) apakšpunktā minētie elementi glabā, apstrādā, iegūst vai sūta to darbības, izmantošanas, aizsardzības un uzturēšanas nolūkos;
a) elektronisko sakaru tīkls;
b) jebkura ierīce vai savstarpēji savienotu vai saistītu ierīču grupa, no kurām viena vai vairākas ierīces atbilstoši programmai veic digitālu datu automātisku apstrādi vai;
c) digitāli dati, ko a) un b) apakšpunktā minētie elementi glabā, apstrādā, iegūst vai sūta to darbības, izmantošanas, aizsardzības un uzturēšanas nolūkos;
22)
uzticamības pakalpojums - elektronisks pakalpojums Eiropas Parlamenta un Padomes 2014. gada 23. jūlija regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ direktīvu 1999/93/EK 3. panta 16. punkta izpratnē;
23)
vienotais valsts interneta plūsmu apmaiņas punkts — pastāvīgs fiziskās infrastruktūras un pakalpojumu kopums, kas tiek izveidots un uzturēts, lai nodrošinātu vienotu valsts interneta plūsmu apmaiņu;
24)
vidējs saimnieciskās darbības veicējs — juridiska vai fiziska persona, vai šādu personu apvienība, kura veic saimniecisko darbību Latvijas Republikā, un kura atbilst visām šādām pazīmēm:
a)
saimnieciskās darbības veicējs nav mazs saimnieciskās darbības veicējs;
b)
saimnieciskās darbības veicējs nodarbina ne vairāk kā 249 nodarbinātos;
c)
saimnieciskās darbības veicēja pēdējā finanšu gada kopējais neto apgrozījums pasaulē nepārsniedz 50 miljonus euro vai gada bilances kopsumma nepārsniedz 43 miljonus euro.
2.
pants.
Likuma mērķis
Likuma mērķis ir:
1)
uzlabot informācijas un komunikācijas tehnoloģiju drošību, tai skaitā nosakot prasības būtisko un svarīgo pakalpojumu sniegšanai un saņemšanai, kā arī informācijas un komunikācijas tehnoloģiju darbībai;
2)
noteikt kārtību kiberdrošības nodrošināšanai, paredzot atbildības sadalījumu un Nacionālā kiberdrošības centra kompetenci, sadarbības ietvarus un kiberdrošības veicināšanas uzdevumus;
3)
veicināt kiberdrošības pasākumu īstenošanu tā, lai varētu savlaicīgi prognozēt un novērst, kā arī pārvarēt kiberapdraudējumu un likvidēt tā sekas, pēc iespējas nodrošinot pakalpojumu konfidencialitātes, integritātes un pieejamības nepārtrauktību.
3.
pants.
Likuma darbības joma
(1)
Likums attiecas uz:
1)
būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (visi kopā turpmāk – subjekti);
2)
tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām un citām valsts institūcijām , kā arī privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētu uzdevumu (visas kopā turpmāk – valsts un pašvaldību institūcijas), izņemot valsts drošības iestādes;
3)
privāto tiesību juridiskajām personām;
4)
šajā likumā noteiktajos gadījumos — uz fiziskajām personām, kas piedalās koordinētas ievainojamību atklāšanas procesā.
(2)
Likums neattiecas uz elektronisko sakaru tīklos pārraidāmās informācijas saturu tostarp, uz informācijas sabiedrības pakalpojumu saturu un audiovizuālajiem darbiem, ja tie netiek izmantoti kā kiberincidentu sastāvdaļa.
(3)
Likums attiecas uz finanšu vienībām Eiropas Parlamenta un Padomes 2022. gada 14. decembra Regulas (ES) Nr. 2022/2554 par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) Nr. 2016/1011 (turpmāk – Regula 2022/2554) 2. panta 2. punkta izpratnē, izņemot gadījumus, ja Regulā 2022/2554 un citos normatīvajos aktos par finanšu vienību kiberdrošību nav noteikts citādi, tai skaitā, citas speciālās prasības attiecībā uz risku pārvaldību (trešo personu saistīto risku pārvaldību, darbības noturību, testēšanu un incidentu ziņošanu). Likums neattiecas uz finanšu vienībām, kuras ir izslēgtas no Regulas 2022/2554 darbības jomas saskaņā ar Regulas 2022/2554 2. panta 4. punktu.
(4)
Ja nozarspecifiski Eiropas Savienības tiesību akti paredz būtisko pakalpojumu sniedzējiem vai svarīgo pakalpojumu sniedzējiem pieņemt kiberdrošības risku pārvaldības pasākumus vai ziņot par kiberincidentiem un, ja šādas prasības ietekmes ziņā ir vismaz līdzvērtīgas šajā likumā noteiktajiem pienākumiem, attiecīgos šā likuma nosacījumus, tostarp šā likuma VII sadaļā par uzraudzību un izpildes panākšanu, šiem subjektiem nepiemēro. Ja nozarspecifiski Eiropas Savienības tiesību akti neattiecas uz visiem būtisko pakalpojumu sniedzējiem un svarīgo pakalpojumu sniedzējiem konkrētā nozarē, attiecīgās šā likuma prasības turpina piemērot būtisko pakalpojumu sniedzējiem un svarīgo pakalpojumu sniedzējiem, uz kuriem neattiecas minētie nozarspecifiskie Eiropas Savienības tiesību akti.
(5)
Šī panta ceturtajā daļā minētās prasības uzskata par ietekmes ziņā līdzvērtīgām šajā likumā noteiktajiem pasākumiem, ja:
2)
nozarspecifiskais Eiropas Savienības tiesību akts paredz šā likuma 9. pantā noteiktajām kiberincidentu novēršanas institūcijām, šā likuma 12. pantā noteiktajām kompetentajām institūcijām un šā likuma 4. panta pirmajā daļā noteiktajai nacionālajai kompetentajai institūcijai tūlītēju un attiecīgā gadījumā automātisku un tiešu piekļuvi paziņojumiem par kiberincidentiem un, ja prasības ziņot par kiberincidentiem ietekmes ziņā ir vismaz līdzvērtīgas šā likuma 29. pantā noteiktajām prasībām.
IInodaļaPar kiberdrošību atbildīgās institūcijas
4.
pants.
Nacionālais kiberdrošības centrs
(1)
Nacionālais kiberdrošības centrs ir nacionālā kompetentā institūcija, kas darbojas kā vienotais kontaktpunkts kiberdrošības jautājumos un īsteno nacionālo kiberdrošības pārraudzību, veido nacionālās kiberdrošības rīcībpolitikas iniciatīvas un savas kompetences ietvaros veido un īsteno starptautisko sadarbību kiberdrošības jomā.
(2)
Nacionālā kiberdrošības centra funkcijas īsteno Aizsardzības ministrija.
5.
pants.
Nacionālā kiberdrošības centra uzdevumi
(1)
Nacionālajam kiberdrošības centram ir šādi uzdevumi:
1)
koordinēt sadarbību ar citu Eiropas Savienības dalībvalstu kompetentajām iestādēm un vienotajiem kontaktpunktiem, Eiropas Komisiju, Eiropas Savienības Kiberdrošības aģentūru un citām kompetentām Eiropas Savienības institūcijām kiberdrošības jautājumos;
2)
sadarboties ar būtisko pakalpojumu sniedzējiem un svarīgo pakalpojumu sniedzējiem to informācijas sistēmu drošības līmeņa noteikšanai;
3)
īstenot uzraudzības funkcijas, tostarp uzraudzīt, kā būtisko pakalpojumu sniedzēji un svarīgo pakalpojumu sniedzēji izpilda šajā likumā noteiktos pienākumus;
4)
izvērtēt būtisko un svarīgo pakalpojumu sniedzēju kiberrisku pārvaldības pasākumu atbilstību normatīvajos aktos noteiktajām prasībām;
5)
uzraudzīt publisko elektronisko sakaru tīklu drošības prasību ievērošanu;
6)
uzturēt valsts iestāžu apkopoto un pašidentificēto būtisko un svarīgo pakalpojumu sniedzēju sarakstu, nodrošināt tā apstiprināšanu Digitālās drošības uzraudzības komitejā, kā arī iesniegt apkopotu un pēc nepieciešamības anonimizētu informāciju kompetentajām Eiropas Savienības institūcijām par identificētajiem būtisko un svarīgo pakalpojumu sniedzējiem;
7)
nodrošināt Nacionālās kiberdrošības padomes un Digitālās drošības uzraudzības komitejas sekretariāta funkcijas;
8)
izvērtēt valsts informācijas sistēmu un institūciju informācijas sistēmu attīstības projektu atbilstību minimālajām kiberdrošības prasībām, ievērojot Valsts informācijas sistēmu likumā noteikto;
9)
nodrošināt vienotā valsts interneta apmaiņas punkta darbību, kā arī koordinēt vienotā valsts interneta apmaiņas punkta pakalpojumu saņemšanu sadarbībā ar valsts drošības iestādēm;
10)
sadarbībā ar valsts pārvaldes iestādēm, valsts drošības iestādēm un privātā sektora pārstāvjiem izstrādāt nacionālo kiberdrošības stratēģiju un ne vēlāk kā trīs mēnešus pēc nacionālās kiberdrošības stratēģijas apstiprināšanas informēt par to Eiropas Komisiju;
11)
nodrošināt šā likuma 31. panta trešajā daļā minētā plāna izstrādi un integrēt to valsts aizsardzības plānos, līdzdarboties Eiropas Savienības Kiberkrīžu sadarbības organizācijas tīklā;
12)
sadarboties ar Eiropas Savienības Kiberdrošības aģentūru un nekavējoši informēt to par pārrobežu kiberincidentiem, kas skar būtisku vai svarīgu pakalpojumu sniedzējus, kā arī reizi trīs mēnešos sniegt tai ziņojumu par visiem notikušajiem nozīmīgiem kiberincidentiem, kiberincidentiem, gandrīz notikušiem kiberincidentiem un kiberapdraudējumiem, par kuriem subjekti ir paziņojuši saskaņā ar šā likuma 29. pantā noteikto;
13)
sadarboties ar citu Eiropas Savienības dalībvalstu kompetentajām iestādēm, tostarp pēc kiberincidentu novēršanas institūcijas pieprasījuma nosūtīt tām saskaņā ar šā likuma 29. pantu saņemto informāciju par nozīmīgiem kiberincidentiem, kas skar šīs Eiropas Savienības dalībvalstis;
14)
koordinēt pārrobežu kiberincidenta risināšanu sadarbībā ar kiberincidentu novēršanas institūcijām, Eiropas Savienības, ārvalstu un starptautiskajām kompetentajām institūcijām;
15)
sadarboties ar NIS sadarbības grupu un īstenot ar to saistītos uzdevumus;
16)
īstenot Eiropas Parlamenta un Padomes 2021. gada 20. maija regulā (ES) Nr. 2021/887, ar ko izveido Eiropas Industriālo, tehnoloģisko un pētniecisko kiberdrošības kompetenču centru un Nacionālo koordinācijas centru tīklu, Nacionālajam koordinācijas centram noteiktās tiesības un pienākumus;
17)
uzturēt vienotu Latvijas kibertelpā notiekošo darbību atainojumu, izņemot tajā pārraidītās informācijas saturu;
18)
informēt sabiedrību par aktuālajiem kiberapdraudējumiem;
19)
nodrošināt drošības operāciju centru darbību šā likuma 25. panta pirmajā daļā minētajos datu centros;
20)
savas kompetences ietvaros piedalīties koordinētas ievainojamību atklāšanas un novēršanas procesā atbilstoši šā likuma VI nodaļā noteiktajam;
21)
nepieciešamības gadījumā informēt Eiropas Savienības Kiberdrošības aģentūru par informāciju, kas iekļaujama ievainojamību datubāzē;
22)
gadījumos, kad ievainojamība skar arī citu Eiropas Savienības dalībvalsti, sadarboties ar šīs dalībvalsts kompetentajām institūcijām;
23)
nepieciešamības gadījumā piedalīties Eiropas Savienības dalībvalstu kiberdrošības kapacitātes un rīcībpolitikas izvērtējumos neatkarīgā eksperta statusā.
(2)
Šī panta pirmās daļas 2., 3. un 4. punktā minētos uzdevumus Nacionālais kiberdrošības centrs īsteno tikai attiecībā uz tiem būtisko pakalpojumu sniedzējiem un svarīgo pakalpojumu sniedzējiem, kuri nav informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji.
6.
pants.
Nacionālā kiberdrošības centra tiesības
(1)
Nacionālajam kiberdrošības centram ir šādas tiesības:
1)
veikt būtisko pakalpojumu sniedzēju un svarīgo pakalpojumu sniedzēju kiberdrošības uzraudzību attiecībā uz noteikto pienākumu izpildi;
2)
pieprasīt un saņemt no būtisko un svarīgo pakalpojumu sniedzējiem informāciju par to īpašumā un valdījumā esošajām informācijas un komunikācijas tehnoloģijām, kā arī īstenotajiem un plānotajiem kiberdrošības un kiberrisku pārvaldības pasākumiem, kiberincidentiem, gandrīz notikušiem kiberincidentiem, kiberapdraudējumiem un ievainojamībām.
3)
pieprasīt un saņemt no valsts un pašvaldību institūcijām to rīcībā esošo informāciju par būtisko un svarīgo pakalpojumu sniedzējiem;
4)
sniegt norādījumus, lai nodrošinātu šajā likumā būtisko pakalpojumu sniedzējiem un svarīgo pakalpojumu sniedzējiem noteikto pienākumu izpildi;
5)
pieņemt lēmumu (arī izdot administratīvo aktu), lai nodrošinātu šajā likumā noteikto pienākumu izpildi vai novērstu nacionālās drošības vai kiberapdraudējumu;
6)
veikt tiesiskā pienākuma piespiedu izpildi saskaņā ar šā likuma 41. pantu.
7)
pieprasīt un saņemt informāciju no datu centru operatoriem par šā likuma 25. pantā noteikto pienākumu izpildi.
(2)
Šī panta pirmās daļas 1. un 2. punktā minētās tiesības attiecībā uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru, tai skaitā būtisko pakalpojumu sniedzējiem un svarīgo pakalpojumu sniedzējiem, kuri ir informācijas un komunikāciju tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji, īsteno Satversmes aizsardzības birojs. Šī panta pirmās daļas 5) . un 6) . punktā minētās tiesības attiecībā uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru Nacionālais kiberdrošības centrs īsteno sadarbībā ar Satversmes aizsardzības biroju atbilstoši šā likuma VII nodaļā noteiktajam.
7.
pants.
Satversmes aizsardzības biroja uzdevumi
Satversmes aizsardzības birojam ir šādi uzdevumi:
1)
īstenot uzraudzības funkcijas, tostarp uzraudzīt, kā informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji izpilda šajā likumā noteiktos pienākumus;
2)
sadarboties ar informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem to informācijas sistēmu drošības līmeņa noteikšanai;
3)
koordinēt pārrobežu kiberincidenta risināšanu sadarbībā ar kiberincidentu novēršanas institūcijām;
4)
izvērtēt informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieku un tiesisko valdītāju īstenojamo kiberrisku pārvaldības pasākumu atbilstību normatīvajos aktos noteiktajām prasībām.
8.
pants.
Satversmes aizsardzības biroja tiesības
Satversmes aizsardzības birojam ir šādas tiesības:
1)
veikt informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieku un tiesisko valdītāju kiberdrošības uzraudzību;
2)
pieprasīt un saņemt no informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem informāciju par to īpašumā un valdījumā esošajām informācijas un komunikācijas tehnoloģijām, kā arī īstenotajiem un plānotajiem kiberdrošības un kiberrisku pārvaldības pasākumiem, kiberincidentiem, gandrīz notikušiem kiberincidentiem, kiberapdraudējumiem un ievainojamībām;
3)
sniegt norādījumus, lai nodrošinātu šajā likumā informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekam un tiesiskajam valdītājam noteikto pienākumu izpildi vai novērstu nacionālās drošības apdraudējumu.
9.
pants.
Kiberincidentu novēršanas institūcijas
(1)
Kiberincidentu novēršanas institūcijas ir institūcijas, kas sniedz atbalstu valsts un pašvaldību institūcijām kiberdrošības jomā, uztur un aktualizē informāciju par kiberapdraudējumiem, un sniedz atbalstu fiziskām un juridiskām personām kiberincidentu novēršanā.
(2)
Kiberincidentu novēršanas institūciju uzdevumus veic:
1)
Militārās izlūkošanas un drošības dienests attiecībā uz Aizsardzības ministriju, tās padotībā esošajām iestādēm un Nacionālajiem bruņotajiem spēkiem;
2)
Latvijas Universitātes Matemātikas un informātikas institūts attiecībā uz valsts un pašvaldību institūcijām (izņemot attiecībā uz valsts drošības iestādēm un šīs daļas 1. punktā noteikto), kā arī privāto tiesību juridiskajām personām.
(3)
Latvijas Universitātes Matemātikas un informātikas institūts tam noteiktos uzdevumus izpilda un tiesības īsteno Aizsardzības ministrijas pakļautībā atbilstoši šajā likumā noteiktajam.
(4)
Ministru kabinets nosaka prasības kiberincidentu novēršanas institūcijām.
10.
pants.
Kiberincidentu novēršanas institūciju uzdevumi
Kiberincidentu novēršanas institūcijām ir šādi uzdevumi:
1)
veikt valsts līmenī nozīmīgu kiberapdraudējumu, ievainojamību un kiberincidentu analīzi;
2)
reaģēt uz kiberincidentiem, pēc subjekta pieprasījuma sniegt atbalstu kiberincidenta risināšanā vai koordinēt kiberincidenta novēršanu;
3)
brīdināt un sniegt Nacionālajam kiberdrošības centram, Satversmes aizsardzības birojam, subjektiem un, nepieciešamības gadījumā, citām iestādēm, relevantu informāciju par aktuālajiem nozīmīgiem kiberincidentiem, kiberincidentiem, gandrīz notikušiem kiberincidentiem, kiberapdraudējumiem un ievainojamībām;
4)
organizēt izglītojošus pasākumus, veikt analītisko un pētniecisko darbu un rīkot tematiskas apmācības kiberdrošības jomā;
5)
sniegt atbalstu valsts institūcijām valsts drošības sargāšanā, kā arī noziedzīgu nodarījumu un citu likumpārkāpumu atklāšanā (izmeklēšanā) informācijas un komunikācijas tehnoloģiju jomā;
6)
sadarboties ar Eiropas Savienības, ārvalstu un starptautisko organizāciju kompetentajām iestādēm un kiberincidentu novēršanas institūcijām, līdzdarboties CSIRT tīklā;
7)
nekavējoties informēt Nacionālo kiberdrošības centru un valsts drošības iestādes par šā likuma 30. panta pirmajā daļā minēto nozīmīgu kiberincidentu, kā arī informēt citas Eiropas Savienības dalībvalsts kompetento iestādi par nozīmīgu kiberincidentu, kas ietekmē būtiska vai svarīga pakalpojuma darbības nepārtrauktību konkrētajā dalībvalstī;
8)
informēt Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju par konstatēto subjekta informācijas un komunikācijas tehnoloģiju neatbilstību normatīvajiem aktiem, kuri nosaka kiberdrošības prasības, kā arī konstatētajiem gadījumiem, kad subjekts nav ziņojis par kiberincidentu saskaņā ar šā likuma 29. pantu;
9)
savas kompetences ietvaros sadarboties ar valsts un privātā sektora institūcijām, lai sekmētu to kiberdrošību un kibernoturību; sadarboties un apmainīties ar relevantu informāciju par aktuāliem kiberapdraudējumiem ar subjektu kopienām;
10)
pēc subjekta pieprasījuma veikt subjekta tīklu un informācijas sistēmu proaktīvu skenēšanu, lai atklātu ievainojamības ar iespējamu būtisku ietekmi;
11)
veic citus normatīvajos aktos noteiktos pienākumus.
11.
pants.
Kiberincidentu novēršanas institūciju tiesības
(1)
Kiberincidentu novēršanas institūcijas ir tiesīgas:
1)
pieprasīt un saņemt no subjektiem, valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām:
a)
informāciju par ieviestajām informācijas un komunikācijas tehnoloģiju (tostarp tīklu un informācijas sistēmu) drošības prasībām, identificētajām ievainojamībām un kiberapdraudējumu,
b)
tehnisko informāciju par notikušu vai notiekošu kiberincidentu (informācija par kiberincidenta apjomu, kiberincidentu izraisījušu kaitniecisku programmatūru datnes, ievainojamību apraksts, kiberincidenta novēršanai veiktie tehniskie pasākumi, informācija par kaitnieku darbībām vai cita tehniskā informācija, ieskaitot IP adreses);
2)
iegūt no subjektiem, valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām tiešsaistes datu plūsmu pēc abpusējas vienošanās kiberapdraudējuma identificēšanai un novēršanai;
3)
veikt pārbaudes būtisko un svarīgo pakalpojumu sniedzēju informācijas un komunikācijas tehnoloģiju infrastruktūrā, izņemot informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru;
4)
pēc Satversmes aizsardzības biroja pieprasījuma veikt pārbaudes informācijas un komunikācijas tehnoloģiju kritiskajā infrastruktūrā;
5)
lūgt, lai Nacionālais kiberdrošības centrs nosūta citas Eiropas Savienības dalībvalsts kompetentajai institūcijai, NIS sadarbības grupai, CSIRT tīklam vai Eiropas Savienības Kiberdrošības aģentūrai informāciju par kiberincidentu, kam ir ietekme uz būtisko vai svarīgo pakalpojumu sniegšanu konkrētajā dalībvalstī;
6)
veikt subjektu publiski pieejamu tīklu un informācijas sistēmu proaktīvu neintruzīvu skenēšanu, lai atklātu ievainojamības vai nedrošas konfigurācijas un par tām informētu attiecīgos subjektus.
(2)
Šī panta pirmās daļas 6. punktā minēto skenēšanu kiberincidentu novēršanas institūcija veic tā, lai tā neietekmētu attiecīgā subjekta pakalpojumu sniegšanas nepārtrauktību. Skenēšanu informācijas un komunikācijas kritiskajā infrastruktūrā veic, saskaņojot ar Satversmes aizsardzības biroju.
12.
pants.
Kompetento institūciju sadarbība
(1)
Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un kiberincidentu novēršanas institūcijas pēc nepieciešamības un regulāri, bet ne retāk kā reizi ceturksnī savstarpēji apmainās ar informāciju par aktualitātēm kiberincidentu jomā.
(2)
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs pēc nepieciešamības un regulāri, bet ne retāk kā reizi ceturksnī savstarpēji apmainās ar informāciju par aktualitātēm subjektu uzraudzībā, tostarp attiecībā uz subjektu identificēšanu, kiberriskiem, kiberapdraudējumiem, kiberincidentiem, gandrīz notikušiem kiberincidentiem, kā arī ar kiberdrošību nesaistītiem drošības riskiem, apdraudējumiem un incidentiem, kas skar subjektus, ja vien apmaiņa ar šādu informāciju nav pretrunā ar nacionālās drošības interesēm.
(3)
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs regulāri, bet ne retāk kā divas reizes gadā, apmainās ar informāciju par finanšu nozares aktuālajiem kiberincidentiem un kiberapdraudējumiem ar Latvijas Banku, Sabiedrisko pakalpojumu regulēšanas komisiju un Digitālās drošības uzraudzības komiteju, ja vien apmaiņa ar šādu informāciju nav pretrunā ar nacionālās drošības interesēm.
(4)
Kiberincidentu novēršanas institūcijas savas kompetences ietvaros sadarbojas ar:
1)
Latvijas Banku ar Regulas 2022/2554 2. pantā minēto finanšu vienību kiberdrošību saistītajos jautājumos, tostarp sniedz Latvijas Bankai savā rīcībā esošo informāciju par konstatētajiem kiberincidentiem šā likuma 16. panta pirmās daļas 8. punkta n) apakšpunktā minēto subjektu informācijas un komunikācijas tehnoloģiju infrastruktūrā;
2)
Sabiedrisko pakalpojumu regulēšanas komisiju jautājumos, kas skar elektronisko sakaru komersantu kiberdrošību, tostarp sniedz Sabiedrisko pakalpojumu regulēšanas komisijai savā rīcībā esošo informāciju, kas tai nepieciešama Elektronisko sakaru likumā noteikto funkciju īstenošanai;
3)
Civilās aviācijas aģentūru Eiropas Parlamenta un Padomes 2008. gada 11. marta Regulā (EK) Nr. 300/2008 par kopīgiem noteikumiem civilās aviācijas drošības jomā un ar ko atceļ Regulu (EK) Nr. 2320/2002 un Eiropas Parlamenta un Padomes 2018. gada 4. jūlija Regulā (ES) Nr. 2018/1139 par kopīgiem noteikumiem civilās aviācijas jomā un ar ko izveido Eiropas Savienības Aviācijas drošības aģentūru, un ar ko groza Eiropas Parlamenta un Padomes Regulas (EK) Nr. 2111/2005, (EK) Nr. 1008/2008, (ES) Nr. 996/2010, (ES) Nr. 376/2014 un Direktīvas 2014/30/ES un 2014/53/ES un atceļ Eiropas Parlamenta un Padomes Regulas (EK) Nr. 552/2004 un (EK) Nr. 216/2008 un Padomes Regulu (EEK) Nr. 3922/9 noteikto uzraudzības funkciju īstenošanai;
4)
Datu valsts inspekciju ar fizisko personu datu aizsardzību saistītajos jautājumos, tostarp sniedz Datu valsts inspekcijai savā rīcībā esošo informāciju par fizisko personu datu aizsardzības pārkāpumiem;
5)
policijas, prokuratūras, tiesas un citām kompetentajām iestādēm noziedzīgo nodarījumu novēršanai, atklāšanai un izmeklēšanai. Gadījumā, ja kiberincidentu novēršanas institūcija konstatē, ka kiberincidentam, gandrīz notikušam kiberincidentam, kiberapdraudējumam vai ievainojamībai pirmsšķietami vērojamas noziedzīga nodarījuma pazīmes, kiberincidentu novēršanas institūcija par to nekavējoties informē kompetento iestādi, sniedzot tai savā rīcībā esošo informāciju, kas nepieciešama procesuālo darbību veikšanai;
6)
valsts drošības iestādēm ar nacionālo drošību saistītajos jautājumos, tostarp sniedz kompetentajām valsts drošības iestādēm savā rīcībā esošo informāciju par kiberincidentiem, gandrīz notikušiem kiberincidentiem, kiberapdraudējumiem un ievainojamībām, kas apdraud vai var potenciāli apdraudēt nacionālo drošību.
(5)
Latvijas Universitātes Matemātikas un informātikas institūts informē Militārās izlūkošanas un drošības dienestu par savā rīcībā esošo informāciju par kiberincidentiem Aizsardzības ministrijā, tās padotībā esošajās iestādēs un Nacionālajos bruņotajos spēkos.
(6)
Militārās izlūkošanas un drošības dienests sniedz informāciju Latvijas Universitātes Matemātikas un informātikas institūtam, lai tas nodrošinātu šā likuma 10. panta 5. punktā noteikto uzdevumu īstenošanu, kā arī citu tā rīcībā esošo informāciju par Latvijas Universitātes Matemātikas un informātikas institūta kompetencē esošajiem kiberincidentiem.
13.
pants.
Sadarbība ar kiberdrošību atbildīgajām institūcijām
Subjektiem, valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām ir pienākums sadarboties ar kiberincidentu novēršanas institūcijām, Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju, sniedzot tām nepieciešamo informāciju un pildot to likumīgās prasības.
14.
pants.
Nacionālā kiberdrošības padome
(1)
Nacionālā kiberdrošības padome ir koleģiāla institūcija, kas koordinē ar kiberdrošību saistītās politikas izstrādi, kā arī attiecīgu uzdevumu un pasākumu plānošanu un īstenošanu.
(2)
Nacionālās kiberdrošības padomes sastāvu nosaka Ministru prezidents.
15.
pants.
Digitālās drošības uzraudzības komiteja
(1)
Digitālās drošības uzraudzības komiteja ir koleģiāla uzraudzības institūcija aizsardzības ministra pakļautībā.
(2)
Digitālās drošības uzraudzības komitejas nolikumu apstiprina Ministru kabinets.
(3)
Kiberincidentu novēršanas institūcijas savas kompetences ietvaros sadarbojas un sniedz Digitālās drošības uzraudzības komitejas funkciju īstenošanai nepieciešamo informāciju, tostarp informē par konstatētajiem nozīmīgiem kiberincidentiem un kiberapdraudējumiem, kas skar kvalificētus uzticamības pakalpojumu sniedzējus vai to sniegtos kvalificētus uzticamības pakalpojumus.
IIInodaļaSubjektu identifikācija un uzskaite
16.
pants.
Būtisko pakalpojumu sniedzējs
Būtisko pakalpojumu sniedzējs šī likuma izpratnē ir:
1)
augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājs;
2)
domēnu nosaukumu reģistrācijas un domēnu nosaukumu sistēmas pakalpojumu sniedzējs;
3)
elektronisko sakaru komersants;
4)
kvalificēts uzticamības pakalpojumu sniedzējs;
5)
tiešās pārvaldes iestāde un cita valsts institūcija, kā arī privāto tiesību juridiskā persona, kas pilda valsts pārvaldes deleģēto uzdevumu, izņemot valsts drošības iestādes;
6)
atvasināta publiska persona;
7)
sabiedriskie mediji;
8)
liels saimnieciskās darbības veicējs, kurš ir:
a)
energoapgādes komersants;
b)
naftas apgādes komersants;
c)
ūdeņraža apgādes komersants;
d)
aeronavigācijas pakalpojumu sniedzējs;
e)
gaisa kuģa ekspluatants;
f)
lidlauka vai citu civilās aviācijas objektu un iekārtu ekspluatants;
g)
dzelzceļa pārvadātājs;
h)
dzelzceļa infrastruktūras pārvaldītājs;
i)
kuģošanas kompānija, neietverot individuālus kuģus, ko šī kompānija pārvalda;
j)
ostas pārvalde;
k)
komersants, kurš veic komercdarbību ostas teritorijā;
l)
komersants, kurš pārvalda valsts autoceļus vai veic valsts autoceļu infrastruktūras uzturēšanas darbus;
m)
intelektisko transporta sistēmu operators;
n)
kredītiestāde, centrālais darījumu partneris vai tirdzniecības vieta (Finanšu instrumentu tirgus likuma izpratnē);
o)
ārstniecības iestāde;
p)
Eiropas Savienības references laboratorija;
q)
farmācijas komersants;
r)
kritiski svarīgu medicīnisko ierīču ražotājs (atbilstoši Eiropas Parlamenta un Padomes 2022. gada 25. janvāra regulas (ES) 2022/123 par pastiprinātu Eiropas Zāļu aģentūras lomu attiecībā uz zālēm un medicīniskajām ierīcēm krīžgatavības un krīžu pārvarēšanas kontekstā 22. pantā noteiktajam);
s)
dzeramā ūdens piegādātājs vai izplatītājs (izņemot, ja komersanta pamatdarbība nav saistīta ar dzeramā ūdens izplatīšanu);
t)
ūdenssaimniecības pakalpojumu sniedzējs;
u)
interneta plūsmu apmaiņas punkta pakalpojumu sniedzējs;
v)
mākoņdatošanas pakalpojumu sniedzējs;
w)
datu centru pakalpojumu sniedzējs;
x)
satura piegādes tīkla pakalpojumu sniedzējs;
y)
informācijas un komunikācijas tehnoloģiju pārvaldības vai kiberdrošības pakalpojumu sniedzējs;
z)
kosmosā izvietotu pakalpojumu sniedzējs vai šo pakalpojumu sniegšanai izmantojamās infrastruktūras operators;
9)
saimnieciskās darbības veicējs, kurš veic saimniecisko darbību vismaz vienā no šī panta pirmās daļas 8. punktā minētajām jomām, un ir vienīgais šāda veida pakalpojuma sniedzējs Latvijas Republikā;
10)
pastarpinātās pārvaldes iestāde, kura sniedz pakalpojumus vai darbojas privāto tiesību jomā vismaz vienā no šī panta pirmās daļas 8. punktā minētajām jomām.
11)
saimnieciskās darbības veicējs, kura sniegtā pakalpojuma traucējums var būtiski ietekmēt sabiedrības drošību, valsts aizsardzību vai sabiedrības veselību, vai var radīt būtisku sistēmisku risku, jo īpaši nozarēs, kurās šādam traucējumam var būt pārrobežu ietekme;
17.
pants.
Svarīgo pakalpojumu sniedzējs
(1)
Svarīgo pakalpojumu sniedzējs šī likumā izpratnē ir persona, kura nav būtisko pakalpojumu sniedzējs, un kura ir:
2)
vidējs vai liels saimnieciskās darbības veicējs, kurš ir:
a)
pasta komersants;
b)
atkritumu apsaimniekotājs;
c)
ķīmisko vielu vai to maisījumu ražotājs vai izplatītājs;
d)
komersants, kurš ražo izstrādājumus no ķīmiskajām vielām vai to maisījumiem;
e)
pārtikas uzņēmums un pārtikas piegādes loģistikas uzņēmums;
f)
medicīnisko ierīču ražotājs;
g)
datoru, elektronisko un optisko iekārtu ražotājs;
h)
elektrisko iekārtu ražotājs;
i)
citur neklasificētu iekārtu, mehānismu un darba mašīnu ražotājs;
j)
automobiļu, piekabju un puspiekabju ražotājs;
k)
citu transportlīdzekļu ražotājs;
l)
tiešsaistes tirdzniecības vietas pakalpojumu sniedzējs;
m)
tiešsaistes meklētājprogrammas pakalpojumu sniedzējs;
n)
sociālo mediju platformas pakalpojumu sniedzējs;
o)
zinātniskā institūcija;
p)
apsardzes pakalpojumu sniedzējs.
3)
saimnieciskās darbības veicējs, kurš veic saimniecisko darbību vismaz vienā no šī panta pirmās daļas 2. punktā minētajām jomām, un ir vienīgais šāda veida pakalpojuma sniedzējs Latvijas Republikā;
4)
pastarpinātās pārvaldes iestāde, kura sniedz pakalpojumus vai darbojas privāto tiesību jomā vismaz vienā no šī panta pirmās daļas 2. punktā minētajām jomām;
5)
izglītības informācijas sistēmas uzturētājs;
6)
uzticamības pakalpojumu sniedzējs, kurš nav kvalificēts uzticamības pakalpojumu sniedzējs.
(2)
Izglītības informācijas sistēma šā likuma izpratnē ir tāda informācijas sistēma, kurā tiek veikta Latvijas Republikā akreditētas izglītības iestādes izglītojamo datu elektroniskā apstrāde.
18.
pants.
Būtisko un svarīgo pakalpojumu sniedzēju uzskaite
(1)
Persona veic pašizvērtējumu, nosakot savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam. Atbilstības gadījumā persona ne vēlāk kā viena mēneša laikā par to paziņo Nacionālajam kiberdrošības centram. Paziņojumā norāda:
1)
personas nosaukumu (fiziskās personas gadījumā – vārdu, uzvārdu un personas kodu), juridisko statusu un saimnieciskās darbības formu, reģistrācijas numuru, juridisko adresi un citu kontaktinformāciju (piemēram, oficiālā elektroniskā adrese, elektroniskā pasta adrese, tālruņa numurs, tīmekļvietnes adrese);
3)
personas sniegto būtisko un svarīgo pakalpojumu uzskaitījumu un detalizētu aprakstu;
4)
personas izmantoto interneta protokola (IP) adrešu diapazonus;
5)
valstis, kurās persona sniedz pakalpojumus;
6)
personas kontaktpersonas datus (vārds, uzvārds, ieņemamais amats, tālruņa numurs, elektroniskā pasta adrese).
(2)
Būtisko pakalpojumu sniedzējs un svarīgo pakalpojumu sniedzējs nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām izmaiņām šī panta pirmajā daļā minētajā paziņojumā norādītajās ziņās.
(3)
Nacionālais kiberdrošības centrs bez nepamatotas kavēšanās pārsūta šī pantā pirmajā un otrajā daļā minētos paziņojumus Eiropas Savienības Kiberdrošības aģentūrai, izkļaujot šī panta pirmās daļas 4. punktā minēto informāciju un citu informāciju, kuras izpaušana ir pretrunā ar nacionālās drošības interesēm.
(4)
Nacionālais kiberdrošības centrs apkopo un Digitālās drošības uzraudzības komiteja apstiprina būtisko un svarīgo pakalpojumu sniedzēju sarakstu, kā arī domēnu nosaukumu reģistrācijas pakalpojumu sniedzēju sarakstu. Būtisko un svarīgo pakalpojumu sniedzēju saraksts ir ierobežotas pieejamības informācija.
(5)
Ja persona par savu atbilstību būtisko vai svarīgo pakalpojumu sniedzēja statusam šajā likumā noteiktajā termiņā nav paziņojusi Nacionālajam kiberdrošības centram, bet Nacionālā kiberdrošības centra rīcībā esošā informācija ir pietiekama, lai noteiktu minētās personas atbilstību būtisko vai svarīgo pakalpojumu sniedzēja statusam, Digitālās drošības uzraudzības komiteja pēc Nacionālā kiberdrošības centra ierosinājuma iekļauj minētā personas būtisko un svarīgo pakalpojumu sniedzēju sarakstā, par to rakstveidā paziņojot minētajam būtisko vai svarīgo pakalpojumu sniedzējam. Šādā gadījumā būtisko vai svarīgo pakalpojumu sniedzējam ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā no paziņošanas brīža paziņot Nacionālajam kiberdrošības centram šī panta pirmajā daļā minēto informāciju.
(6)
Šī panta ceturtajā daļā minētos sarakstus pārskata vismaz reizi divos gados. Nacionālais kiberdrošības centrs nodrošina apkopotas informācijas par būtisko un svarīgo pakalpojumu sniedzēju skaitu, darbības jomām un sniegtajiem pakalpojumiem iesniegšanu Eiropas Komisijai, NIS Sadarbības grupai, kā arī, pēc pieprasījuma, citām kompetentām Eiropas Savienības institūcijām.
(7)
Nacionālais kiberdrošības centrs pēc Eiropas Komisijas vai citas kompetentās Eiropas Savienības institūcijas pieprasījuma var tai sniegt relevantu informāciju par būtisko vai svarīgo pakalpojumu sniedzēja identitāti (piemēram, būtisko vai svarīgo pakalpojumu sniedzēja nosaukumu, juridisko statusu, saimnieciskās darbības formu, kontaktinformāciju utt.), ja vien šādas informācijas izpaušana nav pretrunā ar nacionālās drošības interesēm.
19.
pants.
Informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra
(1)
Par informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru šā likuma izpratnē uzskatāma Ministru kabineta apstiprinātajā kritiskās infrastruktūras kopumā iekļautā informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra.
(2)
Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību nosaka Ministru kabinets.
(3)
Šī panta otrajā daļā minētās prasības informācijas un komunikācijas tehnoloģiju kritiskajai infrastruktūrai nedrīkst būt par zemākas par šajā likumā būtisko pakalpojumu sniedzējiem noteiktajām prasībām.
IVnodaļaSubjektu kiberdrošības pārvaldība
20.
pants.
Subjekta vadītāja un kiberdrošības pārvaldnieka kompetence
(1)
Subjekta kiberdrošības pārvaldību nodrošina un par to atbild subjekta vadītājs. Katra subjekta vadītājs nosaka atbildīgo personu, kura īsteno un pārrauga kiberdrošības pasākumu īstenošanu attiecīgajā subjektā (turpmāk — kiberdrošības pārvaldnieks). Ministru kabinets nosaka kiberdrošības pārvaldniekam izvirzītās prasības.
(2)
Subjekts par kiberdrošības pārvaldnieka noteikšanu nekavējoties, bet ne vēlāk kā piecu darba dienu laikā pēc kiberdrošības pārvaldnieka noteikšanas paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam. Paziņojumā norāda kiberdrošības pārvaldnieka vārdu, uzvārdu, personas kodu, ieņemamo amatu, elektroniskā pasta adresi un tālruņa numuru.
(3)
Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nosaka kiberdrošības pārvaldnieku pēc saskaņošanas ar Satversmes aizsardzības biroju, kas veic kiberdrošības pārvaldnieka atbilstības izvirzītajām prasībām pārbaudi.
(4)
Subjekts nekavējoties, bet ne vēlāk kā piecu darba dienu laikā paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam par jebkādām izmaiņām šī panta otrajā daļā minētajā paziņojumā norādītajās ziņās.
(5)
Kiberdrošības pārvaldniekam ir šādi pienākumi:
1)
organizēt institūcijas informācijas un komunikācijas tehnoloģiju infrastruktūras drošības pasākumus;
2)
ne retāk kā reizi gadā veikt informācijas un komunikācijas tehnoloģiju drošības pārbaudi un atbilstoši tās rezultātiem organizēt konstatēto trūkumu novēršanu;
3)
vismaz reizi gadā apmeklēt kiberincidentu novēršanas institūcijas organizētu apmācību kiberdrošības jautājumos;
4)
ne retāk kā reizi gadā veikt institūcijā nodarbināto instruktāžu par aktuālajiem kiberriskiem un kiberdrošību.
21.
pants.
Minimālās kiberdrošības prasības
Ministru kabinets nosaka minimālās kiberdrošības prasības subjektiem un kārtību, kādā subjekti nodrošina savu informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām kiberdrošības prasībām, kā arī prasības un veicamos pasākumus subjektu elektronisko sakaru tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai.
22.
pants.
Subjekta pienākumi kiberapdraudējuma pārvaldības jomā
Subjekts veic piemērotus un samērīgus tehniskos, operatīvos un organizatoriskos pasākumus, lai pārvaldītu kiberriskus subjekta izmantoto elektronisko sakaru tīklu un informācijas sistēmu drošībai un novērstu vai līdz minimumam samazinātu kiberincidentu ietekmi uz subjekta pakalpojumu saņēmējiem un uz citiem pakalpojumiem.
23.
pants.
Kiberrisku pārvaldības un darbības nepārtrauktības plāns
(1)
Subjektam ir pienākums izstrādāt kiberrisku pārvaldības un darbības nepārtrauktības plānu un nodrošināt darbiniekiem regulāras apmācības efektīvai plānā iekļauto pasākumu īstenošanai.
(2)
Subjekta kiberrisku pārvaldības un darbības nepārtrauktības plānā obligāti iekļaujamās informācijas veidu un apjomu, kā arī plāna izpildes uzraudzības un kontroles kārtību nosaka Ministru kabinets.
24.
pants.
Agrās brīdināšanas sensori
Ministru kabinets nosaka kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu informācijas un komunikācijas tehnoloģiju infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus.
25.
pants.
Datu centru kiberdrošība
(1)
Subjekts savā īpašumā un valdījumā esošās informācijas sistēmas uztur subjekta informācijas un komunikācijas tehnoloģiju infrastruktūrā, kas atbilst minimālajām kiberdrošības prasībām, vai Ministru kabineta noteiktajām prasībām atbilstošos datu centros (turpmāk – datu centri).
(2)
Ministru kabinets nosaka:
1)
datu centru drošības prasības, datu centru atbilstības novērtēšanas, reģistrācijas un uzraudzības kārtību, kā arī datu centra uzturētāja pienākumus;
2)
informācijas un komunikācijas tehnoloģiju sistēmu izvietošanas noteikumus datu centros;
3)
drošības operāciju centru izveides un darbības noteikumus datu centros;
(3)
Drošības operāciju centru izveido un darbību datu centrā nodrošina kompetentā kiberincidentu novēršanas institūcija. Drošības operāciju centra ietvarā kiberincidentu novēršanas institūcijai ir tiesības vākt, glabāt un elektroniski apstrādāt kiberdraudu identificēšanai nepieciešamos datus, tai skaitā žurnālfailus, datu plūsmas, serveru veiktspējas datus. Datu centra operators, ja tā rīcībā ir nepieciešamie dati, var nodot kompetentai kiberincidentu novēršanas institūcijai ar saviem rīkiem iegūtos datus.
26.
pants.
Aizsardzība pret pakalpojumatteices kiberuzbrukumiem
Ministru kabinets nosaka:
1)
prasības informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursu aizsardzībai pret pakalpojumatteices kiberuzbrukumiem;
2)
kritērijus, atbilstoši kuriem informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursi tiek iekļauti pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu sarakstā;
3)
kārtību, kādā tiek izvērtēta informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursu atbilstība šā panta 2. punktā minētajiem kritērijiem;
4)
pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu saraksta apstiprināšanas kārtību.
27.
pants.
Vienotais valsts interneta plūsmu apmaiņas punkts
(1)
Vienoto valsts interneta plūsmu apmaiņas punktu izveido un uztur ar mērķi:
1)
pastāvīgi nodrošināt kritiskās datu plūsmas atrašanos tikai Latvijas Republikas teritorijā;
2)
nodrošināt svarīgu sabiedrības funkciju īstenošanai, kā arī cilvēku veselības, aizsardzības, drošības, ekonomiskās un sociālās labklājības nodrošināšanai nepieciešamo informācijas sistēmu sasniedzamību gadījumā, ja Latvijas Republikā nav pieejams globālais tīmeklis;
3)
nodrošināt pilnvērtīgu interneta darbību un datu plūsmu apmaiņu Latvijas Republikas teritorijā, ja veikta atslēgšanās no globālā tīmekļa.
(2)
Vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumus ir tiesīga saņemt valsts vai pašvaldības institūcija vai subjekts, kura iekļaušanu vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņēmēju sarakstā ir atbalstījusi starpinstitūciju komisija. Komisijas sastāvu, izveides un darbības kārtību nosaka Ministru kabinets.
(3)
Ministru kabinets nosaka:
1)
vienotā valsts interneta plūsmu apmaiņas punkta darbības un pakalpojumu sniegšanas un saņemšanas kārtību;
2)
kritērijus valsts un pašvaldību institūciju un subjektu iekļaušanai vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņēmēju sarakstā;
3)
valsts un pašvaldību institūcijas un subjektus, kuriem ir noteikta prasība datu plūsmu nepastarpināti virzīt caur vienoto valsts interneta plūsmu apmaiņas punktu.
28.
pants.
Kiberhigiēnas prasības
Ministru kabinets nosaka kiberhigiēnas un kibernoturības pasākumu pamatelementus un prasības kiberhigiēnas un kibernoturības pasākumu īstenošanai valsts un pašvaldību institūcijām, atvasinātajām publiskajām personām un citām valsts institūcijām, privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētu uzdevumu, izņemot valsts drošības iestādes.
VnodaļaRīcība kiberinicidenta gadījumā
29.
pants.
Subjekta rīcība kiberincidenta gadījumā
(1)
Konstatējot kiberincidentu, subjekts nekavējoties veic visas kiberincidenta novēršanai nepieciešamās darbības, kā arī nekavējoši informē par kiberincidentu kompetento kiberincidentu novēršanas institūciju un izpilda tās sniegtos norādījumus par rīcību kiberincidenta gadījumā. Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberincidenta gadījumā nekavējoties informē par notikušo arī kompetento valsts drošības iestādi.
(2)
Nozīmīga kiberincidenta gadījumā subjekts bez nepamatotas kavēšanās, bet ne vēlāk kā divdesmit četru stundu laikā elektroniski iesniedz kompetentajai kiberincidentu novēršanas institūcijai agrīno brīdinājumu par nozīmīgo kiberincidentu.
(3)
Nozīmīga kiberincidenta gadījumā subjekts bez nepamatotas kavēšanās, bet ne vēlāk kā septiņdesmit divu stundu laikā (uzticamības pakalpojumu sniedzējs – divdesmit četru stundu laikā) elektroniski iesniedz kompetentajai kiberincidentu novēršanas institūcijai sākotnējo ziņojumu par nozīmīgo kiberincidentu.
(4)
Nozīmīga kiberincidenta vai kiberapdraudējuma gadījumā subjekts bez nepamatotas kavēšanās informē savu pakalpojumu saņēmējus, tostarp elektronisko sakaru tīkla vai informācijas sistēmas lietotājus, kurus šāds nozīmīgs kiberincidents vai kiberapdraudējums varētu skart, par iespējamajiem kiberdrošības pasākumiem vai līdzekļiem, ko pakalpojumu saņēmēji var izmantot, lai novērstu kiberincidentu vai mazinātu kiberapdraudējumu. Attiecīgajā gadījumā subjekts, saskaņojot ar kompetento kiberincidentu novēršanas institūciju (informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs – arī ar kompetento valsts drošības iestādi), bez nepamatotas kavēšanās informē savu pakalpojumu saņēmējus arī par nozīmīgu kiberincidentu vai kiberapdraudējumu, ja vien šādas informācijas izpaušana nerada jauna nozīmīga kiberincidenta risku vai nav citādi pretrunā ar nacionālās drošības interesēm.
(5)
Subjekts mēneša laikā pēc šī panta trešajā daļā minētā ziņojuma iesniegšanas iesniedz kompetentajai kiberincidentu novēršanas institūcijai gala ziņojumu par nozīmīgā kiberincidenta atrisināšanu. Pēc kompetentās kiberincidentu novēršanas institūcijas pieprasījuma subjekts tai iesniedz arī starpposma ziņojumu par nozīmīgā kiberincidenta risināšanu.
(6)
Ja šī panta piektajā daļā noteiktajā termiņā nozīmīgo kiberincidentu nav iespējams atrisināt, subjekts iesniedz kompetentajai kiberincidentu novēršanas institūcijai progresa ziņojumu par nozīmīgā kiberincidenta risināšanu, savukārt šī panta piektajā daļā minēto gala ziņojumu iesniedz pēc nozīmīgā kiberincidenta atrisināšanas.
(7)
Ministru kabinets nosaka šī panta otrajā daļā minētā brīdinājuma, kā arī šī panta trešajā, piektajā un sestajā daļā minēto ziņojumu saturu un informēšanas kārtību.
(8)
Personas, uz kurām neattiecas šā panta pirmajā daļā noteiktie pienākumi, kiberincidenta gadījumā veic visas tā novēršanai nepieciešamās darbības un var pēc savas iniciatīvas brīvprātīgi ziņot par konstatēto kiberincidentu kompetentajai kiberincidentu novēršanas institūcijai. Kiberincidentu novēršanas institūcija vienojas ar personu, kura ziņojusi par kiberincidentu, par atbalsta sniegšanu kiberincidenta risināšanā. Brīvprātīga ziņošana par kiberincidentu neuzliek minētajai personai papildu pienākumus.
(9)
Subjekti un citas personas var pēc savas iniciatīvas brīvprātīgi ziņot kompetentajai kiberincidentu novēršanas institūcijai par gandrīz notikušu kiberincidentu vai kiberapdraudējumu. Brīvprātīga ziņošana par gandrīz notikušu kiberincidentu vai kiberapdraudējumu neuzliek personai papildu pienākumus.
(10)
Subjekts pēc kompetentās kiberincidentu novēršanas institūcijas vai Nacionālā kiberdrošības centra pieprasījuma ne ilgāk kā uz piecām dienām slēdz lietotājam piekļuvi elektronisko sakaru tīklam, ja lietotājs būtiski apdraud citu lietotāju tiesības vai elektronisko sakaru tīkla, informācijas sistēmas vai pakalpojuma drošību. Pieprasījumā norāda kiberapdraudējumu, piekļuves ierobežojuma ilgumu un, ja nepieciešams, citas papildu darbības, kas veicamas subjektam (piemēram, datu plūsmas pārvirzīšana uz kompetentās kiberincidentu novēršanas institūcijas infrastruktūru). Pieprasījuma apstrīdēšana vai pārsūdzēšana neaptur tā darbību. Nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam nosaka Ministru kabinets.
30.
pants.
Kiberincidentu novēršanas institūcijas rīcība kiberincidenta gadījumā
(1)
Kiberincidentu novēršanas institūcija bez nepamatotas kavēšanās informē Nacionālo kiberdrošības centru par šā likuma 29. panta otrajā daļā minētā agrīnā brīdinājuma vai trešajā, ceturtajā vai piektajā daļā minētā paziņojuma saņemšanu. Kiberincidentu novēršanas institūcija informē Nacionālo kiberdrošības centru arī par šā likuma 29. panta septītajā un astotajā daļā minētā paziņojuma saņemšanu.
(2)
Kiberincidentu novēršanas institūcija divdesmit četru stundu laikā no sākotnējās informācijas saņemšanas par nozīmīgu kiberincidentu, vienojas ar personu, kura ziņojusi par nozīmīgu kiberincidentu, par atbalsta sniegšanu nozīmīga kiberincidenta novēršanā, sniedz kiberincidenta sākotnējo vērtējumu un izsaka priekšlikumus kiberincidenta novēršanai.
(3)
Ja konstatētais kiberincidents apdraud nacionālo drošību, kiberincidentu novēršanas institūcija par to informē Nacionālo kiberdrošības centru un valsts drošības iestādes. Nacionālais kiberdrošības centrs informē aizsardzības ministru, un par nozari atbildīgo ministru.
(4)
Ja konstatētajam kiberincidentam ir nozīmīga ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību, kiberincidentu novēršanas institūcija par to informē Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju. Nacionālais kiberdrošības centrs informē Sabiedrisko pakalpojumu regulēšanas komisiju, kā arī var informēt Eiropas Savienības Kiberdrošības aģentūru un CSIRT tīklu.
(5)
Pārrobežu kiberincidenta gadījumā kompetentā kiberincidentu novēršanas institūcija bez nepamatotas kavēšanās informē kiberincidenta skarto Eiropas Savienības dalībvalstu kompetentās iestādes un Eiropas Savienības Kiberdrošības aģēntūru.
(6)
Ja sabiedrības informēšana par nozīmīgu kiberincidentu vai kiberapdraudējumu var palīdzēt novērst vai risināt nozīmīgu kiberincidentu, mazināt kiberapdraudējumu, vai ir citādā ziņā sabiedrības interesēs, Nacionālais kiberdrošības centrs vai kompetentā kiberincidentu novēršanas institūcija, iepriekš apspriežoties ar subjektu, var informēt sabiedrību vai uzdot subjektam informēt sabiedrību, ja vien minētās informācijas izpaušana nav pretrunā ar nacionālās drošības interesēm.
31.
pants.
Nozīmīgu kiberincidentu un krīžu vadība
(1)
Kiberincidentu nozīmīguma kritērijus apstiprina Ministru kabinets.
(2)
Nozīmīgu kiberincidentu un krīžu vadību nodrošina Nacionālais kiberdrošības centrs sadarbībā ar kiberincidentu novēršanas institūcijām un valsts drošības iestādēm.
(3)
Nozīmīgu kiberincidentu un krīžu vadības mērķus, spējas, resursus un kārtību nosaka Nacionālajā kiberincidentu krīzes vadības plānā, kura izstrādi un pārskatīšanu ne retāk kā reizi četros gados nodrošina Nacionālais kiberdrošības centrs sadarbībā ar valsts drošības iestādēm. Nacionālo kiberincidentu krīzes vadības plānu apstiprina Ministru kabinets.
(4)
Nacionālajā kiberincidentu krīzes vadības plānā iekļauj:
1)
Nacionālā kiberdrošības centra, kiberincidentu novēršanas institūciju un valsts drošības iestāžu uzdevumus, pienākumus un savstarpējo sadarbības mehānismu;
2)
ar Nacionālā kiberincidentu krīzes vadības plāna īstenošanu saistītas apmācību aktivitātes un izspēli mācību scenārijos;
3)
sadarbības ietvaru ar ārvalstu un starptautiskajiem partneriem;
4)
sadarbības ietvaru ar valsts un pašvaldību iestādēm, kā arī privātā sektora pārstāvjiem, uz ko potenciāli attiektos nozīmīga kiberincidenta ietekme;
5)
kārtību un kompetento iestāžu sadarbības ietvaru nozīmīgu kiberincidentu un krīžu efektīvai pārvaldībai Eiropas Savienības līmenī.
(5)
Nacionālajā kiberincidentu krīzes vadības plānā noteiktās procedūras regulāri iekļauj Nacionālā kiberdrošības centra un citu kompetento institūciju rīkotajās mācībās un apmācību aktivitātēs.
(6)
Nacionālais kiberdrošības centrs iesniedz Eiropas Komisijā un Eiropas Savienības Kiberkrīžu sadarbības organizācijas tīklā informāciju par Nacionālo kiberincidentu krīzes vadības plānu, izņemot informāciju, kas skar nacionālās drošības intereses.
32.
pants.
Ierobežojošās darbības kiberincidenta gadījumā
(1)
Ja kiberincidents nozīmīgi apdraud informācijas sistēmu vai elektronisko sakaru tīklu drošību, un kiberincidentu nav iespējams novērst citā veidā, Nacionālais kiberdrošības centrs ir tiesīgs pieņemt lēmumu:
1)
atslēgt vai ierobežot piekļuvi kiberincidentā iesaistītajam augstākā līmeņa domēna ".lv" vārdam;
2)
ierobežot piekļuvi kiberincidentā iesaistītajai interneta protokola (IP) adresei;
3)
ierobežot piekļuvi kiberincidentā iesaistītajai mobilo platformu lietotnei vai;
4)
veikt izmaiņas domēna vārdu sistēmas ierakstos.
(2)
Šī panta pirmajā daļā minēto lēmumu Nacionālais kiberdrošības centrs pieņem Administratīvā procesa likumā noteiktajā kārtībā, lēmumā norādot piekļuves ierobežojuma ilgumu, kas nav garāks par piecām dienām, un, ja nepieciešams, citas papildu darbības, kas veicamas augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam (piemēram, datu plūsmas pārvirzīšana uz kompetentās kiberincidentu novēršanas institūcijas infrastruktūru).
(3)
Šī panta pirmajā daļā minētā Nacionālā kiberdrošības centra lēmuma apstrīdēšana vai pārsūdzēšana neaptur tā darbību un izpildi.
(4)
Augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam un elektronisko sakaru pakalpojumu sniedzējam ir pienākums ne vēlāk kā vienas darbdienas laikā pēc šī panta pirmajā daļā minētā Nacionālā kiberdrošības centra lēmuma paziņošanas to izpildīt.
(5)
Pirms šī panta pirmajā daļā minētā lēmuma pieņemšanas Nacionālais kiberdrošības centrs informē Satversmes aizsardzības biroju.
33.
pants.
Kiberincidenta attiecināšana
Ministru kabinets nosaka kārtību un kritērijus, kādā Latvija veic kiberincidentu attiecināšanu.
VInodaļaKoordinēta ievainojamību atklāšana un novēršana
34.
pants.
Koordinēta ievainojamību atklāšana
(1)
Ja persona subjekta informācijas sistēmā vai elektronisko sakaru tīklā konstatē ievainojamību, tā nekavējoties, bet ne vēlāk kā piecu darba dienu laikā iesniedz ievainojamības atklāšanas ziņojumu kompetentajai kiberincidentu novēršanas institūcijai.
(2)
Ievainojamības atklāšanas ziņojumā iekļauj šādu informāciju:
1)
ievainojamības konstatēšanas datumu un laiku (ja iespējams);
2)
informāciju par informācijas sistēmu vai elektronisko sakara tīklu, kurā konstatēta ievainojamība;
3)
ievainojamības aprakstu;
4)
ievainojamības konstatēšanai izmantotās metodoloģijas vai veikto darbību secības aprakstu;
5)
ievainojamības atklāšanas ziņojuma iesniedzēja kontaktinformāciju;
6)
citu informāciju, ko ievainojamības atklāšanas ziņojuma iesniedzējs uzskata par nepieciešamu konstatētās ievainojamības identificēšanai un novēršanai.
(3)
Kompetentā kiberincidentu novēršanas institūcija apstiprina ievainojamības atklāšanas ziņojuma saņemšanu, pārbauda ziņojumā ietverto informāciju un informē ziņojuma iesniedzēju par ziņojumā ietvertās informācijas pamatotību un ievainojamības novēršanas rezultātu.
(4)
Ja ievainojamības atklāšanas ziņojumā sniegtā informācijā par ievainojamību kiberincidentu novēršanas institūcijas vērtējumā ir pamatota, kiberincidentu novēršanas institūcija par to nekavējoties informē attiecīgo subjektu.
(5)
Ievainojamības atklāšana nedrīkst tikt izmantota ļaunprātīgi. Informācija par atklāto ievainojamību ir ierobežotas pieejamības informācija, ja vien normatīvie akti neparedz augstāku klasifikācijas pakāpi. Ievainojamības atklāšanas ziņojuma iesniedzējs (ievainojamības atklājējs) un attiecīgais subjekts ir atbildīgi par minētās informācijas neizpaušanu. Kompetentā kiberincidentu novēršanas institūcija nosaka nosacījumus, kārtību un apjomu, kādā var tikt izpausta informācija par atklāto ievainojamību.
(6)
Ievainojamības atklāšanas ziņojuma iesniedzējs ir tiesīgs iesniegt ievainojamības atklāšanas ziņojumu anonīmi vai lūgt kompetento kiberincidentu novēršanas institūciju neatklāt ziņojuma iesniedzēja identitāti šā likuma 12. panta ceturtās daļas 1.– 4. punktā minētajām institūcijām. Šādā gadījumā kompetentās kiberincidentu novēršanas institūcijas pienākums ir nodrošināt ziņojuma iesniedzēja identitātes konfidencialitāti, ja vien ziņojuma iesniedzējs (ievainojamības atklājējs) ievēro šajā likumā noteikto, un nav pirmsšķietami vērojamas noziedzīga nodarījuma pazīmes. Minētais konfidencialitātes nodrošināšanas pienākums neattiecas uz šā likuma 12. panta ceturtās daļas 5. un 6. punktā minētajām institūcijām. Ievainojamības atklāšanas ziņojuma anonīma iesniegšana neatbrīvo ievainojamības atklāšanas ziņojuma iesniedzēju no pienākuma neizpaust informāciju par ievainojamību.
35.
pants.
Koordinēta ievainojamību novēršana
(1)
Subjekts kompetentās kiberincidentu novēršanas institūcijas noteiktajā termiņā, bet ne vēlāk kā 90 dienu laikā no informācijas saņemšanas brīža, veic ievainojamības novēršanai nepieciešamās darbības un par ievainojamības novēršanas gaitu informē kompetento kiberincidentu novēršanas institūciju.
(2)
Ja objektīvu iemeslu dēļ ievainojamību nav iespējams novērst šā panta pirmajā daļā norādītajā termiņā, pēc subjekta pieprasījuma kiberincidentu novēršanas institūcija var pagarināt ievainojamības novēršanas termiņu, bet ne vēlāk kā 180 dienu laikā no ievainojamības atklāšanas ziņojuma iesniegšanas brīža, par to informējot ievainojamības atklāšanas ziņojuma iesniedzēju.
(3)
Personas, uz kurām neattiecas šā panta pirmajā daļā noteiktie pienākumi, pēc savas iniciatīvas var vienoties ar ievainojamības atklāšanas ziņojuma iesniedzēju par ievainojamības novēršanas termiņu, par ievainojamības novēršanas gaitu informējot kompetento kiberincidentu novēršanas institūciju.
(4)
Kompetentā kiberincidentu novēršanas institūcija sniedz atbalstu saziņā starp ievainojamības atklāšanas ziņojuma iesniedzēju un attiecīgo subjektu, ja kāda no pusēm izsaka šādu vēlmi. Kompetentā kiberincidentu novēršanas institūcija veic pēckontroli attiecībā uz atklātās ievainojamības novēršanu, kā arī nodrošina ievainojamības atklāšanas ziņojuma iesniedzēja konfidencialitāti atbilstoši šā likuma 34. panta sestajā daļā noteiktajam.
(5)
Ja atklātā ievainojamība ietekmē vairākus subjektus, kompetentā kiberincidentu novēršanas institūcija koordinē šīs ievainojamības novēršanu sadarbībā ar visiem minētajiem subjektiem.
(6)
Ja atklātā ievainojamība var būtiski ietekmēt būtisko vai svarīgo pakalpojumu sniegšanu vai saņemšanu citā Eiropas Savienības dalībvalstī, kompetentā kiberincidentu novēršanas institūcija sadarbojas ar šīs valsts kiberincidentu novēršanas institūcijām minētās ievainojamības novēršanai. Ja atklātā ievainojamība skar vairāk nekā divas Eiropas Savienības dalībvalstis, kompetentā kiberincidentu novēršanas institūcija sadarbojas ar šo valstu kiberincidentu novēršanas institūcijām, izmantojot CSIRT tīklu.
VIInodaļaSubjektu uzraudzība
36.
pants.
Subjektu uzraudzība
(1)
Subjekta uzraudzība ietver kiberdrošības prasību ievērošanas kontroli, informācijas un komunikācijas tehnoloģiju klātienes pārbaudes un attālinātu pārraudzību, datu un dokumentu pārbaudes, tostarp attiecībā uz risku vadību un auditos vai atbilstības novērtējumos konstatēto nepilnību novēršanu, kā arī subjekta subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu.
(2)
Ministru kabinets nosaka kritērijus un kārtību, kādā veic šā panta pirmajā daļā minēto drošības skenēšanu.
37.
pants.
Uzraugošā iestāde
Subjektu uzraudzību veic:
1)
Nacionālais kiberdrošības centrs attiecībā uz būtisko un svarīgo pakalpojumu sniedzējiem, izņemot informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru;
2)
Satversmes aizsardzības birojs attiecībā uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru.
38.
pants.
Subjektu atbilstības ikgadējais pašnovērtējuma ziņojums
(1)
Subjekts līdz kārtējā gada 1. jūlijam atbilstoši šā likuma 37. pantā noteiktajam subjektu uzraudzības dalījumam, iesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam subjekta atbilstības ikgadējo pašnovērtējuma ziņojumu (turpmāk – pašnovērtējuma ziņojums).
(2)
Pašnovērtējuma ziņojuma veidlapu un iekļaujamās informācijas saturu un apjomu nosaka Ministru kabinets.
39.
pants.
Subjektu atbilstības audits
(1)
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 37. pantā noteiktajam subjektu uzraudzības dalījumam ir tiesīgi veikt subjekta atbilstības auditu vai uzdot subjektam veikt ārēju auditu par subjekta atbilstību šajā likumā un Ministru kabineta noteiktajām kiberdrošības prasībām, ja ir aizdomas vai ir konstatēti kiberdrošības pārkāpumi.
(2)
Ārēju auditu veic neatkarīgs kiberdrošības auditors, kuram ar subjektu nav interešu konflikta, un kurš ir reģistrēts Digitālās drošības uzraudzības komitejas apstiprinātajā kiberdrošības auditoru sarakstā. Ministru kabinets nosaka ārējam kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību.
(3)
Informācijas un komunikācijas tehnoloģiju kritiskajā infrastruktūrā, papildus šā panta otrajā daļā noteiktajam, ārēju auditu veic ar Satversmes aizsardzības biroju saskaņots kiberdrošības auditors.
(4)
Ārējā audita izmaksas sedz attiecīgais subjekts un auditā konstatētos pārkāpumus novērš attiecīgais subjekts.
(5)
Pēc ārējā audita beigām subjekts bez nepamatotas kavēšanās iesniedz Nacionālajam kiberdrošības centram (informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs – Satversmes aizsardzības birojam) ārējā audita ziņojuma kopiju. Pēc Nacionālās kiberdrošības centra vai Satversmes aizsardzības biroja pieprasījuma subjekts uzrāda arī pierādījumus, kas bija par pamatu ārējā audita ziņojumā konstatētajam.
40.
pants.
Subjektu neatbilstības novēršana
(1)
Neatbilstību konstatēšanas gadījumā Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 37. pantā noteiktajam subjektu uzraudzības dalījumam ir tiesīgi izteikt subjektam brīdinājumu vai uzdot subjektam:
1)
veikt noteiktas darbības neatbilstības novēršanai, nosakot samērīgu termiņu neatbilstības novēršanai un ziņošanas kārtību par neatbilstības novēršanas gaitu;
2)
nekavējoties pātraukt un turpmāk nepieļaut rīcību, kas pārkāpj šajā likumā noteikto;
3)
informēt pakalpojumu saņēmējus vai publicēt informāciju par kiberapdraudējumu, tā veidu un apmēru, kā arī tā novēršanai vai mazināšanai nepieciešamajām darbībām;
4)
informēt pakalpojumu saņēmējus vai publicēt informāciju par konstatētajiem subjekta pārkāpumiem;
5)
apturēt subjekta informācijas sistēmas, resursa vai e-pakalpojuma darbību līdz konstatētās neatbilstības novēršanai vai;
6)
apturēt informācijas un komunikācijas tehnoloģiju produkta tirdzniecību vai pakalpojuma sniegšanu līdz konstatētās neatbilstības novēršanai.
(2)
Ja konstatētā neatbilstība rada nozīmīga kiberincidenta risku, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs par konstatēto risku informē Ministru kabinetu, bet, ja neatbilstība apdraud nacionālo drošību – Nacionālās drošības padomi.
(3)
Subjekts bez nepamatotas kavēšanās veic visus nepieciešamos, piemērotos un samērīgos pasākumus neatbilstību novēršanai, tostarp izpilda Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja norādījumus.
(4)
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir tiesīgi veikt klātienes pārbaudes, tostarp norīkot amatpersonas pārraudzīt, kā subjekts noteiktā laikposmā ievēro šajā likumā noteiktos pienākumus.
41.
pants.
Tiesiskā pienākuma piespiedu izpilde
(1)
Ja tiesiskais pienākums netiek pildīts, Nacionālais kiberdrošības centrs var veikt tiesiskā pienākuma izpildi piespiedu kārtā ar piespiedu naudas palīdzību Administratīvā procesa likumā noteiktajā kārtībā, ciktāl šis likums nenosaka citu kārtību. Piespiedu naudu var uzlikt atkārtoti līdz tiesiskā pienākuma izpildei.
(2)
Pirms tiesiskā pienākuma piespiedu izpildes uzsākšanas Nacionālais kiberdrošības centrs var noteikt subjektam termiņu tiesiskā pienākuma labprātīgai izpildei.
(3)
Tiesiskā pienākuma piespiedu izpildi attiecībā uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru Nacionālais kiberdrošības centrs veic pēc Satversmes aizsardzības biroja motivēta pieprasījuma.
(4)
Pirms izpildrīkojuma izdošanas Nacionālais kiberdrošības centrs rakstveidā paziņo adresātam, ka ir iegūta informācija, kas nepieciešama izpildrīkojuma izdošanai. Adresāts septiņu dienu laikā pēc minētā paziņojuma saņemšanas var iepazīties ar lietu, izteikt savu viedokli un iesniegt papildu informāciju.
(5)
Maksimālais piespiedu naudas apmērs juridiskajai personai ir:
1)
10 miljoni euro vai 2 procenti no juridiskās personas pēdējā finanšu gada kopējā neto apgrozījuma pasaulē (atkarībā no tā, kura summa ir lielāka), ja juridiskā persona ir būtisko pakalpojumu sniedzējs vai informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs;
2)
7 miljoni euro vai 1,4 procenti no juridiskās personas pēdējā finanšu gada kopējā neto apgrozījuma pasaulē (atkarībā no tā, kura summa ir lielāka), ja juridiskā persona ir svarīgo pakalpojumu sniedzējs;
(6)
Piespiedu naudu subjektam neuzliek, ja par šī paša tiesiskā pienākuma neizpildi subjektam jau ir uzlikts naudas sods saskaņā ar Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK 58. panta 2. punkta i) apakšpunktu.
VIIInodaļaCiti noteikumi
42.
pants.
Nacionālā kiberdrošības stratēģija
(1)
Nacionālās kiberdrošības stratēģiju reizi četros gados izstrādā Nacionālais kiberdrošības centrs sadarbībā ar valsts pārvaldes iestādēm, valsts drošības iestādēm un privātā sektora pārstāvjiem un to apstiprina Ministru kabinets.
(2)
Nacionālā kiberdrošības stratēģija nosaka:
1)
kiberdrošības pārvaldības stratēģiskos mērķus un modeli, kiberdrošības pārvaldībai nepieciešamos resursus;
2)
kiberdrošības pārvaldībā iesaistīto valsts pārvaldes iestāžu lomu sadalījumu, kā arī nacionālos un starptautiskos sadarbības mehānismus;
3)
valstiski aizsargājamo informācijas un komunikācijas tehnoloģiju un resursu noteikšanas un kiberrisku izvērtēšanas kārtību;
4)
kiberincidentu gatavības, reaģēšanas, novēršanas un atkopšanās plānu izstrādes kārtību un prasības, informācijas apmaiņas veidus, kā arī sadarbību starp publisko un privāto sektoru;
5)
pasākumu kopumu sabiedrības digitālo un kiberdrošības prasmju uzlabošanai.
(3)
Nacionālā kiberdrošības stratēģija attiecas uz subjektiem, ja vien stratēģijā nav noteikts citādi.
(4)
Nacionālais kiberdrošības centrs sešu mēnešu laikā no Nacionālās kiberdrošības stratēģijas apstiprināšanas izstrādā un Ministru kabinets apstiprina pasākumu plānu stratēģijā izvirzīto mērķu sasniegšanai, identificējot darba uzdevumus, atbildīgās institūcijas, uzdevumu izpildes termiņus un sasniedzamos rezultātus. Plānā iekļauj vismaz šādus pasākumus:
1)
pasākumus subjektu informācijas un komunikācijas tehnoloģiju produktu un pakalpojumu piegāžu ķēžu drošības veicināšanai;
2)
kiberdrošības pasākumus valsts tiešās un pastarpinātās pārvaldes iestāžu, atvasināto publisko personu un citu valsts institūciju informācijas un komunikācijas tehnoloģiju produktu un pakalpojumu iepirkumos, tostarp attiecībā uz informācijas un komunikācijas tehnoloģijas sertifikāciju, šifrēšanu un atvērtā pirmkoda risinājumu izmantošanu;
3)
pasākumus ievainojamību pārvaldībai, tostarp koordinēta ievainojamību atklāšanas un novēršanas procesa nodrošināšanai;
4)
pasākumus atklātā interneta publiskā kodola konfidencialitātes, integritātes un pieejamības nodrošināšanai, tostarp attiecībā uz zemūdens sakaru kabeļu kiberdrošību;
5)
īstenot kiberrisku pārvaldības pasākumus;
6)
pasākumus subjektu un citu valsts un privātā sektora institūciju, tostarp mazo un vidējo saimnieciskās darbības veicēju, un visas sabiedrības kibernoturības veicināšanai, kiberdrošības prasmju un izpratnes veidošanai, kiberdrošības izglītības un apmācības programmu attīstībai, kā arī kiberhigiēnas pamatlīmeņa nodrošināšanai;
7)
pasākumus kiberdrošības pētniecības un attīstības iniciatīvu atbalstam, tostarp kiberdrošības rīku izstrādei un drošas informācijas un komunikācijas tehnoloģiju infrastruktūras attīstībai, uzlabošanai un ieviešanai;
8)
pasākumus brīvprātīgas kiberdrošības informācijas apmaiņas veicināšanai starp subjektiem;
9)
pasākumus aktīvai kiberaizsardzībai.
(5)
Nacionālais kiberdrošības centrs divas reizes gadā informē Nacionālo kiberdrošības padomi par Nacionālās kiberdrošības stratēģijas ieviešanas statusu.
(6)
Nacionālais kiberdrošības centrs trīs mēnešu laikā pēc nacionālās kiberdrošības stratēģijas pieņemšanas to paziņo Eiropas Komisijai, izkļaujot nacionālajai drošībai nozīmīgu informāciju.
43.
pants.
Personas datu apstrāde
(1)
Kiberincidentu novēršanas institūcija, pildot šajā likumā noteiktos uzdevumus un īstenojot savas tiesības, saņem un apstrādā personu identificējošu informāciju, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu vai to novērstu, kā arī nodrošinātu saziņu ar iesaistītām personām.
(2)
Kiberincidentu novēršanas institūcija ir tiesīga uzglabāt un analizēt datus, kas iegūti, lai pamatotu vai izslēgtu aizdomas par ievainojamību un kiberincidentu, un satur personas datus, pēc ievainojamības un kiberincidenta atrisināšanas, ja tā ir noderīga saistītu ievainojamību un kiberincidentu atklāšanā vai novēršanā.
(4)
Personas datus kiberincidentu novēršanas institūcijas drīkst nodot Zemessardzei tādā apjomā un veidā, lai atpazītu un novērstu tādu kiberapdraudējumu, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai drošībai, ja Zemessardze atbilstoši Latvijas Republikas Zemessardzes likumā noteiktajam tiek iesaistīta atbalsta sniegšanā kompetentajai kiberincidentu novēršanas institūcijai.
(5)
Satversmes aizsardzības birojs, pildot šajā likumā noteiktos uzdevumus un īstenojot savas tiesības, saņem, apstrādā, uzglabā un analizē datus, kas iegūti, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai drošībai.
(6)
Personas datus kiberincidentu novēršanas institūcijas drīkst nodot Satversmes aizsardzības birojam tādā apjomā un veidā, lai atpazītu un novērstu tādu kiberapdraudējumu, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai drošībai.
Pārejas noteikumi
1.
Ar šā likuma spēkā stāšanos spēku zaudē Informācijas tehnoloģiju drošības likums (Latvijas Vēstnesis, 2010, 178. nr.; 2012, 179. nr.; 2013, 228. nr.; 2015, 34. nr.; 2017, 132. nr.; 2018, 210. nr.).
2.
Ministru kabinets līdz 2023. gada 1. oktobrim izdod Ministru kabineta noteikumus "Grozījums Ministru kabineta 2003. gada 29. aprīļa noteikumos Nr. 236 "Aizsardzības ministrijas nolikums"".
3.
Ministru kabinets līdz 2024. gada 1. janvārim izdod šā likuma 15. panta otrajā daļā, 19. panta otrajā daļā, 20. panta pirmajā daļā, 21. pantā, 22. panta trešajā daļā, 23. panta otrajā daļā, 24. pantā, 25. panta otrajā daļā, 26. pantā, 29. panta septītajā daļā, 38. panta otrajā daļā un 39. panta otrajā daļā minētos Ministru kabineta noteikumus.
5.
Ministru kabinets līdz 2024. gada 1. oktobrim izdod šā likuma 33. pantā minēto Ministru kabineta instrukciju.
6.
Līdz šā likuma 15. panta otrajā daļā minēto noteikumu izdošanai, bet ne ilgāk kā līdz 2024. gada 1. janvārim ir piemērojami Ministru kabineta 2016. gada 1. novembra noteikumi Nr. 695 "Digitālās drošības uzraudzības komitejas nolikums", ciktāl tie nav pretrunā ar šo likumu.
7.
Līdz šā likuma 19. panta otrajā daļā minēto noteikumu izdošanai, bet ne ilgāk kā līdz 2024. gada 1. janvārim ir piemērojami Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība", ciktāl tie nav pretrunā ar šo likumu.
8.
Līdz šā likuma 20. panta pirmajā daļā, 21. pantā, 22. panta trešajā daļā, 23. panta otrajā daļā, 29. panta septītajā daļā, 38. panta otrajā daļā un 39. panta otrajā daļā minēto noteikumu izdošanai, bet ne ilgāk kā līdz 2024. gada 1. janvārim ir piemērojami Ministru kabineta 2015. gada 28. jūlija noteikumi “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”, ciktāl tie nav pretrunā ar šo likumu.
9.
Veicot sākotnēju pašizvērtējumu saskaņā ar šā likuma 18. panta pirmo daļu, persona par savu atbilstību būtisko vai svarīgo pakalpojumu sniedzēja statusam paziņo Nacionālajam kiberdrošības centram ne vēlāk kā sešu mēnešu laikā no šā likuma spēkā stāšanās dienas. Ja atbilstība būtisko vai svarīgo pakalpojumu sniedzēja statusam ir iestājusies pēc minētā termiņa, persona par to paziņo Nacionālajam kiberdrošības centram šā likuma 18. panta pirmajā daļā noteiktajā termiņā.
10.
Šā likuma 18. panta ceturtajā daļā minēto būtisko un svarīgo pakalpojumu sniedzēju sarakstu apstiprina viena gada laikā no šā likuma spēkā stāšanās dienas.
12.
Šā likuma 38. panta pirmajā daļā noteikto piemēro no 2024. gada 1. jūlija.
Informatīvā atsauce uz Eiropas Savienības direktīvām
Likumā iekļautas tiesību normas, kas izriet no:
1)
Eiropas Parlamenta un Padomes 2009. gada 25. novembra direktīvas 2009/140/EK, ar ko izdara grozījumus direktīvā 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem, direktīvā 2002/19/EK par piekļuvi elektronisko komunikāciju tīkliem un ar tiem saistītām iekārtām un to savstarpēju savienojumu un direktīvā 2002/20/EK par elektronisko komunikāciju tīklu un pakalpojumu atļaušanu (Dokuments attiecas uz EEZ);
2)
Eiropas Parlamenta un Padomes 2022. gada 14. decembra direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (Dokuments attiecas uz EEZ);
3)
Eiropas Parlamenta un Padomes 2018. gada 11. decembra direktīvas (ES) 2018/1972 par Eiropas Elektronisko sakaru kodeksa izveidi.
4)
Eiropas Parlamenta un Padomes 2008. gada 8. decembra direktīvas (ES) 2008/114/EK par to, lai apzinātu un noteiktu Eiropas Kritiskās infrastruktūras un novērtētu vajadzību uzlabot to aizsardzību.
Likums stājas spēkā 2023. gada 1. jūlijā.
Ministrs V. Uzvārds