22-TA-3012
Nacionālās kiberdrošības likums
InodaļaVispārīgie noteikumi
1.
pants.
Likumā lietotie termini
Likumā lietoti šādi termini:
1)
augstākā līmeņa domēnu nosaukumu reģistra uzturētājs – institūcija, kam deleģēts konkrēts augstākā līmeņa domēns un kas atbild par šā augstākā līmeņa domēna pārvaldību, tai skaitā veic domēnu nosaukumu reģistrāciju šajā augstākā līmeņa domēnā un nodrošina augstākā līmeņa domēna tehnisko darbību, kā arī nodrošina tā nosaukumu serveru darbību, datubāzu uzturēšanu un augstākā līmeņa domēna zonas datņu sadalīšanu starp nosaukumu serveriem neatkarīgi no tā, vai kādu no minētajām darbībām veic pati vienība vai ārpakalpojuma sniedzējs, izņemot situācijas, kad augstākā līmeņa domēnu nosaukumus reģistra uzturētājs izmanto tikai savām vajadzībām;
2)
CSIRT tīkls – Eiropas Savienības dalībvalstu kiberdrošības incidentu novēršanas institūciju tīkls;
3)
datu centrs – telpa vai telpu komplekss, kas paredzēts informācijas tehnoloģiju un tīkla iekārtu centralizētai izmitināšanai, savstarpējai savienošanai un darbībai, kas nodrošina datu uzglabāšanas, apstrādes un pārsūtīšanas (transportēšanas) pakalpojumus, kā arī visas iekārtas un infrastruktūras elektroenerģijas sadalei un klimata kontrolei;
4)
domēnu nosaukumu sistēma – hierarhiska sadalīta nosaukumu sistēma, kas ļauj identificēt interneta pakalpojumus un resursus, ļaujot galalietotāju ierīcēm izmantot interneta maršrutēšanas un savienojumu pakalpojumus, lai piekļūtu šiem pakalpojumiem un resursiem;
5)
gandrīz noticis kiberincidents – notikums, kurš būtu varējis apdraudēt apstrādātus datus vai tādu pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti, ko piedāvā tīklu un informācijas sistēmas vai kas pieejami ar tīklu un informācijas sistēmu starpniecību, bet kura pilnīga īstenošanās tika sekmīgi novērsta vai kurš neīstenojās;
6)
ievainojamība – informācijas un komunikācijas tehnoloģiju vai to pakalpojumu drošības nepilnība, kas ir informācijas sistēmas vai elektronisko sakaru tīkla izveides, uzturēšanas vai pārveidošanas gaitā radīta sistēmiska vājība, kuras rezultātā var tikt apdraudēta informācijas un komunikācijas tehnoloģiju konfidencialitāte, integritāte vai pieejamība un kas var tikt izmantota kiberuzbrukuma īstenošanai;
7)
informācijas un komunikācijas tehnoloģijas – tehnoloģijas, kuras tām paredzēto uzdevumu izpildei ar tehnisko līdzekļu palīdzību veic informācijas elektronisko apstrādi, tai skaitā izveidošanu, izmainīšanu, dzēšanu, glabāšanu, attēlošanu, pārsūtīšanu vai pārraidīšanu (turpmāk – elektroniskā apstrāde), un nodrošina tehnoloģijas izmantotāju savstarpējo komunikāciju;
8)
interneta plūsmu apmaiņas punkts – tīkla infrastruktūra, kas ļauj nodrošināt vairāk nekā divu neatkarīgu tīklu (autonomu sistēmu) starpsavienojumu galvenokārt nolūkā atvieglot interneta datu plūsmu apmaiņu, nodrošina starpsavienojumu tikai autonomām sistēmām, nepieprasa, lai interneta datu plūsma starp jebkurām divām iesaistītām sistēmām izietu cauri jebkurai trešajai autonomai sistēmai, un ne maina, ne arī citādi ietekmē šādu datu plūsmu;
9)
kiberapdraudējums – jebkādi iespējami apstākļi, notikums vai darbība, kas atbilst Eiropas Parlamenta un Padomes 2019. gada 17. aprīļa regulas (ES) 2019/881 par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (turpmāk – regula 2019/881), 2. panta 8. punktā noteiktajai definīcijai;
10)
kiberdrošība – darbības, kas atbilst regulas 2019/881 2. panta 1. punktā noteiktajai definīcijai;
11)
kiberdrošības incidents (turpmāk – kiberincidents) – notikums, kas apdraud apstrādātus datus vai tādu pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti, ko piedāvā tīklu un informācijas sistēmas vai kas pieejami ar tīklu un informācijas sistēmu starpniecību;
12)
kiberincidenta risināšana – darbību un procedūru kopums, kuru mērķis ir novērst, atklāt, analizēt un ierobežot kiberincidentu vai reaģēt uz kiberincidentu un atgūties no tā;
13)
kiberrisks – zaudējumu vai ietekmes uz pakalpojumiem iespējamība kiberincidenta ietekmē atbilstoši potenciālajām sekām un to iestāšanās varbūtībai;
14)
kiberuzbrukums – aktīva uzbrucēja rīcība, lai ietekmētu datu un informācijas un komunikācijas tehnoloģiju pakalpojuma konfidencialitāti, integritāti vai pieejamību;
15)
kiberhigiēna – ikdienas prakšu un paradumu kopums, kas tiek veikts nolūkā novērst kiberapdraudējumus, nodrošināt datu aizsardzību un saglabāt informācijas un komunikācijas tehnoloģiju resursu pieejamību, integritāti un konfidencialitāti;
16)
liels saimnieciskās darbības veicējs – juridiskā vai fiziskā persona vai šādu personu apvienība, kura veic saimniecisko darbību Latvijas Republikā un atbilst vismaz vienai no šādām pazīmēm:
a)
saimnieciskās darbības veicējs nodarbina vismaz 250 nodarbinātos,
b)
saimnieciskās darbības veicēja pēdējā finanšu gada kopējais neto apgrozījums pasaulē pārsniedz 50 miljonus euro un gada bilances kopsumma pārsniedz 43 miljonus euro;
17)
pakalpojumatteices kiberuzbrukums – uzbrukums, kas tiek izdarīts pret pakalpojuma sniedzēja infrastruktūru nolūkā negatīvi ietekmēt pakalpojuma pieejamību;
18)
pārrobežu kiberincidents – incidents, kas izraisa tādu traucējumu līmeni, kurš pārsniedz dalībvalsts spēju uz to reaģēt, vai kam ir būtiska ietekme uz vismaz divām dalībvalstīm;
19)
mazs saimnieciskās darbības veicējs – juridiskā vai fiziskā persona vai šādu personu apvienība, kura veic saimniecisko darbību Latvijas Republikā un atbilst visām šādām pazīmēm:
a)
saimnieciskās darbības veicējs nodarbina ne vairāk kā 49 nodarbinātos,
b)
saimnieciskās darbības veicēja pēdējā finanšu gada kopējais neto apgrozījums pasaulē vai gada bilances kopsumma nepārsniedz 10 miljonus euro;
21)
NIS sadarbības grupa – Eiropas Savienības tīklu un informācijas sistēmu sadarbības grupa;
22)
nozīmīgs kiberapdraudējums – kiberapdraudējums, kuru, ņemot vērā tā tehniskās pamatīpašības, var uzskatīt par spējīgu nopietni ietekmēt kādas juridiskās vai fiziskās personas tīklu un informācijas sistēmas vai šīs personas sniegto pakalpojumu saņēmējus, radot ievērojamu materiālu vai nemateriālu kaitējumu;
23)
nozīmīgs kiberincidents – pārrobežu kiberincidents vai tāds kiberincidents, kuram ir ietekme uz sniegtā pakalpojuma nepārtrauktību vai sabiedrības interesēm un kurš atbilst šā likuma 34. panta pirmajā daļā minētajiem kritērijiem;
24)
tīklu un informācijas sistēma:
a)
elektronisko sakaru tīkls,
b)
jebkura ierīce vai savstarpēji savienotu vai saistītu ierīču grupa, no kurām viena vai vairākas ierīces atbilstoši programmai veic digitālu datu automātisku apstrādi,
25)
tīklu un informācijas sistēmas drošība – tīklu un informācijas sistēmu spēja noteiktā uzticamības līmenī pretoties visiem notikumiem, kas var apdraudēt elektroniski apstrādājamo datu konfidencialitāti, integritāti un pieejamību vai minēto tīklu un informācijas sistēmu piedāvātos vai ar to starpniecību pieejamos pakalpojumus;
26)
uzticamības pakalpojums – elektronisks pakalpojums Eiropas Parlamenta un Padomes 2014. gada 23. jūlija regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ direktīvu 1999/93/EK, 3. panta 16. punkta izpratnē;
27)
domēnu nosaukumu reģistrācijas pakalpojumu sniedzējs – reģistratūra vai pilnvarotā persona, kas darbojas reģistratūras vārdā, piemēram, privātuma vai pilnvarotās reģistrācijas pakalpojumu sniedzējs vai tālākpārdevējs;
28)
vienotais valsts interneta plūsmu apmaiņas punkts – pastāvīgs fiziskās infrastruktūras un pakalpojumu kopums, kas tiek izveidots un uzturēts, lai nodrošinātu vienotu valsts interneta plūsmu apmaiņu;
29)
vidējs saimnieciskās darbības veicējs – juridiskā vai fiziskā persona vai šādu personu apvienība, kura veic saimniecisko darbību Latvijas Republikā un atbilst visām šādām pazīmēm:
a)
saimnieciskās darbības veicējs nav mazs saimnieciskās darbības veicējs,
b)
saimnieciskās darbības veicējs nodarbina ne vairāk kā 249 nodarbinātos,
c)
saimnieciskās darbības veicēja pēdējā finanšu gada kopējais neto apgrozījums pasaulē nepārsniedz 50 miljonus euro vai gada bilances kopsumma nepārsniedz 43 miljonus euro.
2.
pants.
Likuma mērķis
Likuma mērķis ir:
1)
uzlabot informācijas un komunikācijas tehnoloģiju drošību, tai skaitā nosakot prasības būtisko pakalpojumu un svarīgo pakalpojumu sniegšanai un saņemšanai, kā arī informācijas un komunikācijas tehnoloģiju darbībai;
2)
noteikt kārtību kiberdrošības nodrošināšanai, paredzot atbildības sadalījumu un Nacionālā kiberdrošības centra kompetenci, sadarbības ietvarus un kiberdrošības veicināšanas uzdevumus;
3)
veicināt kiberdrošības pasākumu īstenošanu tā, lai varētu laikus prognozēt un novērst, kā arī pārvarēt kiberapdraudējumu un likvidēt tā sekas, pēc iespējas nodrošinot pakalpojumu konfidencialitātes, integritātes un pieejamības nepārtrauktību.
3.
pants.
Likuma darbības joma
(1)
Likums attiecas uz:
1)
būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (turpmāk visi kopā – subjekti);
2)
tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām un citām valsts institūcijām, kā arī privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētu uzdevumu (turpmāk visas kopā – valsts un pašvaldību institūcijas), izņemot valsts drošības iestādes;
3)
privāto tiesību juridiskajām personām;
4)
šajā likumā noteiktajos gadījumos – fiziskajām personām, kas piedalās koordinētas ievainojamību atklāšanas procesā.
(2)
Likums neattiecas uz elektronisko sakaru tīklos pārraidāmās informācijas saturu, tostarp uz informācijas sabiedrības pakalpojumu saturu un audiovizuālajiem darbiem, ja tie netiek izmantoti kā kiberincidentu sastāvdaļa.
(3)
Likums attiecas uz finanšu vienībām Eiropas Parlamenta un Padomes 2022. gada 14. decembra regulas (ES) 2022/2554 par finanšu nozares digitālās darbības noturību un ar ko groza regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) Nr. 2016/1011 (turpmāk – regula 2022/2554), 2. panta 2. punkta izpratnē, izņemot gadījumu, ja regulā 2022/2554 un citos normatīvajos aktos par finanšu vienību kiberdrošību nav noteikts citādi (tai skaitā citas speciālās prasības attiecībā uz risku pārvaldību – trešo personu saistīto risku pārvaldību, darbības noturību, testēšanu un incidentu ziņošanu).
(4)
Ja konkrēto nozari regulējošie Eiropas Savienības tiesību akti paredz būtisko pakalpojumu vai svarīgo pakalpojumu sniedzējiem pienākumu veikt kiberdrošības risku pārvaldības pasākumus vai ziņot par kiberincidentiem un ja šādas prasības ietekmes ziņā ir vismaz līdzvērtīgas šajā likumā noteiktajiem pienākumiem, attiecīgos šā likuma nosacījumus, tostarp šā likuma VII nodaļu par uzraudzību un izpildes panākšanu, šiem subjektiem nepiemēro. Ja konkrēto nozari regulējošie Eiropas Savienības tiesību akti neattiecas uz visiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem konkrētajā nozarē, attiecīgās šā likuma prasības turpina piemērot būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, uz kuriem neattiecas minētie Eiropas Savienības tiesību akti.
(5)
Šā panta ceturtajā daļā minētās prasības uzskata par ietekmes ziņā līdzvērtīgām šajā likumā noteiktajiem pasākumiem, ja tās atbilst vismaz vienai no šādām pazīmēm:
2)
konkrēto nozari regulējošais Eiropas Savienības tiesību akts paredz šā likuma 9. pantā noteiktajām kiberincidentu novēršanas institūcijām, šā likuma 13. pantā noteiktajām kompetentajām institūcijām un šā likuma 4. panta pirmajā daļā noteiktajai nacionālajai kompetentajai institūcijai tūlītēju un attiecīgā gadījumā automātisku un tiešu piekļuvi paziņojumiem par kiberincidentiem un prasības ziņot par kiberincidentiem ietekmes ziņā ir vismaz līdzvērtīgas šā likuma 32. pantā noteiktajām prasībām.
(6)
Likums neattiecas uz tādiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri atbilst visiem šādiem nosacījumiem:
1)
pakalpojumu sniedzējs ir reģistrēts Eiropas Savienības dalībvalstī;
3)
pakalpojumu sniedzējs Latvijas Republikā nesniedz šā panta sestās daļas 2. punktā neminētos būtiskos vai svarīgos pakalpojumus;
4)
pakalpojumu sniedzējs nav informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs;
5)
pakalpojumu sniedzēja galvenā reģistrācijas vieta Eiropas Savienībā nav Latvijas Republika.
(7)
Likums neattiecas uz tādiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri nav reģistrēti Eiropas Savienībā un kuru pārstāvja galvenā reģistrācijas vieta Eiropas Savienībā nav Latvijas Republika.
(8)
Šā likuma izpratnē par galveno reģistrācijas vietu uzskata:
1)
Eiropas Savienības dalībvalsti, kurā galvenokārt tiek pieņemti lēmumi saistībā ar pakalpojumu sniedzēja kiberdrošības risku pārvaldības pasākumiem;
2)
ja šā panta sestās daļas 1. punktā minēto valsti nav iespējams noteikt, – Eiropas Savienības dalībvalsti, kurā attiecībā uz pakalpojumu sniedzēju tiek īstenotas kiberdrošības operācijas;
3)
ja šā panta sestās daļas 2. punktā minēto valsti nav iespējams noteikt, – Eiropas Savienības dalībvalsti, kurā attiecīgajam pakalpojumu sniedzējam ir vislielākais nodarbināto skaits Eiropas Savienībā.
(9)
Šā panta sestā daļa neattiecas uz gadījumiem, kad Nacionālais kiberdrošības centrs pēc citas Eiropas Savienības dalībvalsts kompetentās iestādes pieprasījuma īsteno šajā likumā noteiktos uzraudzības un izpildes panākšanas pasākumus attiecībā uz šajā Eiropas Savienības dalībvalstī reģistrēto būtisko pakalpojumu sniedzēju, kurš sniedz pakalpojumus Latvijas Republikā vai kura valdījumā ir tīkls vai informācijas sistēma, kas atrodas Latvijas Republikā.
(10)
Likums neattiecas uz elektronisko sakaru komersantiem, kuri nenodrošina elektronisko sakaru tīklu un nesniedz elektronisko sakaru pakalpojumus Latvijas Republikā.
(11)
Likums neattiecas uz tādiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri ir citas Eiropas Savienības dalībvalsts valsts institūcijas.
IInodaļaPar kiberdrošību atbildīgās institūcijas
4.
pants.
Nacionālais kiberdrošības centrs
(1)
Nacionālais kiberdrošības centrs ir nacionālā kompetentā institūcija, kas darbojas kā vienotais kontaktpunkts kiberdrošības jautājumos un īsteno nacionālo kiberdrošības pārraudzību, veido nacionālās kiberdrošības rīcībpolitikas iniciatīvas un atbilstoši kompetencei veido un īsteno starptautisko sadarbību kiberdrošības jomā.
(2)
Nacionālā kiberdrošības centra funkcijas veic Aizsardzības ministrija.
5.
pants.
Nacionālā kiberdrošības centra uzdevumi
(1)
Nacionālajam kiberdrošības centram ir šādi uzdevumi:
1)
koordinēt sadarbību kiberdrošības jautājumos ar citu Eiropas Savienības dalībvalstu kompetentajām iestādēm un vienotajiem kontaktpunktiem, Eiropas Komisiju, Eiropas Savienības Kiberdrošības aģentūru un citām kompetentajām Eiropas Savienības institūcijām;
2)
sadarboties ar būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem to informācijas sistēmu drošības līmeņa noteikšanai;
3)
īstenot uzraudzības funkcijas, tostarp uzraudzīt, kā būtisko pakalpojumu un svarīgo pakalpojumu sniedzēji izpilda šajā likumā noteiktos pienākumus;
4)
izvērtēt būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju kiberrisku pārvaldības pasākumu atbilstību normatīvajos aktos noteiktajām prasībām;
5)
uzraudzīt publisko elektronisko sakaru tīklu drošības prasību ievērošanu;
6)
uzturēt valsts iestāžu apkopoto un pašidentificēto būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju sarakstu, nodrošināt tā apstiprināšanu Digitālās drošības uzraudzības komitejā, kā arī sniegt kompetentajām Eiropas Savienības institūcijām apkopotu un pēc nepieciešamības anonimizētu informāciju par identificētajiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem;
7)
nodrošināt Nacionālās kiberdrošības padomes un Digitālās drošības uzraudzības komitejas sekretariāta funkcijas;
8)
izvērtēt valsts informācijas sistēmu un institūciju informācijas sistēmu attīstības projektu atbilstību minimālajām kiberdrošības prasībām, ievērojot Valsts informācijas sistēmu likumu;
9)
nodrošināt vienotā valsts interneta plūsmu apmaiņas punkta darbību, kā arī sadarbībā ar valsts drošības iestādēm koordinēt vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņemšanu;
10)
sadarbībā ar valsts pārvaldes iestādēm, valsts drošības iestādēm un privātā sektora pārstāvjiem izstrādāt nacionālo kiberdrošības stratēģiju un ne vēlāk kā trīs mēnešus pēc nacionālās kiberdrošības stratēģijas apstiprināšanas informēt par to Eiropas Komisiju;
11)
nodrošināt šā likuma 34. panta trešajā daļā minētā plāna izstrādi un integrēt to valsts aizsardzības plānos, līdzdarboties Eiropas Savienības Kiberkrīžu sadarbības organizācijas tīklā;
12)
sadarboties ar Eiropas Savienības Kiberdrošības aģentūru un nekavējoties informēt to par pārrobežu kiberincidentiem, kas skar būtisko pakalpojumu vai svarīgo pakalpojumu sniedzējus, kā arī reizi trijos mēnešos sniegt tai ziņojumu par visiem notikušajiem nozīmīgiem kiberincidentiem, kiberincidentiem, gandrīz notikušiem kiberincidentiem un kiberapdraudējumiem, par kuriem subjekti ir paziņojuši saskaņā ar šā likuma 32. pantu;
13)
sadarboties ar citu Eiropas Savienības dalībvalstu kompetentajām iestādēm, tostarp pēc kiberincidentu novēršanas institūcijas pieprasījuma nosūtīt tām saskaņā ar šā likuma 32. pantu saņemto informāciju par nozīmīgiem kiberincidentiem, kas skar šīs Eiropas Savienības dalībvalstis;
14)
koordinēt pārrobežu kiberincidenta risināšanu sadarbībā ar kiberincidentu novēršanas institūcijām, Eiropas Savienības, ārvalstu un starptautiskajām kompetentajām institūcijām;
15)
sadarboties ar NIS sadarbības grupu un īstenot ar to saistītos uzdevumus;
16)
īstenot Eiropas Parlamenta un Padomes 2021. gada 20. maija regulā (ES) 2021/887, ar ko izveido Eiropas Industriālo, tehnoloģisko un pētniecisko kiberdrošības kompetenču centru un Nacionālo koordinācijas centru tīklu, Nacionālajam koordinācijas centram noteiktās tiesības un pienākumus;
17)
uzturēt vienotu Latvijas kibertelpā notiekošo darbību atainojumu, izņemot tajā pārraidītās informācijas saturu;
18)
informēt sabiedrību par aktuālajiem kiberapdraudējumiem;
19)
nodrošināt drošības operāciju centru darbību šā likuma 28. panta pirmajā daļā minētajos datu centros;
20)
atbilstoši kompetencei piedalīties koordinētas ievainojamību atklāšanas un novēršanas procesā saskaņā ar šā likuma VI nodaļu;
21)
ja nepieciešams, informēt Eiropas Savienības Kiberdrošības aģentūru par ziņām, kas iekļaujamas ievainojamību datubāzē;
22)
gadījumos, kad ievainojamība skar arī citu Eiropas Savienības dalībvalsti, sadarboties ar šīs dalībvalsts kompetentajām institūcijām;
23)
ja nepieciešams, piedalīties Eiropas Savienības dalībvalstu kiberdrošības kapacitātes un rīcībpolitikas izvērtējumos neatkarīgā eksperta statusā.
6.
pants.
Nacionālā kiberdrošības centra tiesības
(1)
Nacionālajam kiberdrošības centram ir šādas tiesības:
1)
veikt būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju kiberdrošības uzraudzību attiecībā uz tiem noteikto pienākumu izpildi;
2)
pieprasīt un saņemt no būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem informāciju par to īpašumā un valdījumā esošajām informācijas un komunikācijas tehnoloģijām, par to īstenotajiem un plānotajiem kiberdrošības un kiberrisku pārvaldības pasākumiem, kā arī par kiberincidentiem, gandrīz notikušiem kiberincidentiem, kiberapdraudējumiem un ievainojamībām;
3)
pieprasīt un saņemt no valsts un pašvaldību institūcijām to rīcībā esošo informāciju par būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem;
4)
sniegt norādījumus, lai nodrošinātu šajā likumā būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem noteikto pienākumu izpildi;
5)
pieņemt lēmumu (arī izdot administratīvo aktu), lai nodrošinātu šajā likumā noteikto pienākumu izpildi vai novērstu nacionālās drošības apdraudējumu vai kiberapdraudējumu;
6)
veikt tiesiskā pienākuma piespiedu izpildi saskaņā ar šā likuma 44. pantu;
7)
pieprasīt un saņemt informāciju no datu centru operatoriem par šā likuma 28. pantā noteikto pienākumu izpildi.
7.
pants.
Satversmes aizsardzības biroja uzdevumi
Satversmes aizsardzības birojam ir šādi uzdevumi:
1)
īstenot uzraudzības funkcijas, tostarp uzraudzīt, kā informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji izpilda šajā likumā noteiktos pienākumus;
2)
sadarboties ar informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem to informācijas sistēmu drošības līmeņa noteikšanai;
3)
koordinēt pārrobežu kiberincidenta risināšanu sadarbībā ar kiberincidentu novēršanas institūcijām;
4)
izvērtēt informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieku un tiesisko valdītāju īstenojamo kiberrisku pārvaldības pasākumu atbilstību normatīvajos aktos noteiktajām prasībām.
8.
pants.
Satversmes aizsardzības biroja tiesības
Satversmes aizsardzības birojam ir šādas tiesības:
1)
veikt informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieku un tiesisko valdītāju kiberdrošības uzraudzību;
2)
pieprasīt un saņemt no informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem informāciju par to īpašumā un valdījumā esošajām informācijas un komunikācijas tehnoloģijām, par to īstenotajiem un plānotajiem kiberdrošības un kiberrisku pārvaldības pasākumiem, kā arī par kiberincidentiem, gandrīz notikušiem kiberincidentiem, kiberapdraudējumiem un ievainojamībām;
3)
sniegt norādījumus, lai nodrošinātu šajā likumā informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekam un tiesiskajam valdītājam noteikto pienākumu izpildi vai novērstu nacionālās drošības apdraudējumu;
4)
pieņemt lēmumu (arī izdot administratīvo aktu), lai nodrošinātu šajā likumā noteikto pienākumu izpildi vai novērstu nacionālās drošības apdraudējumu vai kiberapdraudējumu;
5)
veikt tiesiskā pienākuma piespiedu izpildi saskaņā ar šā likuma 44. pantu.
9.
pants.
Kiberincidentu novēršanas institūcijas
(1)
Kiberincidentu novēršanas institūcijas ir institūcijas, kas sniedz valsts un pašvaldību institūcijām atbalstu kiberdrošības jomā, uztur un aktualizē informāciju par kiberapdraudējumiem un sniedz fiziskajām un juridiskajām personām atbalstu kiberincidentu novēršanā.
(2)
Kiberincidentu novēršanas institūciju uzdevumus veic:
1)
Militārās izlūkošanas un drošības dienests attiecībā uz Aizsardzības ministriju, tās padotībā esošajām iestādēm un Nacionālajiem bruņotajiem spēkiem;
2)
Latvijas Universitātes Matemātikas un informātikas institūts attiecībā uz valsts un pašvaldību institūcijām (izņemot valsts drošības iestādes un šīs daļas 1. punktā minētās institūcijas), kā arī privāto tiesību juridiskajām personām.
(3)
Latvijas Universitātes Matemātikas un informātikas institūts tam noteiktos uzdevumus izpilda un tiesības īsteno Aizsardzības ministrijas pakļautībā saskaņā ar šo likumu.
(4)
Ministru kabinets nosaka prasības kiberincidentu novēršanas institūcijām.
10.
pants.
Kiberincidentu novēršanas institūciju uzdevumi
Kiberincidentu novēršanas institūcijām ir šādi uzdevumi:
1)
veikt valsts līmenī nozīmīgu kiberapdraudējumu, ievainojamību un kiberincidentu analīzi;
2)
reaģēt uz kiberincidentiem, pēc subjekta pieprasījuma sniegt atbalstu kiberincidenta risināšanā vai koordinēt kiberincidenta novēršanu;
3)
brīdināt un sniegt Nacionālajam kiberdrošības centram, Satversmes aizsardzības birojam, subjektiem un, ja nepieciešams, citām iestādēm relevantu informāciju par aktuālajiem nozīmīgiem kiberincidentiem, kiberincidentiem, gandrīz notikušiem kiberincidentiem, kiberapdraudējumiem un ievainojamībām;
4)
organizēt izglītojošus pasākumus, veikt analītisko un pētniecisko darbu un rīkot tematiskas apmācības kiberdrošības jomā;
5)
sniegt valsts institūcijām atbalstu valsts drošības sargāšanā, kā arī noziedzīgu nodarījumu un citu likumpārkāpumu atklāšanā (izmeklēšanā) informācijas un komunikācijas tehnoloģiju jomā;
6)
sadarboties ar Eiropas Savienības, ārvalstu un starptautisko organizāciju kompetentajām iestādēm un kiberincidentu novēršanas institūcijām, līdzdarboties CSIRT tīklā;
7)
nekavējoties informēt Nacionālo kiberdrošības centru un valsts drošības iestādes par šā likuma 33. panta pirmajā daļā minēto nozīmīgu kiberincidentu, kā arī informēt citas Eiropas Savienības dalībvalsts kompetento iestādi par nozīmīgu kiberincidentu, kas ietekmē būtiska vai svarīga pakalpojuma darbības nepārtrauktību konkrētajā dalībvalstī;
8)
informēt Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju par konstatēto subjekta informācijas un komunikācijas tehnoloģiju neatbilstību normatīvajiem aktiem, kuri nosaka kiberdrošības prasības, kā arī konstatētajiem gadījumiem, kad subjekts nav ziņojis par kiberincidentu saskaņā ar šā likuma 32. pantu;
9)
atbilstoši kompetencei sadarboties ar valsts un privātā sektora institūcijām, lai sekmētu to kiberdrošību un kibernoturību, kā arī sadarboties ar subjektu kopienām un apmainīties ar relevantu informāciju par aktuāliem kiberapdraudējumiem;
10)
pēc subjekta pieprasījuma veikt subjekta tīklu un informācijas sistēmu proaktīvu skenēšanu, lai atklātu ievainojamības ar iespējamu būtisku ietekmi;
11)
veic citus normatīvajos aktos noteiktos pienākumus.
11.
pants.
Kiberincidentu novēršanas institūciju tiesības
(1)
Kiberincidentu novēršanas institūcijām ir šādas tiesības:
1)
pieprasīt un saņemt no subjektiem, valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām:
a)
informāciju par ieviestajām informācijas un komunikācijas tehnoloģiju (tostarp tīklu un informācijas sistēmu) drošības prasībām, identificētajām ievainojamībām un kiberapdraudējumu,
b)
tehnisko informāciju par notikušu vai notiekošu kiberincidentu (informācija par kiberincidenta apjomu, kiberincidentu izraisījušu kaitniecisku programmatūru datnes, ievainojamību apraksts, kiberincidenta novēršanai veiktie tehniskie pasākumi, informācija par kaitnieku darbībām vai cita tehniskā informācija, ieskaitot IP adreses);
2)
pēc abpusējas vienošanās iegūt no subjektiem, valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām tiešsaistes datu plūsmu kiberapdraudējuma identificēšanai un novēršanai;
3)
veikt pārbaudes būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju informācijas un komunikācijas tehnoloģiju infrastruktūrā, izņemot informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru;
4)
pēc Satversmes aizsardzības biroja pieprasījuma veikt pārbaudes informācijas un komunikācijas tehnoloģiju kritiskajā infrastruktūrā;
5)
lūgt, lai Nacionālais kiberdrošības centrs nosūta citas Eiropas Savienības dalībvalsts kompetentajai institūcijai, NIS sadarbības grupai, CSIRT tīklam vai Eiropas Savienības Kiberdrošības aģentūrai informāciju par kiberincidentu, kuram ir ietekme uz būtisko pakalpojumu vai svarīgo pakalpojumu sniegšanu konkrētajā dalībvalstī;
6)
veikt subjektu publiski pieejamu tīklu un informācijas sistēmu proaktīvu neintruzīvu skenēšanu, lai atklātu ievainojamības vai nedrošas konfigurācijas un par tām informētu attiecīgos subjektus.
(2)
Šā panta pirmās daļas 6. punktā minēto skenēšanu kiberincidentu novēršanas institūcija veic tā, lai tā neietekmētu attiecīgā subjekta pakalpojumu sniegšanas nepārtrauktību. Skenēšanu informācijas un komunikācijas kritiskajā infrastruktūrā veic pēc saskaņošanas ar Satversmes aizsardzības biroju.
12.
pants.
Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja izdotie lēmumi, pieprasījumi un uzliktie tiesiskie pienākumi
(1)
Ja lēmuma, pieprasījuma vai tiesiskā pienākuma adresāts ir privāto tiesību juridiskā persona, tad Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja lēmums, pieprasījums vai uzliktais tiesiskais pienākums ir administratīvais akts.
(2)
Ja lēmuma, pieprasījuma vai tiesiskā pienākuma adresāts ir tiešās vai pastarpinātās pārvaldes iestāde, cita valsts institūcija vai atvasināta publiska persona, tad Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja lēmums, pieprasījums vai uzliktais tiesiskais pienākums nav administratīvais akts.
(3)
Ministru kabinets nosaka kārtību, kādā ziņo par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātām publiskām personām, kuras nepilda šajā likumā minētos lēmumus, pieprasījumus vai uzliktos tiesiskos pienākumus.
(4)
Šā panta otrajā daļā minēto lēmumu un pieprasījumu izdod un tiesisko pienākumu uzliek rakstveidā, ietverot tajā šādu informāciju:
1)
iestādes nosaukums un adrese;
2)
adresāts;
3)
faktu konstatējums;
4)
lēmuma, pieprasījuma vai tiesiskā pienākuma pamatojums;
5)
atsevišķs piemēroto tiesību normu uzskaitījums (norādot arī normatīvā akta pantu, tā daļu, punktu vai apakšpunktu);
6)
adresātam piešķirtās tiesības un noraidītās tiesības;
7)
nosacījumi (ja nepieciešams);
8)
lēmuma, pieprasījuma vai tiesiskā pienākuma apstrīdēšanas kārtība.
(5)
Šā panta pirmajā un otrajā daļā minēto lēmumu, pieprasījumu un tiesisko pienākumu var apstrīdēt:
1)
Nacionālā kiberdrošības centra lēmumu, pieprasījumu vai tiesisko pienākumu attiecībā uz būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem – iesniedzot attiecīgu iesniegumu aizsardzības ministram. Aizsardzības ministra izdoto lēmumu par apstrīdēto šā panta pirmajā daļā minēto lēmumu, pieprasījumu vai tiesisko pienākumu var pārsūdzēt Administratīvā procesa likumā noteiktajā kārtībā. Aizsardzības ministra izdotais lēmums par apstrīdēto šā panta otrajā daļā minēto lēmumu, pieprasījumu vai tiesisko pienākumu nav pārsūdzams;
2)
Satversmes aizsardzības biroja lēmumu, pieprasījumu vai tiesisko pienākumu attiecībā uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru – iesniedzot attiecīgu iesniegumu Satversmes aizsardzības biroja direktoram. Satversmes aizsardzības biroja direktora izdoto lēmumu par apstrīdēto šā panta pirmajā daļā minēto lēmumu, pieprasījumu vai tiesisko pienākumu var pārsūdzēt Administratīvā procesa likumā noteiktajā kārtībā. Satversmes aizsardzības biroja direktora izdotais lēmums par apstrīdēto šā panta otrajā daļā minēto lēmumu, pieprasījumu vai tiesisko pienākumu nav pārsūdzams.
13.
pants.
Kompetento institūciju sadarbība
(1)
Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un kiberincidentu novēršanas institūcijas pēc nepieciešamības, bet ne retāk kā reizi ceturksnī savstarpēji apmainās ar informāciju par aktualitātēm kiberincidentu jomā.
(2)
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs pēc nepieciešamības, bet ne retāk kā reizi ceturksnī savstarpēji apmainās ar informāciju par aktualitātēm subjektu uzraudzībā, tostarp attiecībā uz subjektu identificēšanu, kiberriskiem, kiberapdraudējumiem, kiberincidentiem, gandrīz notikušiem kiberincidentiem, kā arī ar kiberdrošību nesaistītiem drošības riskiem, apdraudējumiem un incidentiem, kas skar subjektus, ja vien apmaiņa ar šādu informāciju nav pretrunā ar nacionālās drošības interesēm.
(3)
Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un kiberincidentu novēršanas institūcijas regulāri, bet ne retāk kā divas reizes gadā savstarpēji apmainās ar informāciju par aktuālajiem kiberincidentiem un kiberapdraudējumiem, ja vien apmaiņa ar šādu informāciju nav pretrunā ar nacionālās drošības interesēm, ar šādām institūcijām:
1)
ar Latvijas Banku – jautājumos, kas skar regulas 2022/2554 2. pantā minēto finanšu vienību kiberdrošību, tostarp sniedz Latvijas Bankai savā rīcībā esošo informāciju par konstatētajiem kiberincidentiem šā likuma 18. panta 8. punkta "n" apakšpunktā minēto subjektu informācijas un komunikācijas tehnoloģiju infrastruktūrā;
2)
ar Sabiedrisko pakalpojumu regulēšanas komisiju – jautājumos, kas skar elektronisko sakaru komersantu kiberdrošību, tostarp sniedz Sabiedrisko pakalpojumu regulēšanas komisijai savā rīcībā esošo informāciju, kas tai nepieciešama Elektronisko sakaru likumā noteikto funkciju īstenošanai;
3)
ar Civilās aviācijas aģentūru kā Eiropas Parlamenta un Padomes 2008. gada 11. marta regulā (EK) Nr. 300/2008 par kopīgiem noteikumiem civilās aviācijas drošības jomā un ar ko atceļ regulu (EK) Nr. 2320/2002, un Eiropas Parlamenta un Padomes 2018. gada 4. jūlija regulas (ES) 2018/1139 par kopīgiem noteikumiem civilās aviācijas jomā un ar ko izveido Eiropas Savienības Aviācijas drošības aģentūru, un ar ko groza Eiropas Parlamenta un Padomes regulas (EK) Nr. 2111/2005, (EK) Nr. 1008/2008, (ES) Nr. 996/2010, (ES) Nr. 376/2014 un direktīvas 2014/30/ES un 2014/53/ES un atceļ Eiropas Parlamenta un Padomes regulas (EK) Nr. 552/2004 un (EK) Nr. 216/2008 un Padomes regulu (EEK) Nr. 3922/91, 9. pantā minēto atbildīgo iestādi civilās aviācijas drošības jomā, kas nodrošina tai noteikto uzraudzības funkciju īstenošanu;
4)
ar valsts sabiedrību ar ierobežotu atbildību "Latvijas Jūras administrācija" – jautājumos, kas skar kuģu, kuģošanas kompāniju, ostu un ostas iekārtu aizsardzības prasību ieviešanu un uzraudzību;
5)
ar Datu valsts inspekciju – jautājumos, kas skar fizisko personu datu aizsardzību, tostarp sniedz Datu valsts inspekcijai savā rīcībā esošo informāciju par fizisko personu datu aizsardzības pārkāpumiem;
6)
ar Digitālās drošības uzraudzības komiteju – jautājumos, kas skar elektroniskās identifikācijas pakalpojumu sniedzējus un to sniegtos pakalpojumus, uzticamus sertifikācijas pakalpojumu sniedzējus un to sniegtos pakalpojumus, parakstu vākšanas tiešsaistes sistēmas, kā arī būtisko pakalpojumu un svarīgo pakalpojumu sniedzējus;
7)
ar policiju, prokuratūru, tiesu un citām kompetentajām iestādēm – jautājumos, kas skar noziedzīgu nodarījumu novēršanu, atklāšanu un izmeklēšanu. Ja kiberincidentu novēršanas institūcija konstatē, ka kiberincidentam, gandrīz notikušam kiberincidentam, kiberapdraudējumam vai ievainojamībai pirmsšķietami vērojamas noziedzīga nodarījuma pazīmes, kiberincidentu novēršanas institūcija par to nekavējoties informē kompetento iestādi, sniedzot tai savā rīcībā esošo informāciju, kas nepieciešama procesuālo darbību veikšanai;
8)
ar valsts drošības iestādēm – jautājumos, kas saistīti ar nacionālo drošību, tostarp sniedz kompetentajām valsts drošības iestādēm savā rīcībā esošo informāciju par kiberincidentiem, gandrīz notikušiem kiberincidentiem, kiberapdraudējumiem un ievainojamībām, kas apdraud vai var potenciāli apdraudēt nacionālo drošību.
(4)
Latvijas Universitātes Matemātikas un informātikas institūts sniedz Militārās izlūkošanas un drošības dienestam savā rīcībā esošo informāciju par kiberincidentiem Aizsardzības ministrijā, tās padotībā esošajās iestādēs un Nacionālajos bruņotajos spēkos.
(5)
Militārās izlūkošanas un drošības dienests sniedz Latvijas Universitātes Matemātikas un informātikas institūtam informāciju, kas tam nepieciešama šā likuma 10. panta 5. punktā noteikto uzdevumu īstenošanai, kā arī citu tā rīcībā esošo informāciju par Latvijas Universitātes Matemātikas un informātikas institūta kompetencē esošajiem kiberincidentiem.
14.
pants.
Kompetento institūciju sadarbība ar citu Eiropas Savienības dalībvalstu kompetentajām institūcijām
(1)
Ja būtisko pakalpojumu sniedzējs vai svarīgo pakalpojumu sniedzējs sniedz pakalpojumus vairāk nekā vienā Eiropas Savienības dalībvalstī vai arī sniedz pakalpojumus vienā vai vairākās Eiropas Savienības dalībvalstīs un tā tīklu un informācijas sistēmas atrodas vienā vai vairākās citās Eiropas Savienības dalībvalstīs, Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un kiberincidentu novēršanas institūcijas, ja nepieciešams, sadarbojas ar citu Eiropas Savienības dalībvalstu kompetentajām institūcijām:
1)
ar Nacionālā kiberdrošības centra starpniecību informē citu attiecīgo Eiropas Savienības dalībvalstu kompetentās institūcijas un savstarpēji apmainās ar informāciju par veiktajiem uzraudzības un izpildes panākšanas pasākumiem;
2)
ja nepieciešams, nosūta informācijas pieprasījumu vai lūdz, lai citas Eiropas Savienības dalībvalsts kompetentā institūcija veic uzraudzības vai izpildes panākšanas pasākumus;
3)
saņemot pamatotu lūgumu no citas Eiropas Savienības dalībvalsts kompetentās institūcijas, sniedz tai savstarpēju palīdzību, lai uzraudzības vai izpildes panākšanas pasākumus īstenotu efektīvi, iedarbīgi un konsekventi.
(2)
Šā panta pirmās daļas 3. punktā minētā savstarpējā palīdzība var ietvert informācijas pieprasījumus un uzraudzības pasākumus, tostarp pieprasījumus veikt klātienes pārbaudes, attālinātu pārraudzību vai mērķtiecīgas drošības revīzijas.
(3)
Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un kiberincidentu novēršanas institūcijas nodrošina savstarpējās palīdzības lūguma īstenošanu, ja vien netiek konstatēts, ka tās nav kompetentas sniegt pieprasīto palīdzību, pieprasītās palīdzības lūgums nav samērīgs ar kompetento institūciju uzraudzības uzdevumiem vai saņemtais lūgums par savstarpējo palīdzību ir pretrunā ar būtiskām nacionālās drošības interesēm.
(4)
Pirms saņemtā savstarpējās palīdzības lūguma noraidīšanas Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un kiberincidentu novēršanas institūcijas savstarpēji apspriežas. Ja kāda no Eiropas Savienības dalībvalstīm to pieprasa, minētās kompetentās institūcijas pirms savstarpējās palīdzības lūguma noraidīšanas apspriežas ar Eiropas Komisiju un Eiropas Savienības Kiberdrošības aģentūru.
(5)
Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un kiberincidentu novēršanas institūcijas pēc kopīgas vienošanās ar citas Eiropas Savienības dalībvalsts kompetento institūciju var veikt kopīgu subjektu uzraudzību.
15.
pants.
Sadarbība ar institūcijām, kuras ir atbildīgas par kiberdrošību
Subjektiem, valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām ir pienākums sadarboties ar Nacionālo kiberdrošības centru, Satversmes aizsardzības biroju un kiberincidentu novēršanas institūcijām, sniedzot tām nepieciešamo informāciju un pildot to likumīgās prasības.
16.
pants.
Nacionālā kiberdrošības padome
(1)
Nacionālā kiberdrošības padome ir koleģiāla institūcija, kas koordinē ar kiberdrošību saistītās politikas izstrādi, kā arī attiecīgu uzdevumu un pasākumu plānošanu un īstenošanu.
(2)
Nacionālās kiberdrošības padomes sastāvu nosaka Ministru prezidents.
17.
pants.
Digitālās drošības uzraudzības komiteja
(1)
Digitālās drošības uzraudzības komiteja ir koleģiāla uzraudzības institūcija aizsardzības ministra pakļautībā.
(2)
Digitālās drošības uzraudzības komitejas nolikumu apstiprina Ministru kabinets.
(3)
Kiberincidentu novēršanas institūcijas atbilstoši kompetencei sadarbojas un sniedz Digitālās drošības uzraudzības komitejai tās funkciju īstenošanai nepieciešamo informāciju, tostarp informē par konstatētajiem nozīmīgiem kiberincidentiem un kiberapdraudējumiem, kas skar kvalificētus uzticamības pakalpojumu sniedzējus vai to sniegtos kvalificētus uzticamības pakalpojumus.
IIInodaļaSubjektu identifikācija un uzskaite
18.
pants.
Būtisko pakalpojumu sniedzējs
Būtisko pakalpojumu sniedzējs šā likuma izpratnē ir:
1)
augstākā līmeņa domēnu nosaukumu reģistra uzturētājs, piemēram, augstākā līmeņa domēna ".lv" reģistra uzturētājs;
2)
domēnu nosaukumu sistēmas pakalpojumu sniedzējs, kas šā likuma izpratnē ir pakalpojumu sniedzējs, kurš sniedz publiski pieejamus rekursīvus domēnu nosaukumu atrises pakalpojumus interneta galalietotājiem vai autoritatīvus domēnu nosaukumu atrises pakalpojumus trešo personu lietošanai, izņemot saknes nosaukumu serverus;
3)
elektronisko sakaru komersants;
4)
kvalificēts uzticamības pakalpojumu sniedzējs;
5)
tiešās pārvaldes iestāde un cita valsts institūcija, kā arī privāto tiesību juridiskā persona, kas pilda valsts pārvaldes deleģēto uzdevumu, izņemot valsts drošības iestādes;
6)
atvasināta publiska persona;
7)
sabiedriskie mediji;
8)
liels saimnieciskās darbības veicējs, kurš ir:
a)
energoapgādes komersants,
b)
naftas apgādes komersants,
c)
ūdeņraža apgādes komersants,
d)
aeronavigācijas pakalpojumu sniedzējs,
e)
gaisa kuģa ekspluatants,
f)
lidlauka vai citu civilās aviācijas objektu un iekārtu ekspluatants,
g)
dzelzceļa pārvadātājs,
h)
dzelzceļa infrastruktūras pārvaldītājs,
i)
kuģošanas kompānija, neietverot individuālus kuģus, ko šī kompānija pārvalda,
j)
ostas pārvalde,
k)
komersants, kurš veic komercdarbību ostas teritorijā,
l)
komersants, kurš pārvalda valsts autoceļus vai veic valsts autoceļu infrastruktūras uzturēšanas darbus,
m)
intelektisko transporta sistēmu operators,
n)
kredītiestāde, centrālais darījumu partneris vai tirdzniecības vieta (Finanšu instrumentu tirgus likuma izpratnē),
o)
ārstniecības iestāde,
p)
Eiropas Savienības references laboratorija,
q)
farmācijas komersants,
r)
kritiski svarīgu medicīnisko ierīču ražotājs (atbilstoši Eiropas Parlamenta un Padomes 2022. gada 25. janvāra regulas (ES) 2022/123 par pastiprinātu Eiropas Zāļu aģentūras lomu attiecībā uz zālēm un medicīniskajām ierīcēm krīžgatavības un krīžu pārvarēšanas kontekstā 22. pantam),
s)
dzeramā ūdens piegādātājs vai izplatītājs, izņemot gadījumu, ja komersanta pamatdarbība nav saistīta ar dzeramā ūdens izplatīšanu,
t)
ūdenssaimniecības pakalpojumu sniedzējs,
u)
interneta plūsmu apmaiņas punkta pakalpojumu sniedzējs,
v)
mākoņdatošanas pakalpojumu sniedzējs,
w)
datu centru pakalpojumu sniedzējs,
x)
satura piegādes tīkla pakalpojumu sniedzējs,
y)
informācijas un komunikācijas tehnoloģiju pārvaldības vai kiberdrošības pakalpojumu sniedzējs,
z)
kosmosā izvietotu pakalpojumu sniedzējs vai šo pakalpojumu sniegšanai izmantojamās infrastruktūras operators;
9)
saimnieciskās darbības veicējs, kurš veic saimniecisko darbību vismaz vienā no šā panta 8. punktā minētajām jomām un ir vienīgais šāda veida pakalpojuma sniedzējs Latvijas Republikā;
10)
pastarpinātās pārvaldes iestāde, kura sniedz pakalpojumus vai darbojas privāto tiesību jomā vismaz vienā no šā panta 8. punktā minētajām jomām;
11)
saimnieciskās darbības veicējs, kura sniegtā pakalpojuma traucējums var būtiski ietekmēt sabiedrības drošību, valsts aizsardzību vai sabiedrības veselību vai var radīt būtisku sistēmisku risku, jo īpaši nozarēs, kurās šādam traucējumam var būt pārrobežu ietekme.
19.
pants.
Svarīgo pakalpojumu sniedzējs
(1)
Svarīgo pakalpojumu sniedzējs šā likuma izpratnē ir persona, kura nav būtisko pakalpojumu sniedzējs un kura ir:
2)
vidējs vai liels saimnieciskās darbības veicējs, kurš ir:
a)
pasta komersants,
b)
atkritumu apsaimniekotājs,
c)
ķīmisko vielu vai to maisījumu ražotājs vai izplatītājs,
d)
komersants, kurš ražo izstrādājumus no ķīmiskajām vielām vai to maisījumiem,
e)
pārtikas uzņēmums un pārtikas piegādes loģistikas uzņēmums,
f)
medicīnisko ierīču ražotājs,
g)
datoru, elektronisko un optisko iekārtu ražotājs,
h)
elektrisko iekārtu ražotājs,
i)
citur neklasificētu iekārtu, mehānismu un darba mašīnu ražotājs,
j)
automobiļu, piekabju un puspiekabju ražotājs,
k)
citu transportlīdzekļu ražotājs,
l)
tiešsaistes tirdzniecības vietas pakalpojumu sniedzējs,
m)
tiešsaistes meklētājprogrammas pakalpojumu sniedzējs,
n)
sociālo mediju platformas pakalpojumu sniedzējs,
o)
zinātniskā institūcija,
p)
apsardzes pakalpojumu sniedzējs;
3)
saimnieciskās darbības veicējs, kurš veic saimniecisko darbību vismaz vienā no šā panta pirmās daļas 2. punktā minētajām jomām un ir vienīgais šāda veida pakalpojuma sniedzējs Latvijas Republikā;
4)
pastarpinātās pārvaldes iestāde, kura sniedz pakalpojumus vai darbojas privāto tiesību jomā vismaz vienā no šā panta pirmās daļas 2. punktā minētajām jomām;
5)
izglītības informācijas sistēmas uzturētājs;
6)
uzticamības pakalpojumu sniedzējs, kurš nav kvalificēts uzticamības pakalpojumu sniedzējs.
(2)
Izglītības informācijas sistēma šā likuma izpratnē ir tāda informācijas sistēma, kurā tiek veikta Latvijas Republikā akreditētas izglītības iestādes izglītojamo personas datu elektroniskā apstrāde.
20.
pants.
Būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju uzskaite
(1)
Persona veic pašizvērtējumu, nosakot savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam. Atbilstības gadījumā persona ne vēlāk kā mēneša laikā par to paziņo Nacionālajam kiberdrošības centram. Paziņojumā norāda:
1)
personas nosaukumu (fiziskā persona – vārdu, uzvārdu un personas kodu), juridisko statusu un saimnieciskās darbības formu, reģistrācijas numuru, juridisko adresi un citu kontaktinformāciju (piemēram, oficiālo elektronisko adresi, elektroniskā pasta adresi, tālruņa numuru, tīmekļvietnes adresi);
2)
informāciju par personas darbības jomu atbilstoši šā likuma 18. un 19. pantam;
3)
personas sniegto būtisko pakalpojumu un svarīgo pakalpojumu uzskaitījumu un detalizētu aprakstu;
4)
personas izmantoto interneta protokola (IP) adrešu diapazonus;
5)
valstis, kurās persona sniedz pakalpojumus;
6)
personas kontaktpersonas datus (vārdu, uzvārdu, amatu, tālruņa numuru, elektroniskā pasta adresi).
(2)
Būtisko pakalpojumu un svarīgo pakalpojumu sniedzējs nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām izmaiņām šā panta pirmajā daļā minētajā paziņojumā norādītajās ziņās.
(3)
Nacionālais kiberdrošības centrs šā panta pirmajā un otrajā daļā minētos paziņojumus, izņemot šā panta pirmās daļas 4. punktā minēto informāciju un citu informāciju, kuras izpaušana ir pretrunā ar nacionālās drošības interesēm, nekavējoties pārsūta Eiropas Savienības Kiberdrošības aģentūrai.
(4)
Nacionālais kiberdrošības centrs apkopo un Digitālās drošības uzraudzības komiteja apstiprina būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju sarakstu. Būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju saraksts ir ierobežotas pieejamības informācija.
(5)
Ja persona par savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam nav paziņojusi Nacionālajam kiberdrošības centram šajā likumā noteiktajā termiņā, bet Nacionālā kiberdrošības centra rīcībā esošā informācija ir pietiekama, lai noteiktu minētās personas atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam, Digitālās drošības uzraudzības komiteja pēc Nacionālā kiberdrošības centra ierosinājuma iekļauj minēto personu būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju sarakstā, par to rakstveidā paziņojot minētajam būtisko pakalpojumu vai svarīgo pakalpojumu sniedzējam. Šādā gadījumā būtisko pakalpojumu vai svarīgo pakalpojumu sniedzējam ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā pēc paziņojuma saņemšanas paziņot Nacionālajam kiberdrošības centram šā panta pirmajā daļā minēto informāciju.
(6)
Šā panta ceturtajā daļā minēto sarakstu pārskata vismaz reizi divos gados. Nacionālais kiberdrošības centrs nodrošina, ka Eiropas Komisijai, NIS sadarbības grupai, kā arī pēc pieprasījuma citām kompetentajām Eiropas Savienības institūcijām tiek iesniegta apkopota informācija par būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju skaitu, darbības jomām un sniegtajiem pakalpojumiem.
(7)
Nacionālais kiberdrošības centrs pēc Eiropas Komisijas vai citas kompetentās Eiropas Savienības institūcijas pieprasījuma var tai sniegt relevantu informāciju par būtisko pakalpojumu vai svarīgo pakalpojumu sniedzēja identitāti (piemēram, būtisko pakalpojumu vai svarīgo pakalpojumu sniedzēja nosaukums, juridiskais statuss, saimnieciskās darbības forma, kontaktinformācija), ja vien šādas informācijas izpaušana nav pretrunā ar nacionālās drošības interesēm.
21.
pants.
Domēnu vārdu reģistrācijas pakalpojumu sniedzēju uzskaite un domēnu vārdu reģistrācijas datubāzes prasības
(1)
Domēnu vārdu reģistrācijas pakalpojumu sniedzējs, kurš atbilst domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam un kura lēmumi saistībā ar kiberdrošību tiek pieņemti Latvijas Republikā vai kuram Latvijas Republikā ir vislielākais darbinieku skaits, ne vēlāk kā mēneša laikā par to paziņo Nacionālajam kiberdrošības centram. Paziņojumā norāda:
1)
personas nosaukumu (fiziskā persona – vārdu, uzvārdu un personas kodu), juridisko statusu un saimnieciskās darbības formu, reģistrācijas numuru, juridisko adresi un citu kontaktinformāciju (piemēram, oficiālo elektronisko adresi, elektroniskā pasta adresi, tālruņa numuru, tīmekļvietnes adresi);
2)
informāciju par personas darbības jomu atbilstoši šā likuma 18. un 19. pantam, ja attiecināms;
3)
personas izmantoto interneta protokola (IP) adrešu diapazonus;
4)
valstis, kurās persona sniedz pakalpojumus;
5)
personas kontaktpersonas datus (vārdu, uzvārdu, amatu, tālruņa numuru, elektroniskā pasta adresi).
(2)
Domēnu vārdu reģistrācijas pakalpojumu sniedzējs nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām izmaiņām šā panta pirmajā daļā minētajā paziņojumā norādītajās ziņās.
(3)
Nacionālais kiberdrošības centrs šā panta pirmajā un otrajā daļā minētos paziņojumus, izņemot šā panta pirmās daļas 3. punktā minēto informāciju un citu informāciju, kuras izpaušana ir pretrunā ar nacionālās drošības interesēm, nekavējoties pārsūta Eiropas Savienības Kiberdrošības aģentūrai.
(4)
Nacionālais kiberdrošības centrs apkopo un Digitālās drošības uzraudzības komiteja apstiprina domēnu vārdu reģistrācijas pakalpojumu sniedzēju sarakstu.
(5)
Ja persona par savu atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam nav paziņojusi Nacionālajam kiberdrošības centram šajā likumā noteiktajā termiņā, bet Nacionālā kiberdrošības centra rīcībā esošā informācija ir pietiekama, lai noteiktu minētās personas atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam, Digitālās drošības uzraudzības komiteja pēc Nacionālā kiberdrošības centra ierosinājuma iekļauj minēto personu domēnu vārdu reģistrācijas sniedzēju sarakstā, par to rakstveidā paziņojot minētajam domēnu vārdu reģistrācijas pakalpojumu sniedzējam. Šādā gadījumā domēnu vārdu reģistrācijas pakalpojumu sniedzējam ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā pēc paziņojuma saņemšanas paziņot Nacionālajam kiberdrošības centram šā panta pirmajā daļā minēto informāciju.
(6)
Prasības domēnu vārdu reģistrācijas datubāzei, kas piemērojamas augstākā līmeņa domēna ".lv" reģistra uzturētājam un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem, nosaka Ministru kabinets.
22.
pants.
Informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra
(1)
Par informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru šā likuma izpratnē uzskatāma Ministru kabineta apstiprinātajā kritiskās infrastruktūras kopumā iekļautā informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra.
(2)
Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību nosaka Ministru kabinets.
(3)
Šā panta otrajā daļā minētās prasības informācijas un komunikācijas tehnoloģiju kritiskajai infrastruktūrai nedrīkst būt par zemākas par prasībām, kas šajā likumā noteiktas būtisko pakalpojumu sniedzējiem.
IVnodaļaSubjektu kiberdrošības pārvaldība
23.
pants.
Subjekta vadītāja un kiberdrošības pārvaldnieka kompetence
(1)
Subjekta kiberdrošības pārvaldību nodrošina un par to atbild subjekta vadītājs. Katra subjekta vadītājs nosaka atbildīgo personu, kura īsteno un pārrauga kiberdrošības pasākumu īstenošanu attiecīgajā subjektā (turpmāk – kiberdrošības pārvaldnieks). Ministru kabinets nosaka kiberdrošības pārvaldniekam izvirzāmās prasības.
(2)
Subjekts nekavējoties, bet ne vēlāk kā piecu darbdienu laikā paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam par kiberdrošības pārvaldnieka noteikšanu. Paziņojumā norāda kiberdrošības pārvaldnieka vārdu, uzvārdu, personas kodu, amatu, elektroniskā pasta adresi un tālruņa numuru.
(3)
Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldnieku nosaka pēc saskaņošanas ar Satversmes aizsardzības biroju, kas pārbauda kiberdrošības pārvaldnieka atbilstību izvirzītajām prasībām.
(4)
Subjekts nekavējoties, bet ne vēlāk kā piecu darbdienu laikā paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam par jebkādām izmaiņām šā panta otrajā daļā minētajā paziņojumā norādītajās ziņās.
(5)
Kiberdrošības pārvaldniekam ir šādi pienākumi:
1)
organizēt institūcijas informācijas un komunikācijas tehnoloģiju infrastruktūras drošības pasākumus;
2)
ne retāk kā reizi gadā veikt informācijas un komunikācijas tehnoloģiju drošības pārbaudi un atbilstoši tās rezultātiem organizēt konstatēto trūkumu novēršanu;
3)
vismaz reizi gadā apmeklēt kiberincidentu novēršanas institūcijas organizētu apmācību kiberdrošības jautājumos;
4)
ne retāk kā reizi gadā veikt institūcijā nodarbināto instruktāžu par aktuālajiem kiberriskiem un kiberdrošību.
24.
pants.
Minimālās kiberdrošības prasības
Ministru kabinets nosaka minimālās kiberdrošības prasības subjektiem, kārtību, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām, prasības un veicamos pasākumus subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai, kā arī veidu un formātu, kādā Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam paziņo šā likuma 20. panta pirmajā, otrajā un piektajā daļā, 21. panta pirmajā, otrajā un piektajā daļā un 23. panta otrajā un ceturtajā daļā minēto informāciju (piemēram, izmantojot Nacionālā kiberdrošības centra uzturēto valsts informācijas sistēmu vai citu tehnoloģisko risinājumu).
25.
pants.
Subjekta pienākumi kiberapdraudējuma pārvaldības jomā
Subjekts veic piemērotus un samērīgus tehniskos, operatīvos un organizatoriskos pasākumus, lai pārvaldītu kiberriskus subjekta izmantoto elektronisko sakaru tīklu un informācijas sistēmu drošībai un novērstu vai līdz minimumam samazinātu kiberincidentu ietekmi uz subjekta pakalpojumu saņēmējiem un uz citiem pakalpojumiem.
26.
pants.
Kiberrisku pārvaldības un darbības nepārtrauktības plāns
(1)
Subjektam ir pienākums izstrādāt kiberrisku pārvaldības un darbības nepārtrauktības plānu un nodrošināt darbiniekiem regulāras apmācības efektīvai plānā iekļauto pasākumu īstenošanai.
(2)
Subjekta kiberrisku pārvaldības un darbības nepārtrauktības plānā obligāti iekļaujamās informācijas veidu un apjomu, kā arī plāna izpildes uzraudzības un kontroles kārtību nosaka Ministru kabinets.
27.
pants.
Agrās brīdināšanas sensori
Ministru kabinets nosaka kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu informācijas un komunikācijas tehnoloģiju infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus.
28.
pants.
Datu centru kiberdrošība
(1)
Subjekts savā īpašumā un valdījumā esošās informācijas sistēmas uztur subjekta informācijas un komunikācijas tehnoloģiju infrastruktūrā, kas atbilst minimālajām kiberdrošības prasībām, vai Ministru kabineta noteiktajām prasībām atbilstošos datu centros (turpmāk – datu centri).
(2)
Ministru kabinets nosaka:
1)
datu centru drošības prasības, datu centru atbilstības novērtēšanas, reģistrācijas un uzraudzības kārtību, kā arī datu centra operatora pienākumus;
2)
informācijas sistēmu izvietošanas noteikumus datu centros;
3)
drošības operāciju centru izveides un darbības noteikumus datu centros.
(3)
Drošības operāciju centru izveido un tā darbību datu centrā nodrošina kompetentā kiberincidentu novēršanas institūcija. Drošības operāciju centra ietvaros kiberincidentu novēršanas institūcijai ir tiesības vākt, glabāt un elektroniski apstrādāt kiberapdraudējuma identificēšanai nepieciešamos datus, tai skaitā žurnālfailus, datu plūsmas, serveru veiktspējas datus. Datu centra operators, ja tā rīcībā ir nepieciešamie dati, nodod kompetentajai kiberincidentu novēršanas institūcijai ar saviem rīkiem iegūtos datus.
29.
pants.
Aizsardzība pret pakalpojumatteices kiberuzbrukumiem
Ministru kabinets nosaka:
1)
prasības informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursu aizsardzībai pret pakalpojumatteices kiberuzbrukumiem;
2)
kritērijus, atbilstoši kuriem informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursi tiek iekļauti pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu sarakstā;
3)
kārtību, kādā tiek izvērtēta informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursu atbilstība šā panta 2. punktā minētajiem kritērijiem;
4)
pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu saraksta apstiprināšanas kārtību.
30.
pants.
Vienotais valsts interneta plūsmu apmaiņas punkts
(1)
Vienoto valsts interneta plūsmu apmaiņas punktu izveido un uztur, lai:
1)
pastāvīgi nodrošinātu kritiskās datu plūsmas atrašanos tikai Latvijas Republikas teritorijā;
2)
nodrošinātu svarīgu sabiedrības funkciju īstenošanai, kā arī cilvēku veselības, aizsardzības, drošības, ekonomiskās un sociālās labklājības nodrošināšanai nepieciešamo informācijas sistēmu sasniedzamību gadījumā, ja Latvijas Republikā nav pieejams globālais tīmeklis;
3)
nodrošinātu interneta darbību un datu plūsmu apmaiņu Latvijas Republikas teritorijā, ja veikta atslēgšanās no globālā tīmekļa.
(2)
Vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumus ir tiesīga saņemt valsts vai pašvaldības institūcija vai subjekts, kura iekļaušanu vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņēmēju sarakstā ir atbalstījusi starpinstitūciju komisija. Minētās komisijas sastāvu, izveides un darbības kārtību nosaka Ministru kabinets.
(3)
Ministru kabinets nosaka:
1)
vienotā valsts interneta plūsmu apmaiņas punkta darbības un pakalpojumu sniegšanas un saņemšanas kārtību;
2)
kritērijus valsts un pašvaldību institūciju un subjektu iekļaušanai vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņēmēju sarakstā;
3)
valsts un pašvaldību institūcijas un subjektus, kuriem ir noteikta prasība datu plūsmu nepastarpināti virzīt caur vienoto valsts interneta plūsmu apmaiņas punktu.
31.
pants.
Kiberhigiēnas prasības
Ministru kabinets nosaka kiberhigiēnas pasākumu pamatelementus un prasības kiberhigiēnas pasākumu īstenošanai valsts un pašvaldību institūcijām, atvasinātajām publiskajām personām un citām valsts institūcijām, izņemot valsts drošības iestādes.
VnodaļaRīcība kiberincidenta gadījumā
32.
pants.
Subjekta rīcība kiberincidenta gadījumā
(1)
Konstatējot kiberincidentu, subjekts nekavējoties veic visas kiberincidenta novēršanai nepieciešamās darbības, kā arī nekavējoties par kiberincidentu informē kompetento kiberincidentu novēršanas institūciju un izpilda tās sniegtos norādījumus par rīcību kiberincidenta gadījumā. Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberincidenta gadījumā nekavējoties par notikušo informē arī kompetento valsts drošības iestādi. Ministru kabinets nosaka kārtību, kādā informē par kiberincidentu, un kritērijus, par kādiem kiberincidentiem jāinformē kompetentā kiberincidentu novēršanas institūcija.
(2)
Nozīmīga kiberincidenta gadījumā subjekts nekavējoties, bet ne vēlāk kā 24 stundu laikā elektroniski iesniedz kompetentajai kiberincidentu novēršanas institūcijai agrīno brīdinājumu par nozīmīgo kiberincidentu.
(3)
Nozīmīga kiberincidenta gadījumā subjekts nekavējoties, bet ne vēlāk kā 72 stundu laikā (uzticamības pakalpojumu sniedzējs – 24 stundu laikā) elektroniski iesniedz kompetentajai kiberincidentu novēršanas institūcijai sākotnējo ziņojumu par nozīmīgo kiberincidentu.
(4)
Nozīmīga kiberincidenta vai kiberapdraudējuma gadījumā subjekts nekavējoties informē savu pakalpojumu saņēmējus, tostarp elektronisko sakaru tīkla vai informācijas sistēmas lietotājus, kurus šāds nozīmīgs kiberincidents vai kiberapdraudējums varētu skart, par iespējamiem kiberdrošības pasākumiem vai līdzekļiem, ko pakalpojumu saņēmēji var izmantot, lai novērstu kiberincidentu vai mazinātu kiberapdraudējumu. Attiecīgajā gadījumā subjekts pēc saskaņošanas ar kompetento kiberincidentu novēršanas institūciju (informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs – arī ar kompetento valsts drošības iestādi) nekavējoties informē savu pakalpojumu saņēmējus arī par nozīmīgu kiberincidentu vai kiberapdraudējumu, ja vien šādas informācijas izpaušana nerada jauna nozīmīga kiberincidenta risku vai nav citādi pretrunā ar nacionālās drošības interesēm.
(5)
Subjekts mēneša laikā pēc šā panta trešajā daļā minētā ziņojuma iesniegšanas iesniedz kompetentajai kiberincidentu novēršanas institūcijai gala ziņojumu par nozīmīgā kiberincidenta atrisināšanu. Pēc kompetentās kiberincidentu novēršanas institūcijas pieprasījuma subjekts iesniedz tai arī starpposma ziņojumu par nozīmīgā kiberincidenta risināšanu.
(6)
Ja šā panta piektajā daļā noteiktajā termiņā nozīmīgo kiberincidentu nav iespējams atrisināt, subjekts iesniedz kompetentajai kiberincidentu novēršanas institūcijai progresa ziņojumu par nozīmīgā kiberincidenta risināšanu, savukārt šā panta piektajā daļā minēto gala ziņojumu iesniedz pēc nozīmīgā kiberincidenta atrisināšanas.
(7)
Ministru kabinets nosaka šā panta otrajā daļā minētā brīdinājuma, kā arī šā panta trešajā, piektajā un sestajā daļā minēto ziņojumu saturu un informēšanas kārtību.
(8)
Personas, uz kurām neattiecas šā panta pirmajā daļā noteiktie pienākumi, kiberincidenta gadījumā veic visas tā novēršanai nepieciešamās darbības un var pēc savas iniciatīvas brīvprātīgi ziņot kompetentajai kiberincidentu novēršanas institūcijai par konstatēto kiberincidentu. Kiberincidentu novēršanas institūcija vienojas ar personu, kura ziņojusi par kiberincidentu, par atbalsta sniegšanu kiberincidenta risināšanā. Brīvprātīga ziņošana par kiberincidentu neuzliek minētajai personai papildu pienākumus.
(9)
Subjekti un citas personas var pēc savas iniciatīvas brīvprātīgi ziņot kompetentajai kiberincidentu novēršanas institūcijai par gandrīz notikušu kiberincidentu vai kiberapdraudējumu. Brīvprātīga ziņošana par gandrīz notikušu kiberincidentu vai kiberapdraudējumu neuzliek personai papildu pienākumus.
(10)
Subjekts pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja pieprasījuma ne ilgāk kā uz piecām dienām slēdz lietotājam piekļuvi elektronisko sakaru tīklam, ja lietotājs būtiski apdraud citu lietotāju tiesības vai elektronisko sakaru tīkla, informācijas sistēmas vai pakalpojuma drošību. Pieprasījumā norāda kiberapdraudējumu, piekļuves ierobežojuma ilgumu un, ja nepieciešams, citas darbības, kas veicamas subjektam (piemēram, datu plūsmas pārvirzīšana uz kompetentās kiberincidentu novēršanas institūcijas infrastruktūru). Pieprasījuma apstrīdēšana vai pārsūdzēšana neaptur tā darbību. Nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam, nosaka Ministru kabinets.
33.
pants.
Kiberincidentu novēršanas institūcijas rīcība kiberincidenta gadījumā
(1)
Kiberincidentu novēršanas institūcija nekavējoties informē Nacionālo kiberdrošības centru par šā likuma 32. panta otrajā daļā minētā agrīnā brīdinājuma vai trešajā, piektajā vai sestajā daļā minētā paziņojuma saņemšanu. Kiberincidentu novēršanas institūcija informē Nacionālo kiberdrošības centru arī par šā likuma 32. panta astotajā un devītajā daļā minētā paziņojuma saņemšanu.
(2)
Kiberincidentu novēršanas institūcija 24 stundu laikā pēc sākotnējās informācijas saņemšanas par nozīmīgu kiberincidentu vienojas ar personu, kura ziņojusi par nozīmīgu kiberincidentu, par atbalsta sniegšanu nozīmīga kiberincidenta novēršanā, kā arī sniedz kiberincidenta sākotnējo vērtējumu un priekšlikumus kiberincidenta novēršanai.
(3)
Ja konstatētais kiberincidents apdraud nacionālo drošību, kiberincidentu novēršanas institūcija par to informē Nacionālo kiberdrošības centru un valsts drošības iestādes. Nacionālais kiberdrošības centrs informē aizsardzības ministru un par nozari atbildīgo ministru.
(4)
Ja konstatētajam kiberincidentam ir nozīmīga ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību, kiberincidentu novēršanas institūcija par to informē Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju. Nacionālais kiberdrošības centrs informē Sabiedrisko pakalpojumu regulēšanas komisiju, kā arī var informēt Eiropas Savienības Kiberdrošības aģentūru un CSIRT tīklu.
(5)
Pārrobežu kiberincidenta gadījumā kompetentā kiberincidentu novēršanas institūcija nekavējoties informē kiberincidenta skarto Eiropas Savienības dalībvalstu kompetentās iestādes un Eiropas Savienības Kiberdrošības aģentūru.
(6)
Ja sabiedrības informēšana par nozīmīgu kiberincidentu vai kiberapdraudējumu var palīdzēt novērst vai risināt nozīmīgu kiberincidentu, mazināt kiberapdraudējumu vai ir citādā ziņā sabiedrības interesēs, Nacionālais kiberdrošības centrs vai kompetentā kiberincidentu novēršanas institūcija, iepriekš apspriežoties ar subjektu, var informēt sabiedrību vai uzdot subjektam informēt sabiedrību, ja vien minētās informācijas izpaušana nav pretrunā ar nacionālās drošības interesēm.
34.
pants.
Nozīmīgu kiberincidentu un krīžu vadība
(1)
Kiberincidentu nozīmīguma kritērijus apstiprina Ministru kabinets.
(2)
Nozīmīgu kiberincidentu un krīžu vadību nodrošina Nacionālais kiberdrošības centrs sadarbībā ar kiberincidentu novēršanas institūcijām un valsts drošības iestādēm.
(3)
Nozīmīgu kiberincidentu un krīžu vadības mērķus, spējas, resursus un kārtību nosaka Nacionālajā kiberincidentu krīzes vadības plānā, kura izstrādi un pārskatīšanu ne retāk kā reizi četros gados nodrošina Nacionālais kiberdrošības centrs sadarbībā ar valsts drošības iestādēm. Nacionālo kiberincidentu krīzes vadības plānu apstiprina Ministru kabinets.
(4)
Nacionālajā kiberincidentu krīzes vadības plānā iekļauj:
1)
Nacionālā kiberdrošības centra, kiberincidentu novēršanas institūciju un valsts drošības iestāžu uzdevumus, pienākumus un savstarpējās sadarbības mehānismu;
2)
ar Nacionālā kiberincidentu krīzes vadības plāna īstenošanu saistītās apmācību aktivitātes un izspēli mācību scenārijos;
3)
sadarbības ietvaru ar ārvalstu un starptautiskajiem partneriem;
4)
sadarbības ietvaru ar valsts un pašvaldību iestādēm, kā arī privātā sektora pārstāvjiem, uz ko potenciāli attiektos nozīmīga kiberincidenta ietekme;
5)
kārtību un kompetento iestāžu sadarbības ietvaru nozīmīgu kiberincidentu un krīžu efektīvai pārvaldībai Eiropas Savienības līmenī.
(5)
Nacionālajā kiberincidentu krīzes vadības plānā noteiktās procedūras regulāri iekļauj Nacionālā kiberdrošības centra un citu kompetento institūciju rīkotajās mācībās un apmācību aktivitātēs.
(6)
Nacionālais kiberdrošības centrs iesniedz Eiropas Komisijā un Eiropas Savienības Kiberkrīžu sadarbības organizācijas tīklā informāciju par Nacionālo kiberincidentu krīzes vadības plānu, izņemot informāciju, kas skar nacionālās drošības intereses.
35.
pants.
Ierobežojošās darbības kiberincidenta gadījumā
(1)
Ja kiberincidents nozīmīgi apdraud informācijas sistēmu vai elektronisko sakaru tīklu drošību un kiberincidentu nav iespējams novērst citā veidā, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs ir tiesīgs pieņemt lēmumu:
1)
atslēgt vai ierobežot piekļuvi kiberincidentā iesaistītajam augstākā līmeņa domēna ".lv" vārdam;
2)
ierobežot piekļuvi kiberincidentā iesaistītajai interneta protokola (IP) adresei;
3)
ierobežot piekļuvi kiberincidentā iesaistītajai mobilo platformu lietotnei;
4)
veikt izmaiņas domēna vārdu sistēmas ierakstos.
(2)
Šā panta pirmajā daļā minētajā Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja lēmumā norāda piekļuves ierobežojuma ilgumu, kas nav garāks par piecām dienām, un, ja nepieciešams, citas darbības, kas veicamas augstākā līmeņa domēna ".lv" reģistra uzturētājam (piemēram, datu plūsmas pārvirzīšana uz kompetentās kiberincidentu novēršanas institūcijas infrastruktūru).
(3)
Šā panta pirmajā daļā minētā Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja lēmuma apstrīdēšana vai pārsūdzēšana neaptur tā darbību un izpildi.
(4)
Augstākā līmeņa domēna ".lv" reģistra uzturētājam un elektronisko sakaru pakalpojumu sniedzējam ir pienākums ne vēlāk kā vienas darbdienas laikā pēc šā panta pirmajā daļā minētā Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja lēmuma paziņošanas izpildīt to.
36.
pants.
Kiberincidentu un kiberuzbrukumu attiecināšana
Ministru kabinets nosaka kārtību un kritērijus, kādā Latvija veic kiberincidentu un kiberuzbrukumu attiecināšanu.
VInodaļaKoordinēta ievainojamību atklāšana un novēršana
37.
pants.
Koordinēta ievainojamību atklāšana
(1)
Ja persona subjekta informācijas sistēmā vai elektronisko sakaru tīklā konstatē ievainojamību, tā nekavējoties, bet ne vēlāk kā piecu darbdienu laikā iesniedz ievainojamības atklāšanas ziņojumu kompetentajai kiberincidentu novēršanas institūcijai.
(2)
Ievainojamības atklāšanas ziņojumā iekļauj šādu informāciju:
1)
ievainojamības konstatēšanas datums un laiks (ja iespējams);
2)
informācija par informācijas sistēmu vai elektronisko sakaru tīklu, kurā konstatēta ievainojamība;
3)
ievainojamības apraksts;
4)
ievainojamības konstatēšanai izmantotās metodoloģijas vai veikto darbību secības apraksts;
5)
ievainojamības atklāšanas ziņojuma iesniedzēja kontaktinformācija;
6)
cita informācija, ko ievainojamības atklāšanas ziņojuma iesniedzējs uzskata par nepieciešamu konstatētās ievainojamības identificēšanai un novēršanai.
(3)
Kompetentā kiberincidentu novēršanas institūcija apstiprina ievainojamības atklāšanas ziņojuma saņemšanu, pārbauda ziņojumā ietverto informāciju un informē ziņojuma iesniedzēju par ziņojumā ietvertās informācijas pamatotību un ievainojamības novēršanas rezultātu.
(4)
Ja ievainojamības atklāšanas ziņojumā sniegtā informācija par ievainojamību kiberincidentu novēršanas institūcijas vērtējumā ir pamatota, kiberincidentu novēršanas institūcija par to nekavējoties informē attiecīgo subjektu un Satversmes aizsardzības biroju, ja tas ir attiecināms uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru.
(5)
Ievainojamības atklāšana nedrīkst tikt izmantota ļaunprātīgi. Informācija par atklāto ievainojamību ir ierobežotas pieejamības informācija, ja vien normatīvie akti neparedz augstāku klasifikācijas pakāpi. Ievainojamības atklāšanas ziņojuma iesniedzējs (ievainojamības atklājējs) un attiecīgais subjekts ir atbildīgi par minētās informācijas neizpaušanu. Kompetentā kiberincidentu novēršanas institūcija nosaka nosacījumus, kārtību un apjomu, kādā var tikt izpausta informācija par atklāto ievainojamību.
(6)
Ievainojamības atklāšanas ziņojuma iesniedzējs ir tiesīgs iesniegt ievainojamības atklāšanas ziņojumu anonīmi vai lūgt kompetento kiberincidentu novēršanas institūciju neatklāt ziņojuma iesniedzēja identitāti. Šādā gadījumā kompetentās kiberincidentu novēršanas institūcijas pienākums ir nodrošināt ziņojuma iesniedzēja identitātes konfidencialitāti, ja vien ziņojuma iesniedzējs (ievainojamības atklājējs) ievēro šajā likumā noteiktās prasības un nav pirmsšķietami vērojamas noziedzīga nodarījuma pazīmes. Minētais konfidencialitātes nodrošināšanas pienākums neattiecas uz šā likuma 13. panta trešās daļas 7. un 8. punktā minētajām institūcijām. Ievainojamības atklāšanas ziņojuma anonīma iesniegšana neatbrīvo ievainojamības atklāšanas ziņojuma iesniedzēju no pienākuma neizpaust informāciju par ievainojamību.
38.
pants.
Koordinēta ievainojamību novēršana
(1)
Subjekts kompetentās kiberincidentu novēršanas institūcijas noteiktajā termiņā, bet ne vēlāk kā 90 dienu laikā pēc informācijas saņemšanas veic ievainojamības novēršanai nepieciešamās darbības un par ievainojamības novēršanas gaitu informē kompetento kiberincidentu novēršanas institūciju.
(2)
Ja objektīvu iemeslu dēļ ievainojamību nav iespējams novērst šā panta pirmajā daļā norādītajā termiņā, pēc subjekta pieprasījuma kiberincidentu novēršanas institūcija var pagarināt ievainojamības novēršanas termiņu, bet ne vairāk kā līdz 180 dienām no ievainojamības atklāšanas ziņojuma iesniegšanas brīža, par to informējot ievainojamības atklāšanas ziņojuma iesniedzēju.
(3)
Personas, uz kurām neattiecas šā panta pirmajā daļā noteiktie pienākumi, pēc savas iniciatīvas var vienoties ar ievainojamības atklāšanas ziņojuma iesniedzēju par ievainojamības novēršanas termiņu, par ievainojamības novēršanas gaitu informējot kompetento kiberincidentu novēršanas institūciju.
(4)
Kompetentā kiberincidentu novēršanas institūcija sniedz atbalstu saziņā starp ievainojamības atklāšanas ziņojuma iesniedzēju un attiecīgo subjektu, ja kāda no pusēm izsaka šādu vēlmi. Kompetentā kiberincidentu novēršanas institūcija veic pēckontroli attiecībā uz atklātās ievainojamības novēršanu, kā arī nodrošina ievainojamības atklāšanas ziņojuma iesniedzēja konfidencialitāti atbilstoši šā likuma 37. panta sestajai daļai.
(5)
Ja atklātā ievainojamība ietekmē vairākus subjektus, kompetentā kiberincidentu novēršanas institūcija koordinē šīs ievainojamības novēršanu sadarbībā ar visiem minētajiem subjektiem.
(6)
Ja atklātā ievainojamība var būtiski ietekmēt būtisko pakalpojumu vai svarīgo pakalpojumu sniegšanu vai saņemšanu citā Eiropas Savienības dalībvalstī, kompetentā kiberincidentu novēršanas institūcija sadarbojas ar šīs valsts kiberincidentu novēršanas institūcijām minētās ievainojamības novēršanai. Ja atklātā ievainojamība skar vairāk nekā divas Eiropas Savienības dalībvalstis, kompetentā kiberincidentu novēršanas institūcija sadarbojas ar šo valstu kiberincidentu novēršanas institūcijām, izmantojot CSIRT tīklu.
VIInodaļaSubjektu uzraudzība
39.
pants.
Uzraugošās iestādes
Subjektu uzraudzību veic:
1)
Nacionālais kiberdrošības centrs – attiecībā uz būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, izņemot informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru;
2)
Satversmes aizsardzības birojs – attiecībā uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru.
40.
pants.
Subjektu uzraudzība
(1)
Subjektu uzraudzība ietver kiberdrošības prasību ievērošanas kontroli, informācijas un komunikācijas tehnoloģiju klātienes pārbaudes un attālinātu pārraudzību, datu un dokumentu pārbaudes, tostarp attiecībā uz risku vadību un auditos vai atbilstības novērtējumos konstatēto nepilnību novēršanu, kā arī subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu.
(2)
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 39. pantā noteiktajam subjektu uzraudzības dalījumam ir tiesīgi prioritizēt šā panta pirmajā daļā minēto uzraudzības pasākumu īstenošanu, izvērtējot aktuālos kiberriskus.
(3)
Ministru kabinets nosaka kritērijus un kārtību, kādā veic šā panta pirmajā daļā minēto drošības skenēšanu.
41.
pants.
Ikgadējais subjekta atbilstības pašnovērtējuma ziņojums
(1)
Subjekts līdz kārtējā gada 1. jūlijam atbilstoši šā likuma 39. pantā noteiktajam subjektu uzraudzības dalījumam iesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam ikgadējo subjekta atbilstības pašnovērtējuma ziņojumu (turpmāk – pašnovērtējuma ziņojums).
(2)
Pašnovērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu nosaka Ministru kabinets.
42.
pants.
Subjektu atbilstības audits
(1)
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 39. pantā noteiktajam subjektu uzraudzības dalījumam ir tiesīgi veikt subjekta atbilstības auditu vai uzdot subjektam veikt ārēju auditu par subjekta atbilstību šajā likumā un Ministru kabineta noteiktajām kiberdrošības prasībām, ja ir aizdomas par kiberdrošības pārkāpumiem vai tie ir konstatēti.
(2)
Ārējo auditu veic neatkarīgs kiberdrošības auditors, kuram ar subjektu nav interešu konflikta un kurš ir reģistrēts Digitālās drošības uzraudzības komitejas apstiprinātajā kiberdrošības auditoru sarakstā. Ministru kabinets nosaka kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību.
(3)
Informācijas un komunikācijas tehnoloģiju kritiskajā infrastruktūrā ārējo auditu veic šā panta otrajā daļā noteiktajiem kritērijiem atbilstošs ar Satversmes aizsardzības biroju saskaņots kiberdrošības auditors.
(4)
Ārējā audita izmaksas sedz un auditā konstatētos pārkāpumus novērš attiecīgais subjekts.
(5)
Pēc ārējā audita beigām subjekts nekavējoties iesniedz Nacionālajam kiberdrošības centram (informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs – Satversmes aizsardzības birojam) ārējā audita ziņojuma kopiju. Pēc Nacionālās kiberdrošības centra vai Satversmes aizsardzības biroja pieprasījuma subjekts uzrāda arī pierādījumus, kas bija par pamatu ārējā audita ziņojumā iekļautajiem secinājumiem.
43.
pants.
Subjektu neatbilstības novēršana
(1)
Ja konstatētas neatbilstības, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 39. pantā noteiktajam subjektu uzraudzības dalījumam ir tiesīgi izteikt subjektam brīdinājumu vai uzdot subjektam:
1)
veikt noteiktas darbības neatbilstības novēršanai, nosakot samērīgu termiņu neatbilstības novēršanai un ziņošanas kārtību par neatbilstības novēršanas gaitu;
2)
nekavējoties pārtraukt un turpmāk nepieļaut rīcību, kas pārkāpj šajā likumā noteiktās prasības;
3)
informēt pakalpojumu saņēmējus vai publicēt informāciju par kiberapdraudējumu, tā veidu un apmēru, kā arī tā novēršanai vai mazināšanai nepieciešamajām darbībām;
4)
informēt pakalpojumu saņēmējus vai publicēt informāciju par konstatētajiem subjekta pārkāpumiem.
(2)
Ja konstatētā neatbilstība rada nozīmīga kiberincidenta risku, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs par konstatēto risku informē Ministru kabinetu, bet, ja neatbilstība apdraud nacionālo drošību, – Nacionālās drošības padomi.
(3)
Subjekts nekavējoties veic visus nepieciešamos, piemērotos un samērīgos pasākumus neatbilstību novēršanai, tostarp izpilda Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja norādījumus.
(4)
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir tiesīgi veikt klātienes pārbaudes, tostarp norīkot amatpersonas pārraudzīt, kā subjekts noteiktā laikposmā ievēro šajā likumā noteiktos pienākumus.
(5)
Ja subjekts nepilda saskaņā ar šā panta pirmo daļu uzliktos tiesiskos pienākumus, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 39. pantā noteiktajam subjektu uzraudzības dalījumam ir tiesīgi:
1)
uzdot subjektam apturēt subjekta informācijas sistēmas, resursa vai e-pakalpojuma darbību līdz konstatētās neatbilstības novēršanai;
2)
uzdot subjektam apturēt informācijas un komunikācijas tehnoloģiju produkta tirdzniecību vai pakalpojuma sniegšanu līdz konstatētās neatbilstības novēršanai;
3)
uz laiku aizliegt jebkurai fiziskai personai, kas ir atbildīga par vadības un pārstāvības pienākumu veikšanu galvenās izpildpersonas vai juridiskā pārstāvja līmenī subjektā, veikt vadības un pārstāvības funkcijas.
(6)
Lemjot par jebkuru no šā panta pirmajā vai piektajā daļā minētajiem izpildes panākšanas pasākumiem, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ņem vērā šādus apsvērumus:
1)
neatbilstību smagumu un pārkāpto prasību nozīmīgumu, ņemot vērā, ka par nozīmīgu neatbilstību šā likuma izpratnē ir uzskatāmi šādi gadījumi:
a)
atkārtotu neatbilstību konstatēšana,
b)
nozīmīgu incidentu nepaziņošana vai neatrisināšana,
c)
konstatētās neatbilstības nenovēršana pretēji Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja sniegtajiem norādījumiem,
d)
šķēršļu likšana auditiem vai uzraudzības darbībām, ko uzdevis Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs pēc neatbilstības konstatēšanas,
e)
nepatiesas vai neprecīzas informācijas sniegšana saistībā ar kiberdrošības risku pārvaldības pasākumiem vai ziņošanas pasākumiem;
2)
neatbilstības ilgumu;
3)
jebkādas relevantas attiecīgā subjekta iepriekš konstatētas neatbilstības;
4)
jebkādu izraisīto materiālo vai nemateriālo kaitējumu, tai skaitā jebkādu finansiālo vai ekonomisko zaudējumu, ietekmi uz citiem pakalpojumiem un skarto lietotāju skaitu;
5)
neatbilstības izraisītāja nodomu vai nolaidību;
6)
jebkādus pasākumus, ko subjekts veicis, lai novērstu vai mazinātu materiālo vai nemateriālo kaitējumu;
7)
vai subjekts ievēro iekšējos normatīvos aktus, kas izdoti, lai izpildītu minimālās kiberdrošības prasības, kiberrisku pārvaldības un darbības nepārtrauktības plānu, kā arī subjektam saistošos starptautiskos un nacionālos standartus un sertifikācijas shēmas (ja attiecināms);
8)
cik lielā mērā fiziskā persona, kura ir atbildīga par vadības un pārstāvības pienākumu veikšanu galvenās izpildpersonas vai juridiskā pārstāvja līmenī subjektā un kurai piemērots šā panta piektās daļas 3. punktā minētais aizliegums, sadarbojas ar Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju.
(7)
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs šā panta piektās daļas 3. punktā minēto lēmumu nosūta subjektam.
(8)
Šā panta piektās daļas 3. punktā minēto aizliegumu nepiemēro svarīgo pakalpojumu sniedzējiem, kuri nav informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs.
(9)
Šā panta piektās daļas 3. punktā minēto aizliegumu piemēro līdz brīdim, kad attiecīgais subjekts izpildījis saskaņā ar šā panta pirmo daļu uzliktos tiesiskos pienākumus.
(10)
Kad subjekts ir izpildījis saskaņā ar šā panta pirmo daļu uzliktos tiesiskos pienākumus, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 39. pantā noteiktajam subjektu uzraudzības dalījumam atceļ šā panta piektās daļas 3. punktā minēto aizliegumu.
(11)
Šā panta piektās daļas 3. punktā minēto aizliegumu nepiemēro tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātām publiskām personām.
44.
pants.
Tiesiskā pienākuma piespiedu izpilde
(1)
Ja tiesiskais pienākums (administratīvais akts) netiek pildīts, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 39. pantā noteiktajam subjektu uzraudzības dalījumam var veicināt tiesiskā pienākuma izpildi piespiedu kārtā, uzliekot piespiedu naudu Administratīvā procesa likumā noteiktajā kārtībā, ciktāl šis likums nenosaka citu kārtību. Piespiedu naudu var uzlikt atkārtoti līdz tiesiskā pienākuma izpildei.
(2)
Piespiedu naudu var uzlikt papildus jebkuram no izpildes panākšanas pasākumiem, kas minēti šā likuma 43. panta pirmajā un piektajā daļā.
(3)
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs, lemjot par piespiedu naudas uzlikšanu un piespiedu naudas apmēru, ņem vērā šā likuma 43. panta sestajā daļā minētos apsvērumus.
(4)
Pirms tiesiskā pienākuma piespiedu izpildes uzsākšanas Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var noteikt subjektam termiņu tiesiskā pienākuma labprātīgai izpildei.
(5)
Pirms izpildrīkojuma izdošanas Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs rakstveidā paziņo adresātam, ka ir iegūta informācija, kas nepieciešama izpildrīkojuma izdošanai. Adresāts septiņu dienu laikā pēc minētā paziņojuma saņemšanas var iepazīties ar lietu, izteikt savu viedokli un iesniegt papildu informāciju.
(6)
Maksimālais piespiedu naudas apmērs juridiskajai personai ir:
1)
10 miljoni euro vai 2 procenti no juridiskās personas pēdējā finanšu gada kopējā neto apgrozījuma pasaulē (atkarībā no tā, kura summa ir lielāka), ja juridiskā persona ir būtisko pakalpojumu sniedzējs vai informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs;
2)
7 miljoni euro vai 1,4 procenti no juridiskās personas pēdējā finanšu gada kopējā neto apgrozījuma pasaulē (atkarībā no tā, kura summa ir lielāka), ja juridiskā persona ir svarīgo pakalpojumu sniedzējs.
(7)
Piespiedu naudu subjektam neuzliek, ja par šā paša tiesiskā pienākuma neizpildi subjektam jau ir uzlikts naudas sods saskaņā ar Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK, 58. panta 2. punkta "i" apakšpunktu.
VIIInodaļaCiti noteikumi
45.
pants.
Nacionālā kiberdrošības stratēģija
(1)
Nacionālo kiberdrošības stratēģiju reizi četros gados izstrādā Nacionālais kiberdrošības centrs sadarbībā ar valsts pārvaldes iestādēm, valsts drošības iestādēm un privātā sektora pārstāvjiem un apstiprina Ministru kabinets.
(2)
Nacionālā kiberdrošības stratēģija nosaka:
1)
kiberdrošības pārvaldības stratēģiskos mērķus un modeli, kiberdrošības pārvaldībai nepieciešamos resursus;
2)
kiberdrošības pārvaldībā iesaistīto valsts pārvaldes iestāžu lomu sadalījumu, kā arī nacionālos un starptautiskos sadarbības mehānismus;
3)
valstiski aizsargājamo informācijas un komunikācijas tehnoloģiju un resursu noteikšanas un kiberrisku izvērtēšanas kārtību;
4)
kiberincidentu gatavības, reaģēšanas, novēršanas un atkopšanās plānu izstrādes kārtību un prasības, informācijas apmaiņas veidus, kā arī sadarbību starp publisko un privāto sektoru;
5)
pasākumu kopumu sabiedrības digitālo un kiberdrošības prasmju uzlabošanai.
(3)
Nacionālā kiberdrošības stratēģija attiecas uz subjektiem, ja vien stratēģijā nav noteikts citādi.
(4)
Nacionālais kiberdrošības centrs sešu mēnešu laikā pēc nacionālās kiberdrošības stratēģijas apstiprināšanas izstrādā un Ministru kabinets apstiprina pasākumu plānu stratēģijā izvirzīto mērķu sasniegšanai, identificējot darba uzdevumus, atbildīgās institūcijas, uzdevumu izpildes termiņus un sasniedzamos rezultātus. Plānā iekļauj vismaz šādus pasākumus:
1)
pasākumus subjektu informācijas un komunikācijas tehnoloģiju produktu un pakalpojumu piegāžu ķēžu drošības veicināšanai;
2)
kiberdrošības pasākumus valsts tiešās un pastarpinātās pārvaldes iestāžu, atvasināto publisko personu un citu valsts institūciju informācijas un komunikācijas tehnoloģiju produktu un pakalpojumu iepirkumos, tostarp attiecībā uz informācijas un komunikācijas tehnoloģijas sertifikāciju, šifrēšanu un atvērtā pirmkoda risinājumu izmantošanu;
3)
pasākumus ievainojamību pārvaldībai, tostarp koordinēta ievainojamību atklāšanas un novēršanas procesa nodrošināšanai;
4)
pasākumus atklātā interneta publiskā kodola konfidencialitātes, integritātes un pieejamības nodrošināšanai, tostarp attiecībā uz zemūdens sakaru kabeļu kiberdrošību;
5)
pasākumus kiberrisku pārvaldības īstenošanai;
6)
pasākumus subjektu un citu valsts un privātā sektora institūciju, tostarp mazo un vidējo saimnieciskās darbības veicēju, un visas sabiedrības kibernoturības veicināšanai, kiberdrošības prasmju un izpratnes veidošanai, kiberdrošības izglītības un apmācības programmu attīstībai, kā arī kiberhigiēnas pamatlīmeņa nodrošināšanai;
7)
pasākumus kiberdrošības pētniecības un attīstības iniciatīvu atbalstam, tostarp kiberdrošības rīku izstrādei un drošas informācijas un komunikācijas tehnoloģiju infrastruktūras attīstībai, uzlabošanai un ieviešanai;
8)
pasākumus brīvprātīgas kiberdrošības informācijas apmaiņas veicināšanai starp subjektiem;
9)
pasākumus aktīvai kiberaizsardzībai.
(5)
Nacionālais kiberdrošības centrs divas reizes gadā informē Nacionālo kiberdrošības padomi par nacionālās kiberdrošības stratēģijas ieviešanas statusu.
(6)
Nacionālais kiberdrošības centrs triju mēnešu laikā pēc nacionālās kiberdrošības stratēģijas pieņemšanas paziņo to Eiropas Komisijai, izņemot nacionālajai drošībai nozīmīgu informāciju.
46.
pants.
Personas datu apstrāde
(1)
Kiberincidentu novēršanas institūcija, pildot šajā likumā noteiktos uzdevumus un īstenojot savas tiesības, saņem un apstrādā personu identificējošu informāciju, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu vai to novērstu, kā arī nodrošinātu saziņu ar iesaistītām personām.
(2)
Kiberincidentu novēršanas institūcija pēc ievainojamības un kiberincidenta atrisināšanas ir tiesīga uzglabāt un analizēt datus, kas iegūti, lai pamatotu vai izslēgtu aizdomas par ievainojamību un kiberincidentu, un satur personas datus, ja minētā informācija ir noderīga saistītu ievainojamību un kiberincidentu atklāšanā vai novēršanā.
(3)
Personas datus kiberincidentu novēršanas institūcija drīkst nodot šā likuma 9. panta otrajā daļā minētajām institūcijām, lai atpazītu un novērstu tādu kiberapdraudējumu, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai drošībai.
(4)
Personas datus nepieciešamajā apjomā un veidā kiberincidentu novēršanas institūcija drīkst nodot Zemessardzei, lai atpazītu un novērstu tādu kiberapdraudējumu, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai drošībai, ja Zemessardze atbilstoši Latvijas Republikas Zemessardzes likumam tiek iesaistīta atbalsta sniegšanā kompetentajai kiberincidentu novēršanas institūcijai.
(5)
Satversmes aizsardzības birojs, pildot šajā likumā noteiktos uzdevumus un īstenojot savas tiesības, saņem, apstrādā, uzglabā un analizē datus, kas iegūti, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai drošībai.
(6)
Personas datus nepieciešamajā apjomā un veidā kiberincidentu novēršanas institūcija drīkst nodot Satversmes aizsardzības birojam, lai atpazītu un novērstu tādu kiberapdraudējumu, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai drošībai.
Pārejas noteikumi
1.
Ar šā likuma spēkā stāšanos spēku zaudē Informācijas tehnoloģiju drošības likums (Latvijas Vēstnesis, 2010, 178. nr.; 2012, 179. nr.; 2013, 228. nr.; 2015, 34. nr.; 2017, 132. nr.; 2018, 210. nr.).
2.
Ministru kabinets līdz 2024. gada 1. oktobrim izdod šā likuma 9. panta ceturtajā daļā, 12. panta trešajā daļā, 17. panta otrajā daļā, 21. panta sestajā daļā, 22. panta otrajā daļā, 23. panta pirmajā daļā, 24. pantā, 26. panta otrajā daļā, 27. pantā, 29. pantā, 30. panta otrajā un trešajā daļā, 31. pantā, 32. panta pirmajā, septītajā un desmitajā daļā, 34. panta pirmajā daļā, 40. panta trešajā daļā, 41. panta otrajā daļā un 42. panta otrajā daļā minētos Ministru kabineta noteikumus.
3.
Ministru kabinets līdz 2025. gada 1. aprīlim izdod šā likuma 36. pantā minēto Ministru kabineta instrukciju.
4.
Ministru kabinets līdz 2025. gada 1. aprīlim izdod šā likuma 28. panta otrajā daļā minētos Ministru kabineta noteikumus.
5.
Līdz šā likuma 17. panta otrajā daļā minēto noteikumu spēkā stāšanās dienai, bet ne ilgāk kā līdz 2024. gada 1. oktobrim ir piemērojami Ministru kabineta 2016. gada 1. novembra noteikumi Nr. 695 "Digitālās drošības uzraudzības komitejas nolikums", ciktāl tie nav pretrunā ar šo likumu.
6.
Līdz šā likuma 12. panta trešajā daļā, 22. panta otrajā daļā, 23. panta pirmajā daļā, 24. pantā, 26. panta otrajā daļā, 27. pantā, 28. panta otrajā daļā, 32. panta pirmajā, septītajā un desmitajā daļā, 34. panta pirmajā daļā, 40. panta trešajā daļā, 41. panta otrajā daļā un 42. panta otrajā daļā minēto noteikumu spēkā stāšanās dienai, bet ne ilgāk kā līdz 2024. gada 1. oktobrim ir piemērojami Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" un Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība", ciktāl tie nav pretrunā ar šo likumu.
7.
Veicot sākotnēju pašizvērtējumu saskaņā ar šā likuma 20. panta pirmo daļu, persona par savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam paziņo Nacionālajam kiberdrošības centram ne vēlāk kā līdz 2025. gada 1. aprīlim. Ja atbilstība būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam ir iestājusies pēc minētā termiņa, persona par to paziņo Nacionālajam kiberdrošības centram šā likuma 20. panta pirmajā daļā noteiktajā termiņā.
8.
Šā likuma 20. panta ceturtajā daļā minēto būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju sarakstu apstiprina līdz 2025. gada 17. aprīlim.
9.
Šā likuma 21. panta pirmajā daļā minēto informāciju par personas atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam paziņo Nacionālajam kiberdrošības centram ne vēlāk kā līdz 2025. gada 1. aprīlim. Ja atbilstība domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam ir iestājusies pēc minētā termiņa, persona par to paziņo Nacionālajam kiberdrošības centram šā likuma 21. panta pirmajā daļā noteiktajā termiņā.
10.
Šā likuma 23. panta otrajā daļā minēto informāciju par subjekta kiberdrošības pārvaldnieka noteikšanu pirmreizēji paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam ne vēlāk kā līdz 2025. gada 1. jūlijam. Ja subjekta kiberdrošības pārvaldnieks tiek noteikts pēc minētā termiņa, subjekts par to paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam šā likuma 23. panta otrajā daļā noteiktajā termiņā.
11.
Šā likuma 32. panta otro, trešo, ceturto un piekto daļu piemēro no 2025. gada 1. jūlija.
12.
Šā likuma 41. panta pirmajā daļā minēto pašnovērtējuma ziņojumu pirmreizēji iesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam ne vēlāk kā līdz 2025. gada 1. jūlijam.
Informatīva atsauce uz Eiropas Savienības direktīvu
Likumā iekļautas tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 2022. gada 14. decembra direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza regulu (ES) Nr. 910/2014 un direktīvu (ES) 2018/1972 un atceļ direktīvu (ES) 2016/1148 (Dokuments attiecas uz EEZ).
Likums stājas spēkā 2024. gada 1. jūlijā.
Aizsardzības ministrs A. Sprūds