“Pieņemtais regulējums nodrošinās sistēmisku pieeju kiberdrošībai ne tikai visā valsts sektorā, bet arī citās būtiskās nozarēs, nodrošinot vienotu un pārskatāmu prasību kopumu visiem pakalpojumu sniedzējiem. Tāpat regulējums nosaka arī skaidru institucionālu atbildības un kontroles mehānismu. Kopumā stiprināsim publiskā un privātā sektora noturību pret kiberdraudiem, uzlabosim incidentu pārvaldību un nodrošināsim atbilstību Eiropas Savienības tiesību aktiem,” norāda aizsardzības ministrs Andris Sprūds.
Noteikumu projekts nosaka obligātās kiberdrošības prasības valsts, pašvaldību un kritiski svarīgajiem privātā sektora subjektiem, kuri nodrošina būtiskus un svarīgus pakalpojumus, pārvalda informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru, izmanto publiskos elektronisko sakaru tīklus, kā arī nodrošina valsts informācijas sistēmu savietojamību.
Jaunais noteikumu projekts regulēs tādas jomas kā kiberdrošības pārvaldības prasības, incidentu klasifikācija, ziņošanas termiņi un formas, informācijas sistēmu pieejamība, datu atjaunošana, šifrēšana, kiberhigiēnas pamatprincipi, personāla kompetences un kiberdrošības pārvaldnieka prasības, kā arī prasības, kas izvirzāmas ārpakalpojumiem.
Noteikumu projekts “Minimālās kiberdrošības prasības” izstrādāts, jo 2024. gada 1. septembrī spēkā stājās Nacionālais kiberdrošības likums, kā rezultātā spēku zaudēja Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām".
Tāpat noteikumu projekts izstrādāts, lai pilnībā ieviestu Latvijas tiesību sistēmā Eiropas Parlamenta un Padomes 2022. gada 14. decembra direktīvas (ES) 2022/2555, kas paredz dažādus pasākumus, lai panāktu līdzvērtīgi augstu kiberdrošības līmeni visā Eiropas Savienībā.
Nacionālās kiberdrošības likums un Ministru kabineta noteikumi “Minimālās kiberdrošības prasības” būtisko un svarīgo pakalpojumus sniedzējiem, kā arī valsts pārvaldes iestādēm paredz pienākumu līdz 2025. gada 1. oktobrim iecelt kiberdrošības pārvaldnieku - atbildīgo par noteikumos minēto prasību izpildi. Tāpat līdz 1. oktobrim Nacionālajā kiberdrošības centrā jāiesniedz pašvērtējuma anketa, ar kuras palīdzību pakalpojumu sniedzēji novērtēs savu šī brīža atbilstību likuma un noteikumu prasībām. Vadoties pēc šajās anketās iekļautās informācijas, Nacionālais kiberdrošības centrs veiks atbilstības auditus, lai novērtētu noteikumos iekļauto prasību izpildi un sniegtu rekomendācijas uzņēmumu vai iestāžu kiberdrošības uzlabošanai. Šāda veida pašnovērtējums uzņēmumiem un iestādēm turpmāk būs jāveic regulāri – reizi 1 vai 3 gados.
Tāpat jaunais regulējums paredz arī kiberdrošības dokumentācijas uzturēšanu, piemēram, darbības nepārtrauktības plānu un kiberrisku pārvaldības plānu izveidi. Drīzumā plānots izstrādāt kiberdrošības dokumentācijas paraugus, lai pakalpojumu sniedzējiem, kuriem šāda veida dokumentācija ir jaunums, atvieglotu tās izstrādi un noteikumos minēto prasību izpildi. Papildus tam Nacionālais kiberdrošības centrs organizēs informatīvos seminārus, kuros interesentiem būs iespēja iepazīties ar nozīmīgākajām noteikumos minētajām prasībām, kā arī rast atbildes uz sev neskaidrajiem jautājumiem. Tuvākie informatīvie semināri tiks organizēti 22., 23. un 30. jūlijā.
