FOTO: Freepik.
Nacionālās kiberdrošības likumprojekta mērķis ir stiprināt kiberdrošību Latvijā un ieviest pārskatītās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas prasības. Topošā likuma normas attieksies uz būtisko un svarīgo pakalpojumu sniedzējiem, kā arī informācijas un komunikācijas tehnoloģiju (IKT) kritisko infrastruktūru.
Likumprojekts “Nacionālās kiberdrošības likums” ir izstrādāts, pamatojoties uz t. s. NIS2 direktīvu,1 kas Eiropas Savienības dalībvalstīm normatīvajos aktos jāpārņem līdz 2024. gada 17. oktobrim.
Ministru kabinets 19. martā atbalstīja likumprojekta virzību uz Saeimu, kur tas vēl būs jāskata trijos lasījumos.
Pirmais lielais solis, lai veicinātu kiberdrošību Eiropas līmenī, bija Eiropas Parlamenta un Padomes 2016. gada 6. jūlija direktīvas (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (NIS direktīvas) pieņemšana, skaidrots likumprojekta anotācijā.
Tā paredzēja pirmos Eiropas Savienības mēroga noteikumus kiberdrošībā, uzlabojot kiberdrošības spējas un stiprinot dalībvalstu sadarbību. NIS direktīva noteica par pienākumu vitāli svarīgo nozaru uzņēmumiem veikt samērīgus kiberdrošības pasākumus un par nozīmīgiem kiberdrošības incidentiem ziņot attiecīgajai kiberincidentu novēršanas institūcijai.
Savukārt NIS2 direktīvas mērķis ir nodrošināt vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā. Tā būtiski paplašina un pilnveido NIS direktīvas regulējumu.
Nacionālās kiberdrošības likumprojekts izstrādāts uz Informācijas tehnoloģiju drošības likuma bāzes, aktualizējot un precizējot normas, papildinot tās ar jaunajām saistībām, kas izriet no Eiropas Savienības tiesību aktiem, kā arī normām, kas ir nacionālā iniciatīva.
Līdz ar jaunā likuma stāšanos spēkā Informācijas tehnoloģiju drošības likums zaudēs spēku.
Likumu veido astoņas nodaļas, un pirmajā no tām skaidroti likumā lietotie termini, norādīts likuma mērķis un darbības joma.
Likuma mērķis ir:
Aizsardzības ministrijas Kiberdrošības politikas departamenta direktors Edgars Kiukucāns skaidro, ka līdz ar NIS2 direktīvas ieviešanu tiek paplašināts to nozaru skaits, kurām būs jāievēro kiberdrošības noteikumi.
Līdz šim kiberdrošības prasības bija jāievēro astoņās nozarēs: enerģētikā, transportā, banku sektorā, finanšu tirgus infrastruktūrā, veselības aprūpē, dzeramā ūdens ieguvē, notekūdeņu apsaimniekošanā un digitālajā infrastruktūrā.
Līdz ar NIS2 direktīvu kiberdrošības prasības attieksies arī uz: digitālajiem pakalpojumiem, pasta pakalpojumiem, kurjerpakalpojumiem, ķimikālijām, pārtikas ražošanu, vairumtirdzniecību un mazumtirdzniecību, atkritumu apsaimniekošanu un industriālo ražošanu.
E. Kiukucāns norāda, ka atsevišķi subjekti, uz kuriem attieksies Nacionālās kiberdrošības likums, ir iekļauti likumprojektā pēc nacionālās iniciatīvas. Šāda joma ir, piemēram, apsardzes pakalpojumi.
Kiberdrošības prasības attieksies arī uz visām augstskolām Latvijā.
Nacionālās kiberdrošības likums attieksies uz būtisko un svarīgo pakalpojumu sniedzējiem, kā arī informācijas un komunikācijas tehnoloģiju (IKT) kritisko infrastruktūru.
Pilns būtisko un svarīgo pakalpojumu jomu saraksts ir ietverts likumprojekta šī brīža redakcijas 18. un 19. pantā, turpretī kritiskās infrastruktūras kopumu saskaņā ar Nacionālās drošības likumu apstiprina Ministru kabinets.
Likumprojektā ir noteikti kritēriji, pēc kuriem tiek definēta publiskā un privātā sektora organizācijas piederība kādai no subjektu grupām. Uzņēmumu iekļaušanas kritēriji ir gan joma, kurā kompānijas darbojas, gan uzņēmuma lielums.
“Būs specifiskas jomas, kurās, neatkarīgi no lieluma, uzņēmums kļūst par būtisko pakalpojumu sniedzēju, bet ir arī tādas sfēras, kur būtisko pakalpojumu sniedzējs par tādu top, ja ir liels uzņēmums,” apgalvo E. Kiukucāns.
Piemēram, likumprojekta 18. pantā minēts, ka būtiskais pakalpojumu sniedzējs ir elektronisko sakaru komersants, uzticamības pakalpojumu sniedzējs (e-paraksta risinājumu izstrādātājs), sabiedriskie mediji.
Būtisks pakalpojumu sniedzējs ir arī liels saimnieciskās darbības veicējs, kas darbojas noteiktās nozarēs, kā, piemēram, energoapgādē, naftas apgādē, farmācijā, veic komercdarbību ostas teritorijā u. c.
Savukārt svarīga pakalpojumu sniedzēja kritērijs ir vidējs vai liels saimnieciskās darbības veicējs, kas darbojas pasta un kurjerpasta pakalpojumu jomā, atkritumu pārstrādē, pārtikas ražošanā un pārtikas piegādes loģistikā, apsardzes pakalpojumu nozarē u. c.
Liels un vidējs saimnieciskās darbības veicējs Eiropas Komisijas (EK) ieteikums Nr. 2003/361/EK noteic, ka liels saimnieciskās darbības veicējs ir juridiskā vai fiziskā persona vai šādu personu apvienība, kura veic saimniecisko darbību un atbilst vismaz vienai no šādām pazīmēm:
Turpretī vidējam saimnieciskās darbības veicējam jāatbilst visām minētajām pazīmēm:
|
Jāpiebilst, ka uzņēmumiem un iestādēm pašiem būs jānosaka atbilstība būtisko vai svarīgo pakalpojumu sniedzēja statusam un līdz 2025. gada 1. aprīlim jāiesniedz attiecīgais paziņojums Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam.
Likumprojekta otrajā nodaļā ir noteiktas par kiberdrošību atbildīgās institūcijas. Būtisko un svarīgo pakalpojumu sniedzēju uzraudzību veiks Nacionālais kiberdrošības centrs.
Tā būs jauna institūcija, kuras funkcijas realizēs Aizsardzības ministrija sadarbībā ar Informācijas tehnoloģiju drošības incidentu novēršanas institūciju “Cert.lv”.
Nacionālais kiberdrošības centrs veidos un koordinēs valsts politiku kiberdrošības jomā, reizi četros gados izstrādās nacionālo kiberdrošības stratēģiju, uzraudzīs kiberdrošības prasību īstenošanu u. c. Centrs darbosies kā vienotais kontaktpunkts kiberdrošības jautājumos, veiks nacionālo kiberdrošības prasību ieviešanas pārraudzību, būtisko un svarīgo pakalpojumu sniedzēju uzraudzību, dokumentu un IKT infrastruktūras pārbaudes.
“Cert.lv” atbildībā būs reaģēšana uz kiberdrošības incidentiem, kibertelpas situācijas monitorings un draudu analīze, sensoru tīkla, DNS ugunsmūra un drošības operāciju centru darbības nodrošināšana, kā arī sabiedrības izglītošana kiberdrošības jautājumos.
Kaut arī tiks ieviestas izmaiņas, “Cert.lv” saglabās vienu no saviem galvenajiem uzdevumiem – sniegt atbalstu informācijas un komunikācijas tehnoloģiju drošības incidentu novēršanā jebkurai fiziskajai vai juridiskajai personai.
Savukārt par IKT kritisko infrastruktūru, tāpat kā līdz šim, atbildēs Satversmes aizsardzības birojs.
Likumprojekts noteic, ka ikvienam subjektam būs jānozīmē kiberdrošības pārvaldnieks – par kiberdrošību atbildīgā persona. Par pārvaldnieka iecelšanu subjektam līdz 2025. gada 1. jūlijam būs jāinformē Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs.
Līdz minētajam datumam būs jāiesniedz arī pirmreizējs pašnovērtējuma ziņojums. Ziņojuma forma tiks pievienota Ministru kabineta noteikumiem, kas patlaban tiek izstrādāti.
Ja kāds uzņēmums vai iestāde nebūs reģistrējies kā būtisko vai svarīgo pakalpojumu sniedzējs, Nacionālajam kiberdrošības centram būs tiesības attiecīgo komersantu vai iestādi par tādu noteikt.
Likumprojekta prasības ietver arī rīcību kiberincidenta gadījumā, ziņošanu par incidentiem un atklātajām ievainojamībām, kā arī risku pārvaldības un darbības nepārtrauktības plāna izstrādi.
“Ir divas lietas, kuras katram subjektam jāizstrādā, t. i., darbības nepārtrauktības plāns un risku pārvaldības plāns,” skaidro Aizsardzības ministrijas pārstāvis.
“Izstrādājot konkrētos plānus, uzņēmumam jābūt skaidrībai, kādi ir kiberriski, kuriem jāgatavojas, tāpat nepieciešams noteikts scenārijs par to, kas notiek būtiska incidenta gadījumā.”
Kādas kiberdrošības prasības subjektiem ir jāievēro, tiks noteikts Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām.
Ja uzņēmumiem ir neskaidri jautājumi par topošā likumprojekta regulējumu, tos var sūtīt Aizsardzības ministrijai uz e-pasta adresi: NIS2@mod.gov.lv.
Vairāki uzņēmumi jau ir sākuši strādāt, lai nodrošinātu atbilstību papildinātajām kiberdrošības prasībām.
Viens no tiem ir akciju sabiedrība “Eco Baltia”. Tās uzņēmumos tiek strādāts pie atsevišķu risinājumu ieviešanas, kas cita starpā paredz pasākumus, lai mazinātu kiberdrošības riskus, norāda sabiedrības valdes priekšsēdētājs Māris Simanovičs.
“Patlaban esam sākuši ieviest tehniskos un programmatūras risinājumus, kā arī piemērojam iekšējās politikas izstrādi un procedūras topošajā Nacionālās kiberdrošības likumā noteiktajām prasībām. Plānojam arī turpmāk īstenot darbinieku apmācības, lai veicinātu labāku izpratni par nelikumīgajiem veidiem ar viltu iegūt no interneta lietotāja slepenu informāciju, kā arī citiem ar potenciāliem kiberuzbrukumiem un IT aspektiem saistītajiem piesardzības pasākumiem digitālajā vidē,” stāsta M. Simanovičs.
Šie pasākumi arī ārpus likumprojektā noteiktā ir būtisks ieguvums uzņēmumam, savukārt caur centralizētu likumā noteiktajā kārtībā īstenotu informācijas apriti minētie procesi palīdzēs veicināt kibertelpas drošību plašākā mērogā, uzsver “Eco Baltia”.
Lai uzņēmēji varētu sagatavoties kiberdrošības prasību ieviešanai, Centrālajā finanšu un līgumu aģentūrā līdz 2024. gada 14. maijam var pieteikties atklātajai projektu atlasei, kur pirmoreiz Latvijas uzņēmējiem pieejams Eiropas Kiberdrošības kompetenču centra līdzfinansējums – viens miljons eiro grantu programmā mazo un vidējo saimnieciskās darbības veicēju kiberdrošības transformācijas atbalstam.
Aizsardzības ministrijas izstrādātā Eiropas Savienības atbalsta programma paredz veicināt uzņēmumu kiberdrošības pārveidi, atvieglojot piekļuvi inovatīviem kiberdrošības risinājumiem, un stiprināt to kibernoturību.
Pieejamais granta apmērs uzņēmumam ir no 20 000 līdz 60 000 eiro, finansējot pusi no attiecināmajām projekta izmaksām, kas saistītas, piemēram, ar inovatīvu kiberdrošības pētījumu izstrādi, tehnoloģisko risinājumu pilotprojektu veikšanu, kiberdrošības tehnoloģiju izstrādi un ieviešanu, kapacitātes stiprināšanas aktivitātēm.
ES finansējums kiberdrošības projektu īstenošanai paredzēts Eiropas Kiberdrošības kompetenču centra 2021.–2027. gada plānošanas perioda grantu programmas “Mazo un vidējo saimnieciskās darbības veicēju kiberdrošības transformācija” ietvaros.
Nacionālās kiberdrošības likumprojekts paredz Ministru kabinetam noteikt prasības aizsardzībai pret pakalpojumatteices (DDoS) kiberuzbrukumiem, drošības prasības datu centriem, kā arī kiberhigiēnas vadlīnijas valsts un pašvaldību institūcijām.
Likumprojektā noteikts, ka tiks veidots un uzturēts vienotais valsts interneta apmaiņas punkts.
“Primārais mērķis ir nodrošināt lokālo kritisko pakalpojumu pieejamību situācijās, kad nav pieejams stabils savienojums ar globālo internetu,” skaidro E. Kiukucāns. “Citiem vārdiem, tas ir valsts iekšējais internets, kas krīzes situācijā nodrošina pakalpojuma nepārtrauktību. Piemēram, gadījumā, kad ir bojāti sauszemes un jūras kabeļi, ja vairs nav stabilas interneta plūsmas.”
Ministru kabinets noteiks vienotā valsts interneta plūsmu apmaiņas punkta darbības noteikumus un tā pakalpojumu sniegšanas un saņemšanas kārtību.
Likumprojekts paredz, ka par konstatētajām neatbilstībām Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši likumprojektā noteiktajam subjektu uzraudzības dalījumam varēs piemērot soda sankcijas, tostarp veikt tiesiskā pienākuma piespiedu izpildi.
Gadījumā, ja subjekts nepildīs tam uzlikto tiesisko pienākumu, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs būs tiesīgi veikt tiesiskā pienākuma izpildi piespiedu kārtā ar piespiedu naudas palīdzību Administratīvā procesa likumā noteiktajā kārtībā.
Maksimālais piespiedu naudas apmērs būtisko pakalpojumu sniedzējiem un IKT kritiskajai infrastruktūrai būs 10 miljoni eiro vai 2% no kopējā gada apgrozījuma pasaulē, bet svarīgo pakalpojumu sniedzējiem – septiņi miljoni eiro vai 1,4% no kopējā gada apgrozījuma pasaulē.
Piespiedu naudas piemērošana tiks piemērots kā galējais līdzeklis gadījumos, kad subjekts ilgstoši nav ievērojis likumprojektā noteiktās prasības un nav sadarbojies ar Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju.
1 Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvu (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148.