Lai spētu pielāgoties mainīgajai digitalizācijas videi un jauniem kiberdrošības draudiem, Eiropas Komisija ir izstrādājusi jaunu regulējumu – direktīvu 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā (ES). Latvijā jauno direktīvu plānots pārņemt, izstrādājot jaunu likumu – Nacionālās kiberdrošības likumu. Apskatām, kādas izmaiņas gaidāmas, uz ko tās attieksies un kad tās varētu stāties spēkā, ja likuma pieņemšanas process ritēs pēc plāna.

Raksta autors: Krišjānis Knodze, SIA “Sorainen ZAB” jurista palīgs

Līdzautors: Krišjānis Cercens, SIA “Sorainen ZAB” jurists

Pašlaik kiberdrošības prasības Latvijas uzņēmējiem pamatā nosaka Informācijas tehnoloģiju drošības likums, kurā ir pārņemtas direktīvas 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Eiropas Savienībā prasības, kas ir vienas no būtiskākajām šajā jomā.

Kam būs jāievēro kiberdrošības prasības?

Pašlaik Informācijas tehnoloģiju drošības likuma prasības pamatā attiecas uz pamatpakalpojumu sniedzējiem, digitālā pakalpojuma sniedzējiem un informācijas tehnoloģiju kritiskajām infrastruktūrām. Būtiski piebilst, ka pamatpakalpojuma sniedzēja statusu pašlaik piešķir Ministru kabinets (MK), un esošā likuma redakcija, kas attiecībā uz subjektu raksturojumu ir samērā vispārīga, MK paver diezgan plašu rīcības brīvību. Tieši nekonsekventā direktīvas 2016/1148 piemērošana ES dalībvalstīs, tostarp arī nekonsekventa konkrētu statusu piešķiršana, bija viens no iemesliem, kāpēc tika izstrādāta direktīva 2022/2555.

Paplašinātais subjektu loks tiek uzskatīts par būtiskāko jauninājumu direktīvā 2022/2555. Saskaņā ar likumprojektu subjekti tiek iedalīti trīs kategorijās – būtisko pakalpojumu sniedzēji, svarīgo pakalpojumu sniedzēji un informācijas un komunikācijas tehnoloģiju (IKT) kritiskā infrastruktūra. Kritiskā infrastruktūra tiks noteikta atbilstoši Nacionālās drošības likumam, un to uzraudzīs Satversmes aizsardzības birojs, tādēļ apskatīsim pārējās divas subjektu kategorijas.

Jau esošo kritisko infrastruktūru īpašniekiem gaidāmās izmaiņas nebūs būtiskas, jo tiem jau tagad tiek piemērotas dažādas prasības. Prasības būtisko pakalpojumu sniedzējiem un svarīgo pakalpojumu sniedzējiem īpaši neatšķirsies, taču būtisko pakalpojumu sniedzēji būs pakļauti stingrākai uzraudzībai, un tiem ir paredzēts lielāks maksimālais sods neatbilstības gadījumā.

Likumprojekts paredz vairākus veidus, kā uzņēmēji var kvalificēties konkrētam statusam.

Būtisko pakalpojumu sniedzēji

Lai kļūtu par būtisko pakalpojumu sniedzēju, jāizpildās šādiem nosacījumiem:

  • pakalpojuma sniedzējs darbojas kādā no likumprojekta 18.panta 1.–7.punktā uzskaitītajām nozarēm;
  • pakalpojuma sniedzējs darbojas kādā no likumprojekta 18.panta 8.punktā uzskaitītajām nozarēm un atbilst vēl vismaz vienai pazīmei:
    • liels saimnieciskās darbības veicējs (darbojas Latvijā, nodarbina vismaz 250 darbiniekus vai pēdējā finanšu gada kopējais neto apgrozījums pasaulē pārsniedz 50 milj. eiro, gada bilances kopsumma pārsniedz 43 milj. eiro);
    • ir vienīgais šāda veida pakalpojuma sniedzējs Latvijā vai arī ir pastarpinātās pārvaldes iestāde;
  • pakalpojuma sniedzējs ir saimnieciskās darbības veicējs, kura sniegtā pakalpojuma traucējumi var būtiski ietekmēt sabiedrības drošību, valsts aizsardzību vai sabiedrības veselību vai radīt būtisku sistēmisku risku.

Svarīgo pakalpojumu sniedzēji

Svarīgo pakalpojumi sniedzēji ir:

  • izglītības informācijas sistēmas uzturētāji kā arī nekvalificēti uzticamības pakalpojumu sniedzēji;
  • pakalpojumu sniedzēji, kuri darbojas kādā no likumprojekta 18.panta 8.punktā uzskaitītajām nozarēm un atbilst vismaz vēl vienai pazīmei:
    • ir vidējs saimnieciskās darbības veicējs (darbojas Latvijā, nodarbina no 50 līdz 249 darbiniekiem; pēdējā finanšu gada kopējais neto apgrozījums pasaulē nepārsniedz 50 milj. eiro vai gada bilances kopsumma nepārsniedz 43 milj. eiro, taču pārsniedz 10 milj. eiro).
  • pakalpojuma sniedzējs darbojas kādā no likumprojekta 19.panta 1.daļas 2.punktā uzskaitītajām nozarēm un atbilst vēl vismaz vienai pazīmei:
    • ir vidējs saimnieciskās darbības veicējs;
    • ir liels saimnieciskās darbības veicējs;
    • vai nu ir vienīgais šāda veida pakalpojuma sniedzējs Latvijā, vai arī pastarpinātās pārvaldes iestāde.

Atšķirībā no pašlaik spēkā esošā regulējuma, pakalpojumu sniedzējiem būs pienākums pašiem noteikt atbilstību augstākminētajiem statusiem. Saskaņā ar likumprojekta pārejas noteikumiem tas būs jādara līdz 2025.gada 1.aprīlim, par statusu informējot jaunizveidoto Nacionālās kiberdrošības centru, proti, institūciju, kas apvienos Aizsardzības ministrijas Kiberdrošības politikas departamentu un CERT.LV. Jāatzīmē, ka nepaziņošanas gadījumā Nacionālajam kiberdrošības centram būs tiesības pakalpojumu sniedzējiem piešķirt konkrētu statusu pat tad, ja tas nebūs izdarīts brīvprātīgi.

Kādas kiberdrošības prasības būs jāievēro turpmāk?

Likumprojekts paredz virkni dažādu prasību, kas būs jāievēro pakalpojumu sniedzējiem.

Minimālās kiberdrošības prasības

MK izdos noteikumus, kuri noteiks konkrētas prasības attiecībā uz tīklu drošību, informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām, kā arī pasākumus par prasībām attiecībā uz tīklu un sistēmu konfidencialitāti, integritāti un pieejamības nodrošināšanu, kā arī datu atjaunošanu. Pašlaik kiberdrošības prasības nosaka MK noteikumi Nr.442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”. Lai pārņemtu direktīvas 2022/2555 prasības, minētie noteikumi tiks būtiski grozīti un veicamo grozījumu apjoma dēļ aizstās šobrīd spēkā esošos noteikumus.

Jaunie noteikumi ietvers apjomīgu klāstu jauno prasību, apvienojot daudzas prasības vienotos MK noteikumos. Proti, tie ietvers ne vien minimālās kiberdrošības prasības, bet arī prasības kiberdrošības pārvaldniekam, kiberincidentu kritērijus un ziņošanas kārtību, elektronisko sakaru tīklu drošības prasības, kā arī citas būtiskas no direktīvas 2022/2555 izrietošas prasības.

Kiberdrošības pārvaldība

Būtisko un svarīgo pakalpojumu sniedzējiem būs pienākums noteikt par kiberdrošību atbildīgo personu, kura īstenos un pārraudzīs kiberdrošības pasākumu īstenošanu. Par atbildīgo personu būs jāziņo Nacionālajam kiberdrošības centram. Atbildīgajai personai būs pienākums organizēt IKT infrastruktūras drošības pasākumus, veikt infrastruktūras pārbaudi un konstatēto trūkumu novēršanu, apmeklēt kiberdrošības apmācības, kā arī veikt darbinieku instruktāžas par kiberriskiem un kiberdrošību. Saskaņā ar likumprojekta pārejas noteikumiem informācija par kiberdrošības pārvaldnieku būs jāsniedz līdz 2025.gada 1.jūlijam.
Tāpat būs pienākums izstrādāt kiberrisku pārvaldības un darbības nepārtrauktības plānu, kura satura kritēriji būs paredzēti jau minētajos MK noteikumos.

Ikgadējais pašnovērtējuma ziņojums

Būtisko un svarīgo pakalpojumu sniedzējiem būs pienākums līdz kārtējā gada 1.jūlijam Nacionālajam kiberdrošības centram iesniegt pašnovērtējuma ziņojumu. Arī pašnovērtējuma ziņojuma veidlapa tiks iekļauta MK noteikumos. Saskaņā ar pārejas noteikumiem pirmais pašnovērtējuma ziņojums būs jāiesniedz līdz 2025.gada 1.jūlijam.

Aizsardzība pret pakalpojumatteices kiberuzbrukumiem

Saskaņā ar Latvijas kiberdrošības stratēģiju 2023.–2026.gadam lielā apjomā tiek piedzīvoti mērķēti pakalpojumatteices jeb DDoS uzbrukumi ne tikai publiskā sektora sistēmām, bet arī sabiedrībai nozīmīgu pakalpojumu sniedzēju sistēmām. Īpaši pastiprināti pakalpojumatteices uzbrukumi tiek veikti līdz ar politiski vai sabiedriski nozīmīgiem notikumiem. Lai cīnītos ar šo aktuālo problēmu, MK attiecībā uz šāda veida uzbrukumiem izstrādās atsevišķus noteikumus.

Nozīmīgi kiberincidenti

Kiberincidentu skaits, apmērs, sarežģītība, biežums un ietekme pieaug un būtiski apdraud tīklu un informācijas sistēmu darbību. Līdz ar to kiberincidenti var kavēt saimnieciskās darbības īstenošanu tirgū, radīt finansiālus zaudējumus, apdraudēt lietotāju uzticēšanos un radīt lielu kaitējumu ekonomikai un sabiedrībai.

MK noteiks kārtību, kādā vajadzēs informēt par nozīmīgu kiberincidentu, un kritērijus, par kādiem kiberincidentiem jāinformē kompetentā kiberincidentu novēršanas institūcija. Likumā būs pienākums iesniegt trīs veidu ziņojumus – agrīno brīdinājumu (ne vēlāk kā 24 stundu laikā), sākotnējo ziņojumu (ne vēlāk kā 72 stundu laikā) un gala ziņojumu (mēneša laikā).

Likumprojekts saglabā tādu pašu pieeju kā šobrīd spēkā esošais Informācijas tehnoloģiju drošības likums, proti, obligāts ziņošanas pienākums būs vien būtisko un svarīgo pakalpojumu sniedzējiem, savukārt pārējie pakalpojumu sniedzēji ziņojumus varēs iesniegt brīvprātīgi. Taču būtisko vai svarīgo pakalpojumu sniedzēju loks būs daudz plašāks, tāpēc arī pienākums ziņot par nozīmīgiem kiberincidentiem attieksies uz daudz lielāku pakalpojumu sniedzēju daļu nekā šobrīd.

Koordinētu ievainojamību atklāšana un novēršana

Tāpat, ja būtisko vai svarīgo pakalpojumu sniedzēja informācijas sistēmā vai elektronisko sakaru tīklā tiks konstatēta ievainojamība, tam būs pienākums par to ziņot, iesniedzot ievainojamības atklāšanas ziņojumu.
Ievainojamība ir IKT vai pakalpojumu drošības nepilnība, kas ir sistēmiska vājība, kuras rezultātā var tikt apdraudēta IKT konfidencialitāte, integritāte vai pieejamība un kas var tikt izmantota kiberuzbrukuma īstenošanai.

Paredzētās sankcijas

Būtisks jauninājums ir paredzētie sodi neatbilstības gadījumā, jo direktīva 2016/1148 sodu politiku deleģēja dalībvalstīm un pati par sevi tos nenoteica. Savukārt direktīva 2022/2555 nosaka soda naudas sliekšņus. Saskaņā ar likumprojektu maksimālais piespiedu naudas apmērs būtisko pakalpojumu sniedzējiem un IKT kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem ir 10 milj. eiro vai 2% no pēdējā finanšu gada kopējā neto apgrozījuma pasaulē. Savukārt svarīgo pakalpojumu sniedzējiem 7 milj. eiro vai 1,4% no pēdējā finanšu gada kopējā neto apgrozījuma pasaulē. Jāņem vērā, ka piespiedu nauda ir galējais risinājums.

Kad kiberdrošības prasības stāsies spēkā?

Raksta tapšanas brīdī Saeima ir apstiprinājusi likumprojektu pirmajā lasījumā. Lai likums stātos spēkā, Saeimai tas ir jāpieņem trīs lasījumos. Savukārt Valsts prezidentam tas ir jāizsludina ne agrāk kā 10.dienā un ne vēlāk kā 21.dienā pēc tā pieņemšanas Saeimā.

Saskaņā ar direktīvu 2022/2555 ES dalībvalstīm līdz 2024.gada 17.oktobrim ir pienākums pieņemt un publicēt tiesību aktus, kas pārņem direktīvas prasības. Savukārt direktīvā noteiktās prasības ir jāpiemēro no 2024.gada 18.oktobra. Paredzams, ka likumprojekts stāsies spēkā vēl ātrāk, proti, 2024.gada 1.jūlijā.
Tā kā direktīvas 2022/2555 prasības būs piemērojamas jau pavisam drīz, uzņēmējiem jau tagad vajadzētu izvērtēt, vai tie tiks uzskatīti par likumprojekta subjektiem un vai uz viņiem attieksies jaunās prasības. Gadījumā, ja uzņēmums kvalificējas kā būtisko vai svarīgo pakalpojumu sniedzējs, tam jau tagad vajadzētu sākt domāt, kā organizatoriski un tehniski varētu nodrošināt atbilstību gaidāmajām prasībām.

Ar pilno rakstu varat iepazīties šeit.