2024. gada 1. septembrī stājās spēkā Nacionālās kiberdrošības likums (NKDL), ar kuru tiek ieviestas Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas 2022/2555 (NIS2) prasības. Regulējuma mērķis ir stiprināt kiberdrošību gan uzņēmumos, gan publiskās pārvaldes iestādēs Latvijā.

Ko paredz jaunais NKDL?

Uzņēmumiem, kuriem jau iepriekš bija saistošas Latvijas normatīvo aktu prasības par kiberdrošību, izmaiņas darbībā būs nelielas. Savukārt līdz ar NKDL subjektu loku paplašināšanu, uzņēmumiem, kuriem šādas prasības sākotnēji nebija, priekšā būs vairāki būtiski izaicinājumi.

NKDL ietvaros ir ietverts deleģējums Ministru Kabinetam izdot “Noteikumus par minimālajām kiberdrošības prasībām”, kuri šobrīd ir saskaņošanas procesā (MK noteikumi). Kā var spriest no pieejamās, bet vēl izstrādē esošās redakcijas, MK noteikumi ietvers apjomīgu klāstu jauno prasību, apvienojot daudzas kiberdrošības prasības vienuviet. Proti, tie ietvers ne vien minimālās kiberdrošības prasības, bet arī prasības kiberdrošības pārvaldniekam, kiberincidentu kritērijus un ziņošanas kārtību, elektronisko sakaru tīklu drošības prasības, kā arī citas būtiskas no NIS2 izrietošas prasības.

Tāpat būtisks jaunums ir Nacionālā kiberdrošības centra (NKC) izveide, kas ir nacionālā kompetentā institūcija, kas darbojas kā vienotais kontaktpunkts kiberdrošības jautājumos un īsteno nacionālo kiberdrošības pārraudzību.

Kas jādara?

NKDL paplašina to subjektu loku, uz kuriem attiecas obligātās prasības. Tādēļ pirmais solis ir izvērtēt, vai uzņēmums ir NDKL subjekts. Ja tiek konstatēta atbilstība, ir jāpievēršas tam, kā organizatoriski un tehniski var nodrošināt atbilstību NKDL prasībām.

Kam jāievēro prasības?

Salīdzinot ar līdz šim piemērojamo Informācijas tehnoloģiju drošības likumu, NKDL būtiski paplašina subjektu loku. Subjekti tiek iedalīti trīs kategorijās:

  • būtisko pakalpojumu sniedzēji;
  • svarīgo pakalpojumu sniedzēji;
  • informācijas un komunikācijas tehnoloģiju (IKT) kritiskā infrastruktūra.

Šeit apskatīsim tikai pirmās divas subjektu kategorijas. Kritiskā infrastruktūra ir Ministru kabineta kritiskās infrastruktūras kopumā iekļautā IKT kritiskā infrastruktūra, un to uzraudzīs Satversmes aizsardzības birojs.

Kādi datumi ir nozīmīgi likuma subjektiem?

  • Līdz 2025. gada 1. aprīlim

Likuma subjekti paši nosaka atbilstību būtiska vai svarīga pakalpojumu sniedzēja statusam un par to paziņo NKC.

  • No 2025. gada 1. jūlija

Likuma subjekti sāk ievērot būtisku kiberincidentu ziņošanas prasības attiecībā uz kompetento iestādi un pakalpojumu lietotājiem.

  • Līdz 2025. gada 1. oktobrim

Likuma subjekti:

– īsteno minimālās kiberdrošības riska pārvaldības pasākumu sarakstu atbilstoši MK noteikumiem;

– ieceļ kiberdrošības pārvaldnieku;

– iesniedz pirmo pašnovērtējuma ziņojumu

Būtisko pakalpojumu sniedzēji

Pakalpojuma sniedzējs darbojas kādā no NKDL 20.panta 1.–7.punktā uzskaitītajām nozarēm:

  • augstākā līmeņa domēnu nosaukumu reģistra uzturētājs, piemēram, augstākā līmeņa domēna “.lv” reģistra uzturētājs;
  • domēnu nosaukumu sistēmas pakalpojumu sniedzējs, kas sniedz publiski pieejamus rekursīvus domēnu nosaukumu atrises pakalpojumus interneta galalietotājiem vai autoritatīvus domēnu nosaukumu atrises pakalpojumus trešo personu lietošanai, izņemot saknes nosaukumu serverus;
  • elektronisko sakaru komersants;
  • kvalificēts uzticamības pakalpojumu sniedzējs;
  • tiešās pārvaldes iestāde un cita valsts institūcija, kā arī privāto tiesību juridiskā persona, kas pilda valsts pārvaldes deleģētu uzdevumu, izņemot valsts drošības iestādes;
  • atvasināta publiskā persona;
  • sabiedriskie elektroniskie plašsaziņas līdzekļi.

Pakalpojuma sniedzējs darbojas kādā no NKDL 20. panta 8. punktā uzskaitītajām nozarēm:

  • energoapgādes komersants;
  • naftas apgādes komersants;
  • ūdeņraža apgādes komersants;
  • aeronavigācijas pakalpojumu sniedzējs, gaisa kuģa ekspluatants vai lidlauka vai citu civilās aviācijas objektu un iekārtu ekspluatants;
  • dzelzceļa pārvadātājs vai dzelzceļa infrastruktūras pārvaldītājs;
  • kuģošanas kompānija, neietverot šīs kompānijas pārvaldītos individuālus kuģus;
  • ostas pārvalde;
  • komersants, kurš veic komercdarbību ostas teritorijā;
  • komersants, kurš pārvalda valsts autoceļus vai veic valsts autoceļu infrastruktūras uzturēšanas darbus;
  • intelektisko transporta sistēmu operators;
  • kredītiestāde, centrālais darījumu partneris vai tirdzniecības vieta Finanšu instrumentu tirgus likuma izpratnē;
  • ārstniecības iestāde vai Eiropas Savienības references laboratorija;
  • komersants, kas veic izpētes un izstrādes darbības attiecībā uz zālēm, ražo zāles un aktīvās vielas;
  • kritiski svarīgu medicīnisko ierīču ražotājs (atbilstoši Eiropas Parlamenta un Padomes 2022. gada 25. janvāra regulas (ES) 2022/123 par pastiprinātu Eiropas Zāļu aģentūras lomu attiecībā uz zālēm un medicīniskajām ierīcēm krīžgatavības un krīžu pārvarēšanas kontekstā 22. pantam);
  • dzeramā ūdens piegādātājs vai izplatītājs, izņemot gadījumu, kad komersanta pamatdarbība nav saistīta ar dzeramā ūdens izplatīšanu;
  • ūdenssaimniecības pakalpojumu sniedzējs;
  • interneta plūsmu apmaiņas punkta pakalpojumu sniedzējs;
  • mākoņdatošanas pakalpojumu sniedzējs;
  • datu centru pakalpojumu sniedzējs;
  • satura piegādes tīkla pakalpojumu sniedzējs;
  • informācijas un komunikācijas tehnoloģiju pārvaldības vai kiberdrošības pakalpojumu sniedzējs;
  • kosmosā izvietotu pakalpojumu sniedzējs vai šo pakalpojumu sniegšanai izmantojamās infrastruktūras operators.

Un atbilst vēl vismaz vienai pazīmei:

  • liels saimnieciskās darbības veicējs (darbojas Latvijā, nodarbina vismaz 250 darbiniekus vai pēdējā finanšu gada kopējais neto apgrozījums pasaulē pārsniedz 50 milj. eiro, gada bilances kopsumma pārsniedz 43 milj. eiro);
  • ir vienīgais šāda veida pakalpojuma sniedzējs Latvijā vai arī ir pastarpinātās pārvaldes iestāde.

Pakalpojuma sniedzējs ir saimnieciskās darbības veicējs:

  • kura sniegtā pakalpojuma traucējumi var būtiski ietekmēt sabiedrības drošību, valsts aizsardzību vai sabiedrības veselību; vai
  • radīt būtisku sistēmisku risku, jo īpaši nozarēs, kurās šādam traucējumam var būt pārrobežu ietekme.

Svarīgo pakalpojumu sniedzēji

Pakalpojumu sniedzēji, kuri darbojas kādā no NKDL 20. panta 8. punktā noteiktām nozarēm:

  • energoapgādes komersants;
  • naftas apgādes komersants;
  • ūdeņraža apgādes komersants;
  • aeronavigācijas pakalpojumu sniedzējs, gaisa kuģa ekspluatants vai lidlauka vai citu civilās aviācijas objektu un iekārtu ekspluatants;
  • dzelzceļa vai dzelzceļa infrastruktūras pārvaldītājs;
  • kuģošanas kompānija;
  • ostas pārvalde;
  • komersants, kurš veic komercdarbību ostas teritorijā;
  • komersants, kurš pārvalda valsts autoceļus vai veic valsts autoceļu infrastruktūras uzturēšanas darbus;
  • intelektisko transporta sistēmu operators;
  • kredītiestāde, centrālais darījumu partneris vai tirdzniecības vieta Finanšu instrumentu tirgus likuma izpratnē;
  • ārstniecības iestāde vai Eiropas Savienības references laboratorija;
  • komersants, kas veic izpētes un izstrādes darbības attiecībā uz zālēm, ražo zāles un aktīvās vielas;
  • kritiski svarīgu medicīnisko ierīču ražotājs (atbilstoši Eiropas Parlamenta un Padomes 2022. gada 25. janvāra regulas (ES) 2022/123 par pastiprinātu Eiropas Zāļu aģentūras lomu attiecībā uz zālēm un medicīniskajām ierīcēm krīžgatavības un krīžu pārvarēšanas kontekstā 22. pantam);
  • dzeramā ūdens piegādātājs vai izplatītājs, izņemot gadījumu, kad komersanta pamatdarbība nav saistīta ar dzeramā ūdens izplatīšanu;
  • ūdenssaimniecības pakalpojumu sniedzējs;
  • interneta plūsmu apmaiņas punkta pakalpojumu sniedzējs;
  • mākoņdatošanas pakalpojumu sniedzējs;
  • datu centru pakalpojumu sniedzējs;
  • satura piegādes tīkla pakalpojumu sniedzējs;
  • informācijas un komunikācijas tehnoloģiju pārvaldības vai kiberdrošības pakalpojumu sniedzējs;
  • kosmosā izvietotu pakalpojumu sniedzējs vai šo pakalpojumu sniegšanai izmantojamās infrastruktūras operators.

Un ir vidējs saimnieciskās darbības veicējs (darbojas Latvijā, nodarbina no 50 līdz 249 darbiniekiem; pēdējā finanšu gada kopējais neto apgrozījums pasaulē nepārsniedz 50 milj. eiro vai gada bilances kopsumma nepārsniedz 43 milj. eiro, taču pārsniedz 10 milj. eiro).

Pakalpojuma sniedzējs darbojas kādā no NKDL 21. panta 1. daļas 2. punktā uzskaitītajām nozarēm

  • pasta komersants;
  • atkritumu apsaimniekotājs;
  • ķīmisko vielu vai to maisījumu ražotājs vai izplatītājs vairumtirdzniecībā, ja ķīmisko vielu vai to maisījumu izplatīšana ir komersanta pamatdarbība;
  • komersants, kurš ražo izstrādājumus no ķīmiskajām vielām vai to maisījumiem;
  • komersants, kura pamatdarbība ir pārtikas rūpnieciska ražošana, pārstrāde vai pārtikas izplatīšana vairumtirdzniecībā;
  • medicīnisko ierīču ražotājs;
  • datoru, elektronisko un optisko iekārtu ražotājs;
  • elektrisko iekārtu ražotājs;
  • citur neklasificētu iekārtu, mehānismu un darba mašīnu ražotājs;
  • automobiļu, piekabju un puspiekabju ražotājs;
  • citu transportlīdzekļu ražotājs;
  • tiešsaistes tirdzniecības vietas pakalpojumu sniedzējs;
  • tiešsaistes meklētājprogrammas pakalpojumu sniedzējs;
  • sociālo mediju platformas pakalpojumu sniedzējs;
  • zinātniskā institūcija;
  • apsardzes pakalpojumu sniedzējs.

Un atbilst vēl vismaz vienai pazīmei:

  • ir vidējs saimnieciskās darbības veicējs;
  • ir liels saimnieciskās darbības veicējs;
  • vai nu ir vienīgais šāda veida pakalpojuma sniedzējs Latvijā, vai arī pastarpinātās pārvaldes iestāde.

Izglītības informācijas sistēmas uzturētāji kā arī nekvalificēti uzticamības pakalpojumu sniedzēji

  • Izglītības informācijas sistēma šā likuma izpratnē ir tāda informācijas sistēma, kurā tiek veikta Latvijas Republikā akreditētas izglītības iestādes izglītojamo personas datu elektroniskā apstrāde.
  • Uzticamības pakalpojumu sniedzējs, kurš nav kvalificēts uzticamības pakalpojumu sniedzējs.

Kādas prasības būs jāievēro subjektiem?

Atbilstības noteikšana un pašreģistrācija

NKDL 22. pants paredz pienākumu pakalpojumu sniedzējiem pašiem noteikt atbilstību augstākminētajiem statusiem un par to ziņot NKC līdz 2025. gada 1. aprīlim. Paziņojuma veidlapa būs pieejama MK noteikumos. Uzņēmumam konstatējot atbilstību pēc šī datuma, ir nepieciešams ne vēlāk kā mēneša laikā par to paziņot NKC.

Nepaziņošanas gadījumā NKC būs tiesības pakalpojumu sniedzējiem piešķirt konkrētu statusu pat tad, ja tas nebūs izdarīts brīvprātīgi.

Kiberdrošības pārvaldība

Saskaņā ar NKDL 25. pantu, būtisko un svarīgo pakalpojumu sniedzējiem būs pienākums noteikt par kiberdrošību atbildīgo personu jeb kiberdrošības pārvaldnieku, kura īstenos un pārraudzīs kiberdrošības pasākumu īstenošanu. Par atbildīgo personu būs jāziņo NKC līdz 2025. gada 1. oktobrim.

Kiberdrošības pārvaldniekam būs pienākums organizēt IKT infrastruktūras drošības pasākumus, veikt infrastruktūras pārbaudi un konstatēto trūkumu novēršanu, apmeklēt kiberdrošības apmācības, kā arī veikt darbinieku instruktāžas par kiberriskiem un kiberdrošību.

Kiberdrošības dokumentācijas izstrāde

MK noteikumu projekts kiberdrošības pārvaldībai paredz arī dokumentācijas izstrādi, kas ietver izstrādāt tādus dokumentus kā:

  • kiberdrošības politiku;
  • IKT resursu un informācijas sistēmu katalogu;
  • kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu;
  • kiberincidentu žurnālu.

Ikgadējais pašnovērtējuma ziņojums

NKDL 43. pants paredz pienākumu iesniegt subjektu pašnovērtējuma ziņojumu NKC vai Satversmes aizsardzības birojam, kas būtisko un svarīgo pakalpojumu sniedzējiem būs jāizdara līdz kārtējā gada 1.oktobrim.

Pašnovērtējuma ziņojumā subjektam būs jāatzīmē prasības, kurām tas atbilst, un jāpaskaidro, kā tiek nodrošināta šī atbilstība.

Saskaņā ar NKDL pārejas noteikumiem pirmais pašnovērtējuma ziņojums būs jāiesniedz līdz 2025. gada 1. oktobrim. Pašnovērtējuma ziņojuma veidlapa un tajā iekļaujamā informācija būs atrodama MK noteikumos.

Aizsardzība pret pakalpojumatteices kiberuzbrukumiem

Saskaņā ar Latvijas kiberdrošības stratēģiju 2023.–2026. gadam lielā apjomā tiek piedzīvoti mērķēti pakalpojumatteices jeb DDoS uzbrukumi ne tikai publiskā sektora sistēmām, bet arī sabiedrībai nozīmīgu pakalpojumu sniedzēju sistēmām. Lai cīnītos ar šo aktuālo problēmu, NKDL 31. pants paredz deleģējumu Ministru Kabinetam attiecībā uz šāda veida uzbrukumiem izstrādāt atsevišķus noteikumus.

Ziņošana par kiberincidentiem

MK noteikumu projekts paredz kārtību, kādā būs nepieciešams informēt par nozīmīgu kiberincidentu, un kritērijus, par kādiem kiberincidentiem jāinformē kompetentā kiberincidentu novēršanas institūcijai – CERT.

NKDL paredz, ka obligāts ziņošanas pienākums būs vien būtisko un svarīgo pakalpojumu sniedzējiem, savukārt pārējie pakalpojumu sniedzēji ziņojumus varēs iesniegt brīvprātīgi.

Atbilstoši NKDL un MK noteikumu projektam ir paredzēts pienākums iesniegt šādu veidu ziņojumus:

  • agrīno brīdinājumu (ne vēlāk kā 24 stundu laikā);
  • sākotnējo ziņojumu (ne vēlāk kā 72 stundu laikā);
  • gala ziņojumu (6 mēnešu laikā pēc sākotnējā ziņojuma iesniegšanas);
  • progresa ziņojums (ja 6 mēnešu laikā nav izdevies atrisināt incidentu);
  • starpposma ziņojumu;

Saskaņā ar NKDL pārejas noteikumiem, nozīmīgu kiberincidentu ziņošanas prasības stājas spēkā ar 2025. gada 1. jūliju. MK noteikumos būs atrodami ziņojumu veidlapu paraugi.

Koordinētu ievainojamību atklāšana un novēršana

Saskaņā ar NKDL 39. pantu, ja būtisko vai svarīgo pakalpojumu sniedzēja informācijas sistēmā vai elektronisko sakaru tīklā tiks konstatēta ievainojamība, tam būs pienākums par to ziņot, iesniedzot ievainojamības atklāšanas ziņojumu.

Ievainojamība ir IKT vai pakalpojumu drošības nepilnība, kas ir sistēmiska vājība, kuras rezultātā var tikt apdraudēta IKT konfidencialitāte, integritāte vai pieejamība un kas var tikt izmantota kiberuzbrukuma īstenošanai.

Kiberhigēnas pasākumi un darbinieku apmācības

Saskaņā ar MK noteikumu projektu, NKDL subjekts organizē tā nodarbināto apmācību kiberdrošības jautājumos, izvēloties tādu apmācības veidu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Apmācību kopums ietver:

  • visu subjekta nodarbināto instruktāžas, tai skaitā sākotnējās (uzsākot darba attiecības), kārtējās (reizi gadā) un ārkārtas instruktāžas (pēc kiberdrošības pārvaldnieka ieskatiem);
  • subjekta nodarbinātā IKT personāla apmācības kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto pasākumu efektīvai īstenošanai;
  • citas apmācības kiberdrošības jomā, ko subjekts uzskata par nepieciešamām.

Citas MK noteikumos paredzētās minimālās kiberdrošības prasības

Bez iepriekš minētajām NKDL prasībām, MK noteikumu projekts paredz arī citas prasības, kuras ir jāīsteno NKDL subjektiem, kas ietver:

  • lietotāju piekļuves tiesību pārvaldības prasības;
  • auditācijas pierakstu pārvaldības prasības;
  • rezerves kopiju pārvaldības prasības;
  • tīklu pārvaldības prasības.

MK noteikumu projekts arī paredz papildu prasības būtisku pakalpojumu sniedzējiem, kas ietver:

  • šifrēšanas prasības;
  • prasības IKT infrastruktūrai, kura pilda datu centra funkcijas;
  • prasības ārpakalpojumiem.

Kādas ir sankcijas par NKDL neievērošanu?

Būtisko pakalpojumu sniedzējam

NKC ir tiesīgs par būtisku neatbilstību NKDL noteiktajām prasībām piemērot soda naudu līdz 10 miljoniem eiro, bet, ja būtisko pakalpojumu sniedzēja pēdējā finanšu gada kopējā neto apgrozījuma summa pārsniedz 500 miljonus eiro, — līdz diviem procentiem no būtisko pakalpojumu sniedzēja pēdējā finanšu gada kopējā neto apgrozījuma.

Svarīgo pakalpojumu sniedzējam

NKC ir tiesīgs par būtisku neatbilstību NKDL noteiktajām prasībām piemērot soda naudu līdz 7 miljoniem eiro, bet, ja svarīgo pakalpojumu sniedzēja pēdējā finanšu gada kopējā neto apgrozījuma summa pārsniedz 500 miljonus eiro, — līdz 1,4 procentiem no svarīgo pakalpojumu sniedzēja pēdējā finanšu gada kopējā neto apgrozījuma.

IKT kritiskās infrastruktūra

Satversmes aizsardzības birojs ir tiesīgs par būtisku neatbilstību šajā likumā noteiktajām prasībām piemērot IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam soda naudu līdz 10 miljoniem eiro, bet, ja IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja pēdējā finanšu gada kopējā neto apgrozījuma summa pārsniedz 500 miljonus eiro, — līdz diviem procentiem no IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja pēdējā finanšu gada kopējā neto apgrozījuma.

Kā šobrīd rīkoties?

Kopsavilkumā, uzņēmumiem ir jāveic sekojošās darbības:

  • Uzņēmuma atbilstības noteikšana būtisko pakalpojumu sniedzēja vai svarīgo pakalpojuma sniedzēja statusam un reģistrācija;
  • Kiberdrošības pārvaldnieka iecelšana;
  • Ministru kabineta noteikumos noteikto minimālo kiberdrošības prasību ievērošana;
  • Piemērotu tehnisko un organizatorisko pasākumu veikšana;
  • Risku pārvaldības un darbības nepārtrauktības plāna izstrāde;
  • Ziņošana par incidentiem un ievainojamībām;
  • Ikgadējā pašnovērtējuma ziņojuma sagatavošana;
  • Neatbilstību novēršana un kompetento iestāžu norādījumu izpilde.