Aizsardzības ministrija sagatavojusi Nacionālās kiberdrošības likumprojektu

Likumprojektā aktualizēti Aizsardzības ministrijas un Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienības ("Cert.lv") uzdevumi un tiesības kontekstā ar jaunizveidojamo Nacionālo kiberdrošības centru.

Likumprojektā iekļautas ES direktīvā noteiktos pasākumus kiberdrošības veicināšanai attiecībā uz būtisko un svarīgo pakalpojumu sniedzēju uzraudzību, nacionālo rīcībpolitiku kiberdrošības jomā un rīcību informācijas tehnoloģiju drošības incidentu gadījumā.

Likumprojektā ietverts deleģējums datu koplietošanas centru drošības prasību definēšanai, izstrādājot atsevišķus valdības noteikumus.

Likumprojektā no jauna iekļauti deleģējumi arī vienotā valsts interneta apmaiņas punkta (GLV-IX) pakalpojumu saņemšanai, valsts informācijas tehnoloģiju infrastruktūras un interneta resursu aizsardzībai pret pakalpojumatteices uzbrukumiem, kā arī instrukcijas izstrādei par pievienošanos publiskam atribūcijas paziņojumam vai par tā iniciēšanu.

Likumprojekts izstrādāts uz Informācijas tehnoloģiju drošības likuma bāzes, aktualizējot un precizējot normas, kā arī papildinot ar jaunām saistībām, kas izriet no Eiropas Savienības tiesību aktiem.

Likumprojektā paredzēta Nacionālā kiberdrošības centra izveide, kā arī izklāstīti Aizsardzības ministrijas un "Cert.lv" uzdevumi un tiesības kontekstā ar jaunizveidojamo Nacionālo kiberdrošības centru, nosakot veicamos uzdevumus, sadarbību un tiesības.

Atšķirībā no spēkā esošā Informācijas tehnoloģiju drošības likuma, likumprojektā pilnveidots vienību loks, uz ko attiecināmas specifiskas informācijas drošības prasības, aizstājot pamata pakalpojumu un digitālo pakalpojumu sniedzēju subjektu kopumu ar būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju kopumu.

Būtisko un svarīgo pakalpojumu sniedzējiem ir noteiktas prasības rīcībai informācijas tehnoloģiju drošības incidenta gadījumā.

Ņemot vērā, ka Nacionālajam kiberdrošības centram būs uzraugošas funkcijas pār būtisko un svarīgo pakalpojumu sniedzējiem, Likumprojektā noteiktas prasības šo pakalpojumu sniedzējiem, kā arī tiesības Aizsardzības ministrijai noteikt sankcijas to neizpildes gadījumā - tiesības izdot administratīvu aktu. Detalizēta administratīvo aktu noteikšanas kārtība tiks iestrādāta saistītos Ministru kabineta noteikumos.

Likumprojekta noteikti personas datu apstrādes kritēriji, kas saistīti ar notikušu vai potenciālu kiberincidentu novēršanu, analīzi kontekstā ar citiem kiberincidentiem, sadarbību ar nacionālajiem un starptautiskajiem partneriem kiberincidentu novēršanā, kā arī iespējamu kiberincidentu novēršanas institūciju sadarbību ar Zemessardzi.

Lai nodrošinātu likumprojekta subjektu atbilstību informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām drošības prasībām, tajā iestrādātas pamata prasības kiberdrošības pārvaldībai, apmācībām, kā arī atbildībai, konstatējot ievainojamību, nepilnību vai notiekošu kiberincidentu.

Kā jauninājums likumprojektā ietverta valsts un pašvaldību iesaiste koordinētā ievainojamību atklāšanas procesā nolūkā veicināt šo institūciju kiberdrošību un izpratni.

Likumprojekta noteikts, ka valsts un pašvaldību institūciju informācijas sistēmas uztur Ministru kabinetam noteiktām prasībām atbilstošos datu centros, tādējādi ietverot deleģējumu datu koplietošanas centru drošības prasību definēšanai, izstrādājot atsevišķus Ministru kabineta noteikumus. Tāpat likumprojektā noteikta informācijas tehnoloģiju kritiskās infrastruktūras aizsardzības pamatpasākumi, ko detalizēti atrunā Ministru kabineta noteikumos.

Likumprojektā arī noteikti elektronisko sakaru komersantu pienākumi un tas nosaka kārtību kādā izveido Nacionālo informācijas tehnoloģiju drošības padomi.