2024. gada 1. septembrī stājas spēkā Nacionālās kiberdrošības likums (NKDL). Šī likuma mērķis ir stiprināt kiberdrošību Latvijā, kā arī ieviest pārskatītās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas (NIS2) prasības vienādi augsta kiberdrošības līmeņa panākšanai visā Eiropas Savienībā.
8 soļi Nacionālās kiberdrošības likuma ieviešanai savā organizācijā
Sākotnējie soļi pirms kiberdrošības pārvaldnieka iecelšanas
Katrai organizācijai, kas darbojas vai sniedz pakalpojumus Latvijā, ir jāizvērtē, vai uz to attiecas Nacionālās kiberdrošības likuma prasības. Tas attiecas uz svarīgo un būtisko pakalpojumu sniedzējiem, kā arī informācijas un komunikācijas tehnoloģiju (IKT) kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem.
Aicinām aizpildīt interaktīvo testu, lai uzzinātu, vai NKDL attiecas uz Tavu organizāciju un uzzinātu, pie kuras uzraudzības iestādes Tev jāvēršas!
Organizācijām, kuras kvalificējas kā būtisko vai svarīgo pakalpojumu sniedzēji, ir pienākums reģistrēties, aizpildot reģistrācijas anketu un iesniedzot to Nacionālajam kiberdrošības centram līdz 2025. gada 1. aprīlim. Anketas veidlapa tiks apstiprināta ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām, un to var iesniegt, nosūtot uz Aizsardzības ministrijas oficiālo E-adresi.
1. solis – Kiberdrošības pārvaldnieka iecelšana
Katrai organizācijai, kura ir Nacionālās kiberdrošības likuma subjekts, līdz 2025. gada 1. oktobrim ir jānosaka atbildīgā persona par kiberdrošību jeb kiberdrošības pārvaldnieks. Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām tiks noteiktas kiberdrošības pārvaldniekiem izvirzāmās kvalifikācijas un drošības prasības. Par kiberdrošības pārvaldnieka noteikšanu būs jāpaziņo kompetentajai uzraudzības iestādei (Nacionālajam kiberdrošības centram vai Satversmes aizsardzības birojam), iesniedzot aizpildītu paziņojuma veidlapu. Paziņojumu varēs iesniegt, nosūtot to uz uzraudzības iestādes E-adresi.
2. solis – Apzini procesus un infrastruktūru
Katram Nacionālās kiberdrošības likuma subjektam ir jāapzina savi procesi un sniegtie pakalpojumi, kurus ietekmē informācijas un komunikācijas tehnoloģijas (IKT), kā arī IKT infrastruktūra un informācijas sistēmas. Tas ir nepieciešams, lai identificētu un mazinātu potenciālos kiberdrošības riskus, plānojot un īstenojot nepieciešamos drošības pasākumus.
3. solis – Izveido katalogu
Lai uzturētu aktuālo IKT infrastruktūras un informācijas sistēmu uzskaitījumu, subjektam jāizveido IKT resursu un informācijas sistēmu katalogs. To var veidot, izmantojot kādu no pieejamajiem tehnoloģiskajiem risinājumiem, vai arī manuāli, ievadot un regulāri aktualizējot datus par attiecīgajiem resursiem un informācijas sistēmām. Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām būs noteikts minimālais katalogā iekļaujamo ziņu apjoms.
4. solis – Identificē un novērtē riskus
Subjektam jāizvērtē kiberdrošības riski, kā arī jānovērtē to potenciālā ietekme uz informācijas resursu konfidencialitāti, integritāti un pieejamību. Balstoties uz šo izvērtējumu, subjektam katrai tā īpašumā, valdījumā, turējumā vai lietošanā esošajai informācijas sistēmai jāpiešķir kategorija – A (paaugstinātās drošības), B (pamata drošības) vai C (minimālās drošības) – atbilstoši Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām ietvertajai metodikai.
5. solis – Izstrādā politiku un plānu
Katram subjektam jābūt diviem nozīmīgākajiem dokumentu blokiem – kiberdrošības politikai, kas nosaka organizācijas kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes, kā arī kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam, kas ietver detalizētu risku analīzi un pasākumu plānu to mazināšanai, kā arī rīcības plānu krīzes vai nozīmīga kiberincidenta gadījumā. Prasības šo dokumentu saturam tiks noteiktas Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām.
6. solis – Apmāci darbiniekus
Viens no nozīmīgākajiem soļiem, lai stiprinātu katras organizācijas noturību pret kiberdraudiem, ir personāla apmācības. Darbiniekiem ir jāzina par aktuālajiem kiberriskiem un jāprot droši strādāt digitālajā vidē. Subjektu uzdevums ir organizēt regulāras kiberhigiēnas apmācības visiem nodarbinātajiem, kuri strādā ar IKT, kā arī kiberdrošības apmācības par IKT atbildīgajam personālam.
7. solis – Ziņo par incidentiem
Nacionālās kiberdrošības likums paredz noteiktu kārtību, kādā subjektiem jāziņo kompetentajai kiberincidentu novēršanas institūcijai – CERT.LV vai MilCERT – par konstatētajiem kiberdrošības incidentiem. Par nozīmīgiem kiberincidentiem jāziņo Nacionālās kiberdrošības likumā noteiktajā termiņā, iesniedzot noteikta parauga veidlapas, kas tiks apstiprinātas ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām.
8. solis – Veic pašvērtējumu
Lai novērtētu, vai subjekts ir izpildījis Nacionālās kiberdrošības likuma prasības, katram subjektam būs jāaizpilda un līdz 2025. gada 1. oktobrim jāiesniedz kompetentajai uzraudzības iestādei pašvērtējuma ziņojums. Tajā subjektam būs jāatzīmē prasības, kurām tas atbilst, un jāpaskaidro, kā tiek nodrošināta šī atbilstība. Pašvērtējuma ziņojums IKT kritiskās infrastruktūras un A kategorijas informācijas sistēmu īpašniekiem un tiesiskajiem valdītājiem būs jāiesniedz reizi gadā, bet pārējiem subjektiem – reizi 3 gados. Pašvērtējuma ziņojuma veidlapa tiks apstiprināta ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām.
Ministru kabineta noteikumu projekta "Minimālās kiberdrošības prasības" statuss
Lai arī šobrīd vēl nav pieņemti Ministru kabineta noteikumi, kas aizstās spēku zaudējušos Ministru kabineta 2015. gada 28. jūlija noteikumus Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" (turpmāk – MK noteikumi Nr. 442), Nacionālās kiberdrošības likums (turpmāk – NKDL) nosaka, ka gan likums, gan Ministru kabineta noteikumu projekts par minimālajām kiberdrošības prasībām būs attiecināmi uz NKDL subjektiem. Ministru kabineta noteikumu projekts par minimālajām kiberdrošības prasībām šobrīd ir gala saskaņošanas procesā.
Pamatojoties uz Administratīvā procesa likuma 15. panta divpadsmito daļu, NKDL noteikto, kā arī apzinoties to, ka spēku ir zaudējuši MK noteikumi Nr. 442 un Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība", rosinām balstīties pie MK noteikumu Nr. 442 noteiktajām prasībām, pieņemot, ka MK noteikumu projekts par minimālajām kiberdrošības prasībām tuvākajā laikā tiks pieņemts un arī tajā tiks noteiktas līdzvērtīgas prasības, kādas tika ietvertas MK noteikumos Nr. 442, un tās būs saistošas NKDL subjektiem.
NIS2 kontaktpunkts
Aicinām jautājumu gadījumā aplūkot NIS2 kontaktpunkta apkopotos biežāk uzdotos jautājumus šeit.
Neskaidrību gadījumā aicinām sazināties ar Nacionālā kiberdrošības centra NIS2 kontaktpunktu.
