Nacionālās kiberdrošības likums

2025. gada 2. jūlijā stājās spēkā Ministru kabineta noteikumi Nr. 397 “Minimālās kiberdrošības prasības”. Šo Ministru kabinetu noteikumu mērķis ir uzlabot kiberdrošību Latvijā, ieviešot mūsdienīgu un strukturētu kiberdrošības regulējumu, kā arī sekmēt būtisko pakalpojumu sniedzēju un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras noturību pret kiberdrošības apdraudējumiem.

Sākotnējie soļi pirms kiberdrošības pārvaldnieka iecelšanas

Katrai organizācijai, kas darbojas vai sniedz pakalpojumus Latvijā, ir jāizvērtē, vai uz to attiecas Nacionālās kiberdrošības likuma prasības. Tas attiecas uz svarīgo un būtisko pakalpojumu sniedzējiem, kā arī informācijas un komunikācijas tehnoloģiju (IKT) kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem.

Aicinām aizpildīt interaktīvo testu, lai uzzinātu, vai NKDL attiecas uz Tavu organizāciju un uzzinātu, pie kuras uzraudzības iestādes Tev jāvēršas!

Organizācijām, kuras kvalificējas kā būtisko vai svarīgo pakalpojumu sniedzēji, ir pienākums reģistrēties, aizpildot reģistrācijas anketu un iesniedzot to Nacionālajam kiberdrošības centram līdz 2025. gada 1. aprīlim. Anketas veidlapa tiks apstiprināta ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām, un to var iesniegt, nosūtot uz Aizsardzības ministrijas oficiālo E-adresi.

1. solis – Kiberdrošības pārvaldnieka iecelšana

Katrai organizācijai, kura ir Nacionālās kiberdrošības likuma subjekts, līdz 2025. gada 1. oktobrim ir jānosaka atbildīgā persona par kiberdrošību jeb kiberdrošības pārvaldnieks. Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām tiks noteiktas kiberdrošības pārvaldniekiem izvirzāmās kvalifikācijas un drošības prasības. Par kiberdrošības pārvaldnieka noteikšanu būs jāpaziņo kompetentajai uzraudzības iestādei (Nacionālajam kiberdrošības centram vai Satversmes aizsardzības birojam), iesniedzot aizpildītu paziņojuma veidlapu. Paziņojumu varēs iesniegt, nosūtot to uz uzraudzības iestādes E-adresi.

2. solis – Apzini procesus un infrastruktūru

Katram Nacionālās kiberdrošības likuma subjektam ir jāapzina savi procesi un sniegtie pakalpojumi, kurus ietekmē informācijas un komunikācijas tehnoloģijas (IKT), kā arī IKT infrastruktūra un informācijas sistēmas. Tas ir nepieciešams, lai identificētu un mazinātu potenciālos kiberdrošības riskus, plānojot un īstenojot nepieciešamos drošības pasākumus.

3. solis – Izveido katalogu

Lai uzturētu aktuālo IKT infrastruktūras un informācijas sistēmu uzskaitījumu, subjektam jāizveido IKT resursu un informācijas sistēmu katalogs. To var veidot, izmantojot kādu no pieejamajiem tehnoloģiskajiem risinājumiem, vai arī manuāli, ievadot un regulāri aktualizējot datus par attiecīgajiem resursiem un informācijas sistēmām. Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām ir noteikts minimālais katalogā iekļaujamo ziņu apjoms.

4. solis – Identificē un novērtē riskus

Subjektam jāizvērtē kiberdrošības riski, kā arī jānovērtē to potenciālā ietekme uz informācijas resursu konfidencialitāti, integritāti un pieejamību. Balstoties uz šo izvērtējumu, subjektam katrai tā īpašumā, valdījumā, turējumā vai lietošanā esošajai informācijas sistēmai jāpiešķir kategorija – A (paaugstinātās drošības), B (pamata drošības) vai C (minimālās drošības) – atbilstoši Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām ietvertajai metodikai.

5. solis – Izstrādā politiku un plānu

Katram subjektam jābūt diviem nozīmīgākajiem dokumentu blokiem – kiberdrošības politikai, kas nosaka organizācijas kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes, kā arī kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam, kas ietver detalizētu risku analīzi un pasākumu plānu to mazināšanai, kā arī rīcības plānu krīzes vai nozīmīga kiberincidenta gadījumā. Prasības šo dokumentu saturam ir noteiktas Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām.

6. solis – Apmāci darbiniekus

Viens no nozīmīgākajiem soļiem, lai stiprinātu katras organizācijas noturību pret kiberdraudiem, ir personāla apmācības. Darbiniekiem ir jāzina par aktuālajiem kiberriskiem un jāprot droši strādāt digitālajā vidē. Subjektu uzdevums ir organizēt regulāras kiberhigiēnas apmācības visiem nodarbinātajiem, kuri strādā ar IKT, kā arī kiberdrošības apmācības par IKT atbildīgajam personālam.

7. solis – Ziņo par incidentiem

Nacionālās kiberdrošības likums paredz noteiktu kārtību, kādā subjektiem jāziņo kompetentajai kiberincidentu novēršanas institūcijai – CERT.LV vai MilCERT – par konstatētajiem kiberdrošības incidentiem. Par nozīmīgiem kiberincidentiem jāziņo Nacionālās kiberdrošības likumā noteiktajā termiņā, iesniedzot noteikta parauga veidlapas, kas ir apstiprinātas ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām.

8. solis – Veic pašvērtējumu

Lai novērtētu, vai subjekts ir izpildījis Nacionālās kiberdrošības likuma prasības, katram subjektam būs jāaizpilda un līdz 2025. gada 1. oktobrim jāiesniedz kompetentajai uzraudzības iestādei pašvērtējuma ziņojums. Tajā subjektam būs jāatzīmē prasības, kurām tas atbilst, un jāpaskaidro, kā tiek nodrošināta šī atbilstība. Pašvērtējuma ziņojums IKT kritiskās infrastruktūras un A kategorijas informācijas sistēmu īpašniekiem un tiesiskajiem valdītājiem būs jāiesniedz reizi gadā, bet pārējiem subjektiem – reizi 3 gados. Pašvērtējuma ziņojuma veidlapa ir apstiprināta ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām.

Aicinām jautājumu gadījumā aplūkot NIS2 kontaktpunkta apkopotos biežāk uzdotos jautājumus šeit.

Neskaidrību gadījumā aicinām sazināties ar Nacionālā kiberdrošības centra NIS2 kontaktpunktu.