Kiberdrošība

Līdz ar pieaugošo informācijas un komunikāciju tehnoloģiju izmantošanu sabiedrībā, valsts pārvaldē un ekonomikā, to nelikumīga izmantošana, bojāšana, paralizēšana vai iznīcināšana var radīt draudus valsts un sabiedrības drošībai, sabiedriskajai kārtībai un ekonomiskai darbībai, kā arī kavēt valsts ekonomikas tālāku izaugsmi. Kibertelpa ir viegli izmantojama, lai nodarītu kaitējumu indivīdam, sabiedrības grupai vai valstij kopumā. Kibertelpas drošība un katra lietotāja zināšanas par kiberdrošību ir pamats, lai mēs, uzturoties kibertelpā, justos droši un aizsargāti. Lai mazinātu un novērstu riskus un apdraudējumus kibertelpā, nepieciešama vienota izpratne un koordinēta Latvijas kiberdrošības politika, kas aptver visas iesaistītās nozares, valsts un privāto sektoru.

Visaptverošās valsts aizsardzības sistēmā katrai – gan valstiskai, gan nevalstiskai organizācijai, kā arī privātajam sektoram un iedzīvotājiem ir skaidri definēta loma krīzes situācijā. Arvien lielāka loma tiek piešķirta kiberdrošībai kā visaptverošās valsts aizsardzības sistēmas elementam, pievēršot uzmanību ne tikai kiberdrošības pārvaldības uzlabošanai un starptautiskās sadarbības veicināšanai, bet arī sabiedrības izpratnes līmeņa celšanai.

Aizsardzības ministrija ir atbildīga par kiberdrošības politikas veidošanu un īstenošanu Latvijā, taču valsts kiberdrošības pārvaldība balstās uz savstarpēju sadarbību, kur katra valsts institūcija pilda savas funkcijas, tai skaitā kibertelpā, veicot tiešu sadarbību ar citām institūcijām un privāto sektoru vai vienotā sadarbības formātā Nacionālās kiberdrošības padomes ietvarā. Aizsardzības ministrija nodrošina padomes, kā arī Digitālās drošības uzraudzības komitejas darbu.

Nacionālās kiberdrošības likums

2024. gada 20. jūnijā Saeima pieņēma Nacionālās kiberdrošības likumu (NKDL). Tā mērķis ir stiprināt kiberdrošību Latvijā, kā arī ieviest pārskatītās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas (NIS2) prasības, kas paredz panākt vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā.

Likums attiecas uz būtisko un svarīgo pakalpojumu sniedzējiem, informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru, kā arī uz domēnvārdu reģistrācijas pakalpojumu sniedzējiem. Likuma 20., 21. un 23. pantā ir noteikti kritēriji, pēc kuriem tiek definēta publiskā un privātā sektora organizācijas piederība kādai no minētajām grupām.

Publiskā un privātā sektora organizācijām, uz kurām likums attiecas:

• līdz 2025. gada 1. aprīlim jānosaka savs statuss un jāreģistrējas (vairāk informācijas par reģistrēšanos);
• līdz 2025. gada 1. oktobrim jāieceļ kiberdrošības pārvaldnieks;
• līdz 2025. gada 1. oktobrim jāiesniedz pirmais pašvērtējuma ziņojums.

Tāpat būtisko un svarīgo pakalpojumu sniedzējiem publiskajā un privātajā sektorā būs jāsniedz regulārs kiberdrošības pašvērtējums, obligāti jāziņo par atklātajiem kiberapdraudējumiem, jāizstrādā riska pārvaldības un darbības nepārtrauktības plāns un jāievēro citas kiberdrošības prasības.

Jautājumu vai neskaidrību gadījumā aicinām sazināties ar Nacionālā kiberdrošības centra NIS2 kontaktpunktu: NIS2@mod.gov.lv

Nacionālais kiberdrošības centrs

Nacionālais kiberdrošības likums paredzēja no 2024. gada 1. septembra izveidot jaunu institūciju – Nacionālo kiberdrošības centru. Tas darbojas kā vienotais kontaktpunkts kiberdrošības jautājumos, veic nacionālo kiberdrošības prasību ieviešanas pārraudzību, kā arī izstrādā nacionālās kiberdrošības rīcībpolitikas iniciatīvas. Centra funkcijas īsteno Aizsardzības ministrija sadarbībā ar Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienību CERT.LV. Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras uzraudzības iestāde ir Satversmes aizsardzības birojs.

Uzraudzības iestādes ir tiesīgas veikt subjektu dokumentu un informācijas un komunikācijas tehnoloģiju infrastruktūras pārbaudes un nepieciešamības gadījumā uzdot veikt korektīvus pasākumus, lai novērstu konstatētās nepilnības, izteikt brīdinājumu, apturēt pakalpojumu darbību līdz neatbilstību novēršanai vai piemērot sankcijas.

Likums stājās spēkā 2024. gada 1. septembrī.

Nacionālās kiberdrošības padome

Lai koordinētu ar kiberdrošību saistītās politikas izstrādi un Latvijas kiberdrošības stratēģijā izvirzīto mērķu un prioritāšu ieviešanas progresu, kā arī attiecīgu uzdevumu un pasākumu plānošanu un īstenošanu, saskaņā ar Nacionālās kiberdrošības likuma 16. pantu ir izveidota Nacionālās kiberdrošības padome. Padome tiekas gan slēgtā (tikai locekļi), gan atvērtā formātā. Padomes ietvarā arī tiek ziņots par Latvijas Kiberdrošības stratēģijas 2023. – 2026. gadam ieviešanas plāna uzdevumu izpildi.

Kiberdrošības jomā iesaistītās institūcijas

Kiberdrošības stiprināšanai ir izveidota Kiberincidentu novēršanas institūcija CERT.LV, Latvijas Universitātes Matemātikas un informātikas institūta sastāvā, kas darbojas Aizsardzības ministrijas pakļautībā Nacionālās kiberdrošības likuma ietvaros. Satversmes aizsardzības birojs uzrauga informācijas tehnoloģiju kritisko infrastruktūru. Savukārt par aizsardzības nozares informācijas tehnoloģiju drošību rūpējas Militāro informācijas tehnoloģiju drošības incidentu novēršanas komanda jeb MilCERT. Zemessardzes Kiberaizsardzības un elektromagnētiskās karadarbības bataljona galvenais mērķis ir sniegt atbalstu krīzes vai apdraudējuma situācijā IT drošības incidentu novēršanā un radušos seku pārvarēšanā kibertelpā.

Kiberdrošības stratēģija

Latvijas kiberdrošības stratēģija 2014.-2018. gadam bija pirmais politikas plānošanas dokuments kiberdrošības jomā. Šī stratēģija fokusējās uz normatīvās bāzes izstrādi un informācijas un komunikācijas tehnoloģiju drošības sistēmas izveidi.  2019. gadā Ministru kabinets apstiprināja Latvijas kiberdrošības stratēģiju 2019.-2022. gadam, bet 2023. gada martā tika apstiprināta jaunākā Latvijas kiberdrošības stratēģija 2023.-2026. gadam. Nacionālā kiberdrošības stratēģija definē galvenos nacionālās kiberdrošības politikas rīcības virzienus laika periodam līdz 2026. gadam, nodrošinot “Latvijas kiberdrošības stratēģijā 2019–2022” noteikto darbības virzienu pēctecību Latvijas kiberdrošības stiprināšanai, kā arī raksturo Latvijas kiberdrošības situāciju un  identificē nākotnes izaicinājumus. Būtiska loma ir arī dažādu iesaistīto pušu iesaistīšanai stratēģijas veidošanā un uzdevumu izpildē, veidojot drošu, atvērtu, brīvu un uzticamu Latvijas kibertelpu.

Stratēģijā izvirzīti pieci rīcības virzieni periodam līdz 2026. gadam:

• Kiberdrošības pārvaldības pilnveidošana;
• Kiberdrošības veicināšana un izturētspējas stiprināšana;
• Sabiedrības izpratne, izglītība un pētniecība;
• Starptautiskā sadarbība un tiesiskums kibertelpā;
• Kibernoziedzības novēršana un apkarošana.

Normatīvie akti

Latvijā ir izveidota normatīvo aktu bāze informācijas tehnoloģiju drošības jomā, kas regulāri tiek pilnveidota, ņemot vērā aktuālās tendences kiberdrošības jomā.

• Nacionālās kiberdrošības likums;
• Ministru kabineta 2025. gada 18. marta noteikumi Nr. 158 "Noteikumi par centralizētu aizsardzību pret pakalpojumatteices kiberuzbrukumiem";
• Ministru prezidenta 2024. gada 6. decembra rīkojums Nr. 2024/1.2.1.-416 "Par Nacionālo kiberdrošības padomi";
• Ministru kabineta 2024. gada 5. novembra noteikumi Nr. 702 "Vienotā valsts interneta plūsmu apmaiņas punkta darbības noteikumi";
• Ministru kabineta 2023. gada 28. februāra noteikumi Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības";
• Ministru kabineta 2023. gada 4. jūlija noteikumi Nr. 368 “Informācijas sistēmu un to darbībai nepieciešamo informācijas un komunikācijas tehnoloģiju resursu un pakalpojumu attīstības aktivitāšu un likvidēšanas uzraudzības kārtība”;
• Ministru kabineta 2019. gada 15. janvāra noteikumi Nr. 15 “Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu”;
• Ministru kabineta 2019. gada 15. janvāra noteikumi Nr. 43 “Noteikumi par nosacījumiem drošības incidenta būtiski traucējošās ietekmes noteikšanai un kārtību, kādā piešķir, pārskata un izbeidz pamatpakalpojuma sniedzēja un pamatpakalpojuma statusu”;
• Ministru kabineta 2016. gada 1. novembra noteikumi Nr. 695 “Digitālās drošības uzraudzības komitejas nolikums”;
• Ministru kabineta 2015. gada 3. augusta noteikumi Nr. 422 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”;
• Ministru kabineta 2011. gada 26. aprīļa noteikumi Nr. 327 “Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam un par drošības incidentu būtiskuma kritērijiem”;
• Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 “Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība”.