Kurām organizācijām līdz 1. aprīlim jāreģistrējas Nacionālās kiberdrošības centrā?

Aizsardzības ministrija vērš uzmanību, ka katrai organizācijai, kura darbojas vai sniedz pakalpojumus Latvijā, ir jāizvērtē, vai uz to attiecas Nacionālās kiberdrošības likuma (turpmāk - NKD likums) prasības. Likums ir spēkā no 2024. gada 1. septembrī un tā mērķis ir stiprināt kiberdrošību Latvijā, kā arī ieviest pārskatītās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas (NIS2) prasības vienādi augsta kiberdrošības līmeņa panākšanai visā Eiropas Savienībā.

Lai saprastu, vai organizācija ir likuma subjekts – svarīgo pakalpojumu sniedzējs, būtisko pakalpojumu sniedzējs vai informācijas un komunikācijas tehnoloģiju (IKT) kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs – ir jāņem vērā organizācijas juridiskais statuss, reģistrācijas vieta, lielums, kā arī darbības jomas un sniegto pakalpojumu nozīmīgums (atbilstoši NKD likuma 20., 21. un 22. panta pirmajai daļai).

Lai uzzinātu, vai NKD likums attiecas uz organizāciju un uzzinātu, pie kuras uzraudzības iestādes jāvēršas, ieteicams izpildīt interaktīvu TESTU.

Organizācijām, kuras NKD likuma izpratnē ir uzskatāmas par būtisko pakalpojumu sniedzējiem un svarīgo pakalpojumu sniedzējiem, ir pienākums reģistrēties.

Lai to izdarītu, organizācijai jāaizpilda un līdz 2025. gada 1. aprīlim jāiesniedz Nacionālajam kiberdrošības centram reģistrācijas anketa.

Reģistrācijas anketas veidlapa tiks apstiprināta ar Ministru kabineta (MK) noteikumiem, kuri vēl tiks apstiprināti valdībā - "Minimālajām kiberdrošības prasības". Reģistrācijas anketu varēs iesniegt, nosūtot to uz Aizsardzības ministrijas E-adresi.

Katrai organizācijai, kura ir NKD likuma subjekts, līdz 2025. gada 1. oktobrim ir jānosaka atbildīgā persona par kiberdrošību jeb kiberdrošības pārvaldnieks. MK noteikumos par minimālajām kiberdrošības prasībām tiks noteiktas kiberdrošības pārvaldniekiem izvirzāmās kvalifikācijas un drošības prasības. Par kiberdrošības pārvaldnieka noteikšanu būs jāpaziņo kompetentajai uzraudzības iestādei (Nacionālajam kiberdrošības centram vai Satversmes aizsardzības birojam), iesniedzot aizpildītu paziņojuma veidlapu. Paziņojumu varēs iesniegt, nosūtot to uz uzraudzības iestādes E-adresi.

Katram NKD likuma subjektam ir jāapzina savi procesi un sniegtie pakalpojumi, kurus ietekmē IKT, kā arī IKT infrastruktūra un informācijas sistēmas. Tas ir nepieciešams, lai identificētu un mazinātu potenciālos kiberdrošības riskus, plānojot un īstenojot nepieciešamos drošības pasākumus.

Lai uzturētu aktuālo IKT infrastruktūras un informācijas sistēmu uzskaitījumu, subjektam jāizveido IKT resursu un informācijas sistēmu katalogs. To var veidot, izmantojot kādu no pieejamajiem tehnoloģiskajiem risinājumiem, vai arī manuāli, ievadot un regulāri aktualizējot datus par attiecīgajiem resursiem un informācijas sistēmām. MK noteikumos par minimālajām kiberdrošības prasībām būs noteikts minimālais katalogā iekļaujamo ziņu apjoms.

Subjektam jāizvērtē kiberdrošības riski, kā arī jānovērtē to potenciālā ietekme uz informācijas resursu konfidencialitāti, integritāti un pieejamību. Balstoties uz šo izvērtējumu, subjektam katrai tā īpašumā, valdījumā, turējumā vai lietošanā esošajai informācijas sistēmai jāpiešķir kategorija – A (paaugstinātās drošības), B (pamata drošības) vai C (minimālās drošības) – atbilstoši MK noteikumos par minimālajām kiberdrošības prasībām ietvertajai metodikai.

Katram subjektam jābūt diviem nozīmīgākajiem dokumentu blokiem – kiberdrošības politikai, kas nosaka organizācijas kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes, kā arī kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam, kas ietver detalizētu risku analīzi un pasākumu plānu to mazināšanai, kā arī rīcības plānu krīzes vai nozīmīga kiberincidenta gadījumā. Prasības šo dokumentu saturam tiks noteiktas MK noteikumos par minimālajām kiberdrošības prasībām.

Viens no nozīmīgākajiem soļiem, lai stiprinātu katras organizācijas noturību pret kiberdraudiem, ir personāla apmācības. Darbiniekiem ir jāzina par aktuālajiem kiberriskiem un jāprot droši strādāt digitālajā vidē. Subjektu uzdevums ir organizēt regulāras kiberhigiēnas apmācības visiem nodarbinātajiem, kuri strādā ar IKT, kā arī kiberdrošības apmācības par IKT atbildīgajam personālam.

NKD likums paredz noteiktu kārtību, kādā subjektiem jāziņo kompetentajai kiberincidentu novēršanas institūcijai – CERT.LV vai MilCERT – par konstatētajiem kiberdrošības incidentiem. Par nozīmīgiem kiberincidentiem jāziņo NKD likumā noteiktajā termiņā, iesniedzot noteikta parauga veidlapas, kas tiks apstiprinātas ar MK noteikumiem par minimālajām kiberdrošības prasībām.

Lai novērtētu, vai subjekts ir izpildījis NKD likuma prasības, katram subjektam būs jāaizpilda un līdz 2025. gada 1. oktobrim jāiesniedz kompetentajai uzraudzības iestādei pašvērtējuma ziņojums. Tajā subjektam būs jāatzīmē prasības, kurām tas atbilst, un jāpaskaidro, kā tiek nodrošināta šī atbilstība. Pašvērtējuma ziņojums IKT kritiskās infrastruktūras un A kategorijas informācijas sistēmu īpašniekiem un tiesiskajiem valdītājiem būs jāiesniedz reizi gadā, bet pārējiem subjektiem – reizi 3 gados. Pašvērtējuma ziņojuma veidlapa tiks apstiprināta ar MK noteikumiem par minimālajām kiberdrošības prasībām.

• Kā stiprināsim noturību pret kiberdrošības riskiem
• Kā uzņēmumā ieviest kiberdrošības politiku un praktiskus IT risinājumus
• Kas katram uzņēmumam ir jāzina par kiberdrošību