1. Noteikumi nosaka:

1.1. minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem (turpmāk kopā – subjekti, katrs atsevišķi – subjekts);

1.2. kārtību, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām;

1.3. prasības un veicamos pasākumus subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai;

1.4. IKT kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību;

1.5. IKT kritiskās infrastruktūras, tai skaitā Eiropas IKT kritiskās infrastruktūras, apzināšanas, drošības pasākumu un darbības nepārtrauktības plānošanas un īstenošanas kārtību;

1.6. publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības;

1.7. valsts informācijas sistēmu savietotāju, valsts platformu un integrētā valsts informācijas sistēmā ietilpstošo valsts informācijas sistēmu aizsardzības prasības;

1.8. prasības subjekta kiberdrošības pārvaldniekam;

1.9. veidu, kādā subjekts sniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam Nacionālās kiberdrošības likuma 22. panta pirmajā, otrajā un piektajā daļā, 23. panta pirmajā, otrajā un piektajā daļā un 25. panta otrajā un ceturtajā daļā minēto informāciju;

1.10. subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamās informācijas veidu un apjomu, kā arī plāna izpildes uzraudzības un kontroles kārtību;

1.11. kiberincidentu nozīmīguma kritērijus;

1.12. kārtību informēšanai par kiberincidentu, un to kiberincidentu kritērijus, par kuriem ir sniedzama informācija kompetentajai kiberincidentu novēršanas institūcijai;

1.13. agrīnā brīdinājuma, sākotnējā ziņojuma, starpposma ziņojuma, progresa ziņojuma un galaziņojuma par nozīmīgu kiberincidentu saturu un iesniegšanas kārtību;

1.14. kritērijus un kārtību subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanai;

1.15. nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam;

1.16. subjekta atbilstības pašvērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu, kā arī pašvērtējuma ziņojuma iesniegšanas termiņu un regularitāti;

1.17. subjektiem kiberhigiēnas pasākumu pamatelementus un prasības attiecībā uz kiberhigiēnas pasākumu īstenošanu;

1.18. kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību;

1.19. kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā;

1.20. kārtību ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, pieprasījumus vai tām uzliktos tiesiskos pienākumus;

1.21. prasības kiberincidentu novēršanas institūcijām.

2. Noteikumos lietotie termini:

2.1. autentifikācija – process, kurā elektroniskajā vidē tiek pārbaudīta lietotāja identitāte;

2.2. autorizācija – process, kurā lietotājam pēc veiksmīgas autentifikācijas tiek piešķirtas tiesības veikt konkrētas darbības informācijas sistēmā vai tehniskajā resursā;

2.3. ārpakalpojums – jebkura veida vienošanās starp subjektu un pakalpojuma sniedzēju IKT jomā, saskaņā ar kuru šis pakalpojuma sniedzējs nodrošina procesu, sniedz pakalpojumu, veic tehnisko resursu piegādi vai veic citu darbību subjekta uzdevumā IKT infrastruktūrā;

2.4. datu nesējs – fiziskā vai virtuālā tehnoloģiskā ierīce vai uzglabāšanas vieta, kas paredzēta datu elektroniskajai uzglabāšanai un nolasīšanai, piemēram, cietais disks, zibatmiņa, CD, DVD, magnētiskā kasete;

2.5. drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieņemamam līmenim;

2.6. IKT resursi – tehnisko resursu un informācijas resursu kopums;

2.7. informācijas resurss – strukturēta digitālo datu vienība;

2.8. informācijas sistēma – organizēta sistēma, kas paredzēta informācijas resursu pārvaldībai un elektroniskajai apstrādei, izmantojot tehniskos resursus;

2.9. integritāte – informācijas resursa un tā elektroniskās apstrādes metožu precizitāte, pareizība un pilnīgums;

2.10. konfidencialitāte – piekļuve informācijas resursam tikai pilnvarotiem IKT procesiem un lietotājiem;

2.11. konts – mehānisms, ar kuru lietotājam tiek piešķirta piekļuve IKT resursam vai informācijas sistēmai. Kontam ir unikāls identifikators, kas nodrošina darbības autora identificēšanu un pieejamo darbību un funkciju apjoma noteikšanu IKT resursā. Konts var būt piesaistīts konkrētai fiziskajai personai (piemēram, standarta lietotāja konts, administratora lietotāja konts) vai nebūt piesaistāms nevienai fiziskajai personai (piemēram, sistēmkonts);

2.12. lietotāja konts – konts, kas ir piesaistīts konkrētam lietotājam;

2.13. lietotājs – persona, kurai ir piešķirtas tiesības lietot IKT resursu vai informācijas sistēmu;

2.14. mašīnlasāms formāts – informācijas formāts, kas ir strukturēts tā, lai lietojumprogrammas var automatizēti nolasīt informāciju, kā arī viegli identificēt, atpazīt un iegūt no tās specifiskus datus, tostarp atsevišķas vienības un to iekšējo struktūru. Mašīnlasāma informācija var tikt elektroniski apstrādāta bez manuālas apstrādes no lietotāja puses;

2.15. pamattīkls – publiskā elektronisko sakaru tīkla daļa, kurā ir savienotas pamattīkla iekārtas (pārraides, komutēšanas, maršrutēšanas, multipleksēšanas vai ekvivalentas iekārtas) un kurai ir pievienots piekļuves tīkls, un kas nodrošina savienojumu ar citu elektronisko sakaru tīklu;

2.16. pieejamība – iespēja lietotājam lietot informācijas sistēmu vai informācijas resursu noteiktā laikā un vietā;

2.17. sistēmkonts – konts, kas nodrošina IKT funkciju vai procesu un nav piesaistāms nevienam lietotājam;

2.18. šifrēšana – process, kurā dati tiek pārveidoti, izmantojot speciālu algoritmu un atslēgu, lai padarītu tos neizprotamus vai neizlasāmus bez atbilstošas atslēgas. Šifrētos datus iespējams atšifrēt atpakaļ oriģinālajā formā, izmantojot pareizu atslēgu un atbilstošo atšifrēšanas algoritmu. Šifrēšanu var izmantot gan datu uzglabāšanā, gan pārraidē;

2.19. tehniskais resurss: 

2.19.1. aparatūra, iekārta, kas ir tīkla vai informācijas sistēmas sastāvdaļa vai IKT infrastruktūrā izmantota iekārta, kas veic datu apmaiņu ar informācijas sistēmu;

2.19.2. programmatūra, tostarp operētājsistēmas, sistēmfaili, sistēmprogrammas, lietojumprogrammas un palīgprogrammas;

2.20. tīkls – komutācijas aparatūras un ar to saistīto tehnisko resursu kopums, kas savstarpēji savienots ar sakaru kanāliem;

2.21. žurnālfaili – analīzei pieejami pieraksti, kuri tiek automatizēti reģistrēti un satur datus par konkrētiem IKT notikumiem (piemēram, piekļuve, datu ievade, maiņa, dzēšana, izvade);

2.22. 4G tīkls – ceturtās paaudzes mobilo elektronisko sakaru tīkls;

2.23. 5G tīkls – piektās paaudzes mobilo elektronisko sakaru tīkls.

3. Noteikumi attiecas uz subjektiem un to īpašumā un valdījumā esošajiem tīkliem un informācijas sistēmām, izņemot tās, kurās tiek veikta valsts noslēpuma, Ziemeļatlantijas līguma organizācijas (turpmāk – NATO), Eiropas Savienības un ārvalstu institūciju klasificētās informācijas elektroniskā apstrāde.

4. Uz domēnu vārdu reģistrācijas pakalpojumu sniedzējiem attiecas tikai šo noteikumu 9. punkts.

5. Noteikumi neattiecas uz:

5.1. kabeļtelevīzijas tīkliem;

5.2. publiskajos elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija;

5.3. publisko elektronisko sakaru tīklu galiekārtām pie klienta un citām tā galalietotāja iekārtām;

5.4. tālākpārdošanai paredzētajiem tehniskajiem resursiem.

6. Noteikumos ietvertās kiberrisku pārvaldības pasākumu tehniskās un metodiskās prasības Nacionālās kiberdrošības likuma 20. panta 1. punktā, 2. punktā, 4. punktā, 8. punkta "s", "t", "u" un "v" apakšpunktā, 21. panta pirmās daļas 2. punkta "l", "m", "n" apakšpunktā un 6. punktā minētajiem subjektiem piemēro, ciktāl tās nav pretrunā ar Eiropas Komisijas 2024. gada 17. oktobra Īstenošanas regulu (ES) 2024/2690, kas attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem nosaka Direktīvas (ES) 2022/2555 piemērošanas noteikumus, kuri attiecas uz kiberdrošības risku pārvaldības pasākumu tehniskajām un metodiskajām prasībām un precizē, kādos gadījumos incidentu uzskata par būtisku (turpmāk – regula 2024/2690).

7. Būtisko vai svarīgo pakalpojumu sniedzējs paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu (1. pielikums):

7.1. Nacionālās kiberdrošības likuma 22. panta pirmajā daļā noteiktajā termiņā – par savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam;

7.2. Nacionālās kiberdrošības likuma 22. panta otrajā daļā noteiktajā termiņā – par izmaiņām statusa reģistrācijas veidlapā norādītajās ziņās;

7.3. par būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa zaudēšanu.

8. Ja būtisko vai svarīgo pakalpojumu sniedzējs vienlaikus ir arī IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, tas šo noteikumu 7. punktā minēto statusa paziņojumu iesniedz arī Satversmes aizsardzības birojam.

9. Domēnu vārdu reģistrācijas pakalpojumu sniedzējs paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu domēnu nosaukumu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu (2. pielikums):

9.1. Nacionālās kiberdrošības likuma 23. panta pirmajā daļā noteiktajā termiņā – par savu atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam;

9.2. Nacionālās kiberdrošības likuma 23. panta otrajā daļā noteiktajā termiņā – par izmaiņām domēnu vārdu reģistrācijas pakalpojumu sniedzēja paziņojuma veidlapā norādītajās ziņās;

9.3. par domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa zaudēšanu.

10. Subjekts paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi, un Satversmes aizsardzības birojam, nosūtot uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu paziņojuma par kiberdrošības pārvaldnieku veidlapu (3. pielikumu):

10.1. Nacionālās kiberdrošības likuma 25. panta otrajā daļā noteiktajā termiņā – par kiberdrošības pārvaldnieka noteikšanu;

10.2. Nacionālās kiberdrošības likuma 25. panta ceturtajā daļā noteiktajā termiņā – par izmaiņām šo noteikumu 10.1. apakšpunktā minētā paziņojuma veidlapā norādītajās ziņās.

11. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs par kiberdrošības pārvaldnieku nosaka fizisku personu:

11.1. kurai ir Latvijas pilsonība;

11.2. kura ir pilngadīga;

11.3. pār kuru nav nodibināta aizgādnība;

11.4. kura nav sodīta par tīšu noziedzīgu nodarījumu, izņemot gadījumu, ja persona ir reabilitēta, vai sodāmība ir noņemta vai dzēsta;

11.5. kurai ir augstākā vai vidējā profesionālā izglītība informācijas tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, kas iegūta pēdējo piecu gadu laikā, vai kurai ir spēkā esošs starptautiski atzīts sertifikāts, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP);

11.6. kura nav un nav bijusi PSRS, Latvijas PSR vai kādas ārvalsts drošības dienesta, izlūkdienesta vai pretizlūkošanas dienesta štata vai ārštata darbinieks, aģents, rezidents vai konspiratīvā dzīvokļa turētājs;

11.7. kura nav un nav bijusi ar Latvijas Republikas likumiem, Augstākās padomes lēmumiem vai tiesas nolēmumiem aizliegto organizāciju dalībnieks (biedrs) pēc šo organizāciju aizliegšanas;

11.8. kura nepieder pie organizētās noziedzības grupējuma, nelikumīga militarizēta vai bruņota formējuma;

11.9. kurai nav diagnosticēti psihiski traucējumi vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarība, kas dod pamatu apšaubīt fiziskās personas uzticamību;

11.10. par kuru Satversmes aizsardzības birojs nav konstatējis drošības riskus.

12. Būtisko pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nosaka fizisku personu:

12.1. kurai ir NATO, Eiropas Savienības vai Eiropas Brīvās tirdzniecības asociācijas (turpmāk – EBTA) dalībvalsts pilsonība;

12.2. kura atbilst šo noteikumu 11.2., 11.3. un 11.4. apakšpunktā noteiktajām prasībām;

12.3. kurai ir augstākā vai vidējā profesionālā izglītība informācijas tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā vai kurai ir spēkā esošs starptautiski atzīts sertifikāts, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, kas iegūta pēdējo piecu gadu laikā.

13. Svarīgo pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nosaka fizisku personu:

13.1. kurai ir NATO, Eiropas Savienības vai EBTA dalībvalsts pilsonība;

13.2. kura atbilst šo noteikumu 11.2. un 11.3. apakšpunktā noteiktajām prasībām;

13.3. kurai ir augstākā vai vidējā profesionālā izglītība informācijas tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā vai kurai ir spēkā esošs starptautiski atzīts sertifikāts, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā.

14. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldnieku nosaka uz termiņu līdz trim gadiem. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldnieka pretendenta saskaņošanai iesniedz Satversmes aizsardzības birojam elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu kiberdrošības pārvaldnieka pretendenta saskaņošanas veidlapu (4. pielikums).

15. Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieka pretendenta atbilstību šo noteikumu 11. punktā minētajām prasībām triju mēnešu laikā no šo noteikumu 14. punktā minētās veidlapas saņemšanas brīža un par pārbaudes rezultātiem informē attiecīgā subjekta vadītāju. Satversmes aizsardzības birojs var neveikt kiberdrošības pārvaldnieka pretendenta pārbaudi, ja kiberdrošības pārvaldnieka pretendentam ir izsniegta speciālā atļauja pieejai valsts noslēpumam.

16. Ne vēlāk kā trīs mēnešus pirms noteiktā kiberdrošības pārvaldnieka darbības termiņa beigām IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs paziņo par kiberdrošības pārvaldnieka pretendentu, iesniedzot Satversmes aizsardzības birojam šo noteikumu 14. punktā minēto veidlapu.

17. Fiziska persona, kura noteikta par:

17.1. A kategorijas IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nedrīkst būt noteikta par kiberdrošības pārvaldnieku citā subjektā;

17.2. B vai C kategorijas IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nedrīkst būt noteikta par kiberdrošības pārvaldnieku citā IKT kritiskās infrastruktūras īpašniekā vai tiesiskajā valdītājā.

18. Fiziskā persona vienlaikus drīkst būt noteikta par kiberdrošības pārvaldnieku ne vairāk kā piecos būtisko pakalpojumu sniedzējos, kas nav IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji.

19. Šo noteikumu 18. punktā minētais ierobežojums neattiecas uz būtisko pakalpojumu sniedzēja, kurā fiziskā persona ir noteikta par kiberdrošības pārvaldnieku, pakļautībā esošiem būtisko pakalpojumu sniedzējiem un būtisko pakalpojumu sniedzējiem, kuru kapitāldaļu īpašnieks vai turētājs ir attiecīgais būtisko pakalpojumu sniedzējs, vai privāto tiesību juridisko personu, kuru attiecīgais būtisko pakalpojumu sniedzējs ir deleģējis pildīt valsts pārvaldes uzdevumu.

20. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nodrošina, ka kiberdrošības pārvaldnieks subjektā vienlaikus nav atbildīgā persona par žurnālfailu pārvaldību vai nav atbildīgā persona par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu.

21. Subjekta kiberdrošības pārvaldības dokumentu kopumu veido:

21.1. kiberdrošības politika;

21.2. IKT resursu un informācijas sistēmu katalogs;

21.3. kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;

21.4. kiberincidentu žurnāls.

22. Subjekts katru kiberdrošības pārvaldības dokumentu kopuma daļu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu.

23. Subjekts nodrošina, ka kiberdrošības pārvaldības dokumentu kopuma daļas ir pieejamas tikai personām, kurām tās nepieciešamas darba pienākumu vai ārpakalpojuma izpildei.

24. Subjekts kiberdrošības pārvaldības dokumentu kopumu veido un uztur arī elektroniskā formātā.

25. Subjekts nodrošina, ka kiberdrošības pārvaldības dokumentu kopumā ietilpstošo dokumentu kopijas tiek uzglabātas atsevišķi no oriģināliem un ir pieejamas gadījumā, ja dokumentu oriģināli nav pieejami (piemēram, datu nesēja bojājuma gadījumā).

26. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:

26.1. pēc šo noteikumu 21.1. un 21.3. apakšpunktā noteikto kiberdrošības pārvaldības dokumentu kopuma daļu apstiprināšanas vai aktualizēšanas nekavējoties, bet ne vēlāk kā viena mēneša laikā tās iesniedz Satversmes aizsardzības birojam;

26.2. šo noteikumu 21.2. un 21.4. apakšpunktā minētā kiberdrošības pārvaldības dokumentu kopuma daļas iesniedz Satversmes aizsardzības birojam kopā ar pašvērtējuma ziņojumu atbilstoši šo noteikumu 8.3. apakšnodaļai;

26.3. pēc citu šo noteikumu 21. punktā nenorādītu kiberdrošības dokumentu apstiprināšanas vai aktualizēšanas nekavējoties, bet ne vēlāk kā viena mēneša laikā tos iesniedz Satversmes aizsardzības birojam.

27. Satversmes aizsardzības birojs var veikt IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldības dokumentos un citos kiberdrošības dokumentos iekļautās informācijas pārbaudi un tajos noteikto prasību izpildes kontroles pasākumus un sniegt norādījumus pārbaudēs un izpildes kontroles pasākumos konstatēto trūkumu novēršanai.

28. Subjekts izstrādā, uztur un regulāri, bet ne retāk kā reizi trijos gados pārskata un nepieciešamības gadījumā aktualizē kiberdrošības politiku.

29. Kiberdrošības politikā iekļauj:

29.1. vispārīgu informāciju par subjektu, tā darbības jomu, sniegtajiem pakalpojumiem un procesiem, kurus var ietekmēt kiberapdraudējums;

29.2. subjekta kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes;

29.3. informāciju par subjekta kiberdrošības pārvaldības struktūru, atbildīgo personu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā, sadarbību ar citiem subjektiem un institūcijām;

29.4. informāciju par nozīmīgākajiem kiberapdraudējumu veidiem, kuriem ir pakļauti subjekta īpašumā un valdījumā esošie IKT resursi un informācijas sistēmas;

29.5. informāciju par Nacionālās kiberdrošības likuma, šo noteikumu un citu subjektam saistošo normatīvo aktu, standartu un sertifikācijas shēmu prasībām kiberdrošības jomā, kuras attiecas uz subjekta īpašumā un valdījumā esošajiem IKT resursiem un informācijas sistēmām.

30. Subjekts apzina un uzskaita visus tā īpašumā un valdījumā esošos IKT resursus un informācijas sistēmas, kas pakļauti kiberriskiem.

31. Subjekts izveido, uztur, pārskata un izmaiņu gadījumā nekavējoties, bet ne vēlāk kā viena mēneša laikā aktualizē IKT resursu un informācijas sistēmu katalogu.

32. Subjekts nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) atbilstoši šo noteikumu 5. pielikumā ietvertajai metodikai katrai subjekta īpašumā un valdījumā esošajai informācijas sistēmai un informācijas resursu kategorijai.

33. Šo noteikumu izpratnē informācijas sistēma uzskatāma par:

33.1. A klases (paaugstinātas drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena A konfidencialitātes, integritātes vai pieejamības drošības klase;

33.2. B klases (pamata drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena B konfidencialitātes, integritātes vai pieejamības drošības klase, bet nav noteikta neviena A konfidencialitātes, integritātes vai pieejamības drošības klase;

33.3. C klases (minimālās drošības) informācijas sistēmu, ja tai ir noteiktas tikai C konfidencialitātes, integritātes un pieejamības drošības klases.

34. Kritiskās infrastruktūras kopumā iekļautu informācijas sistēmu uzskata par A klases informācijas sistēmu, nepiemērojot šo noteikumu 32. un 33. punktā minēto kārtību.

35. Ja kritiskās infrastruktūras kopumā ir iekļauta visa subjekta IKT infrastruktūra, subjekts informācijas sistēmām nosakāmās drošības klases saskaņo ar Satversmes aizsardzības biroju.

36. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs pirms jaunas A vai B klases informācijas sistēmas izveides iesniedz Satversmes aizsardzības birojam jaunveidojamās informācijas sistēmas funkcionālo aprakstu.

37. Subjekts, kurš ir publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs, identificē publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šo noteikumu​ 6. pielikumu. Subjekts var identificēt kā kritiskas arī citas publiskā elektronisko sakaru tīkla daļas.

38. Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādā, vismaz reizi gadā pārskata un nepieciešamības gadījumā aktualizē informācijas sistēmas drošības klases noteikšanas vadlīnijas un par tām informē subjektu.

39. Subjekts uztur kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu. Subjekts var izstrādāt vairākus kiberrisku pārvaldības un IKT darbības nepārtrauktības plānus atbilstoši subjekta darbības specifikai (piemēram, valsts informācijas sistēmai, subjekta datu centram). Šādā gadījumā par kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu uzskatāms šo plānu kopums.

40. Kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu pārskata un aktualizē:

40.1. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs un būtisko pakalpojumu sniedzējs, kura īpašumā vai valdījumā ir vismaz viena A klases informācijas sistēma, – vismaz reizi gadā;

40.2. būtisko pakalpojumu sniedzējs, kura īpašumā vai valdījumā nav A klases informācijas sistēmas, – vismaz reizi divos gados;

40.3. svarīgo pakalpojumu sniedzējs – vismaz reizi trijos gados.

41. Kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļauj:

41.1. kiberrisku novērtēšanas metodiku, kas ietver analizējamo kiberrisku uzskaitījumu un metodoloģijas aprakstu šo risku nozīmīguma novērtēšanai (piemēram, kiberriska pieņemamās vērtības, novērtēšanas matrica, pārskatīšanas periodiskums);

41.2. kiberrisku novērtējumu, kas ietver identificēto kiberrisku uzskaitījumu un analīzi, tostarp ar piegādes ķēdēm saistīto risku analīzi, katra kiberriska nozīmīguma novērtējumu attiecībā uz subjekta īpašumā vai valdījumā esošajiem tīkliem, informācijas sistēmām un ar tiem saistītajiem IKT resursiem, kā arī salīdzinājumu ar iepriekšējā perioda kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto kiberrisku novērtējumu, ja tāds ir bijis;

41.3. kiberrisku pārvaldības pasākumu plānu, kas ietver identificēto kiberrisku uzskaitījumu, konkrētus pasākumus šo kiberrisku pārvaldībai, atbildīgos par pasākumu īstenošanu un kontroli, kā arī šo pasākumu īstenošanas termiņus vai to periodiskumu;

41.4. rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, atjaunošanas punkta mērķis (RPO), atjaunošanas laika mērķis (RTO), maksimāli pieļaujamais dīkstāves laiks (MTD)), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.

42. Plānojot kiberrisku pārvaldības pasākumus, subjekts:

42.1. apzina savā īpašumā vai valdījumā esošo informācijas sistēmu un IKT resursu nozīmīgumu un vērtību, tai skaitā potenciālo zaudējumu un ietekmes apjomu kiberincidenta gadījumā;

42.2. A un B klases informācijas sistēmām paredz rezerves IKT resursus darbības nepārtrauktības nodrošināšanai nozīmīgā kiberincidenta vai krīzes gadījumā (piemēram, lai nodrošinātu šo noteikumu 41.4. apakšpunktā minētajā rīcības plānā minēto pasākumu izpildi);

42.3. A klases informācijas sistēmām iespēju robežās nodrošina no interneta piekļuves pakalpojuma sniedzēja neatkarīgas (autonomas) interneta protokola (turpmāk – IP) adreses vai adrešu apgabalus.

43. Subjekta kiberdrošības pārvaldnieks nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes uzraudzību un kontroli. Ja IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieks ir vienlaikus atbildīgs arī par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, tad konkrētā IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja vadītājs nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes uzraudzību un kontroli.

44. Subjekta vadītājs nodrošina, ka kiberdrošības pārvaldniekam un, ja attiecināms, citām par darbības nepārtrauktības pasākumu īstenošanu atbildīgajām personām ir nepieciešamās zināšanas un pilnvaras, lai nekavējoties veiktu tūlītējās nepieciešamās darbības kiberapdraudējuma novēršanai, kiberincidentu risināšanai vai kiberuzbrukuma seku novēršanai.

45. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:

45.1. nosaka atbildīgo personu par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;

45.2. nekavējoties, bet ne vēlāk kā piecu darbdienu laikā pēc šo noteikumu 45.1. apakšpunktā minētās personas noteikšanas par to informē Satversmes aizsardzības biroju.

46. Subjekts ievieš pārvaldības procesus, lai identificētu kiberincidentus, gandrīz notikušus kiberincidentus un ievainojamības, kā arī lai risinātu un novērstu kiberincidentus un ievainojamības, nosakot vismaz:

46.1. subjekta nodarbināto un ārpakalpojumu sniedzēju (ja attiecināms) lomas un atbildību kiberincidenta pazīmju konstatēšanas gadījumā vai informācijas saņemšanas gadījumā par iespējamo vai gandrīz notikušu kiberincidentu;

46.2. procedūras kiberincidentu identificēšanai, reģistrēšanai, ietekmes novērtēšanai un mazināšanai, risināšanai un seku likvidēšanai, pirmcēloņu atklāšanai, analīzei un novēršanai, pierādījumu saglabāšanai un drošības pasākumu uzlabošanai; 

46.3. iekšējās un ārējās komunikācijas plānus, procedūras saziņai ar kompetento kiberincidentu novēršanas institūciju, citām kompetentajām institūcijām, citiem subjektiem un pakalpojumu saņēmējiem.

47. Subjekts uztur kiberincidentu žurnālu, kurā reģistrē ziņas par subjekta īpašumā un valdījumā esošajos tīklos un informācijas sistēmās konstatētajiem kiberincidentiem. Subjekts nodrošina ziņu reģistrēšanu žurnālā ne vēlāk kā 24 stundu laikā no kiberincidenta konstatēšanas brīža vai pēc jebkādām izmaiņām iepriekš žurnālā norādītajās ziņās.

48. Kiberincidentu žurnālā iekļauj vismaz šādu informāciju par kiberincidentiem:

48.1. kiberincidenta konstatēšanas datumu un laiku, kā arī kiberincidenta datumu un laiku, ja tāds ir zināms;

48.2. kiberincidenta veida kodu vai kodus atbilstoši šo noteikumu 7. pielikumā ietvertajai tipoloģijai;

48.3. kiberincidenta vispārīgo aprakstu;

48.4. kiberincidenta cēloņus un kompromitēšanas indikatorus, ja tādi ir zināmi;

48.5. kiberincidenta ietekmes novērtējumu;

48.6. atzīmi par to, vai kiberincidents uzskatāms par nozīmīgu kiberincidentu;

48.7. atzīmi par kiberincidenta paziņošanu kiberincidentu novēršanas institūcijai (nozīmīga kiberincidenta gadījumā – arī par agrīnā brīdinājuma, sākotnējā ziņojuma, galaziņojuma, progresa ziņojuma, starpposma ziņojuma iesniegšanu);

48.8. aktuālo kiberincidenta risināšanas statusu (piemēram, "neiesākts", "procesā", "atrisināts").

49. Subjekts nodrošina lietotāju piekļuves tiesību pārvaldību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi.

50. Subjekts katrai tā īpašumā vai valdījumā esošajai informācijas sistēmai, loģiski nodalītai informācijas sistēmas daļai (modulim) un informācijas sistēmā elektroniski apstrādājamo informācijas resursu veidam:

50.1. identificē lietotāju grupas, izvērtējot lietotāju nepieciešamību piekļūt informācijas resursam;

50.2. nosaka identificēto lietotāju piekļuves tiesību līmeni un autentifikācijas metodes, ņemot vērā informācijas resursa veidu un informācijas sistēmas klasi;

50.3. piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" un mazāko privilēģiju principu, nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā, ja vien tas ir tehniski iespējams.

51. Subjekts nodrošina, ka:

51.1. lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Ja informācijas sistēmas darbības nepārtrauktības dēļ aktīvā lietotāja konta nomaiņa tās lietošanas laikā nav iespējama, pieļaujams pēc veiksmīgas autentifikācijas informācijas sistēmā izmantot kopīgu kontu vairākiem lietotājiem, ja tiek nodrošināta iespēja identificēt lietotāju citā veidā (piemēram, maiņu grafiks, videonovērošana, elektronisks vai papīra lietotāju žurnāls);

51.2. sistēmkontiem ir tikai tādas tiesības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu;

51.3. ja vien tas tehniski ir iespējams, informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus;

51.4. standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai. Ja informācijas sistēmas tehniskais risinājums ļauj droši veikt administrēšanu, piešķirot (eskalējot) standarta lietotāja kontam administratora tiesības, tad uzskatāms, ka standarta lietotāja konts ar administratora tiesībām ir administratora lietotāja konts;

51.5. administratora lietotāja kontu neizmanto ikdienas darbam ar informācijas sistēmu vai IKT resursu;

51.6. pastāv tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.

52. Subjekts nodrošina obligātu daudzfaktoru autentifikācijas izmantošanu, lai piekļūtu:

52.1. A klases informācijas sistēmas administratora lietotāja kontam un standarta lietotāja kontam;

52.2. B klases informācijas sistēmas administratora lietotāja kontam;

52.3. B klases informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālināta piekļuve informācijas sistēmai no ārējā tīkla un šai piekļuvei netiek izmantots šifrēta virtuālā privātā tīkla (VPN) risinājums ar daudzfaktoru autentifikāciju.

53. Subjekts nodrošina, ka visi informācijas sistēmas reģistrētie lietotāji ir iepazinušies ar informācijas sistēmas lietošanas noteikumiem. Subjekta pienākums ir nodrošināt, ka:

53.1. visi informācijas sistēmas reģistrētie lietotāji ir informēti par informācijas sistēmas lietošanas noteikumiem pirms informācijas sistēmas lietošanas uzsākšanas;

53.2. informācijas sistēmas lietošanas noteikumi ir pieejami informācijas sistēmas reģistrētajiem lietotājiem visā informācijas sistēmas lietošanas laikā.

54. Subjekta kiberdrošības pārvaldniekam ir tiesības:

54.1. pārbaudīt lietotāju kontu sarakstu, tiem piešķirtās piekļuves tiesības un to veiktās darbības informācijas sistēmā, tostarp lietotāju veiktās informācijas resursu izmaiņas un tehnisko resursu konfigurāciju izmaiņas;

54.2. nodrošināt žurnālfailu ierakstu analīzi par lietotāju veiktajām darbībām;

54.3. ja noticis kiberincidents vai ja ir pamatotas aizdomas par to, bloķēt vai uzdot administratoram bloķēt ar kiberincidentu saistītos lietotāju kontus;

54.4. pārbaudīt reģistrēto lietotāju zināšanas par informācijas sistēmas lietošanas noteikumiem un nepieciešamības gadījumā organizēt papildu apmācības, lai šīs zināšanas pilnveidotu;

54.5. pieprasīt no informācijas sistēmas uzturētāja informācijas sistēmas žurnālfailu ierakstus, ja informācijas sistēmu vai tās daļu uzturēšana notiek ārpus subjekta īpašumā vai valdījumā esošās IKT infrastruktūras.

55. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs un būtisko pakalpojumu sniedzējs ievieš procesus savā īpašumā vai valdījumā esošo tīklu pārvaldībai, nodrošinot, ka:

55.1. tīkls ir sadalīts loģiskos segmentos atbilstoši to lietojumam, subjekta darbības specifikai un elektroniski apstrādājamo informācijas resursu drošības klasēm;

55.2. ja attiecināms, subjekta viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski vai loģiski atdalītu tīklu ar atsevišķu reālo publisko IP adresi;

55.3. tīkla iekārtas un cita aparatūra, kas nav paredzēta tiešai lietotāju izmantošanai, ir loģiski atdalīta, izmantojot atsevišķus virtuālus vai fiziskus tīklus, nodrošinot tai piekļuvi tikai pilnvarotam personālam;

55.4. ja attiecināms, iekšējā bezvadu tīklā izmanto vismaz WPA2, WPA3 vai jaunāku bezvadu drošības protokolu ar līdzvērtīgu vai augstāku aizsardzības līmeni;

55.5. iekšējais tīkls ir fiziski vai loģiski nodalīts no ārējā tīkla;

55.6. informācijas sistēmu darbībai paredzētās datu plūsmas ir fiziski vai loģiski nodalītas no lietotāju ikdienas darbam ar informācijas sistēmām paredzētajām datu plūsmām;

55.7. datu pārraide starp iekšējo un ārējo tīklu, kā arī starp iekšējā tīkla segmentiem ir kontrolējama, nosakot atļauto datu plūsmu (piemēram, ugunsmūriem, starpniekserveriem);

55.8. piekļuve iekšējā tīklā esošajiem informācijas resursiem ārpus iekšējā tīkla ir iespējama, tikai izmantojot šifrētu virtuālā privātā tīkla (VPN) risinājumu ar daudzfaktoru autentifikāciju.

56. Svarīgo pakalpojumu sniedzējs ievieš procesus savā īpašumā un valdījumā esošo tīklu pārvaldībai, nodrošinot šo noteikumu 55.1., 55.2., 55.3. un 55.4. apakšpunktā minēto prasību ievērošanu.

57. Subjekts nodrošina informācijas sistēmu žurnālfailu un tīkla plūsmas žurnālfailu veidošanu un uzglabāšanu. Žurnālfailus uzglabā:

57.1. A klases informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 18 mēnešus pēc ieraksta izdarīšanas;

57.2. B klases informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 12 mēnešus pēc ieraksta izdarīšanas;

57.3. C klases informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 6 mēnešus pēc ieraksta izdarīšanas.

58. Informācijas sistēmas žurnālfailos ietver informāciju par konkrētiem informācijas sistēmas notikumiem, tostarp:

58.1. informācijas sistēmas ieslēgšanu un izslēgšanu;

58.2. kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām;

58.3. kontu piekļuvi informācijas resursiem, tostarp neveiksmīgiem piekļuves mēģinājumiem;

58.4. datu pievienošanu, izmaiņām, dzēšanu un datu atlasi;

58.5. tehnisko resursu konfigurāciju izmaiņām;

58.6. informācijas sistēmas paziņojumiem, brīdinājumiem un citiem IKT notikumiem, kas varētu liecināt par kiberincidentu vai citu apdraudējumu informācijas sistēmas vai informācijas resursa drošībai.

59. Informācijas sistēmas žurnālfailos fiksē informācijas sistēmas notikuma laiku, kas sinhronizēts ar augstas precizitātes tīkla laika protokola (NTP) serveri (vismaz STRATUM 2 līmeņa), IP adresi, no kuras veikta darbība, vai citu iekārtas unikālu identifikatoru, kas kombinēts ar lietotāja identifikatoru un ļauj nepārprotami identificēt iekārtu un lietotāja kontu, no kura veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).

60. Tīkla plūsmas žurnālfailos ietver informāciju par datu nosūtīšanas un saņemšanas notikumiem. Tīkla plūsmas žurnālfailos fiksē vismaz šādu informāciju:

60.1. notikuma laiku, kas sinhronizēts ar augstas precizitātes tīkla laika protokola (NTP) serveri;

60.2. datu nosūtītāja (avota) un saņēmēja (galamērķa) IP adreses;

60.3. avota un galamērķa izmantotos tīkla aplikācijas līmeņa protokolus (piemēram, HTTP, HTTPS, FTP);

60.4. ja attiecināms, avota unikālo identifikatoru (MAC adrese);

60.5. izmantoto tīkla transporta protokolu (piemēram, TCP, UDP);

60.6. pārsūtīto datu apjomu.

61. Ja informācijas sistēmas vai tīkla uzbūves dēļ tehniski nav iespējams nodrošināt laika fiksēšanas risinājuma sinhronizēšanu ar kiberincidentu novēršanas institūcijas tīmekļvietnē norādīto augstas precizitātes tīkla laika protokola (NTP) serveri, subjektam ir pienākums nodrošināt citu laika fiksēšanas metodi, to saskaņojot attiecīgi ar Nacionālo kiberdrošības centru vai Satversmes aizsardzības biroju.

62. Žurnālfailu ierakstus veido mašīnlasāmā formātā. Pārvaldot žurnālfailus, subjekts īsteno drošības pasākumus, lai nodrošinātu IKT notikumu ticamu reģistrēšanu un efektīvu kiberincidentu analīzi.

63. Subjekts nodrošina žurnālfailu aizsardzību pret neautorizētu piekļuvi, ierakstu izmainīšanu un dzēšanu.

64. Subjekts iekšējos normatīvajos aktos nosaka žurnālfailu pārvaldības prasības un kārtību, tostarp žurnālfailu ierakstu analīzes, pārbaužu kārtību un regularitāti, atbildīgos par žurnālfailu pārvaldību, kā arī žurnālfailu aizsardzības prasības.

65. Subjekta kiberdrošības pārvaldnieks nodrošina žurnālfailu pārvaldības un aizsardzības prasību ievērošanas kontroli.

66. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:

66.1. nosaka par žurnālfailu pārvaldību atbildīgo personu;

66.2. nekavējoties, bet ne vēlāk kā piecu darbdienu laikā pēc šo noteikumu 66.1. apakšpunktā minētās personas noteikšanas par to informē Satversmes aizsardzības biroju.

67. Subjekts nodrošina, ka katrai tā īpašumā vai valdījumā esošajai informācijas sistēmai tiek veidotas rezerves kopijas.

68. Veidojot rezerves kopijas, subjekts nodrošina, ka rezerves kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā informācijas sistēmā glabātos datus, izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes.

69. Subjekts nodrošina, ka ir pieejamas vismaz:

69.1. informācijas sistēmas tehniskās dokumentācijas rezerves kopijas;

69.2. informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda rezerves kopijas, ja tiek izmantotas atvērtā koda bibliotēkas;

69.3. informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas, ja vien tas ir tehniski iespējams.

70. Subjekts nodrošina, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmu vismaz tādā stāvoklī, kāds bija:

70.1. A klases informācijas sistēmai – iepriekšējā dienā, pirms nedēļas (7–31 diena), pirms mēneša (30–365 dienas), iepriekšējā gadā (vecāku par 365 dienām);

70.2. B klases informācijas sistēmai – pēdējās nedēļas laikā (1–7 dienas), pirms nedēļas (7–31 diena), pirms mēneša (30–365 dienas), iepriekšējā gadā (vecāku par 365 dienām);

70.3. C klases informācijas sistēmai – pirms pēdējām nozīmīgajām izmaiņām informācijas sistēmā (piemēram, pirms migrācijas uz citu tehnoloģisku platformu), bet ne senāk kā pirms sešiem mēnešiem.

71. Subjekts nodrošina, ka:

71.1. par katru rezerves kopijas izveides gadījumu tiek veikts atbilstošs ieraksts žurnālfailos;

71.2. par rezerves kopijām atbildīgā persona un kiberdrošības pārvaldnieks tiek nekavējoties brīdināti, ja kārtējā rezerves kopijas izveide nav izdevusies;

71.3. A klases informācijas sistēmai pēc rezerves kopijas izveides, ja netiek izmantotas citas tehniskās metodes kopijas integritātes pārbaudei, tiek izveidota rezerves kopijas satura kontrolsumma.

72. Uzglabājot A un B klases informācijas sistēmu rezerves kopijas, subjekts nodrošina, ka:

72.1. rezerves kopijām gan fiziski, gan elektroniskajā vidē var piekļūt subjekta pilnvarotās personas, kā arī par rezerves kopiju atbildīgā persona un kiberdrošības pārvaldnieks;

72.2. A klases informācijas sistēmai vismaz viena pilna rezerves kopija tiek uzglabāta no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), ģeogrāfiski attālinātā vietā, telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu;

72.3. A un B klases informācijas sistēmai pēc rezerves kopijas pārvietošanas citā datu nesējā tiek pārbaudīta rezerves kopijas integritāte (piemēram, pārbaudot tās satura kontrolsummu).

73. Subjekts iekšējos dokumentos nosaka rezerves kopiju pārvaldības prasības un kārtību, tostarp rezerves kopiju veidošanas, glabāšanas un dzēšanas kārtību un kārtību, kādā pārbauda, vai, izmantojot rezerves kopijas, iespējams atjaunot informācijas resursus un informācijas sistēmas darbību, atbildīgos par rezerves kopiju pārvaldību, kā arī rezerves kopiju aizsardzības prasības.

74. Subjekta kiberdrošības pārvaldnieks nodrošina rezerves kopiju pārvaldības un aizsardzības prasību ievērošanas kontroli, tostarp veic:

74.1. ikdienas rezerves kopiju sagatavošanas uzraudzību;

74.2. rezerves kopiju nolasīšanas pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskā resursa konfigurācijai. Pārbaudi veic ne retāk kā reizi sešos mēnešos A klases informācijas sistēmai un ne retāk kā reizi gadā B klases informācijas sistēmai vai pēc būtiskām kopējamās informācijas sistēmas vai rezerves kopiju veidošanas procedūras izmaiņām.

75. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:

75.1. nosaka par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu;

75.2. nekavējoties, bet ne vēlāk kā piecu darbdienu laikā pēc šo noteikumu 75.1. apakšpunktā minētās personas noteikšanas par to informē Satversmes aizsardzības biroju.

76. Subjekts organizē tā nodarbinātajiem un amatpersonām, kuri ir subjekta IKT resursu un informācijas sistēmu reģistrētie lietotāji, apmācību kiberdrošības jautājumos, izvēloties tādu apmācības veidu un saturu, kas atbilst nodarbināto un amatpersonu profesionālajai sagatavotībai, ņemot vērā viņu izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Apmācību kopums ietver:

76.1. subjekta nodarbināto un amatpersonu, kuri lieto IKT resursus un informācijas sistēmas, kiberdrošības instruktāžas, tai skaitā:

76.1.1. sākotnējās kiberdrošības instruktāžas – ne vēlāk kā viena mēneša laikā no fiziskās personas lietotāja konta reģistrācijas brīža;

76.1.2. kārtējās kiberdrošības instruktāžas – vismaz reizi kalendāra gadā;

76.1.3. ārkārtas kiberdrošības instruktāžas – pēc kiberdrošības pārvaldnieka ieskatiem (piemēram, identificējot jaunu risku, ievainojamību vai kiberapdraudējumu, paredzot normatīvo aktu prasību izmaiņas, plānojot vai veicot nozīmīgas izmaiņas IKT infrastruktūrā, programmatūrā vai biznesa procesos);

76.2. subjekta nodarbināto un amatpersonu IKT personāla apmācības kiberrisku pārvaldības un IKT darbības nepārtrauktības pasākumu efektīvai īstenošanai – vismaz reizi kalendāra gadā. Kiberdrošības pārvaldnieks ir tiesīgs organizēt papildu apmācības, piemēram, identificējot jaunu risku, ievainojamību vai kiberapdraudējumu.

77. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:

77.1. piešķir fiziskajai personai lietotāja kontu pēc šo noteikumu 76.1.1. apakšpunktā noteiktās sākotnējās kiberdrošības instruktāžas;

77.2. liedz fiziskajai personai piekļuvi tās lietotāja kontam, ja tai nav veikta šo noteikumu 76.1.2. apakšpunktā noteiktā ikgadējā kiberdrošības instruktāža;

77.3. organizē ārpakalpojuma sniedzēja darbiniekiem, kas ir iesaistīti līguma izpildē, kiberdrošības instruktāžas pirms līguma izpildes uzsākšanas.

78. Subjekts nodrošina, ka apmācību saturs tiek pārskatīts un nepieciešamības gadījumā aktualizēts vismaz reizi gadā vai mainoties apstākļiem (piemēram, izceļoties jauniem kiberapdraudējumiem, mainoties kiberriska līmenim, notiekot kiberincidentam).

79. Subjekts nodrošina, ka visiem tā nodarbinātajiem un amatpersonām, kas lieto subjekta  IKT resursus un informācijas sistēmas, ir pieejami aktuālie kiberdrošības instruktāžu materiāli.

80. Subjekts uzskaita organizētās kiberdrošības instruktāžas un novērtē nodarbināto un amatpersonu, kuri lieto subjekta IKT resursus un informācijas sistēmas, zināšanas kiberdrošības jautājumos un īstenoto kiberdrošības instruktāžu efektivitāti.

81. Subjekts lieto šifrēšanas risinājumus, ja tas ir tehniski iespējams, vismaz:

81.1. A un B konfidencialitātes klases informācijas resursu pārsūtīšanai un pārraidei publiskajos datu pārraides tīklos, kā arī ārējos un iekšējos IKT infrastruktūras bezvadu tīklos;

81.2. A konfidencialitātes klases informācijas resursu glabāšanai.

82. Subjekts var lietot šifrēšanas risinājumus B konfidencialitātes klases informācijas resursu glabāšanai, kā arī C konfidencialitātes klases informācijas resursu pārsūtīšanai, pārraidei vai glabāšanai.

83. Subjekts var nelietot šo noteikumu 81. punktā minētos šifrēšanas risinājumus, ja subjekts risku novērtējuma ietvaros ir noteicis risku novēršanas pasākumus gadījumā, ja šifrēšanas risinājumu izmantošana nav tehniski iespējama.

84. Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādā, vismaz reizi gadā pārskata un nepieciešamības gadījumā aktualizē vadlīnijas subjektiem šifrēšanas risinājumu izmantošanai. Vadlīnijas publicē Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja tīmekļvietnē.

85. Subjekts iekšējos normatīvajos aktos nosaka:

85.1. minimālo pieļaujamo šifrēšanas aizsardzības (noturības) līmeni, ņemot vērā informācijas resursu konfidencialitātes līmeni;

85.2. šifrēšanas atslēgu pārvaldības politiku, lai nodrošinātu, ka tikai autorizētas personas var atšifrēt datus;

85.3. prasības drošai šifrēšanas atslēgu izveidošanai, uzstādīšanai, glabāšanai, nomaiņai un likvidēšanai, tai skaitā fiziskās un digitālās drošības prasības.

86. Subjekts ārpakalpojuma līgumu par IKT resursa vai pakalpojuma iegādi nedrīkst slēgt:

86.1. ja ārpakalpojuma sniedzējs ir juridiska persona, kas reģistrēta Krievijas Federācijā, Baltkrievijas Republikā vai valstī, kuru Eiropas Parlaments vai Latvijas Republikas Saeima ir atzinusi par terorismu atbalstošu valsti;

86.2. ja ārpakalpojuma sniedzējs, tā dalībnieks, kapitāla daļu īpašnieks vai patiesais labuma guvējs (ja saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu patieso labuma guvēju ir iespējams noskaidrot) ir šo noteikumu 86.1. apakšpunktā minētās valsts pilsonis;

86.3. ja ārpakalpojuma sniedzēja juridiskās personas valde un padome sastāv no fiziskām personām, kuras ir šo noteikumu 86.1. apakšpunktā minētās valsts pilsoņi;

86.4. ja ārpakalpojuma sniegšanā ir iesaistīts šo noteikumu 86.1. apakšpunktā minētās valsts pilsonis;

86.5. ja iegādājamā IKT resursa ražotājs ir šo noteikumu 86.1. apakšpunktā minētajā valstī reģistrēta juridiska persona vai šīs valsts pilsonis.

87. Iegādājoties ārpakalpojumu, subjekts:

87.1. sniedz ārpakalpojuma aprakstu un nosaka precīzas prasības attiecībā uz ārpakalpojuma apjomu un kvalitāti;

87.2. sniedz norādes uz Nacionālās kiberdrošības likumā un šajos noteikumos noteiktajām prasībām;

87.3. paredz subjekta un ārpakalpojuma sniedzēja tiesības un pienākumus, tai skaitā:

87.3.1. subjekta tiesības pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti un tiesības saņemt pakalpojuma uzraudzībai nepieciešamo informāciju, tai skaitā žurnālfailus;

87.3.2. ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot subjektam par konstatēto kiberincidentu, ja tas ietekmē vai var ietekmēt subjekta darbību vai ārpakalpojuma sniedzēja sniegto pakalpojumu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības;

87.3.3. ārpakalpojuma sniedzēja pienākumu informēt subjektu par ārpakalpojuma sniedzēja ārpakalpojuma izpildei piesaistītu citu pakalpojuma sniedzēju (turpmāk – apakšuzņēmējs) un viņa atbilstību šajos noteikumos un ārpakalpojuma līgumā noteiktajām prasībām;

87.3.4. konfidencialitātes saistības;

87.4. nosaka tīklam vai informācijas sistēmai veicamās pārbaudes, tostarp Nacionālajā kiberdrošības likumā un šajos noteikumos noteiktās obligātās pārbaudes, kā arī pārbaudes, kuras subjekts ir noteicis atbilstoši kiberdrošības politikai un kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam;

87.5. nosaka piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu ārpakalpojuma sniedzējam pēc līguma termiņa beigām pēc subjekta izvēles dzēst ārpakalpojuma sniedzēja rīcībā nonākušos datus vai tos atdot subjektam, dzēšot visas esošās kopijas, izņemot gadījumu, ja līgums tiek pagarināts.

88. Slēdzot ārpakalpojuma līgumu par jaunas informācijas sistēmas izstrādi vai esošās informācijas sistēmas izmaiņām, subjekts:

88.1. nosaka informācijas sistēmas uzturēšanas un atbalsta nodrošināšanas (tai skaitā informācijas sistēmas drošības nepilnību novēršanas) laikposmu;

88.2. paredz iespēju šo noteikumu 88.1. apakšpunktā noteiktajā laikposmā turpināt informācijas sistēmas ekspluatēšanu ar informācijas sistēmas funkcionēšanai obligāti nepieciešamā programmnodrošinājuma jaunākām versijām;

88.3. paredz, ka A un B konfidencialitātes klases informācijas sistēmu:

88.3.1. testa vidē tiek izmantoti tikai sintētiski dati (no sākotnējiem datiem izveidoti mākslīgi dati, kas attēlo sākotnējo datu īpašības un struktūru un, veicot vienu un to pašu datu analīzi, sniedz līdzvērtīgus rezultātus);

88.3.2. ārpakalpojuma līguma izpilde netiek veikta attiecīgās informācijas sistēmas produkcijas vidē.

89. Pirms ārpakalpojuma iegādes subjekts apzina un novērtē ar ārpakalpojuma iegādi saistītos riskus, tostarp piegādes ķēdes drošības riskus, un nosaka ārpakalpojuma kvalitātes, drošības un pieejamības prasības minēto risku mazināšanai, kā arī ārpakalpojuma izbeigšanas stratēģiju.

90. Ārpakalpojuma sniedzējs nodrošina, ka apakšuzņēmējs atbilst visām prasībām, kas noteiktas ārpakalpojuma sniedzējam, un ka ievēro tās. Subjekts un ārpakalpojuma sniedzējs ir atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību un atbilstību šajā nodaļā noteiktajām prasībām.

91. Ārpakalpojuma sniedzējs ne vēlāk kā līdz līguma noslēgšanai par informācijas sistēmas izstrādi, esošās informācijas sistēmas izmaiņām, informācijas sistēmas uzturēšanu vai IKT resursu apkopi iesniedz subjektam ārpakalpojuma izpildē iesaistīto fizisko personu sarakstu ar skaidrojumu attiecīgās fiziskās personas iesaistei ārpakalpojuma līguma izpildē. Ārpakalpojuma sniedzējs informē subjektu par ārpakalpojuma izpildē iesaistīto fizisko personu izmaiņām līguma izpildes laikā.

92. Subjekts nodrošina, ka pirms ārpakalpojuma līguma slēgšanas tas tiek saskaņots ar subjekta kiberdrošības pārvaldnieku. Subjekts nosaka atbildīgo personu par līguma izpildes uzraudzību kiberdrošības jomā.

93. IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ārpakalpojuma līgumu par pakalpojuma sniegšanu A klases informācijas sistēmai atļauts slēgt tikai pēc Satversmes aizsardzības biroja atzinuma saņemšanas, izņemot gadījumu, ja ārpakalpojuma sniedzēja kapitāla daļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona. Satversmes aizsardzības birojs atzinumu sniedz triju mēnešu laikā, nepieciešamības gadījumā atzinuma sniegšanu var pagarināt uz vēl vienu mēnesi.

94. IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ārpakalpojuma līgumu par A klases informācijas sistēmas tehnisko resursu iegādi atļauts slēgt, ja ārpakalpojuma sniedzējs un tehniskā resursa ražotājs ir:

94.1. juridiska persona, kura atbilst šādām prasībām:

94.1.1. tā ir reģistrēta NATO, Eiropas Savienības vai EBTA dalībvalstī vai NATO Indijas un Klusā okeāna reģiona sadarbības valstī (turpmāk – IP4 valsts);

94.1.2. tās valde un padome sastāv no fiziskām personām, kuras ir NATO, Eiropas Savienības vai EBTA dalībvalstu vai IP4 valstu pilsoņi;

94.1.3. tās patiesais labuma guvējs ir NATO, Eiropas Savienības vai EBTA dalībvalsts vai IP4 valsts pilsonis (ja saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu patieso labuma guvēju ir iespējams noskaidrot);

94.1.4. tās dalībnieki un kapitāla daļu īpašnieki (turētāji) ir juridiskas personas, kuras ir reģistrētas NATO, Eiropas Savienības, EBTA dalībvalstī vai IP4 valstī, vai fiziskas personas, kuras ir NATO, Eiropas Savienības vai EBTA dalībvalsts vai IP4 valsts pilsoņi;

94.2. fiziska persona, kura ir NATO, Eiropas Savienības vai EBTA dalībvalsts vai IP4 valsts pilsonis.

95. Šo noteikumu 94. punktā minētās prasības nepiemēro:

95.1. ja ārpakalpojumu sniedzēja kapitāla daļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona;

95.2. ja ir saņemts Satversmes aizsardzības biroja atzinums, ka līgumu var slēgt izņēmuma kārtā.

96. Lai saņemtu šo noteikumu 93. punktā vai 95.2. apakšpunktā minēto atzinumu, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs Satversmes aizsardzības birojam iesniedz:

96.1. elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu atzinuma pieprasījuma veidlapu (8. pielikums);

96.2. juridiskās personas un ārpakalpojumu izpildē iesaistīto apakšuzņēmēju (ja attiecināms) piekrišanu pārbaudes veikšanai, kā arī to ārpakalpojuma izpildē iesaistīto fizisko personu piekrišanu pārbaudes veikšanai vai fiziskas personas kā ārpakalpojuma sniedzēja piekrišanu pārbaudes veikšanai.

97. Satversmes aizsardzības birojs, sagatavojot atzinumu, var ņemt vērā šādu informāciju par ārpakalpojuma sniedzēju, apakšuzņēmēju un ar tiem saistītajām personām:

97.1. par juridisku personu:

97.1.1. juridiskās personas reģistrācijas valsti;

97.1.2. juridiskās personas valdes locekļu, dalībnieku, padomes locekļu, kapitāla daļu īpašnieku (turētāju), patieso labuma guvēju un netiešās ietekmes guvēju izcelsmes valsti;

97.1.3. informāciju par juridiskās personas darbības laikā konstatētajiem un ar to saistītajiem kiberincidentiem;

97.1.4. informāciju par juridiskās personas, tās valdes locekļu, dalībnieku, kapitāla daļu īpašnieku (turētāju), patieso labuma guvēju un netiešās ietekmes guvēju komercdarbības veikšanu Krievijas Federācijā vai Baltkrievijas Republikā vai dalību biedrībās, nodibinājumos vai citās juridiskās personās, kuru darbība ir saistīta ar Krievijas Federāciju vai Baltkrievijas Republiku;

97.1.5. informāciju, kas liecina, ka juridiskā persona varētu būt pakļauta tādai ārvalstu, organizāciju vai citu personu ietekmei, kas var radīt apdraudējumu nacionālās drošības interesēm;

97.1.6. citus Satversmes aizsardzības biroja konstatētus drošības riskus;

97.2. par fizisku personu:

97.2.1. pilsonību;

97.2.2. sodāmību;

97.2.3. piederību pie aizliegtām organizācijām vai atbalsta sniegšanu tām;

97.2.4. informāciju, kas liecina, ka fiziskā persona varētu būt pakļauta tādai ārvalstu, organizāciju vai citu personu ietekmei, kas var radīt apdraudējumu nacionālās drošības interesēm;

97.2.5. informāciju par fiziskās personas veikto saimniecisko darbību Krievijas Federācijā vai Baltkrievijas Republikā vai dalību biedrībās, nodibinājumos vai citās juridiskās personās, kuru darbība ir saistīta ar Krievijas Federāciju vai Baltkrievijas Republiku;

97.2.6. diagnosticētus psihiskus traucējumus vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarību, kas dod pamatu apšaubīt personas uzticamību;

97.2.7. citus Satversmes aizsardzības biroja konstatētus drošības riskus.

98. Šo noteikumu 93. punktā un 95.2. apakšpunktā minētā atzinuma saņemšana ir attiecināma arī uz ārpakalpojuma sniedzēja ārpakalpojuma līguma izpildē piesaistītajiem apakšuzņēmējiem.

99. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, slēdzot vispārīgo vienošanos, ietver atsauci attiecīgi uz šo noteikumu 93. vai 94. punktā minētajiem ierobežojumiem, kas piemērojami, vispārīgās vienošanās ietvaros slēdzot ārpakalpojuma līgumus.

100. IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ir pienākums informēt Satversmes aizsardzības biroju:

100.1. par izmaiņām šo noteikumu 93. punktā minētā ārpakalpojuma līguma ārpakalpojuma sniedzēja vai apakšuzņēmēja valdes un padomes, dalībnieku un kapitāla daļu īpašnieku (turētāju) sastāvā un patiesā labuma guvēja un netiešās ietekmes guvēja izmaiņām. Minētā informācija iesniedzama ne vēlāk kā 10 darbdienu laikā no tās iegūšanas brīža;

100.2. par ārpakalpojuma izpildē iesaistīto fizisko personu izmaiņām šo noteikumu 93. punktā noteiktā ārpakalpojuma līguma izpildes laikā, pirms attiecīgo fizisko personu iesaistes ārpakalpojuma līguma izpildē iesniedzot šo noteikumu 96. punktā minēto informāciju.

101. Būtisko pakalpojumu sniedzējam, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, ārpakalpojuma līgumu A klases informācijas sistēmai atļauts slēgt: 

101.1. ja ārpakalpojuma sniedzējs tehniskā resursa iegādei un tehniskā resursa ražotājs atbilst šo noteikumu 94. punktā noteiktajām prasībām;

101.2. ja ārpakalpojuma sniedzējs pakalpojuma sniegšanai atbilst šo noteikumu 94. punktā minētajām prasībām un ārpakalpojuma līguma izpildē iesaistītā fiziskā persona ir NATO, Eiropas Savienības, EBTA dalībvalsts vai IP4 valsts pilsonis.

102. Būtisko pakalpojumu sniedzējs, kurš ir publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs, slēdzot ārpakalpojuma līgumu par publiskā elektronisko sakaru tīkla kritiskajās daļās izmantojamo tehnisko resursu vai pakalpojumu iegādi, piemēro šo noteikumu 101. punktā noteiktās prasības.

103. Šo noteikumu 101. punktu nepiemēro:

103.1. ja ārpakalpojuma sniedzēja kapitāla daļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona;

103.2. ja ir saņemts Satversmes aizsardzības biroja atzinums, ka tā rīcībā nav negatīvas informācijas par ārpakalpojuma sniedzēju vai tehniskā resursa ražotāju.

104. Lai pieprasītu šo noteikumu 103.2. apakšpunktā minēto atzinumu, būtisko pakalpojumu sniedzējs nosūta uz Satversmes aizsardzības biroja oficiālo elektronisko adresi:

104.1. elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu atzinuma pieprasījuma veidlapu (8. pielikums);

104.2. juridiskās personas un ārpakalpojumu izpildē iesaistīto apakšuzņēmēju (ja attiecināms) piekrišanu pārbaudes veikšanai, kā arī to ārpakalpojuma izpildē iesaistīto fizisko personu pārbaudes veikšanai vai fiziskās personas kā ārpakalpojuma sniedzēja piekrišanu pārbaudes veikšanai.

105. Šo noteikumu 103.2. apakšpunktā minētā atzinuma saņemšana ir attiecināma arī uz ārpakalpojuma līguma izpildē iesaistītajiem apakšuzņēmējiem.

106. Būtisko pakalpojumu sniedzējs, slēdzot vispārīgo vienošanos, ietver atsauci uz šo noteikumu 101. punktā minētajiem ierobežojumiem, kas piemērojami, vienošanās ietvaros slēdzot ārpakalpojuma līgumus.

107. Būtisko pakalpojumu sniedzējam ir pienākums informēt Satversmes aizsardzības biroju:

107.1. par izmaiņām šo noteikumu 101.2. apakšpunktā noteiktajā ārpakalpojuma sniedzējā vai apakšuzņēmējā, ja tās neatbilst šo noteikumu 101.2. apakšpunktā minētajām prasībām;

107.2. par ārpakalpojuma izpildē iesaistīto fizisko personu izmaiņām šo noteikumu 101.2. apakšpunktā noteiktā pakalpojuma sniegšanas laikā, pirms attiecīgo fizisko personu iesaistes ārpakalpojuma līguma izpildē iesniedzot šo noteikumu 104. punktā minēto informāciju.

108. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs savā darbībā izmanto IKT, kas atbilst šajos noteikumos noteiktajām prasībām, kā arī ņem vērā Satversmes aizsardzības biroja norādījumus kiberdrošības jomā, tai skaitā par izmantojamām IKT un veicamajiem kiberdrošības pasākumiem.

109. Satversmes aizsardzības birojs:

109.1. apzina iespējamo A, B un C kategorijas IKT kritisko infrastruktūru un iespējamo Eiropas mērogā īpaši nozīmīgu kritisko infrastruktūru;

109.2. sniedz priekšlikumus par A, B un C kategorijas IKT kritiskās infrastruktūras iekļaušanu un izslēgšanu no kritiskās infrastruktūras kopuma;

109.3. informē A, B vai C kategorijas IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju:

109.3.1. par IKT kritiskās infrastruktūras iekļaušanu kritiskās infrastruktūras kopumā;

109.3.2. par IKT kritiskās infrastruktūras noteikšanu par Eiropas mērogā īpaši nozīmīgu kritisko infrastruktūru;

109.3.3. par IKT kritiskās infrastruktūras izslēgšanu no kritiskās infrastruktūras kopuma.

110. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, izbeidzot darba tiesiskās attiecības ar personu, kurai ir izveidots administratora lietotāja konts, bloķē konkrēto administratora lietotāja kontu brīdī, kad personai tiek paziņots par darba tiesisko attiecību izbeigšanu.

111. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:

111.1. izstrādā vienu visaptverošu darbības nepārtrauktības plānu valsts apdraudējuma gadījumam atbilstoši šo noteikumu 9. pielikumam. Darbības nepārtrauktības plāns valsts apdraudējuma gadījumam pirms tā pirmreizējas apstiprināšanas, kā arī pirms izmaiņu apstiprināšanas tiek saskaņots ar Satversmes aizsardzības biroju;

111.2. nosaka par darbības nepārtrauktības plānošanu valsts apdraudējuma gadījumam atbildīgo personu un nosaka tās uzdevumus:

111.2.1. sadarbībā ar nozares ministriju un Aizsardzības ministriju sagatavo darbības nepārtrauktības plānu valsts apdraudējuma gadījumam;

111.2.2. sadarbībā ar nozares ministriju un Aizsardzības ministriju nodrošina darbības nepārtrauktības plāna valsts apdraudējuma gadījumam regulāru aktualizēšanu;

111.3. nekavējoties, bet ne vēlāk kā piecu darbdienu laikā pēc šo noteikumu 111.2. apakšpunktā minētās personas noteikšanas par to informē Satversmes aizsardzības biroju.

112. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs darbības nepārtrauktības plānu valsts apdraudējuma gadījumam pēc tā apstiprināšanas vai aktualizēšanas nekavējoties, bet ne vēlāk kā viena mēneša laikā nosūta Satversmes aizsardzības birojam.

113. Ja kritiskās infrastruktūras kopumā iekļauj IKT kritisko infrastruktūru, kuras īpašniekam vai tiesiskajam valdītājam civilās aizsardzības plānos, valsts apdraudējuma pārvarēšanas plānos vai katastrofu medicīnas plānos ir noteikta darbības nepārtrauktība vai kurai ir ārējā audita sertificēta darbības nepārtrauktības nodrošināšanas sistēma, jauns darbības nepārtrauktības plāns valsts apdraudējuma gadījumam netiek izstrādāts, bet IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs norīko par darbības nepārtrauktības plānošanu valsts apdraudējuma gadījumam atbildīgo personu sadarbībā ar nozares ministriju un Aizsardzības ministriju, ja nepieciešams, papildināt esošos darbības nepārtrauktības plānus.

114. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs ne retāk kā reizi četros gados vai, ja ir būtiskas izmaiņas, ne vēlāk kā gada laikā iesniedz Aizsardzības ministrijā, nozares ministrijā un Satversmes aizsardzības birojā pašvērtējumu par darbības nepārtrauktības plāna valsts apdraudējuma gadījumam aktualizēšanu. Nozares ministrija sadarbībā ar Aizsardzības ministriju var jebkurā laikā izlases veidā izvērtēt darbības nepārtrauktības plānu valsts apdraudējuma gadījumam un, ja nepieciešams, ieteikt tajā veicamās izmaiņas.

115. Kiberincidentu novēršanas institūcija:

115.1. nodrošina savu saziņas kanālu (oficiālā elektroniskā adrese, e-pasts, telefons un citi atbilstoši saziņas kanāli) augstu pieejamības līmeni;

115.2. nodrošina piekļuvei savām telpām atbilstošu apmeklētāju kontroli un to, ka ēka, kurā tā atrodas, tiek apsargāta;

115.3. nodrošina, ka tās informācijas sistēmu darbības nodrošināšanai paredzētā aparatūra ir izvietota telpās ar dublētiem elektroenerģijas un interneta pieslēgumiem;

115.4. nodrošina, ka tā ir aprīkota ar piemērotu sistēmu atbalsta pieprasījumu pārvaldībai un novirzīšanai, lai atvieglotu efektīvu un lietpratīgu pieprasījumu apstrādi;

115.5. nodrošina savu darbību konfidencialitāti un uzticamību;

115.6. nodrošina, ka tai ir pietiekams atbilstoši apmācītu darbinieku skaits, lai nodrošinātu savu uzdevumu izpildi un darbības nepārtrauktību;

115.7. nodrošina rezerves informācijas sistēmas un rezerves darba telpas vai iespējas pāriet uz attālinātu darbu, lai nodrošinātu kiberincidentu novēršanas institūcijas darbības nepārtrauktību;

115.8. nodrošina, ka tās rīcībā ir piemērota, droša un noturīga saziņas un IKT infrastruktūra, lai nodrošinātu informācijas apmaiņu ar subjektiem un citām personām, tai skaitā lai nodrošinātu dalību starptautiskos sadarbības tīklos, veicinot drošu kopīgošanas rīku ieviešanu;

115.9. sadarbojoties ar citām privāto un publisko tiesību juridiskajām personām, tiešās un pastarpinātās pārvaldes iestādēm, atvasinātām publiskajām personām un citām valsts institūcijām, veicina vienotas vai standartizētas prakses, klasifikācijas shēmas un taksonomiju pieņemšanu un izmantošanu attiecībā uz incidentu risināšanas procedūrām, krīžu pārvaldību un koordinētu ievainojamību atklāšanu.

116. Kiberincidentu novēršanas institūcijas vadītājs izvērtē tās atbilstību šo noteikumu 115. punktā minētajām prasībām vismaz reizi piecos gados un par to informē Nacionālo kiberdrošības centru.

117. Konstatējot kiberincidentu, subjekts nekavējoties novērtē kiberincidenta nozīmīgumu.

118. Kiberincidents ir uzskatāms par nozīmīgu, ja:

118.1. tas atbilst būtiska kiberincidenta definīcijai regulas 2024/2690 3. panta 1. punkta izpratnē;

118.2. tas atbilst vismaz vienai no šādām pazīmēm:

118.2.1. kiberincidents apdraud sabiedrības veselību vai drošību, valsts drošību, ekonomisko drošību, valsts reputāciju, ārējās attiecības, pilsonisko brīvību vai pamattiesības;

118.2.2. kiberincidents rada mantiskus zaudējumus subjektam, citiem subjektiem, Latvijas Republikai, pakalpojumu saņēmējiem vai citām personām vismaz 500 000 euro vai 5 % apmērā no subjekta pēdējā finanšu gada apgrozījuma (atkarībā no tā, kura summa ir mazāka);

118.2.3. kiberincidents rada vai var radīt kaitējumu fiziskās personas dzīvībai vai veselībai;

118.2.4. kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;

118.2.5. kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;

118.2.6. kiberincidents ir pārrobežu kiberincidents Nacionālā kiberdrošības likuma 1. panta 21. punkta izpratnē.

119. Par nozīmīgu kiberincidentu subjekts Nacionālās kiberdrošības likuma 34. panta otrajā, trešajā, piektajā un sestajā daļā noteiktajos termiņos ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās elektroniskā pasta adresi elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu:

119.1. agrīnā brīdinājuma veidlapu (10. pielikums);

119.2. sākotnējā ziņojuma veidlapu (11. pielikums);

119.3. progresa ziņojuma veidlapu (12. pielikums), ja attiecināms;

119.4. starpposma ziņojuma veidlapu (13. pielikums), ja attiecināms;

119.5. galaziņojuma veidlapu (14. pielikums).

120. Par kiberincidentu, kurš nav uzskatāms par nozīmīgu kiberincidentu, subjekts ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās elektroniskā pasta adresi kiberincidenta aprakstu brīvā formā.

121. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs un būtiskā pakalpojuma sniedzējs  šo noteikumu 119. un 120. punktā minētos ziņojumus nosūta arī Satversmes aizsardzības birojam.

122. Lai subjekts varētu veikt atbilstības auditu, kas noteikts Nacionālās kiberdrošības likumā, Digitālās drošības uzraudzības komiteja kiberdrošības auditoru sarakstā (turpmāk – auditoru saraksts) reģistrē auditoru, kurš atbilst šādām prasībām:

122.1. auditors ir juridiska vai fiziska persona, kura atbilst šo noteikumu 94. punktā minētajām prasībām;

122.2. auditoram vai tā nodarbinātajam personālam ir nepieciešamās zināšanas kiberdrošības audita jomā, ko apliecina starptautiski atzīti sertifikāti (piemēram, CISA, ISO/IEC 27001 Lead Auditor, CISSP);

122.3. auditoram ir tehniskas iespējas noteikt subjekta tīklu, informācijas sistēmu, IKT resursu un procedūru drošības atbilstību normatīvo aktu prasībām kiberdrošības jomā.

123. Papildus šo noteikumu 122. punktā noteiktajām prasībām auditoram, kurš ir tiesīgs veikt mākoņdatošanas pakalpojumu vai datu centru pakalpojumu sniedzēja atbilstības auditu, piemēro šādas prasības:

123.1. auditoram vai tā nodarbinātajam personālam ir nepieciešamās zināšanas datu centru kiberdrošības audita jomā, ko apliecina starptautiski atzīti sertifikāti (piemēram, CDCAP) un vismaz divu gadu darba pieredze kiberdrošības auditu jomā;

123.2. auditoram ir tehniskas iespējas veikt datu centra auditu pēc starptautisko standartu prasībām datu centru kiberdrošības jomā.

124. Lai auditors tiktu reģistrēts auditoru sarakstā, tas iesniedz Digitālās drošības uzraudzības komitejai:

124.1. aizpildītu un parakstītu kiberdrošības auditora reģistrācijas pieteikuma veidlapu (15. pielikums);

124.2. šo noteikumu 122.2. apakšpunktā minēto sertifikātu kopijas;

124.3. ja attiecināms, šo noteikumu 123.1. apakšpunktā minēto sertifikātu kopijas.

125. Ievērojot šo noteikumu 123. punktu, Digitālās drošības uzraudzības komiteja auditoru sarakstā izdara atzīmi par to, vai konkrētais auditoru sarakstā reģistrētais auditors ir tiesīgs veikt mākoņdatošanas pakalpojumu un datu centru pakalpojumu sniedzēju atbilstības auditu.

126. Auditoru sarakstā reģistrētajam auditoram ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā ziņot Digitālās drošības uzraudzības komitejai par jebkādām izmaiņām auditora reģistrācijas pieteikuma anketā norādītajos datos. Ja nepieciešams, Digitālās drošības uzraudzības komiteja var precizēt auditoru sarakstā iekļautās ziņas par auditoru, ja minētās izmaiņas pēc būtības neietekmē auditora atbilstību šo noteikumu 122. punktā minētajām prasībām.

127. Digitālās drošības uzraudzības komiteja izslēdz auditoru no auditoru saraksta, ja:

127.1. saņemts auditora iesniegums par izslēgšanu no saraksta;

127.2. konstatēts, ka auditors neatbilst Nacionālajā kiberdrošības likumā vai šajos noteikumos noteiktajām prasībām;

127.3. auditors Digitālās drošības uzraudzības komitejai sniedzis nepatiesas ziņas;

127.4. pastāv objektīvas šaubas par auditora zināšanām kiberdrošības audita jomā vai spēju nodrošināt atbilstības audita veikšanu (piemēram, ja pēcpārbaudes ietvaros tiek atklāts, ka auditors ir nekvalitatīvi veicis savus pienākumus);

127.5. publiskos reģistros konstatēts, ka auditors – juridiskā persona – ir likvidēts;

127.6. publiskos reģistros konstatēts, ka auditors – fiziskā persona – ir miris.

128. Digitālās drošības uzraudzības komiteja auditoru sarakstu pārskata ne retāk kā reizi kalendāra gadā. Auditoru sarakstu publicē Nacionālā kiberdrošības centra tīmekļvietnē.

129. Slēdzot ārpakalpojuma līgumu par atbilstības auditu, subjekts paredz, ka:

129.1. auditoram ir nepieciešamās zināšanas, prasmes un pieredze, lai sniegtu neatkarīgu, objektīvu un vispusīgu vērtējumu;

129.2. auditors apstrādā audita ietvaros iegūto informāciju vienīgi NATO, Eiropas Savienības un EBTA dalībvalstu teritorijā.

129.3. auditors pēdējo triju gadu laikā nav piedalījies auditējamās informācijas sistēmas vai tās daļas izstrādē, uzturēšanā vai testēšanā;

129.4. auditors atbilst Nacionālās kiberdrošības likuma 44. panta otrās daļas prasībām, šo noteikumu 122. punkta prasībām un nepastāv citi apstākļi, kuru dēļ nav nodrošināma audita objektivitāte un neatkarība.

130. IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam šo noteikumu 129. punktā noteikto ārpakalpojuma līgumu atļauts slēgt tikai pēc Satversmes aizsardzības biroja atzinuma saņemšanas atbilstoši šo noteikumu 93. punktam.

131. Ielaušanās testus veic šādos gadījumos:

131.1. A klases informācijas sistēmai:

131.1.1. pirms informācijas sistēmas nodošanas ekspluatācijā;

131.1.2. vismaz reizi trijos gados informācijas sistēmas ekspluatācijas laikā;

131.2. jebkurai informācijas sistēmai – pēc subjekta iniciatīvas;

131.3. jebkurai informācijas sistēmai – pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja pieprasījuma.

132. Šo noteikumu 131.1. un 131.2. apakšpunktā minētos ielaušanās testus var veikt:

132.1. subjekta nodarbinātais personāls, kurš pēdējo triju gadu laikā nav bijis iesaistīts testējamās informācijas sistēmas izstrādē vai uzturēšanā;

132.2. svarīgo pakalpojumu sniedzēja vai būtisko pakalpojumu sniedzēja, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, informācijas sistēmai cita persona, kura:

132.2.1. ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju ielaušanās testu jomā (piemēram, CEH, OSCP), vai kurai ir vismaz divu gadu darba pieredze ielaušanās testu veikšanā, kas iegūta pēdējo piecu gadu laikā;

132.2.2. pēdējo triju gadu laikā nav bijusi iesaistīta testējamās informācijas sistēmas izstrādē vai uzturēšanā;

132.3. IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja informācijas sistēmai cita persona, par kuru ir saņemts Satversmes aizsardzības biroja atzinums šo noteikumu 98. punktā noteiktajā kārtībā un kura atbilst šo noteikumu 132.2.1. un 132.2.2. apakšpunktā noteiktajām prasībām.

133. Šo noteikumu 131.3. apakšpunktā minētos ielaušanās testus var veikt:

133.1. svarīgo pakalpojumu sniedzēja vai būtisko pakalpojumu sniedzēja, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, informācijas sistēmai Nacionālā kiberdrošības centra vai kompetentās kiberincidentu novēršanas institūcijas amatpersonas, darbinieki vai persona, kas atbilst šo noteikumu 132.2. apakšpunktā noteiktajām prasībām;

133.2. IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja informācijas sistēmai:

133.2.1. kompetentās kiberincidentu novēršanas institūcijas darbinieki pēc Satversmes aizsardzības biroja pieprasījuma;

133.2.2. cita persona, par kuru ir saņemts Satversmes aizsardzības biroja atzinums atbilstoši šo noteikumu 93. punktam un kura atbilst šo noteikumu 132.2. apakšpunktā noteiktajām prasībām.

134. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nekavējoties, bet ne vēlāk kā 10 darbdienu laikā informē Satversmes aizsardzības biroju par ielaušanās testa rezultātiem.

135. Subjekta IKT infrastruktūras drošības skenēšanu (turpmāk – drošības skenēšana) veic:

135.1. pēc Nacionālā kiberdrošības centra pieprasījuma attiecībā uz svarīgo vai būtisko pakalpojumu sniedzēju, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs;

135.2. pēc Satversmes aizsardzības biroja pieprasījuma attiecībā uz IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju;

135.3. pēc subjekta pieprasījuma.

136. Drošības skenēšanu IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja IKT infrastruktūrā var veikt:

136.1. Satversmes aizsardzības biroja amatpersonas;

136.2. kompetentā kiberincidentu novēršanas institūcija pēc Satversmes aizsardzības biroja pieprasījuma;

136.3. cita persona, par kuru ir saņemts Satversmes aizsardzības biroja atzinums atbilstoši šo noteikumu 93. punktam.

137. Drošības skenēšanu veic visā IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja IKT infrastruktūrā, ja Satversmes aizsardzības biroja pieprasījumā nav noteikts citādi.

138. Ja drošības skenēšanu IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja IKT infrastruktūrā veic saskaņā ar šo noteikumu 136.2. un 136.3. apakšpunktu:

138.1. drošības skenēšanu veic no vides, kura nav kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja īpašumā vai valdījumā, lietojot informāciju, kura ir šīs kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja rīcībā;

138.2. drošības skenēšanas laikā iegūst tikai to informāciju un tādā apjomā, kas ir nepieciešama pārvaldāmo risku identificēšanai;

138.3. drošības skenēšanas veicējs ne vēlāk kā 48 stundas pirms skenēšanas uzsākšanas rakstiski informē par skenēšanas laiku un ilgumu kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju, kā arī Satversmes aizsardzības biroju;

138.4. drošības skenēšana tiek veikta tā, lai tā neradītu kaitējumu IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja IKT infrastruktūrai;

138.5. detalizētus drošības skenēšanas rezultātus drošības skenēšanas veicējs nekavējoties nosūta attiecīgajam kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam un Satversmes aizsardzības birojam, sniedzot arī attiecīgus ieteikumus;

138.6. drošības skenēšanas veicējs apkopo informāciju par katru veikto drošības skenēšanu, norādot tās veicējus, skenēšanas laiku, rezultātu kopsavilkumu un sniegtos ieteikumus. Drošības skenēšanas veicējs nodrošina, ka visa ar drošības skenēšanu saistītā informācija ir pieejama tikai drošības skenēšanas veicējam, konkrētajam IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam un Satversmes aizsardzības birojam.

139. Vērtējot šo noteikumu 131.3. apakšpunktā minētā ielaušanās testa vai šo noteikumu 135.1. vai 135.2. apakšpunktā minētās drošības skenēšanas nepieciešamību, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs ņem vērā vismaz vienu no šādiem apsvērumiem:

139.1. subjekta veidu un darbības jomu;

139.2. subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu klasi;

139.3. subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;

139.4. pēdējo triju gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;

139.5. uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošību, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;

139.6. no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.

140. Drošības skenēšanu svarīgo vai būtisko pakalpojumu sniedzēja, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, IKT infrastruktūrā var veikt Nacionālā kiberdrošības centra, kompetentās kiberincidenta novēršanas institūcijas darbinieks vai cita persona, kura atbilst šo noteikumu 94. punkta prasībām.

141. Subjekts veic pašvērtējumu par savu atbilstību Nacionālās kiberdrošības likumā un šajos noteikumos ietvertajām prasībām:

141.1. reizi gadā – subjekts, kurš ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs vai kura īpašumā vai valdījumā ir vismaz viena A klases informācijas sistēma;

141.2. reizi trijos gados – subjekts, kura īpašumā un valdījumā nav nevienas A klases informācijas sistēmas, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk.

142. Veicot šo noteikumu 141. punktā minēto pašvērtējumu, līdz attiecīgā kalendāra gada 1. oktobrim pašvērtējuma ziņojuma veidlapu (16. pielikums) iesniedz:

142.1. būtisko vai svarīgo pakalpojumu sniedzējs, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, – Nacionālajam kiberdrošības centram;

142.2. IKT kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji – Satversmes aizsardzības birojam.

143. Ja atbilstība subjekta statusam ir iestājusies pēc 1. jūlija, subjekts pirmreizējo pašvērtējuma ziņojumu iesniedz ne vēlāk kā triju mēnešu laikā no atbilstības brīža.

144. Ja subjekts, kurš ir tiešās pārvaldes iestāde, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs atbilstoši Nacionālās kiberdrošības likuma 41. pantā noteiktajam uzraudzības dalījumam par šo neatbilstību ziņo attiecīgajam Ministru kabineta loceklim. Atbildīgais Ministru kabineta loceklis par neatbilstības novēršanas gaitu ziņo Ministru kabinetam.

145. Ja subjekts, kurš ir pašvaldība vai pašvaldības dibināta pastarpinātās pārvaldes iestāde, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs atbilstoši Nacionālās kiberdrošības likuma 41. pantā noteiktajam uzraudzības dalījumam par šo neatbilstību ziņo attiecīgās pašvaldības domes priekšsēdētājam, kā arī informē viedās administrācijas un reģionālās attīstības ministru.

146. Ja subjekts, kurš ir šo noteikumu 144. un 145. punktā neminēta atvasināta publiska persona, pastarpinātās pārvaldes iestāde vai cita valsts institūcija, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs atbilstoši Nacionālās kiberdrošības likuma 41. pantā noteiktajam uzraudzības dalījumam par konstatēto neatbilstību ziņo Ministru kabinetam.

147. Nacionālās kiberdrošības likuma 34. panta desmitajā daļā minēto pieprasījumu slēgt lietotājam piekļuvi elektronisko sakaru tīklam (turpmāk – piekļuves slēgšanas pieprasījums) Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs paziņo elektronisko sakaru komersantam, kura pakalpojumus lietotājs izmanto, un lietotājam, kā arī par piekļuves slēgšanas pieprasījuma nosūtīšanas faktu informē Valsts policiju.

148. Pēc piekļuves slēgšanas pieprasījuma saņemšanas elektronisko sakaru komersants nekavējoties atslēdz lietotāju no elektronisko sakaru tīkla un veic darbības, ko noteicis Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs (piemēram, novirza lietotāja IP adreses vai domēna vārda pieprasījumus uz piekļuves slēgšanas pieprasījumā norādīto vietni).

149. Lietotāju atslēdz no elektronisko sakaru tīkla tā, lai šī darbība skartu pēc iespējas mazāku skaitu citu lietotāju.

150. Pēc piekļuves slēgšanas pieprasījumā norādītā laikposma beigām elektronisko sakaru komersants atjauno lietotājam piekļuvi elektronisko sakaru tīklam, ja vien nepastāv objektīvi iemesli piekļuves neatjaunošanai (piemēram, līgumisko attiecību izbeigšanās starp elektronisko sakaru komersantu un lietotāju).

151. Subjekts, kas iegūst A, B vai C kategorijas IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja statusu pēc šo noteikumu spēkā stāšanās, nodrošina atbilstību šajos noteikumos noteiktajām prasībām 12 mēnešu laikā no šo noteikumu 109.3. apakšpunktā minētās informācijas saņemšanas brīža.

152. Sešu mēnešu laikā no šo noteikumu spēkā stāšanās brīža par noslēgtiem ārpakalpojumu līgumiem un iegādātiem IKT infrastruktūrā izmantotajiem tehniskajiem resursiem, kas neatbilst šo noteikumu prasībām:

152.1. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs informē Satversmes aizsardzības biroju, sniedzot konstatētās neatbilstības aprakstu;

152.2. būtisko pakalpojumu sniedzējs, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, informē Satversmes aizsardzības biroju un Nacionālo kiberdrošības centru, sniedzot konstatētās neatbilstības aprakstu;

152.3. svarīgo pakalpojumu sniedzējs, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, informē Nacionālo kiberdrošības centru, sniedzot konstatētās neatbilstības aprakstu.

153. Ārpakalpojumu līgumi, kas noslēgti pirms šo noteikumu stāšanās spēkā un neatbilst šajos noteikumos noteiktajām ārpakalpojumu prasībām, var palikt spēkā līdz pilnīgai saistību izpildei, bet ne ilgāk kā piecus gadus no konkrētā ārpakalpojuma līguma noslēgšanas dienas.

154. Šajos noteikumos noteiktās ārpakalpojumu prasības var nepiemērot publiskajiem iepirkumiem, kuri ir uzsākti pirms šo noteikumu spēkā stāšanās.

155. Publiskajiem elektronisko sakaru tīkliem, kuri līdz šo noteikumu spēkā stāšanās dienai ir nodoti ekspluatācijā vai šo noteikumu spēkā stāšanās dienā atrodas projektēšanas, būvniecības, ierīkošanas vai pārbūves stadijā, šo noteikumu 102. punktā minētās prasības piemēro no 2030. gada 1. janvāra.

156. Kiberincidentu novēršanas institūcijas vadītājs pirmreizēji par kiberincidentu novēršanas institūcijas atbilstību šo noteikumu 115. punktā noteiktajām prasībām informē Nacionālo kiberdrošības centru līdz 2025. gada 31. decembrim.

157. Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju līdz 2025. gada 1. septembrim izstrādā šo noteikumu 38. un 88. punktā minētās vadlīnijas.

158. Atzīt par spēku zaudējušiem Ministru kabineta 2023. gada 28. februāra noteikumus Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības" (Latvijas Vēstnesis, 2023, 46. nr.).

Noteikumos iekļautas tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva).