Nacionālās kiberdrošības likums

2024. gada 1. septembrī stājas spēkā Nacionālās kiberdrošības likums (NKDL). Šī likuma mērķis ir stiprināt kiberdrošību Latvijā, kā arī ieviest pārskatītās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas (NIS2) prasības vienādi augsta kiberdrošības līmeņa panākšanai visā Eiropas Savienībā.

10 soļi Nacionālās kiberdrošības likuma ieviešanai savā organizācijā

1. solis – Izvērtē savu atbilstību

Katrai organizācijai, kura darbojas vai sniedz pakalpojumus Latvijā, ir jāizvērtē, vai uz to attiecas Nacionālās kiberdrošības likuma prasības. Lai saprastu, vai organizācija ir likuma subjekts – svarīgo pakalpojumu sniedzējs, būtisko pakalpojumu sniedzējs vai informācijas un komunikācijas tehnoloģiju (IKT) kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs – ir jāņem vērā organizācijas juridiskais statuss, reģistrācijas vieta, lielums, kā arī darbības jomas un sniegto pakalpojumu nozīmīgums.

Interaktīvais tests: Vai uz manu organizāciju attiecas Nacionālās kiberdrošības likums

Aicinām aizpildīt interaktīvo testu, lai uzzinātu, vai NKDL attiecas uz Tavu organizāciju un uzzinātu, pie kuras uzraudzības iestādes Tev jāvēršas!

2. solis – Reģistrējies

Organizācijām, kuras Nacionālās kiberdrošības likuma izpratnē ir uzskatāmas par būtisko pakalpojumu sniedzējiem un svarīgo pakalpojumu sniedzējiem, ir pienākums reģistrēties. Lai to izdarītu, organizācijai jāaizpilda un līdz 2025. gada 1. aprīlim jāiesniedz Nacionālajam kiberdrošības centram reģistrācijas anketa. Reģistrācijas anketas veidlapa tiks apstiprināta ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām. Reģistrācijas anketu varēs iesniegt, nosūtot to uz Aizsardzības ministrijas E-adresi.

3. solis – Ieceļ kiberdrošības pārvaldnieku

Katrai organizācijai, kura ir Nacionālās kiberdrošības likuma subjekts, līdz 2025. gada 1. oktobrim ir jānosaka atbildīgā persona par kiberdrošību jeb kiberdrošības pārvaldnieks. Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām tiks noteiktas kiberdrošības pārvaldniekiem izvirzāmās kvalifikācijas un drošības prasības. Par kiberdrošības pārvaldnieka noteikšanu būs jāpaziņo kompetentajai uzraudzības iestādei (Nacionālajam kiberdrošības centram vai Satversmes aizsardzības birojam), iesniedzot aizpildītu paziņojuma veidlapu. Paziņojumu varēs iesniegt, nosūtot to uz uzraudzības iestādes E-adresi.

4. solis – Apzini procesus un infrastruktūru

Katram Nacionālās kiberdrošības likuma subjektam ir jāapzina savi procesi un sniegtie pakalpojumi, kurus ietekmē informācijas un komunikācijas tehnoloģijas (IKT), kā arī IKT infrastruktūra un informācijas sistēmas. Tas ir nepieciešams, lai identificētu un mazinātu potenciālos kiberdrošības riskus, plānojot un īstenojot nepieciešamos drošības pasākumus.

5. solis – Izveido katalogu

Lai uzturētu aktuālo IKT infrastruktūras un informācijas sistēmu uzskaitījumu, subjektam jāizveido IKT resursu un informācijas sistēmu katalogs. To var veidot, izmantojot kādu no pieejamajiem tehnoloģiskajiem risinājumiem, vai arī manuāli, ievadot un regulāri aktualizējot datus par attiecīgajiem resursiem un informācijas sistēmām. Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām būs noteikts minimālais katalogā iekļaujamo ziņu apjoms.

6. solis – Identificē un novērtē riskus

Subjektam jāizvērtē kiberdrošības riski, kā arī jānovērtē to potenciālā ietekme uz informācijas resursu konfidencialitāti, integritāti un pieejamību. Balstoties uz šo izvērtējumu, subjektam katrai tā īpašumā, valdījumā, turējumā vai lietošanā esošajai informācijas sistēmai jāpiešķir kategorija – A (paaugstinātās drošības), B (pamata drošības) vai C (minimālās drošības) – atbilstoši Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām ietvertajai metodikai.

7. solis – Izstrādā politiku un plānu

Katram subjektam jābūt diviem nozīmīgākajiem dokumentu blokiem – kiberdrošības politikai, kas nosaka organizācijas kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes, kā arī kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam, kas ietver detalizētu risku analīzi un pasākumu plānu to mazināšanai, kā arī rīcības plānu krīzes vai nozīmīga kiberincidenta gadījumā. Prasības šo dokumentu saturam tiks noteiktas Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām.

8. solis – Apmāci darbiniekus

Viens no nozīmīgākajiem soļiem, lai stiprinātu katras organizācijas noturību pret kiberdraudiem, ir personāla apmācības. Darbiniekiem ir jāzina par aktuālajiem kiberriskiem un jāprot droši strādāt digitālajā vidē. Subjektu uzdevums ir organizēt regulāras kiberhigiēnas apmācības visiem nodarbinātajiem, kuri strādā ar IKT, kā arī kiberdrošības apmācības par IKT atbildīgajam personālam.

9. solis – Ziņo par incidentiem

Nacionālās kiberdrošības likums paredz noteiktu kārtību, kādā subjektiem jāziņo kompetentajai kiberincidentu novēršanas institūcijai – CERT.LV vai MilCERT – par konstatētajiem kiberdrošības incidentiem. Par nozīmīgiem kiberincidentiem jāziņo Nacionālās kiberdrošības likumā noteiktajā termiņā, iesniedzot noteikta parauga veidlapas, kas tiks apstiprinātas ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām.

10. solis – Veic pašvērtējumu

Lai novērtētu, vai subjekts ir izpildījis Nacionālās kiberdrošības likuma prasības, katram subjektam būs jāaizpilda un līdz 2025. gada 1. oktobrim jāiesniedz kompetentajai uzraudzības iestādei pašvērtējuma ziņojums. Tajā subjektam būs jāatzīmē prasības, kurām tas atbilst, un jāpaskaidro, kā tiek nodrošināta šī atbilstība. Pašvērtējuma ziņojums IKT kritiskās infrastruktūras un A kategorijas informācijas sistēmu īpašniekiem un tiesiskajiem valdītājiem būs jāiesniedz reizi gadā, bet pārējiem subjektiem – reizi 3 gados. Pašvērtējuma ziņojuma veidlapa tiks apstiprināta ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām.

NIS2 kontaktpunkts

Jautājumu vai neskaidrību gadījumā aicinām sazināties ar Nacionālā kiberdrošības centra NIS2 kontaktpunktu.