2024. gada 1. septembrī stājas spēkā Nacionālās kiberdrošības likums (NKDL). Šī likuma mērķis ir stiprināt kiberdrošību Latvijā, kā arī ieviest pārskatītās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas (NIS2) prasības vienādi augsta kiberdrošības līmeņa panākšanai visā Eiropas Savienībā.
10 soļi Nacionālās kiberdrošības likuma ieviešanai savā organizācijā
1. solis – Izvērtē savu atbilstību
Katrai organizācijai, kura darbojas vai sniedz pakalpojumus Latvijā, ir jāizvērtē, vai uz to attiecas Nacionālās kiberdrošības likuma prasības. Lai saprastu, vai organizācija ir likuma subjekts – svarīgo pakalpojumu sniedzējs, būtisko pakalpojumu sniedzējs vai informācijas un komunikācijas tehnoloģiju (IKT) kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs – ir jāņem vērā organizācijas juridiskais statuss, reģistrācijas vieta, lielums, kā arī darbības jomas un sniegto pakalpojumu nozīmīgums.
Aicinām aizpildīt interaktīvo testu, lai uzzinātu, vai NKDL attiecas uz Tavu organizāciju un uzzinātu, pie kuras uzraudzības iestādes Tev jāvēršas!
2. solis – Reģistrējies
Organizācijām, kuras Nacionālās kiberdrošības likuma izpratnē ir uzskatāmas par būtisko pakalpojumu sniedzējiem un svarīgo pakalpojumu sniedzējiem, ir pienākums reģistrēties. Lai to izdarītu, organizācijai jāaizpilda un līdz 2025. gada 1. aprīlim jāiesniedz Nacionālajam kiberdrošības centram reģistrācijas anketa. Reģistrācijas anketas veidlapa tiks apstiprināta ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām. Reģistrācijas anketu varēs iesniegt, nosūtot to uz Aizsardzības ministrijas E-adresi.
3. solis – Ieceļ kiberdrošības pārvaldnieku
Katrai organizācijai, kura ir Nacionālās kiberdrošības likuma subjekts, līdz 2025. gada 1. oktobrim ir jānosaka atbildīgā persona par kiberdrošību jeb kiberdrošības pārvaldnieks. Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām tiks noteiktas kiberdrošības pārvaldniekiem izvirzāmās kvalifikācijas un drošības prasības. Par kiberdrošības pārvaldnieka noteikšanu būs jāpaziņo kompetentajai uzraudzības iestādei (Nacionālajam kiberdrošības centram vai Satversmes aizsardzības birojam), iesniedzot aizpildītu paziņojuma veidlapu. Paziņojumu varēs iesniegt, nosūtot to uz uzraudzības iestādes E-adresi.
4. solis – Apzini procesus un infrastruktūru
Katram Nacionālās kiberdrošības likuma subjektam ir jāapzina savi procesi un sniegtie pakalpojumi, kurus ietekmē informācijas un komunikācijas tehnoloģijas (IKT), kā arī IKT infrastruktūra un informācijas sistēmas. Tas ir nepieciešams, lai identificētu un mazinātu potenciālos kiberdrošības riskus, plānojot un īstenojot nepieciešamos drošības pasākumus.
5. solis – Izveido katalogu
Lai uzturētu aktuālo IKT infrastruktūras un informācijas sistēmu uzskaitījumu, subjektam jāizveido IKT resursu un informācijas sistēmu katalogs. To var veidot, izmantojot kādu no pieejamajiem tehnoloģiskajiem risinājumiem, vai arī manuāli, ievadot un regulāri aktualizējot datus par attiecīgajiem resursiem un informācijas sistēmām. Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām būs noteikts minimālais katalogā iekļaujamo ziņu apjoms.
6. solis – Identificē un novērtē riskus
Subjektam jāizvērtē kiberdrošības riski, kā arī jānovērtē to potenciālā ietekme uz informācijas resursu konfidencialitāti, integritāti un pieejamību. Balstoties uz šo izvērtējumu, subjektam katrai tā īpašumā, valdījumā, turējumā vai lietošanā esošajai informācijas sistēmai jāpiešķir kategorija – A (paaugstinātās drošības), B (pamata drošības) vai C (minimālās drošības) – atbilstoši Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām ietvertajai metodikai.
7. solis – Izstrādā politiku un plānu
Katram subjektam jābūt diviem nozīmīgākajiem dokumentu blokiem – kiberdrošības politikai, kas nosaka organizācijas kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes, kā arī kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam, kas ietver detalizētu risku analīzi un pasākumu plānu to mazināšanai, kā arī rīcības plānu krīzes vai nozīmīga kiberincidenta gadījumā. Prasības šo dokumentu saturam tiks noteiktas Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām.
8. solis – Apmāci darbiniekus
Viens no nozīmīgākajiem soļiem, lai stiprinātu katras organizācijas noturību pret kiberdraudiem, ir personāla apmācības. Darbiniekiem ir jāzina par aktuālajiem kiberriskiem un jāprot droši strādāt digitālajā vidē. Subjektu uzdevums ir organizēt regulāras kiberhigiēnas apmācības visiem nodarbinātajiem, kuri strādā ar IKT, kā arī kiberdrošības apmācības par IKT atbildīgajam personālam.
9. solis – Ziņo par incidentiem
Nacionālās kiberdrošības likums paredz noteiktu kārtību, kādā subjektiem jāziņo kompetentajai kiberincidentu novēršanas institūcijai – CERT.LV vai MilCERT – par konstatētajiem kiberdrošības incidentiem. Par nozīmīgiem kiberincidentiem jāziņo Nacionālās kiberdrošības likumā noteiktajā termiņā, iesniedzot noteikta parauga veidlapas, kas tiks apstiprinātas ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām.
10. solis – Veic pašvērtējumu
Lai novērtētu, vai subjekts ir izpildījis Nacionālās kiberdrošības likuma prasības, katram subjektam būs jāaizpilda un līdz 2025. gada 1. oktobrim jāiesniedz kompetentajai uzraudzības iestādei pašvērtējuma ziņojums. Tajā subjektam būs jāatzīmē prasības, kurām tas atbilst, un jāpaskaidro, kā tiek nodrošināta šī atbilstība. Pašvērtējuma ziņojums IKT kritiskās infrastruktūras un A kategorijas informācijas sistēmu īpašniekiem un tiesiskajiem valdītājiem būs jāiesniedz reizi gadā, bet pārējiem subjektiem – reizi 3 gados. Pašvērtējuma ziņojuma veidlapa tiks apstiprināta ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām.
Informatīvie semināri
Lai iepazīstinātu publiskā un privātā sektora organizācijas ar Nacionālajā kiberdrošības likumā noteiktajām prasībām, kā arī skaidrotu kārtību, kas organizācijām būs jāīsteno attiecībā uz kiberdrošības pārvaldību, Aizsardzības ministrija septembrī organizēs deviņus tiešsaistes informatīvus seminārus.
Informatīvo semināru grafiks
Trešdien, 4. septembrī plkst. 14.00 – Telekomunikāciju un IKT nozarei (elektronisko sakaru komersanti, uzticamības pakalpojumu sniedzēji, interneta plūsmu apmaiņas punkta pakalpojumu sniedzēji, mākoņdatošanas pakalpojumu sniedzēji, datu centru pakalpojumu sniedzēji, satura piegādes tīkla pakalpojumu sniedzēji, informācijas un komunikācijas tehnoloģiju pārvaldības vai kiberdrošības pakalpojumu sniedzēji, tiešsaistes meklētājprogrammas pakalpojumu sniedzēji, sociālo mediju platformas pakalpojumu sniedzēji);
Ceturtdien, 5. septembrī plkst. 14.00 – Valsts un pašvaldību iestādēm, atvasinātajām publiskajām personām, pastarpinātās pārvaldes iestādēm, sabiedriskajiem elektroniskajiem plašsaziņas līdzekļiem;
Trešdien, 11. septembrī plkst. 14.00 – Enerģētikas nozarei (energoapgādes komersanti, naftas apgādes komersanti, ūdeņraža apgādes komersanti) un ūdens apgādes nozarei;
Ceturtdien, 12. septembrī plkst. 14.00 – Transporta nozarei (aeronavigācijas pakalpojumu sniedzēji, gaisa kuģa ekspluatanti, lidlauka vai citu civilās aviācijas objektu un iekārtu ekspluatanti, dzelzceļa pārvadātāji, dzelzceļa infrastruktūras pārvaldītāji, kuģošanas kompānijas, ostas pārvaldes, komersanti, kuri veic komercdarbību ostas teritorijā, komersanti, kuri pārvalda valsts autoceļus vai veic valsts autoceļu infrastruktūras uzturēšanas darbus, intelektisko transporta sistēmu operatori);
Otrdien, 17. septembrī plkst. 14.00 – Medicīnas un farmācijai nozarei;
Trešdien, 18. septembrī plkst. 14.00 – Pārtikas ražošanas un vairumtirdzniecības nozarei;
Trešdien, 25. septembrī plkst. 14.00 – Pasta un kurjeru pakalpojumu, atkritumu apsaimniekošanas nozarei;
Ceturtdien, 26. septembrī plkst. 14.00 – Ražošanas nozarei (datoru, elektronisko un optisko iekārtu ražotāji, elektrisko iekārtu ražotāji, citur neklasificētu iekārtu, mehānismu un darba mašīnu ražotāji, automobiļu, piekabju un puspiekabju ražotāji, citu transportlīdzekļu ražotāji, ķīmisko vielu vai to maisījumu ražotāji);
Piektdien, 27. septembrī plkst. 14.00 – citiem Nacionālās kiberdrošības likuma subjektiem, tajā skaitā zinātniskajām institūcijām, apsardzes pakalpojumu sniedzējiem, kosmosā izvietotu pakalpojumu sniedzējiem vai šo pakalpojumu sniegšanai izmantojamās infrastruktūras operatoriem.
Aicinām augstāk minēto nozaru pārstāvjus pieteikties informatīvajiem semināriem, rakstot uz Nacionālā kiberdrošības centra NIS2 kontaktpunkta e-pasta adresi NIS2@mod.gov.lv. Pieteikumā jānorāda ir sava kontaktinformācija, pārstāvētā organizācija, kā arī informatīvais seminārs, kurā plānojat piedalīties.
Informatīvie semināri tiek organizēti attālināti. Saite uz attiecīgo semināru reģistrētajam dalībniekam tiks nosūtīta uz pieteikumā norādīto e-pasta adresi.
NIS2 kontaktpunkts
Jautājumu vai neskaidrību gadījumā aicinām sazināties ar Nacionālā kiberdrošības centra NIS2 kontaktpunktu.
