Laikā, kad modernās tehnoloģijas ir katra augoša uzņēmuma dzinējspēks, gan Latvijas uzņēmumos, gan publiskās pārvaldes iestādēs jāstiprina arī kiberdrošība. Tāpēc 2024.gada 1.septembrī stājās spēkā Nacionālās kiberdrošības likums (NKDL). Ar šo likumu tiek ieviestas direktīvas 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā (NIS2), prasības.
Kādas izmaiņas paredzētas jaunajā likumā un kas jādara uzņēmumiem, lai atbilstu jaunajām prasībām?
Raksta autors: Krišjānis Cercens, SIA “Sorainen ZAB”, jurists
Līdzautors: Reinis Papulis, SIA “ ZAB” zvērināts
Ko paredz jaunais kiberdrošības likums?
Vispirms jānorāda, ka tiem uzņēmumiem, kam jau iepriekš bija obligātas Latvijas normatīvajos aktos paredzētās prasības īstenot kiberdrošības pasākumus, izmaiņas varētu būt salīdzinoši nelielas. Tomēr tos, kuriem šādas prasības iepriekš nebija saistošas, varētu gaidīt vairāki būtiski uzdevumi.
Ņemot vērā, ka paplašināts subjektu loks, uz kuriem attiecas obligātās prasības, vispirms jānosaka, vai uzņēmums ir šī likuma subjekts. Konstatējot atbilstību, jāpievēršas organizatorisku un tehnisku risinājumu ieviešanai, lai nodrošinātu prasību izpildi.
Jāuzsver, ka NKDL paredzēts deleģējums Ministru kabinetam (MK) izdot noteikumus par minimālajām kiberdrošības prasībām. MK noteikumi aptvers apjomīgu jauno prasību klāstu, apvienojot dažādus kiberdrošības aspektus vienuviet. Proti, tie ietvers ne vien minimālās kiberdrošības prasības, bet arī prasības kiberdrošības pārvaldniekam, kiberincidentu kritērijus un ziņošanas kārtību, elektronisko sakaru tīklu drošības prasības, kā arī citas būtiskas no NIS2 izrietošas prasības.
Būtisks jaunums ir arī Nacionālā kiberdrošības centra (NKC) izveide, kas darbojas kā nacionālā kompetentā institūcija un vienotais kontaktpunkts kiberdrošības jautājumos, nodrošinot nacionālo drošības pārraudzību digitālajā vidē.
Kam jāievēro prasības?
Salīdzinājumā ar līdz šim piemērojamo Informācijas tehnoloģiju drošības likumu, NKDL būtiski paplašina subjektu loku.
Subjekti tiek iedalīti trīs kategorijās:
- būtisko pakalpojumu sniedzēji;
- svarīgo pakalpojumu sniedzēji;
- informācijas un komunikācijas tehnoloģiju (IKT) kritiskā infrastruktūra.
Ar visu rakstu aicinām iepazīties šeit.