Eiropas Savienības prasību pārņemšana Latvijā ikviena uzņēmuma ikdienā aktualizē virkni ar kiberdrošību saistītu jautājumu. Kā izvērtēt uzņēmuma kiberdrošības līmeni? Kam pievērst pastiprinātu uzmanību? Skaidrojam jaunās normatīvo aktu prasības.
Raksta autors:
Krišjānis Cercens, SIA “ ZAB” jurists
Direktīva 2022/2555, ar ko tiek ieviesti kiberdrošības pasākumi nolūkā panākt vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā, Latvijā ir ieviesta ar Nacionālo kiberdrošības likumu un Ministru kabineta (MK) noteikumiem Nr.397 “Minimālās kiberdrošības prasības”, kuros noteiktas prasības tīklu drošībai, informācijas sistēmu atbilstībai minimālajām kiberdrošības prasībām, kā arī konfidencialitātes, integritātes, pieejamības un datu atjaunošanas pasākumu īstenošanai.
Uzņēmuma nozare un darbības apjoms
Lai atbildētu uz jautājumu, vai uzņēmumiem būtu jāpievērš pastiprināta uzmanība kiberdrošībai, jāņem vērā uzņēmuma darbības nozare un apjoms (darbinieku skaits un apgrozījums). Jāatceras, ka likumā tiek paplašināts subjektu loks, uz kuriem tiek attiecinātas papildu prasības. Atbilstoši likumam subjekti tiek iedalīti trīs kategorijās:
- būtisko pakalpojumu sniedzēji;
- svarīgo pakalpojumu sniedzēji;
- informācijas un komunikācijas tehnoloģiju (IKT) kritiskā infrastruktūra.
Ja uzņēmums sniedz sabiedrībai būtiskus, svarīgus vai kritiskus pakalpojumus, piemēram, darbojas enerģētikā, transportā, finanšu sektorā vai veselības aprūpē, tam jānodrošina augsts kiberdrošības sagatavotības līmenis.
Uzņēmumi, kuri darbojas likuma noteiktajā nozarē un atbilst darbības apjoma kritērijiem, var tikt uzskatīti par būtiskajiem vai svarīgajiem pakalpojumu sniedzējiem. Šiem uzņēmumiem jāapzina savi IKT resursi, jāieceļ kiberdrošības pārvaldnieks un regulāri jāveic pašvērtējums saskaņā ar likuma un MK noteikumu prasībām.
Ar visu rakstu aicinām iepazīties žurnāla iFiT novembra numurā.
