Saeima pieņem Nacionālās kiberdrošības likumu

Latvijā
Sargs.lv
kiberdrošība
Foto: Gatis Dieziņš/Aizsardzības ministrija

Ceturtdien, 20. jūnijā, Saeima pieņēma Nacionālās kiberdrošības likumu, kura mērķis ir stiprināt kiberdrošību Latvijā un ieviest pārskatītās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas prasības vienādi augsta kiberdrošības līmeņa panākšanai visā Eiropas Savienībā. 

Nacionālās kiberdrošības likums, salīdzinot ar spēkā esošo Informācijas tehnoloģiju likumu, ievieš vairākas nozīmīgas izmaiņas. No 2024. gada 1. septembra tiks izveidots Nacionālais kiberdrošības centrs, kas darbosies kā vienotais kontaktpunkts kiberdrošības jautājumos un veiks nacionālo kiberdrošības prasību ieviešanas pārraudzību, kā arī izstrādās nacionālās kiberdrošības rīcībpolitikas iniciatīvas. Nacionālā kiberdrošības centra funkcijas īstenos Aizsardzības ministrija sadarbībā ar Kiberincidentu novēršanas institūciju CERT.LV. CERT.LV atbildībā būs reaģēšana uz kiberdrošības incidentiem, kibertelpas situācijas monitorings un draudu analīze, sensoru tīkla, DNS ugunsmūra un drošības operāciju centru darbības nodrošināšana, kā arī sabiedrības izglītošana kiberdrošības jautājumos.

“Valsts kiberdrošības spēju līmeni veido ikviena publiskā un privātā sektora organizācija. Tādēļ ir būtiski, ka katra organizācija paveic savus mājas darbus, nodrošinot, ka to rīcībā esošie informācijas un komunikāciju tehnoloģiju resursi tiek atbilstoši aizsargāti. Nacionālās kiberdrošības likums ar šādu mērķi arī ir izstrādāts – noteikt pamata komplektu organizācijām, lai to kiberdrošības pārvaldību varētu uzskatīt par sakārtotu un drošu,” uzsver aizsardzības ministrs Andris Sprūds.

Šis likums attiecas uz būtisko un svarīgo pakalpojumu sniedzējiem, kā arī informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru, un tajā ir noteikti kritēriji, pēc kuriem tiek definēta publiskā un privātā sektora organizācijas piederība kādai no minētajām grupām.  

Likums nosaka, ka publiskā un privātā sektora organizācijām, uz kurām likums attiecas, līdz 2025. gada 1. aprīlim būs jānosaka savs statuss un jāreģistrējas, kā arī līdz 2025. gada 1. oktobrim jāieceļ kiberdrošības pārvaldnieks un jāiesniedz pirmais pašvērtējuma ziņojums. Citas prasības ietver minimālo kiberdrošības prasību ievērošanu, ziņošanu par incidentiem un atklātajām ievainojamībām, kā arī risku pārvaldības un darbības nepārtrauktības plāna izstrādi. 

Likums paredz, ka būtisko un svarīgo pakalpojumu sniedzēju uzraudzību, dokumentu un informācijas un komunikācijas tehnoloģiju infrastruktūras pārbaudes, kā arī korektīvo pasākumu īstenošanu veiks Nacionālais kiberdrošības centrs, bet uzraudzību pār informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras kiberdrošības prasību ievērošanu nodrošinās Satversmes aizsardzības birojs. 

Tāpat likums paredz noteikt minimālās kiberdrošības prasības būtisko un svarīgo pakalpojumu sniedzējiem un IKT kritiskajai infrastruktūrai, prasības centralizētai aizsardzībai pret pakalpojumatteices kiberuzbrukumiem, kā arī drošības prasības datu centriem.

Likums stāsies spēkā 2024. gada 1. septembrī. Tuvāko mēnešu laikā Aizsardzības ministrija sadarbībām ar citām ministrijām plāno organizēt seminārus, lai par likuma prasībām informētu tās nozares, uz kurām Nacionālās kiberdrošības likums attiecas.

Dalies ar šo ziņu