Pēdējo gadu laikā ir būtiski audzis kiberuzbrukumu skaits pret Rietumvalstīm, tostarp arī pret Latviju. Kopš Krievijas pilna mēroga iebrukuma Ukrainā Latvija ir bijusi otrajā vietā Eiropas Savienībā (ES) pēc piedzīvoto kiberuzbrukumu skaita. Taču kopējais kiberapdraudējuma līmeņa pieaugums Eiropā nav jauna parādība – jau pirms dažiem gadiem Eiropas Komisija vērsa dalībvalstu uzmanību uz nepieciešamību pārskatīt informācijas un komunikācijas tehnoloģiju (IKT) drošības regulējumu, un jau 2022. gada nogalē tika pieņemta pārskatītā ES Tīklu un informācijas sistēmu drošības direktīva jeb “NIS2”, kuras mērķis ir nodrošināt vienādi augstu kiberdrošības līmeni visā ES. Lai ieviestu šo direktīvu Latvijā, Saeima šī gada jūnijā ir pieņēmusi Aizsardzības ministrijas izstrādāto Nacionālās kiberdrošības likumu, kurš stāsies spēkā 2024. gada 1. septembrī.
Viens no likuma autoriem, Aizsardzības ministrijas Kiberdrošības politikas departamenta ES kiberdrošības jautājumu nodaļas vadītājs Mihails Potapovs portālam “Sargs.lv” norāda, ka NIS2 direktīva un jaunais likums risina vienu būtisku problēmu – nevienlīdzīgo kiberdrošības līmeni starp publisko un privāto sektoru, kā arī starp nozarēm. “Piemēram, banku sektors ir visai labi pasargāts, kamēr pašvaldības vai nelielas iestādes, uzņēmumi ir sliktāk pasargāti. Tāpēc NIS2, salīdzinot ar pirmo NIS direktīvu, tika būtiski paplašināts to subjektu loks, uz kuriem attieksies kiberdrošības prasības,” norāda Aizsardzības ministrijas pārstāvis.
Par svarīgo vai būtisko pakalpojumu sniedzējiem tiks uzskatītas valsts un pašvaldību institūcijas, kā arī vidējie un lielie uzņēmumi, kuri darbojas kādā no Nacionālās kiberdrošības likumā noteiktajām jomām, piemēram, IKT, digitālo pakalpojumu, elektronisko sakaru, mediju, enerģētikas, transporta, ūdens un pārtikas apgādes, veselības aprūpes, ražošanas, finanšu, pasta pārvadājumu, izglītības, zinātnes vai apsardzes jomā.
Tāpat par būtisko pakalpojumu sniedzējiem tiks uzskatītas organizācijas, kuru darbības traucējums var būtiski ietekmēt sabiedrības drošību, valsts aizsardzību, sabiedrības veselību vai var radīt būtisku sistēmisku risku, jo īpaši nozarēs, kurās šādam traucējumam var būt pārrobežu ietekme.
Savukārt to iestāžu un uzņēmumu sarakstu, kas ietilpst kritiskās IKT infrastruktūras kopumā, apstiprinās Ministru kabinets.
Nacionālās kiberdrošības likumā ietvertais būtisko un svarīgo pakalpojumu uzskaitījums ir gana izsmeļošs un detalizēts, taču gadījumā, ja organizācijai nebūs skaidrs, vai tā ir vai nav likuma subjekts, tā varēs konsultēties ar Nacionālā kiberdrošības centra NIS2 kontaktpunktu , kā arī izmantot Aizsardzības ministrijas mājaslapā pieejamo interaktīvo tiešsaistes rīku, ar kura palīdzību var ātri un viegli noteikt organizācijas atbilstību likuma subjekta statusam.
Atbilstības gadījumā būtisko un svarīgo pakalpojumu sniedzējiem līdz 2025. gada 1. aprīlim būs jāiesniedz Nacionālajam kiberdrošības centram aizpildīta reģistrācijas paziņojuma veidlapa. Veidlapas forma tiks apstiprināta ar Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām. Reģistrācijas paziņojums būs jāiesniedz elektroniski, to nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi.
Kiberdrošības pārvaldniekiem būs noteiktas minimālās kvalifikācijas prasības. Pašlaik šīs prasības tiek izstrādātas, taču Aizsardzības ministrijas pārstāvis norāda, ka kiberdrošības pārvaldniekam jābūt vismaz vidējai profesionālajai vai augstākajai izglītībai kiberdrošības pārvaldībā vai saistītā jomā, vai iegūtiem starptautiski atzītiem sertifikātiem kiberdrošības pārvaldības jomā, vai arī vismaz divu gadu pieredzei kiberdrošības pasākumu plānošanā vai īstenošanā.
Kiberdrošības pārvaldniekam nav obligāti jābūt subjekta darbiniekam, tas var būt arī ārējs eksperts, kas sniedz šādu pakalpojumu. Vienlaikus, subjektiem jārēķinās, ka kiberdrošības pārvaldniekiem būs jāatbilst arī noteiktajām drošības prasībām. Savukārt IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka amata kandidātus pārbaudīs Satversmes aizsardzības birojs.
Par kiberdrošības pārvaldnieka iecelšanu subjektam būs jāpaziņo kompetentajai uzraudzības iestādei, līdz 2024. gada 1. oktobrim nosūtot uz tās oficiālo elektronisko adresi aizpildītu paziņojuma veidlapu par kiberdrošības pārvaldnieka iecelšanu.
Pašlaik Aizsardzības ministrija aktīvi strādā pie Ministru kabineta noteikumiem par minimālajām kiberdrošības prasībām, kas noteiks pamatprasības visiem subjektiem, kā arī papildu prasības būtisko pakalpojumu sniedzējiem un IKT kritiskajai infrastruktūrai.
Katram subjektam būs jāizvērtē konfidencialitātes, integritātes un pieejamības traucējumu riski, kurus var radīt potenciālais kiberapdraudējums, un jāveic IKT resursu un informācijas sistēmu uzskaite un klasifikācija. Noteikumu projekts paredz trīs informācijas sistēmu kategorijas – A (paaugstinātas drošības), B (pamata drošības) un C (minimālās drošības).
Tāpat subjektiem būs jāizstrādā kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns. “Šim plānam ir trīs daļas – risku analīze, pasākumu plāns šo risku mazināšanai, kā arī rīcības plāns krīzes situācijā, piemēram, gadījumā, ja notiek plaša mēroga kiberuzbrukums,” stāsta ministrijas pārstāvis.
Noteikumos ir paredzētas arī tehniskas prasības, piemēram, attiecībā uz tīklu un informācijas sistēmu auditācijas pierakstiem, rezerves kopijām, lietotāju piekļuves tiesību pārvaldību, šifrēšanu un ielaušanās testiem. Zīmīgi, ka noteikumos ir apvienotas arī prasības, kuras iepriekš bija noteiktas vairākos citos normatīvajos aktos, piemēram, par publisko elektronisko sakaru tīklu drošības prasībām.
“Protams, tas, kas, iespējams, visvairāk biedē topošos subjektus, ir uzraudzība. Iepriekš šādas uzraudzības nebija. Taču vēlos visus mierināt – mūsu mērķis nav sodīt, bet gan uzlabot kiberdrošību Latvijā”, uzsver Aizsardzības ministrijas pārstāvis.
Šāds ziņojums būs jāiesniedz reizi 3 gados, bet, ja subjektam ir A kategorijas jeb paaugstinātās drošības informācijas sistēma – reizi gadā. Balstoties uz šajā ziņojumā norādītajiem datiem, uzraudzības iestādes sniegs subjektiem saistošus norādījumus, nosakot samērīgu termiņu to īstenošanai.
Neatbilstības konstatēšanas gadījumā subjektam var tikt uzdots veikt ārēju auditu un iesniegt audita rezultātus uzraugošajai iestādei. Šādā gadījumā par auditu būs jāmaksā pašam subjektam. Tāpat uzraugošās iestādes pašas varēs pēc savas iniciatīvas veikt pārbaudes.
Gadījumā, ja kāds subjekts nesadarbojas un nepilda uzliktos tiesiskos pienākumus, uzraugošā iestāde varēs tam piemērot soda naudu. Būtisko pakalpojumu sniedzējiem un IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem soda naudas apmērs var sasniegt pat 10 miljonus eiro vai 2% no uzņēmuma gada apgrozījuma, savukārt svarīgo pakalpojumu sniedzējiem – līdz 7 miljoniem eiro vai 1,4% no gada apgrozījuma.
Nacionālais kiberdrošības centra uzdevumus īstenos Aizsardzības ministrija sadarbībā ar CERT.LV. Centra uzdevums būs ne tikai uzraudzīt būtisko un svarīgo pakalpojumu sniedzējus, bet arī koordinēt kiberdrošības politikas izstrādi un ieviešanu, veicināt starptautisko sadarbību, kā arī sekmēt sabiedrības izglītošanu kiberdrošības jautājumos.
Ministrijas pārstāvis norāda, ka līdzšinējo kiberincidentu novēršanas institūciju funkcijas paliks nemainīgas. CERT.LV nodrošinās reaģēšanu uz kiberincidentiem un to risināšanu, savukārt Militārā kiberincidentu novēršanas institūcija MilCERT joprojām pildīs šīs pašas funkcijas aizsardzības resorā.
Eiropas Kiberdrošības kompetenču centra programmas “Digitālā Eiropa” granti ir pieejami mazajiem un vidējiem uzņēmumiem inovatīvu kiberdrošības risinājumu izstrādei un ieviešanai. Grantu programmu īsteno Eiropas Kiberdrošības kompetenču centra Latvijas Nacionālais koordinācijas centrs (NCC-LV), kura uzdevumus pilda Aizsardzības ministrija sadarbībā ar Centrālo finanšu un līgumu aģentūru un CERT.LV. Šobrīd rit otrais grantu projektu uzsaukums, kurā projektus var iesniegt līdz 2024. gada 9. septembrim.
Tāpat svarīga ir informācijas apmaiņa starp nozari un politikas veidotājiem. M.Potapovs uzsver, ka vērtīgs panākums ir kiberdrošības kompetenču kopiena, kas pašlaik vieno 51 organizācijas – valsts un pašvaldību iestādes, uzņēmumus un nevalstiskās organizācijas – ar kompetenci kiberdrošības jomā. Kopienas eksperti regulāri tiekas, lai pārrunātu aktualitātes kiberdrošības jomā, dalītos ar labāko praksi un apmainītos ar informāciju par pieejamo atbalstu kiberdrošības uzlabošanai.
2024. gadā no 1. līdz 3. oktobrim CERT.LV organizēs ikgadējo konferenci “Kiberšahs” (“CyberChess”), uz kuru šobrīd ir atvērta reģistrācija.
Tāpat šogad NCC-LV sadarbībā ar Igaunijas un Lietuvas kolēģiem organizēs pirmo Baltijas kiberdrošības inovāciju forumu “CyberBazaar”, kas norisināsies 2024. gada 3.-5. decembrī un ietvers vairākus pasākumus, tostarp kiberdrošības kompetenču kopienu konferenci, inovatīvu kiberdrošības produktu izstādi, kā arī Baltijas valstu studentu kiberhakatonu.