Likumi: Šajā laidienā 16 Pēdējās nedēļas laikā 22 Visi
Saeima ir pieņēmusi un Valsts
prezidents izsludina šādu likumu:
Grozījumi Informācijas tehnoloģiju drošības likumā
Izdarīt Informācijas tehnoloģiju drošības likumā (Latvijas Vēstnesis, 2010, 178. nr.; 2012, 179. nr.; 2013, 228. nr.; 2015, 34. nr.; 2017, 132. nr.) šādus grozījumus:
1. Papildināt likumu ar 3.1 pantu šādā redakcijā:
"3.1 pants. Pamatpakalpojuma sniedzējs, digitālā pakalpojuma sniedzējs un digitālā pakalpojuma sniedzēja pārstāvis
(1) Pamatpakalpojuma sniedzējs ir valsts vai pašvaldības institūcija vai privāto tiesību juridiskā persona, kas veic saimniecisko darbību Latvijas Republikā un sniedz:
1) finanšu pakalpojumus Kredītiestāžu likuma izpratnē un finanšu tirgus infrastruktūras pakalpojumus, dzeramā ūdens piegādes vai izplatīšanas pakalpojumus, interneta plūsmas apmaiņas punkta pakalpojumus, domēnu nosaukumu sistēmas pakalpojumus, augstākā līmeņa domēna nosaukumu reģistra pakalpojumus vai pakalpojumus enerģētikas, transporta vai veselības nozarē kādā no Eiropas Savienības dalībvalstīm;
2) pakalpojumus, kuru sniegšana ir atkarīga no informācijas tehnoloģijām;
3) pakalpojumus, uz kuru sniegšanu būtiski traucējošu ietekmi var radīt informācijas tehnoloģiju drošības incidents.
(2) Digitālā pakalpojuma sniedzējs ir privāto tiesību juridiskā persona, kas atbilst vienai no šādām pazīmēm:
1) veic saimniecisko darbību Latvijas Republikā un sniedz tiešsaistes tirdzniecības vietas, tiešsaistes meklētājprogrammas vai mākoņdatošanas pakalpojumu (turpmāk — digitālais pakalpojums) kādā no Eiropas Savienības dalībvalstīm;
2) veic saimniecisko darbību ārpus Eiropas Savienības un digitālo pakalpojumu Latvijas Republikā sniedz ar pilnvarota pārstāvja starpniecību.
(3) Par digitālā pakalpojuma sniedzēja pārstāvi var būt fiziskā persona vai privāto tiesību juridiskā persona, kas veic saimniecisko darbību Latvijas Republikā. Uz digitālā pakalpojuma sniedzēja pārstāvi attiecas šajā likumā noteiktie digitālā pakalpojuma sniedzēja pienākumi un tiesības.
(4) Šā panta pirmā, otrā un trešā daļa neattiecas uz elektronisko sakaru komersantu un uzticamu sertifikācijas pakalpojumu sniedzēju. Šā panta otrā un trešā daļa neattiecas uz privāto tiesību juridisko personu, kuras darbinieku skaits nepārsniedz 50 personas un kuras gada apgrozījums vai bilances kopsumma nepārsniedz 10 miljonus euro.
(5) Lēmumu par pamatpakalpojuma sniedzēja un pamatpakalpojuma statusa piešķiršanu, pārskatīšanu un izbeigšanu pieņem par dzeramā ūdens piegādes vai izplatīšanas pakalpojumu jomu, interneta plūsmas apmaiņas punkta pakalpojumu jomu, domēnu nosaukumu sistēmas pakalpojumu jomu, augstākā līmeņa domēna nosaukumu reģistra pakalpojumu jomu un par enerģētikas, transporta un veselības nozari atbildīgā ministrija (turpmāk — par jomu un nozari atbildīgā ministrija). Lēmuma apstrīdēšana un pārsūdzēšana neaptur tā darbību.
(6) Nosacījumus informācijas tehnoloģiju drošības incidenta būtiski traucējošās ietekmes noteikšanai, kārtību, kādā pieprasa informāciju no privāto tiesību juridiskajām personām, kā arī pamatpakalpojuma sniedzēja un pamatpakalpojuma statusa piešķiršanas, pārskatīšanas un izbeigšanas nosacījumus un kārtību, kādā Digitālās drošības uzraudzības komiteju informē par pamatpakalpojumiem un to sniedzējiem, nosaka Ministru kabinets."
2. 5. pantā:
papildināt pirmās daļas 6. punktu pēc vārdiem "pašvaldību institūcijas" ar vārdiem "pamatpakalpojuma sniedzēji, digitālā pakalpojuma sniedzēji";
papildināt pirmo daļu ar 7.1, 7.2, 7.3, 7.4 un 7.5 punktu šādā redakcijā:
"71) informē Aizsardzības ministriju par šā likuma 6. panta 2.1 daļā minēto drošības incidentu, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību, un informē citas Eiropas Savienības dalībvalsts kompetento iestādi par drošības incidentu, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību konkrētajā dalībvalstī. Ar Eiropas Savienības dalībvalsts kompetento iestādi šā likuma izpratnē saprot Eiropas Savienības dalībvalsts izraudzītu iestādi, kura atbild par pamatpakalpojuma sniedzēju un digitālā pakalpojuma sniedzēju informācijas tehnoloģiju drošību konkrētajā dalībvalstī un uzrauga to darbību;
72) informē Aizsardzības ministriju par šā likuma 6. panta 2.1 daļā minēto drošības incidentu, kuram ir būtiska ietekme uz digitālā pakalpojuma sniegšanu, un informē citas Eiropas Savienības dalībvalstu kompetentās iestādes, ja drošības incidentam ir būtiska ietekme uz digitālā pakalpojuma sniegšanu vismaz divās Eiropas Savienības dalībvalstīs;
73) informē Digitālās drošības uzraudzības komiteju par konstatēto pamatpakalpojuma sniedzēja vai digitālā pakalpojuma sniedzēja informācijas tehnoloģiju drošības prasību neatbilstību normatīvajiem aktiem, kuri nosaka informācijas tehnoloģiju drošības prasības, un par atklātajiem gadījumiem, kad pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs nav ziņojis par drošības incidentu saskaņā ar šā likuma 6. panta septīto daļu;
74) var lūgt, lai Aizsardzības ministrija nosūta citu Eiropas Savienības dalībvalstu kontaktpunktiem informāciju par šā likuma 6. panta 2.1 daļā minēto drošības incidentu, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību vai digitālā pakalpojuma sniegšanu konkrētajā dalībvalstī. Eiropas Savienības dalībvalsts kontaktpunkts šā likuma izpratnē ir Eiropas Savienības dalībvalsts izraudzīta iestāde, kura atbild par pamatpakalpojuma sniedzēju un digitālā pakalpojuma sniedzēju informācijas tehnoloģiju drošību konkrētajā dalībvalstī un koordinē sadarbību, nodrošinot pārrobežu sadarbību ar citām dalībvalstīm, Tīklu un informācijas sistēmu drošības direktīvas sadarbības grupu (turpmāk — NIS sadarbības grupa) un datordrošības incidentu reaģēšanas vienību tīklu (turpmāk — NIS CSIRT tīkls);
75) sadarbojas ar NIS CSIRT tīklu;";
aizstāt 1.1 daļā skaitļus un vārdu "2., 4., 5., 6., 7. un 8." ar skaitļiem un vārdu "2., 4., 5., 6., 7., 7.1, 7.2, 7.3, 7.4, 7.5 un 8.";
papildināt otrās daļas 1. punktu pēc vārdiem "juridiskajām personām" ar vārdiem "informāciju par informācijas tehnoloģiju (tostarp tīklu un informācijas sistēmu) drošības prasībām un".
3. Papildināt likumu ar 5.1 pantu šādā redakcijā:
"5.1 pants. Aizsardzības ministrijas uzdevumi
Aizsardzības ministrija:
1) sadarbojas ar citu Eiropas Savienības dalībvalstu kontaktpunktiem, tostarp pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma nosūta tiem informāciju par šā likuma 6. panta 2.1 daļā minētajiem drošības incidentiem, kuriem ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību vai digitālā pakalpojuma sniegšanu konkrētajā dalībvalstī;
2) sadarbojas ar NIS sadarbības grupu un reizi gadā sniedz tai ziņojumu par informāciju, kas saņemta par šā likuma 6. panta 2.1 daļā minētajiem drošības incidentiem (tostarp norāda ziņojumu skaitu un drošības incidentu raksturu), kā arī par citu Eiropas Savienības dalībvalstu kompetentajām iestādēm sniegtajiem ziņojumiem;
3) ne vēlāk kā trīs mēnešus pēc nacionālās kiberdrošības stratēģijas apstiprināšanas informē par to Eiropas Komisiju."
4. 6. pantā:
papildināt pantu ar 2.1 un 2.2 daļu šādā redakcijā:
"(21) Ja noticis drošības incidents, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību vai digitālā pakalpojuma sniegšanu, pamatpakalpojuma sniedzējs un digitālā pakalpojuma sniedzējs nekavējoties veic visas tā novēršanai nepieciešamās darbības (it īpaši izpilda kompetentās Drošības incidentu novēršanas institūcijas rekomendācijas par vēlamo sākotnējo rīcību drošības incidenta gadījumā), kā arī šā panta septītajā daļā minētajos gadījumos un kārtībā tūlīt informē kompetento Drošības incidentu novēršanas institūciju par drošības incidentu, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību vai digitālā pakalpojuma sniegšanu. Kompetentā Drošības incidentu novēršanas institūcija vienojas ar pamatpakalpojuma sniedzēju vai digitālā pakalpojuma sniedzēju par atbalsta nodrošināšanu drošības incidenta novēršanā. Kompetentā Drošības incidentu novēršanas institūcija pēc apspriešanās ar pamatpakalpojuma sniedzēju vai digitālā pakalpojuma sniedzēju var informēt sabiedrību vai arī prasīt, lai to dara attiecīgais pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs, ja drošības incidenta publiskošana var šo incidentu atrisināt vai novērst vai arī citādā ziņā ir sabiedrības interesēs.
(22) Šā panta 2.1 daļu nepiemēro kredītiestāde Kredītiestāžu likuma 1. panta otrās daļas 1. punkta izpratnē, tirdzniecības vieta Finanšu instrumentu tirgus likuma 1. panta pirmās daļas 77. punkta izpratnē un centrālo darījumu partneris Eiropas Parlamenta un Padomes 2012. gada 4. jūlija regulas (ES) Nr. 648/2012 par ārpusbiržas atvasinātajiem instrumentiem, centrālajiem darījumu partneriem un darījumu reģistriem (Dokuments attiecas uz EEZ) 2. panta 1. punkta izpratnē.";
papildināt trešo daļu pēc vārda "otrajā" ar vārdu un skaitli "un 2.1";
aizstāt ceturtajā daļā vārdus "vai integritātes pārkāpumu, kas būtiski ietekmējis elektronisko sakaru tīklu darbību vai pakalpojumu sniegšanu" ar vārdiem "incidentu, kuram ir būtiska ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību";
papildināt pantu ar septīto daļu šādā redakcijā:
"(7) Ministru kabinets nosaka drošības incidenta būtiskuma kritērijus, informēšanas kārtību un ziņojuma saturu."
5. 8. pantā:
izteikt panta nosaukumu šādā redakcijā:
"8. pants. Informācijas tehnoloģiju drošības pārvaldība";
papildināt pirmo daļu pēc vārdiem "pašvaldību institūciju" ar vārdiem "informācijas tehnoloģiju kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju, pamatpakalpojuma sniedzēju un digitālā pakalpojuma sniedzēju";
papildināt otro daļu pēc vārdiem "pašvaldības institūcijas" ar vārdiem "pamatpakalpojuma sniedzēja un digitālā pakalpojuma sniedzēja";
papildināt pantu ar 2.1 daļu šādā redakcijā:
"(21) Informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, kā arī privāto tiesību juridiskā persona, kas ir pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs, nodrošina informācijas tehnoloģiju drošības pārvaldību un nosaka atbildīgo personu, kas īsteno informācijas tehnoloģiju drošības pārvaldību attiecīgajā uzņēmumā, un par atbildīgās personas noteikšanu ne vēlāk kā piecu darbdienu laikā informē kompetento Drošības incidentu novēršanas institūciju.";
izslēgt ceturto daļu;
papildināt piekto daļu pēc vārdiem "pašvaldību institūcijas" ar vārdiem "informācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji";
papildināt pantu ar sesto un septīto daļu šādā redakcijā:
"(6) Ministru kabinets nosaka informācijas tehnoloģiju drošības prasības privāto tiesību juridiskajām personām, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji.
(7) Šā panta prasības, kas noteiktas pamatpakalpojuma sniedzējam, neattiecas uz kredītiestādi Kredītiestāžu likuma 1. panta otrās daļas 1. punkta izpratnē, tirdzniecības vietu Finanšu instrumentu tirgus likuma 1. panta pirmās daļas 77. punkta izpratnē un centrālo darījumu partneri Eiropas Parlamenta un Padomes 2012. gada 4. jūlija regulas (ES) Nr. 648/2012 par ārpusbiržas atvasinātajiem instrumentiem, centrālajiem darījumu partneriem un darījumu reģistriem (Dokuments attiecas uz EEZ) 2. panta 1. punkta izpratnē."
6. Papildināt likumu ar 8.1 pantu šādā redakcijā:
"8.1 pants. Pamatpakalpojuma sniedzēja un digitālā pakalpojuma sniedzēja uzraudzības institūcija
(1) Pamatpakalpojuma sniedzēja un digitālā pakalpojuma sniedzēja uzraudzības institūciju (turpmāk — uzraudzības institūcija) un tās darba organizācijas kārtību nosaka Ministru kabinets.
(2) Uzraudzības institūcija:
1) apkopo nozari uzraugošo ministriju iesniegto informāciju par identificētajiem pamatpakalpojuma sniedzējiem un pamatpakalpojumiem un sastāda to sarakstu;
2) reizi divos gados iesniedz Eiropas Komisijai informāciju par kārtību, kādā identificē pamatpakalpojuma sniedzējus, identificēto pamatpakalpojuma sniedzēju skaitu un pamatpakalpojumu sarakstu;
3) saņem informāciju no Drošības incidentu novēršanas institūcijām par konstatētajām neatbilstībām un drošības incidentiem.
(3) Pēc tam kad no Drošības incidentu novēršanas institūcijas saņemta informācija par konstatētajām neatbilstībām vai drošības incidentu, uzraudzības institūcija ir tiesīga veikt vienu vai vairākas šādas darbības:
1) ierosināt, lai pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs noteiktā termiņā novērš konstatētās neatbilstības tām drošības prasībām, kuras noteicis Ministru kabinets saskaņā ar šā likuma 8. panta sesto daļu;
2) pieņemt lēmumu, ar kuru uzdod 6. panta 2.1 daļā minētajam pamatpakalpojuma sniedzējam vai digitālā pakalpojuma sniedzējam novērst drošības incidentu, tostarp izpildīt Drošības incidentu novēršanas institūcijas rekomendācijas."
7. 9. pantā:
izteikt pirmās daļas 2. punktu šādā redakcijā:
"2) ziņot kompetentajai Drošības incidentu novēršanas institūcijai par drošības incidentu, kuram ir būtiska ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību;";
papildināt pantu ar trešo daļu šādā redakcijā:
"(3) Ministru kabinets nosaka drošības incidenta būtiskuma kritērijus."
8. Papildināt likumu ar 11. pantu šādā redakcijā:
"11. pants. Nacionālā kiberdrošības stratēģija
(1) Nacionālā kiberdrošības stratēģija nosaka kiberdrošības politikas veidošanas pamatprincipus, mērķi un stratēģiskās prioritātes, tostarp elektronisko sakaru tīklu un informācijas sistēmu drošības mērķus, politikas un regulatīvos pasākumus, lai panāktu un saglabātu elektronisko sakaru tīklu un informācijas sistēmu augstu drošības līmeni, kas attiecas uz pamatpakalpojuma sniedzējiem, pamatpakalpojumiem, digitālā pakalpojuma sniedzējiem un digitālajiem pakalpojumiem.
(2) Nacionālās kiberdrošības stratēģijas izstrādi reizi četros gados nodrošina Aizsardzības ministrija. Nacionālo kiberdrošības stratēģiju apstiprina Ministru kabinets."
9. Papildināt pārejas noteikumus ar 6., 7. un 8. punktu šādā redakcijā:
"6. Ministru kabinets līdz 2019. gada 1. janvārim izdara grozījumus Ministru kabineta 2011. gada 26. aprīļa noteikumos Nr. 327 "Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam" atbilstoši šā likuma 9. panta trešajā daļā noteiktajam.
7. Uzraudzības institūcija šā likuma 8.1 panta otrās daļas 2. punktā minēto informāciju pirmo reizi Eiropas Komisijai iesniedz līdz 2018. gada 9. novembrim.
8. Ministru kabinets nacionālo kiberdrošības stratēģiju apstiprina līdz 2019. gada 1. janvārim."
10. Izteikt informatīvo atsauci uz Eiropas Savienības direktīvu šādā redakcijā:
"Informatīva atsauce uz Eiropas Savienības direktīvām
Likumā iekļautas tiesību normas, kas izriet no:
1) Eiropas Parlamenta un Padomes 2009. gada 25. novembra direktīvas 2009/140/EK, ar ko izdara grozījumus direktīvā 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem, direktīvā 2002/19/EK par piekļuvi elektronisko komunikāciju tīkliem un ar tiem saistītām iekārtām un to savstarpēju savienojumu un direktīvā 2002/20/EK par elektronisko komunikāciju tīklu un pakalpojumu atļaušanu (Dokuments attiecas uz EEZ);
2) Eiropas Parlamenta un Padomes 2016. gada 6. jūlija direktīvas (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā."
Likums stājas spēkā nākamajā dienā pēc tā izsludināšanas.
Likums Saeimā pieņemts 2018. gada 11. oktobrī.
Valsts prezidents R. Vējonis
Rīgā 2018. gada 24. oktobrī