Stājies spēkā Nacionālais kiberdrošības likums. Ko tālāk?

Baiba Apine Direktore, IT konsultācijas, PwC Latvia 26/09/24

Šī gada 1. septembrī stājās spēkā Nacionālās kiberdrošības likums (NKDL). Likuma mērķis ir stiprināt kiberdrošību gan uzņēmumos, gan publiskās pārvaldes iestādēs Latvijā. Ar šo likumu tiek ieviestas Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas (NIS2) prasības.

PwC 2023. gadā veiktajā aptaujā "Global Digital Trust Insights" vairāk kā 70% no 3,522 aptaujātajiem uzņēmējdarbības un informācijas tehnoloģiju vadītājiem norādīja, ka kopš 2020. gada veikuši būtiskus uzlabojumus kiberdrošībā - pārvērtēti kiberriski, pārstrādāta drošības dokumentācija, uzlabota spēja aizsargāties pret izspiedējvīrusiem, vairota lietotāju apziņa par informācijas drošību. Iepriekš uzskaitītās aktivitātes  ir noderīgas, lai sekmīgi ieviestu NKDL prasības.

NKDL subjektu identifikācija

Katram uzņēmumam vai publiskās pārvaldes organizācijai, kura darbojas Latvijā, jāizvērtē, vai NKDL izpratnē organizācija ir svarīgo pakalpojumu sniedzējs, būtisko pakalpojumu sniedzējs vai informācijas un komunikācijas tehnoloģiju (IKT) kritiskās infrastruktūras turētājs. Būtisko pakalpojumu sniedzējs, piemēram, ir liela banka vai veselības aprūpes iestāde. Svarīgo pakalpojumu sniedzējs, piemēram, vidējs vai liels pasta pakalpojumu sniedzējs vai atkritumu apsaimniekotājs. Praksē var novērot, ka būtisko un svarīgo pakalpojumu sniedzēji un IKT kritiskās infrastruktūras turētāji skaidri apzinās un ir informēti, ka uz tiem attiecas NKDL prasības. Tomēr visiem uzņēmumiem, kas ir NKDL subjektu piegādes ķēžu dalībnieki, stingri ieteicams jau savlaicīgi piemēroties NKDL prasībām, jo NKDL 18. pants nosaka, ka Nacionālā kiberdrošības stratēģijā tiks izvirzītas prasības arī piegādes ķēžu dalībniekiem. Piemēram, veselības aprūpes iestādes piegādātājam jāievēro analogas kiberdrošības prasības kā veselības aprūpes iestādei. Latvijas Republikas Aizsardzības ministrija izstrādājusi testu, kura noslēgumā uzņēmums/organizācija var pārliecināties vai tā ir vai nav NKDL subjekts.

Būtisko un svarīgo pakalpojumu sniedzējiem ir jāreģistrējas līdz 2025. gada 1. aprīlim, nosūtot reģistrācijas anketu Nacionālajam kiberdrošības centram (NKC) uz Aizsardzības ministrijas E-adresi. Reģistrācijas anketas saturu noteikts Ministru kabineta noteikumi par minimālajām kiberdrošības prasībām, kuri šobrīd tiek izstrādāti.

Kiberincidentu ziņošana un uzraudzības institūciju loma

NKDL nosaka, ka būtisko un svarīgo pakalpojumu sniedzēju un kritiskās infrastruktūras turētāju pienākumu ziņot kiberincidentu novēršanas institūcijai CERT.LV vai MilCERT par kiberdrošības incidentiem. Pirmšķietami tam nevajadzētu būt sarežģītam uzdevumam. Tomēr tā nav, īpaši, ja IKT infrastruktūra ir decentralizēta, atrodas tai nepiemērotās vietās. Tādējādi NKDL prasību ievērošana var kļūt sarežģīta.

NKDL paredz arī Nacionālā kiberdrošības centra izveidi un funkcijas būtisko un svarīgo pakalpojumu sniedzēju kiberdrošības pasākumu uzraudzībai, kā arī nosaka Satversmes aizsardzības biroja funkcijas kiberdrošībā kritiskās infrastruktūras turētāju kiberdrošības aktivitāšu uzraudzībai. Abu organizāciju funkcijas ir arī pārrobežu sadarbība kiberincidentu novēršanai. Šādas centralizētas organizācijas incidentu analīzei nepieciešamas kiberkara apstākļos.

NKDL ieviešana noteikti palīdzēs uzlabot kopējo kiberdrošības vidi un paaugstinās vispārējo kiberdrošības noturību, pat neskatoties uz to, ka process notiek novēloti, ņemot vērā jau pastāvošos kiberdrošības saspīlējumus un aizvien pieaugošos draudus digitālajā vidē. Likuma esamība sekmēs ātrāku un efektīvāku rīcību, atbildības sadali starp visām iesaistītajām pusēm, tādejādi stiprinot valsts spēju efektīvāk aizsargāt kritisko infrastruktūru un, paaugstinot kiberdrošības noturību gan publiskajā, gan privātajā sektorā.

Kontakti

PwC Latvija

Marijas iela 2A, PwC Latvia

Tel: +371 67094400

Sekojiet mums