Lai uzlabotu kiberdrošību Latvijā, ieviešot mūsdienīgu un strukturētu kiberdrošības regulējumu, kā arī sekmējot būtisko pakalpojumu sniedzēju un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras noturību pret kiberdrošības apdraudējumiem, 2025.gada 25.jūnijā apstiprināts Ministru kabineta (MK) noteikumu projekts “Minimālās kiberdrošības prasības”, informē Aizsardzības ministrija.

Noteikumu projekts nosaka obligātās kiberdrošības prasības valsts, pašvaldību un kritiski svarīgajiem privātajiem sektora subjektiem, kuri nodrošina būtiskus un svarīgus pakalpojumus, pārvalda informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru, izmanto publiskos elektronisko sakaru tīklus, kā arī nodrošina valsts informācijas sistēmu savietojamību.

Jaunais noteikumu projekts regulēs tādas jomas kā kiberdrošības pārvaldības prasības, incidentu klasifikācija, ziņošanas termiņi un formas, informācijas sistēmu pieejamība, datu atjaunošana, šifrēšana, kiberhigiēnas pamatprincipi, personāla kompetences un kiberdrošības pārvaldnieka prasības, kā arī prasības, kas izvirzāmas ārpakalpojumiem.

Noteikumu projekts “Minimālās kiberdrošības prasības” izstrādāts, jo 2024.gada 1.septembrī spēkā stājās Nacionālais kiberdrošības likums, kā rezultātā spēku zaudēja MK noteikumi Nr.442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”.

Tāpat noteikumu projekts izstrādāts, lai pilnībā ieviestu Latvijas tiesību sistēmā direktīvu 2022/2555, kas paredz dažādus pasākumus, lai panāktu līdzvērtīgi augstu kiberdrošības līmeni visā Eiropas Savienībā.

Nacionālās kiberdrošības likums un MK noteikumi “Minimālās kiberdrošības prasības” būtisko un svarīgo pakalpojumus sniedzējiem, kā arī valsts pārvaldes iestādēm paredz pienākumu līdz 2025.gada 1.oktobrim iecelt kiberdrošības pārvaldnieku – atbildīgo par noteikumos minēto prasību izpildi. Tāpat līdz 1.oktobrim Nacionālajā kiberdrošības centrā jāiesniedz pašvērtējuma anketa, ar kuras palīdzību pakalpojumu sniedzēji novērtēs savu šī brīža atbilstību likuma un noteikumu prasībām. Vadoties pēc šajās anketās iekļautās informācijas, Nacionālais kiberdrošības centrs veiks atbilstības auditus, lai novērtētu noteikumos iekļauto prasību izpildi un sniegtu rekomendācijas uzņēmumu vai iestāžu kiberdrošības uzlabošanai. Šāda veida pašnovērtējums uzņēmumiem un iestādēm turpmāk būs jāveic regulāri – reizi 1 vai 3 gados.

Tāpat jaunais regulējums paredz arī kiberdrošības dokumentācijas uzturēšanu, piemēram, darbības nepārtrauktības plānu un kiberrisku pārvaldības plānu izveidi. Drīzumā plānots izstrādāt kiberdrošības dokumentācijas paraugus, lai pakalpojumu sniedzējiem, kuriem šāda veida dokumentācija ir jaunums, atvieglotu tās izstrādi un noteikumos minēto prasību izpildi.