Uz sākumu > Jaunumi un notikumi > Stājas spēkā “Minimālās kiberdrošības prasības”

Stājas spēkā “Minimālās kiberdrošības prasības”
21 augusts, 2025 jaunumos

2024. gada 1. septembrī Latvijā stājās spēkā Nacionālās kiberdrošības likums, kas paredz, ka Ministru kabinets nosaka minimālās kiberdrošības prasības.

Pēc tam 2025. gada 2. jūlijā stājās spēkā Ministru kabineta noteikumi Nr. 397 “Minimālās kiberdrošības prasības” (turpmāk tekstā – Prasības). Šīs prasības tika izstrādātas, pamatojoties uz NIS2 direktīvas 41. panta 1. punktu, kas ES dalībvalstīm nosaka pienākumu līdz 2024. gada 17. oktobrim pieņemt un publicēt normatīvos un administratīvos aktus, lai izpildītu direktīvas prasības.

Šajā rakstā aplūkosim dažas no noteiktajām prasībām.

Kiberdrošības pārvaldnieks

Būtisku un svarīgu pakalpojumu sniedzējiem, kā arī valsts iestādēm līdz 2025. gada 1. oktobrim ir jāieceļ kiberdrošības pārvaldnieks, kurš būs atbildīgs par noteikumu ievērošanu.

Līdz tam pašam datumam Nacionālajam kiberdrošības centram jāiesniedz pašnovērtējuma anketa, ko pakalpojumu sniedzēji izmanto, lai novērtētu savu pašreizējo atbilstību normatīvo aktu prasībām. Pamatojoties uz to, Centrs veiks atbilstības revīzijas un sniegs ieteikumus kiberdrošības uzlabošanai. Šī pašnovērtēšana ir regulāri jāatkārto ik pēc 1 līdz 3 gadiem.

Ieceltais kiberdrošības pārvaldnieks, par kuru ziņo Nacionālajam kiberdrošības centram, būs galvenā kontaktpersona saziņai ar CERT.LV kiberincidentu gadījumā.

Prasībās ir noteikti arī kiberdrošības pārvaldnieku atbilstības kritēriji. Papildus profesionālajai kvalifikācijai pārvaldnieks nedrīkst būt bijis saistīts ar PSRS, Latvijas PSR vai ārvalstu izlūkdienestiem, drošības vai pretizlūkošanas dienestiem, kā arī ar organizācijām, kas aizliegtas ar Latvijas normatīvajiem aktiem vai tiesas spriedumiem.

Kiberdrošības pārvaldības dokumentācija

Kiberdrošības dokumentācijā jāiekļauj:

  • kiberdrošības politika;
  • informācijas un komunikāciju tehnoloģiju resursu un informācijas sistēmas katalogs;
  • kiberriska pārvaldības un informācijas un komunikāciju tehnoloģiju nepārtrauktības plāns;
  • kiberincidentu žurnāls.

Kiberdrošības politikā jāiekļauj vispārīga informācija par organizāciju, tās pakalpojumiem, procesiem, kurus potenciāli var ietekmēt kiberdraudi, un tās kiberdrošības struktūru – jānorāda atbildīgās personas, struktūrvienības un sadarbības partneri.

Katalogā jānorāda visi informācijas un komunikāciju tehnoloģiju resursi un sistēmas, kas ir organizācijas īpašumā vai pārvaldībā un pakļautas kiberriskiem.

Organizācijām ir jāuztur spēkā kiberdraudu un nepārtrauktības plāns, un tās var izveidot vairākus pielāgotus plānus, pamatojoties uz savas darbības specifiku (piemēram, valsts informācijas sistēmām vai datu centriem). Šajos plānos ir:

  • jānosaka procesi kiberincidentu, gandrīz notikušu incidentu un ievainojamību identificēšanai;
  • sīki jānorāda reaģēšanas un seku mazināšanas procedūras;
  • jāraksturo darbinieku un pakalpojumu sniedzēju pienākumi;
  • jāietver saziņas plāns kompetento iestāžu un skarto pušu informēšanai.

Citas saistības

Organizācijām ir jāizveido visu informācijas sistēmu dublējumkopijas, nodrošinot, ka šajās dublējumkopijās ir iekļauti visi pilnīgai atjaunošanai nepieciešamie dati – dati, izpildkodi, atbalsta programmatūra, skripti, plānotie uzdevumi, operētājsistēmas komandas un izpildāmās programmas.

Tām ir arī jāapmāca darbinieki un amatpersonas, kuras izmanto informācijas un komunikācijas tehnoloģiju resursus, kiberdrošības jautājumos. Apmācību saturam un formātam jāatbilst viņu kvalifikācijai un darba funkcijām. Saturs ir jāpārskata un jāatjaunina vismaz reizi gadā vai, reaģējot uz mainīgajiem draudiem.

Aizliegts slēgt informācijas un komunikāciju tehnoloģiju pakalpojumu līgumus ar Krievijā, Baltkrievijā vai valstīs, kuras Eiropas Parlaments vai Latvijas parlaments ir atzinis par terorismu atbalstošām, reģistrētām juridiskajām personām.

Visbeidzot ir precizētas prasības revidentiem, kuri tiek iekļauti Kiberdrošības uzraudzības komitejas sarakstā. Juridisko personu revidentiem jābūt reģistrētiem NATO, ES, EBTA vai IP4 valstīs, un to valdēs jābūt šo reģionu pilsoņiem. Arī individuālajiem revidentiem jābūt šo valstu pilsoņiem.

Pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja pieprasījuma organizācija bloķē lietotāja piekļuvi elektronisko sakaru tīklam ne ilgāk kā uz piecām dienām, ja lietotājs būtiski apdraud citu lietotāju tiesības vai elektronisko sakaru tīkla, informācijas sistēmas vai pakalpojuma drošību. Saņemot pieprasījumu slēgt piekļuvi, organizācija nekavējoties atslēdz lietotāju no elektronisko sakaru tīkla un veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja noteiktās darbības (piemēram, novirza lietotāja IP adreses vai domēna nosaukuma pieprasījumus uz piekļuves slēgšanas pieprasījumā norādīto tīmekļa vietni).

vadošie pārstāvji

Armands Rasa
Armands Rasa
Partneris
Anete Boze
Anete Bože
Zvērināta advokāta palīgs

Citas

ziņas un notikumi More

WIDEN releases New Corporate and Tax Data Sheet for the Baltic Countries

Nodokļu tiesības / Korporatīvie, apvienošanās un pārņemšanas procesi
Newly released Corporate and Tax Data Sheet for the Baltic Countries, a comprehe...
Lasīt vairāk

Latvija pastiprina kriminālatbildību par sankciju pārkāpumiem

2025. gada 10. jūnijā Latvija pabeidza Direktīvas (ES) 2024/1226 transponēšanu, izdarot grozījumus...
Lasīt vairāk

Uzziniet vairāk par juridisko jomu Baltijā no mūsu jaunumu vēstules

© 2025 Widen Legal. All rights reserved

widen logo