Вступают в силу «минимальные требования по кибербезопасности»

21 августа, 2025 о наших новостях

1 сентября 2024 года в Латвии вступил в силу закон «О кибербезопасности», согласно которому минимальные требования по кибербезопасности определяет Кабинет министров.

Соответственно 2 июля 2025 года вступили в силу Правила КМ № 397 «Минимальные требования по кибербезопасности» (далее в тексте – требования). Данные требования были разработаны на основании статьи 41(1) Директивы NIS2, которая обязывает страны – участницы ЕС до 17 октября 2024 года принять и опубликовать регулирующие и административные акты, обеспечивающие выполнение директивы.

В данной статье мы рассмотрим некоторые установленные требования.

Руководитель по кибербезопасности

Предприятия, предоставляющие критически необходимые и важные услуги, а также государственные учреждения обязаны до 1 октября 2025 года назначить руководителя по кибербезопасности, который будет отвечать за выполнение правил.

До этой же даты в Национальный центр кибербезопасности необходимо подать анкету самооценки, с помощью которой обслуживающие предприятия будут оценивать уровень нынешнего соответствия закону и правилам. На основании этой анкеты Центр проведет аудиты соответствия и даст рекомендации по укреплению кибербезопасности. Самооценка должна проводиться регулярно – каждые 1–3 года.

Назначенный руководитель по кибербезопасности, о котором уведомляется Национальный центр кибербезопасности, будет основным контактным лицом CERT.LV в случаях кибер-инцидентов.

Требования также устанавливают критерии, которым должны соответствовать руководители по кибербезопасности. Помимо профессиональных квалификаций, руководитель не должен иметь связей с разведывательной службой, службой безопасности или контрразведки СССР, Латвийской ССР или любого иностранного государства, а также с организациями, запрещенными латвийским законодательством или решениями суда.

Документация управления кибербезопасностью

В документацию кибербезопасности должны входить:

• политика кибербезопасности;
• каталог ресурсов информационных и коммуникационных технологий и информационных систем;
• план управления кибер-риском и обеспечения непрерывности информационных и коммуникационных технологий;
• журнал кибер-инцидентов.

Политика кибербезопасности должна содержать общие сведения об организации, ее услугах, процессах, которые могут быть затронуты кибер-угрозами, и структуре ее кибербезопасности с указанием ответственных лиц, подразделений и деловых партнеров.

В каталог должны быть внесены все уязвимые для кибер-рисков ресурсы и системы информационных и коммуникационных технологий, которыми владеет или управляет организация.

Организации обязаны составить план противодействия кибер-рискам и обеспечения непрерывности – разрешается иметь несколько индивидуальных планов в зависимости от специфики операционной деятельности (например, в случае национальных информационных систем или дата-центров). Данные планы должны:

• определять порядок обнаружения кибер-инцидентов, опасных ситуаций и уязвимостей;
• детализировать реакцию и смягчение последствий;
• разъяснять роли сотрудников и поставщиков услуг;
• содержать план коммуникации на случай, если потребуется уведомить компетентные органы и затронутые стороны.

Другие обязательства

Организации должны создавать резервные копии всех своих информационных систем, содержащие все необходимые данные для полного восстановления – данные, исполнимый код, вспомогательное программное обеспечение, скрипты, запланированные задачи, команды ОС и исполнимые файлы.

Также они обязаны организовать подготовку сотрудников и должностных лиц, использующих ресурсы информационных и коммуникационных технологий, по вопросам кибербезопасности. Темы и формат учебной подготовки должны соответствовать квалификации и должностным функциям каждого сотрудника. Содержание необходимо пересматривать и обновлять хотя бы один раз в год или при появлении новых угроз.

Запрещается заключать договоры об услугах в сфере информационных и коммуникационных технологий с юридическими лицами, зарегистрированными в России, Беларуси или странах, поддерживающих терроризм, которые признаны таковыми решением Европейского парламента или Сейма Латвии.

Запрещается заключать договоры об услугах в сфере информационных и коммуникационных технологий с юридическими лицами, зарегистрированными в России, Беларуси или странах, поддерживающих терроризм, которые признаны таковыми решением Европейского парламента или Сейма Латвии.

И, наконец, требования, предъявляемые к аудиторам, будут включены в список Комитета по надзору за кибербезопасностью. Аудиторы юридических лиц должны быть зарегистрированы в странах НАТО, ЕС, Европейской ассоциации свободной торговли или Индо-Тихоокеанской четверки, а в правление должны входить граждане из данных регионов. Индивидуальные аудиторы тоже должны иметь гражданство этих стран.