Lai uzlabotu kiberdrošību Latvijā, ieviešot mūsdienīgu un strukturētu kiberdrošības regulējumu, kā arī sekmējot būtisko pakalpojumu sniedzēju un informācijas un komunikācijas tehnoloģiju (IKT) kritiskās infrastruktūras noturību pret kiberdrošības apdraudējumiem, pieņemti Ministru kabineta (MK) noteikumi Nr.397 “Minimālās kiberdrošības prasības”, informē CERT.LV.
MK noteikumi Nr.397 nosaka obligātās kiberdrošības prasības valsts, pašvaldību un kritiski svarīgajiem privātajiem sektora subjektiem, kuri nodrošina būtiskus un svarīgus pakalpojumus, pārvalda IKT kritisko infrastruktūru, izmanto publiskos elektronisko sakaru tīklus, kā arī nodrošina valsts informācijas sistēmu savietojamību. MK noteikumi Nr.397 regulēs tādas jomas kā kiberdrošības pārvaldības prasības, incidentu klasifikācija, ziņošanas termiņi un formas, informācijas sistēmu pieejamība, datu atjaunošana, šifrēšana, kiberhigiēnas pamatprincipi, personāla kompetences un kiberdrošības pārvaldnieka prasības, kā arī prasības, kas izvirzāmas ārpakalpojumiem.
MK noteikumi Nr.397 izstrādāti, jo 2024.gada 1.septembrī spēkā stājās Nacionālās kiberdrošības likums (NKDL), kā rezultātā spēku zaudēja MK noteikumi Nr.442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”. Tāpat MK noteikumi Nr.397 izstrādāti, lai pilnībā ieviestu Latvijas tiesību sistēmā direktīvu 2022/2555, kas paredz dažādus pasākumus, lai panāktu līdzvērtīgi augstu kiberdrošības līmeni visā Eiropas Savienībā.
NKDL un MK noteikumi Nr.397 būtisko un svarīgo pakalpojumu sniedzējiem, kā arī valsts pārvaldes iestādēm paredz pienākumu līdz 2025.gada 1.oktobrim iecelt kiberdrošības pārvaldnieku – atbildīgo par noteikumos minēto prasību izpildi. Tāpat līdz 1.oktobrim Nacionālajā kiberdrošības centrā jāiesniedz pašvērtējuma anketa, ar kuras palīdzību pakalpojumu sniedzēji novērtēs savu šī brīža atbilstību likuma un noteikumu prasībām. Vadoties pēc šajās anketās iekļautās informācijas, Nacionālais kiberdrošības centrs veiks atbilstības auditus, lai novērtētu noteikumos iekļauto prasību izpildi un sniegtu rekomendācijas uzņēmumu vai iestāžu kiberdrošības uzlabošanai. Šāda veida pašnovērtējums uzņēmumiem un iestādēm turpmāk būs jāveic regulāri – reizi 1 vai 3 gados.
Tāpat jaunais regulējums paredz arī kiberdrošības dokumentācijas uzturēšanu, piemēram, darbības nepārtrauktības plānu un kiberrisku pārvaldības plānu izveidi. Drīzumā plānots izstrādāt kiberdrošības dokumentācijas paraugus, lai pakalpojumu sniedzējiem, kuriem šāda veida dokumentācija ir jaunums, atvieglotu tās izstrādi un noteikumos minēto prasību izpildi.
Īpaša uzmanība šiem noteikumiem jāpievērš NKDL subjektiem, jo tajos noteiktas prasības subjekta kiberdrošības pārvaldniekam, prasības IKT pārvaldības dokumentācijai un IKT pārvaldībai kopumā (tajā skaitā īpašās prasības IKT kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem).
Ar MK noteikumiem Nr.397 ir noteikti kiberincidentu būtiskuma kritēriji un to paziņošanas kārtība (7.nodaļa). Noteikumi nosaka arī atbildīgās institūcijas subjektu kiberdrošības uzraudzības jomā. Lai atvieglotu un uzlabotu kiberdrošības pārvaldību un nepieciešamās informācijas iesniegšanas kārtību, Aizsardzības ministrija ir izstrādājusi noteiktas formas veidlapas, tajā skaita nozīmīgu kiberincidentu paziņošanas un risināšanas jomā, informācijas sistēmu klasifikācijas jomā, subjekta kiberdrošības atbilstības pašnovērtējuma jomā u. c. būtiskās kiberdrošības pārvaldības jomās.
Kiberdrošības pārvaldnieks, par kuru atbilstoši kārtībai ir paziņots Nacionālajam kiberdrošības centram, ir galvenā kontaktpersona saziņai ar CERT.LV kiberincidentu gadījumos.
Regulējums stājas spēkā 2025.gada 2.jūlijā.