Zaudējis spēku - Informācijas tehnoloģiju drošības likums

Saeima ir pieņēmusi un Valstsprezidents izsludina šādu likumu:

1.pants. Likuma mērķis

(1) Likuma mērķis ir uzlabot informācijas tehnoloģiju drošību, nosakot svarīgākās prasības, lai garantētu tādu būtisku pakalpojumu saņemšanu, kuru sniegšanai tiek izmantotas šīs tehnoloģijas.

(2) Informācijas tehnoloģiju drošība ir sargājama tā, lai varētu savlaicīgi prognozēt un novērst, kā arī pārvarēt šīs drošības apdraudējumu un likvidēt tā sekas.

(3) Informācijas tehnoloģijas šā likuma izpratnē ir tehnoloģijas, kuras tām paredzēto uzdevumu izpildei veic informācijas elektronisko apstrādi, tai skaitā izveidošanu, dzēšanu, glabāšanu, attēlošanu vai pārsūtīšanu.

2.pants. Likuma darbība

(1) Likums attiecas uz valsts un pašvaldību institūcijām, kā arī uz komersantiem un citām privāto tiesību juridiskajām personām (turpmāk — privāto tiesību juridiskās personas).

(2) Likums neattiecas uz elektronisko sakaru tīklos pārraidāmās informācijas saturu (piemēram, uz informācijas sabiedrības pakalpojumu saturu un audiovizuālajiem darbiem).

3.pants. Informācijas tehnoloģiju kritiskā infrastruktūra

(1) Informācijas tehnoloģiju kritiskā infrastruktūra ir infrastruktūra, kuru atbilstoši Nacionālās drošības likumam apstiprina Ministru kabinets.

(2) Informācijas tehnoloģiju kritisko infrastruktūru aizsargā, lai nodrošinātu valstij un sabiedrībai būtisku pamatfunkciju veikšanu. Turklāt tiek nodrošināta informācijas tehnoloģiju kritiskās infrastruktūras integritāte, pieejamība un konfidencialitāte.

(3) Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtību nosaka Ministru kabinets.

3.1 pants. Pamatpakalpojuma sniedzējs, digitālā pakalpojuma sniedzējs un digitālā pakalpojuma sniedzēja pārstāvis

(1) Pamatpakalpojuma sniedzējs ir valsts vai pašvaldības institūcija vai privāto tiesību juridiskā persona, kas veic saimniecisko darbību Latvijas Republikā un sniedz:

1) finanšu pakalpojumus Kredītiestāžu likuma izpratnē un finanšu tirgus infrastruktūras pakalpojumus, dzeramā ūdens piegādes vai izplatīšanas pakalpojumus, interneta plūsmas apmaiņas punkta pakalpojumus, domēnu nosaukumu sistēmas pakalpojumus, augstākā līmeņa domēna nosaukumu reģistra pakalpojumus vai pakalpojumus enerģētikas, transporta vai veselības nozarē kādā no Eiropas Savienības dalībvalstīm;

2) pakalpojumus, kuru sniegšana ir atkarīga no informācijas tehnoloģijām;

3) pakalpojumus, uz kuru sniegšanu būtiski traucējošu ietekmi var radīt informācijas tehnoloģiju drošības incidents.

(2) Digitālā pakalpojuma sniedzējs ir privāto tiesību juridiskā persona, kas atbilst vienai no šādām pazīmēm:

1) veic saimniecisko darbību Latvijas Republikā un sniedz tiešsaistes tirdzniecības vietas, tiešsaistes meklētājprogrammas vai mākoņdatošanas pakalpojumu (turpmāk — digitālais pakalpojums) kādā no Eiropas Savienības dalībvalstīm;

2) veic saimniecisko darbību ārpus Eiropas Savienības un digitālo pakalpojumu Latvijas Republikā sniedz ar pilnvarota pārstāvja starpniecību.

(3) Par digitālā pakalpojuma sniedzēja pārstāvi var būt fiziskā persona vai privāto tiesību juridiskā persona, kas veic saimniecisko darbību Latvijas Republikā. Uz digitālā pakalpojuma sniedzēja pārstāvi attiecas šajā likumā noteiktie digitālā pakalpojuma sniedzēja pienākumi un tiesības.

(4) Šā panta pirmā, otrā un trešā daļa neattiecas uz elektronisko sakaru komersantu un uzticamu sertifikācijas pakalpojumu sniedzēju. Šā panta otrā un trešā daļa neattiecas uz privāto tiesību juridisko personu, kuras darbinieku skaits nepārsniedz 50 personas un kuras gada apgrozījums vai bilances kopsumma nepārsniedz 10 miljonus euro.

(5) Lēmumu par pamatpakalpojuma sniedzēja un pamatpakalpojuma statusa piešķiršanu, pārskatīšanu un izbeigšanu pieņem par dzeramā ūdens piegādes vai izplatīšanas pakalpojumu jomu, interneta plūsmas apmaiņas punkta pakalpojumu jomu, domēnu nosaukumu sistēmas pakalpojumu jomu, augstākā līmeņa domēna nosaukumu reģistra pakalpojumu jomu un par enerģētikas, transporta un veselības nozari atbildīgā ministrija (turpmāk — par jomu un nozari atbildīgā ministrija). Lēmuma apstrīdēšana un pārsūdzēšana neaptur tā darbību.

(6) Nosacījumus informācijas tehnoloģiju drošības incidenta būtiski traucējošās ietekmes noteikšanai, kārtību, kādā pieprasa informāciju no privāto tiesību juridiskajām personām, kā arī pamatpakalpojuma sniedzēja un pamatpakalpojuma statusa piešķiršanas, pārskatīšanas un izbeigšanas nosacījumus un kārtību, kādā Digitālās drošības uzraudzības komiteju informē par pamatpakalpojumiem un to sniedzējiem, nosaka Ministru kabinets.

4. pants. Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas

(1) Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas (turpmāk — Drošības incidentu novēršanas institūcijas) veicina informācijas tehnoloģiju drošību Latvijas Republikā. Drošības incidentu novēršanas institūciju uzdevumus veic:

1) Militārās izlūkošanas un drošības dienests attiecībā uz Aizsardzības ministriju, tās padotībā esošajām iestādēm un Nacionālajiem bruņotajiem spēkiem;

2) Latvijas Universitātes Matemātikas un informātikas institūts attiecībā uz valsts un pašvaldību institūcijām (izņemot šīs daļas 1. punktā noteikto), kā arī privāto tiesību juridiskajām personām.

(2) Latvijas Universitātes Matemātikas un informātikas institūts tam noteiktos uzdevumus izpilda un tiesības īsteno Aizsardzības ministrijas pakļautībā atbilstoši normatīvajiem aktiem, deleģēšanas līguma noteikumiem un piešķirtajiem valsts budžeta līdzekļiem. Pieņemot pārvaldes lēmumus, Latvijas Universitātes Matemātikas un informātikas institūts ievēro Valsts pārvaldes iekārtas likuma prasības.

(3) Drošības incidentu novēršanas institūcijās personas tiek nodarbinātas dienesta vai darba tiesisko attiecību ietvaros, ja tās ir tiesīgas saņemt speciālo atļauju pieejai valsts noslēpumam un atbilst citām tiesību aktos izvirzītajām prasībām.

(4) Drošības incidentu novēršanas institūcijas šajā likumā noteiktos uzdevumus izpilda atbilstoši tām piešķirtajiem valsts budžeta līdzekļiem, un šīm institūcijām nav tiesību pieprasīt samaksu par veiktajām darbībām.

(5) Valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām ir pienākums sadarboties ar Drošības incidentu novēršanas institūcijām, sniedzot tām nepieciešamo informāciju un pildot to likumīgās prasības.

(6) Valsts apdraudējuma gadījumā Ministru kabinets var pieņemt lēmumu par Latvijas Universitātes Matemātikas un informātikas institūtam noteikto uzdevumu, tiesību un resursu nodošanu Nacionālajiem bruņotajiem spēkiem.

(7) Šajā likumā noteikto tiesību īstenošanai izdoto tiešu valsts drošības vai informācijas tehnoloģiju drošības apdraudējumu novēršanai paredzēto administratīvo aktu apstrīdēšana vai pārsūdzēšana neaptur šo aktu darbību. Tas neattiecas uz administratīvajiem aktiem par administratīvo sodu uzlikšanu.

4.1 pants. Drošības incidentu novēršanas institūciju sadarbība

(1) Militārās izlūkošanas un drošības dienests sniedz informāciju Latvijas Universitātes Matemātikas un informātikas institūtam, lai tas nodrošinātu šā likuma 5. panta pirmās daļas 1. un 3. punktā noteikto uzdevumu īstenošanu, kā arī citu tā rīcībā esošo informāciju par Latvijas Universitātes Matemātikas un informātikas institūta kompetencē esošajiem informācijas tehnoloģiju drošības incidentiem.

(2) Latvijas Universitātes Matemātikas un informātikas institūts informē Militārās izlūkošanas un drošības dienestu par savā rīcībā esošo informāciju par informācijas tehnoloģiju drošības incidentiem Aizsardzības ministrijā, tās padotībā esošajās iestādēs un Nacionālajos bruņotajos spēkos.

(3) Drošības incidentu novēršanas institūcijas regulāri savstarpēji apmainās ar informāciju par aktualitātēm informācijas tehnoloģiju drošības incidentu jomā.

5.pants. Drošības incidentu novēršanas institūciju uzdevumi un tiesības

(1) Latvijas Universitātes Matemātikas un informātikas institūts:

1) uztur vienotu elektroniskās informācijas telpā notiekošo darbību atainojumu;

2) sniedz atbalstu informācijas tehnoloģiju drošības incidenta novēršanā vai koordinē to novēršanu;

3) uztur sabiedrībai pieejamā veidā atbilstoši aktuālajiem apdraudējumiem izstrādātas rekomendācijas par aktuālo informācijas tehnoloģiju risku novēršanu;

4) veic pētniecisko darbu, organizē izglītojošus pasākumus, apmācību un mācības informācijas tehnoloģiju drošības jomā;

5) sniedz atbalstu valsts institūcijām valsts drošības sargāšanā, kā arī noziedzīgu nodarījumu un citu likumpārkāpumu atklāšanā (izmeklēšanā) informācijas tehnoloģiju jomā, ievērojot normatīvajos aktos noteiktos datu apstrādes ierobežojumus;

6) uzrauga, kā valsts un pašvaldību institūcijas, pamatpakalpojuma sniedzēji, digitālā pakalpojuma sniedzēji un elektronisko sakaru komersanti izpilda šajā likumā noteiktos pienākumus;

7) sadarbojas ar starptautiski atzītām informācijas tehnoloģiju drošības incidentu novēršanas institūcijām (vienībām);

71) informē Aizsardzības ministriju par šā likuma 6. panta 2.1 daļā minēto drošības incidentu, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību, un informē citas Eiropas Savienības dalībvalsts kompetento iestādi par drošības incidentu, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību konkrētajā dalībvalstī. Ar Eiropas Savienības dalībvalsts kompetento iestādi šā likuma izpratnē saprot Eiropas Savienības dalībvalsts izraudzītu iestādi, kura atbild par pamatpakalpojuma sniedzēju un digitālā pakalpojuma sniedzēju informācijas tehnoloģiju drošību konkrētajā dalībvalstī un uzrauga to darbību;

72) informē Aizsardzības ministriju par šā likuma 6. panta 2.1 daļā minēto drošības incidentu, kuram ir būtiska ietekme uz digitālā pakalpojuma sniegšanu, un informē citas Eiropas Savienības dalībvalstu kompetentās iestādes, ja drošības incidentam ir būtiska ietekme uz digitālā pakalpojuma sniegšanu vismaz divās Eiropas Savienības dalībvalstīs;

73) informē Digitālās drošības uzraudzības komiteju par konstatēto pamatpakalpojuma sniedzēja vai digitālā pakalpojuma sniedzēja informācijas tehnoloģiju drošības prasību neatbilstību normatīvajiem aktiem, kuri nosaka informācijas tehnoloģiju drošības prasības, un par atklātajiem gadījumiem, kad pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs nav ziņojis par drošības incidentu saskaņā ar šā likuma 6. panta septīto daļu;

74) var lūgt, lai Aizsardzības ministrija nosūta citu Eiropas Savienības dalībvalstu kontaktpunktiem informāciju par šā likuma 6. panta 2.1 daļā minēto drošības incidentu, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību vai digitālā pakalpojuma sniegšanu konkrētajā dalībvalstī. Eiropas Savienības dalībvalsts kontaktpunkts šā likuma izpratnē ir Eiropas Savienības dalībvalsts izraudzīta iestāde, kura atbild par pamatpakalpojuma sniedzēju un digitālā pakalpojuma sniedzēju informācijas tehnoloģiju drošību konkrētajā dalībvalstī un koordinē sadarbību, nodrošinot pārrobežu sadarbību ar citām dalībvalstīm, Tīklu un informācijas sistēmu drošības direktīvas sadarbības grupu (turpmāk — NIS sadarbības grupa) un datordrošības incidentu reaģēšanas vienību tīklu (turpmāk — NIS CSIRT tīkls);

75) sadarbojas ar NIS CSIRT tīklu;

8) veic citus normatīvajos aktos noteiktos pienākumus.

(11) Militārās izlūkošanas un drošības dienests veic šā panta pirmās daļas 2., 4., 5., 6., 7., 7.1, 7.2, 7.3, 7.4, 7.5 un 8. punktā noteiktos uzdevumus.

(2) Drošības incidentu novēršanas institūcijas ir tiesīgas:

1) pieprasīt un saņemt no valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām informāciju par informācijas tehnoloģiju (tostarp tīklu un informācijas sistēmu) drošības prasībām un tehnisko informāciju par notikušu vai notiekošu informācijas tehnoloģiju drošības incidentu (informācija par incidenta apjomu, incidentu izraisījušu kaitniecisku programmatūru datnes, ievainojamību apraksts, incidenta novēršanai veiktie tehniskie pasākumi, informācija par kaitnieku darbībām vai cita tehniskā informācija, ieskaitot IP adreses);

2) iegūt no valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām pēc abpusējas vienošanās tiešsaistes datu plūsmu;

3) veikt informācijas tehnoloģiju kritiskās infrastruktūras pārbaudes;

4) pieņemt lēmumus (arī izdot administratīvos aktus), lai nodrošinātu šajā likumā valsts un pašvaldību institūcijām, kā arī privāto tiesību juridiskajām personām noteikto pienākumu izpildi.

5.1 pants. Aizsardzības ministrijas uzdevumi

Aizsardzības ministrija:

1) sadarbojas ar citu Eiropas Savienības dalībvalstu kontaktpunktiem, tostarp pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma nosūta tiem informāciju par šā likuma 6. panta 2.1 daļā minētajiem drošības incidentiem, kuriem ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību vai digitālā pakalpojuma sniegšanu konkrētajā dalībvalstī;

2) sadarbojas ar NIS sadarbības grupu un reizi gadā sniedz tai ziņojumu par informāciju, kas saņemta par šā likuma 6. panta 2.1 daļā minētajiem drošības incidentiem (tostarp norāda ziņojumu skaitu un drošības incidentu raksturu), kā arī par citu Eiropas Savienības dalībvalstu kompetentajām iestādēm sniegtajiem ziņojumiem;

3) ne vēlāk kā trīs mēnešus pēc nacionālās kiberdrošības stratēģijas apstiprināšanas informē par to Eiropas Komisiju.

6.pants. Rīcība informācijas tehnoloģiju drošības incidenta gadījumā

(1) Informācijas tehnoloģiju drošības incidents (turpmāk — drošības incidents) ir kaitīgs notikums vai nodarījums, kura rezultātā tiek apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte.

(2) Valsts vai pašvaldības institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs drošības incidenta gadījumā nekavējoties veic visas tā novēršanai nepieciešamās darbības (it īpaši izpilda Drošības incidentu novēršanas institūcijas rekomendācijas par vēlamo sākotnējo rīcību drošības incidenta gadījumā), kā arī tūlīt informē par notikušo kompetento Drošības incidentu novēršanas institūciju. Drošības incidentu novēršanas institūcija vienojas ar drošības incidenta pieteicēju par atbalsta sniegšanu drošības incidenta novēršanā.

(21) Ja noticis drošības incidents, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību vai digitālā pakalpojuma sniegšanu, pamatpakalpojuma sniedzējs un digitālā pakalpojuma sniedzējs nekavējoties veic visas tā novēršanai nepieciešamās darbības (it īpaši izpilda kompetentās Drošības incidentu novēršanas institūcijas rekomendācijas par vēlamo sākotnējo rīcību drošības incidenta gadījumā), kā arī šā panta septītajā daļā minētajos gadījumos un kārtībā tūlīt informē kompetento Drošības incidentu novēršanas institūciju par drošības incidentu, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību vai digitālā pakalpojuma sniegšanu. Kompetentā Drošības incidentu novēršanas institūcija vienojas ar pamatpakalpojuma sniedzēju vai digitālā pakalpojuma sniedzēju par atbalsta nodrošināšanu drošības incidenta novēršanā. Kompetentā Drošības incidentu novēršanas institūcija pēc apspriešanās ar pamatpakalpojuma sniedzēju vai digitālā pakalpojuma sniedzēju var informēt sabiedrību vai arī prasīt, lai to dara attiecīgais pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs, ja drošības incidenta publiskošana var šo incidentu atrisināt vai novērst vai arī citādā ziņā ir sabiedrības interesēs.

(22) Šā panta 2.1 daļu nepiemēro kredītiestāde Kredītiestāžu likuma 1. panta otrās daļas 1. punkta izpratnē, tirdzniecības vieta Finanšu instrumentu tirgus likuma 1. panta pirmās daļas 77. punkta izpratnē un centrālo darījumu partneris Eiropas Parlamenta un Padomes 2012. gada 4. jūlija regulas (ES) Nr. 648/2012 par ārpusbiržas atvasinātajiem instrumentiem, centrālajiem darījumu partneriem un darījumu reģistriem (Dokuments attiecas uz EEZ) 2. panta 1. punkta izpratnē.

(3) Privāto tiesību juridiskās personas, uz kurām neattiecas šā panta otrajā un 2.1 daļā noteiktie pienākumi, drošības incidenta gadījumā veic visas tā novēršanai nepieciešamās darbības un var pēc savas iniciatīvas informēt par notikušo Kompetentā Drošības incidentu novēršanas institūciju. Drošības incidentu novēršanas institūcija vienojas ar drošības incidenta pieteicēju par atbalsta sniegšanu drošības incidenta novēršanā.

(4) Drošības incidentu novēršanas institūcija, konstatējusi drošības incidentu, kas apdraud nacionālo drošību, par to informē satiksmes ministru, aizsardzības ministru, par nozari atbildīgo ministru un kompetento valsts drošības iestādi, kā arī iesniedz priekšlikumus par nepieciešamo rīcību, bet, konstatējusi tādu drošības incidentu, kuram ir būtiska ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību, par notikušo informē Sabiedrisko pakalpojumu regulēšanas komisiju un var informēt par notikušo Eiropas Savienības dalībvalstu valsts pārvaldes iestādes un Eiropas Tīklu un informācijas drošības aģentūru. Drošības incidentu novēršanas institūcija var informēt sabiedrību vai arī prasīt, lai to dara attiecīgie elektronisko sakaru komersanti, ja tā uzskata, ka pārkāpuma publiskošana ir sabiedrības interesēs.

(5) Kompetentajai Drošības incidentu novēršanas institūcijai ir tiesības pieprasīt, lai augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājs atslēdz ".lv" domēna vārdu, ja šis domēna vārds ir iesaistīts drošības incidentā, kas būtiski apdraud informācijas sistēmu vai elektronisko sakaru tīklu drošību, un drošības incidentu nav iespējams novērst citā veidā.

(6) Pieprasījumā atslēgt ".lv" domēna vārdu kompetentā Drošības incidentu novēršanas institūcija norāda pieprasījuma iemeslu un domēna vārda atslēgšanas ilgumu, kas nav garāks par piecām dienām, un, ja nepieciešams, citas papildu darbības, kas veicamas augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam (piemēram, datu plūsmas pārvirzīšana uz kompetentās Drošības incidentu novēršanas institūcijas infrastruktūru).

(7) Ministru kabinets nosaka drošības incidenta būtiskuma kritērijus, informēšanas kārtību un ziņojuma saturu.

6.1 pants. Rīcība informācijas tehnoloģiju drošības nepilnības konstatēšanas gadījumā

(1) Informācijas tehnoloģiju drošības nepilnība (turpmāk — drošības nepilnība) ir būtiska informācijas sistēmas vai elektronisko sakaru tīkla izveides, uzturēšanas vai pārveidošanas gaitā tīši vai nejauši radīta sistēmiska vājība, kuras rezultātā var tikt apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte.

(2) Valsts vai pašvaldības institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, konstatējis drošības nepilnību, 90 dienu laikā veic visas tās novēršanai nepieciešamās darbības, kā arī par konstatēto tūlīt informē kompetento Drošības incidentu novēršanas institūciju.

(3) Kompetentā Drošības incidentu novēršanas institūcija, konstatējusi drošības nepilnību, par šo faktu tūlīt informē informācijas sistēmas vai elektronisko sakaru tīkla īpašnieku vai tiesisko valdītāju. Valsts vai pašvaldības institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kompetentās Drošības incidentu novēršanas institūcijas noteiktajā termiņā, bet ne vēlāk kā 90 dienu laikā kopš informēšanas brīža veic visas drošības nepilnības novēršanai nepieciešamās darbības.

7.pants. Personas datu apstrāde