Nacionālās kiberdrošības likums

Saeima ir pieņēmusi un Valstsprezidents izsludina šādu likumu:

I nodaļaVispārīgie noteikumi

1. pants. Likumā lietotie termini

Likumā ir lietoti šādi termini:

1) augstākā līmeņa domēnu nosaukumu reģistra uzturētājs — institūcija, kam deleģēts konkrēts augstākā līmeņa domēns un kas atbild par šā augstākā līmeņa domēna pārvaldību, tai skaitā veic domēnu nosaukumu reģistrāciju šajā augstākā līmeņa domēnā un nodrošina augstākā līmeņa domēna tehnisko darbību, kā arī tā nosaukumu serveru darbību, datubāzu uzturēšanu un augstākā līmeņa domēna zonas datņu sadalīšanu starp nosaukumu serveriem neatkarīgi no tā, vai kādu no minētajām darbībām veic pati institūcija, izņemot situācijas, kad tā augstākā līmeņa domēnu nosaukumus izmanto tikai savām vajadzībām, vai veic ārpakalpojuma sniedzējs;

2) datu centrs — telpa vai telpu komplekss, kas paredzēts informācijas tehnoloģiju un tīkla iekārtu centralizētai izvietošanai, savstarpējai savienošanai un darbībai un kas nodrošina datu uzglabāšanas, apstrādes un pārsūtīšanas (transportēšanas) pakalpojumus, kā arī visas elektroenerģijas sadalei un klimata kontrolei nepieciešamās iekārtas un infrastruktūras;

3) domēnu nosaukumu reģistrācijas pakalpojumu sniedzējs — reģistratūra vai pilnvarotā persona, kas darbojas reģistratūras vārdā, piemēram, privātuma vai pilnvarotās reģistrācijas pakalpojumu sniedzējs vai tālākpārdevējs;

4) domēnu nosaukumu sistēma — hierarhiska, sadalīta nosaukumu sistēma, kas nodrošina iespēju identificēt interneta pakalpojumus un resursus, ļaujot galalietotāju ierīcēm izmantot interneta maršrutēšanas un savienojumu pakalpojumus, lai piekļūtu šiem pakalpojumiem un resursiem;

5) gandrīz noticis kiberincidents — notikums, kurš būtu varējis apdraudēt apstrādātus datus vai tīklu un informācijas sistēmu piedāvāto vai ar tīklu un informācijas sistēmu starpniecību pieejamo pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti, bet kura pilnīga īstenošanās tika sekmīgi novērsta vai kurš neīstenojās;

6) ievainojamība — informācijas un komunikācijas tehnoloģiju vai to pakalpojumu vājums, uzņēmība pret tehniskām problēmām vai nepilnība, kas var tikt izmantota kiberapdraudējumam;

7) informācijas un komunikācijas tehnoloģijas — tehnoloģijas, kuras tām paredzēto uzdevumu izpildei ar tehnisko līdzekļu palīdzību veic informācijas elektronisko apstrādi, tai skaitā izveidošanu, izmainīšanu, dzēšanu, glabāšanu, attēlošanu, pārsūtīšanu vai pārraidīšanu (turpmāk — elektroniskā apstrāde), un nodrošina tehnoloģijas izmantotāju savstarpējo komunikāciju;

8) interneta plūsmu apmaiņas punkts — tīkla infrastruktūra, kas ļauj nodrošināt vairāk nekā divu neatkarīgu tīklu (autonomu sistēmu) starpsavienojumu galvenokārt nolūkā atvieglot interneta datu plūsmu apmaiņu, nodrošina starpsavienojumu tikai autonomām sistēmām, nepieprasa, lai interneta datu plūsma starp jebkurām divām iesaistītām sistēmām izietu cauri jebkurai trešai autonomai sistēmai, un nedz maina, nedz arī citādi ietekmē šādu datu plūsmu;

9) kiberapdraudējums — jebkādi iespējami apstākļi, notikums vai darbība, kas atbilst Eiropas Parlamenta un Padomes 2019. gada 17. aprīļa regulas (ES) 2019/881 par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (turpmāk — regula 2019/881) 2. panta 8. punktā noteiktajai definīcijai;

10) kiberdrošība — darbības, kas atbilst regulas 2019/881 2. panta 1. punktā noteiktajai definīcijai;

11) kiberdrošības incidents (turpmāk — kiberincidents) — notikums, kas apdraud apstrādātus datus vai tādu pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti, kurus piedāvā tīklu un informācijas sistēmas vai kuri pieejami ar tīklu un informācijas sistēmu starpniecību;

12) kiberhigiēna — ikdienas prakšu un paradumu kopums, kura mērķis ir mazināt kiberapdraudējumus, nodrošināt datu aizsardzību un saglabāt informācijas un komunikācijas tehnoloģiju resursu pieejamību, integritāti un konfidencialitāti;

13) kiberincidenta risināšana — darbību un procedūru kopums, kura mērķis ir novērst, atklāt, analizēt un ierobežot kiberincidentu vai reaģēt uz kiberincidentu un to pārvarēt;

14) kiberrisks — kiberincidenta izraisītu zaudējumu vai pakalpojumu traucējumu iespējamība, ko izsaka kā šādu zaudējumu vai traucējumu ietekmes un minētā incidenta varbūtības apvienojumu;

15) kiberuzbrukums — aktīva uzbrucēja rīcība, kuras mērķis ir ietekmēt datu un informācijas un komunikācijas tehnoloģiju pakalpojumu konfidencialitāti, integritāti vai pieejamību;

16) liels saimnieciskās darbības veicējs — juridiskā vai fiziskā persona vai šādu personu apvienība, kas veic saimniecisko darbību Latvijas Republikā un atbilst vismaz vienai no šādām pazīmēm:

17) nacionālā kiberdrošības stratēģija — stratēģiskās plānošanas dokuments, kas nosaka kiberdrošības politikas veidošanas pamatprincipus, mērķi un stratēģiskās prioritātes;

18) nozīmīgs kiberapdraudējums — kiberapdraudējums, kas, ņemot vērā tā tehniskās pamatīpašības, var nopietni ietekmēt kādas juridiskās vai fiziskās personas tīklu un informācijas sistēmas vai šīs personas sniegto pakalpojumu saņēmējus, radot ievērojamu materiālu vai nemateriālu kaitējumu;

19) nozīmīgs kiberincidents — pārrobežu kiberincidents vai tāds kiberincidents, kam ir ietekme uz sniegtā pakalpojuma nepārtrauktību vai sabiedrības interesēm un kas atbilst Ministru kabineta noteiktajiem kritērijiem;

20) pakalpojumatteices kiberuzbrukums — uzbrukums, kas tiek izdarīts pret pakalpojuma sniedzēja infrastruktūru nolūkā negatīvi ietekmēt pakalpojuma pieejamību;

21) pārrobežu kiberincidents — incidents, kas izraisa traucējumus tādā līmenī, kurš pārsniedz dalībvalsts spēju uz to reaģēt, vai kam ir būtiska ietekme uz vismaz divām dalībvalstīm;

22) tīklu un informācijas sistēma:

23) tīklu un informācijas sistēmu drošība — tīklu un informācijas sistēmu spēja noteiktā uzticamības līmenī pretoties visiem notikumiem, kas var apdraudēt elektroniski apstrādājamo datu konfidencialitāti, integritāti un pieejamību vai minēto tīklu un informācijas sistēmu piedāvātos vai ar to starpniecību pieejamos pakalpojumus;

24) uzticamības pakalpojums — elektronisks pakalpojums Eiropas Parlamenta un Padomes 2014. gada 23. jūlija regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ direktīvu 1999/93/EK 3. panta 16. punkta izpratnē;

25) vidējs saimnieciskās darbības veicējs — juridiskā vai fiziskā persona vai šādu personu apvienība, kas veic saimniecisko darbību Latvijas Republikā un atbilst visām šādām pazīmēm:

1) saimnieciskās darbības veicējs nodarbina līdz 249 nodarbinātajiem;

2) saimnieciskās darbības veicēja pēdējā finanšu gada kopējais neto apgrozījums ir vismaz 10 miljoni euro, bet nepārsniedz 50 miljonus euro vai gada bilances kopsumma ir vismaz 10 miljoni euro, bet nepārsniedz 43 miljonus euro;

26) vienotais valsts interneta plūsmu apmaiņas punkts — pastāvīgs fiziskās infrastruktūras un pakalpojumu kopums, kas tiek izveidots un uzturēts, lai nodrošinātu vienotu valsts interneta plūsmu apmaiņu.

2. pants. Likuma mērķis

Likuma mērķis ir:

1) uzlabot informācijas un komunikācijas tehnoloģiju drošību, tai skaitā nosakot prasības būtisko pakalpojumu un svarīgo pakalpojumu sniegšanai un saņemšanai, kā arī informācijas un komunikācijas tehnoloģiju darbībai;

2) noteikt kiberdrošības nodrošināšanas kārtību, paredzot atbildības sadalījumu un Nacionālā kiberdrošības centra kompetenci, sadarbības ietvarus un kiberdrošības veicināšanas uzdevumus;

3) veicināt kiberdrošības pasākumu īstenošanu tā, lai varētu laikus prognozēt un novērst, kā arī pārvarēt kiberapdraudējumu un likvidēt tā sekas, pēc iespējas nodrošinot pakalpojumu konfidencialitātes, integritātes un pieejamības nepārtrauktību.

3. pants. Likuma darbības joma

(1) Likums attiecas uz:

1) būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (turpmāk visi kopā — subjekti);

2) tiešās un pastarpinātās pārvaldes iestādēm, atvasinātām publiskajām personām un citām valsts institūcijām, kā arī privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētu uzdevumu (turpmāk visas kopā — valsts un pašvaldību institūcijas), izņemot valsts drošības iestādes;

3) privāto tiesību juridiskajām personām;

4) šajā likumā noteiktajos gadījumos — fiziskajām personām, kas piedalās koordinētas ievainojamību atklāšanas procesā.

(2) Likums neattiecas uz elektronisko sakaru tīklos pārraidāmās informācijas saturu, tostarp uz informācijas sabiedrības pakalpojumu saturu un audiovizuālajiem darbiem, ja tie netiek izmantoti kā kiberincidentu sastāvdaļa.

(3) Likums attiecas uz tām finanšu vienībām Eiropas Parlamenta un Padomes 2022. gada 14. decembra regulas (ES) 2022/2554 par finanšu nozares digitālās darbības noturību un ar ko groza regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) Nr. 2016/1011 (turpmāk — regula 2022/2554) 2. panta 2. punkta izpratnē, kuras atbilstoši šā likuma 20. pantam ir būtisko pakalpojumu sniedzēji, ciktāl regula 2022/2554 vai citi normatīvie akti nenosaka citas prasības jautājumos par finanšu vienību kiberdrošības prasībām, kiberapdraudējumu un risku pārvaldību (tostarp trešo pušu pakalpojumu sniedzēju risku pārvaldību), darbības noturību un nepārtrauktību, atbildīgo par kiberdrošības pārvaldības noteikšanu, testēšanu, rīcību kiberincidenta gadījumā, incidentu ziņošanu un subjektu uzraudzību.

(4) Ja konkrēto nozari regulējošie Eiropas Savienības tiesību akti paredz būtisko pakalpojumu vai svarīgo pakalpojumu sniedzējiem pienākumu veikt kiberdrošības risku pārvaldības pasākumus vai ziņot par kiberincidentiem un ja šādas prasības ietekmes ziņā ir vismaz līdzvērtīgas šajā likumā noteiktajiem pienākumiem, attiecīgos šā likuma nosacījumus, tostarp par subjektu uzraudzību, šiem subjektiem nepiemēro. Ja konkrēto nozari regulējošie Eiropas Savienības tiesību akti neattiecas uz visiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem konkrētajā nozarē, attiecīgās šā likuma prasības turpina piemērot būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, uz kuriem neattiecas minētie Eiropas Savienības tiesību akti.

(5) Šā panta ceturtajā daļā minētās prasības uzskata par ietekmes ziņā līdzvērtīgām šajā likumā noteiktajiem pasākumiem, ja tās atbilst vismaz vienai no šādām pazīmēm:

1) kiberdrošības risku pārvaldības pasākumi ietekmes ziņā ir vismaz līdzvērtīgi šā likuma 26., 27. un 28. pantā noteiktajām prasībām;

2) konkrēto nozari regulējošais Eiropas Savienības tiesību akts paredz šā likuma 9. pantā noteiktajām kiberincidentu novēršanas institūcijām, šā likuma 13. pantā noteiktajām kompetentajām institūcijām un šā likuma 4. panta pirmajā daļā noteiktajai nacionālajai kompetentajai institūcijai tūlītēju un attiecīgā gadījumā automātisku un tiešu piekļuvi paziņojumiem par kiberincidentiem, un prasības ziņot par kiberincidentiem ietekmes ziņā ir vismaz līdzvērtīgas šā likuma 34. pantā noteiktajām prasībām.

(6) Likums neattiecas uz tādiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri atbilst visiem šādiem nosacījumiem:

1) pakalpojumu sniedzējs ir reģistrēts Eiropas Savienības dalībvalstī;

2) pakalpojumu sniedzējs Latvijas Republikā sniedz šā likuma 20. panta 1., 2. punktā un 8. punkta "s", "t", "u" un "v" apakšpunktā minētos būtiskos pakalpojumus vai šā likuma 21. panta pirmās daļas 2. punkta "l", "m" un "n" apakšpunktā minētos svarīgos pakalpojumus;

3) pakalpojumu sniedzējs Latvijas Republikā nesniedz šīs daļas 2. punktā neminētos būtiskos pakalpojumus vai svarīgos pakalpojumus;

4) pakalpojumu sniedzējs nav informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs;

5) pakalpojumu sniedzēja galvenā reģistrācijas vieta Eiropas Savienībā nav Latvijas Republika.

(7) Likums neattiecas uz tādiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri nav reģistrēti Eiropas Savienībā un kuru pārstāvja galvenā reģistrācijas vieta Eiropas Savienībā nav Latvijas Republika.

(8) Šā likuma izpratnē par galveno reģistrācijas vietu uzskata:

1) Eiropas Savienības dalībvalsti, kurā galvenokārt tiek pieņemti lēmumi saistībā ar pakalpojumu sniedzēja kiberdrošības risku pārvaldības pasākumiem;

2) ja šīs daļas 1. punktā minēto valsti nav iespējams noteikt, — Eiropas Savienības dalībvalsti, kurā attiecībā uz pakalpojumu sniedzēju tiek īstenotas kiberdrošības operācijas;

3) ja šīs daļas 2. punktā minēto valsti nav iespējams noteikt, — Eiropas Savienības dalībvalsti, kurā attiecīgajam pakalpojumu sniedzējam ir vislielākais nodarbināto skaits Eiropas Savienībā.

(9) Šā panta astotā daļa neattiecas uz gadījumiem, kad Nacionālais kiberdrošības centrs pēc citas Eiropas Savienības dalībvalsts kompetentās iestādes pieprasījuma īsteno šajā likumā noteiktos uzraudzības un izpildes panākšanas pasākumus attiecībā uz šajā Eiropas Savienības dalībvalstī reģistrēto būtisko pakalpojumu sniedzēju, kurš sniedz pakalpojumus Latvijas Republikā vai kura valdījumā ir tīkls vai informācijas sistēma, kas atrodas Latvijas Republikā.

(10) Likums neattiecas uz elektronisko sakaru komersantiem, kuri nenodrošina elektronisko sakaru tīklu un nesniedz elektronisko sakaru pakalpojumus Latvijas Republikā.

(11) Likums neattiecas uz tādiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri ir citas Eiropas Savienības dalībvalsts valsts institūcijas.

II nodaļaPar kiberdrošību atbildīgās institūcijas

4. pants. Nacionālais kiberdrošības centrs

Nacionālais kiberdrošības centrs ir nacionālā kompetentā institūcija, kas darbojas Aizsardzības ministrijā kā vienotais kontaktpunkts kiberdrošības jautājumos un īsteno nacionālo kiberdrošības pārraudzību, veido nacionālās kiberdrošības rīcībpolitikas iniciatīvas un atbilstoši kompetencei veido un īsteno starptautisko sadarbību.

5. pants. Nacionālā kiberdrošības centra uzdevumi

(1) Nacionālajam kiberdrošības centram ir šādi uzdevumi:

1) koordinēt sadarbību kiberdrošības jautājumos ar citu Eiropas Savienības dalībvalstu kompetentajām iestādēm un vienotajiem kontaktpunktiem, Eiropas Komisiju, Eiropas Savienības Kiberdrošības aģentūru un citām kompetentajām Eiropas Savienības institūcijām;

2) sadarboties ar būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem to informācijas sistēmu drošības līmeņa noteikšanai;

3) īstenot uzraudzības funkcijas, tostarp uzraudzīt, kā būtisko pakalpojumu un svarīgo pakalpojumu sniedzēji izpilda tiem šajā likumā noteiktos pienākumus;

4) izvērtēt būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju kiberrisku pārvaldības pasākumu atbilstību normatīvajos aktos noteiktajām prasībām;

5) uzraudzīt publisko elektronisko sakaru tīklu drošības prasību ievērošanu;

6) uzturēt valsts iestāžu apkopoto un pašidentificēto būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju sarakstu, nodrošināt tā apstiprināšanu Digitālās drošības uzraudzības komitejā, kā arī sniegt kompetentajām Eiropas Savienības institūcijām apkopotu un pēc nepieciešamības anonimizētu informāciju par identificētajiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem;

7) nodrošināt Nacionālās kiberdrošības padomes un Digitālās drošības uzraudzības komitejas sekretariāta funkcijas;

8) izvērtēt valsts informācijas sistēmu un institūciju informācijas sistēmu attīstības projektu atbilstību minimālajām kiberdrošības prasībām, ievērojot Valsts informācijas sistēmu likumu;

9) nodrošināt vienotā valsts interneta plūsmu apmaiņas punkta darbību, kā arī sadarbībā ar valsts drošības iestādēm koordinēt vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņemšanu;

10) sadarbībā ar valsts pārvaldes iestādēm, valsts drošības iestādēm un privātā sektora pārstāvjiem izstrādāt nacionālo kiberdrošības stratēģiju un ne vēlāk kā trīs mēnešus pēc nacionālās kiberdrošības stratēģijas apstiprināšanas informēt par to Eiropas Komisiju;

11) nodrošināt Nacionālā kiberincidentu krīzes vadības plāna izstrādi un integrēt to valsts aizsardzības plānos, līdzdarboties Eiropas Savienības Kiberkrīžu sadarbības organizācijas tīklā;

12) sadarboties ar Eiropas Savienības Kiberdrošības aģentūru un nekavējoties informēt to par pārrobežu kiberincidentiem, kas skar būtisko pakalpojumu vai svarīgo pakalpojumu sniedzējus, kā arī reizi trijos mēnešos sniegt tai ziņojumu par visiem notikušajiem nozīmīgiem kiberincidentiem, kiberincidentiem, gandrīz notikušiem kiberincidentiem un kiberapdraudējumiem, par kuriem subjekti ir paziņojuši;

13) sadarboties ar citu Eiropas Savienības dalībvalstu kompetentajām iestādēm, tostarp pēc kiberincidentu novēršanas institūcijas pieprasījuma nosūtīt tām saņemto informāciju par nozīmīgiem kiberincidentiem, kas skar šīs Eiropas Savienības dalībvalstis;

14) koordinēt pārrobežu kiberincidenta risināšanu sadarbībā ar kiberincidentu novēršanas institūcijām, Eiropas Savienības, ārvalstu un starptautiskām kompetentajām institūcijām;

15) sadarboties ar Eiropas Savienības tīklu un informācijas sistēmu sadarbības grupu (turpmāk — NIS sadarbības grupa) un īstenot ar to saistītos uzdevumus;

16) īstenot Eiropas Parlamenta un Padomes 2021. gada 20. maija regulā (ES) 2021/887, ar ko izveido Eiropas Industriālo, tehnoloģisko un pētniecisko kiberdrošības kompetenču centru un Nacionālo koordinācijas centru tīklu Nacionālajam koordinācijas centram noteiktās tiesības un pienākumus;

17) uzturēt vienotu Latvijas kibertelpā notiekošo darbību atainojumu, izņemot tajā pārraidītās informācijas saturu;

18) informēt sabiedrību par aktuālajiem kiberapdraudējumiem;

19) nodrošināt drošības operāciju centru darbību Ministru kabineta noteiktajām prasībām atbilstošajos datu centros;

20) atbilstoši kompetencei piedalīties koordinētā ievainojamību atklāšanā un novēršanā;

21) ja nepieciešams, informēt Eiropas Savienības Kiberdrošības aģentūru par ziņām, kas iekļaujamas ievainojamību datubāzē;

22) gadījumos, kad ievainojamība skar arī citu Eiropas Savienības dalībvalsti, sadarboties ar šīs dalībvalsts kompetentajām institūcijām;

23) ja nepieciešams, piedalīties Eiropas Savienības dalībvalstu kiberdrošības kapacitātes un rīcībpolitikas izvērtējumos neatkarīgā eksperta statusā.