Minimālās kiberdrošības prasības

Ministru kabineta noteikumi Nr. 397 Rīgā 2025. gada 25. jūnijā (prot. Nr. 25 37. §)

Izdoti saskaņā ar Nacionālās kiberdrošības likuma 9. panta ceturto daļu, 12. panta trešo daļu, 24. panta otro daļu, 25. panta pirmo daļu, 26. pantu, 28. panta otro daļu, 33. pantu, 34. panta pirmo, septīto un desmito daļu, 36. panta pirmo daļu, 42. panta trešo daļu, 43. panta otro daļu un 44. panta otro daļu, Nacionālās drošības likuma 22.2 panta sesto daļu, Elektronisko sakaru likuma 8. panta pirmo un otro daļu un Valsts informācijas sistēmu likuma 16. pantu

1. Vispārīgie jautājumi

1. Noteikumi nosaka:

1.1. minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem (turpmāk kopā – subjekti, katrs atsevišķi – subjekts);

1.2. kārtību, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām;

1.3. prasības un veicamos pasākumus subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai;

1.4. IKT kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību;

1.5. IKT kritiskās infrastruktūras, tai skaitā Eiropas IKT kritiskās infrastruktūras, apzināšanas, drošības pasākumu un darbības nepārtrauktības plānošanas un īstenošanas kārtību;

1.6. publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības;

1.7. valsts informācijas sistēmu savietotāju, valsts platformu un integrētā valsts informācijas sistēmā ietilpstošo valsts informācijas sistēmu aizsardzības prasības;

1.8. prasības subjekta kiberdrošības pārvaldniekam;

1.9. veidu, kādā subjekts sniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam Nacionālās kiberdrošības likuma 22. panta pirmajā, otrajā un piektajā daļā, 23. panta pirmajā, otrajā un piektajā daļā un 25. panta otrajā un ceturtajā daļā minēto informāciju;

1.10. subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamās informācijas veidu un apjomu, kā arī plāna izpildes uzraudzības un kontroles kārtību;

1.11. kiberincidentu nozīmīguma kritērijus;

1.12. kārtību informēšanai par kiberincidentu, un to kiberincidentu kritērijus, par kuriem ir sniedzama informācija kompetentajai kiberincidentu novēršanas institūcijai;

1.13. agrīnā brīdinājuma, sākotnējā ziņojuma, starpposma ziņojuma, progresa ziņojuma un galaziņojuma par nozīmīgu kiberincidentu saturu un iesniegšanas kārtību;

1.14. kritērijus un kārtību subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanai;

1.15. nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam;

1.16. subjekta atbilstības pašvērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu, kā arī pašvērtējuma ziņojuma iesniegšanas termiņu un regularitāti;

1.17. subjektiem kiberhigiēnas pasākumu pamatelementus un prasības attiecībā uz kiberhigiēnas pasākumu īstenošanu;

1.18. kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību;

1.19. kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā;

1.20. kārtību ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, pieprasījumus vai tām uzliktos tiesiskos pienākumus;

1.21. prasības kiberincidentu novēršanas institūcijām.

2. Noteikumos lietotie termini:

2.1. autentifikācija – process, kurā elektroniskajā vidē tiek pārbaudīta lietotāja identitāte;

2.2. autorizācija – process, kurā lietotājam pēc veiksmīgas autentifikācijas tiek piešķirtas tiesības veikt konkrētas darbības informācijas sistēmā vai tehniskajā resursā;

2.3. ārpakalpojums – jebkura veida vienošanās starp subjektu un pakalpojuma sniedzēju IKT jomā, saskaņā ar kuru šis pakalpojuma sniedzējs nodrošina procesu, sniedz pakalpojumu, veic tehnisko resursu piegādi vai veic citu darbību subjekta uzdevumā IKT infrastruktūrā;

2.4. datu nesējs – fiziskā vai virtuālā tehnoloģiskā ierīce vai uzglabāšanas vieta, kas paredzēta datu elektroniskajai uzglabāšanai un nolasīšanai, piemēram, cietais disks, zibatmiņa, CD, DVD, magnētiskā kasete;

2.5. drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieņemamam līmenim;

2.6. IKT resursi – tehnisko resursu un informācijas resursu kopums;

2.7. informācijas resurss – strukturēta digitālo datu vienība;

2.8. informācijas sistēma – organizēta sistēma, kas paredzēta informācijas resursu pārvaldībai un elektroniskajai apstrādei, izmantojot tehniskos resursus;

2.9. integritāte – informācijas resursa un tā elektroniskās apstrādes metožu precizitāte, pareizība un pilnīgums;

2.10. konfidencialitāte – piekļuve informācijas resursam tikai pilnvarotiem IKT procesiem un lietotājiem;

2.11. konts – mehānisms, ar kuru lietotājam tiek piešķirta piekļuve IKT resursam vai informācijas sistēmai. Kontam ir unikāls identifikators, kas nodrošina darbības autora identificēšanu un pieejamo darbību un funkciju apjoma noteikšanu IKT resursā. Konts var būt piesaistīts konkrētai fiziskajai personai (piemēram, standarta lietotāja konts, administratora lietotāja konts) vai nebūt piesaistāms nevienai fiziskajai personai (piemēram, sistēmkonts);

2.12. lietotāja konts – konts, kas ir piesaistīts konkrētam lietotājam;

2.13. lietotājs – persona, kurai ir piešķirtas tiesības lietot IKT resursu vai informācijas sistēmu;

2.14. mašīnlasāms formāts – informācijas formāts, kas ir strukturēts tā, lai lietojumprogrammas var automatizēti nolasīt informāciju, kā arī viegli identificēt, atpazīt un iegūt no tās specifiskus datus, tostarp atsevišķas vienības un to iekšējo struktūru. Mašīnlasāma informācija var tikt elektroniski apstrādāta bez manuālas apstrādes no lietotāja puses;

2.15. pamattīkls – publiskā elektronisko sakaru tīkla daļa, kurā ir savienotas pamattīkla iekārtas (pārraides, komutēšanas, maršrutēšanas, multipleksēšanas vai ekvivalentas iekārtas) un kurai ir pievienots piekļuves tīkls, un kas nodrošina savienojumu ar citu elektronisko sakaru tīklu;

2.16. pieejamība – iespēja lietotājam lietot informācijas sistēmu vai informācijas resursu noteiktā laikā un vietā;

2.17. sistēmkonts – konts, kas nodrošina IKT funkciju vai procesu un nav piesaistāms nevienam lietotājam;

2.18. šifrēšana – process, kurā dati tiek pārveidoti, izmantojot speciālu algoritmu un atslēgu, lai padarītu tos neizprotamus vai neizlasāmus bez atbilstošas atslēgas. Šifrētos datus iespējams atšifrēt atpakaļ oriģinālajā formā, izmantojot pareizu atslēgu un atbilstošo atšifrēšanas algoritmu. Šifrēšanu var izmantot gan datu uzglabāšanā, gan pārraidē;

2.19. tehniskais resurss:

2.19.1. aparatūra, iekārta, kas ir tīkla vai informācijas sistēmas sastāvdaļa vai IKT infrastruktūrā izmantota iekārta, kas veic datu apmaiņu ar informācijas sistēmu;

2.19.2. programmatūra, tostarp operētājsistēmas, sistēmfaili, sistēmprogrammas, lietojumprogrammas un palīgprogrammas;

2.20. tīkls – komutācijas aparatūras un ar to saistīto tehnisko resursu kopums, kas savstarpēji savienots ar sakaru kanāliem;

2.21. žurnālfaili – analīzei pieejami pieraksti, kuri tiek automatizēti reģistrēti un satur datus par konkrētiem IKT notikumiem (piemēram, piekļuve, datu ievade, maiņa, dzēšana, izvade);

2.22. 4G tīkls – ceturtās paaudzes mobilo elektronisko sakaru tīkls;

2.23. 5G tīkls – piektās paaudzes mobilo elektronisko sakaru tīkls.

3. Noteikumi attiecas uz subjektiem un to īpašumā un valdījumā esošajiem tīkliem un informācijas sistēmām, izņemot tās, kurās tiek veikta valsts noslēpuma, Ziemeļatlantijas līguma organizācijas (turpmāk – NATO), Eiropas Savienības un ārvalstu institūciju klasificētās informācijas elektroniskā apstrāde.

4. Uz domēnu vārdu reģistrācijas pakalpojumu sniedzējiem attiecas tikai šo noteikumu 9. punkts.

5. Noteikumi neattiecas uz:

5.1. kabeļtelevīzijas tīkliem;

5.2. publiskajos elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija;

5.3. publisko elektronisko sakaru tīklu galiekārtām pie klienta un citām tā galalietotāja iekārtām;

5.4. tālākpārdošanai paredzētajiem tehniskajiem resursiem.

6. Noteikumos ietvertās kiberrisku pārvaldības pasākumu tehniskās un metodiskās prasības Nacionālās kiberdrošības likuma 20. panta 1. punktā, 2. punktā, 4. punktā, 8. punkta "s", "t", "u" un "v" apakšpunktā, 21. panta pirmās daļas 2. punkta "l", "m", "n" apakšpunktā un 6. punktā minētajiem subjektiem piemēro, ciktāl tās nav pretrunā ar Eiropas Komisijas 2024. gada 17. oktobra Īstenošanas regulu (ES) 2024/2690, kas attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem nosaka Direktīvas (ES) 2022/2555 piemērošanas noteikumus, kuri attiecas uz kiberdrošības risku pārvaldības pasākumu tehniskajām un metodiskajām prasībām un precizē, kādos gadījumos incidentu uzskata par būtisku (turpmāk – regula 2024/2690).

2. Statusa paziņošanas kārtība

7. Būtisko vai svarīgo pakalpojumu sniedzējs paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu (1. pielikums):

7.1. Nacionālās kiberdrošības likuma 22. panta pirmajā daļā noteiktajā termiņā – par savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam;

7.2. Nacionālās kiberdrošības likuma 22. panta otrajā daļā noteiktajā termiņā – par izmaiņām statusa reģistrācijas veidlapā norādītajās ziņās;

7.3. par būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa zaudēšanu.

8. Ja būtisko vai svarīgo pakalpojumu sniedzējs vienlaikus ir arī IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, tas šo noteikumu 7. punktā minēto statusa paziņojumu iesniedz arī Satversmes aizsardzības birojam.

9. Domēnu vārdu reģistrācijas pakalpojumu sniedzējs paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu domēnu nosaukumu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu (2. pielikums):

9.1. Nacionālās kiberdrošības likuma 23. panta pirmajā daļā noteiktajā termiņā – par savu atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam;

9.2. Nacionālās kiberdrošības likuma 23. panta otrajā daļā noteiktajā termiņā – par izmaiņām domēnu vārdu reģistrācijas pakalpojumu sniedzēja paziņojuma veidlapā norādītajās ziņās;

9.3. par domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa zaudēšanu.

3. Pamatprasības subjektiem

3.1. Kiberdrošības pārvaldnieks

10. Subjekts paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi, un Satversmes aizsardzības birojam, nosūtot uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu paziņojuma par kiberdrošības pārvaldnieku veidlapu (3. pielikumu):

10.1. Nacionālās kiberdrošības likuma 25. panta otrajā daļā noteiktajā termiņā – par kiberdrošības pārvaldnieka noteikšanu;

10.2. Nacionālās kiberdrošības likuma 25. panta ceturtajā daļā noteiktajā termiņā – par izmaiņām šo noteikumu 10.1. apakšpunktā minētā paziņojuma veidlapā norādītajās ziņās.

11. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs par kiberdrošības pārvaldnieku nosaka fizisku personu:

11.1. kurai ir Latvijas pilsonība;

11.2. kura ir pilngadīga;

11.3. pār kuru nav nodibināta aizgādnība;

11.4. kura nav sodīta par tīšu noziedzīgu nodarījumu, izņemot gadījumu, ja persona ir reabilitēta, vai sodāmība ir noņemta vai dzēsta;

11.5. kurai ir augstākā vai vidējā profesionālā izglītība informācijas tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, kas iegūta pēdējo piecu gadu laikā, vai kurai ir spēkā esošs starptautiski atzīts sertifikāts, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP);

11.6. kura nav un nav bijusi PSRS, Latvijas PSR vai kādas ārvalsts drošības dienesta, izlūkdienesta vai pretizlūkošanas dienesta štata vai ārštata darbinieks, aģents, rezidents vai konspiratīvā dzīvokļa turētājs;

11.7. kura nav un nav bijusi ar Latvijas Republikas likumiem, Augstākās padomes lēmumiem vai tiesas nolēmumiem aizliegto organizāciju dalībnieks (biedrs) pēc šo organizāciju aizliegšanas;

11.8. kura nepieder pie organizētās noziedzības grupējuma, nelikumīga militarizēta vai bruņota formējuma;

11.9. kurai nav diagnosticēti psihiski traucējumi vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarība, kas dod pamatu apšaubīt fiziskās personas uzticamību;

11.10. par kuru Satversmes aizsardzības birojs nav konstatējis drošības riskus.

12. Būtisko pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nosaka fizisku personu:

12.1. kurai ir NATO, Eiropas Savienības vai Eiropas Brīvās tirdzniecības asociācijas (turpmāk – EBTA) dalībvalsts pilsonība;

12.2. kura atbilst šo noteikumu 11.2., 11.3. un 11.4. apakšpunktā noteiktajām prasībām;

12.3. kurai ir augstākā vai vidējā profesionālā izglītība informācijas tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā vai kurai ir spēkā esošs starptautiski atzīts sertifikāts, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, kas iegūta pēdējo piecu gadu laikā.

13. Svarīgo pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nosaka fizisku personu:

13.1. kurai ir NATO, Eiropas Savienības vai EBTA dalībvalsts pilsonība;

13.2. kura atbilst šo noteikumu 11.2. un 11.3. apakšpunktā noteiktajām prasībām;

13.3. kurai ir augstākā vai vidējā profesionālā izglītība informācijas tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā vai kurai ir spēkā esošs starptautiski atzīts sertifikāts, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā.

14. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldnieku nosaka uz termiņu līdz trim gadiem. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldnieka pretendenta saskaņošanai iesniedz Satversmes aizsardzības birojam elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu kiberdrošības pārvaldnieka pretendenta saskaņošanas veidlapu (4. pielikums).

15. Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieka pretendenta atbilstību šo noteikumu 11. punktā minētajām prasībām triju mēnešu laikā no šo noteikumu 14. punktā minētās veidlapas saņemšanas brīža un par pārbaudes rezultātiem informē attiecīgā subjekta vadītāju. Satversmes aizsardzības birojs var neveikt kiberdrošības pārvaldnieka pretendenta pārbaudi, ja kiberdrošības pārvaldnieka pretendentam ir izsniegta speciālā atļauja pieejai valsts noslēpumam.

16. Ne vēlāk kā trīs mēnešus pirms noteiktā kiberdrošības pārvaldnieka darbības termiņa beigām IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs paziņo par kiberdrošības pārvaldnieka pretendentu, iesniedzot Satversmes aizsardzības birojam šo noteikumu 14. punktā minēto veidlapu.

17. Fiziska persona, kura noteikta par:

17.1. A kategorijas IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nedrīkst būt noteikta par kiberdrošības pārvaldnieku citā subjektā;

17.2. B vai C kategorijas IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nedrīkst būt noteikta par kiberdrošības pārvaldnieku citā IKT kritiskās infrastruktūras īpašniekā vai tiesiskajā valdītājā.

18. Fiziskā persona vienlaikus drīkst būt noteikta par kiberdrošības pārvaldnieku ne vairāk kā piecos būtisko pakalpojumu sniedzējos, kas nav IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji.

19. Šo noteikumu 18. punktā minētais ierobežojums neattiecas uz būtisko pakalpojumu sniedzēja, kurā fiziskā persona ir noteikta par kiberdrošības pārvaldnieku, pakļautībā esošiem būtisko pakalpojumu sniedzējiem un būtisko pakalpojumu sniedzējiem, kuru kapitāldaļu īpašnieks vai turētājs ir attiecīgais būtisko pakalpojumu sniedzējs, vai privāto tiesību juridisko personu, kuru attiecīgais būtisko pakalpojumu sniedzējs ir deleģējis pildīt valsts pārvaldes uzdevumu.

20. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nodrošina, ka kiberdrošības pārvaldnieks subjektā vienlaikus nav atbildīgā persona par žurnālfailu pārvaldību vai nav atbildīgā persona par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu.

3.2. Kiberdrošības pārvaldības dokumentācija

21. Subjekta kiberdrošības pārvaldības dokumentu kopumu veido:

21.1. kiberdrošības politika;

21.2. IKT resursu un informācijas sistēmu katalogs;

21.3. kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;

21.4. kiberincidentu žurnāls.

22. Subjekts katru kiberdrošības pārvaldības dokumentu kopuma daļu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu.

23. Subjekts nodrošina, ka kiberdrošības pārvaldības dokumentu kopuma daļas ir pieejamas tikai personām, kurām tās nepieciešamas darba pienākumu vai ārpakalpojuma izpildei.

24. Subjekts kiberdrošības pārvaldības dokumentu kopumu veido un uztur arī elektroniskā formātā.

25. Subjekts nodrošina, ka kiberdrošības pārvaldības dokumentu kopumā ietilpstošo dokumentu kopijas tiek uzglabātas atsevišķi no oriģināliem un ir pieejamas gadījumā, ja dokumentu oriģināli nav pieejami (piemēram, datu nesēja bojājuma gadījumā).

26. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:

26.1. pēc šo noteikumu 21.1. un 21.3. apakšpunktā noteikto kiberdrošības pārvaldības dokumentu kopuma daļu apstiprināšanas vai aktualizēšanas nekavējoties, bet ne vēlāk kā viena mēneša laikā tās iesniedz Satversmes aizsardzības birojam;

26.2. šo noteikumu 21.2. un 21.4. apakšpunktā minētā kiberdrošības pārvaldības dokumentu kopuma daļas iesniedz Satversmes aizsardzības birojam kopā ar pašvērtējuma ziņojumu atbilstoši šo noteikumu 8.3. apakšnodaļai;

26.3. pēc citu šo noteikumu 21. punktā nenorādītu kiberdrošības dokumentu apstiprināšanas vai aktualizēšanas nekavējoties, bet ne vēlāk kā viena mēneša laikā tos iesniedz Satversmes aizsardzības birojam.