Kritiskās infrastruktūras apzināšanas, darbības nepārtrauktības, drošības un noturības pasākumu plānošanas, īstenošanas un incidentu paziņošanas kārtība

Ministru kabineta noteikumi Nr. 10 Rīgā 2026. gada 13. janvārī (prot. Nr. 1 35. §)

Izdoti saskaņā ar Nacionālās drošības likuma 22.2 panta sesto daļu, 36.1 panta trešo daļu un 36.2 panta trešo daļu

1. Vispārīgie jautājumi

1. Noteikumi nosaka kritiskās infrastruktūras, tajā skaitā Eiropas mērogā īpaši nozīmīgas kritiskās infrastruktūras, apzināšanas, drošības pasākumu, darbības nepārtrauktības un noturības plānošanas un īstenošanas, kā arī incidentu paziņošanas kārtību, noturības pasākumus, kritiskās infrastruktūras stratēģijas un valsts kritiskās infrastruktūras riska novērtējuma saturu.

2. Noteikumos lietotais termins "kritiskā infrastruktūra" attiecināms arī uz Eiropas mērogā īpaši nozīmīgu kritisko infrastruktūru, ja noteikumos nav paredzēts citādi.

3. Noteikumos lietotais termins "pamatpakalpojums" attiecināms uz būtiski svarīgu valsts un sabiedrības pamatfunkciju īstenošanas pakalpojumiem, tostarp pakalpojumiem, kas noteikti Komisijas 2023. gada 25. jūlija Deleģētajā regulā (ES) 2023/2450, ar ko papildina Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvu (ES) 2022/2557, izveidojot pamatpakalpojumu sarakstu.

4. Šie noteikumi neattiecas uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru Nacionālās kiberdrošības likuma izpratnē.

2. Kritiskās infrastruktūras noturības stratēģija un valsts kritiskās infrastruktūras riska novērtējums

5. Kritiskās infrastruktūras noturības stratēģijā iekļauj:

5.1. stratēģiskos mērķus un prioritātes kritiskās infrastruktūras noturības jomā, ņemot vērā pārrobežu un starpnozaru atkarību un savstarpējo atkarību;

5.2. kritiskās infrastruktūras pārvaldības sistēmas aprakstu, lai sasniegtu stratēģiskos mērķus un prioritātes, tostarp aprakstu par kritiskās infrastruktūras noturības stratēģijas īstenošanā iesaistīto iestāžu, kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju un citu personu uzdevumiem un pienākumiem;

5.3. sarakstu ar valsts nozaru dokumentiem, kas saistīti ar kritiskās infrastruktūras noturības, incidentu paziņošanas un darbības nepārtrauktības un drošības nodrošināšanu;

5.4. pasākumu aprakstu, kas nepieciešami, lai palielinātu kritiskās infrastruktūras noturību, tostarp valsts kritiskās infrastruktūras riska novērtējuma kopsavilkumu;

5.5. kritiskās infrastruktūras apzināšanas procesa aprakstu;

5.6. kritiskās infrastruktūras atbalsta pasākumu aprakstu, tostarp pasākumus, kas vērsti uz sadarbības stiprināšanu starp publisko un privāto sektoru;

5.7. kompetento iestāžu sadarbības kārtību, tostarp ar Nacionālo kiberdrošības centru, Krīzes vadības centru un Latvijas Banku, kā arī ar citu Eiropas Savienības dalībvalstu iestādēm un Eiropas Savienības institūcijām;

5.8. sarakstu ar Kritiskās infrastruktūras noturības stratēģijas īstenošanā iesaistītajām un ieinteresētajām iestādēm, kā arī juridiskajām personām, kas nav kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs;

5.9. ieviesto pasākumu aprakstu, kuru mērķis ir sekmēt, lai kritiskajā infrastruktūrā iekļautie mazie un vidējie uzņēmumi, kā tas noteikts Komisijas 2003. gada 6. maija Ieteikumā 2003/361/EK par mikrouzņēmumu, mazo un vidējo uzņēmumu definīciju, īstenotu pienākumus saskaņā ar šo noteikumu 4. nodaļu;

5.10. kritiskās infrastruktūras gatavības pasākumus un darbības principus valsts apdraudējuma gadījumā.

6. Iekšlietu ministrija atbilstoši normatīvajos aktos noteiktajām informācijas aizsardzības prasībām viena mēneša laikā pēc Kritiskās infrastruktūras noturības stratēģijas apstiprināšanas informē šo noteikumu 5.8. apakšpunktā minētās iestādes un personas, kā arī kritiskās infrastruktūras īpašniekus vai tiesiskos valdītājus par minēto stratēģiju.

7. Iekšlietu ministrija atbilstoši normatīvajos aktos noteiktajām informācijas aizsardzības prasībām triju mēnešu laikā pēc Kritiskās infrastruktūras noturības stratēģijas apstiprināšanas informē par to Eiropas Komisiju.

8. Valsts kritiskās infrastruktūras riska novērtējumā iekļauj:

8.1. iespējamo dabas un cilvēka radīto apdraudējumu analīzi, tostarp starpnozaru vai pārrobežu riskus, kas var ietekmēt kritiskās infrastruktūras noturību;

8.2. valsts un nozaru līmeņa riska novērtējumus, tostarp riska novērtējumu, kas izstrādāts saskaņā ar Valsts civilās aizsardzības plānu;

8.3. informāciju par nozaru savstarpējo atkarību un ietekmi, ko kritiskās infrastruktūras incidenti vienā nozarē var radīt citās nozarēs, tostarp būtiskus riskus iedzīvotājiem un iekšējam tirgum;

8.4. informāciju par iepriekšējiem incidentiem, kas paziņoti saskaņā ar šo noteikumu 5. nodaļu;

8.5. informāciju par riskiem kritiskajai infrastruktūrai valsts apdraudējuma gadījumā.

9. Iekšlietu ministrija atbilstoši normatīvajos aktos noteiktajām informācijas aizsardzības prasībām viena mēneša laikā pēc apstiprināšanas dara zināmu valsts kritiskās infrastruktūras riska novērtējumu vai tā daļu kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem, izmantojot kompetentās valsts drošības iestādes vai nozares ministrijas starpniecību.

10. Iekšlietu ministrija triju mēnešu laikā pēc valsts kritiskās infrastruktūras riska novērtējuma apstiprināšanas atbilstoši normatīvajos aktos noteiktajām informācijas aizsardzības prasībām informē Eiropas Komisiju par risku veidiem un novērtējuma rezultātiem katrā nozarē.

3. Kritiskās infrastruktūras un Eiropas mērogā īpaši nozīmīgas kritiskās infrastruktūras apzināšana

11. Kompetentās iestādes kritiskās infrastruktūras apzināšanai ir:

11.1. valsts drošības iestādes;

11.2. ministrijas.

12. Veicot kritiskās infrastruktūras apzināšanu, kompetentās iestādes ņem vērā valsts kritiskās infrastruktūras riska novērtējumu un Kritiskās infrastruktūras noturības stratēģiju, kā arī kritiskās infrastruktūras incidenta būtisku traucējošo ietekmi vismaz uz vienu valsts un sabiedrības pamatpakalpojumu, kas ir noteikts Komisijas 2023. gada 25. jūlija Deleģētās regulas (ES) 2023/2450, ar ko papildina Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvu (ES) 2022/2557, izveidojot pamatpakalpojumu sarakstu, 2. pantā.

13. Šo noteikumu 12. punktā minētās būtiskas traucējošās ietekmes kritēriji ir:

13.1. to lietotāju skaits, kuri izmanto attiecīgās kritiskās infrastruktūras sniegto pamatpakalpojumu;

13.2. apmērs, kādā citas nozares un apakšnozares ir atkarīgas no attiecīgā pamatpakalpojuma;

13.3. ietekme, ko kritiskās infrastruktūras incidents smaguma pakāpes un ilguma ziņā varētu radīt uz cilvēku veselības aizsardzības, drošības, ekonomiskās un sociālās labklājības, kā arī vides un sabiedrības drošības nodrošināšanu;

13.4. kritiskās infrastruktūras tirgus daļa attiecīgā pamatpakalpojuma vai attiecīgo pamatpakalpojumu tirgū;

13.5. ģeogrāfiskā teritorija, ko kritiskās infrastruktūras incidents varētu ietekmēt, tostarp jebkāda pārrobežu ietekme;

13.6. kritiskās infrastruktūras nozīmīgums pietiekama pamatpakalpojuma līmeņa uzturēšanai, ņemot vērā alternatīvu līdzekļu pieejamību minētā pamatpakalpojuma sniegšanai.

14. Nozaru ministrijas:

14.1. atbilstoši nozares specifikai nosaka robežvērtības, kuras piemērojamas kritisko infrastruktūru būtiski traucējošās ietekmes noteikšanai saskaņā ar šo noteikumu 13. punktu, un informē par tām Iekšlietu ministriju;

14.2. saskaņā ar šo noteikumu 12. punktu izvērtē iespējamo nozares kritisko infrastruktūru un informē par to valsts drošības iestādes un Aizsardzības ministriju;

14.3. apzina iespējamo nozares Eiropas mērogā īpaši nozīmīgo kritisko infrastruktūru un informē par to Iekšlietu ministriju;

14.4. viena mēneša laikā pēc tam, kad Ministru kabinets ir apstiprinājis kritiskās infrastruktūras kopumu, informē savas nozares D kategorijas kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju par tā iekļaušanu kritiskās infrastruktūras kopumā.

15. Valsts drošības dienests, Satversmes aizsardzības birojs un Militārās izlūkošanas un drošības dienests, konsultējoties ar nozares ministriju vai pēc savas iniciatīvas, apzina iespējamo A, B un C kategorijas kritisko infrastruktūru un iesniedz Iekšlietu ministrijā priekšlikumus par tās iekļaušanu kritiskās infrastruktūras kopumā un atbilstošās kritiskās infrastruktūras kategorijas noteikšanu.

16. Aizsardzības ministrija, konsultējoties ar nozares ministriju, apzina iespējamo D kategorijas kritisko infrastruktūru un iesniedz Iekšlietu ministrijā priekšlikumus par tās iekļaušanu kritiskās infrastruktūras kopumā.

17. Valsts drošības dienests, Satversmes aizsardzības birojs vai Militārās izlūkošanas un drošības dienests atbilstoši kritiskās infrastruktūras kopumā noteiktajai kompetencei informē A, B vai C kategorijas kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju par kritiskās infrastruktūras iekļaušanu kritiskās infrastruktūras kopumā.

18. Iekšlietu ministrija:

18.1. pēc nepieciešamības, bet ne retāk kā reizi četros gados, pamatojoties uz šo noteikumu 15. un 16. punktā minēto kompetento iestāžu priekšlikumiem, sagatavo un iesniedz Ministru kabinetā tiesību aktu projektus par kritiskās infrastruktūras kopumu, tostarp par valsts drošības iestāžu un nozaru ministriju kompetences sadali kritiskās infrastruktūras, tajā skaitā Eiropas mērogā īpaši nozīmīgas kritiskās infrastruktūras, noturības, darbības nepārtrauktības un drošības pasākumu plānošanā un īstenošanā;

18.2. ne retāk kā reizi gadā sagatavo un iesniedz Ministru kabinetā informatīvo ziņojumu par kritiskās infrastruktūras drošības situāciju, tostarp apkopojumu par kritiskās infrastruktūras incidentiem;

18.3. mēneša laikā pēc kritiskās infrastruktūras kopuma apstiprināšanas sagatavo un iesniedz Eiropas Komisijai:

18.3.1. sarakstu ar pamatpakalpojumiem, kas tiek sniegti Latvijas Republikā, tostarp par Komisijas 2023. gada 25. jūlija Deleģētās regulas (ES) 2023/2450, ar ko papildina Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvu (ES) 2022/2557, izveidojot pamatpakalpojumu sarakstu, 2. pantā neminētiem pamatpakalpojumiem;

18.3.2. informāciju par kritisko infrastruktūru sadalījumā pa nozarēm un attiecībā uz katru pamatpakalpojumu;

18.3.3. informāciju par visām robežvērtībām, ko piemēro kritērijiem, kas noteikti šo noteikumu 13. punktā;

18.4. trīs mēnešu laikā pēc Eiropas mērogā īpaši nozīmīgas kritiskās infrastruktūras noteikšanas informē Eiropas Komisiju un Eiropas Savienības dalībvalstis, kuras var būtiski ietekmēt attiecīgā Eiropas mērogā īpaši nozīmīgā kritiskā infrastruktūra, par šo infrastruktūru un iemesliem tās noteikšanai;

18.5. koordinē divpusējas vai daudzpusējas pārrunas ar citām Eiropas Savienības dalībvalstīm, kuras var būtiski ietekmēt iespējamā Eiropas mērogā īpaši nozīmīgā kritiskā infrastruktūra;

18.6. nekavējoties informē kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju, ka tā kritiskā infrastruktūra noteikta par Eiropas mērogā īpaši nozīmīgu kritisko infrastruktūru;

18.7. nodrošina sadarbību ar citu Eiropas Savienības dalībvalstu kompetentajām iestādēm un Eiropas Komisiju Eiropas mērogā īpaši nozīmīgas kritiskās infrastruktūras jautājumos, tostarp incidentu informācijas apmaiņā.

19. Iekšlietu ministrs šo noteikumu 18. punktā minēto uzdevumu izpildei, kā arī citu ar kritiskās infrastruktūras noturības pasākumu plānošanu un īstenošanu saistītu jautājumu izpildei ir tiesīgs izveidot koleģiālu starpinstitūciju darba grupu un noteikt tās sastāvu, uzdevumus, tiesības un darba kārtību.

4. Kritiskās infrastruktūras noturības, darbības nepārtrauktības un drošības pasākumu plānošana un īstenošana

4.1. Kritiskās infrastruktūras riska pašnovērtējums

20. Kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs deviņu mēnešu laikā pēc paziņojuma saņemšanas par iekļaušanu kritiskās infrastruktūras kopumā un pēc tam vismaz reizi četros gados veic riska pašnovērtējumu, lai novērtētu riskus, kas varētu traucēt pamatpakalpojumu sniegšanu. Ja kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ir vairāki kritiskās infrastruktūras kopumā iekļautie objekti, attiecīgais kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs izstrādā vienu visaptverošu kritiskās infrastruktūras riska pašnovērtējumu.

21. Riska pašnovērtējumā ņem vērā visus attiecīgos dabas un cilvēka radītos riskus, kas varētu izraisīt incidentu, tostarp:

21.1. starpnozaru vai pārrobežu riskus;

21.2. nelaimes gadījumus;

21.3. dabas katastrofas;

21.4. ārkārtas medicīniskās situācijas un ārkārtas sabiedrības veselības situācijas;

21.5. hibrīddraudus un citus cilvēka izraisītus draudus, tostarp teroristu nodarījumus;

21.6. to, cik lielā mērā citas nozares ir atkarīgas no kritiskās infrastruktūras sniegtā pamatpakalpojuma;

21.7. to, cik lielā mērā attiecīgā kritiskā infrastruktūra ir atkarīga no pamatpakalpojumiem, ko sniedz citu nozaru kritiskā infrastruktūra, tostarp citās Eiropas Savienības dalībvalstīs un trešajās valstīs;

21.8. identificēto kritisko izejvielu un materiālu trūkumu, materiāltehnisko resursu nepieejamību un citas konstatētās ievainojamības;

21.9. militāru apdraudējumu.

22. Kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, izstrādājot riska pašnovērtējumu, ņem vērā arī valsts kritiskās infrastruktūras riska novērtējumu, Valsts civilās aizsardzības plānu un nozares draudu novērtējumu vai analīzi, kā arī tiesību aktus par valsts apdraudējuma pārvarēšanu.

23. A, B un C kategorijas kritiskās infrastruktūras riska pašnovērtējumā papildus šo noteikumu 21. punktā minētajiem riskiem ņem vērā attālināti vadāmo ierīču draudus.

24. Ja kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs ir veicis citus riska pašnovērtējumus vai izstrādājis dokumentus, ievērojot pienākumus, kas noteikti citos tiesību aktos, tas var izmantot šos novērtējumus un dokumentus, lai izpildītu šo noteikumu 20., 21., 22. un 23. punktā ​​​​​​​ noteiktās prasības.

25. A, B un C kategorijas kritiskās infrastruktūras riska pašnovērtējuma atbilstību šajā nodaļā noteiktajām prasībām izvērtē un saskaņo kompetentā valsts drošības iestāde atbilstoši kritiskās infrastruktūras kopumā noteiktajai kompetencei.

26. D kategorijas kritiskās infrastruktūras riska pašnovērtējuma atbilstību šajā nodaļā noteiktajām prasībām izvērtē un atbilstoši kritiskās infrastruktūras kopumā noteiktajai kompetencei saskaņo atbildīgā nozares ministrija.

27. Valsts drošības iestādes un atbildīgā nozares ministrija atbilstoši kompetencei nodrošina informatīvu un metodoloģisku atbalstu kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam riska pašnovērtējuma izstrādē.

28. Valsts drošības iestādes un atbildīgā nozares ministrija izvērtē kritiskās infrastruktūras riska pašnovērtējumu un mēneša laikā, ja kompetentā iestāde un kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nav vienojušies citādi, informē kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju par kritiskās infrastruktūras riska pašnovērtējuma atbilstību šajā apakšnodaļā noteiktajām prasībām vai par nepilnībām, kas jānovērš. Kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs mēneša laikā informē kompetentās iestādes par nepilnību novēršanu un iesniedz riska pašnovērtējumu atkārtotai saskaņošanai.

4.2. Noturības un darbības nepārtrauktības pasākumu plānošana

29. Kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, pamatojoties uz valsts kritiskās infrastruktūras riska novērtējumu un kritiskās infrastruktūras riska pašnovērtējuma rezultātiem, veic samērīgus un atbilstošus tehniskus, drošības un organizatoriskus pasākumus, lai nodrošinātu kritiskās infrastruktūras noturību, tostarp:

29.1. organizatoriskus pasākumus, tostarp nosaka pamatpakalpojumus un ar to nodrošināšanu saistīto kritiskās infrastruktūras funkcionēšanai nozīmīgo informāciju un tehnoloģiskās iekārtas;

29.2. pasākumus incidentu novēršanai, ņemot vērā katastrofu riska mazināšanu un piemērošanos klimata pārmaiņām;

29.3. fiziskās drošības pasākumus, tostarp nodrošina apsardzi, ārējā perimetra drošību, piekļuves kontroli un caurlaižu režīmu;

29.4. darbības nepārtrauktības nodrošināšanas pasākumus, tostarp darbības nepārtrauktības plānošanu valsts apdraudējuma gadījumam;

29.5. reaģēšanas pasākumus incidentu seku novēršanai un mazināšanai, nosakot rīcību šo noteikumu 23. punktā minēto apdraudējumu situācijās;

29.6. darbības atjaunošanas pasākumus pēc incidentiem, ja tika traucēta pamatpakalpojuma nodrošināšanas nepārtrauktība;

29.7. personāla vadības pasākumus, tostarp nosaka kritisko personālu darbības nepārtrauktības nodrošināšanai, kvalifikācijas prasības, kā arī to darbinieku apzināšanu, ieskaitot ārpakalpojuma sniedzējus, kuriem ir piekļuve kritiskās infrastruktūras funkcionēšanai nozīmīgajai informācijai un tehnoloģiskajām iekārtām, par kurām nepieciešams saņemt valsts drošības iestāžu atzinumu saskaņā ar Nacionālās drošības likuma 22.2 panta 3.3 daļu;

29.8. personāla apmācību un informētības paaugstināšanu par šo noteikumu 29.2., 29.3., 29.4., 29.5., 29.6. un 29.7. apakšpunktā minētajiem pasākumiem.

30. Īstenojot šajos noteikumos paredzētos noturības, darbības nepārtrauktības un drošības pasākumus, kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, ja tas ir lietderīgi, ņem vērā Eiropas un starptautiskos standartus.

31. Kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs viena gada laikā pēc paziņojuma saņemšanas par iekļaušanu kritiskās infrastruktūras kopumā sagatavo noturības plānu šo noteikumu 29. punktā noteikto pasākumu nodrošināšanai vai līdzvērtīgu dokumentu un saskaņo to ar atbildīgo nozares ministriju. Ja kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ir vairāki kritiskās infrastruktūras kopumā iekļautie objekti, attiecīgais kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs izstrādā vienu visaptverošu noturības plānu un saskaņo to ar attiecīgajām atbildīgajām nozaru ministrijām.

32. Ja kritiskajai infrastruktūrai Eiropas Savienības vai nacionālajos tiesību aktos, civilās aizsardzības plānos, valsts apdraudējuma pārvarēšanas plānos, nozares darbības nepārtrauktības un noturības plānos vai katastrofu medicīnas plānos jau ir noteikti noturības pasākumi vai tai ir ārējā audita sertificēta un starptautiskajiem standartiem atbilstoša noturības nodrošināšanas sistēma, jauns noturības plāns netiek izstrādāts. Šādos gadījumos kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs sadarbībā ar kompetento iestādi nodrošina esošo noturības dokumentu atbilstību šo noteikumu prasībām.

33. Noturības plānā iekļaujamos darbības nepārtrauktības pasākumus valsts apdraudējuma gadījumam, kas minēti šo noteikumu 29.4. apakšpunktā, kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs izstrādā, iesaistot pašvaldību, ja darbības nepārtrauktības pasākumi aptver funkcijas, kas ir būtiskas, nodrošinot pašvaldību civilās aizsardzības plānos noteiktās darbības un iedzīvotāju pamatvajadzības militāra iebrukuma vai kara gadījumā, atbilstoši šo noteikumu 1. pielikumam un saskaņo tos ar Aizsardzības ministriju.

34. Kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nodrošina aktuālās informācijas uzturēšanu šo noteikumu 31., 33. un 35. punktā minētajos dokumentos. Par izmaiņām nekavējoties, bet ne vēlāk kā mēneša laikā informē:

34.1. kompetento valsts drošības iestādi un atbildīgo nozares ministriju attiecībā uz A, B un C kategorijas kritiskās infrastruktūras dokumentu izmaiņām;

34.2. Aizsardzības ministriju un atbildīgo nozares ministriju attiecībā uz D kategorijas kritiskās infrastruktūras dokumentu izmaiņām.