ŽURNĀLS Skaidrojumi. Viedokļi

Ievads

Digitalizācija rada jaunas iespējas un atvieglo uzņēmumu un iestāžu iekšējo procesu pārvaldību, to efektivizējot, tomēr vienlaikus tā rada arī jaunus izaicinājumus, tostarp noturību pret kiberuzbrukumiem. Saskaņā ar Eiropadomes datiem 2020. gadā kibernoziedzības radītās globālās ekonomiskās izmaksas sasniedza divkāršu apmēru salīdzinājumā ar 2015. gadu.¹

Reaģējot uz kiberdraudu pieaugumu mūsdienu digitālajā vidē un konstatētajiem trūkumiem esošajā kiberdrošības regulējumā, Eiropas Savienībā (turpmāk – ES) 2023. gada 16. janvārī stājās spēkā Direktīva (ES) 2022/2555² (turpmāk – NIS2 direktīva). Tās mērķis ir ieviest stingrākas un vienotas drošības prasības kiberdrošības jomā visā ES. NIS2 direktīva aizstāj iepriekšējo NIS direktīvu – Direktīvu (ES) 2016/1148,³ kuras izstrāde sākotnēji bija liels solis kiberdrošības noturības veicināšanā Eiropas līmenī.

Lai transponētu NIS2 direktīvu nacionālajos tiesību aktos, 2024. gada 1. septembrī Latvijā stājās spēkā Nacionālais kiberdrošības likums⁴ (turpmāk – Kiberdrošības likums), bet 2025. gada 2. jūlijā stājās spēkā Ministru kabineta noteikumi Nr. 397 “Minimālās kiberdrošības prasības”⁵ (turpmāk – Minimālās kiberdrošības prasības), nosakot konkrētas tehniskās un organizatoriskās prasības, kuras ir jāievēro Kiberdrošības likuma subjektiem. Jaunais regulējums būtiski maina līdzšinējo tiesisko regulējumu Latvijā kiberdrošības jomā. Tas ir nopietns solis pretim noturīgākai digitālajai videi pret kiberdraudiem un kiberuzbrukumiem, kas ir jo īpaši būtiski ģeopolitisko notikumu kontekstā. Šajā rakstā aplūkotas autores ieskatā galvenās jaunās regulējuma tvēruma nianses un prasības, kas noteiktas Kiberdrošības likumā un Minimālajās kiberdrošības prasībās.

1. Nacionālā kiberdrošības likuma subjekti

Stājoties spēkā NIS2 direktīvai, paplašināts arī nozaru loks, uz kurām attiecas kiberdrošības regulējuma prasības. Tagad kiberdrošības regulējums aptver arī tādas jomas kā atkritumu apsaimniekošana, pārtikas ražošana un izplatīšana, pasta un kurjerpasta pakalpojumi, ražošana sabiedrībai nozīmīgās nozarēs (piemēram, zāļu un medicīnisko ierīču ražošana), kā arī informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) pārvaldības un kiberdrošības pakalpojumi. Jānorāda, ka visas nozares, uz kurām attiecas NIS2 direktīva, ir uzskaitītas tās pirmajā un otrajā pielikumā.

Kiberdrošības likums šīs nozares klasificē trīs grupās: būtisko pakalpojumu sniedzēji, svarīgo pakalpojumu sniedzēji un IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji.

Saskaņā ar Kiberdrošības likuma 20. pantu par būtisko pakalpojumu sniedzējiem ir uzskatāmi, piemēram, elektronisko sakaru komersanti, kvalificētu uzticamības pakalpojumu sniedzēji, sabiedriskie elektroniskie plašsaziņas līdzekļi, kredītiestādes, ārstniecības iestādes un lieli saimnieciskās darbības veicēji, kuri ir, piemēram, energoapgādes vai naftas komersanti.