Jau tuvākajos mēnešos plānots pieņemt Nacionālās kiberdrošības likumu (NKDL), kas ietvers NIS2 kiberdrošības prasības un attieksies uz plašāku uzņēmumu un iestāžu loku. Tehnoloģiju uzņēmums“Tet” apkopojis vērtīgu informāciju par jauno prasību ieviešanas termiņiem, uzraudzību, pieejamo atbalstu un citiem jautājumiem.

Galvenās izmaiņas, kas tiek ieviestas ar NKDL stāšanos spēkā, ir palielināts to nozaru skaits, kam jāievēro šie kiberdrošības noteikumi – tagad tajā iekļauti arī pasta un kurjerpasta pakalpojumi, atkritumu pārstrāde, ķīmiskās vielas, pārtikas piegāde, rūpniecība (tehnoloģijas un inženierzinātnes), digitālie pakalpojumi (sociālie pakalpojumi, meklēšana, tirgi) u.c. Tiks ieviestas arī incidentu ziņošanas vadlīnijas, kiberkrīžu plāns, izveidots Nacionālais kiberdrošības centrs un veikti citi pasākumi.

Kad būs jāsāk pildīt jaunās prasības?

NKDL maijā tiks skatīts Saeimā, un tā ieviešana noslēgsies šī gada oktobrī. Subjektiem jeb tiem uzņēmumiem, kas atbildīs likumā noteiktajiem kritērijiem, līdz 2025. gada 1. aprīlim būs jāiesniedz statusa atbilstības paziņojums Nacionālajam kiberdrošības centram. Tālāk būs jāieceļ uzņēmuma kiberdrošības pārvaldnieks, par kuru jāsniedz informācija līdz 2025. gada 1. jūlijam. Līdz šim pašam datumam uzņēmumiem būs jāiesniedz arī pirmreizējs pašnovērtējuma ziņojums.

Kā noskaidrot uzņēmuma atbilstību?

Būtiski, ka uzņēmumiem un iestādēm pašiem būs jānosaka sava atbilstība NDKL. Lai to noteiktu, jau tagad var iepazīties ar likumprojektu Tiesību aktu portālā, kur pieejama likuma aktuālā redakcija. Pilns subjektu saraksts pieejams likumprojekta 18. un 19. pantā. “Lai gan likumprojektu vēl skatīs Saeima, paredzams, ka būtisku izmaiņu tajā nebūs, tāpēc uzņēmumi jau tagad var sākt vērtēt savu atbilstību. Ir uzņēmumi, kas darbojas vairākās nozarēs un atbilstība var būt neskaidra, tāpēc Nacionālais kiberdrošības centrs ir atvērts konsultācijām un gatavs atbalstīt uzņēmumus šajā procesā,” stāsta Aizsardzības ministrijas Kiberdrošības politikas departamenta direktors Edgars Kiukucāns. Uzņēmumi aicināti sūtīt savus jautājumus uz e-pasta adresi NCC@mod.gov.lv.

Kas uzraudzīs jauno prasību ieviešanu?

Subjektu NKDL ievērošanu uzraudzīs divas iestādes – Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs. Tās varēs uzdot novērst konstatētās neatbilstības, uzdot veikt ārējo auditu vai arī uzdot informēt pakalpojumu saņēmējus par to, ka uzņēmumā vai iestādē ir kiberapdraudējums. Ja šīs rekomendācijas netiks pildītas, uzraugošās iestādes būs tiesīgas piemērot dažādas sankcijas, piemēram, apturēt sistēmu darbību, produktu tirdzniecību vai pakalpojumu sniegšanu un pat noteikt pagaidu aizliegumu subjekta vadītājam pildīt savus pienākumus. Tāpat noteikumu neievērošanas gadījumā tie uzņēmumi, kas ir būtisko pakalpojumu sniedzēji un IKT KI, varēs saņemt naudas sodus līdz 10 miljoniem eiro vai 2 % no kopējā gada apgrozījuma pasaulē, bet svarīgo pakalpojumu sniedzēju kategorijā iekļautie uzņēmumi – līdz 7 miljoniem eiro vai līdz 1,4 % no kopējā gada apgrozījuma pasaulē.

Kāds finansiālais atbalsts ir pieejams?

Jauno kiberdrošības prasību ieviešana prasīs gan laika, gan finanšu resursus, ieviešot jaunas sistēmas, uzlabojot tehnisko nodrošinājumu, piesaistot jaunus speciālistus, izglītojot darbiniekus un veicot citas kiberdrošības aktivitātes. Tāpēc subjektiem būs pieejami tiešie granti, par ko informāciju var iegūt Eiropas Komisijas Funding & Tenders portālā, un kaskādes granti, kuru nākamais projektu uzsaukums plānots šī gada martā, un tas būs pieejams ES fondu portālā. Ar grantiem līdz 60 tūkstošiem eiro tiks atbalstīti mazie un vidējie uzņēmumi, kā arī nevalstiskās organizācijas.

Kur meklēt ekspertu atbalstu?

“Jaunā likuma ieviešanas process nebūs viegls, un uzņēmumiem var rasties daudz neskaidrību un jautājumu jau pašā sākumposmā – kur atrast kiberdrošības pārvaldnieku? Vai tas būs kāds uzņēmums vai IT cilvēks? Kas veiks darbinieku apmācības? Kas sakārtos organizācijas risku pārvaldības un IT dokumentācijas lietas? Kurš veiks drošības pārbaudes auditus? Kurš sagatavos pašvērtējuma ziņojumus? Šīs un citas organizatoriskās lietas, kas daudziem uzņēmumiem varētu būt liels izaicinājums, var palīdzēt atrisināt ārējie konsultanti un pieredzējuši kiberdrošības uzņēmumi. Piemēram, Tet jau kopš 2016. gada ir bijis pakļauts NIS1 direktīvai, līdz ar to ir uzkrāta ievērojama pieredze un izstrādāti uzticami kiberdrošības pakalpojumi, kas palīdzēs izpildīt visas NIS2 un NKDL prasības,” stāsta Tet datu IT drošības vadītājs Uldis Lībietis. Vairāk par Tet piedāvātajiem kiberdrošības pakalpojumiem var uzzināt šeit.

Tāpat “Tet” ir iesācis vebināru sēriju par jaunajām NIS2 un NKDL prasībām, lai informētu par aktualitātēm un skaidrotu likuma ieviešanas procesu un prasības. Par nākamajiem Tet pasākumiem iespējams uzzināt Tet LinkedIn profilā.