Jauns regulējums pamatpakalpojumu un digitālo pakalpojumu sniedzējiem
Jaunie Ministru kabineta noteikumu grozījumi papildina 2018.gada 11.oktobra grozījumus Informācijas tehnoloģiju drošības likumā (ITDL), ar kuriem Latvijā tika ieviesta 2016.gada 6.jūlija direktīva 2016/1148 (NIS direktīva), kuras mērķis ir visās ES dalībvalstīs noteikt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību. Jaunais regulējums ir saistošs pamatpakalpojumu un digitālo pakalpojumu sniedzējiem.
Attēls: Icons designed by 0melapics / Freepik.
Tīkliem un informācijas sistēmām ir būtiska nozīme, veicinot preču un pakalpojumu brīvu apriti un personu brīvu pārvietošanos Eiropas Savienībā. Šo sistēmu būtiski traucējumi neatkarīgi no tā, vai tie ir tīši vai netīši un kur tie notiek, var ietekmēt dalībvalstis atsevišķi un ES kopumā. Tāpēc tīklu un informācijas sistēmu drošībai ir būtiska nozīme iekšējā tirgus netraucētas darbības nodrošināšanā. Līdz šim katrā dalībvalstī bija atšķirīgs tiesību subjektu loks, uz kuriem attiecās nacionālā līmenī noteiktās IT drošības prasības un incidentu ziņošanas kārtība.
Ieviešot direktīvu nacionālā līmenī, atbildīgājām ministrijām līdz 2019.gada 31.janvārim bija jāpieņem lēmums par pamatpakalpojuma sniedzēja un pamatpakalpojuma statusa piešķiršanu (pēc kritērijiem, kas noteikti 2019. gada 15. janvāra MK noteikumos Nr. 43).
Attēls: Icons designed by Good Ware, Pixel perfect, Freepik, monkik, Kiranshastry, Eucalyp from www.flaticon.com.
Saskaņā ar šiem kritērijiem par pamatpakalpojuma sniedzēju tiek uzskatīta valsts vai pašvaldības institūcija vai privāto tiesību juridiska persona, kas sniedz/nodrošina:
- finanšu pakalpojumus Kredītiestāžu likuma izpratnē un finanšu tirgus infrastruktūras pakalpojumus, dzeramā ūdens piegādes vai izplatīšanas pakalpojumus, interneta plūsmas apmaiņas punkta pakalpojumus, domēnu nosaukumu sistēmas pakalpojumus, augstākā līmeņa domēna nosaukumu reģistra pakalpojumus vai pakalpojumus enerģētikas, transporta vai veselības nozarē kādā no Eiropas Savienības dalībvalstīm;
- pakalpojumus, kuru sniegšana ir atkarīga no informācijas tehnoloģijām;
- pakalpojumus, kuru sniegšanu var būtiski ietekmēt informācijas tehnoloģiju drošības incidents.
Kas attiecas uz digitālo pakalpojumu sniedzēja statusu: ja digitālo pakalpojumu sniedzējs atbilst ITDL noteiktajiem kritērijiem, tam normatīvo aktu prasības piemērojamas bez īpaša valsts pārvaldes lēmuma par digitālo pakalpojumu sniedzēja statusa piešķiršanu. Tas nozīmē, ka digitālo pakalpojumu sniedzējam savs statuss ir jāsaprot/jāapzinās pašam, ņemot vērā ITDL noteiktos kritērijus.
Digitālā pakalpojuma sniedzējs ir privāto tiesību juridiskā persona, kas atbilst vienai no šādām pazīmēm:
- veic saimniecisko darbību Latvijas Republikā un sniedz tiešsaistes tirdzniecības vietas, tiešsaistes meklētājprogrammas vai mākoņdatošanas pakalpojumu kādā no Eiropas Savienības dalībvalstīm;
- veic saimniecisko darbību ārpus Eiropas Savienības un digitālo pakalpojumu Latvijas Republikā sniedz ar pilnvarota pārstāvja starpniecību.
Attēls: Icons designed by Gregor Cresnar, Freepik from www.flaticon.com.
Savukārt, MK noteikumi Nr. 15 "Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu" nosaka tos IT drošības incidentus, kuru gadījumā pamatpakalpojumu un digitālo pakalpojumu sniedzējiem būs jāsadarbojas/jāziņo/jāpiesaista CERT.LV, ziņojot par IT incidentu un nepieciešamības gadījumā saņemot atbalstu IT incidenta risināšanā.
Finanšu pakalpojumu Kredītiestāžu likuma izpratnē un finanšu tirgus infrastruktūras pakalpojumu sniedzējiem piemērojams speciālais regulējums, tāpēc Informācijas tehnoloģiju drošības likuma un saistīto MK noteikumu normas par rīcību būtiska informācijas tehnoloģiju drošības incidenta gadījumā nav piemērojamas.
Līdz ar MK noteikumu Nr. 442 grozījumiem gan pamatpakalpojumu sniedzējiem, gan digitālo pakalpojumu sniedzējiem vienota kārtība nosaka minimālās drošības prasības, kas jānodrošina to informācijas un komunikāciju tehnoloģiju sistēmām. Ar MK noteikumu Nr. 442 grozījumu stāšanos spēkā 2019. gada 15. janvārī, tie ir saistoši arī informācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem.
Finanšu pakalpojumu Kredītiestāžu likuma izpratnē un finanšu tirgus infrastruktūras pakalpojumu sniedzējiem piemērojams speciālais regulējums, tāpēc Informācijas tehnoloģiju drošības likuma un saistīto MK noteikumu normas par minimālājām drošības prasībām, kas jānodrošina to informācijas un komunikāciju tehnoloģiju sistēmām, nav piemērojamas.