2024. gada 1. septembrī spēkā stāsies Nacionālās kiberdrošības likums (NKDL), ko 5. jūlijā izsludinājis Valsts prezidents. Likums paredz noteikt virkni uzdevumu dažādu jomu uzņēmumiem, tai skaitā pašnovērtējuma sagatavošanu, kiberdrošības pārvaldnieka iecelšanu u.c. Uzņēmumiem, kuriem šīs prasības iepriekš nebija saistošas, tas varētu prasīt lielāku darbu, tomēr, kā uzsver “Tet" IT drošības vadītājs Uldis Lībietis, ieguvums kiberdrošības stiprināšanā noteikti būs nozīmīgāks. Turklāt likums ļaus stiprināt ne tikai atsevišķu uzņēmumu, bet arī kopējo sabiedrības un valsts drošību.
Nacionālās kiberdrošības likums izstrādāts atbilstoši Eiropas Parlamenta un Padomes Direktīvai (ES) 2022/2555, saīsinājumā sauktu arī par NIS 2 direktīvu. Tajā, salīdzinot ar iepriekšējām, NIS 1 direktīvas prasībām, ir paplašināts organizāciju un uzņēmumu sektoru loks, kam ir saistoši ES mēroga kiberdrošības noteikumi. Uzņēmumiem, kam jau iepriekš bija obligātas prasības īstenot kiberdrošības pasākumus, izmaiņas būs salīdzinoši nelielas, savukārt tiem, uz ko šīs prasības nebija attiecināmas, priekšā ir vairāki būtiski uzdevumi.
Pirmie soļi uzņēmumam
“Pirmais solis jebkuram uzņēmumam šobrīd ir iepazīties ar pieņemto likumu, kā arī aktīvi iesaistīties Ministru kabineta (MK) noteikumu izstrādē, lai nodrošinātu, ka tie ir saprotami, izpildāmi un var kalpot par noderīgu ceļa karti jebkuram uzņēmumam – gan tiem, kuriem noteikumi būs jāievēro obligāti, gan arī tiem, kas vēlas stiprināt savu kiberdrošību brīvprātīgi. Likumā noteikts, ka uzņēmumam jāizvērtē, vai un kādā apmēra uz to attiecas likuma prasības. Ja jā, tad ir jāapzina, kāda ir tālākā procedūra, lai sakārtotu nepieciešamās jomas un dokumentāciju, kā arī līdz nākamā gada 1. oktobrim būs jāizstrādā pašnovērtējuma ziņojums un jāieceļ kiberdrošības pārvaldnieks,” par pirmajiem uzdevumiem, ko paredz NKDL, stāsta IT drošības eksperts.
Uzņēmumam jāidentificē, vai likums uz to attiecas, – nosakot savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojuma sniedzēja statusam – un atbilstības gadījumā par to jāziņo Nacionālās kiberdrošības centram. Svarīgi to laicīgi izdarīt, lai iekļautos likumā noteiktajā termiņā – līdz 2025. gada 1. aprīlim. Tālāk seko pašnovērtējuma ziņojuma sagatavošana un kiberdrošības pārvaldnieka iecelšana līdz 2025. gada 1. oktobrim.
“Ir skaidrs, ka būs uzņēmumi, kuriem jau ir labi sakārtota dokumentācija, bet pietrūkst praktiskie pasākumi – darbinieku apmācības u.c. Tāpat ir uzņēmumi, kam savukārt ir ļoti labi veikti praktiskie mājasdarbi, bet trūkst dokumentācijas. Pašnovērtējuma ziņojums, kas ļaus saprast, kāda ir reālā situācija, arī palīdzēs izvirzīt prioritātes un konstatēt būtiskākos trūkumus, ko novērst. Šeit var palīdzēt profesionāļi, piemēram, Tet, kas jau astoņus gadus strādā, ievērojot NIS1 direktīvas nosacījums, līdz ar to ir uzkrājis ievērojamu pieredzi un izstrādājis uzticamus kiberdrošības pakalpojumus, kas palīdzēs izpildīt arī šī likuma prasības,” uzsver eksperts.
Likuma prasības – svarīgas ne tikai iekļautajiem uzņēmumiem
Ir vērtīgi gan likuma prasības, gan arī vēlāk izstrādātos MK noteikumus uztvert kā būtisku informāciju kopumā kiberdrošības nodrošināšanai, ko vajadzētu ievērot visiem uzņēmumiem, ne tikai tiem, kam formāli likums jāievēro. Likums un tam sekojošie MK noteikumi palīdzēs izprast, kam obligāti jāpievērš uzmanība un kā nodrošināt uzņēmuma drošību mūsdienu digitālo draudu ēnā. Piemēram, izveidojot atbilstošu kiberrisku pārvaldības plānu, būs iespējams, ja ne vienmēr pasargāt sevi no uzbrukumiem, tad skaidri zināt, kā rīkoties, ja uzbrukums notiktu.
“Skaidrs, ka likuma prasības var arī ietekmēt piegādes ķēžu dalībniekus, pat ja formāli tās nebūtu saistošas, piemēram, uzņēmuma izmēra dēļ. Piemēram, ja liels uzņēmums, kuram jāievēro likuma prasības, gribēs nolīgt apsardzes uzņēmumu kādam savam objektam, visticamāk, arī tam prasīs, lai būtu realizētas visas likumā noteiktās kiberdrošības prasības. Tāpat valsts iestādes vai uzņēmumi var noteikt šādas prasības iepirkumos, lai būtu droši par sadarbības partnera spējām būt noturīgiem pret kiberdraudiem. Arī tiem uzņēmumiem, kas strādā eksporta tirgos, var būt nepieciešams pēc klientu pieprasījuma ievērot šīs prasības,” stāsta eksperts.
Stiprāka arī kopējā sabiedrības un valsts drošība
Uzņēmumiem, kam saistošas likuma prasības, būs jānodrošina regulāras kiberdrošības apmācības saviem darbiniekiem. Tā būs obligāta prasība, savā ziņā pielīdzinot tās darba drošības apmācībai. Svarīgi izvēlēties uzticamu un profesionālu apmācību sniedzēju, lai tās nebūtu tikai formālas, bet sniegtu reālas prasmes un zināšanas.
“Piemēram, “Tet" piedāvā dažāda veida kiberdrošības apmācības, pielāgojot tās katra uzņēmuma vajadzībām. Redzam, ka šīs zināšanas tiek nodotas arī tālāk – draugiem, ģimenes locekļiem – un tam kopumā vajadzētu uzlabot arī sabiedrības drošību un kiberpratību. Tas nozīmē, ka arī tiem cilvēkiem, kas nestrādā šajos uzņēmumos, būs mazāka iespēja nonākt krāpnieku un kibernoziedzinieku nagos,” tā IT drošības eksperts.
Likums arī paredz, ka tiks izveidota jauna institūcija – Nacionālais kiberdrošības centrs, kas darbosies kā vienotais kontaktpunkts kiberdrošības jautājumos, kā arī veiks būtisko un svarīgo pakalpojumu sniedzēju, uz kuriem attiecas likuma prasības, uzraudzību. Tas nozīmē, ka ar valsts kiberdrošības jautājumiem strādās noteikta organizācija, kas savu pienākumu ietvaros izstrādās arī nacionālās kiberdrošības rīcībpolitikas iniciatīvas.
Šobrīd publiskai apspriešanai ir publicēts Ministru kabineta Noteikumu par minimālajām kiberdrošības prasībām projekts, kuram priekšlikumus iespējams iesniegt līdz 17. jūlijam. Ar noteikumu projektu var iepazīties šeit: Noteikumi par minimālajām kiberdrošības prasībām.