Kas ir NKDL — Nacionālais kiberdrošības likums?
Nacionālais kiberdrošības likums (NKDL) ir Latvijas galvenais tiesību akts kiberdrošības jomā, kas transponē Eiropas Savienības NIS2 direktīvas prasības Latvijas tiesību sistēmā. NKDL nosaka obligātas kiberdrošības prasības organizācijām, kas darbojas kritiskajās un svarīgajās nozarēs, kā arī definē CERT.LV lomu un pilnvaras.
Likums ir būtisks pagrieziena punkts Latvijas kiberdrošības regulējumā — tas paplašina to organizāciju loku, kurām jāievēro obligātas kiberdrošības prasības, un ievieš stingrākas sankcijas par neievērošanu. Ja iepriekšējais regulējums skāra galvenokārt valsts iestādes un kritiskās infrastruktūras operatorus, NKDL aptver arī privāto sektoru.
Šajā rakstā apskatīsim NKDL saturu, prasības, atšķirības no tiešās NIS2 piemērošanas un praktiskus soļus, kas Latvijas uzņēmumiem jāveic atbilstības nodrošināšanai.
NKDL mērķi un darbības joma
NKDL galvenais mērķis ir nodrošināt augstu kiberdrošības līmeni Latvijā, aizsargājot tīklu un informācijas sistēmas, kas ir būtiskas valsts ekonomikas un sabiedrības funkcionēšanai. Likums definē kiberdrošības pārvaldības ietvaru, nosaka atbildīgās institūcijas un to kompetences, kā arī paredz sadarbības mehānismus starp publisko un privāto sektoru.
NKDL darbības joma aptver būtiskās vienības un svarīgās vienības — terminoloģija, kas tieši atvasināta no NIS2 direktīvas. Būtiskajām vienībām piemērojamas stingrākas prasības un intensīvāka uzraudzība, bet svarīgajām vienībām prasības ir samērīgas to riska līmenim.
Likums attiecas uz organizācijām, kas darbojas šādās nozarēs: enerģētika (elektroapgāde, nafta, gāze, siltumapgāde), transports (gaisa, dzelzceļa, ūdens, autoceļu), banku un finanšu pakalpojumi, veselības aprūpe, ūdensapgāde un notekūdeņi, digitālā infrastruktūra, IKT pakalpojumu pārvaldība, publiskā pārvalde, kā arī pasta un kurjeru pakalpojumi, atkritumu apsaimniekošana, ķīmiskā rūpniecība, pārtikas ražošana un izplatīšana, un digitālo pakalpojumu sniedzēji.
Būtiski, ka NKDL piemēro lieluma kritēriju — likums attiecas uz vidējiem uzņēmumiem (50+ darbinieki vai 10+ milj. EUR apgrozījums) un lieliem uzņēmumiem norādītajās nozarēs.
NKDL prasības organizācijām
NKDL nosaka vairākas obligātas prasības, kas organizācijām jāievieš. Pirmkārt, ir nepieciešama kiberdrošības risku pārvaldība — organizācijai jāveic regulāra risku novērtēšana, jāidentificē kritiskie aktīvi un jāievieš samērīgi aizsardzības pasākumi.
Otrkārt, jānodrošina incidentu apstrāde un ziņošana. NKDL nosaka stingrus termiņus — agrīnais brīdinājums CERT.LV jānosūta 24 stundu laikā pēc būtiska incidenta konstatēšanas, pilns incidenta ziņojums — 72 stundu laikā, un gala ziņojums — viena mēneša laikā. Nespēja ievērot šos termiņus var rezultēt sankcijās.
Treškārt, organizācijām jānodrošina darbības nepārtrauktība — jābūt dokumentētiem un testētiem atkopšanas plāniem, rezerves kopēšanas procedūrām un krīzes vadības mehānismiem. Ceturtkārt, piegādes ķēdes drošība prasa novērtēt piegādātāju un apakšuzņēmēju kiberdrošības prakses.
Piektkārt, vadības atbildība ir noteikta likuma līmenī — uzņēmuma vadībai jāapstiprina kiberdrošības pasākumi, jāuzrauga to ieviešana un jānodrošina personāla apmācība. Vadības locekļi var tikt personiski saukti pie atbildības par pienākumu nepildīšanu.
Sestkārt, organizācijām jānodrošina regulāras drošības pārbaudes un auditi, lai pārliecinātos par aizsardzības pasākumu efektivitāti.
CERT.LV loma un uzraudzība
CERT.LV (Informācijas tehnoloģiju drošības incidentu novēršanas institūcija) ir galvenā kompetentā iestāde NKDL ietvaros. Tās pilnvaras un atbildības ir būtiski paplašinātas salīdzinājumā ar iepriekšējo regulējumu.
CERT.LV ir atbildīga par kiberincidentu koordinēšanu un reaģēšanu nacionālajā līmenī. Tā saņem un apstrādā incidentu ziņojumus no organizācijām, sniedz tehnisku palīdzību incidentu novēršanā un izplata brīdinājumus par aktuāliem draudiem. CERT.LV uztur arī nacionālo ievainojamību datubāzi un koordinē ievainojamību atklāšanas procesus.
Uzraudzības jomā CERT.LV var veikt pārbaudes, pieprasīt informāciju no organizācijām par to kiberdrošības pasākumiem, noteikt obligātus uzlabojumus un piemērot sankcijas. Būtiskajām vienībām CERT.LV var veikt proaktīvas pārbaudes, bet svarīgajām vienībām uzraudzība parasti ir reaktīva — pamatojoties uz incidentiem vai sūdzībām.
CERT.LV arī sadarbojas ar citu ES dalībvalstu kompetentajām iestādēm un piedalās CSIRT tīklā (Computer Security Incident Response Teams Network), nodrošinot koordinētu reaģēšanu uz pārrobežu kiberincidentiem.
Organizācijām ir pienākums sadarboties ar CERT.LV — sniegt pieprasīto informāciju, ļaut veikt pārbaudes un izpildīt CERT.LV rīkojumus. Sadarbības trūkums pats par sevi var būt pamats sankcijām.
NKDL un NIS2 — atšķirības un saistība
NKDL ir NIS2 direktīvas transponējums Latvijas tiesību sistēmā, taču tas nav vienkārša kopija. Latvija ir izmantojusi NIS2 piešķirto rīcības brīvību, lai pielāgotu regulējumu nacionālajām vajadzībām.
Pirmkārt, NKDL precizē nozaru tvērumu Latvijas kontekstā — dažas nozares var tikt definētas šaurāk vai plašāk nekā NIS2 minimālajā prasībā. Otrkārt, NKDL nosaka konkrētas sodu summas un piemērošanas kārtību, kas var atšķirties no NIS2 maksimālajiem apmēriem.
Treškārt, NKDL definē CERT.LV kompetences un pilnvaras, kas ir Latvijas specifika — citās ES dalībvalstīs kompetentās iestādes var būt organizētas citādi. Ceturtkārt, NKDL var noteikt papildu vai specifiskas prasības, kas pārsniedz NIS2 minimumu.
Praksē organizācijām jāfokusējas uz NKDL prasībām, nevis tiešu NIS2 teksta interpretāciju, jo tieši NKDL ir tiesību akts, kas ir saistošs Latvijā. Tomēr NIS2 izpratne palīdz saprast regulējuma loģiku un kontekstu.
Organizācijām, kas darbojas vairākās ES dalībvalstīs, jāņem vērā, ka katrā valstī NIS2 transponējums var atšķirties — kiberdrošības programma jāpielāgo katras valsts specifiskajām prasībām.
Kāpēc svarīgi Latvijas uzņēmumiem
NKDL atbilstība ir tieša juridiska prasība, nevis brīvprātīga labā prakse. Latvijas uzņēmumiem, kas ietilpst likuma tvērumā, neatbilstība var rezultēt būtiskos naudas sodos, obligātos auditos un reputācijas zaudējumos.
Latvijas kiberdrošības ainava ir sarežģīta — ģeopolitiskā pozīcija, augošs kiberuzbrukumu skaits un ierobežotie resursi padara katru organizāciju par potenciālu mērķi. CERT.LV dati liecina, ka kiberincidentu skaits Latvijā turpina pieaugt, un uzbrukumi kļūst arvien sofisticētāki.
Daudziem Latvijas uzņēmumiem NKDL ir pirmā pieredze ar obligātu kiberdrošības regulējumu. Tas rada gan izaicinājumus (resursu un kompetences trūkums), gan iespējas (sistematizēt drošības procesus, paaugstināt noturību). Uzņēmumi, kas laicīgi investē atbilstībā, iegūst konkurences priekšrocību — klienti un partneri arvien biežāk pieprasa pierādāmu kiberdrošības briedumu.
securIT piedāvā visaptverošu NKDL atbilstības programmu — no sākotnējās novērtēšanas līdz tehnisku risinājumu ieviešanai, dokumentācijas izstrādei un nepārtrauktai uzraudzībai. Mēs palīdzam saprast, kuras prasības attiecas uz jūsu organizāciju, un izstrādājam reālistisku ceļa karti atbilstības sasniegšanai.
Biežāk uzdotie jautājumi
Vai NKDL attiecas tikai uz valsts iestādēm?
Nē — NKDL attiecas gan uz publisko, gan privāto sektoru. Likums skar vidējus un lielus uzņēmumus norādītajās nozarēs, tostarp enerģētiku, transportu, veselības aprūpi, pārtikas ražošanu, digitālo infrastruktūru un citas. Ja jūsu uzņēmums darbojas kādā no šīm nozarēm un tam ir vairāk nekā 50 darbinieki vai apgrozījums pārsniedz 10 miljonus EUR, NKDL, visticamāk, attiecas arī uz jums.
Kāds ir sods par NKDL neievērošanu?
NKDL paredz būtiskus naudas sodus — būtiskajām vienībām līdz 10 miljoniem EUR vai 2% no globālā apgrozījuma, svarīgajām vienībām līdz 7 miljoniem EUR vai 1,4% no apgrozījuma. Papildus finansiālajām sankcijām CERT.LV var pieprasīt obligātus auditus, uzlabojumu ieviešanu noteiktos termiņos un publiskot informāciju par pārkāpumiem. Vadības locekļi var tikt personiski saukti pie atbildības.
Kā NKDL atšķiras no NIS2 direktīvas?
NKDL ir NIS2 transponējums Latvijas tiesību sistēmā. Galvenās atšķirības ir Latvijas specifiskā nozaru tvēruma precizēšana, CERT.LV lomas un pilnvaru definēšana, konkrēto sodu apmēru noteikšana un iespējamas papildu prasības. Praksē Latvijas uzņēmumiem jāievēro tieši NKDL prasības, taču NIS2 izpratne palīdz saprast regulējuma kontekstu un loģiku.
Cik bieži jāziņo CERT.LV par incidentiem?
NKDL nosaka trīspakāpju ziņošanas sistēmu. Agrīnais brīdinājums jānosūta 24 stundu laikā pēc būtiska incidenta konstatēšanas. Pilns incidenta ziņojums ar detalizētu analīzi jāiesniedz 72 stundu laikā. Gala ziņojums ar secinājumiem un veiktajiem pasākumiem jāiesniedz viena mēneša laikā. Par nebūtiskiem incidentiem ziņošanas prasības var būt mazāk stingras, taču ieteicams ziņot par visiem drošības notikumiem.