← Latvija

Minimālās kiberdrošības prasības

Īsumā

Šie noteikumi nosaka minimālās kiberdrošības prasības dažādiem pakalpojumu sniedzējiem un infrastruktūras īpašniekiem, lai nodrošinātu tīklu un informācijas sistēmu drošību. Tie regulē, kā subjektiem jārīkojas, lai aizsargātu savus digitālos resursus un ziņotu par kiberincidentiem.

Ko tas regulē

Kam tas attiecas

Galvenie punkti

📄 Likuma teksts
Minimālās kiberdrošības prasības Uzmanību! Jūs lietojat neatbilstošu interneta pārlūkprogrammu. Lai varētu lietot visas Likumi.lv piedāvātās iespējas, piedāvājam BEZ MAKSAS ielādēt jaunāku pārlūkprogrammas versiju. Iesakām izmēģināt arī vietnes MOBILO VERSIJU - m.likumi.lv (piemērota arī mazāk jaudīgiem datoriem). nerādīt turpmāk šo paziņojumu Apstiprināt Paldies par viedokli!   Rādīt vēlāk LATVIJAS REPUBLIKAS TIESĪBU AKTI veidi tēmas visvairāk skatītie jaunākie LV  EN uz sākumu meklēt Izvērstā meklēšana Noklusējuma vērtības Izvērstā meklēšana Kā meklēt? Meklēt nosaukumā meklēt locījumos meklēt frāzi Meklēt tekstā meklēt locījumos meklēt frāzi Izdevējs Veids nemeklēt grozījumos Pieņemts Stājas spēkā Dokumenta Nr. līdz līdz Publicēts LV Zaudējis spēku Redakcija uz līdz līdz Statuss: spēkā esošs vēl nav spēkā zaudējis spēku meklēt notīrīt Ministru kabineta noteikumi Nr. 397 Rīgā 2025. gada 25. jūnijā (prot. Nr. 25 37. §) Minimālās kiberdrošības prasības Izdoti saskaņā ar Nacionālās kiberdrošības likuma 9. panta ceturto daļu, 12. panta trešo daļu, 24. panta otro daļu, 25. panta pirmo daļu, 26. pantu, 28. panta otro daļu, 33. pantu, 34. panta pirmo, septīto un desmito daļu, 36. panta pirmo daļu, 42. panta trešo daļu, 43. panta otro daļu un 44. panta otro daļu, Nacionālās drošības likuma 22.2 panta sesto daļu, Elektronisko sakaru likuma 8. panta pirmo un otro daļu un Valsts informācijas sistēmu likuma 16. pantu 1. Vispārīgie jautājumi 1. Noteikumi nosaka: 1.1. minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem (turpmāk kopā – subjekti, katrs atsevišķi – subjekts); 1.2. kārtību, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām; 1.3. prasības un veicamos pasākumus subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai; 1.4. IKT kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību; 1.5. IKT kritiskās infrastruktūras, tai skaitā Eiropas IKT kritiskās infrastruktūras, apzināšanas, drošības pasākumu un darbības nepārtrauktības plānošanas un īstenošanas kārtību; 1.6. publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības; 1.7. valsts informācijas sistēmu savietotāju, valsts platformu un integrētā valsts informācijas sistēmā ietilpstošo valsts informācijas sistēmu aizsardzības prasības; 1.8. prasības subjekta kiberdrošības pārvaldniekam; 1.9. veidu, kādā subjekts sniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam Nacionālās kiberdrošības likuma 22. panta pirmajā, otrajā un piektajā daļā, 23. panta pirmajā, otrajā un piektajā daļā un 25. panta otrajā un ceturtajā daļā minēto informāciju; 1.10. subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamās informācijas veidu un apjomu, kā arī plāna izpildes uzraudzības un kontroles kārtību; 1.11. kiberincidentu nozīmīguma kritērijus; 1.12. kārtību informēšanai par kiberincidentu, un to kiberincidentu kritērijus, par kuriem ir sniedzama informācija kompetentajai kiberincidentu novēršanas institūcijai; 1.13. agrīnā brīdinājuma, sākotnējā ziņojuma, starpposma ziņojuma, progresa ziņojuma un galaziņojuma par nozīmīgu kiberincidentu saturu un iesniegšanas kārtību; 1.14. kritērijus un kārtību subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanai; 1.15. nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam; 1.16. subjekta atbilstības pašvērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu, kā arī pašvērtējuma ziņojuma iesniegšanas termiņu un regularitāti; 1.17. subjektiem kiberhigiēnas pasākumu pamatelementus un prasības attiecībā uz kiberhigiēnas pasākumu īstenošanu; 1.18. kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību; 1.19. kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā; 1.20. kārtību ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, pieprasījumus vai tām uzliktos tiesiskos pienākumus; 1.21. prasības kiberincidentu novēršanas institūcijām. 2 2. Noteikumos lietotie termini: 2.1. autentifikācija – process, kurā elektroniskajā vidē tiek pārbaudīta lietotāja identitāte; 2.2. autorizācija – process, kurā lietotājam pēc veiksmīgas autentifikācijas tiek piešķirtas tiesības veikt konkrētas darbības informācijas sistēmā vai tehniskajā resursā; 2.3. ārpakalpojums – jebkura veida vienošanās starp subjektu un pakalpojuma sniedzēju IKT jomā, saskaņā ar kuru šis pakalpojuma sniedzējs nodrošina procesu, sniedz pakalpojumu, veic tehnisko resursu piegādi vai veic citu darbību subjekta uzdevumā IKT infrastruktūrā; 2.4. datu nesējs – fiziskā vai virtuālā tehnoloģiskā ierīce vai uzglabāšanas vieta, kas paredzēta datu elektroniskajai uzglabāšanai un nolasīšanai, piemēram, cietais disks, zibatmiņa, CD, DVD, magnētiskā kasete; 2.5. drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieņemamam līmenim; 2.6. IKT resursi – tehnisko resursu un informācijas resursu kopums; 2.7. informācijas resurss – strukturēta digitālo datu vienība; 2.8. informācijas sistēma – organizēta sistēma, kas paredzēta informācijas resursu pārvaldībai un elektroniskajai apstrādei, izmantojot tehniskos resursus; 2.9. integritāte – informācijas resursa un tā elektroniskās apstrādes metožu precizitāte, pareizība un pilnīgums; 2.10. konfidencialitāte – piekļuve informācijas resursam tikai pilnvarotiem IKT procesiem un lietotājiem; 2.11. konts – mehānisms, ar kuru lietotājam tiek piešķirta piekļuve IKT resursam vai informācijas sistēmai. Kontam ir unikāls identifikators, kas nodrošina darbības autora identificēšanu un pieejamo darbību un funkciju apjoma noteikšanu IKT resursā. Konts var būt piesaistīts konkrētai fiziskajai personai (piemēram, standarta lietotāja konts, administratora lietotāja konts) vai nebūt piesaistāms nevienai fiziskajai personai (piemēram, sistēmkonts); 2.12. lietotāja konts – konts, kas ir piesaistīts konkrētam lietotājam; 2.13. lietotājs – persona, kurai ir piešķirtas tiesības lietot IKT resursu vai informācijas sistēmu; 2.14. mašīnlasāms formāts – informācijas formāts, kas ir strukturēts tā, lai lietojumprogrammas var automatizēti nolasīt informāciju, kā arī viegli identificēt, atpazīt un iegūt no tās specifiskus datus, tostarp atsevišķas vienības un to iekšējo struktūru. Mašīnlasāma informācija var tikt elektroniski apstrādāta bez manuālas apstrādes no lietotāja puses; 2.15. pamattīkls – publiskā elektronisko sakaru tīkla daļa, kurā ir savienotas pamattīkla iekārtas (pārraides, komutēšanas, maršrutēšanas, multipleksēšanas vai ekvivalentas iekārtas) un kurai ir pievienots piekļuves tīkls, un kas nodrošina savienojumu ar citu elektronisko sakaru tīklu; 2.16. pieejamība – iespēja lietotājam lietot informācijas sistēmu vai informācijas resursu noteiktā laikā un vietā; 2.17. sistēmkonts – konts, kas nodrošina IKT funkciju vai procesu un nav piesaistāms nevienam lietotājam; 2.18. šifrēšana – process, kurā dati tiek pārveidoti, izmantojot speciālu algoritmu un atslēgu, lai padarītu tos neizprotamus vai neizlasāmus bez atbilstošas atslēgas. Šifrētos datus iespējams atšifrēt atpakaļ oriģinālajā formā, izmantojot pareizu atslēgu un atbilstošo atšifrēšanas algoritmu. Šifrēšanu var izmantot gan datu uzglabāšanā, gan pārraidē; 2.19. tehniskais resurss:  2.19.1. aparatūra, iekārta, kas ir tīkla vai informācijas sistēmas sastāvdaļa vai IKT infrastruktūrā izmantota iekārta, kas veic datu apmaiņu ar informācijas sistēmu; 2.19.2. programmatūra, tostarp operētājsistēmas, sistēmfaili, sistēmprogrammas, lietojumprogrammas un palīgprogrammas; 2.20. tīkls – komutācijas aparatūras un ar to saistīto tehnisko resursu kopums, kas savstarpēji savienots ar sakaru kanāliem; 2.21. žurnālfaili – analīzei pieejami pieraksti, kuri tiek automatizēti reģistrēti un satur datus par konkrētiem IKT notikumiem (piemēram, piekļuve, datu ievade, maiņa, dzēšana, izvade); 2.22. 4G tīkls – ceturtās paaudzes mobilo elektronisko sakaru tīkls; 2.23. 5G tīkls – piektās paaudzes mobilo elektronisko sakaru tīkls. 3 3. Noteikumi attiecas uz subjektiem un to īpašumā un valdījumā esošajiem tīkliem un informācijas sistēmām, izņemot tās, kurās tiek veikta valsts noslēpuma, Ziemeļatlantijas līguma organizācijas (turpmāk – NATO), Eiropas Savienības un ārvalstu institūciju klasificētās informācijas elektroniskā apstrāde. 4 4. Uz domēnu vārdu reģistrācijas pakalpojumu sniedzējiem attiecas tikai šo noteikumu 9. punkts. 5 5. Noteikumi neattiecas uz: 5.1. kabeļtelevīzijas tīkliem; 5.2. publiskajos elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija; 5.3. publisko elektronisko sakaru tīklu galiekārtām pie klienta un citām tā galalietotāja iekārtām; 5.4. tālākpārdošanai paredzētajiem tehniskajiem resursiem. 6 6. Noteikumos ietvertās kiberrisku pārvaldības pasākumu tehniskās un metodiskās prasības Nacionālās kiberdrošības likuma 20. panta 1. punktā, 2. punktā, 4. punktā, 8. punkta "s", "t", "u" un "v" apakšpunktā, 21. panta pirmās daļas 2. punkta "l", "m", "n" apakšpunktā un 6. punktā minētajiem subjektiem piemēro, ciktāl tās nav pretrunā ar Eiropas Komisijas 2024. gada 17. oktobra Īstenošanas regulu (ES) 2024/2690/oj" REL="noopener noreferrer" TARGET="_blank"> 2024/2690, kas attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem nosaka Direktīvas (ES) 2022/2555 piemērošanas noteikumus, kuri attiecas uz kiberdrošības risku pārvaldības pasākumu tehniskajām un metodiskajām prasībām un precizē, kādos gadījumos incidentu uzskata par būtisku (turpmāk – regula 2024/2690/oj" REL="noopener noreferrer" TARGET="_blank"> 2024/2690). 7 2. Statusa paziņošanas kārtība 7. Būtisko vai svarīgo pakalpojumu sniedzējs paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu (1. pielikums): 7.1. Nacionālās kiberdrošības likuma 22. panta pirmajā daļā noteiktajā termiņā – par savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam; 7.2. Nacionālās kiberdrošības likuma 22. panta otrajā daļā noteiktajā termiņā – par izmaiņām statusa reģistrācijas veidlapā norādītajās ziņās; 7.3. par būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa zaudēšanu. 8 8. Ja būtisko vai svarīgo pakalpojumu sniedzējs vienlaikus ir arī IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, tas šo noteikumu 7. punktā minēto statusa paziņojumu iesniedz arī Satversmes aizsardzības birojam. 9 9. Domēnu vārdu reģistrācijas pakalpojumu sniedzējs paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu domēnu nosaukumu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu (2. pielikums): 9.1. Nacionālās kiberdrošības likuma 23. panta pirmajā daļā noteiktajā termiņā – par savu atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam; 9.2. Nacionālās kiberdrošības likuma 23. panta otrajā daļā noteiktajā termiņā – par izmaiņām domēnu vārdu reģistrācijas pakalpojumu sniedzēja paziņojuma veidlapā norādītajās ziņās; 9.3. par domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa zaudēšanu. 10 3. Pamatprasības subjektiem 3.1. Kiberdrošības pārvaldnieks 10. Subjekts paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi, un Satversmes aizsardzības birojam, nosūtot uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu paziņojuma par kiberdrošības pārvaldnieku veidlapu (3. pielikumu): 10.1. Nacionālās kiberdrošības likuma 25. panta otrajā daļā noteiktajā termiņā – par kiberdrošības pārvaldnieka noteikšanu; 10.2. Nacionālās kiberdrošības likuma 25. panta ceturtajā daļā noteiktajā termiņā – par izmaiņām šo noteikumu 10.1. apakšpunktā minētā paziņojuma veidlapā norādītajās ziņās. 11 11. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs par kiberdrošības pārvaldnieku nosaka fizisku personu: 11.1. kurai ir Latvijas pilsonība; 11.2. kura ir pilngadīga; 11.3. pār kuru nav nodibināta aizgādnība; 11.4. kura nav sodīta par tīšu noziedzīgu nodarījumu, izņemot gadījumu, ja persona ir reabilitēta, vai sodāmība ir noņemta vai dzēsta; 11.5. kurai ir augstākā vai vidējā profesionālā izglītība informācijas tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, kas iegūta pēdējo piecu gadu laikā, vai kurai ir spēkā esošs starptautiski atzīts sertifikāts, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP); 11.6. kura nav un nav bijusi PSRS, Latvijas PSR vai kādas ārvalsts drošības dienesta, izlūkdienesta vai pretizlūkošanas dienesta štata vai ārštata darbinieks, aģents, rezidents vai konspiratīvā dzīvokļa turētājs; 11.7. kura nav un nav bijusi ar Latvijas Republikas likumiem, Augstākās padomes lēmumiem vai tiesas nolēmumiem aizliegto organizāciju dalībnieks (biedrs) pēc šo organizāciju aizliegšanas; 11.8. kura nepieder pie organizētās noziedzības grupējuma, nelikumīga militarizēta vai bruņota formējuma; 11.9. kurai nav diagnosticēti psihiski traucējumi vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarība, kas dod pamatu apšaubīt fiziskās personas uzticamību; 11.10. par kuru Satversmes aizsardzības birojs nav konstatējis drošības riskus. 12 12. Būtisko pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nosaka fizisku personu: 12.1. kurai ir NATO, Eiropas Savienības vai Eiropas Brīvās tirdzniecības asociācijas (turpmāk – EBTA) dalībvalsts pilsonība; 12.2. kura atbilst šo noteikumu 11.2., 11.3. un 11.4. apakšpunktā noteiktajām prasībām; 12.3. kurai ir augstākā vai vidējā profesionālā izglītība informācijas tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā vai kurai ir spēkā esošs starptautiski atzīts sertifikāts, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, kas iegūta pēdējo piecu gadu laikā. 13 13. Svarīgo pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nosaka fizisku personu: 13.1. kurai ir NATO, Eiropas Savienības vai EBTA dalībvalsts pilsonība; 13.2. kura atbilst šo noteikumu 11.2. un 11.3. apakšpunktā noteiktajām prasībām; 13.3. kurai ir augstākā vai vidējā profesionālā izglītība informācijas tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā vai kurai ir spēkā esošs starptautiski atzīts sertifikāts, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā. 14 14. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldnieku nosaka uz termiņu līdz trim gadiem. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldnieka pretendenta saskaņošanai iesniedz Satversmes aizsardzības birojam elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu kiberdrošības pārvaldnieka pretendenta saskaņošanas veidlapu (4. pielikums). 15 15. Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieka pretendenta atbilstību šo noteikumu 11. punktā minētajām prasībām triju mēnešu laikā no šo noteikumu 14. punktā minētās veidlapas saņemšanas brīža un par pārbaudes rezultātiem informē attiecīgā subjekta vadītāju. Satversmes aizsardzības birojs var neveikt kiberdrošības pārvaldnieka pretendenta pārbaudi, ja kiberdrošības pārvaldnieka pretendentam ir izsniegta speciālā atļauja pieejai valsts noslēpumam. 16 16. Ne vēlāk kā trīs mēnešus pirms noteiktā kiberdrošības pārvaldnieka darbības termiņa beigām IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs paziņo par kiberdrošības pārvaldnieka pretendentu, iesniedzot Satversmes aizsardzības birojam šo noteikumu 14. punktā minēto veidlapu. 17 17. Fiziska persona, kura noteikta par: 17.1. A kategorijas IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nedrīkst būt noteikta par kiberdrošības pārvaldnieku citā subjektā; 17.2. B vai C kategorijas IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nedrīkst būt noteikta par kiberdrošības pārvaldnieku citā IKT kritiskās infrastruktūras īpašniekā vai tiesiskajā valdītājā. 18 18. Fiziskā persona vienlaikus drīkst būt noteikta par kiberdrošības pārvaldnieku ne vairāk kā piecos būtisko pakalpojumu sniedzējos, kas nav IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji. 19 19. Šo noteikumu 18. punktā minētais ierobežojums neattiecas uz būtisko pakalpojumu sniedzēja, kurā fiziskā persona ir noteikta par kiberdrošības pārvaldnieku, pakļautībā esošiem būtisko pakalpojumu sniedzējiem un būtisko pakalpojumu sniedzējiem, kuru kapitāldaļu īpašnieks vai turētājs ir attiecīgais būtisko pakalpojumu sniedzējs, vai privāto tiesību juridisko personu, kuru attiecīgais būtisko pakalpojumu sniedzējs ir deleģējis pildīt valsts pārvaldes uzdevumu. 20 20. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nodrošina, ka kiberdrošības pārvaldnieks subjektā vienlaikus nav atbildīgā persona par žurnālfailu pārvaldību vai nav atbildīgā persona par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu. 21 3.2. Kiberdrošības pārvaldības dokumentācija 21. Subjekta kiberdrošības pārvaldības dokumentu kopumu veido: 21.1. kiberdrošības politika; 21.2. IKT resursu un informācijas sistēmu katalogs; 21.3. kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns; 21.4. kiberincidentu žurnāls. 22 22. Subjekts katru kiberdrošības pārvaldības dokumentu kopuma daļu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu. 23 23. Subjekts nodrošina, ka kiberdrošības pārvaldības dokumentu kopuma daļas ir pieejamas tikai personām, kurām tās nepieciešamas darba pienākumu vai ārpakalpojuma izpildei. 24 24. Subjekts kiberdrošības pārvaldības dokumentu kopumu veido un uztur arī elektroniskā formātā. 25 25. Subjekts nodrošina, ka kiberdrošības pārvaldības dokumentu kopumā ietilpstošo dokumentu kopijas tiek uzglabātas atsevišķi no oriģināliem un ir pieejamas gadījumā, ja dokumentu oriģināli nav pieejami (piemēram, datu nesēja bojājuma gadījumā). 26 26. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs: 26.1. pēc šo noteikumu 21.1. un 21.3. apakšpunktā noteikto kiberdrošības pārvaldības dokumentu kopuma daļu apstiprināšanas vai aktualizēšanas nekavējoties, bet ne vēlāk kā viena mēneša laikā tās iesniedz Satversmes aizsardzības birojam; 26.2. šo noteikumu 21.2. un 21.4. apakšpunktā minētā kiberdrošības pārvaldības dokumentu kopuma daļas iesniedz Satversmes aizsardzības birojam kopā ar pašvērtējuma ziņojumu atbilstoši šo noteikumu 8.3. apakšnodaļai; 26.3. pēc citu šo noteikumu 21. punktā nenorādītu kiberdrošības dokumentu apstiprināšanas vai aktualizēšanas nekavējoties, bet ne vēlāk kā viena mēneša laikā tos iesniedz Satversmes aizsardzības birojam. 27 27. Satversmes aizsardzības birojs var veikt IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldības dokumentos un citos kiberdrošības dokumentos iekļautās informācijas pārbaudi un tajos noteikto prasību izpildes kontroles pasākumus un sniegt norādījumus pārbaudēs un izpildes kontroles pasākumos konstatēto trūkumu novēršanai. 28 3.3. Kiberdrošības politika 28. Subjekts izstrādā, uztur un regulāri, bet ne retāk kā reizi trijos gados pārskata un nepieciešamības gadījumā aktualizē kiberdrošības politiku. 29 29. Kiberdrošības politikā iekļauj: 29.1. vispārīgu informāciju par subjektu, tā darbības jomu, sniegtajiem pakalpojumiem un procesiem, kurus var ietekmēt kiberapdraudējums; 29.2. subjekta kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes; 29.3. informāciju par subjekta kiberdrošības pārvaldības struktūru, atbildīgo personu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā, sadarbību ar citiem subjektiem un institūcijām; 29.4. informāciju par nozīmīgākajiem kiberapdraudējumu veidiem, kuriem ir pakļauti subjekta īpašumā un valdījumā esošie IKT resursi un informācijas sistēmas; 29.5. informāciju par Nacionālās kiberdrošības likuma, šo noteikumu un citu subjektam saistošo normatīvo aktu, standartu un sertifikācijas shēmu prasībām kiberdrošības jomā, kuras attiecas uz subjekta īpašumā un valdījumā esošajiem IKT resursiem un informācijas sistēmām. 30 3.4. IKT resursu un informācijas sistēmu katalogs 30. Subjekts apzina un uzskaita visus tā īpašumā un valdījumā esošos IKT resursus un informācijas sistēmas, kas pakļauti kiberriskiem. 31 31. Subjekts izveido, uztur, pārskata un izmaiņu gadījumā nekavējoties, bet ne vēlāk kā viena mēneša laikā aktualizē IKT resursu un informācijas sistēmu katalogu. 32 32. Subjekts nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) atbilstoši šo noteikumu 5. pielikumā ietvertajai metodikai katrai subjekta īpašumā un valdījumā esošajai informācijas sistēmai un informācijas resursu kategorijai. 33 33. Šo noteikumu izpratnē informācijas sistēma uzskatāma par: 33.1. A klases (paaugstinātas drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena A konfidencialitātes, integritātes vai pieejamības drošības klase; 33.2. B klases (pamata drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena B konfidencialitātes, integritātes vai pieejamības drošības klase, bet nav noteikta neviena A konfidencialitātes, integritātes vai pieejamības drošības klase; 33.3. C klases (minimālās drošības) informācijas sistēmu, ja tai ir noteiktas tikai C konfidencialitātes, integritātes un pieejamības drošības klases. 34 34. Kritiskās infrastruktūras kopumā iekļautu informācijas sistēmu uzskata par A klases informācijas sistēmu, nepiemērojot šo noteikumu 32. un 33. punktā minēto kārtību. 35 35. Ja kritiskās infrastruktūras kopumā ir iekļauta visa subjekta IKT infrastruktūra, subjekts informācijas sistēmām nosakāmās drošības klases saskaņo ar Satversmes aizsardzības biroju. 36 36. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs pirms jaunas A vai B klases informācijas sistēmas izveides iesniedz Satversmes aizsardzības birojam jaunveidojamās informācijas sistēmas funkcionālo aprakstu. 37 37. Subjekts, kurš ir publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs, identificē publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šo noteikumu​ 6. pielikumu. Subjekts var identificēt kā kritiskas arī citas publiskā elektronisko sakaru tīkla daļas. 38 38. Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādā, vismaz reizi gadā pārskata un nepieciešamības gadījumā aktualizē informācijas sistēmas drošības klases noteikšanas vadlīnijas un par tām informē subjektu. 39 3.5. Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns 39. Subjekts uztur kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu. Subjekts var izstrādāt vairākus kiberrisku pārvaldības un IKT darbības nepārtrauktības plānus atbilstoši subjekta darbības specifikai (piemēram, valsts informācijas sistēmai, subjekta datu centram). Šādā gadījumā par kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu uzskatāms šo plānu kopums. 40 40. Kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu pārskata un aktualizē: 40.1. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs un būtisko pakalpojumu sniedzējs, kura īpašumā vai valdījumā ir vismaz viena A klases informācijas sistēma, – vismaz reizi gadā; 40.2. būtisko pakalpojumu sniedzējs, kura īpašumā vai valdījumā nav A klases informācijas sistēmas, – vismaz reizi divos gados; 40.3. svarīgo pakalpojumu sniedzējs – vismaz reizi trijos gados. 41 41. Kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļauj: 41.1. kiberrisku novērtēšanas metodiku, kas ietver analizējamo kiberrisku uzskaitījumu un metodoloģijas aprakstu šo risku nozīmīguma novērtēšanai (piemēram, kiberriska pieņemamās vērtības, novērtēšanas matrica, pārskatīšanas periodiskums); 41.2. kiberrisku novērtējumu, kas ietver identificēto kiberrisku uzskaitījumu un analīzi, tostarp ar piegādes ķēdēm saistīto risku analīzi, katra kiberriska nozīmīguma novērtējumu attiecībā uz subjekta īpašumā vai valdījumā esošajiem tīkliem, informācijas sistēmām un ar tiem saistītajiem IKT resursiem, kā arī salīdzinājumu ar iepriekšējā perioda kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto kiberrisku novērtējumu, ja tāds ir bijis; 41.3. kiberrisku pārvaldības pasākumu plānu, kas ietver identificēto kiberrisku uzskaitījumu, konkrētus pasākumus šo kiberrisku pārvaldībai, atbildīgos par pasākumu īstenošanu un kontroli, kā arī šo pasākumu īstenošanas termiņus vai to periodiskumu; 41.4. rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, atjaunošanas punkta mērķis (RPO), atjaunošanas laika mērķis (RTO), maksimāli pieļaujamais dīkstāves laiks (MTD)), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā. 42 42. Plānojot kiberrisku pārvaldības pasākumus, subjekts: 42.1. apzina savā īpašumā vai valdījumā esošo informācijas sistēmu un IKT resursu nozīmīgumu un vērtību, tai skaitā potenciālo zaudējumu un ietekmes apjomu kiberincidenta gadījumā; 42.2. A un B klases informācijas sistēmām paredz rezerves IKT resursus darbības nepārtrauktības nodrošināšanai nozīmīgā kiberincidenta vai krīzes gadījumā (piemēram, lai nodrošinātu šo noteikumu 41.4. apakšpunktā minētajā rīcības plānā minēto pasākumu izpildi); 42.3. A klases informācijas sistēmām iespēju robežās nodrošina no interneta piekļuves pakalpojuma sniedzēja neatkarīgas (autonomas) interneta protokola (turpmāk – IP) adreses vai adrešu apgabalus. 43 43. Subjekta kiberdrošības pārvaldnieks nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes uzraudzību un kontroli. Ja IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieks ir vienlaikus atbildīgs arī par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, tad konkrētā IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja vadītājs nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes uzraudzību un kontroli. 44 44. Subjekta vadītājs nodrošina, ka kiberdrošības pārvaldniekam un, ja attiecināms, citām par darbības nepārtrauktības pasākumu īstenošanu atbildīgajām personām ir nepieciešamās zināšanas un pilnvaras, lai nekavējoties veiktu tūlītējās nepieciešamās darbības kiberapdraudējuma novēršanai, kiberincidentu risināšanai vai kiberuzbrukuma seku novēršanai. 45 45. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs: 45.1. nosaka atbildīgo personu par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu; 45.2. nekavējoties, bet ne vēlāk kā piecu darbdienu laikā pēc šo noteikumu 45.1. apakšpunktā minētās personas noteikšanas par to informē Satversmes aizsardzības biroju. 46 3.6. Kiberincidentu pārvaldība un kiberincidentu žurnāls 46. Subjekts ievieš pārvaldības procesus, lai identificētu kiberincidentus, gandrīz notikušus kiberincidentus un ievainojamības, kā arī lai risinātu un novērstu kiberincidentus un ievainojamības, nosakot vismaz: 46.1. subjekta nodarbināto un ārpakalpojumu sniedzēju (ja attiecināms) lomas un atbildību kiberincidenta pazīmju konstatēšanas gadījumā vai informācijas saņemšanas gadījumā par iespējamo vai gandrīz notikušu kiberincidentu; 46.2. procedūras kiberincidentu identificēšanai, reģistrēšanai, ietekmes novērtēšanai un mazināšanai, risināšanai un seku likvidēšanai, pirmcēloņu atklāšanai, analīzei un novēršanai, pierādījumu saglabāšanai un drošības pasākumu uzlabošanai;  46.3. iekšējās un ārējās komunikācijas plānus, procedūras saziņai ar kompetento kiberincidentu novēršanas institūciju, citām kompetentajām institūcijām, citiem subjektiem un pakalpojumu saņēmējiem. 47 47. Subjekts uztur kiberincidentu žurnālu, kurā reģistrē ziņas par subjekta īpašumā un valdījumā esošajos tīklos un informācijas sistēmās konstatētajiem kiberincidentiem. Subjekts nodrošina ziņu reģistrēšanu žurnālā ne vēlāk kā 24 stundu laikā no kiberincidenta konstatēšanas brīža vai pēc jebkādām izmaiņām iepriekš žurnālā norādītajās ziņās. 48 48. Kiberincidentu žurnālā iekļauj vismaz šādu informāciju par kiberincidentiem: 48.1. kiberincidenta konstatēšanas datumu un laiku, kā arī kiberincidenta datumu un laiku, ja tāds ir zināms; 48.2. kiberincidenta veida kodu vai kodus atbilstoši šo noteikumu 7. pielikumā ietvertajai tipoloģijai; 48.3. kiberincidenta vispārīgo aprakstu; 48.4. kiberincidenta cēloņus un kompromitēšanas indikatorus, ja tādi ir zināmi; 48.5. kiberincidenta ietekmes novērtējumu; 48.6. atzīmi par to, vai kiberincidents uzskatāms par nozīmīgu kiberincidentu; 48.7. atzīmi par kiberincidenta paziņošanu kiberincidentu novēršanas institūcijai (nozīmīga kiberincidenta gadījumā – arī par agrīnā brīdinājuma, sākotnējā ziņojuma, galaziņojuma, progresa ziņojuma, starpposma ziņojuma iesniegšanu); 48.8. aktuālo kiberincidenta risināšanas statusu (piemēram, "neiesākts", "procesā", "atrisināts"). 49 3.7. Lietotāju un piekļuves tiesību pārvaldība 49. Subjekts nodrošina lietotāju piekļuves tiesību pārvaldību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi. 50 50. Subjekts katrai tā īpašumā vai valdījumā esošajai informācijas sistēmai, loģiski nodalītai informācijas sistēmas daļai (modulim) un informācijas sistēmā elektroniski apstrādājamo informācijas resursu veidam: 50.1. identificē lietotāju grupas, izvērtējot lietotāju nepieciešamību piekļūt informācijas resursam; 50.2. nosaka identificēto lietotāju piekļuves tiesību līmeni un autentifikācijas metodes, ņemot vērā informācijas resursa veidu un informācijas sistēmas klasi; 50.3. piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" un mazāko privilēģiju principu, nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā, ja vien tas ir tehniski iespējams. 51 51. Subjekts nodrošina, ka: 51.1. lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Ja informācijas sistēmas darbības nepārtrauktības dēļ aktīvā lietotāja konta nomaiņa tās lietošanas laikā nav iespējama, pieļaujams pēc veiksmīgas autentifikācijas informācijas sistēmā izmantot kopīgu kontu vairākiem lietotājiem, ja tiek nodrošināta iespēja identificēt lietotāju citā veidā (piemēram, maiņu grafiks, videonovērošana, elektronisks vai papīra lietotāju žurnāls); 51.2. sistēmkontiem ir tikai tādas tiesības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu; 51.3. ja vien tas tehniski ir iespējams, informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus; 51.4. standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai. Ja informācijas sistēmas tehniskais risinājums ļauj droši veikt administrēšanu, piešķirot (eskalējot) standarta lietotāja kontam administratora tiesības, tad uzskatāms, ka standarta lietotāja konts ar administratora tiesībām ir administratora lietotāja konts; 51.5. administratora lietotāja kontu neizmanto ikdienas darbam ar informācijas sistēmu vai IKT resursu; 51.6. pastāv tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ. 52 52. Subjekts nodrošina obligātu daudzfaktoru autentifikācijas izmantošanu, lai piekļūtu: 52.1. A klases informācijas sistēmas administratora lietotāja kontam un standarta lietotāja kontam; 52.2. B klases informācijas sistēmas administratora lietotāja kontam; 52.3. B klases informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālināta piekļuve informācijas sistēmai no ārējā tīkla un šai piekļuvei netiek izmantots šifrēta virtuālā privātā tīkla (VPN) risinājums ar daudzfaktoru autentifikāciju. 53 53. Subjekts nodrošina, ka visi informācijas sistēmas reģistrētie lietotāji ir iepazinušies ar informācijas sistēmas lietošanas noteikumiem. Subjekta pienākums ir nodrošināt, ka: 53.1. visi informācijas sistēmas reģistrētie lietotāji ir informēti par informācijas sistēmas lietošanas noteikumiem pirms informācijas sistēmas lietošanas uzsākšanas; 53.2. informācijas sistēmas lietošanas noteikumi ir pieejami informācijas sistēmas reģistrētajiem lietotājiem visā informācijas sistēmas lietošanas laikā. 54 54. Subjekta kiberdrošības pārvaldniekam ir tiesības: 54.1. pārbaudīt lietotāju kontu sarakstu, tiem piešķirtās piekļuves tiesības un to veiktās darbības informācijas sistēmā, tostarp lietotāju veiktās informācijas resursu izmaiņas un tehnisko resursu konfigurāciju izmaiņas; 54.2. nodrošināt žurnālfailu ierakstu analīzi par lietotāju veiktajām darbībām; 54.3. ja noticis kiberincidents vai ja ir pamatotas aizdomas par to, bloķēt vai uzdot administratoram bloķēt ar kiberincidentu saistītos lietotāju kontus; 54.4. pārbaudīt reģistrēto lietotāju zināšanas par informācijas sistēmas lietošanas noteikumiem un nepieciešamības gadījumā organizēt papildu apmācības, lai šīs zināšanas pilnveidotu; 54.5. pieprasīt no informācijas sistēmas uzturētāja informācijas sistēmas žurnālfailu ierakstus, ja informācijas sistēmu vai tās daļu uzturēšana notiek ārpus subjekta īpašumā vai valdījumā esošās IKT infrastruktūras. 55 3.8. Tīklu pārvaldība 55. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs un būtisko pakalpojumu sniedzējs ievieš procesus savā īpašumā vai valdījumā esošo tīklu pārvaldībai, nodrošinot, ka: 55.1. tīkls ir sadalīts loģiskos segmentos atbilstoši to lietojumam, subjekta darbības specifikai un elektroniski apstrādājamo informācijas resursu drošības klasēm; 55.2. ja attiecināms, subjekta viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski vai loģiski atdalītu tīklu ar atsevišķu reālo publisko IP adresi; 55.3. tīkla iekārtas un cita aparatūra, kas nav paredzēta tiešai lietotāju izmantošanai, ir loģiski atdalīta, izmantojot atsevišķus virtuālus vai fiziskus tīklus, nodrošinot tai piekļuvi tikai pilnvarotam personālam; 55.4. ja attiecināms, iekšējā bezvadu tīklā izmanto vismaz WPA2, WPA3 vai jaunāku bezvadu drošības protokolu ar līdzvērtīgu vai augstāku aizsardzības līmeni; 55.5. iekšējais tīkls ir fiziski vai loģiski nodalīts no ārējā tīkla; 55.6. informācijas sistēmu darbībai paredzētās datu plūsmas ir fiziski vai loģiski nodalītas no lietotāju ikdienas darbam ar informācijas sistēmām paredzētajām datu plūsmām; 55.7. datu pārraide starp iekšējo un ārējo tīklu, kā arī starp iekšējā tīkla segmentiem ir kontrolējama, nosakot atļauto datu plūsmu (piemēram, ugunsmūriem, starpniekserveriem); 55.8. piekļuve iekšējā tīklā esošajiem informācijas resursiem ārpus iekšējā tīkla ir iespējama, tikai izmantojot šifrētu virtuālā privātā tīkla (VPN) risinājumu ar daudzfaktoru autentifikāciju. 56 56. Svarīgo pakalpojumu sniedzējs ievieš procesus savā īpašumā un valdījumā esošo tīklu pārvaldībai, nodrošinot šo noteikumu 55.1., 55.2., 55.3. un 55.4. apakšpunktā minēto prasību ievērošanu. 57 3.9. Žurnālfailu pārvaldība 57. Subjekts nodrošina informācijas sistēmu žurnālfailu un tīkla plūsmas žurnālfailu veidošanu un uzglabāšanu. Žurnālfailus uzglabā: 57.1. A klases informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 18 mēnešus pēc ieraksta izdarīšanas; 57.2. B klases informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 12 mēnešus pēc ieraksta izdarīšanas; 57.3. C klases informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 6 mēnešus pēc ieraksta izdarīšanas. 58 58. Informācijas sistēmas žurnālfailos ietver informāciju par konkrētiem informācijas sistēmas notikumiem, tostarp: 58.1. informācijas sistēmas ieslēgšanu un izslēgšanu; 58.2. kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām; 58.3. kontu piekļuvi informācijas resursiem, tostarp neveiksmīgiem piekļuves mēģinājumiem; 58.4. datu pievienošanu, izmaiņām, dzēšanu un datu atlasi; 58.5. tehnisko resursu konfigurāciju izmaiņām; 58.6. informācijas sistēmas paziņojumiem, brīdinājumiem un citiem IKT notikumiem, kas varētu liecināt par kiberincidentu vai citu apdraudējumu informācijas sistēmas vai informācijas resursa drošībai. 59 59. Informācijas sistēmas žurnālfailos fiksē informācijas sistēmas notikuma laiku, kas sinhronizēts ar augstas precizitātes tīkla laika protokola (NTP) serveri (vismaz STRATUM 2 līmeņa), IP adresi, no kuras veikta darbība, vai citu iekārtas unikālu identifikatoru, kas kombinēts ar lietotāja identifikatoru un ļauj nepārprotami identificēt iekārtu un lietotāja kontu, no kura veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati). 60 60. Tīkla plūsmas žurnālfailos ietver informāciju par datu nosūtīšanas un saņemšanas notikumiem. Tīkla plūsmas žurnālfailos fiksē vismaz šādu informāciju: 60.1. notikuma laiku, kas sinhronizēts ar augstas precizitātes tīkla laika protokola (NTP) serveri; 60.2. datu nosūtītāja (avota) un saņēmēja (galamērķa) IP adreses; 60.3. avota un galamērķa izmantotos tīkla aplikācijas līmeņa protokolus (piemēram, HTTP, HTTPS, FTP); 60.4. ja attiecināms, avota unikālo identifikatoru (MAC adrese); 60.5. izmantoto tīkla transporta protokolu (piemēram, TCP, UDP); 60.6. pārsūtīto datu apjomu. 61 61. Ja informācijas sistēmas vai tīkla uzbūves dēļ tehniski nav iespējams nodrošināt laika fiksēšanas risinājuma sinhronizēšanu ar kiberincidentu novēršanas institūcijas tīmekļvietnē norādīto augstas precizitātes tīkla laika protokola (NTP) serveri, subjektam ir pienākums nodrošināt citu laika fiksēšanas metodi, to saskaņojot attiecīgi ar Nacionālo kiberdrošības centru vai Satversmes aizsardzības biroju. 62 62. Žurnālfailu ierakstus veido mašīnlasāmā formātā. Pārvaldot žurnālfailus, subjekts īsteno drošības pasākumus, lai nodrošinātu IKT notikumu ticamu reģistrēšanu un efektīvu kiberincidentu analīzi. 63 63. Subjekts nodrošina žurnālfailu aizsardzību pret neautorizētu piekļuvi, ierakstu izmainīšanu un dzēšanu. 64 64. Subjekts iekšējos normatīvajos aktos nosaka žurnālfailu pārvaldības prasības un kārtību, tostarp žurnālfailu ierakstu analīzes, pārbaužu kārtību un regularitāti, atbildīgos par žurnālfailu pārvaldību, kā arī žurnālfailu aizsardzības prasības. 65 65. Subjekta kiberdrošības pārvaldnieks nodrošina žurnālfailu pārvaldības un aizsardzības prasību ievērošanas kontroli. 66 66. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs: 66.1. nosaka par žurnālfailu pārvaldību atbildīgo personu; 66.2. nekavējoties, bet ne vēlāk kā piecu darbdienu laikā pēc šo noteikumu 66.1. apakšpunktā minētās personas noteikšanas par to informē Satversmes aizsardzības biroju. 67 3.10. Rezerves kopiju pārvaldība 67. Subjekts nodrošina, ka katrai tā īpašumā vai valdījumā esošajai informācijas sistēmai tiek veidotas rezerves kopijas. 68 68. Veidojot rezerves kopijas, subjekts nodrošina, ka rezerves kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā informācijas sistēmā glabātos datus, izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes. 69 69. Subjekts nodrošina, ka ir pieejamas vismaz: 69.1. informācijas sistēmas tehniskās dokumentācijas rezerves kopijas; 69.2. informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda rezerves kopijas, ja tiek izmantotas atvērtā koda bibliotēkas; 69.3. informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas, ja vien tas ir tehniski iespējams. 70 70. Subjekts nodrošina, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmu vismaz tādā stāvoklī, kāds bija: 70.1. A klases informācijas sistēmai – iepriekšējā dienā, pirms nedēļas (7–31 diena), pirms mēneša (30–365 dienas), iepriekšējā gadā (vecāku par 365 dienām); 70.2. B klases informācijas sistēmai – pēdējās nedēļas laikā (1–7 dienas), pirms nedēļas (7–31 diena), pirms mēneša (30–365 dienas), iepriekšējā gadā (vecāku par 365 dienām); 70.3. C klases informācijas sistēmai – pirms pēdējām nozīmīgajām izmaiņām informācijas sistēmā (piemēram, pirms migrācijas uz citu tehnoloģisku platformu), bet ne senāk kā pirms sešiem mēnešiem. 71 71. Subjekts nodrošina, ka: 71.1. par katru rezerves kopijas izveides gadījumu tiek veikts atbilstošs ieraksts žurnālfailos; 71.2. par rezerves kopijām atbildīgā persona un kiberdrošības pārvaldnieks tiek nekavējoties brīdināti, ja kārtējā rezerves kopijas izveide nav izdevusies; 71.3. A klases informācijas sistēmai pēc rezerves kopijas izveides, ja netiek izmantotas citas tehniskās metodes kopijas integritātes pārbaudei, tiek izveidota rezerves kopijas satura kontrolsumma. 72 72. Uzglabājot A un B klases informācijas sistēmu rezerves kopijas, subjekts nodrošina, ka: 72.1. rezerves kopijām gan fiziski, gan elektroniskajā vidē var piekļūt subjekta pilnvarotās personas, kā arī par rezerves kopiju atbildīgā persona un kiberdrošības pārvaldnieks; 72.2. A klases informācijas sistēmai vismaz viena pilna rezerves kopija tiek uzglabāta no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), ģeogrāfiski attālinātā vietā, telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu; 72.3. A un B klases informācijas sistēmai pēc rezerves kopijas pārvietošanas citā datu nesējā tiek pārbaudīta rezerves kopijas integritāte (piemēram, pārbaudot tās satura kontrolsummu). 73 73. Subjekts iekšējos dokumentos nosaka rezerves kopiju pārvaldības prasības un kārtību, tostarp rezerves kopiju veidošanas, glabāšanas un dzēšanas kārtību un kārtību, kādā pārbauda, vai, izmantojot rezerves kopijas, iespējams atjaunot informācijas resursus un informācijas sistēmas darbību, atbildīgos par rezerves kopiju pārvaldību, kā arī rezerves kopiju aizsardzības prasības. 74 74. Subjekta kiberdrošības pārvaldnieks nodrošina rezerves kopiju pārvaldības un aizsardzības prasību ievērošanas kontroli, tostarp veic: 74.1. ikdienas rezerves kopiju sagatavošanas uzraudzību; 74.2. rezerves kopiju nolasīšanas pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskā resursa konfigurācijai. Pārbaudi veic ne retāk kā reizi sešos mēnešos A klases informācijas sistēmai un ne retāk kā reizi gadā B klases informācijas sistēmai vai pēc būtiskām kopējamās informācijas sistēmas vai rezerves kopiju veidošanas procedūras izmaiņām. 75 75. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs: 75.1. nosaka par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu; 75.2. nekavējoties, bet ne vēlāk kā piecu darbdienu laikā pēc šo noteikumu 75.1. apakšpunktā minētās personas noteikšanas par to informē Satversmes aizsardzības biroju. 76 3.11. Kiberhigiēnas pasākumi 76. Subjekts organizē tā nodarbinātajiem un amatpersonām, kuri ir subjekta IKT resursu un informācijas sistēmu reģistrētie lietotāji, apmācību kiberdrošības jautājumos, izvēloties tādu apmācības veidu un saturu, kas atbilst nodarbināto un amatpersonu profesionālajai sagatavotībai, ņemot vērā viņu izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Apmācību kopums ietver: 76.1. subjekta nodarbināto un amatpersonu, kuri lieto IKT resursus un informācijas sistēmas, kiberdrošības instruktāžas, tai skaitā: 76.1.1. sākotnējās kiberdrošības instruktāžas – ne vēlāk kā viena mēneša laikā no fiziskās personas lietotāja konta reģistrācijas brīža; 76.1.2. kārtējās kiberdrošības instruktāžas – vismaz reizi kalendāra gadā; 76.1.3. ārkārtas kiberdrošības instruktāžas – pēc kiberdrošības pārvaldnieka ieskatiem (piemēram, identificējot jaunu risku, ievainojamību vai kiberapdraudējumu, paredzot normatīvo aktu prasību izmaiņas, plānojot vai veicot nozīmīgas izmaiņas IKT infrastruktūrā, programmatūrā vai biznesa procesos); 76.2. subjekta nodarbināto un amatpersonu IKT personāla apmācības kiberrisku pārvaldības un IKT darbības nepārtrauktības pasākumu efektīvai īstenošanai – vismaz reizi kalendāra gadā. Kiberdrošības pārvaldnieks ir tiesīgs organizēt papildu apmācības, piemēram, identificējot jaunu risku, ievainojamību vai kiberapdraudējumu. 77 77. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs: 77.1. piešķir fiziskajai personai lietotāja kontu pēc šo noteikumu 76.1.1. apakšpunktā noteiktās sākotnējās kiberdrošības instruktāžas; 77.2. liedz fiziskajai personai piekļuvi tās lietotāja kontam, ja tai nav veikta šo noteikumu 76.1.2. apakšpunktā noteiktā ikgadējā kiberdrošības instruktāža; 77.3. organizē ārpakalpojuma sniedzēja darbiniekiem, kas ir iesaistīti līguma izpildē, kiberdrošības instruktāžas pirms līguma izpildes uzsākšanas. 78 78. Subjekts nodrošina, ka apmācību saturs tiek pārskatīts un nepieciešamības gadījumā aktualizēts vismaz reizi gadā vai mainoties apstākļiem (piemēram, izceļoties jauniem kiberapdraudējumiem, mainoties kiberriska līmenim, notiekot kiberincidentam). 79 79. Subjekts nodrošina, ka visiem tā nodarbinātajiem un amatpersonām, kas lieto subjekta  IKT resursus un informācijas sistēmas, ir pieejami aktuālie kiberdrošības instruktāžu materiāli. 80 80. Subjekts uzskaita organizētās kiberdrošības instruktāžas un novērtē nodarbināto un amatpersonu, kuri lieto subjekta IKT resursus un informācijas sistēmas, zināšanas kiberdrošības jautājumos un īstenoto kiberdrošības instruktāžu efektivitāti. 81 3.12. Šifrēšanas prasības 81. Subjekts lieto šifrēšanas risinājumus, ja tas ir tehniski iespējams, vismaz: 81.1. A un B konfidencialitātes klases informācijas resursu pārsūtīšanai un pārraidei publiskajos datu pārraides tīklos, kā arī ārējos un iekšējos IKT infrastruktūras bezvadu tīklos; 81.2. A konfidencialitātes klases informācijas resursu glabāšanai. 82 82. Subjekts var lietot šifrēšanas risinājumus B konfidencialitātes klases informācijas resursu glabāšanai, kā arī C konfidencialitātes klases informācijas resursu pārsūtīšanai, pārraidei vai glabāšanai. 83 83. Subjekts var nelietot šo noteikumu 81. punktā minētos šifrēšanas risinājumus, ja subjekts risku novērtējuma ietvaros ir noteicis risku novēršanas pasākumus gadījumā, ja šifrēšanas risinājumu izmantošana nav tehniski iespējama. 84 84. Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādā, vismaz reizi gadā pārskata un nepieciešamības gadījumā aktualizē vadlīnijas subjektiem šifrēšanas risinājumu izmantošanai. Vadlīnijas publicē Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja tīmekļvietnē. 85 85. Subjekts iekšējos normatīvajos aktos nosaka: 85.1. minimālo pieļaujamo šifrēšanas aizsardzības (noturības) līmeni, ņemot vērā informācijas resursu konfidencialitātes līmeni; 85.2. šifrēšanas atslēgu pārvaldības politiku, lai nodrošinātu, ka tikai autorizētas personas var atšifrēt datus; 85.3. prasības drošai šifrēšanas atslēgu izveidošanai, uzstādīšanai, glabāšanai, nomaiņai un likvidēšanai, tai skaitā fiziskās un digitālās drošības prasības. 86 4. Ārpakalpojumu prasības 4.1. Vispārīgās ārpakalpojumu prasības 86. Subjekts ārpakalpojuma līgumu par IKT resursa vai pakalpojuma iegādi nedrīkst slēgt: 86.1. ja ārpakalpojuma sniedzējs ir juridiska persona, kas reģistrēta Krievijas Federācijā, Baltkrievijas Republikā vai valstī, kuru Eiropas Parlaments vai Latvijas Republikas Saeima ir atzinusi par terorismu atbalstošu valsti; 86.2. ja ārpakalpojuma sniedzējs, tā dalībnieks, kapitāla daļu īpašnieks vai patiesais labuma guvējs (ja saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu patieso labuma guvēju ir iespējams noskaidrot) ir šo noteikumu 86.1. apakšpunktā minētās valsts pilsonis; 86.3. ja ārpakalpojuma sniedzēja juridiskās personas valde un padome sastāv no fiziskām personām, kuras ir šo noteikumu 86.1. apakšpunktā minētās valsts pilsoņi; 86.4. ja ārpakalpojuma sniegšanā ir iesaistīts šo noteikumu 86.1. apakšpunktā minētās valsts pilsonis; 86.5. ja iegādājamā IKT resursa ražotājs ir šo noteikumu 86.1. apakšpunktā minētajā valstī reģistrēta juridiska persona vai šīs valsts pilsonis. 87 87. Iegādājoties ārpakalpojumu, subjekts: 87.1. sniedz ārpakalpojuma aprakstu un nosaka precīzas prasības attiecībā uz ārpakalpojuma apjomu un kvalitāti; 87.2. sniedz norādes uz Nacionālās kiberdrošības likumā un šajos noteikumos noteiktajām prasībām; 87.3. paredz subjekta un ārpakalpojuma sniedzēja tiesības un pienākumus, tai skaitā: 87.3.1. subjekta tiesības pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti un tiesības saņemt pakalpojuma uzraudzībai nepieciešamo informāciju, tai skaitā žurnālfailus; 87.3.2. ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot subjektam par konstatēto kiberincidentu, ja tas ietekmē vai var ietekmēt subjekta darbību vai ārpakalpojuma sniedzēja sniegto pakalpojumu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības; 87.3.3. ārpakalpojuma sniedzēja pienākumu informēt subjektu par ārpakalpojuma sniedzēja ārpakalpojuma izpildei piesaistītu citu pakalpojuma sniedzēju (turpmāk – apakšuzņēmējs) un viņa atbilstību šajos noteikumos un ārpakalpojuma līgumā noteiktajām prasībām; 87.3.4. konfidencialitātes saistības; 87.4. nosaka tīklam vai informācijas sistēmai veicamās pārbaudes, tostarp Nacionālajā kiberdrošības likumā un šajos noteikumos noteiktās obligātās pārbaudes, kā arī pārbaudes, kuras subjekts ir noteicis atbilstoši kiberdrošības politikai un kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam; 87.5. nosaka piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu ārpakalpojuma sniedzējam pēc līguma termiņa beigām pēc subjekta izvēles dzēst ārpakalpojuma sniedzēja rīcībā nonākušos datus vai tos atdot subjektam, dzēšot visas esošās kopijas, izņemot gadījumu, ja līgums tiek pagarināts. 88 88. Slēdzot ārpakalpojuma līgumu par jaunas informācijas sistēmas izstrādi vai esošās informācijas sistēmas izmaiņām, subjekts: 88.1. nosaka informācijas sistēmas uzturēšanas un atbalsta nodrošināšanas (tai skaitā informācijas sistēmas drošības nepilnību novēršanas) laikposmu; 88.2. paredz iespēju šo noteikumu 88.1. apakšpunktā noteiktajā laikposmā turpināt informācijas sistēmas ekspluatēšanu ar informācijas sistēmas funkcionēšanai obligāti nepieciešamā programmnodrošinājuma jaunākām versijām; 88.3. paredz, ka A un B konfidencialitātes klases informācijas sistēmu: 88.3.1. testa vidē tiek izmantoti tikai sintētiski dati (no sākotnējiem datiem izveidoti mākslīgi dati, kas attēlo sākotnējo datu īpašības un struktūru un, veicot vienu un to pašu datu analīzi, sniedz līdzvērtīgus rezultātus); 88.3.2. ārpakalpojuma līguma izpilde netiek veikta attiecīgās informācijas sistēmas produkcijas vidē. 89 89. Pirms ārpakalpojuma iegādes subjekts apzina un novērtē ar ārpakalpojuma iegādi saistītos riskus, tostarp piegādes ķēdes drošības riskus, un nosaka ārpakalpojuma kvalitātes, drošības un pieejamības prasības minēto risku mazināšanai, kā arī ārpakalpojuma izbeigšanas stratēģiju. 90 90. Ārpakalpojuma sniedzējs nodrošina, ka apakšuzņēmējs atbilst visām prasībām, kas noteiktas ārpakalpojuma sniedzējam, un ka ievēro tās. Subjekts un ārpakalpojuma sniedzējs ir atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību un atbilstību šajā nodaļā noteiktajām prasībām. 91 91. Ārpakalpojuma sniedzējs ne vēlāk kā līdz līguma noslēgšanai par informācijas sistēmas izstrādi, esošās informācijas sistēmas izmaiņām, informācijas sistēmas uzturēšanu vai IKT resursu apkopi iesniedz subjektam ārpakalpojuma izpildē iesaistīto fizisko personu sarakstu ar skaidrojumu attiecīgās fiziskās personas iesaistei ārpakalpojuma līguma izpildē. Ārpakalpojuma sniedzējs informē subjektu par ārpakalpojuma izpildē iesaistīto fizisko personu izmaiņām līguma izpildes laikā. 92 92. Subjekts nodrošina, ka pirms ārpakalpojuma līguma slēgšanas tas tiek saskaņots ar subjekta kiberdrošības pārvaldnieku. Subjekts nosaka atbildīgo personu par līguma izpildes uzraudzību kiberdrošības jomā. 93 4.2. Īpašās ārpakalpojumu prasības IKT kritiskajai infrastruktūrai 93. IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ārpakalpojuma līgumu par pakalpojuma sniegšanu A klases informācijas sistēmai atļauts slēgt tikai pēc Satversmes aizsardzības biroja atzinuma saņemšanas, izņemot gadījumu, ja ārpakalpojuma sniedzēja kapitāla daļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona. Satversmes aizsardzības birojs atzinumu sniedz triju mēnešu laikā, nepieciešamības gadījumā atzinuma sniegšanu var pagarināt uz vēl vienu mēnesi. 94 94. IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ārpakalpojuma līgumu par A klases informācijas sistēmas tehnisko resursu iegādi atļauts slēgt, ja ārpakalpojuma sniedzējs un tehniskā resursa ražotājs ir: 94.1. juridiska persona, kura atbilst šādām prasībām: 94.1.1. tā ir reģistrēta NATO, Eiropas Savienības vai EBTA dalībvalstī vai NATO Indijas un Klusā okeāna reģiona sadarbības valstī (turpmāk – IP4 valsts); 94.1.2. tās valde un padome sastāv no fiziskām personām, kuras ir NATO, Eiropas Savienības vai EBTA dalībvalstu vai IP4 valstu pilsoņi; 94.1.3. tās patiesais labuma guvējs ir NATO, Eiropas Savienības vai EBTA dalībvalsts vai IP4 valsts pilsonis (ja saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu patieso labuma guvēju ir iespējams noskaidrot); 94.1.4. tās dalībnieki un kapitāla daļu īpašnieki (turētāji) ir juridiskas personas, kuras ir reģistrētas NATO, Eiropas Savienības, EBTA dalībvalstī vai IP4 valstī, vai fiziskas personas, kuras ir NATO, Eiropas Savienības vai EBTA dalībvalsts vai IP4 valsts pilsoņi; 94.2. fiziska persona, kura ir NATO, Eiropas Savienības vai EBTA dalībvalsts vai IP4 valsts pilsonis. 95 95. Šo noteikumu 94. punktā minētās prasības nepiemēro: 95.1. ja ārpakalpojumu sniedzēja kapitāla daļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona; 95.2. ja ir saņemts Satversmes aizsardzības biroja atzinums, ka līgumu var slēgt izņēmuma kārtā. 96 96. Lai saņemtu šo noteikumu 93. punktā vai 95.2. apakšpunktā minēto atzinumu, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs Satversmes aizsardzības birojam iesniedz: 96.1. elektroniski aizpildītu un ar drošu elektronisko parakstu parakstītu atzinuma pieprasījuma veidlapu (8. pielikums); 96.2. juridiskās personas un ārpakalpojumu izpildē iesaistīto apakšuzņēmēju (ja attiecināms) piekrišanu pārbaudes veikšanai, kā arī to ārpakalpojuma izpildē iesaistīto fizisko personu piekrišanu pārbaudes veikšanai vai fiziskas personas kā ārpakalpojuma sniedzēja piekrišanu pārbaudes veikšanai. 97 97. Satversmes aizsardzības birojs, sagatavojot atzinumu, var ņemt vērā šādu informāciju par ārpakalpojuma sniedzēju, apakšuzņēmēju un ar tiem saistītajām personām: 97.1. par juridisku personu: 97.1.1. juridiskās personas reģistrācijas valsti; 97.1.2. juridiskās personas valdes locekļu, dalībnieku, padomes locekļu, kapitāla daļu īpašnieku (turētāju), patieso labuma guvēju un netiešās ietekmes guvēju izcelsmes valsti; 97.1.3. informāciju par juridiskās personas darbības laikā konstatētajiem un ar to saistītajiem kiberincidentiem; 97.1.4. informāciju par juridiskās personas, tās valdes locekļu, dalībnieku, kapitāla daļu īpašnieku (turētāju), patieso labuma guvēju un netiešās ietekmes guvēju komercdarbības veikšanu Krievijas Federācijā vai Baltkrievijas Republikā vai dalību biedrībās, nodibinājumos vai citās juridiskās personās, kuru darbība ir saistīta ar Krievijas Federāciju vai Baltkrievijas Republiku; 97.1.5. informāciju, kas liecina, ka juridiskā persona varētu būt pakļauta tādai ārvalstu, organizāciju vai citu personu ietekmei, kas var radīt apdraudējumu nacionālās drošības interesēm; 97.1.6. citus Satversmes aizsardzības biroja konstatētus drošības riskus; 97.2. par fizisku personu: 97.2.1. pilsonību; 97.2.2. sodāmību; 97.2.3. piederību pie aizliegtām organizācijām vai atbalsta sniegšanu tām; 97.2.4. informāciju, kas liecina, ka fiziskā persona varētu būt pakļauta tādai ārvalstu, organizāciju vai citu personu ietekmei, kas var radīt apdraudējumu nacionālās drošības interesēm; 97.2.5. informāciju par fiziskās personas veikto saimniecisko darbību Krievijas Federācijā vai Baltkrievijas Republikā vai dalību biedrībās, nodibinājumos vai citās juridiskās personās, kuru darbība ir saistīta ar Krievijas Federāciju vai Baltkrievijas Republiku; 97.2.6. diagnosticētus psihiskus traucējumus vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarību, kas dod pamatu apšaubīt personas uzticamību; 97.2.7. citus Satversmes aizsardzības biroja konstatētus drošības riskus. 98 98. Šo noteikumu 93. punktā un 95.2. apakšpunktā minētā atzinuma saņemšana ir attiecināma arī uz ārpakalpojuma sniedzēja ārpakalpojuma līguma izpildē piesaistītajiem apakšuzņēmējiem. 99 99. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, slēdzot vispārīgo vienošanos, ietver atsauci attiecīgi uz šo noteikumu 93. vai 94. punktā minētajiem ierobežojumiem, kas piemērojami, vispārīgās vienošanās ietvaros slēdzot ārpakalpojuma līgumus. 100 100. IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ir pienākums informēt Satversmes aizsardzības biroju: 100.1. par izmaiņām šo noteikumu 93. punktā minētā ārpakalpojuma līguma ārpakalpojuma sniedzēja vai apakšuzņēmēja valdes un padomes, dalībnieku un kapitāla daļu īpašnieku (turētāju) sastāvā un patiesā labuma guvēja un netiešās ietekmes guvēja izmaiņām. Minētā informācija iesniedzama ne vēlāk kā 10 darbdienu laikā no tās iegūšanas brīža; 100.2. par ārpakalpojuma izpildē iesaistīto fizisko personu izmaiņām šo noteikumu 93. punktā noteik …

🔗 Uz oficiālo avotu

MI skaidrojums pēc oficiālā likuma teksta. Orientējošs, neaizstāj juridisku konsultāciju.