Minimālās kiberdrošības prasības: pienākums vai iespēja stiprināt aizsardzību?
No 2025. gada 2. jūlija Latvijā ir spēkā Ministru kabineta noteikumi Nr. 397 "Minimālās kiberdrošības prasības". Šie noteikumi ir nozīmīgs solis kiberdrošības pārvaldības sistēmas attīstībā un saskan ar 2024. gada 1. septembrī pieņemto Nacionālo kiberdrošības likumu, kā arī ar Eiropas Savienības NIS2 direktīvas prasībām. To mērķis ir panākt vienotu, efektīvu un mūsdienīgu pieeju kiberdrošībai, it īpaši tajās organizācijās, kas sniedz būtiskus vai svarīgus pakalpojumus sabiedrībai vai pārvalda kritisku IKT infrastruktūru.
Noteikumi attiecas uz valsts un pašvaldību iestādēm, kā arī uzņēmumiem, kas nodrošina publiskos pakalpojumus vai uztur būtisku informācijas sistēmu infrastruktūru. Lai saprastu, vai Jūsu organizācija atbilst būtiskā vai svarīgā pakalpojuma sniedzēja statusam, informatīvi iespējams izmantot NKDL testu. Saskaņā ar likumu, subjektiem bija jāreģistrējas līdz 2025. gada 1. aprīlim, un, ja tas vēl nav izdarīts, reģistrācija jāveic nekavējoties. Šiem subjektiem līdz 2025. gada 1. oktobrim jāieceļ kiberdrošības pārvaldnieks — persona, kas būs atbildīga par organizācijas atbilstību noteikumu prasībām. Tāpat noteikts pienākums veikt pašnovērtējumu un sagatavot vairākus dokumentus: kiberrisku pārvaldības plānu, darbības nepārtrauktības plānu, IKT pārvaldības kārtību un incidentu reaģēšanas plānus.
Papildu dokumentēšanas prasībām, noteikumi skaidri nosaka arī būtisku kiberincidentu klasifikāciju, to ziņošanas termiņus, kā arī informācijas sistēmu pieejamības, atjaunošanas un šifrēšanas nosacījumus. Īpaša uzmanība veltīta personāla kompetences paaugstināšanai un kiberhigiēnas pamatprincipiem. Aizsardzības ministrija jau ir izstrādājusi veidlapas un dokumentu paraugus, kas ir pieejami lietošanai. Turklāt pašvērtējuma anketa būs jāaizpilda atkārtoti reizi vienā vai trīs gados, atkarībā no organizācijas klasifikācijas.
Šīs prasības nav tikai normatīvs pienākums – tās atspoguļo pieaugošo kiberdrošības nozīmi uzņēmumu un iestāžu ilgtspējā. Uzbrukumi kļūst arvien mērķtiecīgāki un sarežģītāki, un kiberrisks var rasties pat no šķietami nenozīmīga ievainojamības punkta – piemēram, neatjauninātas sistēmas vai viena neautentificēta pakalpojuma. Tieši šie mazie “caurumi” var kļūt par ieejas vārtiem uz veselas organizācijas iekšējiem procesiem.
Baltijas Informācijas Tehnoloģijas (BIT) ikdienā strādā ar uzņēmumiem, kuriem svarīga ne tikai formāla atbilstība, bet arī reāla aizsardzība un sistēmu noturība. Mēs palīdzam identificēt potenciālos riskus, izveidot un ieviest nepieciešamo dokumentāciju, pielāgot organizatoriskos un tehniskos procesus, kā arī nodrošināt, ka kiberdrošības pārvaldība kļūst par daļu no ikdienas darba, nevis tikai ārēju prasību izpilde.
Uzņēmumiem, kuriem ar BIT ir spēkā esošs ārpakalpojuma līgums, IT risku analīze vienmēr ir bijusi pieejama bez maksas. Tagad šī prakse iegūst papildu nozīmi — tā kļūst arī par atbilstības prasību saskaņā ar jauno regulējumu.
Mūsu mērķis nav tikai palīdzēt izpildīt formālās prasības – mēs strādājam, lai Jūsu organizācija būtu droša no iekšienes un ārienes, gan tagad, gan nākotnē.
Lai saņemtu detalizētāku informāciju vai konsultāciju kiberdrošības jautājumos, zvaniet pa tālruni +371 67819981 vai rakstiet uz e-pastu support@bit.lv.