Jauni Ministru kabineta noteikumi Nr.397 Minimālās kiberdrošības prasības
2025.gada 2.jūlijā stājās spēkā Ministru kabineta noteikumi Nr.397 “Minimālās kiberdrošības prasības”, kas nosaka minimālās kiberdrošības prasības:
- būtisko pakalpojumu sniedzējiem,
- svarīgo pakalpojumu sniedzējiem,
- informācijas un komunikācijas tehnoloģiju (IKT) kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem,
Noteikumi attiecas uz iepriekšminētajiem subjektiem un to īpašumā un valdījumā esošajiem tīkliem un informācijas sistēmām, kā arī domēnu vārdu reģistrācijas pakalpojumu sniedzējiem.
Atbilstoši Nacionālā kiberdrošības likuma prasībām organizācijām uzlikts par pienākumu noteikt savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam. Attiecīgi šim regulējamam pakļauts plašs organizāciju loks.
Nacionālais kiberdrošības centrs izstrādājis testu ar mērķi palīdzēt organizācijām noteikt, vai uz tām attiecas Nacionālā kiberdrošības likuma normas.
Galvenais jauno noteikumu mērķis – nodrošināt vienotu prasību kopumu un sistēmisku pieeju kiberdrošībai, tādējādi stiprinot publiskā un privātā sektora noturību pret kiberdrošības apdraudējumiem.
Neatliekamie darbi:
- Kiberdrošības pārvaldnieka iecelšana
Līdz 2025. gada 1. oktobrim ir jāieceļ kiberdrošības pārvaldnieks – atbildīgā persona par noteikumos minēto prasību izpildi, par to paziņojot Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam.
- Pašvērtējuma ziņojums
Līdz 2025. gada 1. oktobrim jāiesniedz pirmais pašvērtējuma ziņojums – par subjekta atbilstību minimālajām kiberdrošības prasībām.
Jaunie noteikumi arī nosaka, ka subjektiem jāizveido un jāuztur Kiberdrošības pārvaldības dokumentu kopums, ko veido:
- Kiberdrošības politika
- IKT resursu un informācijas sistēmu katalogs
- Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns
- Kiberincidentu žurnāls
Regulējums nosaka pienākumu nodrošināt lietotāju un piekļuves tiesību pārvaldību, tīklu žurnālfailu un rezerves kopiju pārvaldību, organizēt kiberhigiēnas pasākumus (apmācības), piemērot šifrēšanas risinājumus, vispārīgās un īpašās prasības ārpakalpojuma sniedzējiem, kā arī ievērot kiberincidentu vadības principus.
ISO 27001 sertifikācija ir efektīvs rīks, kas palīdz nodrošināt atbilstību jaunajam regulējumam un pārvaldīt informācijas drošības riskus. ISO 27001 starptautisks standarts var tikt piemērots jebkura izmēra organizācijām. Vairāk par ISO 27001 Informācijas drošības vadības sistēmas sertifikāciju.