Saeima ir pieņēmusi un Valsts
prezidents izsludina šādu likumu:
Izdarīt Informācijas tehnoloģiju drošības likumā (Latvijas Vēstnesis, 2010, 178. nr.; 2012, 179. nr.; 2013, 228. nr.; 2015, 34. nr.) šādus grozījumus:
1. Izteikt 4. pantu šādā redakcijā:
"4. pants. Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas
(1) Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas (turpmāk - Drošības incidentu novēršanas institūcijas) veicina informācijas tehnoloģiju drošību Latvijas Republikā. Drošības incidentu novēršanas institūciju uzdevumus veic:
1) Militārās izlūkošanas un drošības dienests attiecībā uz Aizsardzības ministriju, tās padotībā esošajām iestādēm un Nacionālajiem bruņotajiem spēkiem;
2) Latvijas Universitātes Matemātikas un informātikas institūts attiecībā uz valsts un pašvaldību institūcijām (izņemot šīs daļas 1. punktā noteikto), kā arī privāto tiesību juridiskajām personām.
(2) Latvijas Universitātes Matemātikas un informātikas institūts tam noteiktos uzdevumus izpilda un tiesības īsteno Aizsardzības ministrijas pakļautībā atbilstoši normatīvajiem aktiem, deleģēšanas līguma noteikumiem un piešķirtajiem valsts budžeta līdzekļiem. Pieņemot pārvaldes lēmumus, Latvijas Universitātes Matemātikas un informātikas institūts ievēro Valsts pārvaldes iekārtas likuma prasības.
(3) Drošības incidentu novēršanas institūcijās personas tiek nodarbinātas dienesta vai darba tiesisko attiecību ietvaros, ja tās ir tiesīgas saņemt speciālo atļauju pieejai valsts noslēpumam un atbilst citām tiesību aktos izvirzītajām prasībām.
(4) Drošības incidentu novēršanas institūcijas šajā likumā noteiktos uzdevumus izpilda atbilstoši tām piešķirtajiem valsts budžeta līdzekļiem, un šīm institūcijām nav tiesību pieprasīt samaksu par veiktajām darbībām.
(5) Valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām ir pienākums sadarboties ar Drošības incidentu novēršanas institūcijām, sniedzot tām nepieciešamo informāciju un pildot to likumīgās prasības.
(6) Valsts apdraudējuma gadījumā Ministru kabinets var pieņemt lēmumu par Latvijas Universitātes Matemātikas un informātikas institūtam noteikto uzdevumu, tiesību un resursu nodošanu Nacionālajiem bruņotajiem spēkiem.
(7) Šajā likumā noteikto tiesību īstenošanai izdoto tiešu valsts drošības vai informācijas tehnoloģiju drošības apdraudējumu novēršanai paredzēto administratīvo aktu apstrīdēšana vai pārsūdzēšana neaptur šo aktu darbību. Tas neattiecas uz administratīvajiem aktiem par administratīvo sodu uzlikšanu."
2. Papildināt likumu ar 4.1 pantu šādā redakcijā:
"4.1 pants. Drošības incidentu novēršanas institūciju sadarbība
(1) Militārās izlūkošanas un drošības dienests sniedz informāciju Latvijas Universitātes Matemātikas un informātikas institūtam, lai tas nodrošinātu šā likuma 5. panta pirmās daļas 1. un 3. punktā noteikto uzdevumu īstenošanu, kā arī citu tā rīcībā esošo informāciju par Latvijas Universitātes Matemātikas un informātikas institūta kompetencē esošajiem informācijas tehnoloģiju drošības incidentiem.
(2) Latvijas Universitātes Matemātikas un informātikas institūts informē Militārās izlūkošanas un drošības dienestu par savā rīcībā esošo informāciju par informācijas tehnoloģiju drošības incidentiem Aizsardzības ministrijā, tās padotībā esošajās iestādēs un Nacionālajos bruņotajos spēkos.
(3) Drošības incidentu novēršanas institūcijas regulāri savstarpēji apmainās ar informāciju par aktualitātēm informācijas tehnoloģiju drošības incidentu jomā."
3. 5. pantā:
aizstāt panta nosaukumā vārdu "institūcijas" ar vārdu "institūciju";
izteikt pirmās daļas ievaddaļu šādā redakcijā:
"(1) Latvijas Universitātes Matemātikas un informātikas institūts:";
papildināt pantu ar 1.1 daļu šādā redakcijā:
"(11) Militārās izlūkošanas un drošības dienests veic šā panta pirmās daļas 2., 4., 5., 6., 7. un 8. punktā noteiktos uzdevumus.";
aizstāt otrās daļas ievaddaļā vārdus "institūcija ir tiesīga" ar vārdiem "institūcijas ir tiesīgas".
4. 6. pantā:
papildināt otrās daļas pirmo teikumu pēc vārda "notikušo" ar vārdu "kompetento";
papildināt trešās daļas otro teikumu pirms vārda "Drošības" ar vārdu "Kompetentā";
papildināt pantu ar piekto un sesto daļu šādā redakcijā:
"(5) Kompetentajai Drošības incidentu novēršanas institūcijai ir tiesības pieprasīt, lai augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājs atslēdz ".lv" domēna vārdu, ja šis domēna vārds ir iesaistīts drošības incidentā, kas būtiski apdraud informācijas sistēmu vai elektronisko sakaru tīklu drošību, un drošības incidentu nav iespējams novērst citā veidā.
(6) Pieprasījumā atslēgt ".lv" domēna vārdu kompetentā Drošības incidentu novēršanas institūcija norāda pieprasījuma iemeslu un domēna vārda atslēgšanas ilgumu, kas nav garāks par piecām dienām, un, ja nepieciešams, citas papildu darbības, kas veicamas augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam (piemēram, datu plūsmas pārvirzīšana uz kompetentās Drošības incidentu novēršanas institūcijas infrastruktūru)."
5. 6.1 pantā:
papildināt otro daļu pēc vārda "informē" ar vārdu "kompetento";
izteikt trešo daļu šādā redakcijā:
"(3) Kompetentā Drošības incidentu novēršanas institūcija, konstatējusi drošības nepilnību, par šo faktu tūlīt informē informācijas sistēmas vai elektronisko sakaru tīkla īpašnieku vai tiesisko valdītāju. Valsts vai pašvaldības institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kompetentās Drošības incidentu novēršanas institūcijas noteiktajā termiņā, bet ne vēlāk kā 90 dienu laikā kopš informēšanas brīža veic visas drošības nepilnības novēršanai nepieciešamās darbības."
6. Papildināt 7. pantu ar 3.1 daļu šādā redakcijā:
"(31) Apstrādātos un neapstrādātos personas datus Drošības incidentu novēršanas institūcijas drīkst nodot Zemessardzei tādā apjomā un veidā, lai atpazītu un novērstu tādas kaitnieciskas programmatūras darbību, kas var radīt vai rada draudus nacionālajai vai sabiedrības drošībai, ja Zemessardze atbilstoši Zemessardzes likumā noteiktajam tiek iesaistīta atbalsta sniegšanā kompetentajai Drošības incidentu novēršanas institūcijai."
7. Papildināt 8. panta otro daļu pēc vārda "informējama" ar vārdu "kompetentā".
8. 9. pantā:
papildināt pirmās daļas 2. punktu pēc vārda "ziņot" ar vārdu "kompetentajai";
papildināt pirmās daļas 3. punktu pēc vārda "pēc" ar vārdu "kompetentās";
izteikt pirmās daļas 4. un 5. punktu šādā redakcijā:
"4) pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma, ja konstatēti būtiski drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic ar kompetento Drošības incidentu novēršanas institūciju saskaņots kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts. Par audita rezultātiem informē kompetento Drošības incidentu novēršanas institūciju. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš elektronisko sakaru komersants;
5) pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēgt galalietotājam piekļuvi elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai informācijas sistēmu, vai elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, kompetentā Drošības incidentu novēršanas institūcija norāda pieprasījuma iemeslu."
Likums Saeimā pieņemts 2017. gada 15. jūnijā.
Valsts prezidents R. Vējonis
Rīgā 2017. gada 5. jūlijā