Vairogs
SākumsLikumi Nacionālās kiberdrošības likums3. pants
Nacionālās kiberdrošības likums

3. pants
Likuma darbības joma

(1) Likums attiecas uz:

1) būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (turpmāk visi kopā — subjekti);

2) tiešās un pastarpinātās pārvaldes iestādēm, atvasinātām publiskajām personām un citām valsts institūcijām, kā arī privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētu uzdevumu (turpmāk visas kopā — valsts un pašvaldību institūcijas), izņemot valsts drošības iestādes;

3) privāto tiesību juridiskajām personām;

4) šajā likumā noteiktajos gadījumos — fiziskajām personām, kas piedalās koordinētas ievainojamību atklāšanas procesā.

(2) Likums neattiecas uz elektronisko sakaru tīklos pārraidāmās informācijas saturu, tostarp uz informācijas sabiedrības pakalpojumu saturu un audiovizuālajiem darbiem, ja tie netiek izmantoti kā kiberincidentu sastāvdaļa.

(3) Likums attiecas uz tām finanšu vienībām Eiropas Parlamenta un Padomes 2022. gada 14. decembra regulas (ES) 2022/2554 par finanšu nozares digitālās darbības noturību un ar ko groza regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) Nr. 2016/1011 (turpmāk — regula 2022/2554) 2. panta 2. punkta izpratnē, kuras atbilstoši šā likuma 20. pantam ir būtisko pakalpojumu sniedzēji, ciktāl regula 2022/2554 vai citi normatīvie akti nenosaka citas prasības jautājumos par finanšu vienību kiberdrošības prasībām, kiberapdraudējumu un risku pārvaldību (tostarp trešo pušu pakalpojumu sniedzēju risku pārvaldību), darbības noturību un nepārtrauktību, atbildīgo par kiberdrošības pārvaldības noteikšanu, testēšanu, rīcību kiberincidenta gadījumā, incidentu ziņošanu un subjektu uzraudzību.

(4) Ja konkrēto nozari regulējošie Eiropas Savienības tiesību akti paredz būtisko pakalpojumu vai svarīgo pakalpojumu sniedzējiem pienākumu veikt kiberdrošības risku pārvaldības pasākumus vai ziņot par kiberincidentiem un ja šādas prasības ietekmes ziņā ir vismaz līdzvērtīgas šajā likumā noteiktajiem pienākumiem, attiecīgos šā likuma nosacījumus, tostarp par subjektu uzraudzību, šiem subjektiem nepiemēro. Ja konkrēto nozari regulējošie Eiropas Savienības tiesību akti neattiecas uz visiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem konkrētajā nozarē, attiecīgās šā likuma prasības turpina piemērot būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, uz kuriem neattiecas minētie Eiropas Savienības tiesību akti.

(5) Šā panta ceturtajā daļā minētās prasības uzskata par ietekmes ziņā līdzvērtīgām šajā likumā noteiktajiem pasākumiem, ja tās atbilst vismaz vienai no šādām pazīmēm:

1) kiberdrošības risku pārvaldības pasākumi ietekmes ziņā ir vismaz līdzvērtīgi šā likuma 26., 27. un 28. pantā noteiktajām prasībām;

2) konkrēto nozari regulējošais Eiropas Savienības tiesību akts paredz šā likuma 9. pantā noteiktajām kiberincidentu novēršanas institūcijām, šā likuma 13. pantā noteiktajām kompetentajām institūcijām un šā likuma 4. panta pirmajā daļā noteiktajai nacionālajai kompetentajai institūcijai tūlītēju un attiecīgā gadījumā automātisku un tiešu piekļuvi paziņojumiem par kiberincidentiem, un prasības ziņot par kiberincidentiem ietekmes ziņā ir vismaz līdzvērtīgas šā likuma 34. pantā noteiktajām prasībām.

(6) Likums neattiecas uz tādiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri atbilst visiem šādiem nosacījumiem:

1) pakalpojumu sniedzējs ir reģistrēts Eiropas Savienības dalībvalstī;

2) pakalpojumu sniedzējs Latvijas Republikā sniedz šā likuma 20. panta 1., 2. punktā un 8. punkta "s", "t", "u" un "v" apakšpunktā minētos būtiskos pakalpojumus vai šā likuma 21. panta pirmās daļas 2. punkta "l", "m" un "n" apakšpunktā minētos svarīgos pakalpojumus;

3) pakalpojumu sniedzējs Latvijas Republikā nesniedz šīs daļas 2. punktā neminētos būtiskos pakalpojumus vai svarīgos pakalpojumus;

4) pakalpojumu sniedzējs nav informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs;

5) pakalpojumu sniedzēja galvenā reģistrācijas vieta Eiropas Savienībā nav Latvijas Republika.

(7) Likums neattiecas uz tādiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri nav reģistrēti Eiropas Savienībā un kuru pārstāvja galvenā reģistrācijas vieta Eiropas Savienībā nav Latvijas Republika.

(8) Šā likuma izpratnē par galveno reģistrācijas vietu uzskata:

1) Eiropas Savienības dalībvalsti, kurā galvenokārt tiek pieņemti lēmumi saistībā ar pakalpojumu sniedzēja kiberdrošības risku pārvaldības pasākumiem;

2) ja šīs daļas 1. punktā minēto valsti nav iespējams noteikt, — Eiropas Savienības dalībvalsti, kurā attiecībā uz pakalpojumu sniedzēju tiek īstenotas kiberdrošības operācijas;

3) ja šīs daļas 2. punktā minēto valsti nav iespējams noteikt, — Eiropas Savienības dalībvalsti, kurā attiecīgajam pakalpojumu sniedzējam ir vislielākais nodarbināto skaits Eiropas Savienībā.

(9) Šā panta astotā daļa neattiecas uz gadījumiem, kad Nacionālais kiberdrošības centrs pēc citas Eiropas Savienības dalībvalsts kompetentās iestādes pieprasījuma īsteno šajā likumā noteiktos uzraudzības un izpildes panākšanas pasākumus attiecībā uz šajā Eiropas Savienības dalībvalstī reģistrēto būtisko pakalpojumu sniedzēju, kurš sniedz pakalpojumus Latvijas Republikā vai kura valdījumā ir tīkls vai informācijas sistēma, kas atrodas Latvijas Republikā.

(10) Likums neattiecas uz elektronisko sakaru komersantiem, kuri nenodrošina elektronisko sakaru tīklu un nesniedz elektronisko sakaru pakalpojumus Latvijas Republikā.

(11) Likums neattiecas uz tādiem būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri ir citas Eiropas Savienības dalībvalsts valsts institūcijas.

4