Vairogs39. pants
Koordinēta ievainojamību atklāšana
(1) Ja persona subjekta informācijas sistēmā vai elektronisko sakaru tīklā konstatē ievainojamību, tā nekavējoties, bet ne vēlāk kā piecu darbdienu laikā iesniedz ievainojamības atklāšanas ziņojumu kompetentajai kiberincidentu novēršanas institūcijai.
(2) Ievainojamības atklāšanas ziņojumā iekļauj šādu informāciju:
1) ievainojamības konstatēšanas datumu un laiku (ja iespējams);
2) ziņas par informācijas sistēmu vai elektronisko sakaru tīklu, kurā konstatēta ievainojamība;
3) ievainojamības aprakstu;
4) ievainojamības konstatēšanai izmantotās metodoloģijas vai veikto darbību secības aprakstu;
5) ievainojamības atklāšanas ziņojuma iesniedzēja kontaktinformāciju;
6) citas ziņas, ko ievainojamības atklāšanas ziņojuma iesniedzējs uzskata par nepieciešamām konstatētās ievainojamības identificēšanai un novēršanai.
(3) Kompetentā kiberincidentu novēršanas institūcija apstiprina ievainojamības atklāšanas ziņojuma saņemšanu, pārbauda ziņojumā ietverto informāciju un informē ziņojuma iesniedzēju par ziņojumā ietvertās informācijas pamatotību un ievainojamības novēršanas rezultātu.
(4) Ja ievainojamības atklāšanas ziņojumā sniegto informāciju par ievainojamību kiberincidentu novēršanas institūcija novērtējusi kā pamatotu, kiberincidentu novēršanas institūcija par to nekavējoties informē attiecīgo subjektu un Satversmes aizsardzības biroju, ja tas ir attiecināms uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru.
(5) Ievainojamības atklāšana nedrīkst tikt izmantota ļaunprātīgi. Informācija par atklāto ievainojamību ir ierobežotas pieejamības informācija, ja vien normatīvie akti neparedz augstāku klasifikācijas pakāpi. Ievainojamības atklāšanas ziņojuma iesniedzējs un attiecīgais subjekts ir atbildīgi par minētās informācijas neizpaušanu. Kompetentā kiberincidentu novēršanas institūcija nosaka nosacījumus, kārtību un apjomu, kādā var tikt izpausta informācija par konkrētu atklāto ievainojamību.
(6) Ievainojamības atklāšanas ziņojuma iesniedzējs ir tiesīgs iesniegt ievainojamības atklāšanas ziņojumu anonīmi vai lūgt kompetento kiberincidentu novēršanas institūciju neatklāt ziņojuma iesniedzēja identitāti. Šādā gadījumā kompetentās kiberincidentu novēršanas institūcijas pienākums ir nodrošināt ziņojuma iesniedzēja identitātes konfidencialitāti, ja vien ziņojuma iesniedzējs ievēro šajā likumā noteiktās prasības un pirmšķietami nav konstatējamas noziedzīga nodarījuma pazīmes. Minētais konfidencialitātes nodrošināšanas pienākums neattiecas uz šā likuma 13. panta trešās daļas 7. un 8. punktā minētajām institūcijām. Ievainojamības atklāšanas ziņojuma anonīma iesniegšana neatbrīvo ievainojamības atklāšanas ziņojuma iesniedzēju no pienākuma neizpaust informāciju par ievainojamību.
40