Vairogs45. pants
Subjektu neatbilstības novēršana
(1) Ja konstatētas neatbilstības, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 41. pantā noteiktajam subjektu uzraudzības dalījumam ir tiesīgi izteikt subjektam brīdinājumu vai uzdot subjektam:
1) veikt noteiktas darbības neatbilstības novēršanai, nosakot samērīgu termiņu neatbilstības novēršanai un kārtību ziņošanai par neatbilstības novēršanas gaitu;
2) nekavējoties pārtraukt un turpmāk nepieļaut rīcību, kas pārkāpj šajā likumā noteiktās prasības;
3) informēt pakalpojumu saņēmējus vai publicēt informāciju par kiberapdraudējumu, tā veidu un apmēru, kā arī tā novēršanai vai mazināšanai nepieciešamajām darbībām;
4) informēt pakalpojumu saņēmējus vai publicēt informāciju par konstatētajiem subjekta pārkāpumiem.
(2) Ja konstatētā neatbilstība rada nozīmīga kiberincidenta risku, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs par konstatēto risku informē Ministru kabinetu, bet, ja neatbilstība apdraud nacionālo drošību, — Nacionālās drošības padomi.
(3) Subjekts nekavējoties veic visus nepieciešamos, piemērotos un samērīgos pasākumus neatbilstību novēršanai, tostarp izpilda Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja norādījumus.
(4) Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir tiesīgi veikt klātienes pārbaudes, tostarp norīkot amatpersonas pārraudzīt, kā subjekts noteiktā laikposmā pilda tam šajā likumā noteiktos pienākumus.
(5) Ja subjekts nepilda saskaņā ar šā panta pirmo daļu uzliktos tiesiskos pienākumus, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 41. pantā noteiktajam subjektu uzraudzības dalījumam ir tiesīgi:
1) uzdot subjektam apturēt tā informācijas sistēmas, resursa vai elektroniskā pakalpojuma darbību līdz konstatētās neatbilstības novēršanai;
2) uzdot subjektam apturēt informācijas un komunikācijas tehnoloģiju produkta tirdzniecību vai pakalpojuma sniegšanu līdz konstatētās neatbilstības novēršanai;
3) uz laiku aizliegt jebkurai fiziskajai personai, kas subjektā ir atbildīga par vadības un pārstāvības pienākumu veikšanu izpildinstitūcijas līmenī vai tam līdzvērtīgā līmenī, veikt vadības un pārstāvības funkcijas.
(6) Lemjot par jebkuru no šā panta pirmajā vai piektajā daļā minētajiem izpildes panākšanas pasākumiem, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ņem vērā šādus apsvērumus:
1) neatbilstību smagumu un pārkāpto prasību nozīmīgumu, ņemot vērā to, ka par nozīmīgu neatbilstību šā likuma izpratnē ir uzskatāmi šādi gadījumi:
a) atkārtotu neatbilstību konstatēšana,
b) nozīmīgu incidentu nepaziņošana vai neatrisināšana,
c) konstatētās neatbilstības nenovēršana pretēji Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja sniegtajiem norādījumiem,
d) šķēršļu likšana auditiem vai uzraudzības darbībām, ko uzdevis Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs pēc neatbilstības konstatēšanas,
e) nepatiesas vai neprecīzas informācijas sniegšana saistībā ar kiberdrošības risku pārvaldības pasākumiem vai ziņošanas pasākumiem;
2) neatbilstības ilgumu;
3) jebkādas iepriekš konstatētas attiecīgā subjekta neatbilstības;
4) jebkādu izraisīto materiālo vai nemateriālo kaitējumu, tai skaitā jebkādu finansiālo vai ekonomisko zaudējumu, ietekmi uz citiem pakalpojumiem un skarto lietotāju skaitu;
5) neatbilstības izraisītāja nodomu vai nolaidību;
6) jebkādus pasākumus, ko subjekts veicis, lai novērstu vai mazinātu materiālo vai nemateriālo kaitējumu;
7) vai subjekts ievēro iekšējos noteikumus, kas izdoti, lai izpildītu minimālās kiberdrošības prasības, kiberrisku pārvaldības un darbības nepārtrauktības plānu, kā arī subjektam saistošos starptautiskos un nacionālos standartus un sertifikācijas shēmas (ja attiecināms);
8) cik lielā mērā fiziskā persona, kura subjektā ir atbildīga par vadības un pārstāvības pienākumu veikšanu izpildinstitūcijas līmenī vai tam līdzvērtīgā līmenī sadarbojas ar Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju.
(7) Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs šā panta piektās daļas 3. punktā minēto lēmumu nosūta subjektam.
(8) Šā panta piektās daļas 3. punktā minēto aizliegumu nepiemēro svarīgo pakalpojumu sniedzējam, kurš nav informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs.
(9) Šā panta piektās daļas 3. punktā minēto aizliegumu piemēro līdz brīdim, kad attiecīgais subjekts izpildījis tam saskaņā ar šā panta pirmo daļu uzliktos tiesiskos pienākumus.
(10) Kad subjekts ir izpildījis tam saskaņā ar šā panta pirmo daļu uzliktos tiesiskos pienākumus, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 41. pantā noteiktajam subjektu uzraudzības dalījumam atceļ šā panta piektās daļas 3. punktā minēto aizliegumu.
(11) Šā panta piektās daļas 3. punktā minēto aizliegumu nepiemēro tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātām publiskajām personām.
(12) Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs atbilstoši šā likuma 41. pantā noteiktajam subjektu uzraudzības dalījumam pirms šā panta piektās daļas 1. punktā minēto tiesību īstenošanas attiecībā uz Latvijas Bankas uzturētām informācijas sistēmām, resursiem vai elektroniskajiem pakalpojumiem konsultējas ar Latvijas Banku.
46