Vairogs6. pants
Rīcība informācijas tehnoloģiju drošības incidenta gadījumā
(1) Informācijas tehnoloģiju drošības incidents (turpmāk — drošības incidents) ir kaitīgs notikums vai nodarījums, kura rezultātā tiek apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte.
(2) Valsts vai pašvaldības institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs drošības incidenta gadījumā nekavējoties veic visas tā novēršanai nepieciešamās darbības (it īpaši izpilda Drošības incidentu novēršanas institūcijas rekomendācijas par vēlamo sākotnējo rīcību drošības incidenta gadījumā), kā arī tūlīt informē par notikušo kompetento Drošības incidentu novēršanas institūciju. Drošības incidentu novēršanas institūcija vienojas ar drošības incidenta pieteicēju par atbalsta sniegšanu drošības incidenta novēršanā.
(21) Ja noticis drošības incidents, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību vai digitālā pakalpojuma sniegšanu, pamatpakalpojuma sniedzējs un digitālā pakalpojuma sniedzējs nekavējoties veic visas tā novēršanai nepieciešamās darbības (it īpaši izpilda kompetentās Drošības incidentu novēršanas institūcijas rekomendācijas par vēlamo sākotnējo rīcību drošības incidenta gadījumā), kā arī šā panta septītajā daļā minētajos gadījumos un kārtībā tūlīt informē kompetento Drošības incidentu novēršanas institūciju par drošības incidentu, kuram ir būtiska ietekme uz pamatpakalpojuma nepārtrauktību vai digitālā pakalpojuma sniegšanu. Kompetentā Drošības incidentu novēršanas institūcija vienojas ar pamatpakalpojuma sniedzēju vai digitālā pakalpojuma sniedzēju par atbalsta nodrošināšanu drošības incidenta novēršanā. Kompetentā Drošības incidentu novēršanas institūcija pēc apspriešanās ar pamatpakalpojuma sniedzēju vai digitālā pakalpojuma sniedzēju var informēt sabiedrību vai arī prasīt, lai to dara attiecīgais pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs, ja drošības incidenta publiskošana var šo incidentu atrisināt vai novērst vai arī citādā ziņā ir sabiedrības interesēs.
(22) Šā panta 2.1 daļu nepiemēro kredītiestāde Kredītiestāžu likuma 1. panta otrās daļas 1. punkta izpratnē, tirdzniecības vieta Finanšu instrumentu tirgus likuma 1. panta pirmās daļas 77. punkta izpratnē un centrālo darījumu partneris Eiropas Parlamenta un Padomes 2012. gada 4. jūlija regulas (ES) Nr. 648/2012 par ārpusbiržas atvasinātajiem instrumentiem, centrālajiem darījumu partneriem un darījumu reģistriem (Dokuments attiecas uz EEZ) 2. panta 1. punkta izpratnē.
(3) Privāto tiesību juridiskās personas, uz kurām neattiecas šā panta otrajā un 2.1 daļā noteiktie pienākumi, drošības incidenta gadījumā veic visas tā novēršanai nepieciešamās darbības un var pēc savas iniciatīvas informēt par notikušo Kompetentā Drošības incidentu novēršanas institūciju. Drošības incidentu novēršanas institūcija vienojas ar drošības incidenta pieteicēju par atbalsta sniegšanu drošības incidenta novēršanā.
(4) Drošības incidentu novēršanas institūcija, konstatējusi drošības incidentu, kas apdraud nacionālo drošību, par to informē satiksmes ministru, aizsardzības ministru, par nozari atbildīgo ministru un kompetento valsts drošības iestādi, kā arī iesniedz priekšlikumus par nepieciešamo rīcību, bet, konstatējusi tādu drošības incidentu, kuram ir būtiska ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību, par notikušo informē Sabiedrisko pakalpojumu regulēšanas komisiju un var informēt par notikušo Eiropas Savienības dalībvalstu valsts pārvaldes iestādes un Eiropas Tīklu un informācijas drošības aģentūru. Drošības incidentu novēršanas institūcija var informēt sabiedrību vai arī prasīt, lai to dara attiecīgie elektronisko sakaru komersanti, ja tā uzskata, ka pārkāpuma publiskošana ir sabiedrības interesēs.
(5) Kompetentajai Drošības incidentu novēršanas institūcijai ir tiesības pieprasīt, lai augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājs atslēdz ".lv" domēna vārdu, ja šis domēna vārds ir iesaistīts drošības incidentā, kas būtiski apdraud informācijas sistēmu vai elektronisko sakaru tīklu drošību, un drošības incidentu nav iespējams novērst citā veidā.
(6) Pieprasījumā atslēgt ".lv" domēna vārdu kompetentā Drošības incidentu novēršanas institūcija norāda pieprasījuma iemeslu un domēna vārda atslēgšanas ilgumu, kas nav garāks par piecām dienām, un, ja nepieciešams, citas papildu darbības, kas veicamas augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam (piemēram, datu plūsmas pārvirzīšana uz kompetentās Drošības incidentu novēršanas institūcijas infrastruktūru).
(7) Ministru kabinets nosaka drošības incidenta būtiskuma kritērijus, informēšanas kārtību un ziņojuma saturu.
10
(Ar grozījumiem, kas izdarīti ar 01.11.2012., 05.02.2015., 15.06.2017. un 11.10.2018. likumu, kas stājas spēkā 25.10.2018.)
6.1 pants. Rīcība informācijas tehnoloģiju drošības nepilnības konstatēšanas gadījumā
(1) Informācijas tehnoloģiju drošības nepilnība (turpmāk — drošības nepilnība) ir būtiska informācijas sistēmas vai elektronisko sakaru tīkla izveides, uzturēšanas vai pārveidošanas gaitā tīši vai nejauši radīta sistēmiska vājība, kuras rezultātā var tikt apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte.
(2) Valsts vai pašvaldības institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, konstatējis drošības nepilnību, 90 dienu laikā veic visas tās novēršanai nepieciešamās darbības, kā arī par konstatēto tūlīt informē kompetento Drošības incidentu novēršanas institūciju.
(3) Kompetentā Drošības incidentu novēršanas institūcija, konstatējusi drošības nepilnību, par šo faktu tūlīt informē informācijas sistēmas vai elektronisko sakaru tīkla īpašnieku vai tiesisko valdītāju. Valsts vai pašvaldības institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kompetentās Drošības incidentu novēršanas institūcijas noteiktajā termiņā, bet ne vēlāk kā 90 dienu laikā kopš informēšanas brīža veic visas drošības nepilnības novēršanai nepieciešamās darbības.
11
(05.02.2015. likuma redakcijā ar grozījumiem, kas izdarīti ar 15.06.2017. likumu, kas stājas spēkā 19.07.2017.)