8. pants
Informācijas tehnoloģiju drošības pārvaldība

(1) Valsts un pašvaldību institūciju, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju, pamatpakalpojuma sniedzēju un digitālā pakalpojuma sniedzēju informācijas tehnoloģiju drošības pārvaldību nodrošina katras attiecīgās institūcijas vadītājs.

(2) Valsts vai pašvaldības institūcijas, pamatpakalpojuma sniedzēja un digitālā pakalpojuma sniedzēja vadītājs nosaka atbildīgo personu, kura īsteno informācijas tehnoloģiju drošības pārvaldību attiecīgajā institūcijā (turpmāk šajā pantā — atbildīgā persona). Par atbildīgās personas noteikšanu ne vēlāk kā piecu darbdienu laikā informējama kompetentā Drošības incidentu novēršanas institūcija.

(21) Informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, kā arī privāto tiesību juridiskā persona, kas ir pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs, nodrošina informācijas tehnoloģiju drošības pārvaldību un nosaka atbildīgo personu, kas īsteno informācijas tehnoloģiju drošības pārvaldību attiecīgajā uzņēmumā, un par atbildīgās personas noteikšanu ne vēlāk kā piecu darbdienu laikā informē kompetento Drošības incidentu novēršanas institūciju.

(3) Atbildīgajai personai papildus citos tiesību aktos noteiktajam ir šādi pienākumi:

1) organizēt institūcijas informācijas tehnoloģiju drošības pārvaldību;

2) ne retāk kā reizi gadā veikt informācijas tehnoloģiju drošības pārbaudi un atbilstoši tās rezultātiem organizēt atklāto trūkumu novēršanu;

3) vismaz reizi gadā apmeklēt Drošības incidentu novēršanas institūcijas organizētu apmācību informācijas tehnoloģiju drošības jautājumos;

4) ne retāk kā reizi gadā veikt institūcijas darbinieku instruktāžu informācijas tehnoloģiju drošības jautājumos.

(4) (Izslēgta ar 11.10.2018. likumu)

(5) Ministru kabinets nosaka informācijas un komunikācijas tehnoloģiju minimālās drošības prasības un kārtību, kādā valsts un pašvaldību institūcijas, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām drošības prasībām.

(6) Ministru kabinets nosaka informācijas tehnoloģiju drošības prasības privāto tiesību juridiskajām personām, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji.

(7) Šā panta prasības, kas noteiktas pamatpakalpojuma sniedzējam, neattiecas uz kredītiestādi Kredītiestāžu likuma 1. panta otrās daļas 1. punkta izpratnē, tirdzniecības vietu Finanšu instrumentu tirgus likuma 1. panta pirmās daļas 77. punkta izpratnē un centrālo darījumu partneri Eiropas Parlamenta un Padomes 2012. gada 4. jūlija regulas (ES) Nr. 648/2012 par ārpusbiržas atvasinātajiem instrumentiem, centrālajiem darījumu partneriem un darījumu reģistriem (Dokuments attiecas uz EEZ) 2. panta 1. punkta izpratnē.

13

(Ar grozījumiem, kas izdarīti ar 05.02.2015., 15.06.2017. un 11.10.2018. likumu, kas stājas spēkā 25.10.2018.)

8.1 pants. Pamatpakalpojuma sniedzēja un digitālā pakalpojuma sniedzēja uzraudzības institūcija

(1) Pamatpakalpojuma sniedzēja un digitālā pakalpojuma sniedzēja uzraudzības institūciju (turpmāk — uzraudzības institūcija) un tās darba organizācijas kārtību nosaka Ministru kabinets.

(2) Uzraudzības institūcija:

1) apkopo nozari uzraugošo ministriju iesniegto informāciju par identificētajiem pamatpakalpojuma sniedzējiem un pamatpakalpojumiem un sastāda to sarakstu;

2) reizi divos gados iesniedz Eiropas Komisijai informāciju par kārtību, kādā identificē pamatpakalpojuma sniedzējus, identificēto pamatpakalpojuma sniedzēju skaitu un pamatpakalpojumu sarakstu;

3) saņem informāciju no Drošības incidentu novēršanas institūcijām par konstatētajām neatbilstībām un drošības incidentiem.

(3) Pēc tam kad no Drošības incidentu novēršanas institūcijas saņemta informācija par konstatētajām neatbilstībām vai drošības incidentu, uzraudzības institūcija ir tiesīga veikt vienu vai vairākas šādas darbības:

1) ierosināt, lai pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs noteiktā termiņā novērš konstatētās neatbilstības tām drošības prasībām, kuras noteicis Ministru kabinets saskaņā ar šā likuma 8. panta sesto daļu;

2) pieņemt lēmumu, ar kuru uzdod 6. panta 2.1 daļā minētajam pamatpakalpojuma sniedzējam vai digitālā pakalpojuma sniedzējam novērst drošības incidentu, tostarp izpildīt Drošības incidentu novēršanas institūcijas rekomendācijas.

14

(11.10.2018. likuma redakcijā, kas stājas spēkā 25.10.2018.)