Grozījumi Nacionālajā Kiberdrošības likumā – kā un vai tas ietekmēs Jūsu uzņēmumu?

2026. gada 18. jūnijā stājās spēkā grozījumi Nacionālajā kiberdrošības likumā (“NKDL”). Jaunie grozījumi attieksies uz visiem NKDL subjektiem – būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (“subjekti”). Grozījumu mērķis ir noteikt precīzāku un samērīgāku likuma tvērumu, elastīgāku pieeju attiecībā uz valsts un pašvaldību iestādēm, kā arī turpināt stiprināt subjektu informācijas sistēmu drošību.

Esam sagatavojuši kodolīgu pārskatu par jaunajām izmaiņām likumā.

Subjektu loks tiek paplašināts

Ar grozījumiem 20. panta 11. punktā tiek paplašināts to personu loks, uz kurām attiecas NKDL prasības. Turpmāk likums attieksies arī uz nacionālajai drošībai nozīmīgām komercsabiedrībām, nodibinājumiem un biedrībām. Tomēr likumdevējs ir paredzējis izņēmumus. Šīs prasības neattieksies uz Latvijas Republikā esošas meža zemes īpašniekiem, ja zemes platība ir vismaz 10 000 hektāru, kā arī uz lauksaimniecības zemes īpašniekiem, ja zemes platība ir vismaz 4 000 hektāru.

Jāņem vērā, ka šie NKDL grozījumi stāsies spēkā tikai no 2026. gada 1. oktobra, ļaujot attiecīgajiem subjektiem sagatavoties jauno prasību izpildei.

Nacionālā kiberdrošības centra pilnvaru stiprināšana

Grozījumi 22. pantā paredz būtisku izmaiņu līdz šim noteiktajā institucionālajā kārtībā. No lēmumu pieņemšanas procesa par personas atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam tiek izslēgta Digitālās drošības uzraudzības komiteja, un turpmāk šos lēmumus patstāvīgi pieņems Nacionālais kiberdrošības centrs (“NKC“).

NKC turpmāk varēs arī pieņemt lēmumu izslēgt no būtisko pakalpojumu un svarīgo pakalpojumu sniedzēju saraksta:

  • tiešās pārvaldes iestādi, pastarpinātās pārvaldes iestādi, atvasinātu publisku personu un citu valsts institūciju, kuras darbības traucējums nevar būtiski ietekmēt sabiedrības drošību, valsts aizsardzību, sabiedrības veselību vai nevar radīt būtisku sistēmisku risku;
  • privāto tiesību juridisko personu, ja tā vairs neatbilst būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam.

NKC šādu lēmumu varēs pieņemt arī tad, ja konstatēs, ka persona savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam ir noteikusi nepareizi un persona nav NKDL subjekts. Kopumā jānorāda, ka Digitālās drošības uzraudzības komiteja ar grozījumiem tiek pilnībā likvidēta un visas tās līdzšinējās funkcijas, gan lēmumu pieņemšana par subjektu statusu, gan kiberdrošības stratēģijas apstiprināšana pāriet NKC kompetencē.

Piegādes ķēžu drošības risku pārvaldība

Būtisks papildinājums ieviests arī 24. panta otrajā daļā, kur IKT drošības prasību tvērums turpmāk ietvers arī informācijas un komunikācijas tehnoloģiju resursu, pakalpojumu un piegādes ķēžu drošības risku pārvaldību.

Līdz ar šīm izmaiņām subjektiem turpmāk būs jāizvērtē kiberdrošības riski ne tikai savās iekšējās sistēmās un infrastruktūrā, bet arī attiecībā uz izmantotajiem ārpakalpojumiem, IKT pakalpojumu sniedzējiem, tehnoloģiskajiem risinājumiem un piegādes ķēdi kopumā. Piemēram, ja uzņēmums izmanto ārpakalpojuma ietvaros sniegtus mākoņpakalpojumus vai IT infrastruktūras pakalpojumus, tam būs jānovērtē arī ar šo pakalpojumu sniedzēju darbību saistītie kiberdrošības riski un jāpārliecinās, ka tiek nodrošināts atbilstošs drošības līmenis.

Precizēts kiberdrošības pārvaldnieka iecelšanas termiņš

Līdz šim likumā nebija skaidri noteikts termiņš, kādā subjektam jāieceļ kiberdrošības pārvaldnieks. Tagad 25. panta otrā daļa papildināta ar konkrētu termiņu – subjekta vadītājam kiberdrošības pārvaldnieks ir jānosaka ne vēlāk kā triju mēnešu laikā no paziņojuma sniegšanas NKC par personas atbilstību būtisko vai svarīgo pakalpojumu sniedzēja statusam vai attiecīgā NKC lēmuma pieņemšanas brīža.

Savukārt kritiskās infrastruktūras subjektiem noteikts pienākums par kiberdrošības pārvaldnieka pretendentu paziņot Satversmes aizsardzības birojam ne vēlāk kā triju mēnešu laikā no brīža, kad subjekts iekļauts Ministru kabineta apstiprinātajā kritiskās infrastruktūras kopumā.

Jaunas personāla drošības prasības

Likumā ieviests pilnīgi jauns pants – 26.1 pants – kas nosaka personāla drošības prasības darbiniekiem ar privileģētu piekļuvi IKT sistēmām vai resursiem, kuriem ir tieša ietekme uz subjekta pamatdarbību

Šādā amatā nevarēs strādāt persona, kas sodīta (izņemot reabilitētas vai ar noņemtu/dzēstu sodāmību) par:

  • tīšiem noziegumiem, kas saistīti ar terorismu;
  • tīšiem noziegumiem pret valsti, pārvaldības kārtību vai valsts institūciju dienestā;
  • tīšiem noziegumiem pret īpašumu vai tautsaimniecībā.

NKDL subjektam turpmāk būs pienākums veikt individuālu izvērtējamu par personas radīto drošības risku, ņemot vērā nozieguma raksturu un laiku kopš soda izciešanas kā arī subjektam būs tiesības pieprasīt ziņas no Sodu reģistra, lai pārbaudītu personas atbilstību NKDL 26.1  panta prasībām.

Kiberdrošības auditoru prasības

Grozījumi paredz, ka ārējo auditu turpmāk veiks neatkarīgs kiberdrošības auditors, kuram ar subjektu nav interešu konflikta un kurš atbilst Ministru kabineta noteiktajām prasībām. Līdz jauno Ministru kabineta noteikumu spēkā stāšanās dienai, bet ne ilgāk kā līdz 2026. gada 1. decembrim, kiberdrošības auditoram piemēros līdzšinējās prasības. Tas subjektiem dod skaidrākus un vienotus auditora izvēles kritērijus, stiprina audita objektivitāti ar likumā nostiprinātu neatkarības principu, kā arī nodrošina pārejas periodu, lai auditu process netiktu pārtraukts līdz jauno noteikumu pieņemšanai.

Privāto tiesību juridiskās personas, kas pilda valsts pārvaldes deleģētus uzdevumus turpmāk būs izslēgtas no regulējuma tvēruma

Līdz šim NKDL prasības attiecās arī uz privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētus uzdevumus, piemēram, organizācijām, kurām valsts ir uzticējusi noteiktu publisko funkciju izpildi. Šīs personas bija automātiski pakļautas likuma prasībām tikai tāpēc, ka tām bija deleģēts valsts pārvaldes uzdevums.

Ar jaunajiem grozījumiem šis automātiskais pienākums ir atcelts. Turpmāk pats fakts, ka juridiskā persona pilda valsts pārvaldes deleģētu uzdevumu, vairs nav pamats tās automātiskai iekļaušanai būtisko vai svarīgo pakalpojumu sniedzēju sarakstā un attiecīgi NKDL prasību tvērumā. Tas gan nenozīmē, ka šādas personas turpmāk vispār nevarēs būt pakļautas likuma prasībām. Ja šāda persona neatkarīgi no tai deleģētā uzdevuma atbilst citiem likumā noteiktajiem būtisko vai svarīgo pakalpojumu sniedzēja kritērijiem, proti, sniedz pakalpojumus kādā no 20. panta vai 21. pantā noteiktajām sfērām un/vai atbilst noteiktajiem izmēra kritērijiem, likuma prasības tai joprojām būs saistošas. Būtiskā atšķirība ir tā, ka deleģētā uzdevuma statuss pats par sevi vairs nebūs pamats pakļaut personu NKDL tvērumam.

Kā rīkoties?

  • Iepazīstieties ar grozījumu tekstu un izvērtējiet, ciktāl tas attiecas uz Jūsu uzņēmumu vai organizāciju.
  • Pārbaudiet, vai jaunais subjektu loks neaptver arī Jūsu uzņēmumu vai organizāciju (īpaši nacionālajai drošībai nozīmīgas komercsabiedrības – spēkā no 1. oktobra).
  • Pārskatiet, kā Jūsu uzņēmumā vai organizācijā tiek pārvaldīti piegādes ķēdes riski.
  • Pārskatiet personāla politiku attiecībā uz darbiniekiem ar privileģētu piekļuvi IKT sistēmām.

Neskaidrību vai jautājumu gadījumā sazinieties ar mūsu ekspertiem: vai . Mēs priecāsimies jums palīdzēt!

Jomas eksperti

Person Item Background
Paula Kellija
Juriste / Latvija
Person Item Background
Edvijs Zandars
Edvijs Zandars
Asociētais partneris, zvērināts advokāts / Latvija

Experience Success

Juridiskie paziņojumi Sīkdatnes
Igaunija
Ahtri 4, Tallinn
T. +372 6407170
Apmeklēt tīmekļa vietni
Latvija
K.Valdemara 62, Riga
T. +371 67814848
Apmeklēt tīmekļa vietni
Lietuva
J. Jasinskio g. 2, Vilnius
T. +370 52681888
Apmeklēt tīmekļa vietni