Kiberdoršības dokumentācija uzņēmumā – ko prasa likums?

By: Paula Kellija

Kiberdrošība kļuvusi par būtisku uzņēmējdarbības sastāvdaļu. Uzņēmumā jānodrošina atbilstība gan nacionālajiem normatīvajiem aktiem, gan direktīvai par augstu kiberdrošības līmeni visā Eiropas Savienībā. Kādai kiberdrošības dokumentācijai jābūt uzņēmumā, un vai šīs prasības attiecas tikai uz noteiktiem uzņēmumiem?

2024.gada rudenī Latvijā stājās spēkā Nacionālais kiberdrošības likums (NKDL), savukārt 2025.gada jūlijā – Ministru kabineta (MK) noteikumi Nr.397 “Minimālās kiberdrošības prasības”. Jaunā regulējuma mērķis ir nodrošināt direktīvas 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā, prasību ieviešanu Latvijas tiesiskajā regulējumā, tādējādi pilnveidojot kiberdrošības pārvaldības sistēmu mūsu valstī.

Jaunās prasības ievērojami ietekmē kiberdrošības organizatoriskos un tehniskos procesus Latvijā. Tās nosaka pienākumus NKDL subjektiem – būtisko vai svarīgo pakalpojumu sniedzējiem, informācijas un komunikācijas tehnoloģiju (IKT) kritiskās infrastruktūras īpašniekiem un valdītājiem, kā arī valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām. Viens no šiem pienākumiem ir izstrādāt un uzturēt atbilstošu kiberdrošības dokumentāciju. Tas nozīmē ne tikai nodrošināt atbilstību likuma prasībām, bet arī ieviest strukturētu un uz risku pārvaldību balstītu pieeju kiberdrošības pārvaldībā.

Kiberdrošības dokumentācija

Saskaņā ar MK noteikumu Nr.397 prasībām ikvienam NKDL subjektam ir jāizstrādā un jāuztur:

  • kiberdrošības politika;
  • IKT resursu un informācijas sistēmu katalogs;
  • kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;
  • kiberincidentu žurnāls.

Kiberdrošības politika

Kiberdrošības politika ir kiberdrošības pārvaldības pamatdokuments. Tajā jāiekļauj informācija par kiberdrošības pārvaldības struktūru, būtiskākajiem kiberapdraudējumu veidiem, kas var ietekmēt uzņēmuma IKT resursus un informācijas sistēmas. Tāpat dokumentā jāsniedz vispārīgs pārskats par uzņēmuma darbības jomu, sniegtajiem pakalpojumiem un procesiem, uz kuriem šādi apdraudējumi var iedarboties, kā arī cita svarīga informācija, kas norādīta MK noteikumu Nr.397 prasībās. Politika ir jāpārskata periodiski, bet ne retāk kā reizi 3 gados, un nepieciešamības gadījumā jāaktualizē.

IKT resursu un informācijas sistēmu katalogs

Subjektam ir pienākums izveidot IKT resursu un informācijas sistēmu katalogu. Lai to sagatavotu, vispirms ir jāidentificē visi subjekta īpašumā un valdījumā esošie IKT resursi un informācijas sistēmas, kas var būt pakļauti kiberriskiem. Pēc tam katram šādam resursam un informācijas sistēmai jānosaka konfidencialitātes, integritātes un pieejamības drošības klase (A, B vai C) atbilstoši metodikai, kas noteikta MK noteikumu Nr.397 piektajā pielikumā. Jānorāda, ka Nacionālais kiberdrošības centrs ir izstrādājis arī vadlīnijas drošības klašu noteikšanai informācijas sistēmām un resursiem.

Informācijas sistēmas tiek iedalītas trīs drošības klasēs:

  • A klase (paaugstināta drošība) – piemērojama, ja vismaz viena no drošības īpašībām (konfidencialitāte, integritāte vai pieejamība) ir noteikta A līmenī;
  • B klase (pamata drošība) – piemērojama, ja vismaz viena no drošības īpašībām ir noteikta B līmenī, bet neviena – A līmenī;
  • C klase (minimālā drošība) – piemērojama, ja visas drošības īpašības (konfidencialitāte, integritāte un pieejamība) ir noteiktas C līmenī.

Ir būtiski, lai subjekts veic šo informācijas sistēmu klasifikāciju, jo no tās ir atkarīgs, kādi drošības pasākumi konkrētajai sistēmai būs jāievieš, piemēram, piekļuves kontrole, šifrēšana vai datu aizsardzības risinājumi.

Tāpat kā kiberdrošības politika arī katalogs ir regulāri jāpārskata un izmaiņu gadījumā, ne vēlāk kā mēneša laikā, tajā ir jāaktualizē norādītā informācija.

Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns

Uzņēmumā ir jābūt izstrādātam kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam. Atkarībā no darbības specifikas subjekts var izstrādāt arī vairākus šādus plānus, piemēram, atsevišķi valsts informācijas sistēmai vai datu centram. Plānojot kiberrisku pārvaldības pasākumus, uzņēmumam ir jāizvērtē savu informācijas sistēmu un IKT resursu nozīmīgums un iespējamie zaudējumi kiberdraudu gadījumā.

Svarīgākajām sistēmām (A un B klasei) jābūt izstrādātiem rezerves risinājumiem, lai nodrošinātu darbības nepārtrauktību kiberincidenta laikā, kas ietekmē uzņēmuma pakalpojuma sniegšanu vai darbības nepārtrauktību. Ja tas ir iespējams, A klases sistēmām jānodrošina arī neatkarīgas (autonomas) IP adreses, lai mazinātu atkarību no viena interneta pakalpojuma sniedzēja.

Pārvaldības plānā ir jāiekļauj informācija par to, kā tiek novērtēti kiberriski un kādi riski ir identificēti, tostarp piegādes ķēdes riski un to ietekme uz uzņēmuma pakalpojumu sniegšanu. Tāpat ir jāapraksta paredzētie pasākumi risku mazināšanai un jānorāda, kā tiks nodrošināta darbības nepārtrauktība kiberdraudu vai kiberincidentu gadījumā. Detalizētākas norādes ir noteiktas MK noteikumu Nr.397 41.punktā.

Kiberdrošības pārvaldnieks nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes uzraudzību un kontroli. Savukārt uzņēmuma vadītājs nodrošina, ka kiberdrošības pārvaldniekam vai citām personām, kuras ir atbildīgas par darbības nepārtrauktības pasākumu īstenošanu, ir atbilstošas zināšanas un pilnvaras, lai varētu nekavējoties rīkoties kiberapdraudējumu vai kiberincidentu gadījumos.

Subjektam ir jāievieš arī pārvaldības procesi, lai varētu savlaicīgi identificēt, risināt un novērst kiberincidentus, gandrīz notikušus kiberincidentus un ievainojamības. Šajos procesos jānosaka vismaz uzņēmuma darbinieku vai ārpakalpojumu sniedzēju lomas un atbildība kiberincidenta pazīmju konstatēšanas gadījumā, procedūras kiberincidentu identificēšanai un ietekmes novērtēšanai. Tāpat jāparedz iekšējās un ārējās saziņas plāni un kārtība, tostarp saziņai ar kiberincidentu novēršanas iestādēm, citām kompetentajām institūcijām, sadarbības partneriem un uzņēmuma klientiem.

Kiberincidentu žurnāls

Kiberincidentu pārvaldības kontekstā subjektam ir pienākums ieviest kiberincidentu žurnālu, kurā jāreģistrē ziņas par kiberincidentiem uzņēmuma pārvaldībā esošajos tīklos un informācijas sistēmās.

Ziņas ir jāreģistrē žurnālā ne vēlāk kā 24 stundu laikā no kiberincidenta konstatēšanas brīža vai pēc jebkādām izmaiņām iepriekš reģistrētajās ziņās. Šajā dokumentā ir jāiekļauj informācija par notikušajiem kiberincidentiem, piemēram, konstatēšanas laiks, vispārīgais raksturs, ietekmes novērtējums uz uzņēmuma procesiem, cēloņi (ja tādi ir zināmi), kā arī norāde, vai kiberincidents uzskatāms par nozīmīgu.

Papildu prasības

Subjekts var izvēlēties, vai kiberdrošības pārvaldības dokumentus veidot kā vienu kopīgu dokumentu vai vairāku savstarpēji saistītu dokumentu kopumu. Ir jānodrošina, ka šiem dokumentiem drīkst piekļūt tikai tās personas, kuru darba pienākumi vai ārpakalpojuma uzdevumi to paredz, piemēram, kiberdrošības pārvaldnieks vai IKT speciālists.

Ierobežota piekļuve ir viens no būtiskākajiem priekšnosacījumiem, lai nodrošinātu dokumentu konfidencialitāti un aizsargātu to integritāti. Dokumentiem ir jābūt pieejamiem arī elektroniskā formā. Subjektam ir jānodrošina, ka to kopijas tiek glabātas atsevišķi no oriģināliem, lai novērstu informācijas zudumu gadījumā, ja oriģināls tiek bojāts vai pazūd. Satversmes aizsardzības birojs ir tiesīgs pārbaudīt kiberdrošības pārvaldības dokumentos iekļauto informāciju, kontrolēt, kā tiek izpildītas tajos noteiktās prasības, un sniegt norādījumus konstatēto trūkumu novēršanai.

Papildus kiberdrošības dokumentācijai uzņēmumam ir jāizstrādā un jāievieš arī lietotāju un piekļuves tiesību pārvaldības kārtība, kā to paredz MK noteikumu Nr.397 prasības. Tas nozīmē, ka uzņēmumam ir jāizveido pārredzama kārtība, kā tiek pārvaldīti lietotāji un viņu piekļuves tiesības uzņēmuma informācijas sistēmām. Šī kārtība ietver noteikumus par piekļuves piešķiršanu, kontroli, pārskatīšanu un atcelšanu, lai nodrošinātu datu drošību un aizsardzību.

Subjektam ir jānodrošina informācijas sistēmu un tīkla plūsmas žurnālfailu izveide un uzturēšana, ievērojot uzglabāšanas termiņus atbilstoši informācijas sistēmas klasei (A, B vai C). Šo žurnālfailu saglabāšana ļauj nodrošināt datu izsekojamību un efektīvu kiberincidentu analīzi. Subjektam ir jāizveido rezerves kopijas visām tā īpašumā vai valdījumā esošajām informācijas sistēmām un jānodrošina to pārvaldība saskaņā ar MK noteikumu Nr.397 prasībām. Ja tas ir tehniski iespējams, subjektam ir pienākums izmantot šifrēšanas risinājumus, lai aizsargātu informāciju un datus to pārsūtīšanas un uzglabāšanas laikā. Šim nolūkam jāizmanto droši šifrēšanas algoritmi un efektīvi atslēgu pārvaldības risinājumi.

Tā kā kiberdrošības aizsardzībā visvājākais posms bieži vien ir cilvēks, uzņēmumam ir būtiski nodrošināt regulāras apmācības darbiniekiem un amatpersonām, kas izmanto uzņēmuma informācijas sistēmas un IKT resursus. Apmācību saturs un forma jāpielāgo darbinieku zināšanu līmenim un uzņēmuma darbības specifikai. Atbilstoši MK noteikumiem Nr.397 sākotnējā instruktāža jāveic ne vēlāk kā mēneša laikā pēc lietotāja konta izveides, bet atkārtotas apmācības – vismaz reizi gadā. Papildu vai ārkārtas apmācības ir nepieciešamas, ja tiek konstatēti jauni kiberdraudi vai ieviestas būtiskas izmaiņas uzņēmuma IKT infrastruktūrā.

IKT infrastruktūras īpašniekiem, tiesiskajiem valdītājiem un būtisko pakalpojumu sniedzējiem ir noteiktas arī īpašas prasības to īpašumā vai valdījumā esošo tīklu pārvaldībā. Piemēram, uzņēmuma tīkls ir jāsadala loģiskos segmentos, ņemot vērā to lietojumu, uzņēmuma darbības specifiku un apstrādājamo datu drošības līmeni. Šāda segmentēšana palīdz ierobežot kiberuzbrukumu izplatību tīklā un samazina datu noplūdes risku. Viens no segmentēšanas veidiem ir ugunsmūra segmentēšana – tajā tiek kontrolēta datu plūsma starp dažādiem tīkla segmentiem, piemēram, starp darbinieku datoriem, serveriem un ārējiem pakalpojumiem.

Nepieciešamība un nozīme

Normatīvais regulējums nosaka, ka kiberdrošības pārvaldības dokumentācijas izstrāde, uzturēšana un periodiska pārskatīšana ir obligāts pienākums tikai NDKL subjektiem. Tomēr ikvienam uzņēmuma vadītājam ir vērts apsvērt šādas dokumentācijas izstrādi un ieviešanu, jo īpaši ņemot vērā aktuālo kiberapdraudējumu un ievainojamību statistiku.

Saskaņā ar CERT.LV 2025.gada 2.ceturkšņa pārskatu par situāciju Latvijas kibertelpā kiberapdraudējumu intensitāte, salīdzinot ar periodu pirms Krievijas iebrukuma Ukrainā, ir būtiski pieaugusi. Pārskata periodā reģistrēts nozīmīgs kiberincidentu skaita pieaugums – 709 gadījumi (par 12% vairāk nekā 2025.gada 1.ceturksnī un par 28% vairāk nekā 2024.gada 2.ceturksnī). Šie dati apliecina, ka kiberapdraudējumu riski ir augsti un tie var skart ikvienu uzņēmumu. Turklāt kiberapdraudējumiem var būt gan finansiālas, gan reputācijas sekas. Ja kiberincidenta vai kiberuzbrukuma rezultātā noplūst uzņēmuma rīcībā esoši personas dati, tas ir papildu finansiālais slogs un atbildība pret datu subjektiem. Arī CERT.LV iesaka iespēju robežās piemērot tās pašas prasības, kas attiecas uz NKDL subjektiem, īpaši dokumentu kopumu un tajos iekļaujamo informāciju.

Kiberdrošības pārvaldība un dokumentācija mūsdienās nav tikai juridiska formalitāte – tas ir uzņēmuma drošības un reputācijas jautājums. Strukturēta kiberdrošības dokumentācija ir ne tikai aizsardzības instruments, bet arī vadības rīks, kas palīdz laikus identificēt apdraudējumus, reaģēt uz tiem un saglabāt klientu uzticību.

Uzņēmuma vadītājiem ir jāuzņemas iniciatīva un jāveido kiberdrošības kultūra, kas balstīta uz skaidriem principiem, atbildību un gatavību rīkoties.

 

Publicēts: iBizness.lv. 06.11.2025.

Saistītie pakalpojumi

Jomas eksperti

Person Item Background
Paula Kellija
Juriste / Latvija

Experience Success

Juridiskie paziņojumi Sīkdatnes
Igaunija
Ahtri 4, Tallinn
T. +372 6407170
Apmeklēt tīmekļa vietni
Latvija
K.Valdemara 62, Riga
T. +371 67814848
Apmeklēt tīmekļa vietni
Lietuva
J. Jasinskio g. 2, Vilnius
T. +370 52681888
Apmeklēt tīmekļa vietni