Kiberdrošības pārvaldnieks – obligāts amats katrā uzņēmumā?

By: Paula Kellija

Mainoties uzņēmējdarbības videi, arvien nozīmīgāks kļūst kiberdrošības regulējums un prasības. Viena no jaunākajām prasībām – kiberdrošības pārvaldnieks uzņēmumā jāieceļ ne vēlāk kā līdz 2025.gada 1.oktobrim. Uz kuriem uzņēmumiem attiecas šī prasība? Vai jāalgo atsevišķs darbinieks?

2024.gada 1.septembrī stājās spēkā Nacionālais kiberdrošības likums (NKDL), kura mērķis ir stiprināt kibertiesisko telpu Latvijā un nodrošināt direktīvas 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā (ES) (NIS2) prasību ieviešanu mūsu nacionālajā regulējumā.

NIS2 galvenais mērķis ir panākt saskaņotu un vienoti augstu kiberdrošības līmeni visās ES dalībvalstīs, nosakot minimālās prasības par koordinēta tiesiskā regulējuma darbību un kārtību, kādā regulējuma subjektiem jānodrošina savu tīklu un informācijas sistēmu atbilstība. Lai izpildītu šīs prasības un Latvijas mērogā noteiktu minimālās prasības kiberdrošības jomā, 2025.gada 2.jūlijā stājās spēkā Ministru kabineta (MK) noteikumi Nr.397 “Minimālās kiberdrošības prasības”, ar kuriem Latvijā tika nodrošināta NIS2 pilnīga transponēšana.

Uz ko attiecas regulējums?

Jaunās NKDL un MK noteikumu Nr.397 prasības būtiski stiprina kiberdrošības sistēmisko ietvaru un veicina drošas digitālās vides attīstību Latvijā. Regulējumā noteiktie pienākumi attiecas uz:

  • būtisko pakalpojumu sniedzējiem;
  • svarīgo pakalpojumu sniedzējiem;
  • informācijas un komunikācijas tehnoloģiju (IKT) kritiskās infrastruktūras īpašniekiem  vai tiesiskajiem valdītājiem.

Par būtisko pakalpojumu sniedzējiem tiek uzskatīti, piemēram, elektronisko sakaru komersanti, valsts un pašvaldību institūcijas (tostarp augstskolas), kā arī privāto tiesību juridiskās personas, kas pilda valsts pārvaldes deleģētu uzdevumu, izņemot valsts drošības iestādes, un lielie saimnieciskās darbības veicēji, kuri darbojas enerģētikas, transporta, banku pakalpojumu, veselības aprūpes, digitālās infrastruktūras u. c. nozarēs.

Savukārt par svarīgo pakalpojumu sniedzējiem tiek uzskatīti lieli vai vidēji saimnieciskās darbības veicēji, kas darbojas, piemēram, pasta un kurjeru pakalpojumu, atkritumu apsaimniekošanas, pārtikas ražošanas, apsardzes vai digitālo pakalpojumu sniegšanas jomā. Saskaņā ar Gada pārskatu un konsolidēto gada pārskatu likumu par vidēja lieluma saimnieciskās darbības veicējiem tiek uzskatīti komersanti, kuros vidējais nodarbināto skaits pārskatā gadā ir no 50 līdz 250 darbiniekiem un kuru gada apgrozījums nepārsniedz 50 miljonus eiro, bet nav mazāks par 10 miljoniem eiro, vai bilances kopsumma nepārsniedz 25 miljonus eiro, bet nav mazāka par 5 miljoniem eiro. Savukārt komersanti, kas pārsniedz šo slieksni, klasificējami kā lieli saimnieciskās darbības veicēji.

IKT infrastruktūras īpašnieki vai tiesiskie valdītāji ir uzņēmumi, kuriem pieder vai kuri pārvalda tehnoloģiju un sistēmu daļas, piemēram, valsts nozīmes datu centrus, interneta sakaru pamattīklus, mobilos un fiksētos tīklus, kā arī digitālās identifikācijas risinājumus, kuru darbības traucējumi var būtiski ietekmēt valsts drošību un sabiedrības funkcionēšanu. Par IKT infrastruktūras objektiem ir noteikti tādi objekti, kas nodrošina dažādu būtisku valsts un sabiedrības pamatfunkciju īstenošanu, un kuru iznīcināšana vai darbības traucējumi radītu būtisku kaitējumu valsts un sabiedrības interesēm.

Kiberdrošības pārvaldnieka iecelšana

Atbilstoši NKDL 25.pantam uzņēmumiem, kas regulējuma izpratnē uzskatāmi par būtisko vai svarīgo pakalpojumu sniedzējiem, kā arī IKT infrastruktūras īpašniekiem vai likumiskajiem valdītājiem, ir pienākums iecelt kiberdrošības pārvaldnieku. Tā ir persona, kuras galvenais uzdevums ir nodrošināt un uzraudzīt kiberdrošības regulējuma ieviešanu attiecīgajā uzņēmumā, iestādē vai organizācijā. Atbilstoši NKDL kiberdrošības pārvaldnieka galvenie pienākumi ir:

  • nodrošināt IKT infrastruktūras aizsardzības pasākumu īstenošanu;
  • veikt IKT drošības novērtējumu vismaz reizi gadā un, pamatojoties uz tā rezultātiem, organizēt identificēto nepilnību novēršanu;
  • ne retāk kā reizi gadā piedalīties kiberdrošības mācībās, ko rīko kompetentā kiberincidentu novēršanas institūcija – CERT.LV;
  • vismaz reizi gadā nodrošināt, ka uzņēmuma darbiniekiem tiek sniegta instruktāža par aktuālajiem kiberdrošības riskiem un aizsardzības pasākumiem.

Savukārt kiberdrošības pārvaldniekiem izvirzītās profesionālās un kvalifikācijas prasības ir noteiktas MK noteikumos Nr.397.

Prasības kiberdrošības pārvaldniekam
Būtisko vai svarīgo pakalpojumu sniedzēja struktūras
Saskaņā ar MK noteikumiem Nr.397 kiberdrošības pārvaldniekam būtisko vai svarīgo pakalpojumu sniedzēja struktūrās ir jābūt pilngadīgam Ziemeļatlantijas Līguma organizācijas, ES vai Eiropas Brīvās tirdzniecības asociācijas dalībvalsts pilsonim. Šai personai ir jābūt iegūtai augstākajai vai vidējai profesionālajai izglītībai informācijas tehnoloģiju (IT), kiberdrošības pārvaldības vai citā atbilstošā jomā, piemēram, datorzinātnēs vai telekomunikācijā, vai arī persona var būt ieguvusi starptautiski atzītu kiberdrošības kvalifikācijas sertifikātu, piemēram, CISSP (certified information security manager), CISM (certified information systems security professional) vai arī kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā. Jānorāda, ka būtisko pakalpojumu sniedzēju divu gadu darba pieredzei jābūt uzkrātai pēdējo piecu gadu laikā.

Par kibedrošības pārvaldnieku būtisko vai svarīgo pakalpojumu sniedzēja struktūrās nedrīkst iecelt personu:

  • pār kuru ir nodibināta aizgādnība;
  • kura sodīta par tīšu noziedzīgu nodarījumu, izņemot, ja persona ir reabilitēta vai sodāmība ir noņemta vai dzēsta.

Kiberdrošības pārvaldnieka pienākumus var uzticēt, piemēram, uzņēmuma IT direktoram, informācijas drošības speciālistam, sistēmu administratoram, IT projektu vadītājam vai arī izmantot ārpakalpojumus, ievērojot, ka persona atbilst MK noteikumos Nr.397 noteiktajām prasībām. Papildus jāņem vērā, ka uzņēmumiem, kas klasificēti kā būtisko pakalpojumu sniedzēji, kiberdrošības pārvaldnieka pienākumus var uzticēt personai, kura vienlaikus ieņem šo amatu ne vairāk kā piecos būtisko pakalpojumu sniedzēju uzņēmumos, kas nav IKT infrastruktūras īpašnieki vai tiesiskie valdītāji.

IKT infrastruktūras īpašnieka vai tiesiskā valdītāja struktūras

Savukārt stingrākas prasības ir izvirzītas IKT infrastruktūras īpašnieka vai tiesiskā valdītājā kiberdrošības pārvaldniekam, piemēram, par kiberdrošības pārvaldnieku IKT infrastruktūras īpašnieka vai tiesiskā valdītāja struktūrā var iecelt tikai pilngadīgu Latvijas pilsoni.

Par kiberdrošības pārvaldnieku šajās stuktūrās nevar iecelt personu:

  • pār kuru ir nodibināta aizgādnība;
  • kura ir sodīta par noziedzīgu nodarījumu, izņemot gadījumus, ja persona ir reabilitēta vai sodāmība ir noņemta vai dzēsta;
  • kura ir bijusi saistīta ar Padomju Savienības, Latvijas Padomju Sociālistiskās Republikas vai ārvalstu drošības, izlūkošanas vai pretizlūkošanas dienestiem;
  • kurai ir diagnosticēti psihiski traucējumi vai atkarības, kas varētu radīt šaubas par personas uzticamību;
  • kura ir saistīta ar organizēto noziedzību vai nelikumīgiem bruņotiem formējumiem;
  • par kuru Satversmes aizsardzības birojs ir konstatējis drošības riskus.

Lai persona varētu pildīt kiberdrošības pārvaldnieka pienākumus, tai jāatbilst šādām profesionālajām prasībām:

  • jābūt augstākajai vai vidējai profesionālajai izglītībai IT, kiberdrošības pārvaldības vai citā saistītā jomā;
  • jābūt vismaz divu gadu darba pieredzei kiberdrošības pārvaldībā, kas iegūta pēdējo piecu gadu laikā.

Šīs prasības — izglītība un pieredze — ir kumulatīvas, proti, abām jābūt izpildītām vienlaikus. Alternatīvi, persona uzskatāma par atbilstošu, ja tai ir spēkā esošs starptautiski atzīts profesionālais sertifikāts, piemēram, CISM vai CISSP. Papildus jānorāda, ka kiberdrošības pārvaldnieks IKT infrastruktūras īpašnieka vai tiesiskā valdītāja struktūrā ir ieceļams uz trim gadiem un pretendenti ir iepriekš jāsaskaņo ar Satversmes aizsardzības biroju, kurš veic personas pārbaudi un izvērtē drošības riskus.

Šādas manāmi stingrākas prasības kiberdrošības pārvaldniekam IKT infrastruktūrā ir noteiktas, ņemot vērā, ka šī struktūra ir ļoti būtiska sabiedrībai nozīmīgu funkciju nodrošināšanai, tostarp sabiedrības veselības aizsardzībai, drošībai, kā arī ekonomiskās un sociālās labklājības uzturēšanai. Šādas infrastruktūras iznīcināšana vai darbības traucējumi var būtiski ietekmēt valsts un sabiedrības pamatfunkciju nepārtrauktību un stabilitāti.

Stratēģiskā nozīme un atbildība

Neatkarīgi no tā, vai uzņēmums klasificēts kā būtisko vai svarīgo pakalpojumu sniedzējs, vai arī tas ir IKT infrastruktūras īpašnieks vai tiesiskais valdītājs, katram uzņēmuma, iestādes vai organizācijas vadītājam, domājot par kiberdrošības pārvaldnieka iecelšanu, ir jāapzinās šī uzņēmuma funkcijas stratēģiskā nozīme. Kiberdrošības pārvaldnieks nodrošina, lai uzņēmuma tehnoloģiskie risinājumi būtu droši un atbilstu jaunā kiberdrošības regulējuma prasībām. Tādēļ ir būtiski, lai šos pienākumus uzņemtos persona, kas ne vien demonstrē atbilstošu profesionālo kvalifikāciju un tehnisko kompetenci, bet arī izceļas ar nevainojamu reputāciju un ir uzticama, lai varētu tikt iesaistīta sensitīvas informācijas pārvaldībā.

Šī uzticēšanās kiberdrošības pārvaldniekam nav tikai teorētiska – praksē šai personai tiek piešķirta piekļuve IKT infrastruktūrai, datu apstrādes sistēmām, iekšējām procedūrām un, daudzos gadījumos, arī stratēģiskiem lēmumiem, kas ietekmē uzņēmuma, iestādes vai organizācijas noturību pret kiberdraudiem. Ja kiberdrošības pārvaldnieks šajā amatā rīkojas nolaidīgi, pārkāpj noteikumus vai pat apzināti ļaunprātīgi izmanto savu piekļuvi, tas var izraisīt nopietnus riskus darbības nepārtrauktībai, pakalpojumu pieejamībai un pat valsts drošībai plašākā kontekstā. Līdz ar to kiberdrošības pārvaldnieka iecelšana nav uzskatāma par formālu procedūru, bet gan par stratēģiski atbildīgu lēmumu, kam ir jāpievērš pastiprināta uzmanība.

Noslēgumā jāuzsver, ka būtisko vai svarīgo pakalpojumu sniedzējiem, kā arī IKT infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem kiberdrošības pārvaldnieks savās struktūrās jāieceļ ne vēlāk kā līdz 2025.gada 1.oktobrim. Par iecelto pārvaldnieku jāinformē attiecīgā kompetentā iestāde:

  • būtisko vai svarīgo pakalpojumu sniedzējiem – Nacionālais kiberdrošības centrs;
  • IKT infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem – Satversmes aizsardzības birojs.

 

Publicēts: iBizness.lv. 08.09.2025.

Jomas eksperti

Person Item Background
Paula Kellija
Juriste / Latvija

Experience Success

Juridiskie paziņojumi Sīkdatnes
Igaunija
Ahtri 4, Tallinn
T. +372 6407170
Apmeklēt tīmekļa vietni
Latvija
K.Valdemara 62, Riga
T. +371 67814848
Apmeklēt tīmekļa vietni
Lietuva
J. Jasinskio g. 2, Vilnius
T. +370 52681888
Apmeklēt tīmekļa vietni