REĢISTRĒ SAVU .LV DOMĒNA VĀRDU!

Sniedz ar DNS saistītus pakalpojumus? Jaunās kiberdrošības prasības attiecas arī uz Tevi!

Sniedz ar DNS saistītus pakalpojumus? Jaunās kiberdrošības prasības attiecas arī uz Tevi!

Ja Tu vai Tavs uzņēmums:

  • piedāvā klientiem reģistrēt domēna vārdus jebkurā augstākā līmeņa domēnā vai
  • nodrošini jebkura augstākā līmeņa domēna darbību, vai
  • sniedz publiski pieejamus rekursīvus domēnu vārdu atrises pakalpojumus interneta galalietotājiem vai autoritatīvus domēnu vārdu atrises pakalpojumus trešo personu lietošanai (tas neattiecas uz saknes nosaukumu serveriem),

tad uz Tevi attieksies jaunās Tīklu un informācijas drošības direktīvas (turpmāk TID2 direktīva), kas plašāku popularitāti ieguvusi ar anglisko saīsinājumu NIS2, prasības, kas šobrīd tiek ieviestas Latvijā.

Ja sniedz pakalpojumus citās ES dalībvalstīs, tad uzmanīgi jāseko līdzi Eiropas Savienības dalībvalstu nacionālajam regulējumam, kas katrā dalībvalstī ieviesīs TID2 direktīvas prasības.

TID2 Latvijā

Latvijā Saeima 2024.gada 20.jūnijā, galīgajā lasījumā pieņēma un Valsts prezidents 4.jūlijā izsludināja jaunu informācijas tehnoloģiju drošības regulējumu – Nacionālās kiberdrošības likums - Latvijas Vēstnesis (vestnesis.lv).

Regulējuma mērķis ir uzlabot būtisku un svarīgu pakalpojumu sniedzēju vispārējo informācijas un komunikācijas tehnoloģiju drošību, noturību un reaģēšanas spējas uz kiberdrošības apdraudējumiem.

Likums stājas spēkā 2024. gada 1. septembrī.

Tāpat drīzumā sagaidāms, ka tiks pieņemta virkne saistītu normatīvo aktu, kas noteiks precīzākas prasības, tai skaitā domēnu vārdu reģistrācijas datubāzei, augstākā līmeņa domēna “.lv” reģistra uzturētājam un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem.

Uz ko attiecas jaunais likums?

Latvijas Nacionālās kiberdrošības likums attiecas uz domēnu vārdu reģistrācijas pakalpojumu sniedzējiem:

  1. kuri atbilst domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam un
  2. kuru lēmumi saistībā ar kiberdrošību tiek pieņemti Latvijā vai kuriem Latvijā ir vislielākais darbinieku skaits.

Latvijā augstākā līmeņa domēnu reģistra uzturētāji un domēnu vārdu sistēmas pakalpojumu sniedzēji atbilstoši likuma prasībām būs būtiskie pakalpojumu sniedzēji.

Prasības domēna vārdu reģistrācijas pakalpojumu sniedzējiem

Domēna vārdu reģistrācijas pakalpojumu sniedzējiem, ja vien tie nesniedz citus pakalpojumus, kas iekļauti būtisko vai svarīgo pakalpojumu sarakstā, jaunais regulējums paredz divus pienākumus:

  • reģistrēties Nacionālajam kiberdrošības centrā līdz 2025.gada 1.aprīlim, bet, ja statuss tiek iegūts pēc šī datuma, tad paziņojums iesniedzams mēneša laikā un
  • izpildīt prasības, kas tiks noteiktas Ministru kabineta noteikumos “Prasības domēnu vārdu reģistrācijas datubāzei, kas piemērojamas augstākā līmeņa domēna “.lv” reģistra uzturētājam un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem”.

Plānots, ka minētie Ministru kabineta noteikumi tiks izdoti līdz 2024.gada 17.oktobrim.

Kas jādara pakalpojuma sniedzējiem?

Ja uzņēmums atbilst būtiskā pakalpojuma sniedzēja statutsam, tad jārēķinās ar plašāku pienākumu klāstu, kas aptvers šādus kiberdrošības aspektus:

1. Kiberdrošības pārvaldība

Prasības aptver plašu drošības pasākumu klāstu un risku pārvaldību, tostarp, pienākumu uzņēmumā iecelt kiberdrošības pārvaldnieku, veikt regulāru risku novērtēšanu un pārvaldību, darbības nepārtrauktības plānošanu un minimālo kiberdrošības prasību ieviešanu un kiberhigiēnas īstenošanu uzņēmumā.

Informāciju par kiberdrošības pārvaldnieka noteikšanu pirmreizēji jāpaziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam ne vēlāk kā līdz 2025. gada 1. oktobrim, bet jaunās minimālajām kiberdrošības prasības Ministru kabinets izdos līdz 2025. gada 1. aprīlim.

2. Ziņošana un rīcība kiberincidenta gadījumā

Līdzās pienākumam ziņot par kiberincidentiem, lai palīdzētu mazināt kiberincidentu ietekmi un izplatīšanos citviet informācijas un tehnoloģiju infrastruktūrā, likums nosaka arī vairākus kiberdrošības atbalsta pasākumus, kas palīdzēs ne tikai pārvarēt kiberdrošības incidentu izraisītās sekas, bet arī sniegs iespēju jau laikus pamanīt kiberapdraudējumus un nepieļaut incidentu iestāšanos, piemēram, koordinētu ievainojamību atklāšanu, izmantojot CERT.LV cvd.cert.lv platformu, CERT.LV un NIC.LV izveidoto DNS Ugunsmūra pakalpojumu, kā arī citus pakalpojumus, kas nodorošina aizsardzību pret kiberuzbrukumiem.

3. Atbildība un uzraudzība

Uzņēmumiem jārēķinās ar regulārām revīzijām, pašvērtējuma veikšanu un atbilstības pārbaudēm. Pašvērtējuma ziņojums pirmreizēji jāiesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam ne vēlāk kā līdz 2025. gada 1. oktobrim.

Turklāt likums, lai nodrošinātu efektīvu kiberdrošības prasību un pasākumu ievērošanu, nosaka atbildību uzņēmumu augstākās vadības līmenī. Pirmo reizi kiberdrošības regulējums arī ievieš soda naudas piemērošanu un piespiedu izpildes noteikumus, kas var sasniegt līdz diviem procentiem no pēdējā finanšu gada kopējā neto apgrozījuma vai līdz pat 10 miljonus eiro, ja šis apgrozījums pārsniedz 500 miljonus eiro.

Kas vēl gaidāms?

Šobrīd domēna vārdu nozares uzņēmumi vēl gaida no likumdevējiem detalizētākas kiberdrošības prasības. Nozarei būtiski būs Ministru kabineta noteikumi, kas pārņems TID2 direktīvas 28.pantu. Regulējums noteiks augstākā līmeņa domēnu reģistra uzturētājiem un domēna vārdu reģistrācijas pakalpojumu sniedzējiem pienākumus:

  • vākt noteiktu kategoriju datus un garantēt to integritāti un pieejamību,
  • izstrādāt rīcībpolitikas un procedūras precīzu un pilnīgu domēnu vārdu reģistrācijas datu vākšanai un uzturēšanai, kā arī neprecīzu reģistrācijas datu novēršanai un izlabošanai saskaņā ar datu aizsardzības tiesību aktiem,
  • pieņemt un īstenot samērīgas domēnu vārdu reģistrācijas datu verifikācijas procedūras,
  • darīt publiski pieejamus domēnu vārdu reģistrācijas datus, kuri nav persondati,
  • nodrošināt leģitīmiem piekļuves prasītājiem reģistrācijas datu pieejamību un savlaicīgu piekļūstamību,
  • savstarpēji sadarboties, lai vienus un tos pašus datus nevāktu vairākas reizes.

Līdzās dalībvalstu nacionālajiem likumiem jau šobrīd Eiropas institūcijās norit darbs pie kiberdrošības prasību izstrādes domēna vārdu nozares un sagaidāms, ka:

  • 2024.gada rudenī NIS sadarbības grupa sniegs rekomendācijas dalībvalstīm par TID2 direktīvas 28.pantu,

  • līdz 2024. gada 17. oktobrim Eiropas Komisija pieņems īstenošanas aktu DNS pakalpojumu sniedzējiem un augstākā līmeņa domēnu nosaukumu reģistra uzturētājiem, kas nosaka tehniskās un metodiskās prasības pasākumiem, kuru mērķis ir aizsargāt tīklu un informācijas sistēmas un šo sistēmu fizisko vidi no incidentiem, un tie ietver vismaz:

     - riska analīzes un informācijas sistēmu drošības rīcībpolitikas;    
 - incidentu risināšanu;    
 - darbības nepārtrauktību, piemēram, dublējuma pārvaldību un negadījuma seku novēršanu, un krīžu pārvaldību;   
 - piegādes ķēdes drošību, tostarp ar drošību saistītus aspektus, kas skar attiecības starp katru vienību un tās tiešajiem piegādātājiem vai pakalpojumu sniedzējiem;     
 - drošību tīklu un informācijas sistēmu ieguvē, attīstīšanā un uzturēšanā, tostarp rīcību ievainojamības gadījumā un ievainojamības izpaušanu;    
 - rīcībpolitikas un procedūras, ar ko novērtē kiberdrošības risku pārvaldības pasākumu efektivitāti;    
 - kiberhigiēnas pamatpraksi un apmācību kiberdrošības jomā;     
 - rīcībpolitikas un procedūras attiecībā uz kriptogrāfijas un attiecīgā gadījumā šifrēšanas izmantošanu;    
 - cilvēkresursu drošību, piekļuves kontroles rīcībpolitikas un aktīvu pārvaldību;      
 - attiecīgā gadījumā daudzfaktoru autentifikācijas vai nepārtrauktas autentifikācijas risinājumus, drošu balss, video un teksta sakaru un drošu ārkārtas sakaru sistēmu izmantošanu vienībā.

Sagaidāmā ietekme

TID2 direktīva ir nozīmīgs solis Eiropas Savienības centienos nodrošināt drošu digitālo infrastruktūru, kas rada ietvaru, kā riskus parvērst par iespējām.

Domēna vārdu nozarē atbilstība TID2 direktīvai nozīmēs uzlabotu kiberdrošības praksi uzņēmumos, ātrāku rīcību kiberincidentu gadījumā un uzlabotu vispārējo noturību pret kiberdraudiem.

Lai gan Nacionālās kiberdrošības likums uzliek jaunus pienākumus un uzņēmumiem tas nozīmē būtiskus ieguldījumus, ilgtermiņa ieguvumi drošākas un uzticamākas informācijas un komunikāciju tehnoloģiju vides nodrošināšanā būs ievērojami.

Līdz ar likuma spēkā stāšanos domēna vārdu nozares uzņēmumiem ir aktīvi jāpielāgojas un jāgatavojas izmaiņām kiberdrošības jomā, nodrošinot, ka mēs kopā veicinām drošāku digitālo vidi visiem.

Piedalies publiskajā apspriešanā

Normatīvo aktu izstrāde vēl turpinās, tāpēc ikvienam, arī domēna vārdu nozares uzņēmumam, ir iespēja paust savu viedokli un priekšlikumus.

  • 27.jūnijā Eiropas Komisija ir uzsākusi konsultāciju procesu, kas ilgs līdz 25.jūlijam, par NIS2 īstenošanas aktu “Kiberdrošības riska pārvaldības un ziņošanas pienākums digitālajai infrastruktūrai, pakalpojumu sniedzējiem un IKT pakalpojumu vadītājiem”. Izsaki savu viedokli šeit
  • 3.jūlijā Latvijas Tiesību aktu projektu publiskajā portālā publicēti Noteikumi par minimālajām kiberdrošības prasībām (22-TA-3183) un uzsākta to publiskā apspriešana, kas ilgs līdz 17.jūlijam. Noteikumu projekts un informācija par sabiedrības līdzdalību pieejama šeit

Ja rodas jautājumi, sazinieties ar mums, rakstot uz dns@nic.lv vai zvanot +371 67085858. Priecāsimies Jums palīdzēt!