Datu aizsardzība

Labākā NIS2 programmatūra 2026: atbilstības rīki Latvijā

Labākā NIS2 programmatūra 2026 Latvijas uzņēmumiem: atbilstības rīki Nacionālās kiberdrošības likumam, funkcijas, cenas un atlases kritēriji CERT.LV kontekstā.

Also available in:English·da·no·Nederlands·Português

Labākā NIS2 programmatūra Latvijas uzņēmumam 2026. gadā ir platforma, kas atbalsta Nacionālās kiberdrošības likuma prasību izpildi — kiberdrošības risku pārvaldību, incidentu paziņošanu, pašnovērtējuma ziņojuma sagatavošanu un pasākumu dokumentēšanu. Nacionālās kiberdrošības likums, kas pārņem ES NIS2 direktīvu, ir spēkā kopš 2024. gada 1. septembra, un tas uzliek pienākumus būtisko un svarīgo pakalpojumu sniedzējiem, uzraudzību koordinējot Nacionālajam kiberdrošības centram sadarbībā ar CERT.LV. Pareizais rīks automatizē risku novērtējumu, uztur drošības pasākumu reģistru un pārvalda incidentu paziņošanas termiņus. Tālāk apskatu atlases kritērijus, vadošos rīku veidus un to, kā NIS2 atbilstība pārklājas ar VDAR, ļaujot to pārvaldīt vienotā platformā.

Kam Latvijā piemērojams NIS2?

Nacionālās kiberdrošības likums attiecas uz divām subjektu kategorijām: būtisko pakalpojumu sniedzējiem (piemēram, enerģētika, transports, banku sektors, veselības aprūpe, dzeramā ūdens apgāde, digitālā infrastruktūra) un svarīgo pakalpojumu sniedzējiem (piemēram, pasta pakalpojumi, atkritumu apsaimniekošana, pārtikas ražošana, digitālie pakalpojumi). Salīdzinājumā ar iepriekšējo NIS direktīvu subjektu loks ir būtiski paplašināts, tāpēc daudzi vidēji Latvijas uzņēmumi pirmo reizi ietilpst regulējuma tvērumā. Precīzu piemērojamības un ieviešanas aprakstu skatiet NIS2 Latvijā.

Galvenie NIS2 pienākumi un termiņi

Pienākums Ko tas nozīmē Termiņš Latvijā
Reģistrācija Pieteikums Nacionālajam kiberdrošības centram Līdz 2025. gada 1. aprīlim
Kiberdrošības pārvaldnieks Atbildīgās personas iecelšana Līdz 2025. gada 1. oktobrim
Pašnovērtējuma ziņojums Iesniegšana uzraudzības iestādei Līdz 2025. gada 1. oktobrim
Minimālās prasības MK noteikumu Nr. 397 izpilde Spēkā no 2025. gada 2. jūlija
Incidentu paziņošana Ziņošana CERT.LV noteiktos termiņos Nepārtraukti

Šie pienākumi prasa nepārtrauktu dokumentāciju un uzraudzību, ko izklājlapās ir grūti uzturēt. Programmatūra šo darbu strukturē un automatizē termiņu kontroli.

Kritēriji labākās NIS2 programmatūras izvēlei

Izvēloties NIS2 rīku Latvijas uzņēmumam, izšķiroši ir seši kritēriji:

  • Risku pārvaldība — strukturēts IKT risku novērtējums un pasākumu reģistrs, kas atbilst MK noteikumu Nr. 397 minimālajām prasībām.
  • Incidentu darbplūsma — termiņu kontrole ziņošanai CERT.LV, ar dokumentētu incidentu vēsturi.
  • Pašnovērtējums — atbalsts pašnovērtējuma ziņojuma sagatavošanai uzraudzības iestādei.
  • Latviešu valoda — dokumentācija, ko var iesniegt Nacionālajam kiberdrošības centram.
  • ES mitināšana — datu glabāšana ES, kas atbilst gan NIS2, gan VDAR loģikai.
  • Pārklāšanās ar VDAR — spēja pārvaldīt kiberdrošības un datu aizsardzības pienākumus vienotā sistēmā.

Kāpēc NIS2 un VDAR risināt kopā?

NIS2 drošības prasības būtiski pārklājas ar VDAR 32. panta (apstrādes drošība) un 33. panta (pārkāpumu paziņošana) pienākumiem. Uzņēmumam, kas jau uztur VDAR apstrādes reģistru un drošības pasākumu dokumentāciju, ir izdevīgi NIS2 prasības pārvaldīt tajā pašā platformā, nevis atsevišķi. Tas novērš dubultu darbu un nodrošina saskaņotu incidentu paziņošanas darbplūsmu — gan CERT.LV (NIS2), gan DVI (VDAR) virzienā. Tieši šī integrācija atšķir vispārīgus kiberdrošības rīkus no atbilstības platformām.

Šajā ziņā integrēta atbilstības platforma, piemēram, Legiscope, ļauj vienotā sistēmā pārvaldīt gan VDAR, gan pārklājošos NIS2 drošības un dokumentācijas pienākumus ES infrastruktūrā ar latviešu valodas izvadi. Vispārīgu VDAR rīku salīdzinājumu skatiet labākās VDAR programmatūras pārskatā, bet finanšu sektora paralēlo regulējumu — DORA programmatūras pārskatā.

Kādi rīki risina NIS2?

Tirgū ir trīs rīku veidi. Tehniskās kiberdrošības platformas (piemēram, ievainojamību skenēšana, SIEM) sedz drošības darbības pusi, bet ne dokumentāciju un atbilstības pārvaldību. Vispārīgas GRC platformas (governance, risk, compliance) pārvalda risku reģistrus un pašnovērtējumus, bet bieži nav pielāgotas Latvijas Nacionālās kiberdrošības likumam. Integrētas atbilstības platformas apvieno dokumentāciju, risku pārvaldību un pārklāšanos ar VDAR. Latvijas uzņēmumam, kas jau risina VDAR, integrēta pieeja parasti ir efektīvākā, jo tā izmanto esošo dokumentāciju un novērš dubultu darbu.

Vadības atbildība un sodi par NIS2 neizpildi

NIS2 būtiska iezīme ir tieša vadības atbildība. Nacionālās kiberdrošības likums nosaka, ka par kiberdrošības prasību izpildi atbild organizācijas vadība, ne tikai IT nodaļa — valdei un padomei jāapstiprina kiberdrošības pasākumi un jāpārrauga to izpilde. Tas nozīmē, ka kiberdrošība vairs nav tehnisks jautājums, ko var deleģēt, bet gan vadības pienākums ar juridiskām sekām. NIS2 paredz iespēju piemērot būtiskus sodus par prasību neizpildi — direktīva būtisko pakalpojumu sniedzējiem paredz sodus līdz 10 miljoniem eiro vai 2 % no gada apgrozījuma. Praksē Latvijā uzsvars pagaidām ir uz reģistrāciju, pašnovērtējumu un pakāpenisku prasību ieviešanu, taču vadības atbildības princips nozīmē, ka neizpilde nav bez sekām. Tieši šī atbildība padara strukturētu dokumentāciju un pierādāmu atbilstību par vadības interesi.

Kā ieviest NIS2 soli pa solim

NIS2 atbilstības ieviešana ir strukturēts process. Pirmais solis ir piemērojamības izvērtēšana — noteikt, vai uzņēmums ir būtisko vai svarīgo pakalpojumu sniedzējs pēc NKDL kritērijiem. Otrais solis ir reģistrācija Nacionālajā kiberdrošības centrā, kas bija jāveic līdz 2025. gada 1. aprīlim. Trešais solis ir kiberdrošības pārvaldnieka iecelšana — atbildīgās personas noteikšana, kas bija jāizdara līdz 2025. gada 1. oktobrim. Ceturtais solis ir riska novērtējums un pasākumu ieviešana atbilstoši Ministru kabineta noteikumu Nr. 397 minimālajām prasībām. Piektais solis ir pašnovērtējuma ziņojuma sagatavošana un iesniegšana uzraudzības iestādei. Sestais solis ir nepārtraukta uzraudzība — incidentu paziņošana CERT.LV un pasākumu pārskatīšana. Programmatūra šos soļus strukturē, uzturot risku reģistru, pasākumu dokumentāciju un incidentu žurnālu vienuviet, kas atvieglo gan pašnovērtējumu, gan uzraudzības iestādes pārbaudi.

NIS2 dažādās nozarēs Latvijā

NIS2 prasību praktiskā ietekme atšķiras pēc nozares. Enerģētikas un komunālo pakalpojumu uzņēmumiem uzsvars ir uz kritiskās infrastruktūras nepārtrauktību un piegādes ķēdes drošību, jo incidents var ietekmēt plašu sabiedrību. Veselības aprūpes iestādēm NIS2 saskaras ar VDAR īpašu kategoriju datu aizsardzību, tāpēc drošības pasākumi jādokumentē abu regulējumu vajadzībām. Digitālās infrastruktūras un IT pakalpojumu sniedzējiem — mākoņa pakalpojumiem, datu centriem — uzsvars ir uz sistēmu noturību un incidentu reaģēšanu, un tieši šajā segmentā notika ZZ Dats datu noplūde, kas skāra pašvaldības. Ražošanas un pārtikas uzņēmumiem NIS2 bieži ir pirmais kiberdrošības regulējums, kas prasa strukturētu risku pārvaldību. Katrā nozarē pamats ir tas pats — risku novērtējums, pasākumu ieviešana un pašnovērtējums —, bet akcenti atšķiras. Latvijas datu aizsardzības kontekstu kopumā skatiet datu aizsardzības ceļvedī Latvijā.

Pašnovērtējuma ziņojums praksē

Pašnovērtējuma ziņojums ir viens no praktiski svarīgākajiem NIS2 pienākumiem, jo tas ir dokuments, ar kuru uzņēmums pierāda uzraudzības iestādei savu atbilstību. Ziņojumā subjektam jāapraksta, kā tas izpilda Ministru kabineta noteikumu Nr. 397 minimālās kiberdrošības prasības — risku pārvaldību, piekļuves kontroli, šifrēšanu, dublējumkopijas, incidentu reaģēšanu, piegādes ķēdes drošību un darbinieku apmācību. Praksē grūtākais nav pati ziņojuma forma, bet pierādījumu savākšana: par katru prasību jābūt dokumentētam pasākumam. Uzņēmumam, kas drošības pasākumus dokumentē tikai formāli vai izklājlapās, pašnovērtējums kļūst par steidzīgu dokumentu radīšanu zem termiņa spiediena. Programmatūra, kas visu gadu uztur risku reģistru un pasākumu žurnālu, pašnovērtējumu pārvērš esošās dokumentācijas apkopojumā, nevis atsevišķā projektā.

Nepārtraukta atbilstība, ne vienreizējs projekts

Būtiska NIS2 iezīme ir tā, ka atbilstība nav vienreizējs sasniegums, bet nepārtraukts stāvoklis. Reģistrācija, kiberdrošības pārvaldnieka iecelšana un pirmais pašnovērtējums ir sākums, ne beigas — pēc tam seko incidentu paziņošana, pasākumu regulāra pārskatīšana un dokumentācijas atjaunināšana ikreiz, kad mainās sistēmas vai piegādātāji. Tieši šī nepārtrauktība padara izklājlapas neefektīvas: tās noveco starp pārskatīšanām, un uzraudzības pārbaudē bieži izrādās, ka dokumentētais stāvoklis vairs neatbilst realitātei. Programmatūra šo problēmu risina, uzturot vienotu, datētu ierakstu par risku novērtējumiem, pasākumiem un incidentiem, ko var uzrādīt jebkurā brīdī. Uzņēmumam, kas NIS2 pārvalda kopā ar VDAR vienā platformā, šī nepārtrauktā uzturēšana prasa mazāk darba, jo abu regulējumu dokumentācija balstās uz to pašu drošības pamatu.

Praksē tas nozīmē, ka rīka izvēle jāvērtē ne pēc tā, cik ātri var sagatavot pirmo pašnovērtējumu, bet pēc tā, cik viegli dokumentāciju uzturēt gadu no gada. Uzņēmumam, kas piegādā vairākus pakalpojumus vai darbojas vairākās nozarēs, atbilstības apjoms pieaug, un tieši tad izklājlapu pieeja sabrūk. Rīks, kas risku reģistru, pasākumus un incidentu žurnālu tur vienuviet un saista ar VDAR dokumentāciju, ļauj uzraudzības pārbaudei sagatavoties dažu dienu laikā, nevis mēnešiem. Latvijas kontekstā, kur NKDC uzraudzība tikai pastiprinās, šī gatavība jebkurā brīdī uzrādīt aktuālu dokumentāciju ir galvenais praktiskais ieguvums no atbilstības programmatūras. Ņemot vērā tiešo vadības atbildību par kiberdrošību, tieši spēja ātri pierādīt atbilstību ir arī vadības interese, ne tikai IT nodaļas uzdevums — un tas padara pierādāmu, dzīvu dokumentāciju par vadības līmeņa prioritāti.

Biežāk uzdotie jautājumi

Cik maksā NIS2 programmatūra?

NIS2 atbilstības rīki cenu ziņā svārstās plaši atkarībā no tvēruma. Integrētas atbilstības platformas, kas pārvalda gan VDAR, gan NIS2 dokumentāciju, maksā aptuveni tāpat kā VDAR platformas — no dažiem simtiem eiro mēnesī MVU segmentā. Tīri tehniskās kiberdrošības platformas (SIEM, ievainojamību skenēšana) ir atsevišķa izmaksu kategorija. Uzņēmumam ir izdevīgi izvēlēties rīku, kas VDAR un NIS2 dokumentāciju risina kopā.

Vai NIS2 attiecas uz visiem uzņēmumiem Latvijā?

Nē. NIS2 attiecas uz būtisko un svarīgo pakalpojumu sniedzējiem noteiktās nozarēs — enerģētikā, transportā, veselības aprūpē, digitālajā infrastruktūrā un citās. Tomēr subjektu loks salīdzinājumā ar iepriekšējo NIS direktīvu ir būtiski paplašināts, tāpēc daudzi vidēji uzņēmumi tagad ietilpst tvērumā. Piemērojamību skatiet NIS2 Latvijā.

Kā NIS2 saskaras ar VDAR?

NIS2 drošības un incidentu paziņošanas prasības pārklājas ar VDAR 32. un 33. pantu. Uzņēmumam, kas jau uztur VDAR apstrādes reģistru un drošības dokumentāciju, ir izdevīgi NIS2 prasības pārvaldīt tajā pašā platformā, novēršot dubultu darbu.

Vai NIS2 programmatūra aizstāj tehniskos kiberdrošības rīkus?

Nē. NIS2 atbilstības programmatūra pārvalda risku reģistru, pasākumu dokumentāciju, pašnovērtējumu un incidentu žurnālu, bet tā neaizstāj tehniskos drošības rīkus, piemēram, ievainojamību skenēšanu, ugunsmūrus vai SIEM sistēmas. Abi ir nepieciešami: tehniskie rīki nodrošina aizsardzību, savukārt atbilstības programmatūra pierāda un dokumentē, ka prasības ir izpildītas. Integrēta atbilstības platforma šo dokumentācijas pusi saista ar VDAR pienākumiem.

Secinājums

Labākā NIS2 programmatūra Latvijas uzņēmumam ir tā, kas atbalsta Nacionālās kiberdrošības likuma prasību izpildi — risku pārvaldību, incidentu paziņošanu CERT.LV un pašnovērtējuma sagatavošanu —, vienlaikus izmantojot pārklāšanos ar VDAR. Ņemot vērā 2025. gada termiņus (reģistrācija, kiberdrošības pārvaldnieks, pašnovērtējums) un MK noteikumu Nr. 397 minimālās prasības, uzņēmumam ir izdevīgi izvēlēties integrētu atbilstības platformu, kas VDAR un NIS2 dokumentāciju risina vienotā sistēmā latviešu valodā. Apskatiet Legiscope darbībā — piesakieties 15 minūšu demonstrācijai

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →