NIS2 direktīva Latvijā ir pārņemta ar Nacionālās kiberdrošības likumu (NKDL), kas ir spēkā kopš 2024. gada 1. septembra. Likums uzliek kiberdrošības prasības būtisko un svarīgo pakalpojumu sniedzējiem, un tā izpildi koordinē Nacionālais kiberdrošības centrs (NKDC) Aizsardzības ministrijas pakļautībā, cieši sadarbojoties ar CERT.LV. Galvenie 2025. gada termiņi, kas Latvijas uzņēmumiem jau ir pagājuši vai tikko iestājušies, ir reģistrācija NKDC līdz 1. aprīlim, kiberdrošības pārvaldnieka iecelšana līdz 1. oktobrim un pašnovērtējuma ziņojuma iesniegšana līdz 1. oktobrim. Papildus 2025. gada 2. jūlijā spēkā stājās Ministru kabineta noteikumi Nr. 397 par minimālajām kiberdrošības prasībām. Šis ceļvedis skaidro, kam NIS2 Latvijā piemērojams, kādi ir pienākumi un termiņi un kā NIS2 saskaras ar VDAR.
Kas ir Nacionālās kiberdrošības likums?
Nacionālās kiberdrošības likums ir tiesību akts, ar kuru Latvija pārņem ES NIS2 direktīvu (Direktīva (ES) 2022/2555). Tā mērķis ir stiprināt kiberdrošību Latvijā un panākt vienlīdzīgi augstu kiberdrošības līmeni visā ES. Likums nosaka pienākumus organizācijām, kas sniedz sabiedrībai būtiskus vai svarīgus pakalpojumus, kā arī izveido uzraudzības un incidentu reaģēšanas sistēmu. Līdz ar likuma spēkā stāšanos 2024. gada 1. septembrī darbu uzsāka Nacionālais kiberdrošības centrs.
Kas ir NKDC un CERT.LV?
Latvijas kiberdrošības sistēmā ir divas galvenās iestādes. Nacionālais kiberdrošības centrs (NKDC) darbojas Aizsardzības ministrijas pakļautībā un ir galvenā koordinējošā un uzraugošā iestāde NIS2 ieviešanā; tā informācija pieejama cyber.gov.lv. CERT.LV ir Latvijas nacionālā datordrošības incidentu novēršanas institūcija, kas darbojas Latvijas Universitātes Matemātikas un informātikas institūta sastāvā; tās uzdevumi ietver reaģēšanu uz kiberdrošības incidentiem, kibersituācijas monitoringu, draudu analīzi un sabiedrības izglītošanu. NKDC un CERT.LV strādā kopā — NKDC koordinē uzraudzību un atbilstību, CERT.LV nodrošina tehnisko incidentu reaģēšanu.
Kam Latvijā piemērojams NIS2?
NKDL attiecas uz divām subjektu kategorijām:
| Kategorija | Piemēri | Uzraudzības intensitāte |
|---|---|---|
| Būtisko pakalpojumu sniedzēji | Enerģētika, transports, banku sektors, veselības aprūpe, dzeramais ūdens, digitālā infrastruktūra | Augstāka (proaktīva uzraudzība) |
| Svarīgo pakalpojumu sniedzēji | Pasta pakalpojumi, atkritumu apsaimniekošana, pārtikas ražošana, digitālie pakalpojumi | Zemāka (reaktīva uzraudzība) |
Salīdzinājumā ar iepriekšējo NIS direktīvu subjektu loks ir būtiski paplašināts — tas tagad aptver daudz vairāk nozaru un iekļauj arī vidējus uzņēmumus. Tāpēc daudzi Latvijas uzņēmumi pirmo reizi nonāk kiberdrošības regulējuma tvērumā un tiem jāizvērtē sava atbilstība.
Kādi ir galvenie pienākumi un termiņi?
NKDL uzliek subjektiem vairākus pienākumus ar konkrētiem termiņiem:
- Reģistrācija — būtisko un svarīgo pakalpojumu sniedzējiem bija jāreģistrējas NKDC līdz 2025. gada 1. aprīlim.
- Kiberdrošības pārvaldnieks — katram subjektam līdz 2025. gada 1. oktobrim bija jāieceļ par kiberdrošību atbildīgā persona.
- Pašnovērtējuma ziņojums — līdz 2025. gada 1. oktobrim jāiesniedz pašnovērtējums uzraudzības iestādei.
- Minimālās kiberdrošības prasības — Ministru kabineta noteikumi Nr. 397, kas spēkā no 2025. gada 2. jūlija, nosaka konkrētus tehniskos un organizatoriskos pasākumus.
- Incidentu paziņošana — būtiski kiberdrošības incidenti jāziņo CERT.LV un NKDC noteiktajos termiņos.
Šie pienākumi prasa nepārtrauktu dokumentāciju un uzraudzību, ne vienreizēju darbu. Rīku izvēli šo pienākumu pārvaldībai skatiet mūsu NIS2 programmatūras pārskatā.
Kā NIS2 saskaras ar VDAR un DORA?
NIS2 nav izolēts regulējums. Tā drošības prasības pārklājas ar VDAR 32. panta (apstrādes drošība) un 33. panta (pārkāpumu paziņošana) pienākumiem — kiberdrošības incidents bieži vienlaikus ir arī personas datu aizsardzības pārkāpums, par ko jāziņo gan CERT.LV, gan DVI. Finanšu sektorā NIS2 pārklājas arī ar DORA, kas finanšu subjektiem ir speciālais regulējums. Tāpēc uzņēmumam ir izdevīgi šos regulējumus pārvaldīt saskaņoti. Integrēta atbilstības platforma, piemēram, Legiscope, ļauj VDAR un pārklājošos NIS2 drošības un dokumentācijas pienākumus pārvaldīt vienotā sistēmā, novēršot dubultu darbu. Latvijas datu aizsardzības kontekstu kopumā skatiet datu aizsardzības ceļvedī Latvijā.
Minimālās kiberdrošības prasības (MK noteikumi Nr. 397)
Ministru kabineta noteikumi Nr. 397 “Minimālās kiberdrošības prasības”, kas spēkā no 2025. gada 2. jūlija, konkretizē, kādi tehniskie un organizatoriskie pasākumi subjektiem jāievieš. Šie pasākumi aptver vairākas jomas: risku pārvaldības politiku un procedūras, piekļuves kontroli un identitātes pārvaldību, datu šifrēšanu, dublējumkopiju veidošanu un atjaunošanu, incidentu atklāšanu un reaģēšanu, piegādes ķēdes drošību un darbinieku apmācību. Noteikumu mērķis ir nodrošināt, ka būtisko un svarīgo pakalpojumu sniedzēji ievieš modernu, strukturētu kiberdrošības regulējumu un stiprina noturību pret draudiem. Praksē tas nozīmē, ka atbilstība nav abstrakta — subjektam jāspēj pierādīt konkrētu pasākumu ieviešanu pašnovērtējumā un uzraudzības pārbaudē. Tieši šī pierādāmība padara strukturētu dokumentāciju par nepieciešamību, ne izvēli.
Vadības atbildība un sodi
NIS2 būtiska iezīme ir tieša vadības atbildība par kiberdrošību. Nacionālās kiberdrošības likums nosaka, ka organizācijas vadībai jāapstiprina kiberdrošības pasākumi un jāpārrauga to izpilde — kiberdrošība vairs nav tikai IT nodaļas jautājums, ko var pilnībā deleģēt. Tas atspoguļo NIS2 direktīvas pieeju, kas paredz iespēju saukt vadību pie atbildības par prasību neizpildi. Direktīva būtisko pakalpojumu sniedzējiem paredz sodus līdz 10 miljoniem eiro vai 2 % no gada apgrozījuma, bet svarīgo pakalpojumu sniedzējiem — līdz 7 miljoniem eiro vai 1,4 %. Latvijā pagaidām uzsvars ir uz reģistrāciju, pašnovērtējumu un pakāpenisku ieviešanu, taču vadības atbildības princips nozīmē, ka neizpilde nav bez sekām. Rīku izvēli šo pienākumu pārvaldībai skatiet NIS2 programmatūras pārskatā.
Incidentu paziņošana CERT.LV
Viens no NIS2 pamatpienākumiem ir kiberdrošības incidentu paziņošana. Būtisko un svarīgo pakalpojumu sniedzējiem par nozīmīgiem incidentiem jāziņo noteiktos termiņos, kas atbilst NIS2 direktīvas loģikai: sākotnējais brīdinājums drīz pēc incidenta atklāšanas, tam sekojošs detalizētāks ziņojums un galīgais ziņojums pēc incidenta izmeklēšanas. CERT.LV kā nacionālā incidentu novēršanas institūcija saņem ziņojumus, palīdz reaģēt un koordinē tehnisko atbildi, savukārt Nacionālais kiberdrošības centrs uzrauga atbilstību. Šis daudzposmu ziņošanas process prasa iepriekš sagatavotu procedūru — kas incidentu atklāj, kas to novērtē un kas iesniedz ziņojumu —, jo termiņi ir stingri. Svarīgi, ka kiberdrošības incidents bieži vienlaikus ir personas datu aizsardzības pārkāpums, par ko jāziņo arī DVI 72 stundu laikā, tāpēc uzņēmumam ir izdevīgi abas ziņošanas procedūras saskaņot. Praksē tas nozīmē vienu incidentu reaģēšanas procedūru ar diviem izejas kanāliem: tehnisko ziņojumu CERT.LV un NKDC virzienā un datu aizsardzības pārkāpuma paziņojumu DVI virzienā, ja incidents skāris personas datus. Uzņēmumam, kam šie procesi ir nošķirti, praksē draud dubults darbs un termiņu nokavēšana. Kā pārvaldīt pārklājošos incidentu pienākumus, skatiet NIS2 programmatūras pārskatā.
Biežāk uzdotie jautājumi
Kad NIS2 stājās spēkā Latvijā?
NIS2 Latvijā tika pārņemts ar Nacionālās kiberdrošības likumu, kas ir spēkā kopš 2024. gada 1. septembra. Vienlaikus darbu uzsāka Nacionālais kiberdrošības centrs. Galvenie subjektu pienākumu termiņi iestājās 2025. gadā — reģistrācija līdz 1. aprīlim, kiberdrošības pārvaldnieks un pašnovērtējums līdz 1. oktobrim.
Kam jāreģistrējas Nacionālajā kiberdrošības centrā?
Reģistrēties bija jāsniedz būtisko un svarīgo pakalpojumu sniedzējiem noteiktās nozarēs — enerģētikā, transportā, veselības aprūpē, digitālajā infrastruktūrā, pārtikas ražošanā un citās. Ja uzņēmums nav pārliecināts par savu atbilstību, tas jāizvērtē pēc NKDL kritērijiem, jo subjektu loks salīdzinājumā ar iepriekšējo NIS direktīvu ir būtiski paplašināts.
Kas ir kiberdrošības pārvaldnieks?
Kiberdrošības pārvaldnieks ir par kiberdrošību atbildīgā persona, kas katram NKDL subjektam bija jāieceļ līdz 2025. gada 1. oktobrim. Šī persona atbild par kiberdrošības prasību izpildi organizācijā un ir kontaktpunkts uzraudzības iestādei — līdzīgi kā datu aizsardzības speciālists VDAR kontekstā.
Kā uzzināt, vai uzņēmums ir NIS2 subjekts?
Piemērojamību nosaka divi kritēriji: nozare un uzņēmuma lielums. Nacionālās kiberdrošības likums uzskaita nozares, uz kurām tas attiecas (enerģētika, transports, veselības aprūpe, digitālā infrastruktūra, pārtikas ražošana un citas), un parasti aptver vidējus un lielus uzņēmumus šajās nozarēs. Ja uzņēmums darbojas kādā no minētajām nozarēm un pārsniedz noteiktos lieluma sliekšņus, tas, visticamāk, ir subjekts un tam bija jāreģistrējas Nacionālajā kiberdrošības centrā. Šaubu gadījumā piemērojamība jāizvērtē pēc likuma kritērijiem.
Secinājums
NIS2 Latvijā ir īstenots ar Nacionālās kiberdrošības likumu, kas spēkā kopš 2024. gada 1. septembra un kura izpildi koordinē Nacionālais kiberdrošības centrs sadarbībā ar CERT.LV. Galvenie 2025. gada termiņi — reģistrācija, kiberdrošības pārvaldnieks un pašnovērtējums — jau ir iestājušies, un Ministru kabineta noteikumi Nr. 397 nosaka minimālās prasības. Tā kā subjektu loks ir būtiski paplašināts un NIS2 drošības prasības pārklājas ar VDAR un DORA, Latvijas uzņēmumam ir izdevīgi šos regulējumus pārvaldīt saskaņoti, nevis atsevišķi.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial