Šonedēļ stājušies spēkā jaunie Ministru Kabineta noteikumi par minimālajām prasībām kiberdrošībā, kas attieksies uz dažādu nozaru uzņēmumiem - būtisko un svarīgo pakalpojumu sniedzējiem, IKT kritiskās infrastruktūras uzņēmumiem u.c. Jaunās izmaiņas paredz, ka uzņēmumiem jāieceļ kiberdrošības pārvaldnieki un jāiesniedz ziņojums par riskiem. Tiesa, pagaidām šīs prasības praktiski ieviesusi vien trešdaļa uzņēmumu Latvijā.
Lai arī likums, kas nosaka šīs prasības, ir spēkā jau no pērnā gada rudens, valdība konkrētos noteikumus apstiprināja tikai šī gada jūnijā. Tie paredz, ka uzņēmumiem jāveic gan tehniski, gan organizatoriski pasākumi, lai uzlabotu kiberdrošību. Šo prasību izpilde palīdzēs ne vien sakārtot IT procesus, bet arī pasargāt uzņēmumu no iespējamajiem kiberuzbrukumiem un darbības traucējumiem nākotnē.
Tomēr viens no lielākajiem izaicinājumiem šo kiberdrošības prasību izpildē ir kvalificētu speciālistu trūkums.
Kiberdrošības pārvaldnieka pienākumi prasa specifiskas zināšanas un bieži arī veselas komandas iesaisti, ko ne visi uzņēmumi var atļauties. Tāpēc daļa uzņēmumu izvēlas izmantot ārpakalpojumus. Saskaņā ar noteikumiem, viens kiberdrošības pārvaldnieks drīkst strādāt līdz pieciem uzņēmumiem. Taču, lai segtu Latvijas vajadzības, būtu nepieciešami vismaz 100 speciālisti un vēl aptuveni 300 pārvaldnieki.
Jauno prasību ieviešana notiks pakāpeniski līdz 2026. gadam. Pirmie soļi ir kiberdrošības pārvaldnieka iecelšana un pašnovērtējuma ziņojuma sagatavošana, kas jāveic līdz šī gada oktobrim. Pēc tam uzņēmumiem būs jāizstrādā iekšējā kiberdrošības politika, jāievieš incidentu pārvaldība un jānodrošina pastāvīga sistēmu uzraudzība. Šīs izmaiņas izriet no Eiropas Savienības NIS2 direktīvas un palīdzēs uzņēmumiem būt gataviem kiberriskiem un saglabāt darbības nepārtrauktību arī apdraudējumu gadījumā.
Noteikumu ievērošanu uzraudzīs Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs, kuriem būs tiesības veikt pārbaudes, pieprasīt auditus un nepieciešamības gadījumā arī informēt uzņēmuma klientus par konstatētajiem riskiem. Par prasību neievērošanu uzņēmumiem var draudēt naudas sods.
