Menu

Menu

Featured

Baltijas uzņēmumu vadītāju aptauja 2026

PwC raidieraksts “Cilvēks un organizācija”

Loading Results

Kiberdrošības pārvaldnieks – darbinieks vai ārpakalpojums?

  • Decembris 17, 2025
Baiba Apine

Baiba Apine

Direktore IT konsultāciju nodaļā, Vadības konsultāciju nodaļas vadītāja, PwC Latvia

E-pasts

Aija Panke

zvērināta advokāte, PwC Latvia

E-pasts

Kiberdrošības pārvaldnieka loma un normatīvais regulējums

Kiberdrošības pārvaldnieks ir galvenā persona, kas nodrošina organizācijas informācijas un komunikāciju tehnoloģiju (turpmāk - IKT) drošību un atbilstību Nacionālās kiberdrošības likumam (turpmāk - NKDL) un Ministru kabineta noteikumiem Nr. 397 "Minimālās kiberdrošības prasības" (turpmāk – MK noteikumi). NKDL ir būtiskākais regulējums publiskās pārvaldes organizācijām un uzņēmumiem Latvijā - NKDL subjektiem. Ja uzņēmums strādā ārvalstīs, jāņem vērā tās valsts kiberdrošības prasības. Piemēram, Vācijā, saskaņā ar vietējo regulējumu ITSiG 2.0, atsevišķas 5G tehnoloģijas sistēmas nedrīkst tikt izmantotas publiskajā tīklā bez sertifikācijas. Tādējādi kiberdrošības pārvaldniekam jāpārzina arī kiberdrošības prasības tirgos, kur organizācija darbojas. Papildu kiberdrošības prasības var būt arī industrijai. Piemēram, saules enerģijas ražotājiem pazīstamas NIST IR 8498 vadlīnijas drošības prasībām smart inverteriem, kas paredz piekļuves kontroli, regulārus programmatūras atjauninājumus u.c. Savukārt, finanšu nozares uzņēmumiem pazīstamas DORA prasības digitālai noturībai finanšu sistēmās.

Kiberdrošības pārvaldnieka kompetences un prasmes

Papildus zināšanām par iepriekš minētajiem normatīvajiem aktiem kiberdrošības pārvaldniekam jāprot pārvaldīt kiberriskus, viņam/ai jābūt tehniskai kompetencei veikt risku novērtēšanu un analīzi, identificēt apdraudējumus, pārbaudīt ievainojamības. Prasmes ielaušanās testēšanā, kiberuzbrukumu simulācijās, sociālajā inženierijā un žurnālfailu analīzē. Tāpat kiberdrošības pārvaldniekam jābūt gatavam incidentu reaģēšanai, ziņošanai, seku novēršanai un darbības atjaunošanai saskaņā ar CERT.LV vadlīnijām.

Ārpakalpojuma piesaistes iespējas

Latvijas tiesību akti neierobežo kiberdrošības pārvaldnieka kā ārpakalpojuma piesaisti. Ja organizācija ir informācijas un komunikāciju tehnoloģijas (IKT) kritiskās infrastruktūras turētājs vai būtisko vai svarīgo pakalpojumu sniedzējs, kiberdrošības pārvaldniekam jābūt fiziskai personai. Turklāt šī fiziskā persona vienlaikus drīkst būt noteikta par kiberdrošības pārvaldnieku ne vairāk kā piecos būtisko pakalpojumu sniedzējos, kas nav IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji.1

ENISA vadlīnijas un risinājumu izvērtēšana

Eiropas Savienības Kiberdrošības aģentūra (ENISA) šā gada jūnijā ir izdevusi vadlīnijas par kiberdrošības lomām un prasmēm NIS2 pakļautām organizācijām2, kas tieši aicina organizācijas izvērtēt, vai ir nepieciešams apmācīt savu personālu par prasmēm, kas nepieciešamas NIS2 (vai Latvijas gadījumā Nacionālā kiberdrošības likuma un ar to saistīto tiesību aktu) prasību izpildei, vai arī izvēlēties noteiktus ekspertus ārpakalpojumā. Katram risinājumam ir savas priekšrocības un trūkumi, tāpēc ir svarīgi atcerēties, ka tas ir organizācijas vadības uzdevums atbilstoši izvērtēt katram risinājumam piemītošos riskus. Kiberdrošības pārvaldnieka izmantošana ārpakalpojuma formā var būt arī pagaidu risinājums gadījumos, kad organizācija secina, ka uz doto brīdi tās personālam nav nepieciešamo zināšanu un prasmju, lai atbilstoši izpildītu kiberdrošības pārvaldniekam noteiktos pienākumus. Tāpat ārpakalpojuma sniedzējs var palīdzēt organizācijas ieceltam kiberdrošības pārvaldniekam tikai ar daļu no tā pienākumu veikšanas, ja organizācija secina, ka tas būtu efektīvs risinājums.

Līguma izstrādes nozīme ārpakalpojuma gadījumā

Izvēloties kiberdrošības pārvaldnieka funkciju nodrošināt kā ārpakalpojumu, organizācijai ir jānodrošina, lai līgums ar pakalpojuma sniedzēju būtu juridiski precīzs, tehniski detalizēts un pilnībā atbilstu piemērojamo tiesību aktu prasībām. Būtiski atcerēties, ka galīgā atbildība par kiberdrošības pārvaldību vienmēr paliek pašas organizācijas vadības līmenī.

Līguma izstrādē vispirms ir svarīgi precīzi definēt ārpakalpojuma sniedzēja lomu un atbildību. Jānorāda, kādas konkrētas funkcijas viņš veiks – piemēram, vai tas būs tikai operatīvs atbalsts incidentu pārvaldībā un risku novērtēšanā vai arī viņš darbosies kā stratēģisks partneris, kas pilda noteiktas funkcijas. Tāpat līgumā jāiekļauj skaidri termiņi (angliski pazīstams termins SLA, service level agreement), kurā noteikti, piemēram, reakcijas laiki uz incidentiem, pieejamības prasības, kā arī ziņošanas termiņi un formāti.

Īpaša uzmanība jāpievērš personas datu aizsardzībai un konfidencialitātei, jo ārpakalpojuma sniedzējs, visticamāk piekļūs organizācijas izmantotajiem datiem un informācijai, kas uzskatāma par konfidenciālu. Līgumā jāiekļauj noteikumi, kas nodrošina atbilstību Vispārīgajai datu aizsardzības regulai, kā arī jānosaka datu glabāšanas vieta, vēlams – Eiropas Savienības teritorijā. Konfidencialitātes klauzulas ir būtiskas, lai aizsargātu organizācijas datus un informāciju gan līguma darbības laikā, gan pēc tā izbeigšanas.

Tāpat līgumā jāparedz atbildības sadalījums un riska pārvaldības mehānismi. Jānosaka, kāda ir katras puses atbildība incidentu gadījumā, kā arī jāapsver iespēja iekļaut prasību par kiberdrošības atbildības apdrošināšanu. Lai nodrošinātu pārskatāmību un kontroli, organizācijai jāparedz tiesības veikt auditus un saņemt dokumentāciju, kas apliecina pakalpojuma sniedzēja atbilstību noteiktajiem standartiem. 

Visbeidzot, līgumā jāiekļauj noteikumi par tā termiņu, pagarināšanas iespējām un izbeigšanas kārtību. Īpaši svarīgi ir paredzēt pārejas plānu (exit strategy), kas nodrošina pakalpojumu nepārtrauktību un zināšanu nodošanu gadījumā, ja sadarbība tiek izbeigta.

Šāda līguma struktūra ne tikai palīdzēs nodrošināt atbilstību piemērojamām prasībām, bet arī stiprinās organizācijas spēju pārvaldīt kiberdrošības riskus, vienlaikus saglabājot kontroli pār kritiskajām funkcijām.

Nozares specifika un praktiskie aspekti

Kritiskās IKT infrastruktūras turētājiem kiberdrošības pārvaldnieks praksē ir iekšpakalpojumā stingro un nemitīgi mainīgo drošības prasību dēļ. Tāpat šo organizāciju darbību papildus regulē arī citi drošības likumi, piemēram, Nacionālās drošības likums, izvirzot papildus prasības organizāciju darbiniekiem.

Būtisko un svarīgo pakalpojumu sniedzēji ir uzņēmumi, kuriem kiberdrošības pārvaldība kā regulēta joma, ir jaunums. Latvijā nav publiski pieejamu aktuālu skaitļu, cik ir reģistrēti būtiskie un svarīgie pakalpojumu sniedzēji, jo tie paši atbildīgi par statusa novērtēšanu un reģistrāciju. Šiem uzņēmumiem arī būtu būtiski iegūt kompetentu kiberdrošības pārvaldnieku – fizisku personu gan atbilstības tiesību aktiem nodrošināšanai, gan efektīvai kiberdrošības pārvaldībai uzņēmumā, ja tāda nebija jau iepriekš.

Uzņēmumiem, kuriem kiberdrošības pārvaldnieka norīkošana nav obligāta saskaņā ar piemērojamiem tiesību aktiem, bieži kiberdrošības pārvaldnieka nemaz nav, un informācijas drošības nodrošināšanu uzņemas atbildīgais par informācijas tehnoloģijām, fiziskās drošības pārvaldnieks utml. Tomēr arī šiem uzņēmumiem būtu nepieciešams kiberdrošības pārvaldnieks. Piemēram, ja uzņēmums ir piegādātājs būtisko vai svarīgo pakalpojumu sniedzējam ārvalstīs, tam būs jāatbilst klienta kibernoturības prasībām. Uzņēmumam jābūt informācijas drošības politikai, nepārtrauktas darbības nodrošināšanas plānam u.c. kiberhigiēnas lietām, lai saglabātu vietu piegādes ķēdē. Šo prasību efektīvai nodrošināšanai nepieciešams kiberdrošības pārvaldnieks, kas var būt gan uzņēmuma darbinieks, gan ārpakalpojums.

Priekšrocības un trūkumi: darbinieks vs ārpakalpojums

 

 

Funkcijas

 

 

Priekšrocības

 

 

Trūkumi

 

 

Kiberdrošības pārvaldnieks uzņēmuma darbinieks 
  1. Darbinieks ir tieši pakļauts uzņēmuma vadībai, vieglāk nodrošināt politiku ievērošanu;
  2. Pieejamība – ātra reakcija uz incidentiem, pilna pieeja uzņēmuma sistēmām, iekšējai kontroles videi;
  3. Mazāks datu noplūdes risks.

 

 

  1. Izmaksas – darbinieka atalgojums, regulāras apmācības, sertifikācija; 

  2. Atkarība no viena cilvēka – ja darbinieks aiziet, zināšanas var pazust;

  3. Kiberdrošības speciālistu trūkums.

 

 

Kiberdrošības pārvaldnieks ārpakalpojumā

 

 

  1. Plašāka ekspertīze – pakalpojumu sniedzējs strādā ar dažādiem klientiem, bieži ir augstāka kompetence; 

  2. Elastība – nav jāuztur pilna slodzes darbinieks, izmaksas var būt zemākas.

 

 

  1. Ārpakalpojuma sniedzējs apstrādā sensitīvus datus, līgumā jābūt iestrādātām īpašām konfidencialitātes kontrolēm;

  2. Pieejamības ierobežojumi – reakcijas laiks var būt lēnāks, īpaši ārpus līgumā noteiktajām stundām;

  3. Atkarība no līguma – ja pakalpojumu sniedzējs pārtrauc darbību, uzņēmums paliek bez pakalpojuma. 

Virtuālais drošības pārvaldnieks

Kritiskās IKT infrastruktūras turētājiem kiberdrošības pārvaldniekam jābūt iekšpakalpojumā, pārējiem uzņēmumiem rekomendētu skatīties ārpakalpojuma virzienā, galvenokārt, kiberdrošības speciālistu trūkuma dēļ. Turklāt strauji attīstās virtuālā drošības pārvaldnieka pakalpojumumi. Virtuālais drošības pārvaldnieka modelī ārpakalpojumā piesaista atsevišķu funkciju realizāciju, piemēram, kiberdrošības pārvaldība, drošības politikas izveidi, nepārtrauktas darbības plānošanu, drošības testēšanu, incidentu uzraudzību u.c. tādā apjomā kā uzņēmumam nepieciešams.

Atbildības struktūra un tiesu prakse

Lai gan šobrīd nav pieejami Eiropas Savienības Tiesas (EST) nolēmumi, kas tieši interpretētu NIS2 direktīvas saturu vai piemērošanu, ir iespējams vilkt zināmas paralēles ar Vispārīgās datu aizsardzības regulas (VDAR) tiesu praksi, īpaši attiecībā uz pārziņa un apstrādātāja atbildību.

Saskaņā ar vairākām EST lietām, pārzinis vienmēr saglabā galīgo atbildību par personas datu apstrādi, pat ja konkrētas darbības tiek veiktas ārpakalpojumā. Šī pieeja ir tieši piemērojama arī NIS2 kontekstā, kur organizācijai ir jānodrošina kiberdrošības pārvaldība neatkarīgi no tā, vai šī funkcija tiek veikta iekšēji vai ārpakalpojumā. Tādējādi, pat ja kiberdrošības pārvaldnieks tiek piesaistīts kā ārpakalpojuma sniedzējs, organizācija saglabā pilnu atbildību par atbilstību NIS2 (vai Latvijas gadījumā - Nacionālās kiberdrošības likuma un ar to saistīto tiesību aktu) prasībām. Tas nozīmē, ka jebkādas nepilnības kiberdrošības pārvaldībā, incidentu ziņošanā vai risku novērtēšanā var tikt attiecinātas uz pašu organizāciju, nevis uz ārpakalpojuma sniedzēju.

Šī atbildības struktūra uzsver nepieciešamību pēc rūpīgi izstrādātiem līgumiem, skaidri definētām lomām un efektīvas iekšējās uzraudzības, pat ja kiberdrošības funkcijas tiek deleģētas ārējiem partneriem.

Atsauces:

1 Ministru kabineta noteikumi Nr. 397, 2025. gada 25. Jūnijā “Minimālās kiberdrošības prasības”

2 ES kiberdrošības aģentūras 2025.gada jūnija vadlīnijas par kiberdrošības lomām un prasmēm NIS2 organizācijām pieejamas: Mapping NIS 2 obligations with ECSF role profiles.pdf

Kontakti

PwC birojs Latvijā

Marijas iela 2A, Rīga, LV-1050, PwC Latvia

Tel: +371 67094400

E-pasts
Sekojiet mums

© 2018 - 2026 PwC. Visas tiesības aizsargātas. PwC apzīmē PwC uzņēmumu tīklu un/vai vienu vai vairākus tā dalībniekus, kurā katrai dalīborganizācijai ir atsevišķas juridiskās personas statuss. Sīkāka informācija pieejama www.pwc.com/structure.