Tímamót við gildistöku nýrra laga um net- og upplýsingaöryggi
Mikil tímamót urðu í dag þegar ný lög um öryggi net- og upplýsingakerfa mikilvægra innviða tóku formlega gildi. Meginmarkmið laganna er að auka öryggi net- og upplýsingakerfa og viðbrögð við ógnum og atvikum. Lögin miðast við að öryggi mikilvægra innviða og kerfislega mikilvægra fyrirtækja sé grundvöllur efnahags- og samfélagslegrar starfsemi.
Við undirbúning laganna var einkum tekið mið af tilskipun Evrópusambandsins varðandi ráðstafanir til að ná háu sameiginlegu öryggisstigi í net- og upplýsingakerfum, oft nefnd NIS-tilskipunin. Lögunum er ætlað að gera Ísland betur í stakk búið til að bæta netöryggi og bregðast við aðstæðum þar sem því er raskað. Áhersla er einkum á rekstraraðila mikilvægra innviða samfélagsins, en til mikilvægra innviða teljast skv. lögunum annars vegar rekstraraðilar nauðsynlegrar þjónustu og hins vegar veitendur stafrænnar þjónustu.
Mikilvægur þáttur í nýrri löggjöf er krafa um miðlæga netöryggissveit sem gegni hlutverki landsbundins öryggis- og viðbragðsteymis. Netöryggissveit Póst- og fjarskiptastofnunar, CERT-IS, hefur sinnt því hlutverki gagnvart fjarskiptafyrirtækjum en efla þarf sveitina til að hún geti staðið undir þeim auknu verkefnum sem henni er ætlað að sinna. Með nýju lögunum er innleidd tilkynningaskylda af hálfu allra mikilvægra innviða til netöryggissveitar svo fljótt sem verða má um alvarleg atvik eða áhættu sem ógnar öryggi net- og upplýsingakerfa þeirra. Þá er umgjörð Netöryggisráðs sem samstarfsvettvangs stjórnvalda um net- og upplýsingaöryggi einnig efld með lögunum.
„Net- og upplýsingakerfi gegna lykilhlutverki í heiminum en hvarvetna er litið á netárásir sem vaxandi ógn. Einstaklingar og fyrirtæki á Íslandi hafa nú þegar orðið fyrir miklu fjártjóni vegna netárása af ýmsu tagi. Það er hlutverk stjórnvalda að leggja grunninn til að samfélagið geta sameinast um að efla netöryggi. Nýju lögin marka tímamót að þessu leyti og mynda sterka umgjörð til að auka öryggi mikilvægra innviða og bregðast við þegar á reynir,“ segir Sigurður Ingi Jóhannsson, samgöngu- og sveitarstjórnarráðherra.
Eftirlitsstjórnvöldum er falið eftirlit með framkvæmd laganna, að því er rekstraraðila nauðsynlegrar þjónustu varðar, á hverju sviði. Þau eru eftirtalin:
- Orkustofnun vegna orku- og hitaveitna.
- Samgöngustofa vegna flutninga.
- Fjármálaeftirlitið/Seðlabanki Íslands vegna bankastarfsemi og innviða fjármálamarkaða.
- Embætti landlæknis vegna heilbrigðisþjónustu.
- Umhverfisstofnun vegna vatnsveitna.
- Póst- og fjarskiptastofnun vegna stafrænna grunnvirkja.
Póst- og fjarskiptastofnun er ennfremur falið eftirlit með framkvæmd laganna að því er varðar veitendur stafrænnar þjónustu og gegnir hún ráðgefandi samhæfingarhlutverki gagnvart eftirlitsstjórnvöldum (samhæfingarstjórnvald).
Póst- og fjarskiptastofnun hefur sett á fót upplýsingavefinn NIS.is (https://www.nis.is/) þar sem nálgast má nánari upplýsingar um megininntak og framkvæmd laganna.
Samhliða nýju lögunum taka, á næstu dögum, gildi tvær reglugerðir um öryggi net- og upplýsingakerfa með nánari útfærslu á ákvæðum laganna.
- Lög um öryggi net- og upplýsingakerfa mikilvægra innviða (nr. 78/2019)
- Upplýsingavefur Póst- og fjarskiptastofnunar um NIS-löggjöfina - https://www.nis.is/
- Frétt Póst- og fjarskiptastofnunar um gildistöku laganna