Samgöngu- og sveitarstjórnarráðuneytið óskar eftir umsögnum um áform um upptöku í EES- samninginn, og undirbúning innleiðingar í landsrétt með viðeigandi hætti, á reglugerð (ESB) 2019/881 um Netöryggisstofnun Evrópu (ENISA, the European Union Agency for Cybersecurity) og netöryggisvottunarkerfi upplýsinga- og samskiptatækja.

Reglugerð (ESB) nr. 2019/881 er afrakstur heildarendurskoðunar Evrópusambandsins á eldri reglugerð sama efnis (ESB) nr. 526/2013 og er hluti af heildarstefnumótun sambandsins í netöryggismálum. Síðastnefnd reglugerð var innleidd hér á landi með reglugerð nr. 1265/2014, um Net- og upplýsingaöryggisstofnun Evrópu (ENISA, the European Union Agency for Network and Information Security).

Nýja reglugerðin hefur þegar tekið gildi innan ESB og felur í sér ýmsar breytingar er varða starfsemi ENISA. Eldri reglugerð (ESB) nr. 526/2013 kvað á um starfstíma ENISA til sjö ára, en með hinni nýju er ENISA gerð að varanlegri stofnun innan ESB og nafni hennar breytt. Við endurskoðun netöryggisstefnu sambandsins fór fram greining og endurmat á starfsemi ENISA, með það markmið að leiðarljósi að efla viðbragðsgetu stofnunarinnar sem stuðningsaðila við aðrar stofnanir ESB og aðildarríki innan EES-svæðisins. Endurskoðunar á starfsemi ENISA var jafnframt þörf samhliða samþykkt og gildistöku netöryggistilskipunar ESB (NIS tilskipunin nr. 2016/1148), er kvað á um ýmis ný verkefni hennar.

Á meðal mikilvægra nýmæla reglugerðarinnar eru ákvæði sem lúta að þætti ENISA í að stuðla að hærra viðbúnaðarstigi með framkvæmd reglubundinna æfinga vegna netógna. Þá fela ákvæði hennar í sér nánari útfærslu á viðfangsefnum skv. netöryggistilskipuninni, s.s. móttöku tilkynninga frá aðildarríkjum um öryggisatvik, hýsingu samráðsvettvangs landstengiliða netöryggissveita, umsjón með samstarfinu, ráðgjöf og útgáfu leiðbeininga í því samhengi. ENISA er enn fremur falið skýrara hlutverk er varðar aðkomu að þróun samevrópskrar löggjafar á sviði netöryggismála. Aðildarríki geta óskað aðstoðar ENISA við uppbyggingu á viðbragðsgetu til að bregðast við netárásum. Loks má nefna að reglugerðin gerir ráð fyrir að ENISA verði þekkingarmiðstöð um netöryggismál, beiti sér fyrir almennri fræðslu á því sviði og aðstoði aðildarríki við að hrinda í framkvæmd fræðsluherferðum er stuðli að vitund borgara um netöryggi.

Hin nýja reglugerð tekur einnig til netöryggisvottunarkerfis. Um er að ræða samræmt vottunarkerfi fyrir upplýsinga- og samskiptatæki. Því er m.a. ætlað að stuðla að viðeigandi prófunum á nettengdum hlutum sem fyrirhugað er að markaðssetja í Evrópu. Ferli verði komið á laggir er geri kleift að staðfesta að slík tæki uppfylli gildandi staðla og skilyrði á hverjum tíma. Reglugerðin gerir ráð fyrir að vottunarkerfið verði valkvætt, en ákvæði hennar verða endurskoðuð fyrir 31. desember 2023 og m.a. endurmetið hvort það að undirgangast slíka vottun verði gert að skyldu.

Reglugerðin er enn á viðræðustigi meðal EFTA ríkjanna og hefur ekki verið tekin upp í EES-samninginn. Fyrirséð er að innleiðing hennar hér á landi mun kalla á breytingu á gildandi reglugerð nr. 1265/2014, en ekki er gert ráð fyrir tillögugerð um setningu nýrra laga vegna hennar. Að því er varðar ákvæði um netöryggisvottunarkerfi í tilviki mikilvægra innviða er mat ráðuneytisins að lagastoð sé fyrir hendi eftir samþykkt nýrra laga um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019. Mögulega kann þó að reynast tilefni til breytinga á ákvæðum gildandi laga um Póst- og fjarskiptastofnun, nr. 69/2003, að því er hlutverk hennar varðar.