Lög nr. 78/2019, um öryggi net- og upplýsingakerfa mikilvægra innviða, tóku gildi 1. september sl. Þau taka m.a. mið af netöryggistilskipun Evrópusambandsins (NIS-tilskipunin). Ráðuneytið birtir nú til umsagnar drög að reglugerð, sem fela í sér nánari útfærslu á 7. og 8. gr. laganna, að því er varðar veitendur stafrænnar þjónustu sem er önnur tveggja tegunda mikilvægra innviða í skilningi laganna. Þegar hefur öðlast gildi sambærileg reglugerð, nr. 866/2020, um rekstraraðila nauðsynlegrar þjónustu.

Markmið reglugerðarinnar er að stuðla að því að tryggja samfellda virkni og áfallaþol veitenda stafrænnar þjónustu í skilningi laga nr. 78/2019, sem starfrækja skýjavinnsluþjónustu, netmarkað eða leitarvél á netinu, með því að kveða nánar á um lágmarkskröfur til umgjarðar og rekstrar net- og upplýsingakerfa þeirra, ekki síst í þágu almannahagsmuna. Ennfremur að tryggja samhæfð viðbrögð við ógnum og atvikum. Í II.-V. kafla eru lágmarkskröfum til áhættustýringarumgjarðar og viðbúnaðar gerð skil. Þá eiga ákvæði VI. kafla að stuðla að samræmdri framkvæmd laga nr. 78/2019.

Í maí-júní sl. voru til umsagnar í Samráðsgátt drög að reglugerð sama efnis, sem ætlað var að ná til beggja tegunda mikilvægra innviða (sjá mál nr. 111/2020). Lög nr. 78/2019 gera þó að nokkru marki greinarmun á veitendum stafrænnar þjónustu annars vegar og rekstraraðilum nauðsynlegrar þjónustu hins vegar. Að loknu samráðsferli var niðurstaða ráðuneytisins að þær yrðu tvær og tók áðurnefnd reglugerð nr. 866/2020, um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu, gildi við birtingu í Stjórnartíðindum 4. september sl.

Við undirbúning reglugerðardraganna var m.a. horft til framkvæmdareglugerðar framkvæmdastjórnar (ESB) 2018/151 um reglur vegna framkvæmdar NIS-tilskipunarinnar að því er veitendur stafrænnar þjónustu varðar sérstaklega, sbr. einkum 18. gr. reglugerðardraganna.

Í þingsályktun nr. 32/149 um stefnu í fjarskiptum fyrir árin 2019-2033 greinir m.a. það markmið að örugg fjarskipti og upplýsingatækni verði ein meginstoð hagsældar á Íslandi, studd af öflugri öryggismenningu og traustri löggjöf. Áhættustýring netöryggis byggist á verklagi um áhættugreiningu og samhæfðu verklagi við mótun á öryggisstefnum og viðbragðsáætlunum. Komið verði á skipulagi á vernd mikilvægra innviða og þjónustu, m.a. með skilgreiningu viðeigandi lágmarksviðmiða netöryggis.

Í þingsályktun nr. 31/149 um fimm ára fjarskiptaáætlun fyrir árin 2019-2023 eru skilgreind verkefni til að ná markmiði um örugg fjarskipti. Setning reglugerða um öryggi net- og upplýsingakerfa mikilvægra innviða er liður í að auka vernd þeirra með regluverki, samvinnu um skipulag netöryggis, úttektum, æfingum og prófunum. Mikilvægt er að meta árangur á þessu sviði reglulega og fylgja nauðsynlegum umbótum eftir.

Frestur til að skila umsögnum um drög að reglugerð um öryggi net- og upplýsingakerfa veitenda stafrænnar þjónustu er til og með 6. október 2020.