Samráð fyrirhugað 14.12.2020—11.01.2021
Til umsagnar 14.12.2020—11.01.2021
Niðurstöður í vinnslu frá 11.01.2021
Niðurstöður birtar 16.06.2021

Drög að reglugerð um netöryggissveit (CERT-ÍS)

Mál nr. 266/2020 Birt: 14.12.2020 Síðast uppfært: 16.06.2021
  • Samgöngu- og sveitarstjórnarráðuneytið
  • Drög að reglugerð
  • Málefnasvið:
  • Samgöngu- og fjarskiptamál

Niðurstöður birtar

Niðurstaða málsins var í stuttu máli sú að sjö umsagnir bárust, sem tekið var tillit til eins og kostur var. Reglugerð nr. 480/2021, netöryggissveit Póst- og fjarskiptastofnunar (CERT-ÍS), var birt í Stjórnartíðindum 3. maí 2021.

Nánar um niðurstöður

Skjal að loknu samráði

Ferill máls

Málið var opið til umsagnar í gáttinni á tímabilinu 14.12.2020–11.01.2021. Umsagnir voru birtar jafnóðum og þær bárust. Skoða umsagnir. Unnið var úr þeim ábendingum og athugasemdum sem bárust og niðurstöður samráðsins birtar 16.06.2021.

Málsefni

Til umsagnar eru drög að nýrri reglugerð um netöryggissveit Póst- og fjarskiptastofnunar (CERT-ÍS). Megintilefni endurskoðunar gildandi reglugerðar er útvíkkun á þjónustuhópi og starfsemi sveitarinnar með vísan til laga nr. 78/2019, um öryggi net- og upplýsingakerfa mikilvægra innviða.

Ráðuneytið birtir til umsagnar drög að nýrri reglugerð um netöryggissveit Póst- og fjarskiptastofnunar (CERT-ÍS), sem leysa mun af hólmi gildandi reglugerð um málefni sveitarinnar, nr. 475/2013. Drögin voru unnin í samstarfi við Póst- og fjarskiptastofnun. Megintilefni heildarendurskoðunar á gildandi reglugerð er nýleg útvíkkun á þjónustuhópi og starfsemi netöryggissveitar með lögum nr. 78/2019, um öryggi net- og upplýsingakerfa mikilvægra innviða. Til þessa hefur netöryggissveit fyrst og fremst þjónustað fjarskiptafyrirtæki og Stjórnarráð Íslands. Nú kveða lög á um að mikilvægir innviðir (þ.e. rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu í skilningi laga nr. 78/2019) skuli einnig njóta þjónustu sveitarinnar og jafnvel fleiri, s.s. aðrar opinberar stofnanir.

Geta netöryggissveitar hefur verið efld og henni gefið samhæfandi hlutverk, sem er nauðsynlegt til að takast á við fjölþættar netógnir er beinst geta að mismunandi geirum samfélagsins. Samhliða gildistöku laga nr. 78/2019 tóku gildi breytingar á lögum nr. 69/2003, um Póst- og fjarskiptastofnun, og lögum nr. 81/2003, um fjarskipti, er lúta að netöryggissveit.

Markmið starfrækslu netöryggissveitar er að fyrirbyggja og draga úr hættu á netárásum og öðrum atvikum á Íslandi og takmarka útbreiðslu og tjón eins og kostur er. Sveitin skal taka við tilkynningum frá mikilvægum innviðum sem og styðja við skjót viðbrögð gegn aðsteðjandi ógnum, áhættu og atvikum í netumdæmi Íslands og stuðla að viðeigandi ástandsvitund í netöryggismálum hér á landi. Þá er markmið netöryggissveitar að stuðla að markvissri meðhöndlun og samhæfa viðbrögð við ógnum, áhættu og atvikum. Hún gegnir hlutverki tengiliðar íslenskra stjórnvalda í alþjóðlegu og evrópsku samstarfi sambærilegra sveita.

Netöryggissveit getur gefið út tilmæli um aðgerðir eða ráðstafanir af hálfu mikilvægra innviða og fjarskiptafyrirtækja, í því skyni að bregðast við og samhæfa viðbrögð við alvarlegri ógn, atviki eða áhættu, sem gera verður kröfu um að brugðist sé við.

Lög kveða á um heimild netöryggissveitar til að viðhafa virkt samstarf við þjónustuhópa sína og er lagt til að forsendum og útfærslu þess verði gerð nánari skil í fyrirhugaðri reglugerð, þ. á m. framkvæmd viðbúnaðaræfinga.

Netöryggissveit skal leitast við að skapa viðeigandi almenna ástandsvitund um ógnir, áhættu og atvik innan netumdæmis Íslands, auk þess að móta stöðumynd vegna netógna sem miðlað skal til netöryggisráðs og eftirlitsstjórnvalda.

Í fyrirhugaðri reglugerð er gert ráð fyrir að netöryggissveit gefi út leiðbeiningar og setji sér verklagsreglur. Brýnt er að boðleiðir og ferlar séu skýrir að því er varðar t.d. samskipti og samstarf við ríkislögreglustjóra, en ef aðstæður eru með þeim hætti að teljist neyðarástand sem kann að ógna lífi og heilsu almennings, umhverfi og/eða eignum í skilningi laga nr. 82/2008, um almannavarnir, fer um viðbrögð stjórnvalda á grundvelli þeirra laga.

Í þingsályktun nr. 32/149 um stefnu í fjarskiptum fyrir árin 2019-2033 greinir m.a. það markmið að örugg fjarskipti og upplýsingatækni verði ein meginstoð hagsældar á Íslandi, studd af öflugri öryggismenningu og traustri löggjöf, og samfélagið verði vel búið til að greina og bregðast við netógnum og taka á netglæpum, árásum, njósnum og misnotkun persónu- og viðskiptaupplýsinga. Komið verði á skilvirkri stjórnskipun varðandi netöryggismál innan stjórnkerfisins og skipulagi er tryggi nauðsynlega samvinnu á milli mismunandi geira samfélagsins. Geta til að bregðast við netatvikum og netvá verði efld, meðal annars með bættri tæknilegri getu, viðeigandi viðbragðsáætlunum, prófunum, skilvirkri miðlun nauðsynlegra netöryggisupplýsinga og viðbúnaðaræfingum.

Í þingsályktun nr. 31/149 um fimm ára fjarskiptaáætlun fyrir árin 2019-2023 eru skilgreind verkefni til að ná markmiði um örugg fjarskipti. Endurskoðun reglugerðar um netöryggissveit er liður í að auka vernd þeirra og mikilvægra innviða samfélagsins með regluverki, samvinnu um skipulag netöryggis, úttektum, æfingum og prófunum, svo og í að stuðla að því að greining og viðbragðsgeta vegna netógna standist alþjóðlegan samanburð. Mikilvægt er að meta árangur á þessu sviði reglulega og fylgja nauðsynlegum umbótum eftir.

Frestur til að skila umsögnum um drög að reglugerð um netöryggissveit (CERT-ÍS) er til og með 11. janúar 2021.

Innsendar umsagnir

Afrita slóð á umsögn

#1 Þorsteinn Valur Baldvinsson - 10.01.2021

Nýleg röð af reglugerðum er að skapa mikla hættu á skerðingu persónufrelsis, tjáningarfrelsis og misnotkun opinberra stofnana á heimildum sem verið er að skrifa inn í reglugerðasafn Íslenska réttarkerfisins. Það verður nánast háð geðþóttaákvörðunum opinberra embættismanna hvort Íslenskir ríkisborgarar njóti grunn mannréttinda í stjórnarskrá lýðveldisins, eða verði framseldir erlendum stofnunum á sviði njósna og réttar án aðkomu dómstóla.

Verið er að þinna út réttaráhrif þess að vera Íslenskur ríkisborgari og skerða stórlega þá vernd sem ríkisborgurum hefur verið tryggð af hálfu Íslenskra stjórnvalda.

Reglugerðaröðinn virðist skrifuð til að veita Óttaiðnaðinum óheftan aðgang til að safna gögnum um einstaklinga sem og erlendum aðilum ó heft aðgengi til sömu iðju undir yfirskini samstarfs við Íslenskar stofnanir.

Sagan kennir okkur að of miklar heimildir til eftirlits verða misnotaðar ef ekki er neitt virkt eftirlit með notkun þess valds.

Það virðist ekki mikil áhersla lögð á að aðkomu dómstóla þurfi til að veita erlendum aðilum aðgengi að Íslensku samfélagi

Það er ekki að sjá að óháðri sjálfstæðri innlendri eftirlitsstofnun sé falið eftirlit með því að ekki sé brotið á réttindum Íslenskra ríkisborgara né að gert sé ráð fyrir að þeir sem brotið sé á hafi andmælarétt eða kæruleið.

Það hlýtur að vera megin hlutverk Íslenskrar stjórnsýslu að tryggja rétt almennings til skoðanaskipta og sjálfstæðis sem og tryggja friðhelgi einkalífs umfram langanir opinberrar stjórnsýslu til upplýsingaöflunar.

Álitsgjafi varar við ásókn eftirlitsiðnaðurinns og hættunni á rofnu trausti almennings til stjórnvalda sem mun skila sér í andfélagslegu samfélagi og virðingarleysi fyrir lögum og reglu.

Án samfélagslegrar sáttar og þess trausts sem ríkt hefur á milli almennings og stjórnvalda verður friði stefnt í hættu og án friðar mun tilvist Íslensks fjölskyldusamfélags líða undir lok.

Afrita slóð á umsögn

#2 Sýn hf. - 11.01.2021

Sjá meðfylgjandi viðhengi.

Viðhengi
Afrita slóð á umsögn

#3 Síminn hf. - 11.01.2021

Í viðhengi er að finna umsögn Símans hf.

Viðhengi
Afrita slóð á umsögn

#4 Isavia ohf. - 11.01.2021

Góða kvöldið

Meðfylgjandi er umsögn Isavia samstæðunnar.

Viðhengi
Afrita slóð á umsögn

#6 Persónuvernd - 08.02.2021

Viðhengi