Tímalína máls

1

Til umsagnar

  • 14.12.2020–11.1.2021

2

Í vinnslu

  • 12.1.–15.6.2021

3

Samráði lokið

  • 16.6.2021

Skjöl til samráðs

Mál nr. S-266/2020

Birt: 14.12.2020

Fjöldi umsagna: 6

Drög að reglugerð

Innviðaráðuneytið

Samgöngu- og fjarskiptamál

Drög að reglugerð um netöryggissveit (CERT-ÍS)

Niðurstöður

Niðurstaða málsins var í stuttu máli sú að sjö umsagnir bárust, sem tekið var tillit til eins og kostur var. Reglugerð nr. 480/2021, netöryggissveit Póst- og fjarskiptastofnunar (CERT-ÍS), var birt í Stjórnartíðindum 3. maí 2021.

Málsefni

Til umsagnar eru drög að nýrri reglugerð um netöryggissveit Póst- og fjarskiptastofnunar (CERT-ÍS). Megintilefni endurskoðunar gildandi reglugerðar er útvíkkun á þjónustuhópi og starfsemi sveitarinnar með vísan til laga nr. 78/2019, um öryggi net- og upplýsingakerfa mikilvægra innviða.

Nánari upplýsingar

Ráðuneytið birtir til umsagnar drög að nýrri reglugerð um netöryggissveit Póst- og fjarskiptastofnunar (CERT-ÍS), sem leysa mun af hólmi gildandi reglugerð um málefni sveitarinnar, nr. 475/2013. Drögin voru unnin í samstarfi við Póst- og fjarskiptastofnun. Megintilefni heildarendurskoðunar á gildandi reglugerð er nýleg útvíkkun á þjónustuhópi og starfsemi netöryggissveitar með lögum nr. 78/2019, um öryggi net- og upplýsingakerfa mikilvægra innviða. Til þessa hefur netöryggissveit fyrst og fremst þjónustað fjarskiptafyrirtæki og Stjórnarráð Íslands. Nú kveða lög á um að mikilvægir innviðir (þ.e. rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu í skilningi laga nr. 78/2019) skuli einnig njóta þjónustu sveitarinnar og jafnvel fleiri, s.s. aðrar opinberar stofnanir.

Geta netöryggissveitar hefur verið efld og henni gefið samhæfandi hlutverk, sem er nauðsynlegt til að takast á við fjölþættar netógnir er beinst geta að mismunandi geirum samfélagsins. Samhliða gildistöku laga nr. 78/2019 tóku gildi breytingar á lögum nr. 69/2003, um Póst- og fjarskiptastofnun, og lögum nr. 81/2003, um fjarskipti, er lúta að netöryggissveit.

Markmið starfrækslu netöryggissveitar er að fyrirbyggja og draga úr hættu á netárásum og öðrum atvikum á Íslandi og takmarka útbreiðslu og tjón eins og kostur er. Sveitin skal taka við tilkynningum frá mikilvægum innviðum sem og styðja við skjót viðbrögð gegn aðsteðjandi ógnum, áhættu og atvikum í netumdæmi Íslands og stuðla að viðeigandi ástandsvitund í netöryggismálum hér á landi. Þá er markmið netöryggissveitar að stuðla að markvissri meðhöndlun og samhæfa viðbrögð við ógnum, áhættu og atvikum. Hún gegnir hlutverki tengiliðar íslenskra stjórnvalda í alþjóðlegu og evrópsku samstarfi sambærilegra sveita.

Netöryggissveit getur gefið út tilmæli um aðgerðir eða ráðstafanir af hálfu mikilvægra innviða og fjarskiptafyrirtækja, í því skyni að bregðast við og samhæfa viðbrögð við alvarlegri ógn, atviki eða áhættu, sem gera verður kröfu um að brugðist sé við.

Lög kveða á um heimild netöryggissveitar til að viðhafa virkt samstarf við þjónustuhópa sína og er lagt til að forsendum og útfærslu þess verði gerð nánari skil í fyrirhugaðri reglugerð, þ. á m. framkvæmd viðbúnaðaræfinga.

Netöryggissveit skal leitast við að skapa viðeigandi almenna ástandsvitund um ógnir, áhættu og atvik innan netumdæmis Íslands, auk þess að móta stöðumynd vegna netógna sem miðlað skal til netöryggisráðs og eftirlitsstjórnvalda.

Í fyrirhugaðri reglugerð er gert ráð fyrir að netöryggissveit gefi út leiðbeiningar og setji sér verklagsreglur. Brýnt er að boðleiðir og ferlar séu skýrir að því er varðar t.d. samskipti og samstarf við ríkislögreglustjóra, en ef aðstæður eru með þeim hætti að teljist neyðarástand sem kann að ógna lífi og heilsu almennings, umhverfi og/eða eignum í skilningi laga nr. 82/2008, um almannavarnir, fer um viðbrögð stjórnvalda á grundvelli þeirra laga.

Í þingsályktun nr. 32/149 um stefnu í fjarskiptum fyrir árin 2019-2033 greinir m.a. það markmið að örugg fjarskipti og upplýsingatækni verði ein meginstoð hagsældar á Íslandi, studd af öflugri öryggismenningu og traustri löggjöf, og samfélagið verði vel búið til að greina og bregðast við netógnum og taka á netglæpum, árásum, njósnum og misnotkun persónu- og viðskiptaupplýsinga. Komið verði á skilvirkri stjórnskipun varðandi netöryggismál innan stjórnkerfisins og skipulagi er tryggi nauðsynlega samvinnu á milli mismunandi geira samfélagsins. Geta til að bregðast við netatvikum og netvá verði efld, meðal annars með bættri tæknilegri getu, viðeigandi viðbragðsáætlunum, prófunum, skilvirkri miðlun nauðsynlegra netöryggisupplýsinga og viðbúnaðaræfingum.

Í þingsályktun nr. 31/149 um fimm ára fjarskiptaáætlun fyrir árin 2019-2023 eru skilgreind verkefni til að ná markmiði um örugg fjarskipti. Endurskoðun reglugerðar um netöryggissveit er liður í að auka vernd þeirra og mikilvægra innviða samfélagsins með regluverki, samvinnu um skipulag netöryggis, úttektum, æfingum og prófunum, svo og í að stuðla að því að greining og viðbragðsgeta vegna netógna standist alþjóðlegan samanburð. Mikilvægt er að meta árangur á þessu sviði reglulega og fylgja nauðsynlegum umbótum eftir.

Frestur til að skila umsögnum um drög að reglugerð um netöryggissveit (CERT-ÍS) er til og með 11. janúar 2021.

Samráði lokið

Umsagnir voru birtar jafnóðum og þær bárust. Skoða umsagnir.

Umsjónaraðili

Skrifstofa stafrænna samskipta

srn@srn.is