Umsagnarfrestur er liðinn (29.06.2023–18.08.2023).
Umsagnir voru birtar jafnóðum og þær bárust. Skoða umsagnir.
Niðurstöður samráðsins verða birtar þegar unnið hefur verið úr þeim ábendingum og athugasemdum sem bárust.
Háskóla-, iðnaðar- og nýsköpunarráðuneytið hefur unnið drög að nýrri reglugerð um netöryggisráð með það að markmiði að skýra skipan, hlutverk og ábyrgð netöryggisráðs.
Netöryggisráð hefur starfað sem samstarfsvettvangur stjórnvalda á sviði netöryggis frá árinu 2015 og fékk stoð í lögum nr. 78/2019 um öryggi net- og upplýsingakerfa mikilvægra innviða (netöryggislögin) við gildistöku þeirra. Hlutverk ráðsins er einkum að fylgja eftir framkvæmd stefnu stjórnvalda á sviði net- og upplýsingaöryggis, að leggja mat á stöðu netöryggis á Íslandi og vera vettvangur upplýsingamiðlunar og samhæfingar.
Til umsagnar eru drög að reglugerð um netöryggisráð. Markmiðið með reglugerðinni er að skýra skipan, hlutverk og ábyrgð netöryggisráðs, til nánari skilgreiningar á 2. mgr. 4. gr. netöryggislaganna, samkvæmt heimild þar um í sama ákvæði laganna.
Í hnotskurn fæli reglugerðin í sér:
1. Ráðið er skilgreint sem faglegt ráðgjafaráð ráðherra sem starfar í umboði hans og veitir honum álit og umsagnir líkt og nánar er kveðið á um í reglugerðinni.
2. Ráðherra skipar sjö fulltrúa ráðuneyta eða opinberra stofnana í ráðið til þriggja ára í senn:
a) Þrír fulltrúar skulu tilnefndir af háskóla-, iðnaðar- og nýsköpunarráðuneytinu eða stofnun ráðuneytisins, vegna netöryggismála samkvæmt ákvörðun ráðuneytisins.
b) Einn fulltrúi skal tilnefndur af hverju eftirtalinna ráðuneyta, eða stofnun þess samkvæmt ákvörðun viðkomandi ráðuneytis: Forsætisráðuneyti vegna þjóðaröryggisráðs, dómsmálaráðuneyti vegna lögreglu- almannavarna- og persónuverndarmála, fjármálaráðuneyti vegna fjármálamarkaðar og ríkisreksturs, og utanríkisráðuneyti vegna varnarmála.
3. Krafa um þekkingu og hæfni er skýrð og þess krafist að fulltrúar ráðsins séu öryggisvottaðir.
4. Hlutverk ráðsins samkvæmt lögum er skýrt nánar:
a) Árlegt mat á framkvæmd stefnu og aðgerða sem lagt er fyrir ráðherra.
b) Reglulegt og sjálfstætt stöðumat á netöryggi sem miðlað er til ráðherra.
c) Upplýsingamiðlun fulltrúa í ráðinu og þátttaka í öðru samstarfi til upplýsingamiðlunar.
5. Starfsreglur ráðsins eru endurskoðaðar á tveggja ára fresti.
Setning nýrrar reglugerðar um netöryggisráðs er hluti af endurskoðun háskóla-, iðnaðar- og nýsköpunarráðuneytisins á stjórnskipulagi netöryggismála. Við þá vinnu er horft til nýlegrar löggjafar á sviði netöryggismála og fjarskipta, reynslu af starfsemi ráðsins undanfarin ár, aukinnar áherslu á mikilvægi netöryggismála á alþjóðavettvangi og fjölgunar netglæpa.
Samhliða samráði um reglugerð um netöryggisráðs, hefur verið lögð fram tillaga um formgerð samstarfs stjórnvalda og atvinnulífs á sviði netöryggis.
Í 4. gr. um stöðumat á netöryggi segir svo:
,,Ráðið aflar gagna og leggur sjálfstætt mat á stöðu netöryggis hér á landi á hverjum tíma. Mat ráðsins á stöðu netöryggis byggir meðal annars á stöðumati netöryggissveitar Fjarskiptastofu, en ráðið getur einnig staðið fyrir könnunum og úttektum eða aflað upplýsinga með öðrum hætti."
Í 1. gr. kemur fram hlutverk ráðsins sem er ,,að sinn[a] ákveðnu ráðgjafarhlutverki með því að fylgja eftir framkvæmd stefnu stjórnvalda á sviði net- og upplýsingaöryggis og leggur mat á stöðu netöryggis á Íslandi á hverjum tíma, auk þess að vera vettvangur upplýsingamiðlunar og samhæfingar í netöryggismálum."
Það er ljóst að netöryggisráð fær þýðingarmikið hlutverk. Það má velta fyrir sér hvort slíkt ráð geti uppfyllt þessar skyldur, nema þá að vinna náið með netöryggissveit Fjarskiptastofu, en í fyrrgreindri grein skal ráðið byggja m.a. á stöðumati sveitarinnar en auk þess standa fyrir könnunum og úttektum sjálfstætt. Ef ráðið á að hafa frumkvæði af slíkum úttektum og skoðunum, sem þurfa að vera stöðugur og krefjast að brugðist sé hratt við alls konar netöryggisógnunum, þá tel að skoða megi hvort ráðið þurfi ekki að hafa skipaðan starfsmann sér til halds og trausts til að tryggja að tekið sé á hugsanlegum ógnum. Ef það er hlutverk netöryggissveitar þá er spurning að tengja hlutverk sveitarinnar með skýrari hætti við starfsemi og hlutverk netöryggisráðs. Netöryggissveitin þjónar þarna lykilhlutverki í upplýsingaöflun og ráðgjöf fyrir ráðið og tryggja þarf að samþættingu í störfum hennar og ráðsins. Ætti t.d. framkvæmdastjóri sveitarinnar að setja fundi netöryggisráðs eða að starfsmaður á vegum sveitarinnar sé jafnframt starfsmaður netöryggisráðsins?
Velti þessu svona upp til umhugsunar.
Góðan dag
Meðfylgjandi er umsögn Sambands íslenskra sveitarfélaga.
f.h. sambandsins,
Valgerður Rún
ViðhengiHjálögð er umsögn Persónuverndar um drög að reglugerð um netöryggisráð.
ViðhengiSjá í viðhengi umsögn Fjarskiptastofu um drög að reglugerð um netöryggisráð.
ViðhengiSjá umsögn embættis landlæknis í viðhengi.
ViðhengiMeðfylgjandi er umsögn Verkfræðingafélags Íslands.
Viðhengi