Samráð fyrirhugað
Samráð stendur yfir 21.06.2018 - 23.08.2018
Niðurstöður í vinnslu
Niðurstöður birtar

Frumvarp til laga um öryggi net- og upplýsingakerfa mikilvægra innviða

Mál nr. S-79/2018 Stofnað: 20.06.2018 Síðast uppfært: 16.08.2018
  • Samgöngu- og sveitarstjórnarráðuneytið
  • Drög að frumvarpi til laga
  • Málefnasvið:
  • Samgöngu- og fjarskiptamál

Niðurstöður í vinnslu

Umsagnarfrestur er liðinn (21.06.2018-23.08.2018). Umsagnir voru birtar jafnóðum og þær bárust. Skoða umsagnir. Niðurstöður samráðsins verða birtar þegar unnið hefur verið úr þeim ábendingum og athugasemdum sem bárust.

Málsefni

Um er að ræða drög að frumvarpi til nýrra laga um öryggi net- og upplýsingakerfa mikilvægra innviða þar sem m.a. er lagt til að innleidd verði tilskipun Evrópuþingsins og ráðsins nr. 1148/2016/ESB um ráðstafanir til að ná háu sameiginlegu öryggisstigi í net- og upplýsingakerfum innan EES, oft skammstöfuð NIS tilskipuni

Samgöngu- og sveitarstjórnarráðuneytið óskar eftir umsögnum um drög að frumvarpi til nýrra laga um öryggi net- og upplýsingakerfa mikilvægra innviða sem m.a. fjallar um innleiðingu á tilskipun Evrópuþingsins og ráðsins nr. 1148/2016/ESB um net- og upplýsingaöryggi (NIS).

Tilskipunin kveður á um vernd net- og upplýsingakerfa tiltekinna aðila, þ.e. rekstraraðila þeirra nauðsynlegu þjónustu sem tilskipunin skilgreinir og stafræna þjónustuveitendur. Þótt eitt yfirlýst markmið tilskipunarinnar sé að tryggja hátt stig öryggis fyrir net- og upplýsingakerfi innan Evrópusambandsins er tilskipunin miðuð að framangreindum aðilum. Tilskipunin kveður því ekki á um almenna „netheilsu“ Evrópusambandsins og EES-ríkja í heild eða einstakra ríkja, þ.e. um það hvaða starfsemi geti verið til staðar í netlögsögu þess eða aðildarríkjanna.

Meginmarkmið frumvarpsins er að auka öryggi net- og upplýsingakerfa og bæta viðbrögð við öryggisatvikum. Löggjöfin byggist á því að áreiðanleiki og öryggi net- og upplýsingakerfa sé grundvöllur efnahags- og samfélagslegrar starfsemi og netöryggi sé mikilvægt fyrir trúverðugleika þjónustunnar, bæði innanlands og utan.

Umsögnum skal skilað eigi síðar en 10. ágúst 2018 í samráðsgátt https://samradsgatt.island.is/ eða á netfangið srn@srn.is.

Umsagnarfrestur hefur verið framlengdur til 23. ágúst 2018.

Innsendar umsagnir

Afrita slóð á umsögn

#1 Sigrún H Kristjánsdóttir - 13.07.2018

Sjá umsögn Samgöngustofu í viðhengi.

Viðhengi
Afrita slóð á umsögn

#2 Samtök atvinnulífsins - 20.07.2018

Meðfylgjandi er sameiginleg umsögn Samtaka atvinnulífsins og Samtaka iðnaðarins um frumvarp til laga um öryggi net- og upplýsingakerfa mikilvægra innviða.

Viðhengi
Afrita slóð á umsögn

#3 Grímur Kjartansson - 25.07.2018

Ekki er viturlegt að þýða „security breaches“ sem öryggisbrot

skárra er að þýða það sem öryggisbrest í samræmi nýju lögin um persónuvernd

"Öryggisbrestur við vinnslu persónuupplýsinga: Brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða þess að þær glatist, breytist, verði birtar eða aðgangur verði veittur að þeim í leyfisleysi."

Afrita slóð á umsögn

#4 Grímur Kjartansson - 25.07.2018

Viðbót við fyrri umsögn varðandi þýðingu á security breach sem öryggisbrot

Við þýðinguna á ISO27001 notuðum við öryggisrof fyrir security breach

öryggisbrot gefur til kynna að reglur hafi verið brotnar sbr. lögbrot, en svo þarf ekki að vera

Varðandi rekstarsamfellu - Business continuity management systems — Requirements

þá leggja staðlanir þar mikla áherslu á mikilvægi fjármagnsflæðis í Business impact analysis sem er eðlilegt varðandi venjuleg fyrirtæki því annars verða þau bara gjaldþrota og hverfa af sjónarsviðinu - en er það nokkuð raunhæft fyrir þessi fyrirtæki?

Afrita slóð á umsögn

#5 Árni Steingrímur Sigurðsson - 13.08.2018

Núverandi 8. gr. veitir ráðherra óásættanlega eftirlitsheimild. Þarna verður að afmarka mjög skýrt að eingöngu megi vakta heilbrigði netumferðar en ekki innihald.

Afrita slóð á umsögn

#6 Baldur Dýrfjörð - 15.08.2018

Samgöngu- og sveitarstjórnarráðuneytið

Hjálögð er umsögn SAMORKU, samtaka orku- og veitufyrirtækja, um drög að frumvarpi til laga um öryggi net- og upplýsingakerfa mikilvægra innviða.

Samorka leggur áherslu á að mun nánari rýni og umræða fari fram um málið og mögulegar leiðir við innleiðingu NIS-tilskipunarinnar og leiðir fyrir því ítarleg rök í umsögn sinni.

Virðingarfyllst,

f.h. Samorku

Baldur Dýrfjörð lögfræðingur

Viðhengi
Afrita slóð á umsögn

#7 Internet á Íslandi hf. - 15.08.2018

Umsögn ISNIC

Viðhengi
Afrita slóð á umsögn

#8 Erla Björgvinsdóttir - 15.08.2018

Sjá viðhengi.

Viðhengi
Afrita slóð á umsögn

#10 Mörður Ingólfsson - 15.08.2018

Um drög að frumvarpi til laga um öryggi net- og upplýsingakerfa mikilvægra innviða

UMSÖGN 1984 ehf

1984 ehf fagnar því að til standi að innleiða reglur um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu en harmar hversu herfilega gallað það frumvarp er sem hér um ræðir verður að teljast og algerlega í andstöðu við anda og bókstaf NIS tilskipunarinnar sem frumvarpinu er ætlað að innleiða. Hér verður aðeins minnst á örfá atriði, en þess farið á leit að innleiðing NIS verði endurskoðuð frá grunni með vönduðu samráðsferli frá upphafi.

19. grein frumvarpsins ein er svo yfirgripsmikil að við sem störfum á vettvangi upplýsinga- og tjáningarfrelsins og látum okkur friðhelgi einkalífs og samskipta varða hljótum að setja alla fyrirvara á gagnvart frumvarpinu og krefjast mun vandaðra samráðsferlis við hagsmunaaðila og almenning en nokkurra vikna umsagnarfrest á þeim tima árs er íslenskt þjóðfélag er að mestu óvirkt vegna sumarleyfa. Í greininni er kveðið á um pro-active, stöðuga hlerunarstarfsemi á allri netumferð og skyldu fyritækjanna til að borga sjálf fyrir að leyfa þá hlerun. Þetta er algerlega gagnstætt því sem segir í NIS, og tilfærist hér á ensku:

"Digital service providers should be subject to light-touch and reactive ex post supervisory activities justified by the nature of their services and operations. The competent authority concerned should therefore only take action when provided with evidence, for example by the digital service provider itself, by another competent authority, including a competent authority of another Member State, or by a user of the service, that a digital service provider is not complying with the requirements of this Directive, in particular following the occurrence of an incident. The competent authority should therefore have no general obligation to supervise digital service providers."

19. greinin er mjög þunghent, fremur en light-touch og hún kveður a um proactive, stöðuga hlerun fremur en ex post aðgerðir eftir að sönnungargögn hafa verið tilfærð.

Ennfremur virðist okkur við fyrstu sýn að nýinnleidd löggjöf um persónuvernd (GDPR), sem til mikilla framfara horfir fyrir ísenska borgara, sé að mestu gerð óvirk í samhengi frumvarps þessa án þess að NIS gefi nokkurt tilefni til þess.

Í þriðja lagi virðist sem 20. greinin færi netöryggissveitinni algert vald til að krefjast gagna án nokkurs rökstuðnings og án nokkurs tækifæris til andmæla eða umþóttunar. Þessi grein er með hreinum ólíkindum.

Við teljum það frumvarp sem hér er til umræðu svo gallað að það sé ekki á vetur setjandi og hvetjum til þess að sest verði niður með þeim sem líklegt er að láti sig mál þetta varða og hafist handa við verkið með þeirri nálgun og þeim anda sem skýr er og greinilegur í NIS tilskipuninni. Þar er hvatt til samráðs, samvinnu og sjálfviljugrar þáttöku en ekki þunghentrar, þvingaðrar og kostnaðarsamrar skyldu til aðstöðuveitingar í allsherjarhlerun og allsherjar aðgangi að rekstrargögnum fyrirtækjanna án þess að þau hafi nokkuð um það að segja.

Með virðingu,

Mörður Ingólfsson

1984 ehf

Afrita slóð á umsögn

#11 Viðskiptaráð Íslands - 16.08.2018

Meðfylgjandi er umsögn Viðskiptaráðs Íslands um frumvarp til laga um öryggi net- og upplýsingakerfa mikilvægra innviða.

Viðhengi