Innleiðing NIS-tilskipunar

 

Samgöngu- og sveitarstjórnarráðuneytið vinnur nú að undirbúningi innleiðingar á NIS-tilskipun Evrópusambandsins um sameiginlegar kröfur til öryggis net- og upplýsingakerfa innan sambandsins. 

Ráðgert er að semja heildarlöggjöf um net- og upplýsingaöryggi og nær hún til þeirra sem veita nauðsynlega þjónustu og stafræna þjónustu. Löggjöfin byggist á tilskipun 2016/1148/EU, svokallaðri NIS-tilskipun. Gildissvið hennar og fyrirhugaðrar löggjafar er umfangsmikið. 

 

 

 

Löggjöfin skilgreinir nauðsynlega þjónustu sem þjónustu á eftirtöldum sviðum og mun taka til allra atvika sem geta ógnað öryggi og starfsemi þeirra:

  • orkuveitur
  • flutningar 
  • bankaþjónusta
  • fjármálamarkaðir 
  • heilbrigðisþjónusta
  • vatnsveitur
  • stafræn grunnvirki.

Undir gildissvið tilskipunarinnar falla rekstraraðilar framangreindrar þjónustu. 

Að auki er hugtakið veitendur stafrænnar þjónustu notað í löggjöfinni um netmarkaði, leitarvélar á netinu og aðila sem veita skýjaþjónustu, en þeir falla einnig undir gildissvið tilskipunarinnar. 

Meginmarkmið

Meginmarkmið löggjafarinnar er að auka öryggi net- og upplýsingakerfa og bæta viðbrögð við öryggisatvikum. Hún byggir á því að áreiðanleiki og öryggi net- og upplýsingakerfa sé grundvöllur efnahags- og samfélagslegrar starfsemi. Og þar með að netöryggi sé mikilvægt fyrir trúverðugleika þeirrar þjónustu sem um ræðir, bæði innanlands og utan.    

I. Að auka hæfni ríkisins

  • Ríki skuli setja sér stefnu um net- og upplýsingaöryggi sem skal innihalda skilgreind markmið, áhættumat og reglur um viðeigandi ráðstafanir til að bæta öryggi.
  • Fela skuli ákveðnum aðila innan stjórnsýslunnar eftirlit með fylgni við löggjöfina og samskipti við önnur ríki.
  • Netöryggissveit skuli starfa. Hún skuli fylgjast með og bregðast við öryggisatvikum sem verða innanlands, greina áhættu og vinna með netöryggisveitum annarra aðildarríkja.

II. Að bæta samvinnu ríkja

  • Samstarfshópur ríkja verði settur á fót. Með það að markmiði að styðja samstarf ríkja, styrkja upplýsingamiðlun þeirra á milli og byggja upp gagnkvæmt traust.
  • Netöryggissveitir ríkja skuli mynda samstarfsnet netöryggissveita sem skiptast á upplýsingum og samræma viðbrögð.

III. Að styrkja öryggi net- og upplýsingakerfa

  • Undir gildissvið NIS-tilskipunarinnar falla tveir flokkar innviða, rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu. Öryggi net- og upplýsingakerfa þeirra þarf að vera tryggt.

Samstarf um innleiðingu

Á vormánuðum 2017 hófst undirbúningur fyrir innleiðingu tilskipunarinnar og var þá komið á samstarfi við önnur ráðuneyti og stjórnvöld sem starfa á þeim málefnasviðum sem hún nær til. Nauðsynlegt er að stjórnvöld skilgreini hvaða aðilar bæði opinberir og einkaaðilar, falla undir gildissvið tilskipunarinnar þannig að þeir geti hafið undirbúningsstarf tímanlega.

Listi yfir rekstraraðila nauðsynlegrar þjónustu

NIS-tilskipunin gerir ráð fyrir að listi yfir þá sem falla undir gildissvið laganna liggi fyrir í ESB-löndunum í nóvember 2018 og stefnir ráðuneytið að því að birta slíkan lista yfir rekstraraðila nauðsynlegrar þjónustu í reglugerð í B-deild Stjórnartíðinda eftir að lögin hafa tekið gildi. Reglugerðin mun sækja stoð í löggjöfina og verður listinn uppfærður á að minnsta kosti tveggja ára fresti. Það getur því verið breytilegt hverjir falla undir löggjöfina.

Áform um lagasetningu í samráðsferli

Á næstu vikum munu áform um fyrirhugaða lagasetningu og frummat á áhrifum hennar fara í opið samráð á vef ráðuneytisins. Þess er vænst að hagsmunaðilar og aðrir sem hafa áhuga á innleiðingu NIS-tilskipunarinnar taki þátt í samráðinu og skili gagnlegum umsögnum og ábendingum til ráðuneytisins.

Spurningar og svör

Þeir aðilar sem falla undir þá skilgreiningu að veita nauðsynlega þjónustu eða að vera veitendur stafrænnar þjónustu en haga sínum net- og upplýsingakerfum ekki í samræmi við fyrirhugaða löggjöf og/eða tilkynna ekki um öryggisatvik geta þurft að sæta refsingu.
Í NIS-tilskipuninni er gert ráð fyrir því að þeir sem falla utan skilgreiningar á rekstaraðilum nauðsynlegrar þjónustu og veitenda stafrænnar þjónustu verði frjálst að fylgja löggjöfinni og t.d. tilkynna um öryggisatvik.

Þeir sem telja sig veita nauðsynlega þjónustu eða veitendur stafrænnar þjónustu ættu þegar í stað að hefja undirbúning fyrir gildistöku fyrirhugaðrar löggjafar. Mælt er með eftirfarandi skrefum:

  • Kynna sér texta NIS-tilskipunarinnar, sjá drög að íslenskri þýðingu hér.
  • Kortleggja eigin þjónustu úr frá ákvæðum NIS-tilskipunarinnar um hvaða þjónusta flokkast sem nauðsynlegStjórnvöld á hverju málefnasviði taka ákvörðun um hvaða þjónusta fellur undir ákvæði laganna um nauðsynlega þjónustu. Hluti af þjónusta ákveðins rekstraraðila getur flokkast sem nauðsynleg í skilningi laganna og hluti ekki.
  • Skoða drög að lista yfir rekstaraðila nauðsynlegrar þjónustu sem stjórnvöld á öllum málefnasviðum munu setja saman yfir þá sem veita nauðsynlega þjónustu á viðkomandi málefnasviði. Þegar listinn er tilbúinn mun hann birtast á hér á vefnum.  
  • Yfirfara eigin verklagsreglur um net- og upplýsingaöryggi og uppfæra þær eftir þörfum til samræmis við NIS-tilskipunina. Skjalfesta nýjar reglur og útbúa áætlun um nauðsynlegar breytingar.

Hvert ríki skal tilgreina þá aðila sem teljast rekstaraðilar nauðsynlegrar þjónustu. Í skilningi NIS-tilskipunarinnar er það þjónusta sem:

  • er nauðsynleg til að viðhalda mikilvægum þjóðfélagslegum eða efnahagslegum verkefnum,
  • byggir á net- og upplýsingakerfum og
  • öryggisatvik hafa verulega truflandi áhrif á þjónustuna.

Við mat á verulega truflandi áhrifum á þjónstu kveður NIS-tilskipunin á um að horft sé til fjölda notenda sem reiða sig á hana, hvort aðrir rekstaraðilar þjónustunnar séu háðir henni, áhrif öryggisatvika á efnahagslega og samfélagslega starfsemi og almannaöryggi, markaðshlutdeild, landfræðilega útbreiðslu og hvort sama þjónustu bjóðist annars staðar. Áhrifin geta verið mismunandi eftir tegund þjónustu.

Í NIS-tilskipuninni er gert ráð fyrir því að endanlegur listi yfir rekstaraðila nauðsynlegrar þjónustu liggi fyrir í nóvember 2018 og þá er gert ráð fyrir því að hann verði uppfærður á a.m.k. tveggja ára fresti. Við löggjafarvinnuna gengur ráðuneytið út frá því að listi yfir þessa aðila verði settur fram í reglugerð birtri í B-deild Stjórnartíðinda. Reglugerðin mun sækja stoð í fyrirhugaða löggjöf og verður listinn uppfærður á a.m.k. tveggja ára fresti en drög að listanum verða birt hér á vefsíðunni. Það getur verið breytilegt hverjir það eru sem falla undir löggjöfina á hverjum tíma.

Þessir aðilar skulu:

  • tryggja öryggi net- og upplýsingakerfa,
  • grípa til viðeigandi ráðstafana til að takast á við áhættu sem stafar af öryggi net- og upplýsingakerfa,  
  • tryggja að öryggisstig kerfa sé í samræmi við metna áhættu og nýjustu tækni og að gripið sé til viðeigandi aðgerða til að fyrirbyggja og lágmarka tjón sem hlýst af öryggisatvikum með það að markmiði að tryggja samfellu í rekstri kerfanna og
  • tilkynna öryggisatvik.

Gagnlegir tenglar

Var efnið hjálplegt?Nei
Takk fyrir

Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.

Af hverju ekki?

Yfirlit

Hafa samband

Ábending / fyrirspurn