Ferill 416. máls. Aðrar útgáfur af skjalinu: PDF - Microsoft Word.


149. löggjafarþing 2018–2019.
Þingskjal 557  —  416. mál.
Stjórnarfrumvarp.



Frumvarp til laga


um öryggi net- og upplýsingakerfa mikilvægra innviða.

Frá samgöngu- og sveitarstjórnarráðherra.



I. kafli

Almenn ákvæði.

1. gr.

Markmið.

    Markmið laga þessara er að stuðla að öryggi og viðnámsþrótti net- og upplýsingakerfa mikilvægra innviða eins og þeir eru skilgreindir í lögum þessum.

2. gr.

Gildissvið.

    Lög þessi gilda um net- og upplýsingakerfi rekstraraðila nauðsynlegrar þjónustu hér á landi á sviði bankastarfsemi og innviða fjármálamarkaða, flutninga, heilbrigðisþjónustu, orku-, hita- og vatnsveitna, svo og stafrænna grunnvirkja, að uppfylltum skilyrðum 3. gr.
    Lög þessi gilda jafnframt um net- og upplýsingakerfi stafrænna þjónustuveitenda sem starfrækja netmarkað, leitarvél á netinu eða skýjavinnsluþjónustu, þó ekki stafræna þjónustuveitendur sem teljast örfélög í skilningi laga um ársreikninga.
    

3. gr.

Rekstraraðilar nauðsynlegrar þjónustu.

    Þjónusta rekstraraðila skv. 1. mgr. 2. gr. telst nauðsynleg í skilningi laga þessara að uppfylltum eftirtöldum skilyrðum:
     a.      Þjónusta er nauðsynleg fyrir viðhald mikilvægrar samfélagslegrar og efnahagslegrar starfsemi,
     b.      veiting þjónustu er háð net- og upplýsingakerfum og
     c.      atvik hefðu verulega skerðandi áhrif á veitingu þjónustu.
    Ráðherra skal í reglugerð mæla nánar fyrir um þjónustu sem telst nauðsynleg fyrir viðhald mikilvægrar samfélagslegrar og efnahagslegrar starfsemi í skilningi a-liðar 1. mgr.
    Við mat á því hvort atvik hefðu verulega skerðandi áhrif í skilningi c-liðar 1. mgr. skal að minnsta kosti horft til fjölda notenda sem reiða sig á umrædda þjónustu, hvort rekstraraðilar nauðsynlegrar þjónustu á öðrum sviðum reiði sig á umrædda þjónustu, mögulegra áhrifa atvika á efnahagslega og samfélagslega starfsemi eða almannaöryggi, mögulegrar landfræðilegrar útbreiðslu áhrifa af atvikum, markaðshlutdeildar og mikilvægis samfellu í þjónustustigi, að teknu tilliti til varaleiða. Enn fremur skal tekið tillit til sjónarmiða sem sértæk kunna að vera fyrir ólík svið.
    Ráðherra skal halda opinbera skrá yfir rekstraraðila nauðsynlegrar þjónustu hér á landi samkvæmt ákvæði þessu með auglýsingu í B-deild Stjórnartíðinda, að fenginni tillögu Póst- og fjarskiptastofnunar. Skráin skal uppfærð eftir því sem tilefni er til og á a.m.k. tveggja ára fresti.

4. gr.

Stefna um net- og upplýsingaöryggi. Netöryggisráð.

    Ráðherra skal marka stefnu um net- og upplýsingaöryggi, sem endurskoðuð skal reglubundið. Í stefnu skal meðal annars greina frá markmiðum og ráðstöfunum stjórnvalda í því skyni að stuðla að öryggi og viðnámsþrótti net- og upplýsingakerfa mikilvægra innviða.
    Ráðherra skipar netöryggisráð. Hlutverk þess er einkum að fylgja eftir framkvæmd stefnu stjórnvalda á sviði net- og upplýsingaöryggis. Ráðið leggur mat á stöðu netöryggis á Íslandi á hverjum tíma og er vettvangur upplýsingamiðlunar og samhæfingar. Netöryggisráð skal setja sér starfsreglur. Fundir netöryggisráðs skulu haldnir fyrir luktum dyrum og getur ráðið ákveðið að trúnaður ríki um fundi þess eða einstök mál á dagskrá fundar, svo og gögn og afrakstur vinnu í smærri hópum fyrir ráðið. Ráðherra er heimilt að setja nánari ákvæði um netöryggisráð í reglugerð.

5. gr.

Tengsl við önnur lög.

    Um eftirlit með framkvæmd laga þessara fer samkvæmt ákvæðum III. kafla og þeim sérlögum sem um mikilvæga innviði gilda.
    Ef hætta steðjar að net- og upplýsingaöryggi með þeim hætti að teljist neyðarástand sem kann að ógna lífi og heilsu almennings, umhverfi og/eða eignum í skilningi laga um almannavarnir fer um viðbrögð stjórnvalda á grundvelli þeirra laga.

6. gr.

Orðskýringar.

    Í lögum þessum merkir:
     1.      Atvik: Hver sá atburður sem hefur skaðleg áhrif á öryggi net- og upplýsingakerfa.
     2.      Áhætta: Aðstæður eða atburðir sem geta haft skaðleg áhrif á öryggi net- og upplýsingakerfa.
     3.      Bankastarfsemi: Lánastofnun í skilningi laga um fjármálafyrirtæki.
     4.      Eftirlitsstjórnvald: Stjórnvald sem falið er eftirlit með framkvæmd laga þessara um öryggi net- og upplýsingakerfa á sínu sviði.
     5.      Flutningar: Flutningar á lofti; flugrekendur eins og skilgreint er í 10. tölul. 2. gr. reglugerðar (EB) nr. 1008/2008, framkvæmdarstjórnir flugvalla eins og skilgreint er í 2. tölul. 2. gr. tilskipunar 2009/12/EB, flugvellir eins og skilgreint er í 1. tölul. 2. gr. tilskipunar 2009/12/EB þ.m.t. flugvellir í grunnneti sem skráðir eru í 2. þætti II. viðauka reglugerðar (ESB) nr. 1315/2013 og einingar sem starfrækja viðbúnað sem staðsettur er innan flugvalla, kerfisstjórar umferðarstjórnunar sem veita flugstjórnarþjónustu (ATC) eins og skilgreint er í 1. tölul. 2. gr. reglugerðar (EB) nr. 549/2004. Flutningar á sjó og vatnaleiðum; fyrirtæki sem sjá um vatna-, millilanda- og strandsiglingar með farþega og vöruflutninga á sjó og vatnaleiðum eins og skilgreint er fyrir flutninga á sjó í I. viðauka reglugerðar (EB) nr. 725/2004 að frátöldum einstökum skipum sem þau fyrirtæki gera út, stjórnir hafna eins og hafnir eru skilgreindar í 1. tölul. 3. gr. tilskipunar 2005/65/EB þ.m.t. hafnaraðstöður þeirra eins og skilgreint er í 11. tölul. 2. gr. reglugerðar (EB) nr. 725/2004 og einingar sem annast mannvirki og búnað sem staðsett eru innan hafna og rekstraraðilar skipaumferðarþjónustu eins og skilgreint er í o-lið 3. gr. reglugerðar nr. 80/2013, um vaktstöð siglinga og eftirlit með umferð skipa, sem innleiðir tilskipun 2002/59/EB. Flutningar á vegum; þ.e. vegamálayfirvöld sem bera ábyrgð á skipulagningu, eftirliti með eða rekstri vega sem falla undir lögsögu þess samkvæmt vegalögum og rekstraraðilar skynvæddra flutningakerfa, þ.e. rekstraraðilar kerfa þar sem upplýsinga- og fjarskiptatækni er beitt á sviði flutninga á vegum, þ.m.t. grunnvirki, ökutæki og notendur, og á sviði umferðarstjórnunar og hreyfanleikastjórnunar og á sviði tenginga við aðra flutningsmáta.
     6.      Forskrift: Tækniforskrift í skilningi 4. tölul. 2. gr. reglugerðar (ESB) 1025/2012.
     7.      Heilbrigðisþjónusta: Veitendur heilbrigðisþjónustu samkvæmt skilgreiningu í lögum um heilbrigðisþjónustu og g-lið 3. gr. tilskipunar 2011/24/EB.
     8.      Hitaveitur: Hitaveitur samkvæmt orkulögum.
     9.      Innviðir fjármálamarkaða: Rekstraraðilar skipulegra verðbréfamarkaða og markaðstorgs fjármálagerninga samkvæmt skilgreiningu laga um verðbréfaviðskipti og miðlægir mótaðilar samkvæmt skilgreiningu reglugerðar (ESB) nr. 648/2012, sem lögfest er með lögum um afleiðuviðskipti, miðlæga mótaðila og afleiðuviðskiptaskrár.
     10.      Leitarvél á netinu: Stafræn þjónusta sem leyfir notendum að framkvæma leit, að meginreglu til, að öllum vefjum eða vefjum á tilteknu tungumáli á grundvelli fyrirspurnar um viðfangsefni í formi leitarorðs, orðasambands eða annars konar gagna sem færð eru inn í tölvu. Þjónustan skilar tenglum þar sem finna má upplýsingar um efnið sem óskað er eftir.
     11.      Lénsheitakerfi: Stigskipt dreift gagnasafn í netkerfi sem annast fyrirspurnir um lénsheiti.
     12.      Meðhöndlun atvika: Allt það verklag sem styður við að koma upp um, greina og afmarka atvik og viðbrögð við þeim.
     13.      Mikilvægir innviðir: Rekstraraðilar nauðsynlegrar þjónustu og stafrænir þjónustuveitendur eins og þeir eru skilgreindir í lögum þessum.
     14.      Netmarkaður: Stafræn þjónusta sem leyfir neytendum og/eða seljendum, eins og þeir eru skilgreindir í a- og b-lið 1. mgr. 4. gr. tilskipunar 2013/11/ESB, að gera sölu- og þjónustusamninga á netinu við seljendur annaðhvort á vef netmarkaðar eða á vef seljanda sem notar þjónustu á sviði gagnaumferðar í gegnum netmarkaðinn.
     15.      Net- og upplýsingakerfi: Fjarskiptanet í skilningi laga um fjarskipti; tæki eða samsafn innbyrðis tengdra eða skyldra tækja þar sem í einu þeirra eða fleiri fer fram sjálfvirk stafræn gagnavinnsla eftir forriti; eða stafræn gögn sem eru geymd, unnin, sótt eða send fyrir tilstilli þátta sem falla undir framangreint að því er varðar starfrækslu þeirra, notkun, verndun og viðhald.
     16.      Orkuveitur: Rafmagn; raforkufyrirtæki eins og skilgreint er í 35. tölul. 2. gr. tilskipunar 2009/72/EB sem sinna hlutverki afhendingar eins og skilgreint er í 19. tölul. 2. gr. tilskipunarinnar, dreifikerfisstjórar eins og skilgreint er í 6. tölul. 2. gr. tilskipunar 2009/72/EB og flutningakerfisstjórar eins og skilgreint er í 4. tölul. 2. gr. tilskipunar 2009/72/EB. Olía; rekstraraðilar flutningsleiðslna fyrir olíu og rekstraraðilar olíuframleiðslu, olíuhreinsunar- og meðhöndlunarstöðva, olíugeymslu- og flutnings. Gas; afhendingarfyrirtæki eins og skilgreint er í 8. tölul. 2. gr. tilskipunar 2009/73/EB, dreifikerfisstjórar eins og skilgreint er í 6. tölul. 2. gr. tilskipunar 2009/73/EB, flutningakerfisstjórar eins og skilgreint er í 4. tölul. 2. gr. tilskipunar 2009/73/EB, geymslukerfisstjórar eins og skilgreint er í 10. tölul. 2. gr. tilskipunar 2009/73/EB, kerfisstjórar með fljótandi jarðgas eins og skilgreint er í 12. tölul. 2. gr. tilskipunar 2009/73/EB, jarðgasfyrirtæki eins og skilgreint er í 1. tölul. 2. gr. tilskipunar 2009/73/EB og kerfisstjórar hreinsunar og meðhöndlunarstöðva fyrir jarðgas.
     17.      Rekstraraðili nauðsynlegrar þjónustu: Opinber eða einkaaðili sem veitir þjónustu sem telst nauðsynleg samkvæmt 3. gr. á sviði bankastarfsemi, innviða fjármálamarkaða, flutninga, heilbrigðisþjónustu, orku-, hita- og vatnsveitna, svo og stafrænna grunnvirkja.
     18.      Samhæfingarstjórnvald: Stjórnvald sem gegnir samhæfingarhlutverki um eftirlit með framkvæmd laga þessara, sbr. 13. gr.
     19.      Skráningarstofa höfuðléna: Aðili sem annast og vinnur að skráningu lénsheita á netinu undir sérstöku höfuðléni.
     20.      Skýjavinnsluþjónusta: Stafræn þjónusta sem veitir aðgang að skalanlegum og sveigjanlegum brunni tölvunargetu sem hægt er að deila.
     21.      Spillikóði: Sérhver kóði, þ.e. runa skipana og/eða gagna, sem er ætlaður til að leiða til óæskilegra áhrifa, öryggisrofs eða skemmda á net- og upplýsingakerfum.
     22.      Staðall: Staðall í skilningi 1. tölul. 2. gr. reglugerðar (ESB) 1025/2012.
     23.      Stafræn grunnvirki: Tengi- og skiptipunktar þjónustuveitendur lénsheitakerfis og skráningarstofur höfuðléna.
     24.      Stafræn þjónusta: Þjónusta í skilningi b-liðar 1. mgr. 1. gr. tilskipunar 2015/1535/ESB sem fellur undir skilgreiningu laga þessara á hugtökunum netmarkaður, leitarvél á netinu eða skýjavinnsluþjónusta.
     25.      Stafrænn þjónustuveitandi: Sérhver lögaðili með höfuðstöðvar, þ.e. aðalskrifstofu eða staðfestu, hérlendis sem veitir stafræna þjónustu í skilningi laga þessara eða fulltrúi hans með staðfestu hérlendis.
     26.      Tengi- og skiptipunktur: Netvirki sem gerir kleift að samtengja fleiri en tvö sjálfstæð og sjálfstýrð kerfi, fyrst og fremst í þeim tilgangi að greiða fyrir miðlun netumferðar. Tengi- og skiptipunkturinn veitir einungis samtengingu fyrir sjálfstýrð kerfi og gerir ekki kröfu um að netumferð sem fer á milli tveggja hlutaðeigandi sjálfstýrðra kerfa fari í gegnum þriðja sjálfstýrða kerfið, né breytir hún eða truflar slíka umferð,
     27.      Vatnsveitur: Birgjar og dreifingaraðilar neysluvatns, eins og skilgreint er í a-lið 1. tölul. 2. gr. tilskipunar 98/83/EB um gæði neysluvatns. Á ekki við þegar dreifing neysluvatns er einungis hluti af almennri starfsemi þeirra sem felur í sér dreifingu annarra verslunarvara og varnings sem telst ekki vera nauðsynleg þjónusta.
     28.      Öryggi net- og upplýsingakerfa: Geta net- og upplýsingakerfis til að standast, með tilteknu öryggisstigi, hvers konar aðgerðir sem stofna í hættu aðgengi að, sannvottuðum uppruna, réttleika eða trúnaði um vistuð, send eða unnin gögn eða tengda þjónustu sem boðin er eða er aðgengileg um þessi net- og upplýsingakerfi.
     29.      Þjónustuveitandi lénsheitakerfis: Aðili sem veitir þjónustu fyrir lénsheitakerfi á netinu.

II. kafli

Öryggiskröfur og tilkynningaskylda.

7. gr.

Lágmarkskröfur um áhættustýringu og viðbúnað.

    Mikilvægir innviðir skulu hafa skjalfesta stefnu og ferla til að meta, stýra og lágmarka áhættu sem steðjað getur að öryggi net- og upplýsingakerfa þeirra, þ.m.t. vegna fátíðra atburða sem geta haft alvarlegar afleiðingar. Skulu þeir setja sér öryggisstefnu, framkvæma áhættumat reglubundið og ákvarða og endurmeta öryggisráðstafanir á grundvelli þess. Með öryggisráðstöfunum er átt við bæði tæknilegar og skipulagslegar ráðstafanir, eftir því sem við kann að eiga. Aðgangsstýring skal viðhöfð í rekstri net- og upplýsingakerfa mikilvægra innviða eftir því sem við á og viðeigandi prófanir framkvæmdar reglubundið og í samræmi við alþjóðleg viðmið um bestu framkvæmd.
    Mikilvægir innviðir skulu hafa skjalfesta viðbragðsáætlun og áætlun um samfelldan og órofinn rekstur og þjónustu til að tryggja takmörkun á tjóni ef alvarleg röskun verður á starfsemi þeirra. Verkferlum og viðbrögðum við atvikum í eða tengdum rekstri net- og upplýsingakerfa mikilvægra innviða skulu gerð skil í áætlunum, þar á meðal skráningu atvika. Meðhöndlun atvika skal meðal annars fela í sér að finna orsakir þeirra, koma aftur á eðlilegu rekstrarástandi og koma í veg fyrir að atvik endurtaki sig.
    Í starfsemi mikilvægra innviða skal vera til staðar virkt kerfi innra eftirlits sem samræmist lögum þessum og sérlögum sem um starfsemi þeirra kunna að gilda.
    Ráðherra getur sett nánari fyrirmæli í reglugerð um lágmarkskröfur samkvæmt ákvæði þessu að fenginni umsögn eftirlitsstjórnvalda og Póst- og fjarskiptastofnunar, meðal annars um lágmarks öryggisráðstafanir, innra eftirlit, raunlæga vernd net- og upplýsingakerfa og framfylgni alþjóðlega viðurkenndra forskrifta, staðla eða viðmiða um bestu framkvæmd. Heimilt er að gera greinarmun á kröfum til rekstraraðila nauðsynlegrar þjónustu og stafrænna þjónustuveitenda í reglugerð samkvæmt ákvæði þessu.

8. gr.

Tilkynning til netöryggissveitar.

    Mikilvægir innviðir skulu tilkynna netöryggissveit Póst- og fjarskiptastofnunar skv. IV. kafla án tafar um alvarleg atvik eða áhættu sem ógnar öryggi net- og upplýsingakerfa þeirra.

    Við mat á alvarleika atviks eða áhættu skv. 1. mgr. skal einkum horft til:
     a.      fjölda notenda þjónustunnar sem atvik hefur áhrif á,
     b.      hversu lengi atvik stendur yfir,
     c.      landfræðilegrar útbreiðslu og umfangs áhrifa atviks og
     d.      mögulegra áhrifa atviks á aðra mikilvæga innviði eða efnahagslega og samfélagslega starfsemi eða stafræna þjónustu.
    Í tilkynningu skal meðal annars upplýst um mögulegt útvistunarfyrirkomulag, svo sem ef mikilvægir innviðir reiða sig á þjónustu stafræns þjónustuveitanda í rekstri sínum, og hugsanleg smitáhrif, jafnvel yfir landamæri. Umfang tilkynningar ræðst að öðru leyti af efni og aðstæðum.
    Ráðherra getur sett nánari fyrirmæli í reglugerð um tilkynningar atvika til netöryggissveitar, þar á meðal um form, efni og meðferð þeirra.


9. gr.

Miðlun upplýsinga um atvik til eftirlitsstjórnvalds og lögreglu.

    Netöryggissveit skal tryggja að upplýsingar um atvik skv. 8. gr. séu aðgengilegar eftirlitsstjórnvöldum án tafar.
    Netöryggissveit skal án tafar hvetja mikilvæga innviði til að tilkynna um atvik til lögreglu leiki grunur á um refsiverða háttsemi.

10. gr.

Upplýsingar veittar almenningi.

    Ef almenningsvitundar er þörf til að koma í veg fyrir eða takast á við atvik og þegar upplýsingagjöf um atvik er af öðrum ástæðum nauðsynleg í þágu almannahagsmuna er Póst- og fjarskiptastofnun heimilt að upplýsa almenning um atvikið. Samráð skal viðhaft við lögreglu og eftirlitsstjórnvöld sem í hlut kunna að eiga og, eftir atvikum, mikilvæga innviði, í aðdraganda upplýsingagjafar skv. 1. málsl., enda verði því við komið.
    Póst- og fjarskiptastofnun er heimilt að tilkynna almenningi um veikleika og almennar hættur ef það er nauðsynlegt í þágu almannahagsmuna. Samráð skal viðhaft um slíkar tilkynningar við lögreglu og eftirlitsstjórnvöld ef við verður komið.
    Þrátt fyrir 1. og 2. mgr. fer um meðferð trúnaðarupplýsinga samkvæmt ákvæðum laga þessara og annarra laga, eftir því sem við á.

III. KAFLI

Eftirlit með mikilvægum innviðum.

11. gr.

Eftirlitsstjórnvöld.

    Eftirlit með framkvæmd ákvæða laga þessara um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu er í höndum eftirfarandi eftirlitsstjórnvalda:
     a.      Orkustofnunar vegna orku- og hitaveitna,
     b.      Samgöngustofu vegna flutninga,
     c.      Fjármálaeftirlitsins vegna bankastarfsemi og innviða fjármálamarkaða,
     d.      embættis landlæknis vegna heilbrigðisþjónustu,
     e.      Umhverfisstofnunar vegna vatnsveitna og
     f.      Póst- og fjarskiptastofnunar vegna stafrænna grunnvirkja.
    Eftirlitsstjórnvald ákveður hvaða aðilar teljast til rekstraraðila nauðsynlegrar þjónustu á sínu sviði skv. 3. gr. og miðlar tilkynningu þar um til Póst- og fjarskiptastofnunar eftir því sem tilefni er til og a.m.k. á tveggja ára fresti. Ef aðili veitir jafnframt þjónustu í öðru ríki á Evrópska efnahagssvæðinu skal eftirlitsstjórnvald, við ákvörðun skv. 1. málsl., viðhafa samráð við þarlend stjórnvöld.
    Póst- og fjarskiptastofnun hefur eftirlit með framkvæmd laga þessara um öryggi net- og upplýsingakerfa stafrænna þjónustuveitenda.

12. gr.

Eftirlitsheimildir.

    Rekstraraðili nauðsynlegrar þjónustu skal að beiðni eftirlitsstjórnvalds skv. 11. gr. afhenda allar upplýsingar og gögn um skipulag net- og upplýsingaöryggis sem að mati eftirlitsstjórnvaldsins eru nauðsynleg vegna framkvæmdar eftirlits, til að mynda öryggisstefnu, áhættumat, lýsingu á öryggisráðstöfunum, viðbragðsáætlun, skýrslur um innra eftirlit og niðurstöður öryggisúttekta og prófana. Eftirlitsstjórnvald getur kallað til skýrslugjafar einstaklinga sem það telur búa yfir upplýsingum um tiltekið mál.
    Eftirlitsstjórnvaldi skv. 11. gr. er heimilt að gera úttektir og prófanir á því hvort rekstraraðilar nauðsynlegrar þjónustu uppfylli kröfur laga þessara og reglugerða sem settar eru á grundvelli þeirra. Eftirlitsstjórnvald getur jafnframt gert kröfu um að til þess bær utanaðkomandi aðili geri úttektir og prófanir og kveðið á um framvísun skjalfestra niðurstaðna hlutaðeigandi.
    Ákvæði 1. mgr. gildir um stafræna þjónustuveitendur, að fenginni beiðni frá Póst- og fjarskiptastofnun, þegar stofnunin telur á grundvelli rökstuddra grunsemda að hlutaðeigandi uppfylli ekki kröfur skv. 7. og 8. gr.
    Eftirlitsstjórnvaldi skv. 11. gr. er heimilt að óska eftir reglubundinni skýrslugjöf af hálfu mikilvægra innviða um meðhöndlun atvika, í því skyni að leggja mat á umgjörð áhættustýringar og viðbúnað andspænis kröfum laga þessara.
    Komi í ljós að mikilvægir innviðir fylgi ekki lögum þessum eða öðrum reglum sem um net- og upplýsingakerfi þeirra gilda skal eftirlitsstjórnvald krefjast þess að úr sé bætt innan hæfilegs frests, svo sem um tilteknar lágmarks öryggisráðstafanir. Vanræki mikilvægir innviðir að fara að fyrirmælum eftirlitsstjórnvalds um úrbætur getur eftirlitsstjórnvald látið vinna verkið á kostnað hlutaðeigandi. Krafa um kostnað vegna þessa er aðfararhæf skv. 5. tölul. 1. mgr. 1. gr. laga um aðför, nr. 90/1989.

13. gr.

Samhæfingarstjórnvald.

    Póst- og fjarskiptastofnun skal gegna ráðgefandi samhæfingarhlutverki gagnvart eftirlitsstjórnvöldum í því skyni að stuðla að samræmdri framkvæmd laga þessara.
    Póst- og fjarskiptastofnun er jafnframt tengiliður stjórnvalda hér á landi vegna eftirlits með net- og upplýsingaöryggi mikilvægra innviða og framkvæmd tilskipunar (ESB) 2016/1148 um ráðstafanir til að ná háu sameiginlegu öryggisstigi í net- og upplýsingakerfum innan Evrópska efnahagssvæðisins.
    Ráðherra getur sett nánari fyrirmæli í reglugerð um hlutverk samhæfingarstjórnvalds samkvæmt ákvæði þessu, að viðhöfðu samráði við eftirlitsstjórnvöld.

IV. KAFLI

Þjónusta og samstarf við netöryggissveit.

14. gr.

Netöryggissveit.

    Póst- og fjarskiptastofnun starfrækir lögum samkvæmt netöryggissveit sem gegnir hlutverki landsbundins öryggis- og viðbragðsteymis vegna atvika og áhættu er varðar net- og upplýsingaöryggi hér á landi, CSIRT-teymi fyrir Ísland.
    Netöryggissveit skal bregðast við tilkynningum um atvik skv. 8. og 15. gr. laga þessara með því að veita viðeigandi upplýsingar eða ráðgjöf um viðbrögð og aðgerðir, eftir því sem tilefni og nauðsyn ber til, í því skyni að styðja við skilvirka meðhöndlun atviks.
    Netöryggissveit er heimilt að tilkynna ríkislögreglustjóra um alvarleg eða útbreidd atvik og áhættu sem ógnar net- og upplýsingaöryggi og skal, eftir því sem við kann að eiga, viðhafa samstarf við embættið um varnir og viðbrögð.
    Í meðhöndlun atvika skal netöryggissveit leitast við að fyrirbyggja að atvik breiðist út og valdi tjóni, eftir atvikum í samstarfi við ríkislögreglustjóra. Ef tilefni er til gefur netöryggissveit Póst- og fjarskiptastofnunar út tilmæli til mikilvægra innviða um aðgerðir vegna atviks eða gegn bráðri aðsteðjandi netógn, hvort sem það atvik eða sú ógn steðjar að einum eða fleiri mikilvægum innviðum eða mikilvægum innviðum á einu eða fleiri sviðum. Verði mikilvægir innviðir ekki við tilmælum netöryggissveitar Póst- og fjarskiptastofnunar um viðbrögð eða aðgerðir við atviki eða áhættu, á þeim forsendum að mat hlutaðeigandi sé að aðrar ráðstafanir eigi betur við í því skyni að tryggja vernd net- og upplýsingakerfa þeirra, skal netöryggissveit og hlutaðeigandi eftirlitsstjórnvald upplýst um ástæður þeirrar afstöðu. Í öllum tilvikum skal tilmælum netöryggissveitarinnar svarað eins fljótt og kostur er. Um upplýsingagjöf til almennings fer skv. 10. gr.
    Ef áhrifa atviks sem netöryggissveit berst tilkynning um gætir yfir landamæri skal netöryggissveitin miðla tilkynningu þar um til útnefndra tengiliða í viðkomandi ríki.
    Netöryggissveit vaktar og greinir atvik og áhættu tengda öryggi net- og upplýsingakerfa og mótar stöðumynd vegna netógna á hverjum tíma eftir því sem við kann að eiga. Stöðumati skal reglubundið miðlað til netöryggisráðs í samræmi við óskir þess.


15. gr.

Tilkynningar um atvik og viðbrögð við þeim.

    Netöryggissveit skal gera öðrum en mikilvægum innviðum kleift að miðla til sín tilkynningum um atvik í net- og upplýsingakerfum sem hafa umtalsverð áhrif á starfsemi þeirra.
    Um tilkynningar skv. 1. mgr. og viðbrögð við þeim fer samkvæmt 8. og 14. gr. laga þessara eftir því sem við á.
    Ef þörf krefur er netöryggissveit heimilt að forgangsraða í starfsemi sinni þannig að brugðist sé við tilkynningum um atvik frá mikilvægum innviðum og opinberum stofnunum áður en tilkynningum frá öðrum er sinnt.
    Ráðherra getur sett nánari fyrirmæli í reglugerð um tilkynningar til netöryggissveitar samkvæmt ákvæði þessu.


16. gr.

Þjónusta við mikilvæga innviði og opinberar stofnanir.

    Mikilvægir innviðir geta leitað til netöryggissveitar um aðstoð og leiðbeiningar um sérhæfðar forvarnir í tengslum við öryggi net- og upplýsingakerfa sinna, en hlutverk sveitarinnar er einkum að styðja við skjót viðbrögð gegn aðsteðjandi hættu.
    Netöryggissveit er heimilt að bjóða mikilvægum innviðum og opinberum stofnunum tæknilega vöktunarþjónustu, á nánar skilgreindum og skjalfestum forsendum, í því skyni að greina ummerki um árásir, spillikóða og aðrar hættulegar aðstæður. Vöktunarþjónustan getur verið hluti af tæknilegum öryggisráðstöfunum og áhættustýringu mikilvægra innviða og opinberra stofnana. Endurgjald vegna vöktunarþjónustu skal taka mið af útlögðum kostnaði netöryggissveitar vegna búnaðar sem staðsettur verður við eigin net- og upplýsingakerfi hlutaðeigandi rekstraraðila.
    Stjórnarráð Íslands skal njóta þjónustu Póst- og fjarskiptastofnunar á sviði netöryggismála samkvæmt 1. mgr., án sérstaks endurgjalds. Aðrar opinberar stofnanir geta gert samninga við Póst- og fjarskiptastofnun um aðstoð og ráðgjöf skv. 1. mgr. gegn endurgjaldi. Póst- og fjarskiptastofnun skal vekja athygli opinberra stofnana á ákvæðum þessara laga um tilkynningar um atvik og viðbrögð við þeim.
    Ráðherra getur sett nánari fyrirmæli í reglugerð um starfsemi netöryggissveitar samkvæmt ákvæði þessu, þar á meðal gjaldtöku.

17. gr.

Aðgangur netöryggissveitar að upplýsingum.

    Í því skyni að tryggja netöryggissveit bestu faglegu forsendur til viðbragða við atvikum og áhættu í net- og upplýsingakerfum skal henni, eins skjótt og við verður komið, heimilaður aðgangur að viðeigandi upplýsingum og gögnum sem hún metur nauðsynleg, þar með töldum umferðaskrám netbúnaðar og -þjóna, eftir atvikum í samráði við eftirlitsstjórnvöld.
    Til að greina og meta ógnir og áhættu við net- og upplýsingakerfi mikilvægra innviða getur Póst- og fjarskiptastofnun óskað eftir að komið skuli upp sjálfvirkri upplýsingamiðlun á milli kerfa hlutaðeigandi mikilvægra innviða og netöryggissveitar.
    Netöryggissveit, eftir atvikum í samráði við eftirlitsstjórnvöld, getur óskað skriflegra upplýsinga eða gagna og kallað einstaklinga til skýrslugjafar ef þörf krefur svo sveitin geti gegnt hlutverki sínu samkvæmt lögum þessum.
    Réttur netöryggissveitarinnar til aðgangs að upplýsingum samkvæmt ákvæði þessu verður ekki takmarkaður með vísan til reglna um þagnarskyldu er kunna að gilda um mikilvæga innviði.
    Netöryggissveit skal fylgja skjalfestum vinnureglum um öflun upplýsinga og gera viðeigandi ráðstafanir til að tryggja öryggi og eyðingu gagna, svo og aðrar ráðstafanir sem nauðsynlegar eru til að tryggja friðhelgi einkalífs og öryggis- og viðskiptahagsmuni aðila.

18. gr.

Samstarf.

    Netöryggissveit er heimilt að setja á fót þverfaglegan samráðshóp í þeim tilgangi að efla tengsl og samstarf á milli mikilvægra innviða og sveitarinnar.
    Netöryggissveit er jafnframt heimilt að setja á fót sviðshópa til samráðs fyrir hvert svið nauðsynlegrar þjónustu skv. 1. mgr. 2. gr., fyrir hverja tegund stafrænna þjónustuveitenda og opinberar stofnanir. Sviðshópar skulu vera vettvangur tæknilegs samráðs og upplýsingaskipta á sviði net- og upplýsingaöryggis, er hefur það að meginmarkmiði að greina ógnir og áhættu, stuðla að auknu net- og upplýsingaöryggi og takmarka tjón af völdum netárása.
    Samráðs- og sviðshópar skv. 1. og 2. mgr. skulu setja sér starfsreglur og er aðilum að samstarfinu einungis heimilt að skiptast á upplýsingum sem skipta máli fyrir net- og upplýsingaöryggi. Í starfsreglum skal meðal annars gætt að reglum samkeppnislaga um upplýsingaskipti.
    Trúnaður skal ríkja um upplýsingar sem ræddar eru á fundum samráðs- og sviðshópa og gögn sem þeir kunna að vinna með eða afhent eru á vettvangi þeirra skulu teljast til vinnugagna í skilningi 2. og 3. tölul. 2. mgr. 8. gr. upplýsingalaga, nr. 140/2012, og vera undanþegin aðgangsrétti almennings, sbr. 5. tölul. 6. gr. sömu laga.
    Netöryggissveit getur, í því skyni að stuðla að efldum viðnámsþrótti net- og upplýsingakerfa og eftir atvikum í samstarfi við ríkislögreglustjóra og eftirlitsstjórnvöld, skipulagt viðbúnaðaræfingar með þátttöku fulltrúa mikilvægra innviða og opinberra stofnana.

V. kafli

Þagnarskylda.

19. gr.

Sérstök þagnarskylda.

    Starfslið eftirlitsstjórnvalda, hvert á sínu sviði, samhæfingarstjórnvalds, netöryggissveitar og netöryggisráðs er bundið sérstakri þagnarskyldu umfram þá sem greinir í lögum um réttindi og skyldur starfsmanna ríkisins. Starfsliðið má ekki, að viðlagðri ábyrgð, skýra óviðkomandi frá því sem það kemst að í starfi sínu og leynt á að fara. Þagnarskyldan helst þótt látið sé af starfi.

20. gr.

Undanþágur frá þagnarskyldu.

    Ákvæði laga þessara um þagnarskyldu standa ekki í vegi fyrir að eftirlitsstjórnvöld hvert á sínu sviði, samhæfingarstjórnvald, netöryggissveit og netöryggisráð veiti upplýsingar eða taki við upplýsingum sín í milli eða taki við frá lögreglu- eða persónuverndaryfirvöldum, ef þær upplýsingar varða framkvæmd þessara laga, almannavarnir eða persónuvernd.
    Ákvæði laga þessara um þagnarskyldu hindra ekki að eftirlitsstjórnvöld hvert á sínu sviði, samhæfingarstjórnvald, netöryggissveit eða netöryggisráð veiti upplýsingar eða taki við upplýsingum frá erlendum stjórnvöldum, eftirlitsaðilum eða öðrum aðilum eða sérfræðingum sem sinna net- og upplýsingaöryggi þegar slíkt er nauðsynlegt vegna skipulagðrar alþjóðasamvinnu sem hefur það markmið að stuðla að eða framkvæma aðgerðir til að tryggja öryggi net- og upplýsingakerfa.
    Við upplýsingaskipti skv. 1. og 2. mgr. skal gæta trúnaðar um öryggis- og viðskiptahagsmuni mikilvægra innviða og sérstök þagnarskylda skv. 19. gr. skal ríkja um þær upplýsingar sem veittar eru eða tekið er á móti skv. 1. og 2. mgr.
    Um trúnað upplýsinga frá Atlantshafsbandalaginu, öryggisdeild aðalskrifstofu ráðs Evrópusambandsins (GSCSO) og sambærilegum erlendum öryggisstofnunum fer skv. 2. mgr. 24. gr. varnarmálalaga, nr. 34/2008.

21. gr.

Vinnsla persónuupplýsinga.

    Netöryggissveit er heimil vinnsla persónuupplýsinga að því marki sem nauðsynlegt er til að hún geti sinnt hlutverki sínu samkvæmt lögum þessum. Í því felst meðal annars móttaka persónuupplýsinga frá aðilum sem ákvæði laga þessara gilda um, sem og miðlun þeirra til viðeigandi þriðju aðila, án samþykkis hins skráða, ef netöryggissveit metur það nauðsynlegt í þágu þjóðaröryggis eða almannahagsmuna og vinnslan er til þess fallin að upplýsa um aðsteðjandi ógnir, koma í veg fyrir netárás eða önnur alvarleg atvik eða til að takmarka útbreiðslu eða draga úr tjóni vegna slíkra tilvika. Ef rökstuddur grunur er um að einstakar sendingar innihaldi spillikóða er netöryggissveit heimilt, með samþykki mikilvægra innviða og án samþykkis hins skráða, að greina efni einstakra fjarskiptasendinga til og frá neti mikilvægra innviða.
    Netöryggissveit er heimil vinnsla persónuupplýsinga og viðkvæmra persónuupplýsinga sem henni berast, til að mynda vegna atvika. Sveitinni er einnig heimilt að miðla þeim upplýsingum til viðeigandi þriðju aðila, án samþykkis hins skráða, ef hún metur það nauðsynlegt í þágu almannahagsmuna eða í þágu hagsmuna hins skráða til að koma í veg fyrir eða takmarka mögulegt tjón sem viðkomandi getur orðið fyrir.
    Öll vinnsla persónuupplýsinga á grundvelli laga þessara skal vera í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og reglna settra á grundvelli þeirra. Ákvæði 17. og 20.–23. gr. laga nr. 90/2018, sbr. 12.–22. og 34. gr. reglugerðar Evrópuþingsins og ráðsins (ESB)  2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB, gilda þó ekki um starfsemi netöryggissveitar samkvæmt lögum þessum.
    Ráðherra skal í reglugerð, að fengnu áliti Persónuverndar, kveða á um forsendur vinnslu persónuupplýsinga hjá netöryggissveit, meðferð þeirra og eyðingu, rétt skráðra einstaklinga og takmörkun á rétti þeirra. Í reglugerðinni skal a.m.k. fjalla um tilgang vinnslu, tegundir persónuupplýsinga, meðferð, geymslu og eyðingu persónuupplýsinga og verndarráðstafanir til að koma í veg fyrir misnotkun eða ólögmætan aðgang eða miðlun og, eftir því sem við á, mat á áhrifum á persónuvernd.

VI. kafli

Viðurlög og önnur ákvæði.

22. gr.

Dagsektir.

    Ef ekki er farið að fyrirmælum eftirlitsstjórnvalds eða orðið við ósk um afhendingu upplýsinga og gagna skv. 12. gr. er heimilt að leggja dagsektir á þá mikilvægu innviði sem fyrirmæli eða ósk beinist að og þar til úr verður bætt að mati eftirlitsstjórnvaldsins. Sektir geta numið allt að 500.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælunum sé fylgt eða gögn afhent.
    Ef ákvörðun um dagsektir skv. 1. mgr. er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má gera aðför til fullnustu þeirra án undangengins dóms eða sáttar.


23. gr.

Refsingar.

    Brot á ákvæðum II. kafla og 19. gr. laga þessara og reglugerða settum samkvæmt þeim varða fésektum eða fangelsi allt að tveimur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum eftirlitsstjórnvalds. Gáleysisbrot skulu eingöngu varða sektum.
    Nú er brot skv. 1. mgr. framið í starfsemi lögaðila og má þá gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga, nr. 19/1940.
    Tilraun og hlutdeild í brotum skv. 1. mgr. eru refsiverð skv. III. kafla almennra hegningarlaga.
    Hver sá sem uppvís er að því að gefa af ásetningi eða stórkostlegu gáleysi ranga tilkynningu til netöryggissveitar skv. 8. eða 15. gr. laga þessara skal sæta refsingu skv. 120. gr. og 120. gr. a almennra hegningarlaga.

24. gr.

Bótaábyrgð.

    Tilkynning um atvik til netöryggissveitar samkvæmt lögum þessum skal ekki hafa áhrif á eða auka mögulega bótaskyldu vegna atviksins.

VII. kafli

Gildistaka o.fl.

25. gr.

Reglugerðarheimild.

    Ráðherra er heimilt að setja reglugerð um nánari framkvæmd laga þessara.

26. gr.

Gildistaka.

    Lög þessi öðlast gildi 1. janúar 2020.
    Ákvæði 4. gr. öðlast þegar gildi.


27. gr.

Breytingar á öðrum lögum.

    Við gildistöku laga þessara verða eftirfarandi breytingar á öðrum lögum:
     1.      Lög um Póst- og fjarskiptastofnun, nr. 69/2003, með síðari breytingum:
                  a.      2. mgr. 1. gr. laganna orðast svo:
                     Póst- og fjarskiptastofnun er sjálfstæð stofnun sem heyrir stjórnarfarslega undir ráðherra.
                  b.      Eftirfarandi breytingar verða á 3. gr. laganna:
                      1.      Í stað orðanna „fjarskiptum og póstþjónustu“ í 1. tölul. 1. mgr. kemur: fjarskiptum, póstþjónustu og öryggi net- og upplýsingakerfa.
                      2.      1. málsl. 5. tölul. 1. mgr. orðast svo: Að vera ráðgefandi fyrir stjórnvöld og ráðuneyti um málefni er varða fjarskipti, póstþjónustu og öryggi net- og upplýsingakerfa og hafa eftirlit með því að Ísland uppfylli á hverjum tíma þær skuldbindingar sem mælt er fyrir um í alþjóðlegum samningum á umræddum sviðum.
                      3.      Við 6. tölul. 1. mgr. bætist: svo og hvað varðar öryggi net- og upplýsingakerfa.
                      4.      Í stað orðanna „fjarskipta- og póstmála“ í 7. tölul. 1. mgr. kemur: laga um fjarskipti, laga um póstþjónustu og laga um öryggi net- og upplýsingakerfa mikilvægra innviða.
                      5.      Við 1. mgr. bætist nýr töluliður, svohljóðandi: Að starfrækja netöryggissveit sem gegnir hlutverki öryggis- og viðbragðsteymis, svo sem nánar er kveðið á um í lögum þessum og öðrum lögum.
                      6.      Við bætist ný málsgrein, 3. mgr., svohljóðandi:
                             Póst- og fjarskiptastofnun og ríkislögreglustjóri skulu hafa gagnkvæmt og virkt samstarf um net- og upplýsingaöryggi.
                  c.      Á eftir 4. gr. laganna kemur ný grein, 4. gr. a, ásamt fyrirsögn, svohljóðandi:

Netöryggissveit.

                     Netöryggissveit Póst- og fjarskiptastofnunar gegnir hlutverki landsbundins öryggis- og viðbragðsteymis vegna atvika og áhættu er varðar net- og upplýsingaöryggi, ógnir, hættur og atvik á netinu hér á landi, CSIRT-teymis fyrir Ísland. Netöryggissveitin gegnir hlutverki tengiliðar íslenskra stjórnvalda í alþjóðlegu samstarfi CSIRT-teyma.
                     Netöryggissveit er ætlað að fyrirbyggja og draga úr hættu á netárásum og öðrum öryggisatvikum í netumdæmi Íslands eins og kostur er og sporna við og lágmarka tjón á fjarskiptamarkaði og mikilvægum innviðum í skilningi laga um öryggi net- og upplýsingakerfa mikilvægra innviða. Netöryggissveitin leitast við að greina ógnir og atvik á frumstigi í netumdæmi Íslands og fyrirbyggja og takmarka útbreiðslu þeirra og tjón sem af þeim kann að hljótast. Netöryggissveit samhæfir aðgerðir aðila varðandi viðbrögð við ógnum og atvikum, í samstarfi við ríkislögreglustjóra þegar við á.
                     Starfslið netöryggissveitar skal uppfylla skilyrði öryggisvottunar skv. 24. gr. varnarmálalaga, nr. 34/2008. Hið sama gildir um annað starfslið sem kemur að netöryggismálum hjá Póst- og fjarskiptastofnun og því ráðuneyti sem fer með mál er varða netöryggi.
                     Forstjóri Póst- og fjarskiptastofnunar veitir aðgangsheimildir að starfssvæði netöryggissveitar. Takmarka má, synja um eða afturkalla aðgangsheimild af öryggisástæðum eða ef allsherjarregla krefst þess.
                     Þeim einum er heimill aðgangur að starfssvæði netöryggissveitar sem þangað á lögmætt erindi og hefur gilda aðgangsheimild.
                     Ráðherra setur, að fenginni umsögn frá Persónuvernd og ríkislögreglustjóra, eftir því sem við á, nánari fyrirmæli um starfsemi netöryggissveitar í reglugerð. Í henni skal meðal annars mælt fyrir um:
                      a.      hlutverk, skipulag og verkefni netöryggissveitar,
                      b.      skipun og hæfi starfsmanna netöryggissveitar, þ.m.t. um öryggisvottun,
                      c.      meðferð upplýsinga og viðeigandi öryggisráðstafanir, þar á meðal gagnvart erlendum samstarfsaðilum,
                      d.      ráðstafanir til að tryggja öryggi og eyðingu gagna og aðrar ráðstafanir til að tryggja friðhelgi einkalífs,
                      e.      viðbúnaðaræfingar,
                      f.      samstarf við önnur stjórnvöld og stofnanir, og
                      g.      skýrslugjöf um starfsemi netöryggissveitar.
        d.    Eftirfarandi breytingar verða á 5. gr. laganna:
                1.    Við 1. mgr. bætist nýr málsliður, svohljóðandi: Um aðgang að og vinnslu upplýsinga vegna starfrækslu netöryggissveitar og um eftirlit með starfsemi stafrænna grunnvirkja og stafrænna þjónustuveitenda fer samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða.
                  2.    Við 8. mgr. bætist nýr málsliður, svohljóðandi: Um kröfur Póst- og fjarskiptastofnunar um úrbætur gagnvart stafrænum grunnvirkjum og stafrænum þjónustuveitendum fer samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða.
        e.    Eftirfarandi breytingar verða á 8. gr. laganna:
                1.    Við 1. málsl. 4. mgr. bætist: eða verkefnum.
                2.     Við bætist ný málsgrein, 5. mgr., svohljóðandi:
                         Um meðferð upplýsinga og þagnarskyldu vegna hlutverks Póst- og fjarskiptastofnunar sem eftirlitsstjórnvalds og samhæfingarstjórnvalds, svo og starfrækslu netöryggissveitar, gilda jafnframt lög um öryggi net- og upplýsingakerfa mikilvægra innviða.
         f.        Við 15. gr. laganna bætist nýr málsliður, svohljóðandi: Enn fremur skal fjallað almennt um stöðu og þróun net- og upplýsingaöryggismála á Íslandi.
     2.      Lög um fjarskipti, nr. 81/2003, með síðari breytingum:
                  a.      Eftirfarandi breytingar verða á 3. gr. laganna:
                      1.      20. tölul. fellur brott.
                      2.      21. tölul. orðast svo: Net- og upplýsingakerfi: Net- og upplýsingakerfi samkvæmt skilgreiningu laga um öryggi net- og upplýsingakerfa mikilvægra innviða.
                      3.      24. tölul. fellur brott.
                      4.      25. tölul. orðast svo: Netöryggissveit Póst- og fjarskiptastofnunar eða netöryggissveitin: Öryggis- og viðbragðsteymi samkvæmt lögum um Póst- og fjarskiptastofnun.
                      5.      29. tölul. orðast svo: Mikilvægir innviðir: Mikilvægir innviðir samkvæmt skilgreiningu laga um öryggi net- og upplýsingakerfa mikilvægra innviða.
                      6.      39. tölul. fellur brott.
                      7.      Á eftir 41. tölul. kemur nýr töluliður, svohljóðandi: Öryggi net- og upplýsingakerfa: Öryggi net- og upplýsingakerfa samkvæmt skilgreiningu laga um öryggi net- og upplýsingakerfa mikilvægra innviða.
                      8.      Við 43. tölul. bætist: og atvik í skilningi laga um öryggi net- og upplýsingakerfa mikilvægra innviða.
                  b.      Í stað 47. gr. a laganna koma fjórar nýjar greinar, 47. gr. a til 47. gr. d, ásamt fyrirsögnum, svohljóðandi:

                     a. (47. gr. a.)

Öryggisatvik, viðbúnaður og hlutverk netöryggissveitar.

                     Fjarskiptafyrirtæki skulu tilkynna netöryggissveit án tafar um öryggisatvik eða áhættu sem ógnar net- og upplýsingakerfum þeirra. Um tilkynningar til netöryggissveitar samkvæmt ákvæði þessu fer skv. 8. og 14. gr. laga um öryggi net- og upplýsingakerfa mikilvægra innviða. Netöryggissveit skal án tafar hvetja fjarskiptafyrirtæki til að tilkynna lögreglu um öryggisatvik leiki grunur á um refsiverða háttsemi.
                     Netöryggissveit er heimilt að tilkynna ríkislögreglustjóra um alvarleg eða útbreidd atvik og áhættu sem ógnar öryggi net- og upplýsingakerfa og skal, eftir því sem við kann að eiga, hafa samstarf við embættið um varnir og viðbrögð.
                     Netöryggissveit skal aðstoða fjarskiptafyrirtæki við forvarnir, leiðbeina þeim og styðja við skjót viðbrögð gegn aðsteðjandi hættu. Við útbreitt öryggisatvik samhæfir netöryggissveit aðgerðir viðeigandi aðila gegn aðsteðjandi hættu til að lágmarka tjón og reisa við óvirk kerfi.
                     Netöryggissveit skal greina og meðhöndla ógnir, hættur og atvik í net- og upplýsingakerfum fjarskiptafyrirtækja og fyrirbyggja og draga úr hættu á öryggisatvikum eins og kostur er og sporna við og lágmarka tjón aðila sem af slíku kann að hljótast.
                     Fjarskiptafyrirtækjum er skylt að bregðast án tafar við tilmælum Póst- og fjarskiptastofnunar um aðgerðir gegn bráðri aðsteðjandi netógn, hvort sem sú ógn steðjar að net- og upplýsingakerfum eins eða fleiri fjarskiptafyrirtækja. Hið sama á við í tilviki mjög alvarlegrar hættu sem steðjar að net- og upplýsingakerfum mikilvægra innviða eða opinberra stofnana, almannahagsmunum eða þjóðaröryggi, enda yfirgnæfandi líkur á að fjarskiptafyrirtæki geti átt hlutdeild í að sporna við ógn, áhættu eða atviki eða lágmarka mögulegt tjón af völdum þess.
                     Netöryggissveit skal leitast við að greina netógnir, áhættu og öryggisatvik á sviði fjarskipta á frumstigi og skal hún senda út snemmviðvaranir í þeim tilgangi að styðja við skjót viðbrögð gegn aðsteðjandi hættu. Skal netöryggissveit tilkynna og miðla upplýsingum til viðeigandi hagsmunaaðila um ógnir, áhættu og öryggisatvik. Netöryggissveit veitir ráðgjöf um varnir og viðbúnað og kemur upplýsingum á framfæri við almenning ef þurfa þykir, eftir atvikum í samráði við önnur stjórnvöld.
                     Netöryggissveit skal setja á laggirnar samstarfshóp með fjarskiptafyrirtækjum fyrir tæknilegt samráð og upplýsingaskipti á sviði net- og upplýsingaöryggis, m.a. til að greina ógnir og samræma viðbrögð.

                     b. (47. gr. b.)

Samningar netöryggissveitar og fjarskiptafyrirtækja.

                     Ef Póst- og fjarskiptastofnun metur það nauðsynlegt skulu fjarskiptafyrirtæki og netöryggissveit gera með sér samning um uppsetningu og rekstur tæknilegrar vöktunarþjónustu fyrir net- og upplýsingakerfi fjarskiptafyrirtækisins í þeim tilgangi að greina hættur og ummerki um árásir, spillikóða og aðrar vísbendingar um aðstæður sem gætu skapað hættu fyrir öryggi net- og upplýsingakerfa fjarskiptafyrirtækja.
                     Samningar skv. 1. mgr. skulu a.m.k. innihalda ákvæði er varða:
                a.     búnað og netkerfi sem tengist vöktun netöryggissveitar,
                b.     tæknilegar lausnir sem beitt er við vöktun,
                c.    tegund og vinnslu þeirra gagna, þ.m.t. persónuupplýsinga, sem safnað er, meðferð þeirra, vistun og eyðingu.
                     Fjarskiptafyrirtækjum er skylt að hýsa og samtengjast þeim búnaði netöryggissveitar sem Póst- og fjarskiptastofnun metur nauðsynlegan skv. 1. mgr. vegna tæknilegrar vöktunarþjónustu endurgjaldslaust. Netöryggissveit er heimilt að móttaka upplýsingar á grundvelli samnings um vöktunarþjónustu án dómsúrskurðar.
                     Hvorki er heimilt að persónugreina netumferð né skima einstaka netpakka eða flæði sem netöryggissveitin kann að nema í almennum netkerfum fjarskiptafyrirtækja. Netöryggissveit er þó heimilt að móttaka upplýsingar um almenna netumferð án dómsúrskurðar, þ.m.t. á samtengipunktum og í útlandagáttum, enda séu þær upplýsingar ópersónugreinanlegar.

                     c. (47. gr. c.)

Aðgangur að upplýsingum, þagnarskylda

og vinnsla persónuupplýsinga.

                     Um aðgang netöryggissveitar að gögnum og upplýsingum, um sértæka þagnarskyldu og undanþágur frá slíkri skyldu og um meðferð persónuupplýsinga skal, að breyttu breytanda, fara eftir ákvæðum 17. og 19.–21. gr. laga um öryggi net- og upplýsingakerfa mikilvægra innviða.

                     d. (47. gr. d.)

Reglugerðarheimild.

                     Ráðherra setur, að fenginni umsögn frá Persónuvernd og ríkislögreglustjóra, nánari fyrirmæli í reglugerð um starfsemi netöryggissveitar samkvæmt lögum þessum. Í henni skal meðal annars fjalla um meðferð tilkynninga og flokkunarkerfi fyrir atvik, áhættu, upplýsingar og framsetningu tilmæla, svo og samstarf við lögreglu.

Ákvæði til bráðabirgða.

    Ráðherra birtir skrá yfir rekstraraðila nauðsynlegrar þjónustu í samræmi við 3. gr. laga þessara fyrir gildistöku þeirra.


Greinargerð.

1. Inngangur.
    Frumvarp þetta var samið í samgöngu- og sveitarstjórnarráðuneytinu. Með frumvarpinu er lagt til að innleidd verði hér á landi efnisákvæði tilskipunar Evrópuþingsins og ráðsins (ESB) (ESB) 2016/1148 frá 6. júlí 2016 varðandi ráðstafanir til að ná háu sameiginlegu öryggisstigi í net- og upplýsingakerfum í öllu Sambandinu. Gert er ráð fyrir að ný heildarlög um öryggi net- og upplýsingakerfa mikilvægra innviða gildi um mikilvæga innviði, eins og það hugtak er skilgreint í frumvarpi þessu. Þ.e. annars vegar rekstraraðila nauðsynlegrar þjónustu á sviði bankastarfsemi og innviða fjármálamarkaða, flutninga, heilbrigðisþjónustu, orku-, hita- og vatnsveitna, svo og stafrænna grunnvirkja, að uppfylltum skilyrðum 3. gr. frumvarpsins, og hins vegar stafræna þjónustuveitendur eins og það hugtak er skilgreint í 6. gr. frumvarpsins (þjónustuveitandi sem rekur netmarkað, leitarvél á netinu eða skýjavinnsluþjónustu).
    Öryggi, viðnámsþróttur og áreiðanleiki net- og upplýsingakerfa mikilvægra innviða skiptir sköpum fyrir efnahagslega og samfélagslega starfsemi, svo og trúverðugleika þjónustunnar sem um ræðir, innanlands sem erlendis. Verði frumvarpið að lögum verða þau fyrsti heildstæði lagabálkurinn um net- og upplýsingaöryggi á Íslandi. Meginmarkmið frumvarpsins er að samræma lágmarkskröfur um áhættustýringu og viðbúnað mikilvægra innviða, að lögleiða tilkynningaskyldu um alvarleg atvik í net- og upplýsingakerfum til netöryggissveitar Póst- og fjarskiptastofnunar og að kveða í lögum á um skipun og hlutverk netöryggisráðs. Starfsemi netöryggissveitar verði efld verulega og stjórnvöldum gert betur kleift að samræma viðbrögð við netógnum, en net- og upplýsingaöryggi er málaflokkur sem hefur snertifleti við viðfangsefni margra stofnana.

2. Tilefni og nauðsyn lagasetningar.
    Frumvarpið felur í sér innleiðingu tilskipunar sem Evrópuþingið og ráðið samþykktu 6. júlí 2016, tilskipun (ESB) 2016/1148 um ráðstafanir til að ná háu sameiginlegu öryggisstigi í net- og upplýsingakerfum innan EES. Ríkjum ber samkvæmt tilskipuninni að tryggja þeim stjórnvöldum sem falin eru verkefni á grundvelli hennar viðeigandi bolmagn, þar á meðal nægt fjármagn, til að tryggja á árangursríkan og skilvirkan hátt framkvæmd þeirra. Tilskipunin hefur ekki verið tekin upp í EES-samninginn þrátt fyrir að vera innleiðingartæk, en unnið er að undirbúningi ákvörðunar þar um á vettvangi EES/EFTA-ríkja og undirbúningur hafinn að innleiðingu bæði í Noregi og Liechtenstein. Í Danmörku, Finnlandi og Svíþjóð er innleiðingu tilskipunarinnar lokið. Þess ber að geta að innleiðing tilskipunar (ESB) 2016/1148 er á forgangslista ríkisstjórnarinnar vegna hagsmunagæslu Íslands gagnvart ESB á árinu 2018.
    Við vinnslu frumvarpsins voru nokkrar leiðir skoðaðar vegna þess hversu víðfeðmt gildissvið tilskipunar (ESB) 2016/1148 er. Aðallega komu tvær leiðir til greina. Annars vegar að smíða heildstæða löggjöf um innleiðingu tilskipunarinnar og eftir atvikum gera aðrar nauðsynlegar og umfangsminni lagabreytingar og hins vegar að bæta við þá fjölmörgu lagabálka sem þegar gilda um mikilvæga innviði ákvæðum um net- og upplýsingaöryggi. Vegna þess hversu rúmt gildissvið tilskipunarinnar er og þar sem hún teygir anga sína inn á fjölmörg svið þar sem jafnvel skortir alveg reglur um öryggi net- og upplýsingakerfa varð fyrir valinu að gera tillögu að heildstæðum lagabálki. Tilskipunin kveður á um lágmarkssamræmingu. Brýnt er að hafa í huga, eins og vikið er að í t.d. umfjöllun um 5. gr. frumvarpsins (tengsl við önnur lög), að strangari reglur kunna að gilda um suma mikilvæga innviði.
    Með innleiðingu ákvæða tilskipunar (ESB) (ESB) 2016/1148 eru skilgreindar lágmarkskröfur um tilhlýðilega umgjörð áhættustýringar, forvarna og viðbúnaðar gagnvart netógnum, sem er ekki síst mikilvægt í tilviki samfélagslega mikilvægra innviða. Ljóst er að umgjörð og leikreglur tengdar net- og upplýsingaöryggi munu þróast áfram eins og ógnirnar.
    Líta verður svo á að með samþykkt nýrra laga um öryggi net- og upplýsingakerfa mikilvægra innviða verði stuðlað að auknu netöryggi á Íslandi með áframhaldandi uppbyggingu á eigin getu og í samstarfi við önnur ríki, í samræmi við áherslu þingsályktunar nr. 26/145, um þjóðaröryggisstefnu fyrir Ísland (þskj. 1166–327. mál á 145. löggjafarþingi).

3. Meginefni frumvarpsins.
    Með frumvarpinu er lagt til að innleidd verði helstu efnisákvæði tilskipunar (ESB) 2016/1148. Meginmarkmið tilskipunarinnar eru þríþætt:
     1.      Að auka hæfni aðildarríkja til að bæta netöryggi og bregðast við aðstæðum þar sem netöryggi er raskað.
                  –      Þau setji sér stefnu um net- og upplýsingaöryggi.
                  –      Útnefnd verði stjórnvöld sem falin er umsjón og eftirlit með framkvæmd ákvæða tilskipunarinnar og tengiliðir vegna samskipta við önnur ríki.
                  –      Netöryggissveit sé til staðar.
     2.      Að bæta samvinnu aðildarríkja á sviði netöryggis.
                  –      Samstarfshópi verði komið á fót í því skyni að styðja og auðvelda stefnumótandi samstarf, skapa traust og miðla upplýsingum.
                  –      Samstarfsneti netöryggissveita komið á fót í því skyni að stuðla að trausti milli ríkja og skjótri og árangursríkri samvinnu.
     3.      Að styrkja stoðir mikilvægra innviða þar sem netöryggi kemur við sögu.
                  –      Aðildarríki skilgreini þá sem falla skulu undir kröfur og ákvæði tilskipunarinnar.
                  –      Tilskipunin kemur á lágmarksöryggiskröfum og tilkynningarskyldu um atvik.

4. Samræmi við stjórnarskrá og alþjóðlegar skuldbindingar.
    Með fyrirhugaðri upptöku tilskipunar (ESB) 2016/1148 í EES-samninginn verður Ísland skuldbundið samkvæmt samningnum til að innleiða tilskipunina.
    Frumvarpið gaf tilefni til að skoða samræmi við ákvæði 71. gr. stjórnarskrár um friðhelgi einkalífs auk ákvæða laga um persónuvernd og vinnslu persónupplýsinga og var gætt að þeim sjónarmiðum sem þar koma fram við útfærslu ákvæða frumvarpsins.

5. Samráð.
    Frumvarpið varðar samfélagið í heild, en helstu hagsmunaaðilar eru allir rekstraraðilar nauðsynlegrar þjónustu og stafrænir þjónustuveitendur í skilningi tilskipunar (ESB) 2016/1148, hvort sem um ræðir einkaaðila eða opinbera aðila. Almenningur sem nýtir þjónustu mikilvægra innviða hefur að auki ríka hagsmuni af fullnægjandi öryggi og viðnámsþrótti net- og upplýsingakerfa þeirra, svo og atvinnulíf.
    Net- og upplýsingaöryggi fellur undir málefnasvið samgöngu- og sveitarstjórnarráðuneytis en nokkur skörun er við málefnasvið atvinnuvega- og nýsköpunarráðuneytis, fjármála- og efnahagsráðuneytis, umhverfis- og auðlindaráðuneytis, svo og velferðarráðuneytis vegna þeirra aðila sem falla undir gildissvið tilskipunarinnar. Við vinnslu frumvarpsins var samráð viðhaft við hlutaðeigandi ráðuneyti og stofnanir, meðal annars á fundum. Þá var boðað til opins samráðsfundar um innleiðingarvinnuna hinn 17. maí 2018 þar sem öllum helstu hagsmunaaðilum var boðið að taka þátt. Á fundinum voru þær grunnhugmyndir sem frumvarpið byggist á kynntar og í framhaldinu átti sér stað virk umræða við haghafa.
    Áform um lagasetningu og frummat á áhrifum fóru í kynningu innan ráðuneytanna og sömu skjöl í opið samráð við almenning á vef ráðuneytisins í samræmi við samþykkt ríkisstjórnarinnar um undirbúning og frágang stjórnarfrumvarpa og stjórnartillaga, frá mars 2017.
    Drög að frumvarpi fóru í kynningu í samráðsgátt Stjórnarráðsins á vefnum Ísland.is í júní 2018. Umsagnir bárust frá 1984 ehf., fjármála- og efnahagsráðuneyti, Isavia, ISNIC, Landsvirkjun, Persónuvernd, Póst- og fjarskiptastofnun, Samtökum atvinnulífsins og Samtökum iðnaðarins sameiginlega, Samgöngustofu, Samorku, Umhverfisstofnun, Viðskiptaráði og tveimur einstaklingum. Hefur við lokafrágang frumvarpsins meðal annars verið tekið mið af þeim. Ákvæði um gildissvið fyrirhugaðra laga, svo og orðskýringar, hafa verið einfölduð og skýrð nánar. Tillaga er um nýmæli í lög um hlutverk netöryggisráðs. Í frumvarpinu er nú vikið með skýrari hætti að tengslum við önnur lög, en gildissvið tilskipunar (ESB) 2016/1148 er þvert á ólíka geira með tilheyrandi áskorunum vegna valdmarka stofnana. Að því marki sem sérlög geyma ítarlegri ákvæði verður að gera ráð fyrir að þau gangi framar. Þá hafa efnisákvæði verið færð til og umorðuð frá því sem var í drögunum sem birt voru í Samráðsgáttinni með það að markmiði að auka skýrleika fyrirhugaðra laga. Ákvæði um valdheimildir Póst- og fjarskiptastofnunar vegna starfrækslu netöryggissveitar hafa verið endurskoðuð með hliðsjón af framkomnum athugasemdum en sá þáttur reyndist einna umdeildastur. Mikilvægi þess að vel sé búið að netöryggissveit áréttast þó hér með, enda mun hún gegna lykilhlutverki í vörnum Íslands gegn netógnum í framtíðinni sem landsbundið öryggis- og viðbragðsteymi (CSIRT), með dýrmæt tengsl við systurteymi erlendis og t.d. Net- og upplýsingaöryggisstofnun Evrópu (ENISA). Efling netöryggissveitar er eitt af lykil-markmiðum frumvarpsins. Lagt er til að hitaveitur skuli falla undir gildissvið fyrirhugaðra laga, með vísan til séríslenskra aðstæðna, enda falla rafmagn, gas og olía undir gildissvið tilskipunarinnar. Eitt af mikilvægustu efnisatriðum frumvarpsins er að komið verður á lágmarkskröfum gagnvart mikilvægum innviðum um skipulag net- og upplýsingaöryggis; þ.e. meðal annars um tæknilegar og skipulagslegar ráðstafanir (formlega áhættustýringu, öryggisstefnu, viðbragðsáætlun, áætlun um samfelldan rekstur og þjónustu, aðgangsstýringu og virkt innra eftirlit). Æskilegt er að lágmarkskröfurnar séu mjög skýrar og ótvíræðar og hafa verið gerðar breytingar til að skerpa á þeim. Þá má nefna að lagt er til að vikið verði að skipulagningu og þátttöku í viðbúnaðaræfingum. Loks var þörf fyrir breytingar á öðrum lögum endurmetin og breytingartillögur útfærðar nánar, þ.e. á gildandi lögum um Póst- og fjarskiptastofnun og lögum um fjarskipti.

6. Mat á áhrifum.
    Verði frumvarp þetta að lögum er ljóst að lagðar verða kröfur á mikilvæga innviði um ákveðið skipulag á öryggi net- og upplýsingakerfa þeirra; umgjörð áhættustýringar og viðbúnaðar, og eftirlitsstjórnvöldum falið eftirlit með framkvæmd ákvæða þeirra hverju á sínu sviði. Hér eru því lagðar íþyngjandi kröfur á viðkomandi aðila að viðlögðum viðurlögum. Kröfurnar byggja á hinn bóginn á mikilvægum almannahagsmunum, þ.e. sjónarmiðum um að samfélags- og efnahagslega mikilvæg þjónusta njóti lágmarksverndar gegn utanaðkomandi ógnum. Mikilvægum innviðum er jafnframt tryggður aðgangur að mikilvægri þjónustu og aðstoð af hálfu öryggis- og viðbragðsteymis Póst- og fjarskiptastofnunar vegna netógna og atvika (netöryggissveit). Fá þeir aðgang að sólarhringsþjónustu sveitarinnar sem hefur stöðu CSIRT-teymis á Íslandi; aðgengi að hópi sérfræðinga og með óbeinum hætti í gegnum þá sérfræðinga upplýsingar eða viðvaranir um ógnir sem einungis sambærileg teymi alþjóðlega hafa aðgang að.
    Eins og nánar er rakið í athugasemdum um 11. gr. frumvarpsins er ólíkum stjórnsýslustofnunum falið eftirlitshlutverk með öryggisskipulagi net- og upplýsingakerfa mikilvægra innviða, hverri á sínu sviði. Það verði í höndum eftirfarandi stofnana (eftirlitsstjórnvalda): Póst- og fjarskiptastofnunar, Orkustofnunar, Fjármálaeftirlits, embættis landlæknis, Umhverfisstofnunar og Samgöngustofu. Hlutverk eftirlitsstjórnvalda verður að tryggja framfylgni ákvæða um lágmarkskröfur um áhættustýringu og viðbúnað og tilkynningarskyldu um atvik. Stöðug viðleitni, ekki síst af hálfu eftirlitsstjórnvalda, til eflingar varna og viðnámsþróttar með tilliti til net- og upplýsingaöryggis er forsenda þess að markmið tilskipunarinnar og fyrirhugaðra laga náist. Um eftirlitsstjórnvöld gilda sérlög sem ganga framar að því marki að þau geyma ítarlegri reglur. Gera má ráð fyrir að rekstraráhætta, þ.m.t. net- og upplýsingaöryggi, sé þegar í deiglunni í starfsemi umræddra eftirlitsstjórnvalda, en ekki er unnt að útiloka að frumvarpið, verði það að lögum, hafi í för með sér auknar skyldur og mannaflaþörf.
    Frumvarpið gerir ráð fyrir að eftirlitshlutverk Póst- og fjarskiptastofnunar á þessu sviði, sem þegar er til staðar að gildandi lögum gagnvart fjarskiptafyrirtækjum, verði útvíkkað og nái framvegis jafnframt til stafrænna grunnvirkja og stafrænna þjónustuveitenda. Stofnuninni verði falið ráðgefandi samhæfingarhlutverk (samhæfingarstjórnvald) er feli meðal annars í sér almenna stefnumörkun um eftirlit með lágmarkskröfum laganna um skipulag net- og upplýsingaöryggis mikilvægra innviða og framfylgni tilkynningarskyldu um atvik til netöryggissveitar; aðstoð við framkvæmd og samræmingu eftirlits þvert á ólíkar stofnanir og aðkomu að alþjóðasamvinnu í tengslum við eftirlit með framkvæmd ákvæða tilskipunarinnar. Netöryggissveit Póst- og fjarskiptastofnunar er ætlað að sinna öryggis- og viðbragðsþjónustu fyrir alla framangreinda geira og fyrir Stjórnarráð Íslands. Nauðsynlegt er að útvíkka hlutverk starfandi netöryggissveitar og styrkja.
    Verði frumvarpið óbreytt að lögum er áætlað að sá kostnaður sem hlýst við innleiðingu tilskipunarinnar á næstu árum eða frá 2020–2024 verði samtals um 2.745 millj. kr.,  þar af er áætlað um 488 millj. kr. á árinu 2020. Sá kostnaðarliður, sem vegur hvað þyngst er vegna rannsóknartækja. Áætlað er að innleiða verkefni skv. tilskipuninni í þrepum og verði þau að fullu innleidd árið 2024. Á árinu 2020 er áætlaður heildarkostnaður um 488 millj. kr.  en fer hækkandi milli ára og verður kominn í 649 millj. kr. árið 2024. Ekki hefur verið gert ráð fyrir þessum auknu útgjöldum með sérgreindum hætti á málefnasviði 11 hjá samgöngu- og sveitarstjórnaráðuneyti, í málaflokki fjarskipta, í gildandi fjármálaáætlun. Gert er ráð fyrir að málið verði tekið upp við vinnslu komandi fjármálaáætlunar 2020–2024 þar sem finna þurfi útgjöldunum stað innan heildarútgjaldarammans. Ekki er gert ráð fyrir auknum útgjöldum í drögum að fjárlagafrumvarpi fyrir 2019 þar sem áætlað er að lögin taki gildi 2020.

Um einstakar greinar frumvarpsins.

Um 1. gr.

    Lagt er til að í ákvæðinu verði meginmarkmið frumvarpsins tilgreint; þ.e. að stuðla að öryggi og viðnámsþrótti net- og upplýsingakerfa mikilvægra innviða. Með mikilvægum innviðum er í frumvarpinu átt við rekstraraðila nauðsynlegrar þjónustu og stafræna þjónustuveitendur, eins og þau hugtök eru skilgreind í 6. gr. frumvarpsins, sjá og 2. gr. Vísast meðal annars til 1. gr. tilskipunar (ESB) 2016/1148 og inngangsorða um markmið hennar. Tilgangur tilskipunarinnar er að efla og samhæfa öryggisstig í net- og upplýsingakerfum innan Evrópusambandsins og þar með viðnámsþrótt gegn netógnum. Net- og upplýsingakerfi gegna lykilhlutverki í nútímasamfélögum. Áreiðanleiki þeirra og öryggi eru forsenda virkni innri markaðarins, eins og segir í inngangsorðum tilskipunarinnar, en hvarvetna er litið á netárásir sem vaxandi ógn.
    Tilhlýðileg umgjörð áhættustýringar, forvarna og viðbúnaðar gagnvart netógnum, ekki síst af hálfu opinberra aðila, er afar mikilvæg. Innleiðing efnisákvæða tilskipunar (ESB) 2016/1148 hér á landi mun stuðla að enn ríkara öryggi og efldum viðnámsþrótti net- og upplýsingakerfa kjarnainnviða samfélagsins. Með frumvarpinu er meðal annars lagt til að komið verði á fót umgjörð sem gera mun stjórnvöldum betur kleift en hingað til að samhæfa aðgerðir og lágmarksöryggiskröfur, en ýmsar stjórnsýslustofnanir hafa snertifleti við málefni tengd net- og upplýsingaöryggi. Lagt er til að kveðið verði á um hlutverk svonefnds samhæfingarstjórnvalds annars vegar, í því skyni að stuðla að samræmdri framkvæmd lágmarkskrafna um viðbúnað og áhættustýringu, og eftirlitsstjórnvalda hins vegar, hverju á sínu sviði. Mótuð verði heildstæð stefna um öryggi net- og upplýsingakerfa hér á landi og hún endurskoðuð reglubundið. Netöryggisráði verði falið með lögum að fylgja eftir framkvæmd stefnu stjórnvalda á hverjum tíma á sviði net- og upplýsingaöryggis. Netöryggissveit verði efld og ákvæði um hlutverk og verkefni hennar ítarlegar útlistuð frá því sem nú er, auk þess sem lágmarkskröfur um öryggisráðstafanir, viðbúnað og innra eftirlit í starfsemi mikilvægra innviða verða skilgreindar og tilkynningarskylda innleidd um atvik í því augnamiði að tryggja viðbragðs- og eftirlitsaðilum heildstæða sýn á ógnir á hverjum tíma. Þá verði áhersla lögð á virka þátttöku í alþjóðasamstarfi um netöryggismál.

Um 2. gr.

    Lagt er til að gildissvið frumvarpsins verði í megindráttum afmarkað í samræmi við tilskipun (ESB) 2016/1148. Tilskipunin kveður samkvæmt 3. gr. hennar á um lágmarkssamræmingu (e. minimum harmonisation) og því er svigrúm til útvíkkunar á gildissviðinu, eftir því sem við kann að eiga.
    Í 1. mgr. er lagt til að lögin skuli gilda um net- og upplýsingakerfi rekstraraðila nauðsynlegrar þjónustu hér á landi á sviði bankastarfsemi og innviða fjármálamarkaða, flutninga, heilbrigðisþjónustu, orku- og vatnsveitna og stafrænna grunnvirkja að uppfylltum skilyrðum 3. gr. og reglugerð sem ráðherra skal samkvæmt henni setja. Hugtakið rekstraraðili nauðsynlegrar þjónustu er skilgreint í 6. gr. frumvarpsins (17. tölul.), svo og orðin bankastarfsemi, flutningar, heilbrigðisþjónusta, hitaveitur, innviðir fjármálamarkaða, orkuveitur, stafræn grunnvirki og vatnsveitur (sjá 3., 5., 7., 8., 9., 16., 23. og 27. tölul.). Átt er við þjónustu sem veitt er hér á landi, hvernig sem eignarhaldi og rekstrarformi starfsemi kann að vera háttað, með vísan til 21. tölul. í inngangsorðum tilskipunar (ESB) 2016/1148. Í 4. mgr. 3. gr. frumvarpsins er gert ráð fyrir að kveðið verði á um skyldu ráðherra til að birta opinberlega og uppfæra reglubundið heildstæða skrá yfir rekstraraðila nauðsynlegrar þjónustu á hverjum tíma að fenginni tillögu þar um frá Póst- og fjarskiptastofnun, sem falið er miðlægt samhæfingarhlutverk gagnvart eftirlitsstjórnvöldum, sbr. 13. gr. Í 11. gr. frumvarpsins er lagt til að eftirlitsstjórnvöldum verði falið eftirlit með framkvæmd laganna, ákveða hvaða aðilar teljast til rekstraraðila nauðsynlegrar þjónustu á sínu sviði og skal miðla tilkynningu þar um til Póst- og fjarskiptastofnunar eftir því sem tilefni er til og a.m.k. á tveggja ára fresti.
    Í 2. mgr. er lagt til að lögin skuli jafnframt gilda um net- og upplýsingakerfi stafrænna þjónustuveitenda sem starfrækja netmarkað, leitarvél á netinu eða skýjavinnsluþjónustu. Í 6. gr. frumvarpsins er lagt til að hugtakið stafrænn þjónustuveitandi verði skilgreint þannig: „Sérhver lögaðili með höfuðstöðvar þ.e. aðalskrifstofu, eða staðfestu, hérlendis sem veitir stafræna þjónustu eða fulltrúi hans með staðfestu hérlendis“. Þá vísast til skilgreininga 6. gr. frumvarpsins á hugtökunum netmarkaður (14. tölul.), leitarvél á netinu (10. tölul.) og skýjavinnsluþjónusta (20. tölul.). Í 2. mgr. 2. gr. frumvarpsins er þó lagt til að stafrænir þjónustuveitendur sem teljast örfélög í skilningi laga um ársreikningafalli utan gildissviðs fyrirhugaðra laga með vísan til 11. mgr. 16. gr. tilskipunar (ESB) 2016/1148.

Um 3. gr.

    Í ákvæðinu er gildissvið frumvarpsins afmarkað frekar, að því er varðar rekstraraðila nauðsynlegrar þjónustu. Ákvæði 3. gr. frumvarpsins byggir einkum á ákvæðum 5.–6. gr. og viðauka II við tilskipun (ESB) 2016/1148.
    Lagt er til að 1. mgr. 3. gr. kveði á um skilyrði þess að þjónusta teljist nauðsynleg og er því um nánari skilgreiningu á gildissviði laganna að ræða:
     a.      Þjónustan er nauðsynleg fyrir viðhald mikilvægrar samfélagslegrar og efnahagslegrar starfsemi,
     b.      veiting þjónustunnar er háð net- og upplýsingakerfum og
     c.      atvik myndu hafa veruleg skerðandi áhrif á veitingu þjónustunnar.
    Umrædd skilyrði eru sett fram í 2. mgr. 5. gr. tilskipunarinnar og skulu þau liggja til grundvallar við ákvörðun um að skrá rekstraraðila á opinbera skrá yfir rekstraraðila nauðsynlegrar þjónustu í hlutaðeigandi ríki. Þess má geta að tilskipunin gerir ráð fyrir samráði aðildarríkja ef þjónustan sem um ræðir er veitt í fleiri en einu ríki, sbr. 4. mgr. 5. gr. hennar og 2. málsl. 2. mgr. 11. gr. frumvarpsins.
    Í 2. mgr. 3. gr. lagt til að kveðið verði á um að ráðherra skuli í reglugerð mæla nánar fyrir um þjónustu sem teljast skal „nauðsynleg fyrir viðhald mikilvægrar samfélagslegrar og efnahagslegrar starfsemi“ í merkingu a-liðar 1. mgr., en ákvæði 3. mgr. 5. gr. tilskipunarinnar gerir ráð fyrir að birtur sé listi yfir þjónustu sem fellur undir umræddan a-lið.
    Lagt er til að ákvæði 6. gr. tilskipunarinnar verði innleidd í 3. mgr. 3. gr. frumvarpsins. Þar verði talin upp þau atriði sem að lágmarki skal tekið tillit til við mat á því hvenær atvik teljist „hafa veruleg skerðandi áhrif á veitingu þjónustu“ í skilningi c-liðar 1. mgr. Í fyrsta lagi skal horft til fjölda notenda sem reiða sig á umrædda þjónustu. Í öðru lagi hvort rekstraraðilar nauðsynlegrar þjónustu á öðrum sviðum reiði sig á umrædda þjónustu. Sviðin sem um ræðir eru, skv. 1. mgr. 2. gr. frumvarpsins: Bankastarfsemi og innviðir fjármálamarkaða, flutningar, heilbrigðisþjónusta, orku-, hita- og vatnsveitur og stafræn grunnvirki eins og þessi hugtök eru skilgreind í 6. frumvarpsins. Í þriðja lagi skal, við mat á hvort atvik teljist hafa veruleg skerðandi áhrif á veitingu þjónustu, tekið tillit til mögulegra áhrifa atvika á efnahagslega og samfélagslega starfsemi eða almannaöryggi. Í fjórða lagi skal horft til mögulegrar landfræðilegrar útbreiðslu áhrifa af atvikum. Í fimmta lagi til markaðshlutdeildar hlutaðeigandi rekstraraðila. Í sjötta lagi til mikilvægis þess að samfellu gæti í þjónustustigi hlutaðeigandi rekstraraðila, að teknu tilliti til staðgengnimöguleika eða varaleiða. Loks skal viðeigandi tillit tekið til sjónarmiða sem kunna að vera sértæk fyrir ólík svið eða geira.
    Í 4. mgr. 3. gr. frumvarpsins er kveðið á um skyldu ráðherra til að halda opinbera skrá yfir rekstraraðila nauðsynlegrar þjónustu skv. 1. mgr., með starfsstöð hérlendis, er birta skal í B-deild Stjórnartíðinda að fenginni tillögu Póst- og fjarskiptastofnunar. Með frumvarpinu er lagt til að eftirlitsstjórnvöld skv. 11. gr. eigi ákvörðunarvald um hvaða aðilar teljast til rekstraraðila nauðsynlegrar þjónustu á sínu sviði. Þau miðli reglubundið upplýsingum þar um til Póst- og fjarskiptastofnunar, með vísan til samhæfingarhlutverks hennar samkvæmt frumvarpinu. Skrána skal uppfæra eftir því sem tilefni er til og á a.m.k. tveggja ára fresti (með vísan til 5. mgr. 5. gr. tilskipunarinnar). Vakin er athygli á að kveðið er á um skyldu ráðherra til birtingar skrár yfir rekstraraðila nauðsynlegrar þjónustu fyrir gildistöku laganna, sbr. ákvæði til bráðabirgða.
    Með ráðherra er í frumvarpinu átt við þann ráðherra sem samkvæmt gildandi forsetaúrskurði um skiptingu stjórnarmálefna milli ráðuneyta í Stjórnarráði Íslands fer með mál er varða netöryggi, nú samgöngu- og sveitarstjórnarráðherra.

Um 4. gr.

    Lagt er til að ákvæði um heildstæða stefnumörkun um net- og upplýsingaöryggi verði fundinn staður í 1. mgr. 4. gr. Ráðherra verði falin sú stefnumótun og kveðið verði á um reglubundna endurskoðun. Í stefnu stjórnvalda á hverjum tíma skal meðal annars og að lágmarki fjalla um markmið og ráðstafanir í því skyni að stuðla að öryggi og viðnámsþrótti net- og upplýsingakerfa mikilvægra innviða í skilningi laganna.
    Ákvæðinu er ætlað að innleiða 7. gr. tilskipunarinnar sem fjallar með ítarlegum hætti um landsbundnar stefnuáætlanir í þessum efnum (e. national strategy on the security of network and information systems). Tilskipunin gerir meðal annars ráð fyrir að við stefnumörkun um net- og upplýsingaöryggi skuli markmið skilgreind og þeim forgangsraðað á hverjum tíma; að hlutverk og ábyrgð ólíkra stjórnsýslustofnana með snertifleti við málaflokkinn séu útlistuð skilmerkilega og að aðferðafræði við áhættumat í því skyni að draga fram stöðumynd liggi fyrir á hverjum tíma. Þá skal t.d. sérstaklega vikið að atriðum á borð við menntun, þjálfun og hvernig standa beri að vitundarvakningu í samfélaginu gagnvart netógnum. Tilskipun (ESB) 2016/1148 gerir ráð fyrir að aðildarríki ESB geti leitað til netöryggisstofnunar sambandsins (e. European Union Agency for Network and Information Security, ENISA) um aðstoð við mótun eigin netöryggisstefnu.
    Í stefnu íslenskra stjórnvalda um net- og upplýsingaöryggi frá árinu 2015, sem gefin var út af hálfu innanríkisráðuneytis (nú samgöngu- og sveitarstjórnarráðuneyti), er að finna framtíðarsýn til ársins 2026. Sett voru fram fjögur meginmarkmið til að ná þeirri sýn:
     1.      Efld geta; almenningur, fyrirtæki og stjórnvöld búi yfir þeirri þekkingu, getu og tækjum sem þarf til að verjast netógnum.
     2.      Aukið áfallaþol; bætt geta til greiningar, viðbúnaðar og viðbragða sem eru lykilþættir í bættu áfallaþoli. Áfallaþol upplýsingakerfa samfélagsins og viðbúnaður verði aukinn þannig að hann standist samanburð við áfallaþol upplýsingakerfa á Norðurlöndum og öryggi verði órjúfanlegur þáttur í þróun og viðhaldi net- og upplýsingakerfa.
     3.      Bætt löggjöf; íslensk löggjöf sé í samræmi við alþjóðlegar kröfur og skuldbindingar á sviði netöryggis og persónuverndar. Jafnframt styðji löggjöfin við nýsköpun og uppbyggingu þjónustu sem byggir á öryggi, t.d. hýsingu.
     4.      Traust löggæsla; lögregla búi yfir eða hafi aðgang að faglegri þekkingu, hæfni og búnaði til að leysa úr málum er varða net- og upplýsingaöryggi.
    Til þess að fylgja eftir innleiðingu stefnunnar var netöryggisráð sett á fót, sem í eiga sæti fulltrúar ráðuneyta og stofnana, með vísan til umfjöllunar um 2. mgr. 4. gr. frumvarpsins. Jafnframt var myndaður samstarfshópur um net- og upplýsingaöryggi, þar sem fulltrúar hagsmunaaðila eiga fulltrúa.
    Lagt er til að kveðið verði á um skipun og hlutverk netöryggisráðs í 2. mgr. 4. gr., en innanríkisráðherra (sem þá fór með mál er varða netöryggi, nú samgöngu- og sveitarstjórnarráðuneyti) skipaði ráðið upphaflega 2015. Ráðið er vettvangur stjórnvalda til nauðsynlegrar upplýsingamiðlunar og samhæfingar. Í netöryggisráði eiga nú sæti fulltrúar eftirfarandi ráðuneyta og stofnana: Samgöngu- og sveitarstjórnarráðuneytis, atvinnuvega- og nýsköpunarráðuneytis, dómsmálaráðuneytis, fjármála- og efnahagsráðuneytis, forsætisráðuneytis, mennta- og menningarmálaráðuneytis, utanríkisráðuneytis, Póst- og fjarskiptastofnunar, netöryggissveitar, Persónuverndar og embætta ríkislögreglustjóra og landlæknis. Lagt er til að ráðinu verði með lögum falið það hlutverk að fylgja eftir framkvæmd stefnu stjórnvalda á sviði net- og upplýsingaöryggis og að leggja mat á stöðu netöryggis á Íslandi á hverjum tíma. Viðeigandi þykir að gera ráð fyrir að fundir netöryggisráðs skuli haldnir fyrir luktum dyrum og að trúnaður skuli ríkja um fundi ráðsins eða einstök mál á dagskrá, með vísan til þess að um viðkvæmar upplýsingar kann að vera að ræða og sjónarmiða um þjóðaröryggi. Gera verður ráð fyrir að netöryggisráði sé heimilt að skipa smærri vinnuhópa til mats eða rannsóknar á afmörkuðum þáttum tengdum net- og upplýsingaöryggi, jafnvel með aðstoð utanaðkomandi sérfræðinga, og að sömu trúnaðarreglur gildi um gögn er frá þeim kunna að berast. Gert er ráð fyrir að ráðherra geti sett nánari ákvæði um netöryggisráð í reglugerð, auk þess sem ráðið setji sér starfsreglur.

Um 5. gr.

    Lagt er til að tengslum við önnur lög verði gerð skil í ákvæðinu með almennum hætti. Efni tilskipunar (ESB) 2016/1148 hefur snertifleti við ýmsa málaflokka og verkefni ólíkra ráðuneyta og stofnana. Í 1. mgr. er lagt til að vísað verði til III. kafla laganna, um eftirlit með framkvæmd þeirra, svo og sérlaga sem um mikilvæga innviði gilda. Með frumvarpinu eru meðal annars skilgreindar lágmarkskröfur um áhættustýringu, skjalfestingu viðbúnaðaráætlana og innra eftirlit, en í mörgum tilvikum er starfsemi aðila sem falla munu undir gildissvið laganna þegar háðir ítarlegu regluverki og eftirliti af hálfu opinberra stofnana á sínu sviði. Sérlöggjöf hefur, þegar við á, forgang í samræmi við lögskýringarreglur (lex specialis). Frumvarpið gerir ráð fyrir að eftirlitsstjórnvöldum, hverju á sínu sviði, verði falið eftirlit með framkvæmd laganna, en samhæfing um tiltekin atriði er þó óhjákvæmileg, líkt og tilskipun (ESB) 2016/1148 gerir ráð fyrir.
    Í 2. mgr. 5. gr. er lagt til að tekið verði fram að í þeim tilvikum þegar hætta steðjar að net- og upplýsingaöryggi með þeim hætti að teljist neyðarástand sem ógnað geti lífi og heilsu almennings, umhverfis og/eða eignum eins og fjallað er um þessi atriði í lögum um almannavarnir (nú lög nr. 82/2008), skuli stjórnvöld bregðast við á grundvelli þeirra laga. Ákvæðinu er ekki ætlað að koma í veg fyrir viðbrögð á grundvelli ákvæða nýrra laga um öryggi net- og upplýsingakerfa mikilvægra innviða, heldur að minna á að ef slík staða kemur upp verður einnig að gæta að framangreindum lögum. Tilskipun (ESB) 2016/1148 er ekki ætlað að takmarka eða hafa áhrif á aðgerðir eða úrræði stjórnvalda til að vernda grundvallarhlutverk sitt og þjóðaröryggi, sbr. 6. mgr. 1. gr. hennar. Tilskipunin á ekki að hafa áhrif á svigrúm ríkja á Evrópska efnahagssvæðinu til að bregðast við í því skyni að vernda öryggi sitt, standa vörð um almannaöryggi eða rannsókn og saksókn vegna afbrota, líkt og áréttað er í 8. tölul. inngangsorða hennar. Eðli máls samkvæmt er brýnt að Póst- og fjarskiptastofnun (ekki síst netöryggissveit) og löggæsluyfirvöld eigi virkt og gott samstarf á sviði netöryggismála, eins og gildandi lög um fjarskipti gera ráð fyrir.
    

Um 6. gr.

    Lagt er til að orðskýringum á helstu orðum eða orðasamböndum verði fundinn staður í ákvæðinu, en þær gegna margar lykilhlutverki við skýringu á gildissviði og efnisákvæðum frumvarpsins. Að mestu leyti er um skilgreiningar 4. gr. tilskipunar (ESB) 2016/1148 að ræða. Röðun orðskýringa er í stafrófsröð:
    Í 1. tölul. verði hugtakið atvik skilgreint, sbr. 7. tölul. 4. gr. tilskipunarinnar. Þ.e. hver sá atburður sem hefur skaðleg áhrif á öryggi net- og upplýsingakerfa. Það athugast að skilgreiningu á orðasambandinu öryggi net- og upplýsingakerfa er jafnframt að finna í 28. tölul. ákvæðisins, í samræmi við tilskipun (ESB) 2016/1148. Gera má ráð fyrir að árás/innbrot í kerfi, gagnaleki og gagnatap, óvænt stöðvun í rekstri kerfa (í heild eða að hluta) og önnur sambærileg tilvik sem hafa áhrif á starfsemi hlutaðeigandi falli hér undir. Þá má við túlkun þessa hugtaks hafa hliðsjón af skilgreiningu fjarskiptalaga á orðunum öryggisatvik og öryggisatburður.
    Í 2. tölul. verði hugtakið áhætta skilgreint, sbr. 9. tölul. 4. gr. tilskipunarinnar, sem aðstæður eða atburðir sem geta haft skaðleg áhrif á öryggi net- og upplýsingakerfa.
    Í 3. tölul. verði hugtakið bankastarfsemi skilgreint, sbr. 3. tölul. í viðauka II við tilskipunina, þ.e. starfsemi lánastofnana í skilningi laga um fjármálafyrirtæki.
    Í 4. tölul. verði hugtakið eftirlitsstjórnvald skilgreint. Gildissvið frumvarpsins er í reynd þvert á geira og nær þar af leiðandi til málaflokka á forræði ólíkra ráðherra, með vísan til gildandi forsetaúrskurðar, um skiptingu stjórnarmálefna milli ráðuneyta í Stjórnarráði Íslands (nr. 84/2017). Í mörgum tilvikum eru aðilar sem falla munu undir lögin þegar háðir ítarlegu regluverki, kröfum og eftirliti af hálfu opinberra stofnana á sínu sviði. Af þeim sökum er óhjákvæmilegt að fela fleiri en einni stofnun eftirlit með framkvæmd laganna, sbr. 11. gr. Hins vegar er samhæfing um tiltekin atriði, umgjörð og samstarf eftirlitsstjórnvalda óhjákvæmileg, líkt og tilskipun (ESB) 2016/1148 gerir ráð fyrir. Vísast því jafnframt til skilgreiningar á hugtakinu samhæfingarstjórnvald í 18. tölul.
    Í 5. tölul. verði hugtakið flutningar skilgreint, sbr. 2. tölul. í viðauka II við tilskipun (ESB) 2016/1148. Á það jafnt við um flutninga á lofti, sjó, vatnaleiðum og vegum. Járnbrautarflutningar falla undir tilskipunina, en ekki þykir ástæða til að nefna þann samgöngu- eða flutningsmáta í skilgreiningunni með vísan til séríslenskra aðstæðna, engin dæmi eru um járnbrautir hér á landi.
    Í 6. tölul. verði hugtakið forskrift (e. specification) skilgreint, sbr. 12. tölul. 4. gr. tilskipunarinnar.
    Í 7. tölul. verði hugtakið heilbrigðisþjónusta skilgreint, sbr. 5. tölul. í viðauka II við tilskipunina. Vísast einkum til skilgreiningar á heilbrigðisþjónustu í samnefndum lögum, nr. 40/2007.
    Í 8. tölul. verði hugtakið hitaveitur skilgreint, með vísan til orkulaga. Með því að fella hitaveitur undir gildissvið laganna, að uppfylltum skilyrðum 3. gr., er vikið frá ákvæðum tilskipunar (ESB) 2016/1148. Ekki þykja þó rök standa til annars að teknu tilliti til séríslenskra aðstæðna þar sem hitaveitur gegna mikilvægu samfélagslegu hlutverki og með vísan til starfsemi er jafna má til þeirra sem upp er talin í viðauka II við tilskipunina (sbr. orkuveitur í 16. tölul.).
    Í 9. tölul. verði hugtakið innviðir fjármálamarkaða skilgreint, sbr. 4. tölul. í viðauka II við tilskipunina. Þ.e. annars vegar rekstraraðilar skipulegra verðbréfamarkaða og markaðstorgs fjármálagerninga og hins vegar svonefndir mikilvægir mótaðilar (e. central counterparties eða CCPs), en þeir síðastnefndu fyrirfinnast ekki á Íslandi a.m.k. enn sem komið er.
    Í 10. tölul. verði hugtakið leitarvél á netinu skilgreint, sbr. 18. tölul. 4. gr. tilskipunarinnar. Nánari skýringu er að finna í 16. tölul. inngangsorða hennar. Hugtakið nær til þeirrar tegundar stafrænnar þjónustu sem gerir notendum kleift að framkvæma leit, að meginreglu til, á öllum vefsetrum eða vefsetrum á ákveðnu tungumáli, á grundvelli fyrirspurnar, t.d. í formi orðs eða orðasambands eða annars konar viðfangsefnis, sem síðan skilar niðurstöðu í formi tengla á vefi þar sem finna má upplýsingar um fyrirspurnarefnið. Það er lykilatriði í þessu samhengi að leitarvélin framkvæmi leit á öllum vefjum, en leitarvélar sem einungis leita innan tiltekins vefjar falla ekki hér undir. Vefir Hæstaréttar og Alþingis eru dæmi um leitarvélar sem samkvæmt þessu falla ekki undir hugtakið eins og það er skilgreint í frumvarpinu, sbr. tilskipun (ESB) 2016/1148. Samkvæmt 16. tölul. inngangsorða tilskipunarinnar falla leitarvélar sem framkvæma samanburð á verðum eða þjónustu og leiða notandann áfram á vefi hlutaðeigandi söluaðila ekki hér undir.
    Í 11. tölul. verði hugtakið lénsheitakerfi (e. domain name system eða DNS) skilgreint, sbr. 14. tölul. 4. gr. tilskipunarinnar. Samkvæmt skilgreiningunni er um að ræða stigskipt dreift gagnasafn í netkerfi sem annast fyrirspurnir um lénsheiti. Er hér í raun um að ræða stigskipt dreift nafnakerfi fyrir tölvur, þjónustur eða aðra íhluti tengda netinu sem gerir kleift að þýða lénsheiti yfir í IP-tölur (e. Internet Protocol address). Megintilgangur kerfisins er þannig að umbreyta úthlutuðu léni, þ.e. vefslóð, yfir í IP-tölur. Kerfin eru uppbyggð á gagnagrunni lénsheita sem notar nafnaþjóna (e. name server) og hnitgreina (e. resolver) til að umbreyta lénunum (vefslóðum) yfir í IP-tölur svo að tenging verði möguleg. Hugtakið þjónustuveitandi lénsheitakerfis er jafnframt skilgreint í 15. tölul. 4. gr. tilskipunarinnar, sbr. 29. tölul. frumvarpsins (þ.e. sá aðili sem veitir þjónustu fyrir lénsheitakerfi á Netinu).
    Í 12. tölul. verði orðasambandið meðhöndlun atvika skilgreint, sbr. 8. tölul. 4. gr. tilskipunarinnar. Þ.e. allar aðgerðir, verklag eða aðferðafræði sem beitt er í því skyni að koma upp um, greina og afmarka atvik og viðbrögð við þeim.
    Í 13. tölul. verði hugtakið mikilvægir innviðir skilgreint, til hagræðis. Við undirbúning frumvarpsins þótti rétt að leggja til yfir- eða safnheiti yfir rekstraraðila nauðsynlegrar þjónustu annars vegar og stafræna þjónustuveitendur hins vegar, sameiginlega. Tilskipun (ESB) 2016/1148 gerir hins vegar að nokkru marki ráð fyrir ólíkri nálgun og kröfum gagnvart framangreindum aðilum.
    Í 14. tölul. verði hugtakið netmarkaður (e. online market place) skilgreint, sbr. 17. tölul. 4. gr. tilskipunarinnar og nánari skýring í 15. tölul. inngangsorða hennar. Netmarkaður er sú tegund stafrænnar þjónustu sem byggist á ákveðnum stafrænum innvið og gerir mörgum og mismunandi fyrirtækjum kleift að bjóða fram vöru og þjónustu og eiga viðskipti við neytendur á Netinu. Netmarkaðir hafa mikilvægu hlutverki að gegna við að veita smáum og meðalstórum fyrirtækjum aðgang að hinum rafræna evrópska markaði og þar með neytendum um alla Evrópu. Til að teljast netmarkaður í skilningi tilskipunarinnar verða viðskipti að eiga sér stað á umræddum netmarkaði, þ.e. að tekin sé lokaákvörðun um kaup eða sölu og frágang samnings á umræddu svæði. Þjónustuveitandi líkt og eBay getur þannig talist sem stafræn þjónusta í formi netmarkaðar enda geta aðilar sett upp verslanir á innviðum hans í þeim tilgangi að koma á framfæri vörum eða þjónustu til neytenda eða fyrirtækja og gengið er frá samningum á vefnum. Netmarkaður nær þannig ekki til vefja þar sem neytendum er einungis gert kleift að leita uppi og bera saman verð og/eða þjónustu frá mismunandi aðilum og þeim svo beint inn á vefi viðkomandi seljanda til að ganga frá samningunum, svo sem þjónustusíður líkt og Skyscanner, Dohop o.fl.
    Í 15. tölul. verði hugtakið net- og upplýsingakerfi skilgreint, sbr. 1. tölul. 4. gr. tilskipunarinnar.
    Í 16. tölul. verði hugtakið orkuveitur skilgreint, sbr. 1. tölul. í viðauka II við tilskipunina. Undir það fellur rafmagn, olía og gas.
    Í 17. tölul. verði hugtakið rekstraraðili nauðsynlegrar þjónustu skilgreint (e. operator of essential services), sbr. 4. tölul. 4. gr. tilskipunarinnar. Vísast jafnframt til umfjöllunar um 1. mgr. 2. gr. og 3. gr. frumvarpsins. Um ræðir aðra af tveimur tegundum mikilvægra innviða (sbr. 13. tölul.) og er þetta eitt af lykilhugtökum frumvarpsins, að því er gildissvið þess varðar.
    Í 18. tölul. verði hugtakið samhæfingarstjórnvald skilgreint. Vísast til umfjöllunar um 4. tölul. hér ofar, um skilgreiningu á hugtakinu „eftirlitsstjórnvald“. Ef markmið frumvarpsins eiga að nást er óhjákvæmilegt að gera ráð fyrir miðlægri samhæfingu eftirlits með framkvæmd fyrirhugaðra laga að vissu marki. Eins og nánar er vikið að síðar í frumvarpinu (um 13. gr.) er lagt til að Póst- og fjarskiptastofnun, sem starfar samkvæmt sérlögum (nr. 69/2003), verði falið umrætt samhæfingarhlutverk. Póst- og fjarskiptastofnun hefur um alllangt skeið hvort tveggja sinnt eftirliti með vernd upplýsinga á almennum fjarskiptanetum og með virkni almennra fjarskiptaneta sem og rekið netöryggissveitina CERT-ÍS á grundvelli fjarskiptalaga og býr starfslið hennar yfir yfirburðaþekkingu og -reynslu á sviði net- og upplýsingaöryggis hér á landi. Ákvæði frumvarpsins gera ráð fyrir að samhæfingarstjórnvald gegni hlutverki tengiliðar stjórnvalda hér á landi vegna eftirlits með net- og upplýsingaöryggi og framkvæmd tilskipunar (ESB) 2016/1148, líkt og 8. gr. hennar gerir ráð fyrir (e. national single point of contact).
    Í 19. tölul. verði hugtakið skráningarstofa höfuðléna skilgreint (e. top-level domain name registry eða TLD-registry), sbr. 16. tölul. 4. gr. tilskipunarinnar. Skráningarstofa höfuðléna er aðili sem annast og vinnur að skráningu lénsheita á netinu undir sérstöku höfuðléni. Úthlutun á höfuðléninu sjálfu, ásamt alþjóðlegri samræmingu DNS, IP-talna og annarra IP-auðlinda fer fram hjá Internet Assigned Number Authority (IANA). Úthlutun á slíkum höfuðlénum hjá stofnuninni getur verið í formi almennra höfuðléna (e. top-level domains, gTLD) líkt og .com, sem og úthlutun landshöfuðléna (e. country code Top-level domain, ccTLD) líkt og .is. Almennt eru gTLD ekki sérstaklega tengd ákveðnum löndum á meðan ccTLD tilheyra alla jafnan ákveðnu landi, eins og .is fyrir Ísland. Þá heldur stofnunin úti alþjóðlegri skrá um úthlutuð höfuðlén og hefur ákveðnu hlutverki að gegna í útskrift og miðlun á þessari skrá til Netnotenda um allan heim. Þá tilkynnir hún um úthlutun á nýjum höfuðlénum. Skráningarstofur höfuðléna hvers lands gegna svo því mikilvæga hlutverki að endurúthluta lénum til svokallaðra skráningaraðila undir þeirra höfuðléni (TLD). Skráningaraðilar sem fá úthlutað frá skráningarstofu höfuðléns hvers lands geta svo úthlutað lénum ef þeir kjósa að gera slíkt. Sú umsjón og stjórnun sem skráningarstofa höfuðléna hefur á höfuðlénum innifelur jafnframt umbreytingu á höfuðlénum í IP-tölur. Þannig getur starfsemi skráningarstofu höfuðléna jafnframt tekið til lénsheitakerfis (DNS) í skilningi tilskipunarinnar, sbr. 11. tölul. 4. gr. frumvarpsins. Sem dæmi má nefna að samkvæmt leiðbeiningum frá IANA getur skráningarstofa landshöfuðléna (ccTLD) meðal annars þurft að sjá um lénsheiti og að starfrækja lénsheitakerfi fyrir viðkomandi land. Nauðsynlegt er að horfa til þessa þegar rekstraraðilar nauðsynlegrar þjónustu eru skilgreindir samkvæmt 5. gr. og II. viðauka NIS-tilskipunarinnar, þ.e. 3. gr. og 2. mgr. 11. gr. frumvarpsins.
    Í 20. tölul. verði hugtakið skýjavinnsluþjónusta (e. cloud computing service) skilgreint, sbr. 19. tölul. 4. gr. tilskipunarinnar. Nánari lýsingu er að finna í 17. tölul. inngangsorða hennar. Skýringarákvæði tilskipunarinnar fyrir skýjavinnsluþjónustu er frekar stutt og segir einungis að um sé að ræða stafræna þjónustu sem veitir aðgang að stigfrjálsum og sveigjanlegum brunni tölvunargetu sem hægt er að deila. Inngangsorð tilskipunarinnar veita aðeins skýrari mynd af ákvæðinu og þeim hugtökum sem það innifelur. Þá er mikilvægt að horfa til lögskýringargagna frá framkvæmdastjórn Evrópusambandsins þegar hugtakið er skilgreint. Hugtakið skýjavinnsluþjónusta nær yfir víðtæka starfsemi sem hægt er að bjóða samkvæmt mismunandi fyrirmyndum. Um er að ræða þjónustu sem notar sameiginlega tölvunargetu til að vinna gögn á grundvelli fyrirspurnar þar um (e. on-demand). Þannig nær hugtakið tölvunargeta til aðfanga á borð við netkerfi, netþjóna eða annars konar grunnvirki, geymslu, hugbúnað og þjónustu. Með orðinu stigfrjáls í skilgreiningarákvæðinu er átt við þá tölvunargetu sem veitandi skýjaþjónustu úthlutar á sveigjanlegan hátt, án tillits til landfræðilegrar staðsetningar aðfanganna, til að ráða við sveiflur í eftirspurn. Með orðunum sveigjanlegur brunnur er átt við þá tölvunargetu sem er úthlutað og afhent í samræmi við eftirspurn til að auka og minnka, á hvaða tímapunkti sem er, tiltæk tilföng með hliðsjón af álagi. Með orðinu deilanlegt er átt við þá tölvunargetu sem veitt er mörgum notendum sem deila sameiginlegum aðgangi að þjónustunni, en vinnslan fer fram fyrir hvern notanda fyrir sig, þó svo að sami rafræni búnaðurinn útvegi þjónustuna. Þannig nota margir notendur sama innvið til vinnslu gagnanna. Í dag eru þrjár megintegundir fyrir skýjavinnsluþjónustu, sbr. mynd hér að neðan. Í fyrsta lagi er um að ræða þegar þjónustan samanstendur af grunninnviði (e. Infrastructure as a Service – IaaS), þ.e. að skýjavinnslan sem notandi hefur aðgang að er í raun innviður. Þetta felur í sér aðgang að tölvunargetu í formi vélbúnaðar, nets og hýsingarþjónustu og getur keyrt þjóna, geymslupláss, net og stýrikerfi. Þjónusta sem þessi nýtist fyrirtækjum eða fyrirtækjasamsteypum þar sem fyrirtækið getur geymt upplýsingar og keyrt forrit sem eru nauðsynleg fyrir daglegan rekstur fyrirtækisins. Í öðru lagi er um að ræða þjónustu sem felur í sér aðgengi að ákveðnum vettvangi (e. Platform as a Service – PaaS), sem felur í sér nettengdan vettvang sem gerir fyrirtækjum kleift að keyra forrit, þróa og prófa ný forrit. Í þriðja lagi getur verið um að ræða hugbúnaðarþjónustu (e. Software as a Service – SaaS) en þá er skýjavinnsluþjónustan sem notendur hafa aðgang að í raun forrit eða hugbúnaður sem veittur er á Netinu. Þessi tegund skýjavinnsluþjónustu kemur í stað þjónustu sem notandi hefði ellegar þurft að kaupa, hlaða niður og stýra. Í staðinn er hugbúnaðurinn til staðar svo lengi sem notandinn er nettengdur.
    Í 21. tölul. verði hugtakið spillikóði skilgreint.
    Í 22. tölul. verði hugtakið staðall (e. standard) skilgreint, sbr. 11. tölul. 4. gr. tilskipunarinnar.
    Í 23. tölul. verði hugtakið stafræn grunnvirki (e. digital infrastructure) skilgreint, sbr. 7. tölul. í viðauka II við tilskipunina. Þrennt fellur undir umrædda skilgreiningu; skráningarstofur höfuðléna, tengi- og skiptipunktar (IXPs) og þjónustuveitendur lénsheitakerfis, með vísan til umfjöllunar um 19., 26. og 29. tölul. 6. gr. frumvarpsins.
    Í 24. tölul. verði hugtakið stafræn þjónusta skilgreint, sbr. 5. tölul. 4. gr. tilskipunarinnar og viðauki III við hana, þ.e. þjónusta í skilningi tilskipunar (ESB) 2015/1535 sem jafnframt uppfyllir það skilyrði að falla undir skilgreiningu frumvarpsins á hugtökunum netmarkaður, leitarvél á Netinu eða skýjavinnsluþjónusta, með vísan til umfjöllunar um 10., 14. og 20. tölul. 6. gr. frumvarpsins.
    Í 25. tölul. verði hugtakið stafrænn þjónustuveitandi (e. digital service provider) skilgreint, sbr. 6. tölul. 4. gr. tilskipunarinnar, þ.e. lögaðili með höfuðstöðvar (aðalskrifstofu) eða staðfestu hér á landi, eða fulltrúi hans með staðfestu hérlendis, sem veitir „stafræna þjónustu“ eins og það hugtak er skilgreint í 24. tölul. 6. gr. frumvarpsins.
    Í 26. tölul. verði hugtakið tengi- og skiptipunktur (e. internet exchange point, IXP ) skilgreint, sbr. 13. tölul. 4. gr. tilskipunarinnar. Um ræðir netvirki sem gerir kleift að samtengja fleiri en tvö sjálfstæð og sjálfstýrð kerfi, fyrst og fremst í þeim tilgangi að greiða fyrir miðlun netumferðar, skiptistöðin veitir einungis samtengingu fyrir sjálfstýrð kerfi, skiptistöðin gerir ekki kröfu um að netumferð sem fer á milli tveggja hlutaðeigandi sjálfstýrðra kerfa fari í gegnum þriðja sjálfstýrða kerfið, né breytir hún né truflar slíka umferð. Þá kemur fram í 18. tölul. inngangsorða tilskipunar (ESB) 2016/1148 að hlutverk tengi- og skiptipunkts (IXP) sé að samtengja netkerfi. Með orðunum sjálfstýrt kerfi er átt við netkerfi sem er tæknilega sjálfstætt. Þannig veitir punkturinn ekki aðgang að netkerfum og starfar ekki sem veitandi eða rekandi umferðar. Tengi- og skiptipunkturinn veitir heldur ekki aðra þjónustu en sem tengist samtengingunni. Það útilokar þó ekki að rekstraraðili tengi- og skiptipunktsins geti veitt aðra ótengda þjónustu. Tilgangur tengi- og skiptipunkts er fyrst og fremst sá að samtengja net sem eru aðskilin tæknilega, til að mynda eftir því hvaða fyrirtæki eða stofnun þau tilheyra. En í búnaðinum geta net mismunandi aðila skipst á netumferð í gegnum símstöðvarbúnað (e. switch) og netum þannig kleift að tengjast beint, með skiptum á umferð, í stað þess að tenging netanna þurfi að eiga sér stað í gegnum eitt eða fleiri net þriðju aðila. Ávinningurinn af þessum beinu samtengingum á netumferð er margþættur en helst má nefna lægri kostnað, aukna bandvídd og minni töf á internetþjónustu þar sem þessir punktar koma í veg fyrir að umferð þurfi að ferðast langar leiðir til að komast á milli neta. Vert er að taka fram að þessi umferðarstýring er á höndum rekstraraðila netanna sjálfra en ekki þess aðila sem býður upp á og rekur tengi- og skiptipunktinn. Það er einnig mikilvægt að árétta í þessu samhengi að tengi- og skiptipunktar samkvæmt skilgreiningu á hugtakinu í tilskipuninni ná ekki til punkta sem einungis tvö net samtengjast. Það verður því að gera greinarmun á rekendum tengi- og skiptipunkta sem auðvelda skipti á samanlagðri netumferð milli margra netrekenda og þeirra sem reka eitt net og samtengja sitt kerfi á grundvelli samtengisamnings. Þeir aðilar falla ekki undir tilskipunina heldur undir ákvæði fjarskiptalaga. Hér á landi má telja að RIX (Reykjavik Internet Exchange) geti fallið undir skilgreininguna á tengi- og skiptipunkti en RIX er skiptistöð íslenskra netþjónustuaðila, þar sem þeir geta skipst á IP umferð sín á milli og komið þannig í veg fyrir að innanlandsumferð flæði um útlandasambönd. RIX er hlutlaus tengipunktur þar sem aðilar sem uppfylla ákveðin skilyrði tengjast og geta með gagnkvæmum samningum skipst á umferð við aðra RIX aðila. Hér er þó ekki verið að taka afstöðu til þess hvort að rekstraraðili RIX komi til með að falla undir gildissvið frumvarpsins sem rekstraraðili nauðsynlegrar þjónustu. Verður slíkt metið sérstaklega á grundvelli þeirrar aðferðarfræði sem tilskipunin kveður á um.
    Í 27. tölul. verði hugtakið vatnsveitur skilgreint, sbr. 6. tölul. í viðauka II við tilskipunina.
    Í 28. tölul. verði orðasambandið öryggi net- og upplýsingakerfa skilgreint, sbr. 2. tölul. 4. gr. tilskipunarinnar.
    Í 29. tölul. verði hugtakið þjónustuveitandi lénsheitakerfis (e. DNS service provider) skilgreint, sbr. 15. tölul. 4. gr. tilskipunarinnar.
    

Um 7. gr.

    Lagt er til að með ákvæðinu verði lagðar kröfur á bæði rekstraraðila nauðsynlegrar þjónustu og stafræna þjónustuveitendur um lágmarks skipulag fyrir net- og upplýsingaöryggi þeirra, um áhættustýringu og viðbúnað. Byggir ákvæðið á 14. og 16. gr. tilskipunar (ESB) 2016/1148. Líkt og fram kemur í inngangsorðum tilskipunarinnar skiptir áreiðanleiki og öryggi net- og upplýsingakerfa (og þar með þjónustu sem grundvallast á þeim) sköpum fyrir efnahagslega og samfélagslega starfsemi sameiginlegs innri markaðar Evrópu. Tíðni váatvika, umfang þeirra og áhrif fara hvarvetna vaxandi, með tilheyrandi hættu fyrir mikilvæga innviði meðal annars á Evrópska efnahagssvæðinu. Skaðlegum aðgerðum, sem framkvæmdar eru af ásetningi, gegn umræddum innviðum geta truflað rekstur nauðsynlegrar þjónustu og hamlað þannig atvinnustarfsemi, grafið undan trausti notenda og valdið miklu efnahagslegu tjóni. Í 44. og 46. tölul. inngangsorða tilskipunarinnar er lögð áhersla á mikilvægi þess að þróuð sé og innleidd viðeigandi umgjörð og menning áhættustýringar í rekstri mikilvægra innviða, að teknu tilliti til áhættu og sérsjónarmiða sem um tiltekin svið eða geira kunna að eiga. Áhættustýring felur í sér ráðstafanir til að bera kennsl á hættu á atvikum, koma í veg fyrir, greina, takast á við og lágmarka áhrif þeirra. Það á meðal annars við aðgengi að þjónustu, uppruna, réttleika og/eða trúnað um vistuð, send eða unnin gögn eða tengda þjónustu sem boðin er eða er aðgengileg um hlutaðeigandi net- og upplýsingakerfi.
    Net- og upplýsingaöryggi er hluti rekstraráhættu. Ef stýring slíkrar áhættu á að ná tilætluðum árangri þarf að huga að ýmsum og ólíkum þáttum í og tengdum rekstri net- og upplýsingakerfa. Meðal annars þarf að greina og flokka áhættu, hanna viðeigandi viðbragðsferla, innleiða samþykkta viðbragðsferla og neyðaráætlanir með viðeigandi hætti í kerfum, skjalfesta verkferla og þjálfa starfsfólk og loks að viðhafa virkt eftirlit með áhættu í daglegum rekstri. Almennt er viðurkennt að nauðsynlegt er að endurskoða reglubundið fyrirkomulag áhættustýringar, þar á meðal áætlanir um viðbúnað og samfelldan rekstur og uppfæra kröfur og verklag í takt við innri og ytri þróun, sem og breyttar þarfir á hverjum tíma. Viðmið kunna eins og áður greinir að einhverju marki að vera ólík milli sviða/geira. Til eru ýmsir alþjóðlega viðurkenndir staðlar, viðmið, forskriftir og tilmæli sem lúta að eða hafa snertifleti við bestu framkvæmd áhættustýringar með tilliti til net- og upplýsingaöryggis, bæði almenns eðlis og sértækir fyrir hlutaðeigandi svið/geira.
    Lagt er til að í 7. gr. verði skilgreindar lágmarkskröfur til áhættustýringar í umgjörð mikilvægra innviða með skriflegu skipulagi net- og upplýsingaöryggi, t.d. með gerð skriflegrar öryggisstefnu, kröfu um framkvæmd áhættumats, skjalfestingu á þeim öryggisráðstöfunum sem valdar eru á grundvelli þess, skjalfestingu viðbragðsáætlana og innra eftirlit, en í mörgum tilvikum eru aðilar sem fyrirsjáanlega munu falla undir gildissvið laganna þegar háðir ítarlegra regluverki, kröfum og eftirliti af hálfu opinberra stofnana á sínu sviði. Í samræmi við lögskýringarreglur verður að gera ráð fyrir að ítarlegri ákvæði í þessum efnum í sérlöggjöf gildi framar lágmarkskröfum ákvæðisins. Eftirlitsstjórnvöld hvert á sínu sviði eiga lokaorð um kröfur til þeirra sem undir gildissvið fyrirhugaðra laga falla.
    Lagt er til að í 1. mgr. ákvæðisins verði kveðið á um skjalfestingu á skipulagi á áhættustýringu mikilvægra innviða, þ.m.t. stefnu og verkferla. Ákvæðið gerir berum orðum ráð fyrir að mikilvægir innviðir setji og styðjist í starfsemi sinni við skjalfesta öryggisstefnu, framkvæmi áhættumat reglubundið og ákveði og endurmeti öryggisráðstafanir á grundvelli þess. Um er að ræða nálgun um skipulag upplýsingaöryggis sem byggir á þekktum stöðlum hvað það varðar, svo sem ISO 27001:2005 (Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsingaöryggis – Kröfur). Ákvæði 7. gr. er ætlað að vera minnsti samnefnari yfir ráðstafanir sem ætlast er til að innviðir sem nútímaþjóðfélög reiða sig á sjái fyrir í öryggisskipulagi sínu og áhættustýringarumgjörð.
    Í áhættumati samkvæmt 1. mgr. verður að ganga út frá að skilgreindar séu þær hættur sem helst eru taldar steðja að öryggi net- og upplýsingakerfa hlutaðeigandi mikilvægra innviða, metin séu líkindi þess að slíkar hættur verði að veruleika og vikið að ráðstöfunum sem ætlað er að afmarka umfang hugsanlegs tjóns af völdum hættu/atvika. Í því skyni að draga úr eða sporna við hættum skulu öryggisráðstafanir skilgreindar á hverjum tíma, eftir því sem við kann að eiga. Er hér átt við tæknilegar og skipulagslegar ráðstafanir sem ná skulu jafnt til innra og ytra öryggis í rekstri aðilanna sem um ræðir. Ráðstafanir skulu miðast við að tryggja nægilegt öryggi miðað við þá áhættu sem talin er steðja að net- og upplýsingakerfum aðila samkvæmt áhættumati, að teknu tilliti til nýjustu tækni og kostnaðar við framkvæmd þeirra.
    Rétt er að árétta að öryggisskipulag skv. 1. mgr. skal jafnframt ná til raunlægrar verndar þeirra rýma þar sem nauðsynlegur búnaður vegna reksturs net- og upplýsingakerfa er hýstur. Er hér um að ræða afar mikilvægan þátt í vernd net- og upplýsingaöryggis, með tilliti til hættu á þjónusturofi almennt sem og öryggisbrota, jafnvel af hálfu eigin starfsmanna eða tengdra aðila. Með raunlægu öryggi er hér til að mynda átt við aðgengi að rými, innbrots-, brunavarna- og slökkvikerfi, mikilvæga nema til varnar fyrir viðkomandi búnað líkt og vatns-, raka- og hitanema o.fl. Auk framangreinds er ljóst að áhætta getur stafað af því ef varaafl til keyrslu búnaðar er ekki tryggt. Hér er ekki um tæmandi talningu að ræða. Val á raunlægum öryggisráðstöfunum fer meðal annars eftir búnaði og rými.
    Málefnalegt þykir að gera kröfu til mikilvægra innviða um að viðhafa formlega aðgangsstýringu í rekstri net- og upplýsingakerfa. Útfærsla og framkvæmd aðgangsstýringar kann að velta á eðli kerfa og aðstæðum, en gera verður ráð fyrir lágmarks skjalfestum vinnureglum í þeim efnum. Þá þykir viðeigandi að gera berum orðum kröfu um reglubundnar prófanir á kerfum, eftir því sem við á, og á grundvelli lágmarks skjalfestra vinnureglna og viðmiða í þeim efnum. Í rekstri og áhættustýringarumgjörð net- og upplýsingakerfa mikilvægra innviða verður að gera ráð fyrir að horft sé til alþjóðlegra staðla, forskrifta eða viðmiða um bestu framkvæmd, eftir atvikum sértækum fyrir hlutaðeigandi svið/geira.
    Lagt er til að í 2. mgr. verði sérstaklega vikið að skyldu til skjalfestingar á viðbragðsáætlun og áætlun um samfelldan rekstur og þjónustu, er miði að því að lágmarka skaðleg áhrif af atvikum og tryggja takmörkun á tjóni ef alvarleg röskun verður á starfsemi þeirra. Þannig kortleggi og útfæri rekstraraðili að skynsamlegu marki fyrir fram verkferla og viðbrögð við atvikum í eða tengdum rekstri net- og upplýsingakerfa, þar á meðal hvernig viðhalda eigi þjónustu eða koma henni aftur á. Hér er ekki síst um tæknilegar ráðstafanir að ræða sem varða til að mynda endurræsingu kerfa, afritun þeirra, endurheimt upplýsinga, hvernig gengið skuli úr skugga um að gögn séu rétt og heil o.s.frv. Ljóst má vera að prófun neyðaráætlana af þessu tagi, eftirlit með þeim og reglubundið endurmat er mikilvægur og í raun sjálfsagður liður í áhættustýringarumgjörð mikilvægra innviða, líkt og annarra rekstraraðila er byggja starfsemi sína á nýtingu upplýsingatækni.
    Heildstæð skráning og greining atvika gerir rekstraraðila kleift að draga lærdóm af aðstæðum sem upp kunna að koma í umgjörð net- og upplýsingakerfa og efla áhættustýringu í starfsemi sinni. Málefnalegt þykir því að gera þá kröfu til mikilvægra innviða að stuðst sé við skjalfestar vinnureglur um skráningu atvika. Ganga má út frá að atvik í net- og upplýsingakerfum séu meðhöndluð með því að finna orsakir þeirra, koma aftur á eðlilegu rekstrarástandi og koma í veg fyrir að atvik endurtaki sig. Formfast verklag um greiningu og skjalfestingu viðbragða við atvikum er til þess fallið að stuðla að auknu öryggi og viðnámsþrótti net- og upplýsingakerfa.
    Lagt er til að í 3. mgr. verði kveðið á um skyldu mikilvægra innviða til að viðhafa virkt kerfi innra eftirlits sem samræmist ákvæðum frumvarpsins og sérlaga sem um hlutaðeigandi starfsemi kunna að gilda. Gera verður ráð fyrir að til þess bærir aðilar, svo sem stjórn eða forstjóri, skilgreini hlutverk og ábyrgð aðila innan fyrirtækisins eða stofnunarinnar og að þeir veiti virkt aðhald, meðal annars að því er framfylgni skyldna samkvæmt ákvæðum fyrirhugaðra laga varðar.
    Loks er í 4. mgr. gert ráð fyrir heimild til handa ráðherra um setningu nánari fyrirmæla í reglugerð á grundvelli almennra lágmarkskrafna 1.–3. mgr. 7. gr. um skipulag upplýsingaöryggis, áhættustýringu og viðbúnað, þar á meðal um framfylgni tiltekinna alþjóðlega viðurkenndra forskrifta, staðla eða viðmiða um bestu framkvæmd. Það áréttast að gera verður ráð fyrir mögulegu svigrúmi til handa eftirlitsstjórnvöldum og/eða hlutaðeigandi ráðuneytum um nánari reglusetningu, í formi ríkulegri og meira íþyngjandi krafna en 7. gr. frumvarpsins felur í sér, gagnvart sínu sviði samkvæmt ákvæðum sérlaga.
    Minnt skal á að ákvæðinu er ætlað að kveða á um lágmarkskröfur og að sérlög kunna að vera ítarlegri um skipulag net- og upplýsingaöryggis einstakra aðila sem heyra munu undir gildissvið fyrirhugaðra laga. Rétt er að vekja athygli á að tilskipun (ESB) 2016/1148 gerir að nokkru marki ólíkar kröfur til stafrænna þjónustuveitenda annars vegar og rekstraraðila nauðsynlegrar þjónustu hins vegar og má gera ráð fyrir að í fyrirhuguðum undirgerðum tilskipunarinnar verði útfærðar sérkröfur gagnvart hinum fyrrnefndu. Viðeigandi þykir því að gera ráð fyrir að ráðherra geti í reglugerð gert greinarmun á kröfum til annars vegar rekstraraðila nauðsynlegrar þjónustu og hins vegar stafrænna þjónustuveitenda í þessum efnum. Ganga má út frá að stofnanir Evrópusambandsins og ENISA útfæri nánari kröfur og leiðbeiningar gagnvart hvorum hópi um sig og að þær fyrirmyndir liggi til grundvallar við setningu reglugerða af hálfu ráðherra á grundvelli fyrirhugaðra laga. Ein undirgerð, um stafræna þjónustuveitendur, hefur þegar litið dagsins ljós, Framkvæmdarreglugerð framkvæmdastjórnarinnar (ESB) 2018/151 frá 30. janúar 2018 um reglur vegna beitingar tilskipunar Evrópuþingsins og ráðsins (ESB) 2016/1148 að því er varðar frekari forskriftir þeirra þátta sem veitendur stafrænnar þjónustu skulu taka tillit við stýringu þeirrar áhættu sem steðjar að öryggi net- og upplýsingakerfa og kennistærða til að ákvarða hvort áhrif atviks séu veruleg.

Um 8. gr.

    Í 14. gr. tilskipunar (ESB) 2016/1148 er kveðið á um öryggiskröfur og tilkynningar um atvik hvað varðar rekstraraðila nauðsynlegrar þjónustu og í 16. gr. tilskipunarinnar er kveðið á um öryggiskröfur og tilkynningar um atvik hvað varðar veitendur stafrænnar þjónustu. Með 8. gr. frumvarpsins er lagt til að lögfest verði tilkynningarskylda til netöryggissveitar Póst- og fjarskiptastofnunar um atvik sem ógna öryggi net- og upplýsingakerfa mikilvægra innviða. Til einföldunar er lagt til að hér á landi verði sömu kröfur gerðar til rekstraraðila nauðsynlegrar þjónustu og stafrænna þjónustuveitenda. Gera verður ráð fyrir skilvirkum boðleiðum í þessu skyni og að netöryggissveit bregðist þegar við tilkynningum með viðeigandi hætti, sbr. IV. kafli frumvarpsins (þ.e. sólarhringsvöktun tilkynningagáttar). Vísast til 15. gr. frumvarpsins um miðlun og meðferð atvikatilkynninga frá öðrum en mikilvægum innviðum. Ljóst má vera að sem heildstæðust mynd af ógnum/atvikum gefur netöryggissveit betri stöðumynd en ella. Ákvæði 9. gr. frumvarpsins gerir ráð fyrir að netöryggissveit tryggi án tafar að upplýsingar um atvik séu aðgengilegar eftirlitsstjórnvöldum og hvetji mikilvæga innviði til að tilkynna um atvik til lögreglu ef grunur leikur á um refsiverða háttsemi. Mikilvægt er að draga lærdóm af meðhöndlun atvika, ekki síst að viðeigandi eftirlitsstjórnvöld greini viðbrögð og áhrif og geri úrbótatillögur gagnvart mikilvægum innviðum að því er umgjörð áhættustýringar og viðbúnaðar varðar, sbr. 7. gr., eftir því sem við kann að eiga. Æskilegt er að eftirlitsstjórnvöld hafi afdráttarlausa heimild til að óska eftir reglubundinni skýrslugjöf af hálfu mikilvægra innviða um meðhöndlun atvika, t.d. einu sinni á ári, auk þess sem þeim þarf að vera heimilt að framkvæma eigin úttektir og prófanir, sbr. 12. gr. frumvarpsins.
    Í 1. mgr. ákvæðisins er kveðið á skyldu rekstraraðila nauðsynlegrar þjónustu og stafrænna þjónustuveitenda að tilkynna án tafar til netöryggissveitar um alvarleg atvik eða áhættu sem ógnar öryggi net- og upplýsingakerfa þeirra. Viðmiðin sem einkum skal horfa til við mat á alvarleika atviks eða áhættu eru talin upp í 2. mgr. Þannig er ekki ætlunin að öll minniháttar atvik sem átt geta sér stað verði tilkynningarskyld samkvæmt ákvæðinu heldur fyrst og fremst þau sem hafa, eða ástæða er til að ætla að geti haft, veruleg áhrif á net- og upplýsingaöryggi í starfsemi hlutaðeigandi. Eftirlitsstjórnvöldum er meðal annars ætlað að leggja mat á uppfyllingu tilkynningarskyldunnar í starfsemi mikilvægra innviða, hverju á sínu sviði. Vert er að vekja athygli á ákvæði 24. gr. frumvarpsins, þar sem lagt er til að kveðið verði á um að tilkynning um atvik skuli ekki hafa áhrif á eða auka mögulega bótaskyldu vegna atviksins.
    Lagt er til að viðmið um alvarleika atvika eða áhættu verði tilgreind í 2. mgr. Í ákvæðum tilskipunar (ESB) 2016/1148 eru sett fram eilítið mismunandi viðmið fyrir rekstraraðila nauðsynlegrar þjónustu og stafræna þjónustuveitendur, þannig á t.d. d-liður 2. mgr. líklega fyrst og fremst við um stafræna þjónustuveitendur.
    Lagt er til að í 3. mgr. verði kveðið á um skyldu til að upplýsa um mögulegt útvistunarfyrirkomulag, svo sem ef mikilvægur innviður reiðir sig á þjónustu stafræns þjónustuveitanda í rekstri sínum. Enn fremur er brýnt að í tilkynningu sé athygli vakin á hugsanlegum smitáhrifum, jafnvel yfir landamæri. Hafa ber í huga í þessu samhengi að netöryggissveit ber samkvæmt 14. gr. að miðla áfram tilkynningu um atvik til útnefndra tengiliða erlendis, ef áhrifa atviks gætir yfir landamæri. Að öðru leyti þykir heppilegt að gera ráð fyrir að umfang tilkynningar ráðist af efni og aðstæðum, sjá þó um 4. mgr. Nánar er vikið að upplýsingamiðlun gagnvart netöryggissveit og eftirlitsstjórnvöldum, svo sem um meðhöndlun atvika, í III. og IV. kafla.
    Lagt er til að í 4. mgr. verði kveðið á um heimild ráðherra til að setja nánari fyrirmæli í reglugerð um atvikatilkynningar, þar á meðal um form og efni þeirra. Nánari samevrópskar leiðbeiningar kunna að verða settar um t.d. viðmið um alvarleika atvika, sbr. 7. mgr. 14. gr. tilskipunar (ESB) 2016/1148. Gert er ráð fyrir að komið verði á laggir rafrænni gátt til miðlunar tilkynninga samkvæmt ákvæðinu og vitaskuld er æskilegt að tryggja skilvirkar boðleiðir og formfast verklag þar um milli netöryggissveitar og eftirlitsstjórnvalda. Þá er æskilegt að víkja í reglugerð um atvikatilkynningar að viðmiðum um meðferð upplýsinga um atvik, ekki síst milli hlutaðeigandi stjórnvalda (netöryggissveitar, samhæfingarstjórnvalds og eftirlitsstjórnvalda), en jafnframt um meðferð tilkynninga gagnvart tengiliðum erlendis.

Um 9. gr.

    Með frumvarpinu er lagt til að tilkynningum samkvæmt 8. gr. verði miðlað á einn miðlægan stað; til netöryggissveitar Póst- og fjarskiptastofnunar. Ganga verður út frá að með rafrænni tilkynningagátt og formföstu verklagi megi tryggja skjóta og skilvirka miðlun upplýsinga um atvik til viðeigandi eftirlitsstjórnvalda, eftir atvikum fleiri en eins ef áhrifa atviks gætir víða. Því er lagt til, meðal annars að sænskri fyrirmynd, að kveðið verði á um að netöryggissveit skuli án tafar tryggja að upplýsingar um atvik séu aðgengilegar eftirlitsstjórnvöldum. Um tengsl við önnur lög (sérlög) í þessu samhengi vísast til umfjöllunar um 5. gr. frumvarpsins.
    Þá þykir, að sænskri fyrirmynd, viðeigandi að kveðið verði á um að netöryggissveit minni á og brýni fyrir mikilvægum innviðum að tilkynna um atvik til lögreglu ef grunsemdir eru um refsiverða háttsemi (Förordning 2018:1175 om informationssäkerhet för samhällsviktiga och digitala tjänster, sjá 12. gr.). Afar mikilvægt er að Póst- og fjarskiptastofnun, sem starfrækir netöryggissveitina, og löggæsluyfirvöld eigi gagnkvæmt og virkt samstarf um net- og upplýsingaöryggi, eins og gildandi lög gera ráð fyrir. Um viðbrögð við netárásum fer einkum, eftir því sem við kann að eiga, samkvæmt ákvæðum lögreglulaga, laga um meðferð sakamála, laga um fjarskipti og laga um almannavarnir.

Um 10. gr.

    Lagt er til að ákvæði um veitingu upplýsinga um alvarleg atvik, veikleika og almennar hættur opinberlega verði fundinn staður í lok II. kafla, enda teljist almenningsvitundar þörf til að koma í veg fyrir eða takast á við atvik, eða upplýsingagjöf er af öðrum ástæðum talin nauðsynleg í þágu almannahagsmuna. Vísast meðal annars til 6. mgr. 14. gr. tilskipunar (ESB) 2016/1148 um rekstraraðila nauðsynlegrar þjónustu og 7. mgr. 16. gr. tilskipunarinnar sem tekur til stafrænna þjónustuveitenda. Póst- og fjarskiptastofnun skal viðhafa samráð við lögreglu og eftirlitsstjórnvöld sem í hlut kunna að eiga í aðdraganda upplýsingagjafar samkvæmt 1. og 2. mgr. enda verði því við komið. Eftir atvikum skal samráð jafnframt viðhaft við þá mikilvægu innviði sem atvik kann að varða. Ákvæðið takmarkar ekki ákvörðunarvald lögreglu eða embættis ríkislögreglustjóra, samkvæmt lögreglu- og almannavarnarlögum, eða eftirlitsstjórnvalda samkvæmt sérlögum, eftir því sem við kann að eiga, um miðlun tilkynninga eða viðvarana af þessu tagi, ef ástæða og heimildir eru til. Óhjákvæmilegt getur verið að bregðast mjög skjótt við netógnum. Hér er í raun kveðið á um neyðarúrræði til handa Póst- og fjarskiptastofnun, vegna starfrækslu netöryggissveitar. Í lokamálsgrein ákvæðisins er greint frá fyrirvara um meðferð upplýsinga sem eðli máls samkvæmt skulu leynt fara og/eða háðar eru þagnarskyldu samkvæmt fyrirmælum í lögum. Vísast til V. kafla frumvarpsins. Gæta ber fyllstu varkárni við miðlun upplýsinga samkvæmt ákvæðinu, meðal annars um öryggis- og viðskiptahagsmuni aðila sem í hlut kunna að eiga.
    

Um 11. gr.

    Vegna eðlis fyrirhugaðra laga, gildissviðs þvert á ólíka geira, er lagt til að ólíkum stjórnsýslustofnunum (eftirlitsstjórnvöldum) verði falið eftirlit með framkvæmd þeirra hverju á sínu sviði. Ákvæði 8. gr. tilskipunar (ESB) 2016/1148 gerir ráð fyrir þeirri útfærslu við innleiðingu ákvæða hennar að útnefnd séu fleiri en eitt lögbært yfirvald, en sú aðferðafræði kann að fela í sér áskoranir. Taka verður viðeigandi tillit til valdmarka ólíkra eftirlitsstjórnvalda, en jafnframt þarf að tryggja samræmda framkvæmd lágmarkskrafna tilskipunarinnar þvert á svið og stofnanir. Um tilætlað hlutverk samhæfingarstjórnvalds vísast til umfjöllunar um 13. gr. frumvarpsins.
    Eftirlitsstjórnvöld eru tilgreind í 1. mgr.: Orkustofnun vegna orku- og hitaveitna, Samgöngustofa vegna flutninga, Fjármálaeftirlitið vegna bankastarfsemi og innviða fjármálamarkaða, embætti landlæknis vegna heilbrigðisþjónustu, Umhverfisstofnun vegna vatnsveitna og Póst- og fjarskiptastofnun vegna stafrænna grunnvirkja. Gert er ráð fyrir að Póst- og fjarskiptastofnun verði jafnframt falið eftirlit með framkvæmd laganna að því er varðar öryggi net- og upplýsingakerfa stafrænna þjónustuveitenda.
    Um eftirlitsstjórnvöld gilda sérlög. Í frumvarpinu er að finna ákvæði um tilætluð verkefni þeirra vegna sameiginlegra lágmarkskrafna er miða að því að stuðla að samræmdu öryggisstigi og viðnámsþrótti net- og upplýsingakerfa mikilvægra innviða og eftirlitsheimildir. Að því marki sem sérlög hafa að geyma ítarlegri reglur, þar á meðal um valdheimildir eftirlitsaðila, ganga þau framar. Vísast meðal annars til umfjöllunar um 5. gr. frumvarpsins og ákvæða eftirfarandi sérlaga: Lög nr. 87/2003, um Orkustofnun. Lög nr. 119/2012, um Samgöngustofu, stjórnsýslustofnun samgöngumála. Lög nr. 87/1998, um opinbert eftirlit með fjármálastarfsemi (Fjármálaeftirlitið). Lög nr. 41/2007, um landlækni og lýðheilsu. Lög nr. 90/2002, um Umhverfisstofnun. Lög nr. 69/2003, um Póst- og fjarskiptastofnun.
    Ganga verður út frá því að eftirlitsstjórnvald ákveði hvaða aðilar teljist til rekstraraðila nauðsynlegrar þjónustu á sínu sviði skv. 3. gr., sbr. 2. mgr. 11. gr. Tilkynningu þar um skal miðlað til Póst- og fjarskiptastofnunar, sem lagt er til að falið verði miðlægt samhæfingarhlutverk með framkvæmd laganna, eftir því sem tilefni er til og a.m.k. á tveggja ára fresti. Ef um nauðsynlega þjónustu á vegum rekstraraðila er að ræða sem veitt er í öðru ríki á Evrópska efnahagssvæðinu skal samráð viðhaft við þarlend stjórnvöld um ákvörðun um hvort aðili teljist falla undir gildissvið laganna eða ekki.
    Hlutverk eftirlitsstjórnvalda er ekki síst að tryggja framfylgni ákvæða um lágmarkskröfur um áhættustýringu og viðbúnað og tilkynningarskyldu. Stöðug viðleitni, ekki síst af hálfu eftirlitsstjórnvalda, til eflingar varna og viðnámsþróttar með tilliti til net- og upplýsingaöryggis er forsenda þess að markmið tilskipunar (ESB) 2016/1148 og fyrirhugaðra laga náist. Ákvæði 12. gr. frumvarpsins gerir ráð fyrir aðgengi að nauðsynlegum upplýsingum, heimildum til úttekta og prófana, auk þess sem gera verður ráð fyrir að eftirlitsstjórnvald leggi sjálfstætt mat á viðbrögðum við og meðhöndlun atvika (eftir á). Þá kunna t.d. viðbúnaðaræfingar skv. 5. mgr. 18. gr. frumvarpsins að leiða í ljós galla í umgjörð áhættustýringar mikilvægra innviða og því æskilegt að tryggja viðeigandi matsferli í kjölfar slíkra. Um brot gegn ákvæðum laganna og fyrirmælum eftirlitsstjórnvalds er fjallað í 22.–23. gr. Eftirlitsstjórnvöld geta samkvæmt 12. gr. gert úrbótatillögur og með frumvarpinu er lagt til að þau geti jafnvel látið framkvæma úrbætur í formi tiltekinna ráðstafana á kostnað innviðanna sem í hlut eiga.

Um 12. gr.

    Ákvæðið byggist á 15. og 17. gr. tilskipunar (ESB) 2016/1148, en sú fyrrnefnda snýr að rekstraraðilum nauðsynlegrar þjónustu og síðarnefnda að stafrænum þjónustuveitendum. Þá vísast til athugasemda um 11. gr. frumvarpsins. Þó svo að með frumvarpi þessu sé lagt til að sömu kröfur verði í öllum meginatriðum gerðar til allra mikilvægra innviða um skipulag öryggismála og lágmarks áhættustýringar í umgjörð net- og upplýsingakerfa, með vísan til smæðar samfélagsins og hagkvæmnissjónarmiða, er ljóst að sérsjónarmið geta átt við um stafræna þjónustuveitendur. Í tilskipuninni er lagt með að eftirlit með stafrænum þjónustuveitendum verði léttvægara en gagnvart rekstraraðilum nauðsynlegrar þjónustu, þ.e. einkum eftir á og að teknu tilliti til eðlis starfsemi hlutaðeigandi eins og segir í 60. lið inngangsorða hennar. Þannig gerir tilskipunin ráð fyrir að eftirlitsstjórnvald geti krafist allra nauðsynlegra upplýsinga til að meta öryggi net- og upplýsingakerfi rekstraraðila nauðsynlegrar þjónustu, sem og sannana fyrir skilvirkri framkvæmd á öryggisreglum. Úttektir megi með öðrum orðum framkvæma í því skyni að ganga úr skugga um t.d. lágmarks skjalfestingu öryggisráðstafana og að staðreyna slíkt öryggisskipulag að frumkvæði stjórnvaldsins. Atvik eða öryggisbrestur er ekki forsenda þess að eftirlitshlutverk verði virkt. Tilskipunin gerir hins vegar ráð fyrir annarri nálgun í þessum efnum gagnvart stafrænum þjónustuveitendum, með vísan til 3. mgr. 12. gr. frumvarpsins. Þannig er gengið út frá að Póst- og fjarskiptastofnun hafi rökstuddan grun um að stafrænn þjónustuveitandi uppfylli ekki kröfur 7. og 8. gr. frumvarpsins. Vísbendingar þar um geta komið frá hlutaðeigandi stafrænum þjónustuveitanda, öðru eftirlitsstjórnvaldi eða notendum þjónustunnar sem um ræðir.
    Lagt er til að í 1.–2. mgr. verði skilgreindar lágmarks heimildir eftirlitsstjórnvalda gagnvart rekstraraðilum nauðsynlegrar þjónustu til aðgangs að upplýsingum og gögnum, til að kalla einstaklinga til skýrslugjafar um tiltekin mál og úttekta og prófana. Um framkvæmd eftirlits kunna jafnframt að gilda ákvæði sérlaga. Eftirlitsstjórnvald getur gert úttekt á afmörkuðum hluta öryggisskipulags rekstraraðila nauðsynlegrar þjónustu samkvæmt 2. mgr. eða framkvæmt stærri heildstæða úttekt. Þær geta verið af mismunandi toga, misyfirgripsmiklar og mannaflafrekar; allt frá svonefndum skrifborðsúttektum á skjalfestingu skipulags, viðtalsúttektum, úttektum á grundvelli sjálfsmatsskýrslna og til hefðbundinna vettvangsathugana. Æskilegt er að við framkvæmd úttekta sé stuðst við viðurkennda aðferðafræði og tilmæli um bestu framkvæmd, svo sem ISO 27001 staðalinn, leiðbeiningar frá ENISA o.fl.
    Þegar hefur verið vikið að efni 3. mgr., sem er sérákvæði er snýr að stafrænum þjónustuveitendum. Þess má geta að 8. mgr. 16. gr. tilskipunarinnar gerir ráð fyrir að Evrópusambandið setji nánari fyrirmæli í undirgerðum um ráðstafanir stafrænna þjónustuveitenda varðandi öryggi kerfa og búnaðar, meðferð atvika, stjórnun rekstrarsamfellu o.fl.
    Lagt er til að í 4. mgr. verði sérstaklega kveðið á um heimild til handa eftirlitsstjórnvaldi um að óska eftir reglubundinni skýrslugjöf af hálfu mikilvægra innviða, t.d. árlega, um meðhöndlun atvika, í því skyni að leggja mat á umgjörð áhættustýringar og viðbúnað. Brýnt er að viðhafa formfast verklag um endurmat öryggisráðstafana, áhættustýringar og viðbúnað. Draga verður lærdóm af árásum sem upp koma í því skyni að útfæra frekar varnir og viðbrögð.
    Loks er í 5. mgr. kveðið á um heimild eftirlitsstjórnvalda til að krefjast úrbóta af hálfu mikilvægra innviða innan hæfilegs frests, komi í ljós að starfsemi uppfyllir ekki skilyrði laganna. Gert er ráð fyrir heimild til beitingu dagsekta, skv. 22. gr. frumvarpsins, ef ekki er farið að fyrirmælum eftirlitsstjórnvalds eða orðið við ósk um afhendingu upplýsinga og gagna samkvæmt ákvæði þessu. Í ljósi þess að verulegir almannahagsmunir geta verið undir, í tilviki mikilvægra innviða, þykir jafnframt tilefni til að gera ráð fyrir heimild til handa eftirlitsstjórnvöldum um að láta vinna verk á kostnað hlutaðeigandi innviða, ef tilmæli þar um eru hunsuð.

Um 13. gr.

    Þegar lögbær yfirvöld, sem falið er eftirlit með framkvæmd efnisákvæða tilskipunar (ESB) 2016/1148, eru fleiri en eitt er í tilskipuninni gert ráð fyrir að einu stjórnvaldi sé falið að sinna miðlægu samræmingarhlutverki. Lagt er til að kveðið verði á um það í 1. mgr. að Póst- og fjarskiptastofnun skuli falið það hlutverk að gegna ráðgefandi samhæfingarhlutverki gagnvart eftirlitsstjórnvöldum, skv. 11. gr., í því skyni að stuðla sem best að samræmdri framkvæmd laganna. Póst- og fjarskiptastofnun gegnir lykilhlutverki á sviði net- og upplýsingaöryggis, starfrækir netöryggissveit og er ætlað eftirlitshlutverk gagnvart stafrænum grunnvirkjum og stafrænum þjónustuveitendum samkvæmt frumvarpinu. Starfslið stofnunarinnar býr yfir mikilli þekkingu og reynslu á sviði netöryggismála og þykir því vera það starfandi stjórnvald sem best er í stakk búið til að sinna umræddu hlutverki hér á landi.
    Gera má ráð fyrir að hlutverk samhæfingarstjórnvalds feli meðal annars í sér almenna stefnumörkun um eftirlit með lágmarkskröfum fyrirhugaðra laga um skipulag net- og upplýsingaöryggis mikilvægra innviða og framfylgni tilkynningarskyldu samkvæmt lögunum; aðstoð við framkvæmd og samræmingu eftirlitsins þvert á ólíkar stofnanir og aðkomu að alþjóðasamvinnu í tengslum við framkvæmd ákvæða tilskipunar (ESB) 2016/1148. Með frumvarpinu (sjá 27. gr.) er lögð til sú breyting á gildandi lögum um Póst- og fjarskiptastofnun að henni verði falið að fjalla í árlegri skýrslu sinni almennt um stöðu og þróun net- og upplýsingaöryggismála á Íslandi. Opinber umfjöllun um netógnir, bestu framkvæmd áhættustýringar og fyrirmyndir frá t.d. nágrannalöndum er mikilvæg, ekki aðeins í því skyni að stuðla að nauðsynlegri vitundarvakningu í samfélaginu heldur og með það að leiðarljósi að stuðla að samræmdri framkvæmd eftirlits með kröfum fyrirhugaðra laga gagnvart mikilvægum innviðum. Stofnunin á aðild að netöryggisráði og getur jafnframt nýtt þann vettvang í því skyni að stuðla að samræmdri framkvæmd.
    Útnefning samhæfingarstjórnvalds er meðal annars mikilvæg þar sem tryggja ber jafnræði gagnvart þeim aðilum sem undir lögin falla. Æskilegt er að lágmarks eftirfylgni á stefnumörkun við framkvæmd eftirlits sé sinnt, t.d. í formi aðstoðar við undirbúning, framkvæmd og eftirfylgni úttekta eftirlitsstjórnvalda. Lagt er til að ráðherra geti sett nánari fyrirmæli í reglugerð um hlutverk samhæfingarstjórnvalds, en gera verður ráð fyrir samráði við eftirlitsstjórnvöld þar um.
    Tilskipun (ESB) 2016/1148 gerir ráð fyrir að aðildarríki útnefni tengilið vegna eftirlits með framkvæmd ákvæða hennar. Lagt er til að Póst- og fjarskiptastofnun verði falið það hlutverk hér á landi, en ákvæðið takmarkar vitaskuld ekki samskipti eftirlitsstjórnvalda við systurstofnanir erlendis að því er varðar net- og upplýsingaöryggismál á málefnasviði þeirra. Netógnir fylgja ekki hefðbundnum landamærum og því er nauðsynlegt að samhæfingarstjórnvald sé vel tengt þannig að það geti hvort tveggja fengið mikilvægar upplýsingar frá öðrum ríkjum og stofnunum, sem og gefið af sér í alþjóðlegu samstarfi.

Um 14. gr.

    Í ákvæðum 14.–18. gr. frumvarpsins er í stuttu máli fjallað um hlutverk netöryggissveitar Póst- og fjarskiptastofnunar, ekki síst gagnvart mikilvægum innviðum, og þau úrræði sem hún hefur til að starfrækja hlutverk sitt. Með frumvarpinu eru jafnframt lagðar til breytingar á lögum um Póst- og fjarskiptastofnun, þar sem grundvallarákvæði um starfrækslu og umgjörð sveitarinnar verður að finna, og lögum um fjarskipti (sjá 27. gr. og umfjöllun um ákvæðið), þar sem ákvæði um hlutverk sveitarinnar gagnvart fjarskiptamarkaði sérstaklega verður að finna. Vísast einkum til ákvæða 9., 10. og 12. gr. tilskipunar (ESB) 2016/1148, auk viðauka I við hana, í þessu samhengi.
    Lagt er til að 1. mgr. verði samhljóma nýjum ákvæðum í lögum um Póst- og fjarskiptastofnun. Stofnsetning netöryggissveitar á rætur að rekja til breytinga á fjarskiptalögum árið 2012 og starfar hún á grundvelli gildandi 47. gr. a. Hún gegnir hlutverki „öryggis- og viðbragðshóps til verndar ómissandi upplýsingainnviðum gegn netárásum“ hér á landi, eins og segir í 1. mgr. Gildandi ákvæði byggist á því að umdæmi sveitarinnar nái til skilgreinds þjónustuhóps, þ.e. þeirra rekstraraðila ómissandi upplýsingainnviða samkvæmt fjarskiptalögum sem gert hafa samning við sveitina um að greina öryggisatvik á frumstigi og fyrirbyggja að þau breiðist út og valdi tjóni, sem og fjarskiptafyrirtækja, enda er markmið með starfsemi sveitarinnar, sbr. 3. málsl. 1. mgr. 47. gr. a, „að fyrirbyggja og draga úr hættu á netárásum og öðrum öryggisatvikum á netumdæmi eins og kostur er og sporna við og lágmarka tjón á ómissandi upplýsingainnviðum sem af slíku kann að hljótast“. Samkvæmt 2. mgr. 47. gr. a er það enn fremur hlutverk netöryggissveitar að „leitast við að greina öryggisatvik á frumstigi og fyrirbyggja að þau breiðist út og valdi tjóni á ómissandi upplýsingainnviðum sem falla undir netumdæmi hópsins“. Eins er það hlutverk sveitarinnar að „aðstoða þjónustuhópinn við forvarnir, leiðbeina honum og styðja við skjót viðbrögð gegn aðsteðjandi hættu“. Þá er sveitinni samkvæmt sama ákvæði falið að samhæfa aðgerðir aðila innan þjónustuhópsins „gegn aðsteðjandi hættu til að lágmarka tjón og reisa við óvirk kerfi“ við útbreitt öryggisatvik. Netöryggissveit „veitir þjónustuhópnum ráðgjöf um varnir og viðbúnað og kemur upplýsingum á framfæri við almenning ef þurfa þykir“. Um málefni CERT-ÍS netöryggissveitar gilda ákvæði reglugerðar nr. 475/2013. Vísast til umfjöllunar um 27. gr. frumvarpsins.
    Lagt er til að í 2. mgr. verði kveðið á um skyldu netöryggissveitar til að bregðast við tilkynningum um atvik skv. 8. og 15. gr. frumvarpsins með veitingu viðeigandi upplýsinga eða ráðgjöf um viðbrögð og aðgerðir, eftir því sem tilefni og nauðsyn ber til, í því skyni að styðja við skilvirka meðhöndlun atviks. Brýnt er að tryggja Póst- og fjarskiptastofnun, sem starfrækir netöryggissveitina, bolmagn til að bregðast við tilkynningum og gera ráð fyrir sólarhringsvöktun þeirra, þ.e. viðeigandi fjármagn og mannauð. Vísast meðal annars til umfjöllunar þar um í 9. gr. tilskipunar (ESB) 2016/1148, svo og 8. gr. frumvarpsins.
    Lagt er til að í 3. mgr. verði kveðið á um heimild netöryggissveitar (Póst- og fjarskiptastofnunar) til að miðla upplýsingum um alvarleg eða útbreidd atvik og áhættu til lögreglu og er það í samræmi við gildandi ákvæði 5. mgr. 47. gr. a í fjarskiptalögum. Mikilvægt er að Póst- og fjarskiptastofnun og löggæsluyfirvöld eigi með sér gott og virkt samstarf á þessu sviði og að ferlar/verklag um boðskipti og viðbrögð við netárásum séu kortlögð og endurskoðuð reglubundið. Um viðbrögð við alvarlegum netógnum fer einkum, eftir því sem við kann að eiga, samkvæmt ákvæðum lögreglulaga, laga um meðferð sakamála, laga um fjarskipti og laga um almannavarnir.
    Lagt er til að í 4. mgr. verði kveðið á um að í meðhöndlun atvika skuli netöryggissveit leitast við að fyrirbyggja að atvik breiðist út og valdi tjóni, í samstarfi við embætti ríkislögreglustjóra ef við á, með vísan til ákvæða um hlutverk hans samkvæmt lögreglulögum. Meðhöndlun atvika er hugtak sem lagt er til að verði skilgreint svo í 6. gr. frumvarpsins, sbr. tilskipun (ESB) 2016/1148: „Allt það verklag sem styður við að koma upp um, greina og afmarka atvik og viðbrögð við þeim.“ Ef um atvik eða bráða aðsteðjandi netógn er að ræða, hvort sem það atvik eða sú ógn steðjar að einum eða fleiri mikilvægum innviðum eða sviðum, skal leitast við að tryggja samhæfð viðbrögð og aðgerðir með það að markmiði að lágmarka mögulegt tjón. Í ákvæðinu er lagt til að kveðið verði á um að ef mikilvægir innviðir verði ekki við tilmælum Póst- og fjarskiptastofnunar (netöryggissveitar) um viðbrögð eða aðgerðir við atviki eða áhættu, á þeim forsendum að mat hlutaðeigandi sé að aðrar ráðstafanir eigi betur við í því skyni að tryggja vernd net- og upplýsingakerfa hans, skuli innviðirnir standa stofnuninni, ásamt hlutaðeigandi eftirlitsstjórnvaldi, skil á útskýringum með rökstuddum hætti. Gerð er krafa um að upplýst verði um ástæður þeirrar afstöðu eins fljótt og auðið er, enda getur slík vitneskja verið afar mikilvæg við samhæfingu aðgerða gegn ógnum og atvikum, svo og liður í að draga lærdóm af meðhöndlun atvika. Ekki er gerð krafa um ítarlegan skriflegan rökstuðning, heldur fyrst og fremst að fullnægjandi upplýsingum verði miðlað um það að hvaða marki tilmæli/ráðgjöf hafi ekki þótt eiga við og með hvaða hætti brugðist hafi verið við atvikinu. Mikilvægt er að hafa í huga að gjarnan hafa aðilar skamman tíma til að bregðast við ógn eða árás, og má skylda samkvæmt málsgreininni ekki verða til að tefja aðila frá því að bregðast við og meðhöndla atvik. Hins vegar er æskilegt að tilmæli sveitarinnar og svör fulltrúa mikilvægra innviða séu skjalfest. Mikilvægir innviðir útvista ekki ábyrgð á eigin rekstri og ganga verður út frá að þekking þeirra á virkni eigin kerfa, netvörnum og viðbúnaði sé ótvíræð. Í tilviki mjög alvarlegum tilvikum má ganga út frá að samstarf Póst- og fjarskiptastofnunar og löggæsluyfirvalda sé virkjað, í samræmi við ákvæði laga.
    Í 5. mgr. er lagt til að fjallað verði um þá skyldu netöryggissveitarinnar að upplýsa útnefnda tengiliði í öðrum ríkjum, eftir því sem við kann að eiga, um atvik þar sem áhrifa gætir yfir landamæri. Er það í samræmi við kröfur tilskipunarinnar í 5. mgr. 14. gr. og 6. mgr. 16. gr. Gæta ber að öryggis- og viðskiptahagsmunum mikilvægra innviða við miðlun upplýsinga samkvæmt ákvæðinu. Vísast jafnframt til 2. mgr. 13. gr. frumvarpsins og tillögu að nýju grundvallarákvæði um hlutverk og umgjörð netöryggissveitar (4. gr. a) í lögum um Póst- og fjarskiptastofnun, sbr. 27. gr. frumvarpsins.
    Loks er í 6. mgr. gert ráð fyrir að vikið verði að viðbragðsskyldu netöryggissveitar við atvikum samkvæmt ákvæðinu í tengslum við mótun stöðumyndar vegna netógna hér á landi á hverjum tíma. Ekki er átt við að sveitin skuli sinna upplýsingamiðlun eða útlistun á kortlagningu áhættu á hverjum tíma út á við eða gagnvart almenningi, sjá hins vegar tillögu um breytingu á 15. gr. gildandi laga um Póst- og fjarskiptastofnun í 27. gr. frumvarpsins. Brýnt er að nýta stöðugt aukna reynslu og þekkingu starfsliðs netöryggissveitar í því skyni að efla enn frekar öryggi og viðnámsþrótt net- og upplýsingakerfa mikilvægra innviða, meðal annars í því skyni að styrkja Póst- og fjarskiptastofnun í hlutverki samhæfingarstjórnvalds. Lagt er til að stöðumati netöryggissveitar verði reglubundið miðlað til netöryggisráðs í samræmi við óskir þess og trúnaðar verði gætt um viðkvæmar upplýsingar, með vísan til 2. mgr. 4. gr. frumvarpsins.
    

Um 15. gr.

    Lagt er til að kveðið verði á um valfrjálsar atvikatilkynningar til netöryggissveitar í 15. gr., þ.e. miðlun tilkynninga um atvik í net- og upplýsingakerfum umfram skyldu skv. 8. gr. frumvarpsins, frá öðrum en mikilvægum innviðum. Vísast til 20. gr. tilskipunar (ESB) 2016/1148. Ef þörf krefur er lagt til að í 3. mgr. verði kveðið á um heimild til handa netöryggissveit um að forgangsraða í starfsemi sinni þannig að brugðist sé við tilkynningum um atvik frá mikilvægum innviðum og opinberum stofnunum áður en tilkynningum frá öðrum er sinnt, með vísan til heimildarákvæðis í 2. mgr. 20. gr. tilskipunarinnar. Í umræddu ákvæði tilskipunarinnar segir jafnframt að vinnsla valfrjálsra tilkynninga skuli einungis fara fram þegar slík vinnsla er ekki umfram það sem eðlilegt má teljast eða of íþyngjandi fyrir hlutaðeigandi aðildarríki. Því er sett fram sú krafa í 1. mgr. að atvik verði að hafa umtalsverð áhrif á starfsemi þess sem tilkynnir samkvæmt ákvæðinu. Með ákvæðinu er meðal annars stuðlað að því að netöryggissveit fái enn heildstæðari stöðumynd með tilliti til netógna hér á landi en ella. Gert er ráð fyrir að nánari ákvæði kunni að verða sett í reglugerð um tilkynningar samkvæmt þessu ákvæði.
    

Um 16. gr.

    Í 1. mgr. ákvæðisins er lagt til að kveðið verði á um tiltekið aðgengi mikilvægra innviða að sérfræðiþekkingu starfsliðs netöryggissveitar Póst- og fjarskiptastofnunar. Þeir geti með öðrum orðum leitað til sveitarinnar um aðstoð og leiðbeiningar um sérhæfðar forvarnir í tengslum við öryggi net- og upplýsingakerfa sinna, en að tekið verði fram að hlutverk sveitarinnar sé einkum að styðja við skjót viðbrögð gegn aðsteðjandi hættu. Leiðbeiningar samkvæmt þessari málsgrein varða sérhæfðar forvarnir, en fela ekki í sér almenna ráðgjöf sem í boði er á samkeppnismarkaði. Netöryggissveit veitir aðstoð og ráðgjöf á bestu mögulegu faglegu forsendum á hverjum tíma, t.d. á grundvelli upplýsinga sem hún kann að búa yfir í gegnum alþjóðlegt tengslanet sitt. Ekki er lagt til að innheimt verði endurgjald vegna þessa aðgengis, þegar á þarf að halda.
    Í 2. mgr. ákvæðisins er kveðið á um heimild netöryggissveitarinnar til að bjóða mikilvægum innviðum og opinberum stofnunum tæknilega vöktunarþjónustu á nánar skilgreindum og skjalfestum forsendum. Slík tæknileg vöktunarþjónusta fæli þá í sér þjónustu um að greina ógnir, áhættur og ummerki um árásir og aðrar vísbendingar um aðstæður sem gætu skapað hættu. Hér um að ræða ákvæði sem er að mörgu leyti sambærilegt núgildandi ákvæði 47. gr. a í lögum nr. 81/2003, um fjarskipti, þar sem þjónustuhópur netöryggissveitarinnar byggist á þeim aðilum sem gert hafa samning við netöryggissveitina. Þá er horft til danskrar löggjafar um þarlenda netöryggissveit. Með tæknilegri vöktunarþjónustu stendur mikilvægum innviðum til boða að nýta sérþekkingu og aðstoð af hálfu netöryggissveitarinnar við að greina ógnir og áhættur sem og möguleg atvik við net- og upplýsingakerfi sín. Þjónustan gæti meðal annars falist í uppsetningu á skynjarabúnaði við kerfi hlutaðeigandi aðila sem yrði rekinn á kerfum þeirra mikilvægu innviða sem um ræðir og undir þeirra umsjá. Framkvæmd þjónustu sem þessarar yrði ávallt byggð á grundvelli samkomulags en ýmsar leiðir eru færar í þessum efnum. Einn valkostur er að sérhæfður skynjarabúnaður verði settur upp hvort sem er fyrir innan eða utan eldvegg viðkomandi aðila, almennt sem hliðarrás. Eins getur verið um að ræða upplýsingaflæði frá búnaði sem þegar er uppsettur hjá rekstraraðilanum, svo sem eldveggir, IDS-búnaður eða SIEM-kerfi. Upplýsingaflæði frá búnaði sem þessum yrði í raun í formi viðvarana frá kerfum á netum mikilvægra innviða um að tilteknir skilgreindir atburðir hafi átt sér stað eða numdir hafi verið ákveðnir vísar (e. indicators of compromise) sem netöryggissveit hefur fengið vitneskju um, svo sem frá erlendum öryggis- og viðbragðsteymum eða erlendum gagnastraumum, sem tengjast tiltekinni ógn, en vinnsla viðvarana sjálfra fer fram á búnaði sem rekinn er á kerfi viðkomandi rekstraraðila. Mikilvægt er að árétta að um er að ræða umferð við kerfi aðila, en ekki tilgangurinn að nema almenna netumferð notenda Netsins. Þá er innihald fjarskiptapakka svo sem innihald tölvupósts og HTML pakkar ekki hluti af þessum almennu samskiptum mikilvægra innviða og netöryggissveitarinnar. Gefi viðvörun frá búnaði tilefni til frekari skoðunar af hálfu netöryggissveitar á umræddum atburði fer vinnsla slíkra upplýsinga fram á grundvelli ákvæða þar um (sjá V. kafla frumvarpsins). Hið sama á við um viðvörun sem berst um að skynjari hafi numið ákveðna vísa. Hér getur t.d. verið um að ræða vafasamar IP-tölur eða URL móttakanda utan kerfis mikilvægra innviða sem er álitið að sé hluti af árásarneti eða umferð sem samsvarar þekktri árásarumferð, sendandi tölvupósts utan kerfis mikilvægra innviða sem er álitið að sé þátttakandi í árás o.fl. Mikilvægt er að í samningum aðila á grundvelli þessa ákvæðis verði fjallað með ítarlegum hætti um umfang tæknilegrar vöktunarþjónustu, skilgreiningu reglna, viðvaranir og vinnslu upplýsinga o.fl. Dæmi eru um rekstur skynjarakerfa af framangreindu tagi í ríkjum á borð við Danmörku og Noregi. Þá munu skynjarar til að mynda vera hluti af almennum heimildum norsku netöryggissveitarinnar (NorCERT). Sveitin hefur yfir að ráða skynjarakerfi þar sem skynjarar eru staðsettir við nethnúta (e. network nodes) innan norsks netumdæmis sem gera henni kleift að nema yfirstandandi netárásar og fá yfirsýn yfir þær ógnir og atvik sem til staðar eru í Noregi. Með þessu heimildarákvæði er þó ekki gengið svo langt en það er mat Póst- og fjarskiptastofnunar að gerð samninga sem þessara myndi styrkja allt starf netöryggissveitarinnar og getu hennar til að ná þeim markmiðum sem hlutverk hennar grundvallast á, þ.e. að vernda með sem bestum hætti mikilvæga innviði hér á landi. Heimild er í núgildandi lögum til gerðar samninga af þessu tagi, en hún hefur ekki verið nýtt nema í tilviki Stjórnarráðs Íslands (GovCERT-samningur, með vísan til umfjöllunar um 3. mgr. ákvæðisins). Öflug skimun í formi tæknilegrar vöktunarþjónustu getur stuðlað að bættri yfirsýn netöryggissveitar Póst- og fjarskiptastofnunar á netógnir hér á landi, en til þessa hefur hún einkum treyst á erlendar upplýsingaveitur og systursveitir og almennar tilkynningar við stöðumat á ógnum, áhættu og mögulegum eða yfirstandandi árásum. Lagt er til að endurgjald vegna tæknilegrar vöktunarþjónustu samkvæmt ákvæðinu taki einkum mið af útlögðum kostnaði vegna þjónustunnar, svo sem vegna uppsetningar og rekstrar skynjara eftir því sem við kann að eiga, en nái t.d. ekki til kostnaðar vegna miðlægs búnaðar Póst- og fjarskiptastofnunar. Þannig er ekki ætlunin að mikilvægir innviðir beri kostnað af miðlægu kerfi netöryggissveitar eða frekari úrvinnslu sveitarinnar á upplýsingum. Mikilvægt er að halda því til haga að ábyrgð á rekstri net- og upplýsingakerfa hlutaðeigandi verður ekki útvistað til netöryggissveitar, með samningi um tæknilega vöktunarþjónustu.
    Lagt er til að í 3. mgr. verði kveðið á um að Stjórnarráð Íslands skuli njóta þjónustu Póst- og fjarskiptastofnunar á sviði netöryggismála samkvæmt 1. mgr. ákvæðisins, þ.e. sambærilegrar þjónustu og frumvarpið gerir ráð fyrir að veitt skuli mikilvægum innviðum, án þess að sérstakt endurgjald komi fyrir. Þjónusta við Stjórnarráðið verði með öðrum orðum hluti fastra verkefna Póst- og fjarskiptastofnunar, fjármögnuð úr ríkissjóði. Í ársbyrjun 2018 var undirritaður þjónustusamningur af hálfu Stjórnarráðsins við Póst- og fjarskiptastofnun um þjónustu netöryggissveitar, í því skyni að styrkja stjórnsýsluna til að verjast öryggisatvikum og takast á við netárásir og hliðstæðar ógnir (GovCERT-samningur). Með ákvæðinu er GovCERT þjónusta gagnvart Stjórnarráðinu fest í sessi, en óhjákvæmilegt má telja að skjalfesta forsendur hennar á hverjum tíma og endurmeta reglubundið. Enn fremur er með ákvæðinu opnað á þann möguleika að opinberar stofnanir geti gert samninga við Póst- og fjarskiptastofnun um aðstoð og ráðgjöf samkvæmt 1. mgr., gegn endurgjaldi. Dæmi eru um slíkt aðgengi erlendis, t.d. í Danmörku.
    Loks er í ákvæðinu gert ráð fyrir reglugerðarheimild.

Um 17. gr.

    Lagt er til að fjallað verði um aðgengi netöryggissveitar að upplýsingum í ákvæðinu, en ef mikilvægir innviðir eða opinber stofnun óska aðstoðar sveitarinnar má ljóst vera að tryggja verður henni bestu faglegu forsendur til viðbragða og meðhöndlun atvika. Ef þörf krefur óskar netöryggissveit þeirra upplýsinga og gagna sem hún metur nauðsynleg fyrir milligöngu eftirlitsstjórnvalds og/eða lögregluyfirvalda, með vísan til meðal annars umfjöllunar um 4. mgr. 14. gr. Lagt er til að tekið verði sérstaklega fram að ákvæði í sérlögum um trúnað er kunna að gilda um mikilvæga innviði eða opinbera stofnun takmarki ekki rétt sveitarinnar til móttöku upplýsinga eða gagna. Í lokamálsgrein ákvæðisins er mikilvægi skjalfestra vinnureglna um meðferð upplýsinga áréttað.

Um 18. gr.

    Með ákvæðinu er lagt til að kveðið verði á um heimild til handa netöryggissveit (Póst- og fjarskiptastofnun) um að setja á fót annars vegar þverfaglegan samráðshóp og hins vegar sérstaka sviðshópa fyrir hvert svið nauðsynlegrar þjónustu skv. 1. mgr. 2. gr. frumvarpsins. Afar brýnt er að sérfræðingar á sviði netöryggismála hafi, á réttum forsendum öryggis og netvarna og að gættum viðeigandi leikreglum, svigrúm til að bera saman bækur.
    Í 1. mgr. kemur fram að tilgangur með skipan samráðshóps netöryggissveitar sé að efla tengsl og samstarf á milli mikilvægra innviða og sveitarinnar. Hópnum er ekki markað tæmandi hlutverk í frumvarpinu og getur jafnframt nýst sem vettvangur fyrir samráð og upplýsingaskipti í tengslum við greiningu ógna og samræmd viðbrögð við þeim ógnum. Samráðshópurinn mun meðal annars hafa það hlutverk að upplýsa og samræma aðgerðir þegar aðkallandi ógnir eru taldar geta haft áhrif á fleiri en eitt svið mikilvægra innviða. Þannig verður hópurinn kallaðar saman eftir þörfum, að mati netöryggissveitar.
    Í 2. mgr. er fjallað um skipan sérstakra sviðshópa fyrir hvert svið nauðsynlegrar þjónustu og fyrir stafræna þjónustuveitendur. Sviðshópar skulu vera vettvangur tæknilegs samráðs og upplýsingaskipta á sviði net- og upplýsingaöryggis, er hefur það að meginmarkmiði að greina ógnir og áhættu, stuðla að auknu net- og upplýsingaöryggi og takmarka tjón af völdum netárása. Hlutverk sviðshópa getur meðal annars verið að skiptast á upplýsingum um stöðumat og áherslur í öryggismálum, að miðla upplýsingum og fróðleik um öryggismál, aðsteðjandi ógnir og aðferðir til að verjast þeim o.s.frv. Hópana má kalla saman, einn eða fleiri, eftir því sem netöryggissveit telur nauðsynlegt hverju sinni. Hópur sem þessi er nú þegar starfandi vegna fjarskiptageirans og hefur reynst gagnlegur og nauðsynlegur vettvangur. Því er lagt til að lögfest verði ákvæði um tilvist slíks vettvangs fyrir þær tegundir þjónustu sem ákvæði frumvarpsins, sbr. tilskipun (ESB) 2016/1148, ná til.
    Ákvæði 3. og 4. mgr. þarfnast ekki skýringa, en í 5. mgr. er að finna tillögu að nýmæli. Netöryggissveit verði heimilt, eftir atvikum í samstarfi við ríkislögreglustjóra og eftirlitsstjórnvöld, að skipuleggja viðbúnaðaræfingar með þátttöku fulltrúa mikilvægra innviða og opinberra stofnana. Dýrmætan lærdóm má draga af framkvæmd viðbúnaðaræfinga, í því skyni að efla enn frekar öryggi og viðnámsþrótt net- og upplýsingakerfa mikilvægra innviða, og því heppilegt að tryggja þátttöku af hálfu þeirra sem netöryggissveit kann að óska eftir hverju sinni. Viðbúnaðaræfingar geta verið af ýmsu tagi, allt frá umsvifaminni æfingum þar sem reynir t.d. á þekkingu starfsliðs á viðbragðsferlum og boðleiðum, upp í tíma- og mannaflafrekari æfingar þar sem atburðarás er sviðsett og reynir á meðhöndlun atviks í rauntíma.

Um 19. gr.

    Í ákvæðinu er kveðið á um sérstaka þagnarskyldu umfram þá sem greinir í 18. gr. laga nr. 70/1996, um réttindi og skyldur starfsmanna ríkisins, en í því ákvæði kemur fram að starfsmönnum sé skylt „að gæta þagmælsku um atriði er hann fær vitneskju um í starfi sínu og leynt skulu fara samkvæmt lögum, fyrirmælum yfirmanna eða eðli málsins. Þagnarskyldan helst þótt látið sé af starfi“. Er hér um að ræða ákvæði sem tekur til starfsmanna eftirlitsstjórnvalda, samhæfingarstjórnvalds, netöryggissveitar og netöryggisráðs. Um er að ræða rýmri hóp en fellur undir gildissvið laga nr. 70/1996 og er ákvæðið þar af leiðandi nauðsynlegt. Ákvæðið tekur til þeirra upplýsinga sem aflað hefur verið, þ.e. afhentar hafa verið framangreindum aðilum eða þeir óskað eftir, frá mikilvægum innviðum í tengslum við eftirlit með öryggi net- og upplýsingakerfa eða vegna meðferðar atvika. Tiltekið er sérstaklega að þagnarskylda helst þótt látið sé af starfi. Ákvæðinu er ætlað að vera sérstakt þagnarskylduákvæði gagnvart ákvæðum upplýsingalaga, nr. 140/2012.

Um 20. gr.

    Ákvæðið felur í sér vissar undanþágur frá ákvæði 19. gr. frumvarpsins um sérstaka þagnarskyldu. Ákvæðið er nauðsynlegt meðal annars til að tryggja virk samskipti stjórnvalda innanlands, sem og í alþjóðasamstarfi. Stjórnvöld þurfa að geta miðlað upplýsingum í vissum tilvikum, með vísan markmiða tilskipunar (ESB) 2016/1148, sbr. 1. gr. hennar.
    Í 1. mgr. kemur fram að ákvæði frumvarpsins um þagnarskyldu skuli ekki standa því í vegi að eftirlitsstjórnvöld hvert á sínu sviði, samhæfingarstjórnvald, netöryggissveit og netöryggisráð veiti upplýsingar eða taki við upplýsingum frá lögreglu- eða persónuverndaryfirvöldum ef þær upplýsingar varða net- og upplýsingaöryggi, almannavarnir eða persónuvernd. Ákvæðið nær þá einnig til þess þegar tilgreind stjórnvöld veita upplýsingar og taka við upplýsingum sín á milli enda vinna þau öll með net- og upplýsingaöryggi. Reglan er nauðsynleg svo stjórnvöld geti haft með sér virkt samstarf og unnt verði að stuðla að bættu net- og upplýsingaöryggi og tryggja vernd almennings og persónuvernd.
    Í 2. mgr. kemur fram að ákvæði frumvarpsins um þagnarskyldu skuli ekki standa í vegi fyrir að eftirlitsstjórnvöld hvert á sínu sviði, samhæfingarstjórnvald, netöryggissveit og netöryggisráð veiti upplýsingar eða taki við upplýsingum frá erlendum stjórnvöldum, eftirlitsaðilum eða öðrum aðilum eða sérfræðingum sem sinna net- og upplýsingaöryggi þegar slíkt er nauðsynlegt vegna þátttöku í skipulagðri alþjóðasamvinnu sem hefur það markmið að stuðla að eða framkvæma aðgerðir til að tryggja öryggi net- og upplýsingakerfa. Undir þetta geta t.d. fallið gagnastraumar sem netöryggissveit hefur aðgang að og kemur í stað rauntímaskimunar við almennt eftirlit hennar. Eins og starfsemi netöryggissveitar er í dag þá treystir hún í mjög miklum mæli á upplýsingar sem koma erlendis frá til að sinna lögbundnu hlutverki sínu. Tryggja verður að trúnaður ríki um þessara upplýsingar. Upplýsingaskipti sem þessi eru stór þáttur í alþjóðlegu samstarfi um net- og upplýsingaöryggi. Netógnir, öryggisatvik og aðrir netglæpir eiga sér ekki hefðbundin landamæri og því er samstarf ríkja, netöryggissveita sem og annarra sérhæfðra aðila nauðsynlegt til að hægt sé að stemma stigu við slíkum ógnum og verjast þeim með sem skilvirkustum hætti. Þessu undanþáguákvæði frá sérstakri þagnarskyldu er ætlað að tryggja að Ísland geti verið virkur þátttakandi í slíku samstarfi, annars vegar með því að fá aðgang að upplýsingum og hins vegar með því að veita upplýsingar um mögulegar ógnir og hættur. Það ber að árétta að í samstarfi sem þessu skulu aðeins veittar þær upplýsingar sem nauðsynlegar eru.
    Í 3. mgr. er lagt til að kveðið verði á um að við upplýsingaskipti skv. 1. og 2. mgr. skuli gæta trúnaðar um öryggis- og viðskiptahagsmuni mikilvægra innviða og að sérstök þagnarskylda skv. 19. gr. skuli ríkja um þær upplýsingar sem veittar eru eða tekið er á móti skv. 1. og 2. mgr.


Um 21. gr.

    Í 21. gr. frumvarpsins er kveðið á um heimildir netöryggissveitar Póst- og fjarskiptastofnunar til vinnslu persónuupplýsinga. Mikilvægi net- og upplýsingaöryggis er áréttað í inngangsorðum reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin eða GDPR). Þá var fjallað um mikilvægi net- og upplýsingaöryggis og starfsemi netöryggissveitar í nefndaráliti meiri hluta allsherjar- og menntamálanefndar um frumvarpið sem varð að nýjum lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018. Í því áliti var bent á mikilvægi þess, með tilliti til net- og upplýsingaöryggis, að hægt væri að víkja frá réttindum einstaklinga í GDRP og að skortur á takmörkunarheimildum gæti haft mikil áhrif á starfsemi netöryggissveitar Póst- og fjarskiptastofnunar við vernd upplýsinga, þar á meðal persónuupplýsinga í net- og upplýsingakerfum mikilvægra innviða hér á landi. Í álitinu var vísað til þess hversu mikilvægt væri að mæla fyrir um slíka takmörkun í lögum, sbr. 23. gr. GDPR og að Póst- og fjarskiptastofnun yrðu veittar allar nauðsynlegar heimildir sem henni væru nauðsynlegar til að sinna sínu hlutverki. Netöryggi félli þá undir þjóðaröryggi, landvarnir og almannaöryggi sem getið er í 17. gr. frumvarpsins sem varð að lögum um persónuvernd og vinnslu persónuupplýsinga og 23. gr. GDPR sem lögmætar ástæður takmörkunar á rétti einstaklings til upplýsinga og aðgangs. Meirihlutinn áréttaði þá einnig að skv. 6. mgr. 4. gr. giltu nýju persónuverndarlögin ekki um vinnslu persónuupplýsinga af hálfu ríkisins í tengslum við rannsókn á refsiverðum brotum eða til að koma í veg fyrir ógnir við almannaöryggi.
    Horfa ber til þessa við skilgreiningu vinnsluheimilda netöryggissveitar samkvæmt frumvarpi þessu sem og þeirra takmarkana sem lagðar eru til í frumvarpinu.
    Í 1. mgr. ákvæðisins er fjallað um almenna vinnsluheimild netöryggissveitar. Er hér um að ræða nauðsynlega heimild fyrir netöryggissveitina til að sinna almennu hlutverki sínu sem viðbragðsteymis á grundvelli laganna. Heimildin byggir á 6. tölul. 1. mgr. 9. gr. laga um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig f-lið 1. mgr. 6. gr. GDPR, sem kveða á um heimildir til vinnslu persónuupplýsinga þegar vinnslan er nauðsynleg vegna lögmætra hagsmuna ábyrgðaraðila. Í 49. tölul. inngangsorða GDPR er sérstaklega vísað til þess að vinnsla sem þessi, að því marki sem hún er beinlínis nauðsynleg og hófleg til að tryggja net- og upplýsingaöryggi, teljist til lögmætra hagsmuna ábyrgðaraðila. Þetta getur t.d. falið í sér að komið sé í veg fyrir óheimilan aðgang að rafrænum fjarskiptanetum og dreifingu spilliforrita og að stöðvaðar séu atlögur að þjónustumiðlun og skemmdir á tölvum og rafrænum fjarskiptakerfum. Með net- og upplýsingaöryggi er í þessu samhengi átt við getu net- eða upplýsingakerfis til að standast, á tilteknu öryggisstigi, atburði sem verða fyrir slysni eða aðgerðir sem eru ólögmætar eða skaðlegar. Aðgangur netöryggissveitar að gögnum er grundvallarforsenda þess að sveitin geti sinnt lögbundnu hlutverki sínu samkvæmt lögunum og þeim verkefnum sem viðauki I við tilskipun (ESB) 2016/1148 kveður á um. Rétt er að geta þess að IP-tölur og önnur umferðargögn teljast persónuupplýsingar enda eru þær persónugreinanlegar í skilningi laga um persónuvernd og vinnslu persónuupplýsinga og GDPR. Það er því nauðsynlegt að kveða á um heimildir netöryggissveitarinnar til vinnslu slíkra upplýsinga svo skilyrðum persónuverndarlaga og GDPR teljist fullnægt.
    Með vinnslu í ákvæðinu er átt við móttöku upplýsinga og mögulega miðlun þeirra, sbr. skilgreining 4. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Aftur á móti verður að skýra ákvæðið með hliðsjón af öðrum ákvæðum frumvarpsins. Má þar einkum nefna ákvæði um sérstaka þagnarskyldu og undanþágu frá henni, sbr. 19. og 20. gr. Við samtúlkun þeirra við 1. mgr. 21. gr. er miðlun persónuupplýsinga frá netöryggissveit því einungis heimil til lögreglu, persónuverndaryfirvalds til erlendra stjórnvalda, eftirlitsaðila og annarra aðila sem sinna net- og upplýsingaöryggi þegar slík miðlun er nauðsynleg vegna alþjóðasamvinnu sem hefur það markmið að stuðla að netöryggi. Mikilvægt er að árétta í þessu samhengi að miðlun persónuupplýsinga, líkt og IP-talna, einskorðast alla jafna við þær upplýsingar sem að lágmarki teljast nauðsynlegar til að bregðast við ógn, verjast árás eða öryggisatviki og draga úr mögulegu tjóni. Þannig væri ekki gert ráð fyrir miðlun annarra persónuupplýsinga út fyrir netöryggissveitina, á borð við tölvupóstföng starfsmanna mikilvægra innviða, opinberra stofnana eða annarra, nöfn þeirra eða vélanöfn.
    Í 1. mgr. ákvæðisins er netöryggissveit einnig veitt heimild til þess að kanna innihald einstaka sendinga til og frá neti mikilvægra innviða, liggi fyrir rökstuddur grunur um að sending, svo sem tölvupóstur, innihaldi spillikóða. Er slík framkvæmd þó ávallt háð samþykki mikilvægra innviða, en er þó ekki háð samþykki hins skráða, t.d. starfsmanns mikilvægra innviða. Mikilvægt er að árétta að heimild þessa skal einungis nýta þegar rökstuddur grunur leikur á um að sending geti falið í sér ógn eða áhættu fyrir mikilvæga innviði. Þar sem tímarammi til viðbragða við ógnum og áhættum er mjög skammur er nauðsynlegt að veita netöryggissveitinni heimild til að kanna innihald sendingarinnar án samþykkis viðkomandi einstaklings. Árétta skal að heimild sem þessi getur aldrei falið í sér heimild til skoðunar á sendingum í almennum fjarskiptanetum fjarskiptafyrirtækja.
    Í 2. mgr. ákvæðisins er að finna mikilvæga heimild fyrir netöryggissveitina til vinnslu og miðlunar á upplýsingum sem henni berast til verndar almannahagsmunum og hagsmunum einstaklinga án samþykkis hlutaðeigandi einstaklings. Hér er um að ræða upplýsingar sem geta verið eins konar andlag atviks eða árásar sem netöryggissveitinni berast umfram það sem fellur undir almennt hlutverk hennar. Erfitt getur verið að segja til um hvaða upplýsingar þetta geta verið, það kann að velta á efni og aðstæðum. Þetta getur verið allt frá lykilorðum og kortanúmerum einstaklinga yfir í heilsufarsupplýsingar sem aflað hefur verið með ólögmætum hætti, t.d. með innbroti í kerfi mikilvægra innviða. Í tilvikum sem þessum er nauðsynlegt fyrir sveitina að geta gripið til aðgerða, án samþykkis hins skráða. Sveitin gæti t.d. þurft að miðla umræddum upplýsingum til annarra mikilvægra innviða eða upplýsa þá um hagsmuni einstaklinga. Þetta er háð mati hverju sinni og fer eftir tegund og eðli upplýsinganna. Þessar upplýsingar eru í raun ekki á forræði netöryggissveitarinnar með neinum hætti fyrr en til atviks kemur og er um neyðarúrræði að ræða sem miðar að því að vernda hagsmuni einstaklinga sem í hlut kunna að eiga. Tímarammi við meðhöndlun atviks af þessu tagi til að lágmarka tjón getur verið mjög þröngur. Miðlun upplýsinga getur þurft að fara fram án sérstaks upplýsts samþykkis hins skráða, þ.e. viðkomandi einstaklings, enda má ganga út frá að hinn skráði geti ekki gætt eigin hagsmuna sjálfur.
    Í 1. málsl. 3. mgr. ákvæðisins er kveðið á um að öll vinnsla persónuupplýsinga á grundvelli laganna skulu vera í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga. Er hér um að ræða almennt ákvæði sem er ætlað að tryggja að sú vinnsla sem fram fer hjá netöryggissveit verði í samræmi við þær meginreglur sem gilda um vinnslu persónuupplýsinga í nýjum lögum um persónuvernd og GDPR. Þá verður netöryggissveitin að uppfylla skyldur sínar sem ábyrgðaraðili og gæta að öryggi upplýsinganna í samræmi við persónuverndarlög og GDPR. Vísast jafnframt til 4. mgr. 17. gr. frumvarpsins en styðjast ber við skjalfest verklag við meðferð upplýsinga af hálfu netöryggissveitar.
    Í 2. málsl. 3. mgr. eru lagðar til undantekningar frá ákvæðum persónuverndarlaga og GDPR í tilviki starfsemi netöryggissveitar, sbr. skyldur og réttindi sem um getur í 12.–22. og 34. gr. GDPR. Umrædd undanþáguheimild byggir á 23. gr. GDPR sem fjallar um takmarkanir, þ.e. heimild til að takmarka gildissvið skyldna og réttinda sem um getur í 12.–22. gr., ásamt 34. gr. og einnig í 5. gr. GDPR. Í 73. tölul. inngangsorða reglugerðarinnar er fjallað um heimildina en þar segir að landslög geti kveðið „á um að takmarka megi sértækar meginreglur og rétt á upplýsingum, aðgang að persónuupplýsingum og leiðréttingu á þeim eða eyðingu þeirra, rétt til að flytja eigin gögn, rétt til andmæla, ákvarðanir sem byggjast á gerð persónusniðs, ásamt tilkynningum til skráðs einstaklings um öryggisbrot við meðferð persónuupplýsinga og tilteknar tengdar skyldur ábyrgðaraðila, að því marki sem nauðsynlegt er og hóflegt í lýðræðisþjóðfélagi til að vernda almannaöryggi“.
    Í ákvæðum GDPR er því gert ráð fyrir að takmarka megi skyldur ábyrgðaraðila og réttindi einstaklinga á grundvelli ákveðinna sjónarmiða, enda sé takmörkunin byggð á meðalhófi og virði eðli grundvallarréttinda og mannfrelsis. Í 1. mgr. 23. gr. er að finna upptalningu á þeim sjónarmiðum sem takmörkun getur byggt á. Þau sjónmarmið sem meðal annars eru talin upp eiga með beinum hætti við um starfsemi netöryggissveitarinnar, þ.e. sjónarmið er lúta að þjóðaröryggi og almannaöryggi, sbr. a- og c-liðir 1. mgr. greinarinnar. Hlutverk og markmið tilskipunar (ESB) 2016/1148, líkt og fram kemur í fyrstu liðum inngangsorða hennar er að verja net- og upplýsingakerfi mikilvægra innviða hvers lands enda skiptir áreiðanleiki og öryggi þeirra sköpum fyrir efnahagslega og samfélagslega starfsemi ríkja, svo og Evrópusambandsins. Netógnir og árásir geta hamlað atvinnustarfsemi, valdið verulegu fjárhagslegu tjóni, grafið undan trausti notenda og valdið miklu efnahagslegu tjóni.
    Takmörkunarákvæði sem þetta er í raun ekki nýtt af nálinni, sbr. eldri persónuverndarlög, nr. 77/2000. Þannig gerðu eldri persónuverndarlög ráð fyrir að takmarka megi rétt hins skráða á grundvelli ákveðinna almannahagsmuna, þ.e. þegar um er að ræða almannaöryggi, landvarnir ríkisins, öryggi þess og starfsemi á sviði refsivörslu.
    Loks er í 4. mgr. gert ráð fyrir að ráðherra setji reglugerð um vinnslu persónuupplýsinga hjá netöryggissveitinni, að fengnu áliti Persónuverndar. Líta ber til mismunandi eðlis gagna og upplýsinga í þessu samhengi, þegar geymslutími þeirra er ákvarðaður, leggja þarf mat á nauðsyn vinnslu á grundvelli þjóðaröryggis og almannahagsmuna o.s.frv. Í reglugerðinni skal einnig, eftir því sem við á, fjalla um mat á áhrifum á persónuvernd í skilningi 35. gr. GDPR.

Um 22. gr.

    Í 2. mgr. 15. gr. tilskipunarinnar kemur fram að aðildarríki skulu tryggja að lögbær yfirvöld, hér eftirlitsstjórnvöld, hafi valdheimildir og þau úrræði til að krefjast þess að rekstraraðilar nauðsynlegrar þjónustu veiti annars vegar nauðsynlegar upplýsingar til að kleift sé að meta öryggi net- og upplýsingakerfa þeirra, þ.m.t. skjalfestar öryggisreglur, og hins vegar sannanir fyrir skilvirkri framkvæmd á öryggisreglum (svo sem niðurstöður úr öryggisúttekt sem lögbært yfirvald eða hæfur úttektarmaður framkvæmir). Í 2. mgr. 17. gr. tilskipunarinnar er áþekkt ákvæði hvað varðar stafræna þjónustuveitendur.
    Í 22. gr. frumvarpsins er lagt til að kveðið á um heimildir eftirlitsstjórnvalda til að leggja dagsektir á þá mikilvægu innviði sem ekki fara að fyrirmælum þeirra eða verða við ósk þeirra um afhendingu upplýsinga og gagna skv. 12. gr. Lagt er til að hámark dagsekta verði 500.000 kr. á dag, en það er sama hámark og er á dagsektum skv. 8. mgr. 11. gr. laga nr. 81/2003, um fjarskipti og 12. gr. laga nr. 69/2003, um Póst- og fjarskiptastofnun.

Um 23. gr.

    Í ákvæðinu er kveðið á um refsingar. Tilskipun (ESB) 2016/1148 gerir ráð fyrir að viðurlög við brotum gegn ákvæðum hennar séu skilvirk, í réttu hlutfalli við brotið og beitt þannig að hafi varnaðaráhrif.
    Ástæða þykir til að kveða á um refsingu ef aðili verður uppvís að því að gefa af ásetningi eða stórkostlegu gáleysi ranga tilkynningu til netöryggissveitar skv. 8. eða 15. gr. laganna. Horft var til 33. laga nr. 82/2008, um almannavarnir, við smíði ákvæðisins.

Um 24. gr.

    Ákvæðið á sér fyrirmynd í 3. mgr. 14. gr. og 3. mgr. 16. gr. tilskipunar (ESB) 2016/1148 og er ætlað að taka af skarið um að tilkynningar til netöryggissveitar eins og fjallað er um þær í frumvarpinu hafa ekki áhrif á mögulega bótaskyldu vegna atviks. Á það bæði við um áhrif bótaskyldu og aukningu bótaskyldu.

Um 25. gr.

    Ákvæðinu er ætlað að veita almenna heimild til reglusetningar af hálfu ráðherra umfram þau ákvæði sem kveða sérstaklega á um skyldu eða heimild til setningu reglugerða.

Um 26. gr.

Ákvæðið þarfnast ekki sérstakrar skýringar.

Um 27. gr.

    Í ákvæðinu er lagðar til breytingar á öðrum lögum sem miða að því að samræma hugtakanotkun og grundvallarákvæði um netöryggismál, annars vegar í lögum nr. 81/2003, um fjarskipti, og hins vegar lögum nr. 69/2003, um Póst- og fjarskiptastofnun.

Um tillögur að breytingum á lögum nr. 69/2003, um Póst- og fjarskiptastofnun.

    Í a-lið er gerð tillaga að orðalagsbreytingu um stjórnarfarslega stöðu Póst- og fjarskiptastofnunar. Ekki er um efnislega breytingu að ræða á stöðu stofnunarinnar.
    Í b-lið er að finna breytingartillögur á 3. gr. laganna, þar sem tilgreind eru helstu verkefni Póst- og fjarskiptastofnunar. Æskilegt þykir að ákvæði laganna endurspegli verkefnin sem stofnuninni verða falin verði frumvarp þetta að lögum og mikilvægt hlutverk hennar á sviði netöryggismála. Að því er nýja 3. mgr. varðar (sbr. 1. tölul.) vísast meðal annars til 5. og 11. gr. lögreglulaga, nr. 90/1996. Ákvæðið þarfnast ekki nánari skýringa.
    Í c-lið greinir tillögu að nýju ákvæði, er verður 4. gr. a, og er ætlað að geyma helstu grundvallarákvæði um starfrækslu og umgjörð netöryggissveitar sem Póst- og fjarskiptastofnun starfrækir. Ekki er vikið að því mikilvæga hlutverki stofnunarinnar í lögum nr. 81/2003; um sveitina gildir nú ákvæði 47. gr. a í fjarskiptalögum og reglugerð nr. 475/2013. Ákvæði 3.–5. mgr. eru nýmæli. Að öðru leyti þarfnast ný 4. gr. a ekki nánari skýringa.
    Í d-lið greinir breytingartillögur á 5. gr. laganna, um eftirlitsúrræði Póst- og fjarskiptastofnunar og viðurlög, sem nauðsynlegar þykja ef frumvarp þetta verður að lögum. Ákvæðið þarfnast ekki nánari skýringa.
    Í e-lið greinir breytingartillögur á 8. gr. laganna, um þagnarskyldu og samskipti við eftirlitsstjórnvöld, sem nauðsynlegar þykja ef frumvarp þetta verður að lögum. Ákvæðið þarfnast ekki nánari skýringa.
    Í f-lið greinir tillögu að nýjum málslið í 1. mgr. 15. gr. laganna. Póst- og fjarskiptastofnun skal í árlegri skýrslu skv. ákvæðinu fjalla almennt um stöðu og þróun net- og upplýsingaöryggismála á Íslandi. Opinber umfjöllun um netógnir sem þróast stöðugt, bestu framkvæmd áhættustýringar og fyrirmyndir frá t.d. nágrannalöndum er mikilvæg, ekki aðeins í því skyni að stuðla að nauðsynlegri vitundarvakningu í samfélaginu heldur og með það að leiðarljósi að stuðla að samræmdri framkvæmd eftirlits með kröfum fyrirhugaðra laga gagnvart mikilvægum innviðum. Starfslið stofnunarinnar býr yfir yfirburða þekkingu og reynslu á þessu sviði sem nýta má til vitundarvakningar í samfélaginu um net- og upplýsingaöryggi með þessum hætti, án þess að eigi að krefjast mikils tilkostnaðar.


Um tillögur að breytingum á lögum nr. 81/2003, um fjarskipti.

    Í a-lið greinir tillögur að breytingum á ýmsum skilgreiningum 3. gr. laganna sem nauðsynlegar þykja ef frumvarp þetta verður að lögum. Ákvæðið þarfnast ekki nánari skýringa.
    Í b-lið greinir tillögur að fjórum nýjum ákvæðum, sem koma í stað gildandi 47. gr. a, og verða ný 47. gr. a–47. gr. d. Því skal haldið til haga að fjarskiptafyrirtæki falla ekki undir gildissvið tilskipunar (ESB) 2016/1148, enda er nú þegar í fjarskiptalögum og evrópsku regluverki á sviði fjarskipta að finna sambærilegar skyldur varðandi skipulag upplýsingaöryggis. Þá eru þau hluti af þjónustuhópi netöryggissveitarinnar á grundvelli 47. gr. a í gildandi fjarskiptalögum. Tilgangur nýrra ákvæða 47. gr. a–47. gr. d er að stuðla að skýrari og ítarlegri umfjöllun um tilætlað hlutverk og úrræði netöryggissveitar í settum lögum. Ákvæði 47. gr. a eru sambærileg hliðstæðum ákvæðum í II. og IV. kafla frumvarpsins. Ástæða er til að vekja sérstaka athygli á 5. mgr. Þær aðstæður eru vel hugsanlegar, þar sem mjög aðkallandi er að bregðast við bráðri aðsteðjandi netógn og yfirgnæfandi líkur eru á að fjarskiptafyrirtæki geti átt hlutdeild í að leysa neyðarástandið og/eða lágmarka mögulegt tjón af völdum þess. Ákvæðið gerir ráð fyrir að fjarskiptafyrirtækjum verði skylt að bregðast við tilmælum Póst- og fjarskiptastofnunar um aðgerðir gegn slíkri ógn, enda teljist almannahagsmunum og þjóðaröryggi ógnað (eða mjög alvarleg hætta steðjar að kerfum þeirra, mikilvægra innviða eða opinberra stofnana). Litlar líkur kunna að vera á því að fjarskiptafyrirtæki líti viðbrögð við slíkri ógn öðrum augum en sérfræðingar Póst- og fjarskiptastofnunar, en þar sem viðbragðstími getur skipt sköpum við slíkar aðstæður þykir óhjákvæmilegt að leggja til lögfestingu slíkrar heimildar. Ljóst má vera að slíku úrræði þyrfti að beita af fyllstu varkárni, ef til kæmi. Þá má ljóst vera að kortlagning samspils ólíkra laga við ólíkar aðstæður, á grundvelli fjölbreytilegra sviðsmynda, ekki síst þar sem net- og upplýsingakerfi mikilvægra innviða koma við sögu, er afar æskileg. Netógnir eru á hinn bóginn fjölbreytilegar, mannlega þáttinn má til að mynda ekki vanmeta, og því fer fjarri að slík neyðarheimild gagnvart fjarskiptafyrirtækjum sé lykillinn að farsælli lausn og viðbrögðum við öllum alvarlegum atvikum. Ákvæði 47. gr. b byggja á gildandi ákvæði fjarskiptalaga og núverandi framkvæmd. Með 1. mgr. er netöryggissveit gert kleift að sinna sólarhringsvöktun atvika í net- og upplýsingakerfum fjarskiptafyrirtækja. Ákvæði 47. gr. c og 47. gr. d þarfnast ekki nánari skýringa.
    

Um ákvæði til bráðabirgða.

    Með ákvæðinu er lagt til að ráðherra birti skrá yfir rekstraraðila nauðsynlegrar þjónustu skv. 3. gr. fyrir gildistöku laganna, verði frumvarpið að lögum. Gætt skal að tilætlaðri aðferðafræði við útnefningu umræddra aðila, með vísan til 11. gr. frumvarpsins.