öryggi net- og upplýsingakerfa mikilvægra innviða.
Virðulegi forseti. Ég geri hér grein fyrir nefndaráliti um frumvarp til laga um öryggi net- og upplýsingakerfa mikilvægra innviða ásamt breytingartillögu sem nefndarálitinu fylgir. Hæstv. forseti hefur gert grein fyrir þingskjölum málsins og númerum á þeim. Nefndarálitið er allítarlegt þannig að ég mun ekki lesa það upp frá orði til orðs en samt sem áður mun taka talsverðan tíma að gera grein fyrir helstu atriðum sem fram koma í því.
Nefndin fjallaði um málið og fékk á sinn fund talsverðan fjölda gesta. Umsagnir bárust frá Axel Tómassyni, Fjármálaeftirlitinu, Hafnasambandi Íslands, Interneti á Íslandi hf. – ISNIC, Isavia, Landsvirkjun, Persónuvernd, Póst- og fjarskiptastofnun, Samgöngustofu, Samorku, Samtökum atvinnulífsins, Samtökum fjármálafyrirtækja og Viðskiptaráði. Af þessari upptalningu má sjá að þræðir frumvarpsins liggja víða í samfélaginu.
Með frumvarpinu er lagt til að samþykkt verði heildarlög um net- og upplýsingaöryggi hér á landi. Það eru í raun fyrstu heildarlögin um það efni. Markmið frumvarpsins er að samræma lágmarkskröfur um áhættustýringu og viðbúnað mikilvægra innviða, efla netöryggissveit Póst- og fjarskiptastofnunar og lögleiða tilkynningarskyldu um alvarleg atvik í net- og upplýsingakerfum til hennar og að kveða á í lögum um skipun og hlutverk netöryggisráðs.
Frumvarpið byggist einkum á ákvæðum netöryggistilskipunar Evrópusambandsins, sem hefur verið kölluð NIS-tilskipunin, en eitt af lykilmarkmiðum tilskipunarinnar er að efla getu Evrópuríkja með uppbyggingu öflugrar miðlægrar netöryggissveitar í hverju landi fyrir sig. Þannig sveit er kölluð CSIRT-teymi. Slík sveit geti jafnframt átt í samstarfi við miðlægar netöryggissveitir annarra ríkja Evrópu og séð til þess að samræmdar kröfur séu gerðar til netöryggis mikilvægra innviða í álfunni. Tilskipunin hefur ekki verið tekin upp í EES-samninginn en unnið er að undirbúningi ákvörðunar þar um á vettvangi EES-ríkjanna. Frumvarpið felur því ekki í sér eiginlega innleiðingu á tilskipun heldur er verið að nota tilskipun sem fyrirmynd, eins og stundum er gert.
Nefndin bendir á að netöryggi er eitt af mikilvægustu viðfangsefnum samtímans er varðar öryggi ríkja og samfélaga. Með því að byggja á NIS-tilskipuninni er tryggt að netöryggi sé byggt upp með sambærilegum og samhæfðum hætti hér eins og í öðrum Evrópuríkjum. Við uppbyggingu öryggis net- og upplýsingakerfa er samkvæmt frumvarpinu mikið lagt upp úr samstarfi og samvinnu við að byggja upp þjónustu og skapa traust milli aðila sem gegna hlutverki samhæfingaraðila, þ.e. Póst- og fjarskiptastofnunar, netöryggissveitar og þeirra sem teljast til mikilvægra innviða — og eins mætti nefna þarna aðrar eftirlitsstofnanir. Þess ber að geta að umsagnaraðilar lýstu almennum stuðningi við frumvarpið og töldu mikilvægt að heildstætt regluverk um netöryggi væri til staðar hér á landi.
Þetta var almennt um frumvarpið. Síðan kemur umfjöllun um netöryggisráð en um það er fjallað í 4. gr. Þar er m.a. kveðið á um að ráðherra skipi netöryggisráð en hlutverk þess er einkum að fylgja eftir framkvæmd stefnu stjórnvalda á sviði net- og upplýsingaöryggis. Gagnrýnt var að ekki kæmu fram í ákvæðinu hvaða aðilar skyldu tilnefna í ráðið. Í því sambandi bendir nefndin á að net- og upplýsingaöryggi er síbreytilegur málaflokkur sem snertir mörg ráðuneyti og stofnanir sem og atvinnulífið almennt. Eftir því sem tíminn líður og málin þróast kann því að verða ástæða til að hafa aðra eða fleiri aðila í ráðinu en þá sem nú sitja í því. Nefndin telur því rétt að halda ákvæðinu óbreyttu að þessu leyti. Hins vegar er mikilvægt að í ráðinu sitji aðilar sem hafi viðeigandi þekkingu, menntun og reynslu, enda er ráðinu ætlað veigamikið hlutverk í netöryggismálum. Leggur nefndin til breytingu á 4. gr. þess efnis að fulltrúar sem skipaðir eru í ráðið skuli hafa viðeigandi menntun og/eða reynslu.
Næsti kafli fjallar um lágmarksöryggiskröfur og tilkynningar til netöryggissveitar en kveðið er á um þær í 7. og 8. gr. frumvarpsins. Bent var á að í tilskipuninni væri gerður greinarmunur á rekstraraðila nauðsynlegrar þjónustu og þeirra sem veita stafræna þjónustu, sem sagt veitanda stafrænnar þjónustu. Nokkuð var fjallað um þetta mál en nefndin taldi ekki tilefni til breytinga á þessu. Hún bendir á að heimilt er að gera greinarmun á kröfum til þessara aðila í reglugerð, auk þess sem gerður er greinarmunur á eftirlitsheimildum vegna rekstraraðila nauðsynlegrar þjónustu og hins vegar veitanda stafrænnar þjónustu.
Í þessum kafla kemur líka fram að bent var á að óljóst væri hvað átt væri við með alþjóðlegum viðmiðunum um bestu framkvæmd, en í greinargerð kemur fram að þar er vísað til tiltekins ISO-staðals en sá staðall væri að úreldast og varhugavert væri í lögum að vísa til ákveðins staðals því staðlarnir breytast með tímanum. Nefndin leggur samt sem áður til breytingu þess efnis að viðeigandi prófanir skuli framkvæmdar reglubundið og í samræmi við alþjóðleg viðmið um bestu framkvæmd á hverjum tíma. Til að hnykkja enn frekar á þessu.
Í 8. gr. er fjallað um tilkynningar til netöryggissveitar en samkvæmt ákvæðinu skulu mikilvægir innviðir tilkynna netöryggissveit Póst- og fjarskiptastofnunar án tafar um alvarleg atvik eða áhættu sem ógnar öryggi net- og upplýsingakerfi þeirra. Bent var á að orðalagið „án tafar“ væri of íþyngjandi. Nefndin tók undir það og leggur til að í stað orðanna „án tafar“ komi „svo fljótt sem verða má“. Síðan var nokkuð fjallað um hvort nauðsynlegt sé að kveða á í þessum lögum um að atvikatilkynningar færu einnig til eftirlitsstjórnvalda, þ.e. annarra eftirlitsstjórnvalda, ekki einungis netöryggissveitarinnar, en það kom fram við umfjöllunina að ákvæði frumvarpsins koma ekki í veg fyrir að aðilar hafi tilkynningarskyldu gagnvart öðrum stjórnvöldum samkvæmt öðrum lögum eða reglum. Í ljósi reynslunnar af innleiðingu og útfærslu tilkynningarskyldu samkvæmt þessu frumvarpi kann að verða, þegar fram líða stundir, ástæða til að skýra upplýsingagjöf til annarra eftirlitsstjórnvalda, sérstaklega varðandi netöryggið.
Nokkuð var fjallað um samspil eftirlitsstjórnvalda og samhæfingarstjórnvalds, sem er Póst- og fjarskiptastofnun, sem fer einnig með eftirlit gagnvart stafrænum þjónustuveitendum. Farið er yfir það í nefndarálitinu af hverju þessi leið er valin en nefndin bendir á að net- og upplýsingaöryggi sé ein tegund rekstraráhættu sem telja má víst að allar stjórnsýslustofnanir gefi nú gaum.
Eftir ítarlegt samráð og umsagnarferli var það mat ráðuneytisins að betur færi á því að fela ólíkum stofnunum eftirlit með framkvæmd laganna, hverri á sínu sérsviði. Þarna erum við að tala um eftirlitsstofnanir eins og Fjármálaeftirlitið á sínu sviði, landlækni og svo mætti telja fleiri.
Í 11. gr. kemur fram að eftirlitsstjórnvald ákveði hvaða aðilar teljist til rekstraraðila nauðsynlegrar þjónustu og miðli tilkynningu þar um til Póst- og fjarskiptastofnunar eftir því sem tilefni er til og a.m.k. á tveggja ára fresti. Á fundi nefndarinnar kom fram að það geti verið íþyngjandi fyrir rekstraraðila að vera skilgreindur sem rekstraraðili nauðsynlegrar þjónustu og afar mikilvægt væri að sú þjónusta væri rétt skilgreind. Því telur nefndin að rétt sé að haft sé samráð við þá aðila áður en ákvörðun er tekin um hvort aðili teljist til rekstraraðila nauðsynlegrar þjónustu eða ekki. Nefndin bendir samt sem áður á að ákvörðun eftirlitsstjórnvalds að loknu samráði um að tiltekinn rekstraraðili teljist rekstraraðili nauðsynlegrar þjónustu sé endanleg á stjórnsýslustigi en ágreiningur verður þó alltaf borinn undir dómstóla ef því er að skipta.
Í framhaldi af þessu leggur nefndin til að við 11. gr. bætist nýr málsliður þess efnis að áður en ákvörðun er tekin um hvaða aðilar teljist til rekstraraðila mikilvægrar þjónustu á sínu sviði skuli eftirlitsstjórnvald gefa aðila kost á að tjá sig um málið.
Í 16. gr. er fjallað um þjónustu við mikilvæga innviði og opinberar stofnanir. Nefndin bendir á að miðað er við að ábyrgð á rekstri net- og upplýsingakerfa verði ekki útvistað af hálfu mikilvægra innviða heldur sé ábyrgðin hjá fyrirtækjum sem geti síðan leitað til netöryggissveitar eftir aðstoð og leiðbeiningum um sérhæfðar forvarnir í tengslum við öryggi net- og upplýsingakerfa. Ekki er því kveðið á um skyldu mikilvægra innviða til samninga við netöryggissveitina en mikilvægum innviðum sem kjósa að semja við netöryggissveitina um tæknilega vöktun og þjónustu stendur hún hins vegar til boða gegn endurgjaldi.
Í 3. mgr. 16. gr. er kveðið á um að Stjórnarráð Íslands skuli njóta þjónustu Póst- og fjarskiptastofnunar á sviði netöryggismála. Að mati nefndarinnar er rétt að taka af allan vafa um að tæknileg vöktun og þjónusta verði hluti af föstu verkefni Póst- og fjarskiptastofnunar gagnvart Stjórnarráðinu og leggur nefndin til breytingu á 3. mgr. þess efnis. Hins vegar er áréttað að þessi þjónusta eigi aðeins við um sérhæfðar forvarnir en ekki almenna ráðgjöf sem er í boði annars staðar frá.
Síðan er hér töluvert langur kafli um aðgang netöryggissveitar að upplýsingum sem varðar 17. gr. Þar kemur fram að Póst- og fjarskiptastofnun geti, til að greina og meta ógnir og áhættu við net- og upplýsingakerfi mikilvægra innviða, óskað eftir að komið skuli upp sjálfvirkri upplýsingamiðlun á milli kerfa hlutaðeigandi mikilvægra innviða og netöryggissveitar. Fram kom við umfjöllun nefndarinnar að í undirbúningi frumvarpsins var það töluvert álitamál hvernig skyldi staðið að þessari upplýsingagjöf, en nefndin áréttar að fyrirkomulagið sem mælt er fyrir í 2. mgr. er hugsað sem samstarf milli Póst- og fjarskiptastofnunar og viðkomandi aðila þegar hann þarf aðstoð við netöryggismál. Slíkum búnaði verði ekki komið fyrir nema með samþykki aðila.
Nefndin bendir á að netöryggissveitin hefur ríkan aðgang að upplýsingum og nefndin bendir jafnframt á eftirlitsheimildir en þar kemur fram að ef það er mat hlutaðeigandi eftirlitsstjórnvalds að mikilvægur innviður uppfylli ekki lágmarkskröfur um áhættustýringu og viðbúnað getur netöryggissveitin mælt fyrir um úrbætur, svo sem um lágmarksöryggisráðstafanir.
Hér áréttar nefndin enn og aftur mikilvægi þess að traust byggist upp á grunni samstarfs. Að mati nefndarinnar er brýnt að góð sátt ríki um öflun upplýsinga frá mikilvægum innviðum. Líkt og fram hefur komið hafa fulltrúar mikilvægra innviða ítrekað andmælt harðlega tillögum um einhliða heimildir netöryggissveitar til öflunar upplýsinga. Net- og upplýsingaöryggisstofnun Evrópu hefur bent á að traust er lykilatriði í uppbyggingu netöryggisskipulags og er nefndin þess viss að netöryggissveitin muni á grundvelli góðs starfs síns byggja upp slíkt traust þannig að mikilvægir innviðir sjái sér hag í að nýta þjónustu netöryggissveitarinnar.
Þá er hér kafli í nefndarálitinu um þagnarskyldu og persónuvernd. Bent var á ágalla á frumvarpinu sem leiddi til þess að nefndin leggur til þrjár breytingar á 19. og 21. gr. til að tryggja að orðalag sé þar rétt og uppfylli kröfur. Þar að auki bendir nefndin á að samkvæmt greinargerð með frumvarpinu virðist sem ekki hafi verið framkvæmt sérstakt mat á áhrifum frumvarpsins á persónuvernd og þar sem það hefði ekki verið gert við gerð frumvarpsins gæti viðeigandi aðili, þ.e. netöryggissveitin, þurft að framkvæma slíkt mat áður en vinnsla persónuupplýsinga samkvæmt ákvæðinu hefst. Nefndin beinir því til Póst- og fjarskiptastofnunar að taka ábendingu Persónuverndar hvað þetta varðar til skoðunar og framkvæma mat á áhrifum á persónuvernd fyrir gildistöku frumvarpsins. Leiði matið til þess að gera þurfi breytingar á lögum beinir nefndin því til ráðherra að frumvarp þess efnis verði lagt fram á haustþingi til að tryggja að hægt sé að gera slíkar breytingar í tíma.
Þá er næst umfjöllun um refsingar en eins og oft kemur fram í þessum stól er mikilvægt að refsiheimildir laga séu skýrar og afdráttarlausar og uppfylli ákvæði 1. mgr. 69. gr. stjórnarskrár lýðveldisins um skýrleika refsiákvæða. Eftir nokkra umfjöllun um refsingar og viðurlög leggur nefndin til að þrjár nýjar greinar bætist við frumvarpið á eftir 22. gr. Ein grein fjallar um stjórnvaldssektir, önnur um rétt manna til að fella ekki á sig sök og sú þriðja varðar skýrari umgjörð um hvenær eftirlitsstofnunum er heimilt að kæra brot á lögum til lögreglu. Þar að auki leggur nefndin til breytingar á 23. gr. Sú breyting felur í sér að með hliðsjón af sjónarmiðum um meðalhóf leggur nefndin til að einungis brot sem framin eru af ásetningi varði refsingu.
Næstsíðasti kaflinn fjallar um annað, þar sem verið er að leggja áherslu á samvinnu ráðuneytis við Póst- og fjarskiptastofnun við setningu ákveðinna reglugerða. Það eru örlitlar breytingar á hugtakanotkun og eins er bent á mikilvægi samráðs og samvinnu Póst- og fjarskiptastofnunar og mikilvægra innviða áður en almenningur er upplýstur um alvarleg atvik eða atvik sem ættu erindi til almennings. Þar áréttar nefndin enn og aftur samráð við mikilvæga innviði á sem flestum stigum og leggur til breytingu sem tryggir þetta samráð.
Svo kemur lokakaflinn sem er um kostnað og gildistöku. Áætlaður kostnaður sem hlýst af samþykkt frumvarpsins er verulegur, líkt og kemur fram í greinargerð með frumvarpinu. Í ljósi þess að verkefnið er nýtt og útfærsla á fyrirkomulagi samstarfs lykilaðila getur haft áhrif á eftirlitskostnað beinir nefndin því til ráðuneytisins að kostnaður verði endurmetinn í aðdraganda gildistöku laganna. Margt bendir til að kostnaður vegna netöryggismála fari vaxandi hjá samfélögum næstu árin og því verði að áætla fjármagn til að sinna verkefninu hér á landi eins og annars staðar.
Þrátt fyrir það er mikilvægt að útsjónarsemi verði gætt við innleiðinguna og tryggt að ekki verði lagt í fjárfestingar til að leysa sömu verkefnin hjá fleiri en einu eftirlitsstjórnvaldi, eða umfram þörf. Hluti kostnaðar felst óhjákvæmilega í þekkingaröflun og þekkingarmiðlun á þessu sviði og þann kostnað má ekki vanmeta. Nefndin beinir því til ríkisstjórnarinnar að gera þurfi ráð fyrir kostnaði vegna innleiðingar laganna í fjármálaáætlun og fjárlögum næsta árs og þá liggi fyrir nánari upplýsingar um einstaka kostnaðarliði verkefnisins.
Vegna þessa og annars nauðsynlegs undirbúnings leggur nefndin til að gildistöku laganna verði frestað til 1. september 2020. Ákvæði 4. gr. öðlist þó þegar gildi líkt og mælt er fyrir í 2. mgr. 26. gr. Það á við um netöryggisráðið. Þá leggur nefndin til smávægilegar breytingar lagatæknilegs eðlis sem þarf að þarfnast ekki skýringa.
Að framansögðu virtu leggur nefndin til að frumvarpið verði samþykkt með þeim breytingum sem lagðar eru til í sérstöku þingskjali og ég hef gert grein fyrir hér eftir því sem ég hef farið yfir álitið.
Undir álitið rita Líneik Anna Sævarsdóttir framsögumaður, Jón Gunnarsson, formaður nefndarinnar, Ari Trausti Guðmundsson, Bergþór Ólason, Hanna Katrín Friðriksson, Rósa Björk Brynjólfsdóttir, Vilhjálmur Árnason. Karl Gauti Hjaltason var fjarverandi við afgreiðslu málsins en skrifar undir álit þetta samkvæmt heimild í 4. gr. 18. gr. starfsreglna fyrir fastanefndir Alþingis. Helga Vala Helgadóttir var fjarverandi við afgreiðslu málsins.
