öryggi net- og upplýsingakerfa mikilvægra innviða.
Virðulegur forseti. Ég mæli fyrir frumvarpi til laga um öryggi net- og upplýsingakerfa mikilvægra innviða sem yrði fyrsti heildstæði lagabálkurinn á þessu sviði á Íslandi.
Frumvarpið er í samræmi við efnisákvæði netöryggistilskipunar Evrópusambandsins, oft nefnt NIS-tilskipunin, en rétt er að taka fram að hún hefur ekki verið tekin upp í EES-samninginn. Unnið er að undirbúningi ákvörðunar þar um á vettvangi EFTA og EES-ríkja og undirbúningur hafinn að innleiðingu, bæði í Noregi og Liechtenstein. Við vinnslu frumvarpsins hefur verið haft víðtækt samráð við hagsmunaaðila og jafnframt horft til þess hvernig staðið var að innleiðingu NIS-tilskipunarinnar í Danmörku, Finnlandi og Svíþjóð. Net- og upplýsingakerfi gegna lykilhlutverki í nútímasamfélögum en hvarvetna er litið á netárásir sem vaxandi ógn. Frumvarpið varðar því mjög mikilvæga hagsmuni að efla viðnámsþrótt mikilvægra innviða samfélagsins gegn netógnum.
Í stuttu máli eru meginmarkmið frumvarpsins að samræma lágmarkskröfur um áhættustýringu og viðbúnað mikilvægra innviða eins og þeir eru skilgreindir í frumvarpinu, að lögleiða tilkynningarskyldu um alvarleg atvik í net- og upplýsingakerfum til netöryggissveitar Póst- og fjarskiptastofnunar, að efla starfsemi netöryggissveitar verulega og gera stjórnendum betur kleift að samræma viðbrögð við netógnum. Net- og upplýsingaöryggi er málaflokkur sem hefur snertifleti við viðfangsefni margra stofnana.
Þá er lagt til að kveðið verði á um skipun og hlutverk netöryggisráðs í fyrirhuguðum lögum. Nýmæli eru fjölmörg enda verður um nýjan lagabálk að ræða verði frumvarpið samþykkt.
Til hagræðis er í frumvarpinu lagt til að hugtakið eða safnheitið mikilvægir innviðir verði skilgreint og notað yfir rekstraraðila nauðsynlegrar þjónustu og stafræna þjónustuveitendur sameiginlega. Með vísan til þess er í frumvarpinu lagt upp með að eftirlit með stafrænum þjónustuveitendum verði léttvægara en gagnvart rekstraraðilum nauðsynlegrar þjónustu. Það verði einkum eftir á og að teknu tilliti til eðlis starfsemi hlutaðeigandi.
Í 7. gr. frumvarpsins er sú skylda lögð á herðar mikilvægum innviðum að skjalfesta með viðeigandi hætti stefnu og ferla um áhættustýringu vegna kerfa sinna, enda formfast verklag til þess fallið að stuðla að auknu öryggi og viðnámsþrótti net- og upplýsingakerfa. Áhættumat og prófanir skulu framkvæmdar reglubundið og öryggisráðstafanir endurmetnar eftir því sem við kann að eiga og í samræmi við alþjóðleg viðmið um bestu framkvæmd.
Frumvarpið gerir ráð fyrir að ólíkum eftirlitsstjórnvöldum verði falið eftirlit með framkvæmd fyrirhugaðra laga hver á sínu sviði, þ.e. Orkustofnun vegna orku- og hitaveitna, Samgöngustofu vegna flutningastarfsemi, Fjármálaeftirlitinu vegna bankastarfsemi og innviða fjármálamarkaða, embætti landlæknis vegna heilbrigðisþjónustu, Umhverfisstofnun vegna vatnsveitna og Póst- og fjarskiptastofnun vegna stafrænna grunnvirkja og stafrænna þjónustuveitenda.
Stöðug viðleitni eftirlitsstjórnvalda til eflingar varna og viðnámsþróttar með tilliti til net- og upplýsingaöryggis er forsenda þess að markmið fyrirhugaðra laga náist.
Í 12. gr. frumvarpsins eru því skilgreindar lágmarkseftirlitsheimildir þeirra gagnvart mikilvægum innviðum, svo sem um aðgang að gögnum og upplýsingum, skýrslugjöf, heimildir til úttekta, prófana og kröfugerðir um úrbætur. Gert er ráð fyrir heimild til álagningar dagsekta ef ekki er farið eftir tilmælum stjórnvalds eða orðið við óskum um afhendingu gagna. Þá er lagt til að Póst- og fjarskiptastofnun verði falið að gegna ráðgefandi samhæfingarhlutverki gagnvart eftirlitsstjórnvöldum sem samhæfingarstjórnvald. Starfslið Póst- og fjarskiptastofnunar býr yfir mikilli þekkingu og reynslu á sviði utanríkismála, starfrækir netöryggissveit og er eins og áður segir ætlað eftirlitshlutverk samkvæmt frumvarpinu.
Netógnir fylgja ekki hefðbundnum landamærum og því er nauðsynlegt að samhæfingarstjórnvald sé í góðum tengslum við önnur ríki og systurstofnanir.
Annað meginmarkmið frumvarpsins er að kveða á um tilkynningarskyldu um alvarleg atvik í net- og upplýsingakerfi mikilvægra innviða til netöryggissveitar Póst- og fjarskiptastofnunar án tafar.
Lagt er til auk þess að varða skuli refsingu að gefa af ásetningi eða stórkostlegu gáleysi ranga tilkynningu til netöryggissveitarinnar.
Lagt er til að kveðið verði á um að netöryggissveit skuli tryggja að tilkynningar frá mikilvægum innviðum og upplýsingar um atvik séu aðgengilegar hlutaðeigandi stjórnvöldum án tafar. Póst- og fjarskiptastofnun hefur um nokkurt skeið starfrækt netöryggissveit, svonefnt CSIRT-teymi fyrir Ísland. Brýnt er að tryggja Póst- og fjarskiptastofnun nauðsynlegt bolmagn til starfrækslu netöryggissveitar. Rétt er að benda á að meginkostnaður vegna frumvarpsins, verði það að lögum, er vegna tímabærrar eflingar sveitarinnar.
Í IV. kafla frumvarpsins er fjallað um þjónustu og samstarf við netöryggissveitina. Hún skal bregðast við tilkynningum um atvik frá mikilvægum innviðum og öðrum með því að veita viðeigandi upplýsingar eða ráðgjöf um viðbrögð og aðgerðir í því skyni að styðja við skilvirka meðhöndlun atviks.
Leiki grunur á refsiverðri háttsemi er það eiganda net- og upplýsingakerfanna sem ógn steðjar að að tilkynna um atvik til lögreglu. Í frumvarpinu er ekki aðeins vikið að skyldum netöryggissveitarinnar heldur er einnig lagt til að mikilvægir innviðir geti leitað til sveitarinnar um aðstoð og leiðbeiningar um sérhæfðar forvarnir í tengslum við öryggi net- og upplýsingakerfa sinna.
Lagt er til að opinberum stofnunum verði gert kleift að gera samninga við Póst- og fjarskiptastofnun um þjónustu af þessu tagi gegn endurgjaldi. Hins vegar er lagt til að Stjórnarráð Íslands fái notið þjónustu Póst- og fjarskiptastofnunar á sviði netöryggismála án sérstaks endurgjalds.
Í frumvarpinu er enn fremur lagt til að netöryggissveit Póst- og fjarskiptastofnunar verði heimilt að bjóða mikilvægum innviðum og opinberum stofnunum tæknilega vöktunarþjónustu á nánar skilgreindum og skjalfestum forsendum í því skyni að greina ummerki um árásir, spillikóða og aðrar hættulegar aðstæður. Mikilvægt er að tryggja netöryggissveit aðgengi að nauðsynlegum upplýsingum svo hún hafi bestu faglegu forsendur til viðbragða við atvikum og áhættu.
Fjallað er um heimildir sveitarinnar til vinnslu persónuupplýsinga í 21. gr. frumvarpsins og það má líka nefna að í 5. mgr. 18. gr. frumvarpsins er lagt til að vikið verði að heimild netöryggissveitar til að skipuleggja viðbúnaðaræfingar með þátttöku fulltrúa mikilvægra innviða og opinberra stofnana og eftir atvikum í samstarfi við ríkislögreglustjóra og eftirlitsstjórnvald.
Í NIS-tilskipuninni er rík áhersla á landsbundnar stefnuáætlanir á sviði net- og upplýsingaöryggis og er lagt til í 4. gr. að vikið verði að stefnumörkun ráðherra í því skyni.
Í gildi er stefna um net- og upplýsingaöryggi frá árinu 2015 með framtíðarsýn til ársins 2026. Netöryggisráð var sett á fót á sama tíma í því skyni að tryggja eftirfylgni þessarar stefnu. Lagt er til að hlutverk þess verði einkum að fylgja eftir framkvæmd stefnu stjórnvalda á þessu sviði. Ráðið leggi mat á stöðu netöryggis á Íslandi á hverjum tíma og verði vettvangur upplýsingamiðlunar og samhæfingar.
Gert er ráð fyrir að fundir ráðsins skuli haldnir fyrir luktum dyrum með vísan til þess að um viðkvæmar upplýsingar kann að vera að ræða og sjónarmiða um þjóðaröryggi.
Í ákvæðum 19. og 20. gr. er fjallað um þagnarskyldu og þá má nefna að lokum að gert er ráð fyrir að brot á ákvæðum um öryggiskröfur og tilkynningarskyldu svo og ákvæði um sérstaka þagnarskyldu skuli varða refsingu.
Lagt er til að lögin öðlist gildi 1. janúar 2020 verði þau samþykkt. Þó þykir viðeigandi að gera ráð fyrir að 4. gr., sem lýtur að stefnu stjórnvalda á netöryggisráði, öðlist þegar gildi. Loks ber að geta að lagðar eru til breytingar á ákvæðum laga um Póst- og fjarskiptastofnun og laga um fjarskipti sem nauðsynlegar þykja verði frumvarpið að lögum.
Verði frumvarpið að lögum munu þau stuðla að auknu netöryggi á Íslandi með áframhaldandi uppbyggingu á eigin getu og samstarfi við önnur ríki.
Virðulegi forseti. Ég hef gert grein fyrir meginefni frumvarpsins og legg til að því verði að lokinni þessari umræðu vísað til hv. umhverfis- og samgöngunefndar og 2. umr.
