Öryggi net- og upplýsingakerfa mikilvægra innviða

Umsögn í þingmáli 416 á 149. þingi


Þingmál lagt fram: 03.12.2018 Tegund þingmáls: Lagafrumvarp Fjöldi umsagna við þingmál: 18 Fjöldi umsagnabeiðna við þingmál: 29 Ferill þingmálsins á althingi.is Sendandi: Samgöngu- og sveitarstjórnarráðuneytið Viðtakandi: Umhverfis- og samgöngu­nefnd Dagsetning: 12.04.2019 Gerð: Upplýsingar
Samgöngu- og sveitarstjórnarráðuneytið M i n n i s b l a ð Viðtakandi: Sendandi: Dagsetning: Málsnúmer: Bréfalykill: Tilgangur: □ Til ákvörðunar IEI Til upplýsingar □ Til undirritunar □ Skv. beiðni ráðherra Umhverfís- og samgöngunefnd Alþingis Samgöngu- og sveitarstjórnarráðherra 11.04.2019 SRN18050008 6 .1 Efni: Frumvarp til laga um net- og upplýsingaöryggi - 148. löggjafarþing Netöryggislöggjöf að evrópskri fyrirmynd Með fhimvarpi til laga um öryggi net- og upplýsingakerfa mikilvægra innviða er fyrirhugað að stíga mikilvægt skref til eflingar netöryggis hérlendis, enda myndu þetta verða fyrstu heildstæðu lögin um netöryggi hér á landi verði frumvarpið samþykkt. Netið er nú orðið kjaminn í rekstri nútíma stofnana og fyrirtækja og þróunin í nýtingu þess verður æ örari. Jafnframt er skipulögð glæpastarfsemi að verða æ stórtækari og alvarlegri auk annarra ógna af völdum einstaklinga, hópa og ríkja. Frumvarpið byggir einkum á ákvæðum netöryggistilskipunar ESB, 2016/1148 (NlS-tilskipunin). Eitt af lykilmarkmiðum tilskipunarinnar er að efla getu Evrópuríkja með uppbyggingu öflugrar miðlægrar netöryggissveitar í hverju landi fyrir sig, er geti jafnframt átt í samstarfi við miðlægar netöryggissveitir annarra ríkja Evrópu og að samræmdar kröfur séu gerðar til netöryggis mikilvægra innviða í álfunni. Umsagnir um frumvarpið - ágreiningsefni Drög að frumvarpi fóru í opna umsögn síðastliðið sumar og í ljósi þeirra umsagna og ábendinga sem þá bárust var frumvarpið endurskoðað frá grunni. Almennt virtist stuðningur við að frumvarp þessa efnis næði fram að ganga, sérstaklega eftir að búið var að gera skýrari grein fyrir fyrirhugaðri fjármögnun. Um einn þátt voru og eru enn skiptar skoðanir, þ.e. um hversu langt heimildir netöryggissveitar Póst- og ijarskiptastofnunar til upplýsingaöflunar frá mikilvægum innviðum skuli ná. í framhaldi af ósk þingnefndarinnar er hér meðfylgjandi tafla þar sem sjá má viðbrögð ráðuneytisins við þeim umsögnum sem bárust Alþingi. Að byggja upp traust Net- og upplýsingaöryggisstofnun Evrópu, ENISA, hefur bent á að traust sé lykilatriði við uppbyggingu netöryggisskipulags, betra sé að byggja upp skipulagið í skrefum, þannig að hvert skref sé tekið í sátt við viðkomandi en að taka stórt stökk og fara fram úr því trausti sem hefur byggst upp. Leið sú sem ráðuneytið leggur til í frumvarpinu byggist á samkomulagi beggja aðila um miðlun upplýsinga og þeir umsagnaraðilar sem áður gagnrýndu harðlega ákvæði vegna heimilda netöryggissveitar í fyrri gerð frumvarps hafa ekki séð ástæðu til að gera athugasemd við þessa leið. Samkomulagsleið ráðuneytisins byggir á því að traust ríki á milli aðila, það verður aldrei fyrirskipað í lögum. Ráðuneytið hefur hins vegar enga ástæðu til að ætla að netöryggissveitin geti ekki byggt upp slíkt traust að mikilvægir innviðir, hver af öðrum, sjái sér hag í að nýta sér þá mikilvægu þjónustu sem netöryggissveitin getur boðið. Til viðbótar má nefna að samkvæmt 11. og 12. gr. frumvarpsins hafa eftirlitsstjómvöld ákveðnar aðhaldsheimildir sem geta tengst kröfu um upplýsingamiðlun til netöryggissveitarinnar og verði frumvarpið að lögum, þá mun ráðuneytið leggja áherslu á að mikilvægir innviðir geri samninga við netöryggissveitina, enda er samvinna við hana augljós kostur við að uppfylla lágmarkskröfur frumvarpsins. Eftirlitsstjómvöld á mismunandi sviðum standa frammi fyrir því vandasama verkefni að byggja upp tæknilega getu og tryggja skilvirkt efitirlit, hvert á sínu sviði, jafnframt því að hafa með sér nauðsynlegt samstarf til að geta glímt við sameiginlegar netógnir. Aðrar athugasemdir Nánari grein er gerð fyrir helstu athugasemdum umsagnaraðila um ffumvarpið, er borist hafa umhverfis- og samgöngunefnd, í meðfylgjandi töflu og skýringum/afstöðu ráðuneytisins til þeirra. Samgöngustofa kom með ágæta ábendingu varðandi að gera greinarmun á orðunum „securify” og „ safefy” með þýðingunum „vemd” og „öryggi” . Samgöngustofa hefur notað þessar þýðingar á eigin verksviði og þessi orðanotkun hefur unnið sér sess þar. Hún er þó ekki orðin almenn annars staðar og getur því valdið ruglingi. Nái þessar þýðingar að festa sig almennt í sessi væri sjálfsagt að endurskoða orðfæri fyrirhugaðra laga, en hafa verður þó í huga að mörk á milli „security” og „safefy” geta verið óljós þegar um netið er að ræða. Að mati ráðuneytisins er á hinn bóginn rétt að bregðast við ábendingu Þýðingarmiðstöðvar utanríkisráðuneytisins um að betur fari á að tala um „veitendur stafrænnar þjónustu” en „stafræna þjónustuveitendur”. Ráðuneytið gerir því tillögu um að þessu verði breytt í öllum efnisákvæðum frumvarpsins, þar sem nú er fjallað um „stafræna þjónustuveitendur".