Samgöngu- og
sveitarstjórnarráðuneytið
M i n n i s b l a ð
Viðtakandi:
Sendandi:
Dagsetning:
Málsnúmer:
Bréfalykill:
Tilgangur: □ Til ákvörðunar IEI Til upplýsingar
□ Til undirritunar □ Skv. beiðni ráðherra
Umhverfís- og samgöngunefnd Alþingis
Samgöngu- og sveitarstjórnarráðherra
11.04.2019
SRN18050008
6 .1
Efni: Frumvarp til laga um net- og upplýsingaöryggi - 148. löggjafarþing
Netöryggislöggjöf að evrópskri fyrirmynd
Með fhimvarpi til laga um öryggi net- og upplýsingakerfa mikilvægra innviða er fyrirhugað að stíga
mikilvægt skref til eflingar netöryggis hérlendis, enda myndu þetta verða fyrstu heildstæðu lögin um
netöryggi hér á landi verði frumvarpið samþykkt. Netið er nú orðið kjaminn í rekstri nútíma stofnana
og fyrirtækja og þróunin í nýtingu þess verður æ örari. Jafnframt er skipulögð glæpastarfsemi að
verða æ stórtækari og alvarlegri auk annarra ógna af völdum einstaklinga, hópa og ríkja. Frumvarpið
byggir einkum á ákvæðum netöryggistilskipunar ESB, 2016/1148 (NlS-tilskipunin). Eitt af
lykilmarkmiðum tilskipunarinnar er að efla getu Evrópuríkja með uppbyggingu öflugrar miðlægrar
netöryggissveitar í hverju landi fyrir sig, er geti jafnframt átt í samstarfi við miðlægar
netöryggissveitir annarra ríkja Evrópu og að samræmdar kröfur séu gerðar til netöryggis mikilvægra
innviða í álfunni.
Umsagnir um frumvarpið - ágreiningsefni
Drög að frumvarpi fóru í opna umsögn síðastliðið sumar og í ljósi þeirra umsagna og ábendinga sem
þá bárust var frumvarpið endurskoðað frá grunni. Almennt virtist stuðningur við að frumvarp þessa
efnis næði fram að ganga, sérstaklega eftir að búið var að gera skýrari grein fyrir fyrirhugaðri
fjármögnun. Um einn þátt voru og eru enn skiptar skoðanir, þ.e. um hversu langt heimildir
netöryggissveitar Póst- og ijarskiptastofnunar til upplýsingaöflunar frá mikilvægum innviðum skuli
ná. í framhaldi af ósk þingnefndarinnar er hér meðfylgjandi tafla þar sem sjá má viðbrögð
ráðuneytisins við þeim umsögnum sem bárust Alþingi.
Að byggja upp traust
Net- og upplýsingaöryggisstofnun Evrópu, ENISA, hefur bent á að traust sé lykilatriði við
uppbyggingu netöryggisskipulags, betra sé að byggja upp skipulagið í skrefum, þannig að hvert skref
sé tekið í sátt við viðkomandi en að taka stórt stökk og fara fram úr því trausti sem hefur byggst upp.
Leið sú sem ráðuneytið leggur til í frumvarpinu byggist á samkomulagi beggja aðila um miðlun
upplýsinga og þeir umsagnaraðilar sem áður gagnrýndu harðlega ákvæði vegna heimilda
netöryggissveitar í fyrri gerð frumvarps hafa ekki séð ástæðu til að gera athugasemd við þessa leið.
Samkomulagsleið ráðuneytisins byggir á því að traust ríki á milli aðila, það verður aldrei fyrirskipað í
lögum. Ráðuneytið hefur hins vegar enga ástæðu til að ætla að netöryggissveitin geti ekki byggt upp
slíkt traust að mikilvægir innviðir, hver af öðrum, sjái sér hag í að nýta sér þá mikilvægu þjónustu
sem netöryggissveitin getur boðið. Til viðbótar má nefna að samkvæmt 11. og 12. gr. frumvarpsins
hafa eftirlitsstjómvöld ákveðnar aðhaldsheimildir sem geta tengst kröfu um upplýsingamiðlun til
netöryggissveitarinnar og verði frumvarpið að lögum, þá mun ráðuneytið leggja áherslu á að
mikilvægir innviðir geri samninga við netöryggissveitina, enda er samvinna við hana augljós kostur
við að uppfylla lágmarkskröfur frumvarpsins. Eftirlitsstjómvöld á mismunandi sviðum standa frammi
fyrir því vandasama verkefni að byggja upp tæknilega getu og tryggja skilvirkt efitirlit, hvert á sínu
sviði, jafnframt því að hafa með sér nauðsynlegt samstarf til að geta glímt við sameiginlegar netógnir.
Aðrar athugasemdir
Nánari grein er gerð fyrir helstu athugasemdum umsagnaraðila um ffumvarpið, er borist hafa
umhverfis- og samgöngunefnd, í meðfylgjandi töflu og skýringum/afstöðu ráðuneytisins til þeirra.
Samgöngustofa kom með ágæta ábendingu varðandi að gera greinarmun á orðunum „securify” og „
safefy” með þýðingunum „vemd” og „öryggi” . Samgöngustofa hefur notað þessar þýðingar á eigin
verksviði og þessi orðanotkun hefur unnið sér sess þar. Hún er þó ekki orðin almenn annars staðar og
getur því valdið ruglingi. Nái þessar þýðingar að festa sig almennt í sessi væri sjálfsagt að endurskoða
orðfæri fyrirhugaðra laga, en hafa verður þó í huga að mörk á milli „security” og „safefy” geta verið
óljós þegar um netið er að ræða.
Að mati ráðuneytisins er á hinn bóginn rétt að bregðast við ábendingu Þýðingarmiðstöðvar
utanríkisráðuneytisins um að betur fari á að tala um „veitendur stafrænnar þjónustu” en „stafræna
þjónustuveitendur”. Ráðuneytið gerir því tillögu um að þessu verði breytt í öllum efnisákvæðum
frumvarpsins, þar sem nú er fjallað um „stafræna þjónustuveitendur".