Netöryggi (bski. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
Ákv. Umsagnaraðili Helsta gagnrýni/efnisatriði: Athugasemdir SRN:
Fjármálaeftirlitið,
Hafnasamband
Íslands, Isavia ohf.,
Landsvirkjun, Póst-
og fjarskiptastofnun
(PFS), SA / SI,
Samgöngustofa,
Samorka, SFF og
Viðskiptaráð
Lýsa almennum stuðningi við frumvarpið, þótt gerðar
séu athugasemdir og tillögur að breytingum á
einstökum greinum.
Viðskiptaráð
ISNIC
SFF (Samtök
fiármálafyrirtækia)
Efnisákvæði gangi lengra en NISD1 gerir ráð fyrir. • Ekki var stefnt að því, nema að því marki sem sérstök ástæða þótti til og grein er
gerð fyrir í skýringum með frumvarpinu:
o Lagt er til að hitaveitur verði felldar í flokk mikilvægra innviða hér á landi,
með vísan til séríslenskra aðstæðna, enda gegna þær mikilvægu hlutverki
hérlendis með svipuðum hætti og þeir orkugjafar sem NISD tekur til.
o Enn fremur er lagt til að netöryggisþjónusta af hálfu Póst- og
fjarskiptastofnunar (PFS) standi opinberum stofnunum til boða.
o Frumvarpið gerir ráð fyrir að lágmarksöryggiskröfur til mikilvægra innviða
verði skilgreindar í einu og sama ákvæðinu (sjá nánar um 7. gr.), er sú
aðferðafræði að mati SRN til einföldunar og hagræðis, enda gerir
frumvarpið greinarmun á eftirlitsheimildum í tilviki annars vegar
rekstraraðila nauðsynlegrar þjónustu og hins vegar veitanda stafrænnar
þjónustu (sjá nánar um 11. gr.).
PFS Efnisákvæði gangi skemmra en NISD gerir ráð fyrir. Það
eigi einkum við um starfrækslu netöryggissveitar og
heimildir hennar til að afla nauðsynlegra upplýsinga.
(Sjá og athugasemdir PFS við 14.-18. gr. frumvarpsins).
• PFS er ætlað afar mikilvægt hlutverk samkvæmt frumvarpinu, sem bæði eftirlits- og
samhæfingarstjórnvald, auk þess að starfrækja landsbundið öryggis- og
viðbragðsteymi (netöryggissveit).
• Eitt af lykilmarkmiðum frumvarpsins er að efla hlutverk netöryggissveitar og
bolmagn hennar, sem hið landsbundna öryggis- og viðbragðsteymi, til muna frá því
sem nú er.
• Með frumvarpinu er lagt til að leidd verði í lög hér á landi efnisákvæði NISD, eins og
fram kemur í greinargerð. Við endanlegan frágang frumvarpsins þurfti að vega og
meta ólík sjónarmið, þ. á m. gagnvart álitaefnum um hvað teldist rétt og viðeigandi
með tilliti til ákvæða NISD er lúta að starfrækslu netöryggissveita, með hliðsjón af
m.a. meðalhófsreglu og valdmörkum gagnvart ólíkum handhöfum ríkisvalds að
gildandi lögum. Þau ákvæði sem mest var deilt á í upphaflegum frumvarpsdrögum,
1 Með „NISD" er átt við netöryggistilskipun ESB, e . Network and Information System Directive 2016/1148/EU.
1
https://www.althingi.is/altext/149/s/0557.html
https://samradsgatt.island.is/oll-mal/$Cases/Details/?id=79
https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32016L1148
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
sem birt voru í samráðsgátt stjórnvalda sl. sumar, sneru einmitt að þessu og þóttu
heimildir netöryggissveitar ganga of langt.
• Athygli er vakin á að meginefni frumvarpsins lýtur að mikilvægum innviðum, í
skilningi NISD. Um fjarskiptafyrirtæki gilda sérlög, sem einnig byggja á
samevrópskum reglum, en með 27. gr. frumvarpsins eru lagðar til breytingar á
gildandi fjarskiptaregluverki, sem miða að því að samræma hugtakanotkun og
grundvallarákvæði um netöryggismál.
• Vísast til umfjöllunar um athugasemdir við ákvæði IV. kafla frumvarpsins (14.-18.
gr.), neðar.
Isavia ohf. NISD er ekki auðkennd EES-tæk. Upptaka í hvaða hluta
EES-samningsins?
• Unnið er að undirbúningi upptöku NISD (og fram kominnar undirgerðar,
framkvæmdareglugerðar framkvæmdastjórnar ESB, nr. 2018/151) í EES-
samninginn, nánar tiltekið XI. viðauka hans.
• Rétt er að NISD var ekki merkt sem EES tæk við birtingu tilskipunarinnar í
Stjórnartíðindum ESB árið 2016.
• Hins vegar er hún á forgangslista ríkisstjórnarinnar vegna hagsmunagæslu gagnvart
ESB fyrir árin 2016-2017 og sambærilegum lista fyrir 2018.
• Þá má þess geta, til samanburðar, að tillaga framkvæmdastjórnarinnar að reglugerð
um Net- og upplýsingaöryggisstofnun Evrópu (ENISA) o.fl. er auðkennd EEA-
relevant. Gildandi reglugerð ESB um ENISA var innleidd hér á landi með reglugerð
nr. 1265/2014. Ísland á fulltrúa í stjórn ENISA, líkt og önnur EES-ríki.
SFF Er rétt að viðhalda því fyrirkomulagi að netöryggissveit
heyri undir PFS? Röksemdir fyrir því? Hvaða kröfur eru
gerðar til starfsliðs sveitarinnar?
• Að mati SRN er ekki tilefni til breytinga á heimilisfesti netöryggissveitar. Starfslið PFS
býr yfir reynslu og þekkingu á sviði netöryggismála og er að mati SRN það starfandi
stjórnvald sem best er í stakk búið til að sinna lykilhlutverki í þessum efnum hér á
landi.
• Vísast m.a. til umfjöllunar um 11. og 13. gr. frumvarpsins.
• Netöryggissveitin mun gegna afar mikilvægu hlutverki í vörnum Íslands gegn
netógnum í framtíðinni sem landsbundið öryggis- og viðbragðsteymi, með dýrmæt
tengsl við systurteymi erlendis og t.d. ENISA. Efling netöryggissveitar er eitt af
lykilmarkmiðum frumvarpsins; verði það að lögum verður hlutverk hennar og
bolmagn útvíkkað til muna frá því sem nú er.
• Eðli máls samkvæmt er brýnt að PFS (ekki síst netöryggissveit) og löggæsluyfirvöld
eigi virkt og gott samstarf á sviði netöryggismála, eins og gildandi lög um fjarskipti
og frumvarp þetta gera ráð fyrir.
• Þá er athygli vakin á að með frumvarpinu er lagt til að stjórnsýsluumgjörð
netöryggismála almennt verði efld til muna.
• Að því er kröfur til starfsliðs netöryggissveitar, þ. á m. öryggisvottun, vísast til 27. gr.
frumvarpsins, einkum tillögu um nýja 4. gr. a. í lögum um Póst- og fjarskiptastofnun.
Frumvarpið gerir ráð fyrir að mælt verði nánar fyrir um hæfi starfsmanna
2
https://www.althingi.is/altext/149/s/0557.html
https://samradsgatt.island.is/oll-mal/$Cases/Details/?id=79
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018R0151&from=EN
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN
https://www.stjornarradid.is/media/forsaetisraduneyti-media/media/frettir2/Forgangsskjal-til-rikisstjornar-190916.pdf
https://www.stjornarradid.is/media/forsaetisraduneyti-media/media/frettir2/Forgangsskjal-til-rikisstjornar-190916.pdf
https://www.stjornarradid.is/lisalib/getfile.aspx?itemid=a78e9413-550d-11e8-9428-005056bc4d74
https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1505290611859&uri=COM:2017:477:FIN
https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1505290611859&uri=COM:2017:477:FIN
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
netöryggissveitar í reglugerð, enda er þetta öryggisumhverfi í örri þróun þar sem
getur reynt á mismunandi öryggisþætti. Eðlilegt er að miðað sé við almennar
ráðningarreglur um að umsækjendur hafi menntun og reynslu í samræmi við það
sem starfið krefst.
ISNIC Gerir frumvarpið ráð fyrir þyngra eftirliti með
netumferð en tíðkist innan ESB?
• Nei, þvert á móti var markmið SRN að frumvarpið endurspeglaði samræmi og
viðeigandi samspil við nýlega persónuverndarlöggjöf (sbr. GDPR), sjá m.a. 17. og 21.
gr. þess.
• Vísast til skýringa í greinargerð, um 16. gr. frumvarpsins, þar sem m.a. segir:
„Mikilvægt er að árétta að um er að ræða umferð við kerfi aðila, en ekki tilgangurinn
að nema almenna netumferð notenda Netsins".
• Þá vísast til 27. gr. frumvarpsins (er snýr að fjarskiptafyrirtækjum), þ.e. tillögu að
nýju ákvæði 47. gr. b., 4. mgr. er svohljóðandi: „Hvorki er heimilt að persónugreina
netumferð né skima einstaka netpakka eða flæði sem netöryggissveitin kann að
nema í almennum netkerfum fjarskiptafyrirtækja. Netöryggissveit er þó heimilt að
móttaka upplýsingar um almenna netumferð án dómsúrskurðar, þ.m.t. á
samtengipunktum og í útlandagáttum, enda séu þær upplýsingar
ópersónugreinanlegar".
SFF Athugasemd um að kostnaði vegna innleiðingar NISD
verði ekki mætt með álögum á þau fyrirtæki sem koma
til með að falla undir gildissvið fyrirhugaðra laga.
• Áætlað er að netöryggismál verði fjármögnuð með almennri skattheimtu.
Sömuleiðis verði til viðbótar heimilt að taka þjónustugjöld af þeim aðilum sem nýta
sér þjónustu eftirlitsaðila eða netöryggissveitar án þess að það sé skylt samkvæmt
lögum.
2. gr. Fjármálaeftirlitið
(FME)
Kann að vera ástæða til að fella fleiri aðila undir
gildissvið laganna? Þ.e. aðrar tegundir eftirlitsskyldra
aðila, s.s. vátryggingafélög og lífeyrissjóði?
Benda á gildandi leiðbeinandi tilmæli FME nr. 2/2014,
um upplýsingakerfi eftirlitsskyldra aðila, sem geri að
miklu leyti sömu kröfur til aðila og koma fram í
frumvarpinu. Lýsa áhyggjum af því að eftirlitsskyldir
aðilar, sem aðeins falla undir leiðbeinandi tilmæli FME,
en ekki fyrirhuguð NIS-lög, muni „líta svo á að skyldur
þeirra þegar kemur að netöryggi séu ekki eins ríkar og
þeirra félaga sem falla undir lögin". Það væri „..mjög
slæm niðurstaða ef setning nýrra heildarlaga grafi
undan eftirliti Fjármálaeftirlitsins með þeim
eftirlitsskyldu aðilum sem falla ekki undir lögin".
• Atvinnulíf nútímans reiðir sig meira og minna á net- og upplýsingatækni. Að mati
SRN mun áhersla á eftirlit með rekstraráhættu aukast enn frekar í náinni framtíð, á
öllum málefnasviðum, þ.m.t. fjármálamarkaði. Við undirbúning frumvarpsins var
lagt upp með að skilgreining nauðsynlegrar þjónustu og mikilvægra innviða - og þar
með gildissvið - yrði í samræmi við NISD, en gera má ráð fyrir að lagaumgjörðin
þróist áfram um ókomin ár rétt eins og netógnir.
• Lagt er til að með 7. gr. verði samræmdar lágmarkskröfur um áhættustýringu og
viðbúnað fyrir allar tegundir mikilvægra innviða, í skilningi frumvarpsins, en nokkuð
rík hefð er þegar fyrir áherslu á eftirlit með rekstraráhættu á sviði fjármálamarkaðar,
sbr. ýmis löggjöf sem heyrir undir fjármála- og efnahagsráðuneyti. Í sérlögum má
kveða á um lágmarkskröfur til áhættustýringarumgjarðar og öryggisráðstafana, ef
þörf krefur.
• Ákvæði 1. mgr. 5. gr. frumvarpsins lýtur að tengslum við önnur lög; sérlög ganga
framar, ef við á, í samræmi við almennar lögskýringarreglur (lex specialis).
• Rétt er að vekja athygli á að 15. gr. frumvarpsins gerir ráð fyrir að öðrum en
mikilvægum innviðum, í skilningi þess, verði kleift að miðla tilkynningum til
netöryggissveitar. Ákvæðið gerir þó ráð fyrir að sveitinni sé heimilt, ef þörf krefur,
3
https://www.althingi.is/altext/149/s/0557.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
að forgangsraða í starfsemi sinni þannig að brugðist sé við tilkynningum um atvik frá
mikilvægum innviðum og opinberum stofnunum áður en tilkynningum frá öðrum er
sinnt. Þ.e. með vísan til takmarkaðs bolmagns/auðlinda, en reynslan kann að sýna
að efld netöryggissveit anni auðveldlega enn stærri þjónustuhóp en frumvarpið
gerir ráð fyrir.
• Að mati SRN er ekki hætta á að frumvarpið, verði það að lögum, muni grafa undan
eftirliti eða hlutverki/verkefnum eftirlitsstjórnvalda.
Isavia ohf. Afmörkun „net- og upplýsingakerfa"; eiga kröfurnar að
gilda um öll tölvukerfi?
• Nei, líta verður til útlistunar í 1. mgr. 2. gr. frumvarpsins; þjónusta rekstraraðila telst
nauðsynleg í skilningi frumvarpsins að uppfylltum tilteknum skilyrðum (a. þjónusta
er nauðsynleg fyrir viðhald mikilvægrar samfélagslegrar og efnahagslegrar
starfsemi; b. veiting þjónustu er háð net- og upplýsingakerfum; c. atvik hefðu
verulega skerðandi áhrif á veitingu þjónustu).
Samgöngustofa Leggja til að notað verði hugtakið „flutningastarfsemi" í
stað „flutninga". Ákvæði 1. mgr. verði svohljóðandi:
„Lög þessi gilda um net- og upplýsingakerfi rekstraraðila
nauðsynlegrar þjónustu hér á landi á sviði bankastarfsemi og
innviða fiármálamarkaða, flutningastarfsemi,
heilbrigðisþjónustu, orku-, hita- og vatnsveitna, svo og
stafrænna grunnvirkja, að uppfylltum skilyrðum 3. gr."
(Sjá og sömu ábendingu við 6. gr.).
• Að mati SRN má fallast á þessa breytingartillögu, - sem kallar á breytingar þar sem
orðið kemur fyrir (í þessari merkingu) í efnisákvæðum frumvarpsins, þ.e.:
- 1. mgr. 2. gr.
- 5. tölul. 6. gr.
- 17. tölul. 6. gr.
- b-liður 1. mgr. 11. gr.
3. gr. ISNIC Aðeins „örfélög" (í skilningi laga um ársreikninga)
undanskilin gildissviðinu, en ekki „lítil félög".
• Í Art. 16(11) NISD segir að kafli V (þ.e. Art. 16-18) skuli ekki gilda um örfélög og lítil
félög eins og þau eru skilgreind í tilmælum framkvæmdastjórnar ESB 2003/361 um
skilgreiningu á örfyrirtækjum, litlum og meðalstórum fyrirtækjum.
• Hins vegar er NISD lágmarkssamræmingargerð. Þannig segir í Art. 3, NISD, að
aðildarríki geti samþykkt eða viðhaldið ríkari kröfum í löggjöf, er miða að því að ná
hærra sameiginlegu öryggisstigi í net- og upplýsingakerfum en tilskipunin gerir
berum orðum ráð fyrir. Eina ákvæðið sem undanþegið er þessu í Art. 3, er Art.
16(10). Með frumvarpinu er ekki lagt til að ríkari kröfur verði gerðar til veitenda
stafrænnar þjónustu en efnisákvæði NISD fela í sér. Þegar af þeirri ástæðu má
gagnálykta þannig, að mati SRN, að heimilt sé að takmarka undanþágu frá gildissviði
fyrirhugaðra laga við örfélög.
• Tilmæli framkvæmdastjórnarinnar, nr. 2003/361, munu ekki hafa verið innleidd í
landsrétt sem slík. Hins vegar eru hugtökin lítið félag og örfélag skilgreind í 2. gr.
laga nr. 3/2006, um ársreikninga, sem vissulega byggja á samevrópsku regluverki:
Lítið félag er „félag sem fe r ekki yfir mörkin á a.m.k. tveimur a f þremur
eftirfarandi viðmiðunum: (1) heildareignum: 600.000.000 kr., (2) hreinni veltu:
1.200.000.000, (3) meðalfjölda ársverka á fjárhagsárinu: 50".
4
https://www.althingi.is/altext/149/s/0557.html
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32003H0361&from=EN
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32003H0361&from=EN
https://www.althingi.is/lagas/149a/2006003.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
Örfélag er „félag sem við uppgjörsdag fer ekki yfir mörkin á a.m.k. tveimur af
þremur eftirfarandi viðmiðunum: (1) heildareignum: 20.000.000 kr., (2) hreinni
veltu: 40.000.000 kr., (3) meðalfjölda ársverka á fjárhagsárinu: 3".
Vísast til umfjöllunar í greinargerð frumvarpsins sem varð að lögum nr. 73/2016, um
breytingu á lögum um ársreikninga (þskj. 730 - 456. mál). Þar kemur m.a. fram að
um 80% félaga á Íslandi falli undir stærðarmörkin fyrir örfélög, skv. tölulegum
upplýsingum frá ríkisskattstjóra.
• Tillaga um að einungis örfélög verði undanskilin, í 2. mgr. 2. gr. frumvarpsins, á rætur
að rekja til þess mats PFS að ella kunni aðilar sem annars teldust til umsvifamikilla
og mikilvægra veitenda stafrænnar þjónustu að falla utan gildissviðs fyrirhugaðra
laga og það væri í andstöðu við markmið lagasetningar, að tryggja þjónustu
mikilvægra innviða.
Isavia ohf. Breytingartillaga við 3. mgr.: samráð skuli viðhaft við þá
rekstraraðila sem til stendur að skilgreina sem
rekstraraðila nauðsynlegrar þjónustu.
• Að mati SRN fer betur á að bregðast við þessari athugasemd í 2. mgr. 11. gr.
• (Sjá neðar).
4. gr. Persónuvernd Breytingartillaga: aðilar sem tilefna í netöryggisráð verði
taldir upp í 2. mgr. 4. gr. Ákvæðið verði svohljóðandi:
„Ráðherra skipar netöryggisráð að fenainni tilnefninau beirra
faaaðila í stíórnsvslunni sem koma að netöryggismálum á
Íslandi, bar með talinna ráðuneyta sem fara með málefni
netöryggis, dómsmála, fjármála, mennta, utanríkismála og
atvinnu, Póst- og fíarskiotastofnunar, Persónuverndar,
lögreglu og embættis landlæknis. Þeir aðilar sem tilnefndir eru
til setu í ráðinu skulu hafa viðeigandi bekkingu á
netöryggismálum á sínu sviði. Hlutverk bess er einkum að
fylgja eftir framkvæmd stefnu stjórnvalda á sviði net- og
upplýsinaaöryaais. Ráðið leggur mat á stöðu netöryggis á
Íslandi á hverjum tíma og er vettvangur upplýsingamiðlunar
og samhæfingar. Netöryggisráð skal setja sér starfsreglur.
Fundir netöryggisráðs skulu haldnir fyrir luktum dyrum og
getur ráðið ákveðið að trúnaður ríki um fundi þess eða einstök
mál á dagskrá fundar, svo og gögn og afrakstur vinnu ísmærri
hópum fyrir ráðið. Ráðherra er heimilt að setja nánari ákvæði
um netöryggisráð í reglugerð."
• Athygli er vakin á að net- og upplýsingaöryggi er kvikur málaflokkur, með snertifleti
við fjölmargar stofnanir og ráðuneyti. Það kann að verða æskilegt að bjóða fleiri
stofnunum aðild að netöryggisráði og því e.t.v. heppilegt að halda því opnu í
fyrirhuguðum lögum - enda nokkuð og formlegt ferli að breyta gildandi lögum.
• Núverandi aðilar að netöryggisráði eru taldir upp í skýringum um 4. gr. frumvarpsins.
SFF Gera beri kröfur í fyrirhuguðum lögum um þekkingu og
hæfni fulltrúa í netöryggisráði, t.d. „viðeigandi menntun
og reynslu".
• Að mati SRN má fallast á þessa breytingartillögu.
5. gr. Isavia ohf. Velta fyrir sér stöðu reglna sem Flugöryggisstofnun
Evrópu (EASA) vinnur - andspænis tilvonandi lögum?
• Ákvæði 1. mgr. 5. gr. frumvarpsins er svohljóðandi: „Um eftirlit með framkvæmd
laga þessara fer samkvæmt ákvæðum III. kafla og þeim sérlögum sem um mikilvæga
innviða gildi". Sjá og athugasemdir um ákvæðið í greinargerð: [Með frumvarpinu er
5
https://www.althingi.is/altext/149/s/0557.html
https://www.althingi.is/altext/145/s/0730.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
lagt til að lágmarkskröfur verði skilgreindar til rekstrarumgjarðar innviða] „en í mörgum
tilvikum er starfsemi aðila sem falla munu undir gildissvið laganna þegar háð[..] ítarlegu
regluverki og eftirliti af hálfu opinberra stofnana á sínu sviði. Sérlöggjöf hefur, þegar við á,
forgang í samræmi við lögskýringarreglur (lex specialis)".
6. gr. Persónuvernd Betur færi á að notast við hugtakið öryggisatvik en atvik
(e. incident), sjá 1. tölulið 6. gr.
• Ekki þykir ástæða til að breyta þessu, að mati SRN og með vísan til þýðingardraga
Þýðingarmiðstöðvar UTN á NISD, sem aðgengileg eru á vefsvæði SRN um NISD.
Samgöngustofa Leggja til að nota fremur orðið netvernd heldur en
netöryggi.
• Ekki þykir ástæða til að breyta þessu, að mati SRN og með vísan til þýðingardraga
Þýðingarmiðstöðvar UTN á NISD.
• Þegar er rík hefð fyrir að tala um netöryggi, þó svo að annað kunni að gilda á sviði
samgangna/flutningastarfsemi.
Leggja til að yfirskrift 5. tölul. verði flutningastarfsemi, í
stað flutninga (sbr. breytingartillaga við 2. gr., ofar).
Uppsetning textans verði jafnframt gerð auðveldari
aflestrar með því að aðgreina betur samgöngugreinar
og skilgreiningin verði svohljóðandi:
„5. Flutningastarfsemi:
a) Starfsemi tengdflutningum í lofti;
i) Flugrekendur, eins og skilgreint er í 10. tölul. 2. gr.
reglugerðar (EB) nr. 1008/2008,
ii) Framkvæmdarstjórnir flugvalla, eins og skilgreint
er í 2. tölul. 2. gr. tilskipunar 2009/12/EB,
iii) Flugvellir, eins og skilgreint er í 1. tölul. 2. gr.
tilskipunar 2009/12/EB þ.m.t. flugvellir í grunnneti
sem skráðir eru í 2. bætti II. viðauka reglugerðar
(ESB) nr. 1315/2013 og einingar sem starfrækja
viðbúnað sem staðsettur er innan flugvalla,
iv) Kerfisstjórar umferðarstjórnunar, sem veita
fluastjórnarþjónustu (ATC) eins og skilgreint er í 1.
tölul. 2. gr. reglugerðar (EB) nr. 549/2004.
b) Starfsemi tengdflutningum á sjó og vatnaleiðum;
i) Fyrirtæki sem annast vatna-, millilanda- og
strandsiglingar með farþega og vöruflutninga á sjó
og vatnaleiðum eins og skilgreint er fyrirflutninga á
sjó í I. viðauka reglugerðar (EB) nr. 725/2004 að
frátöldum einstökum skipum sem þau fyrirtæki gera
út,
ii) Stjórnir hafna eins og hafnir eru skilgreindar í 1.
tölul. 3. gr. tilskipunar 2005/65/EB þ.m.t.
hafnaraðstöðurþeirra eins ogskilgreinterí 11. tölul.
2. gr. reglugerðar (EB) nr. 725/2004, og
• Að mati SRN má fallast á þessa breytingartillögu.
6
https://www.althingi.is/altext/149/s/0557.html
https://www.stjornarradid.is/default.aspx?PageID=b56a6679-d053-11e7-941f-005056bc4d74
Netöryggi (þski. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
iii) Fyrirtæki sem hafa með höndum starfsemi innan
hafna og
iv) Rekstraraðilar skipaumferðarþjónustu eins og
skilgreint erío-lið 3. gr. reglugerðarnr. 80/2013, um
vaktstöð siglinga og eftirlit með umferð skipa, sem
innleiðir tilskipun 2002/59/EB.
c) Starfsemi tengd flutningum á vegum;.
i) Vegamálayfirvöld sem bera ábyrgð á
skipulaaningu, eftirliti með eða rekstri vega sem
falla undir löasögu þess samkvæmt vegalögum, og
ii) Rekstraraðilar skynvæddra flutningakerfa, þ.e.
rekstraraðilar kerfa þar sem upplýsinga- og
fjarskiptatækni er beitt á sviði flutninga á vegum,
þ.m.t. grunnvirki, ökutæki og notendur, og
iii) Rekstaraðilar á sviði umferðarstjórnunar og
hreyfanleikastjórnunar og á sviði tenginga við aðra
flutningsmáta."
Axel Tómasson Í 23. tölul. vantar kommu á milli hugtakanna „Tengi- og
skiptipunktar" og „þjónustuveitendur lénsheitakerfis".
• Rétt er að bæta úr þessu.
SRN Í 25. tölul. er hugtakið „stafrænn þjónustuveitandi"
skilgreint. Í samræmi við ábendingu frá
Þýðingarmiðstöð UTN er réttara að tala um „veitanda
stafrænnar þjónustu" (með vísan til 24. tölul. sama
ákvæðis).
• Að mati SRN er rétt að bæta úr þessu; breyta orðunum „stafrænn þjónustuveitandi"
í „veitanda stafrænnar þjónustu" alls staðar sem það kemur fyrir í frumvarpinu.
7. gr. Viðskiptaráð
ISNIC
SI / SA
NISD geri mun á kröfum til annars vegar rekstraraðila
nauðsynlegrar þjónustu og hins vegar veitenda
stafrænnar þjónustu.
Óþarfa kröfur muni m.a. valda viðbótarkostnaði, sem
rekstraraðilar megi ekki við.
(Sjá og 8. gr., 11. og 12. gr.).
• NISD gerir nokkurn mun að þessu leyti, það er rétt. Að mati SRN eru þó gild rök og
málefnaleg sjónarmið fyrir því að draga úr þessum mun í landslöggjöf, enda er NISD
lágmarkssamræmingargerð.
• Frumvarpið gerir ekki ráð fyrir sérákvæðum um lágmarksöryggiskröfur til hvorrar
tegundar mikilvægra innviða um sig, líkt og NISD, en skilmerkilega er gert ráð fyrir
að um eftirlit með veitendum stafrænnar þjónustu fari í samræmi við NISD (sbr.
nánar neðar). Í tilviki tilskipana eiga ríki val um form og aðferð við framkvæmd
innleiðingar, með vísan til 7. gr. EES-samningsins, sbr. lög nr. 2/1993.
• Að mati SRN er útfærsla lágmarkskrafna frumvarpsins til áhættustýringar og
viðbúnaðar mikilvægra innviða (7. gr.), svo og tilkynningaskylda um alvarleg atvik
(8. gr.), viðeigandi, málefnaleg og hófleg. Ef stofnanir og fyrirtæki sinna
áhættustýringu og viðbúnaði með ábyrgum hætti, eins og nútímaatvinnurekstur
krefst (svo og t.d. nýleg persónuverndarlöggjöf, GDPR), á innleiðing efnisákvæða
NISD ekki að valda þeim fjárhagslegum skaða eða auknum kostnaði - heldur er hún
þvert á móti til þess fallin að efla viðnámsþrótt/áfallaþol samfélagsins og
7
https://www.althingi.is/altext/149/s/0557.html
https://www.althingi.is/lagas/nuna/1993002.html
Netöryggi (þski. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
atvinnurekstrar hvers konar gagnvart netógnum og mögulegu tjóni af völdum þeirra
og jafnvel draga úr kostnaði þeirra með því að stuðla að því að þessum vörnum sé
sinnt með samræmdum hætti.
• Vísast til 3. mgr. 12. gr. frumvarpsins og umfjöllunar um 12. gr.: „Þó svo að með
frumvarpi þessu sé lagt til að sömu kröfur verði í öllum meginatriðum gerðar til allra
mikilvægra innviða um skipulag öryggismála og lágmarks áhættustýringar í umgjörð
net- og upplýsingakerfa, með vísan til smæðar samfélagsins og
hagkvæmnissjónarmiða, er ljóst að sérsjónarmið geta átt við um stafræna
þjónustuveitendur. Í tilskipuninni er lagt [upp] með að eftirlit með stafrænum
þjónustuveitendum verði léttvægara en gagnvart rekstraraðilum nauðsynlegrar
þjónustu, þ.e. einkum eftir á og að teknu tilliti til eðlis starfsemi hlutaðeigandi eins
og segir í 60. lið inngangsorða hennar".
• Ríki heims eru mjög meðvituð um að ógnin vegna misnotkunar á net- og
upplýsingatækni fer ört vaxandi. Markmið frumvarpsins, líkt og NISD, er að stuðla
að því að koma í veg fyrir rof á nauðsynlegri þjónustu í samfélaginu.
• Minna má á að sérlög kunna að ganga framar lágmarkskröfum fyrirhugaðra laga.
• Eftirlitsstjórnvöld, hvert á sínu sviði (og með aðstoð PFS í hlutverki
samhæfingarstjórnvalds) munu í fyllingu tímans móta framkvæmdina; hvað
nákvæmlega komi til með að teljast fullnægjandi ráðstafanir skv. efni fyrirhugaðra
laga. Ógnirnar þróast þó einnig áfram - og því má gera ráð fyrir að kröfur samkvæmt
lögum muni einnig taka breytingum í framtíðinni.
• Stöðug viðleitni til bestunar netvarna á hverjum tíma, í rekstri hvers og eins, er
grundvallaratriði - og viðeigandi bolmagn og hvatning til þess brýn, ekki síst af hálfu
hlutaðeigandi eftirlitsstjórnvalda.
Viðskiptaráð
SI / SA
Heimild til handa ráðherra um setningu nánari
fyrirmæla í reglugerð, krafa um skýrleika.
• SRN tekur undir með umsagnaraðilum; brýnt er að gæta skýrleika að því marki sem
greinarmun á að gera á kröfum gagnvart rekstraraðilum nauðsynlegrar þjónustu
annars vegar og veitendum stafrænnar þjónustu hins vegar.
• Vísast til athugasemda um 7. gr. í frumvarpinu, m.a. framkvæmdareglugerðar
framkvæmdastjórnar ESB 2018/151 um reglur vegna beitingar NISD að því er varðar
frekari forskriftir þeirra þátta sem veitendur stafrænnar þjónustu skulu taka tillit til
við stýringu þeirrar áhættu sem steðjar að öryggi net- og upplýsingakerfa og
kennistærða til að ákvarða hvort áhrif atviks séu veruleg.
Samgöngustofa Breytingartillaga, ákvæði 2. málsl. 1. mgr. 7. gr. verði
svohlióðandi: „Skulu beir setja sér öryggisstefnu, sem nær
bæði til öryaais oa verndar, .."
• Í frumvarpinu er ekki gerður greinarmunur á öryggi og vernd í þeim skilningi sem
hefð mun vera fyrir á sviði samgangna/flutningastarfsemi. Gildissvið frumvarpsins
(og NISD) er þvert á marga ólíka geira.
SFF Skýra þurfi hvað átt er við með „alþjóðlegum viðmiðum
um bestu framkvæmd" í lok 1. mgr. 7. gr.
• Að mati SRN má bæta við orðunum „á hverjum tíma" aftast í 1. mgr. 7. gr. eða
umorða á eftirfarandi vegu: „... í samræmi við alþjóðlega viðurkennd viðmið um
bestu fram kvæm d á hverjum tíma"..
8
https://www.althingi.is/altext/149/s/0557.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
• Vísast og til umfjöllunar um 7. gr. í greinargerð frumvarpsins.
PFS Leggja til orðalagsbreytingar á öllum málsgreinum. • Ríkuleg vinna var lögð í að útfæra ákvæði frumvarpsins, að fyrirmynd úr NISD,
þannig að þau væru aðgengileg og auðskiljanleg. Að mati SRN uppfyllir það orðalag
endanlegs frumvarps kröfur til settra laga á Íslandi.
• Minna verður á að gildandi ákvæði um netöryggissveit PFS eiga stoð í samevrópsku
regluverki um fjarskipti. Fordæmi úr framkvæmd fjarskiptaregluverks kunna að hafa
þýðingu við framkvæmd fyrirhugaðra laga, er byggja á NISD, en ekki þykir tilefni til
breytinga á orðalagi málsgreina 7. gr. frumvarpsins með vísan til þess, að mati SRN.
8. gr. FME Nauðsynlegt að kveðið verði á um að atvikatilkynningar
fari einnig til eftirlitsstjórnvalda.
• Ákvæði 1. mgr. 9. gr. frumvarpsins gerir ráð fyrir að netöryggissveit PFS tryggi að
upplýsingar um tilkynnt atvik „séu aðgengilegar eftirlitsstjórnvöldum án tafar" og
ákvæði frumvarpsins hvetja því til nánari útfærslu upplýsingamiðlunar til
eftirlitsstjórnvalda. Niðurstaða SRN var að leggja til framangreinda tilhögun í
frumvarpinu, fremur en að leggja á aðila tvíþætta, og þar með íþyngjandi,
tilkynningaskyldu (þ.e. annars vegar til netöryggissveitar og hins vegar
hlutaðeigandi eftirlitsstjórnvalds).
Persónuvernd Betur færi á að sameina málsgreinar/ákvæði er lúta að
atvikatilkynningum, þ.e. í 8., 9. og 15. gr.
• Heppilegra þótti að brjóta þetta upp; með vísan til efnislegrar uppröðunar ákvæða.
ISNIC
SFF
Í stað þess að tala um tilkynningaskyldu „án tafar" er
lagt til að nota orðin „svo fljótt sem verða má".
• Að mati SRN má fallast á samhljóða orðalagsbreytingu ISNIC og SFF.
• Skv. NISD skulu rekstraraðilar nauðsynlegrar þjónustu tilkynna um atvik, án
ástæðulausrar tafar. Sjá Art. 14(3).
• Hins vegar eru ekki sett jafn ströng tímaviðmið að því er tilkynningaskyldu af hálfu
veitenda stafrænna þjónustuveitenda varðar í NISD, sbr. Art. 16.
• Í umfjöllun um 8. gr. í frumvarpinu: „Til einföldunar er lagt til að hér á landi verði
sömu kröfur gerðar til rekstraraðila nauðsynlegrar þjónustu og stafrænna
þjónustuveitenda". Þá kemur einnig fram að „ekki [sé] ætlunin að öll minniháttar
atvik verði tilkynningarskyld samkvæmt ákvæðinu heldur fyrst og fremst þau sem
hafa, eða ástæða er til að ætla að geti haft, veruleg áhrif á net- og upplýsingaöryggi
í starfsemi hlutaðeigandi. Eftirlitsstjórnvöldum er meðal annars ætlað að leggja mat
á uppfyllingu tilkynningarskyldunnar í starfsemi mikilvægra innviða, hverju á sínu
sviði".
SFF Gera tillögu (undir yfirskriftinni „11. gr." reyndar) um að
„nauðsynlegt sé að straumlínulaga skipulagið þannig að
FME sjái um samskipti við netöryggissveitina í stað þess
að mikilvægir innviðir á fjármálamarkaði geri það beint".
• SRN gerir ekki athugasemdir við að tilkynningaskylda til FME og netöryggissveitar
verði samþætt. Vísast til fyrri athugasemda um 8. gr. hér ofar.
• Hafa þarf í huga að netöryggissveit er ætlað að aðstoða við skilvirka meðhöndlun
atvika, sem hið íslenska landsbundna öryggis- og viðbragðsteymi.
• Eftirlitsstjórnvöldum er á hinn bóginn ætlað að hafa eftirlit með framkvæmd
fyrirhugaðra laga, þ. á m. FME gagnvart fjármálamarkaði.
9. gr. Axel Tómasson Netöryggissveit væri betur komið fyrir hjá lögreglu. • PFS hefur starfrækt netöryggissveit um nokkurra ára skeið. Henni er ætlað hlutverk
landsbundins öryggis- og viðbragðsteymis, með vísan til 14. gr. frumvarpsins.
9
https://www.althingi.is/altext/149/s/0557.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
• Net- og upplýsingaöryggi hefur óhjákvæmilega snertifleti við viðfangsefni
fjölmargra stjórnsýslustofnana, þ.m.t. löggæsluyfirvalda, og brýnt að tryggja
viðeigandi samstarf.
• Líkt og ákvæði frumvarpsins (og umfjöllun í greinargerð) bera með sér var
sérstaklega hugað að samspili gagnvart ákvæðum gildandi laga um lögreglu,
almannavarnir o.fl.
10. gr. SFF 1. mgr. verði breytt á þá leið að PFS verði gert að eiga
samráð við mikilvæga innviði áður en almenningur er
upplýstur um atvik, ákvæðið verði svohljóðandi:
„Ef almenningsvitundar er þörf til að koma í veg fyrir eða
takast á við atvik og þegar upplýsingagjöf um atvik er af öðrum
ástæðum nauðsynleg í þágu almannahagsmuna er Póst- og
fjarskiptastofnun heimilt að upplýsa almenning um atvikið.
Samráð skal viðhaft við lögreglu og eftirlitsstjórnvöld sem í
hlut kunna að eiga og, eftir atvikum, mikilvæga innviði, í
aðdraganda upplýsingagjafar skv. 1. málsl., enda verði því við
kemð".
• Tillaga SRN er að „enda verðiþvíviðkom ið" verði haldið inni, en að fallast megi á að
„eftir atvikum" falli brott.
• Þörf kann að verða fyrir slíka heimild, í neyð, en fallast má á að ef því verður við
komið væru það góðir stjórnsýsluhættir af hálfu PFS að viðhafa samráð við þá sem
hlut eiga að máli, enda verði því við komið.
11. gr. Persónuvernd Í stað þess að fela ólíkum eftirlitsstjórnvöldum hlutverk
færi betur að fela einni stofnun að hafa eftirlit með
framkvæmd fyrirhugaðra sérlaga. Þannig væri samræmi
við GDPR eða lög nr. 80/2018 (Persónuvernd).
• Net- og upplýsingaöryggi er ein tegund rekstraráhættu, sem gera verður ráð fyrir að
ólíkar stjórnsýslustofnanir gefi nú þegar gaum.
• Niðurstaða SRN, að loknu umsagnarferli m.a. sl. sumar (þegar frumvarpsdrög voru
birt í samráðsgátt stjórnvalda), var að leggja til að ólíkum stofnunum yrði falið
eftirlitshlutverk með framkvæmd fyrirhugaðra laga, hverri á sínu sérsviði og er það
sambærileg leið og hefur verið farin í helstu grannríkjum okkar. Taka verður
viðeigandi tillit til valdmarka ólíkra stjórnvalda, en jafnframt er mikilvægt að tryggja
samræmda framkvæmd - og því er lagt til að PFS verði falið ráðgefandi
samhæfingarhlutverk.
• Vísast m.a. til umfjöllunar um 11. og 13. gr. frumvarpsins.
Hafnasamband
Íslands
Ábending um að skilgreina þurfi hlutverk vaktstöðvar
siglinga, en daglegur rekstur og umsjón hennar sé í
höndum Landhelgisgæslunnar.
(Ekki er vísað til 11. gr. í umsögninni sjálfri).
• Frumvarpið gerir ráð fyrir að eftirlitsstjórnvöld ákveði hvaða aðilar teljast skuli til
rekstraraðila nauðsynlegrar þjónustu á sínu sviði; Samgöngustofa í tilviki
flutningastarfsemi.
• Frumvarpið gerir ráð fyrir að útfærsla framkvæmdar eftirlits, þ. á m. tilhögun
samskipta við ólíka aðila, verði í höndum hlutaðeigandi eftirlitsstjórnvalda.
• Gera má ráð fyrir að rekstraraðilar nauðsynlegrar þjónustu verði starfsemi sem
ýmist er í einka- eða opinberri eigu.
Isavia ohf. Breytingartillaga við 3. mgr. 3. gr.; þ.e. um lögfestingu
ákvæðis um að samráð skuli viðhaft við þá rekstraraðila
sem til stendur að skilgreina sem rekstraraðila
nauðsynlegrar þjónustu.
• Verði fallist á þessa breytingartillögu færi að mati SRN betur á því í 2. mgr. 11. gr.:
„Eftirlitsstjórnvald ákveður hvaða aðilar teljast til rekstraraðila nauðsynlegrar
þjónustu á sínu sviði skv. 3. gr. og miðlar tilkynningu þar um til Póst- og
fjarskiptastofnunar eftir þvísem tilefni er til og a.m.k. á tveggja ára fresti. (...)".
10
https://www.althingi.is/altext/149/s/0557.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
Að mati SRN fer betur á að bregðast við þessari
ábendingu í 2. mgr. 11. gr.
• Frumvarpið gengur út frá að eftirlitsstjórnvald leggi mat á hvort aðili teljist veita
nauðsynlega þjónustu, í skilningi 2. gr., og skuli teljast falla undir gildissvið
fyrirhugaðra laga.
• Ákvörðun eftirlitsstjórnvalds þess efnis að tiltekinn rekstraraðili teljist til
rekstraraðila nauðsynlegrar þjónustu snýr að lögaðilum og því eiga stjórnsýslulögin,
nr. 37/1993, ekki sjálfkrafa við. Hins vegar getur rekstraraðilinn ávallt borið
ágreining undir dómsstóla. Frumvarpið gerir ekki ráð fyrir því að ákvörðun
eftirlitsstjórnvalds skv. 2. mgr. 11. gr. verði endurskoðuð innan stjórnsýslunnar.
12. gr. Axel Tómasson Heimild eftirlitsstjórnvalds til að láta vinna verk á
kostnað mikilvægs innviðar sem vanrækir fyrirmæli
stjórnvaldsins um úrbætur.
• Meginmarkmið frumvarpsins er að stuðla að því að koma í veg fyrir rof á
nauðsynlegri þjónustu í samfélaginu.
• Gera verður ríkar kröfur til eftirlitsstjórnvalda um vandaða málsmeðferð og beitingu
eftirlitsúrræða að teknu tilliti til m.a. meðalhófs.
ISNIC Heimild eftirlitsstjórnvalds skv. 2. mgr., til að fara fram
á úttekt af hálfu utanaðkomandi aðila, sé of víðtæk.
Tillaga um að fella brott eða binda því skilyrði að áður
hafi komið upp alvarlegt eða mjög alvarlegt
öryggisatvik.
• Eftirlitsstjórnvöldum er ætlað mikilvægt hlutverk, við eftirfylgni með framkvæmd
fyrirhugaðra laga.
• Ákvæðið er að mati SRN í samræmi við Art. 15, NISD.
• Öllum íþyngjandi úrræðum eftirlitsheimildum/-úrræðum ber stjórnvöldum að beita
af ábyrgð og í samræmi við meðalhóf.
SAMORKA Innra eftirlit sé jafnan hluti af vottuðum gæðakerfum
fyrirtækja í orku- og veitugeiranum; uppfylling þeirra
hafi gildi.
• Fallist er á það, en afstöðu til þess (á hverjum tíma) mótar sérhvert
eftirlitsstjórnvald, gagnvart mikilvægum innviðum á sínu sérsviði.
• Í frumvarpinu er gert ráð fyrir að við eftirfylgni með framkvæmd laganna horfi
eftirlitsstjórnvöld m.a. til alþjóðlega viðurkenndra viðmiða um bestu framkvæmd,
þ. á m. gæðastaðla og vottunarkerfa.
• Ákvæði 7. gr. frumvarpsins felur í sér lágmarkskröfur, sbr. umfjöllun í greinargerð.
SFF Kveða ætti skýrar á um skilyrði fyrir hæfi úttektaraðila. • Að mati SRN er fyrirliggjandi orðalag nægilega skýrt í 1. mgr. 12. gr. frumvarpsins
(„til þess bær utanaðkomandi aðili").?
SFF Ekki sé ljóst hvers vegna 3. mgr. nái einungis til veitenda
stafrænnar þjónustu.
• Ákvæði 1. mgr. 12. gr. er ætlað að gilda um allar tegundir rekstraraðila
nauðsynlegrar þjónustu (þ.m.t. veitur), en sömu málsgrein er aðeins ætlað að gilda
um veitendur stafrænnar þjónustu að vissum skilyrðum uppfylltum, sbr. 3. mgr.
SI /SA Orðalag 3. mgr. („rökstuddur grunur"). • Að mati SRN er nægilega skýrt hvað átt er við; ef PFS telur á grundvelli rökstuddra
grunsemda að veitandi stafrænnar þjónustu uppfylli ekki kröfur skv. 7. og 8. gr.
frumvarpsins eiga eftirlitsheimildir skv. 1. mgr. 12. gr. við.
• Vísast til Art. 17, svo og Art. 3, í NISD.
Isavia ohf. Árétta, varðandi 12. gr. (eftirlitsheimildir), að geti verið
mjög viðkvæm trúnaðargögn sem eftirlitsstjórnvald
getur krafist frá mikilvægum innviðum.
• Í 19. gr. frumvarpsins er kveðið á um sérstaka þagnarskyldu. Vísast til umfjöllunar
um ákvæðið í greinargerð frumvarpsins.
11
https://www.althingi.is/altext/149/s/0557.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
Persónuvernd Rétt væri að eftirlitsstjórnvöldum væri veitt heimild til
að gefa út tilmæli, í samráði við netöryggissveitina, með
vísan til 4. mgr. 14. gr. frumvarpsins.
• Að mati SRN er slíka heimild að finna í 5. mgr. 12. gr. frumvarpsins.
• Stöðugt og markvisst aðhald eftirlitsstjórnvalda gagnvart mikilvægum innviðum er
forsenda þess að markmið fyrirhugaðra laga (og NISD) náist. Eftirlitsstjórnvöld
gegna afar mikilvægu hlutverki og, líkt og ákvæði frumvarpsins bera með sér, brýnt
að gera ráð fyrir viðeigandi samspili hvers þeirra gagnvart netöryggissveit/PFS.
13. gr. SI / SA Samhæfingarstjórnvald þurfi heimildir til að knýja fram
samræmt eftirlit, þvert á geira.
• Frumvarpið gerir ráð fyrir að PFS gegni ráðgefandi samhæfingarhlutverki gagnvart
hliðsettum stjórnsýslustofnunum (eftirlitsstjórnvöldum), í því skyni að stuðla að
samræmdri framkvæmd fyrirhugaðra laga. Það er því að mati SRN ekki þörf á
heimildum til að knýja fram samræmt eftirlit.
• Vísast til athugasemda um 13. gr. í frumvarpinu.
Samgöngustofa Áhersla lögð á að í fyrirhugaðri reglugerð verði útfærð
nánar sú aðstoð og samráð á milli eftirlitsstjórnvalds og
samhæfingarstjórnvalds sem gert er ráð fyrir að
reglugerð verði sett um. M.a. þurfi að horfa til getu og
hæfni eftirlitsstjórnvalda til að sinna eftirlitshlutverki
sínu.
• Efnislega góð ábending, svigrúms er þörf til þróunar og útfærslu og því fyrirhugað
að það sé gert nánar i reglugerð.
14. gr. Samgöngustofa Breytingartillaga, 2. málsl. 4. mgr. verði svohljóðandi:
„Ef tilefni er til gefur netöryggissveit Póst- og
fíarskiptastofnunar út tilmæli til mikilvæara innviða, ísamráði
við hlutaðeiaandi eftirlitssti'órnvöld, um aðaerðir veana atviks
eða gegn bráðri aðsteðjandi netógn, hvort sem það atvik eða
sú ógn steðjar að einum eða fleiri mikilvægum innviðum eða
mikilvægum innviðum á einu eða fleiri sviðum."
• Eftirlitsstjórnvöldum er ætlað mikilvægt hlutverk skv. frumvarpinu, gagnvart
mikilvægum innviðum.
• Netöryggissveit er landsbundið öryggis- og viðbragðsteymi, sem styðja á við skilvirka
meðhöndlun atvika sem upp kunna að koma í/tengd net- og upplýsingakerfum
mikilvægra innviða (o.fl.).
• Skilvirkir ferlar og boðleiðir milli PFS/netöryggissveitar og eftirlitsstjórnvalda eru
mikilvægar, ekki síst ef bráð ógn steðjar að. Breytingartillagan kann, að mati SRN,
að auka flækjustig að óþörfu - við ráðgjöf um úrlausn aðsteðjandi vanda. Hafa
verður í huga að mikilvægum innviðum er ekki skylt að verða við tilmælum PFS
samkvæmt málsgreininni.
• Fremur kæmi til greina, að mati SRN, að bæta við vísun til eftirlitsstjórnvalda í lok 1.
málsl. 4. mgr. (.,... eftir atvikum í samstarfi við eftirlitsstíórnvöld og ríkislögreglustióra").
SFF Kveða ætti á um að netöryggissveit miðlaði stöðumati
vegna netógna til mikilvægra innviða til að þeir geti
brugðist við (en ekki aðeins til netöryggisráðs). Í tilfelli
fjármálafyrirtækja færi best á að sú miðlun færi fram í
gegnum FME.
• SRN er sammála SFF að því leyti að lærdómur þarf að skila sér áfram, eftir réttum
boðleiðum, til mikilvægra innviða og eftirlitsstjórnvalda.
• Að Umhverfisstofnun undanskilinni, þá eiga ráðuneyti þessara eftirlitsstjórnvalda
(eða þau sjálf) fulltrúa í netöryggisráði og miðað er við að upplýsingamiðlun til
netöryggisráðs skili sér jafnframt áfram til viðkomandi eftirlitsstjórnvalda. Hins
vegar þarf að tryggja að það sama gildi um umhverfis- og auðlindaráðuneytið og
Umhverfisstofnun.
• Vísast til 13. gr. frumvarpsins, um ráðgefandi samhæfingarhlutverk PFS. PFS
starfrækir netöryggissveit og er ætlað að stuðla að samræmdri framkvæmd
fyrirhugaðra laga, m.a. með miðlun upplýsinga og leiðbeininga.
12
https://www.althingi.is/altext/149/s/0557.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
16. gr. ISNIC Gert er ráð fyrir að mikilvægum innviðum og opinberum
stofnunum standi til boða að gera þjónustusamninga við
netöryggissveit PFS. Ef ákvæðin sem að þessu lúta verði
túlkuð þ.a. ISNIC verði skylt að setja upp búnað vegna
Rix, sem hlustar á (tekur upp) netumferð sem um hann
flæðir, kann þjónustan að verða lögð niður.
(Sjá umfjöllun um 27. gr. v/fjarskiptafyrirtæki).
• Frumvarpið kveður ekki á um skyldu til samningsgerðar við PFS.
• Meginmarkmið NISD eru m.a. að auka hæfni Evrópuríkja til að bæta netöryggi og
bregðast við aðstæðum þar sem því er raskað og að styrkja stoðir mikilvægra innviða
m.t.t. netöryggis.
• Efling netöryggissveitar PFS er á meðal lykilmarkmiða frumvarpsins, enda brýnt að
tryggja íslenska ríkinu burði til að takast á við alvarlegar netógnir.
• Meginhlutverk netöryggissveitar er að styðja við skjót viðbrögð gegn aðsteðjandi
hættu, sbr. m.a. 14. gr., en gert er ráð fyrir að mikilvægir innviðir, opinberar
stofnanir og fjarskiptafyrirtæki geti leitað til sveitarinnar um aðstoð og leiðbeiningar
um sérhæfðar forvarnir í tengslum við öryggi net- og upplýsingakerfa sinna. Tekið er
fram í athugasemdum um 16. gr. frumvarpsins að leiðbeiningar skv. 1. mgr. feli ekki
í sér almenna ráðgjöf sem í boði er á samkeppnismarkaði. Netöryggissveit veitir
aðstoð og ráðgjöf á bestu mögulegu faglegu forsendum á hverjum tíma, t.d. á
grundvelli upplýsinga sem hún kann að búa yfir í gegnum alþjóðlegt tengslanet sitt.
• Í 2. mgr. 16. gr. er, að eindregnum tillögum PFS (með vísan til athugasemda í
greinargerð um ákvæðið), lagt til að netöryggissveit verði heimilt að bjóða tæknilega
vöktunarþjónustu, á nánar skilgreindum og skjalfestum forsendum, í því skyni að
greina ummerki um árásir, spillikóða o.fl. Að mati stofnunarinnar er nauðsynlegt að
starfrækja ýmis konar búnað/rannsóknartól í því skyni að bera kennsl á hugsanlegar
ógnir á netinu. Hliðsjón verður höfð af starfsemi systursveita í þeim ríkjum sem við
helst berum okkur saman við, við val á slíkum búnaði. Í athugasemdum um ákvæðið
segir m.a.: „Mikilvægt er að árétta að um er að ræða umferð við kerfi aðila, en ekki
tilgangurinn að nema almenna netumferð notenda Netsins". Ákvæðið lýtur því að
þeirri umferð sem snýr að rekstri kerfisins, en ekki þeirri umferð sem fer um það.
PFS Netöryggissveit sé ekki tryggður aðgangur að
nauðsynlegum upplýsingum, þar sem í 2. mgr. er talað
um heimild hennar til að bjóða tæknilega
vöktunarþjónustu - en ekki skyldu mikilvægra innviða til
að þiggja og semja um slíka þjónustu.
• Í frumvarpinu er m.a. byggt á þeirri forsendu að ábyrgð á rekstri net- og
upplýsingakerfa verði ekki útvistað af hálfu eigenda/rekstraraðila (þ.e. mikilvægra
innviða).
• Við frágang endanlegs frumvarps í ráðuneytinu, að undangengnu samráðsferli í
kjölfar birtingar upphaflegra frumvarpsdraga sl. sumar, var niðurstaða þess að
leggja ekki til að kveðið yrði á um skyldu mikilvægra innviða til samninga við
netöryggissveit/PFS um tæknilega vöktunarþjónustu. Mikilvægum innviðum sem
það kjósa skuli á hinn bóginn standa til boða slík þjónusta, auk þess sem að hafa
verður í huga ákvæði 12. gr. er kveða á um eftirlitsheimildir: Ef það er mat
hlutaðeigandi eftirlitsstjórnvalds að mikilvægur innviður uppfylli ekki
lágmarkskröfur um áhættustýringu og viðbúnað skal mælt fyrir um úrbætur, s.s.
lágmarks öryggisráðstafanir.
• Þá vísast til umfjöllunar um athugasemdir við 27. gr. frumvarpsins, að því er varðar
mun á heimildum netöryggissveitar/PFS gagnvart annars vegar mikilvægum
13
https://www.althingi.is/altext/149/s/0557.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
innviðum (er byggja á NISD) og hins vegar fjarskiptafyrirtækjum (er byggja á
samevrópsku fjarskiptaregluverki).
17. gr. Axel Tómasson
ISNIC
SFF
Mótfallin því PFS geti óskað eftir að komið skuli upp
sjálfvirkri upplýsingamiðlun á milli kerfa hlutaðeigandi
mikilvægs innviðar og netöryggissveitar (2. mgr.);
íþyngjandi.
• Vísast til umfjöllunar hér ofar, vegna athugasemda við 16. gr. frumvarpsins.
• Sjá og umfjöllun í greinargerð, um 17. gr.
• Sjá næstu athugasemdir, neðar.
Landsvirkjun Mikilvægt sé að ábyrgð á net- og upplýsingakerfum
verði áfram hjá mikilvægum innviðum (þ.e.
rekstraraðilum sjálfum), en stjórnvöld hafi það hlutverk
að veita slíkum aðilum stuðning með upplýsingagjöf,
ráðgjöf og úttektum. Þeir rekstraraðilar sem eftir því
óska geti falið slíkum stjórnvöldum frekara hlutverk sé
þess óskað.
Ákvæði 17. gr. verði að túlka þ.a. PFS geti ekki einhliða
gert kröfu um sjálfvirka upplýsingamiðlun (sbr. 2. mgr.).
• SRN gerir ekki athugasemd við túlkun Landsvirkjunar á ákvæðum 17. gr.
frumvarpsins.
• Upphafleg frumvarpsdrög, sem birt voru í samráðsgátt stjórnvalda sl. sumar, gengu
lengra að því er sneri að valdheimildum netöryggissveitar/PFS og voru þau
ákvæði/sú nálgun gagnrýnd mjög af hálfu umsagnaraðila.
PFS Að mati PFS er nauðsynlegt að gera breytingar á 2. mgr.
17. gr., þannig að kveðið verði á um skyldu til sjálfvirkrar
upplýsingamiðlunar og „netöryggissveit fái í raun sömu
viðvaranir og á sama tíma og rekstraraðilinn sjálfur fær
úr öryggisbúnaði sínum".2 Ákvæðið verði svohljóðandi:
„Til að greina og meta ógnir, áhættur og atvik við kerfi
mikilvægs innviðar getur netöryggissveit ákveðið, eftir eðli
mikilvægs innviðar, að komið skuli upp sjálfvirkri
upplýsingamiðlun á skilgreindum tilkynningum úr búnaði
mikilvægs innviðar , milli sveitarinnar og hlutaðeigandi
mikilvægs innviðar. Tæknileg útfærsla slíkrar
upplýsingamiðlunar skal ákveðin í samráði við mikilvægan
innvið eftir því sem kostur er".
• Vísast til umfjöllunar hér ofar, vegna athugasemda annarra umsagnaraðila við 16.
og 17. gr. frumvarpsins.
• Með frumvarpinu er lagt til að PFS verði falin fjölþætt og afar mikilvæg verkefni, þ.e.
sem bæði eftirlits- og samhæfingarstjórnvald, auk þess að starfrækja
netöryggissveit.
• Eftirlitsstjórnvöldum, hverju á sínu sviði (þ. á m. PFS) er ætlað að fylgja eftir
lágmarkskröfum frumvarpsins um skipulega áhættustýringu og uppfyllingu
tilkynningaskyldu til netöryggissveitar.
• SRN leggur ríka áherslu á að kraftar og sérþekking netöryggissveitar nýtist sem allra
best, enda lykilmarkmið frumvarpsins að efla hana. Netöryggissveit skulu tryggðar
bestu faglegu forsendur til að styðja við skilvirka meðhöndlun atvika, þ. á m.
heimilaður aðgangur að gögnum og upplýsingum sem hún metur nauðsynleg, sbr.
14. gr., 1. og 3.-5. mgr. 17. gr. frumvarpsins. Í 17. gr. er gert ráð fyrir mögulegri
milligöngu hlutaðeigandi eftirlitsstjórnvalds eftir því sem við kann að eiga, með
vísan til 12. gr.
• Í viðbótarumsögn sinni færir PFS góð rök fyrir breytingartillögu sinni á 2. mgr. 17. gr.
Við frágang endanlegs frumvarps í ráðuneytinu, að undangengnu samráðsferli í
kjölfar birtingar upphaflegra frumvarpsdraga sl. sumar, var niðurstaða þess að
leggja ekki til að kveðið yrði á um skyldu til sjálfvirkrar upplýsingamiðlunar frá
mikilvægum innviðum til PFS, m.a. til að koma til móts við sjónarmið um meðalhóf.
Mikilvægum innviðum sem það kjósa skuli á hinn bóginn standa til boða slík
2 Sjá nánar í viðbótarumsögn PFS um frumvarpið, dags. 27. mars 2019.
14
https://www.althingi.is/altext/149/s/0557.html
https://www.althingi.is/altext/erindi/149/149-4850.pdf
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
þjónusta, auk þess sem að hafa verður í huga ákvæði 12. gr. er kveða á um
eftirlitsheimildir; ef það er mat hlutaðeigandi eftirlitsstjórnvalds að mikilvægur
innviður uppfylli ekki lágmarkskröfur um áhættustýringu og viðbúnað skal mælt fyrir
um úrbætur, s.s. lágmarks öryggisráðstafanir.
SFF
Ekki sé ljóst af orðalagi 1. mgr. 17. gr. hvort heimild
netöryggissveitar skuli takmarkast við atvik eða hvort
henni megi beita hvenær sem er.
• Frumvarpið gerir ráð fyrir að meginhlutverk netöryggissveitar sé að bregðast við
tilkynningum um atvik (frá m.a. mikilvægum innviðum) og styðja við skilvirka
meðhöndlun atviks, með vísan til orðalags 1. mgr. Málsgreinin lýsir því viðbrögðum
við atviki, ekki almennu ástandi.
• Vísast til umfjöllunar um 14. gr. frumvarpsins, í greinargerð.
Þá telja samtökin að gæta þurfi meðalhófs og leggja til
að í 17. gr. - út frá 4. mgr. hennar - verði aðgengisréttur
netöryggissveitar takmarkaður við upplýsingar sem
varða netöryggi; en ekki hvers konar upplýsingar.
• SRN telur að reynt hafi verið að koma til móts við þessi sjónarmið við samningu
þessa ákvæðis frumvarpsins. Að sönnu verður að taka mið af meðalhófi en vegna
þess hve netárásir geta verið fjölbreytilegar og í örri þróun, þá er varasamt að
binda um of hvaða greiningarupplýsingar þurfi að veita vegna viðbragða við atviki.
16.-17.
gr. (o.fl.)
SAMORKA Mikilvægi þess að meta með hvaða hætti hægt sé að
draga úr kostnaði við opinbert eftirlit, þ.m.t. kaupum og
rekstri á eftirlitsbúnaði.
• Vísast til umfjöllunar hér ofar, vegna athugasemda við 16. og 17. gr. frumvarpsins.
18. gr. Axel Tómasson Samráðs- og sviðshópar, ekkert eftirlit með? • Með frumvarpinu er lagt til að samstarf, á nánar skilgreindum forsendum, verði
heimilað - með það að markmiði að stuðla betur en ella að öryggi og viðnámsþrótti
net- og upplýsingakerfa mikilvægra innviða.
• Gert er ráð fyrir setningu starfsreglna og gætt skal að reglum samkeppnislaga. Það
er nú þegar komin ákveðin reynsla af samráðshópi Póst- og fjarskiptastofnunar með
fulltrúum fjarskiptafyrirtækja.
19. gr. PFS Breytingartillaga á 19. gr., með það að markmiði að
tryggja trúnað um gögn sem netöryggissveit fær í
gegnum alþjóðlegt samstarf slíkra sveita, í gegnum
erlenda gagnastrauma og á grundvelli ábendinga og
tilkynninga t.d. frá almenningi. Þ.e. tillaga um nýjan 3.
málsl., svohljóðandi:
„Starfsmenn netöryggissveitar Póst- og fjarskiptastofnunar
eru bundnir þagnarskyldu um þau gögn og upplýsingar sem
netöryaaissveitin hefur undir höndum, hefur aðgang að eða
vinnur með og sem þeirfá vitneskju um ístarfi."
• Að mati SRN má fallast á þessa tillögu, en að hún verði 2. mgr. 19. gr. Síðasti
málsliður 1. mgr. verði 3. mgr. ákvæðisins.
21. gr. Persónuvernd Ábending um að sérstakt mat á áhrifum á persónuvernd
þurfi að eiga sér stað áður en vinnsla persónuupplýsinga
skv. ákvæðinu hefjist.
• PFS, sem starfrækir netöryggissveitina, taki þessa ábendingu Persónuverndar til sín
og framkvæmi slíkt mat fyrir/við gildistöku fyrirhugaðra laga (verði frumvarpið að
lögum).
15
https://www.althingi.is/altext/149/s/0557.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
Landsvirkjun Ákvæði 3. málsl. 1. mgr. skuli aðeins taka til þeirra sem
eru í þjónustu netöryggissveitar og nýtingu
heimildarinnar þurfi að takmarka eins og nokkur kostur
er.
Við ákvæðið ætti að bæta klausu um að hlutaðeigandi
aðilum skuli tilkynnt ef gögn þeirra eru skoðuð.
Mikilvægt að greinin heimili ekki netöryggissveit að
fylgjast með netumferð í landinu án samþykkis eða
vitundar þeirra sem verða fyrir eftirlitinu
• Fallast verður á túlkun Landsvirkjunar, miðað við orðanna hljóðan er heimildinni
ekki ætlað að ná til annarra starfsmanna PFS en þeirra sem tilheyra netöryggissveit.
• Það athugast að þegar er gert ráð fyrir að samþykki mikilvægs innviðar þurfi til
beitingar 3. málsl. 1. mgr. Þegar af þeirri ástæðu er að mati SRN óþarft að bæta við
ákvæðið skilmálum um að mikilvægum innvið skuli tilkynnt ef gögn þeirra eru
skoðuð.
• Að því er varðar meinta vöktun netumferðar vísast til umfjöllunar hér ofar, vegna
athugasemda við 16. og 17. gr. frumvarpsins.
PFS PFS leggur til breytingu á 2. málslið 1. mgr. (bætt verði
við tilvísun til innlendra og erlendra samstarfsaðila).
• SRN gerir ekki athugasemd við þessa breytingartillögu.
PFS leggur til að kveðið verði á um samráð við PFS við
setningu reglugerðar skv. 4. mgr. 21. gr.
• Að mati SRN er rétt að breyta þessu.
22. gr.
Viðskiptaráð
SI / SA
SFF
Telja fjárhæðarviðmið of há og að vísað sé til fleiri
fordæma í þeim efnum.
• Líkt og fram kemur í greinargerð, um 22. gr., er lagt til að miðað verði við sama
hámark og er á dagsektum skv. fjarskiptalögum og lögum um Póst- og
fjarskiptastofnun.
Axel Tómasson Má beita dagsektum fyrir að skila ekki gögnum sem ekki
eru til?
• Frumvarpið (12. gr.) gerir ráð fyrir að eftirlitsstjórnvöld geti kallað eftir
gögnum/upplýsingum vegna framkvæmdar eftirlits. Skortur á skjalfestum
upplýsingum skv. 7. gr. og vanræksla tilmæla um gerð slíkra gæti varðað sektum.
• Gera verður ríkar kröfur til eftirlitsstjórnvalda um vandaða málsmeðferð og beitingu
eftirlitsúrræða.
SAMORKA
SFF
Ekki sé gott að átta sig á samspili viðurlagaákvæða VI.
kafla annars vegar og eftirlitsheimilda III. kafla hins
vegar:
• verði væntanlega ekki beitt samtímis
• og gera verði ráð fyrir að hvort tveggja verði
borið undir dómstóla.
• Ákvarðanataka á grundvelli eftirlitsheimilda, af hálfu eftirlitsstjórnvalda, snýr að
lögaðilum og því gilda stjórnsýslulög ekki sjálfkrafa. Frumvarpið gerir ekki ráð fyrir
almennri málskotsheimild á stjórnsýslustigi, til ráðuneytis eða nefndar, og því aðeins
um dómstóla að ræða.
23. gr. SAMORKA
SI / SA
Hvernig geta einstaklingar bakað sér refsiábyrgð skv.
lögunum?
• Hugsanlega með því að virða að vettugi fyrirmæli eftirlitsstjórnvalds um úrbætur á
áhættustýringarumgjörð mikilvægs innviðar.
• Þá er gert ráð fyrir að hver sem uppvís verður að því að gefa ranga tilkynningu um
atvik til netöryggissveitar skuli sæta refsingu, að fyrirmynd sambærilegs ákvæðis í
lögum um almannavarnir. Hugsanlega getur rannsókn lögreglu leitt til þess að
starfsmaður rekstraraðila hafi með ásetningi látið fyrir farast að tilkynna, gefa ranga
tilkynningu o.s.frv. Koma mætti til móts við athugasemdir með því að fella brott
tilvísun til „II. kafla" í 1. mgr. 23. gr. og vísa aðeins til „8. gr.", auk 19. gr.
SI / SA
SFF
Óskýr refsiheimild. • Vísað er til tiltekinna ákvæða og kafla frumvarpsins í ákvæðinu. Að mati SRN
uppfyllir ákvæðið kröfur til skýrleika refsiheimilda.
25. gr. Axel Tómasson Opin reglugerðarsetningarheimild til handa ráðherra. • Ekki er um nýjung að ræða, slík ákvæði er að finna í fjölmörgum lagabálkum.
16
https://www.althingi.is/altext/149/s/0557.html
Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN)
Isavia ohf. • Athygli er vakin á að í efnisákvæðum frumvarpsins að finna sértækari
reglugerðarsetningarheimildir, enda æskilegt að framsal valds af hálfu löggjafans
um setningu nánari reglna séu afmarkaðri/nánar skilgreindar.
• Með frumvarpinu er lagt til að efnisákvæði Evróputilskipunar/NISD verði innleidd í
íslenskan rétt - og fyrir liggur að efnisákvæði hennar verða útfærð frekar í bæði
undirgerðum og leiðbeiningum/tilmælum, sem enn eru í mótun (á vettvangi
stofnana ESB, þ.m.t. ENISA).
26. gr. SFF Fresta gildistöku fram á mitt ár 2020, mikilvægir innviðir
þurfi meiri tíma til undirbúnings.
• Ekki er ástæða til að fresta gildistöku fyrirhugaðra laga, að mati SRN.
• Verði frumvarpið að lögum verður um fyrstu heildstæðu lögin um netöryggi að ræða
hér á landi, mikilvægan áfanga sem stuðla mun að auknum viðnámsþrótti innviða
samfélagsins, sem liggja til grundvallar veitingu nauðsynlegrar þjónustu.
• Umgjörð og leikreglur tengdar net- og upplýsingaöryggi almennt munu þróast
áfram, eins og tæknin - og, ekki síður, ógnirnar.
27. gr. Axel Tómasson
ISNIC
Ítarlegri valdheimildir PFS gagnvart
fjarskiptafyrirtækjum (heldur en frumvarpið gerir ráð
fyrir gagnvart mikilvægum innviðum).
• Um fjarskiptafyrirtæki gildir sjálfstætt samevrópskt regluverk (þau falla ekki undir
gildissvið NISD), en með 27. gr. frumvarpsins eru lagðar til breytingar á öðrum lögum
sem miða að því að samræma grundvallarákvæði um netöryggismál.
• Vísast til ákvæða 13. gr. a. og b. í tilskipun 2002/21/ESB m.áo.br. (Framework
Directive), Art. 40-41 í nýlegri tilskipun 2018/1972/ESB sem leysa mun þær
fyrrnefndu af hólmi (European Electronic Communications Code), auk gildandi
fjarskiptalaga nr. 81/2003.
• Ganga verður út frá að íþyngjandi úrræðum sé beitt af fyllstu varkárni og í samræmi
við meðalhóf.
Í tillögu að nýrri 47. gr. b. í fjarskiptalögum er gert ráð
fyrir skyldu fjarskiptafyrirtækja til samningsgerðar við
PFS um tæknilega vöktunarþjónustu.
• Vísast til ákvæða 47. gr. a. í gildandi fjarskiptalögum og athugasemda um 27. gr.
frumvarpsins. Athygli er vakin á 4. mgr. tillögu að nýrri 47. gr. b.
• Enn fremur vísast til umfjöllunar hér ofar og athugasemda frumvarpsins um 16. gr.
PFS Mælt skuli fyrir um samráð við PFS við setningu
reglugerða, sbr. tillaga að nýrri 4. gr. a. í lögum um PFS.
• Að mati SRN er rétt að bæta úr þessu.
17
https://www.althingi.is/altext/149/s/0557.html
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02002L0021-20091219&from=EN
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018L1972&from=EN