Öryggi net- og upplýsingakerfa mikilvægra innviða

Umsögn í þingmáli 416 á 149. þingi


Þingmál lagt fram: 03.12.2018 Tegund þingmáls: Lagafrumvarp Fjöldi umsagna við þingmál: 18 Fjöldi umsagnarbeiðna við þingmál: 29 Ferill þingmálsins á althingi.is Sendandi: Samgöngu- og sveitarstjórnar­ráðuneytið Viðtakandi: Umhverfis- og samgöngu­nefnd Dagsetning: 12.04.2019 Gerð: Upplýsingar
Netöryggi (bski. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) Ákv. Umsagnaraðili Helsta gagnrýni/efnisatriði: Athugasemdir SRN: Fjármálaeftirlitið, Hafnasamband Íslands, Isavia ohf., Landsvirkjun, Póst- og fjarskiptastofnun (PFS), SA / SI, Samgöngustofa, Samorka, SFF og Viðskiptaráð Lýsa almennum stuðningi við frumvarpið, þótt gerðar séu athugasemdir og tillögur að breytingum á einstökum greinum. Viðskiptaráð ISNIC SFF (Samtök fiármálafyrirtækia) Efnisákvæði gangi lengra en NISD1 gerir ráð fyrir. • Ekki var stefnt að því, nema að því marki sem sérstök ástæða þótti til og grein er gerð fyrir í skýringum með frumvarpinu: o Lagt er til að hitaveitur verði felldar í flokk mikilvægra innviða hér á landi, með vísan til séríslenskra aðstæðna, enda gegna þær mikilvægu hlutverki hérlendis með svipuðum hætti og þeir orkugjafar sem NISD tekur til. o Enn fremur er lagt til að netöryggisþjónusta af hálfu Póst- og fjarskiptastofnunar (PFS) standi opinberum stofnunum til boða. o Frumvarpið gerir ráð fyrir að lágmarksöryggiskröfur til mikilvægra innviða verði skilgreindar í einu og sama ákvæðinu (sjá nánar um 7. gr.), er sú aðferðafræði að mati SRN til einföldunar og hagræðis, enda gerir frumvarpið greinarmun á eftirlitsheimildum í tilviki annars vegar rekstraraðila nauðsynlegrar þjónustu og hins vegar veitanda stafrænnar þjónustu (sjá nánar um 11. gr.). PFS Efnisákvæði gangi skemmra en NISD gerir ráð fyrir. Það eigi einkum við um starfrækslu netöryggissveitar og heimildir hennar til að afla nauðsynlegra upplýsinga. (Sjá og athugasemdir PFS við 14.-18. gr. frumvarpsins). • PFS er ætlað afar mikilvægt hlutverk samkvæmt frumvarpinu, sem bæði eftirlits- og samhæfingarstjórnvald, auk þess að starfrækja landsbundið öryggis- og viðbragðsteymi (netöryggissveit). • Eitt af lykilmarkmiðum frumvarpsins er að efla hlutverk netöryggissveitar og bolmagn hennar, sem hið landsbundna öryggis- og viðbragðsteymi, til muna frá því sem nú er. • Með frumvarpinu er lagt til að leidd verði í lög hér á landi efnisákvæði NISD, eins og fram kemur í greinargerð. Við endanlegan frágang frumvarpsins þurfti að vega og meta ólík sjónarmið, þ. á m. gagnvart álitaefnum um hvað teldist rétt og viðeigandi með tilliti til ákvæða NISD er lúta að starfrækslu netöryggissveita, með hliðsjón af m.a. meðalhófsreglu og valdmörkum gagnvart ólíkum handhöfum ríkisvalds að gildandi lögum. Þau ákvæði sem mest var deilt á í upphaflegum frumvarpsdrögum, 1 Með „NISD" er átt við netöryggistilskipun ESB, e . Network and Information System Directive 2016/1148/EU. 1 https://www.althingi.is/altext/149/s/0557.html https://samradsgatt.island.is/oll-mal/$Cases/Details/?id=79 https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32016L1148 Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) sem birt voru í samráðsgátt stjórnvalda sl. sumar, sneru einmitt að þessu og þóttu heimildir netöryggissveitar ganga of langt. • Athygli er vakin á að meginefni frumvarpsins lýtur að mikilvægum innviðum, í skilningi NISD. Um fjarskiptafyrirtæki gilda sérlög, sem einnig byggja á samevrópskum reglum, en með 27. gr. frumvarpsins eru lagðar til breytingar á gildandi fjarskiptaregluverki, sem miða að því að samræma hugtakanotkun og grundvallarákvæði um netöryggismál. • Vísast til umfjöllunar um athugasemdir við ákvæði IV. kafla frumvarpsins (14.-18. gr.), neðar. Isavia ohf. NISD er ekki auðkennd EES-tæk. Upptaka í hvaða hluta EES-samningsins? • Unnið er að undirbúningi upptöku NISD (og fram kominnar undirgerðar, framkvæmdareglugerðar framkvæmdastjórnar ESB, nr. 2018/151) í EES- samninginn, nánar tiltekið XI. viðauka hans. • Rétt er að NISD var ekki merkt sem EES tæk við birtingu tilskipunarinnar í Stjórnartíðindum ESB árið 2016. • Hins vegar er hún á forgangslista ríkisstjórnarinnar vegna hagsmunagæslu gagnvart ESB fyrir árin 2016-2017 og sambærilegum lista fyrir 2018. • Þá má þess geta, til samanburðar, að tillaga framkvæmdastjórnarinnar að reglugerð um Net- og upplýsingaöryggisstofnun Evrópu (ENISA) o.fl. er auðkennd EEA- relevant. Gildandi reglugerð ESB um ENISA var innleidd hér á landi með reglugerð nr. 1265/2014. Ísland á fulltrúa í stjórn ENISA, líkt og önnur EES-ríki. SFF Er rétt að viðhalda því fyrirkomulagi að netöryggissveit heyri undir PFS? Röksemdir fyrir því? Hvaða kröfur eru gerðar til starfsliðs sveitarinnar? • Að mati SRN er ekki tilefni til breytinga á heimilisfesti netöryggissveitar. Starfslið PFS býr yfir reynslu og þekkingu á sviði netöryggismála og er að mati SRN það starfandi stjórnvald sem best er í stakk búið til að sinna lykilhlutverki í þessum efnum hér á landi. • Vísast m.a. til umfjöllunar um 11. og 13. gr. frumvarpsins. • Netöryggissveitin mun gegna afar mikilvægu hlutverki í vörnum Íslands gegn netógnum í framtíðinni sem landsbundið öryggis- og viðbragðsteymi, með dýrmæt tengsl við systurteymi erlendis og t.d. ENISA. Efling netöryggissveitar er eitt af lykilmarkmiðum frumvarpsins; verði það að lögum verður hlutverk hennar og bolmagn útvíkkað til muna frá því sem nú er. • Eðli máls samkvæmt er brýnt að PFS (ekki síst netöryggissveit) og löggæsluyfirvöld eigi virkt og gott samstarf á sviði netöryggismála, eins og gildandi lög um fjarskipti og frumvarp þetta gera ráð fyrir. • Þá er athygli vakin á að með frumvarpinu er lagt til að stjórnsýsluumgjörð netöryggismála almennt verði efld til muna. • Að því er kröfur til starfsliðs netöryggissveitar, þ. á m. öryggisvottun, vísast til 27. gr. frumvarpsins, einkum tillögu um nýja 4. gr. a. í lögum um Póst- og fjarskiptastofnun. Frumvarpið gerir ráð fyrir að mælt verði nánar fyrir um hæfi starfsmanna 2 https://www.althingi.is/altext/149/s/0557.html https://samradsgatt.island.is/oll-mal/$Cases/Details/?id=79 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018R0151&from=EN https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN https://www.stjornarradid.is/media/forsaetisraduneyti-media/media/frettir2/Forgangsskjal-til-rikisstjornar-190916.pdf https://www.stjornarradid.is/media/forsaetisraduneyti-media/media/frettir2/Forgangsskjal-til-rikisstjornar-190916.pdf https://www.stjornarradid.is/lisalib/getfile.aspx?itemid=a78e9413-550d-11e8-9428-005056bc4d74 https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1505290611859&uri=COM:2017:477:FIN https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1505290611859&uri=COM:2017:477:FIN Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) netöryggissveitar í reglugerð, enda er þetta öryggisumhverfi í örri þróun þar sem getur reynt á mismunandi öryggisþætti. Eðlilegt er að miðað sé við almennar ráðningarreglur um að umsækjendur hafi menntun og reynslu í samræmi við það sem starfið krefst. ISNIC Gerir frumvarpið ráð fyrir þyngra eftirliti með netumferð en tíðkist innan ESB? • Nei, þvert á móti var markmið SRN að frumvarpið endurspeglaði samræmi og viðeigandi samspil við nýlega persónuverndarlöggjöf (sbr. GDPR), sjá m.a. 17. og 21. gr. þess. • Vísast til skýringa í greinargerð, um 16. gr. frumvarpsins, þar sem m.a. segir: „Mikilvægt er að árétta að um er að ræða umferð við kerfi aðila, en ekki tilgangurinn að nema almenna netumferð notenda Netsins". • Þá vísast til 27. gr. frumvarpsins (er snýr að fjarskiptafyrirtækjum), þ.e. tillögu að nýju ákvæði 47. gr. b., 4. mgr. er svohljóðandi: „Hvorki er heimilt að persónugreina netumferð né skima einstaka netpakka eða flæði sem netöryggissveitin kann að nema í almennum netkerfum fjarskiptafyrirtækja. Netöryggissveit er þó heimilt að móttaka upplýsingar um almenna netumferð án dómsúrskurðar, þ.m.t. á samtengipunktum og í útlandagáttum, enda séu þær upplýsingar ópersónugreinanlegar". SFF Athugasemd um að kostnaði vegna innleiðingar NISD verði ekki mætt með álögum á þau fyrirtæki sem koma til með að falla undir gildissvið fyrirhugaðra laga. • Áætlað er að netöryggismál verði fjármögnuð með almennri skattheimtu. Sömuleiðis verði til viðbótar heimilt að taka þjónustugjöld af þeim aðilum sem nýta sér þjónustu eftirlitsaðila eða netöryggissveitar án þess að það sé skylt samkvæmt lögum. 2. gr. Fjármálaeftirlitið (FME) Kann að vera ástæða til að fella fleiri aðila undir gildissvið laganna? Þ.e. aðrar tegundir eftirlitsskyldra aðila, s.s. vátryggingafélög og lífeyrissjóði? Benda á gildandi leiðbeinandi tilmæli FME nr. 2/2014, um upplýsingakerfi eftirlitsskyldra aðila, sem geri að miklu leyti sömu kröfur til aðila og koma fram í frumvarpinu. Lýsa áhyggjum af því að eftirlitsskyldir aðilar, sem aðeins falla undir leiðbeinandi tilmæli FME, en ekki fyrirhuguð NIS-lög, muni „líta svo á að skyldur þeirra þegar kemur að netöryggi séu ekki eins ríkar og þeirra félaga sem falla undir lögin". Það væri „..mjög slæm niðurstaða ef setning nýrra heildarlaga grafi undan eftirliti Fjármálaeftirlitsins með þeim eftirlitsskyldu aðilum sem falla ekki undir lögin". • Atvinnulíf nútímans reiðir sig meira og minna á net- og upplýsingatækni. Að mati SRN mun áhersla á eftirlit með rekstraráhættu aukast enn frekar í náinni framtíð, á öllum málefnasviðum, þ.m.t. fjármálamarkaði. Við undirbúning frumvarpsins var lagt upp með að skilgreining nauðsynlegrar þjónustu og mikilvægra innviða - og þar með gildissvið - yrði í samræmi við NISD, en gera má ráð fyrir að lagaumgjörðin þróist áfram um ókomin ár rétt eins og netógnir. • Lagt er til að með 7. gr. verði samræmdar lágmarkskröfur um áhættustýringu og viðbúnað fyrir allar tegundir mikilvægra innviða, í skilningi frumvarpsins, en nokkuð rík hefð er þegar fyrir áherslu á eftirlit með rekstraráhættu á sviði fjármálamarkaðar, sbr. ýmis löggjöf sem heyrir undir fjármála- og efnahagsráðuneyti. Í sérlögum má kveða á um lágmarkskröfur til áhættustýringarumgjarðar og öryggisráðstafana, ef þörf krefur. • Ákvæði 1. mgr. 5. gr. frumvarpsins lýtur að tengslum við önnur lög; sérlög ganga framar, ef við á, í samræmi við almennar lögskýringarreglur (lex specialis). • Rétt er að vekja athygli á að 15. gr. frumvarpsins gerir ráð fyrir að öðrum en mikilvægum innviðum, í skilningi þess, verði kleift að miðla tilkynningum til netöryggissveitar. Ákvæðið gerir þó ráð fyrir að sveitinni sé heimilt, ef þörf krefur, 3 https://www.althingi.is/altext/149/s/0557.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) að forgangsraða í starfsemi sinni þannig að brugðist sé við tilkynningum um atvik frá mikilvægum innviðum og opinberum stofnunum áður en tilkynningum frá öðrum er sinnt. Þ.e. með vísan til takmarkaðs bolmagns/auðlinda, en reynslan kann að sýna að efld netöryggissveit anni auðveldlega enn stærri þjónustuhóp en frumvarpið gerir ráð fyrir. • Að mati SRN er ekki hætta á að frumvarpið, verði það að lögum, muni grafa undan eftirliti eða hlutverki/verkefnum eftirlitsstjórnvalda. Isavia ohf. Afmörkun „net- og upplýsingakerfa"; eiga kröfurnar að gilda um öll tölvukerfi? • Nei, líta verður til útlistunar í 1. mgr. 2. gr. frumvarpsins; þjónusta rekstraraðila telst nauðsynleg í skilningi frumvarpsins að uppfylltum tilteknum skilyrðum (a. þjónusta er nauðsynleg fyrir viðhald mikilvægrar samfélagslegrar og efnahagslegrar starfsemi; b. veiting þjónustu er háð net- og upplýsingakerfum; c. atvik hefðu verulega skerðandi áhrif á veitingu þjónustu). Samgöngustofa Leggja til að notað verði hugtakið „flutningastarfsemi" í stað „flutninga". Ákvæði 1. mgr. verði svohljóðandi: „Lög þessi gilda um net- og upplýsingakerfi rekstraraðila nauðsynlegrar þjónustu hér á landi á sviði bankastarfsemi og innviða fiármálamarkaða, flutningastarfsemi, heilbrigðisþjónustu, orku-, hita- og vatnsveitna, svo og stafrænna grunnvirkja, að uppfylltum skilyrðum 3. gr." (Sjá og sömu ábendingu við 6. gr.). • Að mati SRN má fallast á þessa breytingartillögu, - sem kallar á breytingar þar sem orðið kemur fyrir (í þessari merkingu) í efnisákvæðum frumvarpsins, þ.e.: - 1. mgr. 2. gr. - 5. tölul. 6. gr. - 17. tölul. 6. gr. - b-liður 1. mgr. 11. gr. 3. gr. ISNIC Aðeins „örfélög" (í skilningi laga um ársreikninga) undanskilin gildissviðinu, en ekki „lítil félög". • Í Art. 16(11) NISD segir að kafli V (þ.e. Art. 16-18) skuli ekki gilda um örfélög og lítil félög eins og þau eru skilgreind í tilmælum framkvæmdastjórnar ESB 2003/361 um skilgreiningu á örfyrirtækjum, litlum og meðalstórum fyrirtækjum. • Hins vegar er NISD lágmarkssamræmingargerð. Þannig segir í Art. 3, NISD, að aðildarríki geti samþykkt eða viðhaldið ríkari kröfum í löggjöf, er miða að því að ná hærra sameiginlegu öryggisstigi í net- og upplýsingakerfum en tilskipunin gerir berum orðum ráð fyrir. Eina ákvæðið sem undanþegið er þessu í Art. 3, er Art. 16(10). Með frumvarpinu er ekki lagt til að ríkari kröfur verði gerðar til veitenda stafrænnar þjónustu en efnisákvæði NISD fela í sér. Þegar af þeirri ástæðu má gagnálykta þannig, að mati SRN, að heimilt sé að takmarka undanþágu frá gildissviði fyrirhugaðra laga við örfélög. • Tilmæli framkvæmdastjórnarinnar, nr. 2003/361, munu ekki hafa verið innleidd í landsrétt sem slík. Hins vegar eru hugtökin lítið félag og örfélag skilgreind í 2. gr. laga nr. 3/2006, um ársreikninga, sem vissulega byggja á samevrópsku regluverki: Lítið félag er „félag sem fe r ekki yfir mörkin á a.m.k. tveimur a f þremur eftirfarandi viðmiðunum: (1) heildareignum: 600.000.000 kr., (2) hreinni veltu: 1.200.000.000, (3) meðalfjölda ársverka á fjárhagsárinu: 50". 4 https://www.althingi.is/altext/149/s/0557.html https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32003H0361&from=EN https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32003H0361&from=EN https://www.althingi.is/lagas/149a/2006003.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) Örfélag er „félag sem við uppgjörsdag fer ekki yfir mörkin á a.m.k. tveimur af þremur eftirfarandi viðmiðunum: (1) heildareignum: 20.000.000 kr., (2) hreinni veltu: 40.000.000 kr., (3) meðalfjölda ársverka á fjárhagsárinu: 3". Vísast til umfjöllunar í greinargerð frumvarpsins sem varð að lögum nr. 73/2016, um breytingu á lögum um ársreikninga (þskj. 730 - 456. mál). Þar kemur m.a. fram að um 80% félaga á Íslandi falli undir stærðarmörkin fyrir örfélög, skv. tölulegum upplýsingum frá ríkisskattstjóra. • Tillaga um að einungis örfélög verði undanskilin, í 2. mgr. 2. gr. frumvarpsins, á rætur að rekja til þess mats PFS að ella kunni aðilar sem annars teldust til umsvifamikilla og mikilvægra veitenda stafrænnar þjónustu að falla utan gildissviðs fyrirhugaðra laga og það væri í andstöðu við markmið lagasetningar, að tryggja þjónustu mikilvægra innviða. Isavia ohf. Breytingartillaga við 3. mgr.: samráð skuli viðhaft við þá rekstraraðila sem til stendur að skilgreina sem rekstraraðila nauðsynlegrar þjónustu. • Að mati SRN fer betur á að bregðast við þessari athugasemd í 2. mgr. 11. gr. • (Sjá neðar). 4. gr. Persónuvernd Breytingartillaga: aðilar sem tilefna í netöryggisráð verði taldir upp í 2. mgr. 4. gr. Ákvæðið verði svohljóðandi: „Ráðherra skipar netöryggisráð að fenainni tilnefninau beirra faaaðila í stíórnsvslunni sem koma að netöryggismálum á Íslandi, bar með talinna ráðuneyta sem fara með málefni netöryggis, dómsmála, fjármála, mennta, utanríkismála og atvinnu, Póst- og fíarskiotastofnunar, Persónuverndar, lögreglu og embættis landlæknis. Þeir aðilar sem tilnefndir eru til setu í ráðinu skulu hafa viðeigandi bekkingu á netöryggismálum á sínu sviði. Hlutverk bess er einkum að fylgja eftir framkvæmd stefnu stjórnvalda á sviði net- og upplýsinaaöryaais. Ráðið leggur mat á stöðu netöryggis á Íslandi á hverjum tíma og er vettvangur upplýsingamiðlunar og samhæfingar. Netöryggisráð skal setja sér starfsreglur. Fundir netöryggisráðs skulu haldnir fyrir luktum dyrum og getur ráðið ákveðið að trúnaður ríki um fundi þess eða einstök mál á dagskrá fundar, svo og gögn og afrakstur vinnu ísmærri hópum fyrir ráðið. Ráðherra er heimilt að setja nánari ákvæði um netöryggisráð í reglugerð." • Athygli er vakin á að net- og upplýsingaöryggi er kvikur málaflokkur, með snertifleti við fjölmargar stofnanir og ráðuneyti. Það kann að verða æskilegt að bjóða fleiri stofnunum aðild að netöryggisráði og því e.t.v. heppilegt að halda því opnu í fyrirhuguðum lögum - enda nokkuð og formlegt ferli að breyta gildandi lögum. • Núverandi aðilar að netöryggisráði eru taldir upp í skýringum um 4. gr. frumvarpsins. SFF Gera beri kröfur í fyrirhuguðum lögum um þekkingu og hæfni fulltrúa í netöryggisráði, t.d. „viðeigandi menntun og reynslu". • Að mati SRN má fallast á þessa breytingartillögu. 5. gr. Isavia ohf. Velta fyrir sér stöðu reglna sem Flugöryggisstofnun Evrópu (EASA) vinnur - andspænis tilvonandi lögum? • Ákvæði 1. mgr. 5. gr. frumvarpsins er svohljóðandi: „Um eftirlit með framkvæmd laga þessara fer samkvæmt ákvæðum III. kafla og þeim sérlögum sem um mikilvæga innviða gildi". Sjá og athugasemdir um ákvæðið í greinargerð: [Með frumvarpinu er 5 https://www.althingi.is/altext/149/s/0557.html https://www.althingi.is/altext/145/s/0730.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) lagt til að lágmarkskröfur verði skilgreindar til rekstrarumgjarðar innviða] „en í mörgum tilvikum er starfsemi aðila sem falla munu undir gildissvið laganna þegar háð[..] ítarlegu regluverki og eftirliti af hálfu opinberra stofnana á sínu sviði. Sérlöggjöf hefur, þegar við á, forgang í samræmi við lögskýringarreglur (lex specialis)". 6. gr. Persónuvernd Betur færi á að notast við hugtakið öryggisatvik en atvik (e. incident), sjá 1. tölulið 6. gr. • Ekki þykir ástæða til að breyta þessu, að mati SRN og með vísan til þýðingardraga Þýðingarmiðstöðvar UTN á NISD, sem aðgengileg eru á vefsvæði SRN um NISD. Samgöngustofa Leggja til að nota fremur orðið netvernd heldur en netöryggi. • Ekki þykir ástæða til að breyta þessu, að mati SRN og með vísan til þýðingardraga Þýðingarmiðstöðvar UTN á NISD. • Þegar er rík hefð fyrir að tala um netöryggi, þó svo að annað kunni að gilda á sviði samgangna/flutningastarfsemi. Leggja til að yfirskrift 5. tölul. verði flutningastarfsemi, í stað flutninga (sbr. breytingartillaga við 2. gr., ofar). Uppsetning textans verði jafnframt gerð auðveldari aflestrar með því að aðgreina betur samgöngugreinar og skilgreiningin verði svohljóðandi: „5. Flutningastarfsemi: a) Starfsemi tengdflutningum í lofti; i) Flugrekendur, eins og skilgreint er í 10. tölul. 2. gr. reglugerðar (EB) nr. 1008/2008, ii) Framkvæmdarstjórnir flugvalla, eins og skilgreint er í 2. tölul. 2. gr. tilskipunar 2009/12/EB, iii) Flugvellir, eins og skilgreint er í 1. tölul. 2. gr. tilskipunar 2009/12/EB þ.m.t. flugvellir í grunnneti sem skráðir eru í 2. bætti II. viðauka reglugerðar (ESB) nr. 1315/2013 og einingar sem starfrækja viðbúnað sem staðsettur er innan flugvalla, iv) Kerfisstjórar umferðarstjórnunar, sem veita fluastjórnarþjónustu (ATC) eins og skilgreint er í 1. tölul. 2. gr. reglugerðar (EB) nr. 549/2004. b) Starfsemi tengdflutningum á sjó og vatnaleiðum; i) Fyrirtæki sem annast vatna-, millilanda- og strandsiglingar með farþega og vöruflutninga á sjó og vatnaleiðum eins og skilgreint er fyrirflutninga á sjó í I. viðauka reglugerðar (EB) nr. 725/2004 að frátöldum einstökum skipum sem þau fyrirtæki gera út, ii) Stjórnir hafna eins og hafnir eru skilgreindar í 1. tölul. 3. gr. tilskipunar 2005/65/EB þ.m.t. hafnaraðstöðurþeirra eins ogskilgreinterí 11. tölul. 2. gr. reglugerðar (EB) nr. 725/2004, og • Að mati SRN má fallast á þessa breytingartillögu. 6 https://www.althingi.is/altext/149/s/0557.html https://www.stjornarradid.is/default.aspx?PageID=b56a6679-d053-11e7-941f-005056bc4d74 Netöryggi (þski. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) iii) Fyrirtæki sem hafa með höndum starfsemi innan hafna og iv) Rekstraraðilar skipaumferðarþjónustu eins og skilgreint erío-lið 3. gr. reglugerðarnr. 80/2013, um vaktstöð siglinga og eftirlit með umferð skipa, sem innleiðir tilskipun 2002/59/EB. c) Starfsemi tengd flutningum á vegum;. i) Vegamálayfirvöld sem bera ábyrgð á skipulaaningu, eftirliti með eða rekstri vega sem falla undir löasögu þess samkvæmt vegalögum, og ii) Rekstraraðilar skynvæddra flutningakerfa, þ.e. rekstraraðilar kerfa þar sem upplýsinga- og fjarskiptatækni er beitt á sviði flutninga á vegum, þ.m.t. grunnvirki, ökutæki og notendur, og iii) Rekstaraðilar á sviði umferðarstjórnunar og hreyfanleikastjórnunar og á sviði tenginga við aðra flutningsmáta." Axel Tómasson Í 23. tölul. vantar kommu á milli hugtakanna „Tengi- og skiptipunktar" og „þjónustuveitendur lénsheitakerfis". • Rétt er að bæta úr þessu. SRN Í 25. tölul. er hugtakið „stafrænn þjónustuveitandi" skilgreint. Í samræmi við ábendingu frá Þýðingarmiðstöð UTN er réttara að tala um „veitanda stafrænnar þjónustu" (með vísan til 24. tölul. sama ákvæðis). • Að mati SRN er rétt að bæta úr þessu; breyta orðunum „stafrænn þjónustuveitandi" í „veitanda stafrænnar þjónustu" alls staðar sem það kemur fyrir í frumvarpinu. 7. gr. Viðskiptaráð ISNIC SI / SA NISD geri mun á kröfum til annars vegar rekstraraðila nauðsynlegrar þjónustu og hins vegar veitenda stafrænnar þjónustu. Óþarfa kröfur muni m.a. valda viðbótarkostnaði, sem rekstraraðilar megi ekki við. (Sjá og 8. gr., 11. og 12. gr.). • NISD gerir nokkurn mun að þessu leyti, það er rétt. Að mati SRN eru þó gild rök og málefnaleg sjónarmið fyrir því að draga úr þessum mun í landslöggjöf, enda er NISD lágmarkssamræmingargerð. • Frumvarpið gerir ekki ráð fyrir sérákvæðum um lágmarksöryggiskröfur til hvorrar tegundar mikilvægra innviða um sig, líkt og NISD, en skilmerkilega er gert ráð fyrir að um eftirlit með veitendum stafrænnar þjónustu fari í samræmi við NISD (sbr. nánar neðar). Í tilviki tilskipana eiga ríki val um form og aðferð við framkvæmd innleiðingar, með vísan til 7. gr. EES-samningsins, sbr. lög nr. 2/1993. • Að mati SRN er útfærsla lágmarkskrafna frumvarpsins til áhættustýringar og viðbúnaðar mikilvægra innviða (7. gr.), svo og tilkynningaskylda um alvarleg atvik (8. gr.), viðeigandi, málefnaleg og hófleg. Ef stofnanir og fyrirtæki sinna áhættustýringu og viðbúnaði með ábyrgum hætti, eins og nútímaatvinnurekstur krefst (svo og t.d. nýleg persónuverndarlöggjöf, GDPR), á innleiðing efnisákvæða NISD ekki að valda þeim fjárhagslegum skaða eða auknum kostnaði - heldur er hún þvert á móti til þess fallin að efla viðnámsþrótt/áfallaþol samfélagsins og 7 https://www.althingi.is/altext/149/s/0557.html https://www.althingi.is/lagas/nuna/1993002.html Netöryggi (þski. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) atvinnurekstrar hvers konar gagnvart netógnum og mögulegu tjóni af völdum þeirra og jafnvel draga úr kostnaði þeirra með því að stuðla að því að þessum vörnum sé sinnt með samræmdum hætti. • Vísast til 3. mgr. 12. gr. frumvarpsins og umfjöllunar um 12. gr.: „Þó svo að með frumvarpi þessu sé lagt til að sömu kröfur verði í öllum meginatriðum gerðar til allra mikilvægra innviða um skipulag öryggismála og lágmarks áhættustýringar í umgjörð net- og upplýsingakerfa, með vísan til smæðar samfélagsins og hagkvæmnissjónarmiða, er ljóst að sérsjónarmið geta átt við um stafræna þjónustuveitendur. Í tilskipuninni er lagt [upp] með að eftirlit með stafrænum þjónustuveitendum verði léttvægara en gagnvart rekstraraðilum nauðsynlegrar þjónustu, þ.e. einkum eftir á og að teknu tilliti til eðlis starfsemi hlutaðeigandi eins og segir í 60. lið inngangsorða hennar". • Ríki heims eru mjög meðvituð um að ógnin vegna misnotkunar á net- og upplýsingatækni fer ört vaxandi. Markmið frumvarpsins, líkt og NISD, er að stuðla að því að koma í veg fyrir rof á nauðsynlegri þjónustu í samfélaginu. • Minna má á að sérlög kunna að ganga framar lágmarkskröfum fyrirhugaðra laga. • Eftirlitsstjórnvöld, hvert á sínu sviði (og með aðstoð PFS í hlutverki samhæfingarstjórnvalds) munu í fyllingu tímans móta framkvæmdina; hvað nákvæmlega komi til með að teljast fullnægjandi ráðstafanir skv. efni fyrirhugaðra laga. Ógnirnar þróast þó einnig áfram - og því má gera ráð fyrir að kröfur samkvæmt lögum muni einnig taka breytingum í framtíðinni. • Stöðug viðleitni til bestunar netvarna á hverjum tíma, í rekstri hvers og eins, er grundvallaratriði - og viðeigandi bolmagn og hvatning til þess brýn, ekki síst af hálfu hlutaðeigandi eftirlitsstjórnvalda. Viðskiptaráð SI / SA Heimild til handa ráðherra um setningu nánari fyrirmæla í reglugerð, krafa um skýrleika. • SRN tekur undir með umsagnaraðilum; brýnt er að gæta skýrleika að því marki sem greinarmun á að gera á kröfum gagnvart rekstraraðilum nauðsynlegrar þjónustu annars vegar og veitendum stafrænnar þjónustu hins vegar. • Vísast til athugasemda um 7. gr. í frumvarpinu, m.a. framkvæmdareglugerðar framkvæmdastjórnar ESB 2018/151 um reglur vegna beitingar NISD að því er varðar frekari forskriftir þeirra þátta sem veitendur stafrænnar þjónustu skulu taka tillit til við stýringu þeirrar áhættu sem steðjar að öryggi net- og upplýsingakerfa og kennistærða til að ákvarða hvort áhrif atviks séu veruleg. Samgöngustofa Breytingartillaga, ákvæði 2. málsl. 1. mgr. 7. gr. verði svohlióðandi: „Skulu beir setja sér öryggisstefnu, sem nær bæði til öryaais oa verndar, .." • Í frumvarpinu er ekki gerður greinarmunur á öryggi og vernd í þeim skilningi sem hefð mun vera fyrir á sviði samgangna/flutningastarfsemi. Gildissvið frumvarpsins (og NISD) er þvert á marga ólíka geira. SFF Skýra þurfi hvað átt er við með „alþjóðlegum viðmiðum um bestu framkvæmd" í lok 1. mgr. 7. gr. • Að mati SRN má bæta við orðunum „á hverjum tíma" aftast í 1. mgr. 7. gr. eða umorða á eftirfarandi vegu: „... í samræmi við alþjóðlega viðurkennd viðmið um bestu fram kvæm d á hverjum tíma".. 8 https://www.althingi.is/altext/149/s/0557.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) • Vísast og til umfjöllunar um 7. gr. í greinargerð frumvarpsins. PFS Leggja til orðalagsbreytingar á öllum málsgreinum. • Ríkuleg vinna var lögð í að útfæra ákvæði frumvarpsins, að fyrirmynd úr NISD, þannig að þau væru aðgengileg og auðskiljanleg. Að mati SRN uppfyllir það orðalag endanlegs frumvarps kröfur til settra laga á Íslandi. • Minna verður á að gildandi ákvæði um netöryggissveit PFS eiga stoð í samevrópsku regluverki um fjarskipti. Fordæmi úr framkvæmd fjarskiptaregluverks kunna að hafa þýðingu við framkvæmd fyrirhugaðra laga, er byggja á NISD, en ekki þykir tilefni til breytinga á orðalagi málsgreina 7. gr. frumvarpsins með vísan til þess, að mati SRN. 8. gr. FME Nauðsynlegt að kveðið verði á um að atvikatilkynningar fari einnig til eftirlitsstjórnvalda. • Ákvæði 1. mgr. 9. gr. frumvarpsins gerir ráð fyrir að netöryggissveit PFS tryggi að upplýsingar um tilkynnt atvik „séu aðgengilegar eftirlitsstjórnvöldum án tafar" og ákvæði frumvarpsins hvetja því til nánari útfærslu upplýsingamiðlunar til eftirlitsstjórnvalda. Niðurstaða SRN var að leggja til framangreinda tilhögun í frumvarpinu, fremur en að leggja á aðila tvíþætta, og þar með íþyngjandi, tilkynningaskyldu (þ.e. annars vegar til netöryggissveitar og hins vegar hlutaðeigandi eftirlitsstjórnvalds). Persónuvernd Betur færi á að sameina málsgreinar/ákvæði er lúta að atvikatilkynningum, þ.e. í 8., 9. og 15. gr. • Heppilegra þótti að brjóta þetta upp; með vísan til efnislegrar uppröðunar ákvæða. ISNIC SFF Í stað þess að tala um tilkynningaskyldu „án tafar" er lagt til að nota orðin „svo fljótt sem verða má". • Að mati SRN má fallast á samhljóða orðalagsbreytingu ISNIC og SFF. • Skv. NISD skulu rekstraraðilar nauðsynlegrar þjónustu tilkynna um atvik, án ástæðulausrar tafar. Sjá Art. 14(3). • Hins vegar eru ekki sett jafn ströng tímaviðmið að því er tilkynningaskyldu af hálfu veitenda stafrænna þjónustuveitenda varðar í NISD, sbr. Art. 16. • Í umfjöllun um 8. gr. í frumvarpinu: „Til einföldunar er lagt til að hér á landi verði sömu kröfur gerðar til rekstraraðila nauðsynlegrar þjónustu og stafrænna þjónustuveitenda". Þá kemur einnig fram að „ekki [sé] ætlunin að öll minniháttar atvik verði tilkynningarskyld samkvæmt ákvæðinu heldur fyrst og fremst þau sem hafa, eða ástæða er til að ætla að geti haft, veruleg áhrif á net- og upplýsingaöryggi í starfsemi hlutaðeigandi. Eftirlitsstjórnvöldum er meðal annars ætlað að leggja mat á uppfyllingu tilkynningarskyldunnar í starfsemi mikilvægra innviða, hverju á sínu sviði". SFF Gera tillögu (undir yfirskriftinni „11. gr." reyndar) um að „nauðsynlegt sé að straumlínulaga skipulagið þannig að FME sjái um samskipti við netöryggissveitina í stað þess að mikilvægir innviðir á fjármálamarkaði geri það beint". • SRN gerir ekki athugasemdir við að tilkynningaskylda til FME og netöryggissveitar verði samþætt. Vísast til fyrri athugasemda um 8. gr. hér ofar. • Hafa þarf í huga að netöryggissveit er ætlað að aðstoða við skilvirka meðhöndlun atvika, sem hið íslenska landsbundna öryggis- og viðbragðsteymi. • Eftirlitsstjórnvöldum er á hinn bóginn ætlað að hafa eftirlit með framkvæmd fyrirhugaðra laga, þ. á m. FME gagnvart fjármálamarkaði. 9. gr. Axel Tómasson Netöryggissveit væri betur komið fyrir hjá lögreglu. • PFS hefur starfrækt netöryggissveit um nokkurra ára skeið. Henni er ætlað hlutverk landsbundins öryggis- og viðbragðsteymis, með vísan til 14. gr. frumvarpsins. 9 https://www.althingi.is/altext/149/s/0557.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) • Net- og upplýsingaöryggi hefur óhjákvæmilega snertifleti við viðfangsefni fjölmargra stjórnsýslustofnana, þ.m.t. löggæsluyfirvalda, og brýnt að tryggja viðeigandi samstarf. • Líkt og ákvæði frumvarpsins (og umfjöllun í greinargerð) bera með sér var sérstaklega hugað að samspili gagnvart ákvæðum gildandi laga um lögreglu, almannavarnir o.fl. 10. gr. SFF 1. mgr. verði breytt á þá leið að PFS verði gert að eiga samráð við mikilvæga innviði áður en almenningur er upplýstur um atvik, ákvæðið verði svohljóðandi: „Ef almenningsvitundar er þörf til að koma í veg fyrir eða takast á við atvik og þegar upplýsingagjöf um atvik er af öðrum ástæðum nauðsynleg í þágu almannahagsmuna er Póst- og fjarskiptastofnun heimilt að upplýsa almenning um atvikið. Samráð skal viðhaft við lögreglu og eftirlitsstjórnvöld sem í hlut kunna að eiga og, eftir atvikum, mikilvæga innviði, í aðdraganda upplýsingagjafar skv. 1. málsl., enda verði því við kemð". • Tillaga SRN er að „enda verðiþvíviðkom ið" verði haldið inni, en að fallast megi á að „eftir atvikum" falli brott. • Þörf kann að verða fyrir slíka heimild, í neyð, en fallast má á að ef því verður við komið væru það góðir stjórnsýsluhættir af hálfu PFS að viðhafa samráð við þá sem hlut eiga að máli, enda verði því við komið. 11. gr. Persónuvernd Í stað þess að fela ólíkum eftirlitsstjórnvöldum hlutverk færi betur að fela einni stofnun að hafa eftirlit með framkvæmd fyrirhugaðra sérlaga. Þannig væri samræmi við GDPR eða lög nr. 80/2018 (Persónuvernd). • Net- og upplýsingaöryggi er ein tegund rekstraráhættu, sem gera verður ráð fyrir að ólíkar stjórnsýslustofnanir gefi nú þegar gaum. • Niðurstaða SRN, að loknu umsagnarferli m.a. sl. sumar (þegar frumvarpsdrög voru birt í samráðsgátt stjórnvalda), var að leggja til að ólíkum stofnunum yrði falið eftirlitshlutverk með framkvæmd fyrirhugaðra laga, hverri á sínu sérsviði og er það sambærileg leið og hefur verið farin í helstu grannríkjum okkar. Taka verður viðeigandi tillit til valdmarka ólíkra stjórnvalda, en jafnframt er mikilvægt að tryggja samræmda framkvæmd - og því er lagt til að PFS verði falið ráðgefandi samhæfingarhlutverk. • Vísast m.a. til umfjöllunar um 11. og 13. gr. frumvarpsins. Hafnasamband Íslands Ábending um að skilgreina þurfi hlutverk vaktstöðvar siglinga, en daglegur rekstur og umsjón hennar sé í höndum Landhelgisgæslunnar. (Ekki er vísað til 11. gr. í umsögninni sjálfri). • Frumvarpið gerir ráð fyrir að eftirlitsstjórnvöld ákveði hvaða aðilar teljast skuli til rekstraraðila nauðsynlegrar þjónustu á sínu sviði; Samgöngustofa í tilviki flutningastarfsemi. • Frumvarpið gerir ráð fyrir að útfærsla framkvæmdar eftirlits, þ. á m. tilhögun samskipta við ólíka aðila, verði í höndum hlutaðeigandi eftirlitsstjórnvalda. • Gera má ráð fyrir að rekstraraðilar nauðsynlegrar þjónustu verði starfsemi sem ýmist er í einka- eða opinberri eigu. Isavia ohf. Breytingartillaga við 3. mgr. 3. gr.; þ.e. um lögfestingu ákvæðis um að samráð skuli viðhaft við þá rekstraraðila sem til stendur að skilgreina sem rekstraraðila nauðsynlegrar þjónustu. • Verði fallist á þessa breytingartillögu færi að mati SRN betur á því í 2. mgr. 11. gr.: „Eftirlitsstjórnvald ákveður hvaða aðilar teljast til rekstraraðila nauðsynlegrar þjónustu á sínu sviði skv. 3. gr. og miðlar tilkynningu þar um til Póst- og fjarskiptastofnunar eftir þvísem tilefni er til og a.m.k. á tveggja ára fresti. (...)". 10 https://www.althingi.is/altext/149/s/0557.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) Að mati SRN fer betur á að bregðast við þessari ábendingu í 2. mgr. 11. gr. • Frumvarpið gengur út frá að eftirlitsstjórnvald leggi mat á hvort aðili teljist veita nauðsynlega þjónustu, í skilningi 2. gr., og skuli teljast falla undir gildissvið fyrirhugaðra laga. • Ákvörðun eftirlitsstjórnvalds þess efnis að tiltekinn rekstraraðili teljist til rekstraraðila nauðsynlegrar þjónustu snýr að lögaðilum og því eiga stjórnsýslulögin, nr. 37/1993, ekki sjálfkrafa við. Hins vegar getur rekstraraðilinn ávallt borið ágreining undir dómsstóla. Frumvarpið gerir ekki ráð fyrir því að ákvörðun eftirlitsstjórnvalds skv. 2. mgr. 11. gr. verði endurskoðuð innan stjórnsýslunnar. 12. gr. Axel Tómasson Heimild eftirlitsstjórnvalds til að láta vinna verk á kostnað mikilvægs innviðar sem vanrækir fyrirmæli stjórnvaldsins um úrbætur. • Meginmarkmið frumvarpsins er að stuðla að því að koma í veg fyrir rof á nauðsynlegri þjónustu í samfélaginu. • Gera verður ríkar kröfur til eftirlitsstjórnvalda um vandaða málsmeðferð og beitingu eftirlitsúrræða að teknu tilliti til m.a. meðalhófs. ISNIC Heimild eftirlitsstjórnvalds skv. 2. mgr., til að fara fram á úttekt af hálfu utanaðkomandi aðila, sé of víðtæk. Tillaga um að fella brott eða binda því skilyrði að áður hafi komið upp alvarlegt eða mjög alvarlegt öryggisatvik. • Eftirlitsstjórnvöldum er ætlað mikilvægt hlutverk, við eftirfylgni með framkvæmd fyrirhugaðra laga. • Ákvæðið er að mati SRN í samræmi við Art. 15, NISD. • Öllum íþyngjandi úrræðum eftirlitsheimildum/-úrræðum ber stjórnvöldum að beita af ábyrgð og í samræmi við meðalhóf. SAMORKA Innra eftirlit sé jafnan hluti af vottuðum gæðakerfum fyrirtækja í orku- og veitugeiranum; uppfylling þeirra hafi gildi. • Fallist er á það, en afstöðu til þess (á hverjum tíma) mótar sérhvert eftirlitsstjórnvald, gagnvart mikilvægum innviðum á sínu sérsviði. • Í frumvarpinu er gert ráð fyrir að við eftirfylgni með framkvæmd laganna horfi eftirlitsstjórnvöld m.a. til alþjóðlega viðurkenndra viðmiða um bestu framkvæmd, þ. á m. gæðastaðla og vottunarkerfa. • Ákvæði 7. gr. frumvarpsins felur í sér lágmarkskröfur, sbr. umfjöllun í greinargerð. SFF Kveða ætti skýrar á um skilyrði fyrir hæfi úttektaraðila. • Að mati SRN er fyrirliggjandi orðalag nægilega skýrt í 1. mgr. 12. gr. frumvarpsins („til þess bær utanaðkomandi aðili").? SFF Ekki sé ljóst hvers vegna 3. mgr. nái einungis til veitenda stafrænnar þjónustu. • Ákvæði 1. mgr. 12. gr. er ætlað að gilda um allar tegundir rekstraraðila nauðsynlegrar þjónustu (þ.m.t. veitur), en sömu málsgrein er aðeins ætlað að gilda um veitendur stafrænnar þjónustu að vissum skilyrðum uppfylltum, sbr. 3. mgr. SI /SA Orðalag 3. mgr. („rökstuddur grunur"). • Að mati SRN er nægilega skýrt hvað átt er við; ef PFS telur á grundvelli rökstuddra grunsemda að veitandi stafrænnar þjónustu uppfylli ekki kröfur skv. 7. og 8. gr. frumvarpsins eiga eftirlitsheimildir skv. 1. mgr. 12. gr. við. • Vísast til Art. 17, svo og Art. 3, í NISD. Isavia ohf. Árétta, varðandi 12. gr. (eftirlitsheimildir), að geti verið mjög viðkvæm trúnaðargögn sem eftirlitsstjórnvald getur krafist frá mikilvægum innviðum. • Í 19. gr. frumvarpsins er kveðið á um sérstaka þagnarskyldu. Vísast til umfjöllunar um ákvæðið í greinargerð frumvarpsins. 11 https://www.althingi.is/altext/149/s/0557.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) Persónuvernd Rétt væri að eftirlitsstjórnvöldum væri veitt heimild til að gefa út tilmæli, í samráði við netöryggissveitina, með vísan til 4. mgr. 14. gr. frumvarpsins. • Að mati SRN er slíka heimild að finna í 5. mgr. 12. gr. frumvarpsins. • Stöðugt og markvisst aðhald eftirlitsstjórnvalda gagnvart mikilvægum innviðum er forsenda þess að markmið fyrirhugaðra laga (og NISD) náist. Eftirlitsstjórnvöld gegna afar mikilvægu hlutverki og, líkt og ákvæði frumvarpsins bera með sér, brýnt að gera ráð fyrir viðeigandi samspili hvers þeirra gagnvart netöryggissveit/PFS. 13. gr. SI / SA Samhæfingarstjórnvald þurfi heimildir til að knýja fram samræmt eftirlit, þvert á geira. • Frumvarpið gerir ráð fyrir að PFS gegni ráðgefandi samhæfingarhlutverki gagnvart hliðsettum stjórnsýslustofnunum (eftirlitsstjórnvöldum), í því skyni að stuðla að samræmdri framkvæmd fyrirhugaðra laga. Það er því að mati SRN ekki þörf á heimildum til að knýja fram samræmt eftirlit. • Vísast til athugasemda um 13. gr. í frumvarpinu. Samgöngustofa Áhersla lögð á að í fyrirhugaðri reglugerð verði útfærð nánar sú aðstoð og samráð á milli eftirlitsstjórnvalds og samhæfingarstjórnvalds sem gert er ráð fyrir að reglugerð verði sett um. M.a. þurfi að horfa til getu og hæfni eftirlitsstjórnvalda til að sinna eftirlitshlutverki sínu. • Efnislega góð ábending, svigrúms er þörf til þróunar og útfærslu og því fyrirhugað að það sé gert nánar i reglugerð. 14. gr. Samgöngustofa Breytingartillaga, 2. málsl. 4. mgr. verði svohljóðandi: „Ef tilefni er til gefur netöryggissveit Póst- og fíarskiptastofnunar út tilmæli til mikilvæara innviða, ísamráði við hlutaðeiaandi eftirlitssti'órnvöld, um aðaerðir veana atviks eða gegn bráðri aðsteðjandi netógn, hvort sem það atvik eða sú ógn steðjar að einum eða fleiri mikilvægum innviðum eða mikilvægum innviðum á einu eða fleiri sviðum." • Eftirlitsstjórnvöldum er ætlað mikilvægt hlutverk skv. frumvarpinu, gagnvart mikilvægum innviðum. • Netöryggissveit er landsbundið öryggis- og viðbragðsteymi, sem styðja á við skilvirka meðhöndlun atvika sem upp kunna að koma í/tengd net- og upplýsingakerfum mikilvægra innviða (o.fl.). • Skilvirkir ferlar og boðleiðir milli PFS/netöryggissveitar og eftirlitsstjórnvalda eru mikilvægar, ekki síst ef bráð ógn steðjar að. Breytingartillagan kann, að mati SRN, að auka flækjustig að óþörfu - við ráðgjöf um úrlausn aðsteðjandi vanda. Hafa verður í huga að mikilvægum innviðum er ekki skylt að verða við tilmælum PFS samkvæmt málsgreininni. • Fremur kæmi til greina, að mati SRN, að bæta við vísun til eftirlitsstjórnvalda í lok 1. málsl. 4. mgr. (.,... eftir atvikum í samstarfi við eftirlitsstíórnvöld og ríkislögreglustióra"). SFF Kveða ætti á um að netöryggissveit miðlaði stöðumati vegna netógna til mikilvægra innviða til að þeir geti brugðist við (en ekki aðeins til netöryggisráðs). Í tilfelli fjármálafyrirtækja færi best á að sú miðlun færi fram í gegnum FME. • SRN er sammála SFF að því leyti að lærdómur þarf að skila sér áfram, eftir réttum boðleiðum, til mikilvægra innviða og eftirlitsstjórnvalda. • Að Umhverfisstofnun undanskilinni, þá eiga ráðuneyti þessara eftirlitsstjórnvalda (eða þau sjálf) fulltrúa í netöryggisráði og miðað er við að upplýsingamiðlun til netöryggisráðs skili sér jafnframt áfram til viðkomandi eftirlitsstjórnvalda. Hins vegar þarf að tryggja að það sama gildi um umhverfis- og auðlindaráðuneytið og Umhverfisstofnun. • Vísast til 13. gr. frumvarpsins, um ráðgefandi samhæfingarhlutverk PFS. PFS starfrækir netöryggissveit og er ætlað að stuðla að samræmdri framkvæmd fyrirhugaðra laga, m.a. með miðlun upplýsinga og leiðbeininga. 12 https://www.althingi.is/altext/149/s/0557.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) 16. gr. ISNIC Gert er ráð fyrir að mikilvægum innviðum og opinberum stofnunum standi til boða að gera þjónustusamninga við netöryggissveit PFS. Ef ákvæðin sem að þessu lúta verði túlkuð þ.a. ISNIC verði skylt að setja upp búnað vegna Rix, sem hlustar á (tekur upp) netumferð sem um hann flæðir, kann þjónustan að verða lögð niður. (Sjá umfjöllun um 27. gr. v/fjarskiptafyrirtæki). • Frumvarpið kveður ekki á um skyldu til samningsgerðar við PFS. • Meginmarkmið NISD eru m.a. að auka hæfni Evrópuríkja til að bæta netöryggi og bregðast við aðstæðum þar sem því er raskað og að styrkja stoðir mikilvægra innviða m.t.t. netöryggis. • Efling netöryggissveitar PFS er á meðal lykilmarkmiða frumvarpsins, enda brýnt að tryggja íslenska ríkinu burði til að takast á við alvarlegar netógnir. • Meginhlutverk netöryggissveitar er að styðja við skjót viðbrögð gegn aðsteðjandi hættu, sbr. m.a. 14. gr., en gert er ráð fyrir að mikilvægir innviðir, opinberar stofnanir og fjarskiptafyrirtæki geti leitað til sveitarinnar um aðstoð og leiðbeiningar um sérhæfðar forvarnir í tengslum við öryggi net- og upplýsingakerfa sinna. Tekið er fram í athugasemdum um 16. gr. frumvarpsins að leiðbeiningar skv. 1. mgr. feli ekki í sér almenna ráðgjöf sem í boði er á samkeppnismarkaði. Netöryggissveit veitir aðstoð og ráðgjöf á bestu mögulegu faglegu forsendum á hverjum tíma, t.d. á grundvelli upplýsinga sem hún kann að búa yfir í gegnum alþjóðlegt tengslanet sitt. • Í 2. mgr. 16. gr. er, að eindregnum tillögum PFS (með vísan til athugasemda í greinargerð um ákvæðið), lagt til að netöryggissveit verði heimilt að bjóða tæknilega vöktunarþjónustu, á nánar skilgreindum og skjalfestum forsendum, í því skyni að greina ummerki um árásir, spillikóða o.fl. Að mati stofnunarinnar er nauðsynlegt að starfrækja ýmis konar búnað/rannsóknartól í því skyni að bera kennsl á hugsanlegar ógnir á netinu. Hliðsjón verður höfð af starfsemi systursveita í þeim ríkjum sem við helst berum okkur saman við, við val á slíkum búnaði. Í athugasemdum um ákvæðið segir m.a.: „Mikilvægt er að árétta að um er að ræða umferð við kerfi aðila, en ekki tilgangurinn að nema almenna netumferð notenda Netsins". Ákvæðið lýtur því að þeirri umferð sem snýr að rekstri kerfisins, en ekki þeirri umferð sem fer um það. PFS Netöryggissveit sé ekki tryggður aðgangur að nauðsynlegum upplýsingum, þar sem í 2. mgr. er talað um heimild hennar til að bjóða tæknilega vöktunarþjónustu - en ekki skyldu mikilvægra innviða til að þiggja og semja um slíka þjónustu. • Í frumvarpinu er m.a. byggt á þeirri forsendu að ábyrgð á rekstri net- og upplýsingakerfa verði ekki útvistað af hálfu eigenda/rekstraraðila (þ.e. mikilvægra innviða). • Við frágang endanlegs frumvarps í ráðuneytinu, að undangengnu samráðsferli í kjölfar birtingar upphaflegra frumvarpsdraga sl. sumar, var niðurstaða þess að leggja ekki til að kveðið yrði á um skyldu mikilvægra innviða til samninga við netöryggissveit/PFS um tæknilega vöktunarþjónustu. Mikilvægum innviðum sem það kjósa skuli á hinn bóginn standa til boða slík þjónusta, auk þess sem að hafa verður í huga ákvæði 12. gr. er kveða á um eftirlitsheimildir: Ef það er mat hlutaðeigandi eftirlitsstjórnvalds að mikilvægur innviður uppfylli ekki lágmarkskröfur um áhættustýringu og viðbúnað skal mælt fyrir um úrbætur, s.s. lágmarks öryggisráðstafanir. • Þá vísast til umfjöllunar um athugasemdir við 27. gr. frumvarpsins, að því er varðar mun á heimildum netöryggissveitar/PFS gagnvart annars vegar mikilvægum 13 https://www.althingi.is/altext/149/s/0557.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) innviðum (er byggja á NISD) og hins vegar fjarskiptafyrirtækjum (er byggja á samevrópsku fjarskiptaregluverki). 17. gr. Axel Tómasson ISNIC SFF Mótfallin því PFS geti óskað eftir að komið skuli upp sjálfvirkri upplýsingamiðlun á milli kerfa hlutaðeigandi mikilvægs innviðar og netöryggissveitar (2. mgr.); íþyngjandi. • Vísast til umfjöllunar hér ofar, vegna athugasemda við 16. gr. frumvarpsins. • Sjá og umfjöllun í greinargerð, um 17. gr. • Sjá næstu athugasemdir, neðar. Landsvirkjun Mikilvægt sé að ábyrgð á net- og upplýsingakerfum verði áfram hjá mikilvægum innviðum (þ.e. rekstraraðilum sjálfum), en stjórnvöld hafi það hlutverk að veita slíkum aðilum stuðning með upplýsingagjöf, ráðgjöf og úttektum. Þeir rekstraraðilar sem eftir því óska geti falið slíkum stjórnvöldum frekara hlutverk sé þess óskað. Ákvæði 17. gr. verði að túlka þ.a. PFS geti ekki einhliða gert kröfu um sjálfvirka upplýsingamiðlun (sbr. 2. mgr.). • SRN gerir ekki athugasemd við túlkun Landsvirkjunar á ákvæðum 17. gr. frumvarpsins. • Upphafleg frumvarpsdrög, sem birt voru í samráðsgátt stjórnvalda sl. sumar, gengu lengra að því er sneri að valdheimildum netöryggissveitar/PFS og voru þau ákvæði/sú nálgun gagnrýnd mjög af hálfu umsagnaraðila. PFS Að mati PFS er nauðsynlegt að gera breytingar á 2. mgr. 17. gr., þannig að kveðið verði á um skyldu til sjálfvirkrar upplýsingamiðlunar og „netöryggissveit fái í raun sömu viðvaranir og á sama tíma og rekstraraðilinn sjálfur fær úr öryggisbúnaði sínum".2 Ákvæðið verði svohljóðandi: „Til að greina og meta ógnir, áhættur og atvik við kerfi mikilvægs innviðar getur netöryggissveit ákveðið, eftir eðli mikilvægs innviðar, að komið skuli upp sjálfvirkri upplýsingamiðlun á skilgreindum tilkynningum úr búnaði mikilvægs innviðar , milli sveitarinnar og hlutaðeigandi mikilvægs innviðar. Tæknileg útfærsla slíkrar upplýsingamiðlunar skal ákveðin í samráði við mikilvægan innvið eftir því sem kostur er". • Vísast til umfjöllunar hér ofar, vegna athugasemda annarra umsagnaraðila við 16. og 17. gr. frumvarpsins. • Með frumvarpinu er lagt til að PFS verði falin fjölþætt og afar mikilvæg verkefni, þ.e. sem bæði eftirlits- og samhæfingarstjórnvald, auk þess að starfrækja netöryggissveit. • Eftirlitsstjórnvöldum, hverju á sínu sviði (þ. á m. PFS) er ætlað að fylgja eftir lágmarkskröfum frumvarpsins um skipulega áhættustýringu og uppfyllingu tilkynningaskyldu til netöryggissveitar. • SRN leggur ríka áherslu á að kraftar og sérþekking netöryggissveitar nýtist sem allra best, enda lykilmarkmið frumvarpsins að efla hana. Netöryggissveit skulu tryggðar bestu faglegu forsendur til að styðja við skilvirka meðhöndlun atvika, þ. á m. heimilaður aðgangur að gögnum og upplýsingum sem hún metur nauðsynleg, sbr. 14. gr., 1. og 3.-5. mgr. 17. gr. frumvarpsins. Í 17. gr. er gert ráð fyrir mögulegri milligöngu hlutaðeigandi eftirlitsstjórnvalds eftir því sem við kann að eiga, með vísan til 12. gr. • Í viðbótarumsögn sinni færir PFS góð rök fyrir breytingartillögu sinni á 2. mgr. 17. gr. Við frágang endanlegs frumvarps í ráðuneytinu, að undangengnu samráðsferli í kjölfar birtingar upphaflegra frumvarpsdraga sl. sumar, var niðurstaða þess að leggja ekki til að kveðið yrði á um skyldu til sjálfvirkrar upplýsingamiðlunar frá mikilvægum innviðum til PFS, m.a. til að koma til móts við sjónarmið um meðalhóf. Mikilvægum innviðum sem það kjósa skuli á hinn bóginn standa til boða slík 2 Sjá nánar í viðbótarumsögn PFS um frumvarpið, dags. 27. mars 2019. 14 https://www.althingi.is/altext/149/s/0557.html https://www.althingi.is/altext/erindi/149/149-4850.pdf Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) þjónusta, auk þess sem að hafa verður í huga ákvæði 12. gr. er kveða á um eftirlitsheimildir; ef það er mat hlutaðeigandi eftirlitsstjórnvalds að mikilvægur innviður uppfylli ekki lágmarkskröfur um áhættustýringu og viðbúnað skal mælt fyrir um úrbætur, s.s. lágmarks öryggisráðstafanir. SFF Ekki sé ljóst af orðalagi 1. mgr. 17. gr. hvort heimild netöryggissveitar skuli takmarkast við atvik eða hvort henni megi beita hvenær sem er. • Frumvarpið gerir ráð fyrir að meginhlutverk netöryggissveitar sé að bregðast við tilkynningum um atvik (frá m.a. mikilvægum innviðum) og styðja við skilvirka meðhöndlun atviks, með vísan til orðalags 1. mgr. Málsgreinin lýsir því viðbrögðum við atviki, ekki almennu ástandi. • Vísast til umfjöllunar um 14. gr. frumvarpsins, í greinargerð. Þá telja samtökin að gæta þurfi meðalhófs og leggja til að í 17. gr. - út frá 4. mgr. hennar - verði aðgengisréttur netöryggissveitar takmarkaður við upplýsingar sem varða netöryggi; en ekki hvers konar upplýsingar. • SRN telur að reynt hafi verið að koma til móts við þessi sjónarmið við samningu þessa ákvæðis frumvarpsins. Að sönnu verður að taka mið af meðalhófi en vegna þess hve netárásir geta verið fjölbreytilegar og í örri þróun, þá er varasamt að binda um of hvaða greiningarupplýsingar þurfi að veita vegna viðbragða við atviki. 16.-17. gr. (o.fl.) SAMORKA Mikilvægi þess að meta með hvaða hætti hægt sé að draga úr kostnaði við opinbert eftirlit, þ.m.t. kaupum og rekstri á eftirlitsbúnaði. • Vísast til umfjöllunar hér ofar, vegna athugasemda við 16. og 17. gr. frumvarpsins. 18. gr. Axel Tómasson Samráðs- og sviðshópar, ekkert eftirlit með? • Með frumvarpinu er lagt til að samstarf, á nánar skilgreindum forsendum, verði heimilað - með það að markmiði að stuðla betur en ella að öryggi og viðnámsþrótti net- og upplýsingakerfa mikilvægra innviða. • Gert er ráð fyrir setningu starfsreglna og gætt skal að reglum samkeppnislaga. Það er nú þegar komin ákveðin reynsla af samráðshópi Póst- og fjarskiptastofnunar með fulltrúum fjarskiptafyrirtækja. 19. gr. PFS Breytingartillaga á 19. gr., með það að markmiði að tryggja trúnað um gögn sem netöryggissveit fær í gegnum alþjóðlegt samstarf slíkra sveita, í gegnum erlenda gagnastrauma og á grundvelli ábendinga og tilkynninga t.d. frá almenningi. Þ.e. tillaga um nýjan 3. málsl., svohljóðandi: „Starfsmenn netöryggissveitar Póst- og fjarskiptastofnunar eru bundnir þagnarskyldu um þau gögn og upplýsingar sem netöryaaissveitin hefur undir höndum, hefur aðgang að eða vinnur með og sem þeirfá vitneskju um ístarfi." • Að mati SRN má fallast á þessa tillögu, en að hún verði 2. mgr. 19. gr. Síðasti málsliður 1. mgr. verði 3. mgr. ákvæðisins. 21. gr. Persónuvernd Ábending um að sérstakt mat á áhrifum á persónuvernd þurfi að eiga sér stað áður en vinnsla persónuupplýsinga skv. ákvæðinu hefjist. • PFS, sem starfrækir netöryggissveitina, taki þessa ábendingu Persónuverndar til sín og framkvæmi slíkt mat fyrir/við gildistöku fyrirhugaðra laga (verði frumvarpið að lögum). 15 https://www.althingi.is/altext/149/s/0557.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) Landsvirkjun Ákvæði 3. málsl. 1. mgr. skuli aðeins taka til þeirra sem eru í þjónustu netöryggissveitar og nýtingu heimildarinnar þurfi að takmarka eins og nokkur kostur er. Við ákvæðið ætti að bæta klausu um að hlutaðeigandi aðilum skuli tilkynnt ef gögn þeirra eru skoðuð. Mikilvægt að greinin heimili ekki netöryggissveit að fylgjast með netumferð í landinu án samþykkis eða vitundar þeirra sem verða fyrir eftirlitinu • Fallast verður á túlkun Landsvirkjunar, miðað við orðanna hljóðan er heimildinni ekki ætlað að ná til annarra starfsmanna PFS en þeirra sem tilheyra netöryggissveit. • Það athugast að þegar er gert ráð fyrir að samþykki mikilvægs innviðar þurfi til beitingar 3. málsl. 1. mgr. Þegar af þeirri ástæðu er að mati SRN óþarft að bæta við ákvæðið skilmálum um að mikilvægum innvið skuli tilkynnt ef gögn þeirra eru skoðuð. • Að því er varðar meinta vöktun netumferðar vísast til umfjöllunar hér ofar, vegna athugasemda við 16. og 17. gr. frumvarpsins. PFS PFS leggur til breytingu á 2. málslið 1. mgr. (bætt verði við tilvísun til innlendra og erlendra samstarfsaðila). • SRN gerir ekki athugasemd við þessa breytingartillögu. PFS leggur til að kveðið verði á um samráð við PFS við setningu reglugerðar skv. 4. mgr. 21. gr. • Að mati SRN er rétt að breyta þessu. 22. gr. Viðskiptaráð SI / SA SFF Telja fjárhæðarviðmið of há og að vísað sé til fleiri fordæma í þeim efnum. • Líkt og fram kemur í greinargerð, um 22. gr., er lagt til að miðað verði við sama hámark og er á dagsektum skv. fjarskiptalögum og lögum um Póst- og fjarskiptastofnun. Axel Tómasson Má beita dagsektum fyrir að skila ekki gögnum sem ekki eru til? • Frumvarpið (12. gr.) gerir ráð fyrir að eftirlitsstjórnvöld geti kallað eftir gögnum/upplýsingum vegna framkvæmdar eftirlits. Skortur á skjalfestum upplýsingum skv. 7. gr. og vanræksla tilmæla um gerð slíkra gæti varðað sektum. • Gera verður ríkar kröfur til eftirlitsstjórnvalda um vandaða málsmeðferð og beitingu eftirlitsúrræða. SAMORKA SFF Ekki sé gott að átta sig á samspili viðurlagaákvæða VI. kafla annars vegar og eftirlitsheimilda III. kafla hins vegar: • verði væntanlega ekki beitt samtímis • og gera verði ráð fyrir að hvort tveggja verði borið undir dómstóla. • Ákvarðanataka á grundvelli eftirlitsheimilda, af hálfu eftirlitsstjórnvalda, snýr að lögaðilum og því gilda stjórnsýslulög ekki sjálfkrafa. Frumvarpið gerir ekki ráð fyrir almennri málskotsheimild á stjórnsýslustigi, til ráðuneytis eða nefndar, og því aðeins um dómstóla að ræða. 23. gr. SAMORKA SI / SA Hvernig geta einstaklingar bakað sér refsiábyrgð skv. lögunum? • Hugsanlega með því að virða að vettugi fyrirmæli eftirlitsstjórnvalds um úrbætur á áhættustýringarumgjörð mikilvægs innviðar. • Þá er gert ráð fyrir að hver sem uppvís verður að því að gefa ranga tilkynningu um atvik til netöryggissveitar skuli sæta refsingu, að fyrirmynd sambærilegs ákvæðis í lögum um almannavarnir. Hugsanlega getur rannsókn lögreglu leitt til þess að starfsmaður rekstraraðila hafi með ásetningi látið fyrir farast að tilkynna, gefa ranga tilkynningu o.s.frv. Koma mætti til móts við athugasemdir með því að fella brott tilvísun til „II. kafla" í 1. mgr. 23. gr. og vísa aðeins til „8. gr.", auk 19. gr. SI / SA SFF Óskýr refsiheimild. • Vísað er til tiltekinna ákvæða og kafla frumvarpsins í ákvæðinu. Að mati SRN uppfyllir ákvæðið kröfur til skýrleika refsiheimilda. 25. gr. Axel Tómasson Opin reglugerðarsetningarheimild til handa ráðherra. • Ekki er um nýjung að ræða, slík ákvæði er að finna í fjölmörgum lagabálkum. 16 https://www.althingi.is/altext/149/s/0557.html Netöryggi (þskj. 557 - 416. mál) Sam göngu- og sveitarstjórnarráðuneyti (SRN) Isavia ohf. • Athygli er vakin á að í efnisákvæðum frumvarpsins að finna sértækari reglugerðarsetningarheimildir, enda æskilegt að framsal valds af hálfu löggjafans um setningu nánari reglna séu afmarkaðri/nánar skilgreindar. • Með frumvarpinu er lagt til að efnisákvæði Evróputilskipunar/NISD verði innleidd í íslenskan rétt - og fyrir liggur að efnisákvæði hennar verða útfærð frekar í bæði undirgerðum og leiðbeiningum/tilmælum, sem enn eru í mótun (á vettvangi stofnana ESB, þ.m.t. ENISA). 26. gr. SFF Fresta gildistöku fram á mitt ár 2020, mikilvægir innviðir þurfi meiri tíma til undirbúnings. • Ekki er ástæða til að fresta gildistöku fyrirhugaðra laga, að mati SRN. • Verði frumvarpið að lögum verður um fyrstu heildstæðu lögin um netöryggi að ræða hér á landi, mikilvægan áfanga sem stuðla mun að auknum viðnámsþrótti innviða samfélagsins, sem liggja til grundvallar veitingu nauðsynlegrar þjónustu. • Umgjörð og leikreglur tengdar net- og upplýsingaöryggi almennt munu þróast áfram, eins og tæknin - og, ekki síður, ógnirnar. 27. gr. Axel Tómasson ISNIC Ítarlegri valdheimildir PFS gagnvart fjarskiptafyrirtækjum (heldur en frumvarpið gerir ráð fyrir gagnvart mikilvægum innviðum). • Um fjarskiptafyrirtæki gildir sjálfstætt samevrópskt regluverk (þau falla ekki undir gildissvið NISD), en með 27. gr. frumvarpsins eru lagðar til breytingar á öðrum lögum sem miða að því að samræma grundvallarákvæði um netöryggismál. • Vísast til ákvæða 13. gr. a. og b. í tilskipun 2002/21/ESB m.áo.br. (Framework Directive), Art. 40-41 í nýlegri tilskipun 2018/1972/ESB sem leysa mun þær fyrrnefndu af hólmi (European Electronic Communications Code), auk gildandi fjarskiptalaga nr. 81/2003. • Ganga verður út frá að íþyngjandi úrræðum sé beitt af fyllstu varkárni og í samræmi við meðalhóf. Í tillögu að nýrri 47. gr. b. í fjarskiptalögum er gert ráð fyrir skyldu fjarskiptafyrirtækja til samningsgerðar við PFS um tæknilega vöktunarþjónustu. • Vísast til ákvæða 47. gr. a. í gildandi fjarskiptalögum og athugasemda um 27. gr. frumvarpsins. Athygli er vakin á 4. mgr. tillögu að nýrri 47. gr. b. • Enn fremur vísast til umfjöllunar hér ofar og athugasemda frumvarpsins um 16. gr. PFS Mælt skuli fyrir um samráð við PFS við setningu reglugerða, sbr. tillaga að nýrri 4. gr. a. í lögum um PFS. • Að mati SRN er rétt að bæta úr þessu. 17 https://www.althingi.is/altext/149/s/0557.html https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02002L0021-20091219&from=EN https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018L1972&from=EN