Netöryggi (bski. 557 - 416. mál Samgöngu- og sveitarstjórnarráðuneyti (SRN)
NISD Frumvarp til laga um örvggi net- og upplýsingakerfa mikilvægra
(ísl. þýð.-drög) innviða („frv.")1
Art. 1 (efni og gildissvið) Sjá m.a. 1. gr., 4. gr., 5. gr., 7.-8. gr., 13.-14. gr., 19.-20. gr. og 27. gr.2
Ennfremur Bókun 1, við EES-samninginn, um altæka aðlögun (4. gr.).
Art. 2 (vinnsla persónuupplýsinga) Sjá 21. gr. og lög nr. 90/2018, um persónuvernd og vinnslu
persónuupplýsinga (sbr. GDPR)
Art. 3 (lágmarkssamræming) Helstu frávik frá efnisákvæðum NISD, í frv.:
(1) Gert er ráð fyrir að hitaveitur geti fallið í flokk rekstraraðila
nauðsynlegrar þjónustu.
(2) Gert er ráð fyrir að kveðið verði á um mögulega þjónustu
netöryggissveitar/PFS við opinberar stofnanir.
(3) Frumvarpið gerir ekki ráð fyrir sérákvæðum um
lágmarksöryggiskröfur til hvorrar tegundar mikilvægra innviða um
sig, líkt og NISD, heldur í einu og sama efnisákvæðinu, 7. gr. Í 12. gr.
frv. er gert ráð fyrir að um eftirlit með veitendum stafrænnar
þjónustu fari í samræmi við NISD.3
Art. 4 (skilgreiningar) Sjá 6. gr. Það athugast að í orðskýringarákvæði frumvarpsins er
uppröðun miðuð við íslenska þýðingu hugtaka.
Ekki þótti þörf á að skilgreina eftirtalin hugtök sérstaklega:
(3) „landsbundin stefnuáætlun um öryggi net- og
upplýsingakerfa" >> Sjá 1. mgr. 4. gr. frv.
(10) „fulltrúi" >> Sjá 25. tölul. 6. gr. frv.
Art. 5 (auðkenning rekstraraðila
nauðsynlegrar þjónustu)
Sjá 3. gr., 11. gr. og ákvæði til bráðabirgða.
Ennfremur Bókun 1, við EES-samninginn, um altæka aðlögun (4. gr.).
Art. 6 (veruleg skerðandi áhrif) Sjá 3. mgr. 3. gr.
Art. 7 (landsbundin stefnuáætlun
um öryggi net- og upplýsingakerfa)
Sjá 4. gr.
Ennfremur Bókun 1, við EES-samninginn, um altæka aðlögun (4. gr.).
Art. 8 (lögbær landsyfirvöld og
sameiginlegur tengiliður)
Sjá einkum 11. gr. og 13. gr.
Einnig 4., 5., 9., 10., 14., 15., 18., 20., 21. og 27. gr. og Bókun 1, við
EES-samninginn, um altæka aðlögun.
Art. 9 (viðbragðsteymi vegna atvika
er varða netöryggi, CSIRTs)
Sjá 14. gr.
Ennfremur 15.-18. gr. og 27. gr.
Art. 10 (samvinna á landsvísu) Sjá 4. gr., 9. gr. og 13. gr.
Art. 11 (samstarfshópur) (Aðild EES EFTA ríkja er ekki orðin virk, að samstarfshópnum, enda
hefur NISD ekki verið tekin upp í EES-samninginn ennþá. Gera má
ráð fyrir að kveðið verði á um aðild EES EFTA ríkjanna að
samstarfshópnum í ákvörðun sameiginlegu EES-nefndarinnar um
upptöku NISD í samninginn).
Art. 12 (net viðbragðsteyma vegna
atvika er varða netöryggi)
Sjá einkum 14. gr., 19.-21. gr. og 27. gr.
Art. 13 (alþjóðleg samvinna) Á ekki við.
Art. 14 (öryggiskröfur og tilkynningar
um atvik - rekstraraðilar
nauðsynlegrar þjónustu)
Sjá einkum 7. og 8. gr.
Einnig 9.-10. gr., 13. gr., 5. mgr. 14. gr., 3. mgr. 20. gr.
Art. 15 (framkvæmd og fullnusta) Sjá 11. og 12. gr. Einnig 1. mgr. 5. gr., 19.-21. gr.
1 Vísast ennfremur til greinargerðar með frumvarpinu, til laga um öryggi net- og upplýsingakerfa mikilvægra innviða, þ.e.
tilvitnana í ákvæði NISD (sjá umfjöllun um einstök ákvæði þess).
2 Að því er Art. 1(3) NISD varðar: Um fjarskiptafyrirtæ ki gildir sjálfstætt samevrópskt regluverk (falla ekki undir gildissvið
NISD), en vakin er athygli á að í 27. gr. frumvarpsins greinir breytingartillögur á öðrum lögum sem miða að því að samræma
grundvallarákvæði um netöryggismál. Vísast til ákvæða 13. gr. a. og 13. gr. b. í tilskipun 2002/21/ESB m.áo.br. (Framework
Directive), Art. 40-41 í nýlegri tilskipun 2018/1972/ESB sem leysa mun Framework Directive af hólmi (European Electronic
Communications Code) í náinni framtíð. Ekki er lagt til að fyrirhuguð lög skuli gilda um traustþjónustur.
3 Í tilviki tilskipana eiga ríki val um form og aðferð við framkvæmd innleiðingar, með vísan til 7. gr. EES-samningsins, sbr. Jög
nr. 2/1993, um Evrópska efnahagssvæðið.
1
https://www.althingi.is/altext/149/s/0557.html
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN
https://www.althingi.is/altext/149/s/0557.html
https://www.stjornarradid.is/lisalib/getfile.aspx?itemid=60cfda3b-d4f6-11e7-9422-005056bc530c
https://www.althingi.is/altext/149/s/0557.html
https://www.althingi.is/lagas/nuna/2018090.html
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02002L0021-20091219&from=EN
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018L1972&from=EN
https://www.althingi.is/lagas/nuna/1993002.html
https://www.althingi.is/lagas/nuna/1993002.html
Netöryggi (þskj. 557 - 416. mál Samgöngu- og sveitarstjórnarráðuneyti (SRN)
Art. 16 (öryggiskröfur og tilkynningar
um atvik - veitendur stafrænnar
þjónustu)
Sjá 7. og 8. gr.
Einnig 2. mgr. 2. gr., 1. mgr. 5. gr., 9. gr., 10. gr., 13. gr., 5. mgr. 14.
gr., 19. gr., 3. mgr. 20. gr. og 21. gr.
Art. 17 (framkvæmd og fullnusta) Sjá 11. og 12. gr. (ath. einkum 3. mgr. 12. gr.).
Einnig 1. mgr. 5. gr., 19.-21. gr.
Art. 18 (lögsaga og yfirráðasvæði) Sjá 6. gr. >> 25. tölul.
Art. 19 (stöðlun) Sjá 7. gr. (ath. einkum 1. og 4. mgr.)
Art. 20 (valfrjáls tilkynning) Sjá 15. gr.
Art. 21 (viðurlög) Sjá 22.-23. gr.
Art. 22 (nefndarmeðferð - ESB) Á ekki við.
Art. 23 (endurskoðun - ESB) Á ekki við.
Art. 24 (umbreytingarráðstafanir -
ESB)
Á ekki við.
Art. 25 (lögleiðing - ESB) Unnið er að undirbúningi upptöku NISD í EES-samninginn.
Art. 26 (gildistaka - ESB) Á ekki við >> 26. gr.
Art. 27 (viðtakendur - ESB) Unnið er að undirbúningi upptöku NISD í EES-samninginn.
I. viðauki - Kröfur og verkefni
viðbragðsteyma vegna atvika er
varða netöryggi (CSIRTs)
Sjá 14.-18. og 27. gr. frv.
II. viðauki - Tegundir aðila að því er
varðar 4. lið 4. gr.
Sjá 2., 3., 6. og 11. gr. frv.
III. viðauki - Tegundir stafrænnar
þjónustu að því er varðar 5. lið 4. gr.
Sjá 2., 6. og 11. gr. frv.
2
https://www.althingi.is/altext/149/s/0557.html