Öryggi net- og upplýsingakerfa mikilvægra innviða

Umsögn í þingmáli 416 á 149. þingi


Þingmál lagt fram: 03.12.2018 Tegund þingmáls: Lagafrumvarp Fjöldi umsagna við þingmál: 18 Fjöldi umsagnarbeiðna við þingmál: 29 Ferill þingmálsins á althingi.is Sendandi: Samgöngu- og sveitarstjórnar­ráðuneytið Viðtakandi: Umhverfis- og samgöngu­nefnd Dagsetning: 12.04.2019 Gerð: Upplýsingar
Netöryggi (bski. 557 - 416. mál Samgöngu- og sveitarstjórnarráðuneyti (SRN) NISD Frumvarp til laga um örvggi net- og upplýsingakerfa mikilvægra (ísl. þýð.-drög) innviða („frv.")1 Art. 1 (efni og gildissvið) Sjá m.a. 1. gr., 4. gr., 5. gr., 7.-8. gr., 13.-14. gr., 19.-20. gr. og 27. gr.2 Ennfremur Bókun 1, við EES-samninginn, um altæka aðlögun (4. gr.). Art. 2 (vinnsla persónuupplýsinga) Sjá 21. gr. og lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga (sbr. GDPR) Art. 3 (lágmarkssamræming) Helstu frávik frá efnisákvæðum NISD, í frv.: (1) Gert er ráð fyrir að hitaveitur geti fallið í flokk rekstraraðila nauðsynlegrar þjónustu. (2) Gert er ráð fyrir að kveðið verði á um mögulega þjónustu netöryggissveitar/PFS við opinberar stofnanir. (3) Frumvarpið gerir ekki ráð fyrir sérákvæðum um lágmarksöryggiskröfur til hvorrar tegundar mikilvægra innviða um sig, líkt og NISD, heldur í einu og sama efnisákvæðinu, 7. gr. Í 12. gr. frv. er gert ráð fyrir að um eftirlit með veitendum stafrænnar þjónustu fari í samræmi við NISD.3 Art. 4 (skilgreiningar) Sjá 6. gr. Það athugast að í orðskýringarákvæði frumvarpsins er uppröðun miðuð við íslenska þýðingu hugtaka. Ekki þótti þörf á að skilgreina eftirtalin hugtök sérstaklega: (3) „landsbundin stefnuáætlun um öryggi net- og upplýsingakerfa" >> Sjá 1. mgr. 4. gr. frv. (10) „fulltrúi" >> Sjá 25. tölul. 6. gr. frv. Art. 5 (auðkenning rekstraraðila nauðsynlegrar þjónustu) Sjá 3. gr., 11. gr. og ákvæði til bráðabirgða. Ennfremur Bókun 1, við EES-samninginn, um altæka aðlögun (4. gr.). Art. 6 (veruleg skerðandi áhrif) Sjá 3. mgr. 3. gr. Art. 7 (landsbundin stefnuáætlun um öryggi net- og upplýsingakerfa) Sjá 4. gr. Ennfremur Bókun 1, við EES-samninginn, um altæka aðlögun (4. gr.). Art. 8 (lögbær landsyfirvöld og sameiginlegur tengiliður) Sjá einkum 11. gr. og 13. gr. Einnig 4., 5., 9., 10., 14., 15., 18., 20., 21. og 27. gr. og Bókun 1, við EES-samninginn, um altæka aðlögun. Art. 9 (viðbragðsteymi vegna atvika er varða netöryggi, CSIRTs) Sjá 14. gr. Ennfremur 15.-18. gr. og 27. gr. Art. 10 (samvinna á landsvísu) Sjá 4. gr., 9. gr. og 13. gr. Art. 11 (samstarfshópur) (Aðild EES EFTA ríkja er ekki orðin virk, að samstarfshópnum, enda hefur NISD ekki verið tekin upp í EES-samninginn ennþá. Gera má ráð fyrir að kveðið verði á um aðild EES EFTA ríkjanna að samstarfshópnum í ákvörðun sameiginlegu EES-nefndarinnar um upptöku NISD í samninginn). Art. 12 (net viðbragðsteyma vegna atvika er varða netöryggi) Sjá einkum 14. gr., 19.-21. gr. og 27. gr. Art. 13 (alþjóðleg samvinna) Á ekki við. Art. 14 (öryggiskröfur og tilkynningar um atvik - rekstraraðilar nauðsynlegrar þjónustu) Sjá einkum 7. og 8. gr. Einnig 9.-10. gr., 13. gr., 5. mgr. 14. gr., 3. mgr. 20. gr. Art. 15 (framkvæmd og fullnusta) Sjá 11. og 12. gr. Einnig 1. mgr. 5. gr., 19.-21. gr. 1 Vísast ennfremur til greinargerðar með frumvarpinu, til laga um öryggi net- og upplýsingakerfa mikilvægra innviða, þ.e. tilvitnana í ákvæði NISD (sjá umfjöllun um einstök ákvæði þess). 2 Að því er Art. 1(3) NISD varðar: Um fjarskiptafyrirtæ ki gildir sjálfstætt samevrópskt regluverk (falla ekki undir gildissvið NISD), en vakin er athygli á að í 27. gr. frumvarpsins greinir breytingartillögur á öðrum lögum sem miða að því að samræma grundvallarákvæði um netöryggismál. Vísast til ákvæða 13. gr. a. og 13. gr. b. í tilskipun 2002/21/ESB m.áo.br. (Framework Directive), Art. 40-41 í nýlegri tilskipun 2018/1972/ESB sem leysa mun Framework Directive af hólmi (European Electronic Communications Code) í náinni framtíð. Ekki er lagt til að fyrirhuguð lög skuli gilda um traustþjónustur. 3 Í tilviki tilskipana eiga ríki val um form og aðferð við framkvæmd innleiðingar, með vísan til 7. gr. EES-samningsins, sbr. Jög nr. 2/1993, um Evrópska efnahagssvæðið. 1 https://www.althingi.is/altext/149/s/0557.html https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN https://www.althingi.is/altext/149/s/0557.html https://www.stjornarradid.is/lisalib/getfile.aspx?itemid=60cfda3b-d4f6-11e7-9422-005056bc530c https://www.althingi.is/altext/149/s/0557.html https://www.althingi.is/lagas/nuna/2018090.html https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02002L0021-20091219&from=EN https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018L1972&from=EN https://www.althingi.is/lagas/nuna/1993002.html https://www.althingi.is/lagas/nuna/1993002.html Netöryggi (þskj. 557 - 416. mál Samgöngu- og sveitarstjórnarráðuneyti (SRN) Art. 16 (öryggiskröfur og tilkynningar um atvik - veitendur stafrænnar þjónustu) Sjá 7. og 8. gr. Einnig 2. mgr. 2. gr., 1. mgr. 5. gr., 9. gr., 10. gr., 13. gr., 5. mgr. 14. gr., 19. gr., 3. mgr. 20. gr. og 21. gr. Art. 17 (framkvæmd og fullnusta) Sjá 11. og 12. gr. (ath. einkum 3. mgr. 12. gr.). Einnig 1. mgr. 5. gr., 19.-21. gr. Art. 18 (lögsaga og yfirráðasvæði) Sjá 6. gr. >> 25. tölul. Art. 19 (stöðlun) Sjá 7. gr. (ath. einkum 1. og 4. mgr.) Art. 20 (valfrjáls tilkynning) Sjá 15. gr. Art. 21 (viðurlög) Sjá 22.-23. gr. Art. 22 (nefndarmeðferð - ESB) Á ekki við. Art. 23 (endurskoðun - ESB) Á ekki við. Art. 24 (umbreytingarráðstafanir - ESB) Á ekki við. Art. 25 (lögleiðing - ESB) Unnið er að undirbúningi upptöku NISD í EES-samninginn. Art. 26 (gildistaka - ESB) Á ekki við >> 26. gr. Art. 27 (viðtakendur - ESB) Unnið er að undirbúningi upptöku NISD í EES-samninginn. I. viðauki - Kröfur og verkefni viðbragðsteyma vegna atvika er varða netöryggi (CSIRTs) Sjá 14.-18. og 27. gr. frv. II. viðauki - Tegundir aðila að því er varðar 4. lið 4. gr. Sjá 2., 3., 6. og 11. gr. frv. III. viðauki - Tegundir stafrænnar þjónustu að því er varðar 5. lið 4. gr. Sjá 2., 6. og 11. gr. frv. 2 https://www.althingi.is/altext/149/s/0557.html