Mikilvægir innviðir

NIS-lögin gilda um mikilvæga innviði. Mikilvægir innviðir eru skilgreindir sem  annars vegar rekstraraðilar nauðsynlegrar þjónustu og hins vegar veitendur stafrænnar þjónustu.

 

Þó lögin gildi jafnt um báða flokka mikilvægra innviða þá má sjá að gerður er greinarmunur á milli þeirra er varðar gildissvið og eftirlit. 

Ólík nálgun er varðar gildissvið:  

Er varðar rekstraraðila nauðsynlegrar þjónustu skilgreina lögin aðeins þau þjónustusvið sem lögin taka til en setja þarf i reglugerð nánar viðmið um hvaða þjónusta innan þeirra sviða telst nauðsynleg í skilningi laganna. Þessu er öðruvísi háttað með veitendur stafrænnar þjónustu. Þjónustflokkar þeirra eru fastsettir við netmarkaði, leitarvélar á netinu og skýjavinnsluþjónusta og taka til allra veitenda slíkrar þjónustu sem ekki teljast örfélag í skilningi laga um ársreikninga. 

Ólík nálgun er varðar eftirlit:  

Eftirlit gagnvart veitendum stafrænnar þjónustu er takmarkað við tilvik þar sem rökstuddur grunur er á að atvik hafi átt sér stað og hlutaðeigandi uppfyllir ekki lágmarksöryggiskröfur laganna. Fer þá fram rannsókn á því hvort að viðeigandi ráðstafanir hafi verið til staðar eða hvort koma hefði mátt í veg fyrir atvikið. 

Þetta þýðir að, ólíkt rekstraraðilum nauðsynlegrar þjónustu, er ekki heimilt að framkvæma úttektir eða prófanir á veitendum stafrænnar þjónustu fyrirfram áður en að atvik kemur upp eða rökstuddur grunur er að öryggi net- og upplýsingakerfa hafi ekki verið tryggt í samræmi við ákvæði laganna. 

Til viðbótar heimila lögin að gerður sé greinarmunur  á kröfum til rekstraraðila nauðsynlegrar þjónustu og veitendum stafrænnar þjónustu í reglugerð. Í því samhengi skal benda á að reglugerð nr. 866/2020 um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu gildir aðeins, eins og nafnið ber með sér, um rekstraraðila nauðsynlegrar þjónustu.