NIS lögin

Almennt 

Lög nr. 78/2019 um öryggi net- og upplýsingakerfa mikilvægra innviða eru ný lög á sviði netöryggis og tóku gildi 1. september 2020. 

Löggjöfinni er ætlað að tryggja ákveðið lágmarksöryggi net- og upplýsingakerfa aðila sem sinna þjónustu sem talin er sérstaklega mikilvæg fyrir innviði landsins, einu nafni nefnd „mikilvægir innviðir".

Með lögunum er verið að innleiða efnisákvæði svokallaðar NIS tilskipunar Evrópusambandsins (e. the Directive on security of network and information system). Af þeirri ástæðu er oft vísað til lagabálksins sem „NIS laganna”. Tilskipunin hefur ekki enn verið innleidd í ESS-samninginn en unnið er að þeirri innleiðingu hjá Fríverslunarsamtökum Evrópu (EFTA).

Markmið 

Markmið NIS laganna er að stuðla að öryggi og viðnámsþrótti net- og upplýsingakerfa mikilvægra innviða, þ.e.a.s að hlutaðeigandi aðilar séu betur í stakk búnir til að koma í veg fyrir og takast á við ógnir sem að kerfum þeirra steðja. Þetta er gert bæði með því að útlista ákveðnar lágmarksöryggiskröfur  sem mikilvægir innviðir verða innleiða og  hvernig bregðast eigi við ef upp kemur atvik eða áhætta. Þó ber að hafa í huga að þar sem um er að ræða lágmarkskröfur gæti verið rík þörf, eða skylda samkvæmt sérlögum, að ganga lengra í öryggisráðstöfum en lögin gera ráð fyrir.  

Löggjöfinni er einnig ætlað að búa til skýra umgjörð um framkvæmd og eftirlit stjórnvalda með öryggi net- og upplýsingakerfa. Þar sem lögin ná til aðila á ólíkum sviðum þjóðfélagsins er hóp eftirlitsstjórnvalda gefið nýtt hlutverk sem hver sinnir á sínu sviði. Til viðbótar setja lögin á fót svokallað „samhæfingarstjórnvald” sem fellur í hendur Fjarskiptastofu. Þessu fyrirkomulagi er ætlað að samræma aðgerðir eftirlitsstjórnvalda og tryggja með sem bestum hætti jafnræði við framkvæmd laganna.

Reglugerðir 

NIS-lögin gera ráð fyrir því að ráðherra útfæri nánar ákveðin ákvæði laganna í reglugerð.  

Í því samhengi hefur Samgöngu- og sveitarstjórnarráðherra birt reglugerð nr. 866/2020 um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu. Reglugerðin er nánari útfærsla á á 3. gr. (viðmið við mat á rekstraraðilum nauðsynlegrar þjónustu), 7. gr. (lágmarkskröfur um áhættustýringu og viðbúnað), 8. gr. (tilkynning til netöryggissveitar), 12. gr. (eftirlitsheimildir) og 13. gr. laganna (samhæfingarstjórnvald).

Í desember 2020 tók einnig gildi ný reglugerð um öryggi net- og upplýsingakerfa veitenda stafrænnar þjónustu, nr. 1255/2020. Þetta er reglugerð sem varðar eftirlit Fjarskiptastofu með skýjavinnsluþjóntu, leitarvélum á netinu og netmörkuðum.