Hvaða kröfur setja NIS lögin?

NIS Lögin setja ákveðnar lágmarksöryggiskröfur á þá aðila sem undir lögin falla, en auk þess er sett sú krafa að mikilvægir innviðir styðjist við alþjóðlega viðurkennda staðla um bestu framkvæmd hverju sinni á sviði net- og upplýsingaöryggis. Í stuttu máli má setja lágmarksöryggiskröfur laganna (eins og útfærðar eru í reglugerð nr. 866/2020 um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu) í þrjá megin flokka.  

Skipulagslegar og tæknilegar ráðstafanir: 

Í fyrsta lagi að gera nauðsynlegar ráðstafanir til að meta, stýra og lágmarka áhættu sem steðjað getur að öryggi net- og upplýsingakerfa þeirra. Í þessu felst að aðilar setji sér öryggisstefnu, framkvæmi áhættumat og innleiði öryggisráðstafanir á grundvelli þess. Það getur verið mismunandi milli aðila hvaða öryggisráðstafanir eru nauðsynlegar og koma þar til skoðunar allir þættir rekstursins. Þó eru ákveðnar lágmarks kerfislegar og raunlægar öryggisráðstafanir sem skylt er að innleiða, óháð niðurstöðu áhættumats.   

Viðhald og viðbragð við atvikum og áhættu: 

Í öðru lagi að tryggja áreiðanleika í rekstri net- og upplýsingakerfa og takmarka tjón sem verður af atvikum eða áhættu sem upp kemur. Í þessu felst að aðilar setji sér viðbragðáætlun og tryggi, eins og kostur er, órofinn rekstur og þjónustu. Efni viðbragðáætlunar á að taka mið af því áhættumati sem framkvæmt hefur verið en þó eru ákveðin atriði sem skulu ávallt vera í slíkum áætlunum.   

Atvikatilkynningarskylda til CERT-IS: 

Í þriðja lagi að tilkynna alvarleg atvik og/eða áhættu til CERT-IS. Slík tilvik skal tilkynna annaðhvort í gegnum tilkynningargátt um öryggisatvik, oryggisatvik.island.is eða með tölvupósti á tölvupóstfang CERT-IS, cert@cert.is. Mælt er með að tölvupóstur sé dulkóðaður og er PGP dulkóðunarlykla að finna á heimasíðu CERT-IS.  

Tilkynningarskyldan nær aðeins til alvarlegra atvika og/eða áhættu og liggur því ekki bein skylda á mikilvæga innviði að tilkynna önnur atvik sem upp koma.  Ávallt er þó heimilt að tilkynna hverja þá ógn sem upp kemur til CERT-IS og fá leiðbeiningar um hvernig rétt er að bregðast við.  
Nánari umfjöllun um tilkynningar til CERT-IS má finna í kaflanum um atvikatilkynningar. 

 

 

      Dæmi um alþjóðlega viðurkennda staðla: