UT Messan

Starfar þú á sviði upplýsingatækni?
Við viljum endilega kynnast þér.

Hafa Samband

Fróðleikur

Lögmenn LEX eiga í nánu samstarfi við viðskiptavini, hafa frumkvæði í lausnum og ráðgjöf, faglegri nálgun verkefna og stöðugri umbótahugsun.

LEX hefur um langt skeið veitt fyrirtækjum, opinberum stofnunum og einstaklingum víðtæka þjónustu á öllum sviðum og eru lögmenn LEX á meðal fremstu sérfræðinga landsins á sviði persónuverndar, hugverka-, fjarskipta- og upplýsingatækniréttar og veita alhliða þjónustu á þessum réttarsviðum.

Þá býður LEX einnig upp á sérhæfða þjónustu til fyrirtækja sem fást við þróun hugbúnaðar og gervigreindar, gerð gagnagrunna eða notast við tæknilausnir í störfum sínum og veita auk þess þjónustu á sviði rafrænna viðskipta og fjártækni

Öryggi net- og upplýsingakerfa mikilvægra innviða

3. febrúar, 2021

Öryggi net- og upplýsingakerfa mikilvægra innviða. Grein eftir Láru Herborgu Ólafsdóttur sem birtist í viðskiptablaði Morgunblaðsins þann 2. september 2020

Netárásum fer sífellt fjölgandi á tímum örrar tækniþróunar. Slíkar árásir geta sett heilu samfélögin úr skorðum, ekki síst ef þær beinast gegn innviðum þeirra. Ekki er langt síðan fréttir bárust af netárásum bæði á sjúkrahús víða um heiminn í miðjum heimsfaraldri sem og gegn kerfum Alþjóðaheilbrigðismálastofnunarinnar. Í gær, 1. september, tóku gildi lög nr. 78/2019 um
net- og upplýsingakerfi mikilvægra innviða sem innleiða efnisákvæði tilskipunar Evrópuþingsins og ráðsins nr. 2016/ 1148 (NIS tilskipunin) varðandi ráðstafanir til að ná háu sameiginlegu öryggisstigi í net- og upplýsingakerfum innan Evrópska efnahagssvæðisins (EES).

Í stuttu máli má segja að meginmarkmið tilskipunarinnar, sem lögin innleiða, séu í fyrsta lagi að auka hæfni aðildarríkja EES til að
efla netöryggi sitt og bregðast við ógnum þar að lútandi. Í þessu sambandi er í tilskipuninni mælt fyrir um að aðildarríkin setji sér stefnu um net- og upplýsingaöryggi og að netöryggissveit sé til staðar. Í annan stað að bæta samvinnu aðildarríkja á sviði netöryggis og í þriðja lagi að styrkja stoðir svokallaðra „mikilvægra samfélagslegra innviða“ þar sem netöryggi kemur við sögu. Mikilvægir samfélagslegir innviðir ná samkvæmt lögunum til annars vegar rekstraraðila „nauðsynlegrar þjónustu“ og hins vegar veitenda
stafrænnar þjónustu. Nauðsynleg þjónusta í þessu samhengi er til að mynda bankastarfsemi og innviði fjármálamarkaða, flutninga, heilbrigðisþjónustu, orku-, hita- og vatnsveitna, svo og stafrænna grunnvirkja, að því gefnu að þjónustan i) sé nauðsynleg fyrir viðhald mikilvægrar samfélagslegrar og efnahagslegrar starfsemi; ii) veiting hennar sé háð net- og upplýsingakerfum; og iii) hver sá atburður sem hefði skaðleg áhrif á öryggi net- og upplýsingakerfis myndi leiða til verulega skerðandi áhrifa á veitingu þjónustunnar. Ráðherra skal mæla nánar fyrir um það í reglugerð hvaða þjónusta telst nauðsynleg í framangreindum skilningi, en drög liggja nú fyrir að slíkum reglum.

Þá skylda lögin fyrirtæki til þess að leggja sjálfstætt mat á hvort þau teljist stafrænir þjónustuveitendur í skilningi laganna. Stafræn þjónusta getur verið þrenns konar í þessu sambandi, þ.e. starfræksla netmarkaðar, leitarvélar á netinu eða skýjavinnsluþjónustu, að undanskildum örfélögum í skilningi laga um ársreikninga.

Framangreindum aðilum ber að takast á hendur bæði
tækni- og skipulagslegar ráðstafanir til að tryggja net- og upplýsingakerfi sín. Þurfa þeir að setja sér öryggisstefnu, framkvæma reglubundið áhættumat og ákvarða og endurmeta öryggisráðstafanir á grundvelli þess. Aðilarnir þurfa auk þess að hafa viðbragðsáætlun og áætlun um samfelldan og órofinn rekstur og þjónustu til að tryggja takmörkun á tjóni ef alvarleg röskun verður á starfsemi þeirra. Meðhöndlun svonefndra atvika samkvæmt lögunum felst í að finna orsakir þeirra, koma aftur á eðlilegu rekstrarástandi og koma í veg fyrir að þau endurtaki sig. Þá þarf að vera til staðar virkt kerfi innra eftirlits. Ráðherra skal setja nánari fyrirmæli í reglugerð um lágmarkskröfur samkvæmt framansögðu.

Ef upp koma alvarleg atvik eða áhætta sem ógnar öryggi net- og upplýsingakerfa þeirra, ber fyrirtækjunum skylda að tilkynna það til netöryggissveitar Póst- og fjarskiptastofnunar (CERT-ÍS) svo fljótt sem verða má og einnig þarf að tilkynna viðskiptavinum um truflanir eða þjónusturof að þessu leyti. Ekki er því skilyrði að um eiginlegt öryggisbrot hafi verið að ræða, heldur öll þau atvik sem ógnað geta öryggi kerfanna, s.s. rafmagnsleysi, vélarbilun eða netárás.

Ljóst er að lögin munu koma til með að hafa áhrif á fjölda aðila sem huga þurfa gaumgæfilega að framfylgd reglnanna. Þannig þarf að ganga úr skugga um að viðeigandi tækni- og skipulagslegar ráðstafanir séu fyrir hendi, ekki ólíkt þeirri vinnu sem víða fór fram í aðdraganda gildistöku nýju persónuverndarlaganna árið 2018. Hafa ber í huga að eftirlitsstjórnvöldum er heimilt að prófa öryggi net- og upplýsingakerfa viðkomandi aðila og gera úttektir á hvort reglum sé framfylgt. Brot gegn lögunum geta varðað stjórnvaldssektum allt að 10 milljónum króna og jafnframt fangelsisrefsingu sé brotið framið af ásetningi. Þá er ekki útilokað að bótaskylda stofnist gagnvart einstaklingum og lögaðilum sem verða fyrir tjóni sökum ófullnægjandi öryggis í andstöðu við lögin.

Til baka í yfirlit