NIS - Lög um öryggi net- og upplýsingakerfa mikilvægra innviða

Lög nr. 78/2019 um net og upplýsingaöryggi mikilvægra innviða, (NIS lög), gengu í gildi 1. september 2020. Lögin byggja á tilskipun (ESB) 2016/1148 um ráðstafanir til að ná háu sameiginlegu öryggisstigi í net- og upplýsingakerfum innan Evrópska efnahagssvæðisins. CERT-IS er samkvæmt þeim lögum netöryggissveit sem gegnir hlutverki landsbundins öryggis- og viðbragðsteymis vegna atvika og áhættu er varðar net- og upplýsingaöryggi hér á landi, svokallað CSIRT-teymi fyrir Ísland. Mikilvægir innviðir skiptast í annars vegar rekstraraðila nauðsynlegrar þjónustu og hins vegar veitendur stafrænnar þjónustu. Rekstraraðilar nauðsynlegrar þjónustu eru flokkaðir í geira og hafa eftirlitsstjórnvöld yfirsýn með hverjum fyrir sig:

• Orkustofnun vegna orku- og hitaveitna
• Samgöngustofa vegna flutninga
• Fjármálaeftirlitið vegna bankastarfsemi og innviða fjármálamarkaða
• Embætti landlæknis vegna heilbrigðisþjónustu
• Umhverfisstofnun vegna vatnsveitna
• Póst og fjarskiptastofnun vegna stafrænna grunnvirkja

Samkvæmt lögunum ber rekstraraðilum að tilkynna alvarleg öryggisatvik og áhættu sem ógnar öryggi þeirra net og upplýsingakerfa. Sjá „að tilkynna öryggisatvik“ varðandi leiðbeiningar um form tilkynningar og mat á alvarleika. CERT-IS ber að upplýsa viðkomandi eftirlitsstjórnvald um tilkynningaskyld atvik og mat á áhrifum þeirra. 

Enn fremur er CERT-IS heimilt að upplýsa Ríkislögreglustjóra (RLS) um útbreidd og alvarleg áhrif, en CERT-IS starfar með RLS samkvæmt Almannavarnaáætlun um viðbrögð við alvarlegum netöryggisatvikum. 

CERT-IS hefur samkvæmt lögunum umsjón með sviðshópum sem eru samvinnuhópar hvers geira fyrir sig. Sviðshópar funda reglulega en einnig er stuðlað að virkum daglegum upplýsingaskiptum milli rekstraraðila.