Atvikatilkynningar

Mikilvægir innviðir skulu tilkynna CERT-IS, netöryggissveit Póst- og fjarskiptastofnunar, um öll alvarleg atvik og áhættu sem ógna öryggi net- og upplýsingakerfa þeirra.   

Efni tilkynningar  

Skal tilkynning berast í gegnum tilkynningagáttina oryggisbrestur.island.is, með tölvupósti á tölvupóstfang CERT-IS, cert@cert.is eða í síma 510-1540. Mælt er með að tölvupóstur sé dulkóðaður og er PGP lykla til þeirra nota að finna á vef CERT-IS.

Tilkynning til CERT-IS skal berast eins fljótt og verða má eftir að borin hafa verið kennsl á atvik eða áhættu í kerfum rekstraraðila nauðsynlegrar þjónustu.  

Í tilkynningu skal m.a. veita eftirfarandi upplýsingar: 

    a) hvenær atviks eða áhættu var fyrst vart í net- og upplýsingakerfum;  

    b) frummat á eðli og/eða tegund atviks eða áhættu í net- og upplýsingakerfum; 

    c) frummat á umfangi atviks eða áhættu; 

    d) frummat á mögulegum smitáhrifum; 

    e) hver sé rekstraraðili umræddra net- og upplýsingakerfa, t.a.m. ef rekstri þeirra útvistað. 

Liggi ekki allar upplýsingar fyrir í upphafi ber rekstraraðila nauðsynlegrar þjónustu að fylgja upprunalegri tilkynningu um atvik eða áhættu eftir með frekari samskiptum við CERT-IS, eins fljótt og verða má.    

Mat á alvarleika atviks eða áhættu

Tilkynningarskylda mikilvægra innviða nær til alvarlegra atvika og áhættu. Aðilum er þó ávallt heimilt að tilkynna og leita samráðs við CERT-IS um önnur minni atvik og áhættur.

Skilgreining á hvað telst sem alvarlegt atvik eða áhætta er matsbundið. Þó má finna leiðbeiningar um hvernig það mat eigi að fara fram í NIS-lögunum og tengdum reglugerðum.

Við mat á alvarleika atviks eða áhættu skal einkum horft til:  

    a) fjölda notenda þjónustunnar sem atvik hefur áhrif á,  
    b) hversu lengi atvik stendur yfir,  
    c) landfræðilegrar útbreiðslu og umfangs áhrifa atviks og  
    d) mögulegra áhrifa atviks á aðra mikilvæga innviði eða efnahagslega og samfélagslega starfsemi eða stafræna þjónustu.  

Í reglugerð um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu skal auk ofangreindra viðmiða líta til þess hvort að atvik eða áhætta: 

  • hefur eða líklegt þykir að muni valda þjónusturofi eða ósamfellu í veitingu nauðsynlegrar þjónustu; 
  • hefur eða líklegt þykir að muni raski öryggi og/eða virkni net- og upplýsingakerfa sem eru grundvöllur fyrir veitingu nauðsynlegrar þjónustu; 
  • hefur eða líklegt þykir að muni hafa áhrif yfir landamæri;
  • hefur eða líklegt þykir að muni hafa áhrif á veitingu þjónustu annarra mikilvægra innviða, þar á meðal vegna viðhalds. 

CERT-IS mun gefa út nánari leiðbeiningar um mat á alvarleika atvika og áhættu og skulu mikilvægir innviðir taka mið af þeim við mat á því hvort tilkynna beri um atvik eða áhættu til sveitarinnar.  

Brot á tilkynningarskyldu 

Vanræki mikilvægur innviður að tilkynna um alvarlegt atvik eða áhættu til CERT-IS telst það sem brot á lögbundnum skyldum þess. Í slíkum tilvikum getur viðkomandi eftirlitsstjórnvald gripið til viðurlaga samkvæmt lögunum, s.s. stjórnvaldssekta. Sjá nánari umfjöllum um úrræði stjórnvalda í kaflanum "Eftirlit og viðurlög"