Eftirlit og viðurlög

NIS lögin fela viðeigandi eftirlitsstjórnvöldum það hlutverk að sinna eftirliti með framkvæmd laganna. Eftirlit með rekstraraðilum nauðsynlegrar þjónustu á sviði:

  • bankastarfsemi og innviða fjármálamarkaða er í höndum Seðlabanka Íslands
  • flutninga er í höndum Samgöngustofu
  • heilbrigðisþjónustu er í höndum embætti Landlæknis
  • orku og hitaveitna er í höndum Orkustofnunar
  • vatnsveitna er í höndum Umhverfisstofnunar
  • stafrænna grunnvirkja er í höndum Fjarskiptastofu 

Fjarskiptastofa sinnir einnig eftirliti með veitendum stafrænnar þjónustu. 

Sjá nánari umfjöllun um starfsemi hvers stjórnvalds undir kaflanum um eftirlit og samhæfingu

Almennt um eftirlitssheimildir stjórnvalda 

Eftirlitsheimildirnar sem eftirlitstjórnvöldunum er falið eru tvenns konar. Annars vegar er það almennt virkt eftirlit með því aðilar uppfylla þær lágmarkskröfur sem útlistaðar eru í NIS lögunum og afleiddum reglugerðum. Slíkt eftirlit fer almennt fram með úttektum á öryggisskipulagi og tæknilegu öryggi, ásamt prófunum. Hins vegar er það eftirlit eftir að atvik hefur átt sér stað, eða rökstuddur grunur liggur þar um. Slíkt eftirlit er í formi rannsóknar á því hvort að öryggisskipulag og tæknilegar ráðstafanir eru nægjanlegar og/eða hvort koma hefði mátt í veg fyrir atvik ef farið hefði að kröfum laganna. 

Skal nefna að eftirlit með veitendum stafrænnar þjónustu nær aðeins til aðstæðna þegar atvik hefur átt sér stað eða þegar rökstuddur grunur liggur um að öryggi net-og upplýsingakerfa sé ekki í samræmi við ákvæði laganna. 


Krafa um úrbætur 

Komi í ljós að mikilvægir innviðir fylgi ekki þeim kröfum sem settar eru fram í lögunum eða öðrum reglum um net- og upplýsingakerfi þeirra skal viðeigandi eftirlitsstjórnvald krefjast þess að úr sé bætt. Hlutaðeigandi aðili fær þá hæfilegan frest til að grípa til úrbóta. Vanræki hann hins vegar að vera við slíkri kröfu þá er heimild fyrir því að eftirlitsstjórnvaldið láti vinna verkið á kostnað aðilans.  

 

Dagsektir og stjórnvaldssektir 

Ef ekki er farið eftir fyrirmælum eftirlitsstjórnvalda eða orðið við ósk um að afhenda gögn og upplýsingar sem skylt er að afhenda er heimilt að leggja dagsektir á aðila þangað til úr verður bætt. Upphæða dagsekta gera verið allt að 500.000 kr. fyrir hvern dag. 

Eftirlitsstjórnvöldum er einnig heimilt að leggja á stjórnvaldssektir á þá aðila sem brjóta ákvæði laganna. Stjórnvaldssektirnar eru þó takmarkaðir við ákveðin ákvæði, þ.e.a.s brot á lágmarkskröfum um áhættustýringu og viðbúnað, á ákvæðum um tilkynningarskyldu alvarlegra atvika og/eða áhættu eða þegar brotið er á þagnarskyldu laganna. Stjórnvaldssektir geta numið frá 10.000 kr. til 10.000.000 kr. en þó aldrei hærri en 3% af heildarveltu aðila. 

Kæra til lögreglu 

Ef um er að ræða sérstaklega alvarleg brot er eftirlitsstjórnvaldi heimilt að kæra það til lögreglu.