Rannsóknir

Fjarskiptafyrirtæki sem rekur almennt fjarskiptanet eða veitir almenna fjarskiptaþjónustu er skylt samkvæmt fjarskiptalögum að tilkynna öll alvarleg öryggisatvik á sviði fjarskipta og alvarlega áhættu og atvik á grundvelli fjarskiptalaga, án tafar til CERT-IS og Fjarskiptastofu.  Einnig ber öllum mikilvægum innviðum, þ.m.t. veitendum stafrænnar þjónustu, að tilkynna öll alvarleg atvik eða áhættu sem ógnar öryggi net- og upplýsingakerfa þeirra til CERT-IS, samkvæmt lögum um netöryggi.

CERT-IS er skylt að framsenda slíkar skyldubundnar tilkynningar til hlutaðeigandi eftirlitsstjórnvalda. Þegar upplýsingar um slík tilkynningaskyld atvik berast frá eftirlitsskyldum aðilum Fjarskiptastofu eða Fjarskiptastofa fréttir af atviki þá hefur Netöryggissvið forskoðun á atvikinu.

Í kjölfar tilkynningar hefur Fjarskiptastofa forskoðun til að leggja frummat á alvarleika atviks og á því hvort að öryggisráðstafanir og verklag varðandi stjórnunarkerfi net- og upplýsingaöryggis sé í samræmi við kröfur þar um. Sé það niðurstaða forskoðunar að hefja skuli stjórnsýsluskoðun hefst formlegt stjórnsýsluferli sem leitt getur til töku stjórnvaldsákvörðunar.

Almennt leiða fáar forskoðanir á atvikum til ítarlegrar stjórnsýsluskoðunar. Málum lýkur almennt með niðurstöðubréfi stofnunarinnar til hlutaðeigandi mikilvægs innviðs eða fjarskiptafyrirtækis, oft með ábendingum um hvar gæti verið þörf á yfirferð eða úrbótum hjá félaginu. Ekki er um bindandi fyrirmæli að ræða. Forskoðanir eru gerðar að frumkvæði Fjarskiptastofu og hafa það markmið að framfylgja ákvæðum um lágmarkskröfur um stjórnskipulag net- og upplýsingaöryggis, ráðstafanir og umgjörð áhættustýringar.