Rannsóknir

Fjarskiptafyrirtæki sem rekur almennt fjarskiptanet eða veitir almenna fjarskiptaþjónustu er skylt samkvæmt fjarskiptalögum að tilkynna öll alvarleg öryggisatvik á sviði fjarskipta og alvarlega áhættu og atvik á grundvelli NIS-laga, án tafar til CERT-IS.  Einnig ber öllum mikilvægum innviðum, þ.m.t. veitendum stafrænnar þjónustu, að tilkynna öll alvarleg atvik eða áhættu sem ógnar öryggi net- og upplýsingakerfa þeirra til CERT-IS, samkvæmt lögum um netöryggi.

CERT-IS er skylt að framsenda slíkar skyldubundnar tilkynningar til hlutaðeigandi eftirlitsstjórnvalda. Þegar upplýsingar um slík tilkynningaskyld atvik berast frá eftirlitsskyldum aðilum Fjarskiptastofu eða Fjarskiptastofa fréttir af atviki þá hefur svið stafræns öryggis forskoðun á atvikinu.

Forskoðunin hefst með upplýsingabeiðni til að leggja frummat á alvarleika atviks og á því hvort að öryggisráðstafanir og verklag varðandi stjórnkerfi netöryggis sé í samræmi við kröfur þar um. Sé það niðurstaða forskoðunar að hefja skuli stjórnsýsluskoðun hefst formlegt stjórnsýsluferli sem leitt getur til töku stjórnvaldsákvörðunar.

Almennt leiða fáar forskoðanir á atvikum til ítarlegrar stjórnsýsluskoðunar. Málum lýkur almennt með niðurstöðubréfi stofnunarinnar til hlutaðeigandi rekstraraðila eða fjarskiptafyrirtækis, oft með ábendingum um hvar gæti verið þörf á yfirferð eða úrbótum hjá félaginu. Ekki er um bindandi fyrirmæli að ræða. Forskoðanir eru gerðar að frumkvæði Fjarskiptastofu og hafa það markmið að framfylgja ákvæðum um lágmarkskröfur um stjórnskipulag upplýsingaöryggis, ráðstafanir og umgjörð áhættustýringar.