Skyldutilkynningar
Mikilvægum innviðum tilnefndum af eftirlitsstjórnvöldum (sjá auglýsingu nr. 67/2022) sem og fjarskiptafélögum er skylt að tilkynna alvarleg atvik eða áhættu sem ógnar öryggi net- og upplýsingakerfa til CERT-IS svo fljótt sem verða má. Sjá 8. gr. í lögum nr. 78/2019 (NIS lögin) og 80. gr. í lögum nr. 70/2022 (Fjarskiptalög).
Mat á alvarleika
Við mat á alvarleika atviks skal samkvæmt lögum og reglugerðum hafa ákveðin viðmið.
Fyrir fjarskiptafyrirtæki eru þau tilgreind í 80. gr. laga nr. 70/2022.
Fyrir rekstraraðila nauðsynlegrar þjónustu í 2. mgr. 8. gr. laga nr. 78/2019 og 3. mgr. 25. gr. reglugerðar 866/2020.
Fyrir veitendur stafrænnar þjónustu í 2. mgr. 8. gr. laga nr. 78/2019 og 2-4. mgr. 18. gr. reglugerðar 1255/2020.
Tilkynning
Tilkynna þarf til CERT-IS eins fljótt og verða má og eigi síðar en 6 klukkustundum eftir að borin hafa verið kennsl á alvarleg atvik eða áhættu í kerfum rekstraraðila nauðsynlegrar þjónustu.
Á dagvinnutíma er hægt að nýta þær leiðir sem koma fram undir tilkynningarleiðir. Við mælum hins vegar með því að nota tilkynningarformið þar sem það uppfyllir kröfur um skyldutilkynningu og innifelur allar spurningar sem þarf að svara þegar mikilvægur innviður er valinn sem tilkynnandi.
Utan dagvinnutíma þarf að upplýsa CERT-IS með því að hringja í bakvaktarnúmer sveitarinnar.
Spurningarnar sem þarf að svara og fara á viðeigandi eftirlitsstjórnvöld með leyfi tilkynnanda eru eftirfarandi og er að finna undir 5. mgr. 25. gr. reglugerðar nr. 866/2020:
- hvenær atviks eða áhættu varð fyrst vart í net- og upplýsingakerfum;
- frummat á eðli og/eða tegund atviks eða áhættu í net- og upplýsingakerfum;
- frummat á umfangi atviks eða áhættu;
- frummat á mögulegum smitáhrifum;
- hver sé rekstraraðili umræddra net- og upplýsingakerfa, t.a.m. ef rekstri þeirra er útvistað.
Ef nauðsynlegar upplýsingar liggja ekki fyrir við fyrstu tilkynningu frá því atvik greinist ber tilkynnanda að fylgja tilkynningunni eftir með frekari samskiptum við CERT-IS eins fljótt og verða má.
Ef áhrif atviks eða áhættu getur haft áhrif á mikilvæga innviði undir öðrum eftirlitsstjórnvöldum en tilkynnandi eru svörin einnig send á þau stjórnvöld.