Hoppa yfir valmynd

Alvarleikamat

Eftirfarandi eru leiðbeiningar CERT-IS í samræmi við 4. mgr. 25. gr. reglugerðar 866/2020.  

Tilkynningaskyldir aðilar skulu eftir fremsta megni taka mið af þessum leiðbeiningum við mat á alvarleika atvika í samræmi við sömu grein reglugerðarinnar. 

Mikilvægt er að við innleiðingu mats á alvarleika í viðbúnaðaráætlanir séu viðmið um áhrif og umfang aðlöguð með tilliti til reksturs viðkomandi aðila. Þannig sé hlutfall miðað við fjölda viðskiptavini, notenda, rekstrarstöðva eða annað sem við á í hverjum rekstri, en einnig séu viðmiðunarhlutföll stillt til ef nauðsyn krefur. Rökstuðningur fyrir slíkum breytingum ætti að liggja fyrir í áætlun. 

 

CERT-IS leggur til eftirfarandi viðmið varðandi mat á alvarleika atviks: 

  • Áhrif á veitingu þjónustu rekstraraðila. Atvik eða áhætta sem ógnar veitingu nauðsynlegrar þjónustu, hvort sem er ósamfella, þjónusturof eða önnur röskun á öryggi og/eða virkni kerfa. Miðað er við að þjónusturofávallt tilkynningaskylt en við mat annarra ógna sé miðað við umfang og áhrif.

 

  • Athugið að í reglugerð nr. 866/2020 (25. gr. 3. mgr. lið d) er einnig tekið fram að fyrirsjáanlegar truflanir, s.s. vegna viðhalds, séu tilkynningarskyldar hafi þær áhrif á þjónustu annarra mikilvægra innviða.

 

  • Raungerð eða möguleg áhrif á aðra mikilvæga innviði eða efnahagslega og samfélagslega starfsemi eða stafræna þjónustu. CERT-IS mælist til að aðilar tilkynni atvik sem talin eru ógna öðrum rekstraraðilum eða innviðum þjóðfélagsins, jafnvel þó ekki sé um að ræða ógn gegn tilkynnanda sjálfum.

 

  • Hversu lengi atvik hefur staðið yfir. Vari atvik lengur en 2 klst er það hækkað um flokk, úr tilkynning heimil í tilkynning æskileg, og úr tilkynning æskileg yfir í tilkynningarskylt.

 

  • Útbreiðsla atviks, s.s. hvað varðar landfræðileg áhrif og fjölda notenda sem atvik hefur áhrif á. Miðað er við litla (<20%), meðal (20-50%) og verulega útbreiðslu (>50%), en mörk gæti þurft að aðlaga eftir rekstri. Þegar hugað er að fjölda notenda getur verið að um sé að ræða viðskiptavini, notendur, starfsfólk eða rekstrarstöðvar. Atvik sem talið er að hafi eða geti haft óæskileg áhrif yfir landamæri eru ávallt tilkynningaskyld.