Netöryggisráðstefna Fjarskiptastofu 8. október 2024

Lög nr. 55/2019 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti skilgreina í  8.tl. 1.mgr. 3.gr. traustþjónustu með eftirfarandi hætti:

"Traustþjónusta er rafræn þjónusta sem að öllu jöfnu er veitt gegn þóknun og felst í myndun, sannprófun og staðfestingu rafrænna undirskrifta, rafrænna innsigla eða rafrænna tímastimpla, rekjanlegrar rafrænnar afhendingarþjónustu og vottorða sem tengjast þessum þjónustum eða myndun, sannprófun og staðfestingu vottorða fyrir sannvottun vefsetra eða varðveislu rafrænna undirskrifta, innsigla eða vottorða sem tengjast þessum þjónustum."

Samkvæmt skilgreiningu í 9. tl. 1. m gr. 3. gr. laga nr. 55/2019 er traustþjónustuveitandi einstaklingur eða lögaðili sem veitir eina eða fleiri tegundir traustþjónustu, annaðhvort sem fullgildur traustþjónustuveitandi eða traustþjónustuveitandi sem hefur ekki fullgildingu.

Fullgildar traustþjónustur þurfa að uppfylla mun ítarlegri kröfur og undirgangast heildstætt mat á hlítingu á tveggja ára fresti hjá vottuðum aðila og eftirlitsstjórnvaldi. Fullgilding á traustþjónustu hlýst eingöngu eftir slíkt ferli og eru traustþjónusturnar skráðar á traustlista Evrópusambandsins. Ófullgildar traustþjónustur ganga ekki í gegnum framangreint ferli þótt vissulega eigi þær að uppfylla ákveðnar kröfur. Ekki eru framkvæmdar úttektir á hlítingu við kröfur og aðilum er óheimilt að markaðssetja sig sem fullgildar traustþjónustur.

Hér á landi eru aðilar á markaði sem veita fullgilda traustþjónustu sem ýmist hefur verið veitt fullgilding af Fjarskiptastofu eða stjórnvaldi í öðrum ríkjum á EESsvæðinu. Þá er einnig í boði nokkurt magn af ófullgildum traustþjónustum sem ekki hafa hlotið fullgildingu á grundvelli yfirferðar á heildstæðu mati á hlítni við þær
tækni- og öryggiskröfur sem gilda um þær.
Fjarskiptastofa hefur veitt Auðkenni fullgilda stöðu til að starfa sem traustþjónustuveitandi á sviði rafrænna undirskrifta og rafrænna innsigla, og Advania ehf. sem traustþjónustuveitandi á sviði rafrænna tímastimpla.

Þá er  vert að nefna að Evrópusambandið hefur sett nýja reglugerð á þessu sviði, svo kallaða eIDAS 2 þar sem finna má nýjar tegundir traustþjónusta sem falla undir gildissvið gerðarinnar sem og breytingar eru gerðar á skilgreiningu fyrir núverandi traustþjónustur.

ESB samþykkir á hverju ári fjölda gerða sem varða málefni innri markaðarins en til þess að EFTA-ríkin geti verið fullgildir þátttakendur í innri markaðinum þarf að taka þessar gerðir upp í EES-samninginn. Það leiðir því af eðli EES-samningsins að óumflýjanlegt er að alltaf sé til staðar ákveðinn fjöldi gerða, sem ESB hefur samþykkt en bíða þess að verða teknar upp í EES-samninginn, enda samþykkja EFTA-ríkin innan EES ekki sjálfkrafa gerðir ESB og því getur þetta m.a. valdið því að gerðir líkt og NIS2 geti ekki tekið samtímis gildi innan ESB og EES.

Þetta getur vissulega valdið því að mismunandi kröfur gildi á mismunandi tímum fyrir sambærilega eða sömu starfsemi á hinum innri markaði. Fyrirtæki sem eru í þessari stöðu, að ýmist veita beint þjónustu yfir landamæri eða þjónustua aðila innan Evrópusambandsins, ættu því að hefja undirbúning og innleiðingu ráðstöfunum til áhættustýringar netöryggis í samræmi við það sem gildir innan aðildarríkja ESB. Það eru því í raun óbein áhrif á gildistökunni úti í Evrópu og hér heima. 

Ekki er komin nein nákvæm tímasetning á innleiðingu NIS2 en þó er hægt að vísa til þess að innleiðingin er ekki á þingmálaskrá þessa löggjafarþings. Áður en að lagafrumvarp verður lagt fyrir Alþingi mun fara fram opið samráð um frumvarpsdrög í Samráðsgátt stjórnvalda. Þar gefst öllum tækifæri á að senda inn umsagnir sem ráðuneyti háskóla, iðnaðar- og vísinda mun vinna úr fyrir framlagningu á þinginu

Í dag er kveðið á um skipulag net- og upplýsingaöryggis og umgjörð áhættustýringar fyrir fjarskipanet og fjarskiptaþjónutu í 78. gr. fjarskiptalaga nr. 70/2022. Í gildii eru einnig reglur Fjarskiptastofu nr. 1221/2007 um vernd upplýsinga á almennum fjarskiptanetum og reglur nr. 1222/2007, um virkni almennra fjarskiptaneta. Þessar reglur voru settar í tíð eldri fjarskiptalaga nr. 81/2003. Ný drög að reglugerð um öryggi fjarskipta sem birt hefur verið í samráðsgátt stjórnvalda mun leysa þessar reglur af hólmi. Líkt og fram kemur í samráðsgáttinni, þegar reglugerðardrögin voru birt, telur ráðuneyti háskóla, iðnaðar og vísinda að uppfærsla á reglunum sé eðlileg enda hafi samfélagið tekið miklum breytingum og mikilvægi fjarskipta í daglegu lífi og fyrir stafræna þróun aukist til muna frá setningu fyrri reglna. Þá er ljóst að nýjar og vaxandi ógnir geti leitt til rekstrartruflana og afleiddra áhrifa í samfélaginu. Að mati ráðuneytisins færa reglugerðardrögin  til nútímans 17 ára gömul ákvæði um öryggi fjarskipta og stjórnkerfi upplýsingaöryggis.

Nú er óljóst hvenær full innleiðing á NIS-2 mun eiga sér stað hér á landi en miðað við reynslu í Evrópu er innleiðing tilskipunarinnar nokkuð flókin. Fjarskiptastofa tekur því undir með mati ráðuneytisins að uppfæra eigi reglur um öryggi fjarskipta með nýrri reglugerð. 

Því miður er ekki til neinn umræðuvettvangur að svo stöddu en Fjarskiptastofa þakkar góða ábendingu um að slíkt gæti verið gagnlegt.  

Fjarskiptastofa leggur til að fólk lesi sig til um þá starfsemi er sérstaklega er tilgreind í viðauka I og II við tilskipunina en þar er að finna nokkuð nákvæma útlistun á þeim yfirflokkum er aðilar gætu hugsanlega tilheyrt og þess að þar er að finna skilgreiningar á þeirri þjónustu sem að tilskipunin tekur til. Veiti aðili þjónustu sem þar er tilgreind þarf næst að athuga hvort að aðilinn uppfylli stærðarviðmið sem sett eru fram í tilskipuninni, eða veiti þjónustu sem er undanskilin þeim takmörkunum (DNS, TLD, fjarskiptafyrirtæki, traustþjónustur og opinberir aðila). Uppfylli aðila ekki umrædd stærðarviðmið þarf þó að meta hvort hann uppfylli önnur skilyrði sem tilgreind eru og varða sérstakt mikilvægi starfsemi hans.
Að auki vinnur Fjarskiptastofa að gerð svokallaðs NIS-2 prófs er getur aðstoðað aðila að átta sig á því hvort þeir falli undir NIS2.  Áætlað er að geta kynnt slíkt próf fyrir áramótin 2024-2025.

Ef aðili úthýsir hluta af þjónustu eða starfsemi sinni til þriðja aðila, og er í skilningi laganna rekstraraðili mikilvægrar eða nauðsynlegrar þjónustu, er hvorki hægt að útvista stjórnunarlegri ábyrgð né áhættustýringu til þess þriðja aðila. Æðstu stjórnendur bera þannig ávallt beina ábyrgð á því að tryggja að fyrirtækið, þar með talið birgjakeðjuna, fylgi lágmarkskröfum löggjafarinnar um ráðstafanir til áhættustýringar netöryggis.

Tilskipunin tilgreinir að aðilar sem sinna opinberri stjórnsýslu muni falla undir hana, sbr. viðauki I. Þar undir er tiltekið að opinber stjórnsýsla bæði á lands- og sveitarstjórnarstigi, í samræmi við landslög í hverju ríki, skuli falla undir gildissviðið.
Hve varðar önnur opinber félög þá er erfitt að gefa einfalt svar en það er mikilvægt að horfa til þess að opinber félög geti einnig fallið undir aðra flokka líkt og flutninga eða úrgangsstjórnun o.fl. og þar með fallið undir NIS2.

Hugbúnaðarprófanir ættu að vera hluti af viðurkenndu gæðaferli hjá öllum hugbúnaðarfyrirtækjum. Sú hugsun að prófanir séu tíma- og fjárfrekar er í sjálfi sér töluvert mikil öryggisáhætta í sjálfu sér. Því er afar mikilvægt að koma því inn í vinnustaða- og vinnumenningu í hugbúnaðargerð, sama hversu stór eða lítil fyrirtæki er um að ræða að hugbúnaðarprófanir sem byggja á ferlum og viðurkenndu gæðakerfi, séu forsenda fyrir því að hægt sé að afhenda vöruna/hugbúnaðinn. Með enn strangari kröfum til birgja, verður einmitt horft til þessa þátta og því afar mikilvægt að stjórnendur hugbúnaðarfyrirtækja fari að gera ráð fyrir hugbúnaðarprófunum í tíma og kostnaðaráætlunum sinna verkefna.

Í sumar varð afar alvarlegt útfall á þjónustu þegar ófullnægjandi prófanir voru gerðar á uppfærslu á hugbúnaði frá CrowdStrike sem Microsoft nýtir í skýjavinnsluumhverfi sínu. Það er dæmi um mikilvægi þess að viðhafa vönduð vinnubrögð hvað þetta varðar.

Erfitt er að segja til um hvort og þá hvaða íslensku félög veita slíka þjónustu, en erlendis þekkist það að þjónustur aðstoða við val á birgjum, m.a. til að tryggja að aðilinn uppfylli viðeigadi öryggskröfur sem gerðar eru til hans. Til staðar eru íslensk ráðgjafafyrirtæki og þjónustur sem gera hjálpað aðilum að framkvæma áreiðanleikakannanir á aðilum, t.d. að skilgreina mögulega veikleika og hugsanlegar ógnir sem gætu steðjað að en mikilvægt er aðilar áhættumeti sjálfir gagnvart eigin kerfum og áhættum, útfrá sínu eigin áhættumati og verkferlum.

Þá er vert að nefna að NIS-2 tilskipun setur skýrar kröfur um að fyrirtæki taki sjálf ábyrgð á netöryggi, þar á meðal öryggi birgjakeðjunnar. Það er skylda fyrirtækja að tryggja að birgjar og þjónustuaðilar séu með virkt stjórnkerfi upplýsingaöryggis, ferla til verndunar gegn netógnum og að stjórnendur beri ábyrgð á því að fylgja þessum kröfum eftir. Þannig að með að nota þjónustur eins og spurt er um, er mikilvægt að aðilar meti sjálfir þær öryggisáhættur sem geta fylgt birgjum á sama hátt og áhættu innan fyrirtækisins sjálfs.

Tilskipunin gerir ekki beina kröfu um að innan aðila skuli vera fullt stöðugildi CISO, aftur á móti er að finna í drögum að framkvæmdagerð Evrópusambandsins sem taka á gildi 18. október 2024, og útfærir lágmarkskröfur skv. 2. mgr. 21. gr. tilskipunarinnar hvað varðar aðila á hinum stafræna markaði, kröfu um að í öryggisstefnu og áhættumati skuli tryggja að "At least one person shall report directly to the management bodies on matters of network and information system security."
Öryggisstefnan skal þannig tilgreina ábyrgðarhlutverk aðila, og hver ber ábyrgð á stefnunni sjálfri. Ábyrgðakeðjan verður að vera mjög skýr og æðstu stjórnendur félagsins bera þó ávallt ábyrgð og geta ekki útvistað sinni ábyrgð til annarra starfsmanna félagsins eða aðila tengt því á beinan eða óbeinan hátt.