Öryggi net- og upplýsingakerfa mikilvægra innviða (NIS)

Þann 1. september 2020 tóku lög um öryggi net- og upplýsingakerfa mikilvægra innviða eða NIS lögin (78/2019) gildi á Íslandi. Samhliða gildistökunni var birt reglugerð um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu (866/2020). Markmið laganna er að stuðla að öryggi og viðnámsþrótti net- og upplýsingakerfa mikilvægra innviða.

Formlegur listi hefur verið gefinn út af Samgönguráðuneytinu yfir þá rekstraraðila sem skilgreindir eru rekstraraðilar nauðsynlegrar þjónustu og þurfa því að uppfylla þær kröfur sem tilgreindar eru lögunum og tengdum reglugerðum. Rétt er að nefna að í lögunum kemur fram að listinn verður uppfærður reglulega og eftir þörfum.

Í lögunum er kveðið á um ákveðnar öryggisráðstafanir sem rekstraraðilar nauðsynlegrar þjónustu þurfa að uppfylla ásamt því sem reglugerðin útlistar enn frekar hvaða öryggisráðstafanir þurfa að vera til staðar.

Sem dæmi um öryggisráðstafanir sem uppfylla þarf er:

• Skjalfest, samþykkt og innleidd öryggisstefna
• Gerð og uppfærsla á áhættumati eftir formlegum ferlum
• Öryggisráðstafanir gagnvart starfsmönnum, verktökum og þjónustuaðilum er koma að rekstri nauðsynlegrar þjónustu
• Formlega aðgangsstýringaferla og rekjanleika aðgerða innan kerfa
• Viðeigandi umferðartakmarkanir í net- og upplýsingakerfum
• Formlega breytingastjórnunarferla
• Skjalfest, reglulega uppfærð og prófuð viðbragðsáætlun
• Reglulegt innra eftirlit
  

Eftirlitsaðilar munu hafa heimild til að framkvæma úttektir og prófanir hjá rekstraraðilum nauðsynlegrar þjónustu til að kanna fylgni við lögin.

Sérfræðingar Deloitte hafa mikla reynslu og þekkingu á að aðstoða fyrirtæki við hönnun, útfærslu og innleiðingu öryggisráðstafana, þar á meðal þeirra sem getið er um í lögum þessum.

Við hvetjum viðeigandi aðila til að kynna sér kröfur laganna og innleiða viðeigandi öryggisráðstafanir í samræmi við lögin.