Upptaka og glærur frá haustfundi FUT um NIS2

FUT hélt haustfund 9. október sl. Fundurinn var haldinn í samvinnu við Verkfræðingafélag Íslands (VFÍ) og var haldinn í húsnæði VFÍ. Fundinum var einnig streymt á netinu. Upptöku af fundinum má nálgast hér.

Fundarefnið er NIS2 og staðlar en á næstunni verður NIS2 tekið upp á Íslandi og þá munu fleiri aðilar þurfa að hlíta Evróputilskipuninni, ekki bara mikilvægir innviðir heldur einnig iðnaðurinn s.s. skipulagsheildir í orku, flutningum, heilsu og stafrænni þjónustu.

Unnur Kristín Sveinbjarnardóttir sviðstjóri stafræns öryggis hjá Fjarskiptastofu fór yfir helstu þætti NIS2 og innleiðingar hér á landi. Sjá glærur.

Marinó G. Njálsson fór yfir það hvernig ýmsir staðlar geta stutt skipulagsheildir við upptöku á ISO 27001 við að uppfylla kröfur NIS2 og aðrar ytri kröfur. Sjá glærur.

Það kom fram í erindi Unnar að innleiðing NIS2 mun hafa áhrif á mun stærri hóp en fyrri útgáfa af NIS2 tilskipuninni gerði, einnig er ábyrgð stjórnenda gerð skýrari. Marinó fjallaði svo um hvernig staðlar geta nýst í vinnu við að uppfylla NIS2 tilskipunina.

Á fundinum gafst ekki ráðrúm fyrir spurningar en nokkrar spurningar bárust á spjalli í vefstreymi og svaraði Unnur Kristín þeim eftir fundin og eru spurningarnar og svörin birt hér á eftir:

1. Hvernig var það ákveðið að NIS2 eigi við um fyrirtæki með 50+ starfsfólk, kemur sú skilgreining frá EU?
   
   Já, þessi mörk eru sett fram í tilskipuninni, sbr. 1. mgr. 2. gr. hennar. Í þessu samhengi er þó rétt að benda á að gildissviðsákvæðið er nokkuð flókið og eilítið mismunandi eftir tegundum þjónustu. Þannig eiga þessi stærðarviðmið ekki alltaf við, þ.e. smærri fyrirtæki geta fallið undir gildisviðið líka. Minni á að Fjarskiptastofa mun setja upp á vefsíðu sinni „NIS-2 próf“ til að aðstoða aðila hvort þeir falli undir. Það er þó alltaf einungis leiðbeinandi en ekki bindandi svar.
   
   
2. Það er mismunandi tilkynningaskylda á milli geira í NIS2. Hvað þýðir það fyrir tilkynningaskylduna í fjarskiptalögum - þ.e. hvor gildir ef upp kemur atvik?
   
   Þegar NIS-2 verður innleidd hér á landi munu ákvæði fjarskiptalaga er varðar tilkynningarskylduna vera endurskoðuð þar sem hún er feld undir NIS-2. Hvað varðar tilkynningarskyldu skv. NIS-2 tilskipuninni er mikilvægt að huga að tvennu. Í fyrsta lagi þá hvíla sömu skyldur á öllum aðilum um tilkynningar skv. í 23. gr. hennar, þ.e. tímamörk, skýrslugerð o.þ.u.l. Í öðru lagi þá er það hluti af sérstakri framkvæmdagerð Evrópusambandsins að kveða á um alvarleikastig atvika fyrir tiltekna aðila, þ.e. DNS-aðila, TLD, aðila, MSP, MSP, skýjavinnsluþjónustur, dreifiveitur efnis, netmarkaði, leitarvélar á netinu og samfélagsplatform. Rekstraraðilar almennra fjarskiptaneta eða almennrar fjarskiptaþjónustu eru ekki undir þessari framkvæmdareglugerð. En ef að fjarskiptafyrirtæki sem veitir t.d. almenna fjarskiptaþjónustu og DNS-þjónustu þá þarf að meta alvarleika út frá 23. gr. tilskipunarinnar varðandi fjarskiptahlutann en framkvæmdareglugerðar hvað varðar DNS-þjónustu.
   
   
3. Hvað er búist við að mörg fyrirtæki á Íslandi falli undir NIS 2 og hefur FST og CERTÍS mannauð og auðlindir til að sinna skyldum sínum gagnvart þeim öllum?
   
   Það liggur ekki fyrir hversu margir aðilar munu falla undir gildissvið löggjafar sem innleiðir NIS-2 hér á landi. Frumgreiningarvinna stendur yfir. Það er þau nokkuð augljóst að umfangið frá núverandi netöryggislögum mun aukast umtalsvert. Eðli málsins samkvæmt þarf að kostnaðargreina komandi frumvarpsdrög m.t.t. þeirra skyldna sem að sett eru á aðildarríki hvað varðar eftirlit stjórnvalda og hlutverk CERT-IS. Fjarskiptastofa gerir ráð fyrir að það verður kostnaðarauki hvað þetta varðar við innleiðinguna, m.a. í formi aukins mannauðs.
   
   
4. Bónus spurning, hvað gerist ef EU lönd ná ekki að láta NIS2 taka gildi fyrir 18.okt?
   
   Samkvæmt hefðbundnu ferli innan ESB myndi framkvæmdastjórn sambandsins hefja skoðun á innleiðingu. Almennt ef aðildarríki eru ekki að innleiða þá fá þau á sig ákvörðun um brot geng sáttmálanum þar úti. Mig grunar nú að ESB fari ekki af stað þann 19. okt heldur gefi aðeins svigrúm. Þetta er flókin löggjöf. En hins vegar geri ég ráð fyrir að framkvæmdastjórnin hafi í framhaldinu einnig augun á því hvort að aðildarríki innleiði tilskipunina rétt, þ.e. að allar kröfur hennar séu uppfylltar. Sambærilegt mun svo eiga sér stað gagnvart Íslandi, Noregi og Liechtenstein þegar tilskipunin hefur verið innleidd og tekið gildi á grundvelli EES-samningsins.