Prentað þann 29. apríl 2024
1720/2023
Reglugerð um netöryggisráð.
Efnisyfirlit
- 1. gr. Tilgangur og markmið.
- 2. gr. Skipan netöryggisráðs.
- 3. gr. Mat á framkvæmd stefnu stjórnvalda á sviði net- og upplýsingaöryggis.
- 4. gr. Stöðumat á netöryggi.
- 5. gr. Upplýsingamiðlun og samhæfing.
- 6. gr. Starfsreglur og fundir netöryggisráðs.
- 7. gr. Trúnaður og sérstök þagnarskylda.
- 8. gr. Heimild og gildistaka.
1. gr. Tilgangur og markmið.
Tilgangur og markmið reglugerðar þessarar er að skýra skipan, hlutverk og ábyrgð netöryggisráðs.
Ráðið starfar á grundvelli 2. mgr. 4. gr. laga um um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019 og fylgir eftir framkvæmd stefnu stjórnvalda á sviði net- og upplýsingaöryggis og leggur mat á stöðu netöryggis á Íslandi á hverjum tíma, auk þess að vera vettvangur upplýsingamiðlunar og samhæfingar í netöryggismálum. Ráðið starfar í umboði þess ráðherra sem fer með málefni netöryggis og getur hann óskað eftir ráðgjöf ráðsins í samræmi við hlutverk þess, eftir þörfum.
2. gr. Skipan netöryggisráðs.
Ráðherra netöryggismála skipar sjö fulltrúa ráðuneyta eða opinberra stofnana í netöryggisráð til þriggja ára í senn.
Þrír fulltrúar skulu tilnefndir af háskóla-, iðnaðar- og nýsköpunarráðuneytinu eða stofnun ráðuneytisins, vegna netöryggismála og starfsemi netöryggissveitar, samkvæmt ákvörðun ráðuneytisins. Einn fulltrúi skal tilnefndur af hverju eftirtalinna ráðuneyta, eða stofnun þess samkvæmt ákvörðun viðkomandi ráðuneytis: Forsætisráðuneyti vegna þjóðaröryggisráðs, dómsmálaráðuneyti vegna lögreglu-, almannavarna- og persónuverndarmála, fjármála- og efnahagsráðuneyti vegna fjármálamarkaðar og ríkisreksturs, og utanríkisráðuneyti vegna varnarmála.
Varamaður er jafnframt skipaður fyrir hvern aðalmann og eftir því sem við á tilnefndur á sama hátt og aðalmaður og tekur sæti aðalmanns ef hann forfallast eða getur af einhverjum ástæðum ekki sinnt hlutverki sínu í ráðinu.
Ráðherra skipar formann og varaformann ráðsins. Formaður ráðsins kemur fram fyrir hönd þess gagnvart ráðherra.
Fulltrúar ráðsins skulu búa yfir sérfræðimenntun eða hafa starfsreynslu á sviði net- og upplýsingaöryggis sem telst fullnægjandi að mati ráðherra til að ræða, leggja mat á og taka afstöðu til mála sem ráðið hefur með höndum á sviði netöryggis.
Fulltrúar ráðsins skulu búa yfir öryggisvottun sem gerir þeim kleift að móttaka hvers konar upplýsingar um netöryggisógnir og stöðu netöryggis sem íslensk stjórnvöld eða bandalagsþjóðir þeirra búa yfir.
3. gr. Mat á framkvæmd stefnu stjórnvalda á sviði net- og upplýsingaöryggis.
Ráðuneyti sem fer með málefni netöryggis skal árlega leggja fyrir ráðið upplýsingar um framkvæmd netöryggisstefnu stjórnvalda, þ.m.t. upplýsingar um stöðu aðgerða í aðgerðaáætlun stjórnvalda í netöryggi. Byggt á þessum upplýsingum og öðrum þeim upplýsingum sem ráðið aflar, leggur það árlega mat á framkvæmd stefnunnar og aðgerða hennar og kynnir niðurstöður sínar í formi skriflegs álits til ráðherra.
4. gr. Stöðumat á netöryggi.
Ráðið aflar gagna og leggur sjálfstætt mat á stöðu netöryggis hér á landi á hverjum tíma. Mat ráðsins á stöðu netöryggis byggir meðal annars á stöðumati netöryggissveitar Fjarskiptastofu, auk upplýsinga sem berast frá sveitinni um alvarleg og/eða útbreidd atvik eða áhættu sem ógna öryggi net- og upplýsingakerfa og tengjast þjónustuhópum sveitarinnar eða, ef við á, netumdæmi Íslands almennt, eins og við á hverju sinni. Ráðið getur einnig staðið fyrir könnunum og úttektum eða aflað upplýsinga með öðrum hætti. Ráðið kallar eftir gögnum hjá stofnunum, ráðuneytum og öðrum stjórnvöldum sem varðað geta mat ráðsins á stöðu netöryggis, eftir því sem þörf er á og lög heimila. Stöðumati ráðsins skal reglulega, að lágmarki árlega, miðlað til ráðherra í formi skriflegs álits.
5. gr. Upplýsingamiðlun og samhæfing.
Fulltrúar ráðsins afla upplýsinga er varða netöryggi á sínum málefnasviðum eftir því sem við á, svo sem um netöryggisógnir og netöryggisatvik, og miðla þeim á vettvangi ráðsins eftir því sem við á, til upplýsingamiðlunar, samhæfingar og umræðu í ráðinu. Þá getur ráðið tekið þátt í samstarfi á vegum stjórnvalda til upplýsingamiðlunar á sviði netöryggis.
6. gr. Starfsreglur og fundir netöryggisráðs.
Ráðið skal setja sér starfsreglur á grundvelli þessarar reglugerðar og laga nr. 78/2019. Í starfsreglum skal m.a. kveðið á um fyrirkomulag og fjölda funda ráðsins. Starfsreglur ráðsins skulu endurskoðaðar a.m.k. á tveggja ára fresti.
Formaður ráðsins stýrir fundum ráðsins, undirbýr dagskrá og boðar til funda.
7. gr. Trúnaður og sérstök þagnarskylda.
Fulltrúar ráðsins eru bundnir sérstakri þagnarskyldu og mega ekki, að viðlagðri ábyrgð, skýra óviðkomandi frá því sem þeir komast að í starfi sínu og leynt á að fara. Þagnarskyldan helst þótt látið sé af starfi.
8. gr. Heimild og gildistaka.
Reglugerð þessi er sett með stoð í 2. mgr. 4. gr. laga nr. 78/2019, um öryggi net- og upplýsingakerfa mikilvægra innviða.
Reglugerð þessi öðlast þegar gildi.
Háskóla-, iðnaðar- og nýsköpunarráðuneytinu, 20. desember 2023.
Áslaug Arna Sigurbjörnsdóttir.
Ásdís Halla Bragadóttir.
Fyrirvari
Reglugerðir eru birtar í B-deild Stjórnartíðinda skv. 3. gr. laga um Stjórnartíðindi og Lögbirtingablað, nr. 15/2005, sbr. reglugerð um útgáfu Stjórnartíðinda nr. 958/2005.
Sé misræmi milli þess texta sem birtist hér í safninu og þess sem birtur er í útgáfu B-deildar Stjórnartíðinda skal sá síðarnefndi ráða.