Lög nr. 78/2019, um öryggi net- og upplýsingakerfa mikilvægra innviða tóku gildi 1.september 2020. Þau byggja á NIS-1 tilskipun ESB frá árinu 2016 og hefur það markmið að bæta net- og upplýsingaöryggi rekstraraðila á mismunandi sviðum atvinnulífsins. Á grundvelli þeirra laga var sett reglugerð um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu (866/2020).
Ýmis sérlög kveða svo á um öryggi og virkni þjónustu, svo sem á sviði fjarskipta, samgangna og fjármála-þjónustu en í Janúar 2023 var gefin út ný tilskipun hjá ESB sem hefur fengið nafnið NIS-2.
Þessi tilskipun tekur gildi innan ESB í Október 2024 en hefur ekki enn tekið gildi á Íslandi og óvíst er hvenær það verður. Það er þó líklega mun fyrr en NIS-1 sem tók gildi árið 2020 hérlendis meðan sú tilskipun var gefin út árið 2016.
Helstu breytingar
Almennt þá tekur þessi tilskipun til fleiri þátta atvinnulífsins með beinum hætti en fyrr. Þar er einnig að finna sektarákvæði sem byggjast á hlutfalli af veltu en einnig möguleika stjórnvalds að víkja stjórnendum fyrirtækja tímabundið úr starfi, séu þeir ekki að uppfylla kröfur um umbætur á sviði upplýsingaöryggis. Þetta síðasta hefur vakið upp nokkurn ugg hjá stjórnendum enda fremur óvenjulegt.
Hins vegar er ljóst að meginhugmynd varðandi NIS-2 eins og NIS-1, er að tryggja upplýsingaöryggi mikilvægra innviða. Það er einnig ljóst að tilskipunin mun reiða sig á viðurkennda staðla um upplýsingaöryggi og að þessi tilskipun mun verða lögfest á Íslandi áður en langt um líður.
Innleiðing NIS-2
NIS-2 hefur ekki tekið gildi á Íslandi ennþá tilskipuninn hefur tekið gildi innan ESB. Það gæti því verið að ýmis ákvæði NIS-2 sérstaklega þau varðar aðfangakeðju og birgja, ættu við íslensk fyrirtæki nú þegar. Ein meginkrafa NIS-2 er að stjórnendur geti staðfest tilvist stjórnkerfis fyrir upplýsingaöryggis. Það er ennfremur krafa að það stjórnkerfi sé almennt viðurkennt. Af þeim sökum mundum við byrja á því að innleiða ISO 27001:2022 sem stjórnkerfi upplýsingaöryggis sem fyrsta skref í að innleiða NIS-2.
Vinsamlega hafið samband á síðunni Hafðu samband til að fá meiri upplýsingar eða sendið póst á infoguard@infoguard.is