Ferill 416. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.
149. löggjafarþing 2018–2019.
Þingskjal 1699 — 416. mál.
2. umræða.
Nefndarálit
um frumvarp til laga um öryggi net- og upplýsingakerfa mikilvægra innviða.
Frá umhverfis- og samgöngunefnd.
Nefndin hefur fjallað um málið og fengið á sinn fund Guðbjörgu Sigurðardóttur, Sigríði Rafnar Pétursdóttur og Sigurð Emil Pálsson frá samgöngu- og sveitarstjórnarráðuneytinu, Sigrúnu Henríettu Kristjánsdóttur og Guðbjörn Jensson frá Samgöngustofu, Gísla Gíslason frá Hafnasambandi Íslands, Geir Arnar Marelsson og Ragnar Frey Ragnarsson frá Landsvirkjun, Jens Pétur Jensen og Axel Tómasson frá Interneti á Íslandi hf. – ISNIC, Heiðrúnu Björk Gísladóttur frá Samtökum iðnaðarins og Samtökum atvinnulífsins, Örn Arnarson og Írisi Hreinsdóttur frá Samtökum fjármálafyrirtækja, Hrafnkel V. Gíslason, Unni Kristínu Sveinbjarnardóttur, Björn Geirsson, Þorleif Jónasson og Kristján Val Jónsson frá Póst- og fjarskiptastofnun, Öglu Eiri Vilhjálmsdóttur frá Viðskiptaráði Íslands, Guðrúnu Finnborgu Þórðardóttur og Halldór Pétursson frá Fjármálaeftirlitinu, Vigdísi Evu Líndal og Pál Heiðar Halldórsson frá Persónuvernd, Baldur Dýrfjörð frá Samorku og Karl Alvarsson og Guðnýju Rögnu Ragnarsdóttur frá Isavia ohf.
Nefndinni bárust umsagnir frá Axel Tómassyni, Fjármálaeftirlitinu, Hafnasambandi Íslands, Interneti á Íslandi hf. – ISNIC, Isavia ohf., Landsvirkjun, Persónuvernd, Póst- og fjarskiptastofnun, Samgöngustofu, Samorku, Samtökum atvinnulífsins, Samtökum fjármálafyrirtækja og Viðskiptaráði Íslands.
Með frumvarpinu er lagt til að samþykkt verði heildarlög um net- og upplýsingaöryggi hér á landi. Meginmarkmið frumvarpsins er að samræma lágmarkskröfur um áhættustýringu og viðbúnað mikilvægra innviða, efla netöryggissveit Póst- og fjarskiptastofnunar og lögleiða tilkynningarskyldu um alvarleg atvik í net- og upplýsingakerfum til hennar og að kveða í lögum á um skipun og hlutverk netöryggisráðs.
Almennt.
Frumvarpið byggist einkum á ákvæðum netöryggistilskipunar (ESB) 2016/1148 (NIS-tilskipunin) en eitt af lykilmarkmiðum tilskipunarinnar er að efla getu Evrópuríkja með uppbyggingu öflugrar miðlægrar netöryggissveitar í hverju landi fyrir sig (CSIRT-teymi) sem geti jafnframt átt í samstarfi við miðlægar netöryggissveitir annarra ríkja Evrópu og að samræmdar kröfur séu gerðar til netöryggis mikilvægra innviða í álfunni. Tilskipunin hefur ekki verið tekin upp í EES-samninginn en unnið er að undirbúningi ákvörðunar þar um á vettvangi EES/EFTA-ríkja. Frumvarp þetta felur því ekki í sér eiginlega innleiðingu á tilskipun sem Íslandi er skylt að taka upp í landsrétt í kjölfar ákvörðunar sameiginlegu EES- nefndarinnar. Nefndin bendir á að netöryggi er eitt af mikilvægustu viðfangsefnum samtímans er varðar öryggi ríkja og samfélaga. Brýn þörf er á að styrkja samhæfingu varna og viðbragða, sérstaklega fyrir mikilvæga innviði samfélagsins. Með því að byggja á NIS-tilskipuninni er tryggt að þetta sé gert með sambærilegum og samhæfðum hætti eins og í öðrum Evrópuríkjum. Að auki má nefna að ríki fylgjast grannt hvert með öðru á þessu sviði enda getur veikleiki eins ríkis haft áhrif á annað ríki. Þá getur bág lagaumgjörð og skortur á netvörnum komið í veg fyrir aðkomu erlendra fjárfesta að fjárfestingarverkefnum innan ríkja sem ekki standa sig á þessu sviði. Ísland er engin undantekning að þessu leyti og tekið er eftir því meðal erlendra ríkja hvernig staðið er að netöryggismálum hér á landi. Því er nauðsynlegt að efla lagalega umgjörð er varðar netöryggi og er hér um að ræða fyrsta heildstæða lagabálkinn um net- og upplýsingaöryggi hér á landi. Við uppbyggingu öryggi net- og upplýsingakerfa er samkvæmt frumvarpinu mikið lagt upp úr samstarfi og samvinnu við að byggja upp þjónustu og skapa traust milli aðila sem gegna hlutverki samhæfingaraðila, þ.e. Póst- og fjarskiptastofnunar, netöryggissveitar og þeirra sem teljast til mikilvægra innviða. Þess ber að geta að umsagnaraðilar lýstu almennum stuðningi við frumvarpið og töldu mikilvægt að heildstætt regluverk um netöryggi væri til staðar hér á landi.
Netöryggisráð (4. gr.).
Í 2. mgr. 4. gr. er kveðið á um að ráðherra skipi netöryggisráð en hlutverk þess er einkum að fylgja eftir framkvæmd stefnu stjórnvalda á sviði net- og upplýsingaöryggis. Gagnrýnt var að ekki kæmi fram í ákvæðinu hvaða aðilar skyldu tilnefna í ráðið. Bent var á að mikilvægt væri að tryggt væri í lögum að allir fagaðilar sem kæmu að netöryggismálum á Íslandi væru tilnefndir til setu í ráðinu, m.a. til þess að tryggja hlutlausa og greinargóða umfjöllun um málefni ráðsins. Þá kom jafnframt fram að hvergi væri fjallað um hvaða kröfur væru gerðar til hæfni þeirra aðila sem skipaðir væru í ráðið. Nefndin bendir á að net- og upplýsingaöryggi er síbreytilegur málaflokkur sem snertir mörg ráðuneyti og stofnanir sem og atvinnulífið almennt. Eftir því sem tíminn líður og málin þróast kann því að vera ástæða til að hafa aðra eða fleiri aðila en þá sem sitja nú í netöryggisráði. Nefndin telur því rétt að halda ákvæðinu óbreyttu að þessu leyti. Hins vegar er mikilvægt að í ráðinu sitji aðilar sem hafi viðeigandi þekkingu, menntun og reynslu enda er ráðinu ætlað veigamikið hlutverk í netöryggismálum. Leggur nefndin því til breytingu á 4. gr. þess efnis að fulltrúar sem skipaðir eru í ráðið skuli hafa viðeigandi menntun og/eða reynslu.
Lágmarksöryggiskröfur og tilkynningar til netöryggissveitar (7. og 8. gr.).
Í 7. gr. er mælt fyrir um lágmarkskröfur sem gerðar eru til mikilvægra innviða hvað varðar áhættustýringu og viðbúnað. Skilgreiningu á mikilvægum innviðum er að finna í 13. tölul. 6. gr. en þar segir að mikilvægir innviðir séu rekstraraðilar nauðsynlegrar þjónustu og stafrænir þjónustuveitendur eins og þeir eru skilgreindir í lögum þessum. Bent var á að í NIS-tilskipuninni væri gerður munur á rekstraraðila nauðsynlegrar þjónustu og veitanda stafrænnar þjónustu. Þannig væri ákvæði sem lyti að öryggiskröfum og tilkynningum um atvik hvað varðar rekstraraðila nauðsynlegrar þjónustu að finna í 14. gr. tilskipunarinnar en í 16. gr. varðandi veitendur stafrænnar þjónustu. Í frumvarpinu væri þessum ákvæðum slegið saman í 7. og 8. gr. sem væri óskýrt þar sem skyldur aðilanna væru mismunandi samkvæmt tilskipuninni en gerðar væru vægari kröfur til veitenda stafrænnar þjónustu. Rétt er að lágmarkskröfur bæði til rekstraraðila nauðsynlegrar þjónustu og stafrænna þjónustuveitenda er að finna í 7. gr. Eins og fram hefur komið felur frumvarp þetta ekki í sér eiginlega innleiðingu á NIS-tilskipuninni heldur er um að ræða frumvarp sem byggist á þeirri tilskipun. Þess utan er NIS-tilskipunin lágmarkssamræmingargerð. Að mati nefndarinnar er rétt að gera miklar kröfur til netöryggis auk þess sem nefndin fellst á sjónarmið ráðuneytisins um að þessi aðferðafræði sé til einföldunar og hagræðis, m.a. með vísan til smæðar samfélagsins. Þá er heimilt að gera greinarmun á kröfum til þessara aðila í reglugerð skv. 4. mgr. 7. gr. Auk þess er skv. 12. gr. gerður greinarmunur á eftirlitsheimildum í tilviki annars vegar rekstraraðila nauðsynlegrar þjónustu og hins vegar veitenda stafrænnar þjónustu á þann veg að ákvæði 1. mgr. um lágmarksheimildir eftirlitsstjórnvalda gagnvart rekstraraðilum nauðsynlegrar þjónustu gildi um stafræna þjónustuveitendur, að fenginni beiðni frá Póst- og fjarskiptastofnun, þegar stofnunin telur á grundvelli rökstuddra grunsemda að hlutaðeigandi uppfylli ekki kröfur skv. 7. og 8. gr. Skilyrðið um rökstuddan grun á hins vegar ekki við um rekstraraðila nauðsynlegrar þjónustu.
Fram kom að óljóst væri hvað átt væri við með alþjóðlegum viðmiðum um bestu framkvæmd í 4. málsl. 1. mgr. 7. gr. en það væri ekki skýrt í greinargerð frumvarpsins. Þar væri vísað til staðalsins ISO27001:2005 (Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsingaöryggis – Kröfur) en sá staðall væri að úreldast. Varhugavert væri að vísa til ákveðins staðals þar sem þeir úreldast með tímanum. Nefndin tekur undir þau sjónarmið og leggur til breytingu þess efnis að viðeigandi prófanir skuli framkvæmdar reglubundið og í samræmi við alþjóðleg viðmið um bestu framkvæmd á hverjum tíma.
Í 8. gr. er fjallað um tilkynningar til netöryggissveitar en samkvæmt ákvæðinu skulu mikilvægir innviðir tilkynna netöryggissveit Póst- og fjarskiptastofnunar án tafar um alvarleg atvik eða áhættu sem ógnar öryggi net- og upplýsingakerfa þeirra. Bent var á að orðalagið „án tafar“ væri of íþyngjandi en það gæti reynst ómögulegt að tilkynna þegar í stað þar sem öryggisatvik yrðu oft á versta tíma. Nauðsynlegt væri að ákvæðið tæki mið af því enda varða brot á ákvæðinu sektum eða fangelsi allt að tveimur árum skv. 23. gr. Nefndin tekur undir þetta og leggur til að í stað orðanna „án tafar“ í 1. mgr. 8. gr. komi „svo fljótt sem verða má“. Fram kom að nauðsynlegt væri að kveðið væri á um í 8. gr. að atvikatilkynningar færu einnig til eftirlitsstjórnvalda, ekki einungis til netöryggissveitarinnar. Nefndin bendir á að skv. 1. mgr. 9. gr. ber netöryggissveit að tryggja að upplýsingar um atvik skv. 8. gr. séu aðgengilegar eftirlitsstjórnvöldum án tafar og er gert ráð fyrir að eftirlitsstjórnvöld og netöryggissveitin útfæri nánar upplýsingamiðlun sín á milli. Þá koma ákvæði frumvarpsins ekki í veg fyrir að aðilar hafi tilkynningarskyldu gagnvart stjórnvöldum samkvæmt öðrum lögum eða reglum. Í ljósi reynslunnar af innleiðingu og útfærslu tilkynningarskyldu samkvæmt þessu frumvarpi kann að verða ástæða til að skýra upplýsingagjöf til annarra eftirlitsstjórnvalda, sérstaklega hvað netöryggi varðar.
Eftirlitsstjórnvöld og samhæfingarstjórnvald (11. gr. og 13. gr.).
Í 11. gr. er kveðið á um að eftirlit með framkvæmd laganna um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu sé í höndum sex tilgreindra eftirlitsstjórnvalda. Póst- og fjarskiptastofnun fer með eftirlit gagnvart stafrænum þjónustuveitendum. Þá er Póst- og fjarskiptastofnun jafnframt falið hlutverk samhæfingarstjórnvalds skv. 13. gr. Í skýringu við 11. gr. í greinargerð frumvarpsins kemur fram að 8. gr. tilskipunarinnar geri ráð fyrir þeirri útfærslu, þ.e. að útnefnd séu fleiri en eitt lögbært yfirvald til að fara með eftirlit. Fram kom að betur færi á því að fela einni stofnun að hafa eftirlit með framkvæmd fyrirhugaðra sérlaga, m.a. til að tryggja samræmi í eftirlitinu. Það væri jafnframt í samræmi við það fyrirkomulag sem viðhaft er varðandi eftirlit með vinnslu persónuupplýsinga, sbr. lög nr. 90/2018, en það eftirlit næði einnig þvert á ólíka geira líkt og eftirlit með net- og upplýsingaöryggi. Í reglugerð (ESB) 2016/679 sem innleidd var með lögum nr. 90/2018 hefði verið að finna sambærilegt ákvæði og í nefndri 8. gr. tilskipunarinnar en ákveðið að fara þá leið að fela einni stofnun, Persónuvernd, eftirlitið. Nefndin bendir á að net- og upplýsingaöryggi er ein tegund rekstraráhættu sem telja má víst að allar stjórnsýslustofnanir gefi nú gaum. Eftir ítarlegt samráð og umsagnarferli var það mat ráðuneytisins að betur færi á því að fela ólíkum stofnunum eftirlit með framkvæmd laganna hverri á sínu sérsviði. Það er einnig sambærileg leið og hefur verið farin í þeim löndum sem við helst berum okkur saman við. Nefndin áréttar að Póst- og fjarskiptastofnun mun gegna veigamiklu hlutverki í samræmingu eftirlits.
Í 1. málsl. 2. mgr. 11. gr. kemur fram að eftirlitsstjórnvald ákveði hvaða aðilar teljist til rekstraraðila nauðsynlegrar þjónustu á sínu sviði skv. 3. gr. og miðli tilkynningu þar um til Póst- og fjarskiptastofnunar eftir því sem tilefni er til og a.m.k. á tveggja ára fresti. Á fundi nefndarinnar kom fram að það geti verið íþyngjandi fyrir rekstraraðila að vera skilgreindur sem rekstraraðili nauðsynlegrar þjónustu og afar mikilvægt væri að sú þjónusta væri rétt skilgreind. Því sé rétt að haft sé samráð við þá aðila sem um ræðir áður en ákvörðun er tekin um hvort aðili teljist til rekstraraðila nauðsynlegrar þjónustu skv. 3. gr. Nefndin tekur undir það og bendir á að samráð á þessu stigi er til þess fallið að stuðla að trausti milli viðkomandi rekstraraðila og eftirlitsstjórnvalds. Nefndin bendir þó á að ákvörðun eftirlitsstjórnvalds að loknu samráði um að tiltekinn rekstraraðili teljist rekstraraðili nauðsynlegrar þjónustu er endanleg á stjórnsýslustigi en rekstraraðilinn getur ávallt borið ágreining undir dómstóla. Leggur nefndin til að við 2. mgr. 11. gr. bætist nýr málsliður þess efnis að áður en ákvörðun er tekin skv. 1. málsl. um hvaða aðilar teljist til rekstraraðila mikilvægrar þjónustu á sínu sviði skuli eftirlitsstjórnvald gefa aðila kost á að tjá sig um málið.
Þjónusta við mikilvæga innviði og opinberar stofnanir (16. gr.).
Í 16. gr. er ákvæði um þjónustu við mikilvæga innviði og opinberar stofnanir. Þar segir í 2. mgr. að netöryggissveit sé heimilt að bjóða mikilvægum innviðum og opinberum stofnunum tæknilega vöktunarþjónustu. Endurgjald vegna þjónustunnar skuli taka mið af útlögðum kostnaði netöryggissveitar vegna búnaðar sem staðsettur verði við eigin net- og upplýsingakerfi hlutaðeigandi rekstraraðila. Póst- og fjarskiptastofnun benti á að netöryggissveitinni væri ekki tryggður aðgangur að nauðsynlegum upplýsingum þar sem ákvæðið mælti fyrir um heimild hennar til að bjóða vöktunarþjónustu en ekki skyldu mikilvægra innviða til að þiggja og semja um slíka þjónustu. Nefndin bendir á að miðað er við að ábyrgð á rekstri net- og upplýsingakerfa verði ekki útvistað af hálfu mikilvægra innviða heldur sé ábyrgðin hjá fyrirtækjunum sem geti leitað til netöryggissveitarinnar eftir aðstoð og leiðbeiningum um sérhæfðar forvarnir í tengslum við öryggi net- og upplýsingakerfa sinna, sbr. 1. mgr. 16. gr. Ekki er því kveðið á um skyldu mikilvægra innviða til samninga við netöryggissveitina. Mikilvægum innviðum sem kjósa að semja við netöryggissveitina um tæknilega vöktunarþjónustu stendur hún hins vegar til boða gegn endurgjaldi.
Í 3. mgr. er kveðið á um að Stjórnarráð Íslands skuli njóta þjónustu Póst- og fjarskiptastofnunar á sviði netöryggismála skv. 1. mgr. án sérstaks endurgjalds. Í 1. mgr. er fjallað um aðstoð og leiðbeiningar um sérhæfðar forvarnir sem mikilvægir innviðir geti leitað eftir hjá netöryggissveit. Í 1. mgr. er ekki mælt fyrir um að endurgjald komi fyrir aðstoð og leiðbeiningar netöryggissveitarinnar auk þess sem fram kemur í greinargerð með ákvæðinu að ekki sé lagt til að innheimt verði endurgjald vegna þessa aðgengis að sérfræðiþekkingu starfsliðs netöryggissveitarinnar. Þar er þó áréttað að leiðbeiningar skv. 1. mgr. varði sérhæfðar forvarnir en feli ekki í sér almenna ráðgjöf sem í boði sé á samkeppnismarkaði. Að mati nefndarinnar er rétt að taka af allan vafa um að tæknileg vöktunarþjónusta verði hluti af föstum verkefnum Póst- og fjarskiptastofnunar gagnvart Stjórnarráðinu og leggur nefndin því til þá breytingu á 3. mgr. að vísað verði til 2. mgr. sem og 1. mgr.
Aðgangur netöryggissveitar að upplýsingum (17. gr.).
Í 17. gr. er kveðið á um aðgang netöryggissveitar að upplýsingum. Þar kemur fram í 2. mgr. að Póst- og fjarskiptastofnun geti, til að greina og meta ógnir og áhættu við net- og upplýsingakerfi mikilvægra innviða, óskað eftir að komið skuli upp sjálfvirkri upplýsingamiðlun á milli kerfa hlutaðeigandi mikilvægra innviða og netöryggissveitar.
Í drögum að frumvarpi sem birt var í samráðsgátt stjórnvalda var gengið lengra að því er snertir valdheimildir netöryggissveitarinnar en þar var kveðið á um að rekstraraðilum mikilvægra innviða og Stjórnarráði Íslands væri skylt, að beiðni netöryggissveitarinnar, að gera samning við sveitina um vöktunarþjónustu fyrir net- og upplýsingakerfi sín í þeim tilgangi að greina hættur og ummerki um árásir, spillikóða og aðrar vísbendingar um aðstæður sem gætu skapað hættu fyrir viðkomandi rekstraraðila mikilvægra innviða og Stjórnarráðið. Þetta ákvæði var gagnrýnt harðlega af hálfu umsagnaraðila og voru gerðar breytingar í kjölfar samráðsins á þá leið að Póst- og fjarskiptastofnun gæti óskað eftir að komið væri upp sjálfvirkri upplýsingamiðlun en að það væri ekki skylda mikilvægra innviða að gera samning við sveitina um vöktunarþjónustu. Í umsögnum sem nefndinni bárust var almennt lýst mikilli ánægju með þessa breytingu á 2. mgr. 17. gr. við vinnslu frumvarpsins hjá ráðuneytinu en frumvarpið byggist á sjónarmiðum um traust og samkomulag aðila um miðlun upplýsinga.
Líkt og kemur fram í umsögn Póst- og fjarskiptastofnunar telur stofnunin nauðsynlegt að kveðið verði skýrt á um skyldu til sjálfvirkrar upplýsingamiðlunar og að netöryggissveitin fái sömu viðvaranir og á sama tíma og rekstraraðilinn sjálfur fær úr öryggisbúnaði sínum. Skylda til að veita upplýsingar sé forsenda þess að byggja megi upp öflugt netöryggisumhverfi hér á landi. Þá telur stofnunin orðalag ákvæðisins óljóst og ekki skýrt hvort mikilvægum innviðum sé skylt að verða við ósk netöryggissveitarinnar um að komið verði upp sjálfvirkri upplýsingamiðlun.
Á fundum nefndarinnar kom fram mikil andstaða umsagnaraðila við tillögu Póst- og fjarskiptastofnunar um að gerðar yrðu þær breytingar á 2. mgr. að netöryggissveitin gæti ákveðið einhliða að komið skyldi upp sjálfvirkri upplýsingamiðlun á skilgreindum tilkynningum úr búnaði mikilvægs innviðar milli sveitarinnar og hlutaðeigandi mikilvægs innviðar. Bent var á að mikilvægt væri að ábyrgð á öryggi net- og upplýsingakerfa verði áfram hjá rekstraraðilum. Hjá mörgum mikilvægum innviðum, t.d. á sviði fjármála og orku, væri mikil þekking til að sinna vöktun kerfa og búið að fjárfesta í varnarbúnaði og öryggisbúnaði. Þá gæti tenging netöryggissveitarinnar við varnarbúnað aðila jafnvel skapað frekari áhættu, þ.e. því fleiri beinar tengingar sem væru í kerfi því fleiri tækifæri sköpuðust til árása á kerfi. Nefndin telur eðlilegt að sú þekking og búnaður sem þegar er til staðar hjá rekstraraðilum að þessu leyti sé ekki virt að vettugi og ekki búið til tvöfalt kerfi að óþörfu. Að mati nefndarinnar er orðalag 2. mgr. 17. gr. skýrt. Póst- og fjarskiptastofnun getur óskað eftir að sjálfvirkri upplýsingamiðlun verði komið upp á milli kerfa mikilvægra innviða og netöryggissveitarinnar en aðilanum sem fær slíka beiðni ekki skylt að verða við henni. Eftir að beiðni hefur borist má ætla að fram fari viðræður milli stofnunarinnar og viðkomandi aðila. Nefndin áréttar að fyrirkomulag það sem mælt er fyrir um í 2. mgr. er hugsað sem samstarf milli Póst- og fjarskiptastofnunar og viðkomandi aðila þegar hann þarf aðstoð við netöryggismál. Slíkum búnaði verður ekki komið fyrir nema með samþykki aðilans. Nefndin bendir á að netöryggissveitin hefur ríkan aðgang að upplýsingum skv. 1. og 3.–5. mgr. 17. gr. Nefndin bendir jafnframt á eftirlitsheimildir skv. 12. gr. en þar kemur fram að ef það er mat hlutaðeigandi eftirlitsstjórnvalds að mikilvægur innviður uppfylli ekki lágmarkskröfur um áhættustýringu og viðbúnað skuli mælt fyrir um úrbætur, svo sem um lágmarksöryggisráðstafanir.
Að mati nefndarinnar er brýnt að góð sátt ríki um öflun upplýsinga frá mikilvægum innviðum en líkt og fram hefur komið hafa fulltrúar mikilvægra innviða ítrekað andmælt harðlega tillögum um einhliða heimildir netöryggissveitar til öflunar upplýsinga. Net- og upplýsingaöryggisstofnun Evrópu, ENISA, hefur bent á að traust er lykilatriði í uppbyggingu netöryggisskipulags og er nefndin þess viss að netöryggissveitin muni á grundvelli góðs starfs síns byggja upp slíkt traust þannig að mikilvægir innviðir sjái sér hag í að nýta sér þjónustu netöryggissveitarinnar.
Þagnarskylda og persónuvernd (19. og 21. gr.).
Ákvæði 19. gr. kveður á um sérstaka þagnarskyldu starfsliðs eftirlitsstjórnvalda, hvers á sínu sviði, samhæfingarstjórnvalds, netöryggissveitar og netöryggisráðs umfram þá sem greinir í lögum um réttindi og skyldur starfsmanna ríkisins. Bent var á að nauðsynlegt væri að víkka gildissvið ákvæðisins til þess að tryggja trúnað upplýsinga sem netöryggissveitin fær afhent sem CSIRT-teymi Íslands. Var í því efni sérstaklega vísað til trúnaðargagna sem sveitin fær í gegnum alþjóðlegt samstarf netöryggissveita, í gegnum erlenda gagnastrauma og á grundvelli ábendinga og tilkynninga, t.d. frá almenningi. Eins og ákvæðið væri orðað í frumvarpinu ásamt skýringum í greinargerð mætti túlka það sem svo að það næði einungis til upplýsinga frá mikilvægum innviðum. Mikilvægt væri að trúnaðar þessara gagna væri tryggður með sama hætti og gögn sem berast frá mikilvægum innviðum. Nefndin tekur undir það og leggur til að við 19. gr. bætist ný málsgrein þar sem fram komi að starfsmenn netöryggissveitar Póst- og fjarskiptastofnunar séu bundnir þagnarskyldu um þau gögn og upplýsingar sem netöryggissveitin hafi undir höndum, hafi aðgang að eða vinni með og sem þeir fái vitneskju um í starfi.
Í 21. gr. er fjallað um vinnslu persónuupplýsinga hjá netöryggissveitinni. Nefndinni var bent á að samkvæmt greinargerð með frumvarpinu virtist sem ekki hefði verið framkvæmt sérstakt mat á áhrifum frumvarpsins á persónuvernd, sbr. 10. tölul. 7. mgr. 35. gr. reglugerðar (ESB) 2016/679. Þar sem það hefði ekki verið gert við gerð frumvarpsins gæti viðeigandi aðili, þ.e. netöryggissveitin, þurft að framkvæma slíkt mat áður en vinnsla persónuupplýsinga samkvæmt ákvæðinu hefst. Nefndin beinir því til Póst- og fjarskiptastofnunar að taka ábendingu Persónuverndar hvað þetta varðar til skoðunar og framkvæma mat á áhrifum á persónuvernd fyrir gildistöku frumvarpsins. Leiði matið til þess að gera þurfi breytingar á lögunum beinir nefndin því til ráðherra að frumvarp þess efnis verði lagt fram á haustþingi til að tryggt verði að unnt sé að gera slíkar breytingar fyrir gildistöku laga þessara. Þá var nefndinni bent á að tryggja þyrfti heimildir netöryggissveitarinnar til að vinna með persónuupplýsingar sem sveitin kynni að fá frá innlendum og erlendum samstarfsaðilum á sviði netöryggis en slíkt ákvæði væri nauðsynlegt vegna alþjóðasamstarfs. Nefndin tekur undir nauðsyn þess og leggur til breytingu á 21. gr. þess efnis. Þá var nefndinni jafnframt bent á að rétt væri að ráðherra hefði, auk öflunar álits frá Persónuvernd, samráð við Póst- og fjarskiptastofnun við gerð reglugerðar þar sem kveða skal á um forsendur vinnslu persónuupplýsinga hjá netöryggissveit, meðferð þeirra og eyðingu, rétt skráðra einstaklinga og takmörkun á rétti þeirra, enda væri netöryggissveitin best til þess fallin að gefa upplýsingar og yfirlit yfir þær persónuupplýsingar sem hún vinnur með, nauðsyn þeirra og meðhöndlun. Nefndin fellst á það og leggur til breytingu á 4. mgr. 21. gr. þess efnis.
Refsingar (23. gr.).
Mikilvægt er að refsiheimildir laga séu skýrar og afdráttarlausar og uppfylli ákvæði 1. mgr. 69. gr. stjórnarskrár lýðveldisins Íslands, nr. 33/1944, um skýrleika refsiákvæða. Í því felst að lýsing á hinni refsiverðu háttsemi verður að koma skýrt fram í lagatexta og hafa áþreifanleg viðmið. Í II. kafla frumvarpsins er að finna ýmis ákvæði, til að mynda um skyldu netöryggissveitar til að tryggja að upplýsingar um atvik skv. 8. gr. séu aðgengilegar eftirlitsstjórnvaldi án tafar og um miðlun upplýsinga til almennings. Skv. 23. gr. verða brot gegn þessum ákvæðum sem og öðrum í II. kafla og 19. gr. gerð refsiverð sem og brot gegn ákvæðum reglugerða settra samkvæmt þeim. Þá verður jafnframt refsivert að fara ekki að fyrirmælum eftirlitsstjórnvalds.
Með vísan til 1. mgr. 69. gr. stjórnarskrárinnar leggur nefndin til að ákvæði 23. gr. verði afmarkað þannig að í því sé vísað til þeirra ákvæða laganna sem því er ætlað að ná til og reglugerða settra samkvæmt þeim. Þá leggur nefndin til að 2. málsl. 1. mgr. 23. gr. um refsingu vegna brota gegn fyrirmælum eftirlitsstjórnvalds verði felldur brott. Með hliðsjón af sjónarmiðum um meðalhóf leggur nefndin til að einungis brot sem framin eru af ásetningi varði refsingu og leggur til breytingu þess efnis á ákvæði 23. gr.
Að mati nefndarinnar er ekki rétt að öll frávik frá lögunum varði refsingu og sekt. Hins vegar er mikilvægt að eftirlitsstjórnvöldum sé unnt að fylgja eftir tilmælum sínum og tryggja að farið sé að lögunum. Leggur nefndin því til að kveðið verði á um að eftirlitsstjórnvaldi skv. 11. gr sé heimilt að leggja stjórnvaldssektir á einstakling eða lögaðila vegna brota á 7. gr. um lágmarkskröfur um áhættustýringu og viðbúnað, 8. gr. um tilkynningu til netöryggissveitar og 19. gr. um sérstaka þagnarskyldu. Þá sé kveðið á um fjárhæðir sekta, þ.e. á hvaða bili þær geta verið, og er þar tekið mið af ákvæðum fjarskiptalaga, nr. 81/2003, um stjórnvaldssektir, þau sjónarmið sem skal líta til við ákvörðun sektar, aðfararhæfi og dráttarvexti stjórnvaldssekta og að stjórnvaldssektum verði beitt óháð því hvort lögbrot sé framið af ásetningi eða gáleysi. Ákvörðun um álagningu stjórnvaldssektar er endanleg á stjórnsýslustigi en nefndin leggur til að aðili máls geti skotið ákvörðun um stjórnvaldssekt til dómstóla. Verður þar að horfa til þess að beiting slíkra sekta er íþyngjandi ákvörðun stjórnvalds sem felur í sér refsikennd viðurlög við háttsemi aðila. Málskot til dómstóla er því mikilvægt réttaröryggisúrræði.
Þar sem stjórnsýsluviðurlög geta talist vera viðurlög við refsiverðu broti í skilningi 1. mgr. 6. gr. mannréttindasáttmála Evrópu og bann er lagt við endurtekinni málsmeðferð vegna refsiverðrar háttsemi (ne bis in idem) skv. 4. gr. 7. viðauka við mannréttindasáttmála Evrópu, sbr. lög nr. 62/1994, telur nefndin rétt að kveðið verði á um rétt einstaklings til að fella ekki á sig sök við rannsókn á stjórnsýslustigi. Leggur nefndin til breytingu þess efnis.
Lagt er til að eftirlitsstjórnvald geti metið hvort mál sem varðar bæði stjórnvaldssektum og refsingu skuli kært til lögreglu eða því lokið með stjórnvaldsákvörðun. Eftirlitsstjórnvaldi verði þó skylt að kæra mál til lögreglu sé um meiri háttar brot að ræða. Kveðið er á um að IV.–VII. kafli stjórnsýslulaga gildi ekki um ákvörðun eftirlitsstjórnvaldsins um að kæra mál til lögreglu. Þetta eru kaflar stjórnsýslulaga sem fjalla um andmælarétt, birtingu ákvörðunar og rökstuðning, afturköllun ákvörðunar og stjórnsýslukæru og geta þeir eðli máls samkvæmt ekki gilt um ákvörðun eftirlitsstjórnvalds um að kæra brot til lögreglu. Í þessu sambandi er rétt að geta þess að um rannsókn lögreglu gilda málsmeðferðarreglur sakamálalaga.
Annað.
Í c-lið 1. tölul. 27. gr. er mælt fyrir um nýja grein í lögum um Póst- og fjarskiptastofnun, nr. 69/2013, og verður hún 4. gr. a. Í 6. mgr. nýrrar greinar er kveðið á um að ráðherra setji, að fenginni umsögn frá Persónuvernd og ríkislögreglustjóra, eftir því sem við á, nánari fyrirmæli um starfsemi netöryggissveitar í reglugerð. Nefndinni var bent á að eðlilegt væri að haft yrði samráð við Póst- og fjarskiptastofnun við setningu slíkrar reglugerðar. Nefndin tekur undir það og leggur til breytingu þess efnis.
Í 25. tölul. 6. gr. er hugtakið „stafrænn þjónustuveitandi“ skilgreint. Í samræmi við ábendingu frá þýðingamiðstöð utanríkisráðuneytisins leggur nefndin til að orðunum „stafrænn þjónustuveitandi“ verði breytt í „veitandi stafrænnar þjónustu“ hvarvetna sem það kemur fyrir í frumvarpinu.
Nefndinni var bent á að rétt væri að breyta hugtakinu í 5. tölul. 6. gr. í „flutningastarfsemi“ í stað „flutninga“. Í því efni var t.d. bent á að flugrekendur væru ekki flutningar heldur tengdust þeir flutningastarfsemi. Nefndin leggur til breytingu þess efnis.
Ákvæði 10. gr. fjallar um upplýsingagjöf til almennings. Í 2. málsl. 1. mgr. kemur fram að samráð skuli viðhaft við lögreglu og eftirlitsstjórnvöld og eftir atvikum mikilvæga innviði í aðdraganda upplýsingagjafar enda verði því við komið. Bent var á að það væri mikilvægt að Póst- og fjarskiptastofnun yrði gert að hafa samráð við mikilvæga innviði áður en almenningur væri upplýstur um atvik. Nefndin ítrekar mikilvægi samráðs við mikilvæga innviði á sem flestum stigum og leggur því til að orðin „eftir atvikum“ falli brott.
Kostnaður og gildistaka.
Áætlaður kostnaður sem hlýst af samþykkt frumvarpsins er verulegur líkt og kemur fram í greinargerð með frumvarpinu. Í ljósi þess að verkefnið er nýtt og útfærsla á fyrirkomulagi samstarfs lykilaðila getur haft áhrif á eftirlitskostnað beinir nefndin því til ráðuneytisins að kostnaðurinn verði endurmetinn í aðdraganda gildistöku laganna. Margt bendir til að kostnaður vegna netöryggismála fari vaxandi hjá samfélögum næstu árin og því verði að áætla fjármagn til að sinna verkefninu hér á landi eins og annars staðar. Þrátt fyrir það er mikilvægt að útsjónarsemi verði gætt við innleiðinguna og tryggt verði að ekki verði lagt í fjárfestingar til að leysa sömu verkefnin hjá fleiri en einu eftirlitsstjórnvaldi eða umfram þörf. Hluti kostnaðar felst óhjákvæmilega í þekkingaröflun og þekkingarmiðlun á þessu sviði, og þann kostnað má ekki vanmeta. Nefndin beinir því til ríkisstjórnarinnar að gera þurfi ráð fyrir kostnaði vegna innleiðingar laganna í fjármálaáætlun og fjárlögum næsta árs, og þá liggi fyrir nánari upplýsingar um einstaka kostnaðarliði verkefnisins. Vegna þessa og nauðsynlegs undirbúnings leggur nefndin til að gildistöku laganna verði frestað til 1. september 2020 og leggur til breytingu á 1. mgr. 26. gr. þess efnis. Ákvæði 4. gr. öðlist þó þegar gildi líkt og mælt er fyrir um í 2. mgr. 26. gr.
Þá leggur nefndin til smávægilegar breytingar lagatæknilegs eðlis sem þarfnast ekki skýringa.
Að framansögðu virtu leggur nefndin til að frumvarpið verði samþykkt með breytingum sem lagðar eru til í sérstöku þingskjali.
Helga Vala Helgadóttir var fjarverandi við afgreiðslu málsins. Karl Gauti Hjaltason var fjarverandi við afgreiðslu málsins en skrifar undir álit þetta samkvæmt heimild í 4. mgr. 18. gr. starfsreglna fyrir fastanefndir Alþingis.
Alþingi, 31. maí 2019.
| Jón Gunnarsson, form. |
Líneik Anna Sævarsdóttir, frsm. | Ari Trausti Guðmundsson. | |
| Bergþór Ólason. | Hanna Katrín Friðriksson. | Karl Gauti Hjaltason. | |
| Rósa Björk Brynjólfsdóttir. | Vilhjálmur Árnason. | ||
