Aðrar útgáfur af skjalinu: PDF - Word Perfect. Ferill 520. máls.
Þingskjal 881 — 520. mál.
a. 1. málsl. 1. mgr. orðast svo: Starfrækt skal netöryggissveit sem gegna skal hlutverki öryggis- og viðbragðshóps til verndar ómissandi upplýsingainnviðum gegn netárásum.
b. Við bætist ný málsgrein sem orðast svo:
Forstjóra Póst- og fjarskiptastofnunar er heimilt með leyfi ráðherra að fela öðrum hæfum aðilum að framkvæma verkefni netöryggissveitar.
Við gildistöku laga þessara skal forstjóri Póst- og fjarskiptastofnunar með þjónustusamningi fela ríkislögreglustjóra að starfrækja netöryggissveit samkvæmt lögum um fjarskipti, nr. 81/2003. Netöryggissveitin verði samkvæmt samningnum starfrækt sem hluti af almannavarnadeild ríkislögreglustjóra frá og með 1. september 2014.
1. Lögreglulög, nr. 90/1996, með síðari breytingum: Við g-lið 2. mgr. 5. gr. laganna bætist nýr málsliður, svohljóðandi: Jafnframt er ríkislögreglustjóra heimilt að gera þjónustusamning við Póst- og fjarskiptastofnun um að taka við starfrækslu netöryggissveitar, sbr. ákvæði laga um fjarskipti og laga um almannavarnir.
2. Lög um almannavarnir, nr. 82/2008, með síðari breytingum:Við 3. mgr. 5. gr. laganna bætist nýr málsliður, svohljóðandi: Við embætti ríkislögreglustjóra má starfrækja netöryggissveit innan almannavarnadeildar, sbr. ákvæði laga um fjarskipti.
Frumvarp þetta til laga um breytingu á lögum um fjarskipti og lögum um Póst- og fjarskiptastofnun (netöryggissveit o.fl.) er samið í innanríkisráðuneytinu. Megintilgangur frumvarpsins er að heimila færslu starfsemi netöryggissveitar frá Póst- og fjarskiptastofnun til almannavarnadeildar ríkislögreglustjóra. Við samningu frumvarpsins var m.a. byggt á tillögum sem fram komu í minnisblaði Páls Ásgrímssonar hdl. til innanríkisráðuneytis, dagsettu 28. febrúar 2014, um úttekt „á net- og upplýsingaöryggi fjarskipta í kjölfar þess alvarlega öryggisbrests sem átti sér stað vegna tölvuinnbrots hjá fjarskiptafyrritækinu Vodafone aðfaranótt 30. nóvember 2013“. Páll Ásgrímsson er lögmaður hjá Juris lögmannsstofu og hefur sérhæft sig í fjarskipta- og samkeppnisrétti.
II. Tilefni og nauðsyn lagasetningar.
Netöryggissveitin (CERT-ÍS) hóf formlega störf á grunni reglugerðar síðastliðið sumar og hefur aðsetur innan Póst- og fjarskiptastofnunar sem vann ötullega að því að koma sveitinni á stofn og að uppbyggingu hennar. Upphaf starfsemi sveitarinnar má rekja til fyrri hluta árs 2011. Markmiðið með starfsemi netöryggissveitarinnar er að fyrirbyggja og draga úr hættu á netárásum og öðrum öryggisatvikum í netumdæmi hennar og sporna við og lágmarka tjón af þeim sökum á ómissandi upplýsingainnviðum samfélagsins. Þá greinir sveitin og metur öryggisatvik innan netumdæmis síns, leiðbeinir og/eða leiðir viðbrögð við öryggisatvikum og er samhæfingaraðili þegar um stærri atvik er að ræða. Sveitin er jafnframt tengiliður íslenskra stjórnvalda í alþjóðlegu samstarfi CERT-netöryggissveita um viðbrögð og varnir vegna net- og upplýsingaöryggis.
Í niðurstöðum framangreinds minnisblaðs Páls Ásgrímssonar kemur fram að tvíþætt hlutverk Póst- og fjarskiptastofnunar (PFS) geti mögulega valdið hagsmunaárekstrum, þ.e. annars vegar að hafa almennt eftirlit með fjarskiptafyrirtækjum og hins vegar að sinna þjónustuhlutverki við sömu aðila og aðra sem gera þjónustusamninga við netöryggissveitina (CERT-ÍS). Jafnframt kemur fram að þörf sé á netöryggissveit sem sinni net- og upplýsingaöryggi stjórnvalda, slíkar sveitir eru oft nefndar „GOV-CERT“ á alþjóðlegum vettvangi. Í niðurstöðum minnisblaðsins er lagt til að CERT-ÍS verði flutt til almannavarnadeildar ríkislögreglustjóra og umfang starfsemi sveitarinnar verði aukið þannig að það taki einnig til GOV-CERT, þ.e. net- og upplýsingaöryggis stjórnvalda. Tekur ráðuneytið undir að hlutverk netöryggissveitarinnar snýr einkum að þjónustu við fjarskiptafyrirtæki á sviði net- og upplýsingaöryggis sem fer ekki endilega vel saman við eftirlitshlutverk PFS við að framfylgja fjarskiptaregluverkinu.
Starfræksla CERT-ÍS hjá almannavarnadeild ríkislögreglustjóra gefur betri möguleika á að samhæfa skipulagningu viðbúnaðar og viðbragða vegna öryggisatvika sem snerta net- og upplýsingakerfi, atvika sem kunna að hafa áhrif langt utan þeirra kerfa sem sveitinni var upphaflega ætlað að fylgjast með. Þetta er sérstaklega mikilvægt hvað snertir ómissandi innviði þjóðfélagsins, þar geta mótvægisaðgerðir þurft að taka til fjölbreyttra þátta. Varnir ómissandi upplýsingainnviða voru ein af grunnástæðum þess að netöryggissveitin CERT-ÍS var stofnuð. Rétt er að taka fram að fyrirkomulag þetta fellur nær fyrirkomulagi þessara mála erlendis. Með breytingunni á starfsumhverfi CERT-ÍS er einnig ætlunin að skapa grunn sem nýta má til frekari þróunar og samþættingar starfsemi á sviði net- og upplýsingaöryggis. Stefnt er að því að færa svokallað GOV-CERT, sem lýtur að netöryggi stjórnsýslunnar, undir almannavarnadeild í næsta áfanga uppbyggingar netöryggismála.
Nánari útfærsla á starfsumhverfi CERT-ÍS bíður niðurstöðu vinnu starfshóps um stefnumótun um net- og upplýsingaöryggi. Í starfshópnum, sem settur var á fót á vegum innanríkisráðuneytisins í júní 2013, sitja fulltrúar innanríkisráðuneytisins, ríkislögreglustjóra, Póst- og fjarskiptastofnunar og utanríkisráðuneytisins og er aðalverkefni hópsins að móta langtímastefnu stjórnvalda hvað varðar net- og upplýsingaöryggi og vernd upplýsingainnviða er varða þjóðaröryggi. Verkefnaáætlun hópsins miðar að því að aðgerðaáætlun og langtímastefna verði tilbúnar fyrir lok júní á þessu ári og jafnframt verði útfærslu á tillögum til lagabreytinga til að efla net- og upplýsingaöryggi lokið fyrir 1. september næstkomandi.
III. Meginefni frumvarpsins.
Frumvarpið miðar við lágmarksbreytingar á lögum svo unnt sé að undirbúa og framkvæma flutning verkefna CERT-ÍS til almannavarnadeildar ríkislögreglustjóra sem fyrst og mynda þannig grunn að frekari þróun starfseminnar. Í I. kafla frumvarpsins er að finna tillögur að breytingum á 47. gr. a fjarskiptalaga, nr. 81/2003, ásamt 3. gr. laga um Póst- og fjarskiptastofnun, nr. 69/2003. Er þar gert ráð fyrir því að Póst- og fjarskiptastofnun sé heimilt að úthýsa þeim verkefnum sem falla til vegna þeirra skyldna sem koma fram í umræddri grein. Með frumvarpinu er þannig opnað fyrir að netöryggissveitin geti verið í daglegu og nánu samstarfi við aðra grunnþætti almannavarna landsins. Frumvarpið felur ekki í sér efnislegar breytingar á núverandi hlutverki og starfsemi netöryggissveitarinnar. Gera má ráð fyrir að með slíkum breytingum verði starfssvið sveitarinnar víkkað út svo það nái yfir alla ómissandi innviði landsins.
Í frumvarpinu er ákvæði um að bjóða starfsmönnum netöryggissveitar starf hjá almannavarnadeild ríkislögreglustjóra og skulu þeir þá njóta sömu kjara og þeir njóta hjá Póst- og fjarskiptastofnun.
IV. Samráð.
Í aðdraganda frumvarpsins var efni þess kynnt eftirfarandi aðilum: embætti ríkislögreglustjóra, almannavarnadeild ríkislögreglustjóra, Póst- og fjarskiptastofnun og starfsmönnum netöryggissveitar PFS. Kynning á efni frumvarpsins fór fram á fundum með framangreindum aðilum.
V. Mat á áhrifum.
Áhrif frumvarpsins eru að mati innanríkisráðuneytisins fyrst og fremst jákvæð. Ráðuneytið byggir það mat aðallega á áðurnefndu minnisblaði Páls Ásgrímssonar til innanríkisráðuneytis sem og þeirri greiningu sem farið hefur fram innan ráðuneytisins á starfsemi almannavarnadeildar ríkislögreglustjóra með hliðsjón af þeirri samlegð sem netöryggissveitin getur haft af reynslu og verkferlum almannavarnadeildarinnar. Sú samþætting verkefna sem á sér stað með flutningi CERT-verkefnisins ætti þannig, að mati ráðuneytisins, að skila sér í skilvirkara og hagkvæmara eftirliti til hagsbóta fyrir þjóðfélagið allt. Þá er í frumvarpinu tryggt að tilfærsla verkefnisins hafi ekki neikvæð áhrif á kjör starfsmanna netöryggissveitarinnar auk þess sem gert er ráð fyrir að sú sérþekking sem byggð hefur verið upp innan sveitarinnar færist með verkefninu.
Kostnaður af frumvarpinu hefur verið metinn af fjármála- og efnahagsráðuneyti og fylgir kostnaðarumögn frumvarpinu.
Fylgiskjal.
Fjármála- og efnahagsráðuneyti,
skrifstofa opinberra fjármála:
Í frumvarpinu eru lagðar til breytingar á lögum um fjarskipti, nr. 81/2003, og lögum um Póst- og fjarskiptastofnun, nr. 69/2003, um að starfrækt skuli netöryggissveit og að forstjóra Póst- og fjarskiptastofnunar verði með leyfi ráðherra heimilt að fela öðrum að framkvæma verkefni hennar. Í breytingum á lögreglulögum, nr. 90/1996, og lögum um almannavarnir, nr. 82/2008, er að sama skapi lagt til að ríkislögreglustjóra verði heimilt að starfrækja netöryggissveit.
Gert er ráð fyrir að lögin taki þegar gildi og að í kjölfar gildistöku flytjist starfsemi netöryggissveitarinnar yfir til almannavarnadeildar ríkislögreglustjóra með þjónustusamningi og að allir starfsmenn netöryggissveitar muni fylgja verkefninu. Ekki muni því koma til uppsagna starfsmanna, greiðslu biðlauna eða annars kostnaðar. Starfsemi netöryggissveitarinnar er fjármögnuð sem hluti af sérstöku rekstrargjaldi á fjarskiptafyrirtæki sem áfram verður innheimt. Póst- og fjarskiptastofnun mun samkvæmt samningnum greiða ríkislögreglustjóra kostnaðinn við rekstur netöryggissveitarinnar þannig að embættið mun hafa sértekjur á móti kostnaðinum. Lögfesting frumvarpsins mun því ekki hafa áhrif á útgjöld ríkissjóðs
Þingskjal 881 — 520. mál.
Frumvarp til laga
um breytingar á ýmsum lögum vegna flutnings netöryggissveitar til almannavarnadeildar ríkislögreglustjóra.
(Lagt fyrir Alþingi á 143. löggjafarþingi 2013–2014.)
I. KAFLI
Breyting á lögum um fjarskipti, nr. 81/2003, með síðari breytingum.
1. gr.
a. 1. málsl. 1. mgr. orðast svo: Starfrækt skal netöryggissveit sem gegna skal hlutverki öryggis- og viðbragðshóps til verndar ómissandi upplýsingainnviðum gegn netárásum.
b. Við bætist ný málsgrein sem orðast svo:
Forstjóra Póst- og fjarskiptastofnunar er heimilt með leyfi ráðherra að fela öðrum hæfum aðilum að framkvæma verkefni netöryggissveitar.
II. KAFLI
Breyting á lögum um Póst- og fjarskiptastofnun, nr. 69/2003,
með síðari breytingum.
2. gr.
III.KAFLI
Gildistaka.
3. gr.
Við gildistöku laga þessara skal forstjóri Póst- og fjarskiptastofnunar með þjónustusamningi fela ríkislögreglustjóra að starfrækja netöryggissveit samkvæmt lögum um fjarskipti, nr. 81/2003. Netöryggissveitin verði samkvæmt samningnum starfrækt sem hluti af almannavarnadeild ríkislögreglustjóra frá og með 1. september 2014.
4. gr.
1. Lögreglulög, nr. 90/1996, með síðari breytingum: Við g-lið 2. mgr. 5. gr. laganna bætist nýr málsliður, svohljóðandi: Jafnframt er ríkislögreglustjóra heimilt að gera þjónustusamning við Póst- og fjarskiptastofnun um að taka við starfrækslu netöryggissveitar, sbr. ákvæði laga um fjarskipti og laga um almannavarnir.
2. Lög um almannavarnir, nr. 82/2008, með síðari breytingum:Við 3. mgr. 5. gr. laganna bætist nýr málsliður, svohljóðandi: Við embætti ríkislögreglustjóra má starfrækja netöryggissveit innan almannavarnadeildar, sbr. ákvæði laga um fjarskipti.
Ákvæði til bráðabirgða.
Athugasemdir við lagafrumvarp þetta.
Frumvarp þetta til laga um breytingu á lögum um fjarskipti og lögum um Póst- og fjarskiptastofnun (netöryggissveit o.fl.) er samið í innanríkisráðuneytinu. Megintilgangur frumvarpsins er að heimila færslu starfsemi netöryggissveitar frá Póst- og fjarskiptastofnun til almannavarnadeildar ríkislögreglustjóra. Við samningu frumvarpsins var m.a. byggt á tillögum sem fram komu í minnisblaði Páls Ásgrímssonar hdl. til innanríkisráðuneytis, dagsettu 28. febrúar 2014, um úttekt „á net- og upplýsingaöryggi fjarskipta í kjölfar þess alvarlega öryggisbrests sem átti sér stað vegna tölvuinnbrots hjá fjarskiptafyrritækinu Vodafone aðfaranótt 30. nóvember 2013“. Páll Ásgrímsson er lögmaður hjá Juris lögmannsstofu og hefur sérhæft sig í fjarskipta- og samkeppnisrétti.
II. Tilefni og nauðsyn lagasetningar.
Netöryggissveitin (CERT-ÍS) hóf formlega störf á grunni reglugerðar síðastliðið sumar og hefur aðsetur innan Póst- og fjarskiptastofnunar sem vann ötullega að því að koma sveitinni á stofn og að uppbyggingu hennar. Upphaf starfsemi sveitarinnar má rekja til fyrri hluta árs 2011. Markmiðið með starfsemi netöryggissveitarinnar er að fyrirbyggja og draga úr hættu á netárásum og öðrum öryggisatvikum í netumdæmi hennar og sporna við og lágmarka tjón af þeim sökum á ómissandi upplýsingainnviðum samfélagsins. Þá greinir sveitin og metur öryggisatvik innan netumdæmis síns, leiðbeinir og/eða leiðir viðbrögð við öryggisatvikum og er samhæfingaraðili þegar um stærri atvik er að ræða. Sveitin er jafnframt tengiliður íslenskra stjórnvalda í alþjóðlegu samstarfi CERT-netöryggissveita um viðbrögð og varnir vegna net- og upplýsingaöryggis.
Í niðurstöðum framangreinds minnisblaðs Páls Ásgrímssonar kemur fram að tvíþætt hlutverk Póst- og fjarskiptastofnunar (PFS) geti mögulega valdið hagsmunaárekstrum, þ.e. annars vegar að hafa almennt eftirlit með fjarskiptafyrirtækjum og hins vegar að sinna þjónustuhlutverki við sömu aðila og aðra sem gera þjónustusamninga við netöryggissveitina (CERT-ÍS). Jafnframt kemur fram að þörf sé á netöryggissveit sem sinni net- og upplýsingaöryggi stjórnvalda, slíkar sveitir eru oft nefndar „GOV-CERT“ á alþjóðlegum vettvangi. Í niðurstöðum minnisblaðsins er lagt til að CERT-ÍS verði flutt til almannavarnadeildar ríkislögreglustjóra og umfang starfsemi sveitarinnar verði aukið þannig að það taki einnig til GOV-CERT, þ.e. net- og upplýsingaöryggis stjórnvalda. Tekur ráðuneytið undir að hlutverk netöryggissveitarinnar snýr einkum að þjónustu við fjarskiptafyrirtæki á sviði net- og upplýsingaöryggis sem fer ekki endilega vel saman við eftirlitshlutverk PFS við að framfylgja fjarskiptaregluverkinu.
Starfræksla CERT-ÍS hjá almannavarnadeild ríkislögreglustjóra gefur betri möguleika á að samhæfa skipulagningu viðbúnaðar og viðbragða vegna öryggisatvika sem snerta net- og upplýsingakerfi, atvika sem kunna að hafa áhrif langt utan þeirra kerfa sem sveitinni var upphaflega ætlað að fylgjast með. Þetta er sérstaklega mikilvægt hvað snertir ómissandi innviði þjóðfélagsins, þar geta mótvægisaðgerðir þurft að taka til fjölbreyttra þátta. Varnir ómissandi upplýsingainnviða voru ein af grunnástæðum þess að netöryggissveitin CERT-ÍS var stofnuð. Rétt er að taka fram að fyrirkomulag þetta fellur nær fyrirkomulagi þessara mála erlendis. Með breytingunni á starfsumhverfi CERT-ÍS er einnig ætlunin að skapa grunn sem nýta má til frekari þróunar og samþættingar starfsemi á sviði net- og upplýsingaöryggis. Stefnt er að því að færa svokallað GOV-CERT, sem lýtur að netöryggi stjórnsýslunnar, undir almannavarnadeild í næsta áfanga uppbyggingar netöryggismála.
Nánari útfærsla á starfsumhverfi CERT-ÍS bíður niðurstöðu vinnu starfshóps um stefnumótun um net- og upplýsingaöryggi. Í starfshópnum, sem settur var á fót á vegum innanríkisráðuneytisins í júní 2013, sitja fulltrúar innanríkisráðuneytisins, ríkislögreglustjóra, Póst- og fjarskiptastofnunar og utanríkisráðuneytisins og er aðalverkefni hópsins að móta langtímastefnu stjórnvalda hvað varðar net- og upplýsingaöryggi og vernd upplýsingainnviða er varða þjóðaröryggi. Verkefnaáætlun hópsins miðar að því að aðgerðaáætlun og langtímastefna verði tilbúnar fyrir lok júní á þessu ári og jafnframt verði útfærslu á tillögum til lagabreytinga til að efla net- og upplýsingaöryggi lokið fyrir 1. september næstkomandi.
III. Meginefni frumvarpsins.
Frumvarpið miðar við lágmarksbreytingar á lögum svo unnt sé að undirbúa og framkvæma flutning verkefna CERT-ÍS til almannavarnadeildar ríkislögreglustjóra sem fyrst og mynda þannig grunn að frekari þróun starfseminnar. Í I. kafla frumvarpsins er að finna tillögur að breytingum á 47. gr. a fjarskiptalaga, nr. 81/2003, ásamt 3. gr. laga um Póst- og fjarskiptastofnun, nr. 69/2003. Er þar gert ráð fyrir því að Póst- og fjarskiptastofnun sé heimilt að úthýsa þeim verkefnum sem falla til vegna þeirra skyldna sem koma fram í umræddri grein. Með frumvarpinu er þannig opnað fyrir að netöryggissveitin geti verið í daglegu og nánu samstarfi við aðra grunnþætti almannavarna landsins. Frumvarpið felur ekki í sér efnislegar breytingar á núverandi hlutverki og starfsemi netöryggissveitarinnar. Gera má ráð fyrir að með slíkum breytingum verði starfssvið sveitarinnar víkkað út svo það nái yfir alla ómissandi innviði landsins.
Í frumvarpinu er ákvæði um að bjóða starfsmönnum netöryggissveitar starf hjá almannavarnadeild ríkislögreglustjóra og skulu þeir þá njóta sömu kjara og þeir njóta hjá Póst- og fjarskiptastofnun.
IV. Samráð.
Í aðdraganda frumvarpsins var efni þess kynnt eftirfarandi aðilum: embætti ríkislögreglustjóra, almannavarnadeild ríkislögreglustjóra, Póst- og fjarskiptastofnun og starfsmönnum netöryggissveitar PFS. Kynning á efni frumvarpsins fór fram á fundum með framangreindum aðilum.
V. Mat á áhrifum.
Áhrif frumvarpsins eru að mati innanríkisráðuneytisins fyrst og fremst jákvæð. Ráðuneytið byggir það mat aðallega á áðurnefndu minnisblaði Páls Ásgrímssonar til innanríkisráðuneytis sem og þeirri greiningu sem farið hefur fram innan ráðuneytisins á starfsemi almannavarnadeildar ríkislögreglustjóra með hliðsjón af þeirri samlegð sem netöryggissveitin getur haft af reynslu og verkferlum almannavarnadeildarinnar. Sú samþætting verkefna sem á sér stað með flutningi CERT-verkefnisins ætti þannig, að mati ráðuneytisins, að skila sér í skilvirkara og hagkvæmara eftirliti til hagsbóta fyrir þjóðfélagið allt. Þá er í frumvarpinu tryggt að tilfærsla verkefnisins hafi ekki neikvæð áhrif á kjör starfsmanna netöryggissveitarinnar auk þess sem gert er ráð fyrir að sú sérþekking sem byggð hefur verið upp innan sveitarinnar færist með verkefninu.
Kostnaður af frumvarpinu hefur verið metinn af fjármála- og efnahagsráðuneyti og fylgir kostnaðarumögn frumvarpinu.
Athugasemdir við einstakar greinar frumvarpsins.
Um 1. gr.
Um 2. gr.
Um 3. gr.
Um 4. gr.
Um ákvæði til bráðabirgða.
Fylgiskjal.
Fjármála- og efnahagsráðuneyti,
skrifstofa opinberra fjármála:
Umsögn um frumvarp til laga um breytingar á ýmsum lögum vegna flutnings netöryggissveitar til almannavarnadeildar ríkislögreglustjóra.
Í frumvarpinu eru lagðar til breytingar á lögum um fjarskipti, nr. 81/2003, og lögum um Póst- og fjarskiptastofnun, nr. 69/2003, um að starfrækt skuli netöryggissveit og að forstjóra Póst- og fjarskiptastofnunar verði með leyfi ráðherra heimilt að fela öðrum að framkvæma verkefni hennar. Í breytingum á lögreglulögum, nr. 90/1996, og lögum um almannavarnir, nr. 82/2008, er að sama skapi lagt til að ríkislögreglustjóra verði heimilt að starfrækja netöryggissveit.
Gert er ráð fyrir að lögin taki þegar gildi og að í kjölfar gildistöku flytjist starfsemi netöryggissveitarinnar yfir til almannavarnadeildar ríkislögreglustjóra með þjónustusamningi og að allir starfsmenn netöryggissveitar muni fylgja verkefninu. Ekki muni því koma til uppsagna starfsmanna, greiðslu biðlauna eða annars kostnaðar. Starfsemi netöryggissveitarinnar er fjármögnuð sem hluti af sérstöku rekstrargjaldi á fjarskiptafyrirtæki sem áfram verður innheimt. Póst- og fjarskiptastofnun mun samkvæmt samningnum greiða ríkislögreglustjóra kostnaðinn við rekstur netöryggissveitarinnar þannig að embættið mun hafa sértekjur á móti kostnaðinum. Lögfesting frumvarpsins mun því ekki hafa áhrif á útgjöld ríkissjóðs
