Ferill 394. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.
154. löggjafarþing 2023–2024.
Þingskjal 1138 — 394. mál.
Svar
háskóla-, iðnaðar- og nýsköpunarráðherra við fyrirspurn frá Gísla Rafni Ólafssyni um eftirlit með netöryggi.
1. Hversu mikið fjármagn hefur verið eyrnamerkt eftirliti með netöryggi hjá veitendum mikilvægrar þjónustu árin 2019–2023? Svar óskast sundurliðað eftir þeim eftirlitsstofnunum sem samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019, ber að hafa eftirlit með veitendum slíkrar þjónustu og eftir árum.
Lög um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019, voru samþykkt á Alþingi í júní 2019 en tóku ekki gildi fyrr en 1. september 2020. Sérstök fjárveiting vegna verkefna og hlutverks Fjarskiptastofu á grundvelli laganna kom fyrst í fjárlögum 2021. Fjarskiptastofa hafði þá þegar hafið undirbúning að innleiðingu laganna án sérstaks fjármagns á árinu 2020. Fjarskiptastofa hefur tvíþættu hlutverki að gegna á grundvelli laganna. Í fyrsta lagi annast stofnunin rekstur netöryggissveitar, CERT-IS, og í öðru lagi fer stofnunin með eftirlitshlutverk með rekstraraðilum nauðsynlegrar þjónustu á sviði stafrænna grunnvirkja og veitendum stafrænnar þjónustu, auk leiðbeinandi samhæfingarhlutverks gagnvart öðrum eftirlitsstjórnvöldum. Framkvæmd eftirlits og samhæfingar fer fram innan sviðs stafræns öryggis hjá Fjarskiptastofu. Hér er gerð grein fyrir útlögðum kostnaði vegna sviðseftirlits stofnunarinnar sem og samhæfingareftirlits gagnvart öðrum eftirlitsstjórnvöldum sem tilgreind eru í lögum um öryggi net- og upplýsingakerfa mikilvægra innviða og nánar útfærð í auglýsingu um skrá yfir rekstraraðila nauðsynlegrar þjónustu, nr. 1331/2023.
Kostnaður við eftirlit Fjarskiptastofu með rekstraraðilum nauðsynlegrar þjónustu á sviði stafrænna grunnvirkja (níu aðilar), veitendum stafrænnar þjónustu og vegna samhæfingarhlutverks sundurliðast eins og sjá má í eftirfarandi töflu:
| Ár | Stöðugildi – fjöldi | Kostnaður í kr. |
| 2019 | 0 | 0 |
| 2020 | 0 | 0 |
| 2021 | 2 | 20.040.000 |
| 2022 | 4,3 | 86.840.000 |
| 2023 | 5,5 | 110.220.000 |
| Skýring: Á árunum 2019 og 2020 stóð yfir undirbúningur að lagasetningu og skipulagningu eftirlitshlutverks Fjarskiptastofu samkvæmt lögunum. | ||
Samkvæmt 11. gr. laga um öryggi net- og upplýsingakerfa mikilvægra innviða er eftirlit með öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu í höndum eftirtalinna stofnana:
* Orkustofnunar vegna orku- og hitaveitna,
* Samgöngustofu vegna flutninga,
* Fjármálaeftirlitsins (nú Fjármálaeftirlit Seðlabanka Íslands) vegna bankastarfsemi og innviða fjármálamarkaða,
* embættis landlæknis vegna heilbrigðisþjónustu,
* Umhverfisstofnunar vegna vatnsveitna og
* Fjarskiptastofu vegna stafrænna grunnvirkja.
Fyrrgreindar eftirlitsstofnanir aðrar en Fjarskiptastofa heyra undir málefnasvið annarra ráðuneyta Stjórnarráðs Íslands samkvæmt forsetaúrskurði um skiptingu stjórnarmálefna milli ráðuneyta í Stjórnarráði Íslands, nr. 6/2022. Vísast á hlutaðeigandi ráðherra sem fara með málefni fyrrgreindra stofnana.
2. Hversu margir starfsmenn sinntu eftirliti með netöryggi hjá veitendum mikilvægra þjónustu árin 2019–2023? Svar óskast sundurliðað á sama hátt og í 1. tölul.
Sjá svar við 1. tölul. fyrirspurnarinnar.
3. Hversu mörg alvarleg netöryggistilvik hafa komið upp frá árinu 2019 hjá veitendum mikilvægrar þjónustu? Svar óskast sundurliðað á sama hátt og áður.
Allir mikilvægir innviði, þ.e. hvort tveggja tilnefndir rekstraraðilar nauðsynlegrar þjónustu sem og veitendur stafrænnar þjónustu eru undir þeirri skyldu að tilkynna til netöryggissveitar CERT-IS um öll alvarleg atvik og áhættu sem steðjað getur að net- og upplýsingakerfum þeirra. Þessum tilkynningum er netöryggissveitinni skylt að miðla til eftirlitsstjórnvalda.
Einungis ein skyldubundin tilkynning hefur borist netöryggissveitinni sem hefur verið miðlað til viðeigandi eftirlitsstjórnvalds, í þessu tilfelli Orkustofnunar, vegna atviks sem átti sér stað árið 2023. Þess ber þó að geta að átta tilkynningar sem þessar hafa borist vegna alvarlegra öryggisatvika hjá fjarskiptafyrirtækjum á grundvelli fjarskiptalaga.
Einnig er mikilvægt að taka fram að Fjarskiptastofa hefur farið í frumkvæðisrannsóknir vegna atvika sem ekki hafa verið tilkynnt hjá aðilum sem falla undir lög um öryggi net- og upplýsingakerfa mikilvægra innviða sem og fjarskiptalög.
4. Hvaða áætlanir eru um að auka getu eftirlitsstofnana til að sinna eftirliti með netöryggi hjá veitendum mikilvægrar þjónustu?
Háskóla-, iðnaðar- og nýsköpunarráðuneyti hefur lagt fram tillögur að markmiðum og aðgerðum Fjarskiptastofu til að sinna netöryggismálum í fjármálaáætlun fyrir árin 2025–2029.
