Evrópusambandið eykur varnir gegn netógnum með öflugu regluverki Þórdís Rafnsdóttir skrifar 29. ágúst 2025 06:02 Á síðustu árum hefur netöryggi ríkja orðið enn mikilvægara. Með stóraukinni stafrænnri þróun og alþjóðlegum átökum hafa netárásir orðið að hluta af vopnabúri ríkja og samtaka, sem beita tækni til að ná pólitískum, fjárhagslegum og hernaðarlegum markmiðum. Evrópusambandið hefur brugðist við þessari þróun með metnaðarfullu netöryggisregluverki sem miðar að því að styrkja innviði ríkja og bæta samhæfingu í netöryggismálum. Evrópusambandið hefur mætt þessari nýju ógn með m.a. endurskoðun stefna og nýju regluverki sem vinna saman að því að skapa öruggara og viðnámsþolnara stafrænt samfélag. Fimm lykilgerðir hafa mótað nútímalegt netöryggisumhverfi ESB en það eru: Tilskipun (ESB) nr. 2016/1148 (e. Directive on security of network and information systems, hér eftir NIS1) Reglugerð (ESB) nr. 2019/881 (e. Cybersecurity Act, hér eftir CSA) Tilskipun (ESB) nr. 2022/2555 (e. Directive on measures for a high common level of cybersecurity across the Union, hér eftir NIS2) Reglugerð (ESB) nr. 2024/2847 (e. Cyber Resiliance Act,hér eftir CRA) Reglugerð (ESB) nr. 2025/38 (e. Cyber Solidarity Act, hér eftir CSoA) NIS1 tilskipunin – fyrsta samræmda netöryggisregluverkið er gildir þvert á atvinnulífið Fyrsta tilskipunin, NIS1, kom árið 2016 og markaði upphaf formlegrar heildar stefnumótunar ESB í netöryggismálum þvert á atvinnulífið. Hún lagði grunn að samræmdum kröfum til mikilvægra innviða, þ.e. rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu. NIS1 kom einnig með kröfur um sérstök viðbragðsteymi vegna váatvika er varða tölvuöryggi ríkja (e. CSIRT), og tilkynningarskyldu vegna netatvika. NIS2 tilskipunin – aukið netöryggistig aðildarríkja og samhæfing Uppfærða útgáfan, NIS2, tók gildi árið 2024 og eykur kröfur til fyrirtækja og stjórnvalda verulega. NIS2 stækkar umfang tilskipunarinnar, krefst skýrari ábyrgðar og leggur aukna áherslu á samræmingu og upplýsingaflæði. Áhersla er lögð á að tryggja öryggi í aðfangakeðjum og bæta samvinnu milli ríkja, stofnana og netöryggisveita. Þá kveður tilskipunin á um að ríki útbúi landsbundnar viðbragðsáætlanir og tilnefni sérstakt stjórnvald fyrir netvá. Að auki tengist NIS2 öðru regluverki eins og DORA, sem beinist að fjármálageiranum, og CER, sem fjallar um raunlægan viðnámsþrótt mikilvægra innviða (e. critical entities). Markmiðið er að samræma reglur á milli sviða og tryggja að netöryggi sé samofið öðrum öryggismálum. CSA reglugerðin - styrkur í vottun og stöðlum CSA reglugerðin frá 2019 styrkir hlutverk Netöryggisstofnunar ESB (ENISA) og innleiðir evrópskt netöryggisvottunarkerfi. Á grundvelli netöryggisvottunarkerfisins geta fyrirtæki fengið vottunir fyrir upplýsinga- og fjarskiptatæknivörur, -þjónustur og -ferla sem þá uppfylla ákveðnar öryggiskröfur sem gilda á öllum innri markaði ESB. Reglugerðinni er ætlað að auka traust sem og samkeppnishæfni á innri markaði sambandsins. CRA reglugerðin – öruggar vörur og ábyrgð framleiðenda Cyber Resilience Act (CRA), sem tók gildi 2024, tryggir að allar vörur með stafræna eiginleika uppfylli ákveðnar lágmarks netöryggiskröfur. Reglugerðin setur skyldur á framleiðendur, innflytjendur og dreifingaraðila um að tryggja öryggi vörunnar yfir allan lífsferil hennar. Markmið hennar er að skapa samræmdar reglur og vernda bæði fyrirtæki sem og neytendur gegn stafrænum ógnum. Gerðin leikur mikilvægt hlutverk í að auka netöryggi birgjakeðju aðila. CSoA reglugerðin – nýtt skref í samstöðu og sameiginlegum viðbrögðum ríkja Cyber Solidarity Act (CSoA), sem tók gildi árið 2025, miðar að því að efla samstöðu og sameiginleg viðbrögð ríkja við netógnunum. Meðal annars verður komið á fót evrópsku viðvörunarkerfi, neyðarviðbragðshópi og sameiginlegri greiningar- og endurskoðunardeild netatvika. Þátttaka ríkja er valkvæð, en henni fylgja beinir hvatar eins og fjármögnun og ýmiskonar aðstoð. Netöryggisgerðir Evrópusambandsins - Þrátt fyrir að sumar af þessum gerðum nái til sviða sem ekki teljast beinlínis til EES-samningsins, er ljóst að innleiðing og þátttaka Íslands er til hagsbóta. Reglurnar krefjast virkrar samhæfingar og öflugrar stjórnsýslu en fela einnig í sér gríðarleg tækifæri til að efla öryggi, viðnámsþrótt og traust í hinu stafrænu samfélagi. Í heimi þar sem netógnir þekkja engin landamæri, er ljóst að samræmt og öflugt regluverk á borð við netöryggisgerðir Evrópusambandsins er ekki aðeins nauðsyn, heldur grunnforsenda fyrir örugga framtíð samfélagsins sem og innviða Íslands. Höfundur er lögfræðingur hjá Fjarskiptastofnun. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Evrópusambandið Netöryggi Mest lesið Maðurinn sem treysti þjóðinni, en ekki lengur Halldór Jörgen Olesen Skoðun UT-mál Reykjavíkurborgar Haukur Arnþórsson Skoðun Töpum við fullveldinu ef við göngum í ESB? Gunnar Ármannsson Skoðun Hræðslubandalag elítunnar í fílabeinsturninum Sveinn Atli Gunnarsson Skoðun Samningurinn sem allir hafa lesið Skoðun Prófessorinn, hagfræðingurinn og fullveldið Gunnar Ármannsson Skoðun Ferðaþjónustan er ekki endalaus tekjulind fyrir ríkissjóð Björn Ragnarsson Skoðun Er Ísland tilbúið fyrir dánaraðstoð? Ingrid Kuhlman Skoðun Þegar allt verður forgangsmál Hjálmar Bogi Hafliðason Skoðun Úr gráu yfir í grænt með hjálp 50.000 trjáa Margrét Rós Sigurjónsdóttir Skoðun Skoðun Skoðun Var þetta sýndarsamráð? Sigurborg Kr. Hannesdóttir skrifar Skoðun Hvað vitum við í ágúst? Staðreyndir og möguleikar Íslands Þorvaldur Ingi Jónsson skrifar Skoðun Töpum við fullveldinu ef við göngum í ESB? Gunnar Ármannsson skrifar Skoðun Samningurinn sem allir hafa lesið skrifar Skoðun UT-mál Reykjavíkurborgar Haukur Arnþórsson skrifar Skoðun Er Ísland tilbúið fyrir dánaraðstoð? Ingrid Kuhlman skrifar Skoðun Þolendur sem vitni í eigin málum Inga Valgerður Henriksen Bergdal skrifar Skoðun Maðurinn sem treysti þjóðinni, en ekki lengur Halldór Jörgen Olesen skrifar Skoðun Mælanlegt sjálfstæði þjóðar Sigurður Friðleifsson skrifar Skoðun Af hverju er netöryggisfræðsla grunninnviður? Margrét Valgerður Helgadóttir skrifar Skoðun Ferðaþjónustan er ekki endalaus tekjulind fyrir ríkissjóð Björn Ragnarsson skrifar Skoðun Hlustum á börn – líka þegar þau eru ósammála okkur Tótla I. Sæmundsdóttir skrifar Skoðun Stærsta hópverkefni Íslands Einar Örn Einarsson skrifar Skoðun Úr gráu yfir í grænt með hjálp 50.000 trjáa Margrét Rós Sigurjónsdóttir skrifar Skoðun Er Ísland að undirbúa nemendur fyrir framtíðina? Íris Þóra Birgisdóttir skrifar Skoðun Laugavegur 1: Húsvernd á villigötum Þórður Magnússon skrifar Skoðun Hræðslubandalag elítunnar í fílabeinsturninum Sveinn Atli Gunnarsson skrifar Skoðun Mikilvægi Fjarðarheiðarganga Steinar Björgvinsson skrifar Skoðun Prófessorinn, hagfræðingurinn og fullveldið Gunnar Ármannsson skrifar Skoðun Varnarsamningurinn og fullveldið Jóhannes Hraunfjörð Karlsson skrifar Skoðun Já, áfram Ísland! Óli Rúnar Ástþórsson skrifar Skoðun Þegar allt verður forgangsmál Hjálmar Bogi Hafliðason skrifar Skoðun Sjálfstætt Grænland hefði bæði víðtækari rétt og meiri möguleika en Ísland innan ESB Júlíus Valsson skrifar Skoðun Takk, en NEI takk Jón Pétur Zimsen skrifar Skoðun Reyndi að hindra að Ísland nyti réttlætis Hjörtur J. Guðmundsson skrifar Skoðun Upptaka evru áhættusöm fyrir lítil hagkerfi Kristinn Sv. Helgason skrifar Skoðun Reikningsdæmi handa Ögmundi Arnar Sigurðsson skrifar Skoðun Eilífðar smáblóm... Móheiður Hlíf Geirlaugsdóttir skrifar Skoðun „Eigðu sjálfur þinn helvítis tjakk!“ Ólafur Hauksson skrifar Skoðun Komið með skólabörnin í heimsókn á gamla leikskólann Elína Hallgrímsdóttir skrifar Sjá meira
Á síðustu árum hefur netöryggi ríkja orðið enn mikilvægara. Með stóraukinni stafrænnri þróun og alþjóðlegum átökum hafa netárásir orðið að hluta af vopnabúri ríkja og samtaka, sem beita tækni til að ná pólitískum, fjárhagslegum og hernaðarlegum markmiðum. Evrópusambandið hefur brugðist við þessari þróun með metnaðarfullu netöryggisregluverki sem miðar að því að styrkja innviði ríkja og bæta samhæfingu í netöryggismálum. Evrópusambandið hefur mætt þessari nýju ógn með m.a. endurskoðun stefna og nýju regluverki sem vinna saman að því að skapa öruggara og viðnámsþolnara stafrænt samfélag. Fimm lykilgerðir hafa mótað nútímalegt netöryggisumhverfi ESB en það eru: Tilskipun (ESB) nr. 2016/1148 (e. Directive on security of network and information systems, hér eftir NIS1) Reglugerð (ESB) nr. 2019/881 (e. Cybersecurity Act, hér eftir CSA) Tilskipun (ESB) nr. 2022/2555 (e. Directive on measures for a high common level of cybersecurity across the Union, hér eftir NIS2) Reglugerð (ESB) nr. 2024/2847 (e. Cyber Resiliance Act,hér eftir CRA) Reglugerð (ESB) nr. 2025/38 (e. Cyber Solidarity Act, hér eftir CSoA) NIS1 tilskipunin – fyrsta samræmda netöryggisregluverkið er gildir þvert á atvinnulífið Fyrsta tilskipunin, NIS1, kom árið 2016 og markaði upphaf formlegrar heildar stefnumótunar ESB í netöryggismálum þvert á atvinnulífið. Hún lagði grunn að samræmdum kröfum til mikilvægra innviða, þ.e. rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu. NIS1 kom einnig með kröfur um sérstök viðbragðsteymi vegna váatvika er varða tölvuöryggi ríkja (e. CSIRT), og tilkynningarskyldu vegna netatvika. NIS2 tilskipunin – aukið netöryggistig aðildarríkja og samhæfing Uppfærða útgáfan, NIS2, tók gildi árið 2024 og eykur kröfur til fyrirtækja og stjórnvalda verulega. NIS2 stækkar umfang tilskipunarinnar, krefst skýrari ábyrgðar og leggur aukna áherslu á samræmingu og upplýsingaflæði. Áhersla er lögð á að tryggja öryggi í aðfangakeðjum og bæta samvinnu milli ríkja, stofnana og netöryggisveita. Þá kveður tilskipunin á um að ríki útbúi landsbundnar viðbragðsáætlanir og tilnefni sérstakt stjórnvald fyrir netvá. Að auki tengist NIS2 öðru regluverki eins og DORA, sem beinist að fjármálageiranum, og CER, sem fjallar um raunlægan viðnámsþrótt mikilvægra innviða (e. critical entities). Markmiðið er að samræma reglur á milli sviða og tryggja að netöryggi sé samofið öðrum öryggismálum. CSA reglugerðin - styrkur í vottun og stöðlum CSA reglugerðin frá 2019 styrkir hlutverk Netöryggisstofnunar ESB (ENISA) og innleiðir evrópskt netöryggisvottunarkerfi. Á grundvelli netöryggisvottunarkerfisins geta fyrirtæki fengið vottunir fyrir upplýsinga- og fjarskiptatæknivörur, -þjónustur og -ferla sem þá uppfylla ákveðnar öryggiskröfur sem gilda á öllum innri markaði ESB. Reglugerðinni er ætlað að auka traust sem og samkeppnishæfni á innri markaði sambandsins. CRA reglugerðin – öruggar vörur og ábyrgð framleiðenda Cyber Resilience Act (CRA), sem tók gildi 2024, tryggir að allar vörur með stafræna eiginleika uppfylli ákveðnar lágmarks netöryggiskröfur. Reglugerðin setur skyldur á framleiðendur, innflytjendur og dreifingaraðila um að tryggja öryggi vörunnar yfir allan lífsferil hennar. Markmið hennar er að skapa samræmdar reglur og vernda bæði fyrirtæki sem og neytendur gegn stafrænum ógnum. Gerðin leikur mikilvægt hlutverk í að auka netöryggi birgjakeðju aðila. CSoA reglugerðin – nýtt skref í samstöðu og sameiginlegum viðbrögðum ríkja Cyber Solidarity Act (CSoA), sem tók gildi árið 2025, miðar að því að efla samstöðu og sameiginleg viðbrögð ríkja við netógnunum. Meðal annars verður komið á fót evrópsku viðvörunarkerfi, neyðarviðbragðshópi og sameiginlegri greiningar- og endurskoðunardeild netatvika. Þátttaka ríkja er valkvæð, en henni fylgja beinir hvatar eins og fjármögnun og ýmiskonar aðstoð. Netöryggisgerðir Evrópusambandsins - Þrátt fyrir að sumar af þessum gerðum nái til sviða sem ekki teljast beinlínis til EES-samningsins, er ljóst að innleiðing og þátttaka Íslands er til hagsbóta. Reglurnar krefjast virkrar samhæfingar og öflugrar stjórnsýslu en fela einnig í sér gríðarleg tækifæri til að efla öryggi, viðnámsþrótt og traust í hinu stafrænu samfélagi. Í heimi þar sem netógnir þekkja engin landamæri, er ljóst að samræmt og öflugt regluverk á borð við netöryggisgerðir Evrópusambandsins er ekki aðeins nauðsyn, heldur grunnforsenda fyrir örugga framtíð samfélagsins sem og innviða Íslands. Höfundur er lögfræðingur hjá Fjarskiptastofnun.
Skoðun Sjálfstætt Grænland hefði bæði víðtækari rétt og meiri möguleika en Ísland innan ESB Júlíus Valsson skrifar