Netöryggi til framtíðar Unnur Kristín Sveinbjarnardóttir skrifar 14. júlí 2025 12:01 Netöryggi er ekki lengur valkostur heldur lykilþáttur í öryggi íslensks samfélags. Hér á landi eru margar grundvallarþjónustur háðar virkni upplýsinga- og fjarskiptakerfa, og öflugt netöryggi er því nauðsynlegt fyrir stöðugleika og virkni samfélagsins. Alþingi samþykkti nýverið lög sem breyta Varnarmálalögum með þeim hætt að þau færa CERT-IS, landsbundið öryggis- og viðbragðsteymi vegna netatvika og áhættu, frá Fjarskiptastofu og undir stjórn utanríkisráðuneytisins. Markmiðið laganna er að efla varnartengda þætti á sviði netöryggis. Áfram mun CERT-IS sinna lögbundnu hlutverki sínu á grundvelli netöryggislaga. Þrátt fyrir þessar breytingar er mikilvægt að undirstrika að netöryggisábyrgð stjórnvalda nær langt út fyrir CERT-IS. Innviðaráðherra fer áfram með málefni netöryggis á grundvelli forsetaúrskurðar þar um og þá gegnir netöryggissvið Fjarskiptastofu og önnur eftirlitsstjórnvöld áfram kjarnahlutverki í fyrirbyggjandi netöryggisvörnum samfélagsins. Sviðið gegnir samhæfingar- og ráðgjafarhlutverki gagnvart öðrum eftirlitsstjórnvöldum varðandi framkvæmd netöryggislaganna og er tengiliður íslenskra stjórnvalda á sviði netöryggis og tekur þátt í stefnumarkandi samstarfi Evrópusambandsins á þessu sviði, Norðurlandasamstarfi og í nefndarstarfi NATO. Heildstæð og áhættumiðuð sýn: Netöryggisstjórnun í nýju landslagi Netöryggissviðið Fjarskiptastofu ber ábyrgð á eftirliti með netöryggi gagnvart kjarnainnviðum stafræns samfélags og eru verkefni þess víðtæk – allt frá áhættugreiningum, úttektum og prófunum á netvörnum til stefnumótunar og samstarfs við innlend og erlend stjórnvöld. Þetta felst í framkvæmd sjálfsmata til að meta stöðu netöryggis hjá aðilum, dýpri úttektum á stjórnkerfi netöryggis sem og prófunum á netvörnum aðila. Þá framkvæmdir netöryggissvið ýmsar áhættugreiningar t.a.m. vegna sérstakra ógna á borð við innrás Rússa í Úkraínu og/eða sérstakra kerfa líkt og 5G kerfa. Öll þessi verkefni miða að því að greina áhættur þannig að hægt sé að grípa til fyrirbyggjandi aðgerða og auka þannig netöryggi samfélagsins. Í flestum tilvikum er aðilum gefin bindandi fyrirmæli um úrbætur til að bæta heildarnetöryggi aðila og eru í gildi í dag, tugir slíkra fyrirmæla hjá mismunandi mikilvægum innviðum. Með samræmdri nálgun, virku samstarfi og gagnadrifnu eftirliti vinnur netöryggissvið að því að efla viðnámsþol íslensks samfélags gagnvart sífellt flóknari netógnum. En virkar og vandaðar öryggisráðstafanir lágmarka þá áhættu sem steðjar stöðugt að öryggi net- og upplýsingakerfa. Í flóknu pólitísku alþjóðaumhverfi nútímans og með vaxandi netógnum verður fyrirbyggjandi netöryggi síst ofmetið. Formföst og virk umgjörð og stjórnun netöryggis leika ekki einungis lykilhlutverk við að tryggja virkni þjónustu og vernda upplýsingar fyrirtækja, heldur er það fyrsta varnarlínan til að gæta þjóðarhagsmuna, tryggja efnahagslegan- og samfélagslegan stöðugleika og vernda borgaranna. Sviðið fer einnig með eftirlit með rafrænum auðkenningum, rafrænum undirritunum og öðrum traustþjónustum. Þegar fram líða stundir mun það einnig sinna eftirliti tengdu stafræna auðkennisveskinu (EU Identity Wallet). Þetta er ekki síður mikilvægt verkefni þegar kemur að öryggi þeirrar stafrænu þróunar sem nú á sér stað hér á landi. Til viðbótar þá hýsir netöryggissvið Fjarskiptastofu Eyvöru – hæfnissetur Íslands í netöryggi. Eyvör er öflugur vettvangur fyrir fræðslu, þjálfun og samstarf sem miðar að því að efla færni, sérfræðiþekkingu og getu á sviði netöryggis. Tímamótalöggjöf Evrópusambandsins Í þessu tilliti er jafnframt nauðsynlegt að nefna nýja netöryggistilskipun Evrópusambandsins – almennt kölluð NIS2-tilskipun. Hún markar tímamót í netöryggismálum á Evrópska efnahagssvæðinu og mun hafa veruleg áhrif á hvernig aðildarríki skipuleggja og framfylgja netöryggi. Tilskipunin setur ríkari kröfur bæði á aðildarríkin sjálf sem og mikilvæga innviði um formlega stjórnun netöryggis, áhættumiðaða nálgun og upplýsingaskyldu um alvarleg atvik. Þá krefst hún samræmdra aðgerða innan ríkja og styrkrar samvinnu milli netöryggisstofnana á vettvangi ESB. Með NIS2 eykst einnig ábyrgð stjórnenda og skýrari krafa er gerð um að lönd hafi virka yfirsýn, framkvæmd og eftirfylgni með stöðu netöryggis í samfélagslega mikilvægu kerfum. Netöryggissvið Fjarskiptastofu hefur gegnt lykilhlutverki við undirbúning og innleiðingu NIS2 hér á landi. Mikilvægi samþættingar upplýsinga fyrir netöryggi Íslands Í krafti samhæfingarhlutverks síns leiðir netöryggissvið Fjarskiptastofu einnig uppbyggingu og framkvæmd aðferðafræði eftirlits hjá öðrum eftirlitsstofnunum. Þannig vinnur sviðið með Samgöngustofu, Umhverfis- og orkustofnun, Embætti landlæknis og Seðlabanka Íslands á þessu sviði. Saman eiga framangreind stjórnvöld að ná heildarmynd af netöryggisgetu samfélagsins. Með samræmdri nálgun og virku samstarfi tryggir sviðið að netöryggiskröfur séu útfærðar með samræmdum hætti milli greina. Í dag stendur netöryggissviðið t.a.m. að framkvæmd samhæfðs sjálfsmats allra aðila sem falla undir netöryggislögin. Markmiðið er að fá heildstæða mynd af stöðu netöryggis mikilvægra innviða í samfélaginu og styðja við forgangsröðun í úrbótum þar sem veikleikar kunna að finnast. Til að tryggja netöryggi íslenskra samfélags- og efnahagslegra mikilvægra innviða þarf að byggja á heildstæðri mynd af netöryggisstöðu þeirra. CERT-IS gegnir auðvitað mikilvægu hlutverki með því að m.a. veita stjórnvöldum stöðugt uppfærðar upplýsingar um stöðumynd ógna á hverjum tíma, sem er liður í áhættumiðaðri stjórnun og eftirliti netöryggis. Með slíkum upplýsingum, auk upplýsinga sem stjórnvöld búa yfir um stöðu aðilanna sjálfra, sem byggja á niðurstöðum sjálfsmata, úttekta, prófana og áhættugreininga stjórnvalda, er hægt að meta stöðu netöryggis hér á landi á nokkuð heildstæðan hátt. Með áhættumiðuðu eftirliti og samhæfingu og samvinnu annarra eftirlitsstjórnvalda er lagður grundvöllur fyrir því að viðeigandi aðgerðir séu settar í gang þar sem veikleikar eða brotalamir koma í ljós. Þannig er stöðugt unnið að því að efla varnir og undirbúa kerfi mikilvægra innviða fyrir þær ógnir sem geta stafað af netárásum eða öðrum netógnunum. Netöryggisstjórnun hérlendis á því að byggja á sterkri samvinnu milli þeirra sem greina og birta ógnarmyndina og þeirra sem framkvæma eftirlit og setja fram kröfur og ráðstafanir gagnvart rekstraraðilum. Enda er slík ógnarmynd og upplýsingar um aðferðafræði árásaðila lykilatriði í því að verjast þeim. Þá er mikilvægt að efla og virkja samstarf við aðra aðila líkt og Ríkislögreglustjóra og önnur lögregluyfirvöld sem fara með greiningar á öryggi ríkisins, viðbrögð í almannavarnarástandi og rannsókn mála, að ógleymdum mikilvægu innviðunum sjálfum. Þessi samtenging er lífsnauðsynleg til að viðhalda varnargetu og viðnámi íslenskra innviða gagnvart sífellt flóknari og öflugri netógnum. Varnir Íslands liggja í traustum og virkum netvörnum mikilvægra innviða, þar sem netöryggisstjórnun og áhættustýring eru lykilþættir til að tryggja samfellu og öryggi samfélagsins alls. Með fyrirbyggjandi aðgerðum, reglubundnu áhættumiðuðu eftirliti, samvinnu og samtengdu viðbragði við ógnarmyndum er tryggt með sem bestum hætti að við stöndumst þær áskoranir sem stafræn samfélög standa frammi fyrir – nú og til framtíðar. Höfundur er sviðsstjóri netöryggissviðs Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Tækni Mest lesið Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson Skoðun Aðildarviðræður eru ekki upplýsingaleit heldur undirbúningur að aðild Gunnar Ármannsson Skoðun Meitlað í stein eða kannski, hugsanlega, ef til vill Sigurður Egilsson Skoðun Sjö algengar ranghugmyndir um hvali og hvalveiðar Eyþór Eðvarðsson Skoðun Um líf og dauða, fullveldi og ESB II Bjarni Már Magnússon Skoðun Almyrkvi á sólu 12.ágúst 2026: Gagnlegar upplýsingar Runólfur Þórhallsson Skoðun Að hafa rétt eftir Ingólfur Sverrisson Skoðun Gervigreind á ekki að hugsa fyrir okkur Helgi S. Karlsson Skoðun Um líf og dauða, fullveldi og ESB Bjarni Már Magnússon Skoðun Af hverju „Nei“ 29. ágúst? Alfreð Sturla Böðvarsson Skoðun Skoðun Skoðun Stafrænt fullveldi er ekki frönsk sérviska Þorsteinn Siglaugsson skrifar Skoðun Gervigreind á ekki að hugsa fyrir okkur Helgi S. Karlsson skrifar Skoðun Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson skrifar Skoðun Mannréttindi eru ekki skrifstofa heldur framkvæmd Auður Axelsdóttir skrifar Skoðun Af hverju „Nei“ 29. ágúst? Alfreð Sturla Böðvarsson skrifar Skoðun Að hafa rétt eftir Ingólfur Sverrisson skrifar Skoðun Hvaða áhættu tekur Ísland ef við breytum engu? – Framtíðarsýn til ársins 2050 Þorvaldur Ingi Jónsson skrifar Skoðun Almyrkvi á sólu 12.ágúst 2026: Gagnlegar upplýsingar Runólfur Þórhallsson skrifar Skoðun Um líf og dauða, fullveldi og ESB II Bjarni Már Magnússon skrifar Skoðun Meitlað í stein eða kannski, hugsanlega, ef til vill Sigurður Egilsson skrifar Skoðun Krónuhagkerfið og kostnaður heimilanna Sigurður Kristinn Pálsson skrifar Skoðun Litir, form og staðarandi Þórður Már Sigfússon skrifar Skoðun Brexit ekki orsök efnahagsáskorana Breta Kristinn Sv. Helgason skrifar Skoðun Jörðin er dómkirkjan okkar. Geimurinn er verkstæðið okkar. Árni Sigurðsson skrifar Skoðun Stækkun bílaborgarinnar er ekki sjálfgefin - Ný byggð til norðurs kallar á öflugri almenningssamgöngur Stefán Agnar Finnsson skrifar Skoðun Hvenær hættir maður að vera útlendingur? Valerio Gargiulo skrifar Skoðun Viðvörunarljós um farsæld barna má ekki hunsa Steinunn Bergmann skrifar Skoðun Sjö algengar ranghugmyndir um hvali og hvalveiðar Eyþór Eðvarðsson skrifar Skoðun Aðildarviðræður eru ekki upplýsingaleit heldur undirbúningur að aðild Gunnar Ármannsson skrifar Skoðun Um líf og dauða, fullveldi og ESB Bjarni Már Magnússon skrifar Skoðun Ný greining: Hvað myndu húsnæðisvextir lækka með ESB og evru? Dagur B. Eggertsson skrifar Skoðun Hvað er í pakkanum? Hannes Lúðvíksson skrifar Skoðun Nýsköpunin sem hverfur inn í skýið Bogi Ragnarsson skrifar Skoðun Þegar kaffið rennur upp á við í Undralandi íslenskrar orðræðu Sigurður Sigurðsson skrifar Skoðun Þeir seldu áhættuna sem tækifæri — og sendu þjóðinni reikninginn Baldur Pétursson skrifar Skoðun Traust á lögmönnum er ekki einkamál lögmanna Vilbert Gústafsson skrifar Skoðun Upplýsingar eru ekki ógn, þær eru forsenda Halldór Jörgen Olesen skrifar Skoðun Heimilislæknar og reglugerðardrög Alma D. Möller skrifar Skoðun Einstaklingurinn og fullveldið Signý Sigurðardóttir skrifar Skoðun Skilvirk núna en ekki ef við göngum í ESB Hjörtur J. Guðmundsson skrifar Sjá meira
Netöryggi er ekki lengur valkostur heldur lykilþáttur í öryggi íslensks samfélags. Hér á landi eru margar grundvallarþjónustur háðar virkni upplýsinga- og fjarskiptakerfa, og öflugt netöryggi er því nauðsynlegt fyrir stöðugleika og virkni samfélagsins. Alþingi samþykkti nýverið lög sem breyta Varnarmálalögum með þeim hætt að þau færa CERT-IS, landsbundið öryggis- og viðbragðsteymi vegna netatvika og áhættu, frá Fjarskiptastofu og undir stjórn utanríkisráðuneytisins. Markmiðið laganna er að efla varnartengda þætti á sviði netöryggis. Áfram mun CERT-IS sinna lögbundnu hlutverki sínu á grundvelli netöryggislaga. Þrátt fyrir þessar breytingar er mikilvægt að undirstrika að netöryggisábyrgð stjórnvalda nær langt út fyrir CERT-IS. Innviðaráðherra fer áfram með málefni netöryggis á grundvelli forsetaúrskurðar þar um og þá gegnir netöryggissvið Fjarskiptastofu og önnur eftirlitsstjórnvöld áfram kjarnahlutverki í fyrirbyggjandi netöryggisvörnum samfélagsins. Sviðið gegnir samhæfingar- og ráðgjafarhlutverki gagnvart öðrum eftirlitsstjórnvöldum varðandi framkvæmd netöryggislaganna og er tengiliður íslenskra stjórnvalda á sviði netöryggis og tekur þátt í stefnumarkandi samstarfi Evrópusambandsins á þessu sviði, Norðurlandasamstarfi og í nefndarstarfi NATO. Heildstæð og áhættumiðuð sýn: Netöryggisstjórnun í nýju landslagi Netöryggissviðið Fjarskiptastofu ber ábyrgð á eftirliti með netöryggi gagnvart kjarnainnviðum stafræns samfélags og eru verkefni þess víðtæk – allt frá áhættugreiningum, úttektum og prófunum á netvörnum til stefnumótunar og samstarfs við innlend og erlend stjórnvöld. Þetta felst í framkvæmd sjálfsmata til að meta stöðu netöryggis hjá aðilum, dýpri úttektum á stjórnkerfi netöryggis sem og prófunum á netvörnum aðila. Þá framkvæmdir netöryggissvið ýmsar áhættugreiningar t.a.m. vegna sérstakra ógna á borð við innrás Rússa í Úkraínu og/eða sérstakra kerfa líkt og 5G kerfa. Öll þessi verkefni miða að því að greina áhættur þannig að hægt sé að grípa til fyrirbyggjandi aðgerða og auka þannig netöryggi samfélagsins. Í flestum tilvikum er aðilum gefin bindandi fyrirmæli um úrbætur til að bæta heildarnetöryggi aðila og eru í gildi í dag, tugir slíkra fyrirmæla hjá mismunandi mikilvægum innviðum. Með samræmdri nálgun, virku samstarfi og gagnadrifnu eftirliti vinnur netöryggissvið að því að efla viðnámsþol íslensks samfélags gagnvart sífellt flóknari netógnum. En virkar og vandaðar öryggisráðstafanir lágmarka þá áhættu sem steðjar stöðugt að öryggi net- og upplýsingakerfa. Í flóknu pólitísku alþjóðaumhverfi nútímans og með vaxandi netógnum verður fyrirbyggjandi netöryggi síst ofmetið. Formföst og virk umgjörð og stjórnun netöryggis leika ekki einungis lykilhlutverk við að tryggja virkni þjónustu og vernda upplýsingar fyrirtækja, heldur er það fyrsta varnarlínan til að gæta þjóðarhagsmuna, tryggja efnahagslegan- og samfélagslegan stöðugleika og vernda borgaranna. Sviðið fer einnig með eftirlit með rafrænum auðkenningum, rafrænum undirritunum og öðrum traustþjónustum. Þegar fram líða stundir mun það einnig sinna eftirliti tengdu stafræna auðkennisveskinu (EU Identity Wallet). Þetta er ekki síður mikilvægt verkefni þegar kemur að öryggi þeirrar stafrænu þróunar sem nú á sér stað hér á landi. Til viðbótar þá hýsir netöryggissvið Fjarskiptastofu Eyvöru – hæfnissetur Íslands í netöryggi. Eyvör er öflugur vettvangur fyrir fræðslu, þjálfun og samstarf sem miðar að því að efla færni, sérfræðiþekkingu og getu á sviði netöryggis. Tímamótalöggjöf Evrópusambandsins Í þessu tilliti er jafnframt nauðsynlegt að nefna nýja netöryggistilskipun Evrópusambandsins – almennt kölluð NIS2-tilskipun. Hún markar tímamót í netöryggismálum á Evrópska efnahagssvæðinu og mun hafa veruleg áhrif á hvernig aðildarríki skipuleggja og framfylgja netöryggi. Tilskipunin setur ríkari kröfur bæði á aðildarríkin sjálf sem og mikilvæga innviði um formlega stjórnun netöryggis, áhættumiðaða nálgun og upplýsingaskyldu um alvarleg atvik. Þá krefst hún samræmdra aðgerða innan ríkja og styrkrar samvinnu milli netöryggisstofnana á vettvangi ESB. Með NIS2 eykst einnig ábyrgð stjórnenda og skýrari krafa er gerð um að lönd hafi virka yfirsýn, framkvæmd og eftirfylgni með stöðu netöryggis í samfélagslega mikilvægu kerfum. Netöryggissvið Fjarskiptastofu hefur gegnt lykilhlutverki við undirbúning og innleiðingu NIS2 hér á landi. Mikilvægi samþættingar upplýsinga fyrir netöryggi Íslands Í krafti samhæfingarhlutverks síns leiðir netöryggissvið Fjarskiptastofu einnig uppbyggingu og framkvæmd aðferðafræði eftirlits hjá öðrum eftirlitsstofnunum. Þannig vinnur sviðið með Samgöngustofu, Umhverfis- og orkustofnun, Embætti landlæknis og Seðlabanka Íslands á þessu sviði. Saman eiga framangreind stjórnvöld að ná heildarmynd af netöryggisgetu samfélagsins. Með samræmdri nálgun og virku samstarfi tryggir sviðið að netöryggiskröfur séu útfærðar með samræmdum hætti milli greina. Í dag stendur netöryggissviðið t.a.m. að framkvæmd samhæfðs sjálfsmats allra aðila sem falla undir netöryggislögin. Markmiðið er að fá heildstæða mynd af stöðu netöryggis mikilvægra innviða í samfélaginu og styðja við forgangsröðun í úrbótum þar sem veikleikar kunna að finnast. Til að tryggja netöryggi íslenskra samfélags- og efnahagslegra mikilvægra innviða þarf að byggja á heildstæðri mynd af netöryggisstöðu þeirra. CERT-IS gegnir auðvitað mikilvægu hlutverki með því að m.a. veita stjórnvöldum stöðugt uppfærðar upplýsingar um stöðumynd ógna á hverjum tíma, sem er liður í áhættumiðaðri stjórnun og eftirliti netöryggis. Með slíkum upplýsingum, auk upplýsinga sem stjórnvöld búa yfir um stöðu aðilanna sjálfra, sem byggja á niðurstöðum sjálfsmata, úttekta, prófana og áhættugreininga stjórnvalda, er hægt að meta stöðu netöryggis hér á landi á nokkuð heildstæðan hátt. Með áhættumiðuðu eftirliti og samhæfingu og samvinnu annarra eftirlitsstjórnvalda er lagður grundvöllur fyrir því að viðeigandi aðgerðir séu settar í gang þar sem veikleikar eða brotalamir koma í ljós. Þannig er stöðugt unnið að því að efla varnir og undirbúa kerfi mikilvægra innviða fyrir þær ógnir sem geta stafað af netárásum eða öðrum netógnunum. Netöryggisstjórnun hérlendis á því að byggja á sterkri samvinnu milli þeirra sem greina og birta ógnarmyndina og þeirra sem framkvæma eftirlit og setja fram kröfur og ráðstafanir gagnvart rekstraraðilum. Enda er slík ógnarmynd og upplýsingar um aðferðafræði árásaðila lykilatriði í því að verjast þeim. Þá er mikilvægt að efla og virkja samstarf við aðra aðila líkt og Ríkislögreglustjóra og önnur lögregluyfirvöld sem fara með greiningar á öryggi ríkisins, viðbrögð í almannavarnarástandi og rannsókn mála, að ógleymdum mikilvægu innviðunum sjálfum. Þessi samtenging er lífsnauðsynleg til að viðhalda varnargetu og viðnámi íslenskra innviða gagnvart sífellt flóknari og öflugri netógnum. Varnir Íslands liggja í traustum og virkum netvörnum mikilvægra innviða, þar sem netöryggisstjórnun og áhættustýring eru lykilþættir til að tryggja samfellu og öryggi samfélagsins alls. Með fyrirbyggjandi aðgerðum, reglubundnu áhættumiðuðu eftirliti, samvinnu og samtengdu viðbragði við ógnarmyndum er tryggt með sem bestum hætti að við stöndumst þær áskoranir sem stafræn samfélög standa frammi fyrir – nú og til framtíðar. Höfundur er sviðsstjóri netöryggissviðs Fjarskiptastofu.
Skoðun Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson skrifar
Skoðun Hvaða áhættu tekur Ísland ef við breytum engu? – Framtíðarsýn til ársins 2050 Þorvaldur Ingi Jónsson skrifar
Skoðun Stækkun bílaborgarinnar er ekki sjálfgefin - Ný byggð til norðurs kallar á öflugri almenningssamgöngur Stefán Agnar Finnsson skrifar
Skoðun Aðildarviðræður eru ekki upplýsingaleit heldur undirbúningur að aðild Gunnar Ármannsson skrifar