Evrópusambandið eykur varnir gegn netógnum með öflugu regluverki Þórdís Rafnsdóttir skrifar 29. ágúst 2025 06:02 Á síðustu árum hefur netöryggi ríkja orðið enn mikilvægara. Með stóraukinni stafrænnri þróun og alþjóðlegum átökum hafa netárásir orðið að hluta af vopnabúri ríkja og samtaka, sem beita tækni til að ná pólitískum, fjárhagslegum og hernaðarlegum markmiðum. Evrópusambandið hefur brugðist við þessari þróun með metnaðarfullu netöryggisregluverki sem miðar að því að styrkja innviði ríkja og bæta samhæfingu í netöryggismálum. Evrópusambandið hefur mætt þessari nýju ógn með m.a. endurskoðun stefna og nýju regluverki sem vinna saman að því að skapa öruggara og viðnámsþolnara stafrænt samfélag. Fimm lykilgerðir hafa mótað nútímalegt netöryggisumhverfi ESB en það eru: Tilskipun (ESB) nr. 2016/1148 (e. Directive on security of network and information systems, hér eftir NIS1) Reglugerð (ESB) nr. 2019/881 (e. Cybersecurity Act, hér eftir CSA) Tilskipun (ESB) nr. 2022/2555 (e. Directive on measures for a high common level of cybersecurity across the Union, hér eftir NIS2) Reglugerð (ESB) nr. 2024/2847 (e. Cyber Resiliance Act,hér eftir CRA) Reglugerð (ESB) nr. 2025/38 (e. Cyber Solidarity Act, hér eftir CSoA) NIS1 tilskipunin – fyrsta samræmda netöryggisregluverkið er gildir þvert á atvinnulífið Fyrsta tilskipunin, NIS1, kom árið 2016 og markaði upphaf formlegrar heildar stefnumótunar ESB í netöryggismálum þvert á atvinnulífið. Hún lagði grunn að samræmdum kröfum til mikilvægra innviða, þ.e. rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu. NIS1 kom einnig með kröfur um sérstök viðbragðsteymi vegna váatvika er varða tölvuöryggi ríkja (e. CSIRT), og tilkynningarskyldu vegna netatvika. NIS2 tilskipunin – aukið netöryggistig aðildarríkja og samhæfing Uppfærða útgáfan, NIS2, tók gildi árið 2024 og eykur kröfur til fyrirtækja og stjórnvalda verulega. NIS2 stækkar umfang tilskipunarinnar, krefst skýrari ábyrgðar og leggur aukna áherslu á samræmingu og upplýsingaflæði. Áhersla er lögð á að tryggja öryggi í aðfangakeðjum og bæta samvinnu milli ríkja, stofnana og netöryggisveita. Þá kveður tilskipunin á um að ríki útbúi landsbundnar viðbragðsáætlanir og tilnefni sérstakt stjórnvald fyrir netvá. Að auki tengist NIS2 öðru regluverki eins og DORA, sem beinist að fjármálageiranum, og CER, sem fjallar um raunlægan viðnámsþrótt mikilvægra innviða (e. critical entities). Markmiðið er að samræma reglur á milli sviða og tryggja að netöryggi sé samofið öðrum öryggismálum. CSA reglugerðin - styrkur í vottun og stöðlum CSA reglugerðin frá 2019 styrkir hlutverk Netöryggisstofnunar ESB (ENISA) og innleiðir evrópskt netöryggisvottunarkerfi. Á grundvelli netöryggisvottunarkerfisins geta fyrirtæki fengið vottunir fyrir upplýsinga- og fjarskiptatæknivörur, -þjónustur og -ferla sem þá uppfylla ákveðnar öryggiskröfur sem gilda á öllum innri markaði ESB. Reglugerðinni er ætlað að auka traust sem og samkeppnishæfni á innri markaði sambandsins. CRA reglugerðin – öruggar vörur og ábyrgð framleiðenda Cyber Resilience Act (CRA), sem tók gildi 2024, tryggir að allar vörur með stafræna eiginleika uppfylli ákveðnar lágmarks netöryggiskröfur. Reglugerðin setur skyldur á framleiðendur, innflytjendur og dreifingaraðila um að tryggja öryggi vörunnar yfir allan lífsferil hennar. Markmið hennar er að skapa samræmdar reglur og vernda bæði fyrirtæki sem og neytendur gegn stafrænum ógnum. Gerðin leikur mikilvægt hlutverk í að auka netöryggi birgjakeðju aðila. CSoA reglugerðin – nýtt skref í samstöðu og sameiginlegum viðbrögðum ríkja Cyber Solidarity Act (CSoA), sem tók gildi árið 2025, miðar að því að efla samstöðu og sameiginleg viðbrögð ríkja við netógnunum. Meðal annars verður komið á fót evrópsku viðvörunarkerfi, neyðarviðbragðshópi og sameiginlegri greiningar- og endurskoðunardeild netatvika. Þátttaka ríkja er valkvæð, en henni fylgja beinir hvatar eins og fjármögnun og ýmiskonar aðstoð. Netöryggisgerðir Evrópusambandsins - Þrátt fyrir að sumar af þessum gerðum nái til sviða sem ekki teljast beinlínis til EES-samningsins, er ljóst að innleiðing og þátttaka Íslands er til hagsbóta. Reglurnar krefjast virkrar samhæfingar og öflugrar stjórnsýslu en fela einnig í sér gríðarleg tækifæri til að efla öryggi, viðnámsþrótt og traust í hinu stafrænu samfélagi. Í heimi þar sem netógnir þekkja engin landamæri, er ljóst að samræmt og öflugt regluverk á borð við netöryggisgerðir Evrópusambandsins er ekki aðeins nauðsyn, heldur grunnforsenda fyrir örugga framtíð samfélagsins sem og innviða Íslands. Höfundur er lögfræðingur hjá Fjarskiptastofnun. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Evrópusambandið Netöryggi Mest lesið Hin dásamlega sturlun: Umræðan á Íslandi Davíð Bergmann Skoðun Við getum öll bjargað lífi Kristófer Kristófersson Skoðun Opið bréf til innviðaráðherra Eyjólfur Þorkelsson Skoðun Fyrir hvern erum við að byggja? Jóhanna Dýrunn Jónsdóttir Skoðun Það er heldur betur vitlaust gefið á Íslandi Jónas Yngvi Ásgrímsson Skoðun Að bjarga þjóð Jón Baldvin Hannibalsson Skoðun „Hristir í stoðum“ RÚV? Hermann Stefánsson Skoðun Að bera harm sinn í hljóði Gunnhildur Ólafsdóttir Skoðun Finnst ykkur þetta í lagi? Opinn pistill til heilbrigðisráðherra, landlæknis og forystu heilbrigðiskerfisins Steindór Þórarinsson Skoðun Tímamót í velferðarmálum: Nýtt örorkulífeyriskerfi tekur gildi Guðmundur Ingi Guðbrandsson Skoðun Skoðun Skoðun 90 milljarða vannýtt útflutningstækifæri Vilhjálmur Hilmarsson skrifar Skoðun Tvær sögur Egill Þ. Einarsson skrifar Skoðun Stærsta kjarabót öryrkja í áratugi Ingjibjörg Isaksen skrifar Skoðun Að bjarga þjóð Jón Baldvin Hannibalsson skrifar Skoðun Háskóli Íslands. Opinn og alþjóðlegur? Styrmir Hallsson,Abdullah Arif skrifar Skoðun Nýtt örorkulífeyriskerfi Inga Sæland skrifar Skoðun Það er heldur betur vitlaust gefið á Íslandi Jónas Yngvi Ásgrímsson skrifar Skoðun Að bera harm sinn í hljóði Gunnhildur Ólafsdóttir skrifar Skoðun Velferð sem virkar Guðrún Hafsteinsdóttir skrifar Skoðun Gleðileg ný fiskveiðiáramót …von eða ótti? Arnar Laxdal skrifar Skoðun „Hristir í stoðum“ RÚV? Hermann Stefánsson skrifar Skoðun Opið bréf til innviðaráðherra Eyjólfur Þorkelsson skrifar Skoðun Hin dásamlega sturlun: Umræðan á Íslandi Davíð Bergmann skrifar Skoðun Áhrif, evran, innviðir, öryggi Magnús Árni Skjöld Magnússon skrifar Skoðun Hugleiðing um rauð epli og skynjun veruleikans Gauti Páll Jónsson skrifar Skoðun Tumi þumall og blaðurmaðurinn Kristján Logason skrifar Skoðun Tímamót í velferðarmálum: Nýtt örorkulífeyriskerfi tekur gildi Guðmundur Ingi Guðbrandsson skrifar Skoðun Stefnum á að veita 1000 börnum innblástur fyrir framtíðina Dr. Bryony Mathew skrifar Skoðun Samgönguáætlun – skuldbinding, ekki kosningaloforð skrifar Skoðun Menntun til framtíðar Bryngeir Valdimarsson skrifar Skoðun Við getum öll bjargað lífi Kristófer Kristófersson skrifar Skoðun Finnst ykkur þetta í lagi? Opinn pistill til heilbrigðisráðherra, landlæknis og forystu heilbrigðiskerfisins Steindór Þórarinsson skrifar Skoðun Menntastefna stjórnvalda – ferð án fyrirheits? Sigvaldi Egill Lárusson skrifar Skoðun Fyrir hvern erum við að byggja? Jóhanna Dýrunn Jónsdóttir skrifar Skoðun Beint og milliliðalaust Jón Steindór Valdimarsson skrifar Skoðun Áfengissala: Þrýstingur úr tveimur áttum Ögmundur Jónasson skrifar Skoðun Hver vill heyra um eitthvað jákvætt sem er gert í skólunum? Rakel Linda Kristjánsdóttir skrifar Skoðun Enn af ferðum Angelu Müller. Eru erlendir ferðamenn afætur? BJarnheiður Hallsdóttir skrifar Skoðun Ég er íslensk – en samt séð sem eitthvað annað Sóley Lóa Smáradóttir skrifar Skoðun Hin yndislega aðlögun Gunnar Hólmsteinn Ársælsson skrifar Sjá meira
Á síðustu árum hefur netöryggi ríkja orðið enn mikilvægara. Með stóraukinni stafrænnri þróun og alþjóðlegum átökum hafa netárásir orðið að hluta af vopnabúri ríkja og samtaka, sem beita tækni til að ná pólitískum, fjárhagslegum og hernaðarlegum markmiðum. Evrópusambandið hefur brugðist við þessari þróun með metnaðarfullu netöryggisregluverki sem miðar að því að styrkja innviði ríkja og bæta samhæfingu í netöryggismálum. Evrópusambandið hefur mætt þessari nýju ógn með m.a. endurskoðun stefna og nýju regluverki sem vinna saman að því að skapa öruggara og viðnámsþolnara stafrænt samfélag. Fimm lykilgerðir hafa mótað nútímalegt netöryggisumhverfi ESB en það eru: Tilskipun (ESB) nr. 2016/1148 (e. Directive on security of network and information systems, hér eftir NIS1) Reglugerð (ESB) nr. 2019/881 (e. Cybersecurity Act, hér eftir CSA) Tilskipun (ESB) nr. 2022/2555 (e. Directive on measures for a high common level of cybersecurity across the Union, hér eftir NIS2) Reglugerð (ESB) nr. 2024/2847 (e. Cyber Resiliance Act,hér eftir CRA) Reglugerð (ESB) nr. 2025/38 (e. Cyber Solidarity Act, hér eftir CSoA) NIS1 tilskipunin – fyrsta samræmda netöryggisregluverkið er gildir þvert á atvinnulífið Fyrsta tilskipunin, NIS1, kom árið 2016 og markaði upphaf formlegrar heildar stefnumótunar ESB í netöryggismálum þvert á atvinnulífið. Hún lagði grunn að samræmdum kröfum til mikilvægra innviða, þ.e. rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu. NIS1 kom einnig með kröfur um sérstök viðbragðsteymi vegna váatvika er varða tölvuöryggi ríkja (e. CSIRT), og tilkynningarskyldu vegna netatvika. NIS2 tilskipunin – aukið netöryggistig aðildarríkja og samhæfing Uppfærða útgáfan, NIS2, tók gildi árið 2024 og eykur kröfur til fyrirtækja og stjórnvalda verulega. NIS2 stækkar umfang tilskipunarinnar, krefst skýrari ábyrgðar og leggur aukna áherslu á samræmingu og upplýsingaflæði. Áhersla er lögð á að tryggja öryggi í aðfangakeðjum og bæta samvinnu milli ríkja, stofnana og netöryggisveita. Þá kveður tilskipunin á um að ríki útbúi landsbundnar viðbragðsáætlanir og tilnefni sérstakt stjórnvald fyrir netvá. Að auki tengist NIS2 öðru regluverki eins og DORA, sem beinist að fjármálageiranum, og CER, sem fjallar um raunlægan viðnámsþrótt mikilvægra innviða (e. critical entities). Markmiðið er að samræma reglur á milli sviða og tryggja að netöryggi sé samofið öðrum öryggismálum. CSA reglugerðin - styrkur í vottun og stöðlum CSA reglugerðin frá 2019 styrkir hlutverk Netöryggisstofnunar ESB (ENISA) og innleiðir evrópskt netöryggisvottunarkerfi. Á grundvelli netöryggisvottunarkerfisins geta fyrirtæki fengið vottunir fyrir upplýsinga- og fjarskiptatæknivörur, -þjónustur og -ferla sem þá uppfylla ákveðnar öryggiskröfur sem gilda á öllum innri markaði ESB. Reglugerðinni er ætlað að auka traust sem og samkeppnishæfni á innri markaði sambandsins. CRA reglugerðin – öruggar vörur og ábyrgð framleiðenda Cyber Resilience Act (CRA), sem tók gildi 2024, tryggir að allar vörur með stafræna eiginleika uppfylli ákveðnar lágmarks netöryggiskröfur. Reglugerðin setur skyldur á framleiðendur, innflytjendur og dreifingaraðila um að tryggja öryggi vörunnar yfir allan lífsferil hennar. Markmið hennar er að skapa samræmdar reglur og vernda bæði fyrirtæki sem og neytendur gegn stafrænum ógnum. Gerðin leikur mikilvægt hlutverk í að auka netöryggi birgjakeðju aðila. CSoA reglugerðin – nýtt skref í samstöðu og sameiginlegum viðbrögðum ríkja Cyber Solidarity Act (CSoA), sem tók gildi árið 2025, miðar að því að efla samstöðu og sameiginleg viðbrögð ríkja við netógnunum. Meðal annars verður komið á fót evrópsku viðvörunarkerfi, neyðarviðbragðshópi og sameiginlegri greiningar- og endurskoðunardeild netatvika. Þátttaka ríkja er valkvæð, en henni fylgja beinir hvatar eins og fjármögnun og ýmiskonar aðstoð. Netöryggisgerðir Evrópusambandsins - Þrátt fyrir að sumar af þessum gerðum nái til sviða sem ekki teljast beinlínis til EES-samningsins, er ljóst að innleiðing og þátttaka Íslands er til hagsbóta. Reglurnar krefjast virkrar samhæfingar og öflugrar stjórnsýslu en fela einnig í sér gríðarleg tækifæri til að efla öryggi, viðnámsþrótt og traust í hinu stafrænu samfélagi. Í heimi þar sem netógnir þekkja engin landamæri, er ljóst að samræmt og öflugt regluverk á borð við netöryggisgerðir Evrópusambandsins er ekki aðeins nauðsyn, heldur grunnforsenda fyrir örugga framtíð samfélagsins sem og innviða Íslands. Höfundur er lögfræðingur hjá Fjarskiptastofnun.
Finnst ykkur þetta í lagi? Opinn pistill til heilbrigðisráðherra, landlæknis og forystu heilbrigðiskerfisins Steindór Þórarinsson Skoðun
Tímamót í velferðarmálum: Nýtt örorkulífeyriskerfi tekur gildi Guðmundur Ingi Guðbrandsson Skoðun
Skoðun Tímamót í velferðarmálum: Nýtt örorkulífeyriskerfi tekur gildi Guðmundur Ingi Guðbrandsson skrifar
Skoðun Finnst ykkur þetta í lagi? Opinn pistill til heilbrigðisráðherra, landlæknis og forystu heilbrigðiskerfisins Steindór Þórarinsson skrifar
Skoðun Hver vill heyra um eitthvað jákvætt sem er gert í skólunum? Rakel Linda Kristjánsdóttir skrifar
Skoðun Enn af ferðum Angelu Müller. Eru erlendir ferðamenn afætur? BJarnheiður Hallsdóttir skrifar
Finnst ykkur þetta í lagi? Opinn pistill til heilbrigðisráðherra, landlæknis og forystu heilbrigðiskerfisins Steindór Þórarinsson Skoðun
Tímamót í velferðarmálum: Nýtt örorkulífeyriskerfi tekur gildi Guðmundur Ingi Guðbrandsson Skoðun