Evrópusambandið eykur varnir gegn netógnum með öflugu regluverki Þórdís Rafnsdóttir skrifar 29. ágúst 2025 06:02 Á síðustu árum hefur netöryggi ríkja orðið enn mikilvægara. Með stóraukinni stafrænnri þróun og alþjóðlegum átökum hafa netárásir orðið að hluta af vopnabúri ríkja og samtaka, sem beita tækni til að ná pólitískum, fjárhagslegum og hernaðarlegum markmiðum. Evrópusambandið hefur brugðist við þessari þróun með metnaðarfullu netöryggisregluverki sem miðar að því að styrkja innviði ríkja og bæta samhæfingu í netöryggismálum. Evrópusambandið hefur mætt þessari nýju ógn með m.a. endurskoðun stefna og nýju regluverki sem vinna saman að því að skapa öruggara og viðnámsþolnara stafrænt samfélag. Fimm lykilgerðir hafa mótað nútímalegt netöryggisumhverfi ESB en það eru: Tilskipun (ESB) nr. 2016/1148 (e. Directive on security of network and information systems, hér eftir NIS1) Reglugerð (ESB) nr. 2019/881 (e. Cybersecurity Act, hér eftir CSA) Tilskipun (ESB) nr. 2022/2555 (e. Directive on measures for a high common level of cybersecurity across the Union, hér eftir NIS2) Reglugerð (ESB) nr. 2024/2847 (e. Cyber Resiliance Act,hér eftir CRA) Reglugerð (ESB) nr. 2025/38 (e. Cyber Solidarity Act, hér eftir CSoA) NIS1 tilskipunin – fyrsta samræmda netöryggisregluverkið er gildir þvert á atvinnulífið Fyrsta tilskipunin, NIS1, kom árið 2016 og markaði upphaf formlegrar heildar stefnumótunar ESB í netöryggismálum þvert á atvinnulífið. Hún lagði grunn að samræmdum kröfum til mikilvægra innviða, þ.e. rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu. NIS1 kom einnig með kröfur um sérstök viðbragðsteymi vegna váatvika er varða tölvuöryggi ríkja (e. CSIRT), og tilkynningarskyldu vegna netatvika. NIS2 tilskipunin – aukið netöryggistig aðildarríkja og samhæfing Uppfærða útgáfan, NIS2, tók gildi árið 2024 og eykur kröfur til fyrirtækja og stjórnvalda verulega. NIS2 stækkar umfang tilskipunarinnar, krefst skýrari ábyrgðar og leggur aukna áherslu á samræmingu og upplýsingaflæði. Áhersla er lögð á að tryggja öryggi í aðfangakeðjum og bæta samvinnu milli ríkja, stofnana og netöryggisveita. Þá kveður tilskipunin á um að ríki útbúi landsbundnar viðbragðsáætlanir og tilnefni sérstakt stjórnvald fyrir netvá. Að auki tengist NIS2 öðru regluverki eins og DORA, sem beinist að fjármálageiranum, og CER, sem fjallar um raunlægan viðnámsþrótt mikilvægra innviða (e. critical entities). Markmiðið er að samræma reglur á milli sviða og tryggja að netöryggi sé samofið öðrum öryggismálum. CSA reglugerðin - styrkur í vottun og stöðlum CSA reglugerðin frá 2019 styrkir hlutverk Netöryggisstofnunar ESB (ENISA) og innleiðir evrópskt netöryggisvottunarkerfi. Á grundvelli netöryggisvottunarkerfisins geta fyrirtæki fengið vottunir fyrir upplýsinga- og fjarskiptatæknivörur, -þjónustur og -ferla sem þá uppfylla ákveðnar öryggiskröfur sem gilda á öllum innri markaði ESB. Reglugerðinni er ætlað að auka traust sem og samkeppnishæfni á innri markaði sambandsins. CRA reglugerðin – öruggar vörur og ábyrgð framleiðenda Cyber Resilience Act (CRA), sem tók gildi 2024, tryggir að allar vörur með stafræna eiginleika uppfylli ákveðnar lágmarks netöryggiskröfur. Reglugerðin setur skyldur á framleiðendur, innflytjendur og dreifingaraðila um að tryggja öryggi vörunnar yfir allan lífsferil hennar. Markmið hennar er að skapa samræmdar reglur og vernda bæði fyrirtæki sem og neytendur gegn stafrænum ógnum. Gerðin leikur mikilvægt hlutverk í að auka netöryggi birgjakeðju aðila. CSoA reglugerðin – nýtt skref í samstöðu og sameiginlegum viðbrögðum ríkja Cyber Solidarity Act (CSoA), sem tók gildi árið 2025, miðar að því að efla samstöðu og sameiginleg viðbrögð ríkja við netógnunum. Meðal annars verður komið á fót evrópsku viðvörunarkerfi, neyðarviðbragðshópi og sameiginlegri greiningar- og endurskoðunardeild netatvika. Þátttaka ríkja er valkvæð, en henni fylgja beinir hvatar eins og fjármögnun og ýmiskonar aðstoð. Netöryggisgerðir Evrópusambandsins - Þrátt fyrir að sumar af þessum gerðum nái til sviða sem ekki teljast beinlínis til EES-samningsins, er ljóst að innleiðing og þátttaka Íslands er til hagsbóta. Reglurnar krefjast virkrar samhæfingar og öflugrar stjórnsýslu en fela einnig í sér gríðarleg tækifæri til að efla öryggi, viðnámsþrótt og traust í hinu stafrænu samfélagi. Í heimi þar sem netógnir þekkja engin landamæri, er ljóst að samræmt og öflugt regluverk á borð við netöryggisgerðir Evrópusambandsins er ekki aðeins nauðsyn, heldur grunnforsenda fyrir örugga framtíð samfélagsins sem og innviða Íslands. Höfundur er lögfræðingur hjá Fjarskiptastofnun. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Evrópusambandið Netöryggi Mest lesið Manneklan er víða Brynhildur Bolladóttir Skoðun Suður-Íslendinga sögurnar Hans Birgisson Skoðun Hættulegustu tækin í umferðinni Eva Hauksdóttir Skoðun Hækka launin þín þegar fasteignamatið á íbúðinni þinni hækkar? Daði Freyr Ólafsson Skoðun Framtíðarskipulag Keldnalands er ekki útópía – og þaðan af síður dystópía Birkir Ingibjartsson Skoðun Hvað myndi Sesselja segja? Hallbjörn V. Fríðhólm Skoðun Þegar sannleikurinn verður fórnarlamb Davíð Bergmann Skoðun Velkomin til Helvítis Guðný Gústafsdóttir Skoðun Hafrannsóknastofnun leggur til 95 prósent samdrátt í sjókvíaeldi á laxi Jón Kaldal Skoðun Hvað mun Pútín gera næst með því að ögra samstöðu NATO?: Rússnesk innrás í lofthelgi NATO og hlutverk Íslands í öryggi bandalagsins Jun Þór Morikawa Skoðun Skoðun Skoðun Hættulegustu tækin í umferðinni Eva Hauksdóttir skrifar Skoðun Hvað myndi Sesselja segja? Hallbjörn V. Fríðhólm skrifar Skoðun Vaxtastefna Seðlabankans – á kostnað launafólks Hilmar Harðarson skrifar Skoðun Suður-Íslendinga sögurnar Hans Birgisson skrifar Skoðun Íhlutun Bandaríkjanna í Venesúela: Auðlindaránið í heimsvaldastefnunni og hræsnin í „stríðinu gegn fíkniefnum“ Sæþór Benjamín Randalsson skrifar Skoðun Stöndum vörð um tónlistarmenntun barna og ungmenna – opið bréf til borgarstjóra Sigrún Grendal skrifar Skoðun Hafrannsóknastofnun leggur til 95 prósent samdrátt í sjókvíaeldi á laxi Jón Kaldal skrifar Skoðun Velkomin til Helvítis Guðný Gústafsdóttir skrifar Skoðun Olíuleit við Ísland? Hallgrímur Óskarsson skrifar Skoðun Hækka launin þín þegar fasteignamatið á íbúðinni þinni hækkar? Daði Freyr Ólafsson skrifar Skoðun Hvað mun Pútín gera næst með því að ögra samstöðu NATO?: Rússnesk innrás í lofthelgi NATO og hlutverk Íslands í öryggi bandalagsins Jun Þór Morikawa skrifar Skoðun Manneklan er víða Brynhildur Bolladóttir skrifar Skoðun Sótt að hagsmunum atvinnulausra Steinar Harðarson skrifar Skoðun Framtíðarskipulag Keldnalands er ekki útópía – og þaðan af síður dystópía Birkir Ingibjartsson skrifar Skoðun Launamunur kynjanna eykst – Hvar liggur ábyrgðin? Kolbrún Halldórsdóttir skrifar Skoðun Þegar sannleikurinn verður fórnarlamb Davíð Bergmann skrifar Skoðun Gefum íslensku séns – að tala íslensku við alla Halla Signý Kristjánsdóttir skrifar Skoðun Réttnefni: Viðbragð við upplýsingaóreiðu Jón Þór Sigurðsson skrifar Skoðun Farsæl framfaraskref á Sólheimum Sigurjón Örn Þórsson skrifar Skoðun Austurland – þrælanýlenda Íslands Björn Ármann Ólafsson skrifar Skoðun Gervigreindin stöðluð - öryggisins vegna Hanna Kristín Skaftadóttir,Helga Sigrún Harðardóttir skrifar Skoðun Frelsi, framtíð og vistvænar samgöngur: Hvers vegna Ísland þarf að hugsa stærra Sigurborg Ósk Haraldsdóttir skrifar Skoðun Atvinnustefna er alvöru mál Jóhannes Þór Skúlason skrifar Skoðun 1984 og Hunger Games á sama sviðinu Sigríður Svanborgardóttir skrifar Skoðun Mikilvægi aukinnar verndunar hafsvæða og leiðrétting Hrönn Egilsdóttir skrifar Skoðun Betri leið til einföldunar regluverks Pétur Halldórsson skrifar Skoðun Af Millet-úlpum og öldrunarmálum Þröstur V. Söring skrifar Skoðun Charlie og sjúkleikaverksmiðjan Guðjón Eggert Agnarsson skrifar Skoðun Nú þarf bæði sleggju og vélsög Trausti Hjálmarsson,Ólafur Stephensen skrifar Skoðun Nútímaviðskipti og lögin sem gleymdist að uppfæra Fróði Steingrímsson skrifar Sjá meira
Á síðustu árum hefur netöryggi ríkja orðið enn mikilvægara. Með stóraukinni stafrænnri þróun og alþjóðlegum átökum hafa netárásir orðið að hluta af vopnabúri ríkja og samtaka, sem beita tækni til að ná pólitískum, fjárhagslegum og hernaðarlegum markmiðum. Evrópusambandið hefur brugðist við þessari þróun með metnaðarfullu netöryggisregluverki sem miðar að því að styrkja innviði ríkja og bæta samhæfingu í netöryggismálum. Evrópusambandið hefur mætt þessari nýju ógn með m.a. endurskoðun stefna og nýju regluverki sem vinna saman að því að skapa öruggara og viðnámsþolnara stafrænt samfélag. Fimm lykilgerðir hafa mótað nútímalegt netöryggisumhverfi ESB en það eru: Tilskipun (ESB) nr. 2016/1148 (e. Directive on security of network and information systems, hér eftir NIS1) Reglugerð (ESB) nr. 2019/881 (e. Cybersecurity Act, hér eftir CSA) Tilskipun (ESB) nr. 2022/2555 (e. Directive on measures for a high common level of cybersecurity across the Union, hér eftir NIS2) Reglugerð (ESB) nr. 2024/2847 (e. Cyber Resiliance Act,hér eftir CRA) Reglugerð (ESB) nr. 2025/38 (e. Cyber Solidarity Act, hér eftir CSoA) NIS1 tilskipunin – fyrsta samræmda netöryggisregluverkið er gildir þvert á atvinnulífið Fyrsta tilskipunin, NIS1, kom árið 2016 og markaði upphaf formlegrar heildar stefnumótunar ESB í netöryggismálum þvert á atvinnulífið. Hún lagði grunn að samræmdum kröfum til mikilvægra innviða, þ.e. rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu. NIS1 kom einnig með kröfur um sérstök viðbragðsteymi vegna váatvika er varða tölvuöryggi ríkja (e. CSIRT), og tilkynningarskyldu vegna netatvika. NIS2 tilskipunin – aukið netöryggistig aðildarríkja og samhæfing Uppfærða útgáfan, NIS2, tók gildi árið 2024 og eykur kröfur til fyrirtækja og stjórnvalda verulega. NIS2 stækkar umfang tilskipunarinnar, krefst skýrari ábyrgðar og leggur aukna áherslu á samræmingu og upplýsingaflæði. Áhersla er lögð á að tryggja öryggi í aðfangakeðjum og bæta samvinnu milli ríkja, stofnana og netöryggisveita. Þá kveður tilskipunin á um að ríki útbúi landsbundnar viðbragðsáætlanir og tilnefni sérstakt stjórnvald fyrir netvá. Að auki tengist NIS2 öðru regluverki eins og DORA, sem beinist að fjármálageiranum, og CER, sem fjallar um raunlægan viðnámsþrótt mikilvægra innviða (e. critical entities). Markmiðið er að samræma reglur á milli sviða og tryggja að netöryggi sé samofið öðrum öryggismálum. CSA reglugerðin - styrkur í vottun og stöðlum CSA reglugerðin frá 2019 styrkir hlutverk Netöryggisstofnunar ESB (ENISA) og innleiðir evrópskt netöryggisvottunarkerfi. Á grundvelli netöryggisvottunarkerfisins geta fyrirtæki fengið vottunir fyrir upplýsinga- og fjarskiptatæknivörur, -þjónustur og -ferla sem þá uppfylla ákveðnar öryggiskröfur sem gilda á öllum innri markaði ESB. Reglugerðinni er ætlað að auka traust sem og samkeppnishæfni á innri markaði sambandsins. CRA reglugerðin – öruggar vörur og ábyrgð framleiðenda Cyber Resilience Act (CRA), sem tók gildi 2024, tryggir að allar vörur með stafræna eiginleika uppfylli ákveðnar lágmarks netöryggiskröfur. Reglugerðin setur skyldur á framleiðendur, innflytjendur og dreifingaraðila um að tryggja öryggi vörunnar yfir allan lífsferil hennar. Markmið hennar er að skapa samræmdar reglur og vernda bæði fyrirtæki sem og neytendur gegn stafrænum ógnum. Gerðin leikur mikilvægt hlutverk í að auka netöryggi birgjakeðju aðila. CSoA reglugerðin – nýtt skref í samstöðu og sameiginlegum viðbrögðum ríkja Cyber Solidarity Act (CSoA), sem tók gildi árið 2025, miðar að því að efla samstöðu og sameiginleg viðbrögð ríkja við netógnunum. Meðal annars verður komið á fót evrópsku viðvörunarkerfi, neyðarviðbragðshópi og sameiginlegri greiningar- og endurskoðunardeild netatvika. Þátttaka ríkja er valkvæð, en henni fylgja beinir hvatar eins og fjármögnun og ýmiskonar aðstoð. Netöryggisgerðir Evrópusambandsins - Þrátt fyrir að sumar af þessum gerðum nái til sviða sem ekki teljast beinlínis til EES-samningsins, er ljóst að innleiðing og þátttaka Íslands er til hagsbóta. Reglurnar krefjast virkrar samhæfingar og öflugrar stjórnsýslu en fela einnig í sér gríðarleg tækifæri til að efla öryggi, viðnámsþrótt og traust í hinu stafrænu samfélagi. Í heimi þar sem netógnir þekkja engin landamæri, er ljóst að samræmt og öflugt regluverk á borð við netöryggisgerðir Evrópusambandsins er ekki aðeins nauðsyn, heldur grunnforsenda fyrir örugga framtíð samfélagsins sem og innviða Íslands. Höfundur er lögfræðingur hjá Fjarskiptastofnun.
Framtíðarskipulag Keldnalands er ekki útópía – og þaðan af síður dystópía Birkir Ingibjartsson Skoðun
Hvað mun Pútín gera næst með því að ögra samstöðu NATO?: Rússnesk innrás í lofthelgi NATO og hlutverk Íslands í öryggi bandalagsins Jun Þór Morikawa Skoðun
Skoðun Íhlutun Bandaríkjanna í Venesúela: Auðlindaránið í heimsvaldastefnunni og hræsnin í „stríðinu gegn fíkniefnum“ Sæþór Benjamín Randalsson skrifar
Skoðun Stöndum vörð um tónlistarmenntun barna og ungmenna – opið bréf til borgarstjóra Sigrún Grendal skrifar
Skoðun Hafrannsóknastofnun leggur til 95 prósent samdrátt í sjókvíaeldi á laxi Jón Kaldal skrifar
Skoðun Hvað mun Pútín gera næst með því að ögra samstöðu NATO?: Rússnesk innrás í lofthelgi NATO og hlutverk Íslands í öryggi bandalagsins Jun Þór Morikawa skrifar
Skoðun Framtíðarskipulag Keldnalands er ekki útópía – og þaðan af síður dystópía Birkir Ingibjartsson skrifar
Skoðun Gervigreindin stöðluð - öryggisins vegna Hanna Kristín Skaftadóttir,Helga Sigrún Harðardóttir skrifar
Skoðun Frelsi, framtíð og vistvænar samgöngur: Hvers vegna Ísland þarf að hugsa stærra Sigurborg Ósk Haraldsdóttir skrifar
Framtíðarskipulag Keldnalands er ekki útópía – og þaðan af síður dystópía Birkir Ingibjartsson Skoðun
Hvað mun Pútín gera næst með því að ögra samstöðu NATO?: Rússnesk innrás í lofthelgi NATO og hlutverk Íslands í öryggi bandalagsins Jun Þór Morikawa Skoðun