Evrópusambandið eykur varnir gegn netógnum með öflugu regluverki Þórdís Rafnsdóttir skrifar 29. ágúst 2025 06:02 Á síðustu árum hefur netöryggi ríkja orðið enn mikilvægara. Með stóraukinni stafrænnri þróun og alþjóðlegum átökum hafa netárásir orðið að hluta af vopnabúri ríkja og samtaka, sem beita tækni til að ná pólitískum, fjárhagslegum og hernaðarlegum markmiðum. Evrópusambandið hefur brugðist við þessari þróun með metnaðarfullu netöryggisregluverki sem miðar að því að styrkja innviði ríkja og bæta samhæfingu í netöryggismálum. Evrópusambandið hefur mætt þessari nýju ógn með m.a. endurskoðun stefna og nýju regluverki sem vinna saman að því að skapa öruggara og viðnámsþolnara stafrænt samfélag. Fimm lykilgerðir hafa mótað nútímalegt netöryggisumhverfi ESB en það eru: Tilskipun (ESB) nr. 2016/1148 (e. Directive on security of network and information systems, hér eftir NIS1) Reglugerð (ESB) nr. 2019/881 (e. Cybersecurity Act, hér eftir CSA) Tilskipun (ESB) nr. 2022/2555 (e. Directive on measures for a high common level of cybersecurity across the Union, hér eftir NIS2) Reglugerð (ESB) nr. 2024/2847 (e. Cyber Resiliance Act,hér eftir CRA) Reglugerð (ESB) nr. 2025/38 (e. Cyber Solidarity Act, hér eftir CSoA) NIS1 tilskipunin – fyrsta samræmda netöryggisregluverkið er gildir þvert á atvinnulífið Fyrsta tilskipunin, NIS1, kom árið 2016 og markaði upphaf formlegrar heildar stefnumótunar ESB í netöryggismálum þvert á atvinnulífið. Hún lagði grunn að samræmdum kröfum til mikilvægra innviða, þ.e. rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu. NIS1 kom einnig með kröfur um sérstök viðbragðsteymi vegna váatvika er varða tölvuöryggi ríkja (e. CSIRT), og tilkynningarskyldu vegna netatvika. NIS2 tilskipunin – aukið netöryggistig aðildarríkja og samhæfing Uppfærða útgáfan, NIS2, tók gildi árið 2024 og eykur kröfur til fyrirtækja og stjórnvalda verulega. NIS2 stækkar umfang tilskipunarinnar, krefst skýrari ábyrgðar og leggur aukna áherslu á samræmingu og upplýsingaflæði. Áhersla er lögð á að tryggja öryggi í aðfangakeðjum og bæta samvinnu milli ríkja, stofnana og netöryggisveita. Þá kveður tilskipunin á um að ríki útbúi landsbundnar viðbragðsáætlanir og tilnefni sérstakt stjórnvald fyrir netvá. Að auki tengist NIS2 öðru regluverki eins og DORA, sem beinist að fjármálageiranum, og CER, sem fjallar um raunlægan viðnámsþrótt mikilvægra innviða (e. critical entities). Markmiðið er að samræma reglur á milli sviða og tryggja að netöryggi sé samofið öðrum öryggismálum. CSA reglugerðin - styrkur í vottun og stöðlum CSA reglugerðin frá 2019 styrkir hlutverk Netöryggisstofnunar ESB (ENISA) og innleiðir evrópskt netöryggisvottunarkerfi. Á grundvelli netöryggisvottunarkerfisins geta fyrirtæki fengið vottunir fyrir upplýsinga- og fjarskiptatæknivörur, -þjónustur og -ferla sem þá uppfylla ákveðnar öryggiskröfur sem gilda á öllum innri markaði ESB. Reglugerðinni er ætlað að auka traust sem og samkeppnishæfni á innri markaði sambandsins. CRA reglugerðin – öruggar vörur og ábyrgð framleiðenda Cyber Resilience Act (CRA), sem tók gildi 2024, tryggir að allar vörur með stafræna eiginleika uppfylli ákveðnar lágmarks netöryggiskröfur. Reglugerðin setur skyldur á framleiðendur, innflytjendur og dreifingaraðila um að tryggja öryggi vörunnar yfir allan lífsferil hennar. Markmið hennar er að skapa samræmdar reglur og vernda bæði fyrirtæki sem og neytendur gegn stafrænum ógnum. Gerðin leikur mikilvægt hlutverk í að auka netöryggi birgjakeðju aðila. CSoA reglugerðin – nýtt skref í samstöðu og sameiginlegum viðbrögðum ríkja Cyber Solidarity Act (CSoA), sem tók gildi árið 2025, miðar að því að efla samstöðu og sameiginleg viðbrögð ríkja við netógnunum. Meðal annars verður komið á fót evrópsku viðvörunarkerfi, neyðarviðbragðshópi og sameiginlegri greiningar- og endurskoðunardeild netatvika. Þátttaka ríkja er valkvæð, en henni fylgja beinir hvatar eins og fjármögnun og ýmiskonar aðstoð. Netöryggisgerðir Evrópusambandsins - Þrátt fyrir að sumar af þessum gerðum nái til sviða sem ekki teljast beinlínis til EES-samningsins, er ljóst að innleiðing og þátttaka Íslands er til hagsbóta. Reglurnar krefjast virkrar samhæfingar og öflugrar stjórnsýslu en fela einnig í sér gríðarleg tækifæri til að efla öryggi, viðnámsþrótt og traust í hinu stafrænu samfélagi. Í heimi þar sem netógnir þekkja engin landamæri, er ljóst að samræmt og öflugt regluverk á borð við netöryggisgerðir Evrópusambandsins er ekki aðeins nauðsyn, heldur grunnforsenda fyrir örugga framtíð samfélagsins sem og innviða Íslands. Höfundur er lögfræðingur hjá Fjarskiptastofnun. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Evrópusambandið Netöryggi Mest lesið Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson Skoðun Evrópusambandið og fiskveiðar Finnur Torfi Magnússon. Skoðun Hlutdrægni RÚV í ESB umræðunni Birgir Finnsson Skoðun Hvað sér unga fólkið sem ég sé ekki? Gunnar Salvarsson Skoðun Iðumálið frá upphafi frá sjónarhóli Stóru-Laxárdeildar Esther Guðjónsdótti Skoðun Óttinn sem gerir fólk leiðitamt og þörfin að tilheyra Helga Þórólfsdóttir Skoðun Stóra spurningin um íslenskt fiskeldi Björn Hembre,Daníel Jakobsson,Vidar Aspehaug Skoðun Bíddu! Erum við ekki að kjósa um það sama? Yngvi Ómar Sigrúnarson Skoðun Gögnin á borðið Steindór Þórarinsson Skoðun Ég hélt að ég vissi hvað fullveldi væri Hilmar Kristinsson Skoðun Skoðun Skoðun Hvað sér unga fólkið sem ég sé ekki? Gunnar Salvarsson skrifar Skoðun Hlutdrægni RÚV í ESB umræðunni Birgir Finnsson skrifar Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson skrifar Skoðun Evrópusambandið og fiskveiðar Finnur Torfi Magnússon. skrifar Skoðun Það er alltaf til byssa. Vertu blómið! Guðmunda G. Guðmundsdóttir skrifar Skoðun „Hagræðingar” í Reykjanesbæ Halldóra Fríða Þorvaldssdóttir,Guðný Birna Guðmundsdóttir skrifar Skoðun Óttinn sem gerir fólk leiðitamt og þörfin að tilheyra Helga Þórólfsdóttir skrifar Skoðun Tennur og tryggingar Guðjón Sigurbjartsson skrifar Skoðun Iðumálið frá upphafi frá sjónarhóli Stóru-Laxárdeildar Esther Guðjónsdótti skrifar Skoðun Íslenska fánann á ekki að nota til skemmdarverka Ugla Stefanía Kristjönudóttir Jónsdóttir skrifar Skoðun Stóra spurningin um íslenskt fiskeldi Björn Hembre,Daníel Jakobsson,Vidar Aspehaug skrifar Skoðun Bíddu! Erum við ekki að kjósa um það sama? Yngvi Ómar Sigrúnarson skrifar Skoðun Hver stjórnar ríkisstjórn Kristrúnar Frostadóttur? Júlíus Valsson skrifar Skoðun Vantar okkur líka lesefni sem börn hafa áhuga á að velja sjálf? Birgir Hrafn Birgisson skrifar Skoðun Verum góð við hvort annað Eva Pandora Baldursdóttir skrifar Skoðun Ég hélt að ég vissi hvað fullveldi væri Hilmar Kristinsson skrifar Skoðun Umburðarlyndið sem geltir Sveinn Kristjánsson skrifar Skoðun Börn fá aðeins eina bernsku Hólmfríður Jennýjar Árnadóttir skrifar Skoðun Gögnin á borðið Steindór Þórarinsson skrifar Skoðun Röng spurning í réttri umræðu Hjálmar Bogi Hafliðason skrifar Skoðun Vönduð hönnun er ábyrg uppbygging Björg Torfadóttir skrifar Skoðun Markaðsverð raforku í áttfalt heimilisverð Símon Einarsson skrifar Skoðun Aukin gjaldtaka vinnur gegn dreifingu ferðamanna Sara Sigmundsdóttir skrifar Skoðun Svíkjum ekki gerða samninga Bragi Bjarnason skrifar Skoðun Danir ætla að verja Grænland Arnór Sigurjónsson skrifar Skoðun Já eða nei? Kosningar 29. ágúst 2026 Grétar H. Óskarsson skrifar Skoðun Þegar innviðaskuldin gjaldfellir samfélagssáttmálann Sigurður Sigurðsson skrifar Skoðun Ekki sjá eftir atkvæðinu þínu! Arnar Steinn Þórarinsson skrifar Skoðun Símafriður er kominn til að vera og það er fagnaðarefni Atli Þór Jóhannsson,Hermann Arnar Austmar,Dagný Hróbjartsdóttir,Héðinn Svarfdal Björnsson,Karen Kristine Pye,Kristófer Nökkvi Sigurðsson,Kristín Ólöf Grétarsdóttir,Salka Hauksdóttir,Sigvaldi Egill Lárusson,Stefán Þór Helgason,Stefán Karl Snorrason skrifar Skoðun Er sanngjarnt að almenningssamgöngur á landsbyggðinni séu skertar? Halla Hrund Logadóttir skrifar Sjá meira
Á síðustu árum hefur netöryggi ríkja orðið enn mikilvægara. Með stóraukinni stafrænnri þróun og alþjóðlegum átökum hafa netárásir orðið að hluta af vopnabúri ríkja og samtaka, sem beita tækni til að ná pólitískum, fjárhagslegum og hernaðarlegum markmiðum. Evrópusambandið hefur brugðist við þessari þróun með metnaðarfullu netöryggisregluverki sem miðar að því að styrkja innviði ríkja og bæta samhæfingu í netöryggismálum. Evrópusambandið hefur mætt þessari nýju ógn með m.a. endurskoðun stefna og nýju regluverki sem vinna saman að því að skapa öruggara og viðnámsþolnara stafrænt samfélag. Fimm lykilgerðir hafa mótað nútímalegt netöryggisumhverfi ESB en það eru: Tilskipun (ESB) nr. 2016/1148 (e. Directive on security of network and information systems, hér eftir NIS1) Reglugerð (ESB) nr. 2019/881 (e. Cybersecurity Act, hér eftir CSA) Tilskipun (ESB) nr. 2022/2555 (e. Directive on measures for a high common level of cybersecurity across the Union, hér eftir NIS2) Reglugerð (ESB) nr. 2024/2847 (e. Cyber Resiliance Act,hér eftir CRA) Reglugerð (ESB) nr. 2025/38 (e. Cyber Solidarity Act, hér eftir CSoA) NIS1 tilskipunin – fyrsta samræmda netöryggisregluverkið er gildir þvert á atvinnulífið Fyrsta tilskipunin, NIS1, kom árið 2016 og markaði upphaf formlegrar heildar stefnumótunar ESB í netöryggismálum þvert á atvinnulífið. Hún lagði grunn að samræmdum kröfum til mikilvægra innviða, þ.e. rekstraraðilar nauðsynlegrar þjónustu og veitendur stafrænnar þjónustu. NIS1 kom einnig með kröfur um sérstök viðbragðsteymi vegna váatvika er varða tölvuöryggi ríkja (e. CSIRT), og tilkynningarskyldu vegna netatvika. NIS2 tilskipunin – aukið netöryggistig aðildarríkja og samhæfing Uppfærða útgáfan, NIS2, tók gildi árið 2024 og eykur kröfur til fyrirtækja og stjórnvalda verulega. NIS2 stækkar umfang tilskipunarinnar, krefst skýrari ábyrgðar og leggur aukna áherslu á samræmingu og upplýsingaflæði. Áhersla er lögð á að tryggja öryggi í aðfangakeðjum og bæta samvinnu milli ríkja, stofnana og netöryggisveita. Þá kveður tilskipunin á um að ríki útbúi landsbundnar viðbragðsáætlanir og tilnefni sérstakt stjórnvald fyrir netvá. Að auki tengist NIS2 öðru regluverki eins og DORA, sem beinist að fjármálageiranum, og CER, sem fjallar um raunlægan viðnámsþrótt mikilvægra innviða (e. critical entities). Markmiðið er að samræma reglur á milli sviða og tryggja að netöryggi sé samofið öðrum öryggismálum. CSA reglugerðin - styrkur í vottun og stöðlum CSA reglugerðin frá 2019 styrkir hlutverk Netöryggisstofnunar ESB (ENISA) og innleiðir evrópskt netöryggisvottunarkerfi. Á grundvelli netöryggisvottunarkerfisins geta fyrirtæki fengið vottunir fyrir upplýsinga- og fjarskiptatæknivörur, -þjónustur og -ferla sem þá uppfylla ákveðnar öryggiskröfur sem gilda á öllum innri markaði ESB. Reglugerðinni er ætlað að auka traust sem og samkeppnishæfni á innri markaði sambandsins. CRA reglugerðin – öruggar vörur og ábyrgð framleiðenda Cyber Resilience Act (CRA), sem tók gildi 2024, tryggir að allar vörur með stafræna eiginleika uppfylli ákveðnar lágmarks netöryggiskröfur. Reglugerðin setur skyldur á framleiðendur, innflytjendur og dreifingaraðila um að tryggja öryggi vörunnar yfir allan lífsferil hennar. Markmið hennar er að skapa samræmdar reglur og vernda bæði fyrirtæki sem og neytendur gegn stafrænum ógnum. Gerðin leikur mikilvægt hlutverk í að auka netöryggi birgjakeðju aðila. CSoA reglugerðin – nýtt skref í samstöðu og sameiginlegum viðbrögðum ríkja Cyber Solidarity Act (CSoA), sem tók gildi árið 2025, miðar að því að efla samstöðu og sameiginleg viðbrögð ríkja við netógnunum. Meðal annars verður komið á fót evrópsku viðvörunarkerfi, neyðarviðbragðshópi og sameiginlegri greiningar- og endurskoðunardeild netatvika. Þátttaka ríkja er valkvæð, en henni fylgja beinir hvatar eins og fjármögnun og ýmiskonar aðstoð. Netöryggisgerðir Evrópusambandsins - Þrátt fyrir að sumar af þessum gerðum nái til sviða sem ekki teljast beinlínis til EES-samningsins, er ljóst að innleiðing og þátttaka Íslands er til hagsbóta. Reglurnar krefjast virkrar samhæfingar og öflugrar stjórnsýslu en fela einnig í sér gríðarleg tækifæri til að efla öryggi, viðnámsþrótt og traust í hinu stafrænu samfélagi. Í heimi þar sem netógnir þekkja engin landamæri, er ljóst að samræmt og öflugt regluverk á borð við netöryggisgerðir Evrópusambandsins er ekki aðeins nauðsyn, heldur grunnforsenda fyrir örugga framtíð samfélagsins sem og innviða Íslands. Höfundur er lögfræðingur hjá Fjarskiptastofnun.
Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson Skoðun
Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson skrifar
Skoðun „Hagræðingar” í Reykjanesbæ Halldóra Fríða Þorvaldssdóttir,Guðný Birna Guðmundsdóttir skrifar
Skoðun Íslenska fánann á ekki að nota til skemmdarverka Ugla Stefanía Kristjönudóttir Jónsdóttir skrifar
Skoðun Vantar okkur líka lesefni sem börn hafa áhuga á að velja sjálf? Birgir Hrafn Birgisson skrifar
Skoðun Símafriður er kominn til að vera og það er fagnaðarefni Atli Þór Jóhannsson,Hermann Arnar Austmar,Dagný Hróbjartsdóttir,Héðinn Svarfdal Björnsson,Karen Kristine Pye,Kristófer Nökkvi Sigurðsson,Kristín Ólöf Grétarsdóttir,Salka Hauksdóttir,Sigvaldi Egill Lárusson,Stefán Þór Helgason,Stefán Karl Snorrason skrifar
Skoðun Er sanngjarnt að almenningssamgöngur á landsbyggðinni séu skertar? Halla Hrund Logadóttir skrifar
Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson Skoðun