MIðlun til þriðja aðila sem byggja á tilkynningum til CERT-IS

CERT-IS á í samstarfi við þá aðila í stjórnkerfinu sem eiga aðkomu að mati og meðhöndlun öryggisatvika. Til þeirra teljast

  • Netöryggisráð og Þjóðaröryggisráð
  • Ráðuneyti, einkum Samgöngu og sveitastjórnarráðuneyti sem fer með málefni fjarskipta og netöryggis
  • Eftirlitsstjórnvöld
  • Persónuvernd
  • Löggæsla, einkum Lögreglan á höfuðborgarsvæðinu
  • Ríkislögreglustjóri, einkum Almannavarnadeild og Greiningardeild
  • CSIRTs-network varðandi öryggisatvik sem hafa eða geta haft áhrif yfir landamæri
  • Almenningur við alvarleg og útbreidd atvik - upplýsingagjöf takmarkast við TLP:WHITE upplýsingar.

Við samskipti er gætt að trúnaði varðandi þær upplýsingar sem veittar eru CERT-IS.

Netöryggisráð, Þjóðaröryggisráð og ráðuneyti eru upplýst um alvarleg atvik, sérstaklega þau sem fjallað er um í tilkynningum til almennings.

Eftirlitsstjórnvöld eru upplýst um atvik sem varða rekstraraðila sem lúta þeirra eftirliti - sjá nánar um meðferð NIS skyldutilkynninga.

Persónuvernd

Formleg samskipti við lögreglu um atvik tilkynnt til CERT-IS takmarkast við þau sem fjallað er um í 14.gr. 78/2019. þ.e. miðlun upplýsinga um alvarleg atvik og áhættu til Almannavarnadeildar Ríkislögreglustjóra. CERT-IS veitir lögreglu að öðru leiti ekki upplýsingar um öryggisatvik en hvetur tilkynnanda til að leggja fram kæru í samræmi við 9.gr.

Almenningur

Um samskipti við almenning er fjallað í 9. og 19 gr. laga nr. 78/2019. Þar kemur m.a. fram:

Netöryggissveit skal tryggja að upplýsingar um atvik skv. 8. gr. séu aðgengilegar eftirlitsstjórnvöldum án tafar.
Netöryggissveit skal án tafar hvetja mikilvæga innviði til að tilkynna um atvik til lögreglu leiki grunur á um refsiverða háttsemi.
Ef almenningsvitundar er þörf til að koma í veg fyrir eða takast á við atvik og þegar upplýsingagjöf um atvik er af öðrum ástæðum nauðsynleg í þágu almannahagsmuna er Póst- og fjarskiptastofnun heimilt að upplýsa almenning um atvikið. Samráð skal viðhaft við lögreglu og eftirlitsstjórnvöld sem í hlut kunna að eiga og mikilvæga innviði í aðdraganda upplýsingagjafar skv. 1. málsl., enda verði því við komið.
Fjarskiptastofu er heimilt að tilkynna almenningi um veikleika og almennar hættur ef það er nauðsynlegt í þágu almannahagsmuna. Samráð skal viðhaft um slíkar tilkynningar við lögreglu og eftirlitsstjórnvöld ef við verður komið.

Þrátt fyrir 1. og 2. mgr. fer um meðferð trúnaðarupplýsinga samkvæmt ákvæðum laga þessara og annarra laga, eftir því sem við á.