1. gr.

Í stað heitisins „Póst- og fjarskiptastofnun“ í 4. tölulið 1. mgr. 3. gr. reglugerðarinnar og sama orðs hvarvetna annars staðar í reglugerðinni, komi í viðeigandi beygingarfalli: Fjarskiptastofa.

2. gr.

Fyrirsögn III. kafla reglugerðarinnar verður: Tæknilegar og skipulagslegar ráðstafanir.

3. gr.

Eftirtaldar breytingar verða á 7. gr. reglugerðarinnar:

1. 3. málsliður 1. mgr. fellur brott.
2. Orðin „sem og raunlæga vernd öryggisrýma, sbr. 12. gr.“ í 1. málslið 2. mgr. falla brott.
3. Við ákvæðið bætist ný málsgrein, sem orðast svo:
   Með hliðsjón af alþjóðlegum viðmiðum um bestu framkvæmd skulu öryggisráðstafanir tryggja öryggisstig net- og upplýsingkerfa sem hæfir áhættunni sem stafar af og skulu þær a.m.k. fela í sér:
   1. öryggi kerfa og aðstöðu;
   2. meðhöndlun atvika;
   3. stjórnun rekstrarsamfellu;
   4. eftirlit, úttektir og prófanir;
   5. hlítni við alþjóðlega viðurkennda staðla um bestu framkvæmd.

4. gr.

Í stað 8. og 9. gr. reglugerðarinnar koma fimm nýjar greinar, ásamt fyrirsögnum, sem verða 8., 9., 10., 11. og 12. gr. og orðast þær svo:

a. (8. gr.)

Öryggi kerfa og aðstöðu.

Þær ráðstafanir sem varða öryggi kerfa og aðstöðu skv. a-lið 4. mgr. 7. gr., en með því er átt við öryggi net- og upplýsingakerfa og efnislegs umhverfis þess, skulu fela í sér:

1. kerfisbundna stýringu á net- og upplýsingakerfum sem felur í sér að kortleggja upplýs­inga­kerfi og ákvarða viðeigandi stefnu um stjórnun upplýsingaöryggis, þ.m.t. áhættugreiningu, mannauð, rekstraröryggi, öryggishönnun, örugga vistferilsstjórnun gagna og kerfa sem og, eftir atvikum, dulkóðun og stýringu þess;
2. raunlægt og umhverfislegt öryggi sem felur í sér tiltækar ráðstafanir til að vernda öryggi net- og upplýsingakerfa, sem veitendur stafrænna þjónustu nota, gegn skemmdum með því að nota áhættumiðaða nálgun sem tekur til hvers konar áhættu, t.d. vegna kerfisbilunar, mann­legra mistaka, skaðlegra aðgerða eða náttúrufyrirbæra;
3. aðfangaöryggi, sem felur í sér að ákvarða þurfi og viðhalda viðeigandi stefnu til að tryggja tiltækileika mikilvægra aðfanga sem eru notuð í tengslum við veitingu þessarar þjónustu og, eftir atvikum, að tryggja rekjanleika þessara aðfanga;
4. eftirlit með aðgangi að net- og upplýsingakerfum sem felur í sér tiltækar ráðstafanir til að tryggja að raunlægur og kerfislegur aðgangur að net- og upplýsingkerfum, þ.m.t. stjórn­sýslu­öryggi net- og upplýsingakerfa, sé heimilaður og takmarkaður á grunni viðskipta- og öryggis­krafna.

b. (9. gr.)

Meðhöndlun atvika.

Þær ráðstafanir sem varða meðhöndlun atvika skv. b-lið 4. mgr. 7. gr. skulu fela í sér:

1. viðhald og prófun á ferlum og verklagsreglum fyrir greiningu til að tryggja að fullnægjandi vitneskja fáist um óeðlilega atburði með tímanlegum hætti;
2. ferli og stefnu varðandi tilkynningu atvika og auðkenningu galla og veikleika í upplýsinga­kerfi þeirra;
3. viðbrögð við atvikum í samræmi við settar verklagsreglur og skýrslugjöf um árangur ráð­stafana sem gripið var til;
4. mat á alvarleika atviksins, greinargerð um þá vitneskju sem fengist hefur við greiningu atviks­ins og söfnun viðeigandi upplýsinga, sem kunna að færa sönnur á atvikið og stuðla að sam­felldu ferli úrbóta.

c. (10. gr.)

Stjórnun rekstrarsamfellu.

Þær ráðstafanir sem varða stjórnun rekstrarsamfellu skv. c-lið 4. mgr. 7. gr., en með því er átt við getu fyrirtækisins til að viðhalda eða, eftir atvikum, hefja á ný veitingu þjónustu á viðunandi og fyrir fram skilgreindum stigum í kjölfar atviks sem hefur skerðandi áhrif. Ráðstafanirnar skulu fela í sér:

1. undirbúning og notkun viðbragðsáætlana á grunni rekstraráhrifagreiningar til að tryggja sam­fellu í þeirri þjónustu sem veitendur stafrænnar þjónustu veita; meta skal og prófa áætlanirnar með reglulegu millibili, t.d. með æfingum;
2. endurreisnargetu vegna stóráfalla sem skal metin og prófuð með reglulegu millibili, t.d. með æfingum.

d. (11. gr.)

Innra eftirlit.

Þær ráðstafanir sem varða eftirlit, úttektir og prófanir skv. d-lið 4. mgr. 7. gr. skulu fela í sér setningu stefna, sem uppfæra skal reglulega, um:

1. framkvæmd skipulagðrar runu athugana eða mælinga til að meta hvort net- og upplýsinga­kerfi virki eins og ætlast er til;
2. skoðun og sannprófun til að hafa eftirlit með því hvort stöðluðum viðmiðunarreglum eða safni viðmiðunarreglna sé fylgt, skráningar séu nákvæmar og hvort markmiðin um skilvirkni og árangur séu uppfyllt;
3. ferli sem ætlað er að leiða í ljós galla í öryggisbúnaði net- og upplýsingakerfis sem verndar gögn og viðheldur þeirri virkni sem ætlast er til. Slíkt ferli skal fela í sér tæknilegt vinnslu­ferli og starfsfólk sem tekur þátt í rekstrinum.

e. (12. gr.)

Sannprófun við hlítni krafna.

Veitendur stafrænnar þjónustu skulu tryggja að þeir hafi undir höndum fullnægjandi gögn til að gera Fjarskiptastofu kleift að sannprófa hlítni við þær kröfur sem fram koma í þessum kafla.

5. gr.

Eftirfarandi breytingar verða á 10. gr. reglugerðarinnar:

1. 2. og 3. málsliður 2. mgr. fellur brott.
2. 10. gr. reglugerðarinnar verður 13. gr. sem verður hluti af III. kafla

6. gr.

Greinar 11 til og með 17 í reglugerðinni falla brott og þar með IV. kafli, Tæknilegar ráðstafanir, og breytast aðrir kaflar og aðrar greinar sem eftir koma til samræmis við það.

7. gr.

Heitið „Póst- og fjarskiptastofnunar“ í 1. mgr. 18. gr. reglugerðarinnar fellur brott.

8. gr.

Reglugerð þessi er sett með heimild í 7., 8. og 28. gr. laga nr. 78/2019, um öryggi net- og upplýsingakerfa mikilvægra innviða, og öðlast þegar gildi.

Innviðaráðuneytinu, 4. júní 2025.

Eyjólfur Ármannsson.