Tilkynning um öryggisrof

Traustþjónustuveitendum, hvort heldur sem þeir eru fullgildir eður ei, er skylt að tilkynna hvers konar öryggisrof eða glötun á heilleika sem hefur umtalsverð áhrif á traustþjónustu sem veitt er eða á persónuupplýsingar sem í henni felast, sbr. 2. mgr. 19. gr. reglugerðar ESB nr. 910/2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum (hér eftir eIDAS reglugerðin). Reglugerðin var innleidd hérlendis með lögum um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti nr. 55/2019.

Áhrifum öryggisrofs er skipt í fimm stig:

  1. Engin áhrif
  2. Lítilvæg áhrif, þ.e. þegar eignir traustþjónustuveitanda verða fyrir áhrifum en engin áhrif verða á kjarnaþjónustu
  3. Umtalsverð áhrif, þ.e. þegar hluti viðskiptavina eða þjónustu verða fyrir áhrifum
  4. Alvarleg áhrif, þ.e. þegar stór hluti viðskiptavina/þjónustu verða fyrir áhrifum
  5. Hörmuleg áhrif, þ.e. þegar allt skipulag, öll þjónusta og öll vottorð verða fyrir áhrifum

Traustþjónustuveitendum einungis skylt að tilkynna öryggisrof sem hafa 3-5 stigs áhrif.

Tilkynning um öryggisrof skal berast Fjarskiptastofu, lögbærri landsbundinni stofnun um upplýsingaöryggi og Persónuvernd innan 24 tíma frá því að traustþjónustuveitandi varð þess fyrst var. 
Netfang: fjarskiptastofa(hjá)fjarskiptastofa.is

Þegar líklegt er að öryggisrof hafi skaðleg áhrif á einstakling eða lögaðila, sem hefur verið veitt traustþjónusta, skal traustþjónustuveitandi einnig tilkynna þeim aðilum án ástæðulausrar tafar.

Fjarskiptastofa metur hvort það sé í almannaþágu að upplýsa almenning um öryggisrof. Þá getur stofnunin gefið út tilkynningu þess efnis eða krafist þess af traustþjónustuveitanda að hann geri það.

Hafi öryggisrof áhrif á önnur aðildarríki EES ber Fjarskiptastofu að tilkynna eftirlitsstofnunum í hlutaðeigandi löndum og Netöryggisstofnun Evrópu (ENISA).

Tilkynna öryggisrof

Athygli skal vakin á því að Fjarskiptastofa getur lagt stjórnvaldssektir á hvern þann sem gefur stofnuninni rangar eða villandi upplýsingar, sbr. c. lið 1. mgr. 7. gr. laga nr. 55/2019 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti. Slíkar sektir geta numið allt að 10 millj. kr., sbr. 2. mgr. 7. gr. sömu laga.

Hér að neðan má sjá hjálplegt efni við útfyllingu tilkynningar:

Article 19 Incident reporting: Incident reporting framework for eIDAS Article 19

Security framework for Trust Service Providers – Technical guidelines on trust services