NIS2-direktiivi on EU:ssa valmisteltua sääntelyä, jonka jokainen jäsenvaltio tuo osaksi omaa lainsäädäntöään kansallisella lailla. Tämä täytäntöönpanotyö on aloitettu myös Suomessa. Liikenne- ja viestintävirasto (LVM) on valmistellut luonnoksen asiaa koskevaksi laiksi kyberturvallisuuden riskienhallinnasta. LVM:n asiaa koskevassa kuulemistilaisuudessa oli langoilla lähes 400 osallistujaa, mikä kertoo siitä, että myös tulevan sääntelyn kohteena olevat toimijat seuraavat lainvalmistelua tarkalla korvalla.
Mutta mitä kyberturvallisuudella oikeastaan tässä kontekstissa tarkoitetaan? Luonnoksen mukaan (s. 106) on kyse toimista:
“joita tarvitaan
- viestintäverkkojen ja tietojärjestelmien,
- tällaisten järjestelmien käyttäjien ja
- muiden asianosaisten henkilöiden suojaamiseksi kyberuhilta.
Määritelmä ei rajoittaisi toimien muotoa tai laatua, vaan kysymykseen voisi tulla sekä teknisiä että muita suojaamiseksi tarpeellisia toimia”.
Onkin selvää, että kyberturvallisuudesta huolehtiminen muodostaa ison joukon erilaisia toimia, joiden suunnittelu ja täytäntöönpano vaatii erityistä osaamista, aikaa ja myös rahaa. Toisaalta, kun kyberturvallisuus on kunnossa, voi yritys keskittyä ydinliiketoimintaan sekä viestiä asiakkailleen ja sopimuskumppaneilleen varautuneensa asianmukaisesti digitaalisen maailman uhkiin.
Vireillä olevan lakihankkeen taustalla on siis loppuvuodesta 2022 julkaistu kyberturvallisuusdirektiivi (direktiivi), joka korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi). Säännöksen nimen päivittäminen ei ole ainoa muutos, jota NIS2 tuo tullessaan. Tästä artikkelissa esittelemme, mitkä yritykset ovat uuden sääntelyn piirissä ja mikä on NIS2-direktiivin ja kansallisen lain soveltamisala. Käymme läpi myös niitä seurauksia, jotka voivat aiheutua, jos tietoturvavelvollisuudet jäävät toteuttamatta.
NIS2 – Mitä riskienhallintavelvoitteet pitävät sisällään?
Uuden sääntelyn keskeinen sisältö muodostuu ns. riskienhallintavelvoitteista ja sen osoittamisesta, että velvoitteista on huolehdittu oikeassa suhteessa toiminnan luonteeseen nähden. Lisäksi velvollisuus tiedottaa viipymättä valvovaa viranomaista tapahtuneista merkittävistä poikkeamista on sääntelyn keskiössä. Riskejä hallitessa lähtökohtana on “kaikki vaaratekijät huomioiva toimintamalli”. Käytännössä yritykset tulevat tarvitsemaan ohjausta siihen, miten toteuttaa riskiperusteista lähestymistapaa ja suhteuttaa riskejä ja varautumista omaan toimintaansa.
Uusiin velvoitteisiin ei kannata suhtautua pelkkänä taloudellisena tai teknisenä taakkana. Kyberuhkiin varautumisen havaittiin osana sääntelyä toteutetussa vaikutusarviossa tuovan useita erilaisia liiketoimintahyötyjä. Asiaa koskevassa selvityksessä todetaankin, että:
“yritysten vastauksissa toistui huomio siitä, että jo yhdenkin suuren asiakkaan menettämisellä tai voittamisella kybermaturiteettiin liittyvistä syistä voi olla pitkälti yli 100 000 euron vaikutus.”
Insta, loppuraportti, s. 43.
Lakiluonnonnoksessa lain rikkomisesta seuraavien hallinnollisten seuraamusmaksujen maksimimäärät olisivat miljoonaluokassa. Puutteellisesta tietoturvasta aiheutuvien vahinkojen (sekä myös lain noudattamatta jättämisestä aiheutuvien sanktioiden) välttämiseksi yritysten tulisi tehdä riskienhallintatoimenpiteitä. Lakiluonnoksessa huomioitavina riskienhallintatoimenpiteinä on mainittu:
- kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja riskienhallinnan toimenpiteiden vaikuttavuuden arviointi;
- viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet;
- viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen;
- toimitusketjun toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, tuotteisiin ja palveluihin sisällytetyt kyberturvallisuusriskien hallintatoimenpiteet sekä toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt;
- omaisuudenhallinta ja turvallisuuden kannalta tärkeiden toimintojen tunnistaminen;
- henkilöstöturvallisuus ja kyberturvallisuuskoulutus;
- pääsynhallinnan ja todentamisen menettelyt;
- salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttöön;
- poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi;
- varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö toimijan toiminnassa;
- perustason kyberhygieniakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi; sekä
- toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi (luonnos kyberturvallisuuden riskienhallinnasta annettavaksi laiksi 9 §).
NIS2-toimijatyypit
Uuden sääntelyn piiriin tulee kuulumaan selvästi entistä suurempi joukko yrityksiä. Soveltamisalan kannalta avainkäsitteitä ovat ns. keskeiset ja tärkeät toimijat, joihin NIS2-direktiivin velvoitteet kohdistuvat osin eri tavoin sekä ns. toimijatyypit ja toimijan koko.
Toimijatyypit on listattu hallituksen esitysluonnoksen liitteissä liitteissä I ja II. Toimijatyyppejä ovat esimerkiksi:
- digitaalinen infrastruktuuri ja digitaalisen palvelun tarjoajat,
- TVT-palveluntarjoajat (eng. ICT service providers),
- energia,
- liikenne ja posti,
- pankkitoiminta,
- terveys,
- juoma- ja jätevesi ja jätehuolto sekä
- kemikaalien ja elintarvikkeiden tuotanto ja jakelu (luettelo ei ole tyhjentävä)
Soveltamisalan pääsääntö on muotoiltu seuraavasti lakiluonnoksessa:
“Tämän lain soveltamisalaan kuuluvalla toimijalla tarkoitetaan oikeushenkilöä tai luonnollista henkilöä, joka harjoittaa liitteessä I tai II tarkoitettua toimintaa tai on liitteessä I tai II tarkoitettua toimijatyyppiä ja täyttää tai ylittää keskisuuren toimijan määritelmän.” (lakiluonnos, pykälä 3)
On kuitenkin tilanteita, joissa soveltamisala kattaa myös pienemmät toimijat:
“Lisäksi toimijalla tarkoitetaan koosta riippumatta oikeushenkilöä tai luonnollista henkilöä, joka on:
- yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja;
- luottamuspalvelun tarjoaja;
- aluetunnusrekisteri;
- DNS-palveluntarjoaja; tai
- CER-direktiivin nojalla määritelty kriittinen toimija.” (lakiluonnos, pykälä 3)
Soveltamisalan monimutkaisuudesta kertoo se, että laki soveltuisi vielä edellä kuvatun ohella (erikseen asetuksella määritellysti) liitteessä I tai II tarkoitettuun toimijaan sen koosta riippumatta, jos:
“1) toimija tarjoaa ainoana palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen;
2) häiriö toimijan tarjoamassa palvelussa vaikuttaisi merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen;
3) häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia; tai
4) toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.” (lakiluonnos, pykälä 3)
Keskeisistä ja tärkeistä sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista tullaan viranomaisten toimesta laatimaan rekisteri. Kannattaa kuitenkin jo ajoissa tutustua asiaan ja selvittää, onko lakiluonnoksen mukaan todennäköisesti uusien velvoitteiden piirissä. Tässä vaiheessa asiaan voi tutustua tarkemmin lukemalla NIS2-direktiiviä sekä luonnosta kansalliseksi laiksi.
Seuraamusmaksut ja johdon vastuu varmistamassa velvoitteista huolehtimista
Uusi laki toisi mukanaan myös uuden rangaistusluonteisen seuraamusmaksun, jolla on tarkoitus vahvistaa lain noudattamista. Luonnoksen mukaan hallinnollinen seuraamusmaksu voitaisiin määrätä toimijalle, joka tahallaan tai törkeästä huolimattomuudesta rikkoisi lakisääteisiä kyberturvavelvoitteitaan säännöksessä tarkemmin määritellysti. Seuraamusmaksun NIS2-direktiivin velvoitteiden vastaisesta toiminnasta määräisi luonnoksessa Liikenne- ja viestintäviraston yhteydessä toimiva seuraamuslautakunta, joka koostuisi valvovien viranomaisten nimeämistä jäsenistä. Maksu muistuttaisi siten GDPR-sanktioita, joita onkin jo nähty.
Hallinnollisen seuraamusmaksun enimmäismäärä olisi ehdotuksen mukaan, tietyistä yksityiskohdista riippuen, 7 000 000 – 10 000 000 euroa tai 1,4 – 2 prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
luonnos kyberturvallisuuden riskienhallinnasta annettavaksi laiksi 40 §
Keskeistä on myös huomata, että lakiluonnos asettaisi johdolle (hallitukselle, hallitusneuvostolle, toimitusjohtajalle sekä muille relevanteille ylimmille johtajille) nimenomaisen vastuun kyberturvallisuuden riskienhallinnan toteuttamisen ja valvonnan järjestämisestä. Johdon tulisi myös hyväksyä riskienhallinnan toimintamalli ja valvoa sen toteuttamista (luonnos kyberturvallisuuden riskienhallinnasta annettavaksi laiksi 10 §).
Nosta tietoturvajohtaminen uudelle tasolle Turre Legalin avulla
Turre Legal seuraa sääntelyn valmistelua tarkasti. Vastaamme mielellämme kysymyksiin, joita tietoturvaoikeus yrityksissä herättää. Koulutamme alan toimijoita ja verkostoja tietoturvavelvotteista sekä vastuista ja hyvän tietoturvajohtuuden rakentamiseen liittyvistä käytänteistä.
Olemme räätälöineet palvelun, jolla yritys voi rakentaa pohjan laadukkaalle tietoturvajohtamiselle – tietoturvajohtaminen luo pohjan kaikelle muulle tietoturvaa koskevalle työlle. Palvelu auttaa yrityksiä täyttämään sekä ISO27001 että NIS2-direktiivin velvoitteet.
