Kyberturvallisuusdirektiivin eli NIS2-direktiivin kansallinen täytäntöönpano etenee uudella kyberturvallisuuslailla. Tavoitteena oli, että laki tulisi voimaan 18.10.2024 mennessä, mutta hallituksen esityksen käsittely on vielä eduskunnan valiokunnissa kesken. Oletettavasti laki kuitenkin pyritään saattamaan voimaan mahdollisimman pian.

Kyberturvallisuuslain tavoitteena on vahvistaa yhteiskunnan kriittisten toimijoiden valmiutta kyberuhkia vastaan koko EU:n alueella. Laki koskee yhteiskunnan kannalta keskeisiä ja tärkeitä toimijoita. Aiemmasta NIS1-sääntelykehikosta poiketen NIS2-direktiivi ja siihen perustuva uusi kyberturvallisuuslaki asettavat riskienhallintaan ja poikkeamista raportointiin liittyviä velvoitteita kokonaan uusille toimialoille, kuten valmistavaan teollisuuteen, jätehuoltoon, CDN-palveluntarjoajille, verkkoyhteisöalustoille, elintarvike-, kemikaali- ja avaruusalalle sekä julkishallintoon. Edellä kuvattujen toimialojen lisäksi NIS1-direktiivissä mainitut toimialat eli energiahuolto, liikenne, finanssiala, terveydenhuolto, vesihuolto, digitaalinen infrastruktuuri sekä digitaaliset palvelut pysyvät jatkossakin sääntelyn soveltamisalassa. NIS2-direktiivi velvoittaa jäsenvaltion 17.4.2025 alkaen pitämään luetteloa lain soveltamisalaan kuuluvista keskeisitä ja tärkeistä toimijoista, mikä osaltaan saattaa selkiyttää toimijoiden varautumista lain mukaisiin velvoitteisiin.

Laki kohdistuu erityisesti keskisuuriin ja suuriin yrityksiin, jotka työllistävät vähintään 50 henkilöä tai joiden liikevaihto ja taseen loppusumma ylittävät 10 miljoonaa euroa. Tietyt yhteiskunnan kannalta kriittiset palveluntarjoajat kuuluisivat lain soveltamisalaan, vaikka edellä kuvatut liikevaihtorajat eivät täyttyisi.

Keskeiset velvoitteet toimijoille

Lain tarkoituksena on varmistaa koko EU:n alueella kyberturvallisuuden korkea taso. Tätä varten lain soveltamisalaan kuuluvien toimijoiden tulee huolehtia korkeatasoisesta riskienhallinnasta muun muassa laatimalla riskienhallinnan toimintamalli sekä ilmoittamalla valvovalle viranomaisille kaikista merkittävistä poikkeamista. Lain velvoitteiden laiminlyönnistä voidaan määrätä seuraamusmaksu.

Riskienhallintavelvoitteiden noudattaminen:

Toimijoilla tulee olla käytössä kattava ja ajantasainen riskienhallinnan toimintamalli viestintäverkkojen ja tietojärjestelmien sekä niiden fyysisen ympäristön suojaamiseksi. Laki velvoittaa toimijoita laatimaan erillisen riskienhallinnan toimintamallin, jossa on huomioitava ainakin seuraavat asiat:

1. riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;

2. viestintäverkkojen ja tietojärjestelmien turvallisuutta koskeva toimintaperiaatteet;

3. viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä toimintatavat haavoittuvuuksien käsittelyyn;

4. toimitusketjun turvallisuus ja toimittajien häiriönsietokyky;

5. omaisuudenhallinta ja kriittisten toimintojen tunnistaminen;

6. henkilöstöturvallisuus ja jatkuva kyberturvallisuuskoulutus;

7. pääsynhallinta ja todentamismenettelyt;

8. salausmenetelmät ja tarvittaessa toimenpiteet suojattuun viestintään esimerkiksi monivaiheisen todennuksen kautta;

9. poikkeamien havainnointi ja käsittely sekä toimintatavat toimintavarmuuden palauttamiseksi ja ylläpitämiseksi;

10. toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;

11. perustason tietoturvakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi; sekä

12. toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta.

Riskienhallinnan toimenpiteet tulee suhteuttaa erityisesti toiminnan laatuun ja laajuuteen. Yrityksen johto vastaa riskienhallinnan toteuttamisesta ja valvonnan järjestämisestä.

Ilmoitusvelvollisuus merkittävistä poikkeamista:

Merkittävillä poikkeamilla tarkoitetaan tilanteita, joka on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön, toimijalle taloudellisia tappioita taikka huomattavaa vahinkoa muille luonnollisille henkilöille tai oikeushenkilöille.

Toimijoiden on ilmoitettava merkittävistä poikkeamista valvovalle viranomaiselle viipymättä:

a. Ensi-ilmoitus: 24 tunnin kuluessa poikkeaman havaitsemisesta.

b. Jatkoilmoitus: 72 tunnin kuluessa poikkeaman havaitsemisesta.

c. Loppuraportti: Poikkeamatilanteen päätyttyä.

Ilmoitusvelvollisuus koskee myös tilanteita, joissa poikkeama vaikuttaa muihin jäsenvaltioihin tai aiheuttaa merkittävää haittaa palvelujen vastaanottajille. Toimijan on ilmoitettava viipymättä merkittävästä poikkeamasta palvelujensa vastaanottajille, jos merkittävä poikkeama todennäköisesti haittaa toimijan palvelujen tarjoamista. Poikkeamailmoitus tehdään Traficomin Kyberturvallisuuskeskuksen ilmoitussovelluksella.

Toimijoita kannustetaan ilmoittamaan Traficomille vapaaehtoisesti myös muista kuin merkittävistä poikkeamista, kyberuhkista ja läheltä piti -tilanteista. Myös muilla kuin laissa tarkoitetuilla kriittisillä toimijoilla on oikeus tehdä vapaaehtoisia ilmoituksia.

Toimijaluettelo

Laki velvoittaa valvovan viranomaisen ylläpitämään valvontatoimialansa toimijoista luetteloa. Toimijaluetteloa varten kunkin lain soveltamisalaan kuuluvan toimijan tulee ilmoittaa valvontaviranomaiselle lain 43 §:ssä säädetyt tiedot.

Valvonta ja seuraamukset

Kyberturvallisuusdirektiivin valvonta hajautetaan toimialakohtaisille viranomaisille entisen NIS1-direktiivin mukaisen valvonnan tapaan. Valvovia viranomaisia ovat Liikenne- ja viestintävirasto Traficom, Energiavirasto, Turvallisuus- ja kemikaalivirasto, Etelä-Savon ELY-keskus, Ruokavirasto, Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira ja Lääkealan turvallisuus- ja kehittämiskeskus Fimea. Valvovien viranomaisten yhteistyötä koordinoi Traficom.

Jatkossa toimijoille voidaan määrätä seuraamusmaksuja lain velvoitteiden laiminlyönneistä. Hallinnollisia seuraamusmaksuja määrää erikseen perustettava seuraamusmaksulautakunta, joka koostuu valvovien viranomaisten nimeämistä jäsenistä. Seuraamusmaksuja voidaan määrätä tahallisista tai törkeistä laiminlyönneistä. Maksut ovat määrältään enintään 10 miljoonaa euroa tai 2 % yrityksen maailmanlaajuisesta liikevaihdosta. Vakavissa laiminlyönneissä viranomainen voi myös määräaikaisesti kieltää yhtiön johdossa vastuussa olevaa henkilöä jatkamasta tehtäviään yhtiön johdossa.

Miten valmistautua uuteen lainsäädäntöön?

Koska kyberturvallisuuslain soveltamisala on olennaisesti laajempi kuin aiemman NIS1 -direktiiviin perustuvan sääntelyn, on jokaisen yhtiön syytä varmistua siitä, soveltuuko laki omaan toimintaan vai ei. Mikäli laki soveltuu, on syytä ryhtyä arvioimaan missä määrin lain mukaiset riskienhallinnan toimenpiteet jo toteutuvat ja mitä tarvitsee vielä tehdä velvoitteiden noudattamiseksi. Johdon on syytä varmistaa, että organisaatiolla on myös tosiasiassa riittävät resurssit ja osaaminen kyberturvallisuuden hallintaan.

Yleisesti ottaen tieto- ja kyberturvallisuuden kasvattaessa koko ajan merkitystään on kaikkien yhtiöiden hyvä arvioida omat käytäntönsä, tunnistaa mahdolliset puutteet ja toteuttaa tarvittavat toimenpiteet tieto- ja kyberturvallisuuteen liittyvien riskien hallinnoimiseksi sekä omassa organisaatiossa että myös alihankintaverkostossaan.