EU:n kyberturvallisuusdirektiivissä (ns. NIS 2 -direktiivi) säädetään tietoturvavelvollisuuksista ja häiriöraportoinnista useilla yhteiskunnan eri toimialoilla. Suomessa NIS 2 -direktiivin mukaisista velvoitteista säädetään kyberturvallisuuslaissa ja tiedonhallintalaissa. Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksessa valvomme pääosaa digitaalisen infrastruktuurin toimijoista, digitaalisen palvelun tarjoajia, hallintapalveluiden ja tietoturvapalveluiden tarjoajia sekä tutkimusorganisaatioita ja julkishallinnon toimijoita.
Julkishallinnon toimijat
NIS 2 -direktiiviä sovelletaan julkishallinnon toimialalla lähtökohtaisesti keskus- ja aluehallinnon toimijoihin niiden koosta riippumatta.
Kansallisella tasolla NIS2-sääntely on julkishallinnon toimialan osalta sijoitettu lakiin julkisen hallinnon tiedonhallinnasta (906/2019). NIS 2 -direktiivistä tuleva kyberturvallisuussääntely on koottu erityisesti lain 4 a lukuun, jonka sisältämät kyberturvallisuusvelvoitteet soveltuvat pienempään joukkoon viranomaisia, kuin muu tiedonhallintalain sääntely. Tiedonhallintalain 4 a lukua sovelletaan valtion hallintoviranomaisiin, valtion virastoihin ja laitoksiin, valtion liikelaitoksiin, itsenäisiin julkisoikeudellisiin laitoksiin sekä hyvinvointialueisiin, hyvinvointiyhtymiin ja Helsingin kaupunkiin, sen hoitaessa hyvinvointialueiden järjestämisvastuulle säädettyjä tehtäviä.
Julkishallinnon toimialan NIS2-sääntelyä ei lähtökohtaisesti sovelleta kuntiin, mutta kunnan harjoittaessa toimintaa kyberturvallisuuslain liitteen toimialalla, siihen sovelletaan kyberturvallisuuslain sääntelyä. Toimijaan voidaan soveltaa myös molempia lakeja esim. hyvinvointialueisiin ja –yhtymiin sovelletaan sekä tiedonhallintalain 4 a luvun säännöksiä, että kyberturvallisuuslakia sen toimiessa lain Terveys-toimialalla. Molempien lakien kyberturvallisuusvelvoitteet ovat pääosin yhtenevät.
Tutkimusorganisaatiot
NIS 2 -direktiivin 6 artiklan 41 kohdan mukaan tutkimusorganisaatiolla tarkoitetaan sellaista toimijaa, jonka ensisijaisena tavoitteena on harjoittaa soveltavaa tutkimusta tai kokeellista kehitystyötä kyseisen tutkimuksen tulosten hyödyntämiseksi kaupallisiin tarkoituksiin mutta joka ei ole opetus- ja koulutusalan laitos. Määritelmän mukaiseen soveltamisalaan on kansallisesti tunnistettu kuuluvan Teknologian tutkimuskeskus VTT Oy (VTT).