Sääntelyn kohteet

Ohjaamme ja valvomme toimialaamme kuuluvien säännösten ja määräysten noudattamista. Valvomme monia eri toimintoja, ja kerromme tulkinnasta ja kuuluuko toiminta sääntelyn piiriin. Esimerkkejä ovat teletoiminta, NIS-direktiivin digitaaliset palvelut, vahva sähköinen tunnistus, verkkotunnusvälitys ja sähköiset eIDAS-luottamuspalvelut.

Usein esiintyy tulkintakysymyksiä siitä, onko ja kenties mikä osa yrityksen tai yhteisön palvelua jotakin Kyberturvallisuuskeskuksen ohjaamaa ja valvomaa toimintaa. Seuraavaan taulukkoon on listattu laissa säänneltyjä toimintoja ja käytännön esimerkkejä niistä. Jäljempänä tällä sivulla kuvataan tarkemmin tulkintakäytäntöä eri sääntelyn kohteista.

Yhteenvetona toiminnan tulkinnoista voi todeta:

  • Toimijaa koskee vain nimenomaisesti kyseiseen toimintaan kohdistettu sääntely.
  • Yritys voi palveluja tarjotessaan toimia useassakin säännellyssä roolissa.
  • Kutakin toimintaa arvioidaan tapauskohtaisesti. 

Seuraavassa on esitelty vakiintunutta tulkintakäytäntöä. Esimerkiksi teletoiminnan tulkinta on melko vakiintunutta, vaikkakin rajanveto muun viestinnän välittämisen kanssa voi joskus olla hankalaa.

 

Sääntelyn kohteet

Laissa määritelty toiminta

(laki, jossa määritelty)

Esimerkkejä toimijoista käytännössä

teletoiminta

 

(laki sähköisen viestinnän palveluista)

  • Perinteiset teleyritykset, kuten puhelin- ja laajakaistapalvelujen tarjoajat
  • Televisio- ja radioverkkojen tarjoajat
  • Monet kaupalliset tai epäkaupalliset viestintäverkkojen ja viestintäpalvelujen tarjoajat, joita ei perinteisesti aina mielletä teleyrityksiksi, esimerkiksi monet OTT (Over-The-Top) -palvelut eli internetyhteyspalvelujen päällä tarjotut palvelut ja WLAN-verkot
  • NIS-direktiivin mukaiset digitaalisen infrastruktuurin tarjoajat eli yhdysliikennepisteiden ja nimipalvelimien tarjoajat

liitännäispalvelu tai liitännäistoiminto

 

(laki sähköisen viestinnän palveluista)

Viestintäverkkoon tai -palveluun liittyvien liitännäispalvelujen ja -toimintojen, esimerkiksi seuraavien, tarjoajat:

  • ehdollisen käyttöoikeuden järjestelmä
  • sähköinen ohjelmaopas (EPG)
  • numeronmuunnosjärjestelmä
  • tunnistamis-, paikantamis- ja tilatietopalvelu tai muu vastaava viestintäverkkoon tai viestintäpalveluun liittyvä palvelu, joka mahdollistaa viestintäverkon tai viestintäpalvelun tarjoamisen taikka tukee palvelun tarjoamista niiden kautta
  • rakennus, rakennuksen sisääntulo ja kaapelointi, kaapelikanava, masto sekä muu vastaava viestintäverkkoon tai viestintäpalveluun liittyvä fyysinen rakenne, toiminto ja elementti, joka mahdollistaa viestintäverkon tai viestintäpalvelun tarjoamisen taikka tukee palvelun tarjoamista niiden kautta

kiinteistön sisäverkot

 

(laki sähköisen viestinnän palveluista)

taloyhtiöt ja muut kiinteistöjen sisäisten viestintäverkkojen haltijat

yhteisötilaaja

 

(laki sähköisen viestinnän palveluista)

teleyritysten yhteisöasiakkaat, jotka käsittelevät asiakkaidensa tai yhteisönsä välitystietoja

muu viestinnän välitys

 

(laki sähköisen viestinnän palveluista)

teleyritysten ja yhteisötilaajien lisäksi

  • muut tahot, jotka välittävät sähköistä viestintää viestinnän osapuoliin nähden kolmantena osapuolena

evästeet

 

(laki sähköisen viestinnän palveluista)

evästeiden tai muiden sähköisen palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö

digitaalinen palvelu

 

(laki sähköisen viestinnän palveluista)

NIS-direktiivin mukaiset digitaalisten palvelujen tarjoajat eli

  • verkossa toimiva markkinapaikka
  • hakukonepalvelu
  • pilvipalvelu

vahva sähköinen tunnistus

 

(laki vahvasta sähköisestä tunnistamisesta ja luottamuspalveluista)

rekisteröidyt vahvan sähköisen

  • tunnistusvälineen tarjoajat
  • tunnistusvälityspalvelun tarjoajat

luottamuspalvelu

 

(EU:n nk. eIDAS-asetus)

eIDAS-asetuksen mukaisten hyväksyttyjen tai ei-hyväksyttyjen luottamuspalveluiden tarjoajat:

  • sähköisen allekirjoituksen tai sähköisen leiman varmenne, validointi tai säilyttäminen
  • verkkosivujen todentamisen varmenne
  • sähköinen aikaleima
  • sähköinen rekisteröity jakelupalvelu

verkkotunnusvälitys

 

(laki sähköisen viestinnän palveluista)

verkkotunnusvälitysilmoituksen tehneet toiminnanharjoittajat

Näitä emme valvo

Kyberturvallisuuskeskus ei valvo viestinnän sisältöä tai markkinointia eikä viranomaisverkkojen tai viranomaisten viestintäpalvelujen tarjoamista. Koska viranomaisverkkojen ja viranomaisten viestintäpalvelujen käyttäjäpiiri on ennalta rajattu, niiden toiminta ei ole yleistä teletoimintaa. Viranomaisverkot ja viranomaisten viestintäpalvelut voidaan liittää teleyritysten yleisiin viestintäverkkoihin ja tällöin niitä koskee vaatimus olla aiheuttamatta toimivuus- tai tietoturvahäiriöitä yleiseen viestintäverkkoon.

Teletoiminta ja teleyritykset

Kyberturvallisuuskeskus valvoo teletoiminnassa tietoturvallisuusvaatimuksia, häiriöttömyysvaatimuksia ja häiriötilanteisiin ja poikkeusoloihin varautumista, hätä- tai poliisiviranomaisten avustamista sekä sähköisen viestinnän ja välitystietojen luottamuksellisuutta.

Lain määritelmät: teleyrityksen teletoiminta on yleistä viestintä- tai verkkopalvelua

Toimintaan ja palveluun sovelletaan teletoimintasääntelyä, jos se täyttää sähköisen viestinnän palveluista annetun lain teletoimintaa koskevien määritelmien tunnusmerkit.

Merkityksellisiä määritelmiä laissa ovat teleyritys, viestintäpalvelu ja verkkopalvelu:

  • teleyritys tarjoaa verkkopalvelua tai viestintäpalvelua ennalta rajaamattomalle käyttäjäpiirille eli harjoittaa yleistä teletoimintaa.
  • Viestintäpalvelu muodostuu kokonaan tai pääosin viestien siirtämisestä viestintäverkossa tai on siirto- ja lähetyspalvelua joukkoviestintäverkossa.
  • Verkkopalvelussa teleyritys (verkkoyritys) tarjoaa omistamaansa tai muulla perusteella hallussaan olevaa viestintäverkkoa käytettäväksi viestien siirtoon tai jakeluun.
    • Viestintäverkolla on lain määritelmän mukaan toisiinsa liitetyistä johtimista sekä laitteista muodostuva järjestelmä, joka on tarkoitettu viestien siirtoon tai jakeluun johtimella, radioaalloilla, optisesti tai muulla sähkömagneettisella tavalla.
    • Yleisellä viestintäverkolla tarkoitetaan viestintäverkkoa, jota käytetään viestintäpalvelujen tarjontaan ennalta rajaamattomalle käyttäjäpiirille.

Viestinnän sisältö ja yleiset ICT-palvelut eivät ole teletoimintaa

Teletoimintaa eivät ole

  • viestinnän sisältö, esimerkiksi verkkosivujen sisältö, keskustelupalstan ylläpito tai videoiden tarjoaminen verkkosivuilla
  • ICT-palvelut kuten laitteiden tai ohjelmistojen tarjonta, ohjelmien verkkotallennuspalvelut, tilausohjelmapalvelut (VoD), maksu-TV-paketit tai -kortit
  • tietoliikenneyhteyksien päällä tarjotut valvonta- tai hälytyspalvelut (esimerkiksi hoiva- tai vartiointipalvelut)

Ennalta rajaamaton käyttäjäpiiri

Yleinen teletoiminta tarkoittaa sähköisten viestintäpalvelujen tarjontaa ennalta rajaamattomalle käyttäjäpiirille.

Esimerkkejä tarjonnasta, jossa käyttäjäpiiri on tulkittu ennalta rajaamattomaksi:

  • Sovellussidonnaiset viestintäpalvelut ovat tyypillisiä esimerkiksi internetissä tarjottavissa puhe- ja pikaviestintäpalveluissa. Sovellukset ovat muiden tuotteiden tavoin vapaasti käyttäjien hankittavissa.
  • Päätelaitteisiin kuuluvat matkaviestinyrityksestä riippumattomat viestintäpalvelut, joita voivat olla esimerkiksi pikaviestintä, sähköposti ja teksti- tai multimediaviestit.
  • Verkkoyhteisöjen ja sosiaalisen median viestintäpalvelut, joissa yhteisöön ja viestintäpalvelun käyttäjäksi liittyminen on siinä määrin vapaata, että yhteisön jäsenyyttä ei yksinomaan voida pitää käyttäjäpiirin ennalta rajaamisena.
  • Maantieteelliseltä peitoltaan vähäiset tai hallinnointitavaltaan uudenlaiset verkot kuten WLAN-verkot, joissa tarjotaan internetyhteyspalvelua. Ne voivat olla alueellisesti varsin suppealla alueella, mutta jos niiden käyttäjäpiiri valikoituu vapaasti, maantieteellinen peitto ei yksinään tee käyttäjäpiiristä ennalta rajattua.

Tarjonta ennalta rajatulle käyttäjäpiirille ei ole yleistä teletoimintaa

Virasto on tulkinnut ennalta rajattua käyttäjäpiiriä valvonnassa suppeasti.

Lain perusteluissa (HE 221/2013, 3 §:n teleyrityksen määritelmän yksityiskohtaiset perustelut) todetaan, että käyttäjäpiirin rajaamattomuuden arvioinnissa on otettava huomioon esimerkiksi

  • verkon ja palvelun luonne,
  • verkon ja käyttäjäpiirin laajuus ja
  • käyttäjäksi pääsemisen edellytysten rajoittavuus.

Viestintäpalvelun toimiminen vain tietyllä sovelluksella tai tietyllä päätelaitteella tai verkon tai palvelun saatavuus vain tietyllä maantieteellisellä alueella eivät yksinään tee palvelusta ennalta rajatun käyttäjäpiirin palvelua.

Esimerkkejä ennalta rajatuista käyttäjäpiireistä:

  • yrityksen työntekijöilleen ja koulun opiskelijoilleen tarjoamat palvelut
  • taksikeskuksen ja taksien sisäinen viestintäpalvelu
  • kahvilan tai hotellin asiakkailleen tarjoama viestintäpalvelu, joka koskee sinänsä hyvin vapaasti valikoituvien asiakkaiden piiriä, mutta käyttäjäpiiri on niin pieni, että kokonaisuutena palvelun tarjontaa ei yleensä voida katsoa yleiseksi teletoiminnaksi

Esimerkiksi työnantajaa, taloyhtiötä, oppilaitosta tai hotellia, joka tarjoaa viestintäpalveluita omille käyttäjilleen, voi kuitenkin koskea yhteisötilaajan sääntely.

Viestintäpalveluun täytyy sisältyä viestien siirtämistä

Viestintäpalvelu muodostuu kokonaan tai pääosin viestien siirtämisestä viestintäverkossa tai on siirto- ja lähetyspalvelua joukkoviestintäverkossa.

Viestintäpalvelun määritelmän täyttävänä siirtämisenä on vähimmillään pidetty internetiin liitetyn sähköpostipalvelimen hallintaa tai puheluiden hallintaa IN-luonteisilla toiminnoilla. Sen sijaan puhtaan vertaisverkko-ohjelmiston (puhdas P2P) tarjoaminen ei ole viestintäpalvelun tarjoamista, mikäli viestit eivät kulje palveluntarjoajan laitteen kautta - eli tämä ei osallistu viestien siirtämiseen.

Verkkopalvelun tulkintaa

Verkkopalvelun tulkinnasta ei ole yhtä paljon vakiintunutta soveltamiskäytäntöä kuin viestintäpalvelusta. Virasto on antanut neuvontaa verkkoyrityksen ja verkkopalvelun tulkinnasta esimerkiksi erilaisille kunnallisille tai paikallisille toimijoille, jotka rakentavat esimerkiksi kuituverkkoja sekä joissakin monen toimijan toteutuksissa.

Lähtökohtaisesti pelkkä viestintäverkon rakentaminen tai omistaminen ei ole yleistä teletoimintaa. Teletoiminnan kynnyksen toiminta ylittää siinä vaiheessa, kun verkkoa tarjotaan tai käytetään yleisten viestintäpalveluiden välittämiseen. Teleyritykseksi virasto on neuvonnassa lähtökohtaisesti arvioinut sen tai ne yritykset, jotka hallinnoivat verkkoa ja käyttävät päätösvaltaa siitä, keille verkkoa tarjotaan. Sillä ei ole merkitystä, kuinka monta teleyritystä (palveluyritys) verkossa toimii.

Verkko- ja palveluyrityksen rajanveto ei aina ole selvä: etenkin IP-verkoissa ja IP-pohjaisissa palveluissa rajanveto voi olla tulkinnanvarainen. Esimerkiksi internetin päällä tarjotuissa viestintäpalveluissa (ns. OTT- eli Over-The-Top-palvelut) viestintäpalvelun tarjoajalla saattaa olla vähimmillään hallussa vain palvelin, jonka avulla palveluja toteutetaan ja ohjataan avoimessa internetissä.

Teletoiminnan määrittely on teknologianeutraalia

Teletoiminnan sääntely on teknologianeutraalia. Se koskee kohdeviestintää kuten puhelin-, tekstiviesti-, laajakaista- ja sähköpostipalveluita ja joukkoviestintää kuten kaapelitelevisio-, IPTV-, antennitelevisio- ja radiopalveluita.

Joukkoviestintäverkoissa teletoimintaa on esimerkiksi antenni-, kaapeli- ja IPTV-verkkojen ylläpito ja tarjonta ja kaapeli- tai IPTV-liittymän tarjoaminen. Ohjelmavirran tekniseen välittämiseen ja teletoimintaan kuuluvat esimerkiksi kuvan ja äänen synkronointi ja teksti-tv:n ja sähköisen ohjelmaoppaan (EPG) tietojen välittäminen.

Myös maksuton palvelu voi olla yleistä teletoimintaa

Yleinen teletoiminta voi olla vastikkeellista tai vastikkeetonta. Muukin kuin kaupallinen toimija voi olla lain tarkoittama teleyritys, koska laissa ei ole säädetty yleiselle teletoiminnalle vastikkeellisuuden vaatimusta. Teleyrityssääntely voi siten koskea myös esimerkiksi kaupunkeja tai muita epäkaupallisia toimijoita ja internetin ilmaispalveluja.

Esimerkkejä teletoiminnan tulkinnasta

Yhteisötilaajat

Sähköisen viestinnän palveluista annetun lain mukaan yhteisötilaajalla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä ja yhteisöä, joka käsittelee viestintäverkossaan käyttäjien viestejä, välitystietoja tai sijaintitietoja.

Yhteisötilaaja voi olla esimerkiksi elinkeinonharjoittaja, osuuskunta, osakeyhtiö, yhdistys, oppilaitos tai valtion virasto. Yhteisötilaaja voi olla esimerkiksi yritys, joka hankkii ja tarjoaa puhelin- ja laajakaistaliittymät työntekijöilleen ja WLAN-yhteyden toimitiloissaan vieraileville sekä käsittelee sisäverkossaan välitystietoja eli oikeus- tai luonnolliseen henkilöön yhdistettävissä olevaa tietoa, jota käsitellään esimerkiksi viestin välittämiseksi. Myös taloyhtiöiden asukkaiden yhteisliittymäjärjestelyt voivat olla yhteisötilaajia. Perhettä ei katsota yhteisötilaajaksi, vaikka kotona olisi sisäinen viestintäverkko (kuten WLAN-verkko), jota käyttäen perheen jäsenet esimerkiksi surfailevat internetissä yhteiseksi hankitun laajakaistan avulla.

Yhteisötilaajia koskevat toimivuudesta, tietoturvasta ja luottamuksellisen viestinnän suojasta huolehtimisen velvoitteet sekä toisaalta vaikkapa välitystietojen käsittelyoikeudet säädetään sähköisen viestinnän palveluista annetussa laissa. Traficomin Kyberturvallisuuskeskus valvoo näiden säädösten noudattamista. Traficomille on myös laissa annettu toimivaltuuksia tiettyjen lakia tarkentavien teknisten määräysten antamiseen, mutta toistaiseksi virasto ei ole käyttänyt näitä oikeuksia yhteisötilaajia koskien.

Viestinnän välittäjät

Viestinnän välittäjät ovat toimijoita, joiden palvelu perustuu luottamukselliseen viestinnän välittämiseen esimerkiksi jonkin sähköisen palvelun sisällä.

Viestinnän välittäjän on usein tehtävänsä vuoksi pakko käsitellä viestejä ja välitystietoja, jotta palvelut toimisivat ja vika- tai virhetilanteita saataisiin selvitettyä.

Laissa säännellään kaikkien viestinnän välittäjien käsittelyoikeuksista sekä asetetaan näille velvollisuus huolehtia palveluiden tietoturvasta.

Viestinnän välittäjiä ovat:

  • Teleyritykset
  • Yhteisötilaajat
  • Muut viestinnän välittäjät

Muut sähköisen viestinnän välittäjät on toimijaryhmä, joka on otettu sähköisen viestinnän palveluista annetussa laissa tietoturva- ja tietosuojasääntelyn piiriin vuoden 2015 alusta lukien. Muutoksen myötä sähköisen viestinnän luottamuksellisuuden suojan sääntely ja tietoturvan varmistaminen on ulotettu koskemaan kaikkia viestinnän välittäjiä, sillä he ovat luottamuksellisen viestinnän suojan kannalta kriittisessä asemassa.

Esimerkkejä muiden viestinnän välittäjien palveluista

Muulla viestinnän välittäjällä tarkoitetaan kaikkia sellaisia toimijoita, jotka ovat käyttäjiin nähden teleyrityksiä vastaavina viestintää välittävinä toimijoina. He ovat kolmansia, ulkopuolisia tahoja keskenään palvelun avulla viestiviin käyttäjiin nähden. Luottamuksellisen viestinnän välittäminen ei tarvitse olla palvelun ainoa tarkoitus tai edes sen päätarkoitus, jotta toiminta kuuluisi sääntelyn piiriin. Useissa palveluissa luottamuksellisen viestinnän välittäminen onkin yksi ominaisuus monien joukossa.

Esimerkiksi seuraavia palveluja tarjoava toimija voi olla viestinnän välittäjä:

  • Treffipalvelut, joissa viestintätoiminnallisuus käyttäjien kesken
  • Oppilaitoksille tarkoitetut viestintäratkaisut, joissa esimerkiksi huoltajat ja opettajat voivat viestiä keskenään
  • Joukkueille ja seuroille tarjottavat palvelut, joissa voidaan välittää tiedotteita jäsenille tai viestiä esimerkiksi huoltajien ja valmentajien kesken
  • Rajatulle käyttäjäpiirille tarjottavat WLAN-palvelut, kuten yksittäisten kahviloiden WLAN-verkot

Lain velvoitteet kohdistuvat luonnollisesti vain siihen palvelun osaan, jossa välitetään luottamuksellista viestintää. Esimerkiksi käyttäjien välinen viestintämahdollisuus internetin treffipalvelujen sisällä on vain yksi palvelun ominaisuuksista. Keskustelutoiminnallisuuden tarjoaminen internetin treffipalveluissa on viestinnän välittämistä, jonka luottamuksellisuutta ja turvallisuutta taataan sääntelyllä.

Oppilaitoksilla on yleisesti käytössä palveluita, joiden avulla opettajat voivat lähettää viestejä esimerkiksi huoltajille tai päinvastoin. Tällaisia palveluita tarjoavat ja ylläpitävät tahot ovat viestinnän välittäjiä. Samoin viestinnän välittäjiä ovat toimijat, jotka tarjoavat urheiluseuroille ja -joukkueille sovelluksia tai palveluita, joiden kautta voidaan välittää tiedotteita tai viestiä joukkueen jäsenten kesken tai esimerkiksi huoltajan tai valmentajan välillä.

Rajatulle käyttäjäpiirille tarjottavat WLAN-palvelut, kuten yksittäisten kahviloiden tai hotellien tarjoamat WLAN-palvelut luetaan myös viestinnän välittäjiksi. Laajamittaisessa WLAN-palveluiden tarjoamisessa, kuten kaupunkien laajapeittoisissa palveluissa, saattaa olla kyse myös yleisestä teletoiminnasta, jolloin toimintaan kohdistuu lisäksi teletoimintaa koskevia velvoitteita.

Verkkojulkaisut ja keskustelupalstat eivät ole viestinnän välitystä

Viestinnän välittäjinä ei pidetä verkkoviestien ja verkkojulkaisujen tarjolla pitäjiä tai julkaisutoiminnan harjoittajia. Esimerkiksi julkista keskustelupalstaa internetissä tarjolla pitävä toimija ei ole viestinnän välittäjä. Yksityisissä ja henkilökohtaisissa tarkoituksissa tapahtuvaan viestinnän välittämiseen ei myöskään kohdistu sähköisen viestinnän palveluista annetun lain sääntelyä. Tällä tarkoitetaan esimerkiksi kotitalouksien ylläpitämiä WLAN-tukiasemia, joita käytetään vain huoneiston asukkaiden ja satunnaisten vieraiden kesken.

Digitaalisten palvelujen ja infrastruktuurin tarjoajat (NIS)

EU:n verkko- ja tietoturvadirektiivissä (ns. NIS-direktiivi) säädetään yhteiskunnan kriittisen infrastruktuurin tarjoajien tietoturvavelvollisuuksista ja häiriöistä ilmoittamisesta monilla sektoreilla.

Kyberturvallisuuskeskus ohjaa ja valvoo direktiivin tarkoittamien digitaalisten palvelujen tarjoajia ja digitaalisen infrastruktuurin tarjoajia. Näiden toimijoiden velvoitteista säädetään sähköisen viestinnän palveluista annetussa laissa.

Digitaalisen infrastruktuurin tarjoajat

NIS-direktiivin digitaalisen infrastruktuurin sääntely koskee internetin:

  • yhdysliikennepisteitä (IXP, Internet Exchange Point)
  • nimipalvelimia (DNS, Domain Name Server)
  • aluetunnuksia (Suomessa .fi ja .ax)

Suomessa internetin yhdysliikennepisteiden ja nimipalvelinten tarjoaminen kuuluvat yleisen teletoiminnan sääntelyn piiriin silloin, kun yhdysliikennepisteissä liitetään yhteen yleisiä viestintäverkkoja ja nimipalvelua tarjotaan osana internetyhteyspalvelua. Näitä digitaalisen infrastruktuurin osia tarjoavat toimijat ovat teleyrityksiä eli niitä koskevat teletoiminnan sääntely. Teletoiminnan tietoturvasta huolehtimisen ja häiriöistä ilmoittamisen vaatimukset on asetettu sähköisen viestinnän palveluista annetussa laissa sekä sitä täydentävissä viraston teknisissä määräyksissä.

Kansallisista internetin aluetunnuksista taas vastaavat Suomessa viranomaiset: Fi-verkkotunnuspäätteestä Traficom ja ax-verkkotunnuspäätteestä Ahvenanmaan Maakuntahallitus. Näitäkin säännellään sähköisen viestinnän palveluista annetussa laissa sekä viranomaisen toiminnan julkisuutta ja tietoturvallisuutta koskevassa säädännössä. Verkkotunnuksissa on käytössä ns. verkkotunnusvälittäjämalli ja välittäjiä koskevat tietoturvallisuuden ja häiriöistä ilmoittamisen velvoitteet on asetettu sähköisen viestinnän palveluista annetussa laissa sekä viraston määräyksessä fi- ja ax-päätteisistä verkkotunnuksista ja niiden välitystoiminnasta.

Digitaalisten palvelujen tarjoajat

NIS-direktiivin digitaalisten palvelujen sääntely koskee seuraavia aloja (suluissa on esimerkkejä palveluiden eurooppalaisista tuottajista):

  • verkossa toimivan markkinapaikan tarjoajia (AppStore, Amazon),
  • hakukonepalvelun tarjoajia (Google ja Bing) ja
  • pilvipalvelun tarjoajia (Microsoft Office 365, DropBox).

Verkossa toimiva markkinapaikka: Sääntely koskee verkossa olevia markkinapaikkoja, joissa kuluttajat ja elinkeinonharjoittajat voivat tehdä verkossa kauppa- tai palvelusopimuksia elinkeinonharjoittajien kanssa. Esimerkiksi digitaaliset sovelluskaupat, joissa tarjotaan eri toimijoiden tarjoamia sovelluksia ja ohjelmistoja, ovat yhdentyyppisiä verkossa toimivia markkinapaikkoja.

Verkossa toimiva hakukone: Sääntely koskee hakukoneita, jotka antavat käyttäjälle mahdollisuuden tehdä hakuja periaatteessa kaikilta verkkosivustoilta mitä tahansa aihetta koskevan kyselyn perusteella.

Pilvipalvelu: Sääntely voi koskea monenlaisia pilvipalveluita eli tietoteknisiä resursseja: infrastruktuurin, kuten verkkojen ja palvelimien tarjontaa (IaaS), ohjelmistojen ja sovellusten tarjontaa (SaaS) tai alustojen tarjontaa ("platformeja", PaaS).

Sääntely ei kuitenkaan koske mikroyrityksiä tai pieniä yrityksiä. Nämä määritellään NIS-direktiivin mukaan tarkemmin komission suosituksessa 2003/361/EY mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä (Ulkoinen linkki).

Suosituksen mukaan:

  • Mikroyritysten sekä pienten ja keskisuurten yritysten (pk-yritysten) luokka koostuu yrityksistä, joiden palveluksessa on vähemmän kuin 250 työntekijää ja joiden vuosiliikevaihto on enintään 50 miljoonaa euroa tai taseen loppusumma on enintään 43 miljoonaa euroa.
  • Pk-yritysten luokassa taas pieni yritys määritellään yritykseksi, jonka palveluksessa on vähemmän kuin 50 työntekijää ja jonka vuosiliikevaihto tai taseen loppusumma on enintään 10 miljoonaa euroa. Pk-yritysten luokassa mikroyritys määritellään yritykseksi, jonka palveluksessa on vähemmän kuin 10 työntekijää ja jonka vuosiliikevaihto tai taseen loppusumma on enintään 2 miljoonaa euroa.
  • Komission suosituksessa on tarkempia ohjeita esimerkiksi siitä, miten mahdolliset yritysten omistussuhteet huomioidaan henkilöstömäärän ja rahamääräisten kynnysarvojen määrittelyssä.

Toisin sanoen, jos digitaalisen palvelun tarjoajan eli verkossa toimivan markkinapaikan, hakukonepalvelun tai pilvipalvelun tarjoajan henkilöstömäärä ja rahamääräiset arvot ylittävät nämä luvut, NIS-direktiivin mukainen sääntely koskee toimintaa.

Lisätietoja toimintaa koskevista velvoitteista

Liitännäispalvelujen ja -toimintojen tarjoajat

Sähköisen viestinnän palveluista annetuissa laissa määritellään viestintäverkkoon tai viestintäpalveluun liittyvät liitännäispalvelut ja liitännäistoiminnot. Kyberturvallisuuskeskus valvoo näiden tarjoamiseen liittyvien tietoturva-, toimivuus- ja luottamuksellisen viestinnän suojan säännöksiä.

Liitännäispalvelulla tarkoitetaan ehdollisen käyttöoikeuden järjestelmää, sähköistä ohjelmaopasta, numeronmuunnosjärjestelmää, tunnistamis-, paikantamis- ja tilatietopalvelua sekä muuta vastaavaa viestintäverkkoon tai viestintäpalveluun liittyvää palvelua, joka mahdollistaa viestintäverkon tai viestintäpalvelun tarjoamisen taikka tukee palvelun tarjoamista niiden kautta.

Liitännäistoiminnolla taas tarkoitetaan liitännäispalvelua sekä rakennusta, rakennuksen sisääntuloa ja kaapelointia, kaapelikanavaa, mastoa sekä muuta vastaavaa viestintäverkkoon tai viestintäpalveluun liittyvää fyysistä rakennetta, toimintoa ja elementtiä, joka mahdollistaa viestintäverkon tai viestintäpalvelun tarjoamisen taikka tukee palvelun tarjoamista niiden kautta.

Tulkintakäytäntöä liitännäistoiminnoista tai -palveluista ei käytännössä vielä ole. Määritelmiin sisältyvät esimerkit ohjaavat tulkintaa. Toimintojen määrittelyllä voi olla merkitystä muun muassa viestintäverkkojen ja -palvelujen teknisen laadun ja tietoturvallisuuden sääntelyssä. Määritelmät kuvaavat myös niitä toimintoja ja palveluja, joita ei yksinään katsota teletoiminnaksi.

Verkkotunnusvälittäjät

Verkkotunnusvälittäjillä tarkoitetaan sähköisen viestinnän palveluista annetun lain mukaan verkkotunnusvälitysilmoituksen tehneitä toiminnanharjoittajia. Verkkotunnusvälittäjä on käytännössä toimija, joka rekisteröi fi-verkkotunnuksia ja tekee niihin liittyviä päivityksiä asiakkaidensa puolesta Traficomin verkkotunnusrekisteriin. Välittäjää koskevat lain mukaiset vastuut ja velvollisuudet. Traficomin Kyberturvallisuuskeskus ohjaa ja valvoo verkkotunnusvälitystoiminnan tietoturvallisuutta.

Vahvat sähköisen tunnistuspalvelut

Vahvan sähköisen tunnistuspalvelun tarjoajat ovat palveluntarjoajia, jotka ovat tehneet tunnistus- ja luottamuspalvelulaissa (617/2009) säädetyn ilmoituksen toiminnasta ja jotka on hyväksytty lain mukaiseen rekisteriin.

Sähköisellä tunnistamisella tarkoitetaan henkilöllisyyden todentamista sähköisesti. Vahvan sähköisen tunnistamisen avulla kuluttajat voivat turvallisesti vahvistaa henkilöllisyytensä erilaisissa sähköisissä palveluissa ja sähköisten asiointipalveluiden tarjoajat voivat tunnistaa asiakkaansa.

Suomessa on kahdenlaisia vahvan sähköisen tunnistamisen palveluntarjoajia

  • Tunnistusvälineen tarjoaja tarjoaa tunnistusvälineitä käyttäjille (esim. pankitunnukset, mobiilivarmenne, kansalaisvarmenne henkilökortilla)
  • Tunnistusvälityspalvelu myy tunnistuspalvelua asiointipalveluille
  • Sama palveluntarjoaja voi halutessaan toimia sekä välineen että välityspalvelun tarjoajana.
  • Rekisteröidyt vahvat sähköiset tunnistuspalvelut muodostavat lain mukaan luottamusverkoston.

Vahva sähköinen tunnistuspalvelu voi olla varmuustasoltaan joko korotettu tai korkea.

Vahvoja sähköisiä tunnistuspalveluita ovat 

  • pankkien verkkopankkitunnukset
  • teleyritysten mobiilivarmenteet
  • Väestörekisterikeskuksen kansalaisvarmenne poliisin myöntämällä henkilökortilla ja eräät muut tunnistusvarmenteet erilaisilla organisaatiokorteilla
  • rekisteröidyt tunnistusvälityspalvelu

Sähköiset luottamuspalvelut (eIDAS)

Sähköiset luottamuspalvelut ovat toimintoja, joita voi käyttää sähköisten asiointipalveluiden luotettavassa toteuttamisessa. Niistä säädetään EU:n eIDAS-asetuksessa (EU) 910/2014.

Luottamuspalvelut voivat olla joko hyväksyttyjä (qualified) tai ei-hyväksyttyjä (non-qualified). Suomessa hyväksyntä haetaan Liikenne- ja viestintäviraston kyberturvallisuuskeskukselta. Hyväksytyt luottamuspalvelut löytyvät kansallisista luotetuista luetteloista (trusted list), jotka ovat päteviä kaikissa EU:n jäsenvaltioissa.

Ei-hyväksytyt luottamuspalvelut ovat eIDAS-asetuksen määritelmien mukaisia palveluita, joille niiden tarjoaja ei ole hakenut hyväksyntää.

Hyväksyttyjä sähköisiä luottamuspalveluita voivat olla seuraavat palvelut (suluissa on palvelua koskeva eIDAS-asetuksen artikla):

  • sähköisen allekirjoituksen varmenne, validointi tai säilyttäminen (artiklat 28, 33 ja 34)
  • sähköisen leiman varmenne, validointi tai säilyttäminen (artiklat 38 ja 40)
  • sähköinen aikaleima (42 artikla)
  • sähköinen rekisteröity jakelupalvelu (44 artikla)
  • verkkosivujen todentamisen varmenne (45 artikla)

Ei-hyväksyttyjä luottamuspalveluja ovat

  • edellä luetellut palvelut, joita ei ole ilmoitettu ja merkitty luotettuun luetteloon
  • eräät muut palvelutyypit, esimerkiksi kehittyneen sähköisen allekirjoituksen tai leiman luontipalvelu