Sääntelyn toimintatavat

Ohjaamme ja valvomme toimivaltaamme kuuluvia tietoturvallisuuden, häiriöttömyyden ja luottamuksellisen viestinnän suojan säädöksiä. Laadimme näistä aiheista määräyksiä, suosituksia ja selvityksiä sekä rekisteröimme ja valvomme toimijoita. Edistämme toimijoiden välistä tiedonvaihtoa. Toiminnan periaatteita ovat yhteistyö, avoimuus, luotettavuus ja tasapuolisuus.

Ennakoivaa ohjausta ja vaikuttavaa valvontaa

Virasto suosii ennaltaehkäisevää ja laajavaikutteista ohjausta. Pyrimme näin osaltamme edistämään yritysten toimintamahdollisuuksia. Ohjaustoimintaa on:

  • yritysten ja niiden asiakkaiden neuvonta
  • kansallinen ja kansainvälinen sidosryhmäyhteistyö
  • yhteis- ja itsesääntelyn edistäminen
  • lakien velvoitteita tarkentavien määräysten laatiminen
  • ohjeiden ja suositusten laatiminen
  • selvitykset, raportit, julkaisut
  • toimialan kehityksen seuraaminen

Lainsäädännön noudattamisen valvonnassa tavoitteena on:

  • tunnistaa ongelmat ajoissa ja ehkäistä ne
  • selvittää asiat yhteistyössä toimijoiden kanssa, mutta huolehtien tietojen luottamuksellisuudesta
  • toimia niin, että toimenpiteiden vaikutukset ovat mahdollisimman tehokkaat ja suurta joukkoa koskevat
  • toimia joustavasti niin, että tarpeettomilta oikeusriidoilta tuomioistuimissa vältytään
  • panostaa perusluonteisten palveluiden ohjaukseen ja valvontaan
  • antaa aina tarvittaessa kirjallinen päätös, josta voi valittaa hallintotuomioistuimeen

Valvontatapoja ovat:

  • selvitykset ja valvontakyselyt
  • valvontatilastojen kerääminen
  • häiriöilmoitusten vastaanotto ja käsittely
  • vaatimustenmukaisuuden tarkastus ja rekisteröinti
  • valvontapäätökset valitus-, riita- tai muussa asiassa
  • tarkastuskäynnit

Ohjaus ja valvonta voi olla säännöllisesti toistuvaa tai tapauskohtaista ja se voi koskea suurta toimijajoukkoa tai yksittäistä toimijaa. Toimenpiteiden käynnistäjiä ovat lainsäädännön, markkinoiden ja tekniikan muutokset, sidosryhmäyhteistyössä tehdyt havainnot, valvottavien tarpeet ja ristiriidat, valitukset sekä asiakkaiden muut yhteydenotot.

Ohjaustoiminta

Lainsäädännön soveltamiseen liittyvä valvottavien yritysten ja niiden asiakkaiden neuvonta

Kyberturvallisuuskeskuksen valvonnan piiriin kuuluvien palveluntarjoajien sekä näiden asiakkaiden yhteydenotot ja kysymykset pyritään selvittämään ensisijaisesti neuvonnalla. Neuvontaa annetaan verkkosivuilla, sähköpostitse, kirjeitse ja puhelimitse. Neuvonta koskee niitä asioita, jotka kuuluvat lain mukaan Kyberturvallisuuskeskuksen valvontaan. Muissa asioissa kysyjä neuvotaan kääntymään oikean viranomaisen puoleen. Kyberturvallisuuskeskus tekee myös yhteistyötä muiden viranomaisten kanssa asiakkaiden ongelmien ja neuvontatarpeiden ratkaisemiseksi.

Kyberturvallisuuskeskus neuvoo sen valvonnan piiriin kuuluvia asiakkaita myös säännösten ja hyvien käytäntöjen noudattamisessa ja soveltamisessa. Neuvontaa annetaan sekä kirjallisesti että suullisesti työryhmissä, seminaareissa ja muissa tapaamisissa sekä yksittäisissä yhteydenotoissa. Virasto ei kuitenkaan konsultoi yrityksiä eri toiminta- tai toteutusvaihtoehdoista.

Kansallinen ja kansainvälinen yhteistyö

Kyberturvallisuuskeskus osallistuu aktiivisesti alansa kansalliseen ja kansainväliseen yhteistyöhön. Virasto myös osallistuu julkiseen keskusteluun sekä kertoo avoimesti ja aktiivisesti päätöksistään ja linjauksistaan.

Kansallisen yhteistyön avulla reagoidaan toimintaympäristön muutoksiin ja saadaan tietoa. Tämän yhteistyön kautta kansallinen tieto ja osaaminen saadaan laajasti mukaan eri asioiden valmisteluun. Samalla toimijat saavat mahdollisuuden vaikuttaa toimintaansa koskeviin asioihin. Sidosryhmiä kuuntelemalla viraston ratkaisuissa voidaan myös ottaa huomioon alan toimijoiden ja palvelujen käyttäjien toiveet, edut ja näkemykset.

Kansallista yhteistyötä Kyberturvallisuuskeskus toteuttaa paitsi osallistumalla oman alansa keskusteluun, seminaareihin ja viranomaisyhteistyöfoorumeihin, myös perustamalla erilaisia työryhmiä tarpeen mukaan: Osa perustetaan jotakin yksittäistä tehtävää varten, osa on luonteeltaan pysyviä. Työryhmät ovat luonteeltaan neuvoa antavia ja asiantuntijatietoa kokoavia eli ne eivät ole päätöksiä tekeviä elimiä. Työryhmiin osallistuu käsiteltävän asian mukaan edustajia teleyrityksistä, teleteollisuudesta, käyttäjäryhmistä ja muista yhteistyöorganisaatioista.

Uuden työryhmän perustamisesta ilmoitetaan sidosryhmille mahdollisimman laajasti. Työryhmän työhön voi ilmoittautua myös myöhemmin työn kuluessa.

Kansalliseen yhteistyöhön kuuluvat myös erilaiset yhteishankkeet, joissa Kyberturvallisuuskeskus yhdessä muiden alan toimijoiden kanssa edistää alan kehitystä ja toimintatapoja.

Kyberturvallisuuskeskus osallistuu eurooppalaiseen ja kansainväliseen yhteistyöhön. Kansainvälistä yhteistyötä tehdään esimerkiksi monissa EU:n direktiivien tai asetusten täytäntöönpanoon liittyvissä virallisissa työryhmissä tai valvovien viranomaisten epävirallisissa ryhmissä. Kyberturvallisuuskeskus vaihtaa myös aktiivisesti tietoa erityisesti Pohjoismaiden ja Baltian maiden viranomaisten kanssa.

Yhteissääntely ja itsesääntely

Yhteissääntelyn ja itsesääntelyn edistäminen on yksi osa kansallista yhteistyötä.

Yhteis- tai itsesääntely voi joko korvata tai täydentää säännöksiin ja viranomaisvaatimuksiin perustuvaa sääntelyä.

  • Yhteissääntelyssä yhdistyvät yleensä lainsäädäntö ja itsesääntely. Yhteissääntelyllä tarkoitetaan, että lainsäätäjän määrittelemät tavoitteet pyritään saavuttamaan yhdessä yksityisten toimijoiden kanssa myös näiden omilla toimenpiteillä. Tavoitepainotteisessa yhteissääntelyssä viranomainen asettaa tavoitteet, mutta delegoi sääntelyn täytäntöönpanoon liittyvät yksityiskohdat sääntelyn kohteille.
  • Itsesääntelyllä tarkoitetaan käytäntöjä, sääntöjä, ohjeita tai vapaaehtoisia sopimuksia, jotka yksityisen sektorin toimijat vahvistavat itse ohjatakseen ja organisoidakseen toimintaansa. Tehokkaaseen itsesääntelyyn kuuluisivat paitsi säännöt, myös valvontajärjestelmä sanktioineen ja mekanismi riitojen ratkaisemiseksi.

Yhteissääntelyn edellytykset

Selvityksen perusteella virasto arvioi, että:

  • tarkoituksenmukaisin ja toteuttamiskelpoisin malli on tavoitepohjainen yhteissääntely, jossa viranomainen asettaa tavoitteet yhdessä toimialan kanssa
  • aiheen on oltava riittävän tekninen ja kilpailun kannalta neutraali
  • valmisteluprosessin on oltava tasapuolinen ja avoin
  • valvonta ja sanktiointi kuuluvat luontevammin viranomaiselle kuin yrityksille
  • toimialalle sopivia välillisiä valvontatapoja voisivat olla ainakin yhteissääntelyyn sitoutumisen julkisuus ja aiheesta riippuen myös toimenpiteiden julkistaminen
  • vastuu siitä, ettei kilpailulainsäädännön vaatimuksia rikota, on viime kädessä yhteissääntelyyn osallistuvilla yhteisöillä

Lakia tarkentavien määräysten laatiminen

Laissa ei ole tarkoituksenmukaista säätää yksityiskohtaisesti alati muuttuvista teknisistä asioista, joten virastolle on annettu tiettyjä toimivaltuuksia tarkentaa lakia teknisillä määräyksillä. Määräykset ovat osa toimijoita velvoittavaa lainsäädäntöä ja ne kohdistuvat yleisesti toimintoon tai toimijoihin, ei tiettyyn nimeltä mainittuun toimijaan tai toimijoihin.

Kyberturvallisuuskeskus valmistelee oman toimialansa määräykset. Määräyksiä annetaan asioista, joista katsotaan niiden vaikuttavuuden varmistamiseksi tarpeelliseksi huolehtia säädösteitse. Käytännössä määräykset valmistellaan pääsääntöisesti keskuksen asettamissa työryhmissä yhdessä sidosryhmien edustajien kanssa.

Ohjeiden ja suositusten laatiminen

Kyberturvallisuuskeskus julkaisee toimialaansa liittyviä ohjeita ja suosituksia, jotka eivät ole toimijoita juridisesti velvoittavia, kuten vaikkapa määräykset. Niistä viraston valvomat toimijat, niiden asiakkaat ja muut sidosryhmät saavat tietoa hyvistä käytännöistä.

Suositukset ja ohjeet Kyberturvallisuuskeskus laatii itse tai yhdessä toimijoiden kanssa. Suosituksia ja ohjeita voidaan julkaista omina erillisinä asiakirjoina tai niitä voi sisältyä muihin asiakirjoihin. Erillisinä asiakirjoina julkaistavat suositukset ovat tyypillisesti pidempiä. Muihin asiakirjoihin sisältyvät suositukset ovat luonteeltaan lyhyitä ja yleensä jotain pienempää kokonaisuutta käsitteleviä.

Selvitykset, raportit ja julkaisut

Kyberturvallisuuskeskus laatii itse tai yhteistyössä sidosryhmiensä kanssa toimialaansa liittyviä selvityksiä, raportteja ja katsauksia. Joskus näitä saatetaan myös teettää muilla toimijoilla.

Käytännössä selvityksissä, raporteissa ja muissa julkaisuissa tyypillisesti kuvataan asiantila tai nähtävissä oleva kehitys. Julkaisut voivat myös sisältää esiselvityksen määräys- tai vaikkapa suositustyön pohjaksi.

Toimialan kehityksen seuraaminen

Kyberturvallisuuskeskus seuraa laajasti ja monella tasolla oman toimialansa eli tietoturvan ja toimintavarmuuden niin teknistä kuin lainsäädännöllistä kehitystä. Toimialan kehityksen seuraaminen luo pohjan kaikelle keskuksen ohjaus- ja valvontatyölle.

Valvontatoiminta

Selvitykset ja valvontakyselyt

Kyberturvallisuuskeskus tekee säännöllisesti tai tarpeen mukaan valvottaville yrityksille ja yhteisöille kirjallisia kyselyitä, joilla selvitetään, miten nämä toteuttavat säännösten ja määräysten vaatimukset omassa toiminnassaan. Kyselyt ovat yksityiskohtaisia, ne rajataan tavallisesti joihinkin aihealueisiin ja tyypillisesti osoitetaan tietyille toimijaryhmille.

Vastausten perusteella keskus voi antaa yrityksille yleistä tietoa hyvistä käytännöistä, velvoittaa yritystä korjaustoimenpiteisiin, kohdistaa valvontaa ja neuvontaa, arvioida määräysten muutostarpeita sekä tuottaa yleistä julkista tietoa verkoista ja palveluista

Valvontatilastojen kerääminen

Kyberturvallisuuskeskuksen valvomassa säädännössä, kuten viraston teknisissä määräyksissä velvoitetaan toimijoita keräämään ja tuottamaan tilastoja. Esimerkiksi teleyrityksiä koskee velvollisuus tuottaa tilastoja toimivuushäiriötilanteiden korjausajoista. Virasto kerää näitä tilastoja säännöllisesti saadakseen kokonaiskuvaa verkkojen ja palvelujen tilanteesta.

Häiriöilmoitukset

Laissa on säädetty monille toimijoille velvollisuus ilmoittaa viranomaiselle häiriöistä, tietoturvaloukkauksista tai tietoturvauhkista.

Lakisääteisten häiriöilmoitusten lisäksi kuberturvallisuuskeskus vastaanottaa useilta muiltakin toimijoilta ilmoituksia niin tietoturvaloukkauksista, sellaisten uhkista kuin toimivuusongelmistakin.

Ilmoitusten perusteella Kyberturvallisuuskeskus muodostaa tilannekuvaa viestintäverkkojen ja -palvelujen, digitaalisten palvelujen ja muiden valvomiensa palvelujen toimivuudesta ja tietoturvasta. Ilmoituksista kerätään tietoa vastaavan välttämiseksi tulevaisuudessa ja valvotaan, että voimassa olevia säädöksiä on noudatettu.

Ilmoitusvelvollisuus koskee esimerkiksi seuraavia

  • Teleyrityksen ja NIS-direktiivin tarkoittaman digitaalisten palvelun tarjojan täytyy ilmoittaa Traficomille, käytännössä sen Kyberturvallisuuskeskukselle, jos niiden palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus (ns. tietoturvahäiriö).
  • Teleyrityksiä koskee myös velvollisuus ilmoittaa muista tapahtumista, jotka estävät viestintäpalvelun toimivuuden tai häiritsevät sitä olennaisesti (ns. toimivuushäiriö).
  • Lisäksi laki velvoittaa teleyritykset ilmoittamaan tilaajilleen ja käyttäjilleen tietoturva- ja toimivuushäiriöistä.
  • Vahvan sähköisen tunnistuspalvelun tarjoajan on ilmoitettava merkittävistä häiriöistä
  • Sähköisen luottamuspalvelun (sekä hyväksytyt että ei-hyväksytyt eIDAS-luottamuspalvelut) on ilmoitettava merkittävistä häiriöistä

Vaatimustenmukaisuuden tarkastus ja rekisteröinti

Vahvan sähköisen tunnistuspalvelun tarjoajan ja EU:n eIDAS-asetuksen mukaisen hyväksytyn luottamuspalvelun tarjoajan on ennen toiminnan aloittamista tehtävä ilmoitus toiminnasta ja annettava selvitys vaatimusten täyttämisestä.

Kyberturvallisuuskeskus tarkastaa, että toiminta täyttää vaatimukset ja rekisteröi palvelut.

Valvontapäätökset valitus-, riita- tai muussa asiassa

Traficomin Kyberturvallisuuskeskus toimii useissa asioissa valitusviranomaisena. Jos ongelma ei selviä neuvonnalla ja neuvottelemalla, virasto selvittää asian hallintomenettelyssä ja antaa siitä valituskelpoisen päätöksen.

Päätöstä voidaan tarvita esimerkiksi silloin, jos sääntelyn piiriin kuuluva toimija on laiminlyönyt tai rikkonut säännöksiä, eikä korjaa menettelyään tai jos jollain osapuolella on ristiriitaisten intressien tai tulkintaerimielisyyden takia tarve saada päätös.

Kyberturvallisuuskeskus voi selvittää valvomiensa yritysten ja yhteisöjen toimintaa oma-aloitteisesti, liikenne- ja viestintäministeriön pyynnöstä tai tehdyn valituksen perusteella. Keskus voi ratkaista vain ne asiat, joihin sillä on laissa säädetty toimivalta. Muissa asioissa virasto ohjaa asiakkaan ottamaan yhteyttä tai siirtää asian itse toimivaltaiselle viranomaiselle.

Valitus- riita- tai muu asia selvitetään hallintolain mukaisesti kuulemalla kaikkia asianosaisia pääsääntöisesti kirjallisesti. Myös suulliset selvitykset ja tarkastukset ovat mahdollisia.

Virasto antaa asiassa kirjallisen perustellun päätöksen siitä, onko selvitetty toiminta säännösten mukaista, ja velvoittaa tarvittaessa rikkojan tai laiminlyöjän korjaamaan tilanteen. Päätöksen tehosteeksi voidaan asettaa uhkasakko tai keskeytys- tai teettämisuhka.

Päätökseen liittyy valitusohje, jossa ohjeistetaan, mihin tuomioistuimeen siitä voi valittaa. Viraston päätöksistä valitetaan asiasta riippuen joko hallinto-oikeuteen, korkeimpaan hallinto-oikeuteen tai markkinaoikeuteen. Teknistä toimivuutta ja tietoturvallisuutta koskevista Traficomin päätöksistä voi valittaa hallinto-oikeuteen. Päätöstä on noudatettava muutoksenhausta huolimatta, ellei hallinto-oikeus toisin määrää.

Kyberturvallisuuskeskus ei voi velvoittaa päätöksellään korjaamaan yksittäisen asiakkaan viestintäpalvelun teknistä toimivuutta tietyssä ajassa. Päätöksellä voidaan ainoastaan ratkaista, onko teleyrityksen toiminta säännösten mukaista. Sen sijaan asiakkaalla voi olla oikeus vakiokorvaukseen tai hyvitykseen sopimusrikkomuksen takia. Korvauksia koskevat riidat ratkaisee yleinen tuomioistuin. Kuluttaja-asiakkaat voivat kääntyä myös kuluttajariitalautakunnan puoleen.

Esimerkkejä tapauksista, joissa Kyberturvallisuuskeskus voi tehdä velvoittavia päätöksiä toiminnan korjaamisesta säädettyjen vaatimusten mukaiseksi:

  • teleyrityksen viestintäverkon ja viestintäpalvelun teknisen toimivuuden, tietoturvallisuuden ylläpito ja varmistaminen
  • välitystietojen ja viestien käsittelyn perusteet
  • kustannusten korvaaminen teleyritykselle viranomaisvaatimusten toteuttamisesta viestintäverkossa (telekuuntelu ja televalvonta)
  • vahvan sähköisen tunnistuksen tai hyväksytyn luottamuspalvelun luotettavuusvaatimusten täyttäminen ja tarvittaessa rekisteröinnin peruuttaminen
  • vahvan sähköisen tunnistuksen luottamusverkoston sopimisvelvollisuuksien täyttäminen

Tarkastukset

Kyberturvallisuuskeskus voi tehdä tekniseen toimintavarmuuteen, tietoturvallisuuteen ja muuhun säädettyyn luotettavuuteen kohdistuvia tarkastuksia ja selvittää siten asiaa tarkemmin ja monesti luotettavammin kuin kirjallisella selvityksellä. Teknisen tarkastuksen tarkoituksena on varmistaa, että palvelut on toteutettu keskuksen valvoman säädännön vaatimalla tavalla. Tarkastus voi olla yleistarkastus tai siinä voidaan keskittyä rajattuun asiakokonaisuuteen. Tarkastus voidaan tehdä tarvittaessa myös yksittäisen valituksen selvittämiseksi. Tarkastustoiminnan kohteina ovat sekä varsinaiset palveluntuotantoon käytettävät että palveluntuotantoa tukevat järjestelmät.

Tarkastuksessa valvottavat voivat myös saada neuvontaa virastolta ja antaa palautetta säännösten käytännön soveltamiseen liittyvistä kysymyksistä. Tarkastusoikeudesta ja sen edellytyksistä säädetään aina laissa ja tarkastus tehdään lakiin perustuvien velvoitteiden valvomiseksi.

Käytännössä tarkastuksista sovitaan etukäteen, ellei se vaaranna tarkastuksen tarkoitusta. Tarkastuksen kohteelta voidaan myös pyytää ennakkoselvityksiä. Tarkastus voi koskea laitteita, järjestelmiä, laitetiloja tai asiakirjoja. Toimintavarmuuteen ja tietoturvallisuuteen liittyviä tarkastuksia ei voida tehdä kotirauhan piiriin kuuluvissa tiloissa. Tarkastusmenettelystä säädetään yleisesti hallintolaissa.

Tarkastuksesta laaditaan pöytäkirja, tarkastuskertomus tai muu asiakirja, jonka tarkastuksen kohde voi tarkistaa. Tarkastuksessa saadun selvityksen perusteella Kyberturvallisuuskeskus voi tarvittaessa antaa erilaisia korjausvelvoite-, kielto- tai muita päätöksiä.

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus voi tehdä esimerkiksi

  • teknisen tai turvallisuustarkastuksen teleyrityksen toimintaan ja laitetiloihin
  • vahvan sähköisen tunnistuspalvelun tai luottamuspalvelun tarjoajaa ja näiden tarjoamaa palvelua koskevan tarkastuksen
  • tunnistus- ja luottamuspalvelulaissa säädettyä arviointielintä koskevan tarkastuksen

Sähköisen viestinnän palveluista annettuun lakiin perustuvan turvallisuustarkastuksen Kyberturvallisuuskeskus voi myös teettää valitsemallaan riippumattomalla asiantuntijalla.