Tärkeää tietoa Euroopan unionin kyberturvallisuusdirektiivistä (NIS2)

Keitä direktiivi koskee?

Direktiivin kohteena olevat organisaatiot ovat joko keskeisiä tai tärkeitä riippuen niiden koosta, toimialasta ja kriittisyydestä. 

Taulukossa kuvatun lisäksi NIS2-direktiiviä sovelletaan liitteessä I tai II tarkoitettua toimijatyyppiä oleviin toimijoihin niiden koosta riippumatta myös, kun:

• toimija tarjoaa ainoana jäsenvaltiossa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen.
• häiriö toimijan tarjoamassa palvelussa voisi vaikuttaa merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen.
• häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia.
• toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.

Lisäksi NIS2-direktiiviä sovelletaan CER-direktiivin (Ulkoinen linkki) nojalla kriittisiksi toimijoiksi määritettyihin toimijoihin niiden koosta riippumatta 

Sekä yllä mainitut ns. koosta riippumattomat poikkeusperusteiset toimijat että ns. CER-kriittiset toimijat ovat keskeisiä toimijoita.

Mitä vaatimuksia NIS-direktiivi asettaa?

Kyberturvallisuuden riskienhallintavelvoitteiden noudattaminen

Toimijalla on oltava käytössä ajantasainen kyberturvallisuuden riskienhallinnan toimintamalli viestintäverkkojen ja tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta.

Toimijoiden on toteutettava kyberturvallisuuden riskienhallinnan toimintamallin mukaiset oikeasuhtaiset tekniset, operatiiviset tai organisatoriset hallintatoimenpiteet viestintäverkkojen ja tietojärjestelmien turvallisuudelle kohdistuvien riskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi.

Kyberturvallisuuden riskienhallinnan toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä on huomioitava ja ylläpidettävä ajantasaisena vähintään NIS2-direktiivin 21 artiklan sisältämän luettelon kymmenen keskeistä kohtaa:

1. riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
2. poikkeamien käsittely;
3. toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
4. toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
5. verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
6. toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
7. perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
8. toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
9. henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
10. tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

Riskienhallinnan toimenpiteet on suhteutettava toiminnan laatuun ja laajuuteen, toimijan poikkeamasta kohtuudella ennakoitavissa oleviin välittömiin vaikutuksiin, toimijan viestintäverkkojen ja tietojärjestelmien riskialttiuteen, poikkeamien todennäköisyyteen ja vakavuuteen, toimenpiteistä aiheutuviin kustannuksiin sekä ajantasainen kehitys huomioiden käytettävissä oleviin teknisiin mahdollisuuksiin torjua uhka.

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksessa on valmisteilla suositus valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteiksi. Suositusluonnoksessa esitellään perustason tietoturvakäytännöt, jotka kuvaavat millaisilla toimilla organisaatio voi suojautua yleisimmiltä kyberuhilta. Perustason tietoturvakäytäntöjä seuraamalla toimijat – myös sellaiset, jotka eivät kuulu NIS-sääntelyn soveltamisalaan – voivat arvioida organisaationsa kyberturvallisuuden kypsyystasoa ja parantaa kyberturvallisuuden tilaa. 

Suosituksen valmistelu noudattaa lainsäädännön valmistelun aikataulua ja suositus julkaistaan lakien hyväksymisen jälkeen. Suositus on parhaillaan lausuntokierroksella. Kirjalliset lausunnot pyydetään toimittamaan Liikenne- ja viestintävirastolle lausuntopalvelu.fi:n (Ulkoinen linkki) kautta viimeistään 31.5.2024.

Valvovat viranomaiset voivat toimialallaan antaa tarkentavia teknisiä määräyksiä riskienhallintaan liittyen.

Lisäksi toimijoiden on hyvä seurata täytäntöönpanosäädösprosessia liittyen NIS2-direktiivin 21 artiklan 5 kohtaan ja 23 artiklan 11 kohtaan, joiden perusteella komissio antaa täytäntöönpanosäädöksiä. Täytäntöönpanosäädökset on hyväksyttävä viimeistään 17. lokakuuta 2024 tietyille toimijoille (esim. DNS-palveluntarjoajille, aluetunnusrekistereille, pilvipalvelujen tarjoajille ja datakeskuspalvelujen tarjoajille), mutta niitä on mahdollista antaa myös muita keskeisiä ja tärkeitä toimijoita koskien. 

Ilmoitusvelvollisuus merkittävistä poikkeamista

Merkittävällä poikkeamalla tarkoitetaan poikkeamaa, joka on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai asianomaiselle toimijalle taloudellisia tappioita taikka poikkeama on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

Poikkeamalla tarkoitetaan tapahtumaa, joka vaarantaa viestintäverkoissa ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden.

NIS2-direktiivin soveltamisalaan kuuluvan toimijan on ilmoitettava viipymättä sen palveluun kohdistuvasta merkittävästä poikkeamasta valvovalle viranomaiselle. 

Ilmoitusvelvollisuus on kolmivaiheinen, eli toimijan on toimitettava valvovalle viranomaiselle 24 tunnin kuluessa poikkeaman havaitsemisesta ensi-ilmoitus ja 72 tunnin kuluessa poikkeaman havaitsemisesta jatkoilmoitus. Poikkeamatilanteen päätyttyä toimijan on toimitettava valvovalle viranomaiselle loppuraportti.

Toimijan on ilmoitettava viipymättä merkittävästä poikkeamasta palvelujensa vastaanottajille, jos merkittävä poikkeama todennäköisesti haittaa toimijan palvelujen tarjoamista.

Miten merkittävistä poikkeamista ilmoitetaan?

NIS2-direktiivin soveltamisalaan kuuluvan toimijan on ilmoitettava viipymättä sen palveluun kohdistuvasta merkittävästä poikkeamasta valvovalle viranomaiselle. 

Suomessa ilmoituksen voi tehdä Traficomin Kyberturvallisuuskeskuksen parhaillaan kehityksessä olevalla NIS2-ilmoitussovelluksella.

Käytettäessä Kyberturvallisuuskeskuksen NIS2-ilmoitussovellusta, tieto välittyy valvovan viranomaisen lisäksi myös Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskus käyttää saamaansa tietoa kansallisen kyberturvallisuuden tilannekuvan koostamiseen sekä yleisestä tietoturvatietoudesta viestimiseen.   

Vapaaehtoinen ilmoittaminen Traficomin Kyberturvallisuuskeskukselle 

Kaikki yritykset ja organisaatiot voivat ilmoittaa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskukselle niihin kohdistuneista tietoturvaloukkauksista, kuten tietojen kalastelusta tai palvelunestohyökkäyksistä, sekä näiden loukkausten yrityksistä. 

Ilmoitus kannattaa tehdä, vaikka kyseessä ei olisi NIS-direktiivin tarkoittama merkittävä tietoturvaloukkaus, sillä yhteydenottojen perusteella Kyberturvallisuuskeskus voi auttaa uhria tietoturvaloukkauksen teknisessä selvityksessä. Lisäksi Kyberturvallisuuskeskus käyttää saamaansa tietoa kansallisen kyberturvallisuuden tilannekuvan koostamiseen sekä yleisestä tietoturvatietoudesta viestimiseen. Ilmoitusten käsittely on luottamuksellista.

Aloita alla olevan lomakkeen täyttäminen valitsemalla oletko yksityishenkilö vai organisaation edustaja. Voit jättää myös anonyymin vinkin. Lomake ohjaa eteenpäin ja antaa neuvoja yleisimpiin tietoturvahäiriöihin. 

Miten valmistautua direktiivin kyberturvallisuuden riskienhallinnan vaatimuksiin?

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus valmistelee suositusta kyberturvallisuuden riskienhallinnan toimenpiteistä. Suositus laaditaan valvovien viranomaisten tueksi NIS2-direktiivissä säädettyjen kyberturvallisuuden riskienhallinnan toimenpiteiden soveltamiseen sekä toimijoiden ohjaukseen, neuvontaan ja valvontaan.

Suositus perustuu NIS2-direktiivin ja valmisteilla olevaan kansalliseen sääntelyyn ja noudattaa yleisiä hyviä kyberturvallisuuden käytänteitä, jotta ne soveltuvat valvovien viranomaisten ohella myös toimijoiden sekä muiden toimialojen viranomaisten ja toimijoiden tarpeisiin.

Suositus tulee sisältämään kyberturvallisuuden riskienhallinnan toimenpiteiden toteutusesimerkit, todennustavat ja linkitykset yleisimmin käytettyihin standardeihin ja viitekehyksiin sekä työkaluihin. Suosituksessa ei kuitenkaan esitetä minkään standardin tai viitekehyksen käyttöönottoa.

Suositusluonnos on lausuttavana Lausuntopalvelussa. (Ulkoinen linkki) Kirjallisia lausuntoja voi jättää 31.5.2024 saakka. Lopullinen suositus muotoutuu lakien valmistuttua.

Suositus tulee sisältämään kyberturvallisuuden riskienhallinnan toimenpiteiden linkityksen myös Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen tarjoamaan Kybermittariin, joka on hyvistä, ryhmitellyistä käytänteistä luotu mittaristo kyberturvallisuuden kypsyystason toistuvaan arviointiin, kehittämiseen ja raportointiin. Linkityksen tavoitteena on edistää suosituksen soveltamista, vuorovaikutusta sidosryhmien välillä sekä kyberturvallisuuden kehittämistä myös kansallisella tasolla. 

Suosituksen toimenpiteiden kohdalla annettu linkitys ohjaa osioihin ja tavoitteisiin, jotka sisältävät valittavaksi erilaisia hyviä käytäntöjä. Erilaisia, tarkempiakin linkityksiä voidaan jatkossa luoda käytäntötasolle, jotta voidaan huomioida esimerkiksi toimialakohtaiset erityispiirteet ja uhkaprofiili, jotka vaikuttavat tarvittaviin kyvykkyyksiin suojautua kyberuhilta turvata toiminnan jatkuvuus. Kybermittari on myös tältä osin täysin muokattavissa organisaation omiin tarpeisiin. 

Mitkä viranomaiset vastaavat toimialojen valvonnasta ja ohjeistuksesta?

Sektorikohtaiset valvovat viranomaiset valvovat lain, sen nojalla annettujen määräysten sekä NIS2-direktiivin nojalla annettujen säädösten, eli komission täytäntöönpanosäädösten noudattamista kunkin sektorin toimijoiden osalta.

Miten viranomaiset tukevat kriittisiä toimijoita?

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus tukee NIS-direktiivin kohteena olevia organisaatioita ylläpitämään ja kehittämään tietoturvaansa erilaisin palveluin. 

Kyberturvallisuuskeskus tuottaa useita erilaisia tilannekuvatuotteita organisaatioiden käyttöön. Tilannekuvatuotteet antavat käyttäjilleen ajantasaista tietoa kyberturvallisuuteen vaikuttavista tapahtumista ja ilmiöistä. 

Kyberturvallisuuskeskus ylläpitää eri toimialoille tarkoitettuja postituslistoja. Listoille lähetetään toimialaan liittyviä tietoturvatiedotteita ajankohtaisista aiheista. Listojen jäsenyyttä voi tiedustella osoitteesta kyberturvallisuuskeskus@traficom.fi

Seuraamusmaksut

Hallinnollisen seuraamusmaksun määrää seuraamusmaksulautakunta valvovan viranomaisen esityksestä. Hallinnollinen seuraamusmaksu määrätään maksettavaksi valtiolle.

Hallinnollisen seuraamusmaksun enimmäismäärä keskeiselle toimijalle on 10 000 000 euroa tai 2 prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Hallinnollisen seuraamusmaksun enimmäismäärä muulle kuin keskeiselle toimijalle on 7 000 000 euroa tai 1,4 prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Mitkä ovat muiden viranomaisten roolit kyberturvallisuus- ja tietosuoja-asioissa? 

Poliisi 

Tietoverkkorikosten ennalta estämisessä, selvittämisessä ja syyteharkintaan saattamisessa toimivaltaisena viranomaisena toimii poliisi. Tietoverkkorikoksista valtaosa tutkitaan paikallispoliisissa. Kaikissa poliisilaitoksissa toimii digitaalisen todistusaineiston käsittelyyn ja analysoimiseen erikoistuneita yksiköitä. Poliisin valtakunnallinen neuvontapalvelu toimii numerossa 0295 419 800 (arkisin 08-16.15) tai sähköpostitse neuvontapalvelu@poliisi.fi

Keskusrikospoliisi (KRP) on poliisin valtakunnallinen yksikkö, jonka toimialueena on koko Suomi. Keskusrikospoliisissa toimii tietoverkkorikosten esitutkintaan erikoistunut yksikkö, Poliisin kyberrikostorjuntakeskus, jossa tutkitaan pääasiallisesti tietoverkkoympäristöihin kohdennettuja laajoja, ennakkotapausluonteisia ja yhteiskunnallisesti merkittäviä tietoverkkorikoskokonaisuuksia. Rikosilmoitus tulee tehdä sähköisellä rikosilmoituslomakkeella tai ilmoittamalla asiasta paikallispoliisille. 

Rikosilmoituksen voi tehdä verkossa tai käymällä paikallisella poliisiasemalla. Nettivinkki on ilmoituskanava, jonne voi tehdä ilmoituksen pienimmistäkin, ei rikoksen tunnusmerkistön täyttävistä, kyberhäiriöistä tai havainnosta. Organisaatio vastaa itse havaitsemansa tietoturvatapahtuman ensivasteesta sekä rajoittamis- ja muista toimenpiteistä. Poliisin suorittamaa tutkintaa varten organisaation on syytä varmistaa todistusaineiston turvaaminen myöhempää mahdollista rikostutkintaa varten. Käytännössä tämä tarkoittaa kohteiden, tapahtumien, toimenpiteiden ja ajankohtien mahdollisimman tarkkaa dokumentointia. Järjestelmien ja tietoliikennelokien mahdollisimman laaja ja kattava talteenotto on ensisijaisen tärkeää. Lokitiedot tulee ottaa talteen sekä säilyttää alkuperäisinä ja muuttumattomina

Tietosuojavaltuutetun toimisto 

Tietosuojavaltuutettu on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista. Tietosuojavaltuutetun tehtävinä on mm. valvoa tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista, edistää tietoisuutta henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista, velvollisuuksista ja oikeuksista, tehdä selvityksiä ja tarkastuksia sekä määrätä hallinnollisia seuraamuksia tietosuoja-asetuksen rikkomisesta.