Ky­ber­tur­val­li­suus­di­rek­tii­vin kansallinen täytäntöönpano etenee: Hallitus esittää uutta ky­ber­tur­val­li­suus­la­kia

EU:n uusi kyberturvallisuusdirektiivi eli NIS 2 -direktiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi). NIS 2 -direktiivi julkaistiin joulukuussa 2022. Jäsenvaltioiden on sovellettava direktiiviä viimeistään 18.10.2024 alkaen.

Kyberturvallisuusdirektiivin tavoitteena on kyberturvallisuuden tason vahvistaminen yhteiskunnan toiminnan kannalta keskeisillä toimialoilla koko EU:n tasolla. Soveltamisalaan kuuluvien toimijoiden on jatkossa arvioitava riskejä, joita kohdistuu niiden käyttämien viestintäverkojen ja tietojärjestelmien turvallisuuteen. Toimijoiden on myös hallittava näitä riskejä. Lisäksi toimijoiden tulee ilmoittaa viranomaisille merkittävistä poikkeamista viestintäverkoissa ja tietojärjestelmissä.

Direktiivin soveltamisala kattaa aiempaa laajemmin esimerkiksi energia- ja terveydenhuoltoalaa sekä digitaalisen infrastruktuurin palveluntarjoajia. Direktiivi koskee myös kokonaan uusia aloja, kuten julkishallintoa, elintarvikealaa, eräitä tuotteita valmistavaa teollisuutta ja jätehuoltoa. Direktiivi koskee pääsääntöisesti keskisuuria ja suurimpia toimijoita näillä aloilla.

Hallitus esittää kyberturvallisuusdirektiivin kansallisen täytäntöönpanon lähtökohdaksi direktiivin vähimmäistasoa. Hallitus ei esitä kansallisia lisäyksiä esimerkiksi direktiivin soveltamisalaan tai velvoitteiden laajuuteen.

Hallitus esittää, että kyberturvallisuusdirektiivi pantaisiin täytäntöön säätämällä kokonaan uusi kyberturvallisuuslaki. Kyberturvallisuuslaissa säädettäisiin kootusti direktiivin mukaisista kyberturvallisuuden velvoitteista, jotka koskevat riskienhallintaa ja merkittävien poikkeamien raportoimista. Lisäksi laissa säädettäisiin velvoitteiden valvonnasta ja muista täytäntöönpanon edellyttämistä viranomaistehtävistä.

Kyberturvallisuusdirektiivin valvonta hajautettaisiin toimialakohtaisille viranomaisille entisen NIS-direktiivin mukaisen valvonnan tapaan. Valvovia viranomaisia olisivat Liikenne- ja viestintävirasto Traficom, Energiavirasto, Turvallisuus- ja kemikaalivirasto, Etelä-Savon ELY-keskus, Ruokavirasto, Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira ja Lääkealan turvallisuus- ja kehittämiskeskus Fimea. Valvovien viranomaisten yhteistyötä koordinoisi Traficom. Hallinnollisia seuraamusmaksuja määräisi erikseen perustettava seuraamusmaksulautakunta, joka koostuisi valvovien viranomaisten nimeämistä jäsenistä.

Lisäksi Traficomin Kyberturvallisuuskeskukseen sijoitettaisiin tietoturvaloukkauksia tutkivan ja niihin reagoivan yksikön eli CSIRT-yksikön tehtävät. Tehtävät vastaavat pitkälti Kyberturvallisuuskeskuksen nykyisiä tehtäviä esimerkiksi kyberuhkien seurannan ja analysoinnin osalta. Yksikkö koordinoisi myös haavoittuvuuksien julkaisemista EU:n suuntaan. Yksikkö voisi toimia kyberturvallisuustietoja koskevien vapaaehtoisten jakamisjärjestelyiden koordinaattorina.

Kyberturvallisuuslaissa säädettäisiin viranomaisille velvollisuudesta hyväksyä kansallinen kyberturvallisuusstrategia sekä laatia laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien hallintasuunnitelma.

Uuden kyberturvallisuusdirektiivin yhteydessä vanha verkko- ja tietoturvadirektiivi kumottiin. Hallituksen esityksellä kumottaisiin myös sen kansallista täytäntöönpanoa koskevat säännökset.

Hallituksen eduskunnalle antamasta esityksestä käydään täysistunnossa lähetekeskustelu, jonka ajankohta ilmoitetaan eduskunnan verkkosivuilla. Lähetekeskustelun jälkeen esitys siirtyy valiokuntaan, jonka mietinnön valmistuttua asian käsittely jatkuu täysistunnossa.

Hallituksen esityksen mukaisten säädösten olisi tarkoitus tulla voimaan 18.10.2024. Valvovalle viranomaiselle tehtävästä ilmoituksesta toimijaluetteloa varten esitetään siirtymäaikaa siten, että ilmoitus olisi tehtävä viimeistään 31.12.2024 mennessä.

Lähde: liikenne- ja viestintäministeriön tiedote.