Euroopan komissio on antanut direktiiviehdotuksen, jolla halutaan varmistaa verkko- ja tietoturvallisuuden korkea taso EU:n jäsenmaissa. Ehdotus liittyy EU:n kyberturvallisuusstrategian toimeenpanoon.
Hallitus kannattaa direktiiviehdotuksen tavoitetta, mutta pitää tärkeänä, että kansallinen liikkumavara säilyy eikä hallinnollinen taakka muodostu kohtuuttomaksi.
Hallitus antoi direktiiviehdotusta koskevan kirjelmän eduskunnalle 20. maaliskuuta.
Direktiivillä velvoitettaisiin jokainen jäsenvaltio nimeämään kansallinen tietoturvaviranomainen CERT, luotaisiin jäsenvaltioiden ja komission välinen yhteistyömekanismi sekä velvoitettaisiin eräät yhteiskunnan keskeiset alat raportoimaan sähköisiin palveluihin kohdistuvista merkittävistä tietoturvapoikkeamista.
Suomessa Viestintävirasto (CERT-viranomainen) saa nykyisin sähköisen viestinnän alalta tietoja lain perusteella teleyrityksiltä ja toisaalta vapaaehtoisuuteen perustuen Suomen huoltovarmuuden kannalta kriittisiltä yrityksiltä. Direktiiviehdotuksen myötä ainakin osa jo vakiintuneista vapaaehtoisuuteen perustuvista käytännöistä muuttuisi velvoittaviksi ja ne olisi lisättävä lainsäädäntöön.
Hallituksen kirjelmässä korostetaan, että kansallisilla viranomaisilla tulisi säilyttää tarkoituksenmukainen liikkumavara määrittää, millaisen ilmoituskynnyksen ylittävistä tapahtumista yritysten ja hallinnon olisi ilmoitettava viranomaisille.
Hallitus katsoo, ettei direktiivillä tule tarpeettomasti vaarantaa hyvin toimivan tietoturvayhteistyön edellytyksenä olevaa yritysten ja viranomaisten välistä keskinäistä luottamusta eikä lisätä kenenkään hallinnollista taakkaa kohtuuttomasti.
Direktiivissä tulisi ottaa riittävästi huomioon myös kansallisten markkinoiden ja julkishallinnon erilaiset sääntelytarpeet ja etenemisnopeudet. Liian pitkälle viety harmonisointi voisi jarruttaa kehitystä. Siksi komissiolle delegoitavien toimivaltuuksien tulisi olla tarkkarajaisia, oikeasuhtaisia, välttämättömiä ja perusteltuja.
Lisätietoja
neuvotteleva virkamies Timo Kievari, 0295 34 2620
