Luottamusta yhteiskunnan keskeisiin palveluihin tietoturvaa parantamalla

Liikenne- ja viestintäministeriön EU:n verkko- ja tietoturvadirektiivin kansallista täytäntöönpanoa pohtinut työryhmä on loppuraportissaan tehnyt ehdotuksia direktiivin kansallisen täytäntöönpanon suuntaviivoiksi.

Liikenne- ja viestintäministeriö asetti lokakuussa 2016 työryhmän EU:n verkko- ja tietoturvadirektiivin kansallisen täytäntöönpanon tueksi. Työryhmässä olivat edustettuina direktiivin soveltamisen kannalta keskeiset valtionhallinnon toimijat ja sidosryhmät.

Työryhmän tehtävänä oli arvioida voimassa olevan tietoturvalainsäädännön asettamia riskienhallintavelvoitteita ja niiden riittävyyttä direktiivin mukaisilla yhteiskunnan toiminnan kannalta keskeisillä toimialoilla (mm. energia, liikenne ja digitaalinen infrastruktuuri) sekä tukea ministeriötä direktiivin kansallisessa täytäntöönpanossa.

Työryhmä on loppuraportissaan kuvannut voimassa olevia riskienhallintavelvoitteita ja määritellyt direktiivin kansallisen täytäntöönpanon suuntaviivat.

Työryhmä ehdottaa, että direktiivin kansallisessa täytäntöönpanossa velvoitteet tietoturvallisuusriskien hallinnasta ja poikkeamien ilmoittamisesta otettaisiin osaksi sektorikohtaista lainsäädäntöä direktiivin mukaisilla toimialoilla. Näin voitaisiin varmistaa, että tietoturva otetaan huomioon keskeisenä osana toimintaan liittyvää riskienhallintaa. Täten pystyttäisiin myös lisäämään yleistä luottamusta koko suomalaiseen digitaaliseen toimintaympäristöön.

Työryhmä myös katsoo, että vastuu tietoturvallisuusriskienhallintavelvoitteiden valvonnasta eri sektoreilla tulisi olla niillä viranomaisilla, jotka vastaavat jo nyt toimialan muiden turvallisuusvelvoitteiden valvonnasta. Viestintäviraston tehtävänä olisi toimia direktiivin tarkoittamana tietoturvaloukkauksiin reagoivana ja niitä tutkivana yksikkönä (CSIRT-toimija) sekä kansallisena yhteyspisteenä.

Verkko- ja tietoturvadirektiivi

EU:n verkko- ja tietoturvadirektiivi (NIS-direktiivi) velvoittaa jäsenvaltiot määrittämään keskeiset palvelun tarjoajat tietyillä yhteiskunnan toiminnan kannalta kriittisillä aloilla. Direktiivin mukaan jäsenvaltioiden on lisäksi velvoitettava keskeiset palveluntarjoajat sekä tietyt digitaalisten palvelujen tarjoajat kattavaan verkko- ja tietoturvallisuusriskienhallintaan ja raportoimaan palveluitaan vaarantavista turvallisuuspoikkeamista kansallisille viranomaisille.

EU:n verkko- ja tietoturvadirektiivin toimeenpano on osa hallituksen digitaalisen liiketoiminnan kasvuympäristön rakentamiseen sekä sääntelyn sujuvoittamiseen tähtääviä kärkihankkeita.

Verkko- ja tietoturvadirektiivin kansallisen täytäntöönpanon keskeiset tavoitteet on määritelty digitaalisen liiketoiminnan kasvuympäristön rakentamisen kärkihankkeen mukaisesti laaditussa kansallisessa tietoturvastrategiassa. Strategian mukaan direktiivin täytäntöönpanon yhteydessä turvataan yritysten mahdollisuudet sovittaa tietoturvariskien hallintaan liittyvät uudet velvoitteet osaksi muiden liiketoiminnan riskiensä hallintaa.

Euroopan parlamentin ja neuvoston verkko- ja tietoturvadirektiivi tuli voimaan elokuussa 2016. EU:n jäsenvaltioiden on saatettava säännökset osaksi kansallista lainsäädäntöä 9. toukokuuta 2018 mennessä.

Direktiivin tavoitteena on saavuttaa korkeatasoinen verkko- ja tietojärjestelmien turvallisuus EU:n alueella ja kasvattaa suojan tasoa verkko- ja tietoturvaloukkauksia, -riskejä ja -uhkia vastaan.