01 Jul 2016

EUn verkko- ja tietoturvadirektiivin (NIS-direktiivi) saattaminen osaksi kansallista lainsäädäntöä

EUn verkko- ja tietoturvadirektiivin (NIS-direktiivi) saattaminen osaksi kansallista lainsäädäntöä

TIIVISTELMÄ

Euroopan unionin neuvosto julkaisi verkko- ja tietoturvadirektiivin (NIS-direktiivi) lopullisen version 21. huhtikuuta 2016. Vaikka Euroopan parlamentin onkin muodollisesti allekirjoitettava direktiivi tänä kesänä, kolme EU:n toimielintä on hyväksynyt itse tekstin eikä sen odoteta muuttuvan. Jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöään 21 kuukauden kuluessa direktiivin hyväksymisestä. Tätä prosessia auttaaksemme olemme laatineet liitteeksi ohjeet parhaiksi käytännöiksi, joiden avulla teknologia-alalle olennaiset asiat voidaan panna tehokkaasti täytäntöön direktiivin laatijoiden tarkoitusperien mukaisesti.

EU:n NIS-direktiivi on ensimmäinen yleiseurooppalainen kyberturvallisuutta käsittelevä lainsäädäntö. Se keskittyy kyberturvallisuusviranomaisten toiminnan vahvistamiseen kansallisella tasolla ja viranomaisten välisen yhteistyön lisäämiseen. Direktiivi tuo mukanaan myös avaintoimialoja koskevia turvallisuusvaatimuksia.

Kaiken kansallisen toimeenpanolainsäädännön pitää huomioida direktiivin kaksi päätavoitetta: (1) maan kriittisten infrastruktuurien kyberturvallisuuden korkean tason varmistaminen, (2) EU:n jäsenvaltioiden välisen tehokkaan yhteistyömekanismin vakiinnuttaminen ensimmäisen tavoitteen edistämiseksi. Resursseja olisi varattava ennen kaikkea näiden kahden tärkeän tavoitteen saavuttamiseen.

Teknologia-alalla erityisen kiinnostuksen kohteena ovat ns. digitaalisen palvelun tarjoajiin liittyvät säännökset. Direktiivissä todetaan selvästi, että keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien välillä on perustavanlaatuisia eroja. Viimeksi mainittuja ei pidetä sinänsä kriittisenä infrastruktuurina. Kuten lainsäädännössä todetaan, näihin digitaalipalveluihin vaikuttava poikkeama aiheuttaisi selvästi alhaisemman riskin maan taloudelliselle ja yleiselle turvallisuudelle. On olennaista pitää mielessä tämä ero, jotta sääntöjä valvovien ja täytäntöönpanevien viranomaisten vähäiset resurssit voidaan hyödyntää vaikuttavasti ja tehokkaasti.

Edellä esitetyn vuoksi, kehotamme pitämään tiukasti mielessä, mikä on direktiivin tarkoitettu soveltamisala. Päätöksentekijöiden tulisi kansallisessa lainsäädännössä kohdistaa turvallisuusvaatimuksia vain niihin sektoreihin, jotka on määritelty keskeisten palvelujen tarjoajiksi ja digitaalisen palvelun tarjoajiksi.

Lainkäyttövallan osalta digitaalisen palvelun tarjoajien pitäisi pystyä vetoamaan päätoimipaikkansa sijaintimaassa sovellettavaan lakiin myös tapauksissa, joihin liittyy useamman kuin yhden maan toimivaltaisia viranomaisia. Valvonnan osalta toimivaltaisten viranomaisten olisi noudatettava jälkikäteistä toimintatapaa sen sijaan, että määrättäisiin digitaalisen palvelun tarjoajien valvontaa koskeva yleinen velvoite. Lisäksi viranomaisten olisi keskityttävä tuloksiin ja säilytettävä keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien välinen ero siten, ettei viimeksi mainittuihin sovelleta vaatimuksia, joita direktiivi ei edellytä, kuten tarkastuksia ja sitovia ohjeita.

Perustuen direktiivin toteamukseen, jonka mukaan digitaalisen palvelun tarjoajat edustavat selvästi alhaisempaa turvallisuusriskiä, digitaalisen palvelun tarjoajiin olisi sovellettava erilaisia turvallisuustoimenpiteitä kuin keskeisten palvelujen tarjoajiin. Näiden palvelujen osalta päätöksentekijöiden olisi toteutettava yhdenmukaistamistavoite, otettava huomioon alan käytössä olevat kansainväliset standardit, vältettävä teknologia-mandaatteja ja kunnioitettava direktiiviin kirjattua digitaalisen palvelun tarjoajien oikeutta määritellä parhaiten järjestelmiinsä sopivat turvallisuustoimenpiteet. Poikkeamista ilmoittaminen olisi myös niin pitkälle kuin mahdollista yhdenmukaistettava Euroopan tasolla. Tällöin olisi keskityttävä palvelun jatkuvuuteen vaikuttaviin poikkeamiin, sovellettava joustavuutta ilmoitusten ajoituksessa ja luotava luotettava ympäristö, joka rohkaisee tiedonjakoon kasvattamatta ilmoittavan osapuolen vastuuta.

Keskeisten palvelujen tarjoajille määrätyt toimenpiteet vaikuttavat myös muihin toimialoihin, kun turvallisuustoimenpiteet ja poikkeamista ilmoittaminen siirtyvät ketjussa alaspäin sopimusehtoihin. Tämä pätee etenkin pilvipalveluihin. Sen vuoksi digitaalisen palvelun tarjoajiin saatetaan välillisesti soveltaa niiden asiakkaiden kansallisia lakeja ja siksi tarvitsemme näihin palveluihin sovellettavia, kansainvälisesti tunnustettuja turvallisuustoimenpiteitä. Ehdotamme myös keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien ilmoitusvaatimusten mahdollisimman hyvää yhteensovittamista ja synergiaa, koska digitaalisen palvelun tarjoajat todennäköisesti joutuvat tekemään ilmoituksensa kahdesti.

Direktiivin tavoite on verkko- ja tietojärjestelmien yhteinen korkeatasoinen turvallisuus, joka parantaa sisäisten markkinoiden toimintaa. Jotta tämä vaativa tavoite saavutettaisiin, direktiivin saattamisessa osaksi kansallista lainsäädäntöä on keskityttävä riskiperustaiseen, yhdenmukaistettuun ja kansainväliseen lähestymistapaan. Siten yksityisen sektorin toimijat voivat joustavasti sopeutua jatkuvasti muuttuvaan uhkaympäristöön, kyberviranomaiset voivat keskittää rajalliset resurssit tärkeimpiin haasteisiin ja voidaan huomioida se, että ongelmaan, joka ei tunnusta valtiorajoja, on löydettävä globaali ratkaisu. Toivomme, että näistä neuvoista on hyötyä tavoitteen saavuttamisessa ja vastaamme mielellämme mahdollisiin lisäkysymyksiin.

Back to Cybersecurity & Digital Resilience
View the complete Policy Paper
PDF
Our resources on Cybersecurity & Digital Resilience
13 Dec 2024 Policy Paper
Strengthening healthcare cybersecurity: Focus on implementation, not new legislation
11 Dec 2024 Position Paper
Recommendations on updated draft CRA standardisation request
14 Nov 2024 The Download
The Download - Taming the cyber storm whilst empowering European businesses to thrive
Hit enter to search or ESC to close
This website uses cookies
We use cookies and similar techonologies to adjust your preferences, analyze traffic and measure the effectiveness of campaigns. You consent to the use of our cookies by continuing to browse this website.
Decline
Accept