Euroopan Unionin NIS2-direktiivin1 (kyberturvallisuusdirektiivi) ja sen perusteella annettavan kansallisen lainsäädännön tavoitteina on parantaa ja vahvistaa kyberturvallisuuden tasoa yhteiskunnassa. Tiedätkö, miten NIS2-direktiivi vaikuttaa omaan organisaatioosi?
NIS2-direktiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS1)2. Riskienhallinta- ja raportointivelvoitteiden soveltamisala laajenee ja soveltamisalaan kuuluvien yrityksien ja julkisyhteisöjen määrä kasvaa. Kansallista lainsäädäntöä koskeva hallituksen esityksen (57/2024) osalta todetaan avoimesti, että se aiheuttaa kustannuksia uusien velvoitteiden noudattamisesta sekä julkistaloudellisia vaikutuksia viranomaisille direktiivin täytäntöönpanon edellyttämien uusien tehtävien hoitamisesta.
“NIS2-vaatimuksia ei pääse karkuun, vaikka haluaisikin.”
NIS2-direktiivi tulee vaikuttamaan hallituksen esityksen perusteella kansallisesti useihin lakeihin, joista keskeisimpinä ovat uusi kyberturvallisuuslaki sekä uusi tiedonhallintalain (906/2019) 4 a luku. Organisaatioiden tulee tunnistaa, koskeeko uusi kansallinen lainsäädäntö heitä. Lain velvoittamat toimenpiteet tulee tehdä oman organisaation lisäksi myös alihankintaketjussa.
Koskeeko NIS2-direktiivi organisaatiotasi?
Toimialat, joihin direktiiviä sovelletaan:
Erittäin kriittiset toimialat: energia, terveydenhuolto, liikenne, juoma- ja jätevesi, avaruus, finanssiala ja sen infrastruktuuri, julkishallinto, tietoturva- ja hallintapalveluita tarjoavat ICT-toimijat sekä digitaalinen infrastruktuuri.
Kriittiset toimialat: elintarvikeala, jätehuolto ja posti- ja kuriiripalvelut sekä valmistavasta teollisuudesta mm. lääkintälaitteet, digitaaliset palvelut kuten markkinapaikat ja hakukoneet, kemikaaliala sekä tutkimustoiminta.
Toimenpiteet, joihin direktiivi vaikuttaa:
1. Riskienhallinta
2. Yritysvastuu ja erityisesti sanktioitu johdon vastuu kyberriskien hallinnasta
3. Kyberpoikkeamia koskevat ilmoitus- ja raportointivelvoitteet
4. Liiketoiminnan jatkuvuuden ja kriisinhallintakyvyn varmistaminen ja ylläpitäminen
5. Riittävät tietoturvakeinot kybersietoisuuden varmistamiseksi
6. Kattava turvallisuuden huomioiminen hankinnoissa
7. Harjoittelutoiminta ihmisten osaamisen ja tietoturvaorientaation varmistamiseksi
8. Menettelyt kybertoimenpiteiden vaikuttavuuden arvioimiseksi
Julkishallinto määritellään NIS2-direktiivissä erittäin kriittiseksi toimialaksi. Tämä tarkoittaa, että julkishallinnon organisaatioiden on noudatettava tiukempia tietoturvavaatimuksia ja raportointivelvoitteita.
Direktiivi asettaa minimivaatimukset suojautumiselle ja vahvistaa turvallisuus- ja raportointivaatimuksia, jotta keskeisten palveluiden jatkuvuus voidaan varmistaa ja kansalaisten tiedot suojata.
Ihmisten toiminnalla on kriittinen vaikutus kyberturvallisuuteen ja NIS2-direktiivi edellyttääkin, että organisaatiot investoivat työntekijöidensä kyberturvallisuuskoulutukseen ja parannettuihin turvallisuusmittareihin.
Direktiivi koskettaa myös esimerkiksi hyvinvointialueita sekä tiedonhallintalain että kyberturvallisuuslain kautta.
NIS2-direktiivi kuntien näkökulmasta
Hallituksen esityksen ja Kuntaliiton asiantuntijalausunnon mukaan peruskunta toimintoineen on rajattu direktiivissä julkishallinnon ulkopuolelle.
Kuntien toimintaa kuitenkin koskettavat seuraavat NIS2-direktiivissä määritellyt toimialat:
- Erittäin kriittiset toimialat: energia, juomavesi, jätevesi ja digitaalinen infrastruktuuri.
- Kriittiset toimialat: jätehuolto ja digitaalisten palveluiden tarjoajat.
Osa näistä tarvitsee tarkempaa pohdintaa. Yleisten sähköisten viestintäverkkojen tarjoajat käyttävät kaupunkitilaa ns. alustana jonne tukiverkkoja rakennetaan. Tulisiko näiden toimijoiden varmistua myös kunnan kyberturvallisuuden tasosta, tai toisin päin, tulisiko kunnan varmistua viestintäverkkojen tarjoajien kyberturvallisuudesta?
Digitaalisten palveluiden tarjoajien toimialaan sisältyvät myös verkossa toimivat markkinapaikat. Miten tulkitaan esimerkiksi kuntien osallistavien budjetointien markkinapaikat? Jos kunnalla on markkinapaikka, niin miltä osin kunta olisi velvoitettu täyttämään NIS2 vaatimukset?
Jos vesilaitos on osa kunnan omaa toimintaa, eikä ole yhtiöitetty erilliselle y-tunnukselle, tällöin kyberturvallisuusvelvoitteet koskisivat kuntaa siltä osin, kuin se tuottaa vesihuoltoa. Kun tällaisella vesihuollolla olisi ICT-palveluita, sen tulee taata, että ne ovat NIS2 osalta kunnossa. Jos tällainen toimija saa ICT-palvelunsa kunnalta, tulisi kunnan tällöin toteuttaa NIS2 osalta riittävät kyberturvallisuuden toimenpiteet.
Näiden ja monen muun pohdinnan osalta joudumme todennäköisesti odottamaan viranomaisten tarkempaa ohjeistusta.
Miten NIS2-direktiivi vaikuttaa julkisiin hankintoihin?
Julkisen sektorin toimijoiden, joita koskee hankintalaki (1397/2016), tulee huomioida vaikutukset hankinnoissaan silloin, kun uusien lakisääteisten velvollisuuksien täyttäminen ei ole mahdollista yksin hankintayksikön omin toimenpitein vaan edellyttää toimia myös alihankkijoilta. Keskeisimpiä tiedonhallintalain 4 a luvun mukaisia velvollisuuksia ovat:
- toimintaa koskeva ilmoitus valvovalle viranomaiselle
- kyberturvallisuuden riskienhallintavelvoite
- ilmoitusvelvollisuus merkittävistä poikkeamista ja kyberuhkista
- valvovan viranomaisen tiedonsaantioikeus ja tarkastusoikeus
- valvovan viranomaisen asettamien korjausvelvoitteiden noudattaminen.
Kaikki nämä hankintayksikön velvollisuudet tulee siis vyöryttää sopimuksellisesti velvollisuuksina myös alihankkijoille silloin, kun hankintayksikkö ostaa palveluja eikä pysty täyttämään velvollisuuksia ilman alihankkijan tukea. Sama koskee myös jo tehtyjä hankintasopimuksia, jotka tulee päivittää vastaavasti näiltä osin.
Goforen kyberturvallisuuden ja julkisten hankintojen asiantuntijat auttavat asiakkaita NIS2-velvoitteiden tulkitsemisessa ja niiden vaatimissa toimenpiteissä. Tarjoamme tukea myös hankintasopimusten päivittämisessä NIS2-yhteensopiviksi.
Lähteet:
- [1] Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS2 -direktiivi).
- [2] Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (NIS1- direktiivi).
- Suomen Kuntaliiton erityisasiantuntija Martti Setälän lausunto HE 57/2024 vp HaV 05.09.2024
- Kyberturvallisuuskeskus: Taulukko NIS2-toimialoista, toimialan osista ja toimijatyypeistä
