Etusivu » Kyberturvallisuusdirektiivin vaatimukset ja vastuut

Jaa sivu:

Hallintatoimenpiteiden konkreettisesta vähimmäissisällöstä säädetään tarkemmin kyberturvallisuusdirektiivissä, mutta niiden tulee sisältää muun muassa seuraavia asioita:

  • tietojärjestelmien turvallisuutta koskevat politiikat
  • riskien arviointi ja hallintatoimien määrittäminen
  • poikkeamien käsittely
  • tietoturvallisuuskoulutuksen järjestäminen (koko henkilöstö ml. ylin johto ja hallitus)
  • toimitusketjujen ja kumppaneiden turvallisuuden varmistaminen
  • toiminnan jatkuvuuden ja kriisien hallinta
  • kyberhygieniakäytännöt

Todettakoon, että kyberhygienialla tarkoitetaan hyviä tietoturvallisuuteen liittyviä käytäntöjä, joilla voi suojautua kyberuhkia vastaan.

Merkittävistä tietoturvapoikkeamista ilmoittaminen

Yksi mielenkiintoinen vaatimus liittyy poikkeamien käsittelyyn. Organisaation on koulutettava henkilöstönsä tunnistamaan vakavammat tietoturvahäiriöt ja toimimaan seuraavien ohjeiden mukaisesti:

1. Ensi-ilmoitus viranomaiselle on tehtävä 24 tunnin kuluessa.
2. Valvova viranomainen vastaa ilmoitukseen 24 tunnissa.
3. Jatkoilmoitus 72 tunnin kuluessa
4. Mahdollinen väliraportointi
5. Loppuraportti 1 kuukauden aikana

Organisaation on ilmoitettava merkittävistä poikkeamista viranomaiselle ja asiakkailleen seuraavien aikarajojen puitteissa:

  • 24 tunnissa: ennakkovaroitus sisältäen tiedon siitä epäilläänkö poikkeaman aiheuttajaksi lainvastaista tai vihamielistä tekoa ja voiko poikkeamalla olla rajatylittävä vaikutus.
  • 72 tunnissa: varsinainen poikkeamailmoitus sekä arvio poikkeaman vakavuudesta ja vaikutuksista sekä vaarantumisen indikaattoreista.
  • Kuukauden kuluessa: poikkeamaraportti sisältäen tiedot: yksityiskohtainen kuvaus, vakavuus ja vaikutukset, rajatylittävät vaikutukset, uhkan tai juurisyyn tyyppi sekä toimenpiteet poikkeaman lieventämiseksi.

Vastuu on organisaation johdolla

Yrityksen operatiivisen johdon ja myös hallituksen on syytä ymmärtää, että riittävästä tietoturvasta huolehtiminen ja lainsäädännön noudattaminen on lopulta sen vastuulla (ks. alla oleva Artikla 20 teksti). Toivottavasti aikanaan valmistuva kansallinen lainsäädäntö osaltaan vielä tarkentaa ja selkeyttää vastuita ja yrityksien on helpompi toimia asianmukaisesti. Direktiivissä asetetaan uusia velvoitteita ns. yritysten hallintoelimille, mutta hallintoelimen käsitettä ei ole tarkemmin määritelty itse direktiivissä. Se on jätetty kansallisten lainsäätäjien tehtäväksi.

Jos yrityksessä on oma tietohallinto ja vastuuhenkilö, niin he voivat tukea ja kouluttaa henkilöstöä sekä johtoa. Ulkoistetun tietoturvan osaaminen ja toiminnan taso on syytä varmistaa ja valita uusi yhteistyökumppani, jos havaitaan selkeitä puutteita. Monesti hieman isommissakaan organisaatioissa ei ole omaa IT-osastoa / tarvittavia resursseja ja vanhan palveluntarjoajan osaaminen ei ole uusien vaatimusten edellyttämällä tasolla.

Mahdolliset sanktiot

Direktiivin artiklojen rikkomisesta on säädetty pahimmillaan sakko, joka voi olla maksimissaan 10 miljoonaa euroa tai kaksi prosenttia konsernitason globaalista liikevaihdosta, sen mukaan kumpi on suurempi summa. Sanktiot ovat tuttuja jo EU:n yleisen tietosuoja-asetuksen GDPR tultua voimaan toukokuussa 2018. Suuret sakot eivät varmaankaan ole yrityksen suurin uhka ja niitä on määrätty varsin kohtuullisesti mm. tietosuojan osalta (n. 20 kpl lokakuussa 2023). Mutta on hyvä tiedostaa, että tällainenkin seuraamus on mahdollinen merkittävistä vahingoista ja/tai laiminlyönneistä.


Ohessa hyödyllisiä leikkeitä direktiivistä:

Artikla 20 – Hallinnointi

1. Jäsenvaltioiden on varmistettava, että keskeisten ja tärkeiden toimijoiden hallintoelimet hyväksyvät näiden toimijoiden 21 artiklan noudattamiseksi toteuttamat kyberturvallisuusriskien hallintatoimenpiteet ja valvovat mainitun artiklan täytäntöönpanoa ja että nämä hallintoelimet voidaan saattaa vastuuseen, jos toimijat rikkovat kyseistä artiklaa.

Tämän kohdan soveltaminen ei rajoita kansallisen lainsäädännön soveltamista, kun on kyse julkisiin laitoksiin sovellettavista vastuusäännöistä taikka virkamiesten tai vaalilla valittujen tai nimettyjen toimenhaltijoiden vastuusta.

2. Jäsenvaltioiden on varmistettava, että keskeisten ja tärkeiden toimijoiden hallintoelinten jäsenillä on velvollisuus osallistua koulutukseen, ja kannustettava keskeisiä ja tärkeitä toimijoita tarjoamaan säännöllisesti vastaavaa koulutusta työntekijöilleen, jotta he voivat hankkia riittävät tiedot ja taidot kyetäkseen tunnistamaan riskejä ja arvioimaan kyberturvallisuusriskien hallintakäytäntöjä ja niiden vaikutusta toimijan tarjoamiin palveluihin.

Artikla 21 – Kyberturvallisuusriskien hallintatoimenpiteet

1. Jäsenvaltioiden on varmistettava, että keskeiset ja tärkeät toimijat toteuttavat asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä, joita niiden toiminnoissaan tai palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen kohdistuu, ja estääkseen tai minimoidakseen poikkeamien vaikutuksen palvelujensa vastaanottajiin ja muihin palveluihin.

Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaa koskevat eurooppalaiset ja kansainväliset standardit sekä täytäntöönpanokustannukset, ensimmäisessä alakohdassa tarkoitetuilla toimenpiteillä on varmistettava, että verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa riskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset ja taloudelliset vaikutukset.

2. Edellä 1 kohdassa tarkoitettujen toimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin, jolla pyritään suojaamaan verkko- ja tietojärjestelmät ja näiden järjestelmien fyysinen ympäristö poikkeamilta, ja niihin on sisällyttävä vähintään seuraavat:

a) riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
b) poikkeamien käsittely;
c) toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu sekä kriisinhallinta;
d) toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
e) verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
f) toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
g) perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
h) toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
i) henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
j) tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

3. Jäsenvaltioiden on varmistettava, että toimijoiden harkitessa, mitkä tämän artiklan 2 kohdan d alakohdassa tarkoitetuista toimenpiteistä ovat asianmukaisia, toimijat ottavat huomioon kullekin välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, niiden tuotteiden yleisen laadun sekä toimittajiensa ja palveluntarjoajiensa kyberturvallisuuskäytännöt, mukaan lukien tuotekehityksen suojausmenettelyt. Jäsenvaltioiden on myös varmistettava, että toimijoiden harkitessa, mitkä kyseisessä alakohdassa tarkoitetuista toimenpiteistä ovat asianmukaisia, toimijoita vaaditaan ottamaan huomioon 22 artiklan 1 kohdan mukaisesti tehtyjen kriittisiä toimitusketjuja koskevien koordinoitujen riskinarviointien tulokset.

4. Jäsenvaltioiden on varmistettava, että toimija, joka toteaa, ettei se noudata 2 kohdassa säädettyjä toimenpiteitä, toteuttaa ilman aiheetonta viivytystä kaikki tarvittavat, asianmukaiset ja oikeasuhteiset korjaavat toimenpiteet.

5. Komissio hyväksyy viimeistään 17 päivänä lokakuuta 2024 täytäntöönpanosäädöksiä, joilla vahvistetaan 2 kohdassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset, jotka koskevat DNS-palveluntarjoajia, aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia, verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia, verkkoyhteisöalustojen tarjoajia ja luottamuspalvelun tarjoajia.

Komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan 2 kohdassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset sekä tarvittaessa alakohtaiset vaatimukset, jotka koskevat muita keskeisiä ja tärkeitä toimijoita kuin tämän kohdan ensimmäisessä alakohdassa tarkoitettuja toimijoita.

Valmistellessaan tämän kohdan ensimmäisessä ja toisessa alakohdassa tarkoitettuja täytäntöönpanosäädöksiä komissio noudattaa mahdollisimman pitkälle eurooppalaisia ja kansainvälisiä standardeja sekä asiaankuuluvia teknisiä eritelmiä. Komissio vaihtaa neuvoja ja tekee yhteistyötä yhteistyöryhmän ja ENISAn kanssa 14 artiklan 4 kohdan e alakohdan mukaisesti, kun kyse on ehdotuksista täytäntöönpanosäädöksiksi.

Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Scroll to Top