Kyberturvallisuuslaki tuo mukanaan uusia riskienhallinta- ja raportointivelvoitteita monille toimialoille. Yksi ensimmäisistä askeleista on toimijaluetteloon ilmoittautuminen.
Eduskunta on hyväksynyt hallituksen esityksen kansalliseksi kyberturvallisuuslaiksi, jolla pannaan täytäntöön EU:n kyberturvallisuusdirektiivi (NIS 2 -direktiivi). Julkishallinnon osalta direktiivin vaatimukset on sisällytetty lakiin julkisen hallinnon tiedonhallinnasta.
Kyberturvallisuusdirektiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa useiden yhteiskunnan toiminnan kannalta kriittisten toimialojen osalta. NIS 2 -direktiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi), jolla on säädetty tiettyihin toimialoihin kohdistuvista kyberturvallisuusvelvoitteista.
NIS 2 -direktiivissä ja sitä koskevassa kansallisessa kyberturvallisuuslaissa osoitetaan yhteiskunnan kriittisille toimialoille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoite merkittävistä poikkeamista. Laissa on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintaansa kohdistuvia kyberturvallisuusriskejä. Toimijoiden tulee myös ilmoittaa valvovalle viranomaiselleen merkittävistä tietoturvapoikkeamista. Näiden lisäksi NIS2-sääntelyn soveltamisalaan kuuluvien toimijoiden on ilmoittauduttava oman toimialansa valvovan viranomaisen ylläpitämään toimijaluetteloon.
NIS2-sääntelyn velvoitteet tulevat voimaan vaiheittain. Alle on koottu yleistä tietoa velvoitteista ja niiden voimaantulosta. Lisätietoja ja -ohjeita saat tarvittaessa oman alasi valvovalta viranomaiselta.
Tarkista laista oletko NIS2-toimija. Toimijoiden on ilmoittauduttava omalle valvovalle viranomaiselleen. Mikäli kuulut useaan eri toimialaan, ilmoittaudu jokaiselle toimialakohtaiselle valvovalle viranomaiselle. Huomaathan, että ilmoittautuminen pitää tehdä 8.5.2025 mennessä.
Tutustu kyberturvallisuuslaissa asetettuun riskienhallintavelvoitteeseen. Toimijan on laadittava riskienhallinnan toimintamalli 8.7.2025 mennessä. Tiedonhallintalaissa riskienhallintavelvoitteesta säädetään uudessa 4a luvussa. Huomaathan, että julkishallinnon toimijoille ei ole erillistä siirtymäaikaa riskienhallinnan toimintamallin laatimiseen. Riskienhallinnan toimintamallin osalta velvoite on voimassa 8.4.2025 alkaen.
Traficom on valmistellut suosituksen riskienhallinnan toimenpiteistä. Suositus on suunnattu valvoville viranomaisille, mutta se tukee myös NIS2-toimijoiden riskienhallinnan suunnittelua. Lisäksi Euroopan komissio on antanut riskienhallintavelvoitetta täsmentävää sääntelyä tietyille digitaalisen infrastruktuurin ja digitaalisten palveluiden toimijoille.
Verkkosivuiltamme löydät NIS2-poikkeamailmoituslomakkeen, jota voit käyttää merkittävästä poikkeamasta ilmoittamiseen valvovalle viranomaiselle. Toimijan on ilmoitettava merkittävästä poikkeamasta 8.4.2025 alkaen. Ilmoitus on kolmivaiheinen.
Kannustamme NIS2-sääntelyn kohteena olevia toimijoita tekemään Traficomin Kyberturvallisuuskeskuksen CSIRT-yksikölle vapaaehtoisen ilmoituksen myös erilaisista organisaatioon kohdistuneista tietoturvaloukkauksista, kuten tietojenkalastelusta tai palvelunestohyökkäyksistä, sekä näiden yrityksistä. Kyberturvallisuuskeskus voi tarvittaessa auttaa vakavien tietoturvaloukkausten teknisessä selvityksessä. Ilmoitusten perusteella koostamme myös kyberturvallisuuden kansallista tilannekuvaa.
Kyberturvallisuuslain myötä myös Traficomin valvontatehtävät laajenevat verrattuna NIS-direktiivin mukaiseen tilanteeseen. Traficom toimii jatkossa myös seuraavien toimialojen kyberturvallisuutta valvovana viranomaisena: posti ja kuriiripalvelut, avaruus, julkishallinto, hallintapalveluntarjoajat ja tietoturvapalveluntarjoajat, tutkimustoiminta sekä ajoneuvojen ja muiden kulkuneuvojen valmistus. Lisäksi jo valmiiksi NIS-sääntelyn piirissä olleille toimialoille on tullut uusia toimijatyyppejä valvottaviksi.
Eri toimialojen valvonta on hajautettu toimialakohtaisille viranomaisille. Traficomin Kyberturvallisuuskeskus toimii myös kyberturvallisuuslaissa tarkoitettuna keskitettynä yhteyspisteenä, jonka tehtävänä on mm. edistää valvovien viranomaisten välistä yhteistyötä ja koordinaatiota.
Lisäksi Kyberturvallisuuskeskuksessa toimii tietoturvaloukkauksiin reagoiva ja niitä tutkiva CSIRT-yksikkö, jonka tehtävänä on muun muassa reagoida poikkeamailmoituksiin ja tarvittaessa avustaa poikkeamasta ilmoittanutta tahoa poikkeaman käsittelyssä. Tämä voi tarkoittaa myös vakavien tietoturvaloukkausten teknistä selvitystä. Lisäksi CSIRT-yksikkö osallistuu kansallisen kyberturvallisuuden tilannekuvan ylläpitämiseen, sekä antaa kyberturvallisuutta koskevia ennakkovaroituksia, hälytyksiä, ilmoituksia ja tietoja.
CSIRT-yksikön tehtävänä ei ole valvoa kyberturvallisuuslaissa tarkoitettuja toimijoita, ja tämän vuoksi CSIRT-yksikön toiminta on järjestetty erilliseksi kyberturvallisuuslain valvonnasta. CSIRT-yksikön toiminta perustuu sen ja eri yhteiskunnan toimijoiden väliseen luottamukseen ja CSIRT-yksikön vastaanottamiin vapaaehtoisiin tietoturvaloukkausilmoituksiin. Tämä on tunnistettu myös kyberturvallisuuslaissa siten, että CSIRT-yksikölle vapaaehtoisesti luovutettuja tietoja ei saa ilman tiedon luovuttaneen suostumusta käyttää tiedon luovuttajaan kohdistuvassa rikostutkinnassa eikä hallinnollisessa tai muussa tiedon luovuttajaan kohdistuvassa päätöksenteossa.
