Merenkulun kyberturvallisuutta koskeva lainsäädäntö

Sivulle on koottu merenkulun toimijoita koskevat merenkulun kyberturvallisuuteen kohdistuvia säädöksiä ja nostoja niiden asettamista velvoitteista.

NIS (Network and Infomation Security directive)

EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) mukainen kansallinen lainsäädäntö ja sen velvoitteet ovat olleet voimassa 9.5.2018 alkaen.

NIS velvoittaa huoltovarmuuskriittisiä yrityksiä ja keskeisiä digitaalisten palvelujen tarjoajia huolehtimaan viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta sekä raportoimaan tietoturvaloukkauksista toimialan valvontaviranomaiselle.

Liikenteen osalta valvova viranomainen on Traficom.
CSIRT-toimija (Computer Security Insident Response Team) Traficomin Kyberturvallisuuskeskus, joka tarjoaa toimijoille pyynnöstä häiriötilanteessa teknistä tukea ja kordinoi tarvittavia toimenpiteitä. Toimenpiteet voivat olla esimerkiksi tiedon jakamista, toimijoiden kontaktointia ja teknistä analyysiä.

NIS-direktiivin täytäntöönpanoon liittyen turvatoimilakiin eli lakiin eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta (485/2004) tehtiin muutoksia. Turvatoimilakiin lisättiin kaksi uutta pykälää:

7 e § Satamanpitäjän velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.
7 f § Tietoturvallisuuteen liittyvistä häiriöistä ilmoittaminen.
Vaatimukset koskevat erityisesti sataman viestintäverkkoja ja tietojärjestelmiä, jotka ovat satamapalvelun tarjonnan jatkuvuuden kannalta keskeisiä.

Turvatoimilain 2 §:n 2 kohdan mukaan satamanpitäjällä tarkoitetaan sitä joka ylläpitää satamaa tai satamarakennetta

Toimijat voivat ilmoittaa häiriöstä lomakkeella Traficomin nettisivuilla (Ulkoinen linkki)

NIS-direktiiviä sovelletaan

Valtioneuvoston asetuksella (361/2018) määriteltyihin TEN-T-ydinverkkoon kuuluviin satamiin HaminaKotka, Helsinki, Turku, Naantali ja Oulu sekä satamissa olevien satamarakenteiden ylläpitäjiin.
Fintraffic Meriliikenteenohjaus Oy:öön (VTS-palvelu, Vessel Traffic Service) (Alusliikennepalvelulaki 16.5 ja 18 a §)

NIS2

EU:n uusi kyberturvallisuusdirektiivi eli NIS2 julkaistiin 27.12.2022 ja Suomessa NIS2-kyberturvallisuuslaki tuli voimaan 8.4.2025. Direktiivi asettaa keskeiset kyberturvallisuuden minimitavoitteet, joiden tulee täyttyä kaikkialla EU:ssa.
NIS2 asettaa merenkulun toimijoille aikaisempaa tarkemmin määritellyt kyberturvallisuuden riskienhallintavelvoitteet ja täsmentää toimivaltaisten viranomaisten valvontavelvollisuuksia ja toimivaltuuksia.

Voit seurata kansallisen NIS2-lainsäädäntöhankkeen etenemistä LVM:n hankenettisivun kautta (Ulkoinen linkki)

Liikenne- ja viestintäministeriön sidosryhmätilaisuus 30.3.2023 NIS2-direktiivin kansallinen täytäntöönpano: Tilaisuuden esitysmateriaali (Ulkoinen linkki)

Liikenne- ja viestintäministeriön kuulemistilaisuus NIS2-direktiivin kansallisesta toimeenpanosta 9.10.2023 (Ulkoinen linkki)

NIS2 -direktiivi (Ulkoinen linkki)

Traficomin NIS2-sivut (Ulkoinen linkki)

Liikenne- ja viestintävirasto Traficomin lausuntopyyntö suositusluonnoksesta NIS-valvoville viranomaisille (Vastausaika päättyy 31.5.2024) (Ulkoinen linkki)

Käsittelytiedot eduskunnassa: Hallituksen esitys eduskunnalle NIS 2 -direktiivin kansallista täytäntöönpanoa koskevaksi lainsäädännöksi (Ulkoinen linkki)