Siirry pääsisältöön
Etusivu: Traficom
Etusivu: Traficom
Kirjaudu asiointipalveluun
Siirry hakuunHae
Suomi
Valikko
Kirjaudu asiointipalveluun

Merenkulun kyberturvallisuutta koskeva lainsäädäntö

Sivulle on koottu merenkulun toimijoita koskevat merenkulun kyberturvallisuuteen kohdistuvia säädöksiä ja nostoja niiden asettamista velvoitteista.

NIS (Network and Infomation Security directive)

EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) mukainen kansallinen lainsäädäntö ja sen velvoitteet ovat olleet voimassa 9.5.2018 alkaen.

NIS velvoittaa huoltovarmuuskriittisiä yrityksiä ja keskeisiä digitaalisten palvelujen tarjoajia huolehtimaan viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta sekä raportoimaan tietoturvaloukkauksista toimialan valvontaviranomaiselle.

  • Liikenteen osalta valvova viranomainen on Traficom. 
  • CSIRT-toimija (Computer Security Insident Response Team) Traficomin Kyberturvallisuuskeskus, joka tarjoaa toimijoille pyynnöstä häiriötilanteessa teknistä tukea ja kordinoi tarvittavia toimenpiteitä. Toimenpiteet voivat olla esimerkiksi tiedon jakamista, toimijoiden kontaktointia ja teknistä analyysiä.

NIS-direktiivin täytäntöönpanoon liittyen turvatoimilakiin eli lakiin eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta (485/2004) tehtiin muutoksia. Turvatoimilakiin lisättiin kaksi uutta pykälää:

  • 7 e § Satamanpitäjän velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 
  • 7 f § Tietoturvallisuuteen liittyvistä häiriöistä ilmoittaminen.
  • Vaatimukset koskevat erityisesti sataman viestintäverkkoja ja tietojärjestelmiä, jotka ovat satamapalvelun tarjonnan jatkuvuuden kannalta keskeisiä.

Turvatoimilain 2 §:n 2 kohdan mukaan satamanpitäjällä tarkoitetaan sitä joka ylläpitää satamaa tai satamarakennetta

Toimijat voivat ilmoittaa häiriöstä lomakkeella Traficomin nettisivuilla (Ulkoinen linkki)

NIS-direktiiviä sovelletaan 

  • Valtioneuvoston asetuksella (361/2018) määriteltyihin TEN-T-ydinverkkoon kuuluviin satamiin HaminaKotka, Helsinki, Turku, Naantali ja Oulu sekä  satamissa olevien satamarakenteiden ylläpitäjiin.
  • Fintraffic Meriliikenteenohjaus Oy:öön (VTS-palvelu, Vessel Traffic Service) (Alusliikennepalvelulaki 16.5 ja 18 a §)

NIS2

EU:n uusi kyberturvallisuusdirektiivi eli NIS2 julkaistiin 27.12.2022, ja se tulee korvaamaan nykyisen NIS-direktiivin. Direktiivi asettaa keskeiset kyberturvallisuuden minimitavoitteet, joiden tulee täyttyä kaikkialla EU:ssa
NIS2 asettaa merenkulun toimijoille aikaisempaa tarkemmin määritellyt kyberturvallisuuden riskienhallintavelvoitteet ja täsmentää toimivaltaisten viranomaisten valvontavelvollisuuksia ja toimivaltuuksia. 

Suomessa on parhaillaan meneillä kansallinen lainsäädäntöhanke NIS2-direktiviin tuomiseksi osaksi kansallista sääntelyämme. Hankkeesta ja direktiivin täytäntöönpanosta vastaa Liikenne- ja viestintäministeriö (LVM). NIS2 direktiivin velvoitteet tulee saattaa Suomessa osaksi kansallista lainsäädäntöä 17.10.2024 mennessä. Soveltamisalan piiriin tulevien toimijoiden tulee toteuttaa NIS2-direktiivin tavoitteita ja vaatimuksia täytäntöönpanevaa kansallista lainsäädäntöä 17.10.2024 alkaen.

Voit seurata kansallisen NIS2-lainsäädäntöhankkeen etenemistä LVM:n hankenettisivun kautta (Ulkoinen linkki)
Liikenne- ja viestintäministeriön sidosryhmätilaisuus 30.3.2023 NIS2-direktiivin kansallinen täytäntöönpano: Tilaisuuden esitysmateriaali (Ulkoinen linkki)
Liikenne- ja viestintäministeriön kuulemistilaisuus NIS2-direktiivin kansallisesta toimeenpanosta 9.10.2023 (Ulkoinen linkki)
NIS2 -direktiivi (Ulkoinen linkki)
Traficomin NIS2-sivut (Ulkoinen linkki)
Liikenne- ja viestintävirasto Traficomin lausuntopyyntö suositusluonnoksesta NIS-valvoville viranomaisille (Vastausaika päättyy 31.5.2024) (Ulkoinen linkki)
Päivitetty