Sivulle on koottu merenkulun toimijoita koskevat merenkulun kyberturvallisuuteen kohdistuvia säädöksiä ja nostoja niiden asettamista velvoitteista.
NIS (Network and Infomation Security directive)
EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) mukainen kansallinen lainsäädäntö ja sen velvoitteet ovat olleet voimassa 9.5.2018 alkaen.
NIS velvoittaa huoltovarmuuskriittisiä yrityksiä ja keskeisiä digitaalisten palvelujen tarjoajia huolehtimaan viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta sekä raportoimaan tietoturvaloukkauksista toimialan valvontaviranomaiselle.
- Liikenteen osalta valvova viranomainen on Traficom.
- CSIRT-toimija (Computer Security Insident Response Team) Traficomin Kyberturvallisuuskeskus, joka tarjoaa toimijoille pyynnöstä häiriötilanteessa teknistä tukea ja kordinoi tarvittavia toimenpiteitä. Toimenpiteet voivat olla esimerkiksi tiedon jakamista, toimijoiden kontaktointia ja teknistä analyysiä.
NIS-direktiivin täytäntöönpanoon liittyen turvatoimilakiin eli lakiin eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta (485/2004) tehtiin muutoksia. Turvatoimilakiin lisättiin kaksi uutta pykälää:
- 7 e § Satamanpitäjän velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.
- 7 f § Tietoturvallisuuteen liittyvistä häiriöistä ilmoittaminen.
- Vaatimukset koskevat erityisesti sataman viestintäverkkoja ja tietojärjestelmiä, jotka ovat satamapalvelun tarjonnan jatkuvuuden kannalta keskeisiä.
Turvatoimilain 2 §:n 2 kohdan mukaan satamanpitäjällä tarkoitetaan sitä joka ylläpitää satamaa tai satamarakennetta
NIS-direktiiviä sovelletaan
- Valtioneuvoston asetuksella (361/2018) määriteltyihin TEN-T-ydinverkkoon kuuluviin satamiin HaminaKotka, Helsinki, Turku, Naantali ja Oulu sekä satamissa olevien satamarakenteiden ylläpitäjiin.
- Fintraffic Meriliikenteenohjaus Oy:öön (VTS-palvelu, Vessel Traffic Service) (Alusliikennepalvelulaki 16.5 ja 18 a §)
NIS2
EU:n uusi kyberturvallisuusdirektiivi eli NIS2 julkaistiin 27.12.2022, ja se tulee korvaamaan nykyisen NIS-direktiivin. Direktiivi asettaa keskeiset kyberturvallisuuden minimitavoitteet, joiden tulee täyttyä kaikkialla EU:ssa
NIS2 asettaa merenkulun toimijoille aikaisempaa tarkemmin määritellyt kyberturvallisuuden riskienhallintavelvoitteet ja täsmentää toimivaltaisten viranomaisten valvontavelvollisuuksia ja toimivaltuuksia.
Suomessa on parhaillaan meneillä kansallinen lainsäädäntöhanke NIS2-direktiviin tuomiseksi osaksi kansallista sääntelyämme. Hankkeesta ja direktiivin täytäntöönpanosta vastaa Liikenne- ja viestintäministeriö (LVM). NIS2 direktiivin velvoitteet tulee saattaa Suomessa osaksi kansallista lainsäädäntöä 17.10.2024 mennessä. Soveltamisalan piiriin tulevien toimijoiden tulee toteuttaa NIS2-direktiivin tavoitteita ja vaatimuksia täytäntöönpanevaa kansallista lainsäädäntöä 18.10.2024 alkaen.
Hallituksen esitys eduskunnalle kyberturvallisuusdirektiivin (NIS2 -direktiivi) täytäntöönpanoa koskevaksi lainsäädännöksi on eduskunnan käsitelyssä edelleen 18.10.2024 ja lakia ei ehditä saattaa voimaan alkuperäisessä aikataulussaan. Lain säätämisen etenemistä voi seurata eduskunnan sivuilta.