Tieliikennesektorilla on kyberturvallisuusvaatimuksia muun muassa tieliikenteen ohjaus- ja hallintapalvelun tarjoajille sekä älykkäiden liikennejärjestelmien ylläpitäjille (ITS, Intelligent Transport System).
Mitä kyberturvallisuudella tarkoitetaan?
Kyberturvallisuus tarkoittaa tavoitetilaa, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan. Kyberturvallisuusriskit ovat luonteeltaan dynaamisia. Se tarkoittaa, että haavoittuvuuksia yritetään hyväksikäyttää monin eri tavoin ja ne voivat nopeasti vaarantaa kyberturvallisuuden. Suojautuminen edellyttää toimijoilta ajankohtaista tietoisuutta suorista ja epäsuorista kyberturvallisuusuhkista. Jatkuvasti muuttuva uhkaympäristö kannustaa organisaatioita proaktiiviseen lähestymiseen kyberturvallisuudessa. Kyberturvallisuus on nykypäivänä liiketoiminnan jatkuvuuden reunaehto.
Mitä kyberturvallisuusvelvoitteita tieliikenteen ohjaus- ja hallintapalvelujen tarjoajille ja älyliikenteen operaattoreille on asetettu?
Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 (Ulkoinen linkki) toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa (NIS2-direktiivi) kattaa suuren joukon yhteiskunnan kriittisiä toimialoja ja asettaa samat velvoitteet soveltamisalaan kuuluville toimijoille läpi unionin. Direktiivin tavoitteena on vahvistaa EU:n kyberturvallisuutta ja varmistaa kriittisten palvelujen jatkuvuus poikkeamatilanteissa. Liikenteen sektorilla NIS2-direktiivin vaatimukset koskevat muiden muassa tieliikenteen ohjaus- ja hallintapalveluiden tarjoajia (liikenteenhallinnasta vastaavat tieviranomaiset) sekä älykkäiden liikennejärjestelmien operaattoreita.
NIS2-vaatimukset on implementoitu kansalliseen lainsäädäntöömme Kyberturvallisuuslailla (124/2025) (Ulkoinen linkki), joka astui voimaan 8.4.2025. Lain luku 2 sisältää keskeiset NIS2-toimijoille asetetut kyberturvallisuusvaatimukset:
- 7 § - Riskienhallinta
- 8 § - Kyberturvallisuutta koskeva riskienhallinnan toimintamalli
- 9 § - Toimenpiteet kyberturvallisuutta koskevien riskien hallinnassa
- 10 § - Johdon vastuu
- 11 § - Poikkeamailmoitukset viranomaiselle
- 12 § - Poikkeamaa koskeva väliraportti
- 13 § - Poikkeamaa koskeva loppuraportti
- 14 § - Poikkeamasta ja kyberuhkasta ilmoittaminen muulle kuin viranomaiselle
- 15 § - Vapaaehtoinen ilmoittaminen
Laissa on myös muita velvoitteita NIS2-toimijoille, kuten vaatimus ilmoittautua ja ylläpitää ajantasaiset tiedot valvovan viranomaisen toimijaluettelossa (Ulkoinen linkki)(41 §).
Traficomin rooli
Kyberturvallisuuslaki antaa Traficomille yleisen valvontaviranomaisen roolin ja tehtävät. Traficom vastaa siitä, että Suomen liikennejärjestelmässä noudatetaan lain velvoitteita sekä sen nojalla annettuja säännöksiä, määräyksiä ja päätöksiä. Nykypäivänä viranomaisen rooli laajentuu yhä enemmän kohti kumppanuutta ja vuorovaikutusta jatkuvan parantamisen hengessä. Traficom antaa tieliikenteen ohjaus- ja hallintapalveluja tarjoaville organisaatioille sekä älyliikenteen operataattoreille kyberturvallisuuteen liittyvää neuvontaa ja ohjeistusta.
Valvontaviranomaisen tehtävien lisäksi Traficom osallistuu aktiivisesti EU-tason ja kansalliseen lainsäädäntötyöhön ja kyberturvallisuussääntelyn kehittämiseen.