På sidan har vi sammanställt de författningar om cybersäkerheten inom sjöfarten som gäller sjöfartsaktörer.
NIS (Network and Infomation Security directive)
EU:s direktiv om säkerhet i nätverk och informationssystem (NIS-direktivet) medför att den nationella lagstiftningen jämte skyldigheter har varit i kraft fr.o.m. den 9 maj 2018.
NIS förpliktar försörjningsberedskapskritiska aktörer och centrala leverantörer av digitala tjänster att sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som de använder samt att rapportera informationssäkerhetsincidenter till tillsynsmyndigheten inom respektive sektor.
- Traficom är tillsynsmyndighet för transport.
- Som CSIRT-aktör (Computer Security Incident Response Team) är Cybersäkerhetscentret vid Traficom som på aktörernas begäran erbjuder tekniskt stöd vid störningar och samordnar de nödvändiga åtgärderna. Åtgärderna kan till exempel vara delning av information, kontakter med aktörer och teknisk analys.
Vad gäller genomförandet av NIS-direktivet ändrades lagen om sjöfartsskydd på vissa fartyg och i hamnanläggningar som betjänar dem (485/2004) och om tillsyn över skyddet. Till lagen fogades två nya paragrafer:
- 7 e § Hamninnehavares skyldighet att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem.
- 7 f § Anmälan om störningar i informationssäkerheten
- Kraven gäller i synnerhet kommunikationsnät och informationssystem i hamnar som är centrala för kontinuiteten av utbudet av hamntjänsterna.
Enligt 2 § 2 punkten i lagen om sjöfartsskydd avses med hamninnehavare den som håller en hamn eller hamnanläggning.
NIS-direktivet tillämpas på
- Hamnarna HaminaKotka, Helsingfors, Åbo och Nådendal som genom statsrådets förordning (361/2018) angetts tillhöra TEN-T-kärnnätet samt operatörer av hamnanläggningar i hamnar.
- Fintraffic Sjötrafikledning Ab (VTS-servicen, Vessel Traffic Service) (16.5 och 18 a § i lagen om fartygsservice)
NIS2
EU:s nya cybersäkerhetsdirektiv, dvs. NIS2, publicerades den 27 december 2022 och kommer att ersätta det nuvarande NIS-direktivet. Direktivet uppställer de centrala miniminivåerna för cybersäkerhet och de ska uppfyllas överallt inom EU. NIS2 ålägger sjöfartsaktörerna skyldigheter för riskhantering av cybersäkerhet noggrannare än tidigare och preciserar de behöriga myndigheternas tillsynsskyldigheter och befogenheter.
I Finland pågår ett nationellt lagstiftningsprojekt för att göra NIS2-direktivet till en del av vår nationella reglering. Kommunikationsministeriet (KM) svarar för projektet och genomförandet av direktivet. Förpliktelserna i NIS2-direktivet ska införlivas i den nationella lagstiftningen senast den 17 oktober 2024. De aktörer som kommer att omfattas av direktivets tillämpningsområde ska iaktta den nationella lagstiftningen som uppfyller NIS2-direktivets mål och krav fr.o.m. den 17 oktober 2024.