CER- ja NIS2-direktiivit, mistä on kyse?

  • toukokuuta 18, 2022

Euroopan Unionin valmisteilla olevat CER- ja NIS2-direktiivit asettavat turvallisuuteen liittyviä vaatimuksia tietyille Suomessa toimiville organisaatiolle.

Direktiiveistä puhuttaessa on hyvä palauttaa mieleen mitä termi itseasiassa tarkoittaa.

”EU-direktiivi” on EU:n jäsenvaltioiden lainsäätäjille tarkoitettu lainsäädäntöohje. Vaikka EU-direktiivi ei sellaisenaan muuta esim. Suomen lainsäädäntöä, asettaa se tästä huolimatta lainsäätäjälle (eduskunnalle) velvollisuuden direktiivin sisällön huomioimisesta ja implementoinnista osaksi kansallista lainsäädäntöä.

EU-direktiivi on siten tarkoituksellisesti ylätasoinen ohjeistus, jonka sisällön täyttämisen muodon ja keinot voi jokainen jäsenvaltio päättää lähtökotaisesti itsenäisesti. Kansallisen tason käytäntöönpanoa valvoo Euroopan komissio, jolle jäsenvaltioiden on ilmoitettava, miten direktiivin sisältö on lainsäädännössä huomioitu.

Hieman karrikoiden voidaan sanoa, että direktiivit sisältävät EU-jäsenvaltioille pakollisia reunaehtoja, joiden täyttämisessä sallitaan kohtuullinen määrä vapautta.

 

Mikä on CER-direktiivi?

Euroopan Unionin CER-direktiivin, eli “Critical Entities Resilience Directive” tavoitteena on nimensä mukaisesti yhteiskunnan toiminnan kannalta kriittisten palveluiden häiriönsietokyvyn (eli resilienssin) parantaminen. Hieman konkreettisemmin ajateltuna tavoitteena on elintärkeiden palveluiden mahdollisimman häiriöttömän toiminnan sekä jatkuvuuden varmistaminen.

Suomessa Huoltovarmuuskeskus on tehnyt osaltaan työtä yhteiskunnan turvaamiseksi em. näkökulmasta jo vuosikymmeniä ja HVK onkin ollut mukana myös CER-direktiivin määrittelytyössä.

Mitkä palvelut sitten ovat direktiivin mukaan yhteiskunnan kannalta kriittisiä? Huoltovarmuuskeskus jaottelee Suomen kannalta kriittiset palvelut 8 eri toimialaan (sektoriin), mutta CER-direktiivi tuntee yhteensä 10 sektoria. Uusina sektoreina CER tuo mukanaan julkishallinnon (public administration) sekä avaruuden (space).

Suomen (kuten muidenkin EU-jäsenmaiden) tulee itsenäisesti tunnistaa sektorikohtaiset kriittiset toiminnot, sekä niitä tarjoavat organisaatiot. Tunnistaminen toteutetaan sekä EU-tason kriteerien että kansallisen riskiarvion pohjalta. Kun kriittiset toimijat on tunnistettu, edellyttää CER-direktiivi ko. toimijoilta mm. omien riskiarvioiden ja kriisinkestävyyssuunnitelmien laatimista (ellei niitä vielä ole).

 

Mikä on NIS2-direktiivi?

Vuonna 2016 otettiin EU-tasolla käyttöön ensimmäinen yhteinen tietoturvasäädös, NIS-direktiivi (“The Directive on Security of Network and Information Systems”). Kansallisen tason implementoinnin jälkeen NIS-direktiivin sisältö on siten ollut osana Suomen lainsäädäntöä vuodesta 2018 alkaen.

Alkuperäisen NIS-direktiivin tavoitteena on ollut parantaa EU-jäsenmaiden kyberturvallisuutta. Käytännössä tavoitetta lähestyttiin asettamalla tietyillä sektoreilla (7 sektoria) toimiville organisaatiolle yhteinen kyberturvallisuuden vähimmäistaso.

Yksityiskohtaisia turvallisuusvaatimuksia ei NIS-direktiivistäkään kannata etsiä, sillä se sisältää lähinnä erilaisia ylätason vaatimuksia organisaatioiden turvallisuustoiminnalle sekä velvoitteet tietoturvapoikkeamista ja -uhkista raportoimiselle. Jälkimmäiseen liittyen jäsenmaita velvoitettiin myös perustamaan CSIRT (”Computer Security Incident Response Team”) toiminto, jotka vastaavat mm. organisaatioiden laatimien ilmoitusten vastaanotosta ja jatkokäsittelystä.

NIS2-direktiivi on valmisteilla oleva, sisällöltään paranneltu ja paremmin nykyisen kyberympäristön haasteet huomioiva versio alkuperäisestä NIS-direktiivistä. On arvioitu, että NIS2 julkaistaan kesän 2022 aikana ja se tulee sisältämään alkuperäisen seitsemän kriittisen sektorin sijaan 10 eri sektoria (vastaavat kuin CER-direktiivi).


CER- ja NIS2-direktiivien vertailu

Asia

CER-direktiivi

NIS2-direktiivi

Laajuus

EU-jäsenvaltiot

EU-jäsenvaltiot + tietyt EU:ssa palveluita tarjoavat toimijat

Suomen edustaja valmistelussa

Sisäministeriö

Liikenne- ja viestintäministeriö

Direktiivin ”edeltäjä”

ECI-direktiivi

NIS-direktiivi

Ytimessä

Jatkuvuudenhallinta

Kyberturvallisuus

Keinovalikoimassa (esimerkkejä)

Riskienhallinta, toipumiskyky

Raportointi, salausratkaisut, toimitusketjujen hallinta

Näkökulma

Fyysinen ja digitaalinen

Digitaalinen

Mitä toimialoja direktiivi koskee?

Liikenne

Energia

Pankki

Finanssimarkkina

Terveys

Vesihuolto

Jätevesihuolto

Digitaalinen infrastruktuuri

Julkishallinto

Avaruus

Liikenne

Energia

Pankki

Finanssimarkkina

Terveys

Vesihuolto

Jätevesihuolto

Digitaalinen infrastruktuuri

Julkishallinto

Avaruus

Mitä organisaatiota direktiivi koskee tai miten velvoittavuus määritellään?

 

 

Tapauskohtainen, perusteina direktiivin kriteeristö sekä kansallinen riskiarvio.

Velvoittaa suoraan kaikkia toimialojen suuria ja keskisuuria organisaatiota.

Kansallisella tasolla mahdollisuus laajentaa velvoittavuutta myös pieniin organisaatioihin.

Millaisia vaatimuksia direktiivin piirissä oleville toimijoille?

 

(Kriittisiä palveluita tuottavia organisaatioita koskevat vaatimukset, esimerkkejä)

Omien riskiarvioiden ja kriisinkestävyyssuunnitelmien laatiminen.

Kriisinsietokykyvaatimukset liittyvät:

häiriöiden ehkäisyyn

infrastruktuurin fyysiseen suojaamiseen

riskin- ja kriisinhallintajärjestelyihin

jatkuvuudenhallintaan ja

henkilöstön turvallisuusselvityksiin

Raportointivelvollisuus tietoturvapoikkeamista (sisältäen määritellyt aikarajat)

Riskienhallintaan liittyvät:

riskiarviot

tietojärjestelmiä koskevat turvallisuuspolitiikat

poikkeamahallintamenetelmät

toiminnan jatkuvuusvalmistelut

toimitusketjujen turvallisuus

 

 

Laiminlyönneistä aiheutuvat sanktiot ja niiden suuruus?

Ei tiedossa.

Enintään 10milj. EUR tai 2 % kansainvälisestä liikevaihdosta (kumpi on korkeampi).

Direktiivin käyttöönoton ajankohta (arvio)

Kesä 2022

Kesä 2022

Kansallinen lainsäädäntö päivitetty (arvio)

Kesä 2025

Kesä 2024



Seclion tulee pitämään tässä mainittuja ja muita ajankohtaisia teemoja pinnalla asiantuntija-artikkelien ja webinaarien muodossa. Teemme jatkuvasti työtä asiakkaidemme turvallisuuden eteen ja pyrimme ylläpitämään ajantasaista tilannekuvaa, jota hyödynnämme asiakasprojekteissamme.   

Mikäli haluat keskustella edellä mainituista tai muista turvallisuuteen liittyvistä asioista, ota rohkeasti yhteyttä!




Varaa palaveri

- Yhteydenottolomake