Euroopan Unionin valmisteilla olevat CER- ja NIS2-direktiivit asettavat turvallisuuteen liittyviä vaatimuksia tietyille Suomessa toimiville organisaatiolle.
Direktiiveistä puhuttaessa on hyvä palauttaa mieleen mitä termi itseasiassa tarkoittaa.
”EU-direktiivi” on EU:n jäsenvaltioiden lainsäätäjille tarkoitettu lainsäädäntöohje. Vaikka EU-direktiivi ei sellaisenaan muuta esim. Suomen lainsäädäntöä, asettaa se tästä huolimatta lainsäätäjälle (eduskunnalle) velvollisuuden direktiivin sisällön huomioimisesta ja implementoinnista osaksi kansallista lainsäädäntöä.
EU-direktiivi on siten tarkoituksellisesti ylätasoinen ohjeistus, jonka sisällön täyttämisen muodon ja keinot voi jokainen jäsenvaltio päättää lähtökotaisesti itsenäisesti. Kansallisen tason käytäntöönpanoa valvoo Euroopan komissio, jolle jäsenvaltioiden on ilmoitettava, miten direktiivin sisältö on lainsäädännössä huomioitu.
Hieman karrikoiden voidaan sanoa, että direktiivit sisältävät EU-jäsenvaltioille pakollisia reunaehtoja, joiden täyttämisessä sallitaan kohtuullinen määrä vapautta.
Mikä on CER-direktiivi?
Euroopan Unionin CER-direktiivin, eli “Critical Entities Resilience Directive” tavoitteena on nimensä mukaisesti yhteiskunnan toiminnan kannalta kriittisten palveluiden häiriönsietokyvyn (eli resilienssin) parantaminen. Hieman konkreettisemmin ajateltuna tavoitteena on elintärkeiden palveluiden mahdollisimman häiriöttömän toiminnan sekä jatkuvuuden varmistaminen.
Suomessa Huoltovarmuuskeskus on tehnyt osaltaan työtä yhteiskunnan turvaamiseksi em. näkökulmasta jo vuosikymmeniä ja HVK onkin ollut mukana myös CER-direktiivin määrittelytyössä.
Mitkä palvelut sitten ovat direktiivin mukaan yhteiskunnan kannalta kriittisiä? Huoltovarmuuskeskus jaottelee Suomen kannalta kriittiset palvelut 8 eri toimialaan (sektoriin), mutta CER-direktiivi tuntee yhteensä 10 sektoria. Uusina sektoreina CER tuo mukanaan julkishallinnon (public administration) sekä avaruuden (space).
Suomen (kuten muidenkin EU-jäsenmaiden) tulee itsenäisesti tunnistaa sektorikohtaiset kriittiset toiminnot, sekä niitä tarjoavat organisaatiot. Tunnistaminen toteutetaan sekä EU-tason kriteerien että kansallisen riskiarvion pohjalta. Kun kriittiset toimijat on tunnistettu, edellyttää CER-direktiivi ko. toimijoilta mm. omien riskiarvioiden ja kriisinkestävyyssuunnitelmien laatimista (ellei niitä vielä ole).
Mikä on NIS2-direktiivi?
Vuonna 2016 otettiin EU-tasolla käyttöön ensimmäinen yhteinen tietoturvasäädös, NIS-direktiivi (“The Directive on Security of Network and Information Systems”). Kansallisen tason implementoinnin jälkeen NIS-direktiivin sisältö on siten ollut osana Suomen lainsäädäntöä vuodesta 2018 alkaen.
Alkuperäisen NIS-direktiivin tavoitteena on ollut parantaa EU-jäsenmaiden kyberturvallisuutta. Käytännössä tavoitetta lähestyttiin asettamalla tietyillä sektoreilla (7 sektoria) toimiville organisaatiolle yhteinen kyberturvallisuuden vähimmäistaso.
Yksityiskohtaisia turvallisuusvaatimuksia ei NIS-direktiivistäkään kannata etsiä, sillä se sisältää lähinnä erilaisia ylätason vaatimuksia organisaatioiden turvallisuustoiminnalle sekä velvoitteet tietoturvapoikkeamista ja -uhkista raportoimiselle. Jälkimmäiseen liittyen jäsenmaita velvoitettiin myös perustamaan CSIRT (”Computer Security Incident Response Team”) toiminto, jotka vastaavat mm. organisaatioiden laatimien ilmoitusten vastaanotosta ja jatkokäsittelystä.
NIS2-direktiivi on valmisteilla oleva, sisällöltään paranneltu ja paremmin nykyisen kyberympäristön haasteet huomioiva versio alkuperäisestä NIS-direktiivistä. On arvioitu, että NIS2 julkaistaan kesän 2022 aikana ja se tulee sisältämään alkuperäisen seitsemän kriittisen sektorin sijaan 10 eri sektoria (vastaavat kuin CER-direktiivi).
CER- ja NIS2-direktiivien vertailu
|
Asia |
CER-direktiivi |
NIS2-direktiivi |
|
Laajuus |
EU-jäsenvaltiot |
EU-jäsenvaltiot + tietyt EU:ssa palveluita tarjoavat toimijat |
|
Suomen edustaja valmistelussa |
Sisäministeriö |
Liikenne- ja viestintäministeriö |
|
Direktiivin ”edeltäjä” |
ECI-direktiivi |
NIS-direktiivi |
|
Ytimessä |
Jatkuvuudenhallinta |
Kyberturvallisuus |
|
Keinovalikoimassa (esimerkkejä) |
Riskienhallinta, toipumiskyky |
Raportointi, salausratkaisut, toimitusketjujen hallinta |
|
Näkökulma |
Fyysinen ja digitaalinen |
Digitaalinen |
|
Mitä toimialoja direktiivi koskee? |
Liikenne Energia Pankki Finanssimarkkina Terveys Vesihuolto Jätevesihuolto Digitaalinen infrastruktuuri Julkishallinto Avaruus |
Liikenne Energia Pankki Finanssimarkkina Terveys Vesihuolto Jätevesihuolto Digitaalinen infrastruktuuri Julkishallinto Avaruus |
|
Mitä organisaatiota direktiivi koskee tai miten velvoittavuus määritellään?
|
Tapauskohtainen, perusteina direktiivin kriteeristö sekä kansallinen riskiarvio. |
Velvoittaa suoraan kaikkia toimialojen suuria ja keskisuuria organisaatiota. Kansallisella tasolla mahdollisuus laajentaa velvoittavuutta myös pieniin organisaatioihin. |
|
Millaisia vaatimuksia direktiivin piirissä oleville toimijoille?
(Kriittisiä palveluita tuottavia organisaatioita koskevat vaatimukset, esimerkkejä) |
Omien riskiarvioiden ja kriisinkestävyyssuunnitelmien laatiminen. Kriisinsietokykyvaatimukset liittyvät: häiriöiden ehkäisyyn infrastruktuurin fyysiseen suojaamiseen riskin- ja kriisinhallintajärjestelyihin jatkuvuudenhallintaan ja henkilöstön turvallisuusselvityksiin |
Raportointivelvollisuus tietoturvapoikkeamista (sisältäen määritellyt aikarajat) Riskienhallintaan liittyvät: riskiarviot tietojärjestelmiä koskevat turvallisuuspolitiikat poikkeamahallintamenetelmät toiminnan jatkuvuusvalmistelut toimitusketjujen turvallisuus
|
|
Laiminlyönneistä aiheutuvat sanktiot ja niiden suuruus? |
Ei tiedossa. |
Enintään 10milj. EUR tai 2 % kansainvälisestä liikevaihdosta (kumpi on korkeampi). |
|
Direktiivin käyttöönoton ajankohta (arvio) |
Kesä 2022 |
Kesä 2022 |
|
Kansallinen lainsäädäntö päivitetty (arvio) |
Kesä 2025 |
Kesä 2024 |
Seclion tulee pitämään tässä mainittuja ja muita ajankohtaisia teemoja pinnalla asiantuntija-artikkelien ja webinaarien muodossa. Teemme jatkuvasti työtä asiakkaidemme turvallisuuden eteen ja pyrimme ylläpitämään ajantasaista tilannekuvaa, jota hyödynnämme asiakasprojekteissamme.
Mikäli haluat keskustella edellä mainituista tai muista turvallisuuteen liittyvistä asioista, ota rohkeasti yhteyttä!