EUn verkko- ja tietoturvadirektiivin (NIS-direktiivi) saattaminen osaksi kansallista lainsäädäntöä

TIIVISTELMÄ

Euroopan unionin neuvosto julkaisi verkko- ja tietoturvadirektiivin (NIS-direktiivi) lopullisen version 21. huhtikuuta 2016. Vaikka Euroopan parlamentin onkin muodollisesti allekirjoitettava direktiivi tänä kesänä, kolme EU:n toimielintä on hyväksynyt itse tekstin eikä sen odoteta muuttuvan. Jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöään 21 kuukauden kuluessa direktiivin hyväksymisestä. Tätä prosessia auttaaksemme olemme laatineet liitteeksi ohjeet parhaiksi käytännöiksi, joiden avulla teknologia-alalle olennaiset asiat voidaan panna tehokkaasti täytäntöön direktiivin laatijoiden tarkoitusperien mukaisesti.

EU:n NIS-direktiivi on ensimmäinen yleiseurooppalainen kyberturvallisuutta käsittelevä lainsäädäntö. Se keskittyy kyberturvallisuusviranomaisten toiminnan vahvistamiseen kansallisella tasolla ja viranomaisten välisen yhteistyön lisäämiseen. Direktiivi tuo mukanaan myös avaintoimialoja koskevia turvallisuusvaatimuksia.

Kaiken kansallisen toimeenpanolainsäädännön pitää huomioida direktiivin kaksi päätavoitetta: (1) maan kriittisten infrastruktuurien kyberturvallisuuden korkean tason varmistaminen, (2) EU:n jäsenvaltioiden välisen tehokkaan yhteistyömekanismin vakiinnuttaminen ensimmäisen tavoitteen edistämiseksi. Resursseja olisi varattava ennen kaikkea näiden kahden tärkeän tavoitteen saavuttamiseen.

Teknologia-alalla erityisen kiinnostuksen kohteena ovat ns. digitaalisen palvelun tarjoajiin liittyvät säännökset. Direktiivissä todetaan selvästi, että keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien välillä on perustavanlaatuisia eroja. Viimeksi mainittuja ei pidetä sinänsä kriittisenä infrastruktuurina. Kuten lainsäädännössä todetaan, näihin digitaalipalveluihin vaikuttava poikkeama aiheuttaisi selvästi alhaisemman riskin maan taloudelliselle ja yleiselle turvallisuudelle. On olennaista pitää mielessä tämä ero, jotta sääntöjä valvovien ja täytäntöönpanevien viranomaisten vähäiset resurssit voidaan hyödyntää vaikuttavasti ja tehokkaasti.

Edellä esitetyn vuoksi, kehotamme pitämään tiukasti mielessä, mikä on direktiivin tarkoitettu soveltamisala. Päätöksentekijöiden tulisi kansallisessa lainsäädännössä kohdistaa turvallisuusvaatimuksia vain niihin sektoreihin, jotka on määritelty keskeisten palvelujen tarjoajiksi ja digitaalisen palvelun tarjoajiksi.

Lainkäyttövallan osalta digitaalisen palvelun tarjoajien pitäisi pystyä vetoamaan päätoimipaikkansa sijaintimaassa sovellettavaan lakiin myös tapauksissa, joihin liittyy useamman kuin yhden maan toimivaltaisia viranomaisia. Valvonnan osalta toimivaltaisten viranomaisten olisi noudatettava jälkikäteistä toimintatapaa sen sijaan, että määrättäisiin digitaalisen palvelun tarjoajien valvontaa koskeva yleinen velvoite. Lisäksi viranomaisten olisi keskityttävä tuloksiin ja säilytettävä keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien välinen ero siten, ettei viimeksi mainittuihin sovelleta vaatimuksia, joita direktiivi ei edellytä, kuten tarkastuksia ja sitovia ohjeita.

Perustuen direktiivin toteamukseen, jonka mukaan digitaalisen palvelun tarjoajat edustavat selvästi alhaisempaa turvallisuusriskiä, digitaalisen palvelun tarjoajiin olisi sovellettava erilaisia turvallisuustoimenpiteitä kuin keskeisten palvelujen tarjoajiin. Näiden palvelujen osalta päätöksentekijöiden olisi toteutettava yhdenmukaistamistavoite, otettava huomioon alan käytössä olevat kansainväliset standardit, vältettävä teknologia-mandaatteja ja kunnioitettava direktiiviin kirjattua digitaalisen palvelun tarjoajien oikeutta määritellä parhaiten järjestelmiinsä sopivat turvallisuustoimenpiteet. Poikkeamista ilmoittaminen olisi myös niin pitkälle kuin mahdollista yhdenmukaistettava Euroopan tasolla. Tällöin olisi keskityttävä palvelun jatkuvuuteen vaikuttaviin poikkeamiin, sovellettava joustavuutta ilmoitusten ajoituksessa ja luotava luotettava ympäristö, joka rohkaisee tiedonjakoon kasvattamatta ilmoittavan osapuolen vastuuta.

Keskeisten palvelujen tarjoajille määrätyt toimenpiteet vaikuttavat myös muihin toimialoihin, kun turvallisuustoimenpiteet ja poikkeamista ilmoittaminen siirtyvät ketjussa alaspäin sopimusehtoihin. Tämä pätee etenkin pilvipalveluihin. Sen vuoksi digitaalisen palvelun tarjoajiin saatetaan välillisesti soveltaa niiden asiakkaiden kansallisia lakeja ja siksi tarvitsemme näihin palveluihin sovellettavia, kansainvälisesti tunnustettuja turvallisuustoimenpiteitä. Ehdotamme myös keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien ilmoitusvaatimusten mahdollisimman hyvää yhteensovittamista ja synergiaa, koska digitaalisen palvelun tarjoajat todennäköisesti joutuvat tekemään ilmoituksensa kahdesti.

Direktiivin tavoite on verkko- ja tietojärjestelmien yhteinen korkeatasoinen turvallisuus, joka parantaa sisäisten markkinoiden toimintaa. Jotta tämä vaativa tavoite saavutettaisiin, direktiivin saattamisessa osaksi kansallista lainsäädäntöä on keskityttävä riskiperustaiseen, yhdenmukaistettuun ja kansainväliseen lähestymistapaan. Siten yksityisen sektorin toimijat voivat joustavasti sopeutua jatkuvasti muuttuvaan uhkaympäristöön, kyberviranomaiset voivat keskittää rajalliset resurssit tärkeimpiin haasteisiin ja voidaan huomioida se, että ongelmaan, joka ei tunnusta valtiorajoja, on löydettävä globaali ratkaisu. Toivomme, että näistä neuvoista on hyötyä tavoitteen saavuttamisessa ja vastaamme mielellämme mahdollisiin lisäkysymyksiin.