Hallituksen esitys ky­ber­tur­val­li­suus­di­rek­tii­vin täy­tän­töön­pa­ne­mi­sek­si lausunnoille

Uusi kyberturvallisuusdirektiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi). NIS2-direktiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa tiettyjen kriittisten sektoreiden osalta. 

Direktiivin soveltamisala kattaa entistä laajemmin esimerkiksi energia- ja terveydenhuoltosektorilla toimivia tahoja sekä digitaalisen infrastruktuurin palveluntarjoajia. Direktiivin soveltamisalaa on laajennettu koskettamaan myös uusia sektoreita ja toimijoita, kuten julkishallintoa, elintarvikealaa, eräiden tuotteiden valmistamista ja jätehuoltoa. Direktiivin soveltamisalaan kuuluvat keskisuuret ja sitä suuremmat toimijat, sekä eräissä poikkeustilanteissa toimijoita koosta riippumatta.

Liikenne- ja viestintäministeriö käynnisti 2.1.2023 kansallisen toimeenpanohankkeen NIS2-direktiivin velvoitteiden saattamiseksi osaksi kansallista lainsäädäntöä. Esitys on valmisteltu poikkihallinnollisessa työryhmässä ja sen alatyöryhmässä. Hankkeesta on myös järjestetty avoimet kuulemistilaisuudet 30.3. ja 4.5.2023.

Hallituksen esitysluonnoksessa ehdotetaan, että NIS2-direktiivi pantaisiin Suomessa täytäntöön sen vähimmäistason mukaisesti velvoitteiden laajuuden ja soveltamisalan osalta, kansallisen liikkumavaran sallimissa rajoissa. Valvonnassa ehdotetaan jatkettavaksi NIS-direktiivin täytäntöönpanossa omaksuttua sektorikohtaisen valvonnan mallia. Tietoturvaloukkauksiin reagoivan ja niitä tutkivan yksikön, eli CSIRT-yksikön tehtävä keskitettäisiin Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselle. 

Luonnoksessa esitetään säädettäväksi uusi laki kyberturvallisuuden riskienhallinnasta. Lakiin keskitettäisiin soveltamisalaan kuuluviin eli yhteiskunnan toiminnan kannalta kriittisiin toimijoihin kohdistuvat kyberturvallisuuden riskienhallinta- ja raportointivelvoitteet. Julkishallinnon toimijoihin kohdistuvista velvoitteista säädettäisiin julkisen hallinnon tiedonhallinnasta annetussa laissa. 

Uudessa laissa säädettäisiin myös velvoitteiden valvonnasta, hallinnollisen seuraamusmaksun määräämisestä, Kyberturvallisuuskeskukseen sijoitetun CSIRT-yksikön tehtävistä, kyberturvallisuustietojen vapaaehtoisista jakamisjärjestelyistä sekä kansallisen kyberturvallisuusstrategian laatimisesta. 

Lisäksi NIS2-direktiivi velvoittaa jäsenvaltioita laatimaan kansalliset kyberturvallisuusstrategiat ja vahvistamaan jäsenvaltioiden välistä yhteistyötä. Direktiivillä perustetaan virallisesti Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU CyCLONe), joka täydentää jo olemassa olevia viranomaisverkostoja ja jäsenvaltioiden yhteistoimintaa.

Lausuntoja voi antaa 29.11.2023 asti. Lausuntoja voivat antaa kaikki organisaatiot ja kansalaiset osoitteessa www.lausuntopalvelu.fi. Lausuntokierroksen jälkeen valmistelu jatkuu virkatyönä.

Direktiivi julkaistiin 27.12.2022. Jäsenmailla on direktiivin voimaantulosta 21 kuukautta aikaa saattaa säännökset osaksi kansallista lainsäädäntöään. NIS2-direktiivin mukaisia velvoitteita on sovellettava 18.10.2024 alkaen.

Liikenne- ja viestintäministeriö järjestää direktiivin täytäntöönpanosta avoimen kuulemistilaisuuden 9.10.2023.

Lähde ja lisätietoja: Liikenne- ja viestintäministeriön tiedote.