Uusi tietoturvasääntely koskee myös digitaalisia palveluita - teleyritysten sääntely ennallaan

Julkaistu 14.05.2018

NIS-direktiivin kansallinen täytäntöönpano vahvistaa digitaalisen infrastruktuurin ja digitaalisten palvelujen tietoturvallisuutta. Alan toimijoiden valvontaviranomaisena sekä häiriöilmoitusten vastaanottajana toimii Viestintävirasto.

EU:n verkko- ja tietoturvadirektiivin (NIS) mukainen kansallinen lainsäädäntö tuli voimaan 9.5.2018. Päivää myöhemmin tuli voimaan EU:n komission digitaalisten palvelujen tarjoajia koskeva täytäntöönpanoasetus, jolla tarkennetaan verkko- ja tietoturvadirektiivin vaatimuksia digitaalisille palveluille. Asetus on voimassa sellaisenaan myös Suomessa. Säännösmuutokset koskevat ennen kaikkea digitaalisten palvelujen tarjoajia ja häiriötilanteista ilmoittamista.

Digitaalisen infrastruktuurin toimijoille tulevat ilmoitusvelvoitteet ovat pitkälti vanhastaan tuttuja. Viestintävirasto vastaa uusien velvoitteiden noudattamisesta ja vastaanottaa digitaalisten palvelujen tarjoajien ja digitaalisen infrastruktuurin toimijoiden häiriöilmoitukset.

Yhdysliikennepisteiden, nimipalvelimien ja aluetunnusten sääntely säilyy ennallaan

Yleiset tietoturvavelvoitteet ovat koskeneet teleyrityksiä aiemminkin. Ne ilmoittavat tietoturvaloukkauksista Viestintintävirastoon .

NIS-direktiiviin pohjautuen digitaalisen infrastruktuurin sääntely koskee internetin:

• yhdysliikennepisteitä (IXP, Internet Exchange Point)
• nimipalvelimia (DNS, Domain Name Server)
• aluetunnuksia (Suomessa .fi ja .ax)

Suomessa internetin yhdysliikennepisteiden ja nimipalvelinten tarjoaminen kuuluvat yleisen teletoiminnan sääntelyn piiriin silloin, kun yhdysliikennepisteissä liitetään yhteen yleisiä viestintäverkkoja ja nimipalvelua tarjotaan osana internetyhteyspalvelua. Näitä digitaalisen infrastruktuurin osia tarjoavat toimijat ovat teleyrityksiä eli niitä koskevat teletoiminnan sääntely. Teletoiminnan tietoturvasta huolehtimisen ja häiriöistä ilmoittamisen vaatimukset on asetettu tietoyhteiskuntakaaressa sekä sitä täydentävissä

Viestintäviraston teknisissä määräyksissä:

• Määräys 66 teletoiminnan häiriötilanteista
• Määräys 67 teletoiminnan tietoturvasta

Kansallisista internetin aluetunnuksista taas vastaavat Suomessa viranomaiset: Fi-verkkotunnuspäätteestä Viestintävirasto ja ax-verkkotunnuspäätteestä Ahvenanmaan Maakuntahallitus. Näitäkin digitaalisen infrastruktuurin osia on säännelty jo ennestään tietoyhteiskuntakaaressa sekä viranomaisen toiminnan julkisuutta ja tietoturvallisuutta koskevassa säädännössä. Verkkotunnuksissa on käytössä ns. verkkotunnusvälittäjämalli ja välittäjiä koskevat tietoturvallisuuden ja häiriöistä ilmoittamisen velvoitteet on asetettu tietoyhteiskuntakaaressa sekä Viestintäviraston määräyksessä 68 fi- ja ax-päätteisistä verkkotunnuksista ja niiden välitystoiminnasta.

Digitaaliset palvelut sääntelyn piiriin

Uutta on sääntely digitaalisten palveluntarjoajien tietoturvasta huolehtimisesta ja häiriöistä ilmoittamisesta. Digitaalisten palvelujen toimivuus ja turvallisuus ovat yksi tärkeä osa digitaalisen yhteiskunnan luotettavuuden varmistamista. Uuden sääntelyn tavoitteena onkin parantaa niiden tietoturvauhkiin varautumista. Häiriöistä ilmoittamisen vaatimuksilla taas parannetaan tietoturvauhkista ja -loukkauksista tiedon saamista ja yksittäisistä häiriöistä toipumista. Uusi sääntely yhtenäistää pidemmällä aikavälillä tietoturvariskien hallinnan käytäntöjä ja parantaa häiriöihin varautumista EU-tasoisesti. Digitaalisia palveluja tarjoavat ilmoittavat häiriöistä kotimaansa vastuuviranomaiselle, suomalaiset palveluntarjoajat ilmoittavat häiriöistä Viestintävirastoon .

NIS-direktiiviin pohjautuen digitaalisten palvelujen sääntely koskee seuraavia aloja, joihin eurooppalaisella tasolla palveluja tuottavia esimerkkejä suluissa:

• verkossa toimivan markkinapaikan tarjoajia (AppStore, Amazon),
• hakukonepalvelun tarjoajia (Google ja Bing) ja
• pilvipalvelun tarjoajia (Microsoft Office 365, DropBox).

Yritysluokkien määrittelyssä käytettävät henkilöstömäärät ja rahamääräiset kynnysarvot

Sääntely ei koske sellaisia digitaalisten palvelun tarjoajien, jotka ovat NIS-direktiivissä viitattuja mikroyrityksiä tai pieniä yrityksiä.

Mikroyritysten sekä pienten ja keskisuurten yritysten (pk-yritysten) luokka koostuu yrityksistä, joiden palveluksessa on vähemmän kuin 250 työntekijää ja joiden vuosiliikevaihto on enintään 50 miljoonaa euroa tai taseen loppusumma on enintään 43 miljoonaa euroa.

Pk-yritysten luokassa pieni yritys määritellään yritykseksi, jonka palveluksessa on vähemmän kuin 50 työntekijää ja jonka vuosiliikevaihto tai taseen loppusumma on enintään 10 miljoonaa euroa. Pk-yritysten luokassa mikroyritys määritellään yritykseksi, jonka palveluksessa on vähemmän kuin 10 työntekijää ja jonka vuosiliikevaihto tai taseen loppusumma on enintään 2 miljoonaa euroa.

Pilvipalvelu: Uusi sääntely voi koskea monenlaisia pilvipalveluita eli tietoteknisiä resursseja: infrastruktuurin, kuten verkkojen ja palvelimien tarjontaa (IaaS), ohjelmistojen ja sovellusten tarjontaa (SaaS) tai alustojen tarjontaa. ("platformeja", PaaS).

Verkossa toimiva markkinapaikka: Sääntely koskee verkossa olevia markkinapaikkoja, joissa kuluttajat ja elinkeinonharjoittajat voivat tehdä verkossa kauppa- tai palvelusopimuksia elinkeinonharjoittajien kanssa. Esimerkiksi digitaaliset sovelluskaupat, joissa tarjotaan eri toimijoiden tarjoamia sovelluksia ja ohjelmistoja, ovat yhdentyyppisiä verkossa toimivia markkinapaikkoja.

Verkossa toimiva hakukone
: Sääntely koskee hakukoneita, jotka antavat käyttäjälle mahdollisuuden tehdä hakuja periaatteessa kaikilta verkkosivustoilta mitä tahansa aihetta koskevan kyselyn perusteella.

Toisin sanoen, jos digitaalisen palvelun tarjoajan eli verkossa toimivan markkinapaikan, hakukonepalvelun tai pilvipalvelun tarjoajan henkilöstömäärä ja rahamääräiset arvot ylittävät nämä luvut, NIS-direktiivin mukainen sääntely koskee toimintaa.

Sähköisen viestinnän palveluista annetussa laissa säädetään digitaalisten palvelujen velvoitteet yleisellä tasolla. Tarkemmat vaatimukset on säädetty koko EU:ssa yhdenmukaisesti komission täytäntöönpanoasetuksella (EU) 2018/151 (nk. DSP-asetus). Uuden lainsäädännön mukaan sääntelyn kohteena olevien digitaalisten palvelujen tarjoajien on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. Komission täytäntöönpanoasetuksessa määritellään riskienhallinnassa vähintään huomioitavat tekijät.

Lisäksi digitaalisten palvelujen tarjoajien on uuden säädännön mukaan ilmoitettava viipymättä Viestintävirastolle sen palveluun kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. Jos häiriöistä ilmoittaminen on yleisen edun mukaista, Viestintävirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista, tiedottaa asiasta myös itse. Ilmoituskynnys määritellään komission täytäntöönpanoasetuksessa.

Uuteen säädäntöön on lisäksi annettu Viestintävirastolle toimivalta antaa tarkempia määräyksiä ilmoitusten sisällöstä, muodosta ja toimittamisesta. Virasto ei ole toistaiseksi käyttänyt tätä määräysvaltuuttaan. Määräyksen tarpeellisuutta arvioidaan tulevaisuudessa vastaanotettavien ilmoitusten perusteella ja mahdollisesta määräysvalmistelun käynnistymisestä tiedotetaan erikseen.

Aiheeseen liittyvää

Lait Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liit-tyvien lakien muuttamisesta
Tietoyhteiskuntakaari (1.6. alkaen laki sähköisen viestinnän palveluista)
Komission täytäntöönpanoasetus (EU) 2018/151
Viestintäviraston määräykset

Lisätietoa:

Jarna Hartikainen, päällikkö, Kyberturvallisuuskeskus, puh. 0295 390 557

Heidi Kivekäs, erityisasiantuntija, Kyberturvallisuuskeskus, puh. 0295 390 525

Lisätietoa medialle:
Tietoyhteiskuntakaaren nimike muuttuu 1.6. laiksi sähköisen viestinnän palveluista

Asiasanat: Tietoturva , Kyberturvallisuus , Uutiset

LinkedIn Print