Velvollisuudet raportoida tietoturvaloukkauksista laajenevat EU:n verkko- ja tietoturvadirektiivin (NIS) myötä 9.5.2018

Julkaistu 09.05.2018

EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) mukainen kansallinen lainsäädäntö ja sen velvoitteet ovat voimassa 9.5.2018 alkaen. NIS velvoittaa huoltovarmuuskriittisiä yrityksiä ja keskeisiä digitaalisten palvelujen tarjoajia jatkossa raportoimaan tietoturvaloukkauksista toimialan valvontaviranomaiselle. Tietoturvaloukkauksista voi edelleen ilmoittaa vapaaehtoisesti Viestintäviraston Kyberturvallisuuskeskukselle, jolloin ilmoittaja saa käyttöön keskuksen tilanneapua sekä luottamusverkostoa tietoturvatapausten selvittämisessä ja tiedonjaossa. Viralliset raportit Viestintävirasto kokoaa valvovilta viranomaisilta ja toimii Suomen yhteyspisteenä EU:n jäsenvaltioiden välisessä tiedonvaihdossa.

Säädetty pakollinen häiriöilmoitus tulee tehdä toimialoittain nimetyille valvoville viranomaisille seuraavan taulukon mukaisesti.

Toimiala Valvontaviranomainen
Liikenne Trafi
Energiahuolto Energiavirasto
Terveydenhuolto Valvira
Finanssiala Finanssivalvonta
Finanssialan infrastruktuuri Finanssivalvonta
Vesihuolto ELY-keskukset
Digitaalinen infrastruktuuri Viestintävirasto
Digitaaliset palvelut Viestintävirasto

Toimintamalleihin tulee uusia raportointivelvollisuuksia, vapaaehtoinen ilmoittaminen säilyy entisellään

Uusi lainsäädäntö velvoittaa toimialakohtaisesti määritetyt organisaatiot raportoimaan havaitsemistaan tietoturvauhista ja -loukkauksista toimialan valvontaviranomaiselle. Toimialakohtainen valvontaviranomainen kokoaa toimialan ilmoitukset yhteen ja raportoi ne yhdenmukaisesti Viestintävirastolle. Viestintävirasto toimii Suomessa POC-toimijana (Point of Contact) ja raportoi Suomesta kaikkien toimialojen tapahtumat kootusti säännöllisesti EU:lle.

Kyberturvallisuuskeskuksen palvelut tietoturvatapausten selvittämisessä ja tiedonjako ennallaan

Organisaatioita suositellaan olemaan yhteydessä tietoturvauhkista ja -loukkauksista Viestintäviraston Kyberturvallisuuskeskukseen tilannehetkellä entiseen tapaan. Yhteydenotto mahdollistaa tietoturvaloukkauksen kohteena olevan organisaation auttamisen ja helpottaa muita varautumaan ajankohtaiseen uhkaan.

Kyberturvallisuuskeskus voi myös saada tietoturvaloukkauksen käsittelyyn kansainvälisestä tiedonvaihdosta lisätietoja esimerkiksi direktiivin mukaisen CSIRT-palvelun (Computer Security Incident Response Team) kautta, jossa Kyberturvallisuuskeskus edustaa Suomea.

Huomioitavaa on, että vapaaehtoinen ilmoitus Kyberturvallisuuskeskukselle ei käynnistä valvontatoimenpiteitä, vaan säilyttää luottamuksellisuuden nopean reagoinnin takaamiseksi. Velvoitteen mukainen raportointi on tehtävä toimialan valvontaviranomaiselle. Yhteydenoton voi halutessaan tehdä molemmille viranomaisille samanaikaisesti.

Mistä tietoa toimialan käytännöistä?

Ilmoituskynnykset ja -käytännöt vaihtelevat toimialoittain. Toimialan valvontaviranomaiset tiedottavat alakohtaisista käytännöistä tai ovat suoraan yhteydessä raportointivelvollisiin organisaatioihin niihin kohdistuvista ilmoitusvelvollisuuksista ja -käytänteistä.

ToimialaValvontaviranomainen Mistä tietoa
Liikenne Trafi On yhteydessä suoraan raportointivelvollisiin
Energiahuolto Energiavirasto On yhteydessä suoraan raportointivelvollisiin
Terveydenhuolto Valvira Lisätietoa Valviran verkkouutisessa
Finanssiala Finanssivalvonta Lisätietoa Finassivalvonnan verkkouutisessa
Finanssialan infrastruktuuri Finanssivalvonta Lisätietoa Finassivalvonnan verkkouutisessa
Vesihuolto ELY-keskukset On yhteydessä raportointivelvollisiin
Digitaalinen infrastruktuuri Viestintävirasto

Ilmoitus Viestintävirastoon lomakkeella Tiedote, jossa lisätietoa julkaistaan 14.5.2018.

Digitaaliset palvelut Viestintävirasto Ilmoitus Viestintävirastoon lomakkeella Tiedote, jossa lisätietoa, julkaistaan 14.5.2018.

Taulukko: Lisätietoa NIS-velvoitteista toimialakohtaisesti

Esimerkiksi vesihuollon tarkentavassa lakiehdotuksessa on esitetty, että ilmoitusvelvollisuus koskisi vain yli 5 000 kuutiometriä vuorokaudessa talousvettä jakelevia tai jätevettä vastaanottavia laitoksia. Ilmoitus on tehtävä viipymättä. Finanssialalla puolestaan kaikki pankkitoimintaa harjoittavat laitokset kuuluvat jo voimassaolevien vaatimusten puitteissa uuden lainsäädännön piiriin ja direktiivin toimeenpano ei aiheuta alalla muutoksia.

Mistä tietoturvaloukkauksista tulee raportoida?

Verkko- ja tietoturvadirektiivissä kerrotaan pääpiirteissä, millaiset tietoturvaloukkaukset tulee ilmoittaa toimialakohtaisesti. Kansallisesti voidaan asettaa tätä tarkempia vaatimuksia. Toimialan raportointivelvollisten organisaatioiden tulee siis tutustua toimialaa koskevaan lainsäädäntöön ja ohjeistukseen. Osa ohjeistuksista täsmentyy raportointikokemusten kertyessä.

Ilmoituskynnys voi täyttyä esimerkiksi silloin kun tietoturvaloukkauksen seurauksena ihmishenki voi vaarantua tai siitä voi aiheutua merkittävää taloudellista haittaa. Epäselvissä tilanteissa on hyvä muistaa, että jos tietoturvauhka tai -loukkaus aiheuttaa organisaatiossa toimenpiteitä toimintojen jatkuvuuden turvaamiseksi, on siitä hyvä olla yhteydessä viranomaiseen.

Direktiivin ja lainsäädännön myötä turvallisempi digitaalinen yhteiskunta

Verkko- ja tietoturvadirektiivi ja kansallinen lainsäädäntö luovat edellytykset kyberturvallisuuden ohjaukseen ja valvontaan yhteiskunnan kannalta tärkeille toimialoille. Ne luovat pohjan toimialat ja viranomaiset ylittävälle yhteistyölle, joilla edistetään kyberturvallisuutta niin kansallisesti kuin kansainvälisesti.

Viestintävirasto perusti maaliskuussa yhteistyössä muiden valvovien viranomaisten kanssa viranomaisyhteistyöryhmän uuden lainsäädännön valvontatoiminnan ja yhteistyön kehittämiseksi. Ryhmä vaihtaa tietoa esimerkiksi tietoturvaloukkausten ilmoitusrajoista, alakohtaisista raportointikäytännöistä ja raportoinnin päällekkäisyyksistä. Tavoitteena on kehittää eri toimialoille mahdollisimman yhtenevät käytännöt ja jakaa oppeja erialojen kokemuksista tietoturvatapauksista. Yhteiskunta hyötyy, kun kyberturvallisuudesta huolehditaan kaikilla kriittisillä toimialoilla ja tietoa vaihdetaan yli toimialarajojen.

Lisätietoa:

Jarna Hartikainen, päällikkö, Kyberturvallisuuskeskus, puh. 0295 390 557

Heidi Kivekäs, erityisasiantuntija, Kyberturvallisuuskeskus, puh. 0295 390 525

Asiasanat: Tietoturva , Kyberturvallisuus , Lait , Uutiset

LinkedIn Print