Hallitus esittää uuden kyberturvallisuuslain vahvistamista
Hallitus esittää, että Tasavallan presidentti vahvistaisi kyberturvallisuuslain ja määräisi sen tulemaan voimaan 8.4.2025. Tasavallan presidentin on tarkoitus vahvistaa laki perjantaina 4.4.2025.
Kyberturvallisuuslailla toimeenpannaan EU:n kyberturvallisuusdirektiivi (NIS 2). Direktiivin tavoitteena on vahvistaa EU:n ja jäsenvaltioiden kyberturvallisuutta kriittisillä toimialoilla. Soveltamisalaan kuuluvien toimijoiden on jatkossa arvioitava ja hallittava riskejä, joita kohdistuu niiden käyttämien viestintäverkojen ja tietojärjestelmien turvallisuuteen. Toimijoiden on myös ilmoitettava merkittävistä poikkeamista viestintäverkoissa ja tietojärjestelmissä. Julkishallinnon osalta direktiivi pannaan täytäntöön muutoksilla julkisen hallinnon tiedonhallinnasta annettuun lakiin.
Kyberturvallisuuslain soveltamisala kattaa toimijoita esimerkiksi liikenne-, energia- ja terveydenhuoltoaloilla sekä digitaalisen infrastruktuurin palveluntarjoajia. Laki koskee myös esimerkiksi elintarvikealaa, eräitä tuotteita valmistavaa teollisuutta, kemianteollisuutta, jätehuoltoa ja postipalveluita. Laki koskee pääsääntöisesti keskisuuria ja suurempia toimijoita, jotka harjoittavat lain liitteisiin kuuluvaa toimintaa.
Kansallisesti säädetään valvovista viranomaisista
Kyberturvallisuuslaissa säädetään kyberturvallisuusdirektiivin mukaisista velvoitteista, jotka koskevat organisaation riskienhallintaa ja merkittävien poikkeamien raportoimista. Lisäksi laissa säädetään velvoitteiden valvonnasta ja muista toimeenpanon edellyttämistä viranomaistehtävistä. Soveltamisalaan kuuluvia toimijoita edellytetään myös ilmoittamaan yhteystietonsa valvovalle viranomaiselle soveltamisen alkaessa. Kyberturvallisuuslain mukaiset määräajat riskienhallinnan järjestämiselle ja tietojen ilmoittamiselle alkavat lain voimaantulosta.
Kyberturvallisuuslain valvovia viranomaisia ovat toimialakohtaisesti Liikenne- ja viestintävirasto Traficom, Energiavirasto, Turvallisuus- ja kemikaalivirasto, Etelä-Savon ELY-keskus, Ruokavirasto, Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira ja Lääkealan turvallisuus- ja kehittämiskeskus Fimea. Valvovien viranomaisten yhteistyötä koordinoi Traficom. Hallinnollisia seuraamusmaksuja määrää erikseen perustettava seuraamusmaksulautakunta, joka koostuu valvovien viranomaisten nimeämistä jäsenistä.
Traficomin Kyberturvallisuuskeskukseen sijoitetaan tietoturvaloukkauksia tutkivan ja niihin reagoivan yksikön eli CSIRT-yksikön tehtävät, jotka vastaavat pitkälti Kyberturvallisuuskeskuksen nykyisiä tehtäviä esimerkiksi kyberuhkien seurannan ja analysoinnin osalta. Yksikkö koordinoi myös haavoittuvuuksien julkaisemista EU:n suuntaan. Yksikkö voi toimia kyberturvallisuustietoja koskevien vapaaehtoisten jakamisjärjestelyiden koordinaattorina.
Mitä seuraavaksi?
Lakien on tarkoitus tulla voimaan 8.4.2025. Kyberturvallisuuskeskus ja valvovat viranomaiset tiedottavat kyberturvallisuuslain toimeenpanosta.
Lisätietoja:
hallitussihteeri Veikko Vauhkonen, p. 0295 342 168, veikko.vauhkonen@gov.fi
Liikenne- ja viestintävirasto Traficom: NIS2 - Euroopan unionin kyberturvallisuusdirektiiviLinkki toiselle sivustolle
Valtioneuvoston hankeikkuna: Hallituksen esitys Euroopan unionin kyberturvallisuusdirektiivin (NIS 2-direktiivi) täytäntöönpanemiseksiLinkki toiselle sivustolle
Valtioneuvoston hankeikkuna: Kyberturvallisuusdirektiivin (NIS 2 -direktiivi) kansallista toimeenpanoa tukeva työryhmäLinkki toiselle sivustolle
Tiedote 23.5.2024: Kyberturvallisuusdirektiivin kansallinen täytäntöönpano etenee: Hallitus esittää uutta kyberturvallisuuslakia
