Kyberturvallisuusdirektiivi vahvistaa koko EU:n kyberturvallisuustasoa – kansallinen toimeenpanohanke käynnistyi

liikenne- ja viestintäministeriö
Julkaisuajankohta 9.1.2023 14.45 | Julkaistu suomeksi 9.1.2023 klo 15.16
Tiedote
Ensihoitaja katsoo näyttöpäätettä ambulanssissa. (Kuva: Mika Pakarinen, Keksi/LVM)
Ensihoitaja katsoo näyttöpäätettä ambulanssissa. (Kuva: Mika Pakarinen, Keksi/LVM)

Kyberturvallisuusdirektiivi (NIS2-direktiivi) julkaistiin EU:n virallisessa lehdessä 27.12.2022. Uusi kyberturvallisuusdirektiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi). Liikenne- ja viestintäministeriö käynnisti 2.1.2023 kansallisen toimeenpanohankkeen uuden direktiivin velvoitteiden saattamiseksi osaksi kansallista lainsäädäntöä.

Uuden kyberturvallisuusdirektiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa tiettyjen kriittisten sektoreiden osalta. Direktiivin soveltamisala kattaa entistä laajemmin esimerkiksi energia- ja terveydenhuoltosektorilla toimivia tahoja sekä digitaalisen infrastruktuurin palveluntarjoajia. Direktiivin soveltamisalaa on laajennettu koskettamaan myös uusia sektoreita ja toimijoita, kuten julkishallintoa, elintarvikealaa ja jätehuoltoa.

Direktiivissä osoitetaan yhteiskunnan kriittisille sektoreille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoitteet kyberhäiriöistä. Direktiivissä on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintoihinsa kohdistuvia kyberturvallisuusriskejä. Riskien hallintatoimenpiteiden tulee olla riski- ja suorituskykyperusteisia, eli niiden tasoa määritettäessä täytyy huomioida muun muassa toimijoiden erilainen altistuminen riskeille sekä toimijan koko. Toimijoiden olisi myös ilmoitettava merkittävistä poikkeamista viranomaisille sekä tilanteesta riippuen palvelujensa vastaanottajille.

Lisäksi direktiivi jatkaa jäsenvaltioiden olemassa olevia yhteistyömekanismeja ja tiivistää viranomaisten välistä yhteistyötä. Direktiivillä perustetaan virallisesti Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU CyCLONe), joka tukee laajamittaisten kyberturvallisuuspoikkeamien koordinoitua hallinnointia. Suomen edustajana verkostossa on Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.

- EU-tason yhteistyön tiivistyminen nyt perustettavan verkoston myötä parantaa kansallista kyberturvallisuuttamme. Liikenne- ja viestintäministeriö vastaa kyberturvallisuustyön kansallisesta johtamisesta ja koordinaatiosta Suomessa. Samalla kun Suomi hyötyy syventyvästä yhteistyöstä, myös kumppanimme hyötyvät suomalaisten edelläkävijyydestä. Nämä päätökset vahvistavat sekä Suomen että EU:n kyberturvallisuutta, liikenne- ja viestintäministeri Timo Harakka toteaa.

Mitä seuraavaksi?

Direktiivi julkaistiin 27.12.2022. Jäsenmailla on direktiivin voimaantulosta 21 kuukautta aikaa saattaa säännökset osaksi kansallista lainsäädäntöään.

Liikenne- ja viestintäministeriö käynnisti 2.1.2023 kansallisen toimeenpanohankkeen uuden direktiivin velvoitteiden saattamiseksi osaksi kansallista lainsäädäntöä. Kansallinen toimeenpano tehdään laajassa poikkihallinnollisessa yhteistyössä.

Lisätietoja:

erityisasiantuntija Marième Korhonen, p. 050 535 0433, [email protected]

ylitarkastaja Sonja Töyrylä, p. 050 438 4729, [email protected]

erityisasiantuntija Emma Hokkanen, p. 050 430 6366, [email protected]

yksikön johtaja Maija Ahokas, p. 040 031 6178, [email protected]