Parannuksia yhteiskunnan keskeisten palvelujen tietoturvallisuuteen
Liikenne- ja viestintäministeriö on lähettänyt lausunnoille luonnoksen lakimuutoksista, joiden tavoitteena on lisätä luottamusta digitaalisiin palveluihin ja parantaa yhteiskunnan palvelujen tietoturvallisuutta. Muutoksilla myös pannaan täytäntöön EU:n verkko- ja tietoturvadirektiivi.
Lausunnoille lähtenyt luonnos hallituksen esitykseksi sisältää muutoksia lakeihin, joilla säädellään eräiden yhteiskunnan toiminnan kannalta keskeisten palvelujen tarjontaa ja turvallisuutta. Näitä lakeja ovat: tietoyhteiskuntakaari, ilmailulaki, rautatielaki, alusliikennepalvelulaki, laki eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta, liikennepalvelulaki, sähkömarkkinalaki, maakaasumarkkinalaki ja vesihuoltolaki.
Luonnoksessa ehdotetaan keskeisten palveluiden tarjoajille sekä eräiden digitaalisten palveluiden tarjoajille (esim. verkossa toimiva markkinapaikka, pilvipalvelu, hakukonepalvelu) velvoitteita hallita tietoturvallisuuteen liittyviä riskejä ja raportoida häiriöistä valvontaviranomaiselle. Keskeisiä palveluita olisivat esimerkiksi liikenteen ohjaukseen ja infrastruktuurin hallitsemiseen liittyvät palvelut sekä sähkön ja juomaveden jakelu.
Velvoitteiden valvonnan osalta lähtökohdaksi on otettu, että toimivalta valvoa säädösten noudattamista olisi sektorikohtaisilla valvontaviranomaisilla. Viranomaisten välisen yhteistyön varmistamiseksi lakeihin otettaisiin tarvittaessa lisäksi säännökset viranomaisten välisestä tietojen vaihdosta.
- Verkko- ja tietoturvaa koskevia lakimuutoksia on valmisteltu laajassa yhteistyössä sidosryhmien ja alan asiantuntijoiden kanssa, muun muassa liikenne- ja viestintäministeriön asettamassa poikkihallinnollisessa työryhmässä. Suomessa on tietoturvallisuuden edistämiseksi jo nyt toimiva yritysten ja viranomaisten vapaaehtoiseen yhteistyöhön ja tiedonvaihtoon perustuva yhteistyömalli ja nyt ehdotettavat lait täydentäisivät tätä yhteistyötä, sanoo liikenne- ja viestintäministeri Anne Berner. - On tärkeää, että keskeisten palvelujen tarjoajilla on jatkossakin mahdollisuus sovittaa tietoturvariskien hallinta osaksi omaa riskienhallintaansa ja toimialoja valvovat viranomaiset voivat varmistaa palveluntuotannon mahdollisimman hyvän jatkuvuuden ja turvallisuuden.
Tietoturvan varmistaminen on hallitusohjelman digitaalisen liiketoiminnan kasvuympäristön rakentamisen kärkihankkeen keskeinen tavoite. Yhteiskunnan digitalisoituessa on tärkeää ylläpitää ja lisätä kansalaisten ja yritysten luottamusta digitaalisiin toimintatapoihin. Tietoturvallisuuden merkitys kasvaa, kun yhä useammat palvelut tulevat riippuvaisiksi viestintäverkkojen ja tietojärjestelmien luotettavasta toiminnasta. Myös fyysinen ja digitaalinen turvallisuus kietoutuvat yhä läheisemmin yhteen esimerkiksi liikenteen älykkään automaation myötä.
Verkko- ja tietoturvadirektiivin täytäntöönpanoa koskevan lakiluonnoksen lausuntoaika päättyy 20. lokakuuta 2017.
Verkko- ja tietoturvadirektiivin kansallisen täytäntöönpanon keskeiset toimenpiteet on määritelty kansallisessa tietoturvastrategiassa. Lisäksi liikenne- ja viestintäministeriö asetti direktiivin täytäntöönpanon tueksi poikkihallinnollisen työryhmän, jonka yksimielisessä loppuraportissa määriteltiin suuntaviivat direktiivin täytäntöönpanolle.
Euroopan parlamentin ja neuvoston verkko- ja tietoturvadirektiivi tuli voimaan elokuussa 2016. EU:n jäsenvaltioiden on saatettava säännökset osaksi kansallista lainsäädäntöä 9. toukokuuta 2018 mennessä.
Lisätietoja
yksikön johtaja Timo Kievari, p. 0295 34 2620
ylitarkastaja Maija Rönkä, p. 0295 34 2039
Uutinen 20.4.2017: Luottamusta yhteiskunnan keskeisiin palveluihin tietoturvaa parantamalla
Julkaisuja: Maailman luotetuinta digitaalista liiketoimintaa. Suomen tietoturvallisuusstrategia (Julkaisuja 7/2016)
Julkaisuja: Verkko- ja tietoturvadirektiivi. Kansallista täytäntöönpanoa tukevan työryhmän loppuraportti
Hallituksen kärkihanke: Digitaalisen liiketoiminnan kasvuympäristön rakentaminen
Vastuualueet, Tieto: Tietoturva ja tietosuoja
Lausuntopalvelu, Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista