Selkeät vaatimukset, valvonta ja viranomaisyhteistyö kriittisten toimialojen tietoturvan ytimessä
Yhteiskunnan kriittisten toimialojen tietoturvaa ja tietosuojaa selvittävän poikkihallinnollisen työryhmän väliraportti on lähetetty lausunnoille 15. joulukuuta 2020. Työryhmän keskeinen huomio on, että hyvä tietoturvakulttuuri syntyy lainsäädännössä asetettujen tietoturvavaatimusten seurauksena, ei ohjeistuksiin ja muuhun vapaaehtoisuuteen perustuen.
Työryhmä katsoo, että kriittisten toimialojen tietoturvaa koskevat vaatimukset tulisi olla selkeämmin määriteltyjä eri toimialojen lainsäädännössä ja vaatimusten täyttymistä olisi myös valvottava aktiivisesti. Viranomaiset tarvitsevat lisää resursseja ja viranomaisten välisen yhteistyön tulisi olla nykyistä järjestelmällisempää ja tehokkaampaa.
Liikenne- ja viestintäministeriö asetti marraskuussa työryhmän, jonka tehtävänä on kartoittaa yhteiskunnan toiminnan kannalta keskeisten toimialojen tietoturvaa ja tietosuojaa koskevan lainsäädännön muutostarpeita ja tehdä hallitukselle ehdotus niitä koskeviksi poliittisiksi linjauksiksi.
Työryhmän selvityksen kohteena ovat yhteiskunnan keskeiset sektorit, kuten terveydenhuolto, energiahuolto, finanssiala, vesihuolto sekä liikenne ja digitaalinen infrastruktuuri ja sen palvelut.
Kriittisille toimialoille korotetummat tietoturvavaatimukset
Työryhmä painottaa väliraportissaan, että digitaalisen yhteiskunnan toimialat ovat riippuvaisia toisistaan, jolloin yhden sektorin häiriöillä voi olla laajoja vaikutuksia. Tästä johtuen tulisi varmistaa, että kriittisten toimialojen tietoturvaa ja tietosuojaa koskeva sääntely on riittävän selkeää ja kullekin toimialalle asetetut velvoitteet ovat oikein kohdennettuja.
Linjausehdotuksissa työryhmä esittää, että kriittisille toimialoille asetettaisiin korotetummat tietoturvavaatimukset lain tasolla. Lisäksi toimialakohtaisia tietoturvavaatimuksia täsmennettäisiin ja niitä arvioitaisiin säännöllisesti niiden ajantasaisuuden varmistamiseksi. Ehdotus myös on, että tietoturvavaatimusten noudattamista valvottaisiin entistä tarkemmin ja että tämä viranomaistoiminta olisi resursoitu riittävästi.
Erillislaki viranomaisten välisestä yhteistyöstä
Työryhmä myös parantaisi toimijoiden tietoturvaosaamista ja tehostaisi viranomaisten välistä yhteistyötä tietoturvaa koskevien velvoitteiden valvonnassa.
Yhteistyötä vahvistettaisiin säätämällä erillislaki, jonka esikuvana toimisi poliisin, tullin ja rajavartiolaitoksen yhteistoiminnasta (PTR) annettu laki. Laissa voitaisiin säätää tarkemmin muun muassa viranomaisten tietojenvaihdosta tietyissä tilanteissa sekä ylipäätään viranomaistoiminnan koordinaatiosta useita viranomaisia koskevissa tietoturvaloukkaustilanteissa ja niiden ehkäisemisessä.
Väliraportissa on myös esitetty arvio tarvittavista lisäresursseista, jotka painottuvat valvovien viranomaisten toimintakyvyn kehittämiseen.
Työryhmä nostaa esiin myös julkisen sektorin merkityksen yhteiskunnan keskeisenä toimijana ja korostaa erityisesti Kyberturvallisuuskeskuksen roolia muiden toimijoiden tukena. Tietosuojan osalta linjausehdotuksessa korostetaan tietosuojavaltuutetun toimiston roolia ja tietosuojaa koskevien sertifiointien käytön lisäämistä.
Tietoturva on osa yhteiskunnan varautumista
Liikenne- ja viestintäministeri Timo Harakan mukaan kyberturvallisuuden kolmio muodostuu velvoittavasta lainsäädännöstä, selkeästä vastuunjaosta ja riittävistä resursseista.
- Tietoturva on kenties tärkein osa yhteiskunnan varautumisessa poikkeustilanteisiin. Tässä yhteispelissä jokaisen on toimittava aloitteellisesti omassa roolissaan, jotta meillä olisi maailman luotettavin infrastruktuuri ja digitaaliset palvelut.
Työryhmän puheenjohtajana toimii liikenne- ja viestintäministeriön ylijohtaja Laura Vilkkonen. Ryhmän jäsenet koostuvat ministeriöiden ja viranomaisten edustajista.
Mitä seuraavaksi?
Työryhmän väliraportti on lähetetty lausunnoille 15. joulukuuta 2020. Väliraportin lausuntoaika päättyy 6. tammikuuta 2021.
Lausuntoja voivat antaa kaikki organisaatiot ja kansalaiset netissä www.lausuntopalvelu.fi tai sähköpostitse osoitteeseen [email protected].
Työryhmän toimikausi päättyy 31. tammikuuta 2021, jolloin on tarkoitus julkaista työryhmän loppuraportti.
Lisätietoja:
ylijohtaja, osastopäällikkö Laura Vilkkonen, p. 040 500 0817
Lausuntopalvelu.fi: Selvitys tietoturvan ja tietosuojan parantamiseksi yhteiskunnan kriittisillä toimialoilla; työryhmän väliraportti (VN/24348/2020)
Valtioneuvoston hanketietokanta: Yhteiskunnan kriittisten toimialojen tietoturvan ja tietosuojan parantaminen (LVM073:00/2020)