Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

EU:n verkko- ja tietoturvadirektiivissä (ns. NIS-direktiivi) säädetään tietoturvavelvollisuuksista ja häiriöraportoinnista useilla eri sektoreilla. Suomessa velvoitteet säädetään näiden sektoreiden omassa säädännössä ja niitä valvovat sektoreiden valvontaviranomaiset. Valvomme digitaalisia palveluita ja infrastruktuuria ja koordinoimme kansallista ja kansainvälistä yhteistyötä.

Digitaaliset palvelut

NIS-direktiivin digitaalisten palvelujen sääntely koskee

  • verkossa toimivan markkinapaikan tarjoajia,
  • hakukonepalvelun tarjoajia ja
  • pilvipalvelun tarjoajia.

Sääntely ei koske mikroyrityksiä tai pieniä yrityksiä

Nämä määritellään tarkemmin komission suosituksessa 2003/361/EY mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä (Ulkoinen linkki). Suosituksen mukaan pieni yritys määritellään yritykseksi, jonka palveluksessa on vähemmän kuin 50 työntekijää ja jonka vuosiliikevaihto tai taseen loppusumma on enintään 10 miljoonaa euroa. Suosituksessa on tarkempia ohjeita esimerkiksi siitä, miten mahdolliset yritysten omistussuhteet huomioidaan henkilöstömäärän ja rahamääräisten kynnysarvojen määrittelyssä.

Toisin sanoen, jos digitaalisen palvelun tarjoajan eli verkossa toimivan markkinapaikan, hakukonepalvelun tai pilvipalvelun tarjoajan henkilöstömäärä tai rahamääräiset arvot ylittävät nämä luvut, NIS-direktiivin mukainen sääntely koskee toimintaa.

Digitaalisten palvelujen tietoturvavelvoitteet ja häiriöilmoitukset

Sähköisen viestinnän palveluista annetussa laissa säädetään digitaalisten palvelujen tarjoajien velvoitteet yleisellä tasolla. Käytännössä palvelun tarjoajan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.

Digitaalisen palvelun tarjoajan on lisäksi ilmoitettava viipymättä Traficomin Kyberturvallisuuskeskukselle sen palveluun kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä eli poikkeamasta.

Kyberturvallisuuskeskus toivoo, että digitaalisten palveluiden häiriöistä ilmoitetaan myös vapaaehtoisesti, vaikka palveluntarjoajan koko tai häiriö eivät ylittäisi säädettyjä kynnyksiä. Tiedot auttavat Kyberturvallisuuskeskuksen CERT-toimintaa muodostamaan tilannekuvaa ja tuottamaan häiriöitä ennaltaehkäisevää ja niistä toipumista tukevaa tietoa. Myös lakisääteiset häiriöilmoitukset käsitellään ensisijaisesti CERT-toiminnassa ja hallinnollisena valvonta-asiana vain tarvittaessa.

Digitaalisten palveluiden riskinhallinta- ja häiriöraportointivelvoitteista säädetään tarkemmin EU:n komission täytäntöönpanoasetuksessa (EU) 2018/151 (ns. DSP-asetus) (Ulkoinen linkki).

Asetuksessa tarkennetaan riskinhallinnassa huomioitavia asioita:

  • Tietoturvan osatekijät
    • järjestelmien ja tilojen turvallisuus
    • tietoturvauhkien ja häiriöiden käsittely
    • liiketoiminnan jatkuvuuden hallinta
    • seuranta, tarkastukset ja testaukset
    • kansainvälisten standardien noudattaminen

Asetuksessa tarkennetaan häiriön merkittävyyden arviointia ja ilmoituskynnystä:

  • Parametrit poikkeaman vaikutuksen merkittävyyden arvioinnissa
    • käyttäjien lukumäärä, joihin poikkeama vaikuttaa
    • poikkeaman kesto
    • maantieteellinen alue, johon poikkeama vaikuttaa
    • vaikutus tietojen tai niihin liittyvien palvelujen saatavuuteen, aitouteen, eheyteen tai luottamuksellisuuteen
    • talouden ja yhteiskunnan toimintoihin kohdistuva vaikutus
    • digitaalisen palvelun tarjoajia ei vaadita keräämään merkittävyyden määrittämiseksi lisätietoja, joihin niillä ei ole pääsyä
  • Poikkeaman merkittävä vaikutus (kynnysarvot)
    • palvelu on ollut poissa saatavilta yli 5 000 000 käyttäjätuntia
    • eheyden, aitouden tai luottamuksellisuuden menetys vaikuttaa useampaan kuin 100 000 käyttäjään unionissa
    • on aiheutunut riski yleiselle järjestykselle tai turvallisuudelle tai kuolemanvaara
    • vähintään yhdelle käyttäjälle unionissa aineellista vahinkoa yli 1 000 000 euron arvosta

Sähköisen viestinnän palveluista annetussa laissa on lisäksi annettu Liikenne- ja viestintävirastolle toimivalta antaa tarkempia määräyksiä ilmoitusten sisällöstä, muodosta ja toimittamisesta. Virasto ei ole toistaiseksi käyttänyt tätä määräysvaltuuttaan. Määräyksen tarpeellisuutta arvioidaan vastaanotettavien ilmoitusten perusteella.

Digitaalinen infrastruktuuri

Digitaalisen infrastruktuurin tarjoajia ovat internetin yhdysliikennepisteiden (IXP, Internet Exchange Point), nimipalvelimien (DNS, Domain Name Server) ja aluetunnusten (Suomessa .fi ja .ax) tarjoajat.

Suomessa internetin yhdysliikennepisteiden ja nimipalvelinten tarjoaminen kuuluvat yleisen teletoiminnan sääntelyn piiriin silloin, kun yhdysliikennepisteissä liitetään yhteen yleisiä viestintäverkkoja ja nimipalvelua tarjotaan osana internetyhteyspalvelua. Näitä digitaalisen infrastruktuurin osia tarjoavat toimijat ovat teleyrityksiä eli niitä koskevat teletoiminnan sääntely.

Teletoiminnan tietoturvasta huolehtimisen ja häiriöistä ilmoittamisen vaatimukset on asetettu sähköisen viestinnän palveluista annetussa laissa sekä sitä täydentävissä Traficomin teknisissä määräyksissä.

Kansallisista internetin aluetunnuksista taas vastaavat Suomessa viranomaiset: Fi-verkkotunnuspäätteestä Liikenne- ja viestintävirasto ja ax-verkkotunnuspäätteestä Ahvenanmaan Maakuntahallitus. Näitäkin säännellään sähköisen viestinnän palveluista annetussa laissa sekä viranomaisen toiminnan julkisuutta ja tietoturvallisuutta koskevassa säädännössä. Verkkotunnuksissa on käytössä ns. verkkotunnusvälittäjämalli ja välittäjiä koskevat tietoturvallisuuden ja häiriöistä ilmoittamisen velvoitteet on asetettu sähköisen viestinnän palveluista annetussa laissa sekä Traficomin määräyksessä fi- ja ax-päätteisistä verkkotunnuksista ja niiden välitystoiminnasta.

Päivitetty