EU:n kyberturvallisuusdirektiivissä (ns. NIS 2 -direktiivi) säädetään tietoturvavelvollisuuksista ja häiriöraportoinnista useilla yhteiskunnan eri toimialoilla. Suomessa NIS 2 -direktiivin mukaisista velvoitteista säädetään pääasiassa kyberturvallisuuslaissa. Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksessa valvomme pääosaa digitaalisen infrastruktuurin toimijoista, digitaalisen palvelun tarjoajia, hallintapalveluiden ja tietoturvapalveluiden tarjoajia sekä tutkimusorganisaatioita ja julkishallinnon toimijoita.
NIS 2 -direktiivi ja sitä myöten valvonta koskee pääasiassa vain keskisuuria ja suuria yrityksiä. Kokorajat määritellään komission suosituksessa 2003/361/EY mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä. Kokorajoja ei sovelleta kaikkiin digitaalisen infrastruktuurin toimijoihin eikä julkishallinnon toimijoihin. Eri toimialojen valvonnan osalta noudatetaan hajautettua mallia, jossa NIS2-valvontaa toteuttavat kunkin toimialan sektoriviranomaiset.
Digitaalisen infrastruktuurin toimijat
Kyberturvallisuuskeskuksen valvomia digitaalisen infrastruktuurin toimijoita ovat internetin yhdysliikennepisteiden ylläpitäjät, aluetunnusrekisterit, pilvipalvelujen tarjoajat, datakeskuspalvelujen tarjoajat, sisällönjakeluverkkojen tarjoajat, luottamuspalvelun tarjoajat, yleisten sähköisten viestintäverkkojen tarjoajat ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat.
Aluetunnusrekistereiden, luottamuspalvelujen tarjoajien, yleisten sähköisten viestintäverkkojen tarjoajien ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien kohdalla tulee huomata, että nämä toimijat kuuluvat sääntelyn ja valvonnan piiriin koosta riippumatta.
Internetin yhdysliikennepisteellä (IXP) tarkoitetaan sellaista verkkoinfrastruktuurin osaa, joka mahdollistaa useamman kuin kahden riippumattoman verkon (autonomisen järjestelmän) yhdistämisen pääasiassa internetliikenteen välittämisen helpottamiseksi, joka tarjoaa yhteenliitäntää ainoastaan autonomisille järjestelmille ja joka ei edellytä minkään yhteenliittämänsä kahden autonomisen järjestelmän väliseltä internetliikenteeltä kulkemista minkään kolmannen autonomisen järjestelmän kautta eikä muokkaa tällaista liikennettä tai muutoin puutu siihen.
Aluetunnusrekisterin (TLD) ylläpitäjällä tarkoitetaan tahoa, jolle on myönnetty oikeus hallinnoida tiettyä aluetunnusta ja joka sitä hallinnoidessaan vastaa verkkotunnusten rekisteröinnistä sen alle sekä sen teknisestä toiminnasta.
Pilvipalvelun määritelmän täyttäviä palveluita ovat NIS2-direktiivin johdanto-osan 33 kappaleen mukaisesti: "palvelut, jotka tarjoavat laajaan etäkäyttöön skaalattavan ja joustavan joukon jaettavissa olevia ja tarveperusteisesti ohjattavia tietoteknisiä resursseja, myös sijainniltaan hajautettuja resursseja. Tietoteknisiin resursseihin kuuluu esimerkiksi verkkoja, palvelimia ja muuta infrastruktuuria, käyttöjärjestelmiä, ohjelmistoja, tallennustilaa, sovelluksia ja palveluja. Pilvipalvelujen palvelumalleihin kuuluvat muun muassa infrastruktuuripalvelu (IaaS), alustapalvelu (PaaS), sovelluspalvelu (SaaS) ja tietoverkkopalvelu (NaaS). Pilvipalvelujen toimintamalleina olisi otettava huomioon yksityiset, yhteisövetoiset, julkiset ja hybridipilvipalvelut. Pilvipalvelujen palvelu- ja toimintamalleilla tarkoitetaan samaa kuin standardissa ISO/IEC 17788:2014 määritellyillä palvelu- ja toimintamalleilla.
Pilvipalvelun käyttäjän kykyä käyttää yksipuolisesti ja oma-aloitteisesti tietojenkäsittelyvalmiuksia, kuten palvelinaikaa tai verkkotallennustilaa, ilman pilvipalveluntarjoajan inhimillistä panosta voitaisiin kuvata tarveperusteiseksi ohjaukseksi (on-demand administration). Ilmaisua ’laaja etäkäyttö’ käytetään kuvaamaan sitä, että pilvipalveluresursseja tarjotaan verkossa ja niitä pääsee käyttämään erilaisten prosessointivalmiuksiltaan kevyiden tai raskaiden päätelaitteiden, kuten älypuhelinten, tablettitietokoneiden, kannettavien tietokoneiden ja työasemien, käytön mahdollistavien järjestelyjen ansiosta.
Ilmaisu ’skaalautuva’ viittaa tietoteknisiin resursseihin, joita pilvipalvelujen tarjoaja jakaa joustavasti resurssien maantieteellisestä sijainnista riippumatta kysynnän vaihtelun mukaan. Ilmaisua ’joustava joukko’ käytetään kuvaamaan tietoteknisiä resursseja, joita tarjotaan ja vapautetaan käyttöön kysynnän mukaan niin, että resursseja voidaan nopeasti lisätä ja vähentää kuormituksen perusteella. Ilmaisua ’jaettavissa oleva’ käytetään kuvaamaan tietoteknisiä resursseja, joita tarjotaan useille käyttäjille, joilla on yhteinen pääsy palveluun, jossa prosessointi on kuitenkin käyttäjäkohtaista, vaikka palvelu tarjotaan saman sähköisen laitteiston kautta. Ilmaisua ’hajautettu’ käytetään kuvaamaan tietoteknisiä resursseja, jotka sijaitsevat erillisissä verkotetuissa tietokoneissa tai laitteissa ja jotka viestivät ja koordinoivat toimintaansa keskenään rakenteisella viestinvaihdolla."
Datakeskuspalvelulla tarkoitetaan palvelua, joka käsittää rakenteita tai rakenteiden ryhmiä, jotka on tarkoitettu datan tallennus-, käsittely- ja siirtopalveluja tarjoavien tietoteknisten ja verkkolaitteiden keskitettyyn ylläpitoon, yhteenliittämiseen ja ohjaukseen yhdessä kaikkien tarvittavien sähkönjakeluun ja toimintaolosuhteiden säätelyyn tarkoitettujen laitteiden ja infrastruktuurien kanssa. NIS2-direktiivin johdanto-osan kappaleen 35 mukaisesti datakeskuspalvelun määritelmä ei koske toimijan omistamia ja omiin sisäisiin käyttötarkoituksiinsa operoimia datakeskuksia.
Sisällönjakeluverkon tarjoamisella (CDN) tarkoitetaan maantieteellisesti hajautettujen palvelimien verkkoa, jonka tarkoituksena on varmistaa digitaalisen sisällön ja digitaalisten palvelujen hyvä saatavuus, käytettävyys ja nopea jakelu internetin käyttäjille sisällön ja palvelujen tarjoajien puolesta.
Aluetunnusrekistereiden, pilvipalvelujen tarjoajien, datakeskuspalvelujen tarjoajien ja sisällönjakeluverkkojen tarjoajien kohdalla noudatetaan päätoimipaikkaan perustuvaa valvontamallia.
Digitaalisen palvelun tarjoajat
Digitaalisen palvelun tarjoajia ovat verkossa toimivien markkinapaikkojen tarjoajat, verkossa toimivien hakukoneiden tarjoajat ja verkkoyhteisöalustojen tarjoajat.
Verkossa toimivia markkinapaikkoja eivät ole esimerkiksi tavanomaiset verkkokaupat, joissa myyjänä toimiva taho ylläpitää verkkokauppaa omassa tuotevalikoimassaan olevien tuotteiden tai palveluiden tarjoamiseen. Markkinapaikan määritelmän täyttävät vain sellaiset alustat, jotka mahdollistavat usean eri myyjän/elinkeinonharjoittajan tuotteiden ja palveluiden tarjoamisen alustalla siten että kuluttaja tekee tavaran/palvelun ostoa koskevan etäsopimuksen muun kuin alustan tarjoajana toimivan myyjän kanssa.
Verkossa toimivalla hakukoneella tarkoitetaan oikeudenmukaisuuden ja avoimuuden edistämisestä verkossa toimivien välityspalvelujen yrityskäyttäjiä varten annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/1150 2 artiklan 5 kohdassa tarkoitettua verkossa toimivaa hakukonetta.
Verkkoyhteisöalustalla tarkoitetaan alustaa, jonka avulla loppukäyttäjät voivat olla yhteydessä toisiinsa, jakaa sisältöä, hakea tietoa ja viestiä keskenään monenlaisilla päätelaitteilla.
Digitaalisen palvelun tarjoajien kohdalla noudatetaan päätoimipaikkaan perustuvaa valvontamallia.
Hallintapalvelun ja tietoturvapalvelun tarjoajat
Hallintapalvelun tarjoajalla tarkoitetaan NIS2-direktiivin 6 artiklan 39 kohdan mukaisesti toimijaa, joka tarjoaa TVT-tuotteiden, verkkojen, infrastruktuurin, sovellusten tai muiden verkko- ja tietojärjestelmien asentamiseen, hallintaan, käyttöön tai ylläpitoon liittyviä palveluja joko asiakkaan tiloissa tai etäyhteyden välityksellä toteutettavan tuen tai aktiivisen ylläpidon muodossa.
Hallintapalvelun tarjoajalla (managed service provider) tarkoitetaan erityisesti toimijaa ja toimintaa, joka mahdollistaa viestintäverkkoihin ja tietojärjestelmiin liittyvien toimintojen ulkoistamisen toiselta toimijalta hallintapalvelun tarjoajalle. Kyse voi olla laajasta joukosta erilaisia palveluita, mutta olennaista on toimintojen ulkoistaminen hallintapalvelun tarjoajan hoidettavaksi. Tähän kategoriaan eivät näyttäisi kuuluvan esimerkiksi sellaisten sovellusten ja ohjelmistojen kehittäminen ja tarjoaminen, joita tarjotaan asiakkaana olevan toimijan itse käytettäväksi ja kyseessä ei siten ole jonkin palvelun tai toiminnon ulkoistus hallintapalvelun tarjoajan vastuulle ja toteuttavaksi toimijan puolesta.
Tietoturvapalvelun tarjoajalla tarkoitetaan NIS2-direktiivin 6 artiklan 40 kohdan mukaisesti hallintapalvelun tarjoajaa, joka toteuttaa kyberturvallisuusriskien hallintatoimia tai antaa tukea niitä varten. Tietoturvapalvelun tarjoamista on siten pidettävä hallintapalvelun tarjoamisen erityisenä alakategoriana.
Hallintapalvelun ja tietoturvapalvelun tarjoajien kohdalla noudatetaan päätoimipaikkaan perustuvaa valvontamallia.
Komission NIS2-täytäntöönpanoasetus
Euroopan komissio on 17.10.2024 antanut täytäntöönpanoasetuksen 2024/2690, jolla täsmennetään kyberturvallisuusriskien hallintatoimenpiteisiin liittyviä vaatimuksia sekä merkittävien poikkeamien määrittelyä koskevia kynnysrajoja. Asetus on sellaisenaan sovellettavaa sääntelyä kaikissa EU:n jäsenvaltioissa.
Komission täytäntöönpanoasetus koskee vain seuraavia toimijoita: DNS-palveluntarjoajat, aluetunnusrekisterit, pilvipalvelujen tarjoajat, datakeskuspalvelujen tarjoajat, sisällönjakeluverkkojen tarjoajat, hallintapalvelun tarjoajat, tietoturvapalveluntarjoajat, verkossa toimivien markkinapaikkojen tarjoajat, verkossa toimivien hakukoneiden tarjoajat, verkkoyhteisöalustojen tarjoajat ja luottamuspalvelun tarjoajat.
Päätoimipaikan mukainen valvonta
NIS 2 -direktiivin 26 artiklan 1 b kohdan mukaisesti aluetunnusrekisterit, pilvipalvelujen tarjoajat, datakeskuspalvelujen tarjoajat, sisällönjakeluverkkojen tarjoajat, hallintapalvelun tarjoajat, tietoturvapalveluntarjoajat sekä verkossa toimivien markkinapaikkojen, verkossa toimivien hakukoneiden tai verkkoyhteisöalustojen tarjoajat kuuluvat sen EU:n jäsenvaltion lainkäyttövaltaan, jossa niiden päätoimipaikka on.
Direktiivin 26 artiklan 2 kohdan mukaisesti päätoimipaikan katsotaan olevan unionissa siinä jäsenvaltiossa, jossa kyberturvallisuusriskien hallintatoimenpiteisiin liittyvät päätökset pääsääntöisesti tehdään. Tämä vastaa NIS 2 -direktiivin johdanto-osan kappaleen 114 mukaan tyypillisesti toimijan keskushallinnon sijaintipaikkaa unionissa. Jos tällaista jäsenvaltiota ei voida määrittää tai jos tällaisia päätöksiä ei tehdä unionissa, päätoimipaikan katsotaan sijaitsevan jäsenvaltiossa, jossa kyberturvallisuustoiminnot toteutetaan. Jos tällaistakaan jäsenvaltiota ei voida määrittää, päätoimipaikan katsotaan sijaitsevan siinä jäsenvaltiossa, jossa asianomaisella toimijalla on eniten työntekijöitä työllistävä toimipaikka unionissa.
Kyse on siis kolmesta eri kriteeristä päätoimipaikan määrittämiseksi, joita sovelletaan seuraavassa järjestyksessä tilanteessa, jossa ensisijaista kriteeriä ei ole mahdollista soveltaa.
Jäsenvaltio, jossa kyberturvallisuusriskien hallintatoimenpiteisiin liittyvät päätökset pääsääntöisesti tehdään.
Jäsenvaltio, jossa kyberturvallisuustoiminnot toteutetaan.
Jäsenvaltio, jossa toimijalla on eniten työntekijöitä.
Päätoimipaikan mukainen lainkäyttövalta tarkoittaa, että toimija kuuluu yksinomaan sen päätoimipaikan jäsenvaltion toimivaltaisen viranomaisen valvottavaksi. Tämä tarkoittaa, että toimija voi tehdä EU-alueen osalta kaikki poikkeamailmoitukset vain päätoimipaikan jäsenvaltion valvovalle viranomaiselle riippumatta siitä, koskeeko merkittävä poikkeama vain yksittäistä toimipaikkaa jossain jäsenvaltiossa vai vaikuttaako merkittävä poikkeama useassa jäsenvaltiossa. Samalla vain päätoimipaikan valvova viranomainen on toimivaltainen arvioimaan toimijan kyberturvallisuusriskien hallinnan toimenpiteiden lainmukaisuutta koko EU-alueen osalta.
Liikenne- ja viestintäviraston Kyberturvallisuuskeskus valvoo siis vain sellaisia aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia sekä verkossa toimivien markkinapaikkojen, verkossa toimivien hakukoneiden tai verkkoyhteisöalustojen tarjoajia, joiden päätoimipaikka on Suomessa.
Teletoiminnan tietoturvasta huolehtimisen ja häiriöistä ilmoittamisen vaatimukset on asetettu sähköisen viestinnän palveluista annetussa laissa sekä sitä täydentävissä Traficomin teknisissä määräyksissä.
Kansallisista internetin aluetunnuksista taas vastaavat Suomessa viranomaiset: Fi-verkkotunnuspäätteestä Liikenne- ja viestintävirasto ja ax-verkkotunnuspäätteestä Ahvenanmaan Maakuntahallitus. Näitäkin säännellään sähköisen viestinnän palveluista annetussa laissa sekä viranomaisen toiminnan julkisuutta ja tietoturvallisuutta koskevassa säädännössä. Verkkotunnuksissa on käytössä ns. verkkotunnusvälittäjämalli ja välittäjiä koskevat tietoturvallisuuden ja häiriöistä ilmoittamisen velvoitteet on asetettu sähköisen viestinnän palveluista annetussa laissa sekä Traficomin määräyksessä fi- ja ax-päätteisistä verkkotunnuksista ja niiden välitystoiminnasta.