EU:n kyberturvallisuusdirektiivissä (ns. NIS 2 -direktiivi) säädetään tietoturvavelvollisuuksista ja häiriöraportoinnista useilla yhteiskunnan eri toimialoilla. Suomessa NIS 2 -direktiivin mukaisista velvoitteista säädetään kyberturvallisuuslaissa ja tiedonhallintalaissa. Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksessa valvomme pääosaa digitaalisen infrastruktuurin toimijoista, digitaalisen palvelun tarjoajia, hallintapalveluiden ja tietoturvapalveluiden tarjoajia sekä tutkimusorganisaatioita ja julkishallinnon toimijoita.
Julkishallinnon toimijat
NIS 2 -direktiiviä sovelletaan julkishallinnon toimialalla lähtökohtaisesti keskus- ja aluehallinnon toimijoihin niiden koosta riippumatta.
Kansallisella tasolla NIS2-sääntely on julkishallinnon toimialan osalta sijoitettu lakiin julkisen hallinnon tiedonhallinnasta (906/2019). NIS 2 -direktiivistä tuleva kyberturvallisuussääntely on koottu erityisesti lain 4 a lukuun, jonka sisältämät kyberturvallisuusvelvoitteet soveltuvat pienempään joukkoon viranomaisia, kuin muu tiedonhallintalain sääntely. Tiedonhallintalain 4 a lukua sovelletaan valtion hallintoviranomaisiin, valtion virastoihin ja laitoksiin, valtion liikelaitoksiin, itsenäisiin julkisoikeudellisiin laitoksiin sekä hyvinvointialueisiin, hyvinvointiyhtymiin ja Helsingin kaupunkiin, sen hoitaessa hyvinvointialueiden järjestämisvastuulle säädettyjä tehtäviä. Tiedonhallintalain 4 a luvun kyberturvallisuussääntelyä ei sovelleta 3 § 3 mom. erikseen listattuihin toimijoihin tai tiettyyn toimintaan, kuten turvallisuusverkkolaissa (10/2015) tarkoitettuun turvallisuusverkon palvelutuotantoon ja turvallisuusverkon palvelujen käyttöön.
Julkishallinnon toimialan NIS2-sääntelyä ei lähtökohtaisesti sovelleta kuntiin, mutta kunnan harjoittaessa toimintaa kyberturvallisuuslain liitteen toimialalla (esim. kunnallinen viranomainen vesi- tai jätehuollon toimialalla), siihen sovelletaan kyberturvallisuuslain sääntelyä.
Hyvinvointialueisiin ja –yhtymiin sovelletaan sekä tiedonhallintalain 4 a luvun säännöksiä, että kyberturvallisuuslakia sen toimiessa lain Terveys-toimialalla. Molempien lakien kyberturvallisuusvelvoitteet ovat pääosin yhtenevät.
Traficomin Kyberturvallisuuskeskus valvoo hyvinvointialueita osana julkishallinnon toimialuetta. Hyvinvointialueita valvoo Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira silloin, kun ne toimivat terveydenhuollon toimijoina. Hyvinvointialueiden tulee käytännössä ilmoittautua sekä Valviran että Traficomin toimijaluetteloon sekä ilmoittaa merkittävistä poikkeamista molemmille viranomaisille.
Tutkimusorganisaatiot
NIS 2 -direktiivin 6 artiklan 41 kohdan mukaan tutkimusorganisaatiolla tarkoitetaan sellaista toimijaa, jonka ensisijaisena tavoitteena on harjoittaa soveltavaa tutkimusta tai kokeellista kehitystyötä kyseisen tutkimuksen tulosten hyödyntämiseksi kaupallisiin tarkoituksiin mutta joka ei ole opetus- ja koulutusalan laitos.
Tutkimusorganisaatioihin luetaan toimijat, joiden toiminnasta olennainen osa on Taloudellisen yhteistyön ja kehityksen järjestön vuonna 2015 laaditussa, tutkimus- ja kehittämistoiminnan tietojen keräämis- ja raportointiohjeita koskevassa Frascati-käsikirjassa tarkoitettua soveltavaa tutkimusta tai kokeellista kehitystyötä, joiden tuloksia ne hyödyntävät kaupallisiin tarkoituksiin, kuten tuotteen valmistamiseen tai kehittämiseen tai prosessiin, palvelun tarjoamiseen tai sen markkinointiin.
Yhteydenotot
Voit olla tarvittaessa yhteydessä: nis.valvonta.ktk@traficom.fi