NIS2 UKK

Millä perusteilla toimijoiden pitää ilmoittautua eri maiden viranomaisille?

Lainkäytöstä eli kunkin valtion valvovien viranomaisten toimivallasta on säädetty jokaisen valtion kansallisessa lainsäädännössä NIS2-direktiivin periaatteiden mukaisesti. Kyberturvallisuuslaissa lainkäytöstä eli valvovien viranomaisten toimivallasta on säädetty 6 §:ssä. Kyberturvallisuuslain mukaan toimijoiden tulee pääsääntöisesti ilmoittautua Suomen valvoville viranomaisille, jos toimija on sijoittautunut Suomeen. Yleisten sähköisten viestintäverkkojen tarjoajien tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien tulee ilmoittautua sen jäsenvaltion valvoville viranomaisille, jonka alueella ne tarjoavat palveluitaan. Jos toimija harjoittaa tiettyjä digitaalisen infrastruktuurin palveluita (DNS-palveluntarjoaja, aluetunnusrekisterin ylläpitäjä, pilvipalvelujen tarjoaja, datakeskuspalvelujen tarjoaja, sisällönjakeluverkkojen tarjoaja, hallintapalvelun tarjoaja, tietoturvapalveluntarjoaja, verkossa toimivien markkinapaikkojen tarjoaja, verkossa toimivien hakukoneiden tarjoaja ja verkkoyhteisöalustojen tarjoaja), toimijan tulee ilmoittautua sen jäsenvaltion valvoville viranomaisille, jossa toimijan päätoimipaikka sijaitsee. Julkishallinnon toimijoiden tulee ilmoittautua sen maan valvoville viranomaisille, joka ne on perustanut. Jos toimija ei ole sijoittautunut mihinkään EU:n jäsenvaltioon ja se tarjoaa palvelujaan Suomessa tai muun jäsenvaltion alueella, sen on nimettävä edustaja EU:n jäsenvaltioiden aluetta varten. Jos toimija ei ole sijoittautunut EU:n jäsenvaltioon tai asettanut nimettyä edustajaa ja toimija tarjoaa palveluita Suomessa, toimija kuuluu Suomen valvovien viranomaisten toimivaltaan.

Kannattaa olla yhteydessä omaan kansalliseen valvovaan viranomaiseen, joka ohjaa ja neuvoo osaltaan. Kaikissa EU-jäsenmaissa kansalliset lait eivät ole vielä voimassa mutta kannattaa kuitenkin olla yhteydessä myös niiden jäsenmaiden valvoviin viranomaisiin, joiden toimivaltaan otaksuu kuuluvansa vaikka kyseisen valtion säädösvalmistelu olisikin vielä kesken. 

Suomen kansallisten valvovien viranomaisten vastuusektorit (Ulkoinen linkki)

Suomen kansallisten valvovien viranomaisten yhteystiedot (Ulkoinen linkki)

Pitääkö Euroopan komission täytäntöönpanoasetusta (EU) 2024/2690 soveltaa ensisijaisesti suhteessa kyberturvallisuuslakiin?

Komission NIS2-täytäntöönpanoasetuksella täsmennetään kyberturvallisuusriskien hallintatoimenpiteisiin liittyviä vaatimuksia sekä merkittävien poikkeamien määrittelyä koskevia kynnysrajoja.

Komission täytäntöönpanoasetus koskee kuitenkin vain seuraavia digitaalisen infrastruktuurin toimijoita ja digitaalisen palvelun tarjoajia: DNS-palveluntarjoajat, aluetunnusrekisterit, pilvipalvelujen tarjoajat, datakeskuspalvelujen tarjoajat, sisällönjakeluverkkojen tarjoajat, hallintapalvelun tarjoajat, tietoturvapalveluntarjoajat, verkossa toimivien markkinapaikkojen tarjoajat, verkossa toimivien hakukoneiden tarjoajat, verkkoyhteisöalustojen tarjoajat ja luottamuspalvelun tarjoajat.

Täytäntöönpanoasetus on sellaisenaan sovellettavaa sääntelyä kaikissa EU:n jäsenvaltioissa. Näin ollen sitä tulee edellä mainittujen toimijoiden ja palvelujen osalta soveltaa ensisijaisesti ja täydentävästi suhteessa kyberturvallisuuslakiin.

Täytäntöönpanoasetus (EU) 2024/2690 (Ulkoinen linkki) 

Miten Traficom toimii yhteistyössä muiden maiden viranomaisten kanssa, jos palveluntarjoaja ilmoittaa heille ongelmasta, joka vaikuttaa Suomen ulkopuolella?

Kyberturvallisuuskeskus toimii kyberturvallisuuslain 18 §:ssä ja direktiivin 8 artiklan 3 kohdassa tarkoitettuna keskitettynä yhteyspisteenä. Rajat ylittävien poikkeamien tapahtuessa keskitetyn yhteyspisteen on ilmoitettava siitä ENISA:lle ja niille jäsenvaltioille, joihin poikkeama vaikuttaa. 

Myös CSIRT-yksikkö tekee rutiininomaisesti yhteistyötä ja tiedonvaihtoa muiden maiden viranomaisten kanssa.

Miten määritellään, kenen pitää ilmoittaa IP-osoitealue toimijaluetteloon?

IP-osoitealueiden ilmoittamisen velvoite tulee suoraan NIS 2 -direktiivistä. Velvoite on kirjoitettu direktiiviin hyvin väljästi, eikä sen osalta ole saatu tarkennuksia komission puolelta. Pääajatuksena on kuitenkin kerätä tietoa direktiivin kohteena olevan toimijan julkisista IP-osoitealueista ja verkkopalveluista.

Kerätyistä tiedoista voi olla apua valvoville viranomaisille toimijan kybertoiminnan hahmottamisessa sekä Traficomin CSIRT-yksikölle ennakoivan haavoittuvuuksien, kyberuhkien ja turvattomasti määritettyjen viestintäverkkojen ja tietojärjestelmien asetuksien havaitsemiseen NIS2-direktivin kohteena olevista organisaatioista. Näistä havainnoista ilmoitetaan toimijalle, mikä parantaa asianomaisten tahojen mahdollisuuksia suojautua haavoittuvuuksien hyväksikäytöltä ja kyberuhilta.

Dynaamiset IP-osoitteet on rajattu ilmoitettavien tietojen ulkopuolelle, sillä tietojen ylläpitäminen ajantasaisena kuormittaisi sääntelyn kohteena olevia toimijoita suhteettoman paljon, sillä osoitteet saattavat vaihtua hyvinkin usein.

Mikäli toimijan IP-osoitteita hallinnoi joku toinen osapuoli kuten esim. teleoperaattori tai palveluntarjoaja, on sääntelyn piirissä olevan toimijan tehtävä hankkia nämä IP-osoitetiedot ja toimittaa tiedot edelleen valvovalle viranomaiselle.

Minkälainen koulutus henkilöstölle tarvitaan kyberturvallisuuslain vaatimusten täyttämiseksi?

Kysymykseen on vaikea antaa yksiselitteistä vastausta, koska henkilöstön koulutuksen tarve riippuu toimijan omaan toimintaan ja riskeihin suhteutetusta kyberturvallisuuden hallintamallin sisällöstä ja henkilöstön osaamisesta sekä työtehtävistä. Pääsääntöisesti toimijan tulee huolehtia siitä, että henkilöstöllä on kyvykkyys toimia tavalla, joka vastaa toimijan omaa kyberturvallisuuden hallintamallia ja hallintatoimenpiteitä. Tämän saavuttamiseksi henkilöstölle voidaan esimerkiksi järjestää koulutusta, joilla pyritään tietoisuuden parantamiseen yleisesti kyberturvallisuudesta, ajantasaisten menettelyiden ja käytäntöjen tuntemuksesta sekä tunnetuista kyberturvallisuusriskeistä. Koulutuksella tulisi varmistua, että henkilöstöllä on työtehtäviinsä nähden riittävä osaaminen viestintäverkon ja tietojärjestelmän suojaamisesta, kyberturvallisuusriskien tunnistamisesta, riskienhallintakäytännöistä ja niiden vaikutusten arvioinnista toimijan tarjoamiin palveluihin liittyen, ja että tätä osaamista myös ylläpidetään riittävällä tasolla.

Voisiko joku luoda julkisen hallinnon organisaation henkilöstölle sopivan koulutuspaketin (esim. eOppivaan)?

Valtiovarainministeriön yhteydessä toimiva Tiedonhallintalautakunta järjesti huhtikuun alussa yhdessä Traficomin Kyberturvallisuuskeskuksen kanssa webinaarin kyberturvallisuusvelvollisuuksien toimeenpanosta julkisessa hallinnossa, aineistot ovat saatavilla Tiedonhallintalautakunnan sivuilta (Ulkoinen linkki) 

Tavoitteena on järjestää kesän lopussa/syksyn alussa 2025 uusi webinaari julkishallinnon toimijoille, jossa päästäisiin jo syvemmälle kyberturvallisuuden riskienhallintatoimenpiteisiin. 

Mistä hetkestä poikkeamailmoituksen aikaraja lasketaan – siitä, kun toimija saa tiedon poikkeamasta, vai siitä, kun sovellustoimittaja havaitsi poikkeaman?

Lain mukaan toimijalla on vastuu merkittävän poikkeaman ilmoittamisesta valvovalle viranomaiselle. Toimijan tulee huolehtia siitä, että esim. sen alihankkija toimittaa toimijalle tarpeelliset tiedot poikkeamailmoituksen tekemiseksi niin, että toimija pystyy täyttämään poikkeamailmoituksia koskevat velvoitteensa. Ensi-ilmoitus on tehtävä 24 tunnin kuluessa merkittävän poikkeaman havaitsemista ja jatkoilmoitus 72 tunnin kuluessa merkittävän poikkeaman havaitsemisesta. 

Millaisia esimerkkejä on KTK:n näkökulmasta merkittävästä poikkeamasta julkishallinnossa?

Julkishallinnon toimialalla merkittävän poikkeaman määrittelyssä on tällä hetkellä käytössä lain mukainen yleismääritelmä. Merkittävän poikkeaman kynnyksen täyttäisi esim. tapahtuma, joka aiheuttaisi viestintäverkon tai tietojärjestelmän välityksellä tarjottavan palvelun pitkäkestoisen toimintahäiriön. Hallituksen esitöiden mukaan toimijan alustavassa arvioinnissa poikkeaman merkittävyydestä olisi otettava huomioon ainakin viestintäverkot ja tietojärjestelmät, joihin poikkeama vaikuttaa, ja erityisesti niiden merkitys toimijan palvelujen tarjoamisessa, kyberuhkan vakavuus ja tekniset ominaisuudet sekä mahdolliset taustalla olevat haavoittuvuudet, joita käytetään hyväksi, sekä toimijan kokemukset samanlaisista poikkeamista. Indikaattorit, kuten palvelun häiriintymisen laajuus, poikkeaman kesto tai niiden palvelun vastaanottajien lukumäärä, joihin poikkeama vaikuttaa, voivat olla tärkeitä määritettäessä, onko palvelun toimintahäiriö vakava.

Onko olemassa viranomaisen ohjearvoja siitä, mikä tai millainen on merkittävä poikkeama? / Voiko saada kuvauksen ja käytännön esimerkkejä siitä, mitkä ovat tai eivät ole merkittäviä poikkeamia?

Tällaisia ohjearvoja ei ole muilta osin kuin digi-infran toimijoita koskien, joiden osalta asiasta säädetään komission NIS2-täytäntöönpanoasetuksessa. (Ulkoinen linkki)

Vaikka asetus ei muita toimijoita koskekaan, niin kannattaa siihen käydä tutustumassa referenssimielessä.

Yleisesti ottaen voisi olla kannatettava ajatus tehdä omalle valvovalle viranomaiselle vapaaehtoinen NIS2-ilmoitus esim. poikkeamasta, joka ei ole merkittävä. Sen jälkeen olisi helpompi keskustella valvovan viranomaisen kanssa konkreettisemmin asiasta.

Milloin KTK ilmoittaa TSV:lle henkilötietojen tietoturvaloukkauksesta – 24 tunnin ensi-ilmoituksen jälkeen vai 72 tunnin varsinaisen ilmoituksen yhteydessä?

Valvovan viranomaisen tulee ilmoittaa TSV:lle, mikäli valvovan viranomaiseen tietoon tulee henkilötietojen tietoturvaloukkaus merkittävää poikkeamaa koskevan ilmoituksen tai muun valvontatoiminnan yhteydessä.

Kun sivuilla puhutaan poikkeamailmoitussovelluksesta, tarkoittaako se erillistä sovellusta vai nykyistä lomaketta?

NIS2-poikkeamailmoitussovellus oli oikeastaan kehitysaikainen työnimi, joka jäi elämään. Toimijoille kyseessä on ennen kaikkea ilmoituslomake, jonka toiminnallisuuksiin kuitenkin kuuluu mm. vastaanottokuittauksen toimittaminen ilmoituksista ja jatkoilmoituksen tekemisestä muistuttaminen.

Voisiko luoda yksittäisen sovelluksen tai portaalin, josta kaikki ilmoitukset voitaisiin tehdä yhdestä paikasta yhtä aikaa ja resursseja säästäen?

Tällä viitataan varmaankin eri viranomaisille (esim. NIS2-valvovat viranomaiset, Tietosuojavaltuutettu, poliisi) tehtäviin ilmoituksiin. Etenkin nykyisessä valtionhallinnon säästötilanteessa on hankala nähdä, mistä löytyisi rahoitus tällaiselle hankkeelle. Lisäksi on otettava huomioon eri ilmoitusten erilaiset määräajat ja käyttötarkoitukset. Tällainen järjestely vaatisi luultavasti myös erillisen lainsäädännön muutoshankkeen, jotta se olisi mahdollista toteuttaa.

Lomakkeessa lukee ”Poikkeama johtuu rikoksesta tai lainvastaisesta tai vihamielisestä teosta” – voiko tämän valita, vaikka organisaatio ei pystyisi täsmällisesti määrittämään rikoksen laatua?

Kyllä voi. Tätä on haluttu erikseen tuoda esiin sillä, että kohdassa pystyy valitsemaan kolmesta eri vaihtoehdosta: "Ei", "Kyllä, kuvaa tarkemmin" ja "Ehkä, kuvaa tarkemmin". Jos toimija valitsee "Kyllä, kuvaa tarkemmin" tai "Ehkä, kuvaa tarkemmin" -vaihtoehdon, niin lomakkeelle avautuu täytettäväksi lisäkenttä "Rikollisen tai lainvastaisen teon kuvaus" 

Onko tulossa työkaluja tai auditointikriteeristöä ”Suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä” -suosituksen tueksi?  

Suosituksen liitteenä on julkaistu ristiinviittaustaulukko, josta kaikki suosituksessa käytetyt standardiviittaukset löytyvät taulukkomuodossa.

Suositus sisältää linkityksen myös Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen tarjoamaan Kybermittariin, joka on hyvistä, ryhmitellyistä käytänteistä luotu mittaristo kyberturvallisuuden kypsyystason toistuvaan arviointiin, kehittämiseen ja raportointiin. Linkityksen tavoitteena on edistää suosituksen soveltamista, vuorovaikutusta sidosryhmien välillä sekä kyberturvallisuuden kehittämistä myös kansallisella tasolla.

Varsinaista auditointikriteeristöä ei ole olemassa eikä sellaista ole suunnitteilla. Kyberturvallisuuslain edellyttämät toimenpiteet ovat riskienhallintaa ja kunkin toimivaltaisen viranomaisen arvioitavissa. Standardiviittaukset tukevat toimijan omaa arviointia esimerkiksi siinä, miten jo auditoitu johtamisjärjestelmä vertautuu suositukseen ja sitä kautta kyberturvallisuuslain toimenpiteisiin.

Missä tilanteissa valvova viranomainen käynnistää kyberturvallisuuden riskienhallinnan toimenpiteiden valvonnan, ja voiko saada esimerkkejä?  

Kyberturvallisuuslain myötä valvovien viranomaisten tehtävänä on valvoa lain soveltamisalaan kuuluvien toimijoiden riskienhallintatoimenpiteiden toteutusta. Pääsääntöisesti keskeisiin toimijoihin kohdistetaan ennakoivaa valvontaa ja tärkeisiin toimijoihin, eli muihin kuin keskeisiin toimijoihin, kohdistetaan lähtökohtaisesti vain jälkikäteistä valvontaa silloin, jos on näyttöä, viitteitä tai tietoja, joiden mukaan tärkeä toimija ei noudata kyberturvallisuussääntelyn velvoitteita.

Millaista apua, palveluita tai työkaluja ENISA tai muut kansainväliset toimijat tarjoavat nyt tai tulevaisuudessa NIS 2 -velvoitettujen organisaatioiden avuksi?  

ENISA on julkistanut 13.5. European Vulnerability Databasen (EUVD). (Ulkoinen linkki)  Kyseiseen haavoittuvuustietokantaan kerätään haavoittuvuustietoja valmistajilta, CSIRT-yksiköiltä sekä muista haavoittuvuustietokannoista. 

Tavoitteena EUVD:lla on toimia yhtenäisenä haavoittuvuustietokantana, joka kerää yhteen paikkaan eri haavoittuvuuksia. Haavoittuvuuksille annetaan oma EUVD-tunniste, mutta kannassa on myös käytössä vaihtoehtoinen tunnus (Alternative ID), joka voi olla mm. CVE-tunnus tai valmistajan oma tunniste havainnolle. Tällä tavoin eri lähteistä saadut haavoittuvuustiedot voidaan koota yhteen paikkaan. Toimijoiden kannattaa seurata haavoittuvuuksia ja peilata niitä omaan ympäristöönsä.

ENISA tulee julkaisemaan täytäntöönpanosäädöksen soveltamisohjeen sen valmistuttua. Soveltamisohje on ollut kommenttikierroksella (Ulkoinen linkki) ja sen odotetaan valmistuvan lähitulevaisuudessa.

Lisäksi ENISA on julkaissut erilaisia infograafeja ja videoita NIS 2 -direktiivistä. (Ulkoinen linkki)
 

Toimijaluettelo: Mitä tarkoitetaan ”palveluiden tarjoamisella” toisessa EU-jäsenvaltiossa, esimerkiksi jos viranomaisella on asiakkaita Espanjassa?  

Tätä asiaa ei ole kyberturvallisuuslaissa tarkemmin säädetty, palveluiden tarjoamista arvioidaan tarvittaessa tapauskohtaisesti. Kannattaakin olla omaan valvovaan viranomaiseen yhteydessä, jos asia mietityttää. NIS 2 -direktiivin johdantokappaleessa 116 on pyritty avaamaan sitä, mitä aspekteja huomioidaan arvioitaessa, milloin palveluita katsotaan tarjottavan unionissa: "...jotta voidaan määrittää, tarjoaako toimija palveluja unionissa, olisi varmistettava, aikooko se tarjota palveluja henkilöille yhdessä tai useammassa jäsenvaltiossa. Pelkkää toimijan tai välittäjän verkkosivuston tai sähköpostiosoitteen tai muiden yhteystietojen saatavuutta unionissa taikka sitä, että käytetään toimijan sijoittautumispaikkana olevassa kolmannessa maassa yleisesti käytettävää kieltä, olisi pidettävä riittämättömänä osoituksena tällaisesta aikomuksesta. Kuitenkin esimerkiksi yhdessä tai useammassa jäsenvaltiossa yleisesti käytettävän kielen tai rahayksikön käyttäminen ja mahdollisuus tilata palveluja kyseisellä kielellä taikka unionissa olevien asiakkaiden tai käyttäjien mainitseminen voivat osoittaa olevan ilmeistä, että toimija aikoo tarjota palveluja unionissa".

Millaisia yhteydenottoja, tietoa tai muuta apua voidaan odottaa viranomaisilta poikkeamailmoituksen jälkeen?

Valvovan viranomaisen tulee vastauksessaan antaa alustava palaute merkittävästä poikkeamasta sekä ohjeet siitä ilmoittamisesta esitutkintaviranomaiselle, jos asiassa epäillään rikosta. CSIRT-yksikkö antaa toimijan pyynnöstä ohjeita ja operatiivisia neuvoja vaikutuksia lieventävistä toimenpiteistä. Ilmoitus merkittävästä poikkeamasta ohjautuu sekä valvovalle viranomaiselle että CSIRT-toiminnolle, kun toimija ilmoittaa merkittävästä poikkeamasta KTK:n NIS2-poikkeamasovelluksen kautta.

Millaisia tukityökaluja on suunnitteilla teillä tai muilla viranomaisilla?

Traficomin suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä (Ulkoinen linkki) on kohdistettu kansallista sääntelyä valvoville viranomaisille, mutta se tukee myös lainsäädännön soveltamisalaan kuuluvien toimijoiden omaa kyberturvallisuuden riskienhallinnan suunnittelua. Myös soveltamisalaan kuulumattomat toimijat voivat hyödyntää suosituksen sisältämiä perustason tietoturvakäytäntöjä arvioidakseen ja parantaakseen organisaationsa kyberturvallisuuden kypsyystasoa.

Suositus sisältää linkityksen myös Kyberturvallisuuskeskuksen tarjoamaan Kybermittariin (Ulkoinen linkki), joka on hyvistä, ryhmitellyistä käytänteistä luotu mittaristo kyberturvallisuuden kypsyystason toistuvaan arviointiin, kehittämiseen ja raportointiin. Linkityksen tavoitteena on edistää suosituksen soveltamista, vuorovaikutusta sidosryhmien välillä sekä kyberturvallisuuden kehittämistä myös kansallisella tasolla. 

Kyberturvallisuuskeskus tukee NIS 2 -direktiivin kohteena olevia organisaatioita ylläpitämään ja kehittämään tietoturvaansa erilaisin palveluin. Kyberturvallisuuskeskus tuottaa useita erilaisia tilannekuvatuotteita organisaatioiden käyttöön. Tilannekuvatuotteet antavat käyttäjilleen ajantasaista tietoa kyberturvallisuuteen vaikuttavista tapahtumista ja ilmiöistä. Kyberturvallisuuskeskus ylläpitää postituslistoja, joiden kautta käyttäjille jaetaan tilannekuvatuotteita ja esimerkiksi toimialaan liittyviä tietoturvatiedotteita ajankohtaisista aiheista.

Tilannekuvatuotteet ja postituslistat (Ulkoinen linkki)

Muut Kyberturvallisuuskeskuksen palvelut (Ulkoinen linkki)

30 §:n mukainen ”huomattava aineellinen tai aineeton vahinko” – mitä se käytännössä tarkoittaa?   

Aineellisella vahingolla tarkoitetaan yleisesti vahinkoa, jonka arvo voidaan määrittää objektiivisesti rahallisena arvona. Aineettomalla vahingolla tarkoitetaan puolestaan vahinkoa, jota ei voida objektiivisesti rahallisesti määrittää (esim. kipu, särky tai tilapäinen haitta sekä pysyvä haitta ja kärsimys).

Huomattavan aineellisen tai aineettoman vahingon käsitettä ei ole tarkemmin määritelty NIS 2 -direktiivissä, kyberturvallisuuslaissa tai avattu lain perusteluissa (HE 57/2024 vp). 

NIS 2 -direktiivin 32 artiklan 7 kohdan mukaan toimivaltaisten viranomaisten on toteuttaessaan täytäntöönpanotoimenpiteitä tai määrätessään seuraamuksia otettava huomioon kunkin yksittäisen tapauksen olosuhteet sekä muun muassa aiheutunut aineellinen tai aineeton vahinko, mukaan lukien rahoitukseen liittyvät tai taloudelliset tappiot. Tiettyjä digitaalisen infrastruktuurin toimijoita ja digitaalisten palveluiden tarjoajia velvoittavassa Euroopan komission täytäntöönpanoasetuksessa (EU) 2024/2690 ja sen kohdassa 36 on määritelty välitöntä taloudellista menetystä. Täytäntöönpanoasetuksen mukaan määrittäessään poikkeamasta aiheutuneita välittömiä taloudellisia menetyksiä asianomaisten toimijoiden olisi otettava huomioon kaikki poikkeamasta aiheutuneet taloudelliset tappiot, kuten ohjelmistojen, laitteistojen tai infrastruktuurin korvaamisesta tai siirtämisestä aiheutuneet kustannukset, henkilöstökustannukset, mukaan lukien kustannukset, jotka liittyvät henkilöstön korvaamiseen tai siirtämiseen, lisähenkilöstön palkkaamiseen, ylityökorvauksiin sekä menetettyjen tai heikentyneiden taitojen palauttamiseen, sopimusvelvoitteiden noudattamatta jättämisestä aiheutuneet maksut, asiakkaille maksettavista hyvityksistä ja korvauksista aiheutuneet kustannukset, menetetyistä tuloista aiheutuneet tappiot, sisäiseen ja ulkoiseen tiedottamiseen liittyvät kustannukset, neuvontakustannukset, mukaan lukien oikeudelliseen neuvontaan, rikosteknisiin palveluihin ja korjauspalveluihin liittyvät kustannukset, sekä muut poikkeukseen liittyvät kustannukset. Hallinnollisia sakkoja ja päivittäisen liiketoiminnan kannalta välttämättömiä kustannuksia ei kuitenkaan pitäisi katsoa poikkeamasta johtuviksi taloudellisiksi tappioiksi. Tällaisia kustannuksia ovat muun muassa infrastruktuurin, laitteiden, laitteistojen ja ohjelmistojen yleisestä ylläpidosta aiheutuvat kustannukset sekä henkilöstön taitojen ylläpidosta aiheutuvat kustannukset, sisäiset tai ulkoiset kustannukset, joita aiheutuu liiketoiminnan parantamisesta poikkeaman jälkeen, mukaan lukien päivitykset, parannukset ja riskinarviointihankkeet, sekä vakuutusmaksut. Asianomaisten toimijoiden olisi laskettava taloudellisten tappioiden määrät saatavilla olevien tietojen perusteella, ja jos taloudellisten tappioiden tosiasiallisia määriä ei voida määrittää, toimijoiden olisi arvioitava kyseiset määrät.

Onko seuraamusmaksulautakunta jo asetettu?

Kyberturvallisuuslain edellyttämien velvollisuuksien ja toimenpiteiden laiminlyönneistä voidaan toimijalle määrätä hallinnollinen seuraamusmaksu. Seuraamusmaksun määrää seuraamusmaksulautakunta, joka toimii Liikenne- ja viestintäviraston yhteydessä ja koostuu kyberturvallisuuslakia valvovien viranomaisten nimeämistä jäsenistä. Virasto on pyytänyt muilta viranomaisilta jäsenten nimeämistä niin, että toimikausi käynnistyisi 1.9.2025.

Toimijan on ilmoitettava viipymättä merkittävästä poikkeamasta palvelujen vastaanottajille, jos poikkeama todennäköisesti haittaa palvelujen tarjoamista – tarkoittaako tämä käytännössä aina?  

Tiedotusvelvollisuutta koskevien säännösten esitöissä ei ole avattu tällaisia tilanteita tarkemmin eli todennäköisyys on tältä osin tapauskohtaisesti toimijan arvioitavissa. Kannattaa tutustua myös Kyberturvallisuuskeskuksen julkaisemaan kriisiviestintäohjeeseen "Kyberhyökkäyksiä koskeva viestintäohje organisaatioille (Ulkoinen linkki)"

16 §:n mukaan valvovan viranomaisen vastauksessa on oltava alustava palaute merkittävästä poikkeamasta ja ohje esitutkintaviranomaiselle ilmoittamisesta, jos epäillään rikosta – onko tähän resursseja?

Mainitut toimet kuuluvat osaksi valvovalle viranomaiselle säädettyjä tehtäviä, joten ne hoidetaan muiden tehtävien tapaan. Valvovien viranomaisten resursoinneissa on eroa, mutta luonnollisesti pyritään mahdollisimman yhdenmukaiseen lähestymistapaan eri sektoreiden valvovien viranomaisen toiminnassa.