Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Sääntelyn kohteet

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksessa ohjaamme ja valvomme toimialaamme kuuluvien säännösten ja määräysten noudattamista. Valvomme monia eri toimintoja, ja tällä sivulla kerromme säännösten tulkinnasta ja siitä, mikä toiminta kuuluu sääntelyn piiriin. Esimerkkejä ovat teletoiminta ja muu viestinnän välittäminen, NIS 2 -direktiivin mukaiset digitaaliset palvelut, vahva sähköinen tunnistus ja sähköiset eIDAS-luottamuspalvelut.

Usein esiintyy tulkintakysymyksiä siitä, onko yrityksen tai yhteisön tarjoama palvelu tai jokin osa siitä Kyberturvallisuuskeskuksen ohjaamaa ja valvomaa toimintaa. Seuraavaan taulukkoon on listattu säänneltyjä toimintoja ja käytännön esimerkkejä niistä. Jäljempänä tällä sivulla kuvataan tarkemmin tulkintakäytäntöä eri sääntelyn kohteista.

Keskeistä on tunnistaa, missä sääntelyn tunnistamissa eri rooleissa tietty toimija toimii. Valtaosa tällä sivulla käsitellystä sääntelystä kohdistuu vain tietynlaiseen toimintaan. Tietty toimija voi kuitenkin toimia useassa säännellyssä roolissa. Kutakin toimintaa arvioidaan erikseen.

Seuraavassa esitellään sääntelyn kohteita ja niitä koskevaa vakiintunutta tulkintakäytäntöä.

 

Sääntelyn kohteet
teletoiminta
(laki sähköisen viestinnän palveluista)
  • Perinteiset teleyritykset, kuten puhelin- ja laajakaistapalvelujen tarjoajat
  • Televisio- ja radioverkkojen tarjoajat
  • Monet kaupalliset tai epäkaupalliset viestintäverkkojen ja viestintäpalvelujen tarjoajat, joita ei perinteisesti aina mielletä teleyrityksiksi; esimerkiksi internetyhteyspalvelujen päällä tarjottavat viestintäpalvelut (OTT- eli Over-The-Top-palvelut) ja ennalta rajaamattomalle käyttäjäpiirille tarjottavat WLAN-verkot
  • Nimipalvelimien tarjoajat silloin kun nimipalvelua tarjotaan osana internetyhteyspalvelua.
kiinteistön sisäverkot
(laki sähköisen viestinnän palveluista)
  • taloyhtiöt ja muut kiinteistöjen sisäisten viestintäverkkojen haltijat
erillisverkkotoimija
(laki sähköisen viestinnän palveluista 244 a § 2 mom.)

niin sanotun kriittisen erillisverkon omistaja tai haltija

  • kriittisiä erillisverkkoja ovat yhteiskunnan elintärkeiden toimintojen kannalta keskeisten toimijoiden yleiseen viestintäverkkoon liitetyt erillisverkot; tällaisia toimijoita voivat olla esimerkiksi ydinvoimalat, satamat ja lentokentät

ks. Liikenne- ja viestintäviraston määräys viestintäverkon kriittisistä osista (Ulkoinen linkki)

yhteisötilaaja
(laki sähköisen viestinnän palveluista)
  • teleyritysten yhteisöasiakkaat, jotka käsittelevät asiakkaidensa tai yhteisönsä välitystietoja
muu viestinnän välitys
(laki sähköisen viestinnän palveluista)

teleyritysten ja yhteisötilaajien lisäksi

  • muut tahot, jotka välittävät sähköistä viestintää viestinnän osapuoliin nähden kolmantena osapuolena
evästeet
(laki sähköisen viestinnän palveluista 205 §)

palveluntarjoaja, joka tallentaa evästeitä tai muita sähköisen palvelun käyttöä kuvaavien tietoja käyttäjän päätelaitteelle tai käyttää niitä

digitaalinen palvelu
(kyberturvallisuuslain II liitteen 2 kohta)

NIS 2 -direktiivin nojalla annetun kyberturvallisuuslain mukaiset digitaalisen palvelun tarjoajat eli

  • Verkossa toimivat markkinapaikat
  • Verkossa toimivat hakukoneet
  • Verkkoyhteisöalustat
digitaalinen infrastruktuuri
(kyberturvallisuuslain I liitteen 6 kohta)

NIS 2 -direktiivin nojalla annetun kyberturvallisuuslain mukaiset digitaalisen infrastruktuurin tarjoajat eli

  • Internetin yhdysliikennepisteet
  • Aluetunnusrekisterit
  • Pilvipalvelut
  • Datakeskuspalvelut
  • Sisällönjakeluverkot
  • DNS-palveluntarjoajat (ks. FI-verkkotunnukset (Ulkoinen linkki))
  • Luottamuspalvelut (ks. luottamuspalvelu)
  • Yleiset sähköiset viestintäverkot (ks. teletoiminta)
  • Yleisesti saatavilla olevat sähköiset viestintäpalvelut (ks. teletoiminta)
TVT-palvelujen hallinta
(kyberturvallisuuslain I liitteen 7 kohta)

NIS 2 -direktiivin nojalla annetun kyberturvallisuuslain mukaiset TVT-palvelujen hallinnan tarjoajat eli

  • Hallintapalvelut
  • Tietoturvapalvelut
Tutkimusorganisaatiot
(kyberturvallisuuslain II liitteen 5 kohta)

NIS 2 -direktiivin nojalla annetun kyberturvallisuuslain mukaiset tutkimusorganisaatiot eli

  • Tutkimusorganisaatiot, joiden ensisijaisena tavoitteena on harjoittaa soveltavaa tutkimusta tai kokeellista kehitystyötä kyseisen tutkimuksen tulosten hyödyntämiseksi kaupallisiin tarkoituksiin, mutta joka ei ole korkeakoulu tai muu opetus- ja koulutusalan laitos
  • Käytännössä VTT Oy
Julkishallinto
(tiedonhallintalain 3 §)

NIS 2 -direktiivin mukaiset julkishallinnon organisaatiot eli 

  • valtionhallinnon organisaatiot
  • hyvinvointialueet
liitännäispalvelu tai liitännäistoiminto
(laki sähköisen viestinnän palveluista)

Viestintäverkkoon tai -palveluun liittyvien liitännäispalvelujen ja -toimintojen, esimerkiksi seuraavien, tarjoajat:

  • ehdollisen käyttöoikeuden järjestelmä
  • sähköinen ohjelmaopas (EPG)
  • numeronmuunnosjärjestelmä
  • tunnistamis-, paikantamis- ja tilatietopalvelu tai muu vastaava viestintäverkkoon tai viestintäpalveluun liittyvä palvelu, joka mahdollistaa viestintäverkon tai viestintäpalvelun tarjoamisen taikka tukee palvelun tarjoamista niiden kautta
  • rakennus, rakennuksen sisääntulo ja kaapelointi, kaapelikanava, masto sekä muu vastaava viestintäverkkoon tai viestintäpalveluun liittyvä fyysinen rakenne, toiminto ja elementti, joka mahdollistaa viestintäverkon tai viestintäpalvelun tarjoamisen taikka tukee palvelun tarjoamista niiden kautta
vahva sähköinen tunnistus
(laki vahvasta sähköisestä tunnistamisesta ja luottamuspalveluista)

rekisteröidyt vahvan sähköisen

  • tunnistusvälineen tarjoajat
  • tunnistusvälityspalvelun tarjoajat
luottamuspalvelu 
(EU:n nk. eIDAS-asetus (EU) 910/2014)

eIDAS-asetuksen mukaisten hyväksyttyjen tai ei-hyväksyttyjen luottamuspalveluiden tarjoajat:

  • sähköisen allekirjoituksen tai sähköisen leiman varmenne, validointi tai säilyttäminen
  • verkkosivujen todentamisen varmenne
  • sähköinen aikaleima
  • sähköinen rekisteröity jakelupalvelu

Näitä emme valvo

Kyberturvallisuuskeskus ei valvo viestinnän sisältöä tai markkinointia eikä pääsääntöisesti viranomaisverkkojen tai viranomaisten viestintäpalvelujen tarjoamista. Koska viranomaisverkkojen ja viranomaisten viestintäpalvelujen käyttäjäpiiri on ennalta rajattu, ne eivät ole yleistä teletoimintaa. Viranomaisverkot ja viranomaisten viestintäpalvelut voidaan liittää teleyritysten yleisiin viestintäverkkoihin, jolloin niitä koskee vaatimus olla aiheuttamatta toimivuus- tai tietoturvahäiriöitä yleiseen viestintäverkkoon.

Teletoiminta ja teleyritykset

Kyberturvallisuuskeskus valvoo teletoiminnassa tietoturvallisuusvaatimuksia, häiriöttömyysvaatimuksia ja häiriötilanteisiin ja poikkeusoloihin varautumista, hätä- tai poliisiviranomaisten avustamista sekä sähköisen viestinnän ja välitystietojen luottamuksellisuutta.

Yhteisötilaajat

Sähköisen viestinnän palveluista annetun lain mukaan yhteisötilaajalla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä ja yhteisöä, joka käsittelee viestintäverkossaan käyttäjien viestejä, välitystietoja tai sijaintitietoja.

Yhteisötilaaja voi olla esimerkiksi elinkeinonharjoittaja, osuuskunta, osakeyhtiö, yhdistys, oppilaitos tai valtion virasto. Yhteisötilaaja voi olla esimerkiksi yritys, joka hankkii ja tarjoaa puhelin- ja laajakaistaliittymät työntekijöilleen ja WLAN-yhteyden toimitiloissaan vieraileville sekä käsittelee sisäverkossaan välitystietoja eli oikeus- tai luonnolliseen henkilöön yhdistettävissä olevaa tietoa, jota käsitellään viestin välittämiseksi. Myös taloyhtiöiden asukkaiden yhteisliittymäjärjestelyt voivat olla yhteisötilaajia. Perhettä ei katsota yhteisötilaajaksi, vaikka kotona olisi sisäinen viestintäverkko (kuten WLAN-verkko), jota käyttäen perheen jäsenet esimerkiksi surfailevat internetissä yhteiseksi hankitun laajakaistan avulla.

Yhteisötilaajia koskevat toimivuudesta, tietoturvasta ja luottamuksellisen viestinnän suojasta huolehtimisen velvoitteet sekä toisaalta vaikkapa välitystietojen käsittelyoikeudet säädetään sähköisen viestinnän palveluista annetussa laissa. Traficomin Kyberturvallisuuskeskus valvoo näiden säädösten noudattamista. Traficomille on myös laissa annettu toimivaltuuksia tiettyjen lakia tarkentavien teknisten määräysten antamiseen, mutta toistaiseksi virasto ei ole käyttänyt näitä oikeuksia yhteisötilaajia koskien.

Viestinnän välittäjät

Viestinnän välittäjät ovat toimijoita, joiden palvelu perustuu luottamukselliseen viestinnän välittämiseen esimerkiksi jonkin sähköisen palvelun sisällä. Viestinnän välittäjiä säännellään sähköisen viestinnän luottamuksellisuuden varmistamiseksi.

Viestinnän välittäjän on usein käsiteltävä sähköisiä viestejä ja välitystietoja, jotta palvelut toimisivat ja vika- tai virhetilanteita saataisiin selvitettyä. Laissa säädetään eri viestinnän välittäjien oikeuksista käsitellä viestintää sekä asetetaan niille velvollisuus huolehtia palveluidensa tietoturvasta.

Viestinnän välittäjiä ovat:

  • Teleyritykset
  • Yhteisötilaajat
  • Muut viestinnän välittäjät, jotka välittävät sähköistä viestintää muutoin kuin henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin.

Muut sähköisen viestinnän välittäjät on toimijaryhmä, joka on otettu sähköisen viestinnän palveluista annetussa laissa tietoturva- ja tietosuojasääntelyn piiriin vuoden 2015 alusta lukien. Muutoksen myötä sähköisen viestinnän luottamuksellisuuden suojan sääntely ja tietoturvan varmistaminen on ulotettu koskemaan kaikkia viestinnän välittäjiä, sillä ne ovat luottamuksellisen viestinnän suojan kannalta kriittisessä asemassa. Rajanveto teledirektiivin määritelmiin perustuvan teletoiminnan ja muun viestinnän välittämisen kanssa ei aina ole yksiselitteistä.

Digitaaliset palvelut ja infrastruktuuri, TVT-palvelut, tutkimus sekä julkishallinto

EU:n kyberturvallisuusdirektiivin (ns. NIS 2 -direktiivi) täytäntöönpanemiseksi annetussa kansallisessa sääntelyssä (kyberturvallisuuslaki ja tiedonhallintalaki) säädetään mm. digitaalisen infrastruktuurin tarjoajia, digitaalisen palvelun tarjoajia, TVT-palvelujen hallinnan tarjoajia, tutkimusorganisaatioita ja julkishallintoa koskevista kyberturvallisuuden riskienhallinnan velvoitteista sekä merkittäviä poikkeamia koskevasta raportointivelvoitteesta.

Kyberturvallisuuskeskus ohjaa ja valvoo edellä mainittuja toimijoita Suomessa. Osa digitaalisen infrastruktuurin tarjoajista, digitaalisen palvelun tarjoajat sekä TVT-palvelujen hallinnan tarjoajat kuuluvat Kyberturvallisuuskeskuksen valvonnan piiriin, jos niiden päätoimipaikka EU:n alueella sijaitsee Suomessa. Mikäli palvelun tarjoaja toimii Suomessa, mutta sen päätoimipaikka on muussa EU:n jäsenvaltiossa kuin Suomessa, toimivaltainen viranomainen on tällöin kyseisen päätoimipaikan jäsenvaltion valvova viranomainen.

Lue lisää Kyberturvallisuuskeskuksen valvomista NIS2-toimijoista ja toimijoita koskevista velvoitteista

Liitännäispalvelujen ja -toimintojen tarjoajat

Sähköisen viestinnän palveluista annetuissa laissa määritellään viestintäverkkoon tai viestintäpalveluun liittyvät liitännäispalvelut ja liitännäistoiminnot. Kyberturvallisuuskeskus valvoo näiden tarjoamiseen liittyvien tietoturva-, toimivuus- ja luottamuksellisen viestinnän suojan säännöksiä.

Liitännäispalvelulla tarkoitetaan ehdollisen käyttöoikeuden järjestelmää, sähköistä ohjelmaopasta, numeronmuunnosjärjestelmää, tunnistamis-, paikantamis- ja tilatietopalvelua sekä muuta vastaavaa viestintäverkkoon tai viestintäpalveluun liittyvää palvelua, joka mahdollistaa viestintäverkon tai viestintäpalvelun tarjoamisen taikka tukee palvelun tarjoamista niiden kautta.

Liitännäistoiminnolla taas tarkoitetaan liitännäispalvelua sekä rakennusta, rakennuksen sisääntuloa ja kaapelointia, kaapelikanavaa, mastoa sekä muuta vastaavaa viestintäverkkoon tai viestintäpalveluun liittyvää fyysistä rakennetta, toimintoa ja elementtiä, joka mahdollistaa viestintäverkon tai viestintäpalvelun tarjoamisen taikka tukee palvelun tarjoamista niiden kautta.

Tulkintakäytäntöä liitännäistoiminnoista tai -palveluista ei käytännössä vielä ole. Määritelmiin sisältyvät esimerkit ohjaavat tulkintaa. Toimintojen määrittelyllä voi olla merkitystä muun muassa viestintäverkkojen ja -palvelujen teknisen laadun ja tietoturvallisuuden sääntelyssä. Määritelmät kuvaavat myös niitä toimintoja ja palveluja, joita ei yksinään katsota teletoiminnaksi.

Vahvat sähköisen tunnistuspalvelut

Vahvan sähköisen tunnistuspalvelun tarjoajat ovat palveluntarjoajia, jotka ovat tehneet tunnistus- ja luottamuspalvelulaissa (617/2009) säädetyn ilmoituksen toiminnasta ja jotka on hyväksytty lain mukaiseen rekisteriin.

Sähköisellä tunnistamisella tarkoitetaan henkilöllisyyden todentamista sähköisesti. Vahvan sähköisen tunnistamisen avulla kuluttajat voivat turvallisesti vahvistaa henkilöllisyytensä erilaisissa sähköisissä palveluissa ja sähköisten asiointipalveluiden tarjoajat voivat tunnistaa asiakkaansa.

Suomessa on kahdenlaisia vahvan sähköisen tunnistamisen palveluntarjoajia

  • Tunnistusvälineen tarjoaja tarjoaa tunnistusvälineitä käyttäjille (esim. pankkitunnukset, mobiilivarmenne, kansalaisvarmenne henkilökortilla)
  • Tunnistusvälityspalvelu myy tunnistuspalvelua asiointipalveluille
  • Sama palveluntarjoaja voi halutessaan toimia sekä välineen että välityspalvelun tarjoajana.
  • Rekisteröidyt vahvat sähköiset tunnistuspalvelut muodostavat lain mukaan luottamusverkoston.

Vahva sähköinen tunnistuspalvelu voi olla varmuustasoltaan joko korotettu tai korkea.

Vahvoja sähköisiä tunnistuspalveluita ovat 

  • pankkien verkkopankkitunnukset
  • teleyritysten mobiilivarmenteet
  • Digi- ja väestötietoviraston kansalaisvarmenne poliisin myöntämällä henkilökortilla ja eräät muut tunnistusvarmenteet erilaisilla organisaatiokorteilla
  • rekisteröidyt tunnistusvälityspalvelut
Lue lisää verkkotunnusvälittämisestä (Ulkoinen linkki)

Sähköiset luottamuspalvelut (eIDAS)

Sähköiset luottamuspalvelut ovat toimintoja, joita voi käyttää sähköisten asiointipalveluiden luotettavassa toteuttamisessa. Niistä säädetään EU:n eIDAS-asetuksessa (EU) 910/2014.

Luottamuspalvelut voivat olla joko hyväksyttyjä (qualified) tai ei-hyväksyttyjä (non-qualified). Suomessa hyväksyntä haetaan Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselta. Hyväksytyt luottamuspalvelut löytyvät kansallisista luotetuista luetteloista (trusted list), jotka ovat päteviä kaikissa EU:n jäsenvaltioissa.

Ei-hyväksytyt luottamuspalvelut ovat eIDAS-asetuksen määritelmien mukaisia palveluita, joille niiden tarjoaja ei ole hakenut hyväksyntää.

Hyväksyttyjä sähköisiä luottamuspalveluita voivat olla seuraavat palvelut (suluissa on palvelua koskeva eIDAS-asetuksen artikla):

  • sähköisen allekirjoituksen varmenne, validointi tai säilyttäminen (artiklat 28, 33 ja 34)
  • sähköisen leiman varmenne, validointi tai säilyttäminen (artiklat 38 ja 40)
  • sähköinen aikaleima (42 artikla)
  • sähköinen rekisteröity jakelupalvelu (44 artikla)
  • verkkosivujen todentamisen varmenne (45 artikla)

Ei-hyväksyttyjä luottamuspalveluja ovat

  • edellä luetellut palvelut, joita ei ole ilmoitettu ja merkitty luotettuun luetteloon
  • eräät muut palvelutyypit, esimerkiksi kehittyneen sähköisen allekirjoituksen tai leiman luontipalvelu
Lue lisää sähköisen tunnistamisen vaatimuksista

Verkkotunnusvälittäjät

Verkkotunnusvälitystoimintaa (ml. välitystoiminnan tietoturva) ja FI-verkkotunnusta koskevaa tietoa löytyy Traficomin verkkotunnussivuilta

Lue lisää verkkotunnuksista (Ulkoinen linkki)
Päivitetty