Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksessa ohjaamme ja valvomme toimialaamme kuuluvien säännösten ja määräysten noudattamista. Valvomme monia eri toimintoja, ja tällä sivulla kerromme säännösten tulkinnasta ja siitä, mikä toiminta kuuluu sääntelyn piiriin. Esimerkkejä ovat teletoiminta ja muu viestinnän välittäminen, NIS-direktiivin mukaiset digitaaliset palvelut, vahva sähköinen tunnistus ja sähköiset eIDAS-luottamuspalvelut.
Usein esiintyy tulkintakysymyksiä siitä, onko yrityksen tai yhteisön tarjoama palvelu tai jokin osa siitä Kyberturvallisuuskeskuksen ohjaamaa ja valvomaa toimintaa. Seuraavaan taulukkoon on listattu säänneltyjä toimintoja ja käytännön esimerkkejä niistä. Jäljempänä tällä sivulla kuvataan tarkemmin tulkintakäytäntöä eri sääntelyn kohteista.
Keskeistä on tunnistaa, missä sääntelyn tunnistamissa eri rooleissa tietty toimija toimii. Valtaosa tällä sivulla käsitellystä sääntelystä kohdistuu vain tietynlaiseen toimintaan. Tietty toimija voi kuitenkin toimia useassa säännellyssä roolissa. Kutakin toimintaa arvioidaan erikseen.
Seuraavassa esitellään sääntelyn kohteita ja niitä koskevaa vakiintunutta tulkintakäytäntöä.
teletoiminta |
|
kiinteistön sisäverkot |
|
erillisverkkotoimija | niin sanotun kriittisen erillisverkon omistaja tai haltija
ks. Liikenne- ja viestintäviraston määräys viestintäverkon kriittisistä osista (Ulkoinen linkki) |
yhteisötilaaja |
|
muu viestinnän välitys | teleyritysten ja yhteisötilaajien lisäksi
|
evästeet | palveluntarjoaja, joka tallentaa evästeitä tai muita sähköisen palvelun käyttöä kuvaavien tietoja käyttäjän päätelaitteelle tai käyttää niitä
|
digitaalinen palvelu | NIS-direktiivin mukaiset digitaalisten palvelujen tarjoajat eli
|
liitännäispalvelu tai liitännäistoiminto | Viestintäverkkoon tai -palveluun liittyvien liitännäispalvelujen ja -toimintojen, esimerkiksi seuraavien, tarjoajat:
|
vahva sähköinen tunnistus | rekisteröidyt vahvan sähköisen
|
luottamuspalvelu | eIDAS-asetuksen mukaisten hyväksyttyjen tai ei-hyväksyttyjen luottamuspalveluiden tarjoajat:
|
Näitä emme valvo
Kyberturvallisuuskeskus ei valvo viestinnän sisältöä tai markkinointia eikä pääsääntöisesti viranomaisverkkojen tai viranomaisten viestintäpalvelujen tarjoamista. Koska viranomaisverkkojen ja viranomaisten viestintäpalvelujen käyttäjäpiiri on ennalta rajattu, ne eivät ole yleistä teletoimintaa. Viranomaisverkot ja viranomaisten viestintäpalvelut voidaan liittää teleyritysten yleisiin viestintäverkkoihin, jolloin niitä koskee vaatimus olla aiheuttamatta toimivuus- tai tietoturvahäiriöitä yleiseen viestintäverkkoon.
Teletoiminta ja teleyritykset
Kyberturvallisuuskeskus valvoo teletoiminnassa tietoturvallisuusvaatimuksia, häiriöttömyysvaatimuksia ja häiriötilanteisiin ja poikkeusoloihin varautumista, hätä- tai poliisiviranomaisten avustamista sekä sähköisen viestinnän ja välitystietojen luottamuksellisuutta.
Yhteisötilaajat
Sähköisen viestinnän palveluista annetun lain mukaan yhteisötilaajalla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä ja yhteisöä, joka käsittelee viestintäverkossaan käyttäjien viestejä, välitystietoja tai sijaintitietoja.
Yhteisötilaaja voi olla esimerkiksi elinkeinonharjoittaja, osuuskunta, osakeyhtiö, yhdistys, oppilaitos tai valtion virasto. Yhteisötilaaja voi olla esimerkiksi yritys, joka hankkii ja tarjoaa puhelin- ja laajakaistaliittymät työntekijöilleen ja WLAN-yhteyden toimitiloissaan vieraileville sekä käsittelee sisäverkossaan välitystietoja eli oikeus- tai luonnolliseen henkilöön yhdistettävissä olevaa tietoa, jota käsitellään viestin välittämiseksi. Myös taloyhtiöiden asukkaiden yhteisliittymäjärjestelyt voivat olla yhteisötilaajia. Perhettä ei katsota yhteisötilaajaksi, vaikka kotona olisi sisäinen viestintäverkko (kuten WLAN-verkko), jota käyttäen perheen jäsenet esimerkiksi surfailevat internetissä yhteiseksi hankitun laajakaistan avulla.
Yhteisötilaajia koskevat toimivuudesta, tietoturvasta ja luottamuksellisen viestinnän suojasta huolehtimisen velvoitteet sekä toisaalta vaikkapa välitystietojen käsittelyoikeudet säädetään sähköisen viestinnän palveluista annetussa laissa. Traficomin Kyberturvallisuuskeskus valvoo näiden säädösten noudattamista. Traficomille on myös laissa annettu toimivaltuuksia tiettyjen lakia tarkentavien teknisten määräysten antamiseen, mutta toistaiseksi virasto ei ole käyttänyt näitä oikeuksia yhteisötilaajia koskien.
Viestinnän välittäjät
Viestinnän välittäjät ovat toimijoita, joiden palvelu perustuu luottamukselliseen viestinnän välittämiseen esimerkiksi jonkin sähköisen palvelun sisällä. Viestinnän välittäjiä säännellään sähköisen viestinnän luottamuksellisuuden varmistamiseksi.
Viestinnän välittäjän on usein käsiteltävä sähköisiä viestejä ja välitystietoja, jotta palvelut toimisivat ja vika- tai virhetilanteita saataisiin selvitettyä. Laissa säädetään eri viestinnän välittäjien oikeuksista käsitellä viestintää sekä asetetaan niille velvollisuus huolehtia palveluidensa tietoturvasta.
Viestinnän välittäjiä ovat:
- Teleyritykset
- Yhteisötilaajat
- Muut viestinnän välittäjät, jotka välittävät sähköistä viestintää muutoin kuin henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin.
Muut sähköisen viestinnän välittäjät on toimijaryhmä, joka on otettu sähköisen viestinnän palveluista annetussa laissa tietoturva- ja tietosuojasääntelyn piiriin vuoden 2015 alusta lukien. Muutoksen myötä sähköisen viestinnän luottamuksellisuuden suojan sääntely ja tietoturvan varmistaminen on ulotettu koskemaan kaikkia viestinnän välittäjiä, sillä ne ovat luottamuksellisen viestinnän suojan kannalta kriittisessä asemassa. Rajanveto teledirektiivin määritelmiin perustuvan teletoiminnan ja muun viestinnän välittämisen kanssa ei aina ole yksiselitteistä.
Digitaalisten palvelujen ja infrastruktuurin tarjoajat (NIS)
EU:n verkko- ja tietoturvadirektiivissä (ns. NIS-direktiivi) säädetään yhteiskunnan kriittisen infrastruktuurin tarjoajien tietoturvavelvollisuuksista ja häiriöistä ilmoittamisesta monilla sektoreilla.
Kyberturvallisuuskeskus ohjaa ja valvoo direktiivin tarkoittamien digitaalisten palvelujen tarjoajia ja digitaalisen infrastruktuurin tarjoajia. Näiden toimijoiden velvoitteista säädetään sähköisen viestinnän palveluista annetussa laissa. Digitaalisten palvelujen tarjoajien osalta Kyberturvallisuuskeskus valvoo vain sellaisia toimijoita, joiden päätoimipaikka EU:n alueella on Suomessa. Jos Suomessa toimivan digitaalisen palvelun tarjoajan päätoimipaikka on muussa EU:n jäsenvaltiossa kuin Suomessa, toimivaltainen valvova viranomainen on kyseisen päätoimipaikan viranomainen.
Liitännäispalvelujen ja -toimintojen tarjoajat
Sähköisen viestinnän palveluista annetuissa laissa määritellään viestintäverkkoon tai viestintäpalveluun liittyvät liitännäispalvelut ja liitännäistoiminnot. Kyberturvallisuuskeskus valvoo näiden tarjoamiseen liittyvien tietoturva-, toimivuus- ja luottamuksellisen viestinnän suojan säännöksiä.
Liitännäispalvelulla tarkoitetaan ehdollisen käyttöoikeuden järjestelmää, sähköistä ohjelmaopasta, numeronmuunnosjärjestelmää, tunnistamis-, paikantamis- ja tilatietopalvelua sekä muuta vastaavaa viestintäverkkoon tai viestintäpalveluun liittyvää palvelua, joka mahdollistaa viestintäverkon tai viestintäpalvelun tarjoamisen taikka tukee palvelun tarjoamista niiden kautta.
Liitännäistoiminnolla taas tarkoitetaan liitännäispalvelua sekä rakennusta, rakennuksen sisääntuloa ja kaapelointia, kaapelikanavaa, mastoa sekä muuta vastaavaa viestintäverkkoon tai viestintäpalveluun liittyvää fyysistä rakennetta, toimintoa ja elementtiä, joka mahdollistaa viestintäverkon tai viestintäpalvelun tarjoamisen taikka tukee palvelun tarjoamista niiden kautta.
Tulkintakäytäntöä liitännäistoiminnoista tai -palveluista ei käytännössä vielä ole. Määritelmiin sisältyvät esimerkit ohjaavat tulkintaa. Toimintojen määrittelyllä voi olla merkitystä muun muassa viestintäverkkojen ja -palvelujen teknisen laadun ja tietoturvallisuuden sääntelyssä. Määritelmät kuvaavat myös niitä toimintoja ja palveluja, joita ei yksinään katsota teletoiminnaksi.
Vahvat sähköisen tunnistuspalvelut
Vahvan sähköisen tunnistuspalvelun tarjoajat ovat palveluntarjoajia, jotka ovat tehneet tunnistus- ja luottamuspalvelulaissa (617/2009) säädetyn ilmoituksen toiminnasta ja jotka on hyväksytty lain mukaiseen rekisteriin.
Sähköisellä tunnistamisella tarkoitetaan henkilöllisyyden todentamista sähköisesti. Vahvan sähköisen tunnistamisen avulla kuluttajat voivat turvallisesti vahvistaa henkilöllisyytensä erilaisissa sähköisissä palveluissa ja sähköisten asiointipalveluiden tarjoajat voivat tunnistaa asiakkaansa.
Suomessa on kahdenlaisia vahvan sähköisen tunnistamisen palveluntarjoajia
- Tunnistusvälineen tarjoaja tarjoaa tunnistusvälineitä käyttäjille (esim. pankkitunnukset, mobiilivarmenne, kansalaisvarmenne henkilökortilla)
- Tunnistusvälityspalvelu myy tunnistuspalvelua asiointipalveluille
- Sama palveluntarjoaja voi halutessaan toimia sekä välineen että välityspalvelun tarjoajana.
- Rekisteröidyt vahvat sähköiset tunnistuspalvelut muodostavat lain mukaan luottamusverkoston.
Vahva sähköinen tunnistuspalvelu voi olla varmuustasoltaan joko korotettu tai korkea.
Vahvoja sähköisiä tunnistuspalveluita ovat
- pankkien verkkopankkitunnukset
- teleyritysten mobiilivarmenteet
- Digi- ja väestötietoviraston kansalaisvarmenne poliisin myöntämällä henkilökortilla ja eräät muut tunnistusvarmenteet erilaisilla organisaatiokorteilla
- rekisteröidyt tunnistusvälityspalvelut
Sähköiset luottamuspalvelut (eIDAS)
Sähköiset luottamuspalvelut ovat toimintoja, joita voi käyttää sähköisten asiointipalveluiden luotettavassa toteuttamisessa. Niistä säädetään EU:n eIDAS-asetuksessa (EU) 910/2014.
Luottamuspalvelut voivat olla joko hyväksyttyjä (qualified) tai ei-hyväksyttyjä (non-qualified). Suomessa hyväksyntä haetaan Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselta. Hyväksytyt luottamuspalvelut löytyvät kansallisista luotetuista luetteloista (trusted list), jotka ovat päteviä kaikissa EU:n jäsenvaltioissa.
Ei-hyväksytyt luottamuspalvelut ovat eIDAS-asetuksen määritelmien mukaisia palveluita, joille niiden tarjoaja ei ole hakenut hyväksyntää.
Hyväksyttyjä sähköisiä luottamuspalveluita voivat olla seuraavat palvelut (suluissa on palvelua koskeva eIDAS-asetuksen artikla):
- sähköisen allekirjoituksen varmenne, validointi tai säilyttäminen (artiklat 28, 33 ja 34)
- sähköisen leiman varmenne, validointi tai säilyttäminen (artiklat 38 ja 40)
- sähköinen aikaleima (42 artikla)
- sähköinen rekisteröity jakelupalvelu (44 artikla)
- verkkosivujen todentamisen varmenne (45 artikla)
Ei-hyväksyttyjä luottamuspalveluja ovat
- edellä luetellut palvelut, joita ei ole ilmoitettu ja merkitty luotettuun luetteloon
- eräät muut palvelutyypit, esimerkiksi kehittyneen sähköisen allekirjoituksen tai leiman luontipalvelu
Verkkotunnusvälittäjät
Verkkotunnusvälitystoimintaa (ml. välitystoiminnan tietoturva) ja FI-verkkotunnusta koskevaa tietoa löytyy Traficomin verkkotunnussivuilta