NIS2 ja kyberturvallisuuden vaatimukset pilvipalveluissa

NIS2 ja kyberturvallisuuden vaatimukset pilvipalveluissa

Digitaalinen infrastruktuuri ja siihen liittyvät palvelut muodostavat nyky-yhteiskunnan selkärangan. Uudet teknologiset ratkaisut mahdollistavat innovaatioita ja kehittyneitä palveluita, mutta samalla yhteiskunnan riippuvuus viestintäverkkojen ja tietojärjestelmien häiriöttömästä toiminnasta kasvaa. Tämä tekee yhteiskunnasta myös haavoittuvaisen erilaisille kyberturvallisuusriskeille.

Kyberturvallisuuteen kohdistuvat häiriöt voivat aiheuttaa merkittäviä vaikutuksia yhteiskunnan toiminnalle, kriittiselle infrastruktuurille ja kansalliselle turvallisuudelle. Häiriöt voivat olla seurausta tahattomasta vahingosta tai tahallisesta oikeudettomasta teosta. Erityisen kriittisiä ovat tilanteet, joissa ulkopuolinen taho pääsee käsiksi luottamuksellisiin tietoihin kuten henkilötietoihin tai viestintään, tai kun yhteiskunnan kannalta välttämättömät palvelut eivät ole käytettävissä.

Euroopan unionin NIS2-direktiivi (2022/2555) korvaa aiemman NIS1-direktiivin ja pyrkii vastaamaan muuttuneeseen kyberturvallisuusympäristöön. Direktiivin uudistuksen taustalla on tarve poistaa jäsenvaltioiden välillä havaittuja eroja velvoitteiden täytäntöönpanossa ja vahvistaa EU:n yhteistä kyberturvallisuuden tasoa erityisesti yhteiskunnan toiminnan kannalta keskeisten toimialojen osalta.

Kansallisesti NIS2-direktiiviä ehdotetaan pantavaksi täytäntöön säätämällä direktiivin edellytetyistä velvollisuuksista keskitetysti uudessa kyberturvallisuuslaissa. Julkisen sektorin osalta velvoitteista säädettäisiin myös tiedonhallintalaissa. Direktiivi on luonteeltaan vähimmäisharmonisoiva, jonka vähimmäistason sisältöön tai sen edellyttämiin toimenpiteisiin ei lähtökohtaisesti liity kansallista liikkumavaraa.

NIS2-direktiivi on julkaistu 14.12.2022 ja tullut voimaan 16.1.2023. Direktiivin säännökset on saatettava osaksi kansallista lainsäädäntöä 17.10.2024 mennessä ja sen soveltamisalaan kuuluviin toimijoihin kohdistuvia velvoitteita on sovellettava kansallisesti viimeistään 18.10.2024 alkaen. Hallituksen esityksen käsittely eduskunnassa on kuitenkin edelleen kesken.

Direktiivin soveltamisala

NIS2-direktiivin soveltamisala määritellään 2 artiklassa monitasoisella kriteeristöllä, joka huomioi organisaation koon, toimialan ja yhteiskunnallisen merkityksen. Soveltamisalan määrittely on uudistettu merkittävästi aiemmasta NIS1-direktiivistä, jotta sääntely kohdistuisi tehokkaammin kriittisiin toimijoihin ja palveluihin. Direktiivi asettaa selkeät raja-arvot sen soveltamisalaan kuuluville organisaatioille ja jakaa ne keskeisiin ja tärkeisiin toimijoihin niiden yhteiskunnallisen merkityksen perusteella.

Kokorajat perusteena

NIS2-direktiivin soveltamisalaan kuuluvat toimijat, jotka täyttävät keskisuurten yritysten kriteerit (vähintään 50 työntekijää tai yli 10 miljoonan euron liikevaihto/tase) tai ylittävät ne. Liitteen I mukaiset toimijat, jotka ylittävät suuryritysten kriteerit (vähintään 250 työntekijää tai yli 50 miljoonan euron liikevaihto ja 43 miljoonan euron tase), luokitellaan keskeisiksi toimijoiksi. Liitteen II mukaiset toimijat puolestaan luokitellaan tärkeiksi toimijoiksi, kun ne täyttävät keskisuurten yritysten kriteerit. Direktiivin ulkopuolelle jäävät mikro- ja pienyritykset, ellei niihin sovelleta erityisiä poikkeuksia.

Keskeiset toimijat

Keskeisiksi toimijoiksi luokitellaan yhteiskunnan kannalta kriittisimmät organisaatiot, joiden toiminnan häiriintyminen voisi aiheuttaa merkittäviä seurauksia kansalliselle turvallisuudelle ja yhteiskunnan toiminnalle. Tämän vuoksi keskeisiin toimijoihin kohdistuu tiukempia velvoitteita kuin tärkeisiin toimijoihin.

​​Liitteen I mukaiset keskeiset toimialat:

  • Energiasektori (sähkön ja kaasun tuottajat ja jakelijat, öljyalan toimijat);

  • Liikennesektori (lentoliikenteen harjoittajat, rautatieoperaattorit, satamat);

  • Pankkitoiminta ja finanssimarkkinoiden infrastruktuuri;

  • Terveydenhuollon palveluntarjoajat;

  • Vesi- ja jätevesihuollon toimijat;

  • Digitaalisen infrastruktuurin tarjoajat (internetpalvelut, pilvipalvelut);

  • Julkishallinnon toimijat; ja

  • Avaruusteknologian yritykset.

Tärkeät toimijat

Liitteen II mukaiset toimijat puolestaan luokitellaan tärkeiksi toimijoiksi. Tähän ryhmään kuuluvat esimerkiksi posti- ja kuriiripalvelut, jätehuollon toimijat, kemikaaliteollisuuden yritykset sekä elintarvikkeiden tuotannon, jalostuksen ja tukkukaupan toimijat. Tärkeisiin toimijoihin lukeutuvat myös digitaalisten palvelujen tarjoajat, kuten verkkokauppojen alustat, hakukoneet ja sosiaalisen median palvelut, sekä tutkimuslaitokset.

Erityispoikkeukset

Direktiivissä on tunnistettu, ettei pelkkä organisaation koko ole riittävä kriteeri kyberturvallisuuden sääntelylle. Siksi tietyt kriittiset toimijat on sisällytetty soveltamisalaan koostaan riippumatta. Näihin luokitellaan koosta riippumatta tietyt erityisen kriittiset toimijat, joihin lukeutuvat sähköisten viestintäverkkojen tarjoajat, hyväksytyt luottamuspalvelut, aluetunnusrekisterit ja DNS-palveluntarjoajat.

NIS2-direktiivin soveltamisala ulottuu koosta riippumatta kaikkiin liitteen I ja II mukaisiin toimijoihin, jotka täyttävät yhden seuraavista neljästä ehdosta:

  • toimija on jäsenvaltiossa ainoa kriittisen yhteiskunnallisen tai taloudellisen palvelun tarjoaja;

  • toimijan palveluhäiriöt voisivat merkittävästi vaarantaa yleisen järjestyksen, turvallisuuden tai kansanterveyden;

  • toimijan häiriöt voisivat aiheuttaa merkittävän, mahdollisesti rajat ylittävän systeemisen riskin;

  • tai toimijalla on erityisen merkittävä rooli kansallisten tai alueellisten toimialojen välisessä yhteistyössä ja riippuvuussuhteissa.

Julkishallinto

NIS2-direktiivi velvoittaa julkishallinnon toimialalla lähtökohtaisesti keskus- ja aluehallinnon julkishallinnon toimijoita koosta riippumatta. Aluetason julkishallinnon toimijan osalta lisäedellytyksenä kuulumiselle NIS2-direktiivin vähimmäissoveltamisalan piiriin on, että toimija riskiperusteisen arvioinnin perusteella tarjoaa palveluja, joiden häiriintymisellä voisi olla merkittävä vaikutus yhteiskunnan tai talouden kriittisiin toimintoihin.

Keskeiset velvoitteet ja valvonta

NIS2-direktiivi tuo merkittävän uudistuksen jakamalla toimijat kahteen ryhmään: keskeisiin ja tärkeisiin toimijoihin. Jaottelu heijastaa riskiperusteista lähestymistapaa sääntelyyn, jossa valvonnan intensiteetti ja seuraamusten ankaruus suhteutetaan toimijan yhteiskunnalliseen merkitykseen. Keskeisten toimijoiden kohdalla valvonta on ennakoivaa ja säännöllistä, mikä mahdollistaa ongelmiin puuttumisen jo varhaisessa vaiheessa.

Sanktiojärjestelmä on suunniteltu vahvistamaan säännösten noudattamista. Keskeisille toimijoille voidaan määrätä jopa 10 miljoonan euron sakko tai 2 prosenttia liikevaihdosta, kun taas tärkeille toimijoille maksimisakko on 7 miljoonaa euroa tai 1,4 prosenttia liikevaihdosta.

Riskienhallintavelvoitteiden osalta organisaatioiden on toteutettava kattavat tekniset ja organisatoriset toimenpiteet kyberturvallisuusriskien hallitsemiseksi. Tähän sisältyy muun muassa säännöllisten riskiarviointien tekeminen, tietoturvakontrollien implementointi sekä henkilöstön kouluttaminen. Erityistä huomiota kiinnitetään toimitusketjujen turvallisuuteen ja kriittisten järjestelmien suojaamiseen.

Merkittävien poikkeamien raportointi on järjestetty kolmiportaiseksi prosessiksi, joka mahdollistaa nopean reagoinnin vakaviin tietoturvauhkiin. Ennakkovaroitus vaaditaan 24 tunnin, varsinainen ilmoitus 72 tunnin ja kattava loppuraportti kuukauden kuluessa poikkeaman havaitsemisesta. Porrastettu lähestymistapa varmistaa sekä nopean alkuvaiheen tiedottamisen että perusteellisen jälkianalyysin.

Valvontaviranomaisille on annettu laajat toimivaltuudet erityisesti keskeisten toimijoiden osalta. He voivat suorittaa tarkastuksia, määrätä korjaavia toimenpiteitä ja äärimmäisissä tapauksissa jopa keskeyttää toiminnan tai kieltää henkilöiden toimimisen johtotehtävissä.

Liityntä CER-direktiiviin

Lisäksi koosta riippumatta NIS2-direktiivin soveltamisalaan kuuluvat Kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 (jäljempänä CER-direktiivi ) nojalla kriittisiksi toimijoiksi määritellyt toimijat sekä verkkotunnusten rekisteröintipalveluja tarjoavat toimijat.

CER-direktiivi koskee yhteiskunnan toiminnan kannalta kriittisten toimijoiden häiriönsietokykyä. CER-direktiivillä asetetaan muita kuin kyberturvallisuutta koskevia riskienhallintavelvoitteita ja poikkeamaraportointivelvoitteita direktiivin mukaisesti kriittiseksi tunnistetuille toimijoille. Kyberturvallisuutta koskevan riskienhallinnan ja poikkeamaraportoinnin osalta näihin toimijoihin olisi sovellettava NIS2-direktiivin mukaisia velvoitteita. CER-direktiivin mukaiset kriittiset toimijat olisi määritettävä ensimmäisen kerran vuonna 2026.

Riskienhallintavelvoitteiden noudattaminen

Direktiivin 21 artiklassa määritellään osa-alueet, joita keskeisen ja tärkeän toimijan on otettava riskienhallinnassa ja riskienhallintatoimenpiteissä huomioon. Näitä osa-alueita ovat:

a) riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;

b) poikkeamien käsittely;

c) toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;

d) toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;

e) verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;

f) toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;

g) perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;

h) toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;

i) henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta; ja

j) tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.