Euroopan unionin verkko- ja tietoturvadirektiiviä on noudatettava 18. lokakuuta alkaen kaikissa EU:n jäsenmaissa. Suomessa tulee direktiivin myötä voimaan uusi kyberturvallisuuslaki, joka lisää tietoturvavelvoitteita erityisesti keskeisille toimijoille.

Uusi kyberturvallisuuslaki tulee Suomessa voimaan 18. päivä lokakuuta. Euroopan unionin verkko- ja tietoturvadirektiivillä (NIS2) pyritään vahvistamaan kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisillä toimialoilla.

– Käytännössä tämä tarkoittaa lisää tietoturvavelvoitteita kaikille osapuolille. Viranomaisille laki tuo mukanaan uusia ohjaus- ja valvontavelvoitteita, yrityksille ja eri toimijoille puolestaan liiketoiminnan jatkuvuuden varmistamista ja raportointivelvoitteita, Telia Cygaten tietoturvapäällikkö Henry Kylänlahti kertoo tiedotteessa.

Direktiivi määrittelee toimijat joko keskeisiksi tai tärkeiksi niiden kriittisyyden, toimialan ja koon mukaan. Viranomaiset vastaavat toimialojensa valvonnasta ja ajantasaisesta ohjeistuksesta.

– Puhumme digitaalisesta resilienssistä. Yhä useammassa organisaatiossa joudutaan miettimään riskianalyysejä, poikkeamien hallintaa ja siten liiketoiminnan jatkuvuuden varmistamista. Miten uhkia torjutaan tehokkaasti ja miten toiminta palautetaan normaaliksi esimerkiksi kyberhyökkäyksen jälkeen.

Telia on direktiivin ja lainsäädännön piirissä lainsäädännön määrittelemä keskeinen toimija.

– On hyvä muistaa, että uusi kyberturvallisuuslaki määrittää vähimmäisvaatimukset kyberturvallisuudelle EU:ssa. Me tuemme keskeisenä toimijana asiakkaitamme kyberturvallisuudessa ja sitä kautta varmistamme yhteiskunnan kriittisten palveluiden jatkuvuuden, Kylänlahti sanoo.

Direktiivin myötä yksi tuleva konkreettinen muutos on se, että keskeisillä toimijoilla on ilmoitusvelvollisuus merkittävistä poikkeamista.

– Tällaisella poikkeamalla tarkoitetaan vakavaa toimintahäiriötä palvelussa, taloudellista vahinkoa tai vahingollisia vaikutuksia muihin osapuoliin. Merkittävä poikkeama voi olla esimerkiksi tietomurto tai laajamittainen ja pitkäkestoinen palvelunestohyökkäys, joka keskeyttää jonkin palvelun saatavuuden, Kylänlahti sanoo.

Kyberturvallisuusdirektiivi asettaa myös seuraamusmaksuja, jos toimija ei täytä sen vaatimuksia. Keskeisen toimijan tapauksessa seuraamusmaksu on vähintään kymmenen miljoonaa euroa.

– Sanktion määräytyy sen mukaan, kumpi on suurempi – kymmenen miljoonan euron seuraamusmaksu vai kahden prosentin osuus toimijan edellisen tilikauden maailmanlaajuisesta vuositason kokonaisliikevaihdosta”, Kylänlahti sanoo.

Kylänlahti peräänkuuluttaa, että viranomaisilla on muutakin keinovalikoimaa toimijoiden ohjaamiseen, mikä näkyy esimerkiksi aktiivisempana raportointina poikkeamista ja tietoturvan jatkuvana parantamisena.

– Käytännössä seuraamusmaksu tarkoittaisi, että lainsäädännön edellyttämiin toimenpiteisiin ei olisi ryhdytty lainkaan, Kylänlahti rauhoittelee.

Suomalaisten toimijoiden kyvykkyys vastata tietoturvadirektiivin sääntelyyn on lähtökohtaisesti Kylänlahden mukaan hyvällä tolalla. Digitaalinen resilienssi on Suomessa kestävällä pohjalla.

– Meillä Suomessa asiat ovat varsin hyvällä mallilla jo nyt. Jos toimijalla on esimerkiksi kansainvälinen tietoturvallisuuden ISO-sertifikaatti, niin organisaatio vastaa jo hyvällä tasolla sääntelyn vaatimuksiin.

Aamuset-kaupunkimedia (AKM)