NIS2-direktiivin tavoite on varmistaa, että koko Euroopan unionissa on korkea kyberturvallisuuden taso. Suomen hallitus on antanut esityksen eduskunnalle NIS2-direktiivin täytäntöönpanoa koskevaksi lainsäädännöksi, jonka on määrä astua voimaan lokakuussa. Myös Jyväskylän ammattikorkeakoulu on tukemassa yrityksiä ja organisaatioita kyberturvallisuuslain vaatimusten täyttämisessä erityisesti kyberharjoittelun mahdollistajana.
EU:n lainsäädäntö
Direktiivi, säädös, asetus, mitä nämä kaikki ovat ja miten ne eroavat toisistaan? Kaikki EU:n tekeminen perustuu perussopimuksiin, näin on sovittu EU-maiden kesken oikeusvaltioperiaatteen mukaisesti. EU-lainsäädännöllä pyritään EU:n perussopimusten tavoitteisiin ja toteutetaan EU:n politiikkaa. Lainsäädäntö jakautuu kahteen: primaarilainsäädäntö ja sekundaarilainsäädäntö.
Primaarilainsäädäntö eli perussopimukset ovat EU-lainsäädännön lähtökohta. Ne on neuvoteltu ja sovittu yhdessä kaikkien jäsenmaiden kanssa ja ratifioidaan jäsenmaiden parlamenteissa.
Sekundaarilainsäädäntö tarkoittaa lakia, joka on säädetty EU:n perussopimusten periaatteiden ja tavoitteiden pohjalta. Siihen kuuluvat:
- Asetukset: Nämä ovat säädöksiä, jotka tulevat automaattisesti voimaan kaikissa EU-maissa heti, kun ne on hyväksytty. Asetuksia ei tarvitse erikseen sisällyttää kansalliseen lainsäädäntöön, ja ne ovat sitovia kaikille EU-maille.
- Direktiivit: Direktiivit asettavat tavoitteita, jotka jokaisen EU-maan on saavutettava. Maat päättävät itse, miten nämä tavoitteet toteutetaan kansallisessa lainsäädännössä. Yleensä direktiivin toteuttamiseen annetaan määräaika, usein 2 vuotta.
- Päätökset: Päätökset ovat täysin sitovia niille, joille ne on osoitettu.
- Suositukset: Suosituksilla EU:n toimielimet voivat ehdottaa toimia tai ilmaista mielipiteitään, mutta ne eivät ole sitovia eikä niillä ole oikeudellisia velvoitteita.
- Lausunnot: Lausunnot eivät ole sitovia, ja niillä EU:n toimielimet voivat ilmaista näkemyksensä ilman oikeudellisia velvoitteita.
Mikä on NIS2-direktiivi?
NIS2 on EU:n verkko- ja tietoturvadirektiivi. Edeltävää NIS1-direktiiviä (2016/1148) päivitettiin vastaamaan nykypäivän uhkakenttää, joka on muuttunut mm. COVID-19-pandemian aiheuttaman digiloikan sekä teknologisen kehityksen saattelemana. NIS2-direktiivi (2022/2555) astui voimaan vuonna 2023. Kansallisesti direktiivi on saatettava voimaan 17.10.2024 mennessä ja kansallisia säännöksiä on sovellettava 18.10.2024 alkaen.
Direktiivin täytäntöönpanon tilanne Suomessa
Suomen hallitus on antanut esityksen eduskunnalle kyberturvallisuusdirektiivin (NIS2 -direktiivi) täytäntöönpanoa koskevaksi lainsäädännöksi. Esityksessä ehdotetaan, että Suomessa säädetään uusi kyberturvallisuuslaki. Lisäksi ehdotetaan, että julkisen hallinnon tiedonhallinnasta annettua lakia, sähköisen viestinnän palveluista annettua lakia sekä eräitä toimialakohtaisia lakeja muutetaan.
Ehdotettavissa laeissa säädetään velvollisuuksista kyberturvallisuutta koskevasta riskienhallinnasta ja poikkeamien ilmoittamisesta. Velvollisuuksissa huomioidaan direktiivin vähimmäistason edellyttämä laajuus sekä kansallinen liikkumavara.
Mitkä organisaatiot kuuluvat direktiivin soveltamisalaan?
Soveltamisalaan kuuluvat toimijat jaetaan keskeisiin (erittäin kriittiset) ja tärkeisiin (muut kriittiset). Organisaatioiden koko, toimiala ja kriittisyys määrittävät ovatko ne keskeisiä vai tärkeitä. Keskeisten toimijoiden osalta valvonta on etukäteis- ja jälkikäteisvalvonta, mutta tärkeiden toimijoiden osalta pelkkää jälkikäteisvalvonta riittää. Lisäksi direktiivi edellyttää tiettyjä valvontamenettelyitä, jotka koskevat pelkästään keskeisiä toimijoita. Direktiivi asettaa myös suuremman seuraamusmaksun keskeisille toimijoille kuin tärkeille toimijoille.
Liikenne- ja viestintävirasto Traficomin kyberturvallisuuskeskuksen verkkosivuilta löytyy muun muassa taulukko, jossa on kuvattu direktiivin kohteena olevat organisaatiot sekä viranomaisvalvonnan tiedot ja ohjeita poikkeamailmoituksen laadintaan.
Direktiivin keskeinen sisältö
Direktiivin keskeiset huomioitavat asiat ovat riskienhallintatoimien sekä kyberpoikkeamien ilmoitus- ja raportointivelvoitteiden yhdenmukaistaminen Euroopan unionissa. Alla on kerrottu, miten nämä asiat on kuvattu Suomen hallituksen eduskunnalle antamassa uudessa kyberturvallisuuslakiehdotuksessa.
Kyberturvallisuusriskien hallintavelvoitteet
Kyberturvallisuuslakiehdotuksen mukaan toimintamallin ja siihen liittyvien hallintatoimenpiteiden on huomioitava ja ylläpidettävä seuraavat asiat:
- Kyberturvallisuusriskien hallinnan toimintaperiaatteet ja niiden arviointimenetelmät.
- Viestintäverkkojen ja tietojärjestelmien turvallisuusperiaatteet.
- Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen, ylläpidon sekä haavoittuvuuksien käsittelemisen ja julkistamisen turvallisuusmenettelyt.
- Toimitusketjun välittömien toimittajien osalta tuotteiden ja palveluntarjoajien palveluiden yleisen laadun, häiriönsietokyvyn sekä kyberturvallisuuskäytäntöjen hallintatoimenpiteet.
- Turvallisuuden kannalta tärkeiden toimintojen tunnistaminen omaisuudenhallinnassa.
- Kyberturvallisuuskoulutus ja henkilöstöturvallisuus.
- Pääsynhallinta ja todentamisen menetelmät.
- Salausmenetelmien toimintaperiaatteet sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttämiseksi.
- Poikkeamien havainnointi ja käsittelymenetelmät turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi.
- Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muut jatkuvuuden hallinnan toimet sekä tarvittaessa suojattujen varaviestintäjärjestelmien käyttö.
- Perustason käytännöt tietoturvallisen toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamisen osalta.
- Viestintäverkkojen, tietojärjestelmien fyysisen ympäristön, tilaturvallisuuden ja välttämättömien resurssien varmistamisen toimenpiteet.
Organisaation johto vastaa kyberturvallisuuden riskienhallinnan toimintamallin hyväksymisestä, toteuttamisesta ja valvonnasta, joten on tärkeää, että johdolla on riittävä tietämys kyberturvallisuusriskien hallinnasta.
Kyberpoikkeamailmoitukset viranomaiselle
Organisaation tulee ilmoittaa valvovalle viranomaiselle merkittävästä poikkeamasta. Kullekin direktiivin piiriin kuuluvalle toimialalle on määritelty valvova viranomainen. Merkittävällä poikkeamalla tarkoitetaan sellaista kyberpoikkeamaa, joka on aiheuttanut tai voisi aiheuttaa vakavan toimintahäiriön organisaation palvelussa tai suuria taloudellisia tappioita. Lisäksi merkittäväksi poikkeamaksi luokitellaan häiriö, joka on aiheuttanut tai voisi aiheuttaa yhdelle tai useammalle henkilölle huomattavia aineellisia tai aineettomia vahinkoja.
Ensi-ilmoitus poikkeamasta tulee tehtävä viranomaiselle 24 tunnin kuluessa sen havaitsemisesta ja jatkoilmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta. Poikkeamatilanteen päätyttyä organisaation on toimitettava vielä loppuraportti valvovalle viranomaiselle.
Vain harjoittelu tekee mestariksi
Kyberturvallisuusriskien hallinnassa yleisen kyberturvallisuuskoulutuksen ja tietoisuuden lisäämisen ohella tärkeässä roolissa on harjoittelu. Kyberuhkatilanteisiin vastaaminen ja kriisinhallintaprosessit voivat vaikuttaa toimivilta paperilla, mutta niiden testaaminen ensimmäistä kertaa käytännössä vasta tositilanteessa ei ole ihanteellista. Tämä on verrattavissa lapsen polkupyörällä ajamisen opetteluun: vanhempi ei lähetä lasta suoraan koulutielle testaamaan taitojaan ilman harjoittelua.
Osana Jyväskylän ammattikorkeakoulua toimiva kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus JYVSECTEC (Jyväskylä Security Technology) on järjestänyt kansallisia kyberturvallisuusharjoituksia vuodesta 2013 lähtien ja tämän vuoden aikana tullaan järjestämään yhteensä viisi kansallista harjoitusta yhteiskunnan kriittisillä toimialoilla. Jyväskylän ammattikorkeakoulun toteuttaman tutkimuksen Measuring Learning in a Cyber Security Exercise mukaan kyberharjoituksiin osallistuminen on hyödyllistä, ja lisää osallistujan tietämystä harjoituksessa olleilta tietoalueilta. Lisäksi tutkimuksessa Learn to Train Like You Fight on todettu, että harjoittelu kannattaa mm. seuraavista näkökulmista:
- henkilökohtainen valmius ja asiantuntemus lisääntyy
- organisaatio kehittyy prosesseissa, rooleissa, viestinnässä ja harjoituskyvyssä
- yksilöiden välinen sosiaalinen luottamus ja luottamus organisaatioita kohtaan lisääntyy ja
- yritysten välinen yhteistyö lisääntyy ja tehostuu.
Kyberturvallisuusharjoituksia on monentyyppisiä. Esimerkiksi prosessiharjoitukset, eli niin kutsutut työpöytäharjoitukset, eivät vaadi teknisiä järjestelmiä, vaan ne voidaan toteuttaa esimerkiksi harjoitukseen sopivilla korteilla. Teknistä henkilökuntaa voidaan kouluttaa teknisillä harjoituksilla, kuten DFIR-harjoituksella (Digital Forensics and Incident Response -harjoitus), jossa osallistujat tutkivat jo tapahtunutta kyberhyökkäystä teknisestä näkökulmasta. DFIR-harjoitus on erityisesti suunniteltu teknisille asiantuntijoille, IT-johtajille ja tietoturvapäälliköille.
Jyväskylässä järjestettävät kansalliset ja yritysten tilaamat kyberturvallisuusharjoitukset ovat pääsääntöisesti teknistoiminnallisia, eli ne sisältävät sekä prosessiharjoitusten että teknisten harjoitusten elementtejä. Näihin harjoituksiin osallistuu usein teknisten asiantuntijoiden lisäksi yritysjohtoa, joka harjoittelee päätöksentekoa kyberhyökkäystilanteessa, sekä viestinnän asiantuntijoita, jotka keskittyvät kriisiviestinnän harjoitteluun. Jos harjoitukseen osallistuu useita organisaatioita, esimerkiksi samalta toimialalta, voidaan harjoitella myös yhteistoimintaa. Sujuva yhteistyö on elintärkeää laajamittaisen kyberhyökkäyksen tapahtuessa. Harjoitukset toteutetaan maailmanlaajuisesti ainutlaatuisessa Realistic Global Cyber Environment (RGCE) -ympäristössä. RGCE on Suomen kansallinen kyberharjoitusympäristö, joka hyödyntää nykyaikaisia tapoja yhdistää virtualisointitekniikoita, fyysisiä laitteita ja yrityskohtaisia järjestelmiä. Lisätietoja ympäristöstä voi lukea liikenne- ja viestintäministeriön toukokuussa 2024 julkaisemasta tiedotteesta Muuttuva toimintaympäristö näkyy kansallisessa kyberturvallisuusharjoituksessa.
Tämä artikkeli on osa artikkelisarjaa, jossa esitellään ajankohtaista kyberturvallisuuteen liittyvää EU-lainsäädäntöä. Artikkeli on kirjoitettu Robocoast EDIH -projektissa. Esitetyt näkemykset ja mielipiteet ovat ainoastaan tämän tekstin laatijan näkemyksiä eivätkä välttämättä vastaa Euroopan unionin tai Euroopan komission kantaa. Euroopan unioni ja projektin rahoittajat eivät ole vastuussa niistä.
Robocoast EDIH
Tämä artikkeli on osa artikkelisarjaa, jossa esitellään ajankohtaista kyberturvallisuuteen liittyvää EU-lainsäädäntöä. Artikkeli on kirjoitettu Robocoast EDIH -projektissa.
Projekti tarjoaa yrityksille tukea kyberturvallisuuden varmistamisessa. Projekti myös auttaa yrityksiä ottamaan uusia digitaalisia ratkaisuja käyttöön tehokkaasti ja liiketoimintalähtöisesti. Robocoast EDIH (European Digital Innovation Hub) toimintaa osarahoittavat Euroopan unioni, Business Finland ja projektin toteuttajakumppanit.
Esitetyt näkemykset ja mielipiteet ovat ainoastaan tämän tekstin laatijan näkemyksiä eivätkä välttämättä vastaa Euroopan unionin tai Euroopan komission kantaa. Euroopan unioni ja projektin rahoittajat eivät ole vastuussa niistä.