Verkko- ja tietoturvadirektiivi. Kansallista täytäntöönpanoa tukevan työryhmän loppuraportti
Liikenne- ja viestintäministeriö
20.04.2017
Julkaisusarja:
Liikenne- ja viestintäministeriön julkaisuja 9/2017This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
http://urn.fi/URN:ISBN:978-952-243-505-7Tiivistelmä
Pääministeri Juha Sipilän hallituksen kärkihankkeena Suomeen rakennetaan digitaalisen liiketoiminnan kasvuympäristö ja sujuvoitetaan säädöksiä. Yhtenä digitaalisen liiketoiminnan kasvuympäristön rakentamisen kärkihankkeen keskeisenä toimenpiteenä liikenne- ja viestintäministeriö on hyväksynyt luottamusta internetiin sekä digitaalisiin toimintatapoihin lisäävän kansallisen tietoturvastrategian. Verkko- ja tietoturvadirektiivin kansallisen täytäntöönpanon keskeiset tavoitteet on määritelty tietoturvastrategiassa. Strategian mukaan direktiivin täytäntöönpanon yhteydessä turvataan yritysten mahdollisuudet sovittaa tietoturvariskien hallintaan liittyvät uudet velvoitteet osaksi muiden liiketoiminnan riskiensä hallintaa.
Täytäntöönpanolle asetettujen tavoitteiden varmistamiseksi liikenne- ja viestintäministeriö asetti verkko- ja tietoturvadirektiivin täytäntöönpanoa tukevan työryhmän 4.10.2016. Työryhmän tehtävänä oli tukea liikenne- ja viestintäministeriötä direktiivin voimaansaattamisen valmistelussa, arvioida vaihtoehtoisia sääntelytapoja ja edistää direktiivin edellyttämää yhteistyötä soveltamisalaan kuuluvien toimialojen välillä.
Verkko- ja tietoturvadirektiivillä jäsenvaltiot velvoitetaan järjestämään tietoturvallisuuteen liittyvää viranomaistoimintaa. Direktiivi velvoittaa myös yhteiskunnan toiminnan kannalta keskeisten palveluiden tarjoajat ja digitaalisten palveluiden tarjoajat huolehtimaan tietoturvariskien hallinnasta ja raportoimaan poikkeamista valvontaviranomaisille.
Työryhmä ehdottaa direktiivin kansallisen täytäntöönpanon lähtökohdaksi otettavan, että direktiivin mukaiset velvoitteet tulisi saattaa osaksi kansallisia relevantteja toimialakohtaisia säädöksiä. Täytäntöönpanossa tulee erityisesti kiinnittää huomiota siihen, ettei päällekkäisiä velvoitteita muusta voimassaolevasta lainsäädännöstä johtuvien velvoitteiden kanssa tarpeettomasti syntyisi. Työryhmän katsoo, että direktiivin mukaisina verkko- ja tietojärjestelmien turvallisuudesta vastaavina viranomaisina tulisi direktiivin eri toimialoilla toimia ne viranomaiset, jotka vastaavat jo nykytilassa toimialan turvallisuusvelvoitteiden valvonnasta eli nk. sektorikohtaiset valvontaviranomaiset. Lisäksi työryhmän näkemyksen mukaan Viestintäviraston tulisi toimia direktiivin tarkoittamana tietoturvaloukkauksiin reagoivana ja niitä tutkivana yksikkönä (CSIRT-toimija) sekä kansallisena yhteyspisteenä
Täytäntöönpanolle asetettujen tavoitteiden varmistamiseksi liikenne- ja viestintäministeriö asetti verkko- ja tietoturvadirektiivin täytäntöönpanoa tukevan työryhmän 4.10.2016. Työryhmän tehtävänä oli tukea liikenne- ja viestintäministeriötä direktiivin voimaansaattamisen valmistelussa, arvioida vaihtoehtoisia sääntelytapoja ja edistää direktiivin edellyttämää yhteistyötä soveltamisalaan kuuluvien toimialojen välillä.
Verkko- ja tietoturvadirektiivillä jäsenvaltiot velvoitetaan järjestämään tietoturvallisuuteen liittyvää viranomaistoimintaa. Direktiivi velvoittaa myös yhteiskunnan toiminnan kannalta keskeisten palveluiden tarjoajat ja digitaalisten palveluiden tarjoajat huolehtimaan tietoturvariskien hallinnasta ja raportoimaan poikkeamista valvontaviranomaisille.
Työryhmä ehdottaa direktiivin kansallisen täytäntöönpanon lähtökohdaksi otettavan, että direktiivin mukaiset velvoitteet tulisi saattaa osaksi kansallisia relevantteja toimialakohtaisia säädöksiä. Täytäntöönpanossa tulee erityisesti kiinnittää huomiota siihen, ettei päällekkäisiä velvoitteita muusta voimassaolevasta lainsäädännöstä johtuvien velvoitteiden kanssa tarpeettomasti syntyisi. Työryhmän katsoo, että direktiivin mukaisina verkko- ja tietojärjestelmien turvallisuudesta vastaavina viranomaisina tulisi direktiivin eri toimialoilla toimia ne viranomaiset, jotka vastaavat jo nykytilassa toimialan turvallisuusvelvoitteiden valvonnasta eli nk. sektorikohtaiset valvontaviranomaiset. Lisäksi työryhmän näkemyksen mukaan Viestintäviraston tulisi toimia direktiivin tarkoittamana tietoturvaloukkauksiin reagoivana ja niitä tutkivana yksikkönä (CSIRT-toimija) sekä kansallisena yhteyspisteenä