Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52020AE5749

    Euroopan talous- ja sosiaalikomitean lausunto aiheesta ”Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa ja direktiivin (EU) 2016/1148 kumoamisesta ja ehdotus Euroopan parlamentin ja neuvoston direktiiviksi kriittisten toimijoiden häiriönsietokyvystä” (COM(2020) 823 final – 2020/0359 (COD) ja COM(2020) 829 final – 2020/0365 (COD))

    EESC 2020/05749

    EUVL C 286, 16.7.2021, p. 170–175 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    16.7.2021   

    FI

    Euroopan unionin virallinen lehti

    C 286/170


    Euroopan talous- ja sosiaalikomitean lausunto aiheesta ”Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa ja direktiivin (EU) 2016/1148 kumoamisesta ja ehdotus Euroopan parlamentin ja neuvoston direktiiviksi kriittisten toimijoiden häiriönsietokyvystä”

    (COM(2020) 823 final – 2020/0359 (COD) ja COM(2020) 829 final – 2020/0365 (COD))

    (2021/C 286/28)

    Esittelijä:

    Maurizio MENSI

    Lausuntopyyntö

    Euroopan parlamentti, 21.1.2021–11.2.2021

    Neuvosto, 26.1.2021–19.2.2021

    Oikeusperusta

    Euroopan unionin toiminnasta tehdyn sopimuksen 114 artikla

    Vastaava jaosto

    Liikenne, energia, perusrakenteet, tietoyhteiskunta

    Hyväksyminen jaostossa

    14.4.2021

    Hyväksyminen täysistunnossa

    27.4.2021

    Täysistunnon nro

    560

    Äänestystulos

    (puolesta / vastaan / pidättyi äänestämästä)

    243/0/5

    1.   Päätelmät ja suositukset

    1.1

    ETSK arvostaa komission pyrkimyksiä parantaa julkisten ja yksityisten toimijoiden kykyä suojautua erilaisiin poikkeamiin sekä kyberhyökkäyksiin ja fyysisiin hyökkäyksiin liittyviltä uhkilta ja selviytyä niistä. Komitea on samaa mieltä siitä, että teollisuutta ja EU:n innovointivalmiuksia tulee tukea osallistavalla tavalla neljään pilariin – tietosuoja, perusoikeudet, turvallisuus ja kyberturvallisuus – perustuvan strategian mukaisesti.

    1.2

    ETSK toteaa kuitenkin, että molempien ehdotusten tavoitteiden merkityksellisyyden ja arkaluonteisuuden vuoksi välineeksi olisi pitänyt valita direktiivin sijasta asetus. Syyt siihen, miksi komissio ei ole viitannut tähän mahdollisuuteen edes harkittujen vaihtoehtojen joukossa, jäävät kuitenkin hämärän peittoon.

    1.3

    ETSK panee merkille, että tarkasteltavina olevien kahden direktiiviehdotuksen säännökset limittyvät osittain, koska ne liittyvät läheisesti toisiinsa ja täydentävät toisiaan. Toinen direktiivi koskee lähinnä kyberturvallisuuteen liittyviä seikkoja ja toinen fyysistä turvallisuutta. Komitea kehottaa edellä todetun johdosta harkitsemaan ehdotusten yhdistämistä yhdeksi säädökseksi yksinkertaistamisen ja toiminnallisen keskittämisen vuoksi.

    1.4

    ETSK kannattaa ehdotettua lähestymistapaa, jossa luovutaan alkuperäisen verkko- ja tietoturvadirektiivin (NIS) mukaisesta eron tekemisestä keskeisten palvelujen tarjoajien ja digitaalisten palvelujen tarjoajien välillä, mutta huomauttaa, että soveltamisalan osalta olisi tarkennettava ja selvennettävä, mitkä toimijat ovat velvollisia noudattamaan direktiiviä. Olisi erityisesti määriteltävä täsmällisemmin, mitkä seikat erottavat ”keskeisiä” ja ”tärkeitä” toimijoita ja mitkä vaatimukset näiden toimijoiden on täytettävä. Näin vältyttäisiin siltä, että kansallisen tason erilaiset lähestymistavat luovat esteitä kilpailulle ja tavaroiden ja palvelujen vapaalle liikkuvuudelle ja haittaavat mahdollisesti yrityksiä ja liiketoimintaa.

    1.5

    ETSK pitää direktiiviehdotuksissa määritellyn järjestelmän kiistattoman monimutkaisuuden vuoksi tärkeänä, että komissio selventää ja tarkentaa näiden kahden sääntökokonaisuuden soveltamisalaa varsinkin siltä osin kuin eri säännökset vaikuttavat samanaikaisesti sääntelyyn tietyssä tapauksessa tai tietyn toimijan kohdalla.

    1.6

    ETSK toteaa, että kaikkien säännösten selkeys on välttämätön tavoite yhtä lailla kuin byrokratian ja hajanaisuuden vähentäminen yksinkertaistamalla prosesseja, turvallisuusvaatimuksia ja poikkeamista ilmoittamista koskevia vaatimuksia. Tästäkin syystä voisi olla tarkoituksenmukaista yhdistää esitetyt kaksi direktiiviehdotusta yhdeksi säädökseksi, kansalaisten ja yritysten hyödyksi. Näin vältyttäisiin toisinaan monimutkaiselta tulkinnalta ja soveltamiselta.

    1.7

    ETSK tiedostaa ”keskeisten” ja ”tärkeiden” toimijoiden hallintoelinten oleellisen roolin, jota direktiiviehdotuksessakin korostetaan. Hallintoelinten jäsenten on osallistuttava säännöllisesti erityiskoulutukseen riittävien tietojen ja taitojen hankkimiseksi, jotta he voivat ymmärtää ja hallita kyberriskejä ja arvioida niiden vaikutusta. Ehdotuksessa olisi kuvailtava, mitä tällaisiin tietoihin ja taitoihin vähintään kuuluu, jotta saataisiin EU-tason suuntaviivat sille, millaista koulutusta voidaan pitää riittävänä, ja voitaisiin välttää se, että eri koulutuskurssien sisältö vaihtelee maasta toiseen.

    1.8

    ETSK on samaa mieltä Euroopan unionin kyberturvallisuusviraston (ENISA) tärkeästä asemasta unionin tason institutionaalisessa ja operatiivisessa kyberturvallisuusjärjestelmässä. Sen lisäksi, että ENISA esittää joka toinen vuosi raportin kyberturvallisuuden tilasta unionissa, sen pitäisi komitean mielestä julkaista verkossa säännöllisesti ajantasaista tietoa kyberturvallisuuspoikkeamista sekä alakohtaisia ilmoituksia. Tämä tarjoaisi hyödyllisen lisäkanavan, jonka kautta tarkistetun verkko- ja tietoturvadirektiivin (NIS 2) soveltamisalaan kuuluvat toimijat voivat saada tietoa, joka auttaa niitä suojelemaan paremmin omaa yritystään.

    1.9

    ETSK kannattaa ehdotusta ENISAn velvoittamisesta perustamaan eurooppalainen haavoittuvuusrekisteri ja katsoo, että haavoittuvuuksista ja merkittävimmistä poikkeamista raportoimisesta pitäisi tehdä vapaaehtoisen sijasta pakollista, jotta siitä olisi hyötyä myös hankintaviranomaisille EU-tason hankintamenettelyissä, 5G-tuotteet ja -teknologiat mukaan lukien.

    2.   Yleistä

    2.1

    Joulukuun 16 päivänä 2020 esitettiin EU:n uusi kyberturvallisuusstrategia ja seuraavat kaksi säädösehdotusta: verkko- ja tietojärjestelmien turvallisuutta koskevan direktiivin (EU) 2016/1148 (1) tarkistus (NIS 2) ja uusi direktiivi kriittisten toimijoiden häiriönsietokyvystä. Strategia liittyy keskeisesti tiedonantoon ”Euroopan digitaalista tulevaisuutta rakentamassa” (2), Euroopan elpymissuunnitelmaan ja EU:n turvallisuusunionistrategiaan. Strategian tavoitteena on vahvistaa Euroopan yhteisiä valmiuksia suojautua kyberuhkilta ja selviytyä niistä, ja sen avulla pyritään varmistamaan, että kaikkien kansalaisten ja yritysten käytettävissä on luotettavia ja turvallisia digitaalisia palveluja ja välineitä.

    2.2

    Nykyisiä EU-tason toimenpiteitä palvelujen ja kriittisen infrastruktuurin suojaamiseksi kyberriskeiltä ja fyysisiltä riskeiltä on päivitettävä. Kyberturvallisuusriskit muuttuvat jatkuvasti digitalisaation ja verkottumisen edetessä. Voimassa olevaa sääntelykehystä on siksi tarkistettava EU:n turvallisuusstrategian logiikan mukaisesti siten, että luovutaan kahtiajaosta verkossa tapahtuvaan ja sen ulkopuoliseen toimintaan sekä jyrkkiin rajoihin perustuvasta lähestymistavasta.

    2.3

    Tarkasteltavina olevat kaksi direktiiviehdotusta ovat soveltamisalaltaan laajoja, ja niillä puututaan kyberhyökkäyksistä ja rikollisista hyökkäyksistä sekä luonnonkatastrofeista ja muista onnettomuuksista ja poikkeamista johtuviin nykyisiin ja tuleviin riskeihin verkossa ja sen ulkopuolella. Ehdotusten taustalla ovat myös kokemukset vallitsevan pandemian ajalta, jolloin on tullut selvästi ilmi, että digitaalisista ratkaisuista yhä riippuvaisemmat yhteiskunnat ja taloudet – etenkin sosiaalisen syrjäytymisen vaarassa olevat väestöryhmät, kuten vammaiset henkilöt – ovat haavoittuvia ja alttiita kasvaville ja nopeasti kehittyville kyberuhkille. Tämä on saanut EU:n ehdottamaan toimia sellaisen maailmanlaajuisen ja avoimen kybertoimintaympäristön turvaamiseksi, joka perustuu vahvoihin turvallisuutta, teknologista suvereniteettia ja johtajuutta koskeviin takeisiin. Tähän liittyen on tarkoitus kehittää operatiivisia valmiuksia mahdollisten uhkien ehkäisemiseksi ja torjumiseksi ja niihin vastaamiseksi tehokkaammalla yhteistyöllä kunnioittaen kuitenkin jäsenvaltioiden etuoikeutta varmistaa kansallinen turvallisuus.

    3.   Ehdotus verkko- ja tietojärjestelmien turvallisuutta koskevan direktiivin tarkistamisesta

    3.1

    Verkko- ja tietoturvadirektiivi (EU) 2016/1148 on EU:n ensimmäinen laaja-alainen kyberturvallisuuden sääntelyväline, ja sen tarkoituksena on parantaa unionissa verkko- ja tietojärjestelmien kykyä sietää kyberriskejä. Direktiivin avulla on päästy hyviin tuloksiin, mutta se on myös osoittautunut joiltain osin puutteelliseksi. Yhteiskuntien digitalisaatio, jota covid-19-kriisi edelleen on voimistanut, on laajentanut uhkien kirjoa ja tuonut kärjistetysti esille yhä verkottuneempien yhteiskuntien haavoittuvuuden merkittävien ja yllättävien riskien edessä. Esiin on noussut uusia haasteita, jotka vaativat tarkasti suunnattuja ja innovatiivisia puolustuskeinoja. Sidosryhmien laajan kuulemisen tulosten perusteella kyberturvallisuus ei ole eurooppalaisissa yrityksissä riittävän korkealla tasolla, valtiot soveltavat sääntöjä epäjohdonmukaisesti eri aloilla eikä suurimpia uhkia ja haasteita ymmärretä tarpeeksi hyvin.

    3.2

    Ehdotus NIS 2 -direktiiviksi liittyy tiiviisti kahteen muuhun aloitteeseen: ehdotukseen asetukseksi finanssialan digitaalisesta häiriönsietokyvystä (Digital Operational Resilience Act, DORA) ja ehdotukseen direktiiviksi kriittisten toimijoiden häiriönsietokyvystä. Jälkimmäisellä on tarkoitus laajentaa energian ja liikenteen toimialoja koskevan direktiivin 2008/114/EY (3) soveltamisalaa lisäämällä siihen uusia aloja, kuten terveydenhuolto sekä lääkkeisiin liittyvää t&k-toimintaa harjoittavat toimijat. Kriittisten toimijoiden häiriönsietokykyä koskevassa direktiivissä, jonka soveltamisala vastaa toimialojen osalta NIS 2 -direktiivin soveltamisalaa (ehdotetun NIS 2 -direktiivin liite I), siirretään painopistettä fyysisten hyödykkeiden suojelemisesta niitä ylläpitävien toimijoiden häiriönsietokykyyn ja siirrytään Euroopan kriittisten rajatylittävien infrastruktuureiden yksilöimisestä kriittisten infrastruktuureiden määrittämiseen kansallisella tasolla. NIS 2 -direktiivi on myös johdonmukainen voimassa olevien muiden sääntelyvälineiden (eurooppalainen sähköisen viestinnän säännöstö, yleinen tietosuoja-asetus ja sähköistä tunnistamista ja luottamuspalveluja koskeva eIDAS-asetus) kanssa ja täydentää niitä.

    3.3

    Ehdotetulla NIS 2 -direktiivillä pyritään sääntelyn toimivuutta ja tuloksellisuutta koskevan REFIT-ohjelman mukaisesti keventämään toimivaltaisten viranomaisten sääntelytaakkaa ja vähentämään julkisille ja yksityisille toimijoille sääntöjen noudattamisesta aiheutuvia kustannuksia sekä nykyaikaistamaan oikeudellista viitekehystä. Sillä myös tiukennetaan yritysten turvallisuusvaatimuksia, puututaan kysymykseen toimitusketjujen turvallisuudesta, järkeistetään raportointivelvoitteita, tehostetaan kansallisten viranomaisten suorittamia valvontatoimenpiteitä ja pyritään yhdenmukaistamaan jäsenvaltioissa käytettäviä seuraamusjärjestelmiä.

    3.4

    NIS 2 -direktiivillä on niin ikään tarkoitus lisätä tietojenvaihtoa ja kyberkriisinhallintayhteistyötä jäsenvaltioiden ja EU:n tasolla. NIS-direktiivin mukaisesta eron tekemisestä keskeisten palvelujen tarjoajien ja digitaalisten palvelujen tarjoajien välillä luovutaan. Ehdotetun direktiivin soveltamisalaan kuuluvat keskisuuret ja suuret yritykset aloilla, jotka on määritetty sen perusteella, miten kriittisiä ne ovat talouden ja yhteiskunnan kannalta. Nämä toimijat, jotka voivat olla julkisia tai yksityisiä, jaetaan ”keskeisiin” ja ”tärkeisiin” toimijoihin, joihin sovelletaan erilaisia valvontajärjestelmiä. Jäsenvaltiot voivat kuitenkin harkintansa mukaan ottaa huomioon pienempiäkin korkean riskiprofiilin toimijoita.

    3.5

    Tarkoituksena on muodostaa uusi tekoälyavusteisesti toimivien unionin tason turvaoperaatiokeskusten verkosto. Keskukset toimisivat aitona ”kyberturvallisuuden suojakilpenä”, joka pystyy havaitsemaan merkit tulossa olevasta kyberhyökkäyksestä riittävän ajoissa, jotta tilanteeseen voidaan puuttua ennen kuin vahinkoa tapahtuu. Tekoälyn merkitystä kyberturvallisuudelle korostetaan myös 1. maaliskuuta 2021 esitellyssä Yhdysvaltain kansallisen tekoälyä käsittelevän turvallisuuskomitean (NSCAI) raportissa. Turvaoperaatiokeskusten ansiosta jäsenvaltioilla ja kriittisten infrastruktuureiden ylläpitäjillä olisi välitön pääsy uhkia koskeviin tietoihin tällaisia tietoja keräävän Euroopan laajuisen turvaverkoston puitteissa.

    3.6

    Komissio pureutuu myös toimitusketjujen ja alihankkijasuhteiden turvallisuuteen liittyvään ongelmaan: jäsenvaltiot voivat toteuttaa yhteistyössä komission ja ENISAn kanssa koordinoituja riskinarviointeja kriittisistä toimitusketjuista, kuten on tehty onnistuneesti 5G-verkkojen osalta 26. maaliskuuta 2019 annetun suosituksen (4) mukaisesti.

    3.7

    Ehdotetulla direktiivillä tehostetaan ja järkeistetään yritysten turvallisuus- ja raportointivelvoitteita ottamalla käyttöön yhteinen riskienhallintamalli ja vähimmäisluettelo keskeisistä turvatoimenpiteistä. Poikkeamista ilmoittamisesta, raporttien sisällöstä ja määräajoista on tarkempia säännöksiä. Direktiivissä säädetään poikkeamien ilmoittamista koskevasta kaksivaiheisesta lähestymistavasta: yrityksillä on 24 tuntia aikaa toimittaa alustava yhteenvetoraportti, ja yksityiskohtainen loppuraportti on toimitettava kuukauden kuluessa.

    3.8

    Jäsenvaltioiden tulee nimetä kriisien hallinnasta vastaavat kansalliset viranomaiset ja laatia erityiset suunnitelmat, ja lisäksi perustetaan uusi operatiivisen yhteistyön verkosto, Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU-CyCLONe). Direktiivissä säädetään yhteistyöryhmän roolin vahvistamisesta strategisessa päätöksenteossa, ENISAn ylläpitämän eurooppalaisen haavoittuvuusrekisterin perustamisesta sekä tietojenvaihdon ja yhteistyön lisäämisestä jäsenvaltioiden viranomaisten välillä, mukaan lukien operatiivinen kyberkriisinhallintayhteistyö.

    3.9

    Kansallisten viranomaisten suorittamia valvontatoimenpiteitä tehostetaan, soveltamisvaatimuksia tiukennetaan, ja seuraamusjärjestelmiä pyritään yhdenmukaistamaan kaikkien jäsenvaltioiden osalta.

    3.10

    Ehdotetussa direktiivissä vahvistetaan tähän liittyen luettelo hallinnollisista seuraamuksista, joita määrätään kyberturvallisuusriskien hallintaa ja raportointia koskevien velvoitteiden laiminlyömisestä, ja siinä on säännöksiä sellaisten luonnollisten henkilöiden vastuusta, jotka hoitavat edustus- tai johtotehtäviä direktiivin soveltamisalaan kuuluvissa yrityksissä. Direktiivillä parannetaan näin ollen tapaa, jolla EU ehkäisee ja hallinnoi laajamittaisia kyberturvallisuuspoikkeamia ja -kriisejä ja vastaa niihin, sillä siinä säädetään selkeistä vastuualueista, edellytetään asianmukaista suunnittelua ja lisätään yhteistyötä EU:n tasolla.

    3.11

    Jäsenvaltiot voivat yhdessä valvoa EU:n sääntöjen täytäntöönpanoa ja avustaa toisiaan rajatylittävissä ongelmatilanteissa, ja niiden odotetaan käyvän jäsennellympää vuoropuhelua yksityisen sektorin kanssa, koordinoivan sisämarkkinoilla kaupan pidettävien ohjelmistojen ja laitteiden haavoittuvuuksien julkistamista ja arvioivan uusiin teknologioihin liittyviä turvallisuusriskejä ja uhkia koordinoidusti, kuten 5G:n tapauksessa.

    4.   Ehdotus direktiiviksi kriittisten toimijoiden häiriönsietokyvystä

    4.1

    EU perusti vuonna 2006 Euroopan elintärkeiden infrastruktuureiden suojaamisohjelman (EPCIP) ja antoi vuonna 2008 Euroopan elintärkeitä infrastruktuureja koskevan direktiivin (EEI-direktiivi), jota sovelletaan energian ja liikenteen toimialoihin. Sekä Euroopan komission hyväksymässä EU:n turvallisuusunionistrategiassa 2020–2025 (5) että äskettäin hyväksytyssä terrorisminvastaisessa ohjelmassa korostetaan, että on tärkeää varmistaa kriittisen infrastruktuurin kyky kestää fyysisiä ja digitaalisia riskejä. EEI-direktiivin täytäntöönpanosta vuonna 2019 tehty arviointi ja myös nyt tarkasteltavan ehdotuksen vaikutustenarvioinnin tulokset osoittavat kuitenkin, etteivät nykyiset eurooppalaiset ja kansalliset menettelyt riitä takaamaan toimijoiden kykyä reagoida tämänhetkisiin riskeihin. Neuvosto ja parlamentti ovat tämän perusteella kehottaneet komissiota uudistamaan kriittisten infrastruktuureiden suojaamisessa sovellettavaa lähestymistapaa.

    4.2

    Komission 24. heinäkuuta 2020 hyväksymässä EU:n turvallisuusunionistrategiassa todetaan fyysisen ja digitaalisen infrastruktuurin keskinäisten kytkösten ja riippuvuussuhteiden lisääntyvän koko ajan ja korostetaan tarvetta parantaa EEI- ja NIS-direktiivien johdonmukaisuutta ja yhtenäisyyttä. Ehdotetussa kriittisten toimijoiden häiriönsietokykyä koskevassa direktiivissä, joka on soveltamisalaan kuuluvien keskeisten toimijoiden osalta yhtenevä NIS 2 -direktiivin kanssa, laajennetaan energian ja liikenteen toimialoihin rajoittuvan alkuperäisen direktiivin 2008/114/EY soveltamisalaa siten, että se kattaa myös sellaiset alat kuin pankkitoiminta, finanssimarkkinoiden infrastruktuurit, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, julkishallinto ja avaruus. Lisäksi siinä säädetään selkeistä vastuualueista, edellytetään asianmukaista suunnittelua ja lisätään yhteistyötä. Tähän liittyen tulee laatia kehys, jossa otetaan huomioon kaikenlaiset riskit, ja tukea jäsenvaltioita niiden pyrkimyksissä varmistaa, että kriittiset toimijat pystyvät ehkäisemään ja torjumaan poikkeamia sekä vaimentamaan niiden vaikutuksia riippumatta siitä, johtuvatko riskit luonnonkatastrofeista, onnettomuuksista, terrorismista, sisäpiiriuhkista tai kansanterveydellisistä hätätilanteista, kuten nykyisestä pandemiasta.

    4.3

    Kunkin jäsenvaltion on laadittava kansallinen strategia kriittisten toimijoiden häiriönsietokyvyn varmistamiseksi, tehtävä säännöllisesti riskinarviointeja ja määritettävä tältä pohjalta kriittiset toimijat. Kriittisten toimijoiden on puolestaan tehtävä riskinarviointeja, toteutettava asianmukaisia teknisiä ja organisatorisia toimenpiteitä häiriönsietokykynsä parantamiseksi ja raportoitava poikkeamista kansallisille viranomaisille. Toimijat, jotka tarjoavat palveluja vähintään yhdelle kolmasosalle tai vähintään yhdessä kolmasosassa jäsenvaltioista, ovat erityisen valvonnan alaisena, ja komissio järjestää niitä varten erityisiä neuvontaoperaatioita.

    4.4

    Ehdotetussa direktiivissä kriittisten toimijoiden häiriönsietokyvystä säädetään erilaisista jäsenvaltioiden ja kriittisten toimijoiden tukemisen muodoista, riskien kartoituksesta EU:n tasolla, parhaista käytännöistä ja menettelyistä sekä koulutustoimista ja harjoituksista kriittisten toimijoiden selviytymiskyvyn testaamiseksi. Rajatylittävän yhteistyön järjestelmään kuuluu lisäksi kriittisten toimijoiden häiriönsietokykyä käsittelevä erityinen asiantuntijaryhmä, jonka kautta jäsenvaltiot voivat tehdä strategista yhteistyötä ja vaihtaa tietoja.

    5.   Ehdotuksia tarkasteltavana olevan säädösehdotuksen muuttamiseksi

    5.1

    ETSK arvostaa komission pyrkimyksiä parantaa julkisten ja yksityisten toimijoiden kykyä suojautua kyberhyökkäyksiin ja fyysisiin hyökkäyksiin liittyviltä uhkilta ja selviytyä niistä. Tämä on erityisen tärkeää ja merkityksellistä etenkin covid-19-pandemian nopeuttaman digitalisaatiokehityksen valossa. Komitea yhtyy myös siihen tiedonannossa ”Euroopan digitaalista tulevaisuutta rakentamassa” esitettyyn näkemykseen, että Euroopan tulee käyttää hyödykseen digiaikakauden tarjoamat edut ja vahvistaa eurooppalaista teollisuutta, erityisesti pk-yrityksiä, sekä kykyään innovoida. Tämä tulee tehdä osallistavalla tavalla sellaisen strategian mukaisesti, jonka neljä peruspilaria ovat datavetoisen yhteiskunnan keskeisinä ennakkoedellytyksinä olevat tietosuoja, perusoikeudet, turvallisuus ja kyberturvallisuus.

    5.2

    Moneen kertaan – myös 4. lokakuuta 2017 annetussa verkko- ja tietoturvadirektiivin (NIS) täytäntöönpanoa koskevassa tiedonannossa (6) – on korostettu tarvetta välttää kansallisella tasolla asetettavien sääntöjen hajanaisuutta. ETSK:n on kuitenkin todettava vaikutustenarvioinnin ja NIS 2 -direktiiviehdotusta edeltäneen kuulemisen tulokset huomioon ottaen, että syyt siihen, miksi komissio ei ole esittänyt edes harkittujen vaihtoehtojen joukossa asetuksen antamista direktiivin sijasta, jäävät hämärän peittoon.

    5.3

    ETSK panee merkille, että tarkasteltavina olevien kahden direktiiviehdotuksen säännökset limittyvät osittain, koska ne liittyvät läheisesti toisiinsa ja täydentävät toisiaan. Toinen direktiivi koskee lähinnä kyberturvallisuuteen liittyviä seikkoja ja toinen fyysistä turvallisuutta. Kriittisten toimijoiden häiriönsietokykyä koskevassa direktiivissä tarkoitettujen kriittisten toimijoiden toimialat ovat sitä paitsi samoja ja keskeisten toimijoiden osalta yhteneviä NIS 2 -direktiivin kanssa (7). Lisäksi NIS 2 -direktiivin mukaiset kyberturvallisuusvelvoitteet koskevat kaikkia kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin soveltamisalaan kuuluvia kriittisiä toimijoita. Direktiiviehdotuksissa on myös useita siltalausekkeita niiden välisen yhteyden varmistamiseksi. Kyse on säännöksistä, jotka koskevat viranomaisyhteistyön tiivistämistä, tietojenvaihtoa valvontatoimista, ilmoittamista NIS 2 -direktiivin täytäntöönpanosta vastaaville viranomaisille kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin nojalla tehdystä kriittisten toimijoiden määrittämisestä sekä direktiiveihin liittyvien yhteistyöryhmien säännöllisistä kokoontumisista vähintään kerran vuodessa. Direktiiviehdotuksilla on myös sama oikeusperusta, Euroopan unionin toiminnasta tehdyn sopimuksen 114 artikla, joka koskee jäsenvaltioiden soveltamien normien lähentämistä sisämarkkinoiden toimintaa silmällä pitäen siten kuin Euroopan unionin tuomioistuin on tulkinnut mm. asiassa C-58/08, Vodafone ym., antamassaan tuomiossa. Komitea kehottaa edellä todetun johdosta harkitsemaan ehdotusten yhdistämistä yhdeksi säädökseksi yksinkertaistamisen ja toiminnallisen keskittämisen vuoksi.

    5.4

    ETSK kannattaa luopumista alkuperäisen NIS-direktiivin mukaisesta eron tekemisestä keskeisten palvelujen tarjoajien ja digitaalisten palvelujen tarjoajien välillä, mutta huomauttaa, että soveltamisalan osalta olisi tarkennettava ja selvennettävä, mitkä toimijat ovat velvollisia noudattamaan direktiiviä. Liitteissä I ja II olevien viittausten lisäksi NIS 2 -direktiivissä esitetään joukko keskenään epäjohdonmukaisia kriteereitä, joiden soveltamiseksi on tehtävä suurta huolellisuutta vaativia laadullisia ja määrällisiä arviointeja ja joita saatetaan soveltaa jäsenvaltioissa eri tavoin, jolloin vaarana on paluu hajanaiseen tilanteeseen, josta kyseisellä sääntelytoimella pyrittiin eroon. On tärkeää pyrkiä välttymään siltä, että kansallisen tason erilaiset lähestymistavat luovat esteitä kilpailulle ja tavaroiden ja palvelujen vapaalle liikkuvuudelle ja haittaavat mahdollisesti yrityksiä ja liiketoimintaa.

    5.5

    Ehdotetun NIS 2 -direktiivin mukaan kriittisiin toimijoihin, jotka toimivat direktiivissä keskeisiksi määritellyillä aloilla, sovelletaan myös yleisiä häiriönsietokyvyn parantamisvelvoitteita. Tässä yhteydessä kiinnitetään erityistä huomiota kriittisten toimijoiden häiriönsietokykyä koskevassa direktiivissä tarkoitettuihin muihin kuin kyberriskeihin. Viimeksi mainitussa direktiivissä todetaan kuitenkin nimenomaisesti, että sitä ei sovelleta NIS 2 -direktiivin soveltamisalaan kuuluviin seikkoihin. Kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin mukaan NIS 2 -direktiivin soveltamisalaan kuuluvat seikat olisi jätettävä digitaalisen infrastruktuurin toimialan toimijoiden erityistä järjestelmää lukuun ottamatta direktiivin soveltamisalan ulkopuolelle, koska NIS 2 -direktiivissä käsitellään kyberturvallisuutta riittävästi. Kriittisten toimijoiden häiriönsietokykyä koskevassa direktiivissä todetaan niin ikään, että digitaalisen infrastruktuurin toimialaan liittyvät toimijat perustavat toimintansa olennaisin osin verkko- ja tietojärjestelmiin ja kuuluvat siten NIS 2 -direktiivin soveltamisalaan ja että näiden järjestelmien fyysinen turvallisuus on myös osa NIS 2 -direktiivin mukaista kyberturvallisuusriskien hallintaa ja raportointivelvoitteita. Kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin mukaan sen tiettyjen säännösten soveltaminen kyseisiin toimijoihin ei ole kuitenkaan poissuljettua.

    5.6

    ETSK pitää kehyksen monimutkaisuuden vuoksi välttämättömänä, että komissio selventää ja tarkentaa näiden kahden sääntökokonaisuuden soveltamisalaa varsinkin siltä osin kuin eri säännökset vaikuttavat samanaikaisesti sääntelyyn tietyssä tapauksessa tai tietyn toimijan kohdalla.

    5.7

    Kaikkien säännösten selkeys – varsinkin tarkasteltavana olevien direktiivien kaltaisissa hyvin laajoissa ja rakenteeltaan monimutkaisissa säädöksissä – on välttämätön tavoite kaikilla tasoilla yhtä lailla kuin byrokratian ja hajanaisuuden vähentäminen yksinkertaistamalla prosesseja, turvallisuusvaatimuksia ja poikkeamista ilmoittamista koskevia vaatimuksia. Lisäksi olisi varmistettava, ettei lukuisten eri elinten nimeäminen hoitamaan eri tehtäviä hankaloita niiden toimivaltuuksien selkeää määrittämistä ja vie siten pohjaa asetettujen tavoitteiden saavuttamiselta. Tästäkin syystä voisi olla tarkoituksenmukaista yhdistää esitetyt kaksi direktiiviehdotusta yhdeksi säädökseksi, kansalaisten ja yritysten hyödyksi. Näin vältyttäisiin toisinaan monimutkaiselta tulkinnalta ja soveltamiselta.

    5.8

    NIS 2 -direktiivissä viitataan useasti muiden säädösten säännöksiin, esimerkiksi eurooppalaisesta sähköisen viestinnän säännöstöstä annettuun direktiiviin (EU) 2018/1972 (8), jota sovelletaan erityislainsäädäntönä. Osa tämän direktiivin säännöksistä nimenomaisesti kumotaan (40 ja 41 artikla), kun taas toisia on määrä soveltaa edellä mainitun periaatteen mukaisesti. Tältä osin ei kuitenkaan esitetä selkeitä ohjeita. ETSK toivoo, että kaikki asiaan liittyvät epävarmuustekijät korjataan tulkintaongelmien välttämiseksi. Lisäksi komitea kannattaa komission tavoitetta yhdenmukaistaa riskienhallinnan laiminlyöntitapauksissa määrättäviä seuraamuksia ja parantaa tähän liittyen tietojenvaihtoa ja yhteistyötä EU:n tasolla.

    5.9

    ETSK tiedostaa ”keskeisten” ja ”tärkeiden” toimijoiden hallintoelinten direktiiviehdotuksessakin korostetun oleellisen roolin kyberturvallisuusstrategiassa ja riskienhallinnassa, sillä niiden on hyväksyttävä riskienhallintatoimenpiteet, valvottava niiden täytäntöönpanoa ja vastattava mahdollisista laiminlyönneistä. Hallintoelinten jäsenten on ehdotetun direktiivin mukaan osallistuttava säännöllisesti erityiskoulutukseen riittävien tietojen ja taitojen hankkimiseksi, jotta he voivat ymmärtää ja hallita kyberriskejä ja arvioida niiden vaikutusta. Ehdotuksessa olisi kuitenkin kuvailtava, mitä tällaisiin tietoihin ja taitoihin kuuluu, jotta saataisiin EU-tason suuntaviivat sille, millaista koulutusta voidaan pitää ehdotettuja vaatimuksia vastaavana, ja voitaisiin välttää se, että eri koulutuskurssien vaatimustaso ja sisältö vaihtelevat maasta toiseen.

    5.10

    ETSK on samaa mieltä Euroopan unionin kyberturvallisuusviraston (ENISA) tärkeästä asemasta unionin tason institutionaalisessa ja operatiivisessa kyberturvallisuusjärjestelmässä. Sen lisäksi, että ENISA esittää raportin kyberturvallisuuden tilasta unionissa, sen pitäisi komitean mielestä julkaista verkossa ajantasaista tietoa kyberturvallisuuspoikkeamista sekä alakohtaisia ilmoituksia. Tämä tarjoaisi hyödyllisen kanavan, jonka kautta NIS 2 -direktiivin soveltamisalaan kuuluvat toimijat voivat saada tietoa, joka auttaa niitä suojelemaan paremmin omaa yritystään.

    5.11

    ETSK on samaa mieltä siitä, että virheetön ja nopea tiedonsaanti tieto- ja viestintätekniikan tuotteisiin ja palveluihin vaikuttavista haavoittuvuuksista parantaa kyberturvallisuusriskien hallintaa. Tässä mielessä julkisesti saatavilla olevat haavoittuvuuksia koskevat tietolähteet ovat tärkeä apuväline kansallisille toimivaltaisille viranomaisille ja CSIRT-toimijoille (Computer Security Incident Response Team, tietoturvaloukkauksiin reagoiva ja niitä tutkiva yksikkö) sekä yrityksille ja käyttäjille. ETSK kannattaa näin ollen ehdotusta ENISAn velvoittamisesta perustamaan eurooppalainen haavoittuvuusrekisteri, johon keskeiset ja tärkeät toimijat ja niiden alihankkijat voivat välittää tietoa, jotta käyttäjät voivat toteuttaa asianmukaisia riskienhallintatoimenpiteitä. Komitea katsoo lisäksi, että haavoittuvuuksista ja merkittävimmistä poikkeamista raportoimisesta pitäisi tehdä vapaaehtoisen sijasta pakollista, jotta siitä olisi hyötyä myös hankintaviranomaisille EU-tason hankintamenettelyissä, 5G-tuotteet ja -teknologiat mukaan lukien. Tällöin rekisteri olisi sisällöltään sellainen, että sitä voidaan hyödyntää tarjousten arvioinnin yhteydessä varmistettaessa tarjousten laatua sekä eurooppalaisten ja EU:n ulkopuolisten toimeksisaajien luotettavuutta hankinnan kohteena olevien tuotteiden ja palvelujen turvallisuuden näkökulmasta 5G-verkkojen kyberturvallisuudesta 26. maaliskuuta 2019 annetun suosituksen mukaisesti. Lisäksi olisi huolehdittava siitä, että rekisterin sisältämät tiedot asetetaan saataville ketään syrjimättä.

    Bryssel 27. huhtikuuta 2021.

    Euroopan talous- ja sosiaalikomitean puheenjohtaja

    Christa SCHWENG


    (1)  EUVL L 194, 19.7.2016, s. 1.

    (2)  COM(2020) 67 final.

    (3)  EUVL L 345, 23.12.2008, s. 75.

    (4)  EUVL L 88, 29.3.2019, s. 42.

    (5)  COM(2020) 605 final.

    (6)  COM(2017) 476 final.

    (7)  Liite I (EUVL L 194, 19.7.2016, s. 1).

    (8)  EUVL L 321, 17.12.2018, s. 36.


    Top