Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 32018R0151

Komission täytäntöönpanoasetus (EU) 2018/151, annettu 30 päivänä tammikuuta 2018, Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 soveltamista koskevista säännöistä niiden seikkojen, jotka digitaalisen palvelun tarjoajien on otettava huomioon verkko- ja tietojärjestelmien turvallisuudelle aiheutuvien riskien hallitsemiseksi, sekä poikkeaman vaikutuksen merkittävyyden määrittämistä koskevien parametrien täsmentämiseksi

C/2018/0471

OJ L 26, 31.1.2018, p. 48–51 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/reg_impl/2018/151/oj

31.1.2018   

FI

Euroopan unionin virallinen lehti

L 26/48


KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2018/151,

annettu 30 päivänä tammikuuta 2018,

Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 soveltamista koskevista säännöistä niiden seikkojen, jotka digitaalisen palvelun tarjoajien on otettava huomioon verkko- ja tietojärjestelmien turvallisuudelle aiheutuvien riskien hallitsemiseksi, sekä poikkeaman vaikutuksen merkittävyyden määrittämistä koskevien parametrien täsmentämiseksi

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa 6 päivänä heinäkuuta 2016 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 (1) ja erityisesti sen 16 artiklan 8 kohdan,

sekä katsoo seuraavaa:

(1)

Direktiivin (EU) 2016/1148 mukaan digitaalisen palvelun tarjoajat ovat vapaita toteuttamaan asianmukaisina ja oikeasuhteisina pitämänsä tekniset ja organisatoriset toimenpiteet hallitakseen riskejä, joita kohdistuu niiden verkko- ja tietojärjestelmien turvallisuuteen, kunhan näillä toimenpiteillä varmistetaan asianmukainen turvallisuuden taso ja niissä otetaan huomioon kyseisessä direktiivissä esitetyt seikat.

(2)

Määrittäessään asianmukaisia ja oikeasuhteisia teknisiä ja organisatorisia toimenpiteitä digitaalisen palvelun tarjoajien olisi omaksuttava tietoturvallisuuteen järjestelmällinen ja riskiperustainen lähestymistapa.

(3)

Järjestelmien ja tilojen turvallisuuden varmistamiseksi digitaalisen palvelun tarjoajien olisi toteutettava arviointi- ja analyysimenettelyt, joissa olisi otettava huomioon verkko- ja tietojärjestelmien järjestelmällinen hallinta, fyysinen turvallisuus ja ympäristön turvallisuus, toimitusvarmuus ja verkko- ja tietojärjestelmiin pääsyn valvonta.

(4)

Kun digitaalisen palvelun tarjoajat tekevät riskianalyysia verkko- ja tietojärjestelmien järjestelmällisen hallinnan yhteydessä, niitä olisi kannustettava tunnistamaan tietynlaisia riskejä ja kvantifioimaan niiden merkitys esimerkiksi yksilöimällä elintärkeisiin hyödykkeisiin kohdistuvia uhkia sekä sitä, miten ne voivat vaikuttaa toimintaan ja miten niitä voitaisiin parhaiten vähentää nykyisten valmiuksien ja resurssivaatimusten perusteella.

(5)

Henkilöstöpolitiikka voisi pohjata osaamisen hallintaan, mihin sisältyvät myös turvallisuuteen liittyvien taitojen kehittämistä ja tietoisuuden lisäämistä koskevat näkökohdat. Kun digitaalisen palvelun tarjoajat päättävät toimintavarmuutta koskevien politiikkojen valinnasta, niitä olisi kannustettava ottamaan huomioon näkökohtia, jotka liittyvät muutosjohtamiseen, haavoittuvuustekijöiden hallintaan, toimintatapojen ja hallintokäytäntöjen vakiinnuttamiseen sekä järjestelmäkartoitukseen.

(6)

Turvallisuusrakenteita koskevaan politiikkaan voisi sisältyä erityisesti verkkojen ja järjestelmien eriyttäminen ja erityisiä turvatoimenpiteitä keskeisille toiminnolle kuten hallinnolle. Verkkojen ja järjestelmien eriyttäminen voisi antaa digitaalisen palvelun tarjoajalle mahdollisuuden erottaa esimerkiksi datavirtoja ja laskentaresursseja sen mukaan, kuuluvatko ne asiakkaalle, asiakasryhmälle, digitaalisen palvelun tarjoajalle vai kolmansille osapuolille.

(7)

Fyysisen turvallisuuden ja ympäristön turvallisuuden osalta toteutettavilla toimenpiteillä olisi varmistettava organisaation verkko- ja tietojärjestelmien suojaaminen vahingoilta, joita aiheutuu poikkeamista, kuten varkaudet, tulipalo, tulva tai muut sääolojen vaikutukset taikka televiestintä- tai sähkökatkot.

(8)

Esimerkiksi sähkön, polttoaineen tai jäähdytyksen toimitusvarmuus voi kattaa sellaisen toimitusketjun varmuuden, johon sisältyy erityisesti ulkopuolisten toimeksisaajien ja alihankkijoiden ja näiden hallinnon turvallisuus. Kriittisten resurssien jäljitettävyydellä viitataan digitaalisen palvelun tarjoajan kykyyn tunnistaa kyseisten resurssien lähteet ja pitää niistä kirjaa.

(9)

Digitaalisten palvelujen käyttäjien olisi käsitettävä luonnolliset henkilöt ja oikeushenkilöt, jotka ovat verkossa toimivan markkinapaikan tai pilvipalvelun asiakkaita tai tilaajia tai käyvät verkossa toimivan hakukoneen sivustolla tekemässä avainsanahakuja.

(10)

Poikkeaman vaikutusten merkittävyyttä määritettäessä tässä asetuksessa esitettyjä tapauksia olisi pidettävä suuntaa-antavana luettelona merkittävistä poikkeamista. Tämän asetuksen täytäntöönpanosta ja yhteistyöryhmän työstä saatuja kokemuksia olisi hyödynnettävä tiedon keräämiseksi riskejä ja poikkeamia koskevista parhaista käytännöistä direktiivin (EU) 2016/1148 11 artiklan 3 kohdan i alakohdan mukaisesti ja keskusteltaessa kyseisen kohdan m alakohdan mukaisesti järjestelyistä, jotka koskevat raportointia poikkeamailmoituksista. Tuloksena voisi olla kattavat suuntaviivat ilmoittamista koskevien parametrien määrällisille kynnyksille, joiden ylittyminen käynnistää direktiivin (EU) 2016/1148 16 artiklan 3 kohdan mukaisen digitaalisen palvelun tarjoajien ilmoitusvelvollisuuden. Komissio voisi tarvittaessa harkita myös tässä asetuksessa säädettyjen kynnysten tarkistamista.

(11)

Jotta toimivaltaiset viranomaiset voisivat saada tiedon uusista mahdollisista riskeistä, digitaalisen palvelun tarjoajia olisi kannustettava ilmoittamaan vapaaehtoisesti kaikista poikkeamista, joihin liittyy niille aikaisemmin tuntemattomia piirteitä, kuten uusista haavoittuvuuden hyväksikäyttömenetelmistä, hyökkäysvektoreista tai uhkatoimijoista, haavoittuvuuksista ja vaaratekijöistä.

(12)

Tätä asetusta olisi sovellettava sitä päivää seuraavasta päivästä, jolloin määräaika direktiivin (EU) 2016/1148 saattamiselle osaksi kansallista lainsäädäntöä umpeutuu.

(13)

Tässä asetuksessa säädetyt toimenpiteet ovat direktiivin (EU) 2016/1148 22 artiklassa tarkoitetun verkko- ja tietojärjestelmien turvallisuutta käsittelevän komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Kohde

Tässä asetuksessa täsmennetään seikat, jotka digitaalisen palvelun tarjoajien on otettava huomioon määrittäessään ja toteuttaessaan toimenpiteitä niiden verkko- ja tietojärjestelmien turvallisuuden tason säilyttämiseksi, joita ne käyttävät direktiivin (EU) 2016/1148 liitteessä III tarkoitettujen palvelujen tarjoamiseen, sekä parametrit, jotka on otettava huomioon määritettäessä, onko poikkeamalla merkittävä vaikutus kyseisten palvelujen tarjoamiseen.

2 artikla

Tietoturvan osatekijät

1.   Direktiivin (EU) 2016/1148 16 artiklan 1 kohdan a alakohdassa tarkoitettu järjestelmien ja tilojen turvallisuus tarkoittaa verkko- ja tietojärjestelmien ja niiden fyysisen ympäristön turvallisuutta, ja se sisältää seuraavat osatekijät:

a)

verkko- ja tietojärjestelmien järjestelmällinen hallinta, jolla tarkoitetaan tietojärjestelmien kartoitusta sekä sitä, että vahvistetaan joukko aiheellisia toimintaperiaatteita, jotka koskevat tietoturvan hallintaa, riskianalyysi mukaan lukien, henkilöstöresursseja, toimintavarmuutta, turvallisuusrakenteita, tietojen ja järjestelmien elinkaaren turvallista hallinnointia sekä tarvittaessa salausta ja sen hallintaa;

b)

fyysinen turvallisuus ja ympäristön turvallisuus, joilla tarkoitetaan, että käytettävissä on joukko toimenpiteitä digitaalisen palvelun tarjoajien verkko- ja tietojärjestelmien suojaamiseksi vahingoilta siten, että käytetään kaikki vaaratekijät kattavaa riskiperusteista lähestymistapaa, jotta voidaan puuttua esimerkiksi järjestelmähäiriöistä, inhimillisistä virheistä, pahantahtoisista teoista tai luonnonilmiöistä aiheutuviin tilanteisiin;

c)

toimitusvarmuus, jolla tarkoitetaan asianmukaisten toimintaperiaatteiden vahvistamista ja ylläpitämistä, jotta voidaan turvata palvelujen tarjoamisessa käytettävien kriittisten resurssien saatavuus ja tarvittaessa jäljitettävyys;

d)

verkko- ja tietojärjestelmiin pääsyn valvonta, millä tarkoitetaan, että käytettävissä on joukko toimenpiteitä sen varmistamiseksi, että fyysinen ja looginen pääsy verkko- ja tietojärjestelmiin, mukaan lukien verkko- ja tietojärjestelmien hallinnollinen turvallisuus, sallitaan tai sitä rajoitetaan liiketoiminnan ja turvallisuuden vaatimusten perusteella.

2.   Direktiivin (EU) 2016/1148 16 artiklan 1 kohdan b alakohdassa tarkoitetun poikkeamien käsittelyn osalta digitaalisen palvelun tarjoajien toteuttamiin toimenpiteisiin on sisällyttävä

a)

havaitsemiseen tarkoitetut prosessit ja menetelmät, joita pidetään yllä ja testataan sen varmistamiseksi, että saadaan ajoissa ja asianmukaisesti tieto poikkeavista tapahtumista;

b)

prosessit ja toimintaperiaatteet, jotka koskevat poikkeamista ilmoittamista sekä heikkouksien ja haavoittuvuuksien tunnistamista digitaalisen palvelun tarjoajien tietojärjestelmissä;

c)

reagointi noudattaen vahvistettuja menettelyjä ja raportointi toteutettujen toimenpiteiden tuloksista;

d)

arvio poikkeaman vakavuudesta, sen analysoinnista saadun tietämyksen dokumentointi ja sellaisen asiaan liittyvän tiedon kerääminen, jota voidaan käyttää todisteena ja jonka avulla voidaan tukea jatkuvaa parantamista.

3.   Direktiivin (EU) 2016/1148 16 artiklan 1 kohdan c alakohdassa tarkoitettu liiketoiminnan jatkuvuuden hallinta tarkoittaa organisaation kykyä säilyttää häiriön jälkeen palvelujen toimittaminen hyväksyttävällä ennalta määritellyllä tasolla tai tarvittaessa palauttaa se sille tasolle, ja siihen on sisällyttävä

a)

liiketoiminnan vaikutusanalyysiin perustuvien sellaisten varautumissuunnitelmien laatiminen, joilla varmistetaan digitaalisen palvelun tarjoajien palvelujen jatkuvuus ja jotka arvioidaan ja testataan säännöllisesti esimerkiksi harjoituksilla;

b)

palautumisvalmiudet, jotka arvioidaan ja testataan säännöllisesti esimerkiksi harjoituksilla.

4.   Direktiivin (EU) 2016/1148 16 artiklan 1 kohdan d alakohdassa tarkoitettuihin seurantaan, tarkastuksiin ja testaukseen on sisällyttävä seuraavia koskevien toimintaperiaatteiden vahvistaminen ja ylläpitäminen:

a)

suunnitellun havainto- tai mittaussarjan toteuttaminen sen arvioimiseksi, toimivatko verkko- ja tietojärjestelmät niin kuin on tarkoitus;

b)

tarkastukset ja todentaminen sen varmistamiseksi, että standardia tai suuntaviivoja noudatetaan, tiedot on tallennettu oikein ja toimivuuden ja tehokkuuden tavoitteet toteutuvat;

c)

prosessi, jolla on tarkoitus saada selville puutteet verkko- ja tietojärjestelmän turvamekanismeissa, joilla suojataan tiedot ja ylläpidetään toimintoja. Tällaisen prosessin on katettava toimintojen kulkuun liittyvät tekniset prosessit ja henkilöstö.

5.   Direktiivin (EU) 2016/1148 16 artiklan 1 kohdan e alakohdassa tarkoitetuilla kansainvälisillä standardeilla tarkoitetaan Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 (2) 2 artiklan 1 kohdan a alakohdassa tarkoitettuja kansainvälisen standardointielimen vahvistamia standardeja. Direktiivin (EU) 2016/1148 19 artiklan mukaan voidaan käyttää myös verkko- ja tietojärjestelmien turvallisuuden kannalta merkityksellisiä eurooppalaisia tai kansainvälisesti hyväksyttyjä standardeja ja eritelmiä, olemassa olevat kansalliset standardit mukaan lukien.

6.   Digitaalisen palvelun tarjoajien on varmistettava, että ne asettavat toimivaltaisen viranomaisen saataville asianmukaiset asiakirjat, joiden nojalla tämä voi todentaa, että 1, 2, 3, 4 ja 5 kohdassa esitettyjä tietoturvan osatekijöitä noudatetaan.

3 artikla

Parametrit, jotka on otettava huomioon määritettäessä, onko poikkeaman vaikutus merkittävä

1.   Direktiivin (EU) 2016/1148 16 artiklan 4 kohdan a alakohdassa tarkoitetun niiden käyttäjien lukumäärän, joihin poikkeama vaikuttaa, ja erityisesti niiden käyttäjien lukumäärän, jotka ovat riippuvaisia kyseessä olevasta palvelusta omien palvelujensa tarjoamiseksi, osalta digitaalisen palvelun tarjoajan on voitava arvioida jompikumpi seuraavista:

a)

niiden luonnollisten henkilöiden ja oikeushenkilöiden lukumäärä, joihin poikkeama vaikuttaa ja joiden kanssa on tehty sopimus palvelun tarjoamisesta; tai

b)

niiden käyttäjien lukumäärä, joihin poikkeama vaikuttaa ja jotka ovat käyttäneet palvelua erityisesti aikaisempien liikennetietojen perusteella.

2.   Direktiivin (EU) 2016/1148 16 artiklan 4 kohdan b alakohdassa tarkoitetulla poikkeaman kestolla tarkoitetaan aikaa siitä, kun palvelun saatavuuden, aitouden, eheyden tai luottamuksellisuuden suhteen asianmukainen tarjonta on keskeytynyt, palautumiseen asti.

3.   Direktiivin (EU) 2016/1148 16 artiklan 4 kohdan c alakohdassa tarkoitetun maantieteellisen levinneisyyden alueen, johon poikkeama vaikuttaa, suhteen digitaalisen palvelun tarjoajan on voitava selvittää, vaikuttaako poikkeama sen palvelujen tarjontaan tietyissä jäsenvaltioissa.

4.   Direktiivin (EU) 2016/1148 16 artiklan 4 kohdan d alakohdassa tarkoitettu palvelun toiminnan häiriön laajuus on mitattava suhteessa yhteen tai useampaan seuraavista tekijöistä, joita poikkeama heikentää: tietojen tai niihin liittyvien palvelujen saatavuus, aitous, eheys tai luottamuksellisuus.

5.   Direktiivin (EU) 2016/1148 16 artiklan 4 kohdan e alakohdassa tarkoitetun talouden ja yhteiskunnan toimintoihin kohdistuvan vaikutuksen laajuuden osalta digitaalisen palvelun tarjoajan on voitava päätellä eräiden tietojen – esimerkiksi sopimussuhteet asiakkaan kanssa tai tarvittaessa niiden käyttäjien mahdollinen lukumäärä, joihin poikkeama vaikuttaa – perusteella, onko poikkeamasta aiheutunut käyttäjille merkittäviä aineellisia tai aineettomia menetyksiä esimerkiksi terveyden, turvallisuuden tai omaisuusvahinkojen osalta.

6.   Edellä olevien 1, 2, 3, 4 ja 5 kohdan vaatimusten täyttämiseksi digitaalisen palvelun tarjoajia ei vaadita keräämään lisätietoja, joihin niillä ei ole pääsyä.

4 artikla

Poikkeaman merkittävä vaikutus

1.   Poikkeamaa on pidettävä vaikutukseltaan merkittävänä, jos vähintään yksi seuraavista on toteutunut:

a)

digitaalisen palvelun tarjoajan tarjoama palvelu on ollut poissa saatavilta yli 5 000 000 käyttäjätuntia; käyttäjätunnilla tarkoitetaan niiden unionin käyttäjien lukumäärää, joihin poikkeama vaikuttaa, 60 minuutin aikana;

b)

poikkeama on johtanut digitaalisen palvelun tarjoajan tai kyseisen tarjoajan verkko- ja tietojärjestelmän välityksellä saatavilla olevien tallennettujen, siirrettävien tai käsiteltävien tietojen tai niihin liittyvien palvelujen eheyden, aitouden tai luottamuksellisuuden menetykseen, joka vaikuttaa useampaan kuin 100 000 käyttäjään unionissa;

c)

poikkeamasta on aiheutunut riski yleiselle järjestykselle tai turvallisuudelle tai se on aiheuttanut kuolemanvaaran;

d)

poikkeama on aiheuttanut vähintään yhdelle käyttäjälle unionissa aineellista vahinkoa yli 1 000 000 euron arvosta.

2.   Komissio voi tarkistaa 1 kohdassa vahvistettuja kynnyksiä yhteistyöryhmän direktiivin (EU) 2016/1148 11 artiklan 3 kohdan mukaisia tehtäviä suorittaessaan keräämien parhaiden käytäntöjen ja kyseisen 11 artiklan 3 kohdan m alakohdan mukaisten keskustelujen pohjalta.

5 artikla

Voimaantulo

1.   Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2.   Sitä sovelletaan 10 päivästä toukokuuta 2018.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 30 päivänä tammikuuta 2018.

Komission puolesta

Puheenjohtaja

Jean-Claude JUNCKER


(1)  EUVL L 194, 19.7.2016, s. 1.

(2)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 1025/2012, annettu 25 päivänä lokakuuta 2012, eurooppalaisesta standardoinnista, neuvoston direktiivien 89/686/ETY ja 93/15/ETY sekä Euroopan parlamentin ja neuvoston direktiivien 94/9/EY, 94/25/EY, 95/16/EY, 97/23/EY, 98/34/EY, 2004/22/EY, 2007/23/EY, 2009/23/EY ja 2009/105/EY muuttamisesta ja neuvoston päätöksen 87/95/ETY ja Euroopan parlamentin ja neuvoston päätöksen N:o 1673/2006/EY kumoamisesta (EUVL L 316, 14.11.2012, s. 12).


Top