11.5.2021   

FI

Euroopan unionin virallinen lehti

C 183/3

Tiivistelmä Euroopan tietosuojavaltuutetun lausunnosta, joka koskee kyberturvallisuusstrategiaa ja tarkistettua verkko- ja tietoturvadirektiiviä

(Koko lausunto on luettavissa englanniksi, ranskaksi ja saksaksi Euroopan tietosuojavaltuutetun verkkosivuilla www.edps.europa.eu)

(2021/C 183/03)

Euroopan komissio antoi 16. joulukuuta 2020 ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa ja direktiivin (EU) 2016/1148 kumoamisesta, jäljempänä ”ehdotus”. Euroopan komissio ja unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja antoivat samana päivänä Euroopan parlamentille ja neuvostolle yhteisen tiedonannon, jonka nimi on ”EU:n kyberturvallisuusstrategia digitaaliselle vuosikymmenelle”, jäljempänä ”strategia”.

Euroopan tietosuojavaltuutettu tukee täysin strategian yleistä tavoitetta varmistaa maailmanlaajuinen ja avoin internet, jossa turvallisuutta ja perusoikeuksia voidaan tehokkaasti suojella niihin kohdistuvilta riskeiltä. Hän antaa tukensa myös internetin ja sen hallinnon strategisen merkityksen tunnustamiselle ja unionin toiminnan vahvistamiselle siinä monisidosryhmäisen hallintomallin perusteella.

Näin ollen Euroopan tietosuojavaltuutettu suhtautuu myönteisesti myös ehdotuksen tavoitteeseen tehdä systeemisiä ja rakenteellisia muutoksia voimassa olevaan NIS-direktiiviin, jotta sen soveltamisalaan kuuluisi aiempaa suurempi osa yhteisöistä kaikkialla unionissa ja jotta siinä olisi entistä vahvempia turvatoimia, muun muassa pakollinen riskinhallinta, vähimmäistaso ja asiaankuuluvat valvonta- ja täytäntöönpanosäännökset. Tämän osalta Euroopan tietosuojavaltuutettu katsoo, että unionin toimielimet, elimet ja laitokset on yhdistettävä kokonaisuudessaan yleiseen EU:n laajuiseen kyberturvallisuuskehykseen, jotta saadaan aikaan yhtenäinen suojan taso. Tämä tehdään sisällyttämällä unionin toimielimet, elimet ja laitokset nimenomaisesti ehdotuksen soveltamisalaan.

Euroopan tietosuojavaltuutettu korostaa lisäksi, että on tärkeää yhdistää yksityisyyden suojaa ja tietosuojaa koskeva näkökulma ehdotuksesta tai muista strategian kyberturvallisuusaloitteista johtuviin kyberturvallisuustoimenpiteisiin. Näin voidaan varmistaa kokonaisvaltainen lähestymistapa ja saada aikaan yhteisvaikutusta, kun hallitaan kyberturvallisuutta ja suojellaan käsiteltäviä henkilötietoja. Yhtä tärkeää on, että kaikki mahdolliset kyseisiin toimenpiteisiin sisältyvät yksityisyyden suojaa ja tietosuojaa koskevan oikeuden rajoitukset täyttävät EU:n perusoikeuskirjan 52 artiklassa esitetyt vaatimukset. Rajoitukset on erityisen tärkeää panna täytäntöön lainsäädännöllisellä toimenpiteellä, ja niiden on oltava sekä välttämättömiä että oikeasuhteisia.

Euroopan tietosuojavaltuutettu odottaa, että ehdotuksella ei pyritä vaikuttamaan henkilötietojen käsittelyä koskevien voimassa olevien EU:n lakien soveltamiseen. Tämä koskee myös kyseisten välineiden noudattamisen valvonnassa toimivaltaisten riippumattomien valvontaviranomaisten tehtäviä ja valtuuksia. Tämä tarkoittaa, että kaikkien kyberuhkien ehkäisyyn, havaitsemiseen ja niihin reagointiin liittyvien kyberturvallisuusjärjestelmien ja -palvelujen olisi oltava nykyisten yksityisyyden suojaa ja tietosuojaa koskevien vaatimusten mukaisia. Tämän osalta Euroopan tietosuojavaltuutettu katsoo, että käsitteestä ”kyberturvallisuus” on tärkeää ja välttämätöntä laatia ehdotusta varten selkeä ja yksiselitteinen määritelmä.

Euroopan tietosuojavaltuutettu antaa erityisiä suosituksia sen varmistamiseksi, että ehdotuksella täydennetään asianmukaisesti ja tehokkaasti henkilötietojen suojasta voimassa olevaa unionin lainsäädäntöä, erityisesti yleistä tietosuoja-asetusta ja sähköisen viestinnän tietosuojadirektiiviä. Tämä edellyttää myös tarvittaessa Euroopan tietosuojavaltuutetun ja Euroopan tietosuojaneuvoston kuulemista sekä eri sääntelyalojen toimivaltaisten viranomaisten välisten selkeiden yhteistyömekanismien perustamista.

Myös internetin aluetunnusrekisterien hallintaa koskevissa säännöksissä olisi määritettävä selkeästi asiaankuuluva soveltamisala ja lakisääteiset edellytykset. Käsitettä CSIRT-yksiköiden toteuttamista verkko- ja tietojärjestelmien ennakoivista kartoituksista on lisäksi selkeytettävä entisestään soveltamisalan ja käsiteltävien henkilötietotyyppien osalta. Huomiota kiinnitetään riskeihin, jotka johtuvat kyberturvallisuuspalvelujen ulkoistamiseen tai kyberturvallisuustuotteiden hankintaan ja niiden toimitusketjuun liittyvien tiedonsiirtojen mahdollisesta vaatimustenvastaisuudesta.

Euroopan tietosuojavaltuutettu suhtautuu myönteisesti kehotukseen edistää salauksen ja erityisesti yhteyden päästä päähän ulottuvan läpisalauksen käyttöä. Hän toistaa kantansa siitä, että salaus on tehokkaassa tietosuojassa ja yksityisyyden suojassa kriittinen ja korvaamaton teknologia, jonka kiertämisellä vietäisiin mekanismilta kaikki suojeluvalmiudet, koska sitä voitaisiin käyttää lainvastaisesti eikä turvallisuuden valvontaan voitaisi enää luottaa. Tätä varten olisi selvennettävä, että ehdotuksessa ei pitäisi tulkita mitään niin, että yhteyden päästä päähän ulottuvan läpisalauksen heikentäminen hyväksytään niin sanotuilla takaporteilla tai vastaavilla ratkaisuilla.

1.   Johdanto ja tausta

1.

 Euroopan komissio antoi 16. joulukuuta 2020 ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa ja direktiivin (EU) 2016/1148 kumoamisesta (1), jäljempänä ”ehdotus”.

2.

 Euroopan komissio ja unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja antoivat samana päivänä Euroopan parlamentille ja neuvostolle yhteisen tiedonannon, jonka nimi on ”EU:n kyberturvallisuusstrategia digitaaliselle vuosikymmenelle” (2), jäljempänä ”strategia”.

3.

 Strategian tavoitteena on vahvistaa unionin strategista autonomiaa kyberturvallisuuden alalla ja parantaa uhkista selviytymistä ja niihin vastaamista yhdessä sekä kehittää avointa ja globaalia internetiä, jossa eurooppalaisten turvallisuutta ja perusoikeuksia ja -vapauksia voidaan tehokkaasti suojella niihin kohdistuvilta riskeiltä (3).

4.

 Strategiassa on ehdotuksia sääntelyä, investointeja ja politiikkaa koskeviksi aloitteiksi kolmella EU:n toiminta-alalla: 1) häiriönsietokyky, teknologinen riippumattomuus ja johtajuus, 2) operatiivisten valmiuksien kehittäminen uhkien ehkäisemiseksi ja torjumiseksi ja niihin vastaamiseksi ja 3) maailmanlaajuisen ja avoimen kybertoimintaympäristön edistäminen.

5.

 Ehdotus on yksi strategian sääntelyä koskevista aloitteista, ja se koskee erityisesti häiriönsietokyvyn, teknologisen riippumattomuuden ja johtajuuden toiminta-alaa.

6.

 Perustelujen mukaan ehdotuksen tavoitteena on nykyaikaistaa lainsäädäntöä eli Euroopan parlamentin ja neuvoston direktiiviä (EU) 2016/1148, jäljempänä ”NIS-direktiivi” (4). Ehdotus perustuu NIS-direktiiviin, jonka se myös kumoaa. NIS on ollut ensimmäinen EU:n laajuinen kyberturvasäädös ja antanut oikeudellisia keinoja parantaa kyberturvallisuuden yleistä tasoa unionissa. Ehdotuksessa otetaan huomioon sisämarkkinoiden viime vuosina edennyt digitalisaatio ja alati muuttuva kyberturvallisuusympäristö. Molempia kehityskulkuja on edelleen vahvistanut covid-19-kriisi. Ehdotuksella pyritään puuttumaan useisiin NIS-direktiivissä havaittuihin heikkouksiin. Sen tarkoituksena on parantaa kyberuhkien sietokykyä kaikilla talouden ja yhteiskunnan kannalta tärkeillä aloilla niin julkisella kuin yksityisellä sektorilla

7.

 Ehdotuksen tärkeimmät osat ovat seuraavat:

(i)

laajennetaan voimassa olevan NIS-direktiivin soveltamisalaa lisäämällä uusia toimialoja sen mukaan, miten keskeisiä ne ovat taloudelle ja yhteiskunnalle

(ii)

vahvistetaan soveltamisalaan kuuluvien yritysten ja yhteisöjen tietoturvavaatimuksia määräämällä riskinhallintaa koskevasta toimintamallista, jossa esitetään vähimmäisluettelo sovellettavista turvallisuuden perustekijöistä

(iii)

puututaan toimitusketjujen ja alihankkijasuhteiden turvallisuuteen edellyttämällä, että yksittäiset yritykset puuttuvat kyberturvallisuusriskeihin toimitusketjuissa ja alihankkijasuhteissa

(iv)

edistetään yhteistyötä jäsenvaltioiden viranomaisten välillä sekä unionin toimielinten, elinten ja laitosten kanssa kyberturvallisuuteen liittyvien toimien käsittelyssä, myös kyberkriisien hallinnassa.

8.

 Euroopan tietosuojavaltuutettu sai 14. tammikuuta 2021 Euroopan komissiolta pyynnön virallisesta kuulemisesta, joka koski ehdotusta Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa ja direktiivin (EU) 2016/1148 kumoamisesta.

3.   Päätelmät

77.

 Edellä esitetyn perusteella Euroopan tietosuojavaltuutettu antaa seuraavat suositukset:

Kyberturvallisuusstrategian osalta

Otetaan huomioon, että ensimmäinen vaihe kyberturvallisuutta parantaviin uusiin teknologioihin, kuten tekoälyyn, liittyvien tietosuojaa ja yksityisyyden suojaa koskevien riskien vähentämisessä on yleisen tietosuoja-asetuksen 25 artiklassa esitettyjen sisäänrakennettua ja oletusarvoista tietosuojaa koskevien vaatimusten noudattaminen. Tämä auttaa liittämään asianmukaiset suojatoimet, kuten pseudonymisoinnin, salauksen, tietojen täsmällisyyden ja tietojen minimoinnin, näiden teknologioiden ja järjestelmien suunnitteluun ja käyttöön.

Otetaan huomioon, että on tärkeää yhdistää yksityisyyden suojaa ja tietosuojaa koskeva näkökulma kyberturvallisuuteen liittyviin toimintalinjoihin ja vaatimuksiin sekä perinteiseen kyberturvallisuuden hallintaan. Näin voidaan varmistaa kokonaisvaltainen lähestymistapa ja saada aikaan julkisten ja yksityisten organisaatioiden yhteisvaikutusta, kun hallitaan kyberturvallisuutta ja suojellaan käsiteltäviä tietoja, ilman hyödyttömiä päällekkäisiä toimenpiteitä.

Pohditaan ja suunnitellaan resursseja, joita EU:n toimielimet voivat käyttää kyberturvallisuusvalmiuksiensa vahvistamiseksi siten, että se on täysin EU:n arvojen mukaista.

Otetaan huomioon kyberturvallisuuden yksityisyyden suojaa ja tietosuojaa koskevat ulottuvuudet investoimalla toimintalinjoihin, käytäntöihin ja työkaluihin, kun yksityisyyden suojaa ja tietosuojaa koskeva näkökulma on yhdistetty perinteiseen kyberturvallisuuden hallintaan. Varmistetaan myös, että tehokkaat tietosuojaa koskevat suojatoimet ovat käytössä, kun kyberturvallisuustoimissa käsitellään henkilötietoja.

Unionin toimielimiä, elimiä ja laitoksia koskevan strategian ja ehdotuksen soveltamisalan osalta

Otetaan huomioon EU:n toimielinten tarpeet ja tehtävät, jotta EU:n toimielimet voidaan yhdistää tähän yleiseen EU:n laajuiseen kyberturvallisuuskehykseen toimijoina, joilla on sama korkea suojan taso kuin jäsenvaltioiden toimijoilla.

Sisällytetään unionin toimielimet, elimet ja laitokset nimenomaisesti ehdotuksen soveltamisalaan.

Henkilötietojen suojan ja voimassa olevan unionin lainsäädännön suhteen osalta

Selvennetään ehdotuksen 2 artiklaa sen osalta, että henkilötietojen suojaa koskevaa unionin lainsäädäntöä, erityisesti yleistä tietosuoja-asetusta ja sähköisen viestinnän tietosuojadirektiiviä, sovelletaan kaikkeen henkilötietojen käsittelyyn, joka kuuluu ehdotuksen soveltamisalaan (eikä vain erityisissä yhteyksissä).

Lisäksi asiaankuuluvassa johdanto-osan kappaleessa selvennetään, että ehdotuksella ei pyritä vaikuttamaan henkilötietojen käsittelyä koskevien voimassa olevien EU:n lakien soveltamiseen. Tämä koskee myös kyseisten välineiden noudattamisen valvonnassa toimivaltaisten riippumattomien valvontaviranomaisten tehtäviä ja valtuuksia.

Kyberturvallisuuden määritelmän osalta

Selvennetään käsitteiden ”kyberturvallisuus” ja ”verkko- ja tietojärjestelmien turvallisuus” käyttöä ja käytetään käsitettä ”kyberturvallisuus” yleisesti ja käsitettä ”verkko- ja tietojärjestelmien turvallisuus” vain silloin, kun se on kyseisessä asiayhteydessä mahdollista (esim. kun asiayhteys on täysin tekninen eikä sillä ole vaikutuksia järjestelmien käyttäjiin ja muihin henkilöihin).

Verkkotunnusten ja rekisteröintitietojen (WHOIS-tiedot) osalta

Kerrotaan selkeästi, mitä ”asiaankuuluvilla tiedoilla” tarkoitetaan verkkotunnusten haltijoiden ja TLD-aluetunnusten alaisia verkkotunnuksia hallinnoivien yhteyspisteiden tunnistamisessa ja niihin yhteyden saamisessa.

Selvennetään entisestään, mitkä verkkotunnusten rekisteröintitietojen tietoryhmät (jotka eivät ole henkilötietoja) olisi julkaistava.

Selvennetään, mitkä (julkiset tai yksityiset) toimijat voivat olla tietoja ”perustellusti” pyytäviä.

Selvennetään, voivatko myös ETA-alueen ulkopuoliset toimijat saada aluetunnusrekistereissä ja aluetunnusten alaisten verkkotunnusten rekisteröintipalveluja tarjoavilla toimijoilla olevia tietoja. Jos ne voivat saada tietoja, esitetään selkeästi kyseisen tiedonsaannin edellytykset, rajoitukset ja menettelyt ja otetaan tarvittaessa huomioon myös yleisen tietosuoja-asetuksen 49 artiklan 2 kohdan vaatimukset.

Annetaan ”laillisen ja asianmukaisesti perustellun” pyynnön osalta lisäselvitys siitä, millä perusteella ja millä edellytyksillä tietopyyntöön suostutaan.

CSIRT-yksiköiden toteuttaman ”verkko- ja tietojärjestelmien ennakoivan kartoituksen” osalta

Rajataan selkeästi, minkä tyyppisiä ennakoivia kartoituksia CSIRT-yksiköitä voidaan pyytää toteuttamaan, ja määritetään sitä koskevat tärkeimmät henkilötietoryhmät ehdotuksen tekstissä.

Ulkoistamisen ja toimitusketjun osalta

Otetaan huomioon tekijät, joiden avulla voidaan panna tehokkaasti täytäntöön sisäänrakennetun ja oletusarvoisen tietosuojan periaate, kun arvioidaan henkilötietojen käsittelyä koskevien teknologioiden ja järjestelmien toimitusketjuja.

Otetaan huomioon alkuperämaan erityiset vaatimukset, jotka voisivat estää EU:n yksityisyyden suojaa ja tietosuojaa koskevan lainsäädännön noudattamisen, kun arvioidaan tieto- ja viestintäteknisten palvelujen, järjestelmien tai tuotteiden toimitusketjun riskejä.

Sisällytetään säädöksen tekstiin Euroopan tietosuojaneuvoston pakollinen kuuleminen silloin, kun määritetään edellä mainittuja tekijöitä, ja tarvittaessa johdanto-osan 46 kappaleessa mainitussa alakohtaisessa riskinarvioinnissa.

Suositellaan mainitsemaan johdanto-osassa, että avoimen lähteen kyberturvallisuustuotteilla (ohjelmistot ja laitteistot), muun muassa avoimen lähteen salauksella, voitaisiin taata tarvittava avoimuus toimitusketjun tiettyjen riskien vähentämiseksi.

Salauksen osalta

Selvennetään johdanto-osan 54 kappaleessa, että ehdotuksessa ei pitäisi tulkita mitään niin, että yhteyden päästä päähän ulottuvan läpisalauksen heikentäminen hyväksytään niin sanotuilla takaporteilla tai vastaavilla ratkaisuilla.

Kyberturvallisuusriskin hallintatoimenpiteiden osalta

Sisällytetään sekä johdanto-osan kappaleisiin että ehdotuksen varsinaiseen osaan käsite siitä, että yksityisyyden suojaa ja tietosuojaa koskevan näkökulman yhdistämisellä perinteiseen kyberturvallisuusriskien hallintaan varmistetaan kokonaisvaltainen lähestymistapa ja saadaan aikaan julkisten ja yksityisten organisaatioiden yhteisvaikutusta, kun hallitaan kyberturvallisuutta ja suojellaan käsiteltäviä tietoja, ilman hyödyttömiä päällekkäisiä toimenpiteitä.

Lisätään säädöksen tekstiin Euroopan unionin kyberturvallisuusviraston velvollisuus kuulla Euroopan tietosuojaneuvostoa asiaankuuluvan neuvonnan laadinnassa.

Henkilötietojen tietoturvaloukkausten osalta

Muutetaan 32 artiklan 1 kohdan ilmaisun ”kohtuullisen ajan kuluessa” tilalle ilmaisu ”ilman aiheetonta viivytystä”.

Yhteistyöryhmän osalta

Sisällytetään säädöksen tekstiin Euroopan tietosuojaneuvoston osallistuminen yhteistyöryhmään ja otetaan siinä huomioon kyseisen ryhmän tehtävän ja tietosuojakehyksen välinen yhteys.

Lainkäyttövallan ja alueperiaatteen osalta

Selvennetään säädöksen tekstissä, että ehdotus ei vaikuta tietosuojan valvontaviranomaisten yleisen tietosuoja-asetuksen mukaiseen toimivaltaan.

Annetaan kattava oikeusperuste omaan toimivaltaansa kuuluvilla alueilla toimivien toimivaltaisten viranomaisten ja valvontaviranomaisten yhteistyölle ja tietojenvaihdolle.

Selvennetään, että ehdotuksessa tarkoitettujen toimivaltaisten viranomaisten olisi pystyttävä antamaan asetuksessa (EU) 2016/679 tarkoitetuille toimivaltaisille valvontaviranomaisille pyynnöstä tai omasta aloitteestaan kaikki tiedot, jotka on saatu henkilötietojen käsittelyyn liittyvien tarkastusten ja tutkimusten yhteydessä, ja sisällytetään sitä varten ehdotukseen nimenomainen oikeusperuste.

Tehty Brysselissä 11. maaliskuuta 2021.

Wojciech Rafał WIEWIÓROWSKI

(1)  Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa ja direktiivin (EU) 2016/1148 kumoamisesta, COM (2020) 823 final.

(2)  EU:n kyberturvallisuusstrategia digitaaliselle vuosikymmenelle, JOIN (2020) 18 final.

(3)  Ks. luku I. JOHDANTO, strategian sivu 4.

(4)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUV L 194, 19.7.2016, s. 1).