Verkko- ja tietojärjestelmien kyberturvallisuus

TIIVISTELMÄ ASIAKIRJASTA:

Direktiivi (EU) 2016/1148 – verkko- ja tietojärjestelmien turvallisuus

DIREKTIIVIN TARKOITUS

Direktiivissä säädetään monipuolisista toimenpiteistä verkko- ja tietojärjestelmien turvallisuuden (kyberturvallisuus*) tason parantamiseksi, jotta taataan EU:n talouden ja yhteiskunnan kannalta tärkeät palvelut. Sillä pyritään varmistamaan, että EU-maat ovat varautuneet hyvin kyberhyökkäyksiin, valmiita käsittelemään niitä ja reagoimaan niihin

• nimeämällä toimivaltaiset viranomaiset
• perustamalla tietoturvaloukkauksiin reagoivia ja niitä tutkivia yksiköitä (CSIRT) ja
• ottamalla käyttöön kyberturvallisuutta koskevia kansallisia strategioita.

Direktiivillä myös vahvistetaan EU:ssa tehtävää yhteistyötä sekä strategisella että teknisellä tasolla.

Sillä myös otetaan käyttöön keskeisten palvelujen tarjoajia sekä digitaalisen palvelun tarjoajia koskevat vaatimukset toteuttaa asianmukaisia turvallisuustoimia ja ilmoittaa asianomaisille kansallisille viranomaisille vakavista poikkeamista.

TÄRKEIMMÄT KOHDAT

Parannetaan kyberturvallisuutta koskevia kansallisia valmiuksia

EU-maiden on

• nimettävä yksi tai useampi kyberturvallisuudesta vastaava kansallinen toimivaltainen viranomainen ja CSIRT-toimijat sekä nimettävä keskitetty yhteyspiste (mikäli viranomaisia on enemmän kuin yksi)
• määritettävä keskeisten palvelujen tarjoajat keskeisillä toimialoilla, kuten energia-, liikenne-, rahoitus-, pankki-, terveydenhoito- ja vesiala sekä digitaalisen infrastruktuurin ala, joilla kyberhyökkäys voisi aiheuttaa häiriön olennaisissa palveluissa.

EU-maiden on myös otettava käyttöön verkko- ja tietojärjestelmien*kyberturvallisuutta koskeva kansallinen strategia, jossa käsitellään seuraavia kysymyksiä:

• kyberhyökkäyksiin varautuminen ja valmius käsitellä niitä ja reagoida niihin
• valtion elinten ja muiden toimijoiden tehtävät, vastuut ja yhteistyö
• opetus-, valistus- ja koulutusohjelmat
• tutkimus- ja kehityssuunnitelmat
• riskien yksilöimistä koskeva suunnitelma.

Toimivaltaiset kansalliset viranomaiset seuraavat direktiivin soveltamista

• arvioimalla keskeisten palvelujen tarjoajien kyberturvallisuutta ja turvallisuusohjeita
• valvomalla digitaalisten palvelujen tarjoajia
• osallistumalla yhteistyöryhmän työhön (ryhmä koostuu kunkin EU-maan verkko- ja tietoturvallisuudesta vastaavista viranomaisista, Euroopan komissiosta ja Euroopan unionin verkko- ja tietoturvavirastosta (ENISA))
• ilmoittamalla tarvittaessa yleisölle poikkeamasta tai käsittelemällä käynnissä olevaa poikkeamaa varmistamalla samalla luottamuksellisuuden
• antamalla sitovia ohjeita kyberturvallisuudessa havaittujen puutteiden korjaamiseksi.

CSIRT-toimijoiden tehtävänä on

• seurata kyberturvallisuutta koskevia poikkeamia ja reagoida niihin
• analysoida riskejä ja poikkeamia sekä olla tilanteen tasalla
• osallistua CSIRT-verkostoon
• tehdä yhteistyötä yksityisen sektorin kanssa
• edistää standardoitujen toimintatapojen käyttöä poikkeamien ja riskien käsittelyssä ja tietojen luokittelussa.

Turvallisuutta ja ilmoittamista koskevat vaatimukset

Direktiivillä pyritään edistämään riskien hallintaa. Keskeisillä aloilla toimivien yritysten on arvioitava niihin kohdistuvia riskejä ja toteutettava kyberturvallisuuden varmistavia toimenpiteitä. Näiden yritysten on ilmoitettava toimivaltaisille viranomaisille tai CSIRT-toimijoille kaikista merkityksellisistä poikkeamista, kuten hakkeroinnista tai tietovarkaudesta, jotka vaarantavat vakavalla tavalla kyberturvallisuuden ja joilla on merkittävä vaikutus keskeisten palvelujen ja tavarantoimitusten jatkuvuuteen.

Määrittääkseen poikkeamat, joista keskeisten palvelujen* tarjoajien on ilmoitettava, EU-maiden olisi otettava huomioon poikkeaman kesto ja maantieteellinen levinneisyys sekä muita tekijöitä, kuten palvelua tarvitsevien käyttäjien määrä.

Myös keskeisten digitaalisten palvelujen tarjoajien (hakukoneet, pilvipalvelut ja verkossa toimivat markkinapaikat) on noudatettava turvallisuutta ja ilmoittamista koskevia vaatimuksia.

EU:n tasolla tehtävän yhteistyön tehostaminen

Direktiivillä perustetaan yhteistyöryhmä, jonka tehtävänä on

• ohjeistaa CSIRT-verkostoa
• vaihtaa parhaita käytäntöjä keskeisten palvelujen tarjoajien määrittämisestä
• avustaa EU-maita kyberturvallisuutta koskevien valmiuksien kehittämisessä
• vaihtaa tietoja ja parhaita käytäntöjä valistuksesta ja koulutuksesta, tutkimuksesta ja kehityksestä
• jakaa tietoja riskejä ja poikkeamia koskevista parhaista käytännöistä
• keskustella poikkeamia koskevia ilmoituksia koskevista järjestelyistä.

Direktiivillä perustetaan myös CSIRT-verkosto, joka koostuu EU-maiden CSIRT-toimijoiden ja tietotekniikan kriisiryhmän (CERT-EU) edustajista. Verkoston tehtävänä on

• jakaa tietoja CSIRT-toimijoiden palveluista
• jakaa tietoja kyberturvallisuuteen liittyvistä poikkeamista
• tukea EU-maita rajat ylittävien poikkeamien käsittelyssä
• keskustella EU-maan ilmoittamasta poikkeamasta ja määrittää poikkeamaa koskeva koordinoitu vastaus
• keskustella muista operatiivisen yhteistyön muodoista sekä tarkastella ja määrittää niitä, kuten
  • riskien ja poikkeamien luokat
  • ennakkovaroitukset
  • keskinäinen avunanto
  • maiden välinen koordinointi sellaisiin riskeihin ja poikkeamiin reagoimisessa, jotka vaikuttavat useampaan kuin yhteen EU-maahan
• tiedottaa yhteistyöryhmälle CSIRT-verkoston toimista ja pyytää ohjeistusta
• keskustella kyberturvallisuutta koskevista harjoituksista saaduista kokemuksista,
• keskustella yksittäisen CSIRT-toimijan valmiuksista kyseisen CSIRT-toimijan pyynnöstä
• laatia suuntaviivoja operatiivista yhteistyötä varten.

Seuraamukset

EU-maiden on varmistettava, että direktiivin ehtoja noudatetaan soveltamalla tehokkaita, oikeasuhteisia ja varoittavia seuraamuksia.

MISTÄ ALKAEN DIREKTIIVIÄ SOVELLETAAN?

Direktiiviä on sovellettu 8. elokuuta 2016 alkaen. EU-maiden on saatettava se osaksi kansallista lainsäädäntöään 9. toukokuuta 2018 mennessä ja määritettävä keskeisten palvelujen tarjoajat 9. marraskuuta 2018 mennessä.

TAUSTAA

• Kyberturvallisuus (Euroopan komissio)
• Kyberturvallisuus: Komissio tehostaa kyberhyökkäysten vastaisia toimiaan – lehdistötiedote (Euroopan komissio)
• Verkko- ja tietojärjestelmien turvallisuutta käsittelevä direktiivi – lehdistötiedote (Euroopan komissio)
• Resilienssi, pelote ja puolustus: vahvan kyberturvallisuuden rakentaminen Euroopassa – tietosivu (Euroopan komissio).

KESKEISET TERMIT

ASIAKIRJA

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1–30)

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Komission täytäntöönpanoasetus (EU) 2018/151, annettu 30 päivänä tammikuuta 2018, Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 soveltamista koskevista säännöistä niiden seikkojen, jotka digitaalisen palvelun tarjoajien on otettava huomioon verkko- ja tietojärjestelmien turvallisuudelle aiheutuvien riskien hallitsemiseksi, sekä poikkeaman vaikutuksen merkittävyyden määrittämistä koskevien parametrien täsmentämiseksi (EUVL L 26, 31.1.2018, s. 48–51)

Komission täytäntöönpanoasetus (EU) 2017/179, annettu 1 päivänä helmikuuta 2017, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 11 artiklan 5 kohdassa tarkoitetuista yhteistyöryhmän toimintaa varten tarvittavista menettelytapajärjestelyistä (EUVL L 28, 2.2.2017, s. 73–77)

Komission tiedonanto Euroopan parlamentille ja neuvostolle: Suurin hyöty verkko- ja tietoturvadirektiivistä – toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetun direktiivin (EU) 2016/1148 tehokas täytäntöönpano (COM(2017) 476 final 2, 4.10.2017)

Komission suositus (EU) 2017/1584, annettu 13. syyskuuta 2017, koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (EUVL L 239, 19.9.2017, s. 36–58)

Yhteinen tiedonanto Euroopan parlamentille ja neuvostolle – Resilienssi, pelote ja puolustus: vahvan kyberturvallisuuden rakentaminen EU:lle (JOIN(2017) 450 final, 13.9.2017)

Komission yksiköiden valmisteluasiakirja – EU:n kyberturvallisuusstrategian 2013 arviointi (SWD(2017) 295 final, 13.9.2017)

Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (EUVL L 257, 28.8.2014, s. 73–114)

Neuvoston päätös 2013/488/EU, annettu 23 päivänä syyskuuta 2013, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä (EUVL L 274, 15.10.2013, s. 1–50).

Päätökseen 2013/488/EU tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen tekstiin. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

Euroopan parlamentin ja neuvoston direktiivi 2013/40/EU, annettu 12 päivänä elokuuta 2013, tietojärjestelmiin kohdistuvista hyökkäyksistä ja neuvoston puitepäätöksen 2005/222/YOS korvaamisesta (EUVL L 218, 14.8.2013, s. 8–14)

Euroopan parlamentin ja neuvoston asetus (EU) N:o 526/2013, annettu 21 päivänä toukokuuta 2013, Euroopan unionin verkko- ja tietoturvavirastosta (ENISA) ja asetuksen (EY) N:o 460/2004 kumoamisesta (EUVL L 165, 18.6.2013, s. 41–58)

Yhteinen tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Euroopan unionin kyberturvallisuusstrategia: Avoin, turvallinen ja vakaa verkkoympäristö (JOIN(2013) 01 final, 7.2.2013)

Viimeisin päivitys: 01.03.2018