KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) …/…,
annettu 17.10.2024,
direktiivin (EU) 2022/2555 soveltamista koskevista säännöistä DNS-palveluntarjoajia, aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia, verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia, verkkoyhteisöalustojen tarjoajia ja luottamuspalvelun tarjoajia varten siltä osin kuin on kyse kyberturvallisuusriskien hallintatoimenpiteiden teknisistä ja menetelmiin liittyvistä vaatimuksista ja sellaisten tapausten täsmentämisestä, joissa poikkeama katsotaan merkittäväksi
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta 14 päivänä joulukuuta 2022 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 (NIS 2 ‑direktiivi) ja erityisesti sen 21 artiklan 5 kohdan ensimmäisen alakohdan ja 23 artiklan 11 kohdan toisen alakohdan,
sekä katsoo seuraavaa:
(1)Tämän asetuksen tarkoituksena on vahvistaa direktiivin (EU) 2022/2555 3 artiklan soveltamisalaan kuuluvien DNS-palveluntarjoajien, aluetunnusrekisterien, pilvipalvelujen tarjoajien, datakeskuspalvelujen tarjoajien, sisällönjakeluverkkojen tarjoajien, hallintapalvelun tarjoajien, tietoturvapalveluntarjoajien, verkossa toimivien markkinapaikkojen, verkossa toimivien hakukoneiden tarjoajien, verkkoyhteisöalustojen tarjoajien ja luottamuspalvelun tarjoajien, jäljempänä ’asianomaiset toimijat’, osalta direktiivin (EU) 2022/2555 21 artiklan 2 kohdassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset sekä täsmentää tapaukset, joissa poikkeama olisi katsottava merkittäväksi direktiivin (EU) 2022/2555 23 artiklan 3 kohdan mukaisesti.
(2)Kun otetaan huomioon niiden toiminnan rajat ylittävä luonne ja jotta voidaan varmistaa johdonmukainen kehys luottamuspalvelun tarjoajille, tässä asetuksessa olisi luottamuspalvelun tarjoajien osalta täsmennettävä tapaukset, joissa poikkeama katsotaan merkittäväksi, sen lisäksi, että siinä vahvistetaan kyberturvallisuusriskien hallintatoimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset.
(3)Direktiivin (EU) 2022/2555 21 artiklan 5 kohdan kolmannen alakohdan mukaisesti tämän asetuksen liitteessä vahvistettujen kyberturvallisuusriskien hallintatoimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset perustuvat verkko- ja tietojärjestelmien turvallisuuden kannalta merkityksellisiin eurooppalaisiin ja kansainvälisiin standardeihin, kuten ISO/IEC 27001, ISO/IEC 27002 ja ETSI EN 319 401, ja teknisiin eritelmiin, kuten CEN/TS 18026:2024.
(4)Tämän asetuksen liitteessä vahvistettujen kyberturvallisuusriskien hallintatoimenpiteiden teknisten ja menetelmiin liittyvien vaatimusten täytäntöönpanon ja soveltamisen osalta olisi suhteellisuusperiaatteen mukaisesti otettava asianmukaisesti huomioon asianomaisten toimijoiden erilainen altistuminen riskeille, kuten asianomaisen toimijan kriittisyys, ne riskit, joille se altistuu, asianomaisen toimijan koko ja rakenne sekä poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset ja taloudelliset vaikutukset, kun noudatetaan tämän asetuksen liitteessä vahvistettuja kyberturvallisuusriskien hallintatoimenpiteiden teknisiä ja menetelmiin liittyviä vaatimuksia.
(5)Jos asianomaiset toimijat eivät kokonsa vuoksi pysty panemaan täytäntöön joitakin kyberturvallisuusriskien hallintatoimenpiteiden teknisiä ja menetelmiin liittyviä vaatimuksia, niiden olisi suhteellisuusperiaatteen mukaisesti voitava toteuttaa muita korvaavia toimenpiteitä, jotka soveltuvat kyseisten vaatimusten tarkoituksen saavuttamiseen. Esimerkiksi määriteltäessä asianomaisen toimijan verkko- ja tietojärjestelmien turvallisuuteen liittyviä rooleja, vastuita ja valtuuksia mikrokokoluokan toimijoilla voi olla vaikeuksia erottaa toisistaan keskenään ristiriidassa olevia tehtäviä ja vastuualueita. Tällaisten toimijoiden olisi voitava harkita korvaavia toimenpiteitä, kuten asianomaisen toimijan johdon suorittamaa kohdennettua valvontaa tai tehostettua seurantaa ja lokikirjanpitoa.
(6)Asianomaisten toimijoiden olisi tarvittaessa, tapauksen mukaan tai mahdollisuuksien mukaan sovellettava tiettyjä tämän asetuksen liitteessä vahvistettuja teknisiä ja menetelmiin liittyviä vaatimuksia. Jos asianomainen toimija katsoo, että tällaisten tiettyjen teknisten ja menetelmiin liittyvien vaatimusten soveltaminen ei ole tarpeellista, asianmukaista tai mahdollista, sen olisi dokumentoitava tätä koskevat perustelunsa ymmärrettävällä tavalla. Kansalliset toimivaltaiset viranomaiset voivat valvontaa suorittaessaan ottaa huomioon asianmukaisen ajan, jonka asianomaiset toimijat tarvitsevat pannakseen täytäntöön kyberturvallisuusriskien hallintatoimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset.
(7)ENISA tai direktiivin (EU) 2022/2555 mukaiset kansalliset toimivaltaiset viranomaiset voivat antaa ohjeita asianomaisten toimijoiden tukemiseksi riskien tunnistamisessa, analysoinnissa ja arvioinnissa, jotta toimijat voivat panna täytäntöön asianmukaisen riskinhallintakehyksen luomista ja ylläpitoa koskevat tekniset ja menetelmiin liittyvät vaatimukset. Tällaisissa ohjeissa voidaan käsitellä esimerkiksi kansallisia ja alakohtaisia riskinarviointeja sekä tietyntyyppisiä toimijoita koskevia riskinarviointeja. Ohjeisiin voi sisältyä myös välineitä tai malleja riskinhallintakehyksen luomiseksi asianomaisten toimijoiden tasolla. Myös jäsenvaltioiden kansalliseen lainsäädäntöön perustuvat kehykset, ohjeistukset tai muut mekanismit sekä asiaankuuluvat eurooppalaiset ja kansainväliset standardit voivat olla hyödyksi asianomaisten toimijoiden osoittaessa, että ne täyttävät tämän asetuksen vaatimukset. Lisäksi ENISA tai direktiivin (EU) 2022/2555 mukaiset kansalliset toimivaltaiset viranomaiset voivat tukea asianomaisia toimijoita tunnistamaan ja toteuttamaan asianmukaisia ratkaisuja riskinarvioinneissa yksilöityjen riskien käsittelemiseksi. Tällaiset ohjeistukset eivät saisi vaikuttaa asianomaisten toimijoiden velvollisuuteen tunnistaa ja dokumentoida verkko- ja tietojärjestelmien turvallisuuteen kohdistuvat riskit eivätkä asianomaisten toimijoiden velvollisuuteen täyttää tämän asetuksen liitteessä vahvistetut kyberturvallisuusriskien hallintatoimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset tarpeidensa ja resurssiensa mukaisesti.
(8)Verkkoturvallisuustoimenpiteet, jotka liittyvät i) siirtymiseen kohti uusimpia verkkokerroksen viestintäprotokollia, ii) kansainvälisesti sovittujen ja yhteentoimivien nykyaikaisten sähköpostiviestintästandardien käyttöönottoon ja iii) DNS-järjestelmän turvallisuutta ja internetreitityksen turvallisuutta ja hygieniaa koskevien parhaiden käytäntöjen soveltamiseen, aiheuttavat erityisiä haasteita parhaiden mahdollisten standardien ja käyttöönottotekniikoiden määrittämisen suhteen. Jotta verkkojen kyberturvallisuuden yhteinen korkea taso saavutetaan mahdollisimman pian, komission olisi Euroopan unionin kyberturvallisuusviraston (ENISA) avustuksella ja yhteistyössä toimivaltaisten viranomaisten, toimialan, myös televiestintäalan, ja muiden sidosryhmien kanssa tuettava sellaisen sidosryhmien foorumin kehittämistä, jonka tehtävänä on määrittää tällaiset parhaat mahdolliset standardit ja käyttöönottotekniikat. Tällainen eri sidosryhmien yhteistyössä laatima ohjeistus ei saisi vaikuttaa asianomaisten toimijoiden velvollisuuteen täyttää tämän asetuksen liitteessä vahvistetut kyberturvallisuusriskien hallintatoimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset.
(9)Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan a alakohdan mukaan keskeisillä ja tärkeillä toimijoilla olisi riskianalyysejä koskevan politiikan lisäksi oltava tietojärjestelmien turvallisuutta koskeva politiikka. Tätä varten asianomaisten toimijoiden olisi laadittava verkko- ja tietojärjestelmien turvallisuutta koskeva politiikka sekä aihekohtaisia politiikkoja, kuten pääsynhallintaperiaatteet, joiden olisi oltava johdonmukaisia verkko- ja tietojärjestelmien turvallisuutta koskevan politiikan kanssa. Verkko- ja tietojärjestelmien turvallisuutta koskevan politiikan olisi oltava korkeimman tason asiakirja, jossa esitetään asianomaisten toimijoiden yleinen lähestymistapa niiden verkko- ja tietojärjestelmien turvallisuuteen, ja sen olisi oltava asianomaisten toimijoiden hallintoelinten hyväksymä. Aihekohtaiset politiikat olisi hyväksyttävä asianmukaisella hallinnon tasolla. Niissä olisi vahvistettava indikaattorit ja toimenpiteet, joilla seurataan politiikan täytäntöönpanoa ja asianomaisen toimijan verkko- ja tietoturvan kehitystason tilannetta, jotta voidaan esimerkiksi helpottaa kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanon valvontaa hallintoelinten kautta.
(10)Tämän asetuksen liitteessä vahvistettujen teknisten ja menetelmiin liittyvien vaatimusten soveltamiseksi termin ’käyttäjä’ olisi katettava kaikki oikeushenkilöt ja luonnolliset henkilöt, joilla on pääsy asianomaisen toimijan verkko- ja tietojärjestelmiin.
(11)Asianomaisten toimijoiden olisi luotava asianmukainen riskinhallintakehys verkko- ja tietojärjestelmien turvallisuuteen kohdistuvien riskien tunnistamiseksi ja käsittelemiseksi ja ylläpidettävä sitä. Osana riskinhallintakehystä asianomaisten toimijoiden olisi laadittava riskinkäsittelysuunnitelma, toteutettava se ja seurattava sitä. Asianomaiset toimijat voivat hyödyntää riskinkäsittelysuunnitelmaa myös eri riskinkäsittelyvaihtoehtojen ja ‑toimenpiteiden yksilöimisessä ja niiden asettamisessa tärkeysjärjestykseen. Riskinkäsittelyvaihtoehtoja ovat varsinkin riskien välttäminen, riskien vähentäminen tai poikkeustapauksissa riskin hyväksyminen. Riskinkäsittelyvaihtoehtojen valinnassa olisi otettava huomioon asianomaisen toimijan suorittaman riskinarvioinnin tulokset ja noudatettava asianomaisen toimijan verkko- ja tietojärjestelmien turvallisuutta koskevaa politiikkaa. Asianomaisten toimijoiden olisi myös toteutettava asianmukaiset riskinkäsittelytoimenpiteet valittujen riskinkäsittelyvaihtoehtojen toteuttamiseksi.
(12)Asianomaisten toimijoiden olisi seurattava verkko- ja tietojärjestelmiään tapahtumien, läheltä piti ‑tilanteiden ja poikkeamien havaitsemiseksi ja toteutettava toimia niiden analysoimiseksi. Näiden toimenpiteiden avulla olisi voitava havaita ajoissa verkkohyökkäykset poikkeavien saapuvan ja lähtevän liikenteen virtojen perusteella sekä myös palvelunestohyökkäykset.
(13)Kun asianomaiset toimijat tekevät liiketoimintavaikutusten analyysin, niitä kannustetaan tekemään kattava analyysi, jossa määritetään tarvittaessa suurin sallittu häiriöaika sekä palautumisaikaa, palautumispistettä ja palvelun toimittamista koskevat tavoitteet.
(14)Jotta voidaan vähentää riskejä, jotka johtuvat asianomaisen toimijan toimitusketjusta ja sen suhteista toimittajiinsa, asianomaisten toimijoiden olisi laadittava toimitusketjun turvallisuuskäytäntö, jolla säännellään niiden suhteita suoriin tavarantoimittajiinsa ja palveluntarjoajiinsa. Toimijoiden olisi täsmennettävä suorien tavarantoimittajiensa tai palveluntarjoajiensa kanssa tekemissään sopimuksissa asianmukaiset tietoturvalausekkeet esimerkiksi edellyttämällä tarvittaessa direktiivin (EU) 2022/2555 21 artiklan 2 kohdan mukaisia kyberturvallisuusriskien hallintatoimenpiteitä tai asettamalla muita vastaavia oikeudellisia vaatimuksia.
(15)Asianomaisten toimijoiden olisi tehtävä säännöllisesti erityisiin toimintaperiaatteisiin ja menettelyihin perustuvia turvallisuustestejä, jotta voidaan todentaa, että kyberturvallisuusriskien hallintatoimenpiteet on toteutettu ja että ne toimivat asianmukaisesti. Turvallisuustestejä voidaan tehdä tietyille verkko- ja tietojärjestelmille tai asianomaisen toimijan koko organisaatiolle, ja niihin voi sisältyä automaattisia tai manuaalisia testejä, tunkeutumistestejä, haavoittuvuustarkastuksia, staattisia ja dynaamisia sovellusturvallisuustestejä, konfiguraatiotestejä tai tietoturva-auditointeja. Asianomaiset toimijat voivat suorittaa verkko- ja tietojärjestelmiensä turvallisuustestejä järjestelmien käyttöönoton yhteydessä, merkittäviksi katsomiensa infrastruktuurien tai sovellusten päivitysten tai muutosten jälkeen tai huoltotoimien jälkeen. Turvallisuustestien tuloksia olisi hyödynnettävä asianomaisten toimijoiden toimintaperiaatteissa ja menettelyissä, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta, sekä toimijoiden verkko- ja tietoturvapolitiikan riippumattomissa arvioinneissa.
(16)Jotta voidaan välttää verkko- ja tietojärjestelmien paikkaamattomien haavoittuvuuksien hyödyntämisestä aiheutuvat merkittävät häiriöt ja haitat, asianomaisten toimijoiden on otettava käyttöön asianmukaiset tietoturvapaikkausten hallintamenettelyt, jotka on sovitettu yhteen asianomaisten toimijoiden muutostenhallinnan, haavoittuvuuksien hallinnan, riskienhallinnan ja muiden asiaankuuluvien menettelyjen kanssa. Asianomaisten toimijoiden olisi toteutettava resursseihinsa nähden oikeasuhteisia toimenpiteitä sen varmistamiseksi, että tietoturvapaikkaukset eivät lisää haavoittuvuuksia tai epävakautta. Jos palvelussa toteutetaan suunniteltu käyttökatkos tietoturvapaikkausten suorittamisen vuoksi, asianomaisia toimijoita kannustetaan ilmoittamaan siitä asiakkailleen etukäteen.
(17)Asianomaisten toimijoiden olisi hallittava riskejä, jotka johtuvat tieto- ja viestintätekniikan (TVT) tuotteiden tai palvelujen hankkimisesta tavarantoimittajilta tai palveluntarjoajilta, ja niiden olisi saatava varmuus siitä, että hankittavat TVT-tuotteet tai ‑palvelut saavuttavat tietyt kyberturvallisuuden tasot. Tämä voidaan osoittaa esimerkiksi Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 49 artiklan mukaisesti hyväksyttyjen eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien myöntämillä TVT-tuotteiden tai ‑palvelujen eurooppalaisilla kyberturvallisuussertifikaateilla ja EU-vaatimustenmukaisuusilmoituksilla. Kun asianomaiset toimijat määrittävät hankittaville TVT-tuotteille asetettavia turvallisuusvaatimuksia, niiden olisi otettava huomioon digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvavaatimuksista annetussa Euroopan parlamentin ja neuvoston asetuksessa vahvistetut olennaiset kyberturvavaatimukset.
(18)asianomaisten toimijoiden olisi toteutettava verkkoturvaratkaisuja suojautuakseen kyberuhkilta ja tukeakseen tietoturvaloukkausten ehkäisemistä ja rajoittamista. Tyypillisiä verkkoturvaratkaisuja ovat palomuurien käyttö asianomaisten toimijoiden sisäisten verkkojen suojaamiseksi, yhteyksien ja pääsyn rajoittaminen ainoastaan sellaisiin palveluihin, joiden osalta yhteydet ja pääsy ovat ehdottoman tarpeellisia, virtuaalisten yksityisverkkojen käyttö etäyhteyksiä varten sekä palveluntarjoajien yhteyksien salliminen ainoastaan pyynnön perusteella ja tietyksi ajaksi, kuten huoltotöiden ajaksi.
(19)Suojatakseen verkkojaan ja tietojärjestelmiään haitallisilta ja luvattomilta ohjelmistoilta asianomaisten toimijoiden olisi toteutettava valvontatoimia, joilla estetään tai havaitaan luvattomien ohjelmistojen käyttö. Tarvittaessa olisi käytettävä myös haittaohjelmien havaitsemis- ja hallintaohjelmistoa. Asianomaisten toimijoiden olisi myös harkittava toimenpiteitä, joilla minimoidaan hyökkäyspinta, vähennetään hyökkääjien hyödynnettävissä olevia haavoittuvuuksia, hallitaan sovellusten suorittamista päätelaitteissa sekä otetaan käyttöön sähköposti- ja verkkosovellussuodattimia, jotta voidaan vähentää altistumista haitalliselle sisällölle.
(20)Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan g alakohdan mukaan jäsenvaltioiden on varmistettava, että keskeiset ja tärkeät toimijat soveltavat perustason kyberhygieniakäytäntöjä ja järjestävät kyberturvallisuuskoulutusta. Perustason kyberhygieniakäytäntöihin voivat kuulua esimerkiksi nollaluottamuksen periaate, ohjelmistopäivitykset, laitteiden konfigurointi, verkon segmentointi ja, identiteetin- ja pääsynhallinta tai käyttäjien tietoisuuden lisääminen, koulutuksen järjestäminen henkilöstölle ja tiedottaminen kyberuhkista, verkkourkinnasta ja käyttäjän manipuloinnista. Kyberhygieniakäytännöt ovat osa tämän asetuksen liitteessä vahvistettuja kyberturvallisuusriskien hallintatoimenpiteiden teknisiä ja menetelmiin liittyviä vaatimuksia. Käyttäjiä koskevien perustason kyberhygieniakäytäntöjen osalta asianomaisten toimijoiden olisi harkittava sellaisia käytäntöjä kuin selkeät työpöytä- ja näyttökäytännöt, monivaiheisen todennuksen ja muiden todentamiskeinojen käyttö, sähköpostin ja verkkoselaimen turvallinen käyttö, verkkourkinnalta ja käyttäjien manipuloinnilta suojautuminen sekä turvalliset etätyökäytännöt.
(21)Estääkseen luvattoman pääsyn omaisuuteensa asianomaisten toimijoiden olisi laadittava ja toteutettava henkilöiden sekä verkko- ja tietojärjestelmien, kuten sovellusten, pääsykäytäntöjä koskeva aihekohtainen politiikka.
(22)Jotta työntekijät eivät voisi väärinkäyttää esimerkiksi käyttöoikeuksiaan asianomaisessa toimijassa aiheuttaakseen haittaa tai vahinkoa, asianomaisten toimijoiden olisi harkittava asianmukaisia henkilöstöturvallisuuden hallintatoimenpiteitä ja lisättävä henkilöstön tietoisuutta tällaisista riskeistä. Asianomaisten toimijoiden olisi otettava käyttöön kurinpitomenettely, jolla käsitellään niiden verkko- ja tietojärjestelmien turvallisuutta koskevan politiikan rikkomuksia, sekä tiedotettava siitä ja ylläpidettävä sitä. Se voidaan sisällyttää myös asianomaisten toimijoiden muihin kurinpitoprosesseihin. Asianomaisten toimijoiden työntekijöille ja tapauksen mukaan suorille tavarantoimittajille ja palveluntarjoajille tehtävien taustan tarkistusten olisi edistettävä henkilöstöturvallisuuden tavoitetta asianomaisen toimijan organisaatiossa ja niihin voi sisältyä esimerkiksi henkilön rikosrekisterin tai aiempien työtehtävien selvittäminen, kun se on asianmukaista henkilön tehtävien kannalta asianomaisen toimijan palveluksessa ja linjassa asianomaisen toimijan verkko- ja tietojärjestelmien turvallisuutta koskevan politiikan kanssa.
(23)Monivaiheinen todennus voi parantaa asianomaisten toimijoiden kyberturvallisuutta, ja toimijoiden olisi harkittava sitä esimerkiksi silloin, kun käyttäjät käyttävät verkko- ja tietojärjestelmiä etäyhteyksien avulla tai kun heillä on pääsy arkaluonteisiin tietoihin tai etuoikeutettuihin tileihin ja järjestelmänhallintatileihin. Monivaiheinen todennus voidaan yhdistää myös muihin tekniikoihin, jotta voidaan edellyttää lisätodentamista tietyissä olosuhteissa ennalta määritettyjen sääntöjen ja mallien perusteella, kuten silloin, kun pääsyä pyydetään epätavallisesta sijainnista, epätavallisesta laitteesta tai epätavalliseen aikaan.
(24)Asianomaisten toimijoiden olisi hallinnoitava ja suojattava niille arvokasta omaisuutta moitteettomalla omaisuudenhallinnalla, johon myös riskianalyysien ja toiminnan jatkuvuuden hallinnan olisi perustuttava. Asianomaisten toimijoiden olisi hallinnoitava sekä aineellista että aineetonta omaisuutta, laadittava omaisuusluettelo, osoitettava omaisuuserille tietty turvallisuusluokitustaso, käsiteltävä ja seurattava omaisuuseriä sekä toteutettava toimia omaisuuserien suojaamiseksi niiden koko elinkaaren ajan.
(25)Omaisuudenhallintaan olisi kuuluttava omaisuuserien luokittelu niiden tyypin, arkaluonteisuuden, riskitason ja turvallisuusvaatimusten mukaan sekä asianmukaisten toimenpiteiden ja valvontatoimien soveltaminen omaisuuserien saatavuuden, eheyden, luottamuksellisuuden ja aitouden varmistamiseksi. Luokittelemalla omaisuuserät riskitason mukaan asianomaiset toimijat voivat soveltaa asianmukaisia turvatoimenpiteitä ja valvontatoimia omaisuuserien suojaamiseksi, kuten salausta, pääsynhallintaa, mukaan lukien aluevalvonta sekä fyysinen että looginen pääsynhallinta, varmuuskopiointia, lokikirjanpitoa ja seurantaa sekä säilyttämis- ja hävittämiskäytäntöjä. Asianomaiset toimijat voivat liiketoimintavaikutusten analyysiä laatiessaan määrittää luokitustason sen perusteella, millaisia seurauksia omaisuuserien toimintahäiriöistä aiheutuu toimijalle. Kaikkien asianomaisen toimijan omaisuutta käsittelevien työntekijöiden olisi tunnettava omaisuuden käsittelyä koskevat toimintaperiaatteet ja ohjeet.
(26)Omaisuusluettelo olisi laadittava asianomaisten toimijoiden tarpeisiin nähden riittävän yksityiskohtaisella tasolla. Kattava omaisuusluettelo voisi sisältää kunkin omaisuuserän osalta ainakin sellaiset tiedot kuin yksilöllinen tunniste, omaisuuserän omistaja, kuvaus, sijainti ja tyyppi, omaisuuserän yhteydessä käsiteltävien tietojen tyyppi ja turvallisuusluokitus, omaisuuserän viimeisimmän päivityksen tai paikkauksen päivämäärä, riskinarvioinnin perusteella määritetty omaisuuserän turvallisuusluokitus sekä omaisuuserän käyttöiän päättyminen. Omaisuuserän omistajan määrittämisen yhteydessä asianomaisten toimijoiden olisi myös yksilöitävä henkilö, joka vastaa kyseisen omaisuuserän suojaamisesta.
(27)Kyberturvallisuuteen liittyvien roolien, vastuiden ja valtuuksien jakamisella ja organisoinnilla olisi luotava johdonmukainen rakenne asianomaisten toimijoiden sisäiselle kyberturvallisuuden hallinnalle ja täytäntöönpanolle sekä varmistettava tehokas tiedottaminen poikkeamien sattuessa. Tiettyjä tehtäviä koskevia vastuita määritellessään ja jakaessaan asianomaisten toimijoiden olisi harkittava sellaisia rooleja kuin tietoturvapäällikkö, tietoturvavastaava, poikkeamien käsittelystä vastaava henkilö ja tarkastaja taikka vastaavia rooleja. Asianomaiset toimijat voivat osoittaa rooleja ja vastuita myös ulkopuolisille osapuolille, kuten TVT-palveluntarjoajina oleville kolmansille osapuolille.
(28)Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan mukaisesti kyberturvallisuusriskien hallintatoimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin, jolla pyritään suojaamaan verkko- ja tietojärjestelmät ja näiden järjestelmien fyysinen ympäristö sellaisilta tapahtumilta kuin varkaus, tulipalo, tulva, televiestintä- tai sähkökatko sekä luvattomalta fyysiseltä pääsyltä keskeisen tai tärkeän toimijan tietoihin tai tietojenkäsittely-ympäristöön ja niille aiheutuvalta vahingolta ja häirinnältä, jotka saattaisivat vaarantaa verkko- ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. Kyberturvallisuusriskien hallintatoimenpiteiden teknisissä ja menetelmiin liittyvissä vaatimuksissa olisi sen vuoksi käsiteltävä myös verkko- ja tietojärjestelmien fyysistä ja ympäristön turvallisuutta sisällyttämällä niihin toimenpiteitä, joilla suojataan tällaiset järjestelmät järjestelmähäiriöiltä, inhimillisiltä virheiltä, vihamielisiltä teoilta tai luonnonilmiöiltä. Muita esimerkkejä fyysisistä ja ympäristöuhkista voivat olla maanjäristykset, räjähdykset, sabotaasi, sisäpiiriuhka, yhteiskunnalliset levottomuudet, myrkylliset jätteet ja ympäristöpäästöt. Verkko- ja tietojärjestelmien menettäminen, vahingoittuminen tai vaarantuminen tai niiden toiminnan keskeytyminen yhdyskuntapalvelujen vikaantumisen tai häiriöiden takia olisi estettävä tavalla, joka edistää asianomaisten toimijoiden toiminnan jatkuvuutta. Lisäksi fyysisiltä ja ympäristöuhkilta suojautumisen olisi edistettävä asianomaisten toimijoiden verkko- ja tietojärjestelmien ylläpidon turvallisuutta.
(29)Asianomaisten toimijoiden olisi suunniteltava ja toteutettava suojatoimenpiteitä fyysisiä ja ympäristöuhkia vastaan, määritettävä fyysisiä ja ympäristöuhkia varten hyväksyttävät vähimmäis- ja enimmäiskynnysarvot sekä seurattava ympäristöparametreja. Niiden olisi esimerkiksi harkittava sellaisten järjestelmien asentamista, joilla voidaan jo varhaisessa vaiheessa havaita tulvat verkko- ja tietojärjestelmien sijaintialueilla. Palovaaran osalta asianomaisten toimijoiden olisi harkittava erillisen palo-osaston käyttöönottoa datakeskusta varten, palonkestävien materiaalien käyttöä, lämpötila- ja kosteusantureita, rakennuksen kytkemistä palohälytysjärjestelmään, joka ilmoittaa palosta automaattisesti paikalliselle palolaitokselle, sekä palon varhaishavaitsemis- ja sammutusjärjestelmiä. Asianomaisten toimijoiden olisi myös toteutettava säännöllisesti paloharjoituksia ja palotarkastuksia. Virransyötön varmistamiseksi asianomaisten toimijoiden olisi lisäksi harkittava ylijännitesuojausta ja vastaavaa varavoimanlähdettä asiaankuuluvien standardien mukaisesti. Koska ylikuumeneminen aiheuttaa riskin verkko- ja tietojärjestelmien saatavuudelle, asianomaiset toimijat, erityisesti datakeskuspalvelujen tarjoajat, voisivat harkita asianmukaisia, jatkuvatoimisia ja ylimääräisiä ilmastointijärjestelmiä.
(30)Tässä asetuksessa täsmennetään tapaukset, joissa poikkeama olisi katsottava merkittäväksi direktiivin (EU) 2022/2555 23 artiklan 3 kohdassa tarkoitetulla tavalla. Kriteerien olisi oltava sellaiset, että asianomaiset toimijat voivat arvioida, onko kyseessä merkittävä poikkeama, josta on ilmoitettava direktiivin (EU) 2022/2555 mukaisesti. Lisäksi tässä asetuksessa vahvistettuja kriteerejä olisi pidettävä tyhjentävinä, sanotun kuitenkaan rajoittamatta direktiivin (EU) 2022/2555 5 artiklan soveltamista. Asetuksessa täsmennetään tapaukset, joissa poikkeama olisi katsottava merkittäväksi, vahvistamalla sekä horisontaaliset tapaukset että toimijakohtaiset erityistapaukset.
(31)Direktiivin (EU) 2022/2555 23 artiklan 4 kohdan mukaan asianomaisten toimijoiden olisi ilmoitettava merkittävistä poikkeamista kyseisessä säännöksessä asetetuissa määräajoissa. Ilmoittamisen määräajat alkavat kulua siitä hetkestä, kun toimija tulee tietoiseksi tällaisesta merkittävästä poikkeamasta. Asianomaisen toimijan on sen vuoksi raportoitava poikkeamista, jotka voivat toimijan alustavan arvioinnin perusteella johtaa vakaviin palvelun toimintahäiriöihin tai aiheuttaa kyseiselle toimijalle suuria taloudellisia tappioita tai vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista ja aineetonta vahinkoa. Näin ollen kun asianomainen toimija on havainnut epäilyttävän tapahtuman tai kun kolmas osapuoli, kuten yksityishenkilö, asiakas, yhteisö, viranomainen, mediaorganisaatio tai muu lähde, on saattanut mahdollisen poikkeaman toimijan tietoon, asianomaisen toimijan olisi arvioitava epäilyttävä tapahtuma viipymättä sen määrittämiseksi, onko kyseessä poikkeama, ja jos on, määritettävä myös sen luonne ja vakavuus. Asianomaisen toimijan katsotaan näin ollen ”tulleen tietoiseksi” merkittävästä poikkeamasta, kun kyseinen toimija on tällaisen alustavan arvioinnin perusteella saanut kohtuullisen varmuuden siitä, että kyseessä on merkittävä poikkeama.
(32)Sen määrittämiseksi, onko poikkeama merkittävä, asianomaisten toimijoiden olisi tarvittaessa laskettava niiden käyttäjien lukumäärä, joihin poikkeama vaikuttaa, ottaen huomioon kaikki yritys- ja loppukäyttäjät, joiden kanssa asianomaisilla toimijoilla on sopimussuhde, sekä kaikki yritysasiakkaisiin liittyvät luonnolliset henkilöt ja oikeushenkilöt. Jos asianomainen toimija ei pysty laskemaan niiden käyttäjien lukumäärää, joihin poikkeama vaikuttaa, poikkeaman vaikutusten kohteena olevien käyttäjien kokonaismäärän laskennassa olisi otettava huomioon asianomaisen toimijan arvio niiden käyttäjien enimmäismäärästä, joihin poikkeama vaikuttaa. Luottamuspalveluun liittyvän poikkeaman merkittävyys olisi määritettävä paitsi käyttäjien lukumäärän myös luottavien osapuolten lukumäärän perusteella, koska luottamuspalveluun liittyvä merkittävä poikkeama voi yhtä lailla aiheuttaa näille osapuolille toimintahäiriöitä ja aineellista tai aineetonta vahinkoa. Sen vuoksi luottamuspalvelun tarjoajien olisi tapauksen mukaan otettava huomioon myös luottavien osapuolten lukumäärä poikkeaman merkittävyyttä määrittäessään. Tässä yhteydessä luottavilla osapuolilla tarkoitetaan luonnollisia henkilöitä tai oikeushenkilöitä, jotka luottavat luottamuspalveluun.
(33)Huoltotöistä johtuvia palvelun rajoitettua käytettävyyttä tai käyttökatkoksia ei pitäisi katsoa merkittäviksi poikkeamiksi, jos palvelun rajoitettu käytettävyys tai käyttökatkos tapahtuu määräaikaishuollon yhteydessä. Merkittäviksi poikkeamiksi ei pitäisi katsoa myöskään tapauksia, joissa palvelu ei ole käytettävissä suunniteltujen keskeytysten, kuten sopimukseen perustuvien ennalta määritettyjen keskeytysten tai käyttökatkosten, vuoksi.
(34)Palvelun saatavuuteen vaikuttavan poikkeaman kesto olisi mitattava palvelun asianmukaisen tarjoamisen keskeytymisestä palvelun palautumishetkeen. Jos asianomainen toimija ei pysty määrittämään poikkeaman alkamishetkeä, poikkeaman kesto olisi mitattava siitä hetkestä alkaen, kun poikkeama havaittiin tai kun poikkeama on kirjattu verkko- tai järjestelmälokeihin tai muihin tietolähteisiin, sen mukaan, kumpi ajankohta on aikaisempi.
(35)Palvelun täydellinen käyttökatkos olisi mitattava siitä hetkestä alkaen, kun palvelu ei ollut enää käyttäjien saatavilla, siihen hetkeen asti, kun säännöllinen toiminta tai toiminnot on palautettu poikkeamaa edeltävälle palvelutasolle. Jos asianomainen toimija ei pysty määrittämään palvelun täydellisen käyttökatkoksen alkamishetkeä, käyttökatkoksen kesto olisi mitattava siitä hetkestä alkaen, kun kyseinen toimija havaitsi käyttökatkoksen.
(36)Määrittäessään poikkeamasta aiheutuneita välittömiä taloudellisia menetyksiä asianomaisten toimijoiden olisi otettava huomioon kaikki poikkeamasta aiheutuneet taloudelliset tappiot, kuten ohjelmistojen, laitteistojen tai infrastruktuurin korvaamisesta tai siirtämisestä aiheutuneet kustannukset, henkilöstökustannukset, mukaan lukien kustannukset, jotka liittyvät henkilöstön korvaamiseen tai siirtämiseen, lisähenkilöstön palkkaamiseen, ylityökorvauksiin sekä menetettyjen tai heikentyneiden taitojen palauttamiseen, sopimusvelvoitteiden noudattamatta jättämisestä aiheutuneet maksut, asiakkaille maksettavista hyvityksistä ja korvauksista aiheutuneet kustannukset, menetetyistä tuloista aiheutuneet tappiot, sisäiseen ja ulkoiseen tiedottamiseen liittyvät kustannukset, neuvontakustannukset, mukaan lukien oikeudelliseen neuvontaan, rikosteknisiin palveluihin ja korjauspalveluihin liittyvät kustannukset, sekä muut poikkeukseen liittyvät kustannukset. Hallinnollisia sakkoja ja päivittäisen liiketoiminnan kannalta välttämättömiä kustannuksia ei kuitenkaan pitäisi katsoa poikkeamasta johtuviksi taloudellisiksi tappioiksi. Tällaisia kustannuksia ovat muun muassa infrastruktuurin, laitteiden, laitteistojen ja ohjelmistojen yleisestä ylläpidosta aiheutuvat kustannukset sekä henkilöstön taitojen ylläpidosta aiheutuvat kustannukset, sisäiset tai ulkoiset kustannukset, joita aiheutuu liiketoiminnan parantamisesta poikkeaman jälkeen, mukaan lukien päivitykset, parannukset ja riskinarviointihankkeet, sekä vakuutusmaksut. Asianomaisten toimijoiden olisi laskettava taloudellisten tappioiden määrät saatavilla olevien tietojen perusteella, ja jos taloudellisten tappioiden tosiasiallisia määriä ei voida määrittää, toimijoiden olisi arvioitava kyseiset määrät.
(37)Asianomaiset toimijat olisi myös velvoitettava ilmoittamaan poikkeamista, jotka ovat aiheuttaneet tai voivat aiheuttaa luonnollisten henkilöiden kuoleman tai huomattavaa vahinkoa luonnollisten henkilöiden terveydelle, koska tällaiset vaaratilanteet ovat erityisen vakavia tapauksia, joissa aiheutuu huomattavaa aineellista tai aineetonta vahinkoa. Asianomaiseen toimijaan vaikuttava poikkeama voi esimerkiksi aiheuttaa terveydenhuolto- tai hätäpalvelujen käyttökatkoksen tai vaikuttaa tietojen luottamuksellisuuteen tai eheyteen ja sitä kautta myös luonnollisten henkilöiden terveyteen. Sen määrittämiseksi, onko poikkeama aiheuttanut tai voiko se aiheuttaa huomattavaa vahinkoa luonnollisen henkilön terveydelle, asianomaisten toimijoiden olisi selvitettävä, onko poikkeama aiheuttanut tai voiko se aiheuttaa vakavia vammoja ja terveysongelmia. Tätä varten asianomaisia toimijoita ei kuitenkaan pitäisi vaatia keräämään lisätietoja, joihin niillä ei ole pääsyä.
(38)Palvelun olisi katsottava olevan rajoitetusti käytettävissä esimerkiksi silloin, kun asianomaisen toimijan tarjoama palvelu toimii huomattavasti keskimääräistä vasteaikaa hitaammin tai kun kaikki palvelun toiminnot eivät ole käytettävissä. Vasteaikaviiveiden arvioinnin olisi mahdollisuuksien mukaan perustuttava objektiivisiin kriteereihin, jotka perustuvat asianomaisten toimijoiden tarjoamien palvelujen keskimääräisiin vasteaikoihin. Palvelun toimintoja voivat olla esimerkiksi chat-toiminto tai kuvahakutoiminto.
(39)Onnistunut, epäilty vihamielinen ja luvaton pääsy asianomaisen toimijan verkko- ja tietojärjestelmiin on katsottava merkittäväksi poikkeamaksi, jos tällainen pääsy voi aiheuttaa vakavia toimintahäiriöitä. Poikkeamaa olisi pidettävä merkittävänä, jos esimerkiksi kyberuhan aiheuttaja on etukäteen sijoittautunut asianomaisen toimijan verkko- ja tietojärjestelmiin tarkoituksenaan aiheuttaa häiriöitä palveluissa tulevaisuudessa.
(40)Toistuvat poikkeamat, jotka liittyvät samaan ilmeiseen perimmäiseen syyhyn mutta jotka yksittäin eivät täytä merkittävän poikkeaman kriteerejä, olisi katsottava yhdeksi merkittäväksi poikkeamaksi edellyttäen, että ne yhdessä täyttävät taloudellisten tappioiden kriteerin ja että niitä on tapahtunut vähintään kaksi kuuden kuukauden sisällä. Tällaiset toistuvat poikkeamat voivat viitata merkittäviin puutteisiin ja heikkouksiin asianomaisen toimijan kyberturvallisuusriskien hallintamenettelyissä ja kyberturvallisuuden kehitystasossa. Lisäksi toistuvat poikkeamat voivat aiheuttaa merkittäviä taloudellisia tappioita asianomaiselle toimijalle.
(41)Komissio on vaihtanut neuvoja ja tehnyt yhteistyötä yhteistyöryhmän ja ENISAn kanssa ehdotuksista täytäntöönpanosäädöksiksi direktiivin (EU) 2022/2555 21 artiklan 5 kohdan ja 23 artiklan 11 kohdan mukaisesti.
(42)Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 42 artiklan 1 kohdan mukaisesti, ja hän antoi lausuntonsa 1 päivänä syyskuuta 2024.
(43)Tässä asetuksessa säädetyt toimenpiteet ovat direktiivin (EU) 2022/2555 39 artiklan mukaisesti perustetun komitean lausunnon mukaiset,
ON HYVÄKSYNYT TÄMÄN ASETUKSEN:
1 artikla
Kohde
Tässä asetuksessa vahvistetaan DNS-palveluntarjoajien, aluetunnusrekisterien, pilvipalvelujen tarjoajien, datakeskuspalvelujen tarjoajien, sisällönjakeluverkkojen tarjoajien, hallintapalvelun tarjoajien, tietoturvapalveluntarjoajien, verkossa toimivien markkinapaikkojen, verkossa toimivien hakukoneiden tarjoajien, verkkoyhteisöalustojen tarjoajien ja luottamuspalvelun tarjoajien, jäljempänä ’asianomaiset toimijat’, osalta direktiivin (EU) 2022/2555 21 artiklan 2 kohdassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset sekä täsmennetään tapaukset, joissa poikkeama on katsottava merkittäväksi direktiivin (EU) 2022/2555 23 artiklan 3 kohdan mukaisesti.
2 artikla
Tekniset ja menetelmiin liittyvät vaatimukset
1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan a–j alakohdassa tarkoitettujen kyberturvallisuusriskien hallintatoimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset vahvistetaan asianomaisten toimijoiden osalta tämän asetuksen liitteessä.
2.Asianomaisten toimijoiden on varmistettava, että verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa aiheutuviin riskeihin, kun ne panevat täytäntöön ja soveltavat tämän asetuksen liitteessä vahvistettuja kyberturvallisuusriskien hallintatoimenpiteiden teknisiä ja menetelmiin liittyviä vaatimuksia. Tätä varten asianomaisten toimijoiden on otettava asianmukaisesti huomioon se, missä määrin ne altistuvat riskeille, kokonsa sekä poikkeamien esiintymisen todennäköisyys ja vakavuus, mukaan lukien yhteiskunnalliset ja taloudelliset vaikutukset, kun ne noudattavat tämän asetuksen liitteessä vahvistettuja kyberturvallisuusriskien hallintatoimenpiteiden teknisiä ja menetelmiin liittyviä vaatimuksia.
Jos tämän asetuksen liitteessä säädetään, että jotakin kyberturvallisuusriskien hallintatoimenpiteen teknistä tai menetelmiin liittyvää vaatimusta on sovellettava ”tarvittaessa”, ”tapauksen mukaan” tai ”mahdollisuuksien mukaan”, ja jos asianomainen toimija katsoo, että joidenkin tällaisten teknisten ja menetelmiin liittyvien vaatimusten soveltaminen ei ole tarpeellista, asianmukaista tai mahdollista, asianomaisen toimijan on dokumentoitava tätä koskevat perustelunsa ymmärrettävällä tavalla.
3 artikla
Merkittävät poikkeamat
1.Sovellettaessa direktiivin 2022/2555 23 artiklan 3 kohtaa poikkeama katsotaan merkittäväksi asianomaisten toimijoiden osalta, jos yksi tai useampi seuraavista kriteereistä täyttyy:
a)poikkeama on aiheuttanut tai voi aiheuttaa asianomaiselle toimijalle välittömiä taloudellisia tappioita, jotka ylittävät 500 000 euroa tai 5 prosenttia asianomaisen toimijan edeltävän tilikauden vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi on pienempi;
b)poikkeama on mahdollistanut tai voi mahdollistaa asianomaisen toimijan liikesalaisuuden, sellaisena kuin se on määritetty direktiivin (EU) 2016/943 2 artiklan 1 alakohdassa, varastamisen;
c)poikkeama on aiheuttanut tai voi aiheuttaa luonnollisen henkilön kuoleman;
d)poikkeama on aiheuttanut tai voi aiheuttaa huomattavaa vahinkoa luonnollisen henkilön terveydelle;
e)on tapahtunut onnistunut, epäilty vihamielinen ja luvaton tunkeutuminen verkko- ja tietojärjestelmiin, mikä voi aiheuttaa vakavia toimintahäiriöitä;
f)poikkeama täyttää 4 artiklassa säädetyt kriteerit;
g)poikkeama täyttää yhden tai useamman 5–14 artiklassa säädetyistä kriteereistä.
2)Asianomaisten toimijoiden suorittamiin tai niiden puolesta suoritettuihin määräaikaishuoltoihin liittyviä palvelun suunniteltuja keskeytyksiä tai suunniteltuja seurauksia ei katsota merkittäviksi poikkeamiksi.
3)Laskettaessa poikkeaman vaikutusten kohteena olevien käyttäjien lukumäärää 7 ja 9–14 artiklan soveltamiseksi asianomaisten toimijoiden on otettava huomioon kaikki seuraavat seikat:
a)niiden asiakkaiden lukumäärä, joilla on asianomaisen toimijan kanssa sopimus, joka antaa niille pääsyn kyseisen toimijan verkko- ja tietojärjestelmiin taikka palveluihin, joita tarjotaan kyseisissä verkko- ja tietojärjestelmissä tai jotka ovat saatavilla niiden kautta;
b)niiden luonnollisten henkilöiden ja oikeushenkilöiden lukumäärä, jotka liittyvät sellaisiin yritysasiakkaisiin, jotka käyttävät kyseisen toimijan verkko- ja tietojärjestelmiä taikka palveluja, joita tarjotaan kyseisissä verkko- ja tietojärjestelmissä tai jotka ovat saatavilla niiden kautta.
4 artikla
Toistuvat poikkeamat
Poikkeamat, joita ei yksittäin pidetä 3 artiklassa tarkoitettuna merkittävänä poikkeamana, katsotaan yhdeksi merkittäväksi poikkeamaksi, jos ne täyttävät kaikki seuraavat kriteerit:
a)poikkeamia on ollut vähintään kaksi kuuden kuukauden sisällä;
b)niillä on sama ilmeinen perimmäinen syy;
c)yhdessä ne täyttävät 3 artiklan 1 kohdan a alakohdassa vahvistetut kriteerit.
5 artikla
DNS-palveluntarjoajiin liittyvät merkittävät poikkeamat
DNS-palveluntarjoajien osalta poikkeama katsotaan merkittäväksi 3 artiklan 1 kohdan g alakohdan nojalla, jos se täyttää yhden tai useamman seuraavista kriteereistä:
a)rekursiivinen tai auktoritatiivinen verkkotunnusten selvityspalvelu on täysin poissa käytöstä yli 30 minuutin ajan;
b)rekursiivisen tai auktoritatiivisen verkkotunnusten selvityspalvelun keskimääräinen vasteaika DNS-pyyntöihin on yli 10 sekuntia yli tunnin ajan;
c)auktoritatiivisen verkkotunnusten selvityspalvelun tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut, lukuun ottamatta tapauksia, joissa DNS-palveluntarjoajan hallinnoimien alle 1 000 verkkotunnuksen tiedot, joiden osuus on enintään 1 prosentti DNS-palveluntarjoajan hallinnoimista verkkotunnuksista, ovat virheellisiä virheellisen konfiguroinnin vuoksi.
6 artikla
Aluetunnusrekistereihin liittyvät merkittävät poikkeamat
Aluetunnusrekisterien osalta poikkeama katsotaan merkittäväksi 3 artiklan 1 kohdan g alakohdan nojalla, jos se täyttää yhden tai useamman seuraavista kriteereistä:
a)auktoritatiivinen verkkotunnusten selvityspalvelu on täysin poissa käytöstä;
b)auktoritatiivisen verkkotunnusten selvityspalvelun keskimääräinen vasteaika DNS-pyyntöihin on yli 10 sekuntia yli tunnin ajan;
c)aluetunnusrekisterin tekniseen toimintaan liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut.
7 artikla
Pilvipalvelujen tarjoajiin liittyvät merkittävät poikkeamat
Pilvipalvelujen tarjoajien osalta poikkeama katsotaan merkittäväksi 3 artiklan 1 kohdan g alakohdan nojalla, jos se täyttää yhden tai useamman seuraavista kriteereistä:
a)tarjottu pilvipalvelu on täysin poissa käytöstä yli 30 minuutin ajan;
b)palveluntarjoajan pilvipalvelu on rajoitetusti käytettävissä yli tunnin ajan yli 5 prosentille pilvipalvelun käyttäjistä unionissa tai yli miljoonalle pilvipalvelun käyttäjälle unionissa sen mukaan, kumpi lukumäärä on pienempi;
c)pilvipalvelun tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut epäillyn vihamielisen toiminnan seurauksena;
d)pilvipalvelun tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut siten, että se vaikuttaa yli 5 prosenttiin kyseisen pilvipalvelun käyttäjistä unionissa tai yli miljoonaan kyseisen pilvipalvelun käyttäjään unionissa sen mukaan, kumpi lukumäärä on pienempi.
8 artikla
Datakeskuspalvelujen tarjoajiin liittyvät merkittävät poikkeamat
Datakeskuspalvelujen tarjoajien osalta poikkeama katsotaan merkittäväksi 3 artiklan 1 kohdan g alakohdan nojalla, jos se täyttää yhden tai useamman seuraavista kriteereistä:
a)tarjoajan ylläpitämän datakeskuksen datakeskuspalvelut ovat täysin poissa käytöstä;
b)palveluntarjoajan ylläpitämän datakeskuksen datakeskuspalvelut ovat rajoitetusti käytettävissä yli tunnin ajan;
c)datakeskuspalvelun tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut epäillyn vihamielisen toiminnan seurauksena;
d)fyysinen pääsy palveluntarjoajan ylläpitämään datakeskukseen on vaarantunut.
9 artikla
Sisällönjakeluverkkojen tarjoajiin liittyvät merkittävät poikkeamat
Sisällönjakeluverkkojen tarjoajien osalta poikkeama katsotaan merkittäväksi 3 artiklan 1 kohdan g alakohdan nojalla, jos se täyttää yhden tai useamman seuraavista kriteereistä:
a)sisällönjakeluverkko on täysin poissa käytöstä yli 30 minuutin ajan;
b)sisällönjakeluverkko on rajoitetusti käytettävissä yli tunnin ajan yli 5 prosentille kyseisen sisällönjakeluverkon käyttäjistä unionissa tai yli miljoonalle kyseisen sisällönjakeluverkon käyttäjälle unionissa sen mukaan, kumpi lukumäärä on pienempi;
c)sisällönjakeluverkon tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut epäillyn vihamielisen toiminnan seurauksena;
d)sisällönjakeluverkon tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut siten, että se vaikuttaa yli 5 prosenttiin kyseisen sisällönjakeluverkon käyttäjistä unionissa tai yli miljoonaan kyseisen sisällönjakeluverkon käyttäjään unionissa sen mukaan, kumpi lukumäärä on pienempi.
10 artikla
Hallintapalvelun tarjoajiin ja tietoturvapalveluntarjoajiin liittyvät merkittävät poikkeamat
Hallintapalvelun tarjoajien ja tietoturvapalveluntarjoajien osalta poikkeama katsotaan merkittäväksi 3 artiklan 1 kohdan g alakohdan nojalla, jos se täyttää yhden tai useamman seuraavista kriteereistä:
a)hallintapalvelu tai tietoturvapalvelu on täysin poissa käytöstä yli 30 minuutin ajan;
b)hallintapalvelu tai tietoturvapalvelu on rajoitetusti käytettävissä yli tunnin ajan yli 5 prosentille kyseisen palvelun käyttäjistä unionissa tai yli miljoonalle kyseisen palvelun käyttäjälle unionissa sen mukaan, kumpi lukumäärä on pienempi;
c)hallintapalvelun tai tietoturvapalvelun tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut epäillyn vihamielisen toiminnan seurauksena;
d)hallintapalvelun tai tietoturvapalvelun tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut siten, että se vaikuttaa yli 5 prosenttiin kyseisen hallintapalvelun tai tietoturvapalvelun käyttäjistä unionissa tai yli miljoonaan kyseisen palvelun käyttäjään unionissa sen mukaan, kumpi lukumäärä on pienempi.
11 artikla
Verkossa toimivien markkinapaikkojen tarjoajiin liittyvät merkittävät poikkeamat
Verkossa toimivien markkinapaikkojen tarjoajien osalta poikkeama katsotaan merkittäväksi 3 artiklan 1 kohdan g alakohdan nojalla, jos se täyttää yhden tai useamman seuraavista kriteereistä:
a)verkossa toimiva markkinapaikka on täysin poissa käytöstä yli 5 prosentille verkossa toimivan markkinapaikan käyttäjistä unionissa tai yli miljoonalle verkossa toimivan markkinapaikan käyttäjälle unionissa sen mukaan, kumpi lukumäärä on pienempi;
b)verkossa toimivan markkinapaikan rajoitettu käytettävyys vaikuttaa yli 5 prosenttiin kyseisen verkossa toimivan markkinapaikan käyttäjistä unionissa tai yli miljoonaan kyseisen verkossa toimivan markkinapaikan käyttäjään unionissa sen mukaan, kumpi lukumäärä on pienempi;
c)verkossa toimivan markkinapaikan tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut epäillyn vihamielisen toiminnan seurauksena;
d)verkossa toimivan markkinapaikan tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut siten, että se vaikuttaa yli 5 prosenttiin kyseisen verkossa toimivan markkinapaikan käyttäjistä unionissa tai yli miljoonaan kyseisen verkossa toimivan markkinapaikan käyttäjään unionissa sen mukaan, kumpi lukumäärä on pienempi.
12 artikla
Verkossa toimivien hakukoneiden tarjoajiin liittyvät merkittävät poikkeamat
Verkossa toimivien hakukoneiden tarjoajien osalta poikkeama katsotaan merkittäväksi 3 artiklan 1 kohdan g alakohdan nojalla, jos se täyttää yhden tai useamman seuraavista kriteereistä:
a)verkossa toimiva hakukone on täysin poissa käytöstä yli 5 prosentille kyseisen verkossa toimivan hakukoneen käyttäjistä unionissa tai yli miljoonalle kyseisen verkossa toimivan hakukoneen käyttäjälle unionissa sen mukaan, kumpi lukumäärä on pienempi;
b)verkossa toimivan hakukoneen rajoitettu käytettävyys vaikuttaa yli 5 prosenttiin kyseisen verkossa toimivan hakukoneen käyttäjistä unionissa tai yli miljoonaan kyseisen verkossa toimivan hakukoneen käyttäjään unionissa sen mukaan, kumpi lukumäärä on pienempi;
c)verkossa toimivan hakukoneen tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut epäillyn vihamielisen toiminnan seurauksena;
d)verkossa toimivan hakukoneen tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut siten, että se vaikuttaa yli 5 prosenttiin kyseisen verkossa toimivan hakukoneen käyttäjistä unionissa tai yli miljoonaan kyseisen verkossa toimivan hakukoneen käyttäjään unionissa sen mukaan, kumpi lukumäärä on pienempi.
13 artikla
Verkkoyhteisöalustojen tarjoajiin liittyvät merkittävät poikkeamat
Verkkoyhteisöalustojen tarjoajien osalta poikkeama katsotaan merkittäväksi 3 artiklan 1 kohdan g alakohdan nojalla, jos se täyttää yhden tai useamman seuraavista kriteereistä:
a)verkkoyhteisöalusta on täysin poissa käytöstä yli 5 prosentille kyseisen verkkoyhteisöalustan käyttäjistä unionissa tai yli miljoonalle kyseisen verkkoyhteisöalustan käyttäjälle unionissa sen mukaan, kumpi lukumäärä on pienempi;
b)verkkoyhteisöalustan rajoitettu käytettävyys vaikuttaa yli 5 prosenttiin kyseisen verkkoyhteisöalustan käyttäjistä unionissa tai yli miljoonaan kyseisen verkkoyhteisöalustan käyttäjään unionissa sen mukaan, kumpi lukumäärä on pienempi;
c)verkkoyhteisöalustan tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut epäillyn vihamielisen toiminnan seurauksena;
d)verkkoyhteisöalustan tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut siten, että se vaikuttaa yli 5 prosenttiin kyseisen verkkoyhteisöalustan käyttäjistä unionissa tai yli miljoonaan kyseisen verkkoyhteisöalustan käyttäjään unionissa sen mukaan, kumpi lukumäärä on pienempi.
14 artikla
Luottamuspalvelun tarjoajiin liittyvät merkittävät poikkeamat
Luottamuspalvelun tarjoajien osalta poikkeama katsotaan merkittäväksi 3 artiklan 1 kohdan g alakohdan nojalla, jos se täyttää yhden tai useamman seuraavista kriteereistä:
a)luottamuspalvelu on täysin poissa käytöstä yli 20 minuutin ajan;
b)luottamuspalvelu ei ole käyttäjien tai luottavien osapuolten käytettävissä yli tunnin ajan kalenteriviikkoa kohti;
c)luottamuspalvelun rajoitettu käytettävyys vaikuttaa yli 1 prosenttiin käyttäjistä tai luottavista osapuolista unionissa tai yli 200 000 käyttäjään tai luottavaan osapuoleen unionissa sen mukaan, kumpi lukumäärä on pienempi;
d)fyysinen pääsy alueelle, jolla verkko- ja tietojärjestelmät sijaitsevat ja jolle pääsy on rajoitettu luottamuspalvelun tarjoajan luotettuun henkilöstöön, tai tällaisen fyysisen pääsyn suojaaminen on vaarantunut;
e)luottamuspalvelun tarjoamiseen liittyvien tallennettujen, siirrettyjen tai käsiteltyjen tietojen eheys, luottamuksellisuus tai aitous on vaarantunut siten, että se vaikuttaa yli 0,1 prosenttiin käyttäjistä tai luottavista osapuolista unionissa tai yli sataan käyttäjään tai luottavaan osapuoleen unionissa sen mukaan, kumpi lukumäärä on pienempi.
15 artikla
Kumoaminen
Kumotaan komission täytäntöönpanoasetus (EU) 2018/151.
16 artikla
Voimaantulo ja soveltaminen
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Brysselissä 17.10.2024
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
LIITE
Tämän asetuksen 2 artiklassa tarkoitetut tekniset ja menetelmiin liittyvät vaatimukset
1.Verkko- ja tietojärjestelmien turvallisuutta koskeva politiikka (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan a alakohta)
1.1.Verkko- ja tietojärjestelmien turvallisuutta koskeva politiikka
1.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan a alakohdan noudattamiseksi verkko- ja tietojärjestelmien turvallisuutta koskevan politiikan on täytettävä seuraavat vaatimukset:
a)siinä vahvistetaan asianomaisen toimijan lähestymistapa verkko- ja tietojärjestelmiä koskevan turvallisuuden hallintaan;
b)se on asianmukainen asianomaisen toimijan liiketoimintastrategian ja ‑tavoitteiden kannalta ja se täydentää niitä;
c)siinä vahvistetaan verkko- ja tietoturvaa koskevat tavoitteet;
d)se sisältää sitoumuksen verkko- ja tietojärjestelmien turvallisuuden jatkuvasta parantamisesta;
e)se sisältää sitoumuksen tarjota sen täytäntöönpanoon tarvittavat resurssit, mukaan lukien tarvittavat henkilöstöresurssit, taloudelliset resurssit, prosessit, välineet ja teknologiat;
f)siitä tiedotetaan asiaankuuluville työntekijöille ja asiaankuuluville ulkopuolisille osapuolille, ja näiden on otettava se huomioon;
g)siinä määritetään roolit ja vastuut 1.2 kohdan mukaisesti;
h)se sisältää luettelon säilytettävistä asiakirjoista ja niiden säilytysajoista;
i)se sisältää luettelon aihekohtaisista politiikoista;
j)siinä määritetään indikaattorit ja toimenpiteet, joilla seurataan sen täytäntöönpanoa sekä asianomaisen toimijan verkko- ja tietoturvan kehitystason tilannetta;
k)siinä ilmoitetaan päivämäärä, jona asianomaisen toimijan hallintoelin, jäljempänä ’hallintoelin’, on virallisesti hyväksynyt sen.
1.1.2.Hallintoelimen on arvioitava ja tarvittaessa päivitettävä verkko- ja tietojärjestelmien turvallisuutta koskeva politiikka vähintään kerran vuodessa sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen. Arvioinnin tulokset on dokumentoitava.
1.2.Roolit, vastuut ja valtuudet
1.2.1.Asianomaisen toimijan on osana 1.1 kohdassa tarkoitettua verkko- ja tietojärjestelmien turvallisuutta koskevaa politiikkaansa määritettävä verkko- ja tietojärjestelmien turvallisuutta koskevat vastuut ja valtuudet, osoitettava ne eri rooleille. jaettava ne asianomaisen toimijan tarpeiden mukaisesti sekä tiedotettava niistä hallintoelimelle.
1.2.2.Asianomaisen toimijan on edellytettävä, että koko sen henkilöstö ja kolmannet osapuolet huolehtivat verkko- ja tietojärjestelmien turvallisuudesta asianomaisen toimijan verkko- ja tietoturvapolitiikan, aihekohtaisten politiikkojen ja menettelyjen mukaisesti.
1.2.3.Vähintään yhden henkilön on raportoitava suoraan hallintoelimelle verkko- ja tietojärjestelmien turvallisuuteen liittyvistä asioista.
1.2.4.Asianomaisen toimijan koosta riippuen verkko- ja tietojärjestelmien turvallisuutta varten on oltava omat roolit tai nämä tehtävät on suoritettava osana olemassa olevia rooleja.
1.2.5.Keskenään ristiriidassa olevat tehtävät ja vastuualueet on tapauksen mukaan erotettava toisistaan.
1.2.6.Hallintoelimen on arvioitava ja tarvittaessa päivitettävä roolit, vastuut ja valtuudet suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
2.Riskinhallintapolitiikka (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan a alakohta)
2.1.Riskinhallintakehys
2.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan a alakohdan noudattamiseksi asianomaisen toimijan on luotava asianmukainen riskinhallintakehys verkko- ja tietojärjestelmien turvallisuuteen kohdistuvien riskien tunnistamiseksi ja käsittelemiseksi ja ylläpidettävä sitä. Asianomaisen toimijan on suoritettava riskinarviointeja ja dokumentoitava ne. Tulosten perusteella on laadittava riskinkäsittelysuunnitelma, toteutettava se ja seurattava sitä. Hallintoelimen on hyväksyttävä riskinarvioinnin tulokset ja jäännösriskit. Tapauksen mukaan tämän voi tehdä myös riskinhallinnasta vastaava henkilö, edellyttäen että asianomainen toimija varmistaa asianmukaisen raportoinnin hallintoelimelle.
2.1.2.Edellä olevan 2.1.1 kohdan noudattamiseksi asianomaisen toimijan on laadittava menettelyt riskien tunnistamista, analysointia, arviointia ja käsittelyä varten, jäljempänä ’kyberturvallisuusriskien hallintamenettely’. Kyberturvallisuusriskien hallintamenettely on tapauksen mukaan sisällytettävä kiinteäksi osaksi asianomaisen toimijan yleistä riskinhallintamenettelyä. Asianomaisen toimijan on osana kyberturvallisuusriskien hallintamenettelyä:
a)noudatettava riskinhallintamenetelmiä;
b)vahvistettava asianomaisen toimijan riskinottohalun mukainen riskitaso;
c)vahvistettava asianmukaiset riskikriteerit ja ylläpidettävä niitä;
d)tunnistettava ja dokumentoitava verkko- ja tietojärjestelmien turvallisuuteen kohdistuvat riskit kaikki vaarat kattavan lähestymistavan mukaisesti, erityisesti kolmansiin osapuoliin liittyvät riskit sekä riskit, jotka voivat johtaa verkko- ja tietojärjestelmien käytettävyyden, eheyden, aitouden ja luottamuksellisuuden häiriöihin, sekä tunnistettava myös yksittäiset toimintahäiriöt;
e)analysoitava verkko- ja tietojärjestelmien turvallisuuteen kohdistuvat riskit, mukaan lukien niiden uhka, todennäköisyys, vaikutukset ja riskitaso, ottaen huomioon myös kyberuhkia koskevat tiedustelutiedot sekä haavoittuvuudet;
f)arvioitava tunnistetut riskit riskikriteerien mukaisesti;
g)yksilöitävä asianmukaiset riskinhallintavaihtoehdot ja ‑toimenpiteet ja asetettava ne tärkeysjärjestykseen;
h)seurattava jatkuvasti riskinkäsittelytoimenpiteiden täytäntöönpanoa;
i)yksilöitävä, kuka on vastuussa riskinkäsittelytoimenpiteiden toteuttamisesta, ja määritettävä, milloin ne olisi toteutettava;
j)dokumentoitava valitut riskinkäsittelytoimenpiteet riskinkäsittelysuunnitelmassa ja esitettävä jäännösriskien hyväksymisen perustelut ymmärrettävällä tavalla.
2.1.3.Yksilöidessään asianmukaisia riskinhallintavaihtoehtoja ja -toimenpiteitä ja asettaessaan ne tärkeysjärjestykseen asianomaisen toimijan on otettava huomioon riskinarvioinnin tulokset, kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta koskevan arviointimenettelyn tulokset, toteutuskustannukset suhteessa odotettuun hyötyyn, 12.1 kohdassa tarkoitettu omaisuuserien turvallisuusluokittelu ja 4.1.3 kohdassa tarkoitettu liiketoimintavaikutusten analyysi.
2.1.4.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä riskinarvioinnin tulokset ja riskinkäsittelysuunnitelma suunnitelluin väliajoin ja vähintään kerran vuodessa sekä aina toiminnassa tai riskeissä tapahtuvien merkittävien muutosten tai merkittävien poikkeamien yhteydessä.
2.2.Vaatimusten noudattamisen seuranta
2.2.1.Asianomaisen toimijan on arvioitava säännöllisesti, että sen verkko- ja tietojärjestelmien turvallisuutta koskevaa politiikkaa, aihekohtaisia politiikkoja, sääntöjä ja standardeja noudatetaan. Hallintoelimelle on raportoitava säännöllisesti verkko- ja tietoturvan tilasta vaatimusten noudattamista koskevien arviointien perusteella.
2.2.2.Asianomaisen toimijan on otettava käyttöön tehokas vaatimusten noudattamista koskeva raportointijärjestelmä, jonka on oltava tarkoituksenmukainen toimijan rakenteiden, toimintaympäristön ja uhkaympäristön kannalta. Vaatimusten noudattamista koskevan raportointijärjestelmän on kyettävä antamaan hallintoelimelle tietoon perustuva kuva asianomaisen toimijan riskinhallinnan tilasta.
2.2.3.Asianomaisen toimijan on seurattava vaatimusten noudattamista suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
2.3.Verkko- ja tietoturvan riippumaton arviointi
2.3.1.Asianomaisen toimijan on suoritettava riippumattomia arviointeja verkko- ja tietojärjestelmien turvallisuuden hallintaa koskevasta lähestymistavastaan ja sen toteuttamisesta. Arvioinneissa on otettava huomioon niin ihmiset, prosessit kuin teknologiat.
2.3.2.Asianomaisen toimijan on kehitettävä ja ylläpidettävä prosesseja riippumattomien arviointien suorittamista varten. Arviointien suorittajilla on oltava asianmukaiset tarkastusvaltuudet. Jos riippumattoman arvioinnin suorittavat asianomaisen toimijan henkilöstön jäsenet, arviointeja suorittavat henkilöt eivät saa olla tarkastuksen kohdealan henkilöstön osalta esihenkilö- tai alaissuhteessa. Jos asianomaisen toimijan koko ei mahdollista tällaista esihenkilö- tai alaissuhteen eriyttämistä, asianomaisen toimijan on otettava käyttöön vaihtoehtoisia toimenpiteitä arviointien puolueettomuuden takaamiseksi.
2.3.3.Riippumattomien arviointien tulokset, myös 2.2 kohdan mukaisen vaatimusten noudattamista koskevan seurannan tulokset ja 7 kohdan mukaisen seurannan ja mittauksen tulokset, on raportoitava hallintoelimelle. Korjaavia toimenpiteitä on toteutettava tai jäännösriskit on hyväksyttävä asianomaisen toimijan riskinhyväksyntäkriteerien mukaisesti.
2.3.4.Riippumattomia arviointeja on suoritettava suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
3.Poikkeamien käsittely (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan b alakohta)
3.1.Poikkeamien käsittelyä koskevat toimintaperiaatteet
3.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan b alakohdan noudattamiseksi asianomaisen toimijan on laadittava ja toteutettava poikkeamien käsittelyä koskevat toimintaperiaatteet, joissa määritetään roolit, vastuut ja menettelyt, joiden mukaisesti poikkeamien havaitseminen, analysointi, rajoittaminen tai niihin reagoiminen sekä poikkeamista palautuminen, niiden dokumentointi ja niistä raportointi voidaan suorittaa viipymättä.
3.1.2.Edellä 3.1.1 kohdassa tarkoitettujen toimintaperiaatteiden on oltava johdonmukaisia 4.1 kohdassa tarkoitetun toiminnan jatkuvuutta ja palautumista koskevan suunnitelman kanssa. Toimintaperiaatteisiin on sisällytettävä seuraavat:
a)poikkeamien luokittelujärjestelmä, joka on johdonmukainen 3.4.1 kohdan mukaisesti suoritetun tapahtumien arvioinnin ja luokittelun kanssa;
b)toimivat tiedotussuunnitelmat, myös eskalointia ja raportointia varten;
c)poikkeamien havaitsemiseen ja niihin reagoimiseen liittyvien roolien osoittaminen päteville työntekijöille;
d)poikkeamien havaitsemisessa ja hallinnassa käytettävät asiakirjat, kuten poikkeamien hallintaa koskevat käsikirjat, eskalointikaaviot, yhteystietoluettelot ja mallit.
3.1.3.Toimintaperiaatteissa määritetyt roolit, vastuut ja menettelyt on testattava, arvioitava ja tarvittaessa päivitettävä suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
3.2.Seuranta ja kirjaaminen
3.2.1.Asianomaisen toimijan on vahvistettava menettelyt ja käytettävä välineitä verkko- ja tietojärjestelmiensä toiminnan seuraamiseksi ja kirjaamiseksi, jotta voidaan havaita mahdollisiksi poikkeamiksi katsottavat tapahtumat ja reagoida niihin vaikutusten lieventämiseksi.
3.2.2.Seuranta on mahdollisuuksien mukaan automatisoitava, ja sitä on toteutettava joko jatkuvasti tai säännöllisin väliajoin toimijan valmiuksien mukaisesti. Asianomaisen toimijan on toteutettava seurantatoimensa siten, että vääriä positiivisia tuloksia ja vääriä negatiivisia tuloksia saadaan mahdollisimman vähän.
3.2.3.Asianomaisen toimijan on säilytettävä, dokumentoitava ja tarkistettava lokitiedot 3.2.1 kohdassa tarkoitettujen menettelyjen mukaisesti. Asianomaisen toimijan on laadittava luettelo omaisuuseristä, joista on kirjattava lokitietoja, 2.1 kohdan mukaisesti suoritetun riskinarvioinnin tulosten perusteella. Lokikirjanpitoon on tarvittaessa sisällytettävä seuraavat tiedot:
a)asiaankuuluva lähtevä ja saapuva verkkoliikenne;
b)asianomaisen toimijan verkko- ja tietojärjestelmien käyttäjätilien luominen, muuttaminen tai poistaminen sekä käyttöoikeuksien laajentaminen;
c)pääsy järjestelmiin ja sovelluksiin;
d)todentamiseen liittyvät tapahtumat;
e)kaikki etuoikeutetut käyttöoikeudet järjestelmiin ja sovelluksiin sekä järjestelmänhallintatilien suorittamat toimet;
f)kriittisten konfiguraatio- ja varmuuskopiotiedostojen käyttö tai niiden muuttaminen;
g)tapahtumalokit ja tietoturvatyökaluja, kuten virustorjuntaa, tunkeutumisen havaitsemisjärjestelmiä tai palomuureja, koskevat lokitiedot;
h)järjestelmäresurssien käyttö ja niiden suorituskyky;
i)fyysinen pääsy tiloihin;
j)pääsy verkkolaitteisiin ja niiden käyttö;
k)eri lokien aktivointi, pysäyttäminen ja keskeyttäminen;
l)ympäristötapahtumat.
3.2.4.Lokitiedot on tarkistettava säännöllisesti epätavallisten tai ei-toivottujen kehityssuuntausten varalta. Asianomaisen toimijan on tarvittaessa vahvistettava asianmukaiset hälytyskynnykset. Jos vahvistettu hälytyskynnys ylittyy, hälytyksen on lauettava tarvittaessa automaattisesti. Asianomaisen toimijan on varmistettava, että hälytyksen sattuessa siihen reagoidaan viipymättä pätevällä ja asianmukaisella tavalla.
3.2.5.Asianomaisen toimijan on säilytettävä ja varmuuskopioitava lokitiedot ennalta määritetyn ajan ja suojattava ne luvattomalta käytöltä tai muutoksilta.
3.2.6.Asianomaisen toimijan on mahdollisuuksien mukaan varmistettava, että kaikkien järjestelmien aikalähteet on synkronoitu, jotta lokitietoja voidaan vertailla järjestelmien välillä tapahtumien arviointia varten. Asianomaisen toimijan on laadittava luettelo kaikista omaisuuseristä, joista kirjataan lokitietoja, ylläpidettävä sitä ja huolehdittava seuranta- ja kirjausjärjestelmien varajärjestelyistä. Seuranta- ja kirjausjärjestelmien käytettävyyttä on valvottava riippumatta järjestelmistä, joita niillä seurataan.
3.2.7.Näitä menettelyjä ja luetteloa omaisuuseristä, joista kirjataan lokitietoja, on arvioitava ja tarvittaessa päivitettävä säännöllisin väliajoin ja aina merkittävien poikkeamien jälkeen.
3.3.Tapahtumista ilmoittaminen
3.3.1.Asianomaisen toimijan on otettava käyttöön yksinkertainen mekanismi, jonka avulla sen työntekijät, toimittajat ja asiakkaat voivat ilmoittaa epäilyttävistä tapahtumista.
3.3.2.Asianomaisen toimijan on tarvittaessa tiedotettava tapahtumailmoitusmekanismistaan myös toimittajilleen ja asiakkailleen sekä järjestettävä työntekijöilleen säännöllistä koulutusta mekanismin käyttämisestä.
3.4.Tapahtumien arviointi ja luokittelu
3.4.1.Asianomaisen toimijan on arvioitava epäilyttävät tapahtumat sen määrittämiseksi, onko kyseessä poikkeama, ja jos on, määritettävä myös sen luonne ja vakavuus.
3.4.2.Edellä olevan 3.4.1 kohdan noudattamiseksi asianomaisen toimijan on:
a)suoritettava arviointi ennalta määritettyjen kriteerien ja luokittelun perusteella, jotta voidaan määrittää poikkeaman rajoittamis- ja hävittämistoimien tärkeysjärjestys;
b)arvioitava neljännesvuosittain tämän asetuksen 4 artiklassa tarkoitettujen toistuvien poikkeamien esiintyminen;
c)tarkistettava asianmukaiset lokitiedot tapahtumien arviointia ja luokittelua varten;
d)otettava käyttöön prosessi lokitietojen vastaavuuden määrittämistä ja niiden analyysia varten; ja
e)arvioitava ja luokiteltava tapahtumat uudelleen, jos niistä saadaan uutta tietoa tai kun saatavilla olevat tiedot on analysoitu.
3.5.Poikkeamiin reagoiminen
3.5.1.Asianomaisen toimijan on reagoitava poikkeamiin dokumentoitujen menettelyjen mukaisesti ja viipymättä.
3.5.2.Poikkeamien hallintamenettelyihin on sisällyttävä seuraavat vaiheet:
a)poikkeaman rajoittaminen, jotta estetään poikkeaman seurausten leviäminen;
b)poikkeaman hävittäminen, jotta estetään poikkeaman jatkuminen tai toistuminen;
c)tarvittaessa poikkeamasta palautuminen.
3.5.3.Asianomaisen toimijan on laadittava tiedotussuunnitelmat ja ‑menettelyt, joita sovelletaan:
a)viestintään tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (CSIRT-yksiköt) kanssa tai tapauksen mukaan poikkeamailmoitusten osalta toimivaltaisten viranomaisten kanssa;
b)asianomaisen toimijan henkilöstön keskinäiseen viestintään ja viestintään asianomaisen toimijan ulkopuolisten sidosryhmien kanssa.
3.5.4.Asianomaisen toimijan on kirjattava poikkeamien hallintatoimet 3.2.1 kohdassa tarkoitettujen menettelyjen mukaisesti ja kirjattava todisteet.
3.5.5.Asianomaisen toimijan on testattava poikkeamien hallintamenettelynsä suunnitelluin väliajoin.
3.6.Poikkeamien jälkiarvioinnit
3.6.1.Asianomaisen toimijan on tarvittaessa suoritettava poikkeamien jälkiarviointeja poikkeamista palautumisen jälkeen. Poikkeamien jälkiarvioinneissa on mahdollisuuksien mukaan selvitettävä poikkeaman perimmäinen syy ja dokumentoitava saadut kokemukset, jotta tulevien poikkeamien esiintymistä ja seurauksia voidaan vähentää.
3.6.2.Asianomaisen toimijan on varmistettava, että poikkeamien jälkiarviointeja käytetään parantamaan toimijan lähestymistapaa verkko- ja tietoturvaan sekä sen riskinhallintatoimenpiteitä ja poikkeamien käsittely-, havaitsemis- ja hallintamenettelyjä.
3.6.3.Asianomaisen toimijan on arvioitava suunnitelluin väliajoin, onko poikkeamien jälkiarviointeja suoritettu.
4.Toiminnan jatkuvuuden hallinta ja kriisinhallinta (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan c alakohta)
4.1.Toiminnan jatkuvuutta ja palautumista koskeva suunnitelma
4.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan c alakohdan noudattamiseksi asianomaisen toimijan on laadittava toiminnan jatkuvuutta ja palautumista koskeva suunnitelma, jota sovelletaan poikkeamien tapahtuessa, ja ylläpidettävä sitä.
4.1.2.Asianomaisen toimijan toiminnan palauttaminen on suoritettava toiminnan jatkuvuutta ja palautumista koskevan suunnitelman mukaisesti. Suunnitelman on perustuttava 2.1 kohdan mukaisesti suoritetun riskinarvioinnin tuloksiin, ja sen on sisällettävä tarvittaessa seuraavat tiedot:
a)tarkoitus, laajuus ja yleisö;
b)roolit ja vastuut;
c)tärkeimmät yhteyshenkilöt ja (sisäiset ja ulkoiset) viestintäkanavat;
d)suunnitelman toteutuksen käynnistämisen ja päättämisen edellytykset;
e)toimintojen palauttamisjärjestys;
f)yksittäisten toimintojen palautumissuunnitelmat, mukaan lukien palautumisen tavoitteet;
g)tarvittavat resurssit, mukaan lukien varmuuskopiot ja varajärjestelyt;
h)toiminnan palauttaminen ja jatkaminen tilapäisten toimenpiteiden jälkeen.
4.1.3.Asianomaisen toimijan on tehtävä liiketoimintavaikutusten analyysi, jossa se arvioi vakavien häiriöiden mahdollisia vaikutuksia liiketoimintaansa, ja sen on tämän analyysin tulosten perusteella vahvistettava verkko- ja tietojärjestelmiensä toiminnan jatkuvuutta koskevat vaatimukset.
4.1.4.Toiminnan jatkuvuutta ja palautumista koskeva suunnitelma on testattava, arvioitava ja tarvittaessa päivitettävä suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen. Asianomaisen toimijan on varmistettava, että suunnitelmissa otetaan huomioon tällaisesta testauksesta saadut kokemukset.
4.2.Varmuuskopiointi ja varajärjestelyt
4.2.1.Asianomaisen toimijan on säilytettävä varmuuskopiot tiedoista ja tarjottava riittävät resurssit, mukaan lukien tilat, verkko- ja tietojärjestelmät ja henkilöstö, asianmukaisten varajärjestelyjen varmistamiseksi.
4.2.2.Asianomaisen toimijan on 2.1 kohdan mukaisesti suoritetun riskinarvioinnin tulosten ja toiminnan jatkuvuussuunnitelman perusteella laadittava varasuunnitelmat, joissa käsitellään seuraavia seikkoja:
a)palautumisajat;
b)sen varmistaminen, että varmuuskopiot, mukaan lukien konfigurointitiedot ja pilvipalveluun tallennetut tiedot, ovat täydellisiä ja tarkkoja;
c)varmuuskopioiden tallentaminen (verkkoon tai sen ulkopuolelle) yhteen tai useampaan turvalliseen sijaintiin, joka ei saa olla samassa verkossa kuin järjestelmä ja jonka on oltava riittävän kaukana, jotta päätoimipaikassa tapahtuva katastrofi ei vahingoita tietoja;
d)asianmukainen fyysinen ja looginen pääsynvalvonta varmuuskopioihin omaisuuserän turvallisuusluokitustason mukaisesti;
e)tietojen palauttaminen varmuuskopioista;
f)liiketoiminta- ja sääntelyvaatimuksiin perustuvat säilytysajat.
4.2.3.Asianomaisen toimijan on tehtävä säännöllisesti varmuuskopioiden eheyttä koskevia tarkastuksia.
4.2.4.Asianomaisen toimijan on 2.1 kohdan mukaisesti suoritetun riskinarvioinnin tulosten ja toiminnan jatkuvuussuunnitelman perusteella varmistettava riittävät resurssit huolehtimalla, että seuraavat resurssit on ainakin osittain varmistettu varajärjestelyin:
a)verkko- ja tietojärjestelmät;
b)omaisuus, mukaan lukien tilat, laitteet ja tarvikkeet;
c)henkilöstö, jolla on tarvittavat vastuut, toimivalta ja pätevyys;
d)asianmukaiset viestintäkanavat.
4.2.5.Asianomaisen toimijan on tarvittaessa varmistettava, että resurssien, kuten tilojen, järjestelmien ja henkilöstön, seurannassa ja mukauttamisessa otetaan asianmukaisesti huomioon varmuuskopiointia ja varajärjestelyjä koskevat vaatimukset.
4.2.6.Asianomaisen toimijan on testattava säännöllisesti varmuuskopioiden palautusta ja varajärjestelyjen toimintaa sen varmistamiseksi, että niihin voidaan palautustilanteissa luottaa ja että ne kattavat toiminnan onnistuneen palauttamisen edellyttämät kopiot, prosessit ja tiedot. Asianomaisen toimijan on dokumentoitava näiden testien tulokset ja tarvittaessa toteutettava korjaavia toimenpiteitä.
4.3.Kriisinhallinta
4.3.1.Asianomaisen toimijan on otettava käyttöön kriisinhallintamenettely.
4.3.2.Asianomaisen toimijan on varmistettava, että kriisinhallintamenettelyssä käsitellään ainakin seuraavia seikkoja:
a)henkilöstön ja tarvittaessa tavarantoimittajien ja palveluntarjoajien roolit ja vastuut sekä roolien jako kriisitilanteissa, mukaan lukien toiminnan yksittäiset vaiheet;
b)asianmukaiset viestintäkanavat asianomaisen toimijan ja asiaankuuluvien toimivaltaisten viranomaisten välillä;
c)asianmukaisten toimenpiteiden soveltaminen verkko- ja tietojärjestelmien turvallisuuden säilyttämiseksi kriisitilanteissa.
Edellä olevan b alakohdan osalta asianomaisen toimijan ja asiaankuuluvien toimivaltaisten viranomaisten välinen tiedonkulku käsittää sekä pakolliset ilmoitukset, kuten poikkeamailmoitukset, ja niihin liittyvät määräajat että muut kuin pakolliset yhteydet.
4.3.3.Asianomaisen toimijan on otettava käyttöön prosessi, jolla hallitaan ja hyödynnetään CSIRT-yksiköiltä tai tapauksen mukaan toimivaltaisilta viranomaisilta saatuja tietoja poikkeamista, haavoittuvuuksista, uhkista tai mahdollisista vaikutusten lieventämistoimenpiteistä.
4.3.4.Asianomaisen toimijan on testattava, arvioitava ja tarvittaessa päivitettävä kriisinhallintasuunnitelmaa säännöllisin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
5.Toimitusketjun turvallisuus (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan d alakohta)
5.1.Toimitusketjun turvallisuuskäytäntö
5.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan d alakohdan noudattamiseksi asianomaisen toimijan on laadittava ja toteutettava toimitusketjun turvallisuuskäytäntö, jolla säännellään suhteita sen suoriin tavarantoimittajiin ja palveluntarjoajiin, ja sovellettava sitä verkko- ja tietojärjestelmien turvallisuuteen kohdistuvien tunnistettujen riskien lieventämiseksi. Toimitusketjun turvallisuuskäytännössä asianomaisen toimijan on yksilöitävä oma roolinsa toimitusketjussa ja tiedotettava siitä suorille tavarantoimittajilleen ja palveluntarjoajilleen.
5.1.2.Asianomaisen toimijan on osana 5.1.1 kohdassa tarkoitettua toimitusketjun turvallisuuskäytäntöä vahvistettava kriteerit tavarantoimittajien ja palveluntarjoajien valinnalle ja niiden kanssa tehtäville sopimuksille. Näissä kriteereissä on käsiteltävä seuraavia seikkoja:
a)tavarantoimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt, mukaan lukien niiden turvallista kehittämistä koskevat menettelyt;
b)tavarantoimittajien ja palveluntarjoajien kyky täyttää asianomaisen toimijan asettamat kyberturvallisuusvaatimukset;
c)TVT-tuotteiden ja ‑palvelujen yleinen laatu ja häiriönsietokyky sekä niihin sisältyvät kyberturvallisuusriskien hallintatoimenpiteet, mukaan lukien TVT-tuotteiden ja ‑palvelujen riskit ja turvallisuusluokitustaso;
d)tapauksen mukaan asianomaisen toimijan mahdollisuus monipuolistaa hankintalähteitä ja rajoittaa toimittajariippuvuutta.
5.1.3.Toimitusketjun turvallisuuskäytäntöä laatiessaan asianomaisen toimijan on tapauksen mukaan otettava huomioon direktiivin (EU) 2022/2555 22 artiklan 1 kohdan mukaisesti suoritettujen kriittisiä toimitusketjuja koskevien koordinoitujen turvallisuusriskinarviointien tulokset.
5.1.4.Asianomaisen toimijan on toimitusketjun turvallisuuskäytännön mukaisesti ja ottaen huomioon tämän liitteen 2.1 kohdan mukaisesti suoritetun riskinarvioinnin tulokset varmistettava, että sen tavarantoimittajien ja palveluntarjoajien kanssa tekemissä sopimuksissa täsmennetään, tarvittaessa palvelutasosopimusten avulla, soveltuvin osin seuraavat seikat:
a)tavarantoimittajia tai palveluntarjoajia koskevat kyberturvallisuusvaatimukset, mukaan lukien 6.1 kohdassa esitetyt TVT-palvelujen tai ‑tuotteiden hankinnan turvallisuutta koskevat vaatimukset;
b)tavarantoimittajien tai palveluntarjoajien työntekijöiltä vaadittavaa tietämystä, taitoja ja koulutusta sekä tarvittaessa sertifiointia koskevat vaatimukset;
c)tavarantoimittajien ja palveluntarjoajien työntekijöiden taustan tarkistamista koskevat vaatimukset;
d)tavarantoimittajien ja palveluntarjoajien velvollisuus ilmoittaa ilman aiheetonta viivytystä asianomaiselle toimijalle poikkeamista, jotka aiheuttavat riskin kyseisen toimijan verkko- ja tietojärjestelmien turvallisuudelle;
e)oikeus suorittaa tarkastuksia tai saada tarkastuskertomuksia;
f)tavarantoimittajien ja palveluntarjoajien velvollisuus korjata haavoittuvuudet, jotka aiheuttavat riskin kyseisen toimijan verkko- ja tietojärjestelmien turvallisuudelle;
g)alihankintaa koskevat vaatimukset ja, jos asianomainen toimija sallii alihankinnan, alihankkijoita koskevat kyberturvallisuusvaatimukset a alakohdassa tarkoitettujen kyberturvallisuusvaatimusten mukaisesti;
h)tavarantoimittajien ja palveluntarjoajien velvoitteet sopimuksen päättyessä, kuten tavarantoimittajien ja palveluntarjoajien tehtäviään suorittaessaan saamien tietojen talteenotto ja hävittäminen.
5.1.5.Asianomaisen toimijan on otettava huomioon 5.1.2 ja 5.1.3 kohdassa mainitut seikat uusien tavarantoimittajien ja palveluntarjoajien valintaprosessissa sekä 6.1 kohdassa tarkoitetussa hankintamenettelyssä.
5.1.6.Asianomaisen toimijan on arvioitava toimitusketjun turvallisuuskäytäntöä sekä seurattava ja arvioitava tavarantoimittajia ja palveluntarjoajia koskevien kyberturvallisuuskäytäntöjen muutoksia ja tarvittaessa reagoitava niihin suunnitelluin väliajoin ja aina toiminnoissa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen tai sellaisten merkittävien poikkeamien jälkeen, jotka liittyvät tai vaikuttavat palveluntarjoajien tai tavarantoimittajien TVT-tuotteiden turvallisuuteen.
5.1.7.Edellä olevan 5.1.6 kohdan noudattamiseksi asianomaisen toimijan on:
a)tapauksen mukaan seurattava säännöllisesti raportteja palvelutasosopimusten täytäntöönpanosta;
b)arvioitava tavarantoimittajien ja palveluntarjoajien TVT-tuotteisiin ja ‑palveluihin liittyvät poikkeamat;
c)arvioitava ylimääräisten arviointien tarvetta ja dokumentoitava havainnot ymmärrettävällä tavalla;
d)analysoitava tavarantoimittajien ja palveluntarjoajien TVT-tuotteisiin ja ‑palveluihin tehtyjen muutosten aiheuttamat riskit ja tarvittaessa toteutettava vaikutuksia lieventäviä toimenpiteitä viipymättä.
5.2.Tavarantoimittajien ja palveluntarjoajien rekisteri
Asianomaisen toimijan on pidettävä yllä ja pidettävä ajan tasalla rekisteriä suorista tavarantoimittajistaan ja palveluntarjoajistaan, joka sisältää:
a)tiedot kunkin suoran tavarantoimittajan ja palveluntarjoajan yhteyshenkilöistä;
b)luettelon TVT-tuotteista, -palveluista ja -prosesseista, joita suora tavarantoimittaja tai palveluntarjoaja tarjoaa asianomaiselle toimijalle.
6.Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan e alakohta)
6.1.TVT-palvelujen tai -tuotteiden hankinnan turvallisuus
6.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan e alakohdan noudattamiseksi asianomaisen toimijan on TVT-palvelujen tai -tuotteiden hankintaan liittyvien riskien hallitsemiseksi vahvistettava ja otettava käyttöön koko elinkaaren kattavat menettelyt sellaisia tavarantoimittajilta tai palveluntarjoajilta hankittuja komponentteja varten, jotka on todettu 2.1 kohdan mukaisen riskinarvioinnin perusteella asianomaisen toimijan verkko- ja tietojärjestelmien turvallisuuden kannalta kriittisiksi.
6.1.2.Edellä olevan 6.1.1 kohdan noudattamiseksi 6.1.1 kohdassa tarkoitetuissa menettelyissä on katettava seuraavat seikat:
a)hankittavia TVT-palveluja tai ‑tuotteita koskevat turvallisuusvaatimukset;
b)vaatimukset, jotka koskevat tietoturvapäivityksiä TVT-palvelujen tai ‑tuotteiden koko elinkaaren ajan tai näiden palvelujen tai tuotteiden korvaamista tietoturvatuen päätyttyä;
c)TVT-palveluissa tai ‑tuotteissa käytettäviä laitteisto- ja ohjelmistokomponentteja kuvaavat tiedot;
d)TVT-palveluissa tai ‑tuotteissa toteutettavia kyberturvallisuustoimintoja ja niiden turvallisen toiminnan edellyttämää konfiguraatiota kuvaavat tiedot;
e)sen varmistaminen, että TVT-palvelut tai ‑tuotteet täyttävät a alakohdan mukaiset turvallisuusvaatimukset;
f)menetelmät, joilla validoidaan, että toimitetut TVT-palvelut tai ‑tuotteet ovat ilmoitettujen turvallisuusvaatimusten mukaisia, sekä validoinnin tulosten dokumentointi.
6.1.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä nämä menettelyt suunnitelluin väliajoin sekä aina merkittävien poikkeamien jälkeen.
6.2.Turvallinen kehittäminen
6.2.1.Ennen verkko- ja tietojärjestelmien, myös ohjelmistojen, kehittämistä asianomaisen toimijan on vahvistettava verkko- ja tietojärjestelmien turvallista kehittämistä koskevat säännöt, joita on sovellettava, kun verkko- ja tietojärjestelmiä kehitetään sisäisesti tai kun verkko- ja tietojärjestelmien kehittäminen ulkoistetaan. Sääntöjen on katettava kaikki kehittämisen vaiheet, mukaan lukien määrittely, suunnittelu, kehittäminen, toteutus ja testaus.
6.2.2.Edellä olevan 6.2.1 kohdan noudattamiseksi asianomaisen toimijan on:
a)suoritettava turvallisuusvaatimusten analyysi asianomaisen toimijan toteuttamien tai sen puolesta toteutettujen kehittämis- tai hankintahankkeiden määrittely- ja suunnitteluvaiheissa;
b)sovellettava turvallisten järjestelmien suunnitteluperiaatteita ja turvallisen koodauksen periaatteita, kuten sisäänrakennettua kyberturvallisuutta ja nollaluottamusarkkitehtuureja, kaikkiin tietojärjestelmien kehittämistoimiin;
c)vahvistettava kehitysympäristöjä koskevat turvallisuusvaatimukset;
d)laadittava ja toteutettava kaikki kehittämisen vaiheet kattavat turvallisuustestausmenettelyt;
e)valittava turvallisuustestitiedot ja suojattava ne ja hallinnoitava niitä asianmukaisesti;
f)puhdistettava ja anonymisoitava testitiedot 2.1 kohdan mukaisesti suoritetun riskinarvioinnin mukaisesti.
6.2.3.Asianomaisen toimijan on sovellettava 5 ja 6.1 kohdassa tarkoitettuja toimintaperiaatteita ja menettelyjä myös silloin, kun verkko- ja tietojärjestelmien kehittäminen ulkoistetaan.
6.2.4.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä turvallista kehittämistä koskevia sääntöjään suunnitelluin väliajoin.
6.3.Konfiguraationhallinta
6.3.1.Asianomaisen toimijan on toteutettava asianmukaiset toimenpiteet konfiguraatioiden, mukaan lukien laitteistoja, ohjelmistoja, palveluja ja verkkoja koskevat turvallisuuskonfiguraatiot, laatimiseksi, dokumentoimiseksi, toteuttamiseksi ja seuraamiseksi.
6.3.2.Edellä olevan 6.3.1 kohdan noudattamiseksi asianomaisen toimijan on:
a)vahvistettava ja varmistettava sen laitteistoja, ohjelmistoja, palveluja ja verkkoja koskevat turvallisuuskonfiguraatiot;
b)vahvistettava ja toteutettava menettelyt ja välineet, joilla valvotaan laitteistoja, ohjelmistoja, palveluja ja verkkoja koskevia turvallisuuskonfiguraatioita sekä uusissa että jo käytössä olevissa järjestelmissä niiden koko elinkaaren ajan.
6.3.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä konfiguraatiot suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
6.4.Muutostenhallinta, korjaukset ja huolto
6.4.1.Asianomaisen toimijan on sovellettava muutostenhallintamenettelyjä verkko- ja tietojärjestelmien muutosten hallintaan. Menettelyjen on tapauksen mukaan oltava johdonmukaisia asianomaisen toimijan muutostenhallintaa koskevien yleisten toimintaperiaatteiden kanssa.
6.4.2.Edellä 6.4.1 kohdassa tarkoitettuja menettelyjä on sovellettava käytössä olevien ohjelmistojen ja laitteistojen uusiin versioihin, muutoksiin ja hätämuutoksiin sekä konfiguraation muutoksiin. Menettelyillä on varmistettava, että muutokset dokumentoidaan ja että niiden mahdolliset vaikutukset testataan ja arvioidaan 2.1 kohdan mukaisesti tehdyn riskinarvioinnin perusteella ennen niiden toteuttamista.
6.4.3.Jos tavanomaisia muutostenhallintamenettelyjä ei ole voitu noudattaa hätätilanteen vuoksi, asianomaisen toimijan on dokumentoitava muutoksen tulos ja selvitys siitä, miksi menettelyjä ei voitu noudattaa.
6.4.4.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä menettelyt suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
6.5.Turvallisuustestaus
6.5.1.Asianomaisen toimijan on laadittava ja toteutettava turvallisuustestausta koskevat toimintaperiaatteet ja menettelyt ja sovellettava niitä.
6.5.2.Asianomaisen toimijan on:
a)määritettävä turvallisuustestien tarve, laajuus, tiheys ja tyyppi 2.1 kohdan mukaisesti tehdyn riskinarvioinnin perusteella;
b)suoritettava turvallisuustestit dokumentoitujen testausmenetelmien mukaisesti ja siten, että ne kattavat riskianalyysissä turvallisen toiminnan kannalta merkityksellisiksi määritetyt komponentit;
c)dokumentoitava suoritettujen testien tyyppi, laajuus, ajankohta ja tulokset, mukaan lukien kriittisyyden ja vaikutuksia lieventävien toimien arviointi kunkin havainnon osalta;
d)sovellettava vaikutuksia lieventäviä toimia kriittisten havaintojen ilmetessä.
6.5.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä turvallisuustestausta koskevia toimintaperiaatteittaan suunnitelluin väliajoin.
6.6.Tietoturvapaikkausten hallinta
6.6.1.Asianomaisen toimijan on määriteltävä ja sovellettava menettelyjä, jotka ovat johdonmukaisia 6.4.1 kohdassa tarkoitettujen muutostenhallintamenettelyjen sekä haavoittuvuuksien hallinnan, riskinhallinnan ja muiden asiaankuuluvien hallintamenettelyjen kanssa ja joilla on pyrittävä varmistamaan, että:
a)tietoturvapaikkaukset toteutetaan kohtuullisessa ajassa siitä, kun ne ovat saatavilla;
b)tietoturvapaikkaukset testataan ennen niiden käyttöönottoa tuotantojärjestelmissä;
c)tietoturvapaikkaukset ovat peräisin luotettavista lähteistä ja niiden eheys tarkastetaan;
d)tapauksissa, joissa paikkausta ei ole saatavilla tai sitä ei ole toteutettu 6.6.2 kohdassa esitetyistä syistä, toteutetaan lisätoimenpiteitä ja hyväksytään jäännösriskit.
6.6.2.Poiketen siitä, mitä 6.6.1 kohdan a alakohdassa todetaan, asianomainen toimija voi päättää olla toteuttamatta tietoturvapaikkauksia, jos niiden toteuttamisesta aiheutuvat haitat ovat kyberturvallisuuden kannalta suuremmat kuin niistä saatava hyöty. Asianomaisen toimijan on asianmukaisesti dokumentoitava ja perusteltava tällaisen päätöksen syyt.
6.7.Verkkoturvallisuus
6.7.1.Asianomaisen toimijan on toteutettava asianmukaiset toimenpiteet verkko- ja tietojärjestelmiensä suojaamiseksi kyberuhkilta.
6.7.2.Edellä olevan 6.7.1 kohdan noudattamiseksi asianomaisen toimijan on:
a)dokumentoitava verkon arkkitehtuuri ymmärrettävällä tavalla ja pidettävä dokumentaatio ajan tasalla;
b)määritettävä valvontatoimet, joilla suojellaan asianomaisen toimijan sisäisiä verkkoalueita luvattomalta pääsyltä, ja sovellettava niitä;
c)määritettävä valvontatoimet, joilla estetään järjestelmiin pääsy ja verkkoliikenne, joita ei tarvita asianomaisen toimijan toiminnassa;
d)määritettävä ja sovellettava valvontatoimia verkko- ja tietojärjestelmien etäkäyttöä varten, myös palveluntarjoajien taholta tapahtuvaa etäkäyttöä varten;
e)oltava käyttämättä turvallisuuspolitiikan täytäntöönpanon hallinnointiin käytettäviä järjestelmiä muihin tarkoituksiin;
f)nimenomaisesti kiellettävä tai poistettava käytöstä tarpeettomat yhteydet ja palvelut;
g)tarvittaessa sallittava pääsy asianomaisen toimijan verkko- ja tietojärjestelmiin ainoastaan asianomaisen toimijan valtuuttamilla laitteilla;
h)sallittava palveluntarjoajien yhteydet vasta pääsylupaa koskevan pyynnön jälkeen ja tietyksi ajaksi, kuten huoltotoimenpiteen ajaksi;
i)varmistettava, että viestintä erillisten järjestelmien välillä tapahtuu ainoastaan sellaisten luotettavien kanavien kautta, jotka on eristetty loogisesti, salausteknisesti tai fyysisesti muista viestintäkanavista ja joiden osalta päätelaitteiden tunnistaminen on varmistettu ja kanavatiedot on suojattu muutoksilta tai paljastamiselta;
j)hyväksyttävä toteutussuunnitelma, joka koskee siirtymistä kohti uusimpia verkkokerroksen viestintäprotokollia turvallisella, asianmukaisella ja vaiheittaisella tavalla, ja otettava käyttöön toimenpiteitä tämän siirtymän nopeuttamiseksi;
k)hyväksyttävä toteutussuunnitelma, joka koskee kansainvälisesti sovittujen ja yhteentoimivien nykyaikaisten sähköpostiviestintästandardien käyttöönottoa sähköpostiviestinnän turvaamiseksi sähköpostiuhkiin liittyvien haavoittuvuuksien vaikutusten lieventämiseksi, ja otettava käyttöön toimenpiteitä tämän käyttöönoton nopeuttamiseksi;
l)sovellettava DNS-järjestelmän turvallisuutta sekä tulevan ja lähtevän verkkoliikenteen internetreitityksen turvallisuutta ja hygieniaa koskevia parhaita käytäntöjä.
6.7.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä nämä menettelyt suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
6.8.Verkon segmentointi
6.8.1.Asianomaisen toimijan on segmentoitava järjestelmät verkkoihin tai vyöhykkeisiin 2.1 kohdassa tarkoitetun riskinarvioinnin tulosten mukaisesti. Lisäksi asianomaisen toimijan on segmentoitava omat järjestelmänsä ja verkkonsa erilleen kolmansien osapuolten järjestelmistä ja verkoista.
6.8.2.Tätä varten asianomaisen toimijan on:
a)otettava huomioon luotettavien järjestelmien ja palvelujen toiminnalliset, loogiset ja fyysiset suhteet, myös sijainti;
b)myönnettävä pääsy verkkoon tai vyöhykkeeseen sen turvallisuusvaatimusten arvioinnin perusteella;
c)pidettävä kaikki asianomaisen toimijan toiminnan tai turvallisuuden kannalta kriittiset järjestelmät suojatuilla vyöhykkeillä;
d)otettava viestintäverkoissaan käyttöön demilitarisoitu vyöhyke, jolla varmistetaan asianomaisen toimijan verkkoihin saapuvan ja niistä lähtevän viestinnän tietoturva;
e)rajoitettava pääsyä ja viestintää vyöhykkeiden välillä ja niiden sisällä ainoastaan siihen, mikä on tarpeen asianomaisen toimijan toiminnan tai turvallisuuden kannalta;
f)erotettava verkko- ja tietojärjestelmien hallinnointiin tarkoitettu verkko asianomaisen toimijan operatiivisesta verkosta;
g)erotettava verkon hallinnointiin tarkoitetut kanavat muusta verkkoliikenteestä;
h)erotettava asianomaisen toimijan palveluntuotantoon tarkoitetut järjestelmät kehitys- ja testausjärjestelmistä, varmuuskopiot mukaan luettuina.
6.8.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä verkon segmentointia suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
6.9.Suojautuminen haitallisilta ja luvattomilta ohjelmistoilta
6.9.1.Asianomaisen toimijan on suojattava verkko- ja tietojärjestelmänsä haitallisilta ja luvattomilta ohjelmistoilta.
6.9.2.Tätä varten asianomaisen toimijan on varsinkin toteutettava toimenpiteitä, joilla havaitaan tai estetään haitallisten tai luvattomien ohjelmistojen käyttö. Asianomaisen toimijan on tarvittaessa varmistettava, että sen verkko- ja tietojärjestelmät on varustettu haittaohjelmien havaitsemis- ja hallintaohjelmistolla, jota päivitetään säännöllisesti 2.1 kohdan mukaisesti tehdyn riskinarvioinnin ja palveluntarjoajien kanssa tehtyjen sopimusten mukaisesti.
6.10.Haavoittuvuuksien käsittely ja julkistaminen
6.10.1.Asianomaisen toimijan on hankittava tietoa verkko- ja tietojärjestelmiensä teknisistä haavoittuvuuksista, arvioitava altistumistaan tällaisille haavoittuvuuksille ja toteutettava asianmukaiset toimenpiteet haavoittuvuuksien hallitsemiseksi.
6.10.2.Edellä olevan 6.10.1 kohdan noudattamiseksi asianomaisen toimijan on:
a)seurattava haavoittuvuustilannetta asianmukaisten kanavien kautta, kuten CSIRT-yksiköiden tai toimivaltaisen viranomaisen tiedotteiden tai tavarantoimittajien tai palveluntarjoajien toimittamien tietojen avulla;
b)suoritettava tarvittaessa haavoittuvuustarkastuksia ja kirjattava todisteet tarkastusten tuloksista suunnitelluin väliajoin;
c)korjattava ilman aiheetonta viivytystä haavoittuvuudet, jotka asianomainen toimija ovat todennut toimintansa kannalta kriittisiksi;
d)varmistettava, että haavoittuvuuksien käsittely tapahtuu johdonmukaisesti suhteessa asianomaisen toimijan muutostenhallintaa, tietoturvapaikkausten hallintaa ja poikkeamahallintaa koskeviin menettelyihin;
e)vahvistettava haavoittuvuuksien julkistamista koskeva menettely kansallisesti sovellettujen koordinoitujen haavoittuvuuksien julkistamista koskevien toimintaperiaatteiden mukaisesti.
6.10.3.Asianomaisen toimijan on laadittava ja toteutettava suunnitelma haavoittuvuuksien vaikutusten lieventämiseksi, jos se on perusteltua haavoittuvuuden mahdollisten vaikutusten vuoksi. Muissa tapauksissa asianomaisen toimijan on dokumentoitava ja perusteltava syy siihen, miksi haavoittuvuus ei vaadi korjaavia toimenpiteitä.
6.10.4.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä suunnitelluin väliajoin kanavat, joita se käyttää haavoittuvuuksia koskevien tietojen seurantaan.
7.Toimintaperiaatteet ja menettelyt kyberturvallisuusriskien hallintatoimenpiteiden tuloksellisuuden arvioimiseksi (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan f alakohta)
7.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan f alakohdan noudattamiseksi asianomaisen toimijan on laadittava ja toteutettava toimintaperiaatteet ja menettelyt sen arvioimiseksi, onko asianomaisen toimijan käyttöön ottamat kyberturvallisuusriskien hallintatoimenpiteet tosiasiallisesti toteutettu ja pidetäänkö niitä yllä, sekä sovellettava niitä.
7.2.Edellä olevassa 7.1 kohdassa tarkoitetuissa toimintaperiaatteissa ja menettelyissä on otettava huomioon 2.1 kohdan mukaisen riskinarvioinnin tulokset ja aiemmat merkittävät poikkeamat. Asianomaisen toimijan on määritettävä:
a)mitä kyberturvallisuusriskien hallintatoimenpiteitä on seurattava ja mitattava, mukaan lukien menettelyt ja valvontatoimet;
b)millä seuranta-, mittaus-, analysointi- tai arviointimenetelmillä (tapauksen mukaan) varmistetaan pätevät tulokset;
c)milloin seuranta ja mittaus on tehtävä;
d)kuka vastaa kyberturvallisuusriskien hallintatoimenpiteiden tuloksellisuuden seurannasta ja mittaamisesta;
e)milloin seurannan ja mittauksen tuloksia on analysoitava ja arvioitava;
f)kuka vastaa näiden tulosten analysoinnista ja arvioinnista.
7.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä toimintaperiaatteet ja menettelyt suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
8.Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan g alakohta)
8.1.Tietoisuuden lisääminen ja perustason kyberhygieniakäytännöt
8.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan g alakohdan noudattamiseksi asianomaisen toimijan on varmistettava, että sen työntekijät, mukaan lukien hallintoelimen jäsenet, sekä suorat tavarantoimittajat ja palveluntarjoajat ovat tietoisia riskeistä, saavat tietoa kyberturvallisuuden merkityksestä ja soveltavat kyberhygieniakäytäntöjä.
8.1.2.Edellä olevan 8.1.1 kohdan noudattamiseksi asianomaisen toimijan on tarjottava työntekijöilleen, myös hallintoelimen jäsenille, sekä tarvittaessa suorille tavarantoimittajille ja palveluntarjoajille 5.1.4 kohdan mukaisesti, tiedotusohjelma, joka:
a)toteutetaan ajan mittaan toistuvasti siten, että se kattaa aina uudet työntekijät;
b)laaditaan verkko- ja tietoturvapolitiikan, aihekohtaisten politiikkojen ja asiaa koskevien verkko- ja tietoturvamenettelyjen mukaisesti;
c)kattaa asiaankuuluvat kyberuhat, käytössä olevat kyberturvallisuusriskien hallintatoimenpiteet, yhteyspisteet ja resurssit, joista saa lisätietoa ja neuvoja kyberturvallisuusasioissa, sekä käyttäjiä koskevat kyberhygieniakäytännöt.
8.1.3.Tiedotusohjelman vaikuttavuutta on tarvittaessa testattava. Tiedotusohjelmaa on päivitettävä ja se on toteutettava suunnitelluin väliajoin ottaen huomioon kyberhygieniakäytännöissä tapahtuneet muutokset sekä vallitseva uhkaympäristö ja asianomaiseen toimijaan kohdistuvat riskit.
8.2.Turvallisuuskoulutus
8.2.1.Asianomaisen toimijan on yksilöitävä työntekijät, joiden tehtävät edellyttävät tietoturvan kannalta olennaisia taitoja ja asiantuntemusta, ja varmistettava, että he saavat säännöllisesti koulutusta verkko- ja tietojärjestelmien turvallisuudesta.
8.2.2.Asianomaisen toimijan on laadittava ja toteutettava verkko- ja tietoturvapolitiikan, aihekohtaisten politiikkojen ja muiden asiaa koskevien verkko- ja tietoturvamenettelyjen mukainen koulutusohjelma ja sovellettava sitä. Ohjelmassa on määritettävä tiettyihin rooleihin ja tehtäviin liittyvät koulutustarpeet vahvistettujen kriteerien perusteella.
8.2.3.Edellä olevassa 8.2.1 kohdassa tarkoitetun koulutuksen on oltava työntekijän työtehtävien kannalta merkityksellistä, ja sen tuloksellisuutta on arvioitava. Koulutuksessa on otettava huomioon käytössä olevat turvatoimenpiteet, ja sen on katettava seuraavat seikat:
a)ohjeet verkko- ja tietojärjestelmien, myös mobiililaitteiden, turvallisesta konfiguroinnista ja käytöstä;
b)tiedot tunnetuista kyberuhkista;
c)harjoituksia toimimisesta turvallisuuden kannalta merkityksellisten tapahtumien sattuessa.
8.2.4.Asianomaisen toimijan on järjestettävä koulutusta henkilöstölle, joka siirtyy uusiin tehtäviin tai rooleihin, jotka edellyttävät turvallisuuden kannalta olennaisia taitoja ja asiantuntemusta.
8.2.5.Ohjelmaa on päivitettävä ja se on toteutettava säännöllisin väliajoin ottaen huomioon sovellettavat toimintaperiaatteet ja säännöt, osoitetut roolit ja vastuut sekä tunnetut kyberuhat ja teknologian kehitys.
9.Kryptografia (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan h alakohta)
9.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan h alakohdan noudattamiseksi asianomaisen toimijan on laadittava ja toteutettava kryptografiaa koskevat toimintaperiaatteet ja menettelyt ja sovellettava niitä, jotta voidaan varmistaa salaustekniikan asianmukainen ja tehokas käyttö tietojen luottamuksellisuuden, aitouden ja eheyden suojaamiseksi asianomaisen toimijan omaisuuserien turvallisuusluokittelun ja 2.1 kohdan mukaisesti suoritetun riskinarvioinnin tulosten mukaisesti.
9.2.Edellä 9.1 kohdassa tarkoitetuissa toimintaperiaatteissa ja menettelyissä on vahvistettava:
a)asianomaisen toimijan omaisuuserien turvallisuusluokittelun mukaisesti niiden salaustoimenpiteiden tyyppi, vahvuus ja laatu, joita tarvitaan asianomaisen toimijan omaisuuden, myös lepäävän datan ja liikkuvan datan, suojaamiseksi;
b)a alakohdan mukaisesti käyttöön otettavat protokollat ja protokollaperheet sekä salausalgoritmit, salausvahvuudet, salausratkaisut ja käyttökäytännöt, jotka on hyväksyttävä ja joita on käytettävä asianomaisen toimijan organisaatiossa, noudattaen tarvittaessa kryptoketteryyteen perustuvaa lähestymistapaa;
c)asianomaisen toimijan lähestymistapa avaintenhallintaan, mukaan lukien tarvittaessa menetelmät seuraavia varten:
i)erilaisten avainten luominen salausjärjestelmiä ja -sovelluksia varten;
ii)julkisen avaimen varmenteiden myöntäminen ja hankkiminen;
iii)avainten jakaminen valituille tahoille, mukaan lukien avainten aktivointi niiden vastaanottamisen jälkeen;
iv)avainten säilyttäminen, mukaan lukien se, miten valtuutetut käyttäjät saavat pääsyn avaimiin;
v)avainten vaihtaminen tai päivittäminen, mukaan lukien säännöt siitä, milloin ja miten avaimia vaihdetaan;
vi)vaarantuneiden avainten käsittely;
vii)avainten peruuttaminen, mukaan lukien avainten poistaminen käytöstä tai deaktivointi;
viii)kadonneiden tai vioittuneiden avainten palauttaminen;
ix)avainten varmuuskopiointi tai arkistointi;
x)avainten tuhoaminen;
xi)avaintenhallintaan liittyvien toimintojen kirjaaminen ja tarkastaminen;
xii)avainten aktivointi- ja deaktivointipäivämäärien asettaminen sen varmistamiseksi, että avaimia voidaan käyttää vain tietyn ajanjakson ajan organisaation avaintenhallintaa koskevien sääntöjen mukaisesti.
9.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä nämä toimintaperiaatteet ja menettelyt suunnitelluin väliajoin ottaen huomioon salaustekniikan uusin kehitys.
10.Henkilöstöturvallisuus (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan i alakohta)
10.1.Henkilöstöturvallisuus
10.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan i alakohdan noudattamiseksi asianomaisen toimijan on varmistettava, että sen työntekijät ja tapauksen mukaan suorat tavarantoimittajat ja palveluntarjoajat ymmärtävät turvallisuutta koskevat velvollisuutensa ja sitoutuvat niihin tarjottujen palvelujen ja työtehtävien mukaisesti sekä asianomaisen toimijan verkko- ja tietojärjestelmien turvallisuutta koskevan politiikan mukaisesti.
10.1.2.Edellä olevassa 10.1.1 kohdassa tarkoitettu vaatimus käsittää seuraavat seikat:
a)mekanismit, joilla varmistetaan, että kaikki työntekijät ja tapauksen mukaan suorat tavarantoimittajat ja palveluntarjoajat ymmärtävät perustason kyberhygieniakäytännöt, joita asianomainen toimija soveltaa 8.1 kohdan mukaisesti, ja noudattavat niitä;
b)mekanismit, joilla varmistetaan, että kaikki käyttäjät, joilla on pääkäyttäjätasoinen tai etuoikeutettu käyttäjätili, ovat tietoisia roolistaan, vastuistaan ja valtuuksistaan ja toimivat niiden mukaisesti;
c)mekanismit, joilla varmistetaan, että hallintoelimen jäsenet ymmärtävät verkko- ja tietojärjestelmien turvallisuuteen liittyvät roolinsa, vastuunsa ja valtuutensa ja toimivat niiden mukaisesti;
d)mekanismit, joilla varmistetaan pätevän henkilöstön palkkaaminen eri rooleihin, kuten suositusten tarkistaminen, taustan tarkistaminen, sertifikaattien todentaminen tai kirjalliset kokeet.
10.1.3.Asianomaisen toimijan on arvioitava henkilöstön osoittamista 1.2 kohdassa tarkoitettuihin erityisrooleihin sekä henkilöresurssien käyttöä tältä osin suunnitelluin väliajoin ja vähintään kerran vuodessa. Tehtävänjakoa on tarvittaessa päivitettävä.
10.2.Taustan tarkistaminen
10.2.1.Asianomaisen toimijan on siinä määrin kuin se on mahdollista varmistettava, että sen työntekijöille ja tapauksen mukaan suorille tavarantoimittajille ja palveluntarjoajille 5.1.4 kohdan mukaisesti tehdään taustan tarkistukset, jos niiden rooli, vastuut ja valtuudet sitä edellyttävät.
10.2.2.Edellä olevan 10.2.1 kohdan noudattamiseksi asianomaisen toimijan on:
a)otettava käyttöön kriteerit, joissa määritetään, mitä rooleja, vastuita ja valtuuksia voivat hoitaa ainoastaan henkilöt, joille on tehty taustan tarkistus;
b)varmistettava, että tällaisille henkilöille tehdään 10.2.1 kohdassa tarkoitettu taustan tarkistus ennen kuin he alkavat käyttää näitä rooleja, vastuita ja valtuuksia; taustan tarkistuksissa on otettava huomioon sovellettavat lait, määräykset ja eettiset periaatteet suhteessa toiminnan vaatimuksiin, 12.1 kohdassa tarkoitettu omaisuuserien turvallisuusluokittelu, verkko- ja tietojärjestelmät, joihin pääsy on tarkoitus myöntää, sekä havaitut riskit.
10.2.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä tätä käytäntöä suunnitelluin väliajoin sekä tarpeen mukaan.
10.3.Työsuhteen päättyminen tai muutos
10.3.1.Asianomaisen toimijan on varmistettava, että sen verkko- ja tietojärjestelmien turvallisuuteen liittyvät vastuut ja velvollisuudet, jotka pysyvät voimassa työntekijöiden työsuhteen päättymisen tai muutoksen jälkeen, määritellään ja pannaan täytäntöön sopimuksin.
10.3.2.Edellä olevan 10.3.1 kohdan noudattamiseksi asianomaisen toimijan on sisällytettävä henkilön työehtoihin tai sopimusehtoihin vastuut ja velvollisuudet, jotka pysyvät voimassa työsuhteen tai sopimuksen päättymisen jälkeen, kuten salassapitolausekkeet.
10.4.Kurinpitomenettely
10.4.1.Asianomaisen toimijan on otettava käyttöön kurinpitomenettely, jolla käsitellään verkko- ja tietojärjestelmien turvallisuutta koskevan politiikan rikkomuksia, sekä tiedotettava siitä ja ylläpidettävä sitä. Menettelyssä on otettava huomioon asiaankuuluvat oikeudelliset, lakisääteiset, sopimusperusteiset ja toiminnalliset vaatimukset.
10.4.2.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä kurinpitomenettelyä suunnitelluin väliajoin sekä tarpeen mukaan oikeudellisten muutosten tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
11.Pääsynhallinta (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan i ja j alakohta)
11.1.Pääsynhallintaperiaatteet
11.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan i alakohdan noudattamiseksi asianomaisen toimijan on laadittava, dokumentoitava ja otettava käyttöön loogiset ja fyysiset pääsynhallintaperiaatteet verkko- ja tietojärjestelmiinsä pääsyä varten toiminnan vaatimusten sekä verkko- ja tietojärjestelmien turvallisuutta koskevien vaatimusten mukaisesti.
11.1.2.Edellä olevassa 11.1.1 kohdassa tarkoitetuissa periaatteissa on:
a)käsiteltävä henkilöiden, kuten henkilöstön, vierailijoiden ja ulkopuolisten tahojen, kuten tavarantoimittajien ja palveluntarjoajien, pääsynhallintaa;
b)käsiteltävä pääsynhallintaa muiden verkko- ja tietojärjestelmien suhteen;
c)varmistettava, että pääsy myönnetään vain käyttäjille, jotka on tunnistettu asianmukaisesti.
11.1.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä nämä periaatteet suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
11.2.Käyttöoikeuksien hallinta
11.2.1.Asianomaisen toimijan on myönnettävä, muutettava, poistettava ja dokumentoitava verkko- ja tietojärjestelmien käyttöoikeudet 11.1 kohdassa tarkoitettujen pääsynhallintaperiaatteiden mukaisesti.
11.2.2.Asianomaisen toimijan on:
a)myönnettävä ja peruutettava käyttöoikeuksia tiedonsaantitarpeen sekä pienimmän valtuuden ja tehtävien eriyttämisen periaatteiden mukaisesti;
b)varmistettava, että käyttöoikeuksia muutetaan vastaavasti työsuhteen päättyessä tai muuttuessa;
c)varmistettava, että ainoastaan valtuutetut henkilöt myöntävät verkko- ja tietojärjestelmien käyttöoikeuksia;
d)varmistettava, että käyttöoikeuksilla voidaan asianmukaisesti hallita kolmansien osapuolten, kuten vierailijoiden, tavarantoimittajien ja palveluntarjoajien, pääsyä, erityisesti rajoittamalla käyttöoikeuksien laajuutta ja kestoa;
e)pidettävä rekisteriä myönnetyistä käyttöoikeuksista;
f)sovellettava käyttöoikeuksien hallintaan lokikirjanpitoa.
11.2.3.Asianomaisen toimijan on arvioitava käyttöoikeuksia suunnitelluin väliajoin ja muutettava niitä organisaatiomuutosten mukaisesti. Asianomaisen toimijan on dokumentoitava arvioinnin tulokset, mukaan lukien tarvittavat muutokset käyttöoikeuksiin.
11.3.Etuoikeutetut tilit ja järjestelmänhallintatilit
11.3.1.Asianomaisen toimijan on ylläpidettävä etuoikeutettujen tilien ja järjestelmänhallintatilien hallintaperiaatteita osana 11.1 kohdassa tarkoitettuja pääsynhallintaperiaatteita.
11.3.2.Edellä olevassa 11.3.1 kohdassa tarkoitetuissa periaatteissa on:
a)otettava käyttöön vahva tunnistaminen, todentaminen, kuten monivaiheinen todennus, ja valtuutusmenettelyt etuoikeutettuja tilejä ja järjestelmänhallintatilejä varten;
b)määritettävä tietyt tilit, joita käytetään yksinomaan järjestelmänhallintatoimintoihin, kuten asennukseen, konfigurointiin, hallinnointiin tai ylläpitoon;
c)yksilöitävä ja rajattava järjestelmähallintaoikeudet mahdollisimman tarkasti,
d)edellytettävä, että järjestelmänhallintatilejä käytetään ainoastaan yhteyden muodostamiseen järjestelmänhallinnan järjestelmiin.
11.3.3.Asianomaisen toimijan on arvioitava etuoikeutettujen tilien ja järjestelmänhallintatilien käyttöoikeuksia suunnitelluin väliajoin ja muutettava niitä organisaatiomuutosten mukaisesti, sekä dokumentoitava arvioinnin tulokset, mukaan lukien tarvittavat muutokset käyttöoikeuksiin.
11.4.Hallintajärjestelmät
11.4.1.Asianomaisen toimijan on rajoitettava ja valvottava järjestelmänhallinnan järjestelmien käyttöä 11.1 kohdassa tarkoitettujen pääsynhallintaperiaatteiden mukaisesti.
11.4.2.Tätä varten asianomaisen toimijan on:
a)käytettävä järjestelmänhallinnan järjestelmiä ainoastaan järjestelmänhallintatarkoituksiin, ei mihinkään muuhun toimintaan;
b)erotettava loogisesti tällaiset järjestelmät sovellusohjelmistoista, joita ei käytetä järjestelmänhallintatarkoituksiin;
c)suojattava pääsy järjestelmänhallinnan järjestelmiin todentamisen ja salauksen avulla.
11.5.Tunnistaminen
11.5.1.Asianomaisen toimijan on hallinnoitava verkko- ja tietojärjestelmien ja niiden käyttäjien identiteettejä koko elinkaaren ajan.
11.5.2.Tätä varten asianomaisen toimijan on:
a)luotava yksilölliset identiteetit verkko- ja tietojärjestelmille ja niiden käyttäjille;
b)yhdistettävä kukin käyttäjäidentiteetti yhteen henkilöön;
c)varmistettava verkko- ja tietojärjestelmien identiteettien valvonta;
d)sovellettava identiteetinhallintaan lokikirjanpitoa.
11.5.3.Asianomainen toimija voi sallia useille henkilöille osoitetut identiteetit, kuten jaetut identiteetit, vain, jos ne ovat välttämättömiä liiketoimintaan liittyvistä tai toiminnallisista syistä ja jos niihin sovelletaan nimenomaista hyväksymismenettelyä ja ne dokumentoidaan. Asianomaisen toimijan on otettava useille henkilöille osoitetut identiteetit huomioon 2.1 kohdassa tarkoitetussa kyberturvallisuusriskien hallintakehyksessä.
11.5.4.Asianomaisen toimijan on arvioitava säännöllisesti verkko- ja tietojärjestelmien ja niiden käyttäjien identiteettejä ja poistettava ne käytöstä viipymättä, jos niitä ei enää tarvita.
11.6.Todentaminen
11.6.1.Asianomaisen toimijan on otettava käyttöön suojatut todentamismenettelyt ja ‑tekniikat, jotka perustuvat käyttöoikeuksien rajoituksiin ja pääsynhallintaperiaatteisiin.
11.6.2.Tätä varten asianomaisen toimijan on:
a)varmistettava, että todennuksen vahvuus vastaa käytettävän omaisuuserän turvallisuusluokittelua;
b)valvottava salaisten todentamistietojen jakamista käyttäjille ja tällaisten tietojen hallinnointia menettelyllä, jolla varmistetaan tietojen luottamuksellisuus muun muassa antamalla henkilöstölle opastusta todentamistietojen asianmukaisesta käsittelystä;
c)edellytettävä tunnistautumistietojen vaihtamista heti aluksi, ennalta määritetyin väliajoin ja aina kun epäillään, että tunnistautumistiedot ovat vaarantuneet;
d)edellytettävä tunnistautumistietojen nollaamista ja käyttäjien pääsyn estämistä, kun epäonnistuneiden kirjautumisyritysten määrä saavuttaa ennalta määritetyn kynnyksen;
e)lopetettava ei-aktiiviset istunnot ennalta määritetyn käyttämättömyysjakson jälkeen; ja
f)edellytettävä erillisiä tunnistautumistietoja etuoikeutettuihin tai hallinnollisiin tileihin pääsemiseksi.
11.6.3.Asianomaisen toimijan on mahdollisuuksien mukaan käytettävä aina uusimpia todentamismenetelmiä arvioidun riskin ja käytettävän omaisuuserän turvallisuusluokituksen mukaisesti sekä yksilöllisiä todentamistietoja.
11.6.4.Asianomaisen toimijan on arvioitava todentamismenettelyjä ja ‑tekniikoita suunnitelluin väliajoin.
11.7.Monivaiheinen todennus
11.7.1.Asianomaisen toimijan on varmistettava, että tarvittaessa käyttäjät todennetaan asianomaisen toimijan verkko- ja tietojärjestelmiin kirjauduttaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisuilla käytettävän omaisuuserän turvallisuusluokituksen mukaisesti.
11.7.2.Asianomaisen toimijan on varmistettava, että todennuksen vahvuus vastaa käytettävän omaisuuserän turvallisuusluokittelua.
12.Omaisuudenhallinta (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan i alakohta)
12.1.Omaisuuserien turvallisuusluokittelu
12.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan i alakohdan noudattamiseksi asianomaisen toimijan on vahvistettava kaikkien verkko- ja tietojärjestelmiensä piiriin kuuluvien omaisuuserien, myös tietojen, turvallisuusluokitustasot vaaditun suojaustason varmistamiseksi.
12.1.2.Edellä olevan 12.1.1 kohdan noudattamiseksi asianomaisen toimijan on:
a)vahvistettava omaisuuserien turvallisuusluokitusjärjestelmä;
b)yhdistettävä kaikki omaisuuserät luottamuksellisuutta, eheyttä, aitoutta ja käytettävyyttä koskevien vaatimusten perusteella määritettyyn turvallisuusluokitustasoon, jotta omaisuuserille voidaan osoittaa niiden arkaluonteisuuden, kriittisyyden, riskien ja liiketoiminnallisen arvon edellyttämä suojaustaso;
c)sovitettava omaisuuserien käytettävyyttä koskevat vaatimukset yhteen toiminnan jatkuvuutta ja palautumista koskevassa suunnitelmassa asettamiensa palvelun toimittamista ja palautumista koskevien tavoitteiden kanssa.
12.1.3.Asianomaisen toimijan on säännöllisesti arvioitava omaisuuserien turvallisuusluokitustasot ja tarvittaessa päivitettävä ne.
12.2.Omaisuuden käsittely
12.2.1.Asianomaisen toimijan on laadittava ja toteutettava omaisuuserien, myös tietojen, asianmukaista käsittelyä koskevat toimintaperiaatteet ja sovellettava niitä verkko- ja tietoturvapolitiikkansa mukaisesti sekä tiedotettava näistä toimintaperiaatteista kaikille, jotka käyttävät tai käsittelevät omaisuutta.
12.2.2.Toimintaperiaatteissa on:
a)otettava huomioon omaisuuserien koko elinkaari, mukaan lukien hankinta, käyttö, säilytys, kuljetus ja hävittäminen;
b)vahvistettava säännöt omaisuuserien turvallisesta käytöstä, säilyttämisestä ja kuljetuksesta sekä peruuttamattomasta poistamisesta ja tuhoamisesta;
c)määrättävä, että siirtäminen on tehtävä turvallisesti siirrettävän omaisuuserän tyypin mukaisesti.
12.2.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä nämä toimintaperiaatteet suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
12.3.Erillisiä tallennusvälineitä koskevat toimintaperiaatteet
12.3.1.Asianomaisen toimijan on laadittava ja toteutettava erillisten tallennusvälineiden hallintaa koskevat toimintaperiaatteet ja sovellettava niitä sekä tiedotettava niistä työntekijöilleen ja kolmansille osapuolille, jotka käsittelevät erillisiä tallennusvälineitä asianomaisen toimijan tiloissa tai muissa paikoissa, joissa erillisiä tallennusvälineitä voidaan liittää asianomaisen toimijan verkko- ja tietojärjestelmiin.
12.3.2.Toimintaperiaatteissa on:
a)määrättävä erillisten tallennusvälineiden liittämisen teknisestä estämisestä, ellei niiden käytölle ole organisatorisia syitä;
b)määrättävä tällaisilta tallennusvälineiltä tapahtuvan automaattisen suorittamisen estämisestä ja niiden skannaamisesta haitallisten koodien varalta ennen kuin niitä käytetään asianomaisen toimijan järjestelmissä;
c)otettava käyttöön toimenpiteitä, joilla valvotaan ja suojataan tietoja sisältäviä kannettavia tallennuslaitteita kuljetuksen ja säilytyksen aikana;
d)otettava tarvittaessa käyttöön toimenpiteitä salaustekniikoiden käyttämiseksi erillisillä tallennusvälineillä olevien tietojen suojaamiseksi.
12.3.3.Asianomaisen toimijan on arvioitava ja tarvittaessa päivitettävä nämä toimintaperiaatteet suunnitelluin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
12.4.Omaisuusluettelo
12.4.1.Asianomaisen toimijan on laadittava kattava, tarkka, ajantasainen ja johdonmukainen omaisuusluettelo ja pidettävä sitä yllä. Luetteloon sisältyviin omaisuuseriin tehdyistä muutoksista on pidettävä kirjaa jäljitettävissä olevalla tavalla.
12.4.2.Omaisuusluettelo on laadittava asianomaisen toimijan tarpeisiin nähden riittävän yksityiskohtaisella tasolla. Luettelon on sisällettävä seuraavat tiedot:
a)luettelo toiminnoista ja palveluista sekä niiden kuvaus;
b)luettelo verkko- ja tietojärjestelmistä ja muista niihin liittyvistä omaisuuseristä, jotka tukevat asianomaisen toimijan toimintaa ja palveluja.
12.4.3.Asianomaisen toimijan on säännöllisesti arvioitava ja päivitettävä luetteloa ja omaisuuseriään sekä dokumentoitava muutoshistoria.
12.5.Omaisuuserien tallettaminen, palauttaminen tai poistaminen työsuhteen päättyessä
Asianomaisen toimijan on laadittava ja toteutettava menettelyt, joilla varmistetaan, että henkilöstön hallussa olevat omaisuuserät talletetaan, palautetaan tai poistetaan työsuhteen päättyessä, ja sovellettava niitä; omaisuuserien tallettaminen, palauttaminen ja poistaminen on myös dokumentoitava. Jos omaisuuserien tallettaminen, palauttaminen tai poistaminen ei ole mahdollista, asianomaisen toimijan on varmistettava, että omaisuuserillä ei enää ole pääsyä asianomaisen toimijan verkko- ja tietojärjestelmiin 12.2.2 kohdan mukaisesti.
13.Fyysinen ja ympäristön turvallisuus (direktiivin (EU) 2022/2555 21 artiklan 2 kohdan c, e ja i alakohta)
13.1.Yhdyskuntapalvelut
13.1.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan c alakohdan noudattamiseksi asianomaisen toimijan on estettävä verkko- ja tietojärjestelmien menettäminen, vahingoittuminen tai vaarantuminen tai niiden toiminnan keskeytyminen yhdyskuntapalvelujen vikaantumisen tai häiriöiden takia.
13.1.2.Tätä varten asianomaisen toimijan on tarvittaessa:
a)suojattava tilansa sähkökatkoksilta ja muilta häiriöiltä, jotka johtuvat sähkö-, televiestintä-, vesi-, kaasu-, viemäri-, ilmanvaihto- ja ilmastointilaitteiden kaltaisten yhdyskuntapalvelujen häiriöistä;
b)harkittava yhdyskuntapalvelujen varajärjestelyjä;
c)suojattava sähkö- ja televiestintäpalvelut, jotka siirtävät dataa tai palvelevat verkko- ja tietojärjestelmiä, tietojen sieppaamiselta ja vahingoittumiselta;
d)seurattava c alakohdassa tarkoitettuja yhdyskuntapalveluja ja ilmoitettava toimivaltaiselle sisäiselle tai ulkoiselle henkilöstölle 13.2.2 kohdan b alakohdassa tarkoitettujen hyväksyttävien vähimmäis- ja enimmäiskynnysarvojen ulkopuolisista tapahtumista, jotka vaikuttavat yhdyskuntapalveluihin;
e)tehtävä kunkin yhdyskuntapalvelun tarjoajan kanssa sopimuksia varapalveluista, kuten varavoimanlähteen edellyttämistä polttoainetoimituksista;
f)varmistettava tarjotun palvelun toiminnan kannalta välttämättömiä verkko- ja tietojärjestelmiä, kuten sähkönsyöttöä, lämpötilan ja kosteuden säätelyä, televiestintää ja internetyhteyksiä, palvelevien yhdyskuntapalvelujen jatkuva toimivuus sekä valvottava, ylläpidettävä ja testattava sitä.
13.1.3.Asianomaisen toimijan on testattava, arvioitava ja tarvittaessa päivitettävä suojaustoimenpiteitä säännöllisin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
13.2.Suojaus fyysisiltä ja ympäristöuhkilta
13.2.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan e alakohdan noudattamiseksi asianomaisen toimijan on ehkäistävä tai vähennettävä fyysisistä tai ympäristöuhkista, kuten luonnonkatastrofeista, taikka muista tahallisista tai tahattomista uhkista aiheutuvien tapahtumien seurauksia 2.1 kohdan mukaisesti suoritetun riskinarvioinnin tulosten perusteella.
13.2.2.Tätä varten asianomaisen toimijan on tarvittaessa:
a)suunniteltava ja toteutettava suojatoimenpiteitä fyysisiä ja ympäristöuhkia vastaan;
b)määritettävä fyysisten ja ympäristöuhkien valvontaa varten hyväksyttävät vähimmäis- ja enimmäiskynnysarvot;
c)seurattava ympäristöparametreja ja ilmoitettava toimivaltaiselle sisäiselle tai ulkoiselle henkilöstölle b alakohdassa tarkoitettujen hyväksyttävien vähimmäis- ja enimmäiskynnysarvojen ulkopuolisista tapahtumista;
13.2.3.Asianomaisen toimijan on testattava, arvioitava ja tarvittaessa päivitettävä suojatoimenpiteitä fyysisiä ja ympäristöuhkia vastaan säännöllisin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.
13.3.Aluevalvonta ja fyysinen pääsynhallinta
13.3.1.Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan i alakohdan noudattamiseksi asianomaisen toimijan on estettävä luvaton fyysinen pääsy verkko- ja tietojärjestelmiinsä ja niiden vahingoittaminen ja häirintä sekä valvottava sitä.
13.3.2.Tätä varten asianomaisen toimijan on:
a)määritettävä ja otettava käyttöön 2.1 kohdan mukaisesti suoritetun riskinarvioinnin perusteella suojavyöhykkeet suojaamaan alueita, joilla sijaitsee verkko- ja tietojärjestelmiä ja muita niihin liittyviä omaisuuseriä;
b)suojattava a alakohdassa tarkoitetut alueet asianmukaisilla kulunvalvontaratkaisuilla ja kulkuaukoilla;
c)suunniteltava ja toteutettava toimistojen, tilojen ja laitteistojen fyysisen turvallisuuden varmistavia ratkaisuja;
d)valvottava jatkuvasti tilojaan luvattoman fyysisen pääsyn varalta.
13.3.3.Asianomaisen toimijan on testattava, arvioitava ja tarvittaessa päivitettävä fyysiseen pääsynhallintaan liittyviä toimenpiteitä säännöllisin väliajoin sekä aina merkittävien poikkeamien tai toiminnassa tai riskeissä tapahtuneiden merkittävien muutosten jälkeen.