Anna lausunto
Anna tällä sivulla lausuntosi lausuntopyyntöön. Tutustu lausuntopyynnön taustatietoihin sivun yläosassa ja anna oma lausunto sen alla olevaan osioon. Samalla kun kirjoitat omaa lausuntoasi voit tarkastaa mitä muut lausunnonantajat ovat kommentoineet välilehdellä "Lausunnot". Kun lausuntosi on valmis, voit valita lähettää sen joko toiselle henkilölle hyväksyttäväksi tai lähettää sen suoraan lausuntopyynnön valmistelijalle. Samalla kun lähetät sen valmistelijalle, lausuntosi julkaistaan myös lausuntopyynnön Lausunnot-välilehdellä muiden annettujen lausuntojen tapaan. Jos lähetät lausuntosi hyväksyjälle, hän voi joko palauttaa lausuntosi valmistelutilaan tai hyväksyä ja lähettää lausuntosi lausuntopyynnön valmistelijalle, jolloin se myös julkaistaan Lausunnot-välilehdellä.
Liikenne- ja viestintävirasto Traficomin lausuntopyyntö suositusluonnoksesta NIS-valvoville viranomaisille
Lausuntopyynnön diaarinumero: Traficom/18410/09.00.02/2023
Vastausaika päättyy: 31.5.2024
Lausuntopyynnön taustatiedot
Johdanto
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus pyytää lausuntoja suositusluonnoksesta valvoville viranomaisille NIS2-direktiivin mukaisten kyberturvallisuuden riskienhallinnan toimenpiteiden valvomiseksi. Suositus perustuu liikenne- ja viestintäministeriössä valmisteilla olevaan kyberturvallisuuden riskienhallinnasta luonnosteltuun lakiin (XXXX/2024) ja julkisen hallinnon tiedonhallinnasta annettuun lakiin (906/2019, jäljempänä tiedonhallintalaki) luonnosteltuihin muutoksiin (XXXX/2024).
Tausta
Liikenne- ja viestintäministeriössä on valmisteilla lainsäädäntöä, jolla on tarkoitus panna täytäntöön NIS2-direktiivi tai kyberturvallisuusdirektiivi, eli Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta.
Valmisteilla olevan lain 9 §:ssä säädettäisiin kyberturvallisuuden riskienhallinnan toimenpiteistä. Pykälän 1 momentin mukaan toimijoiden olisi toteutettava kyberturvallisuuden riskienhallinnan toimintamallin mukaiset oikeasuhtaiset tekniset, operatiiviset tai organisatoriset hallintatoimenpiteet viestintäverkkojen ja tietojärjestelmien turvallisuudelle kohdistuvien riskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi. Pykälän 2 momentissa säädettäisiin siitä, että kyberturvallisuuden riskienhallinnan toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä olisi huomioitava ja ylläpidettävä ajantasaisena vähintään momentin kohdissa 1−12 luetellut seikat. Lausuttavana olevassa Liikenne- ja viestintäviraston suositusluonnoksessa käsitellään näihin 12 kohtaan soveltuvia käytäntöjä tarkentavin esimerkein.
Kyberturvallisuuden riskienhallinnasta annettavan lain 18 §:n mukaan Liikenne- ja viestintäviraston Kyberturvallisuuskeskus toimisi NIS2-direktiivin 8 artiklan 3 kohdassa tarkoitettuna keskitettynä yhteyspisteenä. Pykälän 2 momentin mukaan keskitetyn yhteyspisteen tehtävänä olisi myös edistää valvovien viranomaisten välistä yhteistyötä ja koordinaatiota tämän lain mukaisten tehtävien toteuttamisessa sekä antaa suosituksia valvoville viranomaisille tämän lain mukaisten vaatimusten ja valvonnan yhteensovittamiseksi.
Valmisteilla olevan lain 9 §:ssä säädettäisiin kyberturvallisuuden riskienhallinnan toimenpiteistä. Pykälän 1 momentin mukaan toimijoiden olisi toteutettava kyberturvallisuuden riskienhallinnan toimintamallin mukaiset oikeasuhtaiset tekniset, operatiiviset tai organisatoriset hallintatoimenpiteet viestintäverkkojen ja tietojärjestelmien turvallisuudelle kohdistuvien riskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi. Pykälän 2 momentissa säädettäisiin siitä, että kyberturvallisuuden riskienhallinnan toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä olisi huomioitava ja ylläpidettävä ajantasaisena vähintään momentin kohdissa 1−12 luetellut seikat. Lausuttavana olevassa Liikenne- ja viestintäviraston suositusluonnoksessa käsitellään näihin 12 kohtaan soveltuvia käytäntöjä tarkentavin esimerkein.
Kyberturvallisuuden riskienhallinnasta annettavan lain 18 §:n mukaan Liikenne- ja viestintäviraston Kyberturvallisuuskeskus toimisi NIS2-direktiivin 8 artiklan 3 kohdassa tarkoitettuna keskitettynä yhteyspisteenä. Pykälän 2 momentin mukaan keskitetyn yhteyspisteen tehtävänä olisi myös edistää valvovien viranomaisten välistä yhteistyötä ja koordinaatiota tämän lain mukaisten tehtävien toteuttamisessa sekä antaa suosituksia valvoville viranomaisille tämän lain mukaisten vaatimusten ja valvonnan yhteensovittamiseksi.
Tavoitteet
Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on laatinut tämän suositusluonnoksen kyberturvallisuuden riskienhallinnan toimenpiteistä valvoville viranomaisille. Suosituksen tarkoitus on tarjota viranomaisten käyttöön koottua tietoa siitä, millaisia tavanomaisia toimenpiteitä laissa säädettäviin vaatimuksiin voi kuulua.
Suosituksen tavoitteena on yhdenmukaistaa kansalliseen sääntelyyn liittyvää ohjausta, neuvontaa ja valvontaa yhteiskunnan tasolla. Suositus tarjoaa viranomaisille työkaluja, joita ne voivat käyttää toimijoiden kannalta ennakoivan materiaalin laatimisessa sekä neuvonnassa, ohjauksessa ja vaatimusten soveltamisessa, kuten myös mahdollisten kyberturvallisuuden riskienhallinnan toimenpiteitä koskevien määräysten laatimisessa.
Liikenne- ja viestintävirasto korostaa myös selvyyden vuoksi, että suositus ei sido viranomaisia eikä toimijoita, vaan oikeudellisesti sitovat velvoitteet säädetään laeissa, mahdollisissa komission täytäntöönpanosäädöksissä ja mahdollisissa viranomaisen määräyksissä. Liikenne- ja viestintävirasto arvioi, että oikeudellisesta sitomattomuudesta huolimatta suositus voi tukea myös toimijoiden kyberturvallisuuden riskienhallinnan suunnittelua.
Suosituksen valmistelu perustuu liikenne- ja viestintäministeriön luonnokseen laiksi kyberturvallisuuden riskienhallinnasta ja julkisen hallinnon tiedonhallinnasta annettuun lakiin luonnosteltuihin muutoksiin. Lopullinen suositus muotoutuu lakien valmistuttua.
Suosituksen tavoitteena on yhdenmukaistaa kansalliseen sääntelyyn liittyvää ohjausta, neuvontaa ja valvontaa yhteiskunnan tasolla. Suositus tarjoaa viranomaisille työkaluja, joita ne voivat käyttää toimijoiden kannalta ennakoivan materiaalin laatimisessa sekä neuvonnassa, ohjauksessa ja vaatimusten soveltamisessa, kuten myös mahdollisten kyberturvallisuuden riskienhallinnan toimenpiteitä koskevien määräysten laatimisessa.
Liikenne- ja viestintävirasto korostaa myös selvyyden vuoksi, että suositus ei sido viranomaisia eikä toimijoita, vaan oikeudellisesti sitovat velvoitteet säädetään laeissa, mahdollisissa komission täytäntöönpanosäädöksissä ja mahdollisissa viranomaisen määräyksissä. Liikenne- ja viestintävirasto arvioi, että oikeudellisesta sitomattomuudesta huolimatta suositus voi tukea myös toimijoiden kyberturvallisuuden riskienhallinnan suunnittelua.
Suosituksen valmistelu perustuu liikenne- ja viestintäministeriön luonnokseen laiksi kyberturvallisuuden riskienhallinnasta ja julkisen hallinnon tiedonhallinnasta annettuun lakiin luonnosteltuihin muutoksiin. Lopullinen suositus muotoutuu lakien valmistuttua.
Linkit
Liitteet:
Aikataulu
Kirjalliset lausunnot pyydetään toimittamaan Liikenne- ja viestintävirastolle lausuntopalvelu.fi:n kautta viimeistään 31. toukokuuta 2024.
Vastausohjeet vastaanottajille
Liikenne- ja viestintävirasto varaa teille mahdollisuuden antaa lausuntonne suositusluonnoksesta.
Lausunnot pyydetään antamaan vastaamalla lausuntopalvelu.fi:ssä julkaistuun lausuntopyyntöön. Lausuntoa ei tarvitse lähettää erikseen sähköpostitse tai postitse viraston kirjaamoon. Lausunnon antaakseen vastaajan tulee rekisteröityä ja kirjautua lausuntopalvelu.fi:hin. Tarkemmat ohjeet palvelun käyttämiseksi löytyvät lausuntopalvelu.fi:n sivulta Ohjeet > Käyttöohjeet.
Kaikki annetut lausunnot ovat julkisia ja ne julkaistaan lausuntopalvelu.fi:ssä. Lausuntoja voivat antaa myös muut kuin jakelussa mainitut tahot. Mikäli lausuntopalvelun käyttö ei ole mahdollista, lausunnot voi toimittaa myös Liikenne- ja viestintäviraston kirjaamoon osoitteeseen kirjaamo@traficom.fi. Käytäthän vastauksessasi diaaria Traficom/18410/09.00.02/2023.
Lausunnot pyydetään antamaan vastaamalla lausuntopalvelu.fi:ssä julkaistuun lausuntopyyntöön. Lausuntoa ei tarvitse lähettää erikseen sähköpostitse tai postitse viraston kirjaamoon. Lausunnon antaakseen vastaajan tulee rekisteröityä ja kirjautua lausuntopalvelu.fi:hin. Tarkemmat ohjeet palvelun käyttämiseksi löytyvät lausuntopalvelu.fi:n sivulta Ohjeet > Käyttöohjeet.
Kaikki annetut lausunnot ovat julkisia ja ne julkaistaan lausuntopalvelu.fi:ssä. Lausuntoja voivat antaa myös muut kuin jakelussa mainitut tahot. Mikäli lausuntopalvelun käyttö ei ole mahdollista, lausunnot voi toimittaa myös Liikenne- ja viestintäviraston kirjaamoon osoitteeseen kirjaamo@traficom.fi. Käytäthän vastauksessasi diaaria Traficom/18410/09.00.02/2023.
Valmistelijat
johtaja Johanna Erkkilä (johanna.erkkila@traficom.fi)
yksikönpäällikkö Eija Alavesa (eija.alavesa@traficom.fi)
tietoturva-asiantuntija Topi Talikka (topi.talikka@traficom.fi)
erityisasiantuntija Päivi Timlin (paivi.timlin@traficom.fi)
Liikenne- ja viestintävirasto Traficomin vaihde: 029 534 5000
yksikönpäällikkö Eija Alavesa (eija.alavesa@traficom.fi)
tietoturva-asiantuntija Topi Talikka (topi.talikka@traficom.fi)
erityisasiantuntija Päivi Timlin (paivi.timlin@traficom.fi)
Liikenne- ja viestintävirasto Traficomin vaihde: 029 534 5000
Jakelu:
| Energiavirasto | ||
| Etelä-Savon ELY-keskus | ||
| Finanssivalvonta | ||
| Lääkealan turvallisuus- ja kehittämiskeskus Fimea | ||
| maa- ja metsätalousministeriö | ||
| Ruokavirasto | ||
| Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira | ||
| Turvallisuus- ja kemikaalivirasto Tukes |