Lausuntopalvelu.fi

Lausuntopalvelu - Liikenne- ja viestintävirasto Traficomin lausuntopyyntö suositusluonnoksesta NIS-valvoville viranomaisille

Liikenne- ja viestintävirasto Traficomin lausuntopyyntö suositusluonnoksesta NIS-valvoville viranomaisille

Lausuntopyynnön diaarinumero: Traficom/18410/09.00.02/2023

Vastausaika on päättynyt: 31.5.2024

Lausuntopyynnön taustatiedot
Johdanto
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus pyytää lausuntoja suositusluonnoksesta valvoville viranomaisille NIS2-direktiivin mukaisten kyberturvallisuuden riskienhallinnan toimenpiteiden valvomiseksi. Suositus perustuu liikenne- ja viestintäministeriössä valmisteilla olevaan kyberturvallisuuden riskienhallinnasta luonnosteltuun lakiin (XXXX/2024) ja julkisen hallinnon tiedonhallinnasta annettuun lakiin (906/2019, jäljempänä tiedonhallintalaki) luonnosteltuihin muutoksiin (XXXX/2024).
Tausta
Liikenne- ja viestintäministeriössä on valmisteilla lainsäädäntöä, jolla on tarkoitus panna täytäntöön NIS2-direktiivi tai kyberturvallisuusdirektiivi, eli Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta.

Valmisteilla olevan lain 9 §:ssä säädettäisiin kyberturvallisuuden riskienhallinnan toimenpiteistä. Pykälän 1 momentin mukaan toimijoiden olisi toteutettava kyberturvallisuuden riskienhallinnan toimintamallin mukaiset oikeasuhtaiset tekniset, operatiiviset tai organisatoriset hallintatoimenpiteet viestintäverkkojen ja tietojärjestelmien turvallisuudelle kohdistuvien riskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi. Pykälän 2 momentissa säädettäisiin siitä, että kyberturvallisuuden riskienhallinnan toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä olisi huomioitava ja ylläpidettävä ajantasaisena vähintään momentin kohdissa 1−12 luetellut seikat. Lausuttavana olevassa Liikenne- ja viestintäviraston suositusluonnoksessa käsitellään näihin 12 kohtaan soveltuvia käytäntöjä tarkentavin esimerkein.

Kyberturvallisuuden riskienhallinnasta annettavan lain 18 §:n mukaan Liikenne- ja viestintäviraston Kyberturvallisuuskeskus toimisi NIS2-direktiivin 8 artiklan 3 kohdassa tarkoitettuna keskitettynä yhteyspisteenä. Pykälän 2 momentin mukaan keskitetyn yhteyspisteen tehtävänä olisi myös edistää valvovien viranomaisten välistä yhteistyötä ja koordinaatiota tämän lain mukaisten tehtävien toteuttamisessa sekä antaa suosituksia valvoville viranomaisille tämän lain mukaisten vaatimusten ja valvonnan yhteensovittamiseksi.
Tavoitteet
Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on laatinut tämän suositusluonnoksen kyberturvallisuuden riskienhallinnan toimenpiteistä valvoville viranomaisille. Suosituksen tarkoitus on tarjota viranomaisten käyttöön koottua tietoa siitä, millaisia tavanomaisia toimenpiteitä laissa säädettäviin vaatimuksiin voi kuulua. 

Suosituksen tavoitteena on yhdenmukaistaa kansalliseen sääntelyyn liittyvää ohjausta, neuvontaa ja valvontaa yhteiskunnan tasolla. Suositus tarjoaa viranomaisille työkaluja, joita ne voivat käyttää toimijoiden kannalta ennakoivan materiaalin laatimisessa sekä neuvonnassa, ohjauksessa ja vaatimusten soveltamisessa, kuten myös mahdollisten kyberturvallisuuden riskienhallinnan toimenpiteitä koskevien määräysten laatimisessa. 

Liikenne- ja viestintävirasto korostaa myös selvyyden vuoksi, että suositus ei sido viranomaisia eikä toimijoita, vaan oikeudellisesti sitovat velvoitteet säädetään laeissa, mahdollisissa komission täytäntöönpanosäädöksissä ja mahdollisissa viranomaisen määräyksissä. Liikenne- ja viestintävirasto arvioi, että oikeudellisesta sitomattomuudesta huolimatta suositus voi tukea myös toimijoiden kyberturvallisuuden riskienhallinnan suunnittelua. 

Suosituksen valmistelu perustuu liikenne- ja viestintäministeriön luonnokseen laiksi kyberturvallisuuden riskienhallinnasta ja julkisen hallinnon tiedonhallinnasta annettuun lakiin luonnosteltuihin muutoksiin. Lopullinen suositus muotoutuu lakien valmistuttua.
Linkit
Liitteet:
Aikataulu
Kirjalliset lausunnot pyydetään toimittamaan Liikenne- ja viestintävirastolle lausuntopalvelu.fi:n kautta viimeistään 31. toukokuuta 2024.
Vastausohjeet vastaanottajille
Liikenne- ja viestintävirasto varaa teille mahdollisuuden antaa lausuntonne suositusluonnoksesta.

Lausunnot pyydetään antamaan vastaamalla lausuntopalvelu.fi:ssä julkaistuun lausuntopyyntöön. Lausuntoa ei tarvitse lähettää erikseen sähköpostitse tai postitse viraston kirjaamoon. Lausunnon antaakseen vastaajan tulee rekisteröityä ja kirjautua lausuntopalvelu.fi:hin. Tarkemmat ohjeet palvelun käyttämiseksi löytyvät lausuntopalvelu.fi:n sivulta Ohjeet > Käyttöohjeet. 

Kaikki annetut lausunnot ovat julkisia ja ne julkaistaan lausuntopalvelu.fi:ssä. Lausuntoja voivat antaa myös muut kuin jakelussa mainitut tahot. Mikäli lausuntopalvelun käyttö ei ole mahdollista, lausunnot voi toimittaa myös Liikenne- ja viestintäviraston kirjaamoon osoitteeseen [email protected]. Käytäthän vastauksessasi diaaria Traficom/18410/09.00.02/2023.
Valmistelijat
johtaja Johanna Erkkilä ([email protected]
yksikönpäällikkö Eija Alavesa ([email protected]
tietoturva-asiantuntija Topi Talikka ([email protected])
erityisasiantuntija Päivi Timlin ([email protected])

Liikenne- ja viestintävirasto Traficomin vaihde: 029 534 5000
Jakelu:
Energiavirasto    
Etelä-Savon ELY-keskus    
Finanssivalvonta    
Lääkealan turvallisuus- ja kehittämiskeskus Fimea    
maa- ja metsätalousministeriö    
Ruokavirasto    
Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira    
Turvallisuus- ja kemikaalivirasto Tukes