NIS2-direktiivi ja talous­hallinto­ala

Tämä verkkoartikkeli on suunnattu tilitoimistojen ja ohjelmistoyritysten johdolle ja tietoturva-asiantuntijoille. Tarkoituksena on johdattaa lukija NIS2-direktiivin keskeisiin vaatimuksiin. Artikkelin lopusta löydät linkit direktiiviin esittelyaineistoihin sekä kansallisen lainsäädännön valmisteluasiakirjoihin ja luonnoksiin.
16.1.2024 Janne Fredman Kuva iStock

Mikä ihmeen NIS2?

NIS2 eli verkko- ja tietoturvadirektiivi on EU:n laajuinen kyberturvallisuutta koskeva lakikokonaisuus. Tavoitteena on yhtenäistää ja parantaa EU:n kyberturvallisuuden yleistä tasoa. NIS2 korvaa aiemman NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia. Eräs asiantuntija kiteytti direktiivin tavoitteet ja merkityksen osuvasti: NIS2 on tietoturvalle sama asia kuin tietosuoja-asetus (GDPR) on henkilötiedoille ja tietosuojalle. Direktiivi säädetään osaksi Suomen lainsäädäntöä tänä vuonna. Tavoiteaikataulu on lokakuu 2024. Yritysten kannalta keskeisin direktiivin perusteella säädettävä uusi kansallinen säädös on laki kyberturvallisuuden riskienhallinnasta.

Alkuperäisen NIS-direktiivin perusteella säädetty laki sähköisen viestinnän palveluista on ollut voimassa Suomessa useita vuosia. Tämäkin laki on asettanut monille ohjelmistoyrityksille ja tilitoimistoille merkittäviä velvoitteita tietoturvan kehittämiseen ja dokumentoimiseen. Laki on kuitenkin jäänyt varsin vähälle huomiolle pienemmissä yrityksissä. Uuteen NIS2-direktiiviin ja sen perusteella säädettävään lainsäädäntöön sisältyvät rekisteröitymisvelvoite ja sanktiot pakottavat yritykset toimimaan.

Mitkä yritykset ovat direktiivin kohteina?

Direktiiviä sovelletaan yritykseen joitakin poikkeuksia lukuun ottamatta kahden perusteen täyttyessä: yritys toimii direktiivissä nimetyllä toimialalla ja yritys ylittää direktiivissä esitetyt kokorajat.

Yritys toimii tietyllä toimialalla

Direktiivin ja kansallisen lakiesitysluonnoksen liitteissä 1 ja 2 on esitetty toimialat, jotka ovat direktiivin piirissä. Toimialat ovat käytännössä yhteiskunnan toimivuuden ja huoltovarmuuden kannalta keskeisiä toimialoja. Esimerkkeinä voidaan mainita liikenne, terveydenhuolto, energia-ala, rahoitusala ja jätehuolto. Taloushallinto- ja IT-alan näkökulmasta keskeinen toimiala on liitteen 1 kohdassa 6 mainittu digitaalinen infrastruktuuri ja sen alakohtina erityisesti pilvipalvelun tarjoajat sekä datakeskuspalvelun tarjoajat.

Pilvipalvelua kehittävä ja tuottava ohjelmistoyritys on selvästi direktiivin piirissä. Jos tilitoimisto tarjoaa asiakkailleen itse kehittämäänsä ohjelmistoa pilvipalveluna se myös luonnollisesti direktiivin piirissä, kuten mikä tahansa muukin ohjelmistotalo.

Jos tilitoimisto tarjoaa asiakkailleen ohjelmistotalon tuottamaa ja ylläpitämää kirjanpito- tai palkkaohjelmistoa tai muuta ohjelmistoa, se on direktiivin piirissä, jos se huolehtii esimerkiksi käyttäjähallinnasta, tarjoaa pääsynhallinnan ohjelmistoon oman sivustonsa tunnistautumisen kautta tai muutoin hallinnoi pilvipalvelun käyttöä. Jos taas tilitoimisto toimii vain pilvipalvelun jälleenmyyjänä, eikä varsinaisesti hallinnoi mitään pilvipalvelun käyttöön liittyviä palveluita, tilitoimisto ei lähtökohtaisesti kuulu NIS2-sääntelyn piiriin.

Yritys täyttää määrätyt kokovaatimukset

Yritys on direktiivin kohteena, jos se toimialavaatimuksen lisäksi ylittää määrätyn kokorajan. Kokorajana on komission suosituksen 2003/361/EY kynnysarvojen mukainen pienen yrityksen rajat ylittävä eli keskisuuri yritys:

  • yrityksen palveluksessa on vähintään 50 työntekijää tai
  • sekä vuosiliikevaihto että taseen loppusumma ylittävät 10 miljoonaa euroa

Kokorajoja tarkastellaan lähtökohtaisesti yhtiöittäin. Lainvalmistelijoilta on lakiluonnoksesta annetuissa lausunnoista pyydetty tietoa, voidaanko yhtiökohtaisista kokorajoista kuitenkin poiketa konsernisuhteen tai määräysvallan perusteella.

Yrityksen koko vaikuttaa myös viranomaisvalvontaan. Jos yritys ylittää komission suosituksen 2003/361/EY keskisuuren yrityksen kokorajat (yli 250 työntekijää tai liikevaihto 50 miljoonaa euroa ja tase yli 43 miljoonaa euroa), se katsotaan keskeiseksi toimijaksi. Tällöin valvova viranomainen, pilvipalvelujen saralla Traficom, voi suorittaa yrityksen toimintaan ennakkovalvontaa.  Pienempiin yrityksiin eli keskisuuriin yrityksiin suoritetaan ennakkovalvontaa yleensä vain, jos on perusteltu syy epäillä, että kyseinen toimija ei ole noudattanut lakia, sen nojalla annettuja määräyksiä tai NIS2-direktiivin nojalla annettuja säädöksiä.

Direktiivin vaatimukset

Direktiivi ja sen pohjalta säädettävä kansallinen lainsäädäntö asettaa yrityksille kolme velvoitetta: riskienhallinta, raportointi merkittävistä poikkeamista ja toimijaluetteloon ilmoittautuminen. Käsittelen alla näitä velvoitteita lakiesitysluonnoksen laki kyberturvallisuuden riskienhallinnasta pohjalta. Säädösviittaukset kohdistuvat lakiesitysluonnoksen pykäliin. Lain sisältöön voi luonnollisesti tulla muutoksia valmistelun ja eduskuntakäsittelyn aikana.

Riskienhallinta

Riskienhallintaa käsitellään lakiesityksen 7–9 §:ssä. Logiikka on varsin johdonmukainen: riskienhallinnan velvoitteesta (7 §) siirrytään velvoitteeseen luoda ja dokumentoida riskienhallinnan toimintamalli (8 §) ja viimein velvoitteeseen konkreettisten riskienhallintatoimien toteuttamiseen (9 §).

7 §:ssä asetetaan yrityksille velvoite riskienhallintaan:

“Toimijan on tunnistettava, arvioitava ja hallittava riskejä, joita kohdistuu sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Kyberturvallisuuden riskienhallinnalla tulee estää tai minimoida poikkeamien vaikutus toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin.

Toimijan on toteutettava turvallisuus- ja riskienhallintatoimenpiteet, jotka ovat ajantasaisia, oikeasuhtaisia ja riittäviä suhteessa toiminnassa käytettäville viestintäverkoille ja tietojärjestelmille aiheutuviin riskeihin sekä viestintäverkon tai tietojärjestelmän merkitykseen toimijan toiminnan ja palveluntarjonnan kannalta.”

8 §:ssä asetetaan yrityksille velvoite luoda riskienhallinnan toimintamalli:

Toimijalla on oltava käytössä ajantasainen kyberturvallisuuden riskienhallinnan toimintamalli viestintäverkkojen ja tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta. Kyberturvallisuuden riskienhallinnan toimintamallissa on tunnistettava viestintäverkkoihin ja tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvat riskit kaikki vaaratekijät huomioivan lähestymistavan mukaisesti. Kyberturvallisuuden riskienhallinnan toimintamallissa on määritettävä ja kuvattava toimenpiteet, joilla viestintäverkkoja ja tietojärjestelmiä ja niiden fyysistä ympäristöä suojataan riskeiltä ja poikkeamilta (jäljempänä hallintatoimenpiteet).

Hallituksen esitysluonnoksen säädöskohtaisista perusteluista voimme lukea, että toimintamallin tulee olla varsin kattava ja riskit laajasti huomioiva:

Kyberturvallisuuden riskienhallinnan toimintamalli tulisi luoda kaikki vaaratekijät huomioivan lähestymistavan (all-hazard approach) mukaisesti kattamaan sekä viestintäverkot ja tietojärjestelmät että niiden fyysinen ympäristö. Tarkoituksena on suojata viestintäverkkojen ja tietojärjestelmien sekä niiden avulla harjoitettua toimintaa tai tarjottavia palveluita tietoturvaloukkauksilta, järjestelmähäiriöiltä, inhimillisiltä virheiltä, vihamielisiltä teoilta ja luonnonilmiöiltä.

Kaikki vaaratekijät huomioivassa lähestymistavassa tulisi siis huomioida kaikki kohtuudella ennakoitavissa olevat viestintäverkkoihin ja tietojärjestelmiin kohdistuvat uhkatekijät, olivat ne sitten tietoturvauhkien, luonnon tai ihmisen aiheuttamia, onnettomuuksia tai tahallaan aiheutettuja. Kaikki vaaratekijät huomioivan lähestymistavan tulisi kattaa viestintäverkkojen ja tietojärjestelmien tietoturvallisuusriskit kuten hallinnollisen, henkilöstö-, laitteisto- ja ohjelmisto-, tietoaineisto- sekä käyttöturvallisuuden riskit ja niiden fyysisen ympäristön, toimitilojen ja välttämättömien resurssien osalta sellaisia tapahtumia, kuten varkaus, tulipalo, tulva, televiestintähäiriö tai sähkökatko, luvaton fyysinen pääsy toimijan tietoihin tai tietojenkäsittely-ympäristöön sekä vahinko ja häirintä, joka vaarantaisi viestintäverkoissa ja tietojärjestelmissä tai niiden välityksellä käsiteltävien tietojen tai palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden.

Toimintamallin luomisvelvoite asettaa yrityksille selkeän velvoitteen toteuttaa riskinhallintaa ennakoivasti ja dokumentoidusti. Samalla se luo pohjaa viranomaisen suorittamalle valvonnalle. Onko toimintamalli luotu? Onko toteutunut toiminta toimintamallin mukaista?

Tässä voidaan hakea analogiaa useimmille tutusta rahanpesun riskiarviosta. Sekin asettaa yrityksille aktiivisen suunnittelu- ja dokumentaatiovelvoitteen ja luo erinomaisen lähtökohdan Aluehallintoviraston tarkastustoiminnalle.

9 §:ssä asetetaan yrityksille velvoitteet suorittaa tietyt kyberturvallisuuden riskienhallinnan toimenpiteet:

“Toimijoiden on toteutettava kyberturvallisuuden riskienhallinnan toimintamallin mukaiset oikeasuhtaiset tekniset, operatiiviset tai organisatoriset hallintatoimenpiteet viestintäverkkojen ja tietojärjestelmien turvallisuudelle kohdistuvien riskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi.”

“1) kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja riskienhallinnan toimenpiteiden vaikuttavuuden arviointi;

2) viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet; 

3) viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen;

4) toimitusketjun toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, tuotteisiin ja palveluihin sisällytetyt kyberturvallisuusriskien hallintatoimenpiteet sekä toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt;

5) omaisuudenhallinta ja turvallisuuden kannalta tärkeiden toimintojen tunnistaminen;

6) henkilöstöturvallisuus ja kyberturvallisuuskoulutus;

7) pääsynhallinnan ja todentamisen menettelyt;

8) salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttöön;

9) poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi;

10) varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö toimijan toiminnassa; 

11) perustason kyberhygieniakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi; sekä

12) toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi.”

Hallituksen esitysluonnoksen säädöskohtaisissa perusteluissa (linkki jäljempänä) on kuvattu yksityiskohtaisemmin toimenpiteiden tarkoitusta ja sisältöä. Oman näkemykseni mukaan toimenpiteiden suunnittelu ja toteutus tilitoimiston ja asiakasyritysten hyödyntämissä talous- ja henkilöstöhallinnon pilvipalveluissa edellyttää koko toimitus/arvoketjun sujuvaa yhteispeliä, koska toiminnot ja vastuut voivat jakautua usealle yritykselle, esimerkiksi seuraavalla mallilla:

  • tilitoimisto hoitaa käyttäjähallintaa
  • ohjelmistotalo kehittää ja ylläpitää ohjelmistoa ja hoitaa muun muassa pääsynhallinnan
  • datakeskuspalveluyritys pyörittää ohjelmistoa palvelimillaan

Kukin toimija on velvollinen suunnittelemaan, dokumentoimaan ja toteuttamaan oman vastuualueensa toimet, mutta se ei voi toteuttaa toisen osapuolen vastuulla olevia toimia. Se voi korkeintaan ohjata niitä esimerkiksi sopimusteitse. Käytännössä kunkin osapuolen laatima riskienhallinnan toimintamalli tulee täsmäyttää toimitusketjun muiden toimijoiden toimintamalliin, jotta toimiin ei jää aukkopaikkoja ja kokonaisuus toimii optimaalisesti.

9 §:ssä säädetään myös toimenpiteiden suhteuttamisesta esimerkiksi toiminnan laajuuteen, vaikutukseen, riskin suuruuteen, kustannuksiin sekä käytettävissä oleviin mahdollisuuksiin torjua uhka.

Toimenpiteet on suhteutettava toiminnan laatuun ja laajuuteen, toimijan poikkeamasta kohtuudella ennakoitavissa oleviin välittömiin vaikutuksiin, toimijan viestintäverkkojen ja tietojärjestelmien riskialttiuteen, poikkeamien todennäköisyyteen ja vakavuuteen, toimenpiteistä aiheutuviin kustannuksiin sekä ajantasainen kehitys huomioiden käytettävissä oleviin teknisiin mahdollisuuksiin torjua uhka.

Yllä luetellut 9 §:n toimenpiteet on myös dokumentoitava riskienhallinnan toimintamalliin. Pykälässä säädetään myös, että valvova viranomainen (pilvipalveluissa Traficom) voi antaa tarkempia teknisiä määräyksiä esimerkiksi kyberturvallisuuden riskienhallinnan toimintamallissa huomioitavista osa-alueista, pääsynhallinnan, todentamisen ja salauksen menetelmistä sekä viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön, tilaturvallisuuden ja välttämättömien resurssien hallintatoimenpiteistä. Traficom onkin jo kertonut sivuillaan (linkki jäljempänä) että se julkaisee suosituksia vaiheittain vuoden 2024 aikana.

Poikkeamailmoitukset

Pykälissä 11–14 säädetään poikkeamailmoituksista. Keskeiset velvoitteet ovat:

Poikkeamailmoitukset viranomaiselle (11 §)

Yrityksen on ilmoitettava viipymättä valvovalle viranomaiselle (pilvipalveluissa Traficom) merkittävästä poikkeamasta. Merkittävällä poikkeamalla tarkoitetaan poikkeamaa,

  • joka on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai
  • asianomaiselle toimijalle taloudellisia tappioita taikka
  • poikkeama on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa

Ensi-ilmoitus on tehtävä 24 tunnin kuluessa poikkeaman havaitsemisesta ja jatkoilmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta. Ensi-ilmoituksessa on ilmoitettava muun muassa siitä, epäilläänkö merkittävän poikkeaman johtuvan rikoksesta tai muusta lainvastaisesta tai vihamielisestä teosta.

Poikkeaman loppuraportti (13 §)

Ilmoitus on tehtävä kuukauden kuluessa jatkoilmoituksen toimittamisesta tai pitkäkestoisen poikkeaman kohdalla kuukauden kuluessa sen käsittelyn päättymisestä ja siitä on käytävä ilmi

1) yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista

2) poikkeaman todennäköisesti aiheuttaneen uhkan tai juurisyyn tyyppi

3) toteutetut ja meneillään olevat toimenpiteet vaikutusten lieventämiseksi ja

4) mahdolliset rajat ylittävät vaikutukset

Poikkeamasta ja kyberuhkasta ilmoittaminen muulle kuin viranomaiselle (14 §)

Pykälässä asetetaan selkeä velvoite tiedottaa asiakkaita viipymättä, jo silloin kun on todennäköistä, että palvelun tarjoaminen vaarantuu. Merkittävistä kyberuhista tulee ilmoittaa asiakkaalle, kun asia saattaa vaikuttaa näihin. Myös viranomaisella on mahdollisuus hoitaa tiedotus, jos yritys laiminlyö velvoitteensa.

Toimijan on ilmoitettava viipymättä merkittävästä poikkeamasta palvelujensa vastaanottajille, jos merkittävä poikkeama todennäköisesti haittaa toimijan palvelujen tarjoamista. Toimijan on ilmoitettava viipymättä merkittävästä kyberuhkasta sekä kyberuhkan hallitsemiseksi käytettävissä olevista toimenpiteistä niille palvelujensa vastaanottajille, joihin merkittävä kyberuhka saattaa vaikuttaa. Jos merkittävästä poikkeamasta ilmoittaminen on yleisen edun mukaista, valvova viranomainen voi velvoittaa toimijan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.

Eräissä tapauksissa pilvipalveluyritykset ovat tiedottaneet palvelunestohyökkäyksistä tai epäillyistä tietomurroista viiveellä tai laiminlyöneet tiedottamisen kokonaan, joten tiukempi säätely määräaikoineen ja sanktioineen on mielestäni tarpeen ja perusteltua.

Rekisteröityminen toimijaluetteloon

Kolmantena vaatimuksena yrityksen on ilmoittauduttava valvovalle viranomaiselle (pilvipalvelut, Traficom) toimijaluetteloon (43 §) 1.1.2025 mennessä. Yrityksen on ilmoitettava esimerkiksi yhteystietonsa, ip-osoitealueensa, onko yritys keskeinen toimija sekä missä EU-maissa yritys tarjoaa palveluja. Toimijaluettelon merkitys on kyberturvan kannalta keskeinen. Sen perusteella viranomainen voi tiedottaa erilaisista uhista, toimittaa ohjeistusta sekä kohdentaa valvontaa.

Viranomaisvalvonta

Viranomaisvalvontaa koskevat säädökset löytyvät lakiesitysluonnoksen 25 §:stä alkaen. 26 §:n mukaan viranomainen voi kohdistaa keskeisiin toimijoihin ennakkovalvontaa. Muuhun kuin keskeiseen toimijaan viranomainen suorittaa valvontatoimia, vain kun on perusteltu syy epäillä, että kyseinen toimija ei ole noudattanut tätä lakia, sen nojalla annettuja määräyksiä tai NIS2-direktiivin nojalla annettuja säädöksiä.

Valvovan viranomaisen toimivaltuuksia ja keinoja olisivat esimerkiksi tiedonsaantioikeus ja tietopyynnöt (27 §). Viranomainen voi esimerkiksi vaatia nähtäväkseen yrityksen riskienhallinnan toimintamallin sekä vaatia näyttöä kyberturvallisuusperiaatteiden täytäntöönpanosta.

29 §:ssä säädetään viranomaisen tarkastusoikeudesta, jotta se voi varmistua lakivelvoitteiden noudattamisesta. Tarkastus voidaan tehdä yrityksen tiloissa tai tietojärjestelmässä. Lisäksi viranomainen voi tarkastaa kirjallista aineistoa, kuten toimijan laatimia toimintakäsikirjoja, ohjeita ja prosessikuvauksia sekä koulutuskirjanpitoa.

30 §:ssä säädetään turvallisuusauditoinnin teettämisestä. Viranomainen voi velvoittaa yrityksen teettämään omalla kustannuksellaan turvallisuusauditoinnin.  Auditointi voitaisiin teettää, jos toimijaan olisi kohdistunut merkittävä poikkeama, joka on aiheuttanut palvelujen vakavan toimintahäiriön tai huomattavaa aineellista tai aineetonta vahinkoa, tai että toimijan olisi havaittu olennaisesti ja vakavasti laiminlyöneen toteuttaa kyberturvallisuuden riskienhallintaa taikka muutoin toimineen olennaisesti ja vakavasti laissa tai sen nojalla taikka NIS2-direktiivin nojalla säädetyn velvoitteen vastaisesti.

Lisäksi viranomainen voisi 31 §:n nojalla antaa valvontapäätöksiä, huomautuksia ja varoituksia. Viranomainen voi esimerkiksi antaa yritykselle velvoittavan päätöksen lain, sen nojalla annetun määräyksen tai NIS2-direktiivin nojalla annetun säädöksen vastaisen toiminnan korjaamiseksi. Viranomainen voisi myös velvoittaa keskeisen toimijan julkistamaan nämä toimintansa puutteet.

Sanktioista

Sanktiot lain ja määräysten rikkomuksista ovat tietosuoja-asetuksesta tuttua taattua EU-tasoa. Säädökset seuraamusmaksusta löytyvät 37 §:stä alkaen. Hallinnollinen seuraamusmaksu (37 §) voidaan määrätä yritykselle, joka tahallaan tai törkeästä huolimattomuudesta laiminlyö esimerkiksi riskienhallintavelvoitteen noudattamisen, kyberturvallisuuden riskienhallinnan toimintamallin laatimisen tai 9 §:ssä edellytettyjen turvallisuustoimenpiteiden tekemisen.

Hallinnollisen seuraamusmaksun määrä (39 §) perustuu kokonaisarviointiin, jossa otetaan huomioon tapauksen olosuhteet sekä esimerkiksi rikkomisen vakavuus ja rikottujen säännösten tärkeys siten, että rikkomisen vakavuutta osoittaa a) väärinkäytösten toistuvuus b) merkittävien poikkeamien jättäminen ilmoittamatta tai korjaamatta c) havaittujen puutteiden jättäminen korjaamatta valvovan viranomaisen päätöksistä, huomautuksista tai varoituksista huolimatta d) valvovan viranomaisen tarkastuksen estäminen tai määrätyn auditoinnin teettämättä jättäminen e) riskienhallinnasta tai merkittävistä poikkeamista viranomaiselle liittyvien väärien tai harhaanjohtavien tietojen antaminen. Lisäksi esimerkiksi rikkomuksen kesto, aiemmat vastaavat rikkomukset ja aiheutunut vahinko vaikuttavat arviointiin.

Hallinnollisen seuraamusmaksun enimmäismäärä keskeiselle toimijalle on 10 000 000 euroa tai kaksi prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Hallinnollisen seuraamusmaksun enimmäismäärä muulle kuin keskeiselle toimijalle on 7 000 000 euroa tai 1,4 prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

10 §:n mukaan Toimijan johto vastaa kyberturvallisuuden riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan. Johdolla tarkoitetaan toimijan hallitusta, hallintoneuvostoa, toimitusjohtajaa, tai muussa niihin rinnastettavassa asemassa olevaa, sekä toimitusjohtajan välittömään alaisuuteen kuuluvissa tehtävissä, jotka ovat toimijan ylimpiä johtotehtäviä tai joissa tosiasiallisesti johdetaan sen toimintaa, toimivaa tahoa. Käytännössä siis myös yrityksen tietohallintojohtaja on yleensä vastuussa lain velvoitteiden noudattamisesta.

Mielenkiintoisena piirteenä NIS2-direktiivin 20,1 artiklassa edellytetään, että jäsenvaltioiden on varmistettava, että keskeisten ja tärkeiden toimijoiden hallintoelimet hyväksyvät näiden toimijoiden 21 artiklan noudattamiseksi toteuttamat kyberturvallisuusriskien hallintatoimenpiteet ja valvovat mainitun artiklan täytäntöönpanoa ja että nämä hallintoelimet voidaan saattaa vastuuseen, jos toimijat rikkovat kyseistä artiklaa.

Taloushallintoliiton näkemyksiä ja toiveita lainvalmistelijoille

Tilitoimiston näkökulmasta direktiivin positiivisena vaikutuksena on se, että ohjelmistoyritykset panostavat yhä enemmän palvelujensa tietoturvaan. Samalla suuremmat tilitoimistot joutuvat panostamaan myös itse tietoturvan suunnitelmalliseen kehittämiseen. Tästä aiheutuu kustannuksia, mutta asialla on myös riskinhallinnallisia ja markkinoinnillisia hyötyjä.

Hallituksen esitysluonnoksesta antamassamme lausunnossa korostimme seuraavia seikkoja:

Konsernin tai tosiasiallisen määräysvallan huomioiminen yritysten kokorajojen tarkastelussa

Ymmärtääkseni yritysten kokorajojen määrittely perustuu yhtiökohtaiseen käsittelyyn. Jos kuitenkin tietyissä tilanteissa tulee tai voi tulla sovellettavaksi konserniin tai tosiasialliseen määräysvaltaan perustuva käsittely, asia tulisi kuvata selkeästi lainsäädännössä tai muussa viranomaisohjeistuksessa.

Viranomaistulkinta, kuuluuko yritys lainsäädännön kohderyhmään

Yritysten oikeusturva edellyttää, että yritykselle olisi mahdollisuus muodostaa selkeä ja riittävän varma näkemys siitä, onko yritys toimialan piirissä. Viranomainen voisi antaa tulkintaohjeita esimerkiksi lakia alemman tasoisella säätelyllä. Lisäksi jokaisella yrityksellä tulisi olla mahdollisuus saada itseään koskeva viranomaistulkinta siitä, onko se toimintansa osalta lainsäädännön piirissä.

Kokonaisarvoketjussa vähäistä roolia hoitavien yrityksen tulisi jäädä lakivelvoitteiden ulkopuolelle

Jos esimerkiksi pilvipalvelujen arvoketjussa tietyn yrityksen rooli ei ole kokonaisuuden ja riskinhallinnan osalta olennainen, sen ei tulisi katsoa olevan toimialan piirissä. Näin voisi olla esimerkiksi tilanteessa, jossa yritys myy edelleen pilvipalvelun tuottajan palvelua ja yritys hoitaa palvelun tuottamisessa vain rajattua tehtävänkuvaa, esimerkiksi käyttäjähallintaa pilvipalvelun tuottajan ohjeistuksen mukaisesti. Tämä yritys ei muilta osin voi vaikuttaa riskienhallintavelvoitteen toteutumiseen.

Riskienhallinnan toteuttaminen arvoketjun yhteistyönä

Kunkin arvoketjussa toimivan yrityksen tulee omalta osaltaan toteuttaa relevantit riskienhallinnan toimenpiteet. Osa 9 §:n Kyberturvallisuuden riskienhallinnan toimenpiteet toimenpiteistä ei kuitenkaan ole relevantteja kaikille arvoketjun yrityksille.

Lainsäädännön tulisi mahdollistaa toimintamalli, jossa arvoketjun yritykset voivat toteuttaa yhdessä 9 §:n edellyttämät toimenpiteet, jolloin myös vastuukysymykset koskisivat vain kustakin toimenpiteestä vastaavaa yritystä. Ei ole kohtuullista, että lainsäädännön kautta arvoketjussa toimivat yritykset joutuisivat tosiasiallisesti yhteisvastuuseen ja joutuisivat vastaamaan myös sellaisista toimista, joihin niillä ei ole tosiasiallista mahdollisuutta vaikuttaa.

Soveltamisohjeistusta ja keskusteluyhteyttä viranomaisen ja yritysten välillä tarvitaan

Lain yhdenmukainen soveltaminen edellyttää tarkentavia toimialakohtaisia keskusteluja arvoketjun yritysten ja ohjeistavien/valvovien viranomaisten kesken. Näiden keskustelujen pohjalta tulisi laatia esimerkiksi toimialojen yritysten yhteisiä toimintamalleja ja suosituksia, joissa olisi huomioitu viranomaisen näkemykset ja vaatimukset. Esimerkiksi Traficom voisi järjestää soveltamista käsitteleviä työpajoja toimialan digitaalinen infrastruktuuri yrityksille.

Asiantuntijana
Janne Fredman johtava asiantuntija, Taloushallintoliitto