Uusien kyberturvallisuutta koskevien sääntöjen myötä yritysten, jotka tarjoavat esim. energia-, liikenne-, pankki- tai terveysalan tai digitaalisen infrastruktuurin keskeisiä palveluita, on parannettava kykyään suojautua kyberhyökkäyksiltä. Parlamentti hyväksyi ensimmäiset EU:n laajuiset kyberturvallisuutta koskevat säännöt keskiviikkona.
Yhteisten kyberturvallisuutta koskevien vähimmäisvaatimusten avulla ja EU-maiden välistä yhteistyötä tiivistämällä pyritään estämään tärkeisiin toisiinsa kytköksissä oleviin infrastruktuureihin kohdistuvia kyberhyökkäyksiä ja auttamaan yrityksiä suojautumaan niiltä.
“Kyberturvallisuuteen liittyvät vaaratilanteet ovat hyvin usein kansainvälisiä ja ne koskevat siten useita maita. Kyberturvallisuutta koskevien sääntöjen sirpaleisuus tekee meistä kaikista haavoittuvaisia ja muodostaa siten ison turvallisuusriskin koko Euroopalle. Direktiivin myötä luodaan verkko- ja tietoturvan yhteinen vähimmäistaso ja lujitetaan yhteistyötä EU-maiden kesken, jotta voitaisiin estää tärkeisiin toisiinsa kytköksissä oleviin infrastruktuureihin kohdistuvia kyberhyökkäyksiä”, mietinnön esittelijänä toiminut parlamentin jäsen Andreas Schwab (EPP, Saksa) sanoi.
Schwab muistutti, että EU:n verkko- ja tietoturvadirektiivi (NIS) on yksi ensimmäisistä lainsäädännöllisistä kehyksistä, joka koskee verkkoalustoja. “Direktiivillä luodaan yhdenmukaiset verkkoalustoja koskevat yhdenmukaiset vaatimukset ja säännöt digitaalisten sisämarkkinoiden strategian mukaisesti, missä tahansa EU-maassa ne toimivatkin”, hän sanoi ja totesi, että kyseessä on ensimmäinen iso askel kohti verkkoalustoja koskevan kattavan lainsäädännön luomista.
Luettelo keskeisiä palveluita tuottavista yrityksistä
Uudessa EU-laissa määritetään turvallisuus- ja raportointivaatimukset keskeisten palveluiden tarjoajille, jotka toimivat esimerkiksi energia-, liikenne-, terveys- ja pankkialoilla. EU-maiden on määriteltävä itse kunkin direktiivissä mainitun toimialan osalta ne yritykset, jotka täyttävät keskeisten palvelujen tarjoajien kriteerit. Yrityksiä määriteltäessä harkitaan esimerkiksi sitä, tarjoaako toimija palvelua, joka on keskeinen yhteiskunnan ja/tai talouden kriittisten toimintojen ylläpitämiseksi tai olisiko poikkeamalla merkittäviä haitallisia vaikutuksia kyseisen palvelun tarjoamiseen.
Joidenkin digitaalisten palveluiden tarjoajien, kuten verkkokauppojen, hakukoneiden ja pilvipalveluiden on myös varmistettava käyttämänsä infrastruktuurin turvallisuus ja ilmoitettava vakavista rikkeistä kansallisille viranomaisille. Turvallisuus- ja ilmoitusvelvollisuudet ovat kuitenkin löyhempiä digitaalisten palveluiden tarjoajille. Velvoitteet eivät koske kaikkein pienimpiä digitaalisia palveluita tuottavia yrityksiä.
EU:n laajuista yhteistyötä
Sääntöjen myötä perustetaan erityinen strateginen yhteistyöryhmä tietojen vaihtamisen tukemiseksi ja verkko- ja tietojärjestelmien yhtenäisen suojan varmistamiseksi. Lisäksi jokaisen EU-maan on hyväksyttävä verkko- ja tietojärjestelmien turvallisuutta koskeva kansallinen strategia.
EU-maiden on myös perustettava tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (CSIRT-toimijat) verkosto, joka käsittelee poikkeamia ja niihin liittyviä riskejä, keskustelee rajat ylittävistä tietoturvapoikkeamista ja määrittelee koordinoituja vastauksia.
Euroopan verkko- ja tietoturvavirastolla (ENISA) tulee olemaan merkittävä rooli direktiivin täytäntöönpanossa, erityisesti yhteistyön osalta. Direktiivin eri osioissa on otettu huomioon tietosuojaa koskevat säännöt.
Seuraavaksi
Direktiivi julkaistaan pian EU:n virallisessa lehdessä. Direktiivi astuu voimaan 20. päivänä sen julkaisusta. Jäsenmailla on sen jälkeen 21 kuukautta saattaa direktiivi osaksi kansallista lainsäädäntöä ja 6 lisäkuukautta identifioida keskeisten palveluiden tarjoajat.
Menettely: Yhteispäätösmenettely (tavallinen lainsäätämisjärjestys), 2. käsittely