EU:n verkko- ja tietoturvadirektiivi kansallisesti voimaan 9.5.2018
Euroopan parlamentti ja neuvosto antoivat direktiivin (ns. NIS-direktiivi) toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa ((EU) 2016/1148) 6.7.2016. Direktiivin mukainen kansallinen lainsäädäntö ja sen velvoitteet tulevat voimaan 9.5.2018. Ennen kaikkea velvoitteet koskevat huoltovarmuuskriittisiä yrityksiä ja keskeisiä digitaalisten palveluntarjoajia.
Direktiivin yleisenä tavoitteena on kasvattaa suojan tasoa verkko- ja tietoturvaloukkauksia, -riskejä ja -uhkia vastaan. Tarkoituksena on saavuttaa korkeatasoinen verkko- ja tietojärjestelmien turvallisuus EU:n alueella parantamalla varautumista kansallisella tasolla, lisäämällä EU-tason yhteistyötä sekä säätämällä riskienhallinta- ja raportointivelvoitteita keskeisille palveluntarjoajille sekä tietyille digitaalisten palveluiden tarjoajille.
Jäsenvaltiot velvoitetaan määrittämään direktiivin soveltamisalan mukaisilla toimialoilla sektorikohtaiset keskeisten palvelujen tarjoajat, jotka ovat sijoittautuneet niiden alueelle.
Finanssialan osalta direktiivin tarkoittamia keskeisiä palveluntarjoajia ovat luottolaitokset *) ja finanssimarkkinoiden infrastruktuurit **). Käytännössä direktiivin mukaisia infrastruktuuritoimijoita on tällä hetkellä Suomessa yksi eli Nasdaq Helsinki Oy.
Uusi lainsäädäntö velvoittaa palveluntarjoajat ilmoittamaan ilman aiheetonta viivytystä toimivaltaiselle viranomaiselle tai CSIRT-toimijalle havaitsemistaan tietoturvauhista ja loukkauksista, joilla on merkittävä vaikutus niiden tarjoamien keskeisten palvelujen jatkuvuuteen. Ilmoituksiin on sisällytettävä tiedot, joiden perusteella toimivaltainen viranomainen voi arvioida mahdolliset rajat ylittävät vaikutukset.
Finanssialan toimijoilla on ollut jo ennen lainsäädännön voimaantuloa direktiivin vaatimuksia vastaavat velvoitteet operatiivisten riskien hallinnan ja tietojärjestelmien turvallisuuden järjestämiseen sekä verkko- ja tietoturvaloukkauksista ilmoittamiseen. Verkko- ja tietoturvadirektiivin voimaantulo ei muuta tai tuo uusia velvoitteita, vaan Finanssivalvonnan aikaisemmin antamat määräykset ja ohjeet operatiivisten riskien hallinnasta ja raportoinnista ovat edelleen voimassa. Ilmoitus verkko- ja tietoturvaloukkauksista tehdään aina Finanssivalvonnalle. Finanssialan palvelujen tarjoaja voi oman harkintansa mukaan tehdä ilmoituksen lisäksi myös CSIRT-toimijalle (Viestintävirasto).
Lisätietoja antavat
- Anne Nisén, johtava riskiasiantuntija, puhelin 09 183 5211, anne.nisen(at)fiva.fi
- Heli Mäkitalo, riskiasiantuntija, puhelin 09 183 5369, heli.makitalo(at)fiva.fi
Liite
Määräykset ja ohjeet 8/2014: Operatiivisen riskin hallinta rahoitussektorin valvottavissa
*) Luottolaitokset sellaisina kuin ne määritellään Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 575/2013 4 artiklan 1 kohdassa 4.
**) Euroopan parlamentin ja neuvoston direktiivin 2014/65/EU 4 artiklan 24 kohdassa määriteltyjen kauppapaikkojen ylläpitäjät ja keskusvastapuolet, sellaisina kuin ne määritellään Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 2 artiklan 1 kohdassa.