Digitaalisia sisämarkkinoita turvataan verkko- ja tietoturvadirektiivillä

31.08.2018

EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) mukainen kansallinen lainsäädäntö tuli voimaan 9.5.2018. Direktiivin ja sen pohjalta säädetyn kansallisen lain tavoitteena on parantaa jäsenmaiden tietoturvaa ja digitaalisten sisämarkkinoiden toimintaedellytyksiä.

NIS-direktiivi loi uutta sääntelyä EU:n alueelle, sillä kyberturvallisuutta ei ole aiemmin säännelty EU:n laajuisesti. Direktiivillä halutaan suojella verkkoja ja yhteiskunnalle keskeistä infrastruktuuria. Samalla valmiudet vastata kyberuhkiin paranevat. Direktiivi hyväksyttiin EU:ssa vuonna 2016, jonka jälkeen alkoi kansallisen täytäntöönpanon vaihe. Suomessa kansallisesta täytäntöönpanosta vastasi Liikenne- ja viestintäministeriö.

NIS-direktiivin velvoitteet kohdistuvat seitsemälle toimialalle, jotka ovat energiahuolto, liikenne, terveydenhuolto, pankkiala, finanssimarkkinoiden infrastruktuuri, vesihuolto ja digitaalinen infrastruktuuri. Uusi lainsäädäntö velvoittaa nämä toimialat muun muassa ilmoittamaan ja raportoimaan havaitsemistaan tietoturvauhkista ja -loukkauksista valvontaviranomaisille. Direktiivi velvoittaa myös keskeisiä digitaalisten palvelujen tarjoajia, kuten pilvipalvelujen ja verkon markkinapaikkojen tarjoajia. Suomessa Viestintävirasto toimii EU-tason yhteistyöviranomaisena ja kokoaa Suomesta kaikkien toimialojen ilmoitukset.

EK pitää hyvänä direktiivin lähtökohtana olevaa kansainvälisen kyberturvallisuusyhteistyön tiivistämistä. Direktiivin kansallisessa täytäntöönpanossa EK kiinnitti huomiota mm. siihen, että vältettäisiin päällekkäinen sääntely muiden jo voimassaolevasta lainsäädännöstä johtuvien velvoitteiden kanssa ja hallinnollisen kuormituksen lisääminen yrityksille.