EK:n lausunto Liikenne- ja viestintävirasto Traficomin suositusluonnoksesta NIS-valvoville viranomaisille

Traficom/18410/09.00.02/2023

Kiitämme lausuntomahdollisuudesta.

Suositusluonnoksen tarkoitus on hyvä ja kannatettava: avata kyberturvallisuuslakiin liittyviä vaatimuksia ja yhdenmukaistaa valvovien viranomaisten käytäntöjä. Lähtökohtaisesti tämä on luonnollisesti myös valvottavien etu.

Haluamme kiinnittää huomiota joihinkin yleisempiin seikkoihin menemättä yksittäisiä osa-alueita koskeviin yksityiskohtaisempiin tulkintasuosituksen kohtiin:

Määritelmistä

Luonnoksessa käytetään mm. sanoja riski ja uhka. Niitä ei ole määritelty, eikä niiden ero tule riittävän selvästi tekstisisällöstäkään ilmi. Ne tulisi määritellä ja varmistaa, että niitä käytetään yhdenmukaisesti läpi luonnoksen. Suositusluonnoksessa on käytetty paikoin TEPA-termipankin määritelmiä. Niidenkin mukaan riski ja uhka ovat kaksi eri asiaa. Eron tekeminen on erittäin tärkeää.

Työkaluihin tulisi nähdäksemme myös lisätä täsmennykset siitä, mihin niitä sovelletaan. Esim. Julkria ei tule soveltaa yksityiseen toimintaan.

Koska kyberturvallisuuslakikokonaisuutta koskeva hallituksen esitys on nyt annettu, luonnollisesti jatkovalmistelussa suositusluonnoksen lakiviitteet ml. esitetyn lain nimi olisi syytä tarkistaa.

Viittaamme määritelmien osalta myös jäsenyhdistyksemme Teknologiateollisuus ry:n toimialayhdistys Kyberala ry:n lausunnossaan toteamaan.

Suositusten ja viranomaisten tarkempien teknisten määräysten tulee aina perustua lakiin

Suositusluonnoksen kannalta sisällöllisesti keskeisin on kyberturvallisuuslain 2 luvun 7–9 §:t sellaisina kuin ne on esitetty 23.5.2024 eduskunnalle annetussa hallituksen esityksessä kyberturvallisuusdirektiivin (NIS2-direktiivi) täytäntöönpanoa koskevaksi lainsäädännöksi). Ne luovat pohjan, jolle suositusluonnoksenkin tulee perustua.

Turvallisuutta koskevassa lainsäädännössä ja viranomaisten valvontatoimintaa koskevassa säännöstössä on keskeistä, että niissä määritellään tavoiteltu turvallisuuden taso. Keinojen sen sijaan tulisi aina jäädä soveltamisalan toimijoiden itsensä harkittaviksi ja päätettäviksi.

Laki lähtee kyberturvallisuuden tasovaatimusten esittämisestä ja painottaa soveltamisalan organisaatioiden omaa riskiarviota riskienhallintatoimenpiteiden perustana. Lakiesityksen 2 luvun 7 §:n toisen momentin mukaan ” Toimijan on toteutettava riskienhallintatoimenpiteet, jotka ovat ajantasaisia, oikeasuhtaisia ja riittäviä suhteessa toiminnassa käytettäville viestintäverkoille ja tietojärjestelmille aiheutuviin riskeihin ja viestintäverkon tai tietojärjestelmän merkitykseen toimijan toiminnan ja palveluntarjonnan kannalta.”

Lakiesityksen 2 luvun 9 §:ssä luetellaan ne kyberturvallisuusjohtamisen osa-alueet, jotka on vähintään huomioitava ja pidettävä ajan tasalla kyberturvallisuuden toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä. Säännösesityksen kolmannen momentin mukaan ” Toimenpiteet on suhteutettava toiminnan laatuun ja laajuuteen, poikkeamasta kohtuudella ennakoitavissa oleviin välittömiin vaikutuksiin, toimijan viestintäverkkojen ja tietojärjestelmien riskialttiuteen, poikkeamien todennäköisyyteen ja vakavuuteen, toimenpiteistä aiheutuviin kustannuksiin sekä ajantasainen kehitys huomioon ottaen käytettävissä oleviin teknisiin mahdollisuuksiin torjua uhka.”

Lakiesityksessä lähdetään näin siitä, että soveltamisalan organisaatio itse tuntee toimialansa ja toimintansa riskit parhaiten ja voi arvionsa perusteella harkita sellaisen riskienhallintatoimien kokonaisuuden, joka on sen toimintaan nähden optimaalisin ja kustannustehokkain. Tämä tarkoittaa myös sitä, että koska riskitasot vaihtelevat, niiden pohjalta suunniteltujen riskienhallintatoimien taso vaihtelee myös ja näin sen pitääkin olla. Kontrollikeinojen on oltava kohtuullisessa suhteessa arvioituun riskiin; yli- tai alimitoitettu riskienhallinta ei ole perusteltavissa.

Samoin on erittäin tärkeää, että edellytetyt riskienhallintakeinot kohdentuvat oikein toimijan arvioimien riskien kannalta eli että ne tosiasiallisesti pienentävät juuri kyseisten riskien todennäköisyyttä ja/tai vaikutusta. Valvontatoiminnassa tämä tarkoittaa sitä, ettei ole mahdollista harkita hallintatoimea ilman, että ensin ymmärretään riski, johon sillä pyritään vaikuttamaan.

Lakiesityksen 2 luvun 9 §:n neljännen momentin mukaan ” Valvova viranomainen voi toimialallaan antaa riskienhallintavelvollisuuksia tarkentavia teknisiä määräyksiä:

1) toimialakohtaisista erityispiirteistä, jotka on otettava huomioon kyberturvallisuutta koskevassa riskienhallinnan toimintamallissa ja 2 momentissa tarkoitetuissa osa-alueissa sekä riskienhallinnan ja viestintäverkkojen ja tietojärjestelmien tietoturvallisuuden hallinnan menettelyissä;

2) kriittisiä toimitusketjuja koskevien unionin tason koordinoitujen riskinarviointien tuloksien huomioimisesta toimialakohtaisessa riskienhallinnassa.”

Em. kohtaa on avattu hallituksen esityksen perusteluissa (s. 243): ”Tarkemmat määräykset voisivat kuitenkin koskea vain teknisiä seikkoja, eli niillä ei saisi laajentaa 9 §:ssä säädettyjä tai NIS 2 –

direktiivin nojalla säädettyyn komission täytäntöönpanoasetukseen perustuvia velvoitteita tai asiallisesti muuttaa velvoitteiden sisältöä. Määräysten olisi oltava teknologianeutraaleja.”

”Tarkentavilla teknisillä määräyksillä” ei näin voi edellyttää laissa edellytettyä enemmän tai laajemmin. Sanamuotonsa mukaan niiden pitää olla täsmentäviä ja teknisiä, laissa edellytetyn vaatimuksen sisältöä avaavia. Teknologianeutraaliuden vaatimuksesta puolestaan seuraa, ettei niissä voida ottaa kantaa, millä teknologisella ratkaisulla jotakin osa-aluetta koskeva vaatimus tulee toteuttaa. Jos tällaisesta annetaan esimerkki, se tulee kaikissa tilanteissa tulkita esimerkkinä, joka ei pois sulje muunlaisiakaan toteutustapoja.

Edellä todettu koskee luonnollisesti myös asiaa koskevia suosituksia valvoville viranomaisille ml. nyt puheena olevaa suositusluonnosta.

Kiinnitämme huomiota myös siihen, että hallituksen esityksen mukainen NIS2-soveltamisalamääritelmä toimiala-, koko- ja koosta riippumatta -määritelmien yhdistelmänä koetaan haasteellisena. Toimialat eroavat toisistaan paljon esim. sen suhteen, millaisessa suhteessa toisaalta teknologia- ja toisaalta työvoimaintensiivisyys niissä toteutuu. Työvoimaintensiivisellä alalla kokokriteeri voi täyttyä, vaikka kyseessä olisi muille aiheuttamansa riskin kannalta suhteellisen pieni alueellinen toimija. Näin se ei täytä mikro- tai pienen yrityksen kriteereitä ja voi kuulua soveltamisalaan. Suositusluonnos ei koske hallituksen esityksen 3 §:n ja I- ja II-liitteisiin perustuvaa NIS2-soveltamisalamäärittelyä sellaisenaan, mutta toivomme, että edellä kerrottuun voidaan kiinnittää huomioita tällaisia toimijoita koskevassa valvonnassa huomioimalla asia 9 §:n mukaisten toimien tulkinnassa niiden perustuessa toimijan arvioituun toiminnan riskiin.

Toivomme, että edellä todettua korostetaan suositusluonnoksessa vieläkin painokkaammin.

Riskienhallinta on kokonaisuus, jossa riskienhallintatoimet voivat kompensoida toisiaan

Suositusluonnoksen keskeinen haaste on se, että se tarkastelee kutakin yksittäistä kokonaisuutta ja hallituksen esityksen 9 §:n vaatimuksia 1) – 12) muista erillään. Turvallisuus ja riskienhallinta laajemminkin ovat kuitenkin kokonaisuuksia, joissa toimijoilla pitää olla mahdollisuus harkita riskienhallintatoimien ja kontrollien kokonaisuus niin, että se on riittävä. Tämä voi tarkoittaa, että jossakin yksittäisessä asiassa kontrollitoimien taso saattaa olla matalampi, mutta tätä kompensoidaan toisella riskienhallintatoimella tai kontrollilla. Suositusluonnos ei huomioi tätä riittävästi. Siihen tulisi kohdittain lisätä esimerkkejä kompensoivista kontrolleista ja lisäksi kirjata, miten eri yksittäisten vaatimusten (em. 9 §:n yksittäisten 1) -12) -kohtien) kontrollit voisivat kompensoida toisiaan. Toki nämäkin olisivat esimerkkejä, eivät tyhjentäviä kuvauksia. Joissakin luonnoksen kohdissa on mainittu korvaavista toimenpiteistä, mutta niiden sisältöä ei ole yleensä edes esimerkinomaisesti avattu.

Myös tunnistettujen riskien hyväksyminen on riskienhallintaa

Sivulla 12 riskin käsittelystä todetaan: ” Riskienhallinnan tavoitteena on riskien käsittely niin, että niiden todennäköisyys tai vaikutus on minimoitu, poistettu tai ulkoistettu eli huolehdittu riskien käsittelystä sopimussuhteissa. Riskien käsittelyn lopputuloksena muodostuneet jäännösriskit on hyväksytty perustellusti.”

Tämä antaa riskienhallinnan keinovalikoimasta puutteellisen kuvan. On tilanteita, joissa kaikkien riskien todennäköisyyttä tai vaikutusta ei voida tai ei ole järkevää minimoida. Riskienhallintaa on sekin, että tällainen, tyypillisesti vaikutuksiltaan pienehkö riski tunnistetaan, tehdään päätös riskin hyväksymisestä oman riskinkantokyvyn puitteissa ja riskien kokonaisuus huomioiden ja jäädään seuraamaan riskiä. Nyt suositusluonnos ei huomioi tätä. Se antaa virheellisen kuvan siitä, että kaikki riskit tulisi hallita samalla intensiteetillä. NIS2-direktiivi ja sen pohjalta kansallinen lakimme pyrkii keskittymään ja niiden tuleekin pyrkiä keskittymään vaikutuksiltaan merkittäviin riskeihin.  Saman tulee koskea viranomaisten valvontatoimintaa