EU aktivoituu turvallisuuden saralla ja haastaa yritykset

23.1.2022 klo 17.04

Kyberturvallisuuden hallinnossa tapahtuu, kun EU-ohjaus vahvistuu. Ohjaus tulee lähivuosina kilpailemaan yritysten jatkuvuudenhallinnan ja häiriötilanteisiin varautumisen jo ennestään vähistä resursseista. EU-direktiivit sekä niiden kansallinen toimeenpano edellyttävät Digipoolin verkostolta ja ICT-toimialan yrityksiltä aktiivisia toimia.

Kuumia perunoita ovat erityisesti EU:n verkko- ja tietoturvaan sekä yhteiskunnan kriittisten palveluiden häiriönsietokykyyn liittyvät NIS- ja CER-direktiivit. Ne ovat Suomessa eri hallinnonaloilla toimeenpantavia direktiivejä, vaikka koskevat osin samoja "kohteita". Pahimmillaan luvassa voi siis olla ristiriitaista ohjausta.

Aiempaa laajempien NIS- ja CER-direktiivien toimeenpanoon tarvitaan resursseja

NIS-direktiivin ensimmäisen version kanssa on eletty jo hetki. Kansallinen toimeenpano on saatu suoritettua kohtalaisen menestyksekkäästi ja suomalaiseen tyyliin tunnollisesti. Jälkiviisaana voisi kuitenkin todeta, että ehkä kansallisessa toimeenpanossa olisi voitu lähteä liikkeelle vähän minimitasoa kunnianhimoisemmin.

Nyt vaikuttaa siltä, että seuraavaa direktiiviä toimeenpantaessa edessä on massiivisia muutoksia, eikä asian tueksi ole varattu varoja valtion budjetissa. Asiasta tulee siis myös taloudellisesti haastava niin yrityksille kuin viranomaisillekin. Riippumatta siitä jätetäänkö muutoksen tekeminen vain yritysten hoidettavaksi vai vahvistetaanko toteutusta tukevia sektoriviranomaisia, resursseja tullaan tarvitsemaan.

Uusi NIS-direktiivi edellyttää uudenlaisten asioiden huomiointia yrityksissä. Kun aiemman direktiivin toimeenpano vaati tiettyjen alojen yrityksiltä resursseja ja vastuunottoa, ulottuu NIS2-direktiivi aivan uusille, yhteiskuntien toiminnan kannalta kriittisille aloille ja vaatii siis resursseja ja vastuunottoa yhä laajemmalta yritysten joukolta. Kaikilla aloilla, joita uusi direktiivi koskettaa, on ryhdyttävä varautumaan tähän.

NIS2-direktiiviehdotukseen voi tutustua täällä: https://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:52020PC0823&from=EN

Samaan aikaan etenee vanhan, kriittisen infrastruktuurin suojaamiseen tarkoitetun direktiivin päivitys. Sen lopputuloksena syntyy CER-direktiivin (Critical Entities Resilience), ja aivan kuten NIS2, koskettaa päivitetty CER-direktiivi yhä useampia toimialoja. Käytännössä siis kriittisiksi toiminnoiksi lasketaan yhä useampia toimialoja ja niiden tuottamia toimintoja.

Direktiivin soveltamisala kattaa kymmenen sektoria: liikenne-, energia-, pankki-, finanssi-, terveys-, vesihuolto- ja jätevesihuoltosektorit sekä digitaalisen infrastruktuurin, julkishallinnon ja avaruuden.) Direktiivit eivät kohdennu tismalleen samoille aloille ja toimintoihin. Ne täydentävät toisiaan ja tulevat edellyttämään mainituilla aloilla toimivilta yrityksiltä mm. hyvää varautumista erilaisiin häiriötilanteisiin.

CER-direktiiviehdotukseen voi tutustua täällä: https://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:52020PC0829&from=EN

Jaettu vastuu edellyttää hyvää suunnittelua yhteistyössä ja yli sektorirajojen

Mielenkiintoiseksi asian niin Suomessa kuin monissa muissakin EU-maissa tekee se, että vastuu niiden toimeenpanosta kuuluu useammalle hallinonalalle. CER-direktiivin toimeenpanosta vastaa Sisäministeriö, kun taas NIS2-direktiivin toimeenpanoa Suomessa suunnittelee Liikenne ja viestintäministeriö. Sanomattakin lienee selvää, että toimeenpano on tehtävä yhteistyössä, jottei yrityskentälle tarjota epämääräisiä ja ristiriitaisia ohjeita.

Direktiivien kotimaiseen toimenpanoon pitää nyt perehtyä porukalla ja löytää tehokkaat tavat viranomaisten ja yritysten väliselle yhteistyölle. Onneksi juuri tämä on Suomen suuri vahvuus moneen muuhun valtioon verrattuna. Julkishallinnon ja yritysten välinen yhteistyö (Public-private partnership) on meillä muutakin kuin pelkkää puhetta. Molemmat direktiiviehdotukset pääsevät käsittelyyn myös TIETO22 -harjoituksessamme, jossa mietitään yhteistyön käytännön toteutusta.

EU:ssa tapahtuu vuoden 2022 aikana ja lähitulevaisuudessa myös paljon muuta. Yksi mielenkiintoinen, mm. resilienssiin vaikuttavia toimenpiteitä sisältävä kokonaisuus on EU:n strateginen kompassi. Parhaillaan valmistelussa oleva kompassi tulee viitoittamaan toimenpiteitä meillekin tärkeissä aiheissa. Sille pyritään saamaan Eurooppa-neuvoston hyväksyntä 24.–25.3.2022.

Lisätietoa EU:n strategisesta kompassista löytyy täältä: https://www.europarl.europa.eu/EPRS/graphs/EPRS_Strategic_Compass_final.pdf

Verkosto tukee vinkein ja yhteistyön avulla yrityksiä kehitystyössä

Digipoolin vilpittömänä toiveena on, että yrityksillä riittäisi tulevaisuudessakin aikaa ja resursseja toimintansa kehittämiseen myös liiketoiminnan jatkuvuuden ja varautumisen saralla. Toisaalta vastuullinen yritys pitää huolen siitä, että sen jatkuvuuden hallinta ja varautuminen ovat digitaalisessakin maailmassa tip top -kunnossa. Oman toiminnan jatkuvalla kehittämisellä yrityksissä voidaan helpottaa myös vastaamista regulaation kasvaviin vaatimuksiin.

Ja yksin ei tarvitse jäädä – verkostossamme on voimaa. Pahimpaankin tilanteeseen on parempi varautua yhdessä, ja alan yrityksiltä saa tukea ja vinkkejä jatkuvuudenhallintaan. Lisäksi esimerkiksi Teknologiateollisuudessa tehdään aktiivista vaikuttamistyötä EU-rintamalla. Huoltovarmuuskeskuksen poolit ja Kyberturvallisuuskeskus puolestaan tuottavat tukea yhteistoimintaan sekä ratkovat CER- ja NIS-direktiivien toimeenpanoon liittyviä haasteita.