Päivitetty: 25. syysk. 2024
Tässä artikkelissa tarkastelemme EU:n kyberturvallisuussääntelyä, erityisesti kyberturvallisuusdirektiiviä eli niin kutsuttua NIS 2 -direktiiviä (NIS 2 Directive) sekä kyberturvallisuusasetusta (Cybersecurity Act, CSA).
EU:n kyberturvallisuussääntely
Kyberturvallisuus on noussut EU:ssa viime vuosina keskeiseksi puheenaiheeksi, kun teknologian nopea kehitys on tuonut mukanaan uusia haasteita. Kasvaneiden kyberturvallisuusuhkien vuoksi EU:ssa on katsottu tarpeelliseksi luoda unionin yhteinen kyberturvallisuuden sääntelykehys, jolla vahvistetaan tiettyjen toimialojen toimijoiden tietoverkkojen ja -järjestelmien turvallisuusvalmiuksia sekä luodaan toimijoille raportointivelvollisuus.
Kyberturvallisuusasetus (CSA)
Voimaantulo ja soveltaminen | 27.06.2019 |
Kyberturvallisuusasetuksella luotiin Eurooppalainen kyberturvallisuuden sertifiointikehys (The European Cybersecurity Certification Framework), joka koskee ICT-tuotteita, palveluja ja prosesseja. Kyseessä on EU:n laajuinen yhtenäinen sertifiointijärjestelmä, joka koostuu teknisistä vaatimuksista, standardeista ja menettelyistä. Yhtenäisen järjestelmän avulla yritykset voivat osoittaa, että niiden tuotteet, palvelut ja prosessit täyttävät tietyt kyberturvallisuusvaatimukset. Sertifiointi on vapaaehtoista.
Sertifiointikehyksen ohella asetuksella vahvistettiin vuonna 2004 perustetun EU:n kyberturvallisuusviraston (The EU Agency for Cybersecurity, ENISA) asemaa. ENISA toimii NIS 2 -direktiivillä perustettavan Euroopan kyberkriisien yhteysorganisaatioiden verkoston (The European Cyber Crises Liaison Organisation Network, EU-CyCLONe) kattoelimenä. Verkostossa Suomea edustaa Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.
Kyberturvallisuusdirektiivi eli NIS 2 -direktiivi
Voimaantulo | 16.01.2023 |
Soveltaminen | 18.10.2024 |
NIS 2 -direktiivi on EU:n tietoverkkojen ja -palveluiden kyberturvallisuudesta annettu direktiivi. Sitä edelsi samaa aihepiiriä koskenut NIS -direktiivi vuodelta 2016. NIS 2 -direktiivillä sääntelyä uudistettiin muun muassa laajentamalla sen soveltamisalaa ja sillä asetettavia velvoitteita. NIS 2 -direktiivin tavoitteena on varmistaa, että tietyt yhteiskunnan toiminnan kannalta kriittiset toimialat ovat riittävän suojattuja kyberuhkilta.
Direktiivin soveltamisalaan kuuluvat toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin niiden koon sekä niiden edustaman toimialan perusteella. Yleisluontoisesti voidaan todeta direktiiviä sovellettavan suuriin ja keskisuuriin yrityksiin, jotka toimivat kriittisen infrastruktuurin aloilla tai eräillä muilla, digitaalisia järjestelmiä hyödyntävillä toimialoilla.
Direktiivi asettaa soveltamisalaan kuuluville yrityksille runsaasti kyberuhkien tunnistamiseen ja niiden torjumiseen liittyviä velvoitteita. Vaadittuihin riskienhallintatoimenpiteisiin lukeutuvat muun muassa:
Riskinhallinta- ja kyberturvallisuuspolitiikkojen laatiminen
Prosessien laatiminen poikkeamien käsittelemiseksi
Toiminnan jatkuvuuden sekä toimitusketjujen turvallisuuden hallinta
Henkilöstön kouluttaminen
Lisäksi yritysten tulee ilmoittaa merkittävistä tietoturvapoikkeamista kansalliselle NIS-viranomaiselle sekä tietyissä tilanteissa palvelujensa vastaanottajille. Viranomaiselle ilmoittaminen tapahtuu todennäköisesti Kyberturvallisuuskeskuksen sivuston kautta. Perusmuotoinen ilmoitusmenettely on kolmivaiheinen:
1. | Ennakkovaroitus | 24h poikkeamasta |
2. | Poikkeamailmoitus | 72h poikkeamasta |
3. | Lopullinen raportti | 1kk poikkeamailmoituksesta |
Ilmoitusvelvollisen yrityksen tulee raportoida merkittävästä tietoturvapoikkeamasta 24h poikkeaman havaitsemisesta ja tehdä varsinainen poikkeamailmoitus 72h poikkeaman havaitsemisesta. Ennen lopullista raporttia viranomainen voi tarvittaessa pyytää yritykseltä väliraportin. Jos puolestaan poikkeamaa edelleen työstetään kuukauden kuluttua, voi yritys antaa lopullisen raportin sijaan edistymisraportin, ja kuukauden kuluessa poikkeaman käsittelyn valmistumisesta lopullisen raportin.
Sääntelyn noudattamisen merkitystä korostavat suhteellisen suuret sanktiot, joita yritykselle voidaan määrätä mikäli velvoitteita ei noudateta. Sanktioiden suuruuteen vaikuttaa se, luokitellaanko yritys keskeiseksi vai tärkeäksi toimijaksi. Kansallisessa lainsäädännössä keskeisten toimijoiden hallinnollisten sakkojen enimmäismäärän on oltava vähintään 10 milj. euroa tai 2 % yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeäksi toimijaksi luokiteltavien toimijoiden osalta vastaavat lukemat ovat 7 milj. euroa tai 1,4 % kokonaisliikevaihdosta. Jäsenvaltiot voivat myös halutessaan säätää valtuudesta määrätä uhkasakkoja.
Sääntelyn seuraavat askeleet
NIS 2 -direktiiviin perustuva kansallinen lainsäädäntöhanke on parhaillaan vireillä. Kansallisen sääntelyn sisältö täsmentyy, kun hallituksen esitys annetaan arviolta vuoden 2024 alussa. Toistaiseksi tiedossa ovat ainoastaan direktiivin asettamat vähimmäisvelvoitteet. Esimerkiksi sanktioiden suuruus ja mahdollisten uhkasakkojen säätäminen täsmentyvät myöhemmin. Seuraamme säädöshankkeen etenemistä.
EU:n kyberturvallisuuden sääntelykehykseen kuuluvat myös kyberkestävyysasetus (Cyber Resilience Act) sekä komission keväällä julkaisema ehdotus kybersolidaarisuusasetukseksi (Cyber Solidarity Act). Palaamme näihin tulevissa postauksissamme.
Lisätietoja aiheesta antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 10. lokak. 2023
Digialustasäädösten käsittely etenee EU:ssa
Digipalvelusäädöksen (Digital Services Act, DSA) ja digimarkkinasäädöksen (Digital Markets Act, DMA) käsittely etenee vauhdikkaasti EU:ssa, ja tavoitteena on päästä trilogineuvotteluissa yhteisymmärrykseen jo tämän kevään aikana. Kyse on lakipaketista, jolla EU haluaa muun muassa huolehtia, että suuret digiyhtiöt, kuten Google, Amazon, Meta ja Microsoft eivät hyötyisi kohtuuttomasti hallitsevasta asemastaan markkinoilla. DMA keskittyykin yksinomaan sääntelemään erittäin suurten, ns. portinvartijayritysten toimintaa. Käsittelimme lainsäädäntöhankkeiden perusteita aiemmassa kirjoituksessamme.
Uusien velvoitteiden vaikutuksia ei ole arvioitu
DSA:n alkuperäinen tavoite oli uudistaa 20 vuotta vanha sähkökauppadirektiivi, ja varmistaa turvallinen ja vastuullinen verkkoympäristö. Ehdotus sisälsi toimenpiteitä laittomien tavaroiden, palvelujen tai verkkosisällön torjumiseksi, uusia velvoitteita yrityskäyttäjien jäljitettävyydestä sekä toimenpiteitä avoimuuden edistämiseksi. Lisäksi vastuuvapautusedellytyksiä täsmennettiin.
Kuitenkin erityisesti Euroopan parlamentti teki ehdotukseen valtavan määrän erilaisia muutosehdotuksia, joilla rajoitetaan mainonnan kohdentamista sekä asetetaan EU:n yleisen tietosuoja-asetuksen (GDPR) ja tulevan sähköisen viestinnän tietosuojasääntelyn (ePrivacy Regulation) kanssa päällekkäisiä säännöksiä. Lainsäädäntöprosessin puute kuitenkin on, ettei mainontaan kohdistuvien lisärajoitusten vaikutuksia – niin kuluttajille, yrityksille tai yhteiskunnalle – ole mitenkään arvioitu. Pelkona onkin, että parlamentin tahto suitsia kohdennettua mainontaa johtaa ennalta-arvaamattomiin seuraamuksiin.
Alkuperäiset tavoitteet ovat unohtuneet
Voisi väittää, että vihapuhe, disinformaatio ja hybridivaikuttaminen ovat pilanneet internetin. Luotettavaa tietoa, joka on yhteiskunnan toimivuuden ja demokratian kannalta keskeistä, on entistä vaikeampi löytää. Mainonta tuntuu yhä henkilökohtaisemmalta – ei myönteisessä mielessä, vaan tavalla, joka nostaa niskakarvat pystyyn. Uusi sääntely pyrkii puuttumaan näihin selvästi havaittuihin ongelmiin, mutta samalla se tuntuu vievän mahdollisuuden vastuulliselta liiketoiminnalta ja kuluttamiselta: siltä niche-tuotteita myyvältä mikroyritykseltä, joka haluaisi löytää kohdeyleisönsä verkkoalustalta kohdennetun mainonnan avulla, siltä suomalaiselta verkkoalustalta, joka haluaisi rahoittaa kohdennetulla mainonnalla palveluitaan ja siltä kuluttajalta, joka haluaisi löytää hänelle mielenkiintoisia uusia tuotteita tai inspiroitua sisällöstä.
Nurinkurista on, että parlamentin muutosehdotuksiin kuuluu muun muassa kielto pyytää käyttäjältä suostumusta mainonnan kohdentamiseen, jos kielto on jo annettu käyttöliittymän tai selaimen asetusten avulla. Dialogi kuluttajan kanssa jätettäisiin siis esimerkiksi Chrome-selainta ja Android-käyttöliittymää tarjoavan Googlen käsiin sen sijaan, että omasta palvelustaan voisi viestiä esimerkissä kuvattu suomalainen verkkoalusta. Kun otetaan huomioon se, että digijäteillä on jo näpeissään käyttäjän kirjautumistiedot ja todennäköisesti edelleenkin valtavan suuri käyttäjää koskeva digitaalinen jalanjälki ympäri internetiä, vaikuttaa siltä, että kuilu globaalien digijättien ja eurooppalaisten verkkoalustojen välillä vain kasvaa. Tämä on selvästi vastoin lainsäädäntöhankkeen alkuperäistä tavoitetta tasapuolistaa kilpailuedellytyksiä.
Lisäksi ehdotuksissa on osin laajennettu verkkoalustojen vastuuvapautta, jolloin esimerkiksi hakukoneiden kautta voisi olla saatavilla laitonta aineistoa. Elinkeinonharjoittajien tunnistamista koskevaa periaatetta (Know Your Business Customer, KYBC) ei myöskään ole ulotettu laajalle ja hyödynnetty mahdollisuutta kitkeä verkkorikollisuutta. Lisäksi sääntelystä puuttuu selvä kielto poistaa päätoimittajavastuun alaista, laillista sisältöä, eli taata se, että luotettavaa informaatiota on kuluttajien saatavilla ja löydettävissä. Jos alusta voisi poistaa laillisesti julkaistua sisältöä yksin käyttöehtojensa nojalla, on vaarana, että kansalaisten sananvapaus ja tiedotusvälineiden tehtävä vallan vahtikoirana rapautuvat. Nämä ovat vastoin alkuperäistä tavoitetta tehdä verkosta kuluttajille turvallisempi.
Parempaa sääntelyä eurooppalaisille
Sen lisäksi, että lakipaketti on ottanut kaikkine muutosehdotuksineen liukunut kauemmaksi alkuperäisistä, kannatettavista tavoitteistaan, uhkaa kokonaisuudesta tulla erittäin vaikea soveltaa. Esimerkiksi suostumuksen pyytämistä ja edellytyksiä käsitellä arkaluonteisia henkilötietoja (erityisiä tietoryhmiä) säännellään jo nykyisellään tietosuoja-asetuksessa, ja lienee vielä kaikille epäselvää, miten eri säännökset toimivat yhdessä, kun soppaan heitetään vielä valmisteilla oleva sähköisen viestinnän tietosuoja-asetus.
Se, että EU:n eräänä tavoitteena on lainsäädännön yksinkertaistaminen, puhuisi selvästi sen puolesta, että yksityisyydensuojaa koskeva sääntely pidetään erillään alustasääntelystä. Vaihtoehtoisesti lainsäädännön ja uusien rajoitteiden tulisi olla oikeasuhtaisia ja tarkkarajaisia niin, että sääntely kohdistetaan vain niihin erittäin suuriin verkkoalustoihin, joissa ongelmat, kuten targetointi arkaluonteisten henkilötietojen perusteella ja erilaisten käyttäjän valintoja ohjaavien toimintojen, ns. dark patterns, käyttö on erityisesti ilmennyt.
Digisäädöspaketin tavoitteet ovat äärimmäisen hyviä: edistää digitaalisten sisämarkkinoiden toimintaa, digitaalisten palveluiden avoimuutta sekä pienempien digiyritysten kilpailukykyä ja pääsyä markkinoille, tehdä verkkoympäristöstä kuluttajille ja yrityksille turvallisempi, ennakoitavampi ja oikeudenmukaisempi sekä mahdollistaa laittomaan sisältöön, vihapuheeseen, disinformaatioon ja hybridivaikuttamiseen puuttuminen nykyistä tehokkaammin. Nyt on tärkeää huolehtia siitä, että nämä tavoitteet todella tulevat täytetyiksi, eivätkä jää pelkiksi hyviksi aikomuksiksi.
Lue Annan kirjoitus myös IAB Finlandin sivuilta: DSA tuomassa tarpeettomia rajoituksia digimainontaan
Lisätietoja asiasta antaa:
Anna Paimela
Osakas
+358401648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 10. lokak. 2023
Komissio julkaisi 15.12.2020 digitaalisia palveluita (DSA) ja digitaalisia markkinoita (DMA) koskevat lainsäädäntöehdotukset. Digipalvelusäädöksellä on tarkoitus päivittää yli 20 vuotta sitten annettu tietoyhteiskunnan palveluja koskeva sähkökauppadirektiivi ja määritellä välittäjien velvoitteet ja vastuut EU:n sisämarkkinoilla. Digimarkkinasäädös puolestaan on kohdistettu ns. portinvartijoina toimiville suurille verkkoalustoille, kuten Googlelle, Amazonille, Applelle ja Facebookille. Digitaalisia markkinoita ja palveluja koskevat säädökset ovat yksi EU:n digitaalistrategian kulmakivistä.
Säädösten tavoitteena on edistää digitaalisten sisämarkkinoiden toimintaa, digitaalisten palveluiden avoimuutta sekä pienempien digiyritysten kilpailukykyä ja pääsyä markkinoille, tehdä verkkoympäristöstä kuluttajille ja yrityksille turvallisempi, ennakoitavampi ja oikeudenmukaisempi ja mahdollistaa laittomaan sisältöön, vihapuheeseen, disinformaatioon ja hybridivaikuttamiseen puuttumisen nykyistä tehokkaammin sekä vähentää tietosuojariskejä.
Mitä DSA koskee?
DSA-lainsäädäntöehdotukseen sisältyy sääntöjä verkossa toimivista välityspalveluista, kuten verkkoinfrastruktuuria tarjoavista välityspalveluista (Internet-yhteyksien tarjoajat ja verkkotunnusvälittäjät), säilytyspalveluista (pilvipalvelut ja verkkosivustojen säilytyspalvelut), verkkoalustoista (markkinapaikat, sovelluskaupat, yhteistyötalouden alustat ja sosiaalisen median alustat) sekä erittäin suurista verkkoalustoista. Digipalvelusäädöksellä parannetaan keinoja, joilla voidaan poistaa laitonta sisältöä sekä suojella käyttäjien sananvapautta ja muita perusoikeuksia verkossa. Käytännössä käyttäjille tarjotaan helppoja tapoja ilmoittaa verkkoalustoilla esiintyvistä laittomista sisällöistä, tuotteista ja palveluista. Lisäksi alustoille asetetaan huolellisuusvelvoitteet. Tiukimmat velvoitteet asetetaan erittäin suurille verkkoalustoille.
Mitä DMA koskee?
Digitaalisia markkinoita koskevassa EU-säädöksessä määritellään kriteerit suurille verkkoalustoille, joita voidaan pitää ns. portinvartijoina. Näillä yrityksillä on erittäin merkittävä vaikutus digitaalimarkkinoihin: niillä on vakiintunut asema markkinoilla ja ne myös hallitsevat markkinoille pääsyä. Nämä yritykset voivat asettaa yrityskäyttäjille ja kuluttajille kohtuuttomia "ota tai jätä" -ehtoja. Säädös on kohdennettu ongelmiin, joita suuriin verkkoalustoihin liittyy.
Lakiuudistus tarjoaa EU:n kilpailulainsäädäntöä täydentävän keinon puuttua ennakoivasti isojen, huomattavaa markkinavoimaa omaavien ja keskeisiä verkkoalustoja hallinnoivien teknologiayritysten kilpailua rajoittaviin toimiin sekä lisää läpinäkyvyyttä. Portinvartijoihin kohdistuviin kieltoihin kuuluvat muun muassa se, että portinvartija ei saa esittää omia palvelujaan ja tuotteitaan paremmassa asemassa kuin vastaavia kolmansien osapuolten palveluja ja tuotteita, joita tarjotaan samalla alustalla.
Lisäksi DMA:ssa esitetään merkittäviä rajoituksia siihen, miten portinvartijayritykset voivat yhdistellä erilaisten alustojen ja palveluiden tuottamaa henkilötietoa. Lisäksi se tuo mahdollisuuden verkkoalustojen yrityskäyttäjille hyödyntää portinvartijayritysten hallinnoimia verkkoalustojen kautta kertyvää dataa. Tämä antaa yrityskäyttäjille paremmat edellytykset innovoida ja kilpailla digitaalisilla markkinoilla.
Mitä konkreettisia vaikutuksia hankkeilla on?
Suomalaiset yritykset ylläpitävät erilaisia markkinapaikkoja, joten niihin voi kohdistua ainakin osa DSA:n velvoitteista. Kaikkien välityspalveluiden tarjoajien tulee esimerkiksi julkaista sähköiset yhteystietonsa viranomaisten yhteydenottoja varten ja niillä tulee olla palvelujensa käyttöehdot, jotka sisältävät tietoa palvelussa tehtävästä sisällön moderoinnista.
Vastuuvapaussäännökset säilyvät lähes muuttumattomina. Jos yritys esimerkiksi ylläpitää palvelua, johon käyttäjät saavat ladata sisältöjä, tulisi kyseisen yrityksen vastuuvapauteen vedotakseen osoittaa, ettei sillä ole tosiasiallista tietoa käyttäjän lataamasta laittomasta sisällöstä, ja se toimii viipymättä laittoman sisällön poistamiseksi tai siihen pääsyn estämiseksi heti saatuaan tiedon tällaisista seikoista. Koska sääntely pyrkii kannustamaan laittoman sisällön poistamiseen, ei palveluntarjoaja menettäisi mahdollisuuttaan vedota vastuuvapaussäännöksiin pelkästään sen perusteella, että se vapaaehtoisesti ja tyypillisesti automaattisia menetelmiä hyväksi käyttäen pyrkii löytämään ja estämään pääsyn laittomaan sisältöön palveluissaan.
DMA kohdistuu ainoastaan erittäin suuriin verkkoalustoihin, joten se ei ainakaan nykyisellään aseta suoria velvoitteita suomalaisille yhtiöille. DMA on tästä huolimatta erittäin merkittävä lainsäädäntöhanke, sillä sen avulla pyritään varmistamaan se, että kilpailuasetelma portinvartija-alustojen ja yrityskäyttäjien välillä tasapainottuu. Asetuksella puututtaisiin portinvartijoiden harjoittamiin epäoikeudenmukaisiin käytänteisiin, joita yritykset ja kuluttajat kohtaavat asioidessaan verkkoalustoilla. Tämä lisäisi digitaalisen palveluiden avoimuutta sekä edistäisi pienempien digiyritysten kilpailukykyä ja pääsyä markkinoille. Kuluttajien valinnanmahdollisuudet lisääntyisivät, kun yritykset voisivat tarjota palveluitaan useammalla eri alustapalvelulla samanaikaisesti.
Missä vaiheessa hankkeiden käsittely on?
Asetusehdotuksia on käsitelty eduskunnassa kevään aikana. Suomen kannat hyväksyttiin eduskunnassa 2.6.2021 viiden valiokunnan annettua lausuntonsa.
Työ on edennyt myös Brysselissä. Puheenjohtajamaa Portugali antoi edistymisraportin ministerineuvostolle 27.5.2021. Kesällä Slovenian puheenjohtajakaudella odotetaan kompromissiesityksiä ja sisällöllistä käsittelyä. Tavoitteena on saavuttaa paketista jäsenmaiden yhteinen kanta marraskuun loppuun mennessä ja äänestää molemmista ehdotuksista joulukuun täysistunnossa.
Mistä saa lisätietoja?
Seuraamme asiakkaillemme merkityksellisiä lainsäädäntöhankkeita niin kansallisella kuin EU:n tasolla. Näiden lainsäädäntöhankkeiden lisäksi EU:ssa on vireillä muun muassa sähköisen viestinnän tietosuoja-asetus (ePrivacy Regulation), joka uudistaa sähköiseen viestintään liittyvät säännöt, sekä datasäädös (Data Act), jonka tarkoitus on lisätä dataan pääsyä ja datan käyttöä EU:ssa.
Lisätietoja antaa Folksin osakas Anna Paimela, anna.paimela@legalfolks.fi.