EU:n uusi verkko- ja tietoturvadirektiivi valmisteilla – mistä on kyse?

Vuonna 2016 voimaan astui EU:n verkko- ja tietoturvadirektiivi (NIS-direktiivi), joka vaatii jäsenmaita varautumaan kyberuhkien varalle. Laki vaatii yhteiskunnalle keskeisten palveluiden tarjoajia, kuten terveydenhuolto- ja sähkölaitoksia, minimoimaan kyberuhkien vaikutuksia palveluihin ja ilmoittamaan kohtaamistaan kyberloukkauksista viranomaisille. Jäsenmaat saattoivat direktiivin osaksi kansallista lainsäädäntöä vuonna 2018, mutta päivitys direktiiviin on jo vireillä. Juuso Järviniemi avaa, mistä direktiivissä on kyse ja mitkä ovat keskustelun tärkeimmän puheenaiheet.

Uuden direktiivin on tarkoitus tulla Euroopan parlamentin täysistunnon käsiteltäväksi vuoden loppuun mennessä. Lain nopeatahtinen päivittäminen johtuu siitä, että kyberuhkien maailmassa muutokset ovat nopeita. Direktiiviä parlamentissa työstävä raportööri, hollantilaismeppi Bart Groothuis, kertoo kyberrikollisuuden rehottaneen kororonapandemian aikana. Kesäkuussa pidetyssä alan EuroDIG-konferenssissa Groothuis sanoi, että “voimme puhua kiristyshaittaohjelma-pandemiasta”. Samoin parlamentin tutkimuslaitos kertoo, kuinka kyberhyökkäykset ovat viime vuosina yleistyneet, ja kuinka yhteiskunnan digitalisoituminen korona-aikaan on luonut uusia haavoittuvuuksia.
Uusia toimijoita turvavaatimusten piiriin
EU:n verkko- ja tietoturvavirasto ENISAn mukaan pandemian aikaan esimerkiksi sairaalat ovat joutuneet phishing-kampanjoiden ja kiristysohjelmien kohteeksi. Tämän vuoden toukokuussa kyberhyökkäys sulki Irlannin terveydenhuollon tietojärjestelmän, ja 20 miljoonan dollarin lunnaita vaatineet hakkerit vuosivat potilaiden tietoja nettiin. BBC:n mukaan hyökkäystä seuraavina päivinä tietyillä alueilla ajanvarausten määrä väheni 80 prosentilla, ja tietoa välitettiin paperilomakkeilla sähköisten järjestelmien sijaan.
Kuuluisin esimerkki siitä, miten kyberhyökkäykset voivat lamauttaa yhteiskunnan, on edelleen Viroa vuonna 2007 kohdannut kyberhyökkäysten aalto. Neuvostoaikaisen Pronssisoturi-patsaan siirtämisestä kehkeytyneen kiistan jälkeen maan verkkopankit ja useat hallituksen ja medioiden verkkosivut menivät pimeiksi palvelunestohyökkäysten takia. Tapauksen jälkeen Viro onkin profiloitunut kyberturvallisuuden edelläkävijänä.
Uuden NIS 2 -direktiivin tarkoitus on tuoda uusia toimijoita turvallisuusvaatimusten piiriin. Komissio esittää vaatimuksien lisäämistä esimerkiksi jäteveden käsittelyn, postipalveluiden ja elintarvikkeiden tuotannon aloille. Lisäksi komission tarkoitus on tasoittaa eriäväisyyksiä ensimmäisen NIS-direktiivin toimeenpanossa jäsenmaiden välillä. Direktiivi antaa jäsenmaiden määritellä itse, mitkä tahot lasketaan keskeisiksi palveluntarjoajiksi, minkä johdosta esimerkiksi Italiassa turvallisuusvaatimuksia on asetettu useammille yhtiöille kuin Ranskassa. Samoin konkreettisissa vaatimuksissa on ollut eroja jäsenmaiden välillä.
Uudessa NIS 2 -direktiivissä vaatimukset asetettaisiin keskisuurille ja suurille yhtiöille lain määräämillä aloilla, ja direktiivi asettaisi vähimmäisturvallisuusvaatimukset yhtiöille. Direktiivi pätisi sekä julkisen että yksityisen sektorin toimijoihin. Vähimmäisvaatimukset koskisivat esimerkiksi toimitusketjun turvaamista, turvavälikohtausten ehkäisyä ja niihin reagointia, sekä salaustekniikoiden käyttöä.
Suomessa hallitus kannattaa komission uutta esitystä. Liikenne- ja viestintäministeriö huomauttaa, että yhteisiä sääntöjä tarvitaan, sillä kyberuhat ylittävät yksittäisten jäsenvaltioiden rajat. Viime vuonna komission suosituksesta jäsenmaat perustivatkin CyCLONe-verkoston, johon kuuluvat kunkin jäsenmaan kriisinhallintaviranomaiset. Verkoston avulla jäsenmaat koordinoivat kyberkriisien hallintaa, ja verkoston tavoitteena on myös luoda yhteys teknisen tason toimijoiden ja poliittisten päätöksentekijöiden välille. CyCLONe-verkoston tehtävät kirjataan uuteen NIS 2 -direktiiviin.
Turvallisuuden lisääminen ilman ylisääntelyä
Lainsäädäntöprosessin edetessä yhdeksi kysymykseksi nousee, miten laajalti ja nopeasti toimijoita vaaditaan raportoimaan niihin kohdistuneista kyberloukkauksista ja uhista. Komissio on esittänyt, että toimijoita velvoitettaisiin ilmoittamaan viranomaisille havaitsemistaan merkittävistä kyberuhista. Raportöörinä toimiva Bart Groothuis on kuitenkin esittänyt velvoitteen poistamista. EuroDIG-konferenssissa Groothuis selvensi, että liiallinen raportointi voi koitua käytännössä raskaaksi, sillä toimijat kohtaavat uhkia jatkuvasti. Groothuis on myös esittänyt, että kyberloukkauksista pitäisi ilmoittaa 72 tunnin kuluessa komission esittämän 24 tunnin sijaan, jotta tapausraportit olisivat riittävän tarkkoja.
Uusista turvallisuusvaatimuksista koituu lisäkustannuksia yhtiöille. Esimerkiksi Suomessa ICT-alan edunvalvoja FiCom on vaatinut, että palveluiden tarjoajiin kohdistuvia vähimmäisvaatimuksia lievennettäisiin. Kaupan alan etujärjestö Eurocommerce puolestaan kritisoi esitetyn uuden direktiivin pykälää, jonka mukaan toimitusketjun turvallisuudesta huolehtiessaan toimijoiden pitäisi ottaa huomioon alihankkijoidensa kyberturvakäytännöt – etujärjestön huolenaiheena on, että direktiivin alaiset toimijat joutuisivat vastuuseen myös muiden yritysten toiminnasta. Jäsenmaista jotkut ovat puolestaan esittäneet huolta siitä, miten monet tahot asetetaan direktiivin vaatimusten alle. Lakia säädettäessä EU-instituutiot ja jäsenmaat joutuvat tasapainoilemaan turvallisuuden vahvistamisen ja ylisääntelyn välttämisen välillä.
Uuden direktiivin yhteydessä keskustellaan myös verkkotunnusten rekisteröintitietojen keräämisestä. Komissio esittää, että verkkotunnusten haltijoista tulee olla asianmukaiset tiedot, jotta heidät voidaan tunnistaa ja heihin voidaan ottaa tarvittaessa yhteyttä. Tietokantoja ylläpitäisivät TLD-rekisterit (esimerkiksi .fi-verkkotunnuksia hallinnoiva Traficom) ja niiden alaiset toimijat. Mahdollinen haaste kuitenkin on tietojen puuttuminen tämänhetkisistä tietokannoista. Lisäksi direktiivin toimeenpanossa kysymyksenä on, miten tunnusten haltijoita koskevat tiedot voidaan käytännössä vahvistaa oikeiksi. EuroDIG-konferenssissa Itävallan .at-osoitteiden rekisterin Robert Schischka ehdotti, että esimerkiksi kaupallisiin tai poliittisiin tarkoituksiin rekisteröitävien sivujen omistajat joutuisivat vahvistamaan identiteettinsä perusteellisemmin kuin henkilökohtaiseen käyttöön tarkoitettujen sivujen omistajat: “en ole varma, täytyykö meidän venyttää tätä siihen pisteeseen, että Robertin syntymäpäivänjuhlintasivuston saamiseksi pitää näyttää passia”.
Uusi NIS 2 -direktiivi on tärkeä osa EU:n kyberturvallisuusstrategiaa. Strategiaan kuuluu myös muun muassa yhteisen kyberyksikön (Joint Cyber Unit) perustaminen kyberhyökkäyksien varalle ja toiminta EU:n ulkopuolisten maiden kyberkapasiteetin kehittämiseksi. NIS 2 -direktiiviin kytkeytyy myös uusi vireillä oleva direktiivi kriittisten toimijoiden häiriönsietokyvystä, jonka tarkoitus on vahvistaa yhteiskunnalle tärkeiden toimijoiden resilienssiä muita kuin kyberuhkia vastaan.
Eurooppanuorten kattojärjestö JEF järjestää vuonna 2021 Internetin hallintoon (Internet Governance) liittyviä tapahtumia ja valmistelee suosituksia päätöksentekijöille. Esimerkiksi syyskuussa JEF piti aihetta käsittelevän kansainvälisen seminaarin Helsingissä. Aiheesta kiinnostuneet JEFin jäsenet valmistelevat suosituksia ja ideoivat paikallisia tapahtumia aiheelle omistetussa Facebook-ryhmässä.
Juuso Järviniemi on ollut Eurooppanuorten kattojärjestö JEF-Europen edustajiston eli Federal Committeen jäsen vuodesta 2017. Tamperelaislähtöinen Juuso on opiskellut kansainvälisiä suhteita Edinburghin yliopistossa ja EU-politiikkaa College of Europessa Bruggessa.
TEKSTI Juuso Järviniemi