NIS2-direktiivin toimeenpano tuo uusia velvoitteita kyberturvallisuuden riskienhallintaan soveltamisalaan kuuluville vesihuoltolaitoksille

Euroopan komission NIS2-direktiivi kyberturvallisuuden varmistamisesta astui voimaan tammikuussa 2023 ja jäsenmaiden on saatettava direktiivi osaksi kansallista lainsäädäntöä 17.10.2024 mennessä. Hallituksen esitys NIS2-direktiivin toimeenpanemiseksi annettavaksi laiksi kyberturvallisuuden riskienhallinnasta oli lausunnolla marraskuussa 2023.

NIS2-direktiivin täytäntöönpano ehdotetaan Suomessa tehtäväksi vähimmäistason mukaisesti ja kansallinen liikkumavara täysimääräisesti hyödyntäen, eli lailla toimeenpannaan direktiivin vaatimukset, mutta ei aseteta niitä ylittäviä kansallisia vaatimuksia.

Vesihuolto kuuluu yhteiskunnan toiminnan kannalta kriittisenä palveluna NIS2-direktiivin soveltamisalaan. Direktiivin mukaisesti laki kyberturvallisuuden riskienhallinnasta koskisi soveltamisalaan kuuluvien sektoreiden toimijoita, joilla on vähintään 50 työntekijää tai liikevaihto ja tase vähintään 10 miljoonaa euroa. Lisäksi kriittisten toimijoiden häiriönsietokykyä koskevan CER-direktiivin toimeenpanossa määriteltävät kriittiset toimijat kuuluvat koosta riippumatta soveltamisalaan. Tämän hetkisen tiedon ja arvioin mukaan laki kyberturvallisuuden riskienhallinnasta tulee koskemaan noin 30 vesihuoltolaitosta. Lausunnolla olleen esityksen mukaan lain soveltamisalaan kuuluvien toimijoiden pitää ilmoittautua ja ilmoittaa tietonsa valvovalle viranomaiselle toimijaluettelon ylläpitämiseksi 1.1.2025.

Laki kyberturvallisuuden riskienhallinnasta tulee asettamaan sen soveltamisalan mukaisille toimijoille kyberturvallisuuden riskienhallinta- ja raportointivelvoitteita.

Lain soveltamisalan piirissä oleville toiminnanharjoittajille tulee yleinen kyberturvallisuuden riskienhallinnan velvoite, jonka tavoitteena on estää tai minimoida poikkeamien vaikutus toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin. Toimijan on tunnistettava, arvioitava ja hallittava riskejä, joita kohdistuu sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Toimijoiden on toteutettava kyberturvallisuuden riskienhallinnan toimintamallin mukaiset oikeasuhtaiset tekniset, operatiiviset tai organisatoriset hallintatoimenpiteet viestintäverkkojen ja tietojärjestelmien turvallisuudelle kohdistuvien riskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi.

Toimijan johto vastaa kyberturvallisuuden riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan. 

Toimijan on ilmoitettava viipymättä valvovalle viranomaiselle merkittävästä poikkeamasta. Ensi-ilmoitus on tehtävä 24 tunnin kuluessa poikkeaman havaitsemisesta ja jatkoilmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta. Toimijan on annettava valvovalle viranomaiselle loppuraportti kuukauden kuluessa jatkoilmoituksen toimittamisesta tai pitkäkestoisen poikkeaman kohdalla kuukauden kuluessa sen käsittelyn päättymisestä. Toimijan on ilmoitettava viipymättä merkittävästä poikkeamasta palvelujensa vastaanottajille, jos merkittävä poikkeama todennäköisesti haittaa toimijan palvelujen tarjoamista.

Vesihuollon osalta lain valvovaksi viranomaiseksi esitetään Etelä-Savon ELY-keskusta. Lain tahallisesta tai törkeän huolimattomasta noudattamatta jättämisestä voidaan määrätä toimijalle hallinnollinen seuraamusmaksu.

Toimijoille tulevien velvoitteiden lisäksi laissa tullaan säätämään myös tietoturvaloukkauksia tutkivasta ja niihin reagoivasta yksiköstä, joka sijaitsisi Liikenne- ja viestintävirastossa sekä kansallisen kyberturvallisuusstrategian ja laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien hallintasuunnitelman laatimisesta.