Uusi EU-direktiivi haastaa yritykset suojaamaan kriittisen infrastruktuurin
Toukokuussa 2018
unionin laajuisesti tulee sovellettavaksi kaksi erillistä, mutta laajemmin
samaan kokonaisuuteen kuuluvaa säädöstä: yleinen tietosuoja-asetus (General
Data Protection Regulation eli GDPR) sekä verkko- ja tietoturvadirektiivi
(Network and Information Security Directive eli NISD). Asetus koskee kaikkia
organisaatioita, jotka keräävät tai käsittelevät henkilöstönsä ja/tai
asiakkaidensa henkilötietoja. Verkko- ja tietoturvadirektiivi puolestaan koskee
digitaalisten palvelujen tuottajia sekä kansallisia keskeisten palveluiden
tarjoajia, eli pitkälti kaikkia digitaalisen tai fyysisen infrastruktuurin
toimijoita.
Säädöspaketti
noudattaa EU:n digitaalisten sisämarkkinoiden logiikkaa, sekä unionin
kyberturvallisuusstrategian tavoitteita ja taustalla on nähtävissä vahva
poliittinen tahtotila. Tätä ilmentää myös molempiin säädöksiin sisältyvä
sanktiouhka. Vaikka sanktiouhka voikin vaikuttaa suurimmalta ”kannustimelta”
vaatimuksenmukaisuuden toteuttamiseksi, kannattaa säädösten asettamat
vaatimukset nähdä yrityksissä myös mahdollisuutena. Ottamalla kokonaisvaltainen
ja riskiperustainen lähestyminen tietoturvaan ja tietosuojaan voidaan
organisaatioissa saavuttaa sekä säästöjä että turvallisuutta.
IT-riskienhallinnan uusi sääntely kannattaa nähdä
yhtenä pakettina
Sääntelykokonaisuus
lisää IT-riskienhallintaan kohdistuvaa pakottavaa sääntelyä merkittävästi.
Monen organisaation huomio on keskittynyt lähestyvään
vaatimuksenmukaisuusharjoitukseen, mutta vaarana on, että tietosuojaa ja
tietoturvaa tehdään osastorajojen mukaisissa siiloissa, huomioimatta
kokonaiskuvaa. Usein GDPR ja NISD nähdään tavoitteiltaan toisistaan täysin
erillisinä säädöksinä, GDPR:n näkökulman ollessa digitaalisissa sisämarkkinoissa
sekä henkilötiedoissa perusoikeuslähtöisesti, kun taas NISD:in nähdään
keskittyvän perinteisempään kyberturvallisuuteen, jääden erityisesti kriittisen
infrastruktuurin yritysten kontolle.
Nämä lähes
samanaikaisesti sovellettavaksi tulevat säädökset tulisi kuitenkin nähdä
strategisena sääntelypakettina ja toisiaan tukevana regulaationa, jolla
EU-kansalaisten tietosuoja ja tietoturva, sekä EU:n kriittisen infrastruktuurin
toimintavarmuus halutaan suojata nykyistä paremmin. Tietoturvaan kohdistuvat
vaatimukset tulevat todennäköisesti tiukentumaan myös välittömän soveltamisalan
ulkopuolelle jäävien yritysten osalta erityisesti näiden toimiessa
alihankkijoina ja kumppaneina direktiivin tarkoittamille yrityksille.
Yrityksissä näitä asioita ei kannatta tarkastella pelkästään
vaatimustenmukaisuuteen liittyvänä asiana, vaan mahdollisuutena parantaa
palveluiden toimintavarmuutta, lisätä asiakkaiden luottamusta, parantaa
asiakaskokemusta sekä tehostaa toimintaa.
Uudet velvoitteet yrityksille:
ilmoitusvelvollisuus, sekä suojauksen tason osoittaminen
GDPR on
asetuksena sellaisenaan sovellettavaa oikeutta, kun taas direktiivi vaatii
kansallisen implementaation ja jättää enemmän harkinnanvaraa keinojen osalta.
Tällä hetkellä Suomessa mietinnän alla on, miten NISD:n vaatimukset implementoidaan
kansalliseen lainsäädäntöön ja miten viranomaisvalvonta
toteutetaan.
Työryhmätyöskentely
NISD:in edellyttämien kotimaisten lainsäädäntömuutosten valmistelemiseksi on
käynnistynyt syyskuussa ja jatkuu arvioiden mukaan helmikuuhun 2017.
Hallituksen esityksen luonnos on tavoitteena saada lausuntokierrokselle
toukokuussa 2017, samaan aikaan kuin GDPR:n aiheuttamaa henkilötietojen suojaa
koskevan lainsäädännön muutostarvetta selvittävän työryhmänkin on tarkoitus
esittää mietintönsä. Vaikka ensiksi mainitun työryhmän asettamispäätöksessä
todetaankin, että direktiivi jättää implementoinnin suhteen kansallista
liikkumavaraa, ja täten mahdollistaa voimaansaattamisen monin osin jo olemassa
olevalla lainsäädännöllä, on silti odotettavissa, että regulaatio lisääntyy
esimerkiksi tietoturvallisuuden tason riittävyyden osoittamisen osalta.
Sekä GDPR ja NISD
sisältävätkin vaatimuksia ”asianmukaisten teknisten ja organisatoristen
toimenpiteiden” sekä ”tarpeellisten ja suhteellisten turvatoimien” käytöstä
järjestelmien suojauksessa, sekä näiden toteuttamisen näyttämisestä
käytännössä. Suojatoimien asianmukaisuus voidaan todentaa esimerkiksi
auditoimalla prosessit ja järjestelmät alan vallitsevien standardien
mukaiseksi.
Molemmat säädökset
sisältävät lisäksi ilmoitusvelvollisuuden tietoturvaloukkaustapauksissa, ja
tässä onkin selkeästi nähtävissä pyrkimys jäsenvaltioiden ja yritysten
riskienhallintaan vaikuttamiseksi ennen kuin kriittisiin toimintoihin
kohdistuvat hyökkäykset pakottavat tähän niin sanotusti ”kantapään kautta”.
Taustalla vaikuttaa idea järjestelmien keskinäisriippuvuudesta, jossa systeemi
on yhtä vahva kuin sen heikoin lenkki. Ilmoitusvelvollisuus korostaa tarvetta
hyvään havainnointi- sekä tutkintakykyyn.
Miten yritysten kannattaa valmistautua
vaatimustenmukaisuuteen?
Erityisesti
tietoturvaloukkauksia silmälläpitäen on hyvä varmistaa, että tarvittavat
prosessit ovat kunnossa, ja että henkilöstö on koulutettu näiden
toteuttamiseksi. GDPR sisältää ilmoitusvelvollisuuden ilman aiheetonta
viivästystä ja viimeistään 72 tunnin kuluessa henkilötietoihin kohdistuneen
tietoturvaloukkauksen havaitsemisesta, ja NISD puolestaan edellyttää
jäsenvaltioiden varmistavan, että palveluiden jatkuvuuteen vaikuttavasta
poikkeamasta tehdään ilmoitus viranomaiselle ilman aiheetonta viivästystä.
Molemmat
säädökset sisältävät myös sanktiouhan ilmoittamatta jättämisestä: Kuten
laajasti jo tiedetäänkin, GDPR sisältää jopa kahden tai neljän prosentin
suuruisen hallinnollisen sakon yrityksen globaalista liikevaihdosta laskettuna.
Direktiivin osalta sanktion suuruus jää kansallisessa lainsäädäntöprosessissa
määriteltäväksi, mutta direktiivin teksti edellyttää että seuraamukset ovat
”tehokkaita, oikeasuhteisia ja varoittavia”. Nämä seikat lisäävätkin entisestään
IT:n hallinnan kriittisyyttä liiketoiminnan kannalta. Yritysjohdon vastuulla on
jatkossa ymmärtää tietoturvaa entistä paremmin, jotta sitä voidaan johtaa sekä
normaali- että poikkeusoloissa. Kokonaisvaltainen riskienarviointi on tässä
keskeinen osatekijä.
Vuonna 2018
tietoturvatyö ottaa sääntelyn takia selkeän askeleen perinteisestä
riskienhallinnasta kohti sanktioitua vaatimustenmukaisuutta. Yrityksille onkin
nyt tärkeää seurata kansallista lainvalmistelutyötä NISD:iin liittyen ja
aloittaa valmistautuminen tietoturvan ja tietosuojan kokonaisvaltaiseksi
huomioimiseksi liiketoiminnan ja sen edellytysten turvaamisessa. Jokaisen
yrityksen voikin suositella ryhtyvän vähintään seuraaviin toimenpiteisiin:
- Riskiarvion tekeminen ja riskien mukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen
- Riittävän tietoturvan tason osoittaminen, esimerkiksi ulkopuolisen tarkastajan suorittamalla arvioinnilla.
- Sen varmistaminen, että järjestelmien havainnointikyky ja toiminnallisuudet tukevat tietoturvaloukkausten havaitsemista, tutkintaa ja dokumentointia riittävällä tavalla, jotta mahdollisten tietoturvaloukkausten ilmoittamista varten yrityksillä on käytettävissä riittävät tiedot
- Valmistautuminen ilmoitusvelvollisuuden täyttämiseen kansallisille viranomaisille ja/tai asiakkaille
- Saatavilla olevien hyötyjen tunnistaminen, jotta kyseessä ei ole pelkkä compliance-ohjelma
Kuten
viimeaikaiset tietomurrot, kiristysohjelmat ja IoT-hyökkäykset Suomessakin
osoittavat, tulevaisuus uhkakuvineen on jo täällä. 18 kuukauden päästä
laajentuneet velvollisuudet astuvat voimaan, ja nyt onkin viimeistään aika
selvittää, minkälaiset valmiudet ja kyvykkyydet yritykselläsi on vastata näihin
haasteisiin. Kello tikittää jo.
Antti-Pekka
Manninen