Uudistettu teletoiminnan tietoturvamääräys
Kansallinen taso
Liikenne- ja viestintävirasto uudisti teletoiminnan tietoturvamääräyksen vuosien 2023-2024 aikana ja uudistettu määräys astui voimaan 1. syyskuuta 2024. Uudistetussa määräyksessä huomioidaan viestintäverkkojen ja -palvelujen kehittyminen sekä vastataan uusiin, tietoturvaa uhkaaviin ilmiöihin. Uudistetun määräyksen keskiössä ovat viestintäverkkojen kehityksen osalta erityisesti 5G-teknologian uudet arkkitehtuuriratkaisut, matkaviestinverkkojen uudet käyttötapaukset ja niihin liittyvät tietoturvavaatimukset.
Määräyspäivityksellä edistetään osaltaan muun muassa tekstiviestipalvelujen turvallisuutta asettamalla teleyrityksille haitalliseksi tunnistetun viestiliikenteen suodatusvelvoite erilaisten tietoturvaa vaarantavien viestien torjumiseksi. Asiakkaan tunnistamiseen on asetettu uusia velvoitteita, joilla pyritään ehkäisemään esimerkiksi liittymän luvaton haltuunotto. Lisäksi IP-yhteenliittämisrajapintojen osalta määräyksessä on asetettu uusia velvoitteita esimerkiksi reitityspoikkeamien havaitsemiseksi sekä reittitietojen suojaamiseksi ja niiden oikeellisuuden varmistamiseksi.
EU-taso
NIS2-direktiivi - Kansallinen täytäntöönpano loppusuoralla
Uusi NIS2-direktiivi (eli kyberturvallisuusdirektiivi) korvaa aiemman EU:n verkko- ja tietoturvadirektiivin. (Ulkoinen linkki) Uuden kyberturvallisuusdirektiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa tiettyjen kriittisten sektoreiden osalta. Direktiivissä osoitetaan yhteiskunnan kriittisille sektoreille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoitteet merkittävistä poikkeamista. Direktiivissä on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintoihinsa kohdistuvia kyberturvallisuusriskejä.
Hallituksen esitys eduskunnalle kyberturvallisuusdirektiivin (NIS2 -direktiivi) täytäntöönpanoa koskevaksi lainsäädännöksi (HE 57/2024 vp) annettiin toukokuussa 2024. Hallituksen esitys on eduskunnan käsittelyssä edelleen, eikä lakia ehditty saattaa voimaan alkuperäisessä aikataulussaan (18.10.2024). Liikenne- ja viestintävirasto on osallistunut tiiviisti kansalliseen täytäntöönpanoon vuoden 2024 aikana.
Traficomin Kyberturvallisuuskeskus koordinoi Suomen sektorikohtaisista NIS-viranomaisista koostuvaa viranomaisyhteistyöryhmää. Työryhmän kokoonpanoa laajennettiin vuonna 2024 ottamalla siihen mukaan myös tulevaa NIS2-lainsäädäntöä Suomessa valvovat viranomaiset.
Lainsäädäntöhankkeeseen vaikuttamisen ohella virastossa on laadittu mm. ohjeistusta muille valvoville viranomaisille tulevasta sääntelystä sekä rakennettu tulevan sääntelyn edellyttämää ilmoituskanavaa. Osana valvoville viranomaisille tehtyä suositusta laadittiin myös ristiinviittausdokumentti, johon on koottu yleisimmät tietoturvallisuuden standardit, joita voi hyödyntää niin NIS2-valvonnan kuin myös soveltamisen yhteydessä. Muiden toimien ohella virastosta on vastattu lukuisiin yhteydenottoihin ja pidetty tapaamisia eri toimijoiden kanssa uuteen NIS2-sääntelyyn valmistautumiseksi.
NIS2-direktiivin täytäntöönpanoon on kuulunut myös tiivis EU-tason yhteistyö vuoden 2024 aikana mahdollisimman yhdenmukaisen täytäntöönpanon varmistamiseksi unionissa. Viraston asiantuntijat ovat osallistuneet aktiivisesti eri NIS-työryhmiin, kuten täytäntöönpanoasetuksen valmisteluun, EU:n tasolla.
Kyberkestävyyssäädöksen (CRA) valmistelu etenee
Kyberkestävyyssäädöksellä asetetaan kyberturvallisuuden vähimmäisvaatimukset digitaalisen elementin sisältäville laitteille ja ohjelmistoille, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon. Tavoitteena on luoda puitteet turvallisten tuotteiden ja ohjelmistojen kehittämiselle, vähentää haavoittuvuuksien määrää ja parantaa tuotteiden turvallisuuden tasoa koko tuotteen elinkaaren ajan. Toisena tavoitteena on parantaa kuluttajien tietoisuutta markkinoilla olevien laitteiden ja ohjelmistojen kyberturvallisuusnäkökohdista. Kyberkestävyyssäädöksen tavoitteita täydentää osaltaan radiolaitedirektiivi ja sen tietoturvavaatimukset, jotka markkinoille saatettavien laitteiden on täytettävä 1.8.2024 lähtien.
Kyberkestävyyssäädös hyväksyttiin EU:n virallisessa lehdessä joulukuussa 2024. Säädöksen eri velvoitteet tulevat porrastetusti voimaan siten, että Ilmoitettuja laitoksia koskevia velvoitteita sovelletaan 18 kuukauden kuluttua voimaantulosta eli 11.6.2026 lukien, haavoittuvuuksista ilmoittamista koskevia velvoitteita sovelletaan 21 kuukauden kuluttua voimaantulosta eli 11.9.2026 lukien ja tuotteen tietoturvaominaisuuksia koskevia vaatimuksia sovelletaan 36 kuukauden siirtymällä. 11.12.2027.
Liikenne- ja viestintäministeriö asetti keväällä 2024 CRA:ta koskevan kansallisen täytäntöönpanohankkeen. Kyberkestävyyssäädös on asetuksena suoraan sovellettava mutta vaatii kansallista täydentävää sääntelyä erityisesti valvonnan ja sen edellyttämien viranomaistehtävien järjestämiseksi sekä hallinnollisten seuraamusten osalta. Liikenne- ja viestintävirasto on osallistunut tiiviisti säädöksen EU-tason valmisteluun kuin myös kansalliseen täytäntöönpanoon ministeriön tukena. Liikenne- ja virasto on käynyt aktiivisesti keskusteluita toimialan kanssa ilmoitettujen laitosten tehtävistä uudessa sääntelykehikossa.
Kyberturvallisuusstandardointi EU:ssa on alkamassa. Standardointijärjestöt ovat valmistelleet RED:n tietoturvavaatimuksia koskevia yhdenmukaistettuja standardeja ja komissio on valmistellut standardointijärjestöille CRA:ta koskevan yhdenmukaistettujen standardien standardointipyynnön. Liikenne- ja viestintävirasto kyberturvallisuuskeskus on osallistunut RED:n tietoturvastandardien valmisteluun ja tulee osallistumaan CRA:n standardien valmisteluun.
Muut sääntelykokonaisuudet
Tekoälyasetus
EU:n tekoälyasetus astui voimaan 1.8.2024 ja asetus pannaan täytäntöön vaiheittain. Asetuksen tarkoituksena on varmistaa, että EU:n alueella markkinoille tuotavat ja käyttöönotettavat tekoälyjärjestelmät eivät vaaranna ihmisten terveyttä, turvallisuutta tai perusoikeuksia. Asetuksessa säädellään tekoälyjärjestelmiä niiden aiheuttamien riskien perusteella. Erittäin haitalliset tekoälyn käyttötavat kielletään ja tietyille korkeariskiseksi luokiteltaville tekoälyjärjestelmille asetetaan tiukennettuja vaatimuksia.
Asetuksen kansallista täytäntöönpanoa koskevassa hankkeessa laadittiin vuoden 2024 aikana luonnos hallituksen esitykseksi. Erityisesti Kyberturvallisuuskeskuksen näkökulmasta esityksessä on mielenkiintoista useat uudet viranomaistehtävät sekä yhtymäkohdat ja keskinäisriippuvuudet esimerkiksi kyberkestävyyssäädöksen kanssa.
Kybersolidaarisuusaloite
EU:n kybersolidaarisuussäädöksellä pyritään vahvistamaan EU:n valmiuksia havaita merkittäviä ja laajamittaisia kyberturvallisuusuhkia ja -hyökkäyksiä sekä valmistautua ja reagoida niihin. Säädökseen sisältyy Euroopan kyberturvallisuuden hälytysjärjestelmä, joka koostuu eri puolilla EU:ta yhteenliitetyistä turvallisuusoperaatiokeskuksista, ja kattava kyberturvallisuuden hätämekanismi EU:n kyberuhkien sietokyvyn parantamiseksi.
Liikenne- ja viestintäministeriön hallinnonala on osallistunut tiiviisti aloitteen EU-tason valmisteluun vuoden 2024 aikana. Liikenne- ja viestintävirasto on selvittänyt niin kansallisella tasolla kuin kumppanimaiden kanssa erilaisia toteutusvaihtoehtoja sääntelyn tarkoittamista rajat ylittävistä toiminnoista eli ns. turvallisuusoperaatiokeskusten muodostamista konsortioista.
Viestintäverkkojen turvallisuus
Liikenne- ja viestintävirasto on osallistunut vuoden 2024 tiiviisti eri EU-tason työryhmiin, joissa käsitellään viestintäverkkojen turvallisuutta. Mm. NIS 5G-alatyöryhmässä on seurattu jäsenvaltioiden 5G-keinovalikoimaa koskevia täytäntöönpanotoimia erityisesti sääntelyn saralla.
eIDAS
Vuonna 2024 Kyberturvallisuuskeskus osallistui EU:n eIDAS-asetuksen muutoksen sekä sen nojalla annettavien täytäntöönpanosäädösten valmisteluun. eIDAS-asetuksen muutoksen johdosta tulee kaikkien EU:n jäsenmaiden tarjota kansalaisilleen digitaalisen identiteetin lompakko vuoden 2026 loppuun mennessä. Samanaikaisesti EU-valmistelun kanssa osallistuttiin kansallisen lompakkolainsäädännön sekä teknisen toimeenpanon valmisteluun. Kyberturvallisuuskeskus on eIDAS-asetuksen mukainen valvontaelin ja valvoo Suomessa tunnistus- ja luottamuspalveluiden turvallisuutta ja jatkossa myös lompakkopalveluiden turvallisuutta.
Lompakoihin sekä luottamuspalveluihin liittyen on eri standardointielimissä valmistelussa paljon teknisiä standardeja ja määrittelyitä. Kyberturvallisuuskeskus osaltaan osallistui sopivien standardien valintaan EU:n yhteisiä määrittelyitä varten.
Vuonna 2025 eIDAS-asetuksen täytäntöönpanosäädösten sekä kansallisen lainsäädännön valmistelu jatkuu, samoin standardien valmistelu ja valinta. Lisäksi aloitetaan sekä kansallisen että EU:n yhteisen lompakon kyberturvallisuuden sertifiointijärjestelmän valmistelu. Kyberturvallisuuskeskus on Suomessa vastuussa kansallisen sertifiointijärjestelmän valmistelusta.
Arviointilainsäädännön uudistaminen
Liikenne- ja viestintävirasto (vai Kyberturvallisuuskeskus?) on ollut aktiivisesti mukana alkuvuonna 2024 käynnistyneessä valtiovarainministeriön vetämässä kansallisen arviointisääntelyn uudistamisen valmistelutyössä (VM167:00/2023, Julkisen hallinnon tietojärjestelmien vaatimustenmukaisuuden arvioinnin ajantasaistaminen ja tehostaminen).
Työryhmä on saanut loppuvuonna valmiiksi ja julkaissut raportin: Tietojärjestelmien tietoturvallisuuden ja varautumisen vaatimustenmukaisuuden arvioinnin nykytila-arvio ja kehittämisehdotukset. Ehdotetuilla muutoksilla olisi vaikutusta mm. turvallisuusluokiteltuun ja erityissuojattavaan tietoon liittyvien tietojärjestelmien sekä turvallisuuskriittisten tuotteiden arviointeihin sekä tietoturvallisuuden arviointilaitosten toimintaan.
Raportin keskeiset kehittämisehdotukset lainsäädäntöön ovat: 1) parannetaan arviointien saatavuutta ja viranomaisyhteistyötä tarkistamalla viranomaisten arviointitehtäviä, 2) parannetaan salaustuotteiden valmistajien, TEMPEST-tuotteiden valmistajien ja arviointilaitosten elinkeinotoiminnan edellytyksiä, 3) sujuvoitetaan arviointimenettelyjä riskiperusteisesti sekä selkeytetään ja täydennetään arviointiperusteita.
Työskentely jatkuu edelleen 2025 hallituksen esityksen valmisteluna, johon Liikenne- ja viestintävirasto (vai Kyberturvallisuuskeskus) osallistuu ja jota se tukee vahvasti. Sääntelyn ja arviointitoiminnan kehittäminen ovat myös uudistetun kyberturvallisuusstrategian toimeenpanosuunnitelmassa (Nro 2.7.).