Digitaalinen ja kyberturvallisuus Euroopan unionissa

Euroopan unioni on kehittänyt kyberturvallisuuspolitiikkojaan aktiivisesti viime vuosina. EU:n kyberturvan sääntelykokonaisuus sisältää neljä olennaista säädöstä: Kyberturvallisuusasetus, NIS2-direktiivi, Kyberkestävyyssäädös ja Kybersolidaarisuusasetus. Kuntakentän kannalta olennaisia ovat kolme ensiksi mainittua säädöstä.

Kyberturvallisuusasetus

Kyberturvallisuusasetus (Cyber Security Act, CSA) säätää perustan EU:n kyberturvallisuusvirasto ENISA:n toiminnalle ja EU:n kyberturvallisuuden sertifiointijärjestelmälle. ENISA:n toiminta on vakiintunut ja laajenee jatkuvasti, kun taas sertifiointijärjestelmän kehittäminen on ollut oletettua hitaampaa. EU-tasoisten sertifikaattien saaminen käyttöön olisi toivottavaa kyberturvallisuuden tason yhtenäistämiseksi EU:ssa ja kuntakentän käyttämien digitaalisten palveluiden riittävän kyberturvan tason osoittamiseksi nykyistä yksinkertaisemmin - nojaamalla osin palveluntuottajien sertifikaatteihin. 

NIS2-direktiivi

NIS2-direktiivi luo perustan kriittisiksi tunnistettujen toimialojen suurikokoisten organisaatioiden kyberturvallisuusvaatimuksille. Lisäksi se edellyttää kansallisten kyberturvallisuusstrategioiden laatimista. Kuntakentän näkökulmasta olennaisia kriittisiä toimialoja ovat julkinen hallinto, vesihuolto, energiahuolto (vrt. lämpölaitokset) ja jätehuolto. Suomen kansallisessa toimeenpanosääntelyssä paikallistaso eli kunnat on jätetty julkinen hallinto toimialan ulkopuolelle, eikä NIS2-sääntely koske siten peruskunnan toimintaa. Kuntien vastuulla voi olla liikelaitoksena tai yhtiömuotoisena toimivia vesi-, lämpö- tai jätetoimijoita. 

NIS2-direktiivin kriittisillä toimialoilla toimivien organisaatioiden tulee toimialaan kuulumisen lisäksi olla myös riittävän suurikokoisia toiminnaltaan kuuluakseen direktiivin soveltamisalaan: liikevaihdon ja taseen tulee molempien ylittää 10 000 000 euroa tai henkilöstömäärän 50 henkeä. Tästä johtuen Suomen kuntakentän kriittisen infran toimijoista vain suurimmat kuuluvat NIS2 sääntelyn piiriin. 

Kansallisesti NIS2 on toimeenpantu kyberturvallisuuslailla ja julkisen hallinnon toimialan osalta tiedonhallintalain uudella 4 a luvulla (Huom! Uusi 4 a -luku ei koske kuntia). Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on laatinut NIS2 valvoville viranomaisille suosituksen, jota myös kunnat voivat hyödyntää hyvänä käytäntönä oman tietoturvansa kehittämisessä. Kuntatoimijoiden kannattaa käydä siitä läpi vähintään perustason vaatimukset ja varmistaa, että kunnan toiminta vastaa niitä. Pidemmän aikavälin vapaaehtoiseksi tavoitteeksi olisi suositeltavaa ottaa täysi yhteensopivuus NIS2 vaatimusten suhteen.

Kyberkestävyyssäädös

Kyberkestävyyssäädös (Cyber Resilience Act, CRA) sääntelee digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuutta ja haavoittuvuuksien hallintaa. Se koskee säädöksenä ennen kaikkea tuotteiden valmistajia, niitä valvovia viranomaisia sekä tuotesertifiointeja ja -auditointeja tekeviä toimijoita. Ajatuksena on, että valmistajat toimeenpanevat pääasiassa omaehtoisesti CRA:n 6. artiklassa mainitut kyberturvallisuusvaatimukset ja haavoittuvuuksien hallinnan ja ilmoittamisen vaatimukset. 

Haavoittuvuuksien hallinta koskee kaikkia tietoverkkoon kytkettävissä olevia tuotteita (soveltaminen alkaen 11.9.2026) kun taas kyberturvavaatimukset koskevat uusia markkinoille tuotavia tuotteita (soveltaminen alkaen 11.12.2027). CRA toimeenpannaan kansallisella toimeenpanosääntelyllä vuoden 2025 aikana. CRA:n tuotteisiin kohdennetut vaatimukset tulee huomioida myös julkisissa hankinnoissa (vrt. 5. artikla). Kuntaliitto toivoo viranomaisilta kuntakentälle kohdennettua selkeää 5. artiklan toimeenpano-ohjeistusta.

Muita huomionarvoisia säädöksiä

EU:n muissakin keskeisissä data- ja digitalisaatiosäädöksissä kuten tekoälyyn ja pilvipalveluihin liittyvissä säädöksissä sekä eurooppalaisesta digitaalisen identiteetin lompakosta säätävässä eIDAS-asetuksessa ja niiden kansallisessa toimeenpanosääntelyssä on omia tietoturvavaatimuksiaan, jotka kuntien tulee huomioida. 

EU:n kehittyvä varautumisen ja resilienssin sääntely ja Naton resilienssiagenda heijastuvat myös kuntakentän vaatimuksiin ja toimintaedellytyksiin. EU:n uusi keskeinen varautumista ohjaava säädös on CER-direktiivi, jonka kansallinen toimeenpanon toteuttaa laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta. Sen kansallinen soveltamisala tulee todennäköisesti noudattamaan monelta osin NIS2-direktiivin soveltamisalaa, mutta CER:n kautta voi mahdollisesti herkemmin, nousta myös pienempiä rooliltaan kriittisiä toimijoita CER-sääntelyn ja sitä myötä myös NIS2 sääntelyn piiriin. 

Toimeenpano ja rahoitus

EU:n digitalisaatiotavoitteita on kirjattu EU:n digitaalinen vuosikymmen 2030 ohjelmaan, jonka pohjalta on laadittu myös kansallinen Suomen digitaalinen kompassi (2023) sekä EU:n kyberturvallisuusstrategiaan (2020) ja kansalliseen kyberturvallisuusstrategiaan ja sen toimeenpano-ohjelmaan. 

EU:n kyberturvallisuusvirasto ENISA tukee Euroopan komissiota EU:n kyberturvallisuussäädösten toimeenpanossa. ENISA muun muassa kerää ja jakaa tilannekuvaa EU:n kyberturvallisuuden tilasta sekä analysoi erilaisia kyberturvallisuuden osa-alueita. Lisäksi ENISA laatii säädösten toimeenpanoa tukevaa dokumentaatiota ja tarjoaa muita tukipalveluita erityisesti jäsenmaiden kyberturvallisuusviranomaisille. Toisaalta ENISA laatii myös kohdennettuja kyberturvallisuussisältöjä jäsenmaiden julkiselle hallinnolle, yrityksille ja kansalaisille. Yksi keskeinen ENISA:n tehtävä on EU:n turvallisuussertifiointijärjestelmän ja -kriteeristöjen kehittäminen ja ylläpito. 

Kansalliset kyberturvallisuutta tukevat viranomaiset kuten Traficomin kyberturvallisuuskeskus ja Digi- ja väestötietovirasto (DVV) tarjoavat kuntakentän toimijoille enemmän hyödyllisiä ja kansalliseen toimintaympäristöön mukautettuja kyberturvallisuussisältöjä kuin ENISA. Kuitenkin kuntatoimijoiden ja kuntakentän asiantuntijoiden, joilla on enemmän aikaa käytettävissään kyberturvallisuuden kehittämiseen, kannattaa tutustua ENISA:n palveluihin ja hyödyntää niitä tarpeen mukaan.

EU:n rahoitusohjelmissa, kuten esimerkiksi Horizon, Living in EU ja Digital Europe on tarjolla rahoitusta kyberturvallisuuden kehittämiseen. Nämä rahoitusohjelmat ovat myös kuntien ulottuvilla. Aiheesta kiinnostuneiden organisaatioiden kannattaa tutustua Liikenne- ja viestintävirasto Traficomin operoiman Kyberturvallisuuden tutkimuksen, kehityksen ja innovaatioiden kansallisen koordinointikeskuksen palveluihin ja liittyä sen kansalliseen osaamisyhteisöön. 

Kuntia ja alueita edustavat aluetoimistot voivat tukea asiakaskuntiaan rahoitusmahdollisuuksien tunnistamisessa. EU:n rahoitusmahdollisuuksista kiinnostuneiden kuntatoimijoiden kannatta myös olla yhteydessä alueensa tai kansallisella tasolla kyberturvallisuuskoulutusta ja tutkimusta tekeviin ammattikorkeakouluihin ja yliopistoihin hankekumppanuuksien tunnistamiseksi (näitä toimijoita voi tunnistaa esimerkiksi seuraavien verkostohankkeiden osallistujista: AMK:t ja YO:t). Kuntaliitto voi tukea tarvittaessa kuntia rahoitusasioissa verkostoitumisessa sekä kansallisten ja kansainvälisten hankekumppanien tunnistamisessa (yhteystiedot alla). 

EU:n rahoitusohjelmia ollaan uudistamassa merkittävällä tavalla. Se ei kuitenkaan estä rahoitusmahdollisuuksiin tutustumista jo nyt ja vielä käynnissä olevien rahoitusohjelmien hyödyntämistä. Oletettavasti kyberturvallisuuden kehittämiseksi on jatkossakin tarjolla merkittävässä määrin EU-rahoitusta.

Muuta asiaan liittyvää

Kuntaliiton asiantuntijat, jotka voivat kertoa lisää

Löydä lisää sisältöä samoista teemoista
EU ja kansainvälisyys
Tietoyhteiskunta ja digitalisaatio
turvallisuus
tietosuoja
varautuminen
Kestävät kunnat