- digitaalinen turvallisuus
- kyberturvallisuus
- digitalisaatio
Liikenne- ja viestintävirasto Traficomin lausuntopyyntö suositusluonnoksesta NIS-valvoville viranomaisille
Lausuntonne suosituksesta yleisesti:
Kuntaliitto arvioi, että NIS2 viranomaisille suunnattu suositus on monipuolinen kyberturvallisuuden riskienhallintaa ja riskienhallintatoimenpiteitä sekä niiden toteutumisen todentamiskeinoja kuvaava kokonaisuus. Se tarjonnee hyviä lähtökohtia valvoville viranomaisille niiden sekä niiden valvontatoiminnan tarkoituksenmukaiselle yhteensovittamiselle yli toimialarajojen.
Toimijan näkökulmasta suositusta voi hyödyntää oman kyberturvallisuuden riskienhallintatyön tukena, kun varmistetaan oman toiminnan yhdenmukaisuus NIS2 säädännön vaatimusten kanssa. Toimija voi hyödyntää suositusta soveltuvalta osin myös omien palvelutuottajien ja -sopimusten arvioinnissa.
Suositus asettaa riittävän tavoitetason kyberturvallisuuden toimenpiteiden toimeenpanemiseksi NIS2-direktiivin tavoitteiden mukaisesti. Samalla suositus on myös hyvin yksityiskohtainen ja laaja. Sen vaatimustenmukaisuuden varmistaminen vaatineekin pääosalta sääntelyn soveltamisalaan kuuluvista organisaatioista merkittäviä päivityksiä kyberturvallisuuden ratkaisuihin ja toimintamalleihin. Tarvitaan nykyistä enemmän osaamista ja resursseja. Suosituksen mukaisten tavoitteiden saavuttaminen edellyttänee monella toimijalla myös uudenlaisen turvallisuuskulttuurin rakentamista.
Edellä mainituista syistä on perusteltua olettaa, ettei NIS2:ssa ja suosituksessa asetettua tavoitetasoa tulla saavuttamaan välittömästi. Merkittävää ja pitkäjänteistä viranomaisten tukea tarvittaisiin toimijoille jalkautukseen. Esimerkiksi vesihuollon toimialalle voisi olla hyödyllistä käynnistää projekti, joka tukisi NIS2-vaatimusten (ja mahdollisesti myös CER-vaatimusten) jalkauttamista toimijoille.
Suositus ei myöskään tarjoa valvoville viranomaisille tai niiden valvonnan alla oleville toimijoille yksiselitteistä vastausta siihen, miten juuri tietyn organisaation tulisi rakentaa oma riskienhallintansa.
Suosituksen soveltamisen alettua tuleekin olemaan hyvin keskeinen vaihe, jonka aikana valvovien viranomaisten tulisi tehdä toimialansa toimijoiden kanssa ennakoivaa ja joustavaa yhteistyötä toiminnan reunaehtojen määrittämisessä. Tämä on tärkeää myös sen varmistamiseksi, etteivät toimijat ylimitoita riskienhallintatoimenpiteitä.
Kuntaliitto korostaakin, että valvonta on osa toimijoiden kyberriskien hallinnan kehittämiseen tarjottavaa viranomaistukea. Se pitäisi rakentaa
vuorovaikutukselliseksi kanssakäymiseksi valvojan ja valvottavien välille, ei vain sähköisesti tapahtuvaksi asiakirjojen vaihdoksi tai yksisuuntaiseksi tarkistusten tekemiseksi sekä hallinnollisten määräysten ja sanktioiden antamiseksi. Yhteistyön tulisi olla ennakoivaa sen sijaan, että se olisi jälkikäteisarviointeihin ja -päätöksiin perustuvaa reaktiivista toimintaa.
Valvovien viranomaisten ohjaus ja neuvonta ovat erityisen tärkeitä NIS2 sääntelyn toimeenpanon alkuvaiheessa. Valvovien viranomaisten toiminnassa ohjauksen ja neuvonnan resurssoinnin ja painoarvon tulisi mahdollisesti olla jopa suurempi kuin jälkikäteistarkastusten. Pidemmässäkin juoksussa uskomme, että salliva ja neuvova, ennakoiva valvontaote osoittautuu tuloksellisimmaksi toimintatavaksi.
Oma kysymyksensä on se, miten hyvin sama viranomainen voi toimia yhtä aikaa valvovana ja neuvovana tahona ilman, että osa neuvontaa tarvitsevista jättää sitä pyytämättä mahdollisten sanktioiden pelossa. Onnistuneesta valvovan viranomaisen ja valvottavien välisestä ennakoivasta yhteistyöstä on jo hyviä esimerkkejä. Tulisikin varmistaa, että viranomaistoiminnan järjestelyt mahdollistavat mutkattoman kanssakäymisen eri tahojen kesken.
Kuntaliitto näkee, että valvovien viranomaisten koordinaatio ja yhteistyö tulee kyetä järjestämään valtakunnallisella tasolla siten, että valvonta on tasalaatuista eri toimialojen välillä.
On oletettavaa, että useimmat NIS2 -sääntelyn kansalliseen soveltamisalaan kuuluvat toimijat tulevat kuulumaan myös CER-direktiivin kansalliseen soveltamisalaan. Onkin tärkeää, että valvonta niin CER-kriteerien kuin NIS2-kriteerin osalta on yhdenmukaista, eivätkä toimijat joudu laatimaan käytännössä samoista asiakirjoista ja toimintamalleista erillisiä NIS2- ja CER-asiakirjoja.
Kuntaliiton lausunto on annettu lausuntopalvelussa
1. Kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja riskienhallinnan toimenpiteiden vaikuttavuuden arviointi
Tähän osioon liittyvät huomiot:
2. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet
Tähän osioon liittyvät huomiot:
3. Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen
Tähän osioon liittyvät huomiot:
4. Toimitusketjun toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, tuotteisiin ja palveluihin sisällytetyt kyberturvallisuusriskien hallintatoimenpiteet sekä toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt
Tähän osioon liittyvät huomiot:
5. Omaisuudenhallinta ja turvallisuuden kannalta tärkeiden toimintojen tunnistaminen
Tähän osioon liittyvät huomiot:
6. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus
Tähän osioon liittyvät huomiot:
Henkilöiden taustatarkistusmenettelyitä ei ole vielä mittavassa määrin käytettävissä kunnissa tai kuntien omistamissa energia-, vesi- ja jätehuollon organisaatioissa. Tässä voi olla yksi mahdollinen toimeenpanon pullonkaula.
7. Pääsynhallinnan ja todentamisen menettelyt
Tähän osioon liittyvät huomiot:
8. Salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun (puhe-, video- ja teksti) sähköisen viestinnän käyttöön
Tähän osioon liittyvät huomiot:
9. Poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi
Tähän osioon liittyvät huomiot:
10. Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö toimijan toiminnassa
Tähän osioon liittyvät huomiot:
11. Perustason kyberhygieniakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi
Tähän osioon liittyvät huomiot:
12. Toimenpiteet fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi
Tähän osioon liittyvät huomiot:
SUOMEN KUNTALIITTO
Martti Setälä
erityisasiantuntija
Kuntaliiton asiantuntijat, jotka voivat kertoa lisää
Tervetuloa digisumpeille!
Digisumpit on torstaisin pidettävä etätilaisuus kuntien digikehittäjille. Digisumpit on tarkoitettu kuntien osaamisen jakamista ja verkostoitumista varten.