Hyppää sisältöön

NIS2 ja Maa-asemat - 10 väittämää

Kyberturvallisuusdirektiivin (Network and Information Systems Directive, NIS2-direktiivi) kansallinen täytäntöönpano astuu voimaan syksyllä 2024. Uuden direktiivin tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta kriittisiksi katsottujen sektoreiden ja toimijoiden osalta. NIS2-direktiivin osalta avaruustoimialan valvovana viranomaisena toimii Liikenne- ja viestintävirasto Traficom. 

Tässä blogikirjoituksessa käymme läpi 10 väittämää NIS2-direktiivistä avaruustoimijoiden kannalta ja selvitämme, ovatko ne totta vai tarua. Varmista, että tunnet faktat ja vältyt väärinymmärryksiltä, kun uusi kyberturvallisuussääntely tulee osaksi arkeasi. 
 

Kaikki avaruustoimijat kuuluvat NIS2-direktiivin sääntelyn piiriin.

Tarua. Maa-asemat sekä niiden valvonta- ja hallintakeskukset kuuluvat sääntelyn piiriin ja myös näihin liittyvä maanpäällinen infrastruktuuri. Avaruusesineet, kuten satelliitit, ja avaruustoiminnan harjoittaminen eivät puolestaan kuulu.

Maa-asemat ovat olennainen osa nykyaikaista tietoliikenneinfrastruktuuria mahdollistaen yhteydenpidon satelliittien kanssa välittäen tietoa maapallon ja avaruuden välillä. Maa-asemainfraa tarvitaan tiedonsiirron mahdollistamiseen satelliittien sekä maanpäällisten verkkojen ja palveluiden välillä. Maa-asemat tukevat siis viestintää laajasti erilaisissa sovelluksissa, kuten esimerkiksi satelliittitietoliikenteessä, sääennusteissa, televisiolähetyksissä ja tieteellisessä tutkimuksessa. Toimijan koosta tai kriittisyydestä riippuen maa-asematoimintaan luvan saaneet toimijat ovat mahdollisesti sääntelyn alaisuudessa, joten alan toimijoiden tulee tarkistaa viimeistään nyt kyberturvallisuuspolitiikkansa ja tarkastella NIS2-direktiivin sääntelyn kohteiden kriteerit. Myös julkiset toimijat, joilla ei erikseen ole maa-asematoimintalupaa voivat olla sääntelyn piirissä. Tarkempaa tietoa maa-asematoiminnan luvista ja sääntelyn piiriin kuuluvista toiminnoista löytyy Traficomin sivuilta

Maa-asemat voivat olla kriittisiä niin kansallisen turvallisuuden kuin taloudellisen vakauden kannalta, mikä tekee niiden kyberturvallisuudesta erityisen tärkeän. Noudattamalla uusia vaatimuksia ja ottamalla käyttöön tarvittavat toimenpiteet maa-asemat voivat varmistaa, että ne ovat paremmin suojattuja kyberuhkia vastaan. Siten ne voivat jatkaa merkittävää rooliaan turvallisesti ja luotettavasti myös tulevaisuudessa. 
 

NIS2-direktiivi mahdollistaa kansallisen liikkumavaran kyberturvallisuuden suunnittelussa. 

Totta. Euroopan unionin tasolla direktiivi on vähimmäistason asettava, eli jäsenmaat voivat kansallisessa implementoinnissa asettaa esimerkiksi suurempia sanktioita tai tiukempaa sääntelyä tietyille toimialoille tai toimijoille. Sääntelyn alaisuuteen kuuluvat toimijat ja myös sääntelyn ulkopuolella olevat toimijat voivat halutessaan kuitenkin asettaa korkeampia vaatimuksia kyberturvallisuuspolitiikassaan. Suomi on osaltaan direktiivin implementoinnissa hyödyntänyt kansallisen liikkumavaran velvoitteiden soveltamisalassa, laajuudessa ja valvonnassa. Kotimaisten toimijoiden siirtymää kohti NIS2-direktiivin vaatimuksia on helpottanut jo maa-asemista ja eräistä tutkista annettuun lakiin eli maa-asemalakiin sisältyvät kyberturvallisuusvaatimukset, jotka säädettiin NIS2:n sääntelyvaatimuksia ennakoiden. 
 

NIS2-direktiivi on kokonaisuudessaan laajempi kuin edeltäjänsä NIS1-direktiivi. 

Totta. Tämä uusi direktiivi päivittää ja laajentaa nykyisen NIS-direktiivin soveltamisalaa, kattaen nyt laajemmin eri toimialoja ja kriittisiä infrastruktuureja, kuten energia-, terveydenhuolto, avaruus- ja digitaalisten palveluiden sektorit. Valvovat viranomaiset valvovat myös osan toimijoiden riskienhallintaa ennalta, ja kaikkien toimijoiden osalta jälkikäteisesti kyberpoikkeaman sattuessa kohdalle. Sääntelyn kohteena olevien toimijoiden tulee myös ilmoittautua toimijaluetteloon, jota Traficomin alaisuudessa toimiva Kyberturvallisuuskeskus (KTK) ylläpitää. Uudistus tuo mukanaan esimerkiksi myös toimijoiden erottelun yhteiskunnan kannalta keskeisiin ja tärkeisiin toimijoihin.
 

NIS2-direktiivi koskee vain kriittisen infrastruktuurin suuryrityksiä. 

Tarua. NIS2-direktiivin soveltamisala on laaja kattaen myös pienempiä ja keskisuuria yrityksiä, jos ne ovat kriittisiä yhteiskunnan taloudellisen toiminnan tai turvallisuuden kannalta. Aikaisemman direktiivin piiriin kuuluivat lähinnä suuret toimijat kriittisillä sektoreilla. Toimijat ovat jaoteltuna sääntelyssä keskeisiin ja tärkeisiin toimijoihin riippuen niiden koosta, toimialasta ja kriittisyydestä. Toimialat ja toimijan koon vaikutuksen sen sääntelyyn löytyvät Traficomin Kyberturvallisuuskeskuksen taulukosta
 

NIS2-direktiivi ei tuo muutoksia edeltävään direktiivin tai maa-asemalakiin verrattuna, vaan laajentaa ainoastaan soveltamisalaa. 

Tarua. Kokonaisuudessaan NIS2-direktiivin sääntely on yksityiskohtaisempaa verrattuna maa-asemalakiin. Yksi keskeisimmistä muutoksista on se, että NIS2 asettaa osin tiukemmat vaatimukset tietoturvatoimenpiteille ja raportointivelvollisuuksille. Uusi direktiivi tuo tullessaan kriittisiksi määritetyille sektoreille kyberturvallisuutta vahvistavia riskienhallinta- ja raportointivelvoitteita, joista on saatavilla lisätietoa Kyberturvallisuuskeskuksen sivuilta

Tätä tarkoitusta varten Traficom on avannut toimijoille ilmoitusjärjestelmän, johon toimijoiden tulee ilmoittautua. Toimijoiden on varmistettava direktiivin toimeenpanon vaatimuksien täyttäminen. 

Toimijoiden tulee tehdä kyberpoikkeamista ensi-ilmoitus vuorokauden sisällä, toinen ilmoitus on tehtävä 72 tunnin kuluessa ja loppuraportointi poikkeamasta on tehtävä kuukauden kuluessa. Raportointivelvoite koskee kyberpoikkeamista, jotka vaarantavat tai aiheuttavat vakavan toimintahäiriön toimijan palveluihin tai toimijan asiakkaille. Velvoite raportoida poikkeamista on pakollinen, mutta vapaaehtoinen ilmoittaminen on myös suotavaa sääntelyn ulkopuolisille toimijoille tai läheltä piti -tilanteista.   
 

Valvovat viranomaiset voivat sanktioida direktiivin laiminlyöjiä. 

Totta. Mikäli toimija laiminlyö NIS2-direktiivin velvoitteita tai vaatimuksia, voi sektorikohtaisesti jaoteltu valvova viranomainen, esimerkiksi maa-asematoiminnan osalta Traficom, esittää sanktioita toimijalle. Sanktion määrä voi olla jopa 10 miljoonaa euroa tai 2 % yrityksen kokonaisliikevaihdosta. Hallinnollinen seuraamusmaksu määrätään maksettavaksi valtiolle. Äärimmäisessä tilanteessa voidaan toimijan tarjoamia palveluja tai toimintoja keskeyttää.

 

Maa-asematoiminnan harjoittajien on valmistauduttava vaatimuksiin vain investoimalla uuteen teknologiaan. 

Tarua. On totta, että valmistautuminen ja varautuminen uusiin vaatimuksiin saattaa sisältää myös investointeja uuteen teknologiaan, mutta myös panostuksia henkilöstön koulutukseen ja kyberturvallisuuden jatkuvaan seurantaan. Yritysten on ensisijaisesti tehtävä kattava arvio omasta kyberturvallisuustilanteestaan ja varmistettava, että ne täyttävät nykyvaatimukset. Tärkeää on myös seurata Traficomin viestintää mahdollisten uhkien varalta ja tutustua NIS2-tietoturvapoikkeamiin liittyvään prosessiin ja ilmoitusjärjestelmään. Kriittiset toimijat eivät jää yksin sääntelyyn valmistautuessa ja sitä noudattaessa vaan Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus tukee organisaatioita ylläpitämään ja kehittämään tietoturvaansa erilaisin palveluin mm. tilannekuvatuottein. Maa-asematoiminnan lupaviranomaisena Traficom neuvoo maa-asematoiminnan asiakkaita kokonaisuudessaan.
 

Kyberturvallisuuskeskus toimii Suomessa CSIRT-yksikkönä.

Totta. Tietoturvaloukkauksiin reagoiva ja niitä tutkiva yksikkö (Computer Security Incident Response Team) toimii Traficomin Kyberturvallisuuskeskuksessa. Maa-asematoimija toimittaa tiedon kyberuhasta tai -hyökkäyksestä yleisesti toimintaa valvovalle Traficomille, joka välittää tiedon eteenpäin CSIRT-yksikölle. Se antaa vastauksen toimijalle viivytyksettä apua ja ohjeita tarjoten merkittävän poikkeaman tapauksissa, mikäli toimija niin pyytää. Kyberturvallisuuskeskus toimii myös koordinaattorina Euroopan suuntaan. On myös syytä huomata, että sääntelyn alaisuudessa ja myös sen ulkopuolella olevat toimijat voivat ilmoittaa vapaaehtoisesti "läheltä piti"-tilanteista tai muista kyberuhista. Lisätietoa raportointivelvoitteesta voi lukea myös Kyberturvallisuuskeskuksen sivuilta. Maa-asemalaissa on myös NIS2-direktiivin sääntelyn ulkopuolelta ilmoitusvelvollisuus muun muassa datan luovutukseen tai kansalliseen turvallisuuteen kytkeytyvien poikkeamien raportoinnista.
 

Valvova viranomainen tekee toimijalle kyberturvallisuuden riskienhallinnan toimintamallin. 

Tarua. Yksinkertaistettuna riskienhallinnan voi tiivistää siten, että toimijalla on oltava käytössä kyberturvallisuuden riskienhallinnan toimintamalli viestintäverkkojen ja tietojärjestelmien ja niiden fyysisen ympäristön suojelemiseksi. Riskienhallinnassa toimija itse määrittää ja toteuttaa tarvittavat toimenpiteet, ja valvontaviranomainen valvoo tätä riski- ja kokonaisuusperusteisesti. Traficomilla valvovana viranomaisena on myös määräyksenantovaltuus antaa teknisempiä määräyksiä riskienhallinnasta maa-asematoiminnan osalta. Määräyksillä tavoitellaan pitämään toimijoiden riskienhallintaan liittyvät seikat ajantasaisina sekä huomioimaan maa-asematoiminnan erityispiirteet.  
 

NIS2-direktiivin sääntely lisää yritysten kuluja, mutta ei nosta kyberturvallisuuden tasoa.

Tarua. NIS2-direktiivin asettamat vaatimukset voivat toki tarkoittaa alkuvaiheessa lisäkustannuksia yrityksille, kun ne joutuvat päivittämään kyberturvallisuustoimenpiteitään vastaamaan uusia sääntöjä. On kuitenkin tärkeää ymmärtää, että nämä investoinnit ovat välttämättömiä pitkäjänteisen turvallisuuden ja vaatimustenmukaisuuden takaamiseksi. Lopulta kyse ei ole vain ylimääräisistä kuluista, vaan investoinnista tulevaisuuteen, jossa yritykset voivat toimia turvallisemmin ja luotettavammin.

NIS2 on merkittävä askel kohti korkeampaa kyberturvallisuuden tasoa Euroopassa. Se vahvistaa ja luo pohjan entistä kestävämmälle ja turvallisemmalle kriittiselle infrastruktuurille, jonka suojelu on ensiarvoisen tärkeää turvallisuusnäkökulmasta. Direktiivi parantaa organisaatioiden välisen yhteistyön ja tiedonvaihdon tasoa, mikä mahdollistaa nopeamman reagoinnin uusiin uhkiin. Varautuminen tehdään yhteisöntyön avulla ja Traficom antaa tukea toimijoille tällä kentällä. Pitkällä aikavälillä nämä toimenpiteet eivät vain suojaa yksittäisiä yrityksiä, vaan myös vahvistavat koko EU:n taloudellista ja yhteiskunnallista vakautta tässä epävakaassa maailmassa. 
 

Kirjoittaja Jaakko Laamanen on toiminut Traficomin Digitaalisissa yhteyksissä NIS2- ja maa-asemien suunnittelun parissa kesän 2024. Kirjoituksen ja kuvituksen tekemisessä on hyödynnetty tekoälyä.
 

Lisätietoja: 
Liikenne- ja viestintävirasto Traficom, sähköposti: [email protected] 

Lähteet: 
Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555    
Liikenne- ja viestintävirasto: Kyberturvallisuuskeskus - NIS2   
Hallituksen esitys HE 57/2024 vp   
Valtioneuvosto: Hallituksen esitys Euroopan unionin kyberturvallisuusdirektiivin täytäntöönpanemiseksi  

Kuvat on tehty tekoälyllä; ylempi kuva: Adobe Stock, alempi kuva: ChatGPT

Jaakko Laamanen Korkeakouluharjoittelija