Ehdotus direktiiviksi toimenpiteistä yhteisen korkeatasoisen kyberturvallisuuden varmistamiseksi koko unionissa

Huomattavista saavutuksistaan huolimatta verkko- ja tietojärjestelmien turvallisuudesta annettu direktiivi (verkko- ja tietoturvadirektiivi), joka tasoitti tietä kyberturvallisuutta koskevan ajattelutavan, institutionaalisen ja sääntelyllisen lähestymistavan merkittävälle muutokselle monissa jäsenvaltioissa, on myös osoittanut rajoitteensa. Yhteiskunnan digitalisaatio (jota covid-19-kriisi voimistaa) on laajentanut uhkaympäristöä ja tuo mukanaan uusia haasteita, jotka edellyttävät mukautettuja ja innovatiivisia vastauksia.
Nyt kaikilla häiriöillä, vaikka ne rajoittuisivat alun perin yhteen yksikköön tai yhteen toimialaan, voi olla laaja-alaisia vaikutuksia, jotka voivat johtaa kauaskantoisiin ja pitkäaikaisiin kielteisiin vaikutuksiin palvelujen toimittamisessa koko sisämarkkinoilla.

Kuten tiedonannossa Euroopan digitaalisen tulevaisuuden muokkaamisesta ilmoitettiin, komissio nopeutti direktiivin uudelleentarkastelua vuoden 2020 loppuun mennessä näiden haasteiden ratkaisemiseksi ja esitti uuden lainsäädäntöehdotuksen.

Komission ehdotuksen keskeiset osat

Uudella komission ehdotuksella pyritään korjaamaan aiemman verkko- ja tietoturvadirektiivin puutteet, mukauttamaan se nykyisiin tarpeisiin ja tekemään siitä tulevaisuuden vaatimukset huomioon ottava.

Tätä varten komission ehdotuksella laajennetaan nykyisen verkko- ja tietoturvadirektiivin soveltamisalaa lisäämällä siihen uusia aloja, jotka perustuvat niiden talouden ja yhteiskunnan kannalta kriittisyyteen, ja ottamalla käyttöön selkeä kokokatto, mikä tarkoittaa, että kaikki valittujen alojen keskisuuret ja suuret yritykset sisällytetään soveltamisalaan. Samalla se jättää jäsenvaltioille jonkin verran joustovaraa määrittää pienemmät yksiköt, joilla on korkea turvallisuusriskiprofiili.

Ehdotuksella poistetaan myös ero keskeisten palvelujen tarjoajien ja digitaalisten palvelujen tarjoajien välillä. Yhteisöt luokiteltaisiin niiden merkityksen perusteella, ja ne jaettaisiin keskeisiin ja tärkeisiin luokkiin siten, että niihin sovellettaisiin erilaisia valvontajärjestelmiä.

Ehdotuksella tiukennetaan yritysten turvallisuusvaatimuksia ottamalla käyttöön riskinhallintamenetelmä, jossa esitetään vähimmäisluettelo keskeisistä turvatekijöistä, joita on sovellettava. Ehdotuksessa esitetään tarkempia säännöksiä poikkeamien ilmoittamisprosessista, raporttien sisällöstä ja määräajoista.

Lisäksi komissio ehdottaa, että puututaan toimitusketjujen turvallisuuteen ja toimittajasuhteisiin edellyttämällä yksittäisiä yrityksiä puuttumaan toimitusketjujen ja toimittajasuhteiden kyberturvallisuusriskeihin. Euroopan tasolla ehdotuksella vahvistetaan keskeisten tieto- ja viestintäteknologioiden toimitusketjun kyberturvallisuutta. Jäsenvaltiot toteuttavat yhteistyössä komission ja ENISAn kanssa kriittisten toimitusketjujen koordinoituja riskinarviointeja 5G- verkkojen kyberturvallisuudesta annetun komission suosituksen yhteydessä omaksutun onnistuneen lähestymistavan pohjalta.

Ehdotuksella otetaan käyttöön kansallisille viranomaisille tiukemmat valvontatoimenpiteet, tiukennetaan täytäntöönpanovaatimuksia ja pyritään yhdenmukaistamaan seuraamusjärjestelmiä kaikissa jäsenvaltioissa.

Ehdotuksella myös vahvistetaan yhteistyöryhmän roolia kehittymässä olevia teknologioita ja uusia suuntauksia koskevien strategisten poliittisten päätösten muotoilussa ja lisätään jäsenvaltioiden viranomaisten välistä tietojenvaihtoa ja yhteistyötä. Se myös tehostaa operatiivista yhteistyötä muun muassa kyberkriisinhallinnan alalla.

Komission ehdotuksessa luodaan peruskehys, johon kuuluvat keskeiset vastuulliset toimijat, jotka koskevat koordinoitua haavoittuvuuden paljastamista EU:ssa hiljattain havaittujen haavoittuvuuksien osalta ja Euroopan unionin kyberturvallisuusviraston (ENISA) ylläpitämän EU:n rekisterin perustamista.
 

Seuraavat askeleet

Seuraavat toimet ovat seuraavat:

• Ehdotuksesta neuvotellaan lainsäätäjien, erityisesti EU:n neuvoston ja Euroopan parlamentin, välillä.
• Kun ehdotus on hyväksytty ja hyväksytty, jäsenvaltioiden on saatettava verkko- ja tietoturvadirektiivi osaksi kansallista lainsäädäntöään 18 kuukauden kuluessa.
• Komission on tarkasteltava säännöllisesti uudelleen verkko- ja tietoturvadirektiiviä ja raportoitava uudelleentarkastelusta ensimmäisen kerran 54 kuukauden kuluttua sen voimaantulosta.
• Euroopan komissio odottaa kiinnostuneena uuden kyberstrategian täytäntöönpanoa tulevina kuukausina.