iStock photo Getty images plus
EU:n kriittiseen infrastruktuuriin kohdistuvilla viimeaikaisilla uhkilla on pyritty heikentämään yhteistä turvallisuuttamme. Komissio oli jo vuonna 2020 ehdottanut, että kriittisten toimijoiden häiriönsietokykyä ja verkko- ja tietojärjestelmien turvallisuutta koskevia EU:n sääntöjä parannettaisiin merkittävästi.
Voimaan tulevat kaksi direktiiviä ovat seuraavat:
- Direktiivi toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa (NIS 2 -direktiivi)
- Direktiivi kriittisten toimijoiden häiriönsietokyvystä (CER-direktiivi)
Toisella verkko- ja tietoturvadirektiivillä varmistetaan turvallisempi ja vahvempi Eurooppa laajentamalla merkittävästi sen soveltamisalaan kuuluvia aloja ja kriittisten toimijoiden tyyppejä. Näihin kuuluvat yleisten sähköisten viestintäverkkojen ja -palvelujen tarjoajat, datakeskuspalvelut, jätevesi- ja jätehuolto, kriittisten tuotteiden valmistus, posti- ja kuriiripalvelut ja julkishallinnon yksiköt sekä laajemmin terveydenhuoltoala. Lisäksi sillä vahvistetaan kyberturvallisuusriskien hallintavaatimuksia, joita yritysten on noudatettava, ja virtaviivaistetaan poikkeamista ilmoittamista koskevia velvoitteita tarkempien säännösten avulla, jotka koskevat raportointia, sisältöä ja aikataulua. Verkko- ja tietoturvadirektiivi korvaa verkko- ja tietojärjestelmien turvallisuutta koskevat säännöt, jotka ovat ensimmäinen EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö.
Koska riskiympäristö on yhä monimutkaisempi, uudella CER-direktiivillä korvataan vuonna 2008 annettu Euroopan elintärkeää infrastruktuuria koskeva direktiivi. Uusilla säännöillä vahvistetaan kriittisen infrastruktuurin kykyä selviytyä monenlaisista uhkista, kuten luonnonkatastrofeista, terrori-iskuista, sisäpiiriuhkista ja sabotaasista. Se kattaa 11 alaa: energia, liikenne, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, julkishallinto, avaruus ja elintarvikkeet. Jäsenvaltioiden on hyväksyttävä kansallinen strategia ja tehtävä säännöllisiä riskinarviointeja sellaisten toimijoiden tunnistamiseksi, joita pidetään yhteiskunnan ja talouden kannalta kriittisinä tai elintärkeinä.
Jäsenvaltioilla on 21 kuukautta aikaa saattaa molemmat direktiivit osaksi kansallista lainsäädäntöään. Tänä aikana jäsenvaltioiden on hyväksyttävä ja julkaistava niiden noudattamisen edellyttämät toimenpiteet.
Neuvosto hyväksyi joulukuussa 2022 suosituksen unionin laajuisesta koordinointitavasta kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseksi. Siinä jäsenvaltioita kehotetaan nopeuttamaan valmistelutyötä toisen verkko- ja tietoturvadirektiivin ja kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin saattamiseksi osaksi kansallista lainsäädäntöä ja soveltamiseksi.