- Finanssialan toimijoita ei ehdoteta otettavaksi kyberturvallisuuslain soveltamisalaan. FA pitää ratkaisua johdonmukaisena, koska alan toimijoihin erityislakina sovellettava DORA-asetus asettaa finanssialan toimijoille NIS2-direktiiviä pidemmälle meneviä velvoitteita kyberuhkiin varautumiseksi.
- NIS2- ja CER-direktiivin kansallisessa toimeenpanossa on varmistettava yhteensopivuus EU-oikeuden kanssa.
- Tietoturvaloukkausten ja -tapahtumien raportointia varten tarvitaan keskitetty kanava ja mahdollisuus raportoida aina englannin kielellä.
- Vastuuviranomaisille tulee varmistaa riittävät taloudelliset ja henkilöresurssit niille osoitettujen tehtävien hoitamiseksi.
- Kriittisiin sektoreihin ja toimijoihin kohdistuvat uhkat eivät ole vain ulkoisia, ja toimijat tarvitsevat nykyistä tehokkaampia keinoja varmistaa ICT-infrastruktuuriensa, prosessiensa ja palvelujensa turvallisuus myös sisäisten uhkien varalta.
HE 57/2024
FINANSSIALA RY:N LAUSUNTO HALLITUKSEN ESITYKSESTÄ KYBERTURVALLISUUSLAIKSI
Eduskunnan liikenne- ja viestintävaliokunta on 6.8.2024 pyytänyt Finanssiala ry:n (FA) lausuntoa hallituksen esityksestä kyberturvallisuuslaiksi.
- Hallituksen esityksessä finanssialan toimijoita ei ehdoteta sisällytettävän kyberturvallisuuslain soveltamisalaan, sillä kyseisiin toimijoihin sovelletaan DORA-asetusta1 ja sitä täytäntöönpanevaa sääntelyä. FA pitää ratkaisua johdonmukaisena: DORA-asetus on NIS2-direktiiviin2 nähden erityislaki (lex specialis), minkä lisäksi se asettaa finanssialan toimijoille NIS2-direktiiviä pidemmälle meneviä velvoitteita kyberuhkiin varautumiseksi.
- FA pitää välttämättömänä, että NIS2- ja CER-direktiiviä3 implementoitaessa ja niihin liittyviä tarkempia teknisiä määräyksiä laadittaessa varmistetaan, että sääntely on yhteensopivaa ja oikeasuhtaista finanssialan toimijoihin ja niiden tarjoamiin palveluihin sovellettavan EU-oikeuden ja siihen nojautuvan kansallisen lainsäädännön kanssa.
- Konsernirakenteiden osalta olisi tarpeen varmistaa yhtenäiset menettelytavat ja periaatteet tilanteisiin, joissa konserni toimii yhteisen tieto- ja viestintäteknisen infrastruktuurin varassa, mutta vain osa konsernin yhtiöistä kuluu NIS2-direktiivin soveltamisalaan. Näissä tilanteissa epäyhtenäiset vaatimukset voivat mahdollistaa konsernin heikommin suojattujen yksiköiden käytön hyökkäyskanavana muita yksiköitä vastaan (ns. toimitusketjuhyökkäys).
- NIS2-direktiivin soveltamisalaan kuuluva tietoturvaloukkaus voi synnyttää useita päällekkäisiä ja tiukkoihin määräaikoihin sidottuja raportointivelvoitteita sekä kansallisesti että muiden jäsenvaltioiden viranomaisille. Tarpeettomien taloudellisten ja hallinnollisten kustannusten välttämiseksi ja tietoturvaloukkausten tehokkaan selvittämisen ja hoitamisen varmistamiseksi FA pitää välttämättömänä, että raportointia varten luotaisiin keskitetty kanava. Käytännön syistä tulisi myös sallia se, että raportointi olisi aina mahdollista tehdä englanniksi.
- Yksityiskohtainenkaan sääntely ei itsessään saa aikaan tavoiteltua muutosta, vaan se edellyttää asianmukaista toimeenpanoa. FA pitääkin tarpeellisena, että vastuuviranomaisille varmistetaan riittävät taloudelliset ja henkilöresurssit niille osoitettujen tehtävien hoitamiseksi.
- Lopuksi FA haluaa kiinnittää huomiota siihen, että yhteiskunnan toiminnan kannalta kriittisiin sektoreihin ja toimijoihin kohdistuvat kyberuhkat eivät ole vain ulkoisia. Tämän vuoksi lainsäädännön tulisikin tarjota kriittisille toimijoille nykyistä selvästi tehokkaampia keinoja varmistaa tietojärjestelmiensä, käyttöympäristöjensä ja tietoverkkojensa sekä niitä hyödyntävien prosessien ja palvelujen turvallisuus myös sisäisten virheiden, vahinkojen ja väärinkäytösten varalta.
FINANSSIALA RY
Taina Ahvenjärvi
1 DORA = asetus (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä
2 NIS2 = direktiivi (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa
3 CER = direktiivi (EU) 2022/2557 kriittisten toimijoiden häiriönsietokyvystä
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan