Kyberturvallisuusdirektiivi (NIS2)
Kyberturvallisuusdirektiivi NIS2:n toimeenpanoa valmistellaan parhaillaan ja se tulee osaksi kansallista lainsäädäntöä viimeistään 17.10.2024. Säännökset tulevat sovellettaviksi viimeistään 18.10.2024 alkaen.
NIS2-direktiivin tavoitteena on varmistaa yhtenäinen kyberturvallisuuden taso koko Euroopan unionin alueella. Uuden direktiivin myötä kyberturvallisuusvelvoitteet koskevat entistä laajempaa joukkoa ja ne ovat aiempaa yksityiskohtaisempia.
NIS2-direktiivistä valmistellaan kaikkia toimialoja koskevaa yhteistä yleislakia. Uusi direktiivi korvaa nyt voimassa olevan verkko- ja tietoturvadirektiivin (NIS), jonka soveltamisalaan on kuulunut energia-alalta sähköverkonhaltijat ja maakaasun siirtoverkonhaltija. NIS-direktiivin myötä tehdyt muutokset sähkömarkkinalakiin ja maakaasumarkkinalakiin ollaan kumoamassa.
Tämä sivu on päivitetty viimeksi 24.5.2024.
Kyberturvallisuusdirektiivi koskee laajasti useita eri toimialoja. Energia-alalla lainsäädännön piiriin kuuluu sähkön, kaukolämmityksen ja -jäähdytyksen, kaasun, öljyn sekä vedyn toimijoita. Energia-alan valvoviksi viranomaisiksi on esitetty Energiavirastoa ja Turvallisuus- ja kemikaalivirastoa (Tukes).
Esityksen mukaan Energiaviraston valvomat toimijat:
- sähkön, maakaasun ja vedyn verkonhaltijat
- kaukolämmityksen ja kaukojäähdytyksen jakelijat (kaukolämmön tai -jäähdytyksen tuottajat, joilla ei ole ollenkaan jakelutoimintaa on ehdotettu jäävän soveltamisalan ulkopuolelle)
- sähkön ja maakaasun toimittajat eli myyjät mukaan lukien jälleenmyyjät
- sähkön tuottajat
- sähköautojen latauspisteiden operaattorit
- nimitetyt sähkömarkkinaoperaattorit
- muut sähkömarkkinoiden osapuolet, jotka tarjoavat aggregointia, kulutusjoustoa tai energian varastointia
Velvoitteet koskevat toimijoita ainoastaan, jos ne ovat kooltaan riittävän suuria tai niiden toiminta katsotaan muuten kriittiseksi:
- Toimija täyttää tai ylittää keskisuuria yrityksiä koskevat komission suosituksen 2003/361/EY edellytykset:
- Keskisuuren yrityksen kriteerit täyttyvät, kun yrityksellä on palveluksessaan vähintään 50 työntekijää tai sen vuosiliikevaihto ja tase ovat yli 10 miljoonaa euroa.
- Keskisuuren yrityksen kriteerit ylittyvät, kun yrityksellä on palveluksessaan vähintään 250 työntekijää tai sen vuosiliikevaihto on yli 50 miljoonaa euroa ja tase yli 43 miljoonaa euroa.
- Toimija on CER-direktiivin mukainen kriittinen toimija. Toimijat määritetään viimeistään 17.7.2026.
- Toimijat koosta riippumatta, jos
- Toimija tarjoaa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen ja jota muut toimijat eivät tarjoa.
- Häiriö toimijan tarjoamassa palvelussa vaikuttaisi merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen.
- Häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia.
- Toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jonkin Euroopan unionin jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.
Näitä kriteerejä voidaan täsmentää valtioneuvoston asetuksella.
Toimijat jaetaan tärkeisiin ja keskeisiin toimijoihin. Tärkeitä toimijoita ovat keskisuuret yritykset. Keskeisiä toimijoita ovat keskisuuren yrityksen määritelmän ylittävät toimijat eli suuret yritykset, CER-direktiivin mukaiset kriittiset toimijat ja muut koostaan riippumatta keskeisiksi toimijoiksi määritellyt toimijat.
Huomioitavaa: Velvoitteet koskevat yhtä lailla tärkeitä ja keskeisiä toimijoita, mutta viranomainen valvoo näitä eri tavoin. Keskeisiin toimijoihin kohdistetaan ennakkovalvontaa.
Komission suositus pienten ja keskisuurten yritysten määritelmästä 2003/361/EY
Toimijoilla on velvollisuus:
- ilmoittautua Energiaviraston toimijaluetteloon vuoden 2024 loppuun mennessä
- toteuttaa tietyt kyberturvallisuuden riskienhallintavelvoitteet
- raportoida Energiavirastolle merkittävistä poikkeamista (NIS-ilmoitus)
Huomioitavaa: Toimijan on itse tunnistettava kuuluvansa lain soveltamisalaan ja ilmoittauduttava oma-aloitteisesti toimijaluetteloon. Julkaisemme ilmoittautumisohjeen ja kanavan syksyllä 2024.
Traficomin Kyberturvallisuuskeskus on laatimassa suositusta kyberturvallisuuden riskienhallinnan toimenpiteistä.
Traficomin lausuntopyyntö suositusluonnoksesta
Uudet kyberturvallisuutta koskevat vaatimukset tarkentuvat NIS2-lainsäädännön valmistelun edetessä. Päivitämme energia-alaa koskevan ajantasaisen tiedon tälle sivulle.
Suosittelemme seuraamaan Energiaviraston ohjeistusta tällä verkkosivulla ja tilaamalla kyberturvallisuus uutiskirjeemme.
- NIS2-direktiivin kansallista lainsäädäntöä valmistelee liikenne- ja viestintäministeriö. Seuraa säädösvalmistelua
- CER-direktiivin kansallista lainsäädäntöä valmistelee sisäministeriö.
- Traficomin Kyberturvallisuuskeskus reagoi ja avustaa toimijoita tietoturvaloukkauksien käsittelyssä sekä pitää yllä kyberturvallisuuden tilannekuvaa.
- Energiavirasto ja Tukes valvovat NIS2-velvoitteiden toteutumista energia-alalla.
Kyberturvallisuusverkkosääntö (NCCS)
Euroopan komissio on julkaissut sähköalan kyberturvallisuutta koskevan EU:n verkkosäännön (NCCS) 24.5.2024. Verkkosääntö tulee voimaan 13.6.2024, mutta sitä sovelletaan asteittain eri menetelmien ja suunnitelmien laatimisen myötä.
Kyberturvallisuusverkkosääntöä sovelletaan Suomessa suoraan eli siitä ei säädetä erikseen kansallista lainsäädäntöä.
Kyberturvallisuusverkkosääntö on komission delegoitu asetus, jolla täydennetään sähkökauppa-asetusta (EU 2019/943) vahvistamalla verkkosääntö rajat ylittävien sähkönsiirtojen kyberturvanäkökohtia koskevista toimialakohtaisista säännöistä. Verkkosääntö sisältää säännöt kyberturvallisuuden riskienhallinnasta, yhteisistä kyberturvallisuuden vähimmäisvaatimuksista, suunnittelusta, seurannasta, raportoinnista ja kriisinhallinnasta. Verkkosäännön on tarkoitus täydentää NIS2-direktiivissä säädettyjä verkko- ja tietojärjestelmien turvallisuutta koskevia yleisiä sääntöjä.
Verkkosäännön perusteella tullaan laatimaan ehtoja, menetelmiä ja suunnitelmia, jotka määrittävät pitkälti verkkosäännön konkreettisen sisällön. Verkkosäännön soveltamisalaan kuuluvat muun muassa sähköalan yritykset ja kriittiset tieto- ja viestintätekniikan palveluntarjoajat. Verkkosäännön lopullinen toimijakohtainen soveltamisala määräytyy kuitenkin vasta myöhemmin määriteltävien kriteerien kautta. Energiavirasto ilmoittaa toimijoille heidän kuulumisestaan verkkosäännön soveltamisalaan.