3.1
Kyberturvallisuusasetusehdotuksen (CSA2) pääasiallinen sisältö
3.1.1
Euroopan kyberturvallisuusvirasto ENISA:n mandaatti ja tehtävät
Asetusehdotuksessa ehdotetaan EU:n kyberturvallisuusvirasto ENISA:n tehtävien selkeyttämistä ja päivittämistä kyberturvallisuuden uhkaympäristöön sopivaksi. Tulevaisuudessa ENISA:n toiminnan tavoitteena olisi vahvistaa EU:n ja jäsenmaiden kyberturvallisuutta, kyberresilienssiä ja luottamusta. Virasto toimisi koko unionin keskeisenä kyberturvallisuuden neuvonantajana ja asiantuntijakeskuksena. ENISA:n tehtävänä olisi muun muassa tukea jäsenvaltioita ja EU‑toimielimiä kyberturvallisuuteen liittyvän EU-lainsäädännön ja politiikkojen kehittämisessä ja toimeenpanossa, vahvistaa kyberturvallisuusvalmiuksia ja resilienssiä koko EU:ssa, edistää operatiivista yhteistyötä ja tiedonvaihtoa, osallistua EU:n kyberturvallisuussertifiointijärjestelmän kehittämiseen ja ylläpitoon, sekä edistää kyberturvallisuusosaamista ja -koulutusta.
ENISA:n tehtävät
ENISA:n tehtäväkenttä jakautuu asetusehdotuksessa unionin lainsäädännön ja politiikkojen toimeenpanon tukeen, operatiiviseen yhteistyöhön, kyberturvallisuussertifiointeihin ja standardointiin, sekä kyberturvallisuuden osaamisakatemian toimeenpanoon.
Lainsäädännön toimeenpanon tukemisen osalta esitetään, että ENISA voisi muun muassa antaa jäsenmaille ja organisaatioille teknistä ohjeistusta, raportteja, neuvoja ja jakamalla parhaita käytäntöjä sekä tukea viranomaisten välistä tiedonvaihtoa. Se edistäisi kyberturvallisuustiedon jakamista eri toimialojen sisällä ja välillä, erityisesti NIS 2-direktiivin toimialoilla. Komission pyynnöstä ENISA voisi myös antaa kohdennettua teknistä tukea jäsenmaille esimerkiksi riskienhallinnassa ja kyberkyvykkyyden arvioinnissa. Suhteessa aiempiin tehtäviin ENISA:lle esitetään uusia laaja-alaisia tehtäviä koskien kyberturvallisuuden kapasiteetin rakennusta sisältäen myös hyvin yksityiskohtaisia tehtäviä, kuten organisaatioiden tukeminen kybervalmennusten järjestämisessä. NIS2-direktiivin mukaisesti ENISA voisi tukea jäsenmaita niiden tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (Computer Security Incident Response Team,CSIRT) kehittämisessä ja kyberturvallisuusstrategioiden valmistelussa.
Operatiivisten kyberturvallisuustehtävien osalta ENISA:n mandaattiin esitetään merkittävää laajennusta. Jatkossa ENISA tukisi erityisesti jäsenmaiden CSIRT-yksiköistä koostuvan CSIRTverkoston ja Euroopan kyberkriisien yhteysorganisaatioiden verkoston (European Cyber Crisis Liaison Organisation Network, EUCyCLONe) kautta jäsenmaita tarjoamalla asiantuntijaarvioita ja tukea jäsenvaltioiden pyynnöstä kyberuhkatilanteisiin, analysoisi haavoittuvuuksia sekä avustaisi laajamittaisten EUtason kyberkriisien hallinnassa sekä tiedonvaihdon koordinoinnissa. Lisäksi ehdotuksessa esitetään tarkennuksia ENISA:n käyttämiin turvallisiin viestintävälineisiin.
ENISA:n tilannekuvan tuottamiseen esitetään myös tarkennuksia. ENISA tuottaisi jatkossa muun muassa varhaisia varoituksia kyberuhista, analysoisi uhkia ja riskejä, antaisi teknisiä analyysejä sekä tuottaisi laajempia raportteja uhkamaisemasta. ENISA voisi myös tukea jäsenmaita kyberturvallisuusharjoitusten järjestämisessä.
Lisäksi uutena kyvykkyytenä ENISA:n tehtävänä olisi kehittää koko EU:ta palveleva yhteinen tietojärjestelmien haavoittuvuuksien hallintakyvykkyys. ENISA ylläpitäisi NIS2direktiivin perusteella perustettua Euroopan haavoittuvuustietokantaa, joka kokoaisi tiedot tunnetuista ICThaavoittuvuuksista, tukisi jäsenmaita ja sidosryhmiä haavoittuvuuksiin liittyvässä työssä.
Kyberturvallisuuden sertifiointien osalta ENISA laatisi jatkossakin ehdotuksia eurooppalaisiksi kyberturvallisuuden sertifiointijärjestelmiksi. ENISA:n tulisi myös jatkossa ylläpitää hyväksyttyjä sertifiointijärjestelmiä ja valmistella niiden mahdollisia tarkistuksia ja edistää hyväksyttyjen järjestelmien käyttöönottoa. ENISA myös seuraisi ja tarvittaessa osallistuisi kyberturvallisuuteen liittyvään standardointityöhön EU-tasolla ja kansainvälisesti ja edistäisi eurooppalaisten ja kansainvälisten kyberturvallisuusstandardien käyttöönottoa.
Neljäntenä osa-alueena ehdotuksessa esitetään ENISA:lle vahvempaa roolia kyberturvallisuusosaamisen vahvistamisessa ja Euroopan kyberturvallisuusakatemian (Cybersecurity Skills Academy COM(2023) 207 final) toimeenpanossa. Ehdotuksella vahvistettaisiin, että ENISA laatisi ja ylläpitäisi eurooppalaista kyberturvallisuusosaamiskehystä (European Cybersecurity Skills Framework, ECSF), jossa määritellään kyberturvallisuusammattilaisten tehtävien roolit sekä niihin liittyvät taidot ja osaamisvaatimukset. ENISA:n tulisi tehdä tiivistä yhteistyötä jäsenmaiden kanssa kehystä valmistellessaan. Jatkossa erikseen valtuutetut osaamisen todentajat voisivat osaamiskehyksen perusteella myöntää eurooppalaisia osaamistodistuksia kyberturvallisuuden ammattilaisille.ENISA voisi myös kerätä valtuutetuilta osaamisen todentajilta maksuja. Osaamiskehyksen hyödyntäminen olisi jäsenmaille ja kyberturvallisuuden ammattilaisille vapaaehtoista.
ENISA:n hallintoa koskeva sisältö
Ehdotus sisältää ENISA:n toimintaan liittyviä säännöksiä, jotka koskevat budjetointia, henkilöstöasioita sekä viraston johtamista. Viraston hallinnolliseen rakenteeseen kuuluisi jatkossa johtokunta, hallitus, pääjohtaja, varapääjohtaja, neuvoa-antava ryhmä sekä valituslautakunta. Uusina rakenteina olisivat varapääjohtaja sekä valituslautakunta. Sen sijaan kansallisten yhteyshenkilöiden verkosto lakkautettaisiin.
ENISA:n johtokunta määrittelisi jatkossakin viraston toiminnan yleiset suuntaviivat ja nimittäisi pääjohtajan. Pääjohtaja vastaisi viraston päivittäisestä johtamisesta ja raportoisi johtokunnalle. Hallitus valmistelisi johtokunnan päätökset. Neuvoa-antava ryhmä olisi asiantuntijaelin, jossa olisi edustettuna yksityinen sektori, kuluttajajärjestöt ja muut keskeiset sidosryhmät. Ehdotus vastaa tältä osin pääpiirteissään viraston nykyistä toimintaa.
Uutena ENISA:n johtokunnan päätöksenteon osalta ehdotetaan, että jatkossa johtokunnassa Euroopan komissiolla olisi budjetti- ja henkilöstöasioihin liittyviin päätöksiin veto-oikeus. Lisäksi jatkossa jäsenmaiden tulisi ensisijaisesti nimittää johtokunnan edustajakseen NIS2-direktiivin mukaisen kansallisen toimivaltaisen viranomaisen johtaja tai muu korkean tason edustaja kyseisestä viranomaisesta. Johtokunta voisi myös päättää perustaa virastoon uuden varapääjohtajan tehtävän. Varapääjohtajan tehtävänä olisi tukea pääjohtajaa viraston johdossa ja tehtävien hoidossa, sekä toimia pääjohtajan sijaisena.
Ehdotuksessa esitetään uutena toimintona myös riippumattoman valituslautakunnan perustamista. Valituslautakunta voisi käsitellä valtuutettujen osaamisen todentamisen palveluntarjoajien hakemuksiin liittyviä valituksia. ENISA voisi myös jatkossa kerätä maksuja valtuutetuilta osaamisen todentajilta kyberturvallisuustaitoihin liittyvien osaamisen todentamisen hakemuksista, vaatimustenmukaisuuden arviointilaitoksilta niiden osallistuessa Euroopan kyberturvallisuussertifikaattien myöntämiseen sekä julkisilta viranomaisilta tai yksityisiltä toimijoilta työkalujen testaamisesta. Maksuilla katettaisiin näistä toiminnoista aiheutuvia kuluja.
Ehdotuksessa esitetyt muutokset viraston toimintakenttään edellyttäisivät myös merkittävissä määrin ENISA:n resursoinnin ja henkilömäärän kasvattamista. Jäsenmaiden tulisi jatkossa nimittää kaksi kansallista asiantuntijaa, jotka toimisivat jäsenmaan yhteyshenkilönä (liaison officer) virastossa. Näiden asiantuntijoiden palkkakustannukset katettaisiin ensisijaisesti jäsenmaiden varoista. ENISA voisi hyödyntää lähetettyjä kansallisia asiantuntijoita vapaasti eri tehtävissä. EU:n virkamiehiä koskevat henkilöstösäännöt ja palvelussuhteen ehdot eivät koskisi kansallisia asiantuntijoita.
3.1.2
Eurooppalainen kyberturvallisuuden sertifiointikehys
Tavoitteet, soveltamisala ja prosessit
Asetusehdotuksessa esitetään uudistuksia eurooppalaisen kyberturvallisuuden sertifiointiin koskevaan sääntelyyn. EU:n laajuisella kyberturvallisuussertifikaatilla voisi osoittaa, että sertifioinnin kohde täyttää soveltuvassa sertifiointijärjestelmässä määritellyt tekniset kyberturvallisuusvaatimukset. Asetuksella säädettäisiin jatkossakin eurooppalaisten kyberturvallisuussertifiointien kehittämisestä ja käytöstä, mutta asetuksella ei asetettaisi sertifiointivelvollisuuksia. Eurooppalaisten kyberturvallisuuden sertifikaattien hakeminen ja hyödyntäminen olisi lähtökohtaisesti siis vapaaehtoista, ellei siitä ole erikseen muuten säädetty. Lisäksi eurooppalainen kyberturvallisuussertifikaatti ja osoitus vaatimustenmukaisuudesta tunnustettaisiin automaattisesti kaikissa jäsenvaltioissa.
Ehdotuksella uudistettaisiin eurooppalainen kyberturvallisuuden sertifiointikehys, jonka nojalla sertifiointijärjestelmissä arvioitaisiin tieto- ja viestintätekniikan tuotteiden, palvelujen, prosessien ja tietoturvapalvelujen kyberturvallisuusvaatimusten täyttymistä. Lisäksi ehdotus mahdollistaisi organisaatioiden kyberturvallisuustason (cyber posture) arvioinnin sekä sertifioinnin hyödyntämisen Euroopan unioin lainsäädännön vaatimustenmukaisuuden osoittamisessa. Ehdotuksessa esitetään, että vaatimustenmukaisuutta arvioitaessa kyberturvallisuuden sertifiointijärjestelmien arviointitoimet (evaluation activities) tulisivat olla yhdenmukaisia soveltuvien Euroopan unionin säädösten kanssa, minkä myötä syntyisi vaatimustenmukaisuusolettama (presumption of conformity). Jos tiettyjä arviointitoimia ei olisi määritelty unionin oikeudessa, sertifiointijärjestelmällä voitaisiin tarkentaa kriteerejä. Esityksen mukaan vaatimustenmukaisuuden arviointi tulee tehdä lähtökohtaisesti kolmannen osapuolen toimesta.
Ehdotuksen myötä lisättäisiin toiminnan läpinäkyvyyttä ja eri toimijoiden osallistamista. Komissio järjestäisi vähintään joka vuosi ENISA:n tuella kyberturvallisuuden sertifiointikokouksen (European Cybersecurity Certification Assembly), johon kutsuttaisiin Euroopan kyberturvallisuuden sertifiointiryhmän (ECCG) jäseniä, asiantuntijoita jäsenvaltioista ja unionin yhteisöistä sekä asiaankuuluvia sidosryhmiä. Lisäksi komissio ylläpitäisi ja päivittäisi nettisivustoa, jolla asetettaisiin saataville kehitettävät eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät sekä strategiset prioriteetit tieto- ja viestintätekniikan tuotteiden, palveluiden ja prosessien, sekä kybertason ja EU-lainsäädännön turvallisuusvaatimusten harmonisoimiseksi. Myös ENISA ylläpitäisi nettisivustoa, jossa julkaistaisiin eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät, niiden ylläpitoon liittyvät maksut, myönnetyt eurooppalaiset kyberturvallisuuden sertifikaatit ja vaatimustenmukaisuuden vakuutukset, vertaisarvioinnit, tekniset eritelmät ja relevantit lisätiedot.
Ehdotuksen mukaan komissio voisi pyytää ENISA:a valmistelemaan tieto- ja viestintätekniikan tuotteita, palveluja ja prosesseja sekä tietoturvapalveluja ja kybertasoa koskevia kyberturvallisuuden sertifiointijärjestelmiä. ENISA:n tulisi laatia kyberturvallisuuden sertifiointijärjestelmä 12 kuukauden kuluessa komission pyynnöstä. Sertifiointijärjestelmää valmisteltaessa ENISA:n tulisi tehdä tiivistä yhteistyötä Euroopan kyberturvallisuuden sertifiointiryhmän kanssa sekä osallistaa asiaankuuluvia jäsenvaltioiden viranomaisia.
Lisäksi ehdotuksessa esitettäisiin, että jokaisella kyberturvallisuuden sertifiointijärjestelmällä olisi ylläpitostrategia (maintenance strategy) sekä sen mukaiset ylläpitokeinot. Ehdotuksen mukaan ENISA ylläpitäisi eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä yhteistyössä komission, Euroopan kyberturvallisuuden sertifiointiryhmän sekä jäsenvaltioiden kanssa. Ehdotuksessa esitettäisiin, että ENISA arvioisi kyberturvallisuuden sertifiointijärjestelmän vaikutuksia ja tehokkuutta vähintään joka neljäs vuosi järjestelmän käyttöönotosta. Lisäksi ENISA voisi kehittää teknisiä eritelmiä tulevia eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä tai niiden ylläpitoa varten.
Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien sisältö
Ehdotuksessa annetaan ehdotuksia eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän turvallisuustavoitteiksi esimerkiksi komponenttien, haavoittuvuuksien, poikkeamanhallinnan sekä sisäisten prosessien osalta. Lisäksi ehdotuksessa asetettaisiin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vähimmäisvaatimukset kuten järjestelmän kohteen, soveltamisalan ja toimintojen kuvaaminen; selostus sertifiointijärjestelmän tarkoituksesta; ylläpitostrategia; kyberturvallisuusvaatimukset, arviointikriteerit ja metodit. Tämän ohella ehdotuksessa ehdotetaan kyberturvallisuuden sertifiointikehyksiä ohjaavia vähimmäissääntöjä ja ehtoja muun muassa vaatimustenmukaisuuden seuraamisen, seuraamusten määräämisen ja tiedon luottamuksellisen käsittelyn osalta.
Ehdotuksen mukaan eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä voitaisiin asettaa yksi tai useampi varmuustaso tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille sekä tietoturvapalveluille ja kybertasolle. Varmuustasot ”perus”, ”korotettu” ja ”korkea” tulisivat olla yhdenmukaisia tuotteiden, palveluiden ja prosessien sekä tietoturvapalvelun käyttötarkoitukseen, toiminnan luonteeseen ja olosuhteisiin liittyvien riskien kanssa. Ehdotuksessa esitettäisiin varmuustasojen vähimmäistasot, ja tarkemmat vaatimukset määriteltäisiin sertifiointijärjestelmissä. Eurooppalaisella kyberturvallisuuden sertifiointijärjestelmällä voitaisiin mahdollistaa vaatimustenmukaisuuden itsearviointi silloin, kun kyse on ”perustason” sertifikaatista.
Eurooppalaisen kyberturvallisuuden sertifiointikehyksen hallinnointi
Komission ehdotuksen mukaan tieto- ja viestintätekniikan tuotteiden, palveluiden ja prosessien, tietoturvapalvelujen ja kybertason sertifiointi loisi vaatimustenmukaisuusolettaman sertifiointijärjestelmän soveltamisalan osalta. Vaatimustenmukaisuuden arviointilaitokset myöntäisivät kyberturvallisuuden sertifikaatteja kyseessä olevan kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisesti. Ehdotuksen liitteessä 1 määriteltäisiin vaatimustenmukaisuuden arviointilaitoksille asetettavia vaatimuksia muun muassa niiden puolueettomuuden osalta. Kyberturvallisuuden sertifiointijärjestelmässä voitaisiin edellyttää, että sertifikaatteja voisi myöntää vain akkreditoitu kansallinen kyberturvallisuussertifioinnin viranomainen tai akkreditoitu julkinen elin.
Ehdotuksen mukaan kansalliset kyberturvallisuuden sertifiointijärjestelmät, jotka koskevat eurooppalaisia kyberturvallisuuden sertifiointijärjestelmien aihepiirejä ja soveltamisalaa, lakkaisivat eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vahvistamisesta annetun ehdotuksen myötä. Jäsenvaltiot eivät saisi luoda uusia kansallisia kyberturvallisuuden sertifiointijärjestelmiä, jos kyseisestä aihealueesta ja soveltamisalasta on jo olemassa eurooppalainen kyberturvallisuuden sertifiointijärjestelmä. Lisäksi kolmannen maan sertifikaatit voitaisiin tunnustaa eurooppalaista kyberturvallisuussertifikaattia vastaavaksi, jos sertifikaattien vaatimukset ovat yhdenmukaisia.
Komission ehdotuksen mukaan jokaisen jäsenvaltion olisi nimettävä yksi tai useampi kansallinen kyberturvallisuussertifioinnin viranomainen. Vaihtoehtona olisi pyynnöstä nimetä yksi tai useampi kyberturvallisuuden sertifiointiviranomainen toisessa jäsenvaltiossa vastaamaan pyynnön esittävän jäsenvaltion valvontatehtävistä.
Kansallisten kyberturvallisuussertifioinnin viranomaisten tulisi valvoa ja ilmoittaa vaatimustenmukaisuuden arviointilaitoksia; osallistua muun muassa Euroopan kyberturvallisuuden sertifiointiryhmään; valvoa ja seurata eurooppalaisen kyberturvallisuuden sertifiointijärjestelmien toimeenpanoa ja noudattamista; käsitellä kyberturvallisuuden sertifikaatteihin liittyviä valituksia sekä tuottaa vuosittaisia raportteja komissiolle, ENISA:lle ja Euroopan kyberturvallisuuden sertifiointiryhmälle. Lisäksi kansallisille kyberturvallisuuden sertifiointiviranomaisille esitettäisiin toimivaltuuksia esimerkiksi tiedonsaantioikeuksien, tutkintojen (audits) ja seuraamusten määräämisen osalta. Ehdotuksen mukaan kansalliset kyberturvallisuussertifioinnin viranomaiset tulisivat olemaan osana jäsenvaltioiden välisiä vertaisarviointeja, joissa arvioitaisiin viranomaisten yleistä, valvovaa ja täytäntöönpanevaa toimintaa ja menettelyjä. Vertaisarviointi toteutettaisiin vähintään kerran viidessä vuodessa kahden toisen kansallisen kyberturvallisuussertifioinnin viranomaisen toimesta.
Komission ehdotuksessa esitetään, että Euroopan kyberturvallisuuden sertifiointiryhmä (ECCG) koostuisi kansallisten kyberturvallisuussertifioinnin viranomaisten sertifiointiviranomaisten tai muiden relevanttien kansallisten viranomaisten edustajista. Euroopan kyberturvallisuuden sertifiointiryhmä avustaisi komissiota sertifiointikehykseen liittyvien normien implementoinnissa ja soveltamisessa sekä eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä koskevien pyyntöjen valmistelussa. Lisäksi muiden tehtävien ohessa Euroopan kyberturvallisuuden sertifiointiryhmä avustaisi ENISA:a valmistelemaan ehdotuksen sertifiointijärjestelmäksi ja määrittelemään sertifiointijärjestelmien teknisiä eritelmiä, sekä toimisi yhteistyössä komission ja ENISA:n kanssa sertifiointijärjestelmien ylläpitoon liittyvissä asioissa.
Oikeusturva ja seuraamukset
Komission esityksen mukaan luonnollisilla henkilöillä ja oikeushenkilöillä olisi oikeus tehdä valitus eurooppalaisen kyberturvallisuussertifikaatin myöntäjälle. Valittajalla olisi oikeus saada tietoa valituksen etenemisestä, päätöksestä ja oikeudesta hakea muutosta tuomioistuimesta.
Ehdotuksen mukaan jäsenvaltioiden tulisi asettaa seuraamuksia kyberturvallisuuden sertifiointikehykseen ja eurooppalaisen kyberturvallisuuden sertifiointiin liittyvien velvoitteiden rikkomisesta sekä tehdä tarvittavat toimenpiteet niiden täytäntöönpanemiseksi. Jäsenvaltioiden tulisi viivytyksettä ilmoittaa komissiolle näistä säännöistä ja menettelyistä.
3.1.3
ICT-toimitusketjujen turvallisuus
Ehdotuksessa esitetään velvoitteita ICT-toimitusketjujen ei-teknisten riskien hallitsemiseksi EU:ssa. Ehdotuksella luotaisiin luotettujen ICT-toimitusketjujen turvallisuusjärjestelmä (security mechanism/framework), jolla hallittaisiin ei-teknisiä riskejä NIS2-direktiivin (2022/2555) liitteiden I ja II sektoreilla. Komissio voisi täytäntöönpanoasetuksella määritellä kriittiset ICT-osat kriittisissä ICT-toimitusketjuissa. Se voisi ehdotuksen mukaisten riskiarviointien pohjalta esittää täytäntöönpanoasetuksilla asianmukaisia ja oikeasuhtaisia riskienhallintatoimia, jotka osoitettaisiin NIS2-direktiivin liitteiden I ja II toimialoille.
Turvallisuusriskien arviointi, kriittisten ICT-osien tunnistaminen ja riskienhallintatoimet
Ehdotuksen mukaan komissio tai ainakin kolmesta jäsenvaltiosta koostuva ryhmittymä voisi pyytää NIS2-direktiivin (2022/2555) 14 artiklan nojalla perustettua NIS-yhteistyöryhmää (NIS Cooperation Group) laatimaan NIS2-direktiivin 22 artiklan mukaisen riskiarvioinnin ICT-toimitusketjusta. Riskiarvioinnissa tulisi huomioida tarkasteltavan ICT-toimitusketjun kriittiset ICT-osat sekä näihin liittyvät keskeiset uhkatekijät, riskit ja haavoittuvuudet. Riskiarvioinnin pohjalta tulisi laatia riskiskenaariot ja ehdottaa toimenpiteet arvioinnissa tunnistettujen riskien hallitsemiseksi. Riskiarviointi tulisi laatia kuuden kuukauden sisällä sellaisen laadintapyynnöstä, tai komission pyynnöstä ja NIS yhteistyöryhmän näin sovittua myös tätä lyhyemmässä ajassa.
Mikäli komissiolla on riittävät perusteet epäillä, että ICT-toimitusketjussa olisi unionin turvalli-suuteen vaikuttava merkittävä kyberuhka, joka edellyttäisi toimenpiteitä sisämarkkinoiden toiminnan turvaamiseksi, komissio voisi viipymättä konsultoida jäsenvaltioita tarvittavista ehdotuksen mukaisista riskienhallintatoimenpiteistä sekä laatia riskiarvioinnin, jossa komissio huomioisi havainnot jäsenvaltioiden konsultoinnista.
Jos edellä esitetty riskiarviointi osoittaisi merkittäviä kyberturvallisuusriskejä ICT-toimitusketjussa, komissio voisi täytäntöönpanoasetuksella määritellä kriittiset ICT-osat (key ICT-assets), joita NIS2-direktiivin liitteiden I ja II sektoreiden toimijat käyttävät tuotteidensa tai palvelujensa tuottamiseen. Arvioidessaan kriittisiä ICT-osia komissio ottaisi huomioon erilaisia seikkoja, kuten sen, onko ICT-osilla keskeisiä ja kriittisiä toimintoja, mahdolliset poikkeamat, mahdolliset riippuvuudet ja ehdotuksen mukaisen riskiarvioinnin tulokset.
Ehdotuksen mukaan komissio voisi täytäntöönpanoasetuksella kieltää NIS 2-direktiivin liitteiden I ja II toimijoita käyttämästä, asentamasta tai integroimasta tunnistettuihin kriittisiin ICT-osiin korkean riskin toimittajien ICT-komponentteja tai komponentteja, jotka sisältävät ICT-komponentteja. Näissä täytäntöönpanoasetuksissa määriteltäisiin soveltuvat siirtymäajat, joiden aikana komissio julkaisisi listan tähän liittyvistä korkean riskin toimittajista. Lisäksi täytäntöönpanoasetuksissa määriteltäisiin siirtymäajat kiellettyjen ICT-komponenttien vaihtamiseksi.
Komissio voisi täytäntöönpanoasetuksilla asettaa yhden tai useamman riskienhallintavelvoitteen ICT-toimitusketjuihin ja erityisesti kriittisiin ICT-osiin tietyille NIS2-direktiivin liitteiden I ja II toimialojen toimijoille riskiarvioinnin pohjalta. Näihin toimenpiteisiin lukeutuisi velvoite ICT-toimitusketjujen läpinäkyvyydestä toimivaltaiselle valvovalle viranomaiselle, rajoitukset datan siirtämisestä kolmanteen maahan tai datan prosessointiin kolmannessa maassa, teknisiä toimenpiteitä, joita ulkopuolinen taho auditoisi, operatiiviseen toimintaan ja sopimussuhteisiin liittyviä rajoituksia sekä toimitusketjun monipuolistamiseen liittyviä toimia. Ennen näiden riskienhallintatoimien osoittamista komissio arvioisi mahdollisia riskejä ja riippuvuuksia. Varmistaakseen sisämarkkinoiden toiminnan komissio voisi myös poikkeuksellisessa tilanteessa kieltää NIS2-direktiivin liitteiden I ja II toimialojen toimijoita käyttämästä sellaisia toimittajia, joista aiheutuu merkittävä ei-tekninen kyberturvallisuusriski vähintään kolmelle jäsenvaltiolle.
Sähköisten viestintäverkkojen ICT-toimitusketjujen turvallisuus
Ehdotuksessa esitetään viestintäverkkojen ICT-toimitusketjuille vastaavia riskienhallintavelvoitteita ei-teknisten riskien hallitsemiseksi. Viestintäverkkoihin on kiinnitetty ehdotuksessa kuitenkin erityistä huomiota (110–111 artiklat). Ehdotuksen liitteessä II esitetään viestintäverkkojen kriittiset ICT-osat matkaviestintäverkoille, kiinteille viestintäverkoille ja satelliittiviestintäverkoille. Komissio voisi delegoidulla säädöksellä päivittää kyseistä listausta vastaamaan teknologista kehitystä. Ehdotuksen mukaan matkaviestintäverkoissa olevien korkean riskin laitetoimittajien ICT-komponentit tulisi vaihtaa viimeistään 36 kuukauden kuluessa siitä, kun komissio on julkaissut listan näiden viestintäverkkotyyppien korkean riskin toimittajista. Komissio voisi antaa täytäntöönpanoasetuksia, joissa se tarkentaisi siirtymäaikoja ICT-komponenttien vaihtamiselle kiinteiden viestintäverkkojen ja satelliittiviestintäverkkojen osalta. Ehdotuksen mukaan edellä todettujen viestintäverkkojen tarjoajien ei tulisi käyttää, asentaa tai integroida asetusehdotuksen liitteen II mukaisissa kriittisissä ICT-osissa korkean riskin toimittajien ICT-komponentteja tai komponentteja, jotka sisältävät ICT-komponentin.
Kyberturvallisuushuolia aiheuttavien kolmansien maiden osoittaminen
Asetusehdotuksessa esitetään, että komissio voisi nimetä kyberturvallisuushuolia aiheuttavia kolmansia maita (third countries posing cybersecurity concerns) pohjautuen edellä todettuihin riskiarvioihin tai pohjautuen muihin lähteisiin, kuten unionin tai jäsenvaltion julkilausumaan. Komissio arvioisi tällaisen kolmannen maan aiheuttaman riskin huomioiden 100 artiklan 1 kohdan a-e alakohdissa esitetyt seikat.
Mikäli komissio päätyisi arvioinnissaan toteamaan, että jokin kolmas maa aiheuttaisi vakavan ja rakenteellisen ei-teknisen riskin ICT-toimitusketjuissa, se voisi täytäntöönpanoasetuksella nimetä tällaisen kolmannen maan ICT-toimitusketjuihin kyberturvallisuushuolia aiheuttavaksi kolmanneksi maaksi.
Kyberturvallisuushuolia aiheuttavan kolmannen maan korkean riskin toimittajien tunnistaminen ja niitä koskevat rajoitukset
Ehdotuksen mukaan komissio voisi täytäntöönpanoasetuksella laatia listan korkean riskin toimittajista, joihin komissio voisi kohdistaa ehdotuksessa esitetyt rajoitteet täytäntöönpanosäädösten kautta. Rajoitusten osoittamista varten komissio selvittäisi ensin ICT-toimitusketjun toimittajat ja laatisi alustavan arvion sellaisista toimittajista, jotka olisivat perustettu kyberturvallisuushuolia aiheuttavaan kolmanteen maahan, tai olisivat tällaisen maan tai sinne perustetun toimijan tai maan kansalaisen hallinnassa. Komissio arvioisi toimittajien sijoittautumispaikan, omistussuhteen ja hallintajärjestelmän. Komissiolla olisi oikeus pyytää toimittajilta tietoja arvioinnin laatimiseksi. Mikäli jokin toimittaja ei luovuttaisi arviointiin tarvittavia tietoja määräajassa, komissio voisi sen perusteella päättää, että toimittaja on perustettu kyberturvallisuushuolia aiheuttavaan kolmanteen maahan tai sen olevan tällaisen kolmannen maan, sen toimijan tai sen kansalaisten hallinnassa. Komissio kuulisi prosessissa tarkastelun alla olevaa toimittajaa ja kävisi tämän kanssa läpi alustavat havainnot. Komissio voisi myös pyytää toimivaltaista valvontaviranomaista laatimaan vastaavan arvioinnin ja toimivaltaisen valvovan viranomaisen tulisi ilmoittaa komissiolle, mikäli jokin toimittaja tulisi lisätä korkean riskin toimittajien listalle. Komissio päivittäisi säännöllisesti korkean riskin toimittajien listausta.
Komissio voisi myöntää poikkeuksen korkean riskin toimittajalle osoitettuihin rajoituksiin, mikäli tällainen toimittaja pystyisi todistetusti osoittamaan tehokkaat riskienhallintakeinot ei-teknisten riskien hallitsemiseksi ja varmistamaan, ettei kyberturvallisuushuolia aiheuttava kolmas maa vaikuta haitallisesti kyseisen toimittajan ICT-komponenttien toimitukseen. Komissio voisi tarvittaessa täytäntöönpanoasetuksilla asettaa tätä tarkempia ehtoja. Komissio kuulisi prosessissa poikkeusta hakenutta toimittajaa ja antaisi asiasta päätöksen yhdeksän kuukauden sisällä poikkeushakemuksesta. Se voisi asettaa määräajan myönnetyn poikkeuksen voimassaololle sekä määräajan poikkeuksen ehtoina olevien riskienhallintatoimenpiteiden toimeenpanolle. Komissio ylläpitäisi julkisesti saatavilla olevaa rekisteriä niistä päätöksistä, joissa se on myöntänyt poikkeuksen. Komissio voisi periä maksuja poikkeushakemuksista ja antaisi täytäntöönpanoasetuksilla tarkemmat tiedot maksutiedoista.
Toimivaltaisten valvontaviranomaisten valvontatehtävät
Jäsenvaltioiden tulisi nimetä NIS2-direktiivin 8 artiklan mukaiset toimivaltaiset valvovat viranomaiset asetusehdotuksen ICT-toimitusketjuja koskevien velvoitteiden valvoviksi viranomaisiksi. Tämän asetusehdotuksen valvontatoimet kohdistuisivat NIS2-direktiivin liitteiden I ja II toimijoihin. Ehdotuksen artiklassa 114 säädetään toimivaltaisten valvontaviranomaisten valvontatehtävistä. Toimivaltaisilla viranomaisilla olisi oikeus pyytää tarvittavia tietoja, toteuttaa valvontatoimenpiteitä sekä määrätä oikeasuhteisia ja tehokkaita korjaavia tai rajoittavia toimenpiteitä asetuksen noudattamisen varmistamiseksi. Valvontatoimenpiteiden tulisi olla tehokkaita, oikeasuhteisia ja johdonmukaisia. Ennen valvontatoimenpiteiden toimeenpanoa toimivaltaiset valvovat viranomaiset ilmoittaisivat valvontatoimenpiteiden kohteena olevaa toimijaa mahdollisista havainnoistaan. Toimijalla olisi mahdollisuus vastata näihin havaintoihin. Valvovat viranomaiset noudattaisivat valvontatehtävissään luottamuksellisuuden sekä liike- ja ammattisalaisuuden periaatteita.
Asetusehdotuksen mukaisten valvontatehtäviensä hoitamiseksi toimivaltaisten valvovien viranomaisten tulisi olla rakenteellisesti ja toiminnallisesti täysin itsenäisiä ja vapaita ulkoisista vaikutteista. Niiden ei tulisi saada ohjeistusta toiselta viranomaiselta tai yksityiseltä toimijalta. Komissio perustaisi näille valvoville viranomaisille yhteistyöverkoston tarvittavan yhteistyön edistämiseksi ja tietojenvaihdon edistämiseksi sekä korkean riskin toimittajien tunnistamista koskevan prosessin tueksi.
Jos NIS2-direktiivin I tai II liitteeseen kuuluva toimija tarjoaisi palveluita useassa jäsenvaltiossa tai sen kriittiset ICT-osat sijaitsevat useassa jäsenvaltiossa, toimivaltaisten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa asetuksen tehokkaan ja yhdenmukaisen soveltamisen varmistamiseksi. Ehdotuksessa säädettäisiin myös valvontatehtävien hoitamista varten lainkäyttövallasta, johon NIS2-direktiivin liitteiden I ja II toimijat kuuluisivat tämän säädösehdotuksen mukaisten valvontatoimenpiteiden kohdistamiseksi.
Seuraamukset
Ehdotuksessa esitetään, että jäsenvaltioiden tulisi säätää seuraamusmaksuista (penalties) asetusehdotuksen velvoitteiden rikkomisesta. Seuraamusmaksujen tulisi olla tehokkaita, suhteellisia ja varoittavia, ja ne voisi määrätä asetusehdotuksen 114 artiklan 3 kohdan a-c toimien lisäksi. Ehdotuksessa säädettäisiin, että 103 artiklan 2 kohdan a alakohdan rikkomisesta voisi määrätä enintään 1% suuruinen seuraamusmaksu edellisen vuoden maailmanlaajuisesta liikevaihdosta. Asetusehdotuksen 103 artiklan 2 kohdan b-g alakohtien rikkomisesta voisi määrätä enintään 2% suuruinen seuraamusmaksu ja 103 artiklan 1 kohdan ja 111 artiklan rikkomisesta enintään 7 % suuruinen seuraamusmaksu.
3.1.4
Loppusäännökset
Ehdotuksessa ehdotetaan, että komissio arvioisi viimeistään xx.yy.zzzz ja sen jälkeen viiden vuoden välein ENISA:n tuloksellisuutta suhteessa sen tavoitteisiin, toimeksiantoon, tehtäviin, hallintoon ja sijaintiin; EU:n yksittäisten kyberturvallisuusosaamisen todentamisjärjestelmien vaikuttavuutta, tehokkuutta ja EU:n tuomaa lisäarvoa; tieto- ja viestintätekniikan tuotteiden, palveluiden ja prosessien sekä tietoturvapalvelujen vaikutuksia, vaikuttavuutta ja tehokkuutta asetettuihin tavoitteisiin ja turvallisuustasoihin nähden; tieto- ja viestintätekniikan toimitusketjujen turvallisuutta ja toteutuneita toimia.
3.2
NIS 2 -muutosdirektiivi
Direktiivillä ehdotetaan kohdennettuja muutoksia NIS 2 -direktiivin (EU) 2022/2555. Kohdennetuilla muutoksilla pyritään selventämään ja tarkentamaan direktiivin soveltamisalaa, edistämään täytäntöönpanon yhdenmukaisuutta jäsenvaltioissa, helpottamaan vaatimustenmukaisuuden osoittamista sekä vähentämään sääntelystä toimijoille aiheutuvia kustannuksia. Ehdotetut muutokset koskevat direktiivin soveltamisalaa, toimijoiden luokittelua keskeisiksi ja tärkeiksi, komission täytäntöönpanosäädöksiä riskienhallinnasta ja merkittävistä poikkeamista ilmoittamisesta, kiristyshaittaohjelmatietojen ilmoittamista, ENISA:n tehtävää jäsenvaltioiden valvonnan tukena sekä eurooppalaisen kyberturvallisuussertifioinnin hyödyntämistä riskienhallintavaatimuksen vaatimustenmukaisuuden osoittamisessa.
Direktiivin soveltamisalaan ehdotetaan lisättäväksi uusina toimijatyyppeinä eurooppalaisten digi-identiteettilompakoiden ja eurooppalaisten yrityslompakoiden tarjoajat. Lisäksi soveltamisalaan ehdotetaan uusina toimijatyyppeinä toimijoita, jotka omistavat, hallinnoivat tai käyttävät strategista kaksikäyttöinfrastruktuuria. Nämä toimijat kuuluisivat koosta riippumatta direktiivin soveltamisalaan keskeisinä toimijoina. Direktiivin soveltamisalaan ehdotetaan uutena toimijatyyppinä lisäksi merenalaisen datainfrastruktuurin operaattoreita silloin kun ne ovat kooltaan keskisuuria tai suurempia. Direktiivin soveltamisalasta ehdotetaan poistettavaksi DNS-palveluita tarjoavat mikro- ja pienyritykset, sellaiset sähköntuottajat, joiden tuotantokapasiteetti on alle 1 MW sekä sellaiset terveyspalveluiden tuottajat, jotka tarjoavat ainoastaan pitkäaikaista hoitoa. Lisäksi soveltamisalaa määrittäviin käsitteisiin ehdotetaan eräitä tarkennuksia vetytoimijoiden, älykkäiden liikennejärjestelmien tarjoajien sekä kemianteollisuuden osalta. Lisäksi direktiivin 26 artiklaan ehdotetaan eräitä täsmennyksiä jäsenvaltioiden lainkäyttövallasta lentoyhtiöitä ja kolmansiin valtioihin sijoittautuneita toimijoita koskien. Lisäksi direktiivin 27 ja 3 artikloihin ehdotetaan eräitä tarkennuksia, jotka koskevat ENISA:n ylläpitämää toimijaluetteloa sekä toimijoiden velvollisuutta ilmoittaa tietonsa valvovalle viranomaiselle.
Komissio ehdottaa, että keskeisen toimijan määrittämisessä sovellettavaa kokorajaa korotettaisiin. Direktiivin tarkoittamia keskeisiä toimijoita olisivat jatkossa sellaiset direktiivin liitteessä I tarkoitettua toimintaa harjoittavat toimijat, jotka ylittävät pienen midcap-yrityksen kokorajan. Pienen midcap-yrityksen määritelmään sovellettaisiin komission asiasta antamaa suositusta (EU) 2025/1099). Suosituksen liitteen 2 kohdan mukaisesti pienten midcap-yrityksien luokka koostuu yrityksistä, joiden palveluksessa on vähemmän kuin 750 työntekijää ja joiden vuosiliikevaihto on enintään 150 miljoonaa euroa tai taseen loppusumma on enintään 129 miljoonaa euroa. Nykyisin sovellettava kokoraja on perustunut komission suositukseen 2003/361/EY mikroyritysten ja pienten yritysten määritelmistä, ja vastaavana kokorajana on sovellettu raja-arvojen ylittymistä sellaisesta yritysluokasta, joka koostuu yrityksistä, joiden palveluksessa on vähemmän kuin 250 työntekijää ja joiden vuosiliikevaihto on enintään 50 miljoonaa euroa tai taseen loppusumma on enintään 43 miljoonaa euroa.
Komissio ehdottaa strategian sisällöllisiä vaatimuksia koskevaa muutosta, jonka nojalla jäsenvaltioiden tulisi jatkossa hyväksyä kansallisissa kyberturvallisuusstrategioissa muun ohella myös kvantinkestävän salauksen (post-quantum cryptography, PQC) käyttöönottoa koskevat politiikat.
Komissio voi nykyisin antaa täytäntöönpanoasetuksia, joilla tarkennetaan riskienhallintavaatimukseen liittyviä toimenpiteitä. Komissio voisi jatkossa antaa riskienhallinnasta täytäntöönpanoasetuksia, jotka ovat täysharmonisoivia, ja siltä osin kuin sellaisia on annettu, jäsenvaltiot eivät saisi edellyttää niistä poikkeavia riskienhallintatoimia. Ehdotus olisi poikkeus NIS 2 -direktiivin luonteeseen vähimmäisharmonisoivana säädöksenä ja käytännössä laajentaisi komissiolle siirrettyä täytäntöönpanovaltaa riskienhallinnasta.
Ehdotuksen mukaan komission tulisi merkittävästä poikkeamasta ilmoittamista koskevalla täytäntöönpanosäädöksellä edellyttää, että toimijan on ilmoitettava, onko toimija havainnut kiristyshaittaohjelmahyökkäystä, -hyökkäyksen alan ja sitä koskevat hallintatoimet. Vaikka ehdotus ei perustaisi uutta velvollisuutta täytäntöönpanosäädöksen antamiseen, se soveltuisi merkittävästä poikkeamasta ilmoittamista koskeviin täytäntöönpanosäädöksiin uutena sisällöllisenä vaatimuksena. Lisäksi ehdotuksen mukaan jäsenvaltioiden tulisi edellyttää toimijoita ilmoittamaan merkittävän poikkeaman johtuessa kiristyshaittaohjelmasta siitä, onko se vastaanottanut lunnasvaatimuksen, keneltä se on vastaanottanut lunnasvaatimuksen, sekä tiedot siitä lunnaiden maksamisesta ja vastaanottajasta.
Ehdotuksen mukaan ENISA:n tulisi laatia analyysi rajat ylittävistä kyberturvallisuusriskeistä keskittyen erityisesti poikkeamien rajat ylittäviin vaikutuksiin. Tämän arvioinnin perusteella ENISA voisi antaa ohjeita tai suosituksia jäsenvaltioiden valvoville viranomaisille sekä jäsenvaltion valvovan viranomaisen pyynnöstä osallistua valvontatoimiin tai toimijan riskienhallintatoimenpiteiden riittävyyden arviointiin. Valvonnan tukemiseksi jäsenvaltioita edellytettäisiin toimittamaan tietoja ENISA:lle valvonnasta ja sen kohteista. Lisäksi komissio ehdottaa, että ENISA lisättäisiin CSIRT-verkoston jäseneksi.
Ehdotuksen mukaan jäsenvaltiot voisivat edellyttää toimijoita hankkimaan eurooppalaisen kyberturvallisuussertifiointijärjestelmän mukaisen sertifioinnin riskienhallinnan vaatimustenmukaisuuden osoittamiseksi. Jäsenvaltioiden tulisi pitää sertifioitua toimijaa riskienhallintaa koskevien velvoitteiden mukaisena, jos toimija olisi hankkinut siihen soveltuvan sertifioinnin. Lisäksi sertifioituun toimijaan ei saisi kohdistaa valvonnassa säännöllisiä turvallisuusauditointeja tai -tarkastuksia.
Ehdotuksen mukaan jäsenvaltioiden olisi saatettava NIS 2 -muutosdirektiivi osaksi kansallista lainsäädäntöä 12 kuukauden kuluessa sen voimaantulosta.