Toimintavarmuutta verkkoihin ja tietopalveluihin
EU:ssa pohditaan keinoja parantaa sähköisten verkkojen toimintavarmuutta ja turvallisuutta – ehdotus tietoturvadirektiiviksi on parhaillaan neuvoston ja parlamentin käsiteltävänä. Jäsenmailla on erilaisia näkemyksiä siitä, kuinka paljon mailta edellytetään yhteistyötä ja mihin aloihin tietoturvadirektiiviä tulisi soveltaa. Puheenjohtajamaa Italia toivoo asiassa sopua ennen vuoden loppua.
Nykyisen EU-lainsäädännön mukaan vain teleyritysten tulee raportoida merkittävistä turvallisuuspoikkeamista järjestelmissään. Tällaisiin poikkeamiin voivat olla syynä esimerkiksi myrskyt ja muut luonnonilmiöt, toimintahäiriöt teknisissä järjestelmissä tai tietoturvahyökkäykset. Myös tietoturvavaatimukset koskevat pääsääntöisesti vain teleyrityksiä. Tietojärjestelmät ovat kuitenkin tärkeä osa tuotantokoneistoa kaikilla aloilla, ja niiden häiriöillä on laajat vaikutukset koko yhteiskuntaan.
Euroopan unionin neuvosto ja Euroopan parlamentti käsittelevät parhaillaan direktiiviehdotusta, jonka on tarkoitus parantaa verkkojen toimintavarmuutta ja turvallisuutta. Direktiivi ulottaisi vaatimukset ja raportointivelvoitteet koskemaan kaikkia kriittisiä sektoreita: esimerkiksi pilvipalveluita, hakukoneita, rahoituslaitoksia sekä liikenne- ja energiasektoria. Direktiivi loisi puitteet myös jäsenmaiden yhteistyölle turvallisuusriskien pienentämiseksi.
Suomelle on tärkeää, että jäsenmaat voivat itse päättää, miten direktiivin tavoitteet parhaiten toteutetaan. Tilanne jäsenmaittain vaihtelee paljon. Suomessa yhteistyö yritysten ja viranomaisten välillä toimii nykyisin hyvin. Se perustuu luottamukseen ja siihen, että kumpikin osapuoli katsoo hyötyvänsä yhteistyöstä. Vapaaehtoisuuteen perustuvan mallin pitäisi olla mahdollinen myös tulevaisuudessa.
Suomen mielestä pakollisten tiedonkeruu- ja raportointimekanismien sekä riskienhallintavaatimusten hyödyllisyyttä on syytä arvioida myös siitä näkökulmasta, parantavatko ne todella tietojärjestelmien haltijoiden kykyä huolehtia tietoturvastaan vai lisäävätkö vain hallinnollista taakkaa ilman selvästi osoitettavia hyötyjä.
Jäsenmailla on yhä erilaisia näkemyksiä muun muassa yhteistyöstä ja direktiivin soveltamisalasta. Osa maista, Suomi mukaan lukien, ei haluaisi lisätä operatiivista yhteistyötä tämän direktiivin puitteissa, koska yhteistyölle on jo toimiva koneisto. Erityisesti itäisen Euroopan maat, joiden kansalliset järjestelmät ovat vielä kehittymättömiä, kannattavat jäsenmaiden velvoittamista myös operatiiviseen yhteistyöhön. Jäsenmaita jakaa myös se, mitä aloja direktiivin velvoitteet koskevat.
Euroopan parlamentti äänesti ehdotuksesta jo keväällä. Vaikka työ neuvoston puolella on vielä monissa keskeisissä asioissa kesken, epäviralliset trilogi-neuvottelut parlamentin kanssa on aloitettu.
Myöskään parlamentin kanta ei helpota jatkotyötä. Parlamentti haluaa direktiivin liitteeksi listan aloista, joilla turvallisuusvaatimus- ja ilmoitusvelvoitteita on pakko noudattaa. Neuvosto antaisi jäsenmaiden tiettyjen kriteereiden puitteissa itse päättää, mitä aloja lainsäädäntö tarkalleen ottaen koskee. Jäsenmaat ovat erilaisia, eikä ”one size fits all” -ratkaisua ole helppo löytää.
Italia on toiveikas sen suhteen, että yhteisymmärrys löytyy vielä sen puheenjohtajakaudella loppuvuoden aikana. Lähiviikot näyttävät, onnistutaanko tässä vai jääkö asia seuraavan puheenjohtajamaan Latvian ratkaistavaksi.
Juha Parantainen
Kirjoittaja on erityisasiantuntija, joka vastaa muun muassa televiestintäasioista