Toimintavarmuutta verkkoihin ja tietopalveluihin
I EU funderar man nu på hur man kan förbättra funktionaliteten och säkerheten i datornät – ett direktivförslag om informationssäkerhet behandlas som bäst av rådet och parlamentet. Medlemsländerna har olika åsikter om hur mycket samarbete som kan förväntas av dem och på vilka branscher direktivet borde tillämpas. Ordförandelandet Italien hoppas på enighet innan årets slut.
Enligt den nu rådande EU-lagstiftningen är det bara teleföretag som ska rapportera om märkbara säkerhetsavvikelser i deras system. Orsakerna till avvikelser kan exempelvis vara stormar eller andra naturfenomen, funktionsstörningar i tekniska system eller dataintrång. Kraven på informationssäkerhet gäller också huvudsakligen teleföretag. Datasystemen är emellertid viktiga delar av produktionsmaskineriet i alla branscher idag, och störningar i dem kan ha omfattande konsekvenser för hela samhället.
Europeiska unionens råd och Europaparlamentet behandlar som bäst ett direktivförslag vars syfte är att förbättra nätens funktionalitet och säkerhet. Direktivet skulle utvidga kraven och rapporteringsskyldigheten så att de skulle omfatta alla kritiska sektorer: till exempel molnbaserade datortjänster, söktjänster, finansieringsinstanser samt trafik- och energisektorer. Direktivet skulle också skapa förutsättningar för samarbete mellan medlemsländerna för att reducera säkerhetsriskerna.
Det är viktigt för Finland att medlemsländerna själva kan bestämma hur man bäst förverkligar direktivets målsättningar. Situationen i medlemsländerna varierar mycket. I Finland fungerar samarbetet mellan företag och myndigheter redan bra. Det bygger på förtroende och på att bägge parter upplever att de har nytta av samarbetet. En modell som utgår från frivillighet borde vara möjlig också i framtiden.
Enligt Finland finns det anledning att begrunda nyttan med obligatoriska mekanismer för informationsinsamling och rapportering samt riskhanteringskrav ur en synvinkel som granskar om de faktiskt förbättrar datasystemens administratörers kapacitet att trygga datasäkerheten, eller om de bara gör att den administrativa bördan ökar utan att någon tydlig nytta kan påvisas.
Medlemsländerna har fortsättningsvis olika åsikter om samarbetet och hur direktivet ska tillämpas. En del av länderna, däribland Finland, vill inte ha mera operativt samarbete kring detta direktiv eftersom man redan har fungerande mekanismer för samarbetet. De som förespråkar operativt samarbete mellan medlemsländerna är särskilt länder i östra Europa, som ännu har outvecklade nationella system. Medlemsländerna har också skilda åsikter om vilka branscher direktivet borde tillämpas på.
Europaparlamentet röstade om förslaget i våras. Även om arbetet i rådet ännu är oavslutat vad gäller flera viktiga delar har man inlett inofficiella trilogiförhandlingar med parlamentet.
Parlamentets ståndpunkt underlättar inte det fortsatta arbetet. Parlamentet önskar foga en lista över de sektorer där man måste följa kraven på säkerhet och anmälningsskyldigheten till direktivet. Rådet anser i sin tur att medlemsländerna, inom vissa ramar, själva ska få besluta vilka sektorer lagstiftningen ska gälla. Medlemsländerna är olika och det är inte lätt att hitta en ”one size fits all”-lösning.
Italien tror på samförstånd ännu under sin ordförandeperiod, det vill säga innan årets slut. De närmaste veckorna kommer att visa om det lyckas eller om det blir följande ordförande, Lettland, som får lösa frågan.
Juha Parantainen
Skribenten är specialsakkunnig och svarar bland annat för telekommunikationsfrågor
