Merenkulun toimijaksi on rekisteröidyttävä viimeistään kuukauden kuluessa lain voimaantulosta eli 8.5.2025 mennessä. Lisäksi toimijalla on oltava ajantasainen riskienhallinnan toimintamalli kolmen kuukauden kuluessa lain voimaantulosta eli 8.7.2025 mennessä. Ilmoitusvelvollisuus merkittävistä poikkeamista alkoi heti lain tultua voimaan.
NIS2-direktiivi annettiin joulukuussa 2022 ja sen tarkoituksena on yhteisen korkean kyberturvallisuustason varmistaminen kriittisillä toimialoilla Euroopan unionissa. Näihin kuuluu yhteensä 18 toimialaa sisältäen keskeiset liikenne-, energia-, terveys-, vesi-, jäte-, digitaalisen infrastruktuurin ja teollisuuden toimijat, joiden toiminta on yhteiskunnan toimivuuden kannalta kriittistä.
Suomessa Liikenne- ja viestintäministeriö aloitti direktiivin kansallisen toimenpanon 2023. Kyberturvallisuuslaki saatettiin voimaan 8.4.2025 ja se korvaa NIS1-direktiivin kansallisen toimeenpanon, joka toteutettiin useilla sektorikohtaisilla lainmuutoksilla.
Valvovia viranomaisia on seitsemän. Merenkulku kuuluu vesiliikennetoimialaan ja valvova viranomainen on Liikenne- ja viestintävirasto Traficom.
Keitä kyberturvallisuuslaki koskee merenkulussa?
Vanha NIS1-direktiivi koski Suomessa merenkulun osalta ydinverkon satamia sekä meriliikenteenohjausta. Uusi NIS2-direktiiviin pohjautuva kyberturvallisuuslaki asettaa velvoitteita huomattavasti laajemmalle toimijakentälle.
Toimijan kuuluminen kyberturvallisuuslain soveltamisalaan määräytyy kahden pääkriteerin perusteella: toimiala ja koko. Toimialan osalta sovelletaan NIS2-direktiivin liitteiden I ja II toimialaluetteloa. Liitteen I vesiliikennetoimialaan kuuluvat matkustaja- ja rahtiliikennettä hoitavat yhtiöt, satamanpitäjät ja sataman alueen toimijat sekä VTS-palveluntarjoajat. Lisäksi lain piirissä ovat mm. laivojen ja veneiden sekä kelluvien rakenteiden valmistajat liitteen II osalta.
Kokokriteerinä toimijan tulee olla vähintään keskisuuri yritys eli sillä on vähintään 50 työntekijää tai vuosiliikevaihto ja tase yli 10 miljoonaa euroa. Keskeiset toimijat kuuluvat liitteen I toimialoihin ja niillä on vähintään 250 työntekijää tai yli 50 miljoonan euron liikevaihto ja 43 miljoonan euron tase.
Lisäksi pienemmätkin toimijat voivat kuulua lain piiriin, jos ne tarjoavat erityisen kriittisiä palveluja tai niiden toiminnalla on merkittävä yhteiskunnallinen vaikutus.
Mitä vaatimuksia laki asettaa merenkulun toimijoille?
Pähkinänkuoressa kyberturvallisuuslaki velvoittaa toimijaa tunnistamaan, arvioimaan ja hallitsemaan tieto- ja viestintäjärjestelmiinsä kohdistuvat riskit, dokumentoimaan riskienhallinnan ja varautumaan häiriöihin sekä niistä toipumiseen. Riskienhallinnan tavoitteena on estää tai minimoida poikkeamien vaikutukset toimintaan, palvelujen jatkuvuuteen, käyttäjiin ja muihin palveluihin. Laki painottaa johdon vastuuta riskienhallinnan suunnittelussa, hyväksynnässä ja toteuttamisessa.
Merkittävistä tietoturvapoikkeamista on tehtävä ilmoitus valvovalle viranomaiselle Traficomin ylläpitämässä poikkeamailmoitusportaalissa, joka toimii kaikkien NIS2-toimijoiden yhteisenä kanavana. https://www.kyberturvallisuuskeskus.fi/fi/toimintamme/saantely-ja-valvonta/nis2-euroopan-unionin-kyberturvallisuusdirektiivi/nis2
Toimijan velvollisuudet voimaan tiukassa aikataulussa
Toimijan on itse selvitettävä täyttääkö se kyberturvallisuuslain mukaiset kriteerit ja ilmoittauduttava valvovalle viranomaiselle. Vesiliikennetoimijoiden ilmoittautuminen tehdään Traficomin verkkosivuilla https://www.kyberturvallisuuskeskus.fi/fi/toimintamme/saantely-ja-valvonta/nis2-euroopan-unionin-kyberturvallisuusdirektiivi/ilmoittaudu
Jos toimija kuuluu useamman viranomaisen valvontaan, ilmoittautuminen on tehtävä jokaiselle viranomaiselle erikseen.
Ilmoittautumiselle on asetettu kuukauden siirtymäaika lain voimaantulosta eli toimijan on ilmoittauduttava 8.5. mennessä. Toimijalla on oltava ajantasainen riskienhallinnan toimintamalli kolmen kuukauden kuluessa lain voimaantulosta eli 8.7.2025 mennessä.
Toimintamallissa tunnistetaan viestintäverkkoihin, tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvat riskit sekä määritellään tavoitteet, menettelyt, vastuut ja toimenpiteet näiden suojaamiseksi kyberuhkilta ja poikkeamilta.
Myös ilmoitusvelvollisuus merkittävistä poikkeamista astui voimaan heti lain voimaantultua 8.4.2025.
Valvonnan painopisteenä kriittisten toimialojen toimijat
Valvontaa kohdistetaan ensisijaisesti keskeisiin toimijoihin, jotka toimivat kyberturvallisuuslain liitteessä I määritellyillä erittäin kriittisillä toimialoilla ja joiden palveluksessa on vähintään 250 työntekijää tai joiden vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma 43 miljoonaa euroa. Myös pienemmät erittäin kriittiset toimijat luetaan keskeisiksi toimijoiksi. Lisäksi valvontaa voidaan kohdistaa myös muihin toimi-joihin, jos on perusteltu syy epäillä lain tai sen nojalla annettujen määräysten rikkomista.
Valvonnan perusta on riskiperusteisuus sen mukaan kuinka merkittäviä toimijan tarjoamat palvelut ovat yhteiskunnan kannalta ja kuinka suuria kyberturvallisuusriskejä häiriöt voivat aiheuttaa.
Teksti: Erityisasiantuntija Kristian Haavaste, Traficom
Lisätietoa kyberturvallisuuslaista Traficomin verkkosivuilta
https://traficom.fi/fi/ajankohtaista/kyberturvallisuuslaki-hyvaksytty-eduskunnassa-nis2-direktiivin-mukaiset-velvoitteet
