Komission NIS 2.0 -direktiiviehdotuksen valuvirheet korjattava muissa EU-elimissä
Euroopan komissio arvioi viime vuoden aikana verkko- ja tietoturvadirektiiviä (NIS-direktiivi) ja sen soveltamiskokemuksia. Arvioinnin perusteella komissio on päätynyt ehdottamaan uutta, ns. NIS 2.0 -direktiiviä kyberturvallisuuden korkean tason varmistamiseksi EU:n alueella.
Direktiivin velvoitteita ollaan kohdentamassa merkittävään määrään toimijoita tai toimintoja, joille tällaiset vaatimukset ovat täysin uusia. Komissio on arvioinut, että sääntelystä aiheutuu 22 % kasvu toimijoiden ICT-kustannuksiin ensimmäisten implementointivuosien aikana. Niidenkin toimijoiden, jotka kuuluvat jo ensimmäisen NIS-direktiivin soveltamisalaan, kustannukset nousisivat komission arvion mukaan 12 %. Komission mukaan lisäkustannukset johtavat sopusuhtaiseen kustannus-hyötysuhteeseen ja vähentävät samalla kyberturvallisuushäiriöitä, mutta arviossa ei ole huomioitu aloja, joissa kyberturvallisuus on jo ennen ehdotettuja lisävelvoitteitakin ollut korkealla tasolla. Lisäkustannukset ovat merkittäviä ja epäsuhdassa direktiivin tavoitteisiin nähden.
Direktiivin velvoitteiden oltava oikeasuhtaisia
Vaikka pienet ja mikroyritykset jäisivät lähtökohtaisesti ehdotetun sääntelyn ulkopuolelle, riskien uhkaa ja sääntelyn vaikutuksia ei ehdotuksessa ole tarpeeksi suhteutettu toimijoiden kokoon. Suuriin toimijoihin kohdistuu tulevaisuudessa lukuisista muista säädöksistä johtuvia velvoitteita, jolloin kokonaisuudella voi olla jo kilpailullisiakin vaikutuksia.
Verkko- ja tietoturvaa koskevien uusien velvoitteiden ja vaatimusten tulee olla oikeasuhtaisia ja riskiperusteisia soveltamisalaan kuuluvien toimijoiden kokoon ja toimintaan nähden. Sektorikohtaiset erityispiirteet tulee myös ottaa huomioon. Lisäksi komissio ei ole riittävästi arvioinut sitä, millainen suhde nyt ehdotettavalla sääntelyllä on esimerkiksi eIDAS-sääntelyn, yleisen tietosuoja-asetuksen tai viime vuonna Suomessa täytäntöön pannun telepakettidirektiivin kanssa. NIS 2.0 -direktiivi ei saa johtaa ylisääntelyyn.
Liian yksityiskohtaista sääntelyä
Euroopan parlamentin teollisuus-, tutkimus- ja energiavaliokunta ITRE on tietoinen komission ehdotuksen kyberturvallisuusriskien hallintatoimenpiteitä koskevaan 18 artiklaan liittyvistä ongelmista, mutta asian merkitystä ei voi korostaa liikaa. Hallintatoimenpiteet on säädelty direktiivissä aivan liian yksityiskohtaisesti. Ne edustavat nyt ehdotetussa muodossa ideaalitilaa, jota suurimmatkaan toimijat eivät ole kaikissa tilanteissa pysty toteuttamaan.
Esimerkiksi 18 artiklan 2 kohdan yksityiskohtainen lista ”ainakin” toteutettavista toimenpiteistä sisältää sinänsä aiheellisia ja kannatettavia asioita, mutta niitä kaikkia ei ole mahdollista tai järkevää toteuttaa esimerkiksi koko toimitusketjun kaikkien kumppaneiden kohdalla. Kohdan 2 yksityiskohtainen luettelo on myös ristiriidassa kohdassa 1 edellytettyjen asianmukaisten ja oikeasuhteisten toimenpiteiden kanssa, sillä ”ainakin” toteutettavat toimenpiteet eivät mahdollista toimenpiteiden oikeasuhteisuutta.
Komission ehdotuksen mukaan toimijoiden tulisi raportoida valvovalle viranomaiselle 24 tunnin kuluessa siitä, kun merkittäväksi arvioitu häiriö tai kyberloukkauksen uhka on tullut toimijan tietoon. Tiukan ilmoitusvelvollisuuden sijaan tulee tarkemmin arvioida, mitkä häiriöt ja uhat ovat sellaisia, että niistä tarvitsee ylipäätään ilmoittaa valvontaviranomaiselle. Lisäksi ilmoituksissa on huomioitava myös nyt ehdotettavien ilmoitusten kanssa mahdollisesti päällekkäinen, esimerkiksi yleisestä tietosuoja-asetuksesta aiheutuva ilmoitusvelvollisuus 72 tunnin kuluessa toiselle viranomaiselle. Jos ilmoitusvelvollisuus on joissain tilanteissa kahdelle eri viranomaiselle, tulisi se pystyä tekemään samalla kertaa, samojen määräaikojen mukaisesti. Päällekkäistä sääntelyä ja raportointia tulee välttää.
Ehdotettu sääntely on monin paikoin aivan liian yksityiskohtainen eikä ota huomioon yrityksissä riskienhallinnasta säännöllisesti käytävää tapauskohtaista arviointia. Kyberturvallisuus on monisyinen ja laaja kokonaisuus, jonka sääntelyssä tulisi keskittyä siihen, että toimijat toteuttavat kunkin tilanteen kannalta oikeasuhteisia ja riittäviä toimenpiteitä sen sijaan, että sääntelyllä asetetaan tiettyjä lueteltuja keinoja, joita voi olla todellisuudessa mahdoton toteuttaa. Lisäksi ehdotus ei ota lainkaan huomioon osaamiseen panostamista.
Direktiiviä voi vielä parantaa
Parlamentti muodostaa paraikaa kantaansa direktiivistä, ja luonnosta käsitellään näillä näkymin ITRE:n kokouksessa 26.5. Valiokunta äänestää kannasta muutosehdotusten jälkeen lokakuussa ja parlamentin täysistunto marraskuussa. Myös neuvoston kannan on arvioitu valmistuvan samoihin aikoihin, joten trilogineuvottelut alkaisivat loppuvuodesta tai viimeistään 2022 alkupuolella.
Uudelleenarvioinnin perusteella komission ehdotukselle on varmasti tarvetta, mutta ehdotetussa muodossaan NIS 2.0 -direktiivi ei todellisuudessa toteuttaisi sille asetettuja tavoitteita. Nyt onkin erinomainen tilaisuus parlamentin ja neuvoston korjata komission valuvirheet.