Tervetuloa viikon 51 tietoturvalainsäädännön uutiskatsaukseen. Joulu lähestyy ja pian on aika rentoutua sekä viettää aikaa läheisten kanssa. Lainsäädäntö on kuitenkin edennyt hyvällä vauhdilla tässä joulun alla, erityisesti CER:n ja DORA:n osalta. Pienenä extrana esittelen tuoreen Valtioneuvoston Puolustusselonteon ja mitä siinä käsitellään.
CER-direktiivi
Hallitus on julkaissut 19.12.2024 lakiesityksen yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja se on siirtynyt eduskunnan käsittelyyn. Tavoitteena on varmistaa, että elintärkeät palvelut, kuten energia, liikenne ja terveydenhuolto, pysyvät toimintakykyisinä myös häiriötilanteissa. Uusi laki tuo Suomeen EU:n CER-direktiivin vaatimukset, joiden avulla yhtenäistetään kriittisten toimijoiden tunnistamista ja valvontaa. Samalla luodaan selkeät pelisäännöt, joiden avulla yritykset ja viranomaiset varautuvat paremmin tuleviin riskeihin ja turvaavat yhteiskunnan toimintavarmuuden.
Lain soveltamisala kattaa yhteensä yksitoista sektoria, ja sen toteuttamiseen osallistuvat useat ministeriöt sekä valvontaviranomaiset. Käytännössä kriittisiksi todetut toimijat joutuvat jatkossa tekemään riskiarvioita, parantamaan häiriönsietokykyään ja toteuttamaan tiukempia varautumistoimenpiteitä. Näin pyritään luomaan entistä vahvempi perusta Suomelle, jotta yhteiskunta selviää paremmin sekä kotimaisista että kansainvälisistä haasteista.
Hallituksen esitys: https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Sivut/HE_205+2024.aspx
DORA eli asetus finanssialan digitaalisesta häiriönsietokyvystä
Euroopan valvontaviranomaiset (EBA, EIOPA ja ESMA) julkaisivat 17.12.2024 yhteenvedon vuoden 2024 ”kuivaharjoituksesta”, jossa testattiin DORA-sääntelyn (Digital Operational Resilience Act) mukaisia ICT-sopimusrekisterin toimintoja. Lähes tuhannen eurooppalaisen rahoituslaitoksen toimittamien rekisterien laatu vastasi valvojien odotuksia ottaen huomioon, että kyseessä oli vasta ensimmäinen yritys. Vaikka vain 6,5 % rekistereistä läpäisi kaikki laatutarkastukset, suurin osa muista rekistereistä ei vaatinut kuin pieniä parannuksia.
ESA:n tarjoamat työkalut ja ohjeet on suunniteltu helpottamaan harjoitukseen osallistuneiden ja muiden toimijoiden valmistautumista varsinaiseen raportointiin. Rahoituslaitosten on syytä hyödyntää saamaansa palautetta tietojen laadusta ja jatkaa kehitystyötä, jotta kriittiset ICT-palveluntarjoajat voidaan määritellä luotettavasti. ESA julkaisee päivitetyn teknisen raportointipaketin, joka sisältää muun muassa tarkennetut laatuvaatimukset, tietomallin ja validointisäännöt.
Alkuperäinen julkaisu: https://www.esma.europa.eu/press-news/esma-news/esas-dry-run-exercise-shows-goal-reporting-registers-information-under-digital
Toisena DORA muutoksena Finanssivalvonta julkaisi tiedotteen asetukseen liittyvistä yksityiskohdista. Uskomme, että tämän tiedotteen tarkoituksena on selventää asetuksen käytännön asioista ennen varsinaista sovellusaikaa, joka on jo 17.1.2025.
Muut
Valtioneuvosto julkaisi 19.12.2024 uuden puolustusselonteon, jossa kerrotaan, miten Suomi kehittää puolustustaan Naton jäsenyyden myötä vuoteen 2030 asti. Puolustusministeri Antti Häkkänen painottaa, että Suomen täytyy vahvistaa omaa puolustuskykyään ja tehdä tiivistä yhteistyötä Naton kanssa vastatakseen kasvaviin uhkiin, erityisesti Venäjän lisääntyneeseen toimintaan. Selonteko jakautuu neljään pääalueeseen: kansallinen puolustus, Naton pelote ja puolustus, yhteistyö muiden Nato-maiden kanssa sekä kokonaismaanpuolustus. Tavoitteena on varmistaa, että Suomi pysyy vahvana ja kykenee puolustautumaan tehokkaasti yhdessä liittolaistensa kanssa. Lisäksi korostetaan reservin ja asevelvollisuuden merkitystä sekä sitä, että Nato-jäsenyys on lisännyt Suomen turvallisuutta ja pelotetta.
Valtioneuvoston puolustusselonteko 2024: https://julkaisut.valtioneuvosto.fi/handle/10024/166002
Lopuksi
Tämän julkaisun ollessa ensimmäinen laatuaan, toivomme lukijoilta avointa palautetta tulevaisuutta varten. Tekve Oy tarjoaa tukea lakisäädösten navigointiin ja implementointiin, joten olkaa rohkeasti yhteydessä. Nähdään ensi viikolla!
Kirjoittaja: Petter Kauppi (petter@tekve.fi)
Yhteystiedot: toimisto@tekve.fi, +358 41 311 9277
