HE Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta

HE Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta

Tiivistelmä CSC:n lausunnosta:

CSC, itsekin huoltovarmuuskriittisenä toimijana, näkee, että on erittäin perusteltua päivittää ja uudistaa luetteloa yhteiskunnan toiminnan kannalta keskeisistä palveluista. On myös perusteltua, että tietoyhteiskuntakaaren velvoitteet kattavat arkipäivän IT-palveluiden toimittajat. Merkittävät katkot kansalaisten, yritysten sekä julkishallinnon päivittäisissä IT-palveluissa aiheuttavat vakavia häiriötä koko maalle. Hallitusohjelman mukainen digitalisaation edistäminen edellyttää, että keskeisten IT-palveluiden toimintakyky on varmistettu joustavalla ja tehokkaalla tavalla kaikissa olosuhteissa.

Riskienhallinta on hyvä lähtökohta tietoturvallisuuden varmistamiselle.  On kuitenkin tärkeää asettaa riskienhallinnalle tiettyjä vähimmäiskriteerejä, jotka sisältävät myös riskien riittävän kattavan tunnistamisen, niiden lieventämisen sekä lieventämistoimenpiteiden vastuuttamisen. Kansainväliset sekä kansalliset hyvät tietoturvakäytännöt (esim. VAHTI) ovat hyvä referenssi sille, mikä on riittävää riskienhallintaa. Palveluntarjoaja voi osoittaa toimivansa hyvien tietoturvakäytäntöjen mukaisesti esimerkiksi sertifioimalla riskienhallintansa ja tietoturvansa hallinnan.

CSC:n näkemyksen mukaan tietoyhteiskuntakaareen esitetyt muutokset ovat pääpiirteittäin perusteltuja, mutta CSC katsoo, että muutoksiin tulee lisätä varmistusmekanismeja estämään tietojen asiatonta paljastumista. Lisäksi lakia tulee soveltaa siten, että myös pienillä toimijoilla on mahdollisuus tarjota jäljempänä mainittuja palveluita. CSC toteaa, että on perusteltua laajentaa tietoyhteiskuntakaarta kattamaan tietoverkossa toimivat markkinapaikat, hakukonepalvelut sekä pilvipalvelut, koska kyseiset toiminnat ovat kriittisiä tietoyhteiskunnan toimintakyvyn kannalta.

Esityksessä mainitut riskienhallinnan asianmukaisuus ja kattavuus, sekä tunnettujen tietoturvallisuusstandardien noudattaminen ovat perusteltuja ja erittäin kannatettavia. Turvallisuusvaatimusten soveltaminen tulee kuitenkin toteuttaa joustavasti siten, etteivät ne estä pienempien toimijoiden kehittymistä tai pääsyä markkinoille. Samoin suojaamistoimenpiteet tulee suhteuttaa suojattavan kohteen merkitykseen mahdollisen tietovuodon tai palvelukatkon tapahtuessa.

Lue lausunto kokonaisuudessaan täältä.