Kyberhäiriötilanteiden varautumista koskevat suositukset ja sääntely
Huoltovarmuusorganisaation Digipooli ja Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry ovat julkaisseet suositukset kyberhäiriötilannetoiminnasta ja siinä huomioitavasta lainsäädännöstä elinkeinoelämälle. Suosituksia on tarjolla kolmeen sopimussuhteen vaiheeseen: ennen sopimista, palvelun ylläpidossa ja häiriötilanteissa huomioitaviin asioihin.
Huoltovarmuuskeskus ja FiCom ry tekivät alunperin v. 2017 selvityksen kyberhäiriötilanteista ja niihin varautumisesta. Selvityksessä kartoitettiin juridista ympäristöä ja haasteita, joita huoltovarmuuskriittiset ja niille viestintä- ja IT-palveluita tarjoavat yritykset kohtaavat poikkeamia ja häiriöitä ratkaistaessa sekä sitä, miten näiltä uhilta
suojautuminen tulisi etukäteen huomioida sopimuksissa, kun IT- ja viestintäpalveluita ulkoistetaan.
Selvitystä on päivitetty edellisen kerran v. 2019 ja nyt (Kesäkuussa 2025) julkaistiin uusi päivitys vastaamaan nykyistä kyberhäiriötilanteita koskevaa lainsäädäntöä.
Selvityksen tavoitteena on ollut löytää hyviä käytäntöjä, joilla yritysten varautumista ja selviytymistä kyberhäiriötilanteissa voidaan edistää.
Selvityksen sisältö on jäsennelty ohjeistukseksi, jonka kohderyhmänä ovat kyberturvallisuudestaan huolehtivat yritykset, niiden tietohallinnosta ja tietoturvasta vastaavat työntekijät sekä näille yrityksille viestintä, IT- ja tietoturvapalveluita tarjoavien yritysten liiketoiminnasta vastaavat henkilöt.
Selvityksen tavoitteena oli löytää hyviä käytäntöjä, joilla yritysten varautumista ja selviytymistä kyberhäiriötilanteissa voidaan edistää.
Asko Metsola
Keskeisistä havainnoista
Yksi keskeisistä havainnoista on, että ilman sopimuksia ja riittävää ennakkovarautumista yritysten toimintamahdollisuudet kyberhäiriötilanteessa ovat huomattavan rajatut. Häiriötilanteiden hallintaan liittyy myös lainsäädännöstä tulevia reunaehtoja. Siksi on kartoitettu erityisesti juridista ympäristöä ja haasteita, joita huoltovarmuuskriittiset ja niille viestintä- ja IT-palveluita tarjoavat yritykset kohtaavat poikkeamia ja häiriöitä ratkaistessaan.
Nyt huomioitu lainsäädäntökehys
Suositus pyrkii huomioimaan kulloinkin voimassaolevan lainsäädännön reunaehdot ja viimeaikaiset lainsäädäntömuutokset ovatkin nyt huomioituna suosituksissa.
Keskeisin kyberhäiriötilanteisiin liittyvä säädös Suomessa on uusi kyberturvallisuuslaki (124/2025), jolla pannaan täytäntöön aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) korvaava uusi kyberturvallisuusdirektiivi (NIS2-direktiivi). Myös ns. CER-direktiivin täytäntöön paneva laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (310/2025) sekä laki sähköisenviestinnän palveluista (917/2014) sääntelevät kyberhäiriötilanteissa huomioitavia asioita.
Lisäksi tulee huomioida EU:n yleisen tietosuoja asetuksen ((EU) 2016/679), sen myötä säädetyn tietosuojalain (1050/2018) sekä yksityisyyden suojasta työelämässä annetun lain (759/2004, työelämän tietosuojalaki) velvoitteet. Poliisin toimintaa ohjaavat rikoslaki (39/1889) ja esitutkintalaki (805/2011). Laki julkisen hallinnon tiedonhallinnasta (906/2019) tuli voimaan 1.1.2020. Lisäksi EU:ssa on jo vuosia valmisteltu sähköisen viestinnän tietosuoja-asetusta (ePrivacy), jonka olisi
tarkoitus tuoda selvyyttä yksityisyydensuojaan sähköisessä viestinnässä.
Suosituksista
Suositukset on laadittu erikseen kyberturvallisuudestaan huolehtiville yrityksille sekä IT- ja tietoturvapalveluiden tarjoajille suunnatuiksi ohjeistuksiksi etukäteen, ennen sopimuksen allekirjoittamista huomioitavista seikoista (Arvioi uhkia ja ymmärrä riskit), tavanomaisessa palvelun ylläpitovaiheessa sekä varautumisessa huomioitavista seikoista (Suojaa organisaatiosi toiminta ja turvaa jatkuvuus) sekä häiriötilanteissa huomioitavista seikoista (Reagoi nopeasti ja toimi suunnitelmallisesti).
Lataa dokumentti tästä:
Yritysten käyttöön tehdyt suositukset ”Kyberhäiriötilanteet – varautuminen ja toiminta” ovat kokonaisuudessaan ladattavissa tästä.