Lausunto kyberturvallisuusdirektiivin täytäntöönpanosta
NIS2-direktiivi tähtää jäsenvaltioiden digitaalisten riskien parempaan hallintaan. Säädös tarjoaa selvän keinovalikoiman aiemmin omaehtoisesti heikoimmin suoriutuvien organisaatioiden riskitason pienentämiseen. Jatkotyössä on keskeistä, että myös valvovien viranomaisten mahdollisesti myöhemmin annettavat tarkemmat tekniset määräykset säilyvät säännöksiä tarkentavina eivät tosiasiallisesti korota tai muuta vaatimustasoa minimiharmonisoinnin periaatteen mukaisesti. Organisaatioita tulisi tukea riskienhallintatoimien toimeenpanossa esimerkiksi tietoturvallisuuden kehittämisen tuki -instrumentin avulla. Lisäksi yritysten osalta 3 §:n 3 momentin kriteerien soveltamiseksi tulee antaa valtioneuvoston asetus.
Liikenne- ja viestintävirastolle esitetään uusia valvontatehtäviä ja resurssit on optimoitava kielteisten yritysvaikutusten minimoimiseksi sekä viranomaistehtävien tuottavuuden varmistamiseksi. Kyberturvallisuuskeskuksen ympärivuorokautinen päivystys on tarpeen, jotta direktiivin tavoitteet voidaan saavuttaa. Valvovan viranomaisen tulee antaa toimijan ilmoituksen perusteella hallintopäätös soveltamisalaan kuulumisesta. Ehdotuksen 28 § 3 momentin kohtaan tulisi lisätä maksuttomuuden kohtuullisuusrajoite, jotta merkittävistä kustannuksista aiheutuvat kulut korvataan toimijalle.
Lisätietoja:
