NIS-direktiivin kahdet kasvot : riskit ja riskienhallinta

Abstract

Euroopan unionin verkko- ja tietoturvadirektiivi, eli NIS-direktiivi, annettiin heinäkuussa 2016 ja sitä on sovellettava jäsenvaltioissa viimeistään 10. toukokuuta 2018. Direktiivin tavoitteena on parantaa jäsenmaiden tietoturvaa ja sitä kautta sisämarkkinoiden toimintaedellytyksiä. Se koskettaa suoraan digitaalisia toimijoita ja erikseen määriteltyjä keskeisiä toimijoita, mutta sen vaikutusten voidaan olettaa ulottuvan myös näiden ryhmien ulkopuolelle muun muassa palveluntarjoajiin. Vaikka direktiivi annettiin samoihin aikoihin ja sen soveltaminen aloitetaan myös samoihin aikoihin Euroopan unionin tietosuoja-asetuksen (GDPR) kanssa, on se jäänyt huomattavasti pienemmälle huomiolle kuin tietosuoja-asetus.

Tässä tutkielmassa tarkastellaan EU:n uuden verkko- ja tietoturvadirektiivin vaikutuksia yritysten toiminnalle. Vaikutuksia tarkastellaan yritysten näkökulmasta ja huomioiden direktiivin tuomat kaksi puolta: riskit ja riskienhallinnan. Vaikka direktiivi pyrkii tuomaan yrityksille tehostettua riskienhallintaa, se tuo samalla myös riskejä yrityksen toimintoihin. Juurikin riskeistä johtuen GDPR on saanut niin suuren huomion. Tutkimusongelmina selvitetään, ketä direktiivi tulee koskettamaan, millaisia riskejä direktiivi tuo mukanaan sitä koskettaville yrityksille ja toisaalta mitä direktiivi tuo yritysten riskienhallinnalle. Tutkimuksen aineistona toimi säädetty direktiivi, ja tukevana materiaalina liikenne- ja viestintäministeriön asettaman työryhmän loppuraportti sekä Suomen tietoturvallisuus strategia, joka julkaistiin keväällä 2016.

Tutkimus on laadullinen sisällönanalyysi, jossa asiaa pohditaan muiden tutkimusten ja yllä mainitun aineiston pohjalta. Koska tämä on tietotekniikan, ei oikeustieteiden tutkimus, ei lakeihin tai niiden vaikutuksiin mennä syvällisesti, vaan asiaa tarkastellaan enemmän ylätasolla ja pyritään luomaan kokonaiskuvaa aiheeseen. Tutkimuksen tulosten perusteella todettiin, että direktiivi tuo yrityksille niin uusia riskejä, kuin riskienhallintaa tukeviakin keinoja. Vaikka toimijoiden rajaus ennen lain julkaisua on hankalaa, jo nyt voitiin todeta, että joukko tulee olemaan laajempi, kuin vain suoraan direktiivin alaisiksi määritellyt toimijat. Epäonnistuessaan direktiivi tuo yrityksille useita strategisia ja toiminnallisia riskejä, jotka haittaavat yritysten toimintaa, mutta onnistuessaan se voi merkittävästi parantaa verkko- ja tietoturvallisuutta EU:n jäsenmaissa.

Two sides of NIS directive : risks and risk management.

The EU Directive on security of network and information systems (the NIS Directive) was adopted in July 2016, and shall be transposed into national laws throughout the Member States by May 10th, 2018. The objectives of the Directive are to improve cyber security throughout the member states, which is said to further lead into better functioning digital single market. The Directive directly affects operators of essential services and digital service providers, but its impacts can be expected to extend beyond these groups for example to service providers. Although the Directive was adopted around the same time, and it will step into force around the same time with EU’s General Data Protection Regulation (GDPR), it has received far less attention than GDPR.

This thesis examines the impact of the NIS Directive on companies. The impacts are examined from the businesses point of view considering the two sides of the Directive: risks and risk management. Even though the directive aims to bring companies more effective risk management practices, it also brings risks to the company’s operations. Risks are in fact one of the reasons that have brought the GDPR into the center of the attention. Research questions aim to identify, which companies are affected by the directive, what risks the Directive brings, and what does the directive bring for the companies’ risk management. The research was done by analyzing the directive itself. The final report of the Ministry of Transport and Communications’ working group and Finnish Information Security Strategy, published in spring 2016, were used as supportive material. The study is limited to Finland.

The study is a qualitative content analysis that reflects the matter based on other studies and above mentioned material. Because this is an information technology thesis, not legal studies, the study does not go deeply into laws or their legal implications, but the matter is rather analyzed on higher level and the aim is to create an overall picture of the subject.

Based on the research results, it was found that the Directive brings new risks to the companies as well as provides tools for their risk management. Prior publishing the local laws it is difficult to define all the affected parties, but already now it can be concluded that the effects will spread beyond the operators directly defined in the Directive. If the directive fails it will bring the companies many strategic and operational risks, but when succeeding it can significantly improve the network and information security in EU member states.