Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely

Abstract

Kriittisen infrastruktuurin osana olevat organisaatiot tarjoavat yhteiskunnan keskeisiä palveluita. Näiden palveluiden tarjoamisen jatkuvuutta ja turvallisuutta varmistetaan Euroopan unionin verkko- ja tietojärjestelmien turvallisuusdirektiivillä (NIS), jota parhaillaan ollaan EU:ssa uudistamassa. NIS-direktiivin velvoitteet ovat olleet osa kansallista lainsäädäntöä vuodesta 2018 asti, mutta aiheeseen liittyvää oikeustieteellistä tutkimusta ei ole aikaisemmin Suomessa julkaistu. Tutkielmassa oikeustieteen lainopillista tutkimusmetodia hyödyntäen tulkitaan ja systematisoidaan verkko- ja tietojärjestelmien turvallisuussääntelyä liikennejärjestelmässä raide-, tie- ja vesiliikenteen näkökulmista. Tutkimuksen tarkoituksena on oikeudellisesta näkökulmasta selventää, keitä sääntely koskee, mitä sääntelyn kohteena olevilta vaaditaan ja miten sääntelyn noudattamista valvotaan. Sääntelyn soveltamisalan osalta havaittiin sääntelyn koskevan vakiintunutta käytäntöä laajempaa joukkoa yhteiskunnan keskeisten palveluiden tarjo-ajia. Sääntelyn kohteena olevien keskeisten palveluiden tarjoajien riskienhallinta- ja ilmoittamisvelvollisuuden osalta luotiin sääntelyn sisältöä selkeyttäviä määritelmiä. Kuitenkaan määritelmillä ei pystytty täysin poistamaan sääntelyn jättämää tulkinnanvaraisuutta. Verkko- ja tietojärjestelmien turvallisuusvelvoitteiden noudattamista liikennejärjestelmässä valvoo Liikenne- ja viestintävirasto Traficom. Valvovan viranomaisen valvontavelvollisuuksissa tunnistettiin puute, joka voi heikentää raideliikenteen kyberturvallisuuden valvontaa sekä poiketa NIS-direktiivin vähimmäisvaatimuksista. Valvonnan toimivaltuuksissa havaittiin merkittäviä eroavaisuuksia eri liikennemuotojen välillä, vaikka kaikissa liikennöintimuodoissa on kyse samankaltaisten velvoitteiden noudattamisen valvonnasta. NIS-direktiivi velvoittaa jäsenvaltioita säätämään direktiivin nojalla annettujen kansallisten säännösten rikkomiseen sovellettavista seuraamuksista, mutta ainoastaan raideliikenteessä huomautuksesta ja varoituksesta seuraamuksena on säädetty. Kansallisessa lainsäädännössä Liikenne- ja viestintävirastolle on annettu määräystoimivaltaa. Vaikka määräystoimivalta ei kata kaikkia tutkielmassa tunnistettuja tulkinnanvaraisia tilanteita, tutkielmassa suositetaan määräystoimivallan hyödyntämistä ja esitetään mistä määräämällä sääntelyä voisi täsmentää.

Organizations as part of the critical infrastructure provide essential services for society. Continuity and security of these services are ensured by security of network and information systems directive (NIS), which is planned to be replaced in European Union by new directive on high common level of cybersecurity. Obligations stemming from NIS-directive have been part of Finland’s national legislation since 2018, but jurisprudential research has not been conducted before on this topic. Using legal dogmatic research method, the national network and information security legislation is interpreted and systematized de lege lata in transportation system (rail, road and maritime). The aim of the research is, from jurisprudential perspective, to clarify who are providers of essential services, what obligations these providers have and how the compliance of network and information security obligations are supervised. The study points out that national legislation obliges larger number of providers of essential services than what is previously understood. The study provides definitions, which clarify ambiguity of risk management and reporting obligations of providers of essential services. However, proposed definitions do not solve all ambiguities. The supervision of the compliance of network and information security obligations is tasked for the Finnish Transport and Communications Agency Traficom. The study identifies a shortcoming in Traficom’s supervision obligations, which might hinder the supervision of cybersecurity compliance in railway transportation and fall behind from obligations of the NIS-directive. Even though NIS-obligations are nearly identical in transport system, the study shows that competent authority’s powers and means to assess the compliance of NIS-obligations widely vary between transportation sectors. According to the directive, member states shall lay down the rules on penalties applicable to infringements of national provisions adopted pursuant to NIS-directive. However, only in railway transportation the competent authority may issue notifications and warnings as a penalty. The national legislation provides for Traficom the authority to issue regulations on cybersecurity requirements, but the competence does not cover all ambiguities identified in this study. Nevertheless, the study recommends to issue regulation and provides proposals what the regulation could cover.