Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely
Authors
Date
2022Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Kriittisen infrastruktuurin osana olevat organisaatiot tarjoavat yhteiskunnan keskeisiä palveluita. Näiden palveluiden tarjoamisen jatkuvuutta ja turvallisuutta varmistetaan Euroopan unionin verkko- ja tietojärjestelmien turvallisuusdirektiivillä (NIS), jota parhaillaan ollaan EU:ssa uudistamassa. NIS-direktiivin velvoitteet ovat olleet osa kansallista lainsäädäntöä vuodesta 2018 asti, mutta aiheeseen liittyvää oikeustieteellistä tutkimusta ei ole aikaisemmin Suomessa julkaistu. Tutkielmassa oikeustieteen lainopillista tutkimusmetodia hyödyntäen tulkitaan ja systematisoidaan verkko- ja tietojärjestelmien turvallisuussääntelyä liikennejärjestelmässä raide-, tie- ja vesiliikenteen näkökulmista. Tutkimuksen tarkoituksena on oikeudellisesta näkökulmasta selventää, keitä sääntely koskee, mitä sääntelyn kohteena olevilta vaaditaan ja miten sääntelyn noudattamista valvotaan. Sääntelyn soveltamisalan osalta havaittiin sääntelyn koskevan vakiintunutta käytäntöä laajempaa joukkoa yhteiskunnan keskeisten palveluiden tarjo-ajia. Sääntelyn kohteena olevien keskeisten palveluiden tarjoajien riskienhallinta- ja ilmoittamisvelvollisuuden osalta luotiin sääntelyn sisältöä selkeyttäviä määritelmiä. Kuitenkaan määritelmillä ei pystytty täysin poistamaan sääntelyn jättämää tulkinnanvaraisuutta. Verkko- ja tietojärjestelmien turvallisuusvelvoitteiden noudattamista liikennejärjestelmässä valvoo Liikenne- ja viestintävirasto Traficom. Valvovan viranomaisen valvontavelvollisuuksissa tunnistettiin puute, joka voi heikentää raideliikenteen kyberturvallisuuden valvontaa sekä poiketa NIS-direktiivin vähimmäisvaatimuksista. Valvonnan toimivaltuuksissa havaittiin merkittäviä eroavaisuuksia eri liikennemuotojen välillä, vaikka kaikissa liikennöintimuodoissa on kyse samankaltaisten velvoitteiden noudattamisen valvonnasta. NIS-direktiivi velvoittaa jäsenvaltioita säätämään direktiivin nojalla annettujen kansallisten säännösten rikkomiseen sovellettavista seuraamuksista, mutta ainoastaan raideliikenteessä huomautuksesta ja varoituksesta seuraamuksena on säädetty. Kansallisessa lainsäädännössä Liikenne- ja viestintävirastolle on annettu määräystoimivaltaa. Vaikka määräystoimivalta ei kata kaikkia tutkielmassa tunnistettuja tulkinnanvaraisia tilanteita, tutkielmassa suositetaan määräystoimivallan hyödyntämistä ja esitetään mistä määräämällä sääntelyä voisi täsmentää.
...
Organizations as part of the critical infrastructure provide essential services for society. Continuity and security of these services are ensured by security of network and information systems directive (NIS), which is planned to be replaced in European Union by new directive on high common level of cybersecurity. Obligations stemming from NIS-directive have been part of Finland’s national legislation since 2018, but jurisprudential research has not been conducted before on this topic. Using legal dogmatic research method, the national network and information security legislation is interpreted and systematized de lege lata in transportation system (rail, road and maritime). The aim of the research is, from jurisprudential perspective, to clarify who are providers of essential services, what obligations these providers have and how the compliance of network and information security obligations are supervised. The study points out that national legislation obliges larger number of providers of essential services than what is previously understood. The study provides definitions, which clarify ambiguity of risk management and reporting obligations of providers of essential services. However, proposed definitions do not solve all ambiguities. The supervision of the compliance of network and information security obligations is tasked for the Finnish Transport and Communications Agency Traficom. The study identifies a shortcoming in Traficom’s supervision obligations, which might hinder the supervision of cybersecurity compliance in railway transportation and fall behind from obligations of the NIS-directive. Even though NIS-obligations are nearly identical in transport system, the study shows that competent authority’s powers and means to assess the compliance of NIS-obligations widely vary between transportation sectors. According to the directive, member states shall lay down the rules on penalties applicable to infringements of national provisions adopted pursuant to NIS-directive. However, only in railway transportation the competent authority may issue notifications and warnings as a penalty. The national legislation provides for Traficom the authority to issue regulations on cybersecurity requirements, but the competence does not cover all ambiguities identified in this study. Nevertheless, the study recommends to issue regulation and provides proposals what the regulation could cover.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29561]
Related items
Showing items with similar title or keywords.
-
Älykkäiden tieliikennejärjestelmien haasteet ja niiden ratkaiseminen
Heiskanen, Aleksi (2023)Liikenteellä on suuri merkitys lähes jokaisen ihmisen elämälle ympäri maailmaa. Sen sujuvoittamiseen kehitetään jatkuvasti uusia teknisiä ratkaisuja, joista yhtenä ajankohtaisimpana voidaan pitää erilaisten älykkäiden ... -
A practical approach to improve the statistical performance of surface water monitoring networks
Kotamäki, Niina; Järvinen, Marko; Kauppila, Pirkko; Korpinen, Samuli; Lensu, Anssi; Malve, Olli; Mitikka, Sari; Silander, Jari; Kettunen, Juhani (Springer Netherlands, 2019)The representativeness of aquatic ecosystem monitoring and the precision of the assessment results are of high importance when implementing the EU’s Water Framework Directive that aims to secure a good status of waterbodies ... -
Kirjanpitolain oikean ja riittävän kuvan lisämääreet : mitä oikea ja riittävä kuva, olennaisuus sekä toiminnan laatu ja laajuus tarkoittavat?
Pajunen, Kati; Rautiainen, Antti; Virtanen, Aila (Suomen asianajajaliitto, 2022)Vuonna 2016 voimaan tulleessa kirjanpitolain uudistuksessa oikeaa ja riittävää kuvaa koskeva lainkohta sai lisämääreikseen olennaisuuden sekä toiminnan laadun ja laajuuden. Analysoimme tässä artikkelissa sitä, mitä kyseiset ... -
Governance of organic cocoa production : An analysis of EU regulation through the framework of multilevel governance
Obeng, Godfred Adduow (Wiley, 2022)Motivation While organic agriculture is seen as the best way to achieve sustainable agriculture, the question of how actors in the sector can help remains unresolved. This article seeks to contribute to the global ... -
Impact of Cyber Security Operations on Hardware Requirements for Stable and Workable Industrial Environments
Simola, Jussi; Takala, Arttu; Lehkonen, Riku; Frantti, Tapio; Savola, Reijo (Academic Conferences International Ltd, 2024)Securing electricity distribution is one of the most important principles of the EU cyber security strategy. For example, European cyber security regulations, such as NIS2 (Network and Information Security Directive), CER ...