COM_2016_0363_FIN.FIN.xhtml.2_FI_ACT_part1

EUROOPAN KOMISSIO

Bryssel 30.5.2016

COM(2016) 363 final

2013/0027(COD)

KOMISSION TIEDONANTO
EUROOPAN PARLAMENTILLE

Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 6 kohdan mukaisesti

neuvoston vahvistamasta kannasta Euroopan parlamentin ja neuvoston direktiivin antamiseksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa

(ETA:n kannalta merkityksellinen teksti)

2013/0027 (COD)

KOMISSION TIEDONANTO
EUROOPAN PARLAMENTILLE

Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 6 kohdan mukaisesti

neuvoston vahvistamasta kannasta Euroopan parlamentin ja neuvoston direktiivin antamiseksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa

(ETA:n kannalta merkityksellinen teksti)

1.Tausta

Päivä, jona ehdotus on toimitettu Euroopan parlamentille ja neuvostolle (COM(2013) 48 final – 2013/0027 COD):	7.2.2013
Päivä, jona Euroopan talous- ja sosiaalikomitea on antanut lausuntonsa:	22.5.2013
Päivä, jona Euroopan parlamentti on vahvistanut ensimmäisen käsittelyn kantansa:	13.3.2014
Päivä, jona neuvoston kanta on vahvistettu:	17.5.2016

2.Komission ehdotuksen tavoite

Komission ehdotuksella ensiksikin velvoitettaisiin kaikki jäsenvaltiot varmistamaan kansallisten valmiuksien vähimmäistaso

nimeämällä toimivaltaiset viranomaiset verkko- ja tietoturvaa varten;

perustamalla tietoturvaloukkauksiin reagoivia ja niitä tutkivia yksiköitä (CSIRT-toimijat);

vahvistamalla kansalliset verkko- ja tietoturvastrategiat ja -yhteistyösuunnitelmat.

Toiseksi kansallisten toimivaltaisten viranomaisten olisi tehtävä yhteistyötä verkostossa, joka mahdollistaa toimien suojatun ja tehokkaan koordinoinnin muun muassa silloin, kun vaihdetaan tietoja tai havaitaan turvapoikkeamia ja reagoidaan niihin EU:n tasolla. Jäsenvaltioiden olisi tämän verkoston kautta vaihdettava tietoja ja tehtävä yhteistyötä verkko- ja tietoturvauhkien ja -poikkeamien torjumiseksi Euroopan verkko- ja tietoturvan yhteistyösuunnitelman mukaisesti. Jotta kaikki asianomaiset viranomaiset voisivat reagoida asianmukaisesti ja nopeasti, ehdotuksessa edellytetään myös, että lainvalvontaviranomaisille ilmoitetaan turvapoikkeamista, joihin liittyy rikollista toimintaa, ja että Europol on mukana EU:n laajuisissa koordinointijärjestelmissä.

Kolmanneksi ehdotuksella pyritään varmistamaan sähköisen viestinnän puitedirektiivin mallin pohjalta riskinhallintakulttuurin kehittyminen ja tiedonjako yksityisen ja julkisen sektorin välillä. Tietyillä kriittisillä aloilla toimivat yritykset ja julkishallinnon yksiköt velvoitetaan arvioimaan niihin kohdistuvat turvariskit ja toteuttamaan asianmukaisia ja oikeasuhteisia toimenpiteitä verkko- ja tietoturvan varmistamiseksi. Nämä tahot velvoitetaan raportoimaan toimivaltaisille viranomaisille kaikista turvapoikkeamista, jotka vaarantavat vakavasti niiden verkot ja tietojärjestelmät ja vaikuttavat merkittävästi kriittisten palvelujen ja hyödykkeiden toimitusten jatkuvuuteen.

3.Huomautukset neuvoston kannasta

Yleisesti tarkasteltuna neuvoston kannassa tuetaan komission ehdotuksen keskeisiä tavoitteita eli yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamista. Neuvosto on kuitenkin tehnyt joitakin muutoksia keinoihin, joilla tähän tavoitteeseen pyritään.

Kansalliset kyberturvallisuusvalmiudet

Neuvoston kannassa jäsenvaltiot velvoitetaan hyväksymään kansallinen verkko- ja tietoturvastrategia, jossa määritellään kyberturvallisuutta koskevat strategiset tavoitteet ja asianmukaiset toimintapoliittiset ja sääntelyyn liittyvät toimenpiteet. Jäsenvaltioiden on myös nimettävä kansalliset toimivaltaiset viranomaiset, joka vastaavat direktiivin täytäntöönpanosta ja noudattamisen valvonnasta, sekä tietoturvaloukkauksiin reagoivia ja niitä tutkivia yksiköitä (CSIRT-toimijat), jotka vastaavat turvapoikkeamiin ja -riskeihin liittyvistä toimista.

Vaikka neuvoston kannassa jäsenvaltioilta ei edellytetä kansallisia verkko- ja tietoturvan yhteistyösuunnitelmia kuten alkuperäisessä ehdotuksessa, kantaa voidaan puoltaa, sillä osa yhteistyösuunnitelmiin liittyvistä näkökohdista on sisällytetty verkko- ja tietoturvastrategiaa koskevaan kohtaan.

Jäsenvaltioiden välinen yhteistyö

Neuvoston kannan mukaan direktiivillä perustetaan ’yhteistyöryhmä’, joka muodostuu jäsenvaltioiden, komission ja Euroopan unionin verkko- ja tietoturvaviraston (ENISA) edustajista. Sen tehtävänä on tukea ja helpottaa jäsenvaltioiden välistä strategista yhteistyötä ja tiedonvaihtoa. Direktiivillä luodaan myös kansallisten CSIRT-toimijoiden verkosto, jonka tehtävänä on edistää kyberturvallisuuspoikkeamiin liittyvää nopeaa ja tehokasta operatiivista yhteistyötä ja jakaa tietoja riskeistä.

Vaikka neuvoston kanta poikkeaa huomattavasti alkuperäisestä ehdotuksesta, kantaa voidaan puoltaa, koska se vastaa yleistä tavoitetta parantaa jäsenvaltioiden välistä yhteistyötä.

Keskeisten palvelujen tarjoajia koskevat turvallisuus- ja ilmoitusvaatimukset

Neuvoston kannassa ’keskeisten palvelujen tarjoajat’ (vastaa alkuperäisen ehdotuksen käsitettä ’elintärkeiden infrastruktuurien ylläpitäjät’) velvoitetaan toteuttamaan asianmukaiset turvallisuustoimenpiteet ja ilmoittamaan vakavista turvapoikkeamista toimivaltaiselle kansalliselle viranomaiselle. Neuvosto ei kuitenkaan puolla sitä, että kansalliset toimivaltaiset viranomaiset velvoitettaisiin ilmoittamaan rikollisuuteen liittyvistä turvapoikkeamista lainvalvontaviranomaisille.

Alkuperäisen ehdotuksen mukaisesti neuvoston kanta koskee keskeisten palvelujen tarjoajia energia-, liikenne-, pankki-, finanssimarkkinainfrastruktuuri- ja terveydenhuoltoalalla. Uusina aloina kannassa on kuitenkin otettu mukaan veden toimittaminen ja jakelu sekä digitaalinen infrastruktuuri.

Jäsenvaltioiden on määritettävä tähän ryhmään kuuluvat palveluntarjoajat tiettyjen kriteerien perusteella, esimerkiksi arvioimalla, tarjoaako toimija yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeistä palvelua. Vaikka palveluntarjoajien määrittäminen ei sisältynyt alkuperäiseen ehdotukseen, se voidaan hyväksyä, sillä jäsenvaltiot velvoitetaan toimittamaan komissiolle tiedot, joiden perusteella se voi arvioida, määrittävätkö jäsenvaltiot keskeisten palvelujen tarjoajat yhdenmukaisesti.

Julkishallinnon yksiköt eivät lähtökohtaisesti sisälly neuvoston kantaan. Jos ne kuitenkin täyttävät 5 artiklassa säädetyt vaatimukset, jäsenvaltioiden on katsottava nekin keskeisten palvelujen tarjoajiksi, sillä keskeisten palvelujen tarjoajat voivat olla julkisia tai yksityisiä.

Digitaalisen palvelun tarjoajia koskevat turvallisuus- ja ilmoitusvaatimukset

Neuvoston kannan mukaan jäsenvaltioiden on varmistettava, että digitaalisen palvelun tarjoajat toteutettavat asianmukaisia turvatoimia ja ilmoittavat turvapoikkeamista toimivaltaiselle viranomaiselle. Kanta koskee verkossa toimivia markkinapaikkoja (vastaa alkuperäisen ehdotuksen käsitettä ’sähköisen kaupankäynnin alustat’), pilvipalveluja ja hakukoneita. Alkuperäiseen ehdotukseen verrattuna neuvoston kanta ei koske seuraavia:

internet-välitteiset maksupalvelut, joka kuuluvat nyt tarkistetun maksupalveludirektiivin soveltamisalaan;

sovelluskaupat, joita voidaan pitää yhtenä verkossa toimivan markkinapaikan muotona;

verkkoyhteisöpalvelut, jotka jätetään ulkopuolelle neuvoston ja Euroopan parlamentin poliittisen yhteisymmärryksen mukaisesti.

Neuvoston kannassa komissiolle on siirretty täytäntöönpanovaltaa, jonka nojalla se voi vahvistaa yhteistyöryhmän toimintaa varten tarvittavat menettelytapajärjestelyt ja täsmentää edelleen joitakin digitaalisen palvelun tarjoajia koskevia seikkoja, muun muassa tällaisia palveluntarjoajia koskeviin ilmoitusvaatimuksiin sovellettavat muotoseikat ja menettelyt.

Komissio hyväksyy nämä muutokset.

Euroopan parlamentti ja neuvosto pääsivät tekstistä alustavaan poliittiseen yhteisymmärrykseen 14. lokakuuta 2014, 11. marraskuuta 2014, 30. huhtikuuta 2015, 29. kesäkuuta 2015, 17. marraskuuta 2015 ja 7. joulukuuta 2015 käytyjen epävirallisten kolmikantakeskustelujen jälkeen.

Kyseinen poliittinen yhteisymmärrys vahvistettiin neuvostossa 18. joulukuuta 2015. Neuvosto vahvisti ensimmäisen käsittelyn kantansa 17. toukokuuta 2016.

4.Päätelmät

Komissio kannattaa toimielinten välisten neuvottelujen tuloksia ja voi näin ollen hyväksyä neuvoston ensimmäisen käsittelyn kannan.