Sähköverkkojen kyberturvallisuussääntely : kriittisten toimialojen varautuminen kyberuhkiin
Heliste, Lasse (2023-03-17)
Sähköverkkojen kyberturvallisuussääntely : kriittisten toimialojen varautuminen kyberuhkiin
(17.03.2023)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe2023041736997
https://urn.fi/URN:NBN:fi-fe2023041736997
Tiivistelmä
Sähköverkot ovat elintärkeitä koko yhteiskuntamme toiminnalle. Sähköverkonhaltijat nojaavat tänä päivänä toiminnassaan paljolti digitaalisiin tietojärjestelmiin ja viestintäverkkoihin, joten järjestelmien kyberturvallisuudesta huolehtiminen on tullut entistä tärkeämmäksi. Jokin vihamielinen taho voi pyrkiä esimerkiksi ujuttamaan haittaohjelman verkonhaltijan tietojärjestelmiin, ja sitä kautta lamauttamaan sähkönjakelun. Olisikin tärkeää, että lainsäädännöstämme löytyisivät asianmukaiset ja kattavat säännökset, joilla sähköverkonhaltijat velvoitettaisiin huolehtimaan organisaationsa kyberturvallisuudesta.
Tässä tutkielmassa kartoitetaan sähköverkonhaltijoiden kyberturvallisuussääntelyä, arvioidaan sen toimivuutta ja esitetään siihen parannuksia. Tutkimusmetodeina käytetään lainopillista tutkimusta sekä de lege ferenda -tyylistä pohdintaa. Tutkimuksessa kartoitetaan sähköverkonhaltijoiden kyberturvallisuuteen liittyvää velvoitesääntelyä sekä viranomais-, valvonta- ja sanktiosääntelyä. Lisäksi tutkielmassa käsitellään valikoivasti muiden kriittisten toimialojen vastaavaa sääntelyä ja verrataan tätä sähköverkkojen sääntelyyn. Lopuksi esitetään kehitysehdotuksia vallitsevaan oikeustilaan lainopillisen tutkimuksen, oikeuskirjallisuuden sekä viranomaislähteiden perusteella.
Tutkimuksessa esitetään, että nykyinen sähköverkkojen kyberturvallisuuteen liittyvä EU-tasoinen sekä kansallisen lain tasoinen sääntely on hyvin yleisluonteista, eikä siitä voida siksi johtaa konkreettisia ja tehokkaita riskienhallintavelvoitteita. Lisäksi tutkimuksessa tuodaan esille, että toisin kuin monilla muilla kriittisillä toimialoilla, Energiavirastolla alan valvovana viranomaisena ei ole tällä hetkellä oikeutta antaa kyberturvallisuusvelvoitteisiin liittyen lakia täsmentäviä määräyksiä.
Tutkielmassa tuodaan myös ilmi, että Energiaviraston toimivaltuudet, jotka liittyvät sähköverkonhaltijoiden kyberturvallisuusvelvoitteiden noudattamisen valvontaan, ovat nykyisellään jossain määrin epäselviä. Lisäksi velvoitteiden laiminlyömisestä seuraaviin sanktioihin liittyvä sääntely on puutteellista. Tutkielmassa argumentoidaan, että Suomi ei ole onnistunut implementoimaan kunnolla EU-sääntelystä johtuvia velvoitteita kaikille kriittisille toimialoille, kuten energiahuoltoon. Toisaalta joillakin toimialoilla, kuten digitaalisen infrastruktuurin alalla, finanssimarkkinoilla sekä terveydenhuollossa, vallitseva oikeustila vaikuttaa olevan selvästi parempi.
Tutkielmassa esitetään useita parannuksia sähköverkonhaltijoiden kyberturvallisuussääntelyyn. Parannusehdotukset koskevat esimerkiksi entistä kattavampia ja yksityiskohtaisempia riskienhallintavelvoitteita, toimijoiden velvollisuutta säännöllisten tietoturva-auditointien teettämiseen, velvollisuutta yleisesti tunnustettujen tietoturvasertifikaattien hankkimiseen, sekä selkeää velvoitetta dokumentoida kyberturvallisuuden hallintatoimenpiteet. Lisäksi esitetään, että Energiaviraston valvontatoimivaltuutta tulisi lainsäädännössä selkeyttää ja sille tulisi säätää valtuudet antaa lakia tarkentavia määräyksiä. Energiavirastolla tulisi myös olla mahdollisuus määrätä tehokkaita sanktioita, kuten hallinnollisia sakkoja sähköverkonhaltijoille, jotka ovat laiminlyöneet kyberturvallisuusriskien hallintaan liittyvät velvoitteensa.
Tässä tutkielmassa kartoitetaan sähköverkonhaltijoiden kyberturvallisuussääntelyä, arvioidaan sen toimivuutta ja esitetään siihen parannuksia. Tutkimusmetodeina käytetään lainopillista tutkimusta sekä de lege ferenda -tyylistä pohdintaa. Tutkimuksessa kartoitetaan sähköverkonhaltijoiden kyberturvallisuuteen liittyvää velvoitesääntelyä sekä viranomais-, valvonta- ja sanktiosääntelyä. Lisäksi tutkielmassa käsitellään valikoivasti muiden kriittisten toimialojen vastaavaa sääntelyä ja verrataan tätä sähköverkkojen sääntelyyn. Lopuksi esitetään kehitysehdotuksia vallitsevaan oikeustilaan lainopillisen tutkimuksen, oikeuskirjallisuuden sekä viranomaislähteiden perusteella.
Tutkimuksessa esitetään, että nykyinen sähköverkkojen kyberturvallisuuteen liittyvä EU-tasoinen sekä kansallisen lain tasoinen sääntely on hyvin yleisluonteista, eikä siitä voida siksi johtaa konkreettisia ja tehokkaita riskienhallintavelvoitteita. Lisäksi tutkimuksessa tuodaan esille, että toisin kuin monilla muilla kriittisillä toimialoilla, Energiavirastolla alan valvovana viranomaisena ei ole tällä hetkellä oikeutta antaa kyberturvallisuusvelvoitteisiin liittyen lakia täsmentäviä määräyksiä.
Tutkielmassa tuodaan myös ilmi, että Energiaviraston toimivaltuudet, jotka liittyvät sähköverkonhaltijoiden kyberturvallisuusvelvoitteiden noudattamisen valvontaan, ovat nykyisellään jossain määrin epäselviä. Lisäksi velvoitteiden laiminlyömisestä seuraaviin sanktioihin liittyvä sääntely on puutteellista. Tutkielmassa argumentoidaan, että Suomi ei ole onnistunut implementoimaan kunnolla EU-sääntelystä johtuvia velvoitteita kaikille kriittisille toimialoille, kuten energiahuoltoon. Toisaalta joillakin toimialoilla, kuten digitaalisen infrastruktuurin alalla, finanssimarkkinoilla sekä terveydenhuollossa, vallitseva oikeustila vaikuttaa olevan selvästi parempi.
Tutkielmassa esitetään useita parannuksia sähköverkonhaltijoiden kyberturvallisuussääntelyyn. Parannusehdotukset koskevat esimerkiksi entistä kattavampia ja yksityiskohtaisempia riskienhallintavelvoitteita, toimijoiden velvollisuutta säännöllisten tietoturva-auditointien teettämiseen, velvollisuutta yleisesti tunnustettujen tietoturvasertifikaattien hankkimiseen, sekä selkeää velvoitetta dokumentoida kyberturvallisuuden hallintatoimenpiteet. Lisäksi esitetään, että Energiaviraston valvontatoimivaltuutta tulisi lainsäädännössä selkeyttää ja sille tulisi säätää valtuudet antaa lakia tarkentavia määräyksiä. Energiavirastolla tulisi myös olla mahdollisuus määrätä tehokkaita sanktioita, kuten hallinnollisia sakkoja sähköverkonhaltijoille, jotka ovat laiminlyöneet kyberturvallisuusriskien hallintaan liittyvät velvoitteensa.