Lausunto
Poikkeusoloihin varautuminen EU:n digihankkeet finanssialalle Kyberturvallisuus ja tietosuoja DIGI- JA MAKSUPALVELUT

Lausunto luonnoksesta hallituksen esitykseksi NIS2-direktiivin täytäntöönpanemiseksi

LVM - liikenne- ja viestintäministeriö

 

  • Finanssialan toimijoita ei ehdoteta sisällytettävän kyberturvallisuuden riskienhallinnasta annetun lain soveltamisalaan. FA pitää ratkaisua johdonmukaisena, koska DORA-asetus on NIS2-direktiiviin nähden erityislaki, minkä lisäksi se asettaa finanssialan toimijoille NIS2-direktiivin velvoitteita pidemmälle meneviä velvoitteita kyberuhkiin varautumiseksi.
  • NIS2- ja CER-direktiivejä implementoitaessa ja niihin liittyviä tarkempia teknisiä määräyksiä laadittaessa tulee varmistaa, että annettava sääntely on yhteensopivaa ja oikeasuhtaista finanssialan toimijoihin ja palveluihin sovellettavan EU-oikeuden ja siihen nojautuvan kansallisen lainsäädännön kanssa.

  • Päällekkäisten velvoitteiden välttämiseksi tietoturvatapahtumien raportointia varten tulisi luoda keskitetty kanava, johon raportit ja ilmoitukset olisi aina mahdollista tehdä myös englanniksi.

VN/18157/2023

Liikenne- ja viestintäministeriö on pyytänyt Finanssiala ry:n (FA) lausuntoa luonnoksesta hallituksen esitykseksi NIS2-direktiivin täytäntöönpanemiseksi (HE-luonnos).

  1. HE-luonnoksessa finanssialan toimijoita ei ehdoteta sisällytettävän kyberturvallisuuden riskienhallinnasta annetun lain soveltamisalaan, sillä kyseisiin toimijoihin sovellettaisiin DORA-asetusta ja sitä täytäntöönpanevaa sääntelyä. FA pitää ratkaisua johdonmukaisena, koska DORA-asetus on NIS2-direktiiviin nähden erityislaki (lex specialis), minkä lisäksi se asettaa finanssialan toimijoille NIS2-direktiivin velvoitteita pidemmälle meneviä velvoitteita kyberuhkiin varautumiseksi.

  2. FA pitää välttämättömänä, että NIS2- ja CER-direktiivejä implementoitaessa ja niihin liittyviä tarkempia teknisiä määräyksiä laadittaessa varmistetaan, että annettava sääntely on yhteensopivaa ja oikeasuhtaista finanssialan toimijoihin ja niiden tarjoamiin palveluihin sovellettavan EU-oikeuden ja siihen nojautuvan kansallisen lainsäädännön kanssa.

  3. Konsernirakenteiden osalta tulisi säätää selkeästi vaatimuksista ja menettelytavoista esim. tilanteessa, jossa konsernin yhtiöistä vain osa kuluu NIS2-direktiivin soveltamisalaan. Jos tällainen konserni kuitenkin toimii yhteisen ICT-infrastruktuurin varassa, epäyhtenäiset kyberturvallisuusvaatimukset mahdollistavat mm. konsernin heikommin suojattujen yksiköiden hyödyntämisen hyökkäyskanavana konsernin vahvemmin suojattuja yksiköitä vastaan (ns. toimitusketjuhyökkäys).

  4. Johdon vastuuta koskevan 2 luvun 10 §:n osalta FA katsoo, että vastuu tulee rajata voimassa olevan lainsäädäntömme mukaisesti osakeyhtiön toimielimiin – hallitukseen, mahdolliseen hallintoneuvostoon ja toimitusjohtajaan. Vastuun ulottaminen toimitusjohtajan välittömässä alaisuudessa kuuluviin tehtäviin on yhtiöoikeudellemme vieras ja se tulisi poistaa lakiehdotuksesta.

  5. NIS2-direktiivin soveltamisalaan kuuluva tietoturvaloukkaus voi synnyttää useita päällekkäisiä raportointivelvoitteita sekä kansallisesti että muiden jäsenvaltioiden viranomaisille. Tarpeettomien taloudellisten ja hallinnollisten kustannusten välttämiseksi ja tietoturvaloukkausten tehokkaan selvittämisen ja hoitamisen varmistamiseksi FA pitää välttämättömänä, että raportointia varten luotaisiin keskitetty kanava. Käytännön syistä tulisi myös sallia se, että raportointi olisi aina mahdollista tehdä englanniksi.

FINANSSIALA RY

Taina Ahvenjärvi



FA_Lausunto_29112023_LVM_HE_luonnos_NIS2Lataa

Jäikö kysyttävää?

|

Ota yhteyttä aiheen asiantuntijaan

Infra ja turvallisuus

Mika Linna

Johtava asiantuntija

+358 20 793 4269
Rahanpesun, terrorismin rahoittamisen ja tietoverkkorikosten torjunta, kyberturvallisuus, finanssialan varautuminen