EU:ssa on paljon tekeillä kyberturvallisuuden hyväksi

Tässä luvussa esitellään neljä erilaista EU-tasolta suomalaisten kyberturvallisuuteen vaikuttavaa säännöstä. Ensimmäiset kaksi mainitaan vain lyhyesti, koska suora vaikutus opiskelijan arkeen ei ole niin suuri kuin muissa. Kolmas aihe (CRA) käsitellään tässä, mutta neljäs aihe on vasta johdanto seuraavan luvun GDPR-aiheeseen.

Tekoäly

EU:n tekoälyasetus (AI Act) astui voimaan 1.8.2024. Sen keskeiset velvoitteet tulevat voimaan vaiheittain vuosina 2025–2027. Tekoälyjärjestelmät luokitellaan riskitason mukaan. Vaatimuksia asetetaan läpinäkyvyydelle, turvallisuudelle, ihmisten valvonnalle ja datan hallinnalle. Tavoitteena on edistää luotettavaa ja ihmiskeskeistä tekoälyä, suojella perusoikeuksia ja samalla tukea innovointia ja sisämarkkinoiden toimivuutta. Opiskelijan arkeen tekoäly sinänsä tietysti vaikuttaa voimakkaasti, ja näitä asioita käsitellään toisessa luvussa.

Verkkoturva

EU:n verkko- ja tietoturvadirektiivi 2, NIS2 (Network and information security directive 2) astui voimaan 8.4.2025. Se asettaa turvallisuus- ja ilmoitusvaatimuksia yhteiskunnan toiminnan kannalta keskeisten palvelujen tarjoajille sekä digitaalisten palvelujen tarjoajille. Alkuperäinen NIS oli vuodelta 2016. Koska NIS2 on direktiivi, se on sovellettu Suomen lainsäädäntöön Kyberturvallisuuslaiksi.

Resilienssi

EU:n kyberkestävyyssäädös, CRA (Cyber Resilience Act) astui voimaan 10.12.2024, mutta siirtymäajan vuoksi sen keskeiset vaatimukset tulevat voimaan vasta joulukuussa 2027. Käytännössä organisaatioiden tulee jo nyt aloittaa valmistautuminen niihin.

CRA:n tavoite on, että digitaalisia elementtejä sisältävät tuotteet ovat turvallisia koko elinkaarensa ajan. CRA koskee laitteita, ohjelmistoja ja ohjelmistokomponentteja, jotka tuodaan EU:n markkinoille lainsäädännön voimaan astumisen jälkeen ja jotka kytketään tai voidaan kytkeä verkkoon. Kohdetuotteisiin on joitain poikkeuksia, kuten ohjelmistot ja laitteet, joihin kohdistuu vaatimuksia jo muusta lainsäädännöstä. Lisäksi avoimen lähdekoodin ohjelmistojen vaatimuksia on merkittävästi lievennetty.

CRA:ssa on vaatimusluokat:

• Luokittelematon (ei suurta riskiä)
• Luokka I, digitaalisia elementtejä sisältävät tärkeät tuotteet
• Luokka II, digitaalisia elementtejä sisältävät kriittiset tuotteet

Keskeisiä vaatimuksia tuotteiden valmistajille:

• Turvalliset oletusasetukset
• Automaattiset turvallisuuspäivitykset
• Luvattoman pääsyn estäminen
• Markkinoille saatettaessa ei saa olla tiedossa olevia haavoittuvuuksia
• Henkilötietojen salaus uusimman tekniikan mukaisesti
• Datan luottamuksellinen säilyttäminen ja datan minimointi
• Velvoite raportoida aktiivisesti hyödynnetyt haavoittuvuudet viranomaisille (ENISA ja Suomessa CERT-FI) sekä käyttäjille.
• Ennakkoilmoitus viranomaisille tulee tehdä ilman aiheetonta viivästystä 24 tunnin kuluessa sekä haavoittuvuutta koskevat ohjeet sisältävä ilmoitus 72 tunnin kuluessa siitä, kun tuotteen valmistaja on tullut tietoiseksi. Jollei tämä onnistu, on tehtävä poikkeamailmoitus.
  • Huom! Raportointivelvoite on voimassa jo 11.9.2026 alkaen ja koskee myös jo markkinoilla olevia tuotteita.
• Velvoite tarjota tuotetukea ja korjata havaitut haavoittuvuudet tuotteen elinkaaren ajan tai vähintään viisi vuotta. Tukiaika on merkittävä tuotteeseen.
• Tuotteelle myönnettävä CE-merkintä edellyttää CRA:n noudattamista.
• Laadittava ohjelmistojen materiaaliluettelo (SBOM, Software Bill of Materials). Materiaaliluettelo sisältää tärkeimmät ulkoiset ohjelmistokomponentit, niiden tiedot ja keskinäiset riippuvuudet.
• Tietoturvatestit ja arvioinnit

Velvoitteita on asetettu myös tuotteiden maahantuojille ja jakelijoille. Tällä pyritään varmistamaan, että tuotteissa on noudatettu CRA:ta. Lisäksi asetuksessa määritetään vaatimuksenmukaisuuden arviointilaitokset, niiden velvoitteet sekä vaatimus käyttää niitä.

Kuten usein EU-lainsäädännössä hallinnolliset sakot ovat merkittäviä, enimmillään 15 miljoonaa euroa tai 2,5 prosenttia liikevaihdosta.

Kysymys 1

Sekä NIS2:n että CRA:n yhtenä vaatimuksena on, että jonkun pitää ilmoittaa havaitsemistaan ongelmista. Tämä koskee

verkkopalvelun käyttäjää, kun hän huomaa että sivusto on hakkeroitu.

henkilötietoja kalastelevan viestin vastaanottajaa.

reitittimen valmistajaa, jolle asiakkaat ovat valittaneet etteivät he voi vaihtaa laitteen salasanaa toiseksi.

matkapuhelimen huoltohenkilöä, jolle asiakas tuo lunnashaittaohjelman lukitseman laitteen resetoitavaksi.

Yksityisyydestä yleisesti

Yksityisyyteen liittyvä EU-säännös on GDPR vuodelta 2016 ja sitä käsitellään laajasti seuraavassa luvussa. Tässä on johdantona yksityisyyden ja tietosuojan käsitteen määrittelyä.

Yksityisyyden käsitettä käytetään erittäin yleisesti mutta sen täsmällinen määrittely on silti hankalaa. Voihan sillä toki yksinkertaisesti tarkoittaa henkilön vapautta muiden sekaantumiselta henkilökohtaisiin asioihin tai “oikeutta olla omissa oloissaan”. Tällainen määrittely löytyy jo 1800-luvulta, mutta mitä on henkilökohtainen tai oma, ja voiko muilla kuitenkin olla joitain oikeuksia joissain tilanteissa? Kyberturvallisuudessa yksityisyys tarkoittaa ihmisen oikeutta tai käytännön mahdollisuutta määrätä itseään koskevan tiedon käytöstä.

Kyberturva-ammattilaisen työssä yksityisyys nousee useimmiten esille sähköisen valvonnan ja siihen liittyvän tutkinnan yhteydessä. Tämän alan sääntelyn voi odottaa edelleen kehittyvän nopeasti vasteena sille, että pilvipalvelut mahdollistavat kaiken aikaa uudenlaisia käyttötapauksia.

Menneisiin aikoihin verrattuna kansalaisen henkilöllisyys on nykyään erittäin monen tahon tiedossa - liittyneenä tyypillisesti johonkin aktiviteettiin, jonka yhteydessä tieto on tallentunut. Tietosuoja on sitä, ettei tietojen kerääjä saa käyttää niitä miten ja mihin tahansa. Riippumatta siitä koskeeko lainsäädäntö asiaa vai ei, seuraavassa on yhdenlainen jaottelu ihmistä itseään koskevasta tiedosta, joka voi päätyä jonkun muun haltuun. Vain pienen osan näistä kaikista pystyy kukaan muu yhdistämään kuin henkilö itse. Uhkia voi kuitenkin miettiä vaikkapa sitä kautta, mihin poliisi valtuuksineen pystyisi, jos tietoja pitäisi jostain syystä kaivaa esille. Esiin kaivaminen voi perustua myös liikenneanalyysiin ja päättelyyn metadatasta (ks. tästä luvusta), jota sekä tietoliikenne että muualla kuin omilla laitteilla tapahtuva tietojenkäsittely jättävät jälkeensä niin paljon että sitä kutsutaan big dataksi.

henkilön perustiedot: nimi, osoite, syntymäaika (+ henkilötunnus) ym.

liittyvät useimpiin muihin

+ biometrisia tietoja (mittoja, kuvaa, ääntä…)

ihmissuhteet

viralliset (sukulaiset, huoltajuudet…)

muut

omaisuus (kiinteä)

kulkuneuvot

asunnot, kiinteistöt

arvoesineet (takuiden, vakuutusten kautta)

terveystiedot

sairaudet, vammat

hoidot

geneettiset tiedot

osallistuminen tietoliikenteeseen

kirjeenvaihto

puhelut

selaus (osoitteet, hakusanat…)

verkkoyhteisöt

vertaisverkot

sijainti

kulloinenkin (kulunvalvonta, matkapuhelimet, valvontakamerat, liikennevalvonta, navigointi…)

matkustaminen (matkustajaluettelot, yöpymiset, rajanylitykset…)

toiminta yhteisöissä

koulutus, tutkinnot

työ, julkaisut

harrastukset, urheilutulokset

jäsenyydet

esiintymiset

media

lehtien ja muun median tilaus

tiedotusvälineiden seuraaminen

kirjastolainat

taloudelliset tiedot

ostoskäyttäytyminen, kanta-asiakkuudet

muun rahan kuin käteisen käyttö

velat, sijoitukset

verotustiedot

oikeusprosessit

rikokset ja rikkeet

kuulustelut, todistamiset

ym.

Käteinen raha on tunnetusti anonyymia. Tietoliikenne on yksi harvoja luettelon kohtia, joissa on mahdollisuuksia tekniseen anonymisointiin, ja raha-asioissa kryptovaluutat pyrkivät siihen.

Valitse yksi tai useampi vaihtoehto.

Kysymys 1

Valitse käsitteeseen ‘yksityisyys’ liittyvät kohdat.

Antaa poliisille valtuuksia

Mahdollisuus määrätä itseään koskevan tiedon käytöstä

Oikeus olla omissa oloissaan

Seuraus sähköisestä valvonnasta

Määrittää, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä

Kysymys 2

Valitse käsitteeseen ‘tietosuoja’ liittyvät kohdat.

Antaa poliisille valtuuksia

Mahdollisuus määrätä itseään koskevan tiedon käytöstä

Oikeus olla omissa oloissaan

Seuraus sähköisestä valvonnasta

Määrittää, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä

Palautusta lähetetään...