EU:ssa on paljon tekeillä kyberturvallisuuden hyväksi

Tässä luvussa esitellään neljä erilaista EU-tasolta suomalaisten kyberturvallisuuteen vaikuttavaa säännöstä. Toisin kuin muut, neljäs aihe on vasta johdanto seuraavan luvun GDPR-aiheeseen.

EU on lähtenyt siitä, että sääntelyn avulla voidaan määritellä kyberturvallisuutta. Voidaan ajatella, että EU on jopa ylisäännellyt, kun ymmärretään termin määritelmä: Ylisääntely tarkoittaa sääntelyä enemmän kuin keskimäärin. EU on usein ensimmäisenä säännellyt kyberturvallisuutta, mikä on sitten heijastunut lainsäädäntöön myös EU:n ulkopuolella. EU-lainsäädännöstä on tärkeä tuntea keskeiset kohdat, koska se vaikuttaa järjestelmien toteuttamiseen, käyttöön sekä ihmisten oikeuksiin.

Sääntelyasiaa on tässä luvussa paljon ja niin on jo tällä sivulla, josta ei kuitenkaan ole yhteenvetotehtävää. Siksi  - ja harjoituksen vuoksi - tämän sivun tehtävät on sijoitettu sivun loppuun.

Verkkoturva

EU:n verkko- ja tietoturvadirektiivi 2, NIS2 (Network and information security directive 2) astui voimaan 8.4.2025. Direktiivin tavoitteena on parantaa EU:n kyberturvallisuuden yleistä tasoa ja häiriönsietokykyä korvaamalla vanha NIS-direktiivi. Alkuperäinen NIS oli vuodelta 2016. NIS2 asettaa turvallisuus- ja ilmoitusvaatimuksia yhteiskunnan toiminnan kannalta keskeisten palvelujen tarjoajille sekä digitaalisten palvelujen tarjoajille.

Koska NIS2 on direktiivi, kukin EU:n jäsenvaltio on ottanut sen lainsäädäntöönsä. Suomen lainsäädäntöön se on sovellettu Kyberturvallisuuslaiksi. Uusi lainsäädäntö koskettaa aiempaa laajemmin yhteiskunnan kannalta kriittiseksi luokiteltuja toimialoja. Näitä aloja ovat:

• Energia, terveydenhuolto, liikenne, juomavesi, jätevesi, avaruus ja finanssi sekä niiden infrastruktuuri
• Julkishallinto, ICT-toimijat (tietoturva- ja hallintapalvelut) sekä digitaalinen infrastruktuuri
• Elintarvikeala, jätehuolto, posti- ja kuriiripalvelut
• Valmistava teollisuus (muun muassa lääkintälaitteet ja kemikaaliala)
• Digitaaliset palvelut (markkinapaikat, hakukoneet) ja tutkimustoiminta
• Terveydenhuollon tarjoajat, EU-vertailulaboratoriot, lääkkeiden tutkimus ja kehitys sekä lääkeaineiden valmistajat
• Kriittisten lääkinnällisten laitteiden valmistajat kansanterveysuhkatilanteissa.

Kyberkestävyyssäädös

Tuotteiden ja ohjelmistojen laadun parantamiseksi EU on laatinut kyberkestävyyssäädöksen (Cyber Resilience Act, CRA) Se on jo hyväksytty, mutta siirtymäajan vuoksi se astuu voimaan vasta joulukuussa 2027. Käytännössä organisaatioiden tulee jo nyt aloittaa valmistautuminen CRA:n vaatimuksiin.

CRA koskee laitteita, ohjelmistoja ja ohjelmistokomponentteja, jotka tuodaan EU:n markkinoille lainsäädännön voimaan astumisen jälkeen ja jotka kytketään tai voidaan kytkeä verkkoon. Lainsäädännössä käytetään termiä ”digitaalisia elementtejä sisältävä tuote”. Tästä on joitain poikkeuksia, kuten ohjelmistot ja laitteet, joihin kohdistuu jo muusta lainsäädännöstä vaatimuksia. Lisäksi avoimen lähdekoodin ohjelmistoihin kohdistuvia vaatimuksia on merkittävästi lievennetty.

CRA:ssa on myös vaatimusluokat:

• Luokittelematon (ei suurta riskiä)
• Luokka I, digitaalisia elementtejä sisältävät tärkeät tuotteet
• Luokka II, digitaalisia elementtejä sisältävät kriittiset tuotteet

Keskeisiä vaatimuksia tuotteiden valmistajille:

• Turvalliset oletusasetukset
• Automaattiset turvallisuuspäivitykset
• Luvattoman pääsyn estäminen
• Markkinoille saatettaessa ei saa olla tiedossa olevia haavoittuvuuksia
• Henkilötietojen salaus uusimman tekniikan mukaisesti
• Datan luottamuksellinen säilyttäminen ja datan minimointi
• Velvoite raportoida aktiivisesti hyödynnetyt haavoittuvuudet viranomaisille (ENISA ja Suomessa CERT-FI) sekä käyttäjille. Ennakkoilmoitus viranomaisille tulee tehdä ilman aiheetonta viivästystä 24 tunnin kuluessa sekä haavoittuvuutta koskevat ohjeet sisältävä ilmoitus 72 tunnin kuluessa siitä, kun tuotteen valmistaja on tullut tietoiseksi. Jollei tämä onnistu, on tehtävä poikkeamailmoitus.
  • Huom! Raportointivelvoite on voimassa jo 11.9.2026 alkaen ja koskee myös jo markkinoilla olevia tuotteita.
• Velvoite tarjota tuotetukea ja korjata havaitut haavoittuvuudet tuotteen elinkaaren ajan tai vähintään viisi vuotta. Tukiaika on merkittävä tuotteeseen.
• Tuotteelle myönnettävä CE-merkintä edellyttää CRA:n noudattamista.
• Laadittava ohjelmistojen materiaaliluettelo (SBOM, Software Bill of Materials). Materiaaliluettelo sisältää tärkeimmät ulkoiset ohjelmistokomponentit, niiden tiedot ja keskinäiset riippuvuudet.
• Tietoturvatestit ja arvioinnit

Velvoitteita on asetettu myös tuotteiden maahantuojille ja jakelijoille. Tällä pyritään varmistamaan, että tuotteissa on noudatettu CRA:ta. Lisäksi asetuksessa määritetään vaatimuksenmukaisuuden arviointilaitokset, niiden velvoitteet ja velvoitteet käyttää niitä.

Kuten monessa muussakin EU-lainsäädännössä hallinnolliset sakot ovat merkittäviä, enimmillään 15 miljoonaa euroa tai 2,5 prosenttia liikevaihdosta.

Tekoäly

EU:n tekoälyasetus (Artificial Intelligence Act) astui voimaan 1.8.2024. Tosin lainsäädännön soveltaminen on porrastettu, voit katsoa tarkemmin tästä linkistä

Tekoälyasetus sääntelee tekoälyn markkinoille saattamista, käyttöönottoa ja käyttöä neljällä eri riskiluokalla: kielletyt, suuririskiset, pieniriskiset ja minimaalinen riski.

Tekoälyasetus ei koske seuraaviin tarkoituksiin kehitettyjä tekoälyjärjestelmiä:

• yksinomaan tieteellinen tutkimus ja kehittäminen
• yksinomaan sotilaalliset, puolustuksen tai kansallisen turvallisuuden tarkoituksiin kehitetyt
• vapaaseen ja avoimeen lähdekoodiin perustuvat tekoälyjärjestelmät, paitsi jos ne saatetaan markkinoille tai otetaan käyttöön suuririskisinä tekoälyjärjestelminä.

Lisää poikkeuksia ja tarkennuksia löytyy lakitekstistä.

Traficomin tekemän yhteenvedon mukaan kiellettyjä tekoälyn käyttötarkoituksia ovat mm.

• manipuloivat tai harhaanjohtavat tekniikat
• tekniikat, jotka hyödyntävät ihmisten haavoittuvuuksia, olennaisesti vääristävät käyttäytymistä ja aiheuttavat merkittävää vahinkoa
• sosiaalinen pisteytys tietyissä käyttötapauksissa
• rikollisuuden ennustaminen profiloinnin perusteella
• verkon tai turvakameroiden tietojen kaapiminen kasvojentunnistustietokantojen luomiseksi
• tunteiden päättely työpaikoilla tai kouluissa
• ihmisten biometrinen luokittelu rodun, poliittisen mielipiteen, ammattiliiton jäsenyyden, uskonnollisten tai poliittisten vakaumusten, seksuaalielämän tai seksuaalisen suuntautumisen päättelemiseksi.

Suuririskisillä järjestelmillä voi olla haitallinen vaikutus ihmisten terveyteen, turvallisuuteen tai perusoikeuksiin. Asetuksen liitteessä III on tuotu esiin suuririskisiä tekoälyn käyttökohteita:

• Biometriset tunnisteet, ei kuitenkaan silloin, kun ainoana tarkoituksena on vahvistaa, että tietty luonnollinen henkilö on se henkilö, joka hän väittää olevansa
• Kriittinen infrastruktuuri
• Yleissivistävä ja ammatillinen koulutus: henkilöiden tai heidän suoritustensa arviointi, kielletyn toiminnan tunnistaminen
• Työllistäminen, henkilöstöhallinto ja itsenäisen ammatinharjoittamisen mahdollistaminen: rekrytointi, henkilöiden tai heidän suoritteidensa arviointi
• Välttämättömien yksityisten palvelujen ja välttämättömien julkisten palvelujen ja etuuksien saatavuus ja käyttö
• Lainvalvonta
• Muuttoliikkeen hallinta, turvapaikka-asiat ja rajavalvonta
• Oikeudenhoito ja demokraattiset prosessit

Järjestelmä ei ole kuitenkaan suuririskinen silloin, kun tekoälyä käytetään vain suppeaan menettelylliseen tehtävään (esim. datan jäsentäminen) eikä sillä ole olennaista merkitystä päätöksenteossa muuten kuin parantamalla aiemmin päätökseen saatetun ihmisen toiminnan tulosta.

Suuririskisiltä tekoälyjärjestelmiltä edellytetään mm.

• dokumentaatio ja sen säilyttäminen viranomaisten saatavilla
• riskinhallintajärjestelmä
• testaus ja auditointi
• lokitiedot
• käyttöohjeet
• toiminnan avoimuus: Tästä on erillinen liite, joka määrittää mitä tietoja tulee ilmoittaa.
• ihmisen tekemä valvonta
• tulosten vinoutumisen välttäminen
• ulkopuoliselta vaikuttamiselta ja haavoittuvuuksilta suojautuminen
• rekisteröinti
• CE-merkintä
• koulutusprosessi
• esteettömyysvaatimukset
• laadunhallintajärjestelmä
• kaikista vakavista vaaratilanteista ilmoittaminen
• vaatimuksenmukaisuusvakuutuksen laatiminen

Asetuksessa säädetään yleiskäyttöisistä tekoälymalleista eli sellaisista, jotka pystyvät suorittamaan pätevästi monenlaisia erillisiä tehtäviä. Näiden tarjoajilta edellytetään:

• Teknisen dokumentaation laatiminen sisältäen mm. koulutus- ja testausprosessin
• Tekijänoikeuspolitiikan toteuttaminen
• Julkinen yhteenveto mallin koulutussisällöstä

Asetus luokittelee yleiskäyttöiset tekoälymallit sellaisiksi, joihin liittyy ”systeeminen riski”, jos koulutukseen käytetyn laskennan kumulatiivinen määrä on suurempi kuin 10^25. Lisäksi Euroopan komissio voi asetuksessa määritellyin edellytyksin päättää, että tekoälymalliin liittyy systeeminen riski.

Systeemisen riskin tekoälymalleilta edellytetään:

• Ilmoitus komissiolle
• Riskien arviointi ja lieventäminen
• Poikkeamien ilmoittaminen
• Kyberturvallisuuden suojaukset

Kaikilta tekoälyjärjestelmiltä edellytetään, että valvontaviranomaisella on pääsy tarvittaessa lähdekoodiin asetuksessa tarkemmin määritetyin edellytyksin.

Yksityisyydestä yleisesti

Yksityisyyteen liittyvä EU-säännös on GDPR vuodelta 2016 ja sitä käsitellään laajasti seuraavassa luvussa. Tässä on johdantona yksityisyyden ja tietosuojan käsitteen määrittelyä.

Yksityisyyden käsitettä käytetään erittäin yleisesti mutta sen täsmällinen määrittely on silti hankalaa. Voihan sillä toki yksinkertaisesti tarkoittaa henkilön vapautta muiden sekaantumiselta henkilökohtaisiin asioihin tai “oikeutta olla omissa oloissaan”. Tällainen määrittely löytyy jo 1800-luvulta, mutta mitä on henkilökohtainen tai oma, ja voiko muilla kuitenkin olla joitain oikeuksia joissain tilanteissa? Kyberturvallisuudessa yksityisyys tarkoittaa ihmisen oikeutta tai käytännön mahdollisuutta määrätä itseään koskevan tiedon käytöstä.

Kyberturva-ammattilaisen työssä yksityisyys nousee useimmiten esille sähköisen valvonnan ja siihen liittyvän tutkinnan yhteydessä. Tämän alan sääntelyn voi odottaa edelleen kehittyvän nopeasti vasteena sille, että pilvipalvelut mahdollistavat kaiken aikaa uudenlaisia käyttötapauksia.

Menneisiin aikoihin verrattuna kansalaisen henkilöllisyys on nykyään erittäin monen tahon tiedossa - liittyneenä tyypillisesti johonkin aktiviteettiin, jonka yhteydessä tieto on tallentunut. Tietosuoja on sitä, ettei tietojen kerääjä saa käyttää niitä miten ja mihin tahansa. Riippumatta siitä koskeeko lainsäädäntö asiaa vai ei, seuraavassa on yhdenlainen jaottelu ihmistä itseään koskevasta tiedosta, joka voi päätyä jonkun muun haltuun. Vain pienen osan näistä kaikista pystyy kukaan muu yhdistämään kuin henkilö itse. Uhkia voi kuitenkin miettiä vaikkapa sitä kautta, mihin poliisi valtuuksineen pystyisi, jos tietoja pitäisi jostain syystä kaivaa esille. Esiin kaivaminen voi perustua myös liikenneanalyysiin ja päättelyyn metadatasta (ks. tästä luvusta), jota sekä tietoliikenne että muualla kuin omilla laitteilla tapahtuva tietojenkäsittely jättävät jälkeensä niin paljon että sitä kutsutaan big dataksi.

henkilön perustiedot: nimi, osoite, syntymäaika (+ henkilötunnus) ym.

liittyvät useimpiin muihin

+ biometrisia tietoja (mittoja, kuvaa, ääntä…)

ihmissuhteet

viralliset (sukulaiset, huoltajuudet…)

muut

omaisuus (kiinteä)

kulkuneuvot

asunnot, kiinteistöt

arvoesineet (takuiden, vakuutusten kautta)

terveystiedot

sairaudet, vammat

hoidot

geneettiset tiedot

osallistuminen tietoliikenteeseen

kirjeenvaihto

puhelut

selaus (osoitteet, hakusanat…)

verkkoyhteisöt

vertaisverkot

sijainti

kulloinenkin (kulunvalvonta, matkapuhelimet, valvontakamerat, liikennevalvonta, navigointi…)

matkustaminen (matkustajaluettelot, yöpymiset, rajanylitykset…)

toiminta yhteisöissä

koulutus, tutkinnot

työ, julkaisut

harrastukset, urheilutulokset

jäsenyydet

esiintymiset

media

lehtien ja muun median tilaus

tiedotusvälineiden seuraaminen

kirjastolainat

taloudelliset tiedot

ostoskäyttäytyminen, kanta-asiakkuudet

muun rahan kuin käteisen käyttö

velat, sijoitukset

verotustiedot

oikeusprosessit

rikokset ja rikkeet

kuulustelut, todistamiset

ym.

Käteinen raha on tunnetusti anonyymia. Tietoliikenne on yksi harvoja luettelon kohtia, joissa on mahdollisuuksia tekniseen anonymisointiin, ja raha-asioissa kryptovaluutat pyrkivät siihen.

Kysymys 1

Valitse oikeat vaihtoehdot:

Yleiskäyttöiset tekoälymallit ovat aina systeemisen riskin tekoälymalleja.

Suurriskisiltä järjestelmiltä vaaditaan mm. dokumentaatio, riskinhallinta, testaus, auditointi, CE-merkintä ja ihmisen valvonta.

Valvontaviranomaisilla ei ole oikeutta päästä tekoälymallin lähdekoodiin.

Tekoälyasetus koskee myös avoimen lähdekoodin järjestelmiä riippumatta niiden käyttötarkoituksesta.

Kysymys 1

Sekä NIS2:n että CRA:n yhtenä vaatimuksena on, että jonkun pitää ilmoittaa havaitsemistaan ongelmista. Tämä koskee

verkkopalvelun käyttäjää, kun hän huomaa että sivusto on hakkeroitu.

henkilötietoja kalastelevan viestin vastaanottajaa.

reitittimen valmistajaa, jolle asiakkaat ovat valittaneet etteivät he voi vaihtaa laitteen salasanaa toiseksi.

matkapuhelimen huoltohenkilöä, jolle asiakas tuo lunnashaittaohjelman lukitseman laitteen resetoitavaksi.

Valitse yksi tai useampi vaihtoehto.

Kysymys 1

Valitse käsitteeseen ‘yksityisyys’ liittyvät kohdat.

Antaa poliisille valtuuksia

Mahdollisuus määrätä itseään koskevan tiedon käytöstä

Oikeus olla omissa oloissaan

Seuraus sähköisestä valvonnasta

Määrittää, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä

Kysymys 2

Valitse käsitteeseen ‘tietosuoja’ liittyvät kohdat.

Antaa poliisille valtuuksia

Mahdollisuus määrätä itseään koskevan tiedon käytöstä

Oikeus olla omissa oloissaan

Seuraus sähköisestä valvonnasta

Määrittää, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä

Kysymys 1

NIS2 näyttää koskevan todella monia tahoja, jotka ovat jonkinlaisen infrastruktuurin kanssa tekemisissä. Tässä olevan lyhyen esittelyn mukaisesti se koskee seuraavista vain yhtä. Mitä?

Ultraäänitutkimuslaitteiden valmistaja.

Valokuitukaapelien valmistaja.

Viemäriputkien maahantuoja

Sähköasennusliike.

Palautusta lähetetään...