KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA TIIVISTELMÄ VAIKUTUSTEN ARVIOINNISTA. Oheisasiakirja

Samankaltaiset tiedostot
5581/16 ADD 1 team/sl/si 1 DGE 2B

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI. toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa

Euroopan unionin neuvosto Bryssel, 4. toukokuuta 2017 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Ulkoasiainvaliokunta LAUSUNTOLUONNOS. kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalle

Ehdotus: NEUVOSTON PÄÄTÖS,

TARKISTUKSET FI Moninaisuudessaan yhtenäinen FI 2013/0027(COD) Lausuntoluonnos Ana Gomes (PE v02-00)

Euroopan unionin neuvosto Bryssel, 24. maaliskuuta 2017 (OR. en)

Euroopan unionin neuvosto Bryssel, 27. toukokuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Euroopan unionin neuvosto Bryssel, 1. kesäkuuta 2017 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Euroopan unionin neuvosto Bryssel, 16. helmikuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

KANSALLISEN PARLAMENTIN PERUSTELTU LAUSUNTO TOISSIJAISUUSPERIAATTEESTA

Ehdotus NEUVOSTON DIREKTIIVI

KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA TIIVISTELMÄ VAIKUTUSTEN ARVIOINNISTA. Oheisasiakirja

LIITE KOMISSION TIEDONANTOON EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE

Ehdotus NEUVOSTON ASETUS

9645/17 team/tih/km 1 DG E 1A

Ehdotus NEUVOSTON PÄÄTÖS. Euroopan unionin ja Perun tasavallan välisen tiettyjä lentoliikenteen näkökohtia koskevan sopimuksen tekemisestä

Ehdotus NEUVOSTON PÄÄTÖS

Euroopan unionin neuvosto Bryssel, 30. toukokuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON DIREKTIIVI. direktiivien 2006/112/EY ja 2008/118/EY muuttamisesta Ranskan syrjäisempien alueiden ja erityisesti Mayotten osalta

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON PÄÄTÖS

Toimintasuunnitelma annettiin 18. lokakuuta 2017 samalla kun komissio julkaisi 11. täytäntöönpanoraportin turvallisuusunionista,

Euroopan unionin neuvosto Bryssel, 2. tammikuuta 2017 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

Arvonlisäverotuksen uudenaikaistaminen rajat ylittävässä sähköisessä kuluttajakaupassa. Ehdotus NEUVOSTON TÄYTÄNTÖÖNPANOASETUS

Euroopan unionin neuvosto Bryssel, 2. kesäkuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

B8-0311/2014 } B8-0312/2014 } B8-0313/2014 } B8-0315/2014 } B8-0316/2014 } RC1/Am. 4

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

Ehdotus NEUVOSTON PÄÄTÖS

KANSALLISEN PARLAMENTIN PERUSTELTU LAUSUNTO TOISSIJAISUUSPERIAATTEESTA

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

Ehdotus NEUVOSTON PÄÄTÖS

KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA TIIVISTELMÄ VAIKUTUSTEN ARVIOINNISTA. Oheisasiakirja

FI Moninaisuudessaan yhtenäinen FI A8-0278/2. Tarkistus. Christel Schaldemose ja muita

Ehdotus NEUVOSTON PÄÄTÖS

Euroopan unionin neuvosto Bryssel, 21. helmikuuta 2017 (OR. en)

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS. jäsenvaltioiden työllisyyspolitiikan suuntaviivoista

Ehdotus NEUVOSTON PÄÄTÖS. ehdotuksesta energiayhteisön luettelon vahvistamiseksi energiainfrastruktuurihankkeista

15216/17 paf/js/jk 1 DG D 1 A

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS

16111/09 tt,vp/rr,vp/sk 1 DG C 1A

Euroopan unionin neuvosto Bryssel, 7. kesäkuuta 2019 (OR. en)

Euroopan unionin neuvosto Bryssel, 9. marraskuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

Euroopan unionin neuvosto Bryssel, 28. lokakuuta 2014 (OR. en) Euroopan komission pääsihteerin puolesta Jordi AYET PUIGARNAU, johtaja

LIITE. Digitaalisten sisämarkkinoiden strategian täytäntöönpano. asiakirjaan

Euroopan unionin neuvosto Bryssel, 13. syyskuuta 2017 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

6068/16 team/hkd/vb 1 DGG 1B

Ohjeet. keskusvastapuolten ja kauppapaikkojen tapahtumasyötteiden antamisesta arvopaperikeskusten saataville 08/06/2017 ESMA FI

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) /, annettu ,

Oikeudellisten asioiden valiokunta LAUSUNTOLUONNOS. sisämarkkina- ja kuluttajansuojavaliokunnalle

Ehdotus NEUVOSTON TÄYTÄNTÖÖNPANOASETUS

KOMISSION DIREKTIIVI (EU) /, annettu ,

Euroopan unionin neuvosto Bryssel, 29. kesäkuuta 2017 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA TIIVISTELMÄ VAIKUTUSTEN ARVIOINNISTA. Oheisasiakirja

Euroopan unionin neuvosto Bryssel, 12. huhtikuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

Ehdotus NEUVOSTON PÄÄTÖS. ETA:n sekakomiteassa Euroopan unionin puolesta otettavasta kannasta ETAsopimuksen liitteen XIII (Liikenne) muuttamiseen

TARKISTUKSET FI Moninaisuudessaan yhtenäinen FI 2013/2130(INI) Lausuntoluonnos Nuno Melo. PE v01-00

Euroopan unionin neuvosto Bryssel, 25. huhtikuuta 2017 (OR. en)

Euroopan unionin neuvosto Bryssel, 14. syyskuuta 2017 (OR. fi) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Ehdotus NEUVOSTON LAUSUNTO. SLOVENIAn talouskumppanuusohjelmasta

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE, NEUVOSTOLLE JA EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE

KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA TIIVISTELMÄ VAIKUTUSTEN ARVIOINNISTA. Oheisasiakirja

LIITTEET. asiakirjaan. Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS

KANSALLISEN PARLAMENTIN PERUSTELTU LAUSUNTO TOISSIJAISUUSPERIAATTEESTA

EUROOPAN PARLAMENTTI

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS

Euroopan unionin neuvosto Bryssel, 14. elokuuta 2017 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 20. toukokuuta 2009 (29.05) (OR. en) 10140/09 CRIMORG 81 ENFOPOL 142 TRANS 211

Direktiivin 98/34/EY ja vastavuoroista tunnustamista koskevan asetuksen välinen suhde

EUROOPAN KESKUSPANKKI

Ehdotus NEUVOSTON PÄÄTÖS

LAUSUNTOLUONNOS. FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti 2015/0068(CNS) oikeudellisten asioiden valiokunnalta

TARKISTUKSET FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti Lausuntoluonnos Daniel Dalton (PE602.

LAUSUNTOLUONNOS. FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti 2015/0310(COD) kalatalousvaliokunnalta

Ehdotus NEUVOSTON PÄÄTÖS

14894/16 team/msu/ts 1 DGD 1C

Euroopan unionin neuvosto Bryssel, 8. toukokuuta 2018 (OR. en) Euroopan komission pääsihteerin puolesta Jordi AYET PUIGARNAU, johtaja

Suurelle valiokunnalle

Euroopan unionin neuvosto Bryssel, 15. heinäkuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Euroopan unionin neuvosto Bryssel, 11. heinäkuuta 2017 (OR. en)

LIITTEET. ehdotukseen. Euroopan parlamentin ja neuvoston direktiivi. julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä (uudelleenlaadittu)

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Kulttuuri- ja koulutusvaliokunta LAUSUNTOLUONNOS. teollisuus-, tutkimus- ja energiavaliokunnalle

EUROOPAN PARLAMENTTI

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS. ETA:n sekakomiteassa Euroopan unionin puolesta esitettävästä kannasta ETAsopimuksen liitteen XX (Ympäristö) muuttamiseen

Transkriptio:

EUROOPAN KOMISSIO Bryssel 7.2.2013 SWD(2013) 31 final KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA TIIVISTELMÄ VAIKUTUSTEN ARVIOINNISTA Oheisasiakirja ehdotukseen Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa {COM(2013) 48 final} {SWD(2013) 32 final} FI FI

KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA TIIVISTELMÄ VAIKUTUSTEN ARVIOINNISTA Oheisasiakirja ehdotukseen Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa 1. SOVELTAMISALA Tässä vaikutusarvioinnissa tarkastellaan toimintavaihtoehtoja, joilla voidaan parantaa internetin ja muiden sellaisten verkkojen ja tietojärjestelmien turvallisuutta, jotka muodostavat perustan yhteiskunnan toimintaa tukeville palveluille (esim. julkishallinnossa, rahoitus- ja pankkialalla, energia- ja liikenneverkoissa ja terveydenhuollossa) ja tietyille keskeisiä talouden ja yhteiskunnan prosesseja tukeville internet-palveluille (esim. sähköisen kaupankäynnin alustat ja sosiaaliset verkot). Tätä kutsutaan yleisesti verkko- ja tietoturvaksi. 2. POLIITTINEN TAUSTA Komissio nosti verkko- ja tietoturvan kasvavan merkityksen taloudelle ja yhteiskunnalle ensimmäistä kertaa esiin vuonna 2001. Varmistaakseen verkko- ja tietoturvan korkean ja toimivan tason EU:ssa Euroopan yhteisö päätti vuonna 2004 perustaa Euroopan verkko- ja tietoturvaviraston (ENISA). Euroopan unionin verkko- ja tietoturva-asioissa toistaiseksi omaksuma lähestymistapa on koostunut pääasiassa toimintasuunnitelmista ja strategioista, joissa jäsenvaltioita kehotetaan lisäämään verkko- ja tietoturvavalmiuksia sekä yhteistyötä valtioiden rajat ylittävien verkko- ja tietoturvaongelmien ratkaisemiseksi. Sidosryhmiä on kuultu aloitteen eri näkökohdista (ongelman määrittely ja vaihtoehdot nykyisten puutteiden korjaamiseksi) verkko- ja tietoturvan parantamisesta 23. heinäkuuta 15. lokakuuta 2012 järjestetyssä julkisessa verkkokuulemisessa, jossa komissio sai 169 kannanottoa verkkosivun kautta ja 10 kirjallisesti, keskusteluissa, joita on käyty jäsenvaltioiden kanssa Euroopan jäsenvaltiofoorumilla (EFMS), kahdenvälisissä tapaamisissa sekä komission ja Euroopan ulkosuhdehallinnon 6.7.2012 järjestämän EU:n kyberturvallisuuskonferenssin yhteydessä, keskusteluissa, joita on käyty yksityissektorin yritysten ja järjestöjen kanssa järjestelmien sietokyvyn parantamiseen tähtäävän eurooppalaisen julkis-yksityisen kumppanuuden (EP3R) yhteydessä ja kahdenvälisissä tapaamisissa, ENISAn ja CERT-EU:n kanssa käydyissä keskusteluissa ja vuoden 2012 digitaalistrategian yleiskokouksen yhteydessä käydyissä keskusteluissa. 3. ONGELMAN KUVAUS 3.1. Ongelman määrittely Ongelma voidaan kuvata siten, että yleisesti ottaen verkko- ja tietoturvapoikkeamilta, -riskeiltä ja -uhilta suojautuminen on EU:ssa riittämättömällä tasolla, mikä vaarantaa sisämarkkinoiden moitteettoman toiminnan. FI 2 FI

Koska verkot ja tietojärjestelmät ovat yhteenliitettyjä ja internet on luonteeltaan globaali, monet verkko- ja tietoturvapoikkeamat ylittävät kansalliset rajat ja vaarantavat sisämarkkinoiden toiminnan. Rajatylittävät palvelut voivat lakata toimimasta, keskeytyä tai katketa turvaloukkausten vuoksi. Näin kävi esimerkiksi ebay- tai PayPal-palveluihin kohdistuneiden hyökkäysten yhteydessä. Tarve toimia nopeasti ongelmien ratkaisemiseksi ja tiedon jakamiseksi merkittävästä turvapoikkeamasta tuli korostetusti esiin hollantilaiseen varmennepalveluja tarjonneeseen DigiNotar-yritykseen kohdistuneiden hyökkäysten tapauksessa. Tapahtuneiden turvapoikkeamien johdosta jäsenvaltiot ovat alkaneet ottaa käyttöön omaa lainsäädäntöä. Koordinoimattomat sääntelylliset toimenpiteet voivat kuitenkin johtaa hajanaisuuteen ja synnyttää sisämarkkinoille esteitä, mikä lisää säännösten noudattamisesta aiheutuvia kustannuksia sellaisille yrityksille, jotka toimivat useammassa kuin yhdessä jäsenvaltiossa. Ongelma koskee kaikkia yhteiskunnan ja talouden osia (hallintoa, yritystoimintaa ja kuluttajia). Erityisesti on pantava merkille, että monet sektorit tarjoavat keskeisiä tukipalveluja taloudelle ja yhteiskunnalle, minkä vuoksi niiden järjestelmien turvallisuudella on erityinen merkitys sisämarkkinoiden toiminnan kannalta. Näitä sektoreja ovat pankkiala, arvopaperipörssit, energian tuotanto, siirto ja jakelu, liikenne (lento-, rautatie- ja meriliikenne), terveydenhuolto, keskeisten internet-palvelujen infrastruktuurit sekä julkishallinnot. Julkinen kuuleminen osoitti, että sidosryhmät kannattavat vahvasti verkko- ja tietoturvakysymyksiin puuttumista näillä sektoreilla ja tarvittaviin toimenpiteisiin ryhtymistä EU:n tasolla. Jos turvapoikkeamien lisääntymiseen ei vastata uusilla toimenpiteillä, kuluttajien luottamus verkkopalveluihin voi kärsiä, mikä voi puolestaan vaarantaa digitaalistrategian tavoitteiden saavuttamisen. 3.2. Ongelman syyt Määritelty ongelma johtuu monista syistä. Ensinnäkin kansallisen tason valmiudet vaihtelevat tasoltaan eri puolilla EU:ta, mikä haittaa luottamuksen muodostumista vertaisryhmien kesken edellytyksenä yhteistyölle ja tiedon jakamiselle. Toiseksi turvapoikkeamista, -riskeistä ja -uhista ei jaeta riittävästi tietoa. Suurin osa verkko- ja tietoturvapoikkeamista jää raportoimatta ja huomiotta lähinnä siksi, että yritykset ovat haluttomia jakamaan tätä tietoa pelätessään maineensa kärsivän tai joutuvansa korvausvastuuseen. Nykyisissä julkis-yksityisissä kumppanuuksissa, kuten EFMS:ssä ja EP3R:ssä, harjoitettava tiedonvaihto rajoittuu parhaisiin toimintatapoihin. 4. TÄMÄNHETKISTEN TOIMENPITEIDEN TULOKSELLISUUS 4.1. Nykyisen sääntelykehyksen puutteita Nykyisissä säännöissä ei vaadita teleyritysten lisäksi miltään muilta toimijoilta verkko- ja tietoturvan riskinhallintatoimenpiteitä ja verkko- ja tietoturvapoikkeamista raportoimista. Turvariskit kohdistuvat kuitenkin kaikkiin verkko- ja tietojärjestelmistä riippuvaisiin toimijoihin. Tämä johtaa epätasapuolisiin toimintaedellytyksiin, koska samasta tapahtumasta, joka vaikuttaa esimerkiksi sekä teleyritykseen että internet-välitteisiä puhelinpalveluja (VoIP) tarjoavaan yritykseen, olisi ilmoitettava kansalliselle toimivaltaiselle viranomaiselle edellisessä tapauksessa mutta ei jälkimmäisessä. Tietosuojan sääntelykehys velvoittaa kaikki toimijat, jotka ovat rekisterinpitäjiä (esim. pankin tai sairaalan), ottamaan käyttöön niihin kohdistuviin riskeihin suhteutetut turvatoimenpiteet. FI 3 FI

Rekisterinpitäjät ovat kuitenkin velvollisia ilmoittamaan vain henkilötiedot vaarantaneista turvaloukkauksista. Euroopan elintärkeän infrastruktuurin määrittämisestä ja nimeämisestä annettu neuvoston direktiivi 2008/114/EY kattaa ainoastaan energia- ja liikennesektorit, ja tähän mennessä jäsenvaltiot ovat määrittäneet vain harvoja infrastruktuureja Euroopan elintärkeiksi infrastruktuureiksi. Direktiivissä ei velvoiteta toimijoita ilmoittamaan merkittävistä turvaloukkauksista eikä luoda mekanismeja jäsenvaltioiden yhteistyötä ja turvapoikkeamiin reagoimista varten. Lainsäädäntövallan käyttäjät keskustelevat parhaillaan komission ehdotuksesta direktiiviksi tietojärjestelmiin kohdistuvista hyökkäyksistä 1. Ehdotus kattaa pelkästään tiettyjen toimintojen kriminalisoimisen, eikä siinä käsitellä verkko- ja tietoturvariskien ja -poikkeamien ennaltaehkäisyä, verkko- ja tietoturvapoikkeamiin reagoimista eikä niiden vaikutusten lieventämistä. 4.2. Vapaaehtoisuuteen perustuvan lähestymistavan rajoitukset Toistaiseksi noudatettu vapaaehtoisuuteen perustuva lähestymistapa on johtanut vaihtelevaan varautumistasoon ja rajalliseen yhteistyöhön. EFMS:n toimintamahdollisuudet ovat rajalliset, koska jäsenvaltiot eivät jaa tietoa tietoturvapoikkeamista, -riskeistä ja -uhista eivätkä tee yhteistyötä rajat ylittävien uhkien torjumiseksi. EFMS:llä ei ole valtaa edellyttää jäseniltään vähimmäisvalmiuksia. ENISA:lle ei ole operatiivisia valtuuksia eikä se voi esimerkiksi tulla väliin verkko- ja tietoturvaongelmatilanteissa. EP3R:llä ei ole virallista asemaa eikä se voi vaatia yksityistä sektoria raportoimaan turvapoikkeamista kansallisille viranomaisille. EP3R ei voi tarjota puitteita luotettavalle tiedonjaolle ja viestinnälle verkko- ja tietoturvauhista, -riskeistä ja -poikkeamista. 5. EU: N TOIMINNAN TARVE, TOISSIJAISUUS JA SUHTEELLISUUS Verkko- ja tietoturvan varmistaminen on ratkaisevan tärkeää sisämarkkinoiden moitteettoman toiminnan ja yhteiskunnan hyvinvoinnin kannalta. SEUT-sopimuksen 114 artikla on asianmukainen oikeusperusta verkko- ja tietoturvavaatimusten yhdenmukaistamiselle ja yhteisen vähimmäisturvatason käyttöönotolle koko EU:ssa. Unionin toiminta verkko- ja tietoturvan alalla on perusteltua toissijaisuusperiaatteen perusteella, koska ongelma on luonteeltaan valtioiden rajat ylittävä ja koska nykyisten kansallisten toimintamallien tuloksellisuus paranisi EU-tason toiminnan ansiosta johtaen lisäarvoon. Jotta yhteistyö käsittäisi kaikki jäsenvaltiot, on tarpeen varmistaa, että kaikilla niillä on vaadittavat vähimmäistason valmiudet. Lisäksi on selvää, että yhteensovitetuilla ja yhteistoimintaan perustuvilla verkko- ja tietoturvapoliittisilla toimilla voi olla voimakas myönteinen vaikutus tehokkaaseen perusoikeuksien suojaan ja erityisesti henkilötietojen ja yksityisyyden suojaan. Parhaaksi arvioidun vaihtoehdon toimenpiteet ovat perusteltuja suhteellisuusperiaatteen perusteella, koska jäsenvaltioille asetettavat vaatimukset rajoittuvat vähimpään tarvittavaan riittävän varautumistason saavuttamiseksi ja luottamukseen perustuvan yhteistyön luomiseksi ja koska yrityksille ja viranomaisille asetettavat riskinhallintaa ja turvapoikkeamien 1 KOM(2010) 517, http://eurlex.europa.eu/lexuriserv/lexuriserv.do?uri=com:2010:0517:fin:en:pdf FI 4 FI

raportointia koskevat vaatimukset kohdistuvat vain kriittisiin toimijoihin ja vaatimusten edellyttämät toimenpiteet ovat oikeassa suhteessa riskeihin ja koskevat vaikutuksiltaan merkittäviä turvapoikkeamia. Lisäksi parhaaksi arvioidun vaihtoehdon toimenpiteet eivät aiheuttaisi kohtuuttomia kustannuksia. 6. TAVOITTEET Yleistavoitteena on parantaa verkko- ja tietoturvapoikkeamilta, -riskeiltä ja -uhilta suojautumisen tasoa kaikkialla EU:ssa. Erityistavoitteet ovat seuraavat: Tavoite 1 Siirtyä verkko- ja tietoturvan yhteiseen vähimmäistasoon jäsenvaltioissa ja siten lisätä yleistä varautumistasoa ja reagointikykyä. Tavoite 2 Parantaa verkko- ja tietoturvaan liittyvää yhteistyötä EU:n tasolla rajat ylittävien turvapoikkeamien ja -uhkien torjumiseksi tuloksellisesti. Tavoite 3 Luoda riskinhallintakulttuuri ja parantaa tietojen vaihtoa yksityisen ja julkisen sektorin välillä. 7. TOIMINTAVAIHTOEHDOT Tässä vaikutusarvioinnissa tarkastellut vaihtoehdot ovat nykyiseen kehitykseen perustuva lähestymistapa, sääntelyyn perustuva lähestymistapa ja yhdistetty lähestymistapa. Vaihtoehto, jossa kaikista verkko- ja tietoturvaan kohdistuvista EU:n toimista luovuttaisiin, hylättiin. 7.1. Vaihtoehto 1 Nykyiseen kehitykseen perustuva lähestymistapa (perusskenaario) Komissio jatkaisi ENISAn tuella nykyistä vapaaehtoisuuteen perustuvaa toimintamallia, jossa jäsenvaltioita kehotetaan luomaan kansallisia verkko- ja tietoturvavalmiuksia (esim. tietotekniikan kriisiryhmiä (CERT-ryhmiä), kansallisia tietoverkkojen turvapoikkeamiin liittyviä suunnitelmia/valmiussuunnitelmia ja kansallisia kyberturvallisuusstrategioita) ja tekemään yhteistyötä EU:n tasolla (esim. CERT-verkostossa EU:n laajuisesti ja eurooppalaisen tietoverkkojen turvapoikkeamia koskevan valmius-/yhteistyösuunnitelman pohjalta). 7.2. Vaihtoehto 2 Sääntelyyn perustuva lähestymistapa Komissio vaatisi kaikkia jäsenvaltioita luomaan ainakin vähimmäistason kansalliset valmiudet (CERT-ryhmät, toimivaltaiset viranomaiset, kansalliset tietoverkkojen turvapoikkeamiin liittyvät suunnitelmat/valmiussuunnitelmat ja kansalliset kyberturvallisuusstrategiat). Tässä vaihtoehdossa kansalliset toimivaltaiset viranomaiset ja CERT-ryhmät olisivat osa EUtason yhteistyöverkostoa, jossa viranomaiset ja CERT-ryhmät vaihtaisivat tietoa ja tekisivät yhteistyötä verkko- ja tietoturvauhkien ja -poikkeamien torjumiseksi noudattaen eurooppalaista tietoverkkojen turvapoikkemia koskevaa valmiussuunnitelmaa/yhteistyösuunnitelmaa, josta jäsenvaltioiden olisi sovittava. Tietyillä kriittisillä sektoreilla, kuten pankkialalla, energia-alalla (sähkö ja maakaasu), liikenteessä, terveydenhuollossa, keskeisten internet-palvelujen mahdollistajien alalla ja julkishallinnossa, toimivat yritykset (muut kuin mikroyritykset) velvoitettaisiin arvioimaan niihin kohdistuvat turvariskit ja ottamaan käyttöön tarkoituksenmukaisia ja oikeasuhteisia toimenpiteitä tosiasiallisten turvariskien määrittämiseksi. Lisäksi nämä yritykset velvoitettaisiin raportoimaan toimivaltaisille viranomaisille turvapoikkeamista, jotka vaarantavat vakavasti niiden verkkojen ja tietojärjestelmien toiminnan ja joilla on sen vuoksi merkittävä vaikutus verkko- ja tietojärjestelmistä riippuvaisten palvelujen ja FI 5 FI

tavarantoimitusten jatkuvuuteen. Viitejärjestelmänä on sähköisen viestinnän puitedirektiivin 13 a ja b artiklan mukainen järjestelmä. 7.3. Vaihtoehto 3 Yhdistetty lähestymistapa Komissio täydentäisi jäsenvaltioiden vapaaehtoisuuteen perustuvia aloitteita, joiden tarkoituksena on luoda tai lujittaa jäsenvaltioiden verkko- ja tietoturvavalmiuksia ja ottaa käyttöön EU-tason yhteistyömekanismeja, keskeisiin yksityissektorin toimijoihin ja julkishallintoihin kohdistuvilla sääntelyllisillä vaatimuksilla. Vapaaehtoiset aloitteet olisivat olennaisilta osin samanlaisia kuin vaihtoehdossa 1, ja sääntelylliset vaatimukset vastaisivat täysin vaihtoehdossa 2 asetettavia vaatimuksia sekä niiden kohteena olevien toimijoiden että velvoitteiden sisällön osalta. ENISA tarjoaisi tukea ja teknistä asiantuntemusta komissiolle, jäsenvaltioille ja yksityiselle sektorille muun muassa laatimalla teknisiä ohjeita ja suosituksia. 8. VAIKUTUSTEN ANALYYSI Arviointi kattaa turvatason lisäksi edellä kuvattujen kolmen vaihtoehdon taloudelliset ja yhteiskunnalliset vaikutukset. Se kattaa myös kustannukset, jotka aiheutuisivat vaihtoehdoissa 2 ja 3. Millään näistä vaihtoehdoista ei ole ympäristövaikutuksia, jotka voitaisiin ennustaa tarkasti. 8.1. Vaihtoehto 1 Nykyiseen kehitykseen perustuva lähestymistapa (perusskenaario) Turvataso: On epätodennäköistä, että kaikki jäsenvaltiot loisivat samantasoiset kansalliset valmiudet ja pääsisivät samalle varautumistasolle verkko- ja tietoturvan parantamiseksi, yhteistyön mahdollistamiseksi ja tiedon jakamiseksi luotettavasti EU:n tasolla. Riskinhallinnassa ja turvapoikkeamia koskevan avoimuuden lisäämisessä ei saavutettaisi tasapuolisia toimintaedellytyksiä, minkä vuoksi sääntelyyn jäisi edelleen aukkoja. Taloudelliset vaikutukset: Vaikutukset riippuisivat siitä, missä määrin jäsenvaltiot noudattaisivat komission suosituksia. Riittämätön turvataso vähemmän kehittyneissä jäsenvaltioissa heikentäisi niiden kilpailukykyä ja kasvua ja asettaisi ne alttiiksi riskeille ja turvapoikkeamille. Nykyisin suuntauksin verkko- ja tietoturvapoikkeamat kävisivät yhä näkyvämmiksi yrityksille ja kuluttajille ja haittaisivat sisämarkkinoiden toteuttamista. Yhteiskunnalliset vaikutukset: Turvapoikkeamien, -riskien ja -uhkien odotetaan pysyvän ja pahenevan, mikä vaikuttaisi kielteisesti kansalaisten verkkoluottamukseen. 8.2. Vaihtoehto 2 Sääntelyyn perustuva lähestymistapa Turvataso: Jäsenvaltioille asetettavat velvoitteet varmistaisivat, että kaikilla niillä on riittävät valmiudet, ja loisivat osaltaan keskinäisen luottamuksen ilmapiiriä, joka on ennakkoedellytys tulokselliselle yhteistyölle EU:n tasolla. Julkishallinnoille ja keskeisille yksityissektorin toimijoille asetettavat vaatimukset verkko- ja tietoturvaan liittyvästä riskinhallinnasta muodostaisivat vahvan kannusteen hallita ja arvioida turvariskit tehokkaasti. Näiden vaatimusten noudattamisesta eri sektoreilla EU:ssa aiheutuvat lisäkustannukset olisivat yhteensä 1 2 miljardin euron luokkaa. Vaatimusten noudattamisesta aiheutuisi pienille ja keskisuurille yrityksille 2500 5000 euron kustannukset. Taloudelliset vaikutukset: Turvatason paranemisen myötä verkko- ja tietoturvariskeihin ja -poikkeamiin liittyvät taloudelliset tappiot pienenisivät. Yritysten ja kuluttajien luottamus FI 6 FI

digitaaliseen maailmaan vahvistuisi ja hyödyttäisi sisämarkkinoita. Paremman riskinhallintakulttuurin edistäminen piristäisi myös turvallisten tieto- ja viestintätekniikan tuotteiden ja ratkaisujen kysyntää. Yhteiskunnallinen vaikutus: Parempi turvataso parantaisi kansalaisten verkkoluottamusta, ja he saisivat täyden hyödyn digitaalisesta maailmasta (esim. sosiaalisessa mediassa, tietotekniikkaa hyödyntävässä opiskelussa ja sähköisessä terveydenhuollossa). 8.3. Vaihtoehto 3 Yhdistetty lähestymistapa Turvataso: Vaihtoehdon 1 tavoin tässäkään vaihtoehdossa ei voida taata, että kansallisiin verkko- ja valmiuksiin ja EU-tason yhteistyöhön perustuva turvataso paranisi vapaaehtoisten aloitteiden tuloksena. Toisaalta julkishallinnolle ja keskeisille yksityissektorin toimijoille asetettavat turvavaatimukset muodostaisivat vahvan kannusteen hallita ja arvioida turvariskit. Nämä mekanismit jäisivät kuitenkin tehottomiksi niissä jäsenvaltioissa, jotka eivät noudattaisi komission suosituksia verkko- ja tietoturvavalmiuksien perustamisesta. Taloudelliset vaikutukset: Kehitysvauhti vaihtelisi merkittävästi jäsenvaltioiden välillä. Riittämätön turvataso vähemmän kehittyneissä jäsenvaltioissa heikentäisi niiden kilpailukykyä ja kasvua ja asettaisi ne alttiiksi riskeistä ja turvapoikkeamista johtuville kielteisille vaikutuksille. Yhteiskunnalliset vaikutukset: Turvapoikkeamien, -riskien ja -uhkien odotetaan jatkuvan ja pahenevan, mikä vaikuttaisi kielteisesti kansalaisten verkkoluottamukseen etenkin niissä jäsenvaltioissa, jotka eivät katso verkko- ja tietoturvaa prioriteetiksi. 9. VAIHTOEHTOJEN VERTAILU Vaihtoehtoja 1 ja 3 ei pidetä toimivina politiikan tavoitteiden saavuttamiseksi, ja näin ollen niitä ei suositella, koska niiden tuloksellisuus riippuu siitä, saadaanko vapaaehtoisuuteen perustuvalla lähestymistavalla käytännössä aikaan verkko- ja tietoturvan vähimmäistaso, ja vaihtoehdossa 3 myös jäsenvaltioiden halukkuudesta valmiuksien luomiseen ja rajatylittävään yhteistyöhön. Vaihtoehto 2 on suositeltavin, koska siinä EU:n kuluttajien, yritysten ja julkishallinnon suoja verkko- ja tietoturvapoikkeamia, -uhkia ja -riskejä vastaan paranisi huomattavasti. Huolehtimalla oman verkko- ja tietoturvansa korkeasta tasosta EU voisi lisäksi laajentaa kansainvälistä vaikutusvaltaansa ja toimia entistä uskottavampana kumppanina kahden- ja monenvälisissä yhteyksissä. EU:lla olisi tällöin myös paremmat edellytykset edistää perusoikeuksia ja EU:n perusarvoja kansainvälisesti. 10. SEURANTA JA ARVIOINTI Vaikutusarviointiraportin luvussa 10 esitetään joukko perusindikaattoreita, joiden avulla seurataan edistymistä tavoitteiden saavuttamisessa. Näitä indikaattoreita ovat esimerkiksi seuraavat: Tavoite 1: niiden jäsenvaltioiden määrä, jotka ovat nimenneet verkko- ja tietoturvasta vastaavan toimivaltaisen viranomaisen ja CERT-ryhmän tai jotka ovat vahvistaneet kansallisen kyberturvallisuusstrategian ja kansallisen tietoverkkojen turvapoikkeamia koskevan valmius-/yhteistyösuunnitelman. Tavoitteen 2 osalta verkostoon osallistuvien kansallisten toimivaltaisten viranomaisten ja CERT-ryhmien määrä sekä verkko- ja tietoturvariskeistä ja -poikkeamista verkostossa vaihdetun tiedon määrä; tavoitteen 3 osalta keskeisten yksityissektorin toimijoiden ja FI 7 FI

julkishallintojen tekemien verkko- ja tietoturvainvestointien taso sekä vaikutuksiltaan merkittävistä verkko- ja tietoturvapoikkeamista tehtyjen ilmoitusten määrä. FI 8 FI

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute