SN 2867/17 Euroopan parlamentti 2014 2019 Sisämarkkina- ja kuluttajansuojavaliokunta 8.5.2017 ILMOITUS JÄSENILLE (03/2017) Asia: Lainsäädännön tarkastelu: toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetun direktiivin (EU) 2016/1148 (verkko- ja tietoturvadirektiivi) täytäntöönpano Käytännön järjestelyt Sisämarkkina- ja kuluttajansuojavaliokunnan (IMCO) koordinaattorit päättivät 26. tammikuuta 2017 järjestää kokouksen, jossa tarkastellaan verkko- ja tietoturvadirektiivin täytäntöönpanon edistymistä. Tämä on ensimmäinen lainsäädännön tarkastelua koskeva kokous sen jälkeen, kun direktiivi tuli virallisesti voimaan 8. elokuuta 2016. Kokous pidetään 11. toukokuuta 2017 IMCO-valiokunnassa. Euroopan komission viestintäverkkojen, sisältöjen ja teknologian pääosaston (PO CNECT) yksikön apulaispäällikkö Rosa Marcelo esittelee asian IMCO-valiokunnan jäsenille. Puheenjohtaja antaa puheenvuoroja jäsenille, jotta nämä voivat esittää kysymyksiä komissiolle. Ensimmäisenä puheenvuoron saa kyseisen lainsäädäntökokonaisuuden entinen esittelijä eli Andreas Schwab (EPP), joka on verkko- ja tietoturvadirektiivin tarkastelusta vastaava jäsen. Hänen jälkeensä puheenvuoron saavat tarkasteluun osallistuneet "varjovastaavat" muista poliittisista ryhmistä eli Nicola Danti (S&D), Vicky Ford (ECR), Dita Charanzová (ALDE), Jan-Philipp Albrecht (Verts/ALE) ja Robert Jarosław Iwaszkiewicz (EFDD). CM\1125418.docx PE604.662v01-00 Moninaisuudessaan yhtenäinen
Kokouksen aihe Lokakuun 2014 ja joulukuun 2015 välisenä aikana käytyjen monimutkaisten ja pitkällisten neuvottelujen jälkeen Euroopan parlamentti hyväksyi verkko- ja tietoturvadirektiivin 6. heinäkuuta 2016. Direktiivi tuli virallisesti voimaan 8. elokuuta 2016. Määräaika sen saattamiselle osaksi kansallista lainsäädäntöä on 9. toukokuuta. Verkko- ja tietoturvadirektiivin hyväksyminen oli merkittävä virstanpylväs kyberturvallisuusresilienssin kehittämisessä Euroopan tasolla. Tämän ensimmäisen eurooppalaisen kyberturvallisuusalan säädöksen todelliset vaikutukset riippuvat kuitenkin suurelta osin siitä, kuinka hyvin jäsenvaltioissa onnistutaan sen saattamisessa osaksi kansallista lainsäädäntöä ja sen täytäntöönpanossa. Lainsäädännön tarkastelukokouksen tarkoituksena on tiedottaa jäsenille verkko- ja tietoturvadirektiivin saattamisesta osaksi kansallista lainsäädäntöä ja täytäntöönpanemisesta eri jäsenvaltioissa sekä tarkastella erityisesti kansallisen lainsäädännön osaksi saattamisen ja täytäntöönpanon kokonaistilannetta yhteistyöryhmän työtä muun muassa seuraavien aiheiden parissa: keskeisten palvelujen tarjoajien määrittämistä koskeva toimintalinja turvallisuustoimenpiteitä koskeva toimintalinja ilmoitustoimenpiteitä koskeva toimintalinja valmisteilla olevaa luonnosta digitaalisen palvelun turvallisuus- ja ilmoitusvaatimuksia koskevaksi täytäntöönpanosäädökseksi (16 artiklan 8 kohta). 1. Direktiivin saattaminen osaksi kansallista lainsäädäntöä ja täytäntöönpano tilanne Jäsenvaltioilla on vielä vuosi aikaa saattaa direktiivi osaksi kansallista lainsäädäntöä määräaikaan 9. toukokuuta mennessä. Säädöksen osaksi kansallista lainsäädäntöä saattamisen lisäksi jäsenvaltioiden on käynnistettävä verkko- ja tietoturvadirektiivin soveltamisalaan kuuluvien keskeisten palvelujen tarjoajien määrittämisprosessi. Jäsenvaltioiden on myös tehtävä yhteistyötä turvallisuus- ja ilmoitusvaatimuksia koskevan yhteisen tarkastelutavan kehittämiseksi. 2. Yhteistyöryhmän ja CSIRT-verkoston perustaminen Direktiivissä säädetään ns. yhteistyöryhmän perustamisesta jäsenvaltioiden välisen strategisen yhteistyön ja tiedonvaihdon tukemiseksi ja helpottamiseksi sinä aikana, kun direktiivi saatetaan osaksi kansallista lainsäädäntöä, ja sen jälkeen. Yhteistyöryhmällä on tärkeä rooli sen varmistamisessa, että direktiivi pannaan täytäntöön yhdenmukaisesti sekä eri aloilla että rajojen yli, jotta voidaan taata koko unionin kattava johdonmukainen lähestymistapa ja välttää markkinoiden sirpaloituminen. Direktiivissä säädetään myös CSIRT-verkoston perustamisesta jäsenvaltioiden ripeän ja tehokkaan operatiivisen yhteistyön edistämiseksi. Molemmat perustettiin virallisesti helmikuussa 2017. Jäsenet voivat halutessaan pyytää komissiolta ajantasaisia tietoja yhteistyöryhmän ja CSIRTverkoston perustamisesta ja niiden työn etenemisestä. PE604.662v01-00 2/5 CM\1125418.docx
3. Keskeisten palvelujen tarjoajia koskevat turvallisuus- ja ilmoitusvaatimukset Verkko- ja tietoturvadirektiivissä säädetään ilmoitus- ja turvallisuusvaatimuksista, jotka koskevat taloutemme ja yhteiskuntamme kannalta keskeisiä, tieto- ja viestintäteknologiasta vahvasti riippuvaisia aloja, kuten energia, liikenne, vesi, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri. Näillä aloilla toimivien yritysten, jotka jäsenvaltiot ovat määritelleet keskeisten palvelujen tarjoajiksi, on toteutettava asianmukaiset turvallisuustoimenpiteet ja ilmoitettava vakavista poikkeamista asiaankuuluvalle kansalliselle viranomaiselle. EU:n jäsenvaltioiden on määriteltävä näiden alojen toimijat käyttäen erityisiä perusteita, kuten onko palvelulla ratkaiseva merkitys yhteiskunnalle ja taloudelle ja olisiko poikkeamalla merkittävää haitallista vaikutusta asianomaisen palvelun tarjoamiseen. Direktiivi velvoittaa jäsenvaltiot laatimaan luettelon tällaisista keskeisistä palveluista (5 artiklan 3 kohta) ja määrittämään kunkin keskeisen palvelualan osalta kyseisten keskeisten palvelujen tarjoajat 9. marraskuuta mennessä. Direktiivissä säädetään useista takeista, joilla varmistetaan, että jäsenvaltiot toimivat johdonmukaisesti toimijoita määritettäessä. Näitä ovat erityisesti yhteisten kriteerien ja yhteistyöryhmälle osoitettujen suuntaviivojen laatiminen johdonmukaisen menettelytavan varmistamiseksi jäsenvaltioille asetettava keskinäinen kuulemisvelvoite, jos palvelujen tarjoaja toimii useammassa kuin yhdessä jäsenvaltiossa, jotta varmistetaan palvelujen tarjoajan tasapuolinen kohtelu ja otetaan huomioon rajat ylittävät riippuvuussuhteet kaikkien niiden tietojen ilmoittaminen komissiolle, jotka ovat tarpeen sen arvioimiseksi, ovatko jäsenvaltiot suorittaneet määrittämisprosessin yhdenmukaisesti. Jäsenet voivat halutessaan pyytää komissiolta päivitettyä tietoa saavutetusta edistymisestä, esiin tulleista vaikeuksista ja suunnitelluista seuraavista vaiheista. 4. Digitaalisen palvelun tarjoajia koskevat turvallisuus- ja ilmoitusvaatimukset Direktiivissä myös velvoitetaan keskeisten digitaalisten palvelujen (hakukoneet, pilvipalvelut ja verkossa toimivat markkinapaikat) tarjoajat noudattamaan turvallisuus- ja ilmoitusvaatimuksia. Näillä palveluilla on kuitenkin tärkeä rajat ylittävä merkitys ja ne ovat luonteeltaan innovatiivisia nopeatempoisessa ja dynaamisessa digitaalisessa ekosysteemissä, joten niitä koskevassa sääntelyssä on joitakin olennaisia eroja: kaikkiin määritelmiä vastaaviin toimijoihin sovelletaan automaattisesti turvallisuus- ja ilmoitusvaatimuksia (ilman ylimääräistä määrittämisprosessia) yksiä ja samoja sääntöjä sovelletaan kaikkialla unionissa ja yksi toimivaltainen viranomainen vastaa valvonnasta EU:n kanssa komissiolle siirretään valta hyväksyä täytäntöönpanosäädöksiä, joilla varmistetaan aiempaa yhdenmukaisemmat ehdot direktiivin soveltamiselle Komissio valmistelee parhaillaan luonnosta digitaalisen palvelun turvallisuus- ja ilmoitusvaatimuksia koskevaksi täytäntöönpanosäädökseksi (16 artiklan 8 kohta). Tavoitteena on hyväksyä tämä täytäntöönpanosäädös vuoden 2017 elokuuhun mennessä. CM\1125418.docx 3/5 PE604.662v01-00
Jäsenet voivat halutessaan pyytää komissiolta päivitettyä tietoa saavutetusta edistymisestä, esiin tulleista vaikeuksista ja suunnitelluista seuraavista vaiheista. Jäsenet voivat halutessaan pyytää komissiota antamaan yleiskatsauksen täytäntöönpanosäädöstä koskevasta luonnoksesta ja yhteenvedon jäsenvaltioiden ensireaktioista. PE604.662v01-00 4/5 CM\1125418.docx
LIITE: Direktiivin täytäntöönpanon aikataulu Elokuu 2016 Voimaantulo Joulukuu 2016 Helmikuu 2017 Elokuu 2017 Helmikuu Marraskuu Marraskuu 4 kuukautta Toimitetaan verkko- ja tietojärjestelmien turvallisuutta käsittelevälle komitealle ensimmäinen luonnos täytäntöönpanosäädökseksi, jossa vahvistetaan yhteistyöryhmän toimintaa varten tarvittavat menettelytapajärjestelyt 1 6 kuukautta Yhteistyöryhmä ja CSIRT-verkosto alkavat hoitaa tehtäviään 12 kuukautta Digitaalisen palvelun tarjoajiin sovellettavia turvallisuus- ja ilmoitusvaatimuksia koskevien täytäntöönpanosäädösten hyväksyminen 2 18 kuukautta Yhteistyöryhmä laatii työohjelmansa 21 kuukautta Saattaminen osaksi kansallista lainsäädäntöä 27 kuukautta Jäsenvaltiot määrittävät keskeisten palvelujen tarjoajat 27 kuukautta Jäsenvaltiot toimittavat komissiolle tiedot, joita se tarvitsee arvioidessaan direktiivin täytäntöönpanoa ja erityisesti keskeisten palvelujen tarjoajien määrittämistä koskevien jäsenvaltioiden menettelyjen yhdenmukaisuutta 2019 33 kuukautta (eli yhden vuoden kuluttua direktiivin saattamisesta osaksi kansallista lainsäädäntöä) Komission kertomus, jossa arvioidaan jäsenvaltioiden menettelyjen yhdenmukaisuutta keskeisten palvelujen tarjoajien määrittämisessä 2020 45 kuukautta Jäsenvaltioiden on tarkistettava ja tarvittaessa saatettava ajan tasalle määritettyjen keskeisten palvelujen tarjoajien luettelo 2021 57 kuukautta (eli kolmen vuoden kuluttua direktiivin saattamisesta osaksi kansallista lainsäädäntöä) Komissio tarkastelee direktiivin toimivuutta keskittyen erityisesti strategiseen ja operatiiviseen yhteistyöhön sekä soveltamisalaan keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien osalta 1 luonnoksen Verkko- ja tietoturvadirektiivin 11 artiklan 5 kohdan mukaisesti ensimmäinen luonnos on toimitettava viimeistään 9. helmikuuta 2017. Toimittamalla hyvissä ajoin komissio pyrkii saamaan menettelytapajärjestelyt hyväksyttyä ennen yhteistyöryhmän toiminnan virallista käynnistämistä varmistaakseen ryhmän nopean toiminnan alusta alkaen. 2 Täytäntöönpanosäädöksen alustava luonnos on tarkoitus esitellä verkko- ja tietoturva-asiantuntijaryhmän jäsenille (johon kuuluu komissiolle neuvoja antavia jäsenvaltioiden edustajia) joulukuun 2016 / tammikuun 2017 loppuun mennessä. CM\1125418.docx 5/5 PE604.662v01-00