Kyberturvallisuuden uusien ohjaus- ja valvontatehtävien järjestäminen

Abstract

EU:n NIS2-direktiivin toimeenpano on lisännyt kyberturvallisuuteen liittyviä viranomaistehtäviä Suomessa. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus toimii direktiivin ja sen kansallisena toimeenpanona kyberturvallisuuslain tarkoittamana viranomaisyhteistyön keskitettynä yhteyspisteenä, CSIRT-yksikkönä sekä ohjaus- ja valvontaviranomaisena useilla sektoreilla, kuten digitaalinen infrastruktuuri ja palvelut sekä julkishallinto.

Ohjaus- ja valvontatehtävien määrä kasvaa paitsi uuden sääntelyn myös kyberturvallisuuden yleisen merkityksen lisääntymisen myötä. Samaan aikaan mahdollisuudet lisäresursoinnille niin henkilöstössä kuin järjestelmissä ovat rajalliset. Tämä luo painetta toiminnan strategiseen kehittämiseen ja olemassa olevien resurssien tehokkaaseen ja tarkoituksenmukaiseen kohdentamiseen.

Työssä tutkitaan ja analysoidaan eri näkökulmista ohjauksen ja valvonnan toteuttamista ja havaitaan, että viranomaisvalvonnan prosessit ovat pääosin jälkikäteisiä ja usein luonteeltaan resurssi-intensiivisiä, mikä tekee ennakoivaan ja laaja-alaiseen ohjaukseen painottamisesta perustellun ratkaisun. Kansainväliset vertailut Ruotsiin ja Viroon osoittavat, että molemmat painottavat samoja periaatteita: riskiperusteisuus, ennakoiva ohjaus ja yhteistyö. Ennaltaehkäisevä ohjaus ja toimialayhteistyö nimittäin mahdollistavat laajavaikutteisia tuloksia.

Työn kehittämistoimenpiteinä havaitaan, että strategisesti on tärkeää kirkastaa ohjaus- ja valvontatoiminnan tavoite: turvallisuustason ylläpito ja kasvu. Suhteessa tähän tavoitteeseen, käytettävissä olevat resurssit on perusteltua kohdentaa riskiperusteisesti keskeisiin toimijoihin ja kriittisiin riskeihin. Vaikuttavuuden seurantaa varten on hyvä kehittää mittaristo. Samalla on kannatettavaa varmistaa osaaminen ohjaustoiminnan lisäksi myös valvontaprosesseissa ja seuraamusmekanismeissa, vaikka resurssipaineet jatkuvat.

Näillä toimilla voi parantaa rajallisten resurssien strategista kohdentamista, millä voi arvioida saavutettavan parhaat mahdollisuudet kyberturvallisuuden tason ja tarkoituksenmukaisen viranomaistoiminnan varmistamiseen.

The implementation of the EU’s NIS2 Directive has increased cybersecurity-related governmental responsibilities in Finland. The Finnish Transport and Communications Agency’s Cybersecurity Centre serves, under the directive and its national transposition in the Cybersecurity Act, as the central point of contact for authority cooperation, as the national CSIRT unit, and as the supervisory and regulatory authority across several sectors, such as digital infrastructure and services as well as public administration.

The volume of steering and supervision tasks is growing not only due to new legislation but also due to the increasing overall importance of cybersecurity. At the same time, opportunities to increase resourcing in personnel or in systems are limited. This creates pressure to develop operations strategically and to allocate existing resources efficiently and purposefully.

This thesis examines and analyses the implementation of steering and supervision from different perspectives and notes that supervisory processes are mainly retrospective and often resource‑intensive in nature. This makes proactive and broad steering a well‑founded approach. International comparisons with Sweden and Estonia show that both emphasize the same principles: risk‑based operations, proactive guidance, and cooperation. Preventive steering and sectoral collaboration allow for outcomes with wide impact.

As development measures, thesis identifies that it is strategically important to clarify the objective of steering and supervision: maintaining and improving the level of security. In relation to this objective, it is justified to allocate available resources in a risk‑based manner to key actors and critical risks. To support impact monitoring, a set of indicators should be developed. At the same time, it is advisable to ensure sufficient expertise not only in steering activities but also in supervisory processes and enforcement mechanisms. Even as resource pressures continue.

These measures can improve the strategic allocation of limited resources, thereby creating the best possible conditions for ensuring the level of cybersecurity and effective public authority operations.