Päivitetty: 2 päivää sitten
Tässä artikkelissa tarkastelemme EU:n kyberturvallisuussääntelyä, erityisesti kyberturvallisuusdirektiiviä eli niin kutsuttua NIS 2 -direktiiviä (NIS 2 Directive) sekä kyberturvallisuusasetusta (Cybersecurity Act, CSA).
EU:n kyberturvallisuussääntely
Kyberturvallisuus on noussut EU:ssa viime vuosina keskeiseksi puheenaiheeksi, kun teknologian nopea kehitys on tuonut mukanaan uusia haasteita. Kasvaneiden kyberturvallisuusuhkien vuoksi EU:ssa on katsottu tarpeelliseksi luoda unionin yhteinen kyberturvallisuuden sääntelykehys, jolla vahvistetaan tiettyjen toimialojen toimijoiden tietoverkkojen ja -järjestelmien turvallisuusvalmiuksia sekä luodaan toimijoille raportointivelvollisuus.
Kyberturvallisuusasetus (CSA)
Voimaantulo ja soveltaminen | 27.06.2019 |
Kyberturvallisuusasetuksella luotiin Eurooppalainen kyberturvallisuuden sertifiointikehys (The European Cybersecurity Certification Framework), joka koskee ICT-tuotteita, palveluja ja prosesseja. Kyseessä on EU:n laajuinen yhtenäinen sertifiointijärjestelmä, joka koostuu teknisistä vaatimuksista, standardeista ja menettelyistä. Yhtenäisen järjestelmän avulla yritykset voivat osoittaa, että niiden tuotteet, palvelut ja prosessit täyttävät tietyt kyberturvallisuusvaatimukset. Sertifiointi on vapaaehtoista.
Sertifiointikehyksen ohella asetuksella vahvistettiin vuonna 2004 perustetun EU:n kyberturvallisuusviraston (The EU Agency for Cybersecurity, ENISA) asemaa. ENISA toimii NIS 2 -direktiivillä perustettavan Euroopan kyberkriisien yhteysorganisaatioiden verkoston (The European Cyber Crises Liaison Organisation Network, EU-CyCLONe) kattoelimenä. Verkostossa Suomea edustaa Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.
Kyberturvallisuusdirektiivi eli NIS 2 -direktiivi
Voimaantulo | 16.01.2023 |
Kansallinen sääntely | 17.10.2024 |
Soveltaminen | 18.10.2024 |
NIS 2 -direktiivi on EU:n tietoverkkojen ja -palveluiden kyberturvallisuudesta annettu direktiivi. Sitä edelsi samaa aihepiiriä koskenut NIS -direktiivi vuodelta 2016. NIS 2 -direktiivillä sääntelyä uudistettiin muun muassa laajentamalla sen soveltamisalaa ja sillä asetettavia velvoitteita. NIS 2 -direktiivin tavoitteena on varmistaa, että tietyt yhteiskunnan toiminnan kannalta kriittiset toimialat ovat riittävän suojattuja kyberuhkilta.
Direktiivin soveltamisalaan kuuluvat toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin niiden koon sekä niiden edustaman toimialan perusteella. Yleisluontoisesti voidaan todeta direktiiviä sovellettavan suuriin ja keskisuuriin yrityksiin, jotka toimivat kriittisen infrastruktuurin aloilla tai eräillä muilla, digitaalisia järjestelmiä hyödyntävillä toimialoilla.
Direktiivi asettaa soveltamisalaan kuuluville yrityksille runsaasti kyberuhkien tunnistamiseen ja niiden torjumiseen liittyviä velvoitteita. Vaadittuihin riskienhallintatoimenpiteisiin lukeutuvat muun muassa:
Riskinhallinta- ja kyberturvallisuuspolitiikkojen laatiminen
Prosessien laatiminen poikkeamien käsittelemiseksi
Toiminnan jatkuvuuden sekä toimitusketjujen turvallisuuden hallinta
Henkilöstön kouluttaminen
Lisäksi yritysten tulee ilmoittaa merkittävistä tietoturvapoikkeamista kansalliselle NIS-viranomaiselle sekä tietyissä tilanteissa palvelujensa vastaanottajille. Viranomaiselle ilmoittaminen tapahtuu todennäköisesti Kyberturvallisuuskeskuksen sivuston kautta. Perusmuotoinen ilmoitusmenettely on kolmivaiheinen:
1. | Ennakkovaroitus | 24h poikkeamasta |
2. | Poikkeamailmoitus | 72h poikkeamasta |
3. | Lopullinen raportti | 1kk poikkeamailmoituksesta |
Ilmoitusvelvollisen yrityksen tulee raportoida merkittävästä tietoturvapoikkeamasta 24h poikkeaman havaitsemisesta ja tehdä varsinainen poikkeamailmoitus 72h poikkeaman havaitsemisesta. Ennen lopullista raporttia viranomainen voi tarvittaessa pyytää yritykseltä väliraportin. Jos puolestaan poikkeamaa edelleen työstetään kuukauden kuluttua, voi yritys antaa lopullisen raportin sijaan edistymisraportin, ja kuukauden kuluessa poikkeaman käsittelyn valmistumisesta lopullisen raportin.
Sääntelyn noudattamisen merkitystä korostavat suhteellisen suuret sanktiot, joita yritykselle voidaan määrätä mikäli velvoitteita ei noudateta. Sanktioiden suuruuteen vaikuttaa se, luokitellaanko yritys keskeiseksi vai tärkeäksi toimijaksi. Kansallisessa lainsäädännössä keskeisten toimijoiden hallinnollisten sakkojen enimmäismäärän on oltava vähintään 10 milj. euroa tai 2 % yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeäksi toimijaksi luokiteltavien toimijoiden osalta vastaavat lukemat ovat 7 milj. euroa tai 1,4 % kokonaisliikevaihdosta. Jäsenvaltiot voivat myös halutessaan säätää valtuudesta määrätä uhkasakkoja.
Sääntelyn seuraavat askeleet
NIS 2 -direktiiviin perustuva kansallinen lainsäädäntöhanke on parhaillaan vireillä. Kansallisen sääntelyn sisältö täsmentyy, kun hallituksen esitys annetaan arviolta vuoden 2024 alussa. Toistaiseksi tiedossa ovat ainoastaan direktiivin asettamat vähimmäisvelvoitteet. Esimerkiksi sanktioiden suuruus ja mahdollisten uhkasakkojen säätäminen täsmentyvät myöhemmin. Seuraamme säädöshankkeen etenemistä.
EU:n kyberturvallisuuden sääntelykehykseen kuuluvat myös kyberkestävyysasetus (Cyber Resilience Act) sekä komission keväällä julkaisema ehdotus kybersolidaarisuusasetukseksi (Cyber Solidarity Act). Palaamme näihin tulevissa postauksissamme.
Lisätietoja aiheesta antaa:
Susanna Kesseli
Junior Counsel
+358 40 071 7794
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Aluehallintovirastolta on odotettu jo pidempään kiristyvää otetta rahanpesulain noudattamisen valvonnassa. Aluehallintovirasto on toistuvasti kertonut valvontahavaintojensa pohjalta, että esimerkiksi riskiarviot ovat laajalti puutteellisia, eikä niiden tarkoitusta täysin ymmärretä ilmoitusvelvollisten keskuudessa.
Vuonna 2022 toteutetut tarkastukset rahanpesulain noudattamisesta
Tähän asti ilmoitusvelvolliset ovat selvinneet nuhteluilla, mutta nyt suunta alkaa muuttua. Aluehallintovirasto kertoi keväällä vuoden 2022 tarkastuksista, joita tehtiin rahanpesulain noudattamiseen liittyen yhteensä neljäntoista ilmoitusvelvollisen osalta. Tarkastuksia tehtiin valtakunnallisesti eri toimialoille, kuten tilitoimistoihin ja välitysliikkeisiin. Valvonnan perusteella aluehallintovirasto arvioi rahanpesulakia koskevan yleisen tietoisuuden lisääntyneen ilmoitusvelvollisten keskuudessa. Lain noudattamisessa havaittiin kuitenkin merkittäviä puutteita.
Näistä neljästätoista tarkastuksesta kuusi johti sanktiohankintaan tarkastuksessa havaittujen puutteiden vuoksi. Aluehallintoviraston mukaan tyypilliset puutteet koskivat yritysten riskiarvioita sekä asiakkaan tuntemista ja tuntemistietojen säilyttämistä. Asiakkaan tuntemista koskevat puutteet koskivat esimerkiksi asiakkaan henkilöllisyyden todentamista tai tosiasiallisten edunsaajien selvittämistä.
Aluehallintovirasto on korostanut viimeisimmissä ulostuloissaan sitä, että tärkeimpien rahanpesulain velvoitteiden noudattamisen laiminlyöminen voi johtaa sanktioharkintaan silloinkin, kun laiminlyönnit kohdistuvat lähinnä yksittäisiin asiakkaisiin tai liiketoimiin. Käytännössä tämä tarkoittaa sitä, että vaikka yritys olisi huolehtinut lain velvollisuuksista pääasiallisesti riskiarvion ja järjestelmien muodossa, sanktioita voi seurata yksittäisiin asiakkaisiin kohdistuvista puutteellisista käsittelytavoista.
Rikemaksu asianajotoimiston toimitusjohtajalle
Ensimmäinen aluehallintoviraston sanktiomääräyksistä kohdistettiin asianajotoimiston toimitusjohtajalle henkilökohtaisesti toimitusjohtajan aseman perusteella. Voit lukea lisää tästä.
Asianajotoimiston riskiarvio arvioitiin puutteelliseksi ja työntekijöiden saama koulutus riittämättömäksi. Seuraamuksessa huomioitiin se, että kyseessä on ollut useampi laiminlyönti, mutta teko ei ollut tahallinen. Siitä johtuen asia ei kokonaisuutena arvioiden anna aihetta ankarampiin toimenpiteisiin.
Aluehallintoviraston mukaan asianajotoimiston rahanpesun riskiarviota, joka laaditaan rahanpesun ja terrorismin rahoittamisen riskien tunnistamiseksi ja arvioimiseksi ei ollut päivitetty sen vuonna 2017 toteutuneen laatimisen jälkeen. Riskiarvio ei myöskään kattanut toimiston kansainväliseen toimintaan liittyviä riskejä riittävällä tasolla. Asianajotoimisto oli itse ilmoittanut tarkastuksen yhteydessä, että riskiarvion päivittämiselle ei nähty tarvetta. Riskiarviossa oli yleisellä tasolla kuvattu toimiston toimintaympäristöön, toimeksiantoihin, asiakassuhteisiin sekä terrorismin rahoittamiseen liittyviä riskitekijöitä Suomen Asianajajaliiton malliasiakirjan pohjalta ja asiakaskäytäntöihin liittyvistä käytännön menettelyistä yrityksen omassa toimeksianto-oppaassa.
Toimisto ei ollut myöskään täyttänyt rahanpesulain vaatimuksia työntekijöille asetetusta koulutusvelvollisuudesta.
Rikemaksun suuruus oli 5 000 euroa. Aluehallintovirasto ei ole päivittänyt tietoa siitä, onko päätös saanut lainvoiman.
Rikemaksu autoliikkeelle
Aluehallintovirasto määräsi myöhemmin kesällä rikemaksun liike- tai ammattitoimintana tavaroita myyvälle ilmoitusvelvolliselle, joka on ottanut vastaan maksusuorituksena käteistä toisiinsa kytkeytyvinä suorituksina yhteensä vähintään 10 000 euroa tietyllä aikavälillä. Kyseinen yritys myy ajoneuvoja. Voit lukea lisää täältä.
Aluehallinnon suorittamassa valvonnassa havaittiin rahanpesulain noudattamiseen liittyviä puutteita riskiarvion laatimisen ja päivittämisen osalta, velvollisuudessa tuntea asiakkaansa ja yksilöidä ja arvioida rahanpesun riskejä, asiakkaan tunnistamisessa ja todentamisessa, epäilyttävää liiketoimea koskevan ilmoituksen tekemisessä sekä tuntemistietojen säilyttämisessä. Laiminlyöntien voidaan näin ollen todeta olleen moninaisia ja laajoja.
Tarkastuksessa kävi ilmi, ettei yritys ollut laatinut rahanpesun riskiarviota lainkaan. Aluehallintoviraston pyytäessä riskiarviota yhtiö oli ensin tyytynyt kuvailemaan sähköpostiviestissään rahanpesun ja terrorismin rahoittamisen riskejä olemattomaksi sillä perusteella, että se tekee edullisilla ajoneuvoilla pienimuotoista kauppaa. Aluehallintovirasto antoi ilmoitusvelvolliselle mahdollisuuden täydentää aiempaa vastaustaan sekä toimitti tiedot aluehallintoviraston ohjeisiin rahanpesulain noudattamisesta. Siitäkään huolimatta yritys ei täydentänyt materiaalejaan tai ottanut kantaa riskiarviota koskevaan asiaan.
Yrityksen katsottiin rikkovan rahanpesulain velvoitteita asiakkaan kanssa toteutetussa liiketoimessa, sillä kaupan yhteydessä asiakkaan edustajalta oli hyväksytty vanhentunut passi eikä toisen henkilön puolesta kauppaa hoitaneelta henkilöltä oltu pyydetty valtakirjaa. Näin ollen varsinaisen asiakkaan henkilöllisyyttä ei todennettu eikä myöskään varmistettu edustajan oikeutta toimia asiakkaan puolesta. Autokauppa oli maksettu käteisellä, mutta asiakkaalta ei ollut dokumentoitu kirjallista varojen alkuperäselvitystä eikä kiinnitetty huomiota siihen, että käteiskauppa sen suuruus huomioiden on tavanomaisesta poikkeavaa, jolloin asiakassuhteeseen tulisi kiinnittää erityistä huolellisuutta. Kokonaisuus huomioiden yrityksen olisi tullut tehdä ilmoitus rahanpesun selvittelykeskukselle epäilyttävästä liiketoimesta. Lisäksi yrityksellä on ollut puutteita asiakkaan tuntemistietojen keräämisen ja säilyttämisen osalta.
Rikemaksun suuruus oli 12 000 euroa eikä aluehallintovirasto ole päivittänyt tietoa siitä, onko päätös saanut lainvoiman.
Johtopäätöksiä rikemaksuista
Aluehallintoviraston määräämät rikemaksut antavat osviittaa siitä, miten viranomainen tulee jatkossa suhtautumaan puutteisiin.
Ensimmäisessä tapauksessa rikemaksu oli euromääräisesti pieni huomioiden yrityksen yli 24 miljoonan euron vuosittainen liikevaihto, mutta mielenkiintoista rikemaksun määrääminen henkilökohtaisesti yrityksen toimitusjohtajalle. Tämä korostaa sitä, että ilmoitusvelvollisen yrityksen johdon tulee suhtautua rahanpesulain asettamiin velvollisuuksiin vakavasti. Lisäksi toinen keskeinen huomio on se, että valmiit riskiarviopohjat eivät ole oikotie onneen ja ilmoitusvelvollisen työkalupakkina toimivaan riskiarvioon tulee paneutua yrityskohtaisesti. Tärkeää on myös päivittää riskiarviota ja näin ollen huolehtia sen ajantasaisuudesta. Aluehallintovirasto kommentoi lisäksi yrityksen sisäisiä ohjeistuksia ja henkilöstön koulutusta - näistä on jokaisen ilmoitusvelvollisen erittäin tärkeää huolehtia.
Toisessa tapauksessa rikemaksu oli suhteellisesti merkittävämpi, sillä kyseisen yrityksen liikevaihto on viime vuosina ollut puolen miljoonan molemmilla puolilla. Tarkastushavainnot olivat vakavammat ja rahanpesulain velvollisuuksiin suhtauduttiin yrityksen toimesta väheksyvästi. Tämä ratkaisu osoittaa, että jokaisella yksittäiselläkin asiakaskohtaamisella on merkitys yrityksen toimintaa arvioitaessa, Jokaiseen asiakkuuteen tulee suhtautua rahanpesulain vaatimusten mukaisesti.
Mitä seuraavaksi?
Aluehallintovirastolla on edelleen sanktioharkinnassa vuoden 2022 tarkastuksia, yllä mainitut tapaukset havaittiin jo vuonna 2021. Jäämme mielenkiinnolla odottamaan, mihin johtopäätöksiin aluehallintovirasto päätyy tuoreimpien tapausten osalta.
Muutama päivä ennen tämän kirjoituksen laatimista aluehallintovirasto tiedotti omalla sosiaalisen median tilillään Twitterissä, että veroneuvojien valvontakampanjassa riskiarvioiden laadinnassa havaittiin puutteita. Riskiarvioita koskevat puutteet ovat yleisiä joka alalla.
Nyt aluehallintovirasto on näyttänyt suhtautuvansa yhä tiukemmin puutteisiin ja tämä osoittaa jokaiselle ilmoitusvelvolliselle, että viimeistään nyt on aika toimia. Esimeriksi riskiarvion laatimisessa tulee ottaa huomioon laajasti eri lähteitä ja se tulee laatia yrityksen liiketoiminta, koko ja luonne huomioiden. Lisäksi yhtiöllä tulee olla asianmukainen sisäinen ohjeistus ja henkilöstön koulutuksesta tulee huolehtia. Näiden laatimisessa kannattaa ehdottomasti käyttää ammattilaista, joka on perehtynyt rahanpesun estämisen osa-alueelle. Kuten annetuista rikemaksuista voimme havainnoida, asia ei ole selkeä ja helppo edes juridiikan ammattilaisille.
Me Folksilla autamme mielellämme rahanpesulain asettamien velvollisuuksien noudattamisessa.
Inka Kärkkäinen
Counsel
+358 50 345 3195
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje.
Päivitetty: 27. kesäk.
Rahanpesun estämisen asiantuntijamme Inka Kärkkäinen kirjoitti Suomen Taloushallintoliiton asiantuntijalehteen Tilisanomiin artikkelin pakotteista.
Pakotteet ovat puhuttaneet erityisen paljon Venäjän täysmittaisen hyökkäyksen käynnistyttyä eikä loppua ole näkyvillä. Artikkelissa käsitellään yleisesti pakotteiden tarkoitusta ja tavoitteita sekä niiden merkitystä erityisesti tilitoimistojen näkökulmasta. Rahanpesulakia muutettiin maaliskuussa 2023 ja muutokset toivat pakoteriskien hallinnan entistä keskeisemmäksi osaksi asiakkaan tuntemista kaikille ilmoitusvelvollisille, tilitoimistot mukaan lukien.
Pakotteiden historiaa
Tiettävästi pakotteita käytettiin ensimmäisen kerran jo antiikin aikana ennen ajanlaskun alkua, jolloin ateenalainen Perikles asetti tuontikiellon Megaran kaupungille, joka oli liittoutunut spartalaisten kanssa. Suomenkin historian kannalta pakotteilla on merkityksellinen rooli, sillä Venäjä hyökkäsi Ruotsin itäisiin lääneihin 1800-luvun alussa tavoitteenaan pakottaa Ruotsi yhtymään Ranskan Britanniaa vastaan julistamaan mannermaasulkuun eli kauppasaartoon. Lopulta tämän seurauksena Suomi liitettiin osaksi Venäjän keisarikuntaa.
Mitä pakotteet ovat?
Pakotteiden kohteena olevan tahon toiminnan katsotaan uhkaavan kansainvälistä rauhaa ja turvallisuutta esimerkiksi kansainvälisen terrorismin, laajamittaisten ihmisoikeusloukkauksien tai joukkotuhoaseiden levittämisen kautta. Pakotteiden tavoitteena on nimensä mukaisesti pyrkiä pakottamaan niiden kohteeksi joutuva taho muuttamaan käyttäytymistään ja toimintaansa.
Pakotteiden keinovalikoima on laaja ja kohdentamisen avulla pyritään huolellisesti rajaamaan vaikutukset vastustettavasta toiminnasta vastuullisiin sekä heitä tukeviin tahoihin sekä näiden ryhmien rahoituksen lähteisiin. Pakotteet suunnitellaan tapauskohtaisesti vastaamaan kulloiseenkin ulko- ja turvallisuuspoliittiseen tarpeeseen.
Lainsäätäjät korostavat erityisesti sitä, että vaikutukset paikalliseen siviiliväestöön kyseessä olevassa valtiossa pyritään minimoimaan. Kuitenkin esimerkiksi Venäjään kohdistettujen ennennäkemättömän laajojen pakotteiden osalta vaikutukset siviiliväestöön on käytännössä mahdotonta estää, kun tavoitteena on pysäyttää Venäjän valtion taloutta täysimittaisen hyökkäyssodan mahdollistajana.
Rahanpesulain asettamat velvollisuudet tilitoimistoille
Rahanpesulain lähtökohtana on riskiperusteisuus, eli tilitoimiston tulee tunnistaa, arvioida ja ymmärtää ne riskit, joihin sekä omassa ja asiakkaiden liiketoiminnassa altistutaan. Tilitoimistoille pakoteriskit tarkoittavat, että yrityksen liiketoiminnassa on liityntäpintoja pakotteisiin ja siitä voi aiheutua haitallisia seurauksia. Riskejä pyritään hallitsemaan ja minimoimaan lain asettamia velvollisuuksia noudattamalla.
Rahanpesulain tuoreimmat muutokset astuivat voimaan maaliskuun lopussa. Keskeinen muutos koskee pakotesääntelyn liittämistä osaksi asiakkaan tuntemista. Pakotesääntelyn noudattaminen oli jo aiemmin tilitoimistoa velvoittavaa lainsäädäntöä, mutta aluehallintoviraston mukaan pakotelainsäädäntö on jäänyt osalle sen valvomista ilmoitusvelvollisista hyvin tuntemattomiksi. Tavoitteena on näin ollen selkeyttää pakotesääntelyn ja jäädyttämispäätösten noudattamisen velvoitteita. Lakimuutos perustaa aluehallintovirastolle toimivallan valvoa myös sitä, noudattavatko sen valvomat ilmoitusvelvolliset pakotelainsäädäntöä.
Tilitoimiston tulee jatkossa varmistaa, että siltä löytyy toimintaperiaatteet, menettelytavat ja sisäinen valvonta myös pakotteiden osalta. Aiemmin tämä on vaadittu jo rahanpesun ja terrorismin rahoittamisen riskien vähentämiseksi ja riskien tehokkaaksi hallitsemiseksi. Näiden toimintaperiaatteiden, menettelytapojen ja valvonnan laatimisen lisäksi tilitoimiston on seurattava ja kehitettävä niihin liittyviä toimenpiteitä. Tilitoimiston ylimpään johtoon kuuluvan henkilön on hyväksyttävä mainitut dokumentit.
Yllä oleva kirjoitus oli vain muutaman kappaleen nosto Tilisanomien artikkelista. Lue koko artikkeli täältä.
Inka Kärkkäinen
Counsel
+358 50 345 3195
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje.