Päivitetty: 25. syysk. 2024
Tässä artikkelissa tarkastelemme EU:n kyberturvallisuussääntelyä, erityisesti kyberturvallisuusdirektiiviä eli niin kutsuttua NIS 2 -direktiiviä (NIS 2 Directive) sekä kyberturvallisuusasetusta (Cybersecurity Act, CSA).
EU:n kyberturvallisuussääntely
Kyberturvallisuus on noussut EU:ssa viime vuosina keskeiseksi puheenaiheeksi, kun teknologian nopea kehitys on tuonut mukanaan uusia haasteita. Kasvaneiden kyberturvallisuusuhkien vuoksi EU:ssa on katsottu tarpeelliseksi luoda unionin yhteinen kyberturvallisuuden sääntelykehys, jolla vahvistetaan tiettyjen toimialojen toimijoiden tietoverkkojen ja -järjestelmien turvallisuusvalmiuksia sekä luodaan toimijoille raportointivelvollisuus.
Kyberturvallisuusasetus (CSA)
Voimaantulo ja soveltaminen | 27.06.2019 |
Kyberturvallisuusasetuksella luotiin Eurooppalainen kyberturvallisuuden sertifiointikehys (The European Cybersecurity Certification Framework), joka koskee ICT-tuotteita, palveluja ja prosesseja. Kyseessä on EU:n laajuinen yhtenäinen sertifiointijärjestelmä, joka koostuu teknisistä vaatimuksista, standardeista ja menettelyistä. Yhtenäisen järjestelmän avulla yritykset voivat osoittaa, että niiden tuotteet, palvelut ja prosessit täyttävät tietyt kyberturvallisuusvaatimukset. Sertifiointi on vapaaehtoista.
Sertifiointikehyksen ohella asetuksella vahvistettiin vuonna 2004 perustetun EU:n kyberturvallisuusviraston (The EU Agency for Cybersecurity, ENISA) asemaa. ENISA toimii NIS 2 -direktiivillä perustettavan Euroopan kyberkriisien yhteysorganisaatioiden verkoston (The European Cyber Crises Liaison Organisation Network, EU-CyCLONe) kattoelimenä. Verkostossa Suomea edustaa Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.
Kyberturvallisuusdirektiivi eli NIS 2 -direktiivi
Voimaantulo | 16.01.2023 |
Soveltaminen | 18.10.2024 |
NIS 2 -direktiivi on EU:n tietoverkkojen ja -palveluiden kyberturvallisuudesta annettu direktiivi. Sitä edelsi samaa aihepiiriä koskenut NIS -direktiivi vuodelta 2016. NIS 2 -direktiivillä sääntelyä uudistettiin muun muassa laajentamalla sen soveltamisalaa ja sillä asetettavia velvoitteita. NIS 2 -direktiivin tavoitteena on varmistaa, että tietyt yhteiskunnan toiminnan kannalta kriittiset toimialat ovat riittävän suojattuja kyberuhkilta.
Direktiivin soveltamisalaan kuuluvat toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin niiden koon sekä niiden edustaman toimialan perusteella. Yleisluontoisesti voidaan todeta direktiiviä sovellettavan suuriin ja keskisuuriin yrityksiin, jotka toimivat kriittisen infrastruktuurin aloilla tai eräillä muilla, digitaalisia järjestelmiä hyödyntävillä toimialoilla.
Direktiivi asettaa soveltamisalaan kuuluville yrityksille runsaasti kyberuhkien tunnistamiseen ja niiden torjumiseen liittyviä velvoitteita. Vaadittuihin riskienhallintatoimenpiteisiin lukeutuvat muun muassa:
Riskinhallinta- ja kyberturvallisuuspolitiikkojen laatiminen
Prosessien laatiminen poikkeamien käsittelemiseksi
Toiminnan jatkuvuuden sekä toimitusketjujen turvallisuuden hallinta
Henkilöstön kouluttaminen
Lisäksi yritysten tulee ilmoittaa merkittävistä tietoturvapoikkeamista kansalliselle NIS-viranomaiselle sekä tietyissä tilanteissa palvelujensa vastaanottajille. Viranomaiselle ilmoittaminen tapahtuu todennäköisesti Kyberturvallisuuskeskuksen sivuston kautta. Perusmuotoinen ilmoitusmenettely on kolmivaiheinen:
1. | Ennakkovaroitus | 24h poikkeamasta |
2. | Poikkeamailmoitus | 72h poikkeamasta |
3. | Lopullinen raportti | 1kk poikkeamailmoituksesta |
Ilmoitusvelvollisen yrityksen tulee raportoida merkittävästä tietoturvapoikkeamasta 24h poikkeaman havaitsemisesta ja tehdä varsinainen poikkeamailmoitus 72h poikkeaman havaitsemisesta. Ennen lopullista raporttia viranomainen voi tarvittaessa pyytää yritykseltä väliraportin. Jos puolestaan poikkeamaa edelleen työstetään kuukauden kuluttua, voi yritys antaa lopullisen raportin sijaan edistymisraportin, ja kuukauden kuluessa poikkeaman käsittelyn valmistumisesta lopullisen raportin.
Sääntelyn noudattamisen merkitystä korostavat suhteellisen suuret sanktiot, joita yritykselle voidaan määrätä mikäli velvoitteita ei noudateta. Sanktioiden suuruuteen vaikuttaa se, luokitellaanko yritys keskeiseksi vai tärkeäksi toimijaksi. Kansallisessa lainsäädännössä keskeisten toimijoiden hallinnollisten sakkojen enimmäismäärän on oltava vähintään 10 milj. euroa tai 2 % yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeäksi toimijaksi luokiteltavien toimijoiden osalta vastaavat lukemat ovat 7 milj. euroa tai 1,4 % kokonaisliikevaihdosta. Jäsenvaltiot voivat myös halutessaan säätää valtuudesta määrätä uhkasakkoja.
Sääntelyn seuraavat askeleet
NIS 2 -direktiiviin perustuva kansallinen lainsäädäntöhanke on parhaillaan vireillä. Kansallisen sääntelyn sisältö täsmentyy, kun hallituksen esitys annetaan arviolta vuoden 2024 alussa. Toistaiseksi tiedossa ovat ainoastaan direktiivin asettamat vähimmäisvelvoitteet. Esimerkiksi sanktioiden suuruus ja mahdollisten uhkasakkojen säätäminen täsmentyvät myöhemmin. Seuraamme säädöshankkeen etenemistä.
EU:n kyberturvallisuuden sääntelykehykseen kuuluvat myös kyberkestävyysasetus (Cyber Resilience Act) sekä komission keväällä julkaisema ehdotus kybersolidaarisuusasetukseksi (Cyber Solidarity Act). Palaamme näihin tulevissa postauksissamme.

Lisätietoja aiheesta antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 27. kesäk. 2024
Kirjoitimme kesäkuussa ChatGPT:n ja tekijänoikeuksien välisestä suhteesta. Tässä artikkelissa puolestaan tarkastellaan ChatGPT:n käyttöön liittyviä tietoturva- ja tietosuojariskejä. ChatGPT tallentaa käyttäjän keskusteluhistorian ja hyödyntää syötettyjä tietoja kehittääkseen itseään sekä ammentaakseen sisältöä tuleviin keskusteluihin. Ei siis ole yhdentekevää millaista tietoa sovellukseen syöttää.
OpenAI:n tietosuojakäytännöt kritiikin kohteena
Tekoälysovellukset – kuten ChatGPT – ovat uusia ja niiden hyödyntämää dataa kohtaan on odotetusti esitetty kritiikkiä. Huolta on herättänyt muun muassa ChatGPT:n rakentamista varten kerättyjen tietojen alkuperä. Asiasta kysyttäessä OpenAI on väittänyt datan kerätyn julkisista lähteistä, mutta tarkempaa selvitystä yhtiö ei ole suostunut antamaan. Yhdysvalloissa OpenAI:ta syytetään parhaillaan henkilötietojen varastamisesta ChatGPT:n koulutustarkoituksiin. Kesäkuussa nostetun ryhmäkanteen mukaan OpenAI olisi varastanut merkittäviä määriä amerikkalaisten henkilötietoja, kuten terveystietoja ja lapsia koskevia tietoja.
Käyttäjän omiin henkilötietoihin sekä sovellukseen syötettyihin tietoihin liittyy omat tietosuojahaasteensa. Tietosuojaselosteensa mukaan OpenAI takaa ChatGPT:n käyttäjän omia henkilötietoja koskevien lakisääteisten velvoitteiden noudattamisen. Ongelmallista ehdossa on se, että OpenAI toimii EU:n tietosuoja-asetuksen tarkoittamassa rekisterinpitäjän roolissa, jolloin sillä tulisi olla tietosuoja-asetuksen mukainen peruste käsitellä käyttäjän henkilötietoja. Tämä peruste jää ehdoissa epäselväksi.
Jos OpenAI:n palveluja haluaa käyttää henkilötietojen käsittelyyn tietosuoja-asetuksen tarkoittamalla tavalla, se edellyttää käyttöehtojen mukaan erillisen henkilötietojen käsittelysopimuksen tekemistä OpenAI:n kanssa. Tällöin sovelluksen käyttäjä toimii rekisterinpitäjän roolissa ja OpenAI käsittelijän roolissa. Henkilötietojen käsittelysopimuksen tekeminen on kuitenkin mahdollista ainoastaan yhtiön yrityspalveluiden asiakkaille.
ChatGPT on osa OpenAI:n kuluttajapalveluja, eikä sen käyttäjillä näin ollen ole mahdollisuutta henkilötietojen suojaamiseen sopimusteitse. Tämä tulee mahdollisesti muuttumaan jatkossa, sillä yhtiö kehittää parhaillaan yrityskäyttäjille suunnattua palvelua ChatGPT Business, jota koskisivat OpenAI:n muiden yrityspalveluiden tietosuojaehdot. Toistaiseksi tällaista palvelua ei kuitenkaan ole käytettävissä eikä henkilötietoja siten tulisi käsitellä kuin OpenAI:n nykyisten yrityspalvelujen tai mahdollisesti tulevan ChatGPT Business -palvelun puitteissa. Tällä hetkellä yritykset voivat hyödyntää ChatGPT:ta vain sallimalla työntekijöidensä käyttää sovellusta kuluttajakäyttäjinä. Tästä johtuen työntekijöille on hyvä ohjeistaa, ettei henkilötietoja tule syöttää palveluun.
Kyse muustakin kuin tietosuojasta
Yritysten on keskeistä huomioida, että ChatGPT:n käyttöön liittyy tietosuojahaasteiden lisäksi muitakin riskejä. Henkilötietojen ohella yritysten intressissä on suojata liikesalaisuuksiaan. Tällaisten tietojen syöttäminen sovellukseen on riskialtista tietoturvan näkökulmasta. Tekoälyn kaltaiseen uuteen teknologiaan liittyy riski toistaiseksi tuntemattomien haavoittuvuuksien rikollisesta hyödyntämisestä sekä suojaustoimenpiteiden pettämisestä. Sovelluksessa voi olla tietoturva-aukkoja, jotka altistavat syötettävän materiaalin tietomurroille ja tietovuodoille. Vaikka OpenAI on toteuttanut tietoturvaan liittyviä toimenpiteitä, kuten tietojen anonymisointia, tietoturvariskejä ei voida täysin poissulkea, sillä tekniikka on aina jossain määrin haavoittuvaista. ChatGPT:n käyttäjän onkin syytä noudattaa varovaisuutta ja harkita huolellisesti, millaista tietoa sovellukseen syöttää.
Tietojen käyttöä koskevan kritiikin vuoksi OpenAI on hiljattain lisännyt käyttäjien toimintamahdollisuuksia tarjoamalla kattavammin tietojen käyttöä koskevia vaihtoehtoja. Käyttäjä voi nyt poistaa ChatGPT:n kanssa käymänsä keskusteluhistorian ja kieltää syöttämänsä datan käytön tekoälyn koulutustarkoituksiin. Nämä vaihtoehdot ovat tarjolla kaikille sovelluksen käyttäjille. Vaikka riski tietojen vuotamiseen ei muutosten johdosta olekaan enää yhtä merkittävä kuin aiemmin, ei sovellukseen kannata syöttää liikesalaisuuksia. Tilannetta voi olla aiheellista arvioida uudelleen, kun OpenAI julkaisee ChatGPT Business -palvelun ja sen täsmällinen sisältö käyttöehtoineen selviää.
Moni työntekijä otti heti alkuvuodesta ChatGPT:n innolla käyttöön huomioimatta erilaisten tietojen käsittelyn turvallisuutta. Useissa yrityksissä sovelluksen varomaton käyttö johtikin kevään aikana toimenpiteisiin. Eräät Wall Street -pankit sekä muut suuret yritykset kuten Samsung ja Apple kielsivät työntekijöiltään ChatGPT:n käytön. Samsung kielsi tekoälysovellusten käytön, kun selvisi, että yrityksen työntekijä oli syöttänyt liikesalaisuudeksi katsottavaa koodia ChatGPT:n alustalle. Monissa muissa yrityksissä tekoälysovellukset on puolestaan kielletty ennaltaehkäisevänä toimenpiteenä. Näin radikaaleihin toimenpiteisiin ei välttämättä ole tarkoituksenmukaista ryhtyä, sillä tekoälysovellukset tarjoavat paljon mahdollisuuksia tehostaa yrityksen toimintaa. Jos niiden käyttö sallitaan, on henkilökunnalle tärkeää laatia selkeä ohjeistus sovellusten tietoturvallisesta käytöstä.
Muistilista yrityksille
Jos riskeistä huolimatta haluat kokeilla ChatGPT:n käyttöä, kiinnitä huomiota ainakin seuraaviin:
Noudata yleistä varovaisuutta ja ota käyttöön OpenAI:n tarjoamia vaikutusmahdollisuuksia, jos et halua, että dataa käytetään tekoälyn koulutustarkoituksiin
Laadi henkilökunnalle selkeä ohjeistus ChatGPT:n yksityisestä käytöstä
Harkitse ChatGPT Business -palvelun käyttöönottoa, kun se tulee saataville
Jos käsittelet sovelluksessa henkilötietoja (vain yrityspalvelut), huomioi tietosuojalainsäädännön vaatimukset, kuten esimerkiksi rekisteröityjen informointi sekä mahdollinen tietosuojaa koskeva vaikutustenarviointi uutta teknologiaa käyttöön ottaessa
Lainsäätäjät ryhtyneet toimenpiteisiin
Yritysten ohella myös viranomaiset ja lainsäätäjät ovat huolestuneet ChatGPT:n riskeistä. Maaliskuussa tietoturvariskien olemassaolo realisoitui, kun ChatGPT:hen kohdistui tietomurto, jonka seurauksena käyttäjien keskusteluhistorian otsikoita, joidenkin keskustelujen yksittäisiä viestejä sekä käyttäjien maksutietoja vaarantui. Muitakin ChatGPT:hen liittyviä haavoittuvuuksia on ajoittain raportoitu.
Tietomurron jälkeen Italian tietosuojaviranomainen kielsi ChatGPT:n käytön. Kiellon perusteena olivat ensinnäkin tietovuodon aiheuttamat tietosuojarikkomukset, minkä lisäksi OpenAI:lla ei nähty olleen perustetta käsitellä tietoja. Yhtiö ei myöskään informoinut käyttäjiä riittävästi henkilötietojen käsittelystä tai estänyt alle 13-vuotiaiden pääsyä palveluun. Huhtikuun lopulla Italia salli sovelluksen jatkaa toimintaansa OpenAI:n ilmoitettua tiedottavansa jatkossa avoimemmin henkilötietojen käsittelyprosessistaan, varmistavansa käyttäjien iän sekä lisäävänsä käyttäjien mahdollisuuksia vaikuttaa tietojen käyttöön.
Keskusteltuaan Italian tietosuojaviranomaisen toimista Euroopan tietosuojaneuvosto perusti ChatGPT:tä koskevan työryhmän. Sen tarkoituksena on edistää yhteistyötä ja vaihtaa tietoja mahdollisista tietosuojaviranomaisten ChatGPT:hen liittyvistä toimista. Vastaavasti EU:n lainsäädäntöelimissä on keskusteltu tekoälyä koskevan lainsäädännön tarpeesta. Merkittävin edistysaskel tällä saralla on EU-parlamentissa parhaillaan käsiteltävänä oleva EU:n tekoälysäädös (EU AI Act). Tätä ja muita EU:n digisääntelyhankkeita käsittelemme myöhemmissä artikkeleissamme.

Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.