Boardmanin Vastuullisuus hallituksen ja johdon agendalla -kehittämisfoorumin tilaisuudessa Fazerilassa käsiteltiin NIS2- ja CER-direktiivejä, hallituksen roolia huoltovarmuuden ja kyberfyysisen turvallisuuden varmistamisessa.

Tilaisuus järjestettiin yhteistyössä Huoltovarmuusorganisaation kanssa. Avauspuheenvuorossaan Paltan valmiuspäällikkö Katja Ahola korosti, että huoltovarmuuden perustavoitteena on pitää talouden pyörät pyörimässä kaikissa turvallisuustilanteissa. ”Kaikki kriittiset perustarpeet on turvattava”, hän totesi.

 

 

Turvallisuusympäristön muuttuessa nopeasti ja uhkien monimuotoisuuden kasvaessa, on keskeistä varmistaa yritysten kyberfyysisen turvallisuuden vankka perusta. Euroopan Unionin uudet direktiivit NIS2 ja CER tuovat mukanaan lisää vastuita johdon ja hallituksen tasolle.

Yritysten on oltava valmiita vastaamaan näihin vaatimuksiin tehokkaasti ja vastuullisesti. Näiden direktiivien noudattaminen edellyttää syvempää ymmärrystä kyberfyysisten uhkien luonteesta ja niiden vaikutuksesta liiketoimintaan. Tulevaisuuden menestyjät ovat ne, jotka ymmärtävät tämän ja osaavat ennakoida.

 

Uudet direktiivit NIS2 ja CER vahvistavat EU:n jäsenvaltioiden turvallisuutta

Elinkeinoelämän keskusliiton johtava asiantuntija Markku Rajamäki kertoi, että nykyinen lainsäädäntö kattaa vain osan yrityksistä. ”CER- ja NIS2-direktiivien käyttöönotto muuttaa tilannetta merkittävästi.”

Nämä uudet direktiivit laajentavat yritysten varautumisohjausta ja muuttavat tapaa, jolla Suomessa on perinteisesti rakennettu huoltovarmuutta ja varautumista. Suomen kannalta on tärkeää, että varautumisen taso nousee muissa unionin jäsenmaissa ja unionitasolla.

 

 

CER-direktiivi pyrkii vahvistamaan kriittisten toimijoiden ja toimintojen häiriönsietokykyä ja tehostamaan viranomaisten välistä koordinaatiota ja yhteistyötä EU:ssa, jäsenvaltioiden välillä sekä sisällä.

NIS2-direktiivin tavoitteena on yhtenäistää ja parantaa yhteiskunnan toiminnan kannalta keskeisten toimialojen tietoturvasääntely EU:n laajuisesti. Kokonaisuudessa on huomioitava myös toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi.

Molempien direktiivien kansalliset toimeenpanolait on vahvistettava viimeistään 17. lokakuuta 2024. Direktiivien tulo vaikuttaa erityisesti kyberturvallisuusriskien hallintaan ja yritysten velvollisuuteen ilmoittaa merkittävistä poikkeamista. Lisää tietoa voi lukea alla olevista linkeistä:

• Valtioneuvoston hankesivut CER
• Valtioneuvoston hankesivut NIS2
• Lausuntopalvelun sivut CER
• Lausuntopalvelun sivut NIS2

 

Hallituksen ja johdon vastuut kyberturvallisuuskysymyksissä

NIS2-direktiivi määrittelee selkeästi, mistä johto vastaa ja mitkä asiat tulee olla johdon hyväksymiä. Direktiivi sisältää myös määritelmät siitä, keitä johtoon kuuluu ja millaisia henkilökohtaisia vastuita heillä on.

Hallituksen esityksen (HE) luonnoksessa (2. luku, 10. pykälä) todetaan, että toimijan johto on vastuussa kyberturvallisuuden riskienhallinnan toteuttamisesta ja valvonnasta, hyväksyy riskienhallinnan toimintamallin ja varmistaa sen toteutuksen.

Johdon tulee olla riittävästi perehtynyt kyberturvallisuuden riskienhallintaan. Johto käsittää hallituksen, hallintoneuvoston ja toimitusjohtajan (HE-luonnos 4. luku, 33. pykälä).

 

Osakeyhtiölaissa määritellyt hallituksen vastuut ovat selkeät, mutta ei voida olettaa, että hallitus ymmärtäisi kyberturvallisuusasioita direktiivien edellyttämällä tasolla.

Roschierin Manne Airaksinen käsitteli puheenvuorossaan johdon tehtäviä yleensä ja käsillä olevaa kybersääntelyä. Hänen mukaansa NIS2-direktiivissä ja siten myös hallituksen esityksen (HE) luonnoksessa pyritään määrittelemään, keitä johtoon kuuluu, mistä johto vastaa ja mitkä asiat tulee olla johdon hyväksymiä.

HE-luonnoksen mukaan toimijan johto on vastuussa kyberturvallisuuden riskienhallinnan toteuttamisesta ja valvonnan järjestämisestä, hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Lisäksi johdon tulee olla riittävästi perehtynyt kyberturvallisuuden riskienhallintaan.

Edelleen viitataan johdon velvollisuuteen tarvittaessa kouluttautua kyberturvallisuusasioissa. Airaksisen mukaan sääntely on potentiaalisesti ristiriidassa hallituksen osakeyhtiölaista johtuvien tehtävien ja vastuiden kanssa. Sinänsä hallituksen tehtävänä on varmistaa, että yhtiöllä on toiminnan laatu ja laajuus huomioon ottaen asianmukainen riskienhallintaorganisaatio.

 

 

Yleensä hallituksen tehtävä on kuitenkin organisoida asioiden hoitaminen, eikä tehdä niitä itse. Hallitus esimerkiksi järjestää yhtiön varainhoidon valvonnan – ei tee itse, eikä edes valvo itse, vaan järjestää valvonnan. Sikäli kyberturvallisuutta koskeva sääntely saattaa poiketa osakeyhtiölain yleisistä lähtökohdista, mitä pitäisi jatkovalmistelussa mahdollisuuksien mukaan välttää.

”Ei pitäisi ylipäätään vaatia, että hallitus olisi kyberturvallisuusasioissa erityisen valveutunut kouluttautumisesta puhumattakaan varsinkaan kun tällaisia nimenomaisia sektorikohtaisia vaatimuksia ei aseteta millään muullakaan – ja potentiaalisesti yhteiskunnan ja yhtiön kannalta tärkeämmillä – yhtiöiden toiminnan osa-alueella.” Airaksinen totesi.

 

 

Paneelikeskustelussa jaettiin käytännön oppeja

Paneelikeskustelussa jaettiin käytännön kokemuksia kyberfyysisestä turvallisuudesta. IBM:n hallituksen puheenjohtaja Tuomo Haukkovaara, OP:n kyberasiantuntija Catharina Candolin, Helenin turvallisuuspäällikkö Mats Fagerström ja Fazer-konsernin turvallisuusjohtaja Kai Himberg korostivat yhteistyön merkitystä ja rohkaisivat pyytämään apua tarvittaessa: konsultointi, verkostot ja viranomaisten tuki ovat arvokkaita resursseja.

Kyberfyysisen turvallisuuden hoitaminen vaatii asiantuntemusta, joten se ei ole enää vain yhden henkilön vastuulla vaan johdonmukaista toimintaa koko organisaatiossa.

 

 

Paneelikeskustelussa painottui myös varautumisen tärkeys: ”Lähesty kyberturvallisuutta sekä fyysistä turvallisuutta kuin kotivakuutusta – tarkastele, mitkä uhat voivat vaikuttaa organisaatioon ja kuinka voit suojautua niiltä.” Lisäksi panelistit muistuttivat, että jokaisen yrityksen tulee määritellä omat uhkakuvansa ja rakentaa niiden perusteella toimintastrategia.

Geopoliittisten ja taloudellisten riskien lisääntyminen tekee ympäristön ymmärtämisestä entistä kriittisempää. Tieto on valtaa, ja tietoisesti toimimalla voi hallita riskejä, joita ei voi välttää.

Tilaisuus alkoi ja päättyi verkostoitumiseen. Ennen paneelia osallistujat nauttivat Fazerin ja Huoltovarmuusorganisaation tarjoamasta aamiaisesta, ja lopuksi kiinnostuneille järjestettiin kierros Fazerin tapahtumakeskuksessa, jossa pääsi tutustumaan yrityksen historiaan ja toimintaan. Kiitos kaikille mukana olleille!

 

 

Teksti ja kuvat: Julia Ruotsi