Mitä kyberturvallisuus- ja sietokykylaki tarkoittaa kriittiselle infrastruktuurille

Kirjoittanut Phil Muncaster • 3 joulukuu 2025

Sitä on odotettu kauan. Sitä on seurattu takaa. niin kauan sitten kuten kuninkaan puhe vuonna 2024, Kyberturvallisuutta ja kestävyyttä koskeva lakiesitys (CSRB) on vihdoin esitetty parlamentille. Kuluneiden noin 20 kuukauden aikana Yhdistyneen kuningaskunnan kriittinen kansallinen infrastruktuuri (CNI) on kärsinyt useista vakavista vaaratilanteista – Synnovis kiristysohjelmahyökkäyksestä ennennäkemättömään puolustusministeriöön kohdistuneeseen kybervakoiluvarkauteen.

Ei siis ole epäilystäkään siitä, että välttämättömien palvelujen tarjoajat tarvitsevat sääntelyyn lisäyksiä turvallisuuden ja sietokyvyn parantamiseksi. Kysymys kuuluu, miten välttämättömien palvelujen tarjoajat ja niiden digitaaliset kumppanit voivat hallita heitä uhkaavan ylimääräisen vaatimustenmukaisuustaakan?

Ketä se kattaa?

Lopullista luetteloa soveltamisalaan kuuluvista organisaatioista ei ole vielä julkaistu. Mutta se varmasti sisältää ne alat, jotka jo kuuluvat vuoden 2018 verkko- ja tietoturva-asetusten piiriin, joita tämä lakiehdotus päivittää. Näihin kuuluvat terveydenhuolto, liikenne, energia, vesi ja digitaalinen infrastruktuuri. Nämä kaikki luokitellaan olennaisten palveluntarjoajien (OES) alaisuuteen.

CSRB:tä sovelletaan myös seuraaviin:

Asiaankuuluvat digitaalisten palveluntarjoajat (RDSP:t): Muut digitaalisten palveluntarjoajat, kuten pilvipalveluita, hakukoneita ja verkkokauppapaikkoja tarjoavat
Datakeskusten operaattorit
Hallittujen palveluntarjoajien (MSP)
Yritykset, jotka hallinnoivat "sähkön kulkua älykkäisiin laitteisiin" ja sähköautojen latauspisteitä.

Mitä Bill sisältää?

Lainsäädäntö on edelleen menossa parlamentin käsittelyyn. Todennäköisesti kuitenkin näemme ainakin seuraavat keskeiset toimenpiteet hyväksyttävänä:

Sääntelyviranomaisille annetaan valtuudet nimetä kriittiset toimittajat, joiden on täytettävä vähimmäisturvallisuusstandardit. Tällä pyritään poistamaan toimitusketjun turvallisuusaukot.
Ensisijaisten palveluntarjoajien on hallittava toimitusketjun riskejä ennakoivammin, vaikka nämä uudet tehtävät on määriteltävä johdetussa lainsäädännössä.
Verkko-operaattorien (Open ES) on täytettävä NCSC:n kyberturvallisuusarviointikehyksestä (CAF) johdetut ja NIS 2:n kanssa tiiviisti linjatut ”oikeasuhteiset ja ajantasaiset turvallisuusvaatimukset”.
Ilmoitettavien poikkeamien soveltamisalaa laajennetaan – nyt kattamaan tapahtumat, ”jotka voivat vaikuttaa merkittävästi olennaisen tai digitaalisen palvelun tarjoamiseen”, sekä ”tapahtumat, jotka vaikuttavat merkittävästi järjestelmän luottamuksellisuuteen, saatavuuteen ja eheyteen”.
Tarkemmat vaatimukset häiriöilmoitusten tekemiselle: alustava ilmoitus NCSC:lle on tehtävä viimeistään 24 tunnin kuluessa häiriöstä, ja sen jälkeen täydellinen raportti on tehtävä 72 tunnin kuluessa. Digitaalisten ja datakeskuspalveluntarjoajien on myös ilmoitettava asiakkaille kaikista palvelun keskeytyksistä.
Tietosuojavaltuutetun toimisto (ICO) saa uusia valtuuksia, joiden avulla se voi tunnistaa kriittisimmät digitaalisten palvelujen tarjoajat ja arvioida ennakoivasti heidän kyberriskiään.
Sääntelyviranomaiset voivat kattaa kustannukset uuden maksujärjestelmän kautta
Vakavista rikkomuksista otetaan käyttöön ankarammat rangaistukset – ne nousevat 17 miljoonaan puntaan tai 4/10 prosenttiin liikevaihdosta.
Teknologiaministeri saa uusia valtuuksia ohjeistaa sääntelyviranomaisia ja verkkopalvelujen tarjoajia ryhtymään erityistoimiin hyökkäysten estämiseksi, jos kansalliseen turvallisuuteen kohdistuu uhka. Tähän voi sisältyä kriittisten järjestelmien korjaaminen tai eristäminen.

Aika valmistautua

Vaikka lainsäädäntö on vielä parlamentin käsittelyssä, se tuskin muuttuu paljoakaan, koska ”kyberturvallisuus on edelleen pitkälti epäpoliittinen poliittinen kysymys”, NCC Group UK:n hallitusten asioiden johtajan Verona Johnstone-Hulsen mukaan. Tämä tarkoittaa, että turvallisuus- ja vaatimustenmukaisuustiimit voivat olla askeleen edellä suunnittelemalla vaatimustenmukaisuusprosessiaan jo nyt.

"Organisaationa ensimmäinen askel on selvittää, kuulutko todella soveltamisalaan. Monille tämä on suhteellisen selvää – joko siksi, että olet jo Yhdistyneen kuningaskunnan NIS-lainsäädännön sääntelemä tai koska organisaatiosi täyttää selvästi lakiesityksen soveltamisalaan tulevien alojen määritelmät ja kynnysarvot”, hän kertoo ISMS.online-sivustolle.

”Niille organisaatioille, jotka voitaisiin nimetä ’kriittisiksi toimittajiksi’ – ja siten verkko- ja tietoturvasääntöjen piiriin kuuluviksi – voi olla vähemmän selvää, täyttävätkö ne ’kriittisen’ kynnysarvon. Asiakkaidesi ja tarjoamiesi palveluiden ja tuotteiden tarkka tarkastelu auttaa määrittämään, onko todennäköistä, että teidät nimetään ’kriittisiksi’ tulevaisuudessa.”

Rhiannon Webster, globaalin asianajotoimisto Ashurstin kyberturvallisuusjohtaja Isossa-Britanniassa, on samaa mieltä siitä, että yritykset voivat saada etumatkaa vaatimustenmukaisuuden suhteen.

”Sanoisin, että uusien henkilöiden kategoriat eivät todennäköisesti muutu, ja siksi näiden yritysten tulisi tarkistaa kyberturvallisuussuunnitelmansa”, hän kertoo ISMS.online-sivustolle. ”Heidän tulisi valmistautua tiukennettuihin raportointivelvoitteisiin, tarkastella kyberturvallisuuskehystään odotettujen vaatimusten mukaisesti ja tarkastella toimitusketjuaan ja sopimuksiaan huolellisesti. Velvoitteet saattavat joutua etenemään hankintaprosessien kautta alaspäin.

NCC Groupin Johnstone-Hulse neuvoo tiimejä toimimaan seuraavasti:

Ota yhteyttä hallitukseen ja sääntelyviranomaisiin jo varhaisessa vaiheessa
Paranna hallintoa ja vastuullisuutta varmistamalla hallituksen hyväksyntä vaatimustenmukaisuusohjelmille
Arvioi nykyisiä tietoturvaloukkauksiin reagoinnin prosesseja ja teknologioita ymmärtääksesi, mitä on ehkä muutettava

Charlotte Walker-Osborn, asianajotoimisto Clifford Chancen osaamisjohtaja, varoittaa NIS2-direktiivin soveltamisalaan kuuluvia brittiläisiä organisaatioita varautumaan suurempaan vaatimustenmukaisuustaakkaan.

”Koska Yhdistyneen kuningaskunnan kyberturvallisuus- ja sietokykylain soveltamisala eroaa monin tavoin EU:n kyberturvallisuuslainsäädännöstä, eri puolilla Eurooppaa toimivien monikansallisten yritysten on jälleen kerran painittava kahden erillisen järjestelmän noudattamisen käytännön seurausten kanssa”, hän kertoo ISMS.online-sivustolle.

”Se pyrkii yhdenmukaistamaan osia NIS 2:sta, mutta tunnustaa myös Yhdistyneen kuningaskunnan omat haasteet.”

Kuinka standardit voivat auttaa

NCC Groupin toimitusjohtaja Julian Brown selittää, että joitakin keskeisiä teknisiä yksityiskohtia on vielä selvittämättä. Näihin kuuluvat organisaatioiden odotetaan toteuttavan "asianmukaiset ja oikeasuhtaiset" turvatoimenpiteet. Tässä nykyiset standardit voivat auttaa.

”Vaikka lisätietoja odotetaan – muun muassa käytännesääntöjen ja sääntelyviranomaisten toimialakohtaisten ohjeiden kautta – olemassa olevat kyberturvallisuusstandardit ja -kehykset voivat auttaa vaatimustenmukaisuudessa tarjoamalla jäsennellyn, auditoitavan ja kansainvälisesti tunnustetun lähestymistavan lakiesityksen keskeisten vaatimusten täyttämiseen”, hän kertoo ISMS.online-sivustolle.

”Näiden standardien käyttö luo myös näyttöä, jota sääntelyviranomaiset odottavat: riskienarviointeja, käytäntöjä, kontrolleja, mittareita ja jatkuvan parantamisen toimia. ISO 27001 tarjoaa tämän tietoturvan hallintajärjestelmän (ISMS) kautta, CAF tulosperusteisen varmennusmallinsa kautta, NIST CSF hallintoelinkaarensa kautta ja 62443 OT-kohtaisten tietoturvavaatimustensa kautta. Minkä tahansa näistä viitekehyksistä omaksumalla organisaatio voi luottavaisin mielin osoittaa, että se hallitsee kyberriskiä oikeasuhteisesti, vastuullisesti ja puolustettavasti, kun lainsäädäntö tulee voimaan.”

Paljon on siis vielä epäselvää. Clifford Chancen Walker-Osbornin mukaan on vielä epäselvää, sisältääkö lakiesitys äskettäin julkistetut suunnitelmat kiristyshaittaohjelmien käytön kieltämisestä ja joidenkin yritysten velvoittamisesta raportointiin. Myös seuraamusjärjestelmän laajuus saattaa olla keskustelunaiheena, kun otetaan huomioon talouden heikko tila, hän lisää.

Kuitenkin tekemistä riittää varmasti. Älykkäämmät organisaatiot jo toimivat. ISO 27001 tai muiden vaatimustenmukaisuusohjelmien pitäisi löytää lakiesityksen vaatimusten poistaminen paljon helpommaksi.

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Lue lisää Phil Muncasterilta

tietoverkkoturvallisuus 20 tammikuu 2026

tekoälyn hallintokuilun kurominen umpeen ISO 42001 -blogin avulla

Tekoälyn hallintoaukon kurominen umpeen ISO 42001 -standardin avulla

Isossa-Britanniassa on tekoälyn hallintaongelma. Tämä ei ehkä olisi ollut ongelma muutama vuosi sitten, kun projektit olivat useimmissa organisaatioissa hajanaisia. Mutta tänään...

Phil Muncaster

tietoverkkoturvallisuus 6 tammikuu 2026

Viisi tietoturva- ja vaatimustenmukaisuustrendiä, joihin kannattaa kiinnittää huomiota vuonna 2026

Miltä tulevat 12 kuukautta näyttävät kyberturvallisuuden ja vaatimustenmukaisuuden ammattilaisille? Olemme perehtyneet uutisiin, omaksuneet alan ennusteita...

Phil Muncaster

tietoverkkoturvallisuus 11 joulukuu 2025

Onko agenttien tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

Onko agenttisen tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

ChatGPT:n lanseerauksesta on ehkä kolme vuotta, jolloin se käynnisti uuden teknologiavarustelukilpailun, mutta nyt kaikkien katseet ovat agenttisessa tekoälyssä. Kannustajien mukaan se...

Phil Muncaster