Kyberturvallisuus- ja sietokykylaki: mitä sinun tulee tietää

Kirjoittanut Phil Muncaster • 22 toukokuuta 2025

Tie kohti Yhdistyneen kuningaskunnan kriittisen infrastruktuurin (CNI) kyberturvallisuusresilienssiä on ollut pitkä ja mutkitteleva. Hallituksen vuoden 2018 verkko- ja tietoturva-asetus on surkean vanhentunut ja soveltamisalaltaan rajallinen – se perustuu kaksi vuotta aiempaan EU-direktiiviin. Mutta joidenkin myönteisten tekijöiden jälkeen edellisen hallinnon ponnistelut olivat romuttuneita. On siis rohkaisevaa, että työväenpuolueen hallitus antaa vihdoin aiheelle ansaitsemaansa huomiota.

Kuukausien odottelun jälkeen lisätietoja kuninkaan puheen jälkeen, meillä on nyt analysoitavana hallituksen linjaus. Mitä kyberturvallisuus- ja sietokykylakiesitys sitten pyrkii saavuttamaan? Ja kuinka haastavaa yritysten on noudattaa sitä?

Miksi tarvitsemme sitä

Iso-Britannia on hyvin erilainen paikka kuin se, jossa vuoden 2018 verkko- ja tietoturva-asetukset tulivat voimaan. Kyberturvallisuusviranomaiset, yhteiskunta ja Yhdistyneen kuningaskunnan osakeyhtiöt ovat riippuvaisempia IT- ja digitaalisista järjestelmistä kuin koskaan. Useimmissa organisaatioissa tämä on tarkoittanut investointeja, jotka ovat kasvattaneet kyberhyökkäysten pinta-alaa ja antaneet uhkatoimijoille edun. Geopoliittinen tausta on tehnyt valtioiden liittoutumista aiheuttavista, mutta uskottavasti kiistämiskelpoisista kolmansien osapuolten hyökkäyksistä todennäköisempiä. Ja se on rohkaissut kansallisvaltioita tekemään omia hyökkäyksiään.

Aivan kuin ketään tarvitsisi muistuttaa vakavien tietomurtojen mahdollisista vaikutuksista verkkoinfrastruktuurisektoreille, muistakaa vain se kaaos, jonka Synnovis-kiristysohjelmahyökkäys viime vuonna aiheutuneet – mikä johti tuhansiin peruuntuneisiin tapaamisiin ja kriittiseen veripulaan Kaakkois-Englannissa. Se on myös muistutus siitä, että toimitusketjut ovat yhä haavoittuvammassa asemassa tällaisille hyökkäyksille. Liian usein osaamis- ja resurssihaasteet iskevät kovaa näihin pienempiin organisaatioihin. Ja vaikka ne kamppailevat, uhkatoimijat ovat tekoälyn avulla enemmän vähemmällä, kiihdyttäen hyökkäyksiä ja parantaen tuloksia.

Se, että puolet Yhdistyneen kuningaskunnan yrityksistä ovat hyllyttäneet digitaalisen transformaation suunnitelmansa Kansallisvaltioiden hyökkäysten pelko tekee kyberresilienssin parantamisesta myös liiketoiminnan kannalta välttämätöntä. Mitä heidän tehtävälistallaan on, kun lakiesitys lopulta tulee voimaan?

Mitä Bill sisältää?

Vaikka muutoksia saatetaan vielä tehdä parlamentin käsittelyn aikana, nykyisessä muodossaan lainsäädännön tavoitteena on:

Luo lisää laajuuskohteina olevia entiteettejä

Hallitus aikoo:

Sisällytetään uusien säännösten soveltamisalaan hallittujen palvelujen tarjoajat (MSP:t), joita arvioidaan olevan noin 900–1100.
Sisältää datakeskusten operaattorit: noin 182 konesalipalvelua ja 64 operaattoria sekä pienen määrän yritystason datakeskuksia (kapasiteetti yli 10 MW)
Mahdollistaa hallitukselle ja sääntelyviranomaisille tiukempien vaatimusten asettamisen tietyille kriittisen tärkeille/suurivaikutuksille keskeisten palvelujen tarjoajille, vaikka ne olisivatkin mikroyrityksiä (elleivät ne kuulu nykyisten kyberturvallisuuslakien piiriin)

Vahvista sääntelyviranomaisten vaikutusmahdollisuuksia ja tehosta valvontaa

Hallitus aikoo:

Selventää hankkeen piiriin kuuluvilta organisaatioilta vaadittavia ”teknisiä ja metodologisia turvallisuusvaatimuksia” – yhdenmukaistamalla ne paremmin NIS 2:n ja NCSC:n kyberturvallisuusarviointikehyksen (CAF) kanssa.
Laajenna tapauskohtaisten reagointimenetelmien raportointia kattamaan kaikki tapaukset, jotka "vaikuttavat merkittävästi järjestelmän luottamuksellisuuteen, saatavuuteen ja eheyteen" – mukaan lukien tietojen vaarantuminen, vakoiluohjelmahyökkäykset ja kiristysohjelmat. Yritysten on raportoitava sääntelyviranomaiselle ja NCSC:lle. Ilmoitusvaatimukset ovat "enintään NIS 2:ta ankarammat": aluksi 24 tuntia ja sen jälkeen tapausraportti 72 tunnin kuluessa.
Valtuuta teknologiaministeri määräämään säännelty yhteisö ryhtymään tiettyihin toimiin, kun sitä pidetään kansallisen turvallisuuden kannalta tarpeellisena.
Paranna ICO-tiedonkeruuvalmiuksia, jotta se voi tunnistaa kriittisimmät digitaalisten palveluntarjoajat ja arvioida ennakoivasti heidän kyberturvallisuustilannettaan.
Annetaan sääntelyviranomaisten asettaa maksujärjestelmä, periä kustannuksia tai yhdistää nämä kaksi kattaakseen täytäntöönpanokulut ja muut sääntelykustannukset.

Luo delegoituja valtuuksia

Hallitus on myös sitoutunut varmistamaan lain mukautuvuus: myöntämällä teknologiaministerille uusia valtuuksia päivittää lainsäädäntöä sen varmistamiseksi, että se on "ajantasainen ja tehokas".

Vastaamattomia kysymyksiä

Voittoa tavoittelemattomien yritysten selviytymiskyvyn asiantuntija CSBR on tyytyväinen lakiesitykseen, mutta vaatii selkeyttä useista kysymyksistä, jotka vaihtelevat NIS 2 -yhteensopivuudesta ICO-valtuuksiin.

”Haasteena on varmistaa, että kyberturvallisuuden sääntelyn parantaminen ei tahattomasti tukahduta innovaatioita ja luo raskaita tai byrokraattisia esteitä, erityisesti pienille ja keskisuurille yrityksille”, siinä todetaan. ”Hallituksen on myös tunnustettava, että usein se itse on järjestelmän haavoittuvin osa, kuten NAO:n tuore raportti teki selväksi.”

Clifford Chancen teknologiaryhmän vanhempi tutkija Oscar Tang on samaa mieltä siitä, että monet kysymykset ovat tässä vaiheessa edelleen avoimia, mukaan lukien "teknisten ja metodologisten turvallisuusvaatimusten" perusta, joita uuden lain tavoitteena on selventää soveltamisalaan kuuluville organisaatioille.

”Saatamme nähdä monikerroksisen lähestymistavan, jossa CAF:ia käytetään keskeisenä Yhdistyneen kuningaskunnan vertailukohtana ISO:n ja muiden ohjeiden ohella käytännön johdonmukaisuuden varmistamiseksi”, hän kertoo ISMS.online-sivustolle. ”Hallituksen poliittisessa aikomuksessa korostetaan oikeasuhteisen ja ketterän lähestymistavan merkitystä tietoturvaan, joten organisaatioiden ei todennäköisesti tarvitse keksiä pyörää uudelleen. Olemassa olevien viitekehysten, kuten ISO 27001:n, hyödyntämisen pitäisi auttaa osoittamaan vankkaa riskienhallintaa ja tietoturvavalvontaa.”

Will Richmond-Coggan, Freeths LLP:n osakas, joka on erikoistunut data- ja kyberturvallisuusoikeudenkäynteihin, mainitsee myös ISO-standardit potentiaalisesti pohjana sille, mitä uudessa Yhdistyneen kuningaskunnan laissa odotetaan.

”Vaikka hallitus onkin myöhässä lainsäädännön laatimisessa, joka ottaisi huomioon NIS 2 -direktiiviin sisältyvän kyberturvallisuuden kehityksen Euroopassa, tässä on joitakin etuja”, hän kertoo ISMS.online-sivustolle.

”Useat olemassa olevat tietoturvastandardit heijastavat jo NIS 2:n muuttunutta painopistettä: esimerkiksi ISO 27001:2022 ja ISO 27302, jotka tarjoavat erityisiä suosituksia organisaation kyberresilienssin vahvistamiseksi. Nämä todennäköisesti tukevat myös kyberturvallisuus- ja resilienssilakiesityksen vaatimustenmukaisuutta sen tullessa voimaan, ja niille organisaatioille, jotka jo toimivat Euroopassa ja noudattavat NIS 2:ta, lainsäädännön väliset yhtäläisyydet ovat todennäköisesti hyödyllisiä.”

Jotta organisaatiot pääsisivät todelliseen kyberresilienssiin, niiden on kuitenkin upotettava ISO 27001 -standardin ja muiden standardien avulla oppimansa "liiketoiminnan ytimeen" – mikä edellyttää "vaatimustenmukaisuuden kulttuuria", Richmond-Coggan lisää.

”Todellisuudessa lainsäädäntö on jo vanhentunut joidenkin niiden riskien osalta, joita sillä on tarkoitus käsitellä, siihen mennessä, kun se tulee voimaan”, hän päättelee.

”Yritysten on käytettävä tätä herätyksenä ja tutkittava kokonaisvaltaista tietoturvatilannettaan, sietokykyään ja liiketoiminnan jatkuvuussuunnitteluaan, jos ne haluavat olla todella valmiita riskeihin, joihin hallitus vastaa tällä lainsäädännöllä ja laajemmilla kyberturvallisuusaloitteillaan.”

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.