NIS2-direktiivistä ja kyberturvallisuuslaista uusia velvotteita yritysjohdolle

Yritysjohdon näkökulmasta kyberturvallisuuslaki jatkaa viime aikojen digitaalisen liiketoiminnan EU-sääntelyä siinä mielessä, että säädösten voimaantuloaika suhteessa säädöksen valmistumiseen on erittäin lyhyt. Lisäksi viranomaisohjeistukset eivät hyvin toimennäköisesti valmistu siirtymäaikana ja yritykset joutuvat omaksumaan tulkintoja puutteellisella viranomaisohjeistuksella.

Arvioisin monen yritysjohtajan lukevan kyberturvallisuuslain alkusäädöksiä tyytyväisenä siinä mielessä, että kyberturvallisuuden riskienhallinnan toimintamalli eri osa-alueineen antaa suuntaviivoja yrityksen toimintojen ja datan suojaamiseen. Johdon tulee järjestää riskienhallinta ja sen valvonta sekä osoittaa riittävä perehtyneisyys yrityksen turvallisuuteen liittyviin asioihin. Riskienhallinnan toimintamalli ja sen noudattaminen konkretisoi sitä mitä huolellinen yritysjohtaja on jo tähän mennessä yrittänyt toteuttaa täyttääkseen yritysjohdon huolellisuusvelvoitteen.

Uutena lainsäädäntötasoisena asiana on toimitusketjun toimittajien tuotteiden ja palveluntarjoajien hallinnointia koskeva vaatimus. Tämä tarkoittaa käytännössä sitä, että yhtiöllä on oltava dokumentoituna ajantasainen tieto kaikista välittömistä toimittajista ja palveluntarjoajista. Edelleen toimitusketjujen häirintään on kiinnitettävä huomiota kohtuullisen monimutkaisesti kirjoitetuilla säädöksillä.

Sopimuskäytännössä tämä tulee näkymään esimerkiksi niin, että tilaajat tulevat edellyttämään toimittajiltaan moniportaisia ja erittäin lyhyisiin vasteaikoihin perustuvia informointivelvollisuuksia tietyissä ongelmatilanteissa, lainsäädäntökielellä ”ilmoitusvelvollisuus merkittävästä poikkeamasta”. Taustalla on NIS2-direktiivin mukainen jopa 24 tunnin vasteaikaan perustuva velvollisuus antaa toimivaltaiselle viranomaiselle ensi-ilmoitus merkittävän poikkeaman havaitsemisesta.

Lukiessaan säädöstä pidemmälle, yritysjohtajan kauhuksi kyberturvallisuuslaissa keskitytään monelta osin asettamaan velvollisuuksia ja sanktioita yritysjohdolle. Tarkoitus on sitouttaa yritysjohto antamaan varoja, tekemään päätöksiä ja kouluttautumaan, mutta viime aikojen EU-sääntelylle tyypillisin tavoin: paljon paperia ja paljon sanktiouhkaa.

Kokonaan uutena pelotteena on valvovan viranomaisen oikeus yrityksen johdon toiminnan rajoittamiseen. Valvova viranomainen voi kieltää esimerkiksi hallituksen jäsentä tai toimitusjohtajaa toimimasta lainsäädännön tarkoittaman ”keskeisen toimijan” vastuuasemassa. Lain 32 §:n mukaisen prosessin jälkeen tehtävä päätös on käytännössä viimesijainen, mutta vaikutukset yritykselle ja yritysjohdolle olisivat ennalta-arvaamattoman vaikeat. Toivoa sopii, että kuulemiset hoidetaan tarkasti ja yritysten eri sidosryhmien oikeusturva toteutuu.

Rajoittamismääräys olisi voimassa, kunnes keskeisen toimijan laiminlyönti tai puute on korjattu. Lain esitöiden perusteella jää epävarmaksi, millaiset mahdollisuudet yhtiöllä olisi ”korjata” rikkomus. Mikäli viranomainen valtaansa käyttää, päätöksen kohteeksi joutuvat henkilöt joutuvat jättämään tehtävänsä ja yritys joutuu järjestämään korkeimman johdon tehtävät uudelleen. Tätä kukaan yritysjohtoon kuuluva ei halunne kokea. Vaikka säädös koskee vain rajoitettua joukkoa eli ns. keskeisiä toimijoita, pelotteen heijastusvaikutukset sopimusteitse ulottunevat laajalle joukolle sopimuskumppaneita.

Tietosuoja-asetuksesta tutut sakot ja sanktiot ovat myös kyberturvallisuuslain rikkomuksesta EU-määräyksiin pohjaten enimmäismäärältään miljoonaluokkaa.

Yritysjohdon näkökulmasta kyberturvallisuuslainsäädäntö vie aikaa ja vaivaa, aiheuttaa paljon kustannuksia, mutta varmuudella tuo hyvää teknistä kehitystä ja lisää kyberturvallisuutta. Kääntöpuolena vastuusäännöksistä johtuen paperityötä jouduttaneen tekemään, jotta voidaan tiukan paikan tullen osoittaa viranomaisille sääntelyn noudattaminen. Paljon julkisuudessa esillä ollut johdon henkilökohtainen vastuu on Suomessa pohjimmiltaan osakeyhtiöoikeudellista vastuuta, eikä uusi säädös tuo ohituskaistaa johdon henkilökohtaiseen taloudelliseen vastuuseen.

Asianajaja Juuso Tuppurainen ja asianajaja Aino-Kaisu Renko
Asianajotoimisto Pro Juridica Oy

Kirjoitus on julkaisu alun perin Keski-Suomen Kauppakamari-lehdessä numerossa 4/2024.

Jäsenenä saat maksutonta neuvontaa muun muassa talous-, laki-, vero- ja GDPR-asioissa. Voit lähettää kysymyksesi osoitteeseen neuvonta@kskauppakamari.fi tai ottaa yhteyttä suoraan yhteistyökumppaneihimme.