NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista

NIS 2 -direktiivi saatetaan Suomessa osaksi kansallista lainsäädäntöä eli implementoidaan säätämällä kokonaan uusi kyberturvallisuuslaki. Jäsenvaltioiden tuli implementoida direktiivi 18.10.2024 mennessä. Implementointi on viivästynyt Suomessa, kuten monessa muussakin jäsenvaltiossa. Odotettavissa kuitenkin on, että kyberturvallisuuslaki astuu voimaan alkuvuoden aikana.

Kyberturvallisuuslain soveltamisalaan kuuluvia tahoja kutsutaan lakiluonnoksessa toimijoiksi. Kyberturvallisuuslaissa säädetään toimenpiteistä, joilla toimijan on hallittava kyberturvallisuusriskejä.

Vastuu riskienhallinnan toteuttamisesta ja valvonnan järjestämisestä sälytetään yksiselitteisesti toimijan johdolle: ”Toimijan johto vastaa kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy kyberturvallisuutta koskevan riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.”

Johdon vastuu on ymmärrettävästi herättänyt kysymyksiä. Kuka johtoon kuuluu? Mitä velvollisuuksia johdolla on? Mitä velvollisuuksien laiminlyönnistä voi seurata?

Tässä kirjoituksessa ennakoimme, minkälainen vastuu johdolla on NIS 2 -direktiivin tuomista velvoitteista. Koska suuri osa kyberturvallisuuslain soveltamisalaan kuuluvista toimijoista on osakeyhtiöitä, tarkastelemme asiaa osakeyhtiön johdon kannalta.

Kuka johtoon kuuluu?

Johdolla tarkoitetaan lakiluonnoksen mukaan ensinnäkin toimijan hallitusta, hallintoneuvostoa ja toimitusjohtajaa. Tältä osin johtoon kuuluvien osoittaminen on helppoa. Osakeyhtiö on velvollinen ilmoittamaan hallituksen jäsenten ja toimitusjohtajan henkilötiedot kaupparekisteriin, josta kuka tahansa voi käydä ne katsomassa.

Toiseksi johdolla tarkoitetaan ”muussa niihin rinnastettavassa asemassa olevaa, joka tosiasiallisesti johtaa sen toimintaa”. Kohta ei näytä laajentavan johdon määritelmää erityisen paljon, sillä se sisältää kaksi vaatimusta: aseman täytyy olla rinnastettavissa hallitukseen, hallintoneuvostoon ja toimitusjohtajaan, ja tässä asemassa tulee tosiasiallisesti johtaa toimijan toimintaa.

Hallituksen esityksessä todetaan, että tällaisessa asemassa voisi olla esimerkiksi avoimen yhtiön yhtiömies, kommandiittiyhtiön vastuunalainen yhtiömies, eurooppalaisen taloudellisen etuyhtymän henkilöjäsen tai yksityinen elinkeinonharjoittaja.

Ensisijainen seuraamus kohdistuu toimijaan

Johdon vastuun laiminlyönti voi hallituksen esityksen mukaan johtaa toimijaan kohdistuvaan hallinnolliseen seuraamukseen. Jos johto laiminlyö vastuunsa, ensisijaisesti rangaistaan siis toimijaa.

Kyberturvallisuuslain luonnoksessa keskeisin hallinnollinen seuraamus on hallinnollinen seuraamusmaksu. Se voidaan määrätä toimijalle, jos toimija laiminlyö tahallaan tai törkeästä huolimattomuudesta velvollisuuksiaan. Seuraamusmaksun enimmäismäärä on keskeisillä toimijoilla 10 miljoonaa euroa tai kaksi prosenttia kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeillä toimijoilla enimmäismäärät ovat 7 miljoonaa euroa tai 1,4 prosenttia liikevaihdosta.

Vaikka ensisijainen rangaistus kohdistuu toimijaan, tällä on toki käytännössä vaikutusta myös toimijan johtoon. Valvovan viranomaisen toteama laiminlyönti ja määräämä hallinnollinen seuraamus eivät ole omiaan lisäämään johdon nauttimaa luottamusta. Ääritapauksessa tämä voisi johtaa jopa siihen, että osakkeenomistajat päättävät vaihtaa johdon.

Keskeisen toimijan johdon toimintaa voidaan rajoittaa

NIS 2 -direktiivissä ja kyberturvallisuuslain luonnoksessa toimijat jaetaan keskeisiin ja tärkeisiin sen mukaan, kuinka kriittisiä ja suuria ne ovat. Keskeiset toimijat ovat kriittisempiä kuin tärkeät toimijat. Jaottelulla on vaikutusta myös johdon vastuuseen.

Lakiluonnos mahdollistaa sen, että valvova viranomainen voi kieltää määräajaksi henkilöä toimimasta keskeisen toimijan johdossa, jos tämä on toistuvasti ja vakavasti rikkonut velvollisuuksiaan. Lakiluonnoksen mukaan valvovan viranomaisen on ennen päätöksen tekemistä annettava keskeiselle toimijalle varoitus ja varattava toimijalle kohtuullinen määräaika puutteen tai laiminlyönnin korjaamiseksi. Päätös saa olla voimassa enintään niin kauan, kuin sen perusteena oleva puute tai laiminlyönti on korjaamatta, kuitenkin enintään viisi vuotta.

On oletettavaa, että johdon toiminnan rajoittamista ei nähdä usein. Tämä johtuu jo siitä, että keskeisiä toimijoita arvioidaan olevan Suomessa vain 250–500. Lisäksi johdon on rikottava velvollisuuksiaan toistuvasti ja vakavasti ja vielä valvovan viranomaisen antaman varoituksenkin jälkeen. Asioiden täytyy siis olla pahasti pielessä ennen kuin johdon toimintaa voidaan rajoittaa.

Vahingonkorvausvastuu on mahdollinen

Hallituksen esityksessä todetaan, että yhtiön johtoon kohdistuvasta vahingonkorvausvastuusta säädetään erikseen. Tämä merkitsee sitä, että osakeyhtiössä yhtiön johdon vahingonkorvausvastuu määräytyy ensisijaisesti osakeyhtiölain mukaan.

Osakeyhtiölaissa säädetään johdolle huolellisuusvelvoite, jonka mukaan yhtiön johdon on huolellisesti toimien edistettävä yhtiön etua. Osakeyhtiölain mukaan hallituksen jäsenen, hallintoneuvoston jäsenen ja toimitusjohtajan on korvattava vahinko, jonka hän on aiheuttanut yhtiölle tehtävässään huolellisuusvelvoitteen vastaisesti tahallaan tai huolimattomuudesta.

On siis periaatteessa mahdollista, että johto joutuisi korvaamaan yhtiölle laiminlyönnistä aiheutuneen vahingon. Merkillepantavaa on, että osakeyhtiölain mukainen vahingonkorvausvastuu koskee myös sellaisia varallisuusvahinkoja, jotka tulevat vahingonkorvauslain mukaan korvattavaksi vain poikkeuksellisesti.

Oikeuskäytännössä yhtiön johto on tyypillisesti joutunut korvausvastuuseen tilanteissa, joissa sen huolimattomuudesta on aiheutunut yhtiölle ylimääräisiä kuluja tai yhtiö ei ole saanut sille kuuluvia tuloja tai muita hyötyjä.

Toissijaisesti yhtiön johdon vahingonkorvausvastuu määräytyy vahingonkorvauslain mukaan. Vahingonkorvauslain mukaan se, joka tahallisesti tai tuottamuksesta aiheuttaa toiselle vahingon, on velvollinen korvaamaan sen. Tällainen vahingonkorvausvastuu voi kohdistua myös kolmanteen osapuoleen.

Vahingonkorvauslain mukainen korvausvastuu eroaa osakeyhtiölaissa säädetystä korvausvastuusta siinä, että vahingonkorvaus käsittää pääsääntöisesti hyvityksen vain henkilö- ja esinevahingosta. Kärsimys ja sellainen taloudellinen vahinko, joka ei ole yhteydessä henkilö- tai esinevahinkoon, tulevat korvattavaksi vain poikkeuksellisesti.

Yhtiön johdolle ei ehdoteta rikosvastuuta NIS 2 -direktiivin velvoitteiden laiminlyönnistä

Hallituksen esityksessä ei ehdoteta säädettäväksi yhtiön johdolle rikosvastuuta NIS 2 -direktiivin velvoitteiden laiminlyönnistä. On kuitenkin huomattava, että yksi ja sama laiminlyönti voi mahdollisesti rikkoa kyberturvallisuuslakia, täyttää jonkin rikoksen tunnusmerkistön ja rikkoa EU:n yleistä tietosuoja-asetusta.

Tästä syystä kyberturvallisuuslain luonnoksessa säädetään, että seuraamusmaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. Rikosoikeudellinen seuraamusjärjestelmä on siten ensisijainen suhteessa kyberturvallisuuslakiin.

Lisäksi luonnoksessa säädetään, että seuraamusmaksua ei saa määrätä sille, jolle on määrätty samasta teosta yleisen tietosuoja-asetuksen mukainen seuraamusmaksu. Nämä säännökset toteuttavat jo roomalaisessa oikeudessa tunnustettua ne bis in idem -kieltoa, jonka mukaan samasta teosta ei tule rangaista kahdesti.

Mitä johdon tulee huomioida ja mitkä ovat johdon vastuut kyberturvallisuudesta?

NIS 2 -direktiivi ja kyberturvallisuuslaki tuovat johdolle uusia velvollisuuksia. Johdon vastuut kyberturvallisuudesta voidaan tiivistää seuraavasti:

1. Järjestä riskienhallinta.

2. Järjestä valvonta.
3. Hyväksy riskienhallinnan toimintamalli.
4. Valvo toimintamallin toteuttamista.
5. Perehdy riittävästi riskienhallintaan.

Huomattavaa on, että hallituksen esityksen mukaan johdon vastuuseen kuuluu vastuu resursoida riskienhallinta riittävästi. Laiminlyönnin tullessa ilmi johdon voi siten olla vaikea vedota siihen, ettei riskienhallintaan ollut riittävästi käsipareja. Niitä olisi tullut järjestää.

Johdon omasta perehtyneisyydestä todetaan hallituksen esityksessä, että se edellyttää perehtyneisyyden hankkimista joko kouluttautumalla tai muulla vastaavalla tavalla säännöllisin väliajoin. Riittävä perehtyneisyys tulee hankkia ja sitä tulee pitää yllä säännöllisesti, mutta keinon voi valita itse.

Jotta johdon laiminlyönti voi johtaa seuraamuksiin, johdon toiminnan tulee olla joko tahallista tai huolimatonta. Hallinnolliseen seuraamusmaksuun edellytetään törkeää huolimattomuutta, mutta johdon vahingonkorvausvastuuseen riittää perusmuotoinenkin huolimattomuus. Tavoitteeksi tulee siten luonnollisesti asettaa huolellinen toiminta.

Korkein oikeus on linjannut, että huolellisuutta määrittävät eri tilanteita koskevat oikeusnormit. Lisäksi huolellisuutta arvioitaessa voidaan käyttää kulloinkin kysymyksessä olevalla alalla voimassa olevia määräyksiä ja hyväksyttyjä käytäntöjä.

Korkeimman oikeuden mukaan huolellisuuden mittapuu on usein asetettava tapauskohtaisesti arvioimalla eri toimintavaihtoehtojen etuja ja riskejä sekä vertailemalla tehtyjä valintoja siihen, miten huolellinen henkilö vastaavassa tilanteessa toimisi. Mieti siis, miten huolellinen johtaja toimisi asemassasi, ja toimi niin.