Euroopan unioni pyrkii parantamaan kyberturvallisuutta NIS 2 -direktiivillä eli direktiivillä ”toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa”. Verrattuna aiempaan NIS 2 -direktiivi paitsi tiukentaa kyberturvallisuuteen liittyviä velvoitteita myös laajentaa velvoitteiden soveltamisalaa uusille toimialoille.
24.2.2025
NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista
Eija Warma-Lehtinen & Janne Koivisto
Palvelut
Tags
NIS 2 -direktiivi saatetaan Suomessa osaksi kansallista lainsäädäntöä eli implementoidaan säätämällä kokonaan uusi kyberturvallisuuslaki. Jäsenvaltioiden tuli implementoida direktiivi 18.10.2024 mennessä. Implementointi on viivästynyt Suomessa, kuten monessa muussakin jäsenvaltiossa. Odotettavissa kuitenkin on, että kyberturvallisuuslaki astuu voimaan alkuvuoden aikana.
Kyberturvallisuuslain soveltamisalaan kuuluvia tahoja kutsutaan lakiluonnoksessa toimijoiksi. Kyberturvallisuuslaissa säädetään toimenpiteistä, joilla toimijan on hallittava kyberturvallisuusriskejä.
Vastuu riskienhallinnan toteuttamisesta ja valvonnan järjestämisestä sälytetään yksiselitteisesti toimijan johdolle: ”Toimijan johto vastaa kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy kyberturvallisuutta koskevan riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.”
Johdon vastuu on ymmärrettävästi herättänyt kysymyksiä. Kuka johtoon kuuluu? Mitä velvollisuuksia johdolla on? Mitä velvollisuuksien laiminlyönnistä voi seurata?
Tässä kirjoituksessa ennakoimme, minkälainen vastuu johdolla on NIS 2 -direktiivin tuomista velvoitteista. Koska suuri osa kyberturvallisuuslain soveltamisalaan kuuluvista toimijoista on osakeyhtiöitä, tarkastelemme asiaa osakeyhtiön johdon kannalta.
Kuka johtoon kuuluu?
Johdolla tarkoitetaan lakiluonnoksen mukaan ensinnäkin toimijan hallitusta, hallintoneuvostoa ja toimitusjohtajaa. Tältä osin johtoon kuuluvien osoittaminen on helppoa. Osakeyhtiö on velvollinen ilmoittamaan hallituksen jäsenten ja toimitusjohtajan henkilötiedot kaupparekisteriin, josta kuka tahansa voi käydä ne katsomassa.
Toiseksi johdolla tarkoitetaan ”muussa niihin rinnastettavassa asemassa olevaa, joka tosiasiallisesti johtaa sen toimintaa”. Kohta ei näytä laajentavan johdon määritelmää erityisen paljon, sillä se sisältää kaksi vaatimusta: aseman täytyy olla rinnastettavissa hallitukseen, hallintoneuvostoon ja toimitusjohtajaan, ja tässä asemassa tulee tosiasiallisesti johtaa toimijan toimintaa.
Hallituksen esityksessä todetaan, että tällaisessa asemassa voisi olla esimerkiksi avoimen yhtiön yhtiömies, kommandiittiyhtiön vastuunalainen yhtiömies, eurooppalaisen taloudellisen etuyhtymän henkilöjäsen tai yksityinen elinkeinonharjoittaja.
Ensisijainen seuraamus kohdistuu toimijaan
Johdon vastuun laiminlyönti voi hallituksen esityksen mukaan johtaa toimijaan kohdistuvaan hallinnolliseen seuraamukseen. Jos johto laiminlyö vastuunsa, ensisijaisesti rangaistaan siis toimijaa.
Kyberturvallisuuslain luonnoksessa keskeisin hallinnollinen seuraamus on hallinnollinen seuraamusmaksu. Se voidaan määrätä toimijalle, jos toimija laiminlyö tahallaan tai törkeästä huolimattomuudesta velvollisuuksiaan. Seuraamusmaksun enimmäismäärä on keskeisillä toimijoilla 10 miljoonaa euroa tai kaksi prosenttia kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeillä toimijoilla enimmäismäärät ovat 7 miljoonaa euroa tai 1,4 prosenttia liikevaihdosta.
Vaikka ensisijainen rangaistus kohdistuu toimijaan, tällä on toki käytännössä vaikutusta myös toimijan johtoon. Valvovan viranomaisen toteama laiminlyönti ja määräämä hallinnollinen seuraamus eivät ole omiaan lisäämään johdon nauttimaa luottamusta. Ääritapauksessa tämä voisi johtaa jopa siihen, että osakkeenomistajat päättävät vaihtaa johdon.
Keskeisen toimijan johdon toimintaa voidaan rajoittaa
NIS 2 -direktiivissä ja kyberturvallisuuslain luonnoksessa toimijat jaetaan keskeisiin ja tärkeisiin sen mukaan, kuinka kriittisiä ja suuria ne ovat. Keskeiset toimijat ovat kriittisempiä kuin tärkeät toimijat. Jaottelulla on vaikutusta myös johdon vastuuseen.
Lakiluonnos mahdollistaa sen, että valvova viranomainen voi kieltää määräajaksi henkilöä toimimasta keskeisen toimijan johdossa, jos tämä on toistuvasti ja vakavasti rikkonut velvollisuuksiaan. Lakiluonnoksen mukaan valvovan viranomaisen on ennen päätöksen tekemistä annettava keskeiselle toimijalle varoitus ja varattava toimijalle kohtuullinen määräaika puutteen tai laiminlyönnin korjaamiseksi. Päätös saa olla voimassa enintään niin kauan, kuin sen perusteena oleva puute tai laiminlyönti on korjaamatta, kuitenkin enintään viisi vuotta.
On oletettavaa, että johdon toiminnan rajoittamista ei nähdä usein. Tämä johtuu jo siitä, että keskeisiä toimijoita arvioidaan olevan Suomessa vain 250–500. Lisäksi johdon on rikottava velvollisuuksiaan toistuvasti ja vakavasti ja vielä valvovan viranomaisen antaman varoituksenkin jälkeen. Asioiden täytyy siis olla pahasti pielessä ennen kuin johdon toimintaa voidaan rajoittaa.
Vahingonkorvausvastuu on mahdollinen
Hallituksen esityksessä todetaan, että yhtiön johtoon kohdistuvasta vahingonkorvausvastuusta säädetään erikseen. Tämä merkitsee sitä, että osakeyhtiössä yhtiön johdon vahingonkorvausvastuu määräytyy ensisijaisesti osakeyhtiölain mukaan.
Osakeyhtiölaissa säädetään johdolle huolellisuusvelvoite, jonka mukaan yhtiön johdon on huolellisesti toimien edistettävä yhtiön etua. Osakeyhtiölain mukaan hallituksen jäsenen, hallintoneuvoston jäsenen ja toimitusjohtajan on korvattava vahinko, jonka hän on aiheuttanut yhtiölle tehtävässään huolellisuusvelvoitteen vastaisesti tahallaan tai huolimattomuudesta.
On siis periaatteessa mahdollista, että johto joutuisi korvaamaan yhtiölle laiminlyönnistä aiheutuneen vahingon. Merkillepantavaa on, että osakeyhtiölain mukainen vahingonkorvausvastuu koskee myös sellaisia varallisuusvahinkoja, jotka tulevat vahingonkorvauslain mukaan korvattavaksi vain poikkeuksellisesti.
Oikeuskäytännössä yhtiön johto on tyypillisesti joutunut korvausvastuuseen tilanteissa, joissa sen huolimattomuudesta on aiheutunut yhtiölle ylimääräisiä kuluja tai yhtiö ei ole saanut sille kuuluvia tuloja tai muita hyötyjä.
Toissijaisesti yhtiön johdon vahingonkorvausvastuu määräytyy vahingonkorvauslain mukaan. Vahingonkorvauslain mukaan se, joka tahallisesti tai tuottamuksesta aiheuttaa toiselle vahingon, on velvollinen korvaamaan sen. Tällainen vahingonkorvausvastuu voi kohdistua myös kolmanteen osapuoleen.
Vahingonkorvauslain mukainen korvausvastuu eroaa osakeyhtiölaissa säädetystä korvausvastuusta siinä, että vahingonkorvaus käsittää pääsääntöisesti hyvityksen vain henkilö- ja esinevahingosta. Kärsimys ja sellainen taloudellinen vahinko, joka ei ole yhteydessä henkilö- tai esinevahinkoon, tulevat korvattavaksi vain poikkeuksellisesti.
Yhtiön johdolle ei ehdoteta rikosvastuuta NIS 2 -direktiivin velvoitteiden laiminlyönnistä
Hallituksen esityksessä ei ehdoteta säädettäväksi yhtiön johdolle rikosvastuuta NIS 2 -direktiivin velvoitteiden laiminlyönnistä. On kuitenkin huomattava, että yksi ja sama laiminlyönti voi mahdollisesti rikkoa kyberturvallisuuslakia, täyttää jonkin rikoksen tunnusmerkistön ja rikkoa EU:n yleistä tietosuoja-asetusta.
Tästä syystä kyberturvallisuuslain luonnoksessa säädetään, että seuraamusmaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. Rikosoikeudellinen seuraamusjärjestelmä on siten ensisijainen suhteessa kyberturvallisuuslakiin.
Lisäksi luonnoksessa säädetään, että seuraamusmaksua ei saa määrätä sille, jolle on määrätty samasta teosta yleisen tietosuoja-asetuksen mukainen seuraamusmaksu. Nämä säännökset toteuttavat jo roomalaisessa oikeudessa tunnustettua ne bis in idem -kieltoa, jonka mukaan samasta teosta ei tule rangaista kahdesti.
Mitä johdon tulee huomioida ja mitkä ovat johdon vastuut kyberturvallisuudesta?
NIS 2 -direktiivi ja kyberturvallisuuslaki tuovat johdolle uusia velvollisuuksia. Johdon vastuut kyberturvallisuudesta voidaan tiivistää seuraavasti:
Järjestä riskienhallinta.
- Järjestä valvonta.
- Hyväksy riskienhallinnan toimintamalli.
- Valvo toimintamallin toteuttamista.
- Perehdy riittävästi riskienhallintaan.
Huomattavaa on, että hallituksen esityksen mukaan johdon vastuuseen kuuluu vastuu resursoida riskienhallinta riittävästi. Laiminlyönnin tullessa ilmi johdon voi siten olla vaikea vedota siihen, ettei riskienhallintaan ollut riittävästi käsipareja. Niitä olisi tullut järjestää.
Johdon omasta perehtyneisyydestä todetaan hallituksen esityksessä, että se edellyttää perehtyneisyyden hankkimista joko kouluttautumalla tai muulla vastaavalla tavalla säännöllisin väliajoin. Riittävä perehtyneisyys tulee hankkia ja sitä tulee pitää yllä säännöllisesti, mutta keinon voi valita itse.
Jotta johdon laiminlyönti voi johtaa seuraamuksiin, johdon toiminnan tulee olla joko tahallista tai huolimatonta. Hallinnolliseen seuraamusmaksuun edellytetään törkeää huolimattomuutta, mutta johdon vahingonkorvausvastuuseen riittää perusmuotoinenkin huolimattomuus. Tavoitteeksi tulee siten luonnollisesti asettaa huolellinen toiminta.
Korkein oikeus on linjannut, että huolellisuutta määrittävät eri tilanteita koskevat oikeusnormit. Lisäksi huolellisuutta arvioitaessa voidaan käyttää kulloinkin kysymyksessä olevalla alalla voimassa olevia määräyksiä ja hyväksyttyjä käytäntöjä.
Korkeimman oikeuden mukaan huolellisuuden mittapuu on usein asetettava tapauskohtaisesti arvioimalla eri toimintavaihtoehtojen etuja ja riskejä sekä vertailemalla tehtyjä valintoja siihen, miten huolellinen henkilö vastaavassa tilanteessa toimisi. Mieti siis, miten huolellinen johtaja toimisi asemassasi, ja toimi niin.
Uusimmat uutiset
Julkaistu 15.11.2024 – Data ja teknologia
Vältä nämä sudenkuopat ja sopimusmokat strategisissa IT-hankkeissa
Julkaistu 10.10.2024 – Data ja teknologia
Uusi kaksikäyttötuotelaki astui voimaan syyskuun puolivälissä – Mitä muuttuneesta sääntelystä tulee tietää?
Julkaistu 5.9.2024 – Data ja teknologia
Teknologiahankinta voi siivittää yrityksen kasvuun – tai kaataa sen
Julkaistu 6.5.2024 – Työoikeus
Yritykset ulkoistavat toimintojaan – neljä tärppiä onnistumiseen
Topi Lusenius
Kim Parviainen, Lauri Laatunen & Joakim Jaulimo
Topi Lusenius, Anders Forss & Kim Parviainen
Tomi Kemppainen, Kim Parviainen & Eija Warma-Lehtinen
Uusimmat referenssit
Valio – Härkis®- ja Beanit®-härkäpapubrändien osto
Avustimme Valio Oy:tä sen ostaessa Raisio Oyj:n kasviproteiiniliiketoiminnan, siihen liittyvän käyttöomaisuuden ja Härkis®- ja Beanit®-härkäpapubrändit. Käyttöomaisuuteen kuuluvat muun muassa kasviproteiinituotteita Kauhavalla valmistavan tehtaan laitteet. Kauppa tukee Valion strategiaa kasvaa meijeriyhtiöstä ruokataloksi. Tämä liiketoimintakauppa tekee meistä entistäkin merkittävämmän kasvipohjaisten proteiinituotteiden kehittäjän ja valmistajan. Näiden tuotteiden kysyntä kasvaa pitkällä aikavälillä ja kasvupotentiaalia on vielä paljon. Vuonna 2022 ostimme Gold&Green® -liiketoiminnan ja siitä lähtien olemme tehneet vahvaa tuotekehitystä sekä uudistaneet brändiä. Myynti on kasvanut onnistuneiden tuotelanseerauksien myötä vuoden 2024 viimeisellä neljänneksellä noin 50 % edelliseen verrattuna. Tällä kaupalla rakennamme omaa tuotantokyvykkyyttä. Kauhavan tehtaan tuotantovälineet sopivat juuri meidän tarpeeseemme ja tilanteeseemme Valion liiketoimintajohtaja Kimmo Luoma sanoo. Valio on vuonna 1905 perustettu suomalainen meijeri ja ruokatalo, jonka omistajia ovat suomalaiset maidontuottajaosuuskunnat. Valiolla on tytäryhtiöt Ruotsissa, Virossa, Yhdysvalloissa ja Kiinassa. Konsernin liikevaihto vuonna 2023 oli 2 278 miljoonaa euroa, ja sillä on yli 4 000 työntekijää.
Julkaistu 14.2.2025
WithSecure – Konsultointiliiketoiminnan myynti
Avustimme WithSecure Oyj:tä sen myydessä kyberturvallisuuskonsultointiliiketoimintansa Neqstille. WithSecure Oyj on listattu NASDAQ OMX Helsingissä. Neqst on ruotsalainen sijoitusyhtiö, joka keskittyy teknologiayrityksiin. Kaupan toteutuminen edellyttää vielä tavanomaisten ehtojen täyttymistä ja viranomaishyväksyntöjä.
Julkaistu 24.1.2025
Smarter Contracts – Ensimmäisen EU:n ulkopuolisen datan välityspalvelun rekisteröinti Suomeen
Avustimme Smarter Contracts Ltd:tä prosessissa, jossa Liikenne- ja viestintävirasto Traficom vahvisti sen EU:n tunnustamaksi datan välityspalveluksi. EU:n ulkopuolisten yritysten on nimettävä laillinen edustaja johonkin EU-maahan, jotta ne voivat tarjota datan välityspalveluja datanhallinta-asetuksen mukaisesti. Smarter Contracts sijaitsee Isossa-Britanniassa ja valitsi tehtävään Suomen. Smarter Contracts on ensimmäinen Traficomin rekisteröimä EU:n ulkopuolinen datan välityspalvelu. Smarter Contractsin perustaja ja toimitusjohtaja Wayne Lloyd: Castrénin tiimin tuki oli poikkeuksellista alusta loppuun. Uuden alueen valloitus on aina haastavaa, ja ensimmäisenä EU:n ulkopuolisena datan välityspalvelun tarjoajana kohtasimme merkittäviä oikeudellisia epävarmuuksia. Näistä haasteista huolimatta Castrénin tiimi ohjasi meitä asiantuntevasti jokaisessa vaiheessa huomattavalla tehokkuudella, tarjoten meille tarvittavaa varmuutta. Smarter Contracts tarjoaa kehittyneitä suostumus- ja käyttöoikeuksien hallintapalveluita kehittämänsä Pulse Permissions Protocol® -työkalun avulla. Tämä merkkipaalu on osoitus Castrén & Snellmanin taidosta hallita monimutkaisia sääntely-ympäristöjä ja Smarter Contractsin innovatiivisesta lähestymistavasta turvalliseen ja vaatimustenmukaiseen tietojen hallintaan.
Julkaistu 11.12.2024
Pharmaca Health Intelligence – PODIUM Connect- ja PODIUM Vierailut -liiketoimintojen osto
Avustimme Pharmaca Health Intelligencea sen ostaessa Mediaattori Oy:n PODIUM Connect®- ja PODIUM Vierailut -liiketoiminnat. Liiketoimintakaupan myötä Pharmaca Health Intelligence vahvistaa palvelutarjontaansa sekä terveydenhuollon edustajille että lääkeyrityksille. Palvelutarjontaan kuuluu laajasti lääketiedon, tiedolla johtamisen ja koulutuksen palveluita. Pharmaca Health Intelligence on digitaalisen lääketiedon edelläkävijä sekä hyvinvointialueiden, yksityisen terveyspalvelusektorin ja apteekkien luotettava yhteistyötahona. Yhtiö panostaa lääkeinformaatioon liittyvien teknologia- ja palveluratkaisujen kehittämiseen myös kansainvälisesti.
Julkaistu 5.12.2024