Lisää teknologiainvestointeja Suomeen uuden verkko- ja tietoturvallisuusdirektiivin viisaalla implementoinnilla?

poro

Teknologiainvestoinneista puhutaan paljon. Esimerkiksi datakeskus on Yle Uutisten mukaan kunnanjohtajan märkä uni. Eikä suotta, sillä datakeskukset ovat varsin merkittäviä investointeja. Suomella on tunnetusti monta kilpailuetua juuri datakeskuksia ajatellen, kuten esimerkiksi nopeat tietoliikenneyhteydet, viileä ilmasto ja runsaasti osaavaa työvoimaa. Suomen pahin kilpailija uusista datakeskuksista on tietenkin Ruotsi. Kuten tyypillistä, ruotsalaiset ovat toistaiseksi pärjänneet Suomea paremmin. Nyt Euroopan komissio tarjoaa uuden verkko- ja tietoturvallisuusdirektiivin muodossa mahdollisuutta tehdä Suomesta houkuttelevampi kohde paitsi datakeskuksille, mutta myös houkutelevampi sijoittumiskohde kansainvälisille teknologiayhtiöille Euroopan unionissa.

Verkko- ja tietoturvallisuusdirektiivi, josta toisinaan puhutaan myös ”NIS-direktiivinä”, on jäänyt julkisessa keskustelussa jokseenkin tietosuoja-asetuksen varjoon. Direktiivin uskotaan tulevan voimaan tämän kesän aikana, arviolta elokuussa 2016. Direktiivi sisältää uutta sääntelyä, joka tulee saattaa osaksi kansallista lainsäädäntöä direktiivissä annetun määräajan kuluessa. Verkko- ja tietoturvallisuusdirektiivin kansallinen implementointi tulee varmasti yhtenä osatekijänä vaikuttamaan siihen, että mihin Euroopan unionin jäsenvaltioon kansainväliset teknologiayhtiöt tulevat sijoittumaan ja minne satojen miljoonien eurojen arvoisia datakeskusinvestointeja tullaan tekemään.

Uutta direktiiviä tullaan soveltamaan vain tietyillä yhteiskunnan ja talouden kriittisillä sektoreilla. Kriittisinä sektoreina pidetään esimerkiksi energiasektoria, finanssialaa ja digitaalista infrastruktuuria. Näillä kriittisillä sektoreilla toimivien keskeisten palveluntarjoajien on tulevaisuudessa noudatettava uuden verkko- ja tietoturvallisuusdirektiivin mukaisia vaatimuksia. Rikkomukset ja uuden sääntelyn noudattamatta jättäminen tullaan sanktioimaan huomattavilla sakoilla, jotka voidaan sitoa yhtiön kansainväliseen liikevaihtoon.  Digitaalisen infrastruktuurin osalta direktiivi koskee merkittäviä digitaalisten palveluiden tarjoajia, kuten esimerkiksi hakukoneyhtiöitä, keskeisiä verkkokauppa-alustoja ja huomattavia pilvipalveluiden tarjoajia. Kriittisen sektorin keskeisen palveluntarjoajan tulee muun muassa noudattaa direktiivin mukaista riskienhallintaa ja viranomaisraportointia koskevia velvollisuuksia.

Miten sitten uusi direktiivi voisi auttaa Suomea kansainvälisessä investointikohteiden kauneuskilpailussa? Verkko- ja tietoturvallisuusdirektiivi asettaa vähimmäistason kansalliselle lainsäädännölle ja jättää jäsenvaltioille huomattavasti pelivaraa säännösten yksityiskohtien laatimiseen ja sujuvan viranomaistoiminnan toteuttamiseen. Suomi on lukuisista syistä johtuen ihanteellinen sijainti myös Aasian ja Euroopan välisen dataliikenteen solmukohdaksi. EU:n yhteismarkkinoiden valtavan koon ja direktiivin edellyttämien huomattavien sanktiomekanismien vuoksi implementointia tullaan seuraamaan suurella mielenkiinnolla teknologiayhtiöissä aina Piilaaksosta Kiinaan ja Intiaan.

Liikenne- ja viestintäministeriö julkaisi keväällä kansallisen tietoturvallisuusstrategian nimellä ”Suomen tietoturvallisuusstrategia – maailman luotetuinta digitaalista liiketoimintaa”. Yhtenä tietoturvallisuusstrategian visiona on se, että Suomessa on digitaalisen liiketoiminnan kannalta kilpailukykyinen ja edistyksellinen lainsäädäntö. On syytä toivoa, että lainsäätäjä tulee pitämään kiinni tästä visiosta implementoidessa verkko- ja tietoturvallisuusdirektiiviä.