Kyberturvallisuuslain mukaisesta johdon vastuusta

NIS 2 -direktiivi ja 8. huhtikuuta voimaan tullut kansallinen kyberturvallisuuslaki velvoittavat kriittisten toimialojen toimijoita hallitsemaan kyberturvallisuusriskejä, raportoimaan merkittävistä tietoturvapoikkeamista sekä ilmoittautumaan valvovan viranomaisen ylläpitämään toimijaluetteloon.

Alla yhteenvetoa kyberturvallisuuslain mukaisesta johdon vastuusta.

Kyberturvallisuuslain 10 § kuvaa johdon vastuuta seuraavasti:

”Toimijan johto vastaa kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy kyberturvallisuutta koskevan riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.

Johdolla tarkoitetaan toimijan hallitusta, hallintoneuvostoa ja toimitusjohtajaa sekä muussa niihin rinnastettavassa asemassa olevaa, joka tosiasiallisesti johtaa sen toimintaa.”

Toimijalla tarkoitetaan lain mukaan myös yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajia. Hallituksen esityksessä 57/2024 täsmennetään yllä olevan 10 §:n sisältöä seuraavasti:

”Vastuu tarkoittaisi viimesijaista vastuuta järjestää ja resursoida riskienhallinta asianmukaisesti, sekä valvoa sen toimintaa. Toimijan johto hyväksyisi kyberturvallisuuden riskienhallinnan toimintamallin sekä valvoisi riskienhallinnan toteuttamista, resursointia, toimenpiteitä, riskiarvioiden ajantasaisuutta ja toimenpiteiden vaikuttavuutta. Toimijan johdolla tulisi niin ikään olla riittävä ja ajantasainen perehtyneisyys kyberturvallisuuden riskienhallintaan, mikä edellyttäisi perehtyneisyyden hankkimista joko kouluttautumalla tai muulla vastaavalla tavalla säännöllisin väliajoin. Osana 9 §:ssä tarkoitettuja hallintatoimenpiteitä johto huolehtii myös henkilöstön kyberturvallisuuskoulutuksen järjestämisestä.”

Ensisijainen vastuu yrityksellä

Kyberturvallisuuslain mukainen seuraamusmaksu voidaan määritellä toimijalle, jos se muun muassa laiminlyö velvollisuuden hallinta riskejä. Näin ollen johdon vastuun laiminlyönti voi saada aikaan sen, että yritykselle määrätään lain tarkoittama seuraamusmaksu. Ns. keskeiselle toimijalle[1] määrättävän hallinnollisen seuraamusmaksun enimmäismäärä on 10 000 000 euroa tai kaksi prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Muulle kuin keskeiselle toimijalle määrättävän hallinnollisen seuraamusmaksun enimmäismäärä on 7 000 000 euroa tai 1,4 prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Johdon toimintaa voidaan rajoittaa

Kyberturvallisuuslain mukaan valvova viranomainen voi kieltää määräajaksi henkilöä toimimasta keskeisen toimijan hallituksen jäsenenä tai varajäsenenä, hallintoneuvoston jäsenenä tai varajäsenenä, toimitusjohtajana tai muussa siihen rinnastettavassa asemassa, jos tämä on toistuvasti ja vakavasti rikkonut em. 10 §:ssä säädettyjä velvollisuuksia. Valvovan viranomaisen on ennen päätöksen tekemistä annettava keskeiselle toimijalle varoitus, jossa yksilöidään puute tai laiminlyönti, jonka korjaamatta jättäminen voi johtaa päätökseen johdon toiminnan rajoittamisesta, sekä varattava toimijalle kohtuullinen määräaika puutteen tai laiminlyönnin korjaamiseksi. Päätös saa olla voimassa enintään niin kauan, kuin sen perusteena oleva puute tai laiminlyönti on korjaamatta, kuitenkin enintään viisi vuotta.

Vahingonkorvausvastuusta

Em. hallituksen esityksen mukaan yhtiön johtoon kohdistuvasta vahingonkorvausvastuusta säädetään erikseen.

Osakeyhtiölain mukaan hallituksen jäsenen, hallintoneuvoston jäsenen ja toimitusjohtajan on korvattava vahinko, jonka hän on tehtävässään osakeyhtiölaissa säädetyn huolellisuusvelvoitteen vastaisesti tahallaan tai huolimattomuudesta aiheuttanut yhtiölle. Vastaava säädös löytyy myös osuuskuntalaista. Tämä vastuu voisi koskea myös varallisuusvahinkojen korvaamista – kuten tilannetta, jossa toimijalle on aiheutunut ylimääräisiä kuluja tai toimija ei ole saanut sille kuuluvia tuloja.

Toissijaisesti vahingonkorvausvastuu määrittyisi vahingonkorvauslain mukaisesti: ”Joka tahallisesti tai tuottamuksesta aiheuttaa toiselle vahingon, on velvollinen korvaamaan sen.” Vahingonkorvauslain mukaan ei kuitenkaan lähtökohtaisesti korvattaisi taloudellisia vahinkoja, vaan pääsääntöisesti henkilö- ja esinevahinkoja.

Linkki kyberturvallisuuslakiin

Linkki kyberturvallisuuslakia koskevaan hallituksen esitykseen

 

Lisätietoja Finnet-liitosta: lakiasiainjohtaja Marko Vuorinen marko.vuorinen@finnet.fi

[1] Keskeisenä toimijana pidetään muun muassa yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajia, jotka täyttävät tai ylittävät mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen mukaiset keskisuuria yrityksiä koskevat edellytykset.