Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely

Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely

Kriittisen infrastruktuurin osana olevat organisaatiot tarjoavat yhteiskunnan keskeisiä palveluita. Näiden palveluiden tarjoamisen jatkuvuutta ja turvallisuutta varmistetaan Euroopan unionin verkko- ja tietojärjestelmien turvallisuusdirektiivillä (NIS), jota parhaillaan ollaan EU:ssa uudistamassa. N...

Full description

Bibliographic Details
Main Author: Lahti, Ville
Other Authors: Informaatioteknologian tiedekunta, Faculty of Information Technology, Informaatioteknologia, Information Technology, Jyväskylän yliopisto, University of Jyväskylä
Format: Master's thesis
Language:fin
Published: 2022
Subjects:
Kyberturvallisuus
601
tieliikenne
meriliikenne
raideliikenne
lainsäädäntö
turvallisuus
sääntely
liikenne
riskienhallinta
liikennejärjestelmät
EU-direktiivit
oikeudellinen sääntely
valvonta
kyberturvallisuus
Online Access: https://jyx.jyu.fi/handle/123456789/80428
_version_ 1826225753269731328
author Lahti, Ville
author2 Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä
author_facet Lahti, Ville Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä Lahti, Ville Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä
author_sort Lahti, Ville
datasource_str_mv jyx
description Kriittisen infrastruktuurin osana olevat organisaatiot tarjoavat yhteiskunnan keskeisiä palveluita. Näiden palveluiden tarjoamisen jatkuvuutta ja turvallisuutta varmistetaan Euroopan unionin verkko- ja tietojärjestelmien turvallisuusdirektiivillä (NIS), jota parhaillaan ollaan EU:ssa uudistamassa. NIS-direktiivin velvoitteet ovat olleet osa kansallista lainsäädäntöä vuodesta 2018 asti, mutta aiheeseen liittyvää oikeustieteellistä tutkimusta ei ole aikaisemmin Suomessa julkaistu. Tutkielmassa oikeustieteen lainopillista tutkimusmetodia hyödyntäen tulkitaan ja systematisoidaan verkko- ja tietojärjestelmien turvallisuussääntelyä liikennejärjestelmässä raide-, tie- ja vesiliikenteen näkökulmista. Tutkimuksen tarkoituksena on oikeudellisesta näkökulmasta selventää, keitä sääntely koskee, mitä sääntelyn kohteena olevilta vaaditaan ja miten sääntelyn noudattamista valvotaan. Sääntelyn soveltamisalan osalta havaittiin sääntelyn koskevan vakiintunutta käytäntöä laajempaa joukkoa yhteiskunnan keskeisten palveluiden tarjo-ajia. Sääntelyn kohteena olevien keskeisten palveluiden tarjoajien riskienhallinta- ja ilmoittamisvelvollisuuden osalta luotiin sääntelyn sisältöä selkeyttäviä määritelmiä. Kuitenkaan määritelmillä ei pystytty täysin poistamaan sääntelyn jättämää tulkinnanvaraisuutta. Verkko- ja tietojärjestelmien turvallisuusvelvoitteiden noudattamista liikennejärjestelmässä valvoo Liikenne- ja viestintävirasto Traficom. Valvovan viranomaisen valvontavelvollisuuksissa tunnistettiin puute, joka voi heikentää raideliikenteen kyberturvallisuuden valvontaa sekä poiketa NIS-direktiivin vähimmäisvaatimuksista. Valvonnan toimivaltuuksissa havaittiin merkittäviä eroavaisuuksia eri liikennemuotojen välillä, vaikka kaikissa liikennöintimuodoissa on kyse samankaltaisten velvoitteiden noudattamisen valvonnasta. NIS-direktiivi velvoittaa jäsenvaltioita säätämään direktiivin nojalla annettujen kansallisten säännösten rikkomiseen sovellettavista seuraamuksista, mutta ainoastaan raideliikenteessä huomautuksesta ja varoituksesta seuraamuksena on säädetty. Kansallisessa lainsäädännössä Liikenne- ja viestintävirastolle on annettu määräystoimivaltaa. Vaikka määräystoimivalta ei kata kaikkia tutkielmassa tunnistettuja tulkinnanvaraisia tilanteita, tutkielmassa suositetaan määräystoimivallan hyödyntämistä ja esitetään mistä määräämällä sääntelyä voisi täsmentää. Organizations as part of the critical infrastructure provide essential services for society. Continuity and security of these services are ensured by security of network and information systems directive (NIS), which is planned to be replaced in European Union by new directive on high common level of cybersecurity. Obligations stemming from NIS-directive have been part of Finland’s national legislation since 2018, but jurisprudential research has not been conducted before on this topic. Using legal dogmatic research method, the national network and information security legislation is interpreted and systematized de lege lata in transportation system (rail, road and maritime). The aim of the research is, from jurisprudential perspective, to clarify who are providers of essential services, what obligations these providers have and how the compliance of network and information security obligations are supervised. The study points out that national legislation obliges larger number of providers of essential services than what is previously understood. The study provides definitions, which clarify ambiguity of risk management and reporting obligations of providers of essential services. However, proposed definitions do not solve all ambiguities. The supervision of the compliance of network and information security obligations is tasked for the Finnish Transport and Communications Agency Traficom. The study identifies a shortcoming in Traficom’s supervision obligations, which might hinder the supervision of cybersecurity compliance in railway transportation and fall behind from obligations of the NIS-directive. Even though NIS-obligations are nearly identical in transport system, the study shows that competent authority’s powers and means to assess the compliance of NIS-obligations widely vary between transportation sectors. According to the directive, member states shall lay down the rules on penalties applicable to infringements of national provisions adopted pursuant to NIS-directive. However, only in railway transportation the competent authority may issue notifications and warnings as a penalty. The national legislation provides for Traficom the authority to issue regulations on cybersecurity requirements, but the competence does not cover all ambiguities identified in this study. Nevertheless, the study recommends to issue regulation and provides proposals what the regulation could cover.
first_indexed 2022-03-30T20:04:28Z
format Pro gradu
free_online_boolean 1
fullrecord [{"key": "dc.contributor.advisor", "value": "Siponen, Mikko", "language": "", "element": "contributor", "qualifier": "advisor", "schema": "dc"}, {"key": "dc.contributor.author", "value": "Lahti, Ville", "language": "", "element": "contributor", "qualifier": "author", "schema": "dc"}, {"key": "dc.date.accessioned", "value": "2022-03-30T05:28:58Z", "language": null, "element": "date", "qualifier": "accessioned", "schema": "dc"}, {"key": "dc.date.available", "value": "2022-03-30T05:28:58Z", "language": null, "element": "date", "qualifier": "available", "schema": "dc"}, {"key": "dc.date.issued", "value": "2022", "language": "", "element": "date", "qualifier": "issued", "schema": "dc"}, {"key": "dc.identifier.uri", "value": "https://jyx.jyu.fi/handle/123456789/80428", "language": null, "element": "identifier", "qualifier": "uri", "schema": "dc"}, {"key": "dc.description.abstract", "value": "Kriittisen infrastruktuurin osana olevat organisaatiot tarjoavat yhteiskunnan keskeisi\u00e4 palveluita. N\u00e4iden palveluiden tarjoamisen jatkuvuutta ja turvallisuutta varmistetaan Euroopan unionin verkko- ja tietoj\u00e4rjestelmien turvallisuusdirektiivill\u00e4 (NIS), jota parhaillaan ollaan EU:ssa uudistamassa. NIS-direktiivin velvoitteet ovat olleet osa kansallista lains\u00e4\u00e4d\u00e4nt\u00f6\u00e4 vuodesta 2018 asti, mutta aiheeseen liittyv\u00e4\u00e4 oikeustieteellist\u00e4 tutkimusta ei ole aikaisemmin Suomessa julkaistu. Tutkielmassa oikeustieteen lainopillista tutkimusmetodia hy\u00f6dynt\u00e4en tulkitaan ja systematisoidaan verkko- ja tietoj\u00e4rjestelmien turvallisuuss\u00e4\u00e4ntely\u00e4 liikennej\u00e4rjestelm\u00e4ss\u00e4 raide-, tie- ja vesiliikenteen n\u00e4k\u00f6kulmista. Tutkimuksen tarkoituksena on oikeudellisesta n\u00e4k\u00f6kulmasta selvent\u00e4\u00e4, keit\u00e4 s\u00e4\u00e4ntely koskee, mit\u00e4 s\u00e4\u00e4ntelyn kohteena olevilta vaaditaan ja miten s\u00e4\u00e4ntelyn noudattamista valvotaan. S\u00e4\u00e4ntelyn soveltamisalan osalta havaittiin s\u00e4\u00e4ntelyn koskevan vakiintunutta k\u00e4yt\u00e4nt\u00f6\u00e4 laajempaa joukkoa yhteiskunnan keskeisten palveluiden tarjo-ajia. S\u00e4\u00e4ntelyn kohteena olevien keskeisten palveluiden tarjoajien riskienhallinta- ja ilmoittamisvelvollisuuden osalta luotiin s\u00e4\u00e4ntelyn sis\u00e4lt\u00f6\u00e4 selkeytt\u00e4vi\u00e4 m\u00e4\u00e4ritelmi\u00e4. Kuitenkaan m\u00e4\u00e4ritelmill\u00e4 ei pystytty t\u00e4ysin poistamaan s\u00e4\u00e4ntelyn j\u00e4tt\u00e4m\u00e4\u00e4 tulkinnanvaraisuutta. Verkko- ja tietoj\u00e4rjestelmien turvallisuusvelvoitteiden noudattamista liikennej\u00e4rjestelm\u00e4ss\u00e4 valvoo Liikenne- ja viestint\u00e4virasto Traficom. Valvovan viranomaisen valvontavelvollisuuksissa tunnistettiin puute, joka voi heikent\u00e4\u00e4 raideliikenteen kyberturvallisuuden valvontaa sek\u00e4 poiketa NIS-direktiivin v\u00e4himm\u00e4isvaatimuksista. Valvonnan toimivaltuuksissa havaittiin merkitt\u00e4vi\u00e4 eroavaisuuksia eri liikennemuotojen v\u00e4lill\u00e4, vaikka kaikissa liikenn\u00f6intimuodoissa on kyse samankaltaisten velvoitteiden noudattamisen valvonnasta. NIS-direktiivi velvoittaa j\u00e4senvaltioita s\u00e4\u00e4t\u00e4m\u00e4\u00e4n direktiivin nojalla annettujen kansallisten s\u00e4\u00e4nn\u00f6sten rikkomiseen sovellettavista seuraamuksista, mutta ainoastaan raideliikenteess\u00e4 huomautuksesta ja varoituksesta seuraamuksena on s\u00e4\u00e4detty. Kansallisessa lains\u00e4\u00e4d\u00e4nn\u00f6ss\u00e4 Liikenne- ja viestint\u00e4virastolle on annettu m\u00e4\u00e4r\u00e4ystoimivaltaa. Vaikka m\u00e4\u00e4r\u00e4ystoimivalta ei kata kaikkia tutkielmassa tunnistettuja tulkinnanvaraisia tilanteita, tutkielmassa suositetaan m\u00e4\u00e4r\u00e4ystoimivallan hy\u00f6dynt\u00e4mist\u00e4 ja esitet\u00e4\u00e4n mist\u00e4 m\u00e4\u00e4r\u00e4\u00e4m\u00e4ll\u00e4 s\u00e4\u00e4ntely\u00e4 voisi t\u00e4sment\u00e4\u00e4.", "language": "fi", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.abstract", "value": "Organizations as part of the critical infrastructure provide essential services for society. Continuity and security of these services are ensured by security of network and information systems directive (NIS), which is planned to be replaced in European Union by new directive on high common level of cybersecurity. Obligations stemming from NIS-directive have been part of Finland\u2019s national legislation since 2018, but jurisprudential research has not been conducted before on this topic. Using legal dogmatic research method, the national network and information security legislation is interpreted and systematized de lege lata in transportation system (rail, road and maritime). The aim of the research is, from jurisprudential perspective, to clarify who are providers of essential services, what obligations these providers have and how the compliance of network and information security obligations are supervised. The study points out that national legislation obliges larger number of providers of essential services than what is previously understood. The study provides definitions, which clarify ambiguity of risk management and reporting obligations of providers of essential services. However, proposed definitions do not solve all ambiguities. The supervision of the compliance of network and information security obligations is tasked for the Finnish Transport and Communications Agency Traficom. The study identifies a shortcoming in Traficom\u2019s supervision obligations, which might hinder the supervision of cybersecurity compliance in railway transportation and fall behind from obligations of the NIS-directive. Even though NIS-obligations are nearly identical in transport system, the study shows that competent authority\u2019s powers and means to assess the compliance of NIS-obligations widely vary between transportation sectors. According to the directive, member states shall lay down the rules on penalties applicable to infringements of national provisions adopted pursuant to NIS-directive. However, only in railway transportation the competent authority may issue notifications and warnings as a penalty. The national legislation provides for Traficom the authority to issue regulations on cybersecurity requirements, but the competence does not cover all ambiguities identified in this study. Nevertheless, the study recommends to issue regulation and provides proposals what the regulation could cover.", "language": "en", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Submitted by Paivi Vuorio (paelvuor@jyu.fi) on 2022-03-30T05:28:58Z\nNo. of bitstreams: 0", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Made available in DSpace on 2022-03-30T05:28:58Z (GMT). No. of bitstreams: 0\n Previous issue date: 2022", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.format.extent", "value": "93", "language": "", "element": "format", "qualifier": "extent", "schema": "dc"}, {"key": "dc.format.mimetype", "value": "application/pdf", "language": null, "element": "format", "qualifier": "mimetype", "schema": "dc"}, {"key": "dc.language.iso", "value": "fin", "language": null, "element": "language", "qualifier": "iso", "schema": "dc"}, {"key": "dc.rights", "value": "In Copyright", "language": "en", "element": "rights", "qualifier": null, "schema": "dc"}, {"key": "dc.title", "value": "Liikennej\u00e4rjestelm\u00e4n verkko- ja tietoj\u00e4rjestelmien turvallisuuden s\u00e4\u00e4ntely", "language": "", "element": "title", "qualifier": null, "schema": "dc"}, {"key": "dc.type", "value": "master thesis", "language": null, "element": "type", "qualifier": null, "schema": "dc"}, {"key": "dc.identifier.urn", "value": "URN:NBN:fi:jyu-202203302112", "language": "", "element": "identifier", "qualifier": "urn", "schema": "dc"}, {"key": "dc.type.ontasot", "value": "Pro gradu -tutkielma", "language": "fi", "element": "type", "qualifier": "ontasot", "schema": "dc"}, {"key": "dc.type.ontasot", "value": "Master\u2019s thesis", "language": "en", "element": "type", "qualifier": "ontasot", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Informaatioteknologian tiedekunta", "language": "fi", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Faculty of Information Technology", "language": "en", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.department", "value": "Informaatioteknologia", "language": "fi", "element": "contributor", "qualifier": "department", "schema": "dc"}, {"key": "dc.contributor.department", "value": "Information Technology", "language": "en", "element": "contributor", "qualifier": "department", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "Jyv\u00e4skyl\u00e4n yliopisto", "language": "fi", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "University of Jyv\u00e4skyl\u00e4", "language": "en", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Kyberturvallisuus", "language": "fi", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Kyberturvallisuus", "language": "en", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "yvv.contractresearch.funding", "value": "0", "language": "", "element": "contractresearch", "qualifier": "funding", "schema": "yvv"}, {"key": "dc.type.coar", "value": "http://purl.org/coar/resource_type/c_bdcc", "language": null, "element": "type", "qualifier": "coar", "schema": "dc"}, {"key": "dc.rights.accesslevel", "value": "openAccess", "language": null, "element": "rights", "qualifier": "accesslevel", "schema": "dc"}, {"key": "dc.type.publication", "value": "masterThesis", "language": null, "element": "type", "qualifier": "publication", "schema": "dc"}, {"key": "dc.subject.oppiainekoodi", "value": "601", "language": "", "element": "subject", "qualifier": "oppiainekoodi", "schema": "dc"}, {"key": "dc.subject.yso", "value": "tieliikenne", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "meriliikenne", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "raideliikenne", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "lains\u00e4\u00e4d\u00e4nt\u00f6", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "turvallisuus", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "s\u00e4\u00e4ntely", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "liikenne", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "riskienhallinta", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "liikennej\u00e4rjestelm\u00e4t", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "EU-direktiivit", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "oikeudellinen s\u00e4\u00e4ntely", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "valvonta", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "kyberturvallisuus", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.format.content", "value": "fulltext", "language": null, "element": "format", "qualifier": "content", "schema": "dc"}, {"key": "dc.rights.url", "value": "https://rightsstatements.org/page/InC/1.0/", "language": null, "element": "rights", "qualifier": "url", "schema": "dc"}, {"key": "dc.type.okm", "value": "G2", "language": null, "element": "type", "qualifier": "okm", "schema": "dc"}]
id jyx.123456789_80428
language fin
last_indexed 2025-02-18T10:56:05Z
main_date 2022-01-01T00:00:00Z
main_date_str 2022
online_boolean 1
online_urls_str_mv {"url":"https:\/\/jyx.jyu.fi\/bitstreams\/4b975ff1-80bc-441f-a3a7-2ebae30b8aca\/download","text":"URN:NBN:fi:jyu-202203302112.pdf","source":"jyx","mediaType":"application\/pdf"}
publishDate 2022
record_format qdc
source_str_mv jyx
spellingShingle Lahti, Ville Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely Kyberturvallisuus 601 tieliikenne meriliikenne raideliikenne lainsäädäntö turvallisuus sääntely liikenne riskienhallinta liikennejärjestelmät EU-direktiivit oikeudellinen sääntely valvonta kyberturvallisuus
title Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely
title_full Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely
title_fullStr Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely
title_full_unstemmed Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely
title_short Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely
title_sort liikennejärjestelmän verkko ja tietojärjestelmien turvallisuuden sääntely
title_txtP Liikennejärjestelmän verkko- ja tietojärjestelmien turvallisuuden sääntely
topic Kyberturvallisuus 601 tieliikenne meriliikenne raideliikenne lainsäädäntö turvallisuus sääntely liikenne riskienhallinta liikennejärjestelmät EU-direktiivit oikeudellinen sääntely valvonta kyberturvallisuus
topic_facet 601 EU-direktiivit Kyberturvallisuus kyberturvallisuus lainsäädäntö liikenne liikennejärjestelmät meriliikenne oikeudellinen sääntely raideliikenne riskienhallinta sääntely tieliikenne turvallisuus valvonta
url https://jyx.jyu.fi/handle/123456789/80428 http://www.urn.fi/URN:NBN:fi:jyu-202203302112
work_keys_str_mv AT lahtiville liikennejärjestelmänverkkojatietojärjestelmienturvallisuudensääntely

Similar Items