Kriittisen infrastruktuurin kameravalvonnassa yksi yleisimmistä virheistä on käsitellä sääntelyä irrallisena tarkistuslistana. Todellisuudessa sääntely ohjaa koko toteutusmallia: mitä valvotaan, kuka vastaa, miten lokitetaan, miten verkko rakennetaan ja miten poikkeamista ilmoitetaan.
CER-laki ja kriittisten toimijoiden määrittäminen
Suomen laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta tuli voimaan 1.7.2025. Sisäministeriön mukaan ministeriöiden on määritettävä toimialansa kriittiset toimijat ensimmäisen kerran 17.7.2026 mennessä CER-lain ja kansallisen CER-riskiarvion pohjalta.
NIS2 ohjaa kyberturvallisuuden riskienhallintaa
NIS2 ei ole kameradirektiivi, mutta se voi vaikuttaa suoraan siihen, miten kameraverkko, etäkäyttö, lokitus ja poikkeamien hallinta pitää toteuttaa. Kyberturvallisuuskeskuksen mukaan direktiivissä säädetään riskienhallinnasta ja hallintatoimenpiteiden perustason velvoitteista.
Tietosuoja kulkee koko ajan rinnalla
Kameravalvonta on henkilötietojen käsittelyä myös ilman tallennusta. Kriittinen kohde ei siis saa vapautusta tietosuojasta siksi, että toiminta on tärkeää. Käyttötarkoitus, informointi, käyttöoikeudet ja tarvittaessa vaikutustenarviointi on edelleen hoidettava asianmukaisesti.
Selvitä NIS2- ja CER-soveltamisala ennen seuraavaa auditointia
Sääntelyn mukainen lokitus, tietosuoja ja verkkoarkkitehtuuri – arvio kohteellesi.
Pyydä infrakartoitusMilloin sääntelykartoitus on kriittisessä kohteessa kiireellisin?
Sääntelykartoitus on kiireellisin silloin, kun toimija saattaa kuulua CER- tai NIS2-soveltamisalaan mutta sitä ei ole vielä selvitetty, tai kun kameravalvontajärjestelmä on vanha eikä sen lokitus, tietosuoja tai verkkoarkkitehtuuri täytä nykysääntelyä.
