Ilmailun kyberturvallisuutta koskeva lainsäädäntö

Tietojärjestelmien turvallisuudella tarkoitetaan järjestelmissä olevan tai niiden tuottaman tiedon luottamuksellisuuden, eheyden ja saatavuuden ylläpitämistä. Ilmailun kyberturvallisuus on kokonaisuus, johon kuuluvat ilmailujärjestelmässä käytettävät, tarvittavat tietojärjestelmät, niiden tieto ja tietojen käyttö. Kokonaisuuteen kuuluvat myös tarvittavan tiedon käsittely ja siirto organisaatioiden sisällä, niiden välillä sekä tiedon käyttäjien toiminta. Arkisimmillaan tämä pitää sisällään esimerkiksi lentäjien käyttämän lennonvalmistelu- ja navigointitiedot tai matkustajien tiedot eri järjestelmissä. 

Traficomia ja ilmailun organisaatioita koskevaa lentoturvallisuuteen, ilmailun turvaamiseen ja toiminnan jatkuvuuteen liittyvää kyberturvallisuuden lainsäädäntöä ovat:

• EASA Perusasetus ja sen nojalla annetut säädökset (lentoturvallisuuteen liittyvä kybersääntely)
  • 26.9.2022 julkaistu Komission delegoitu asetus (EU) 2022/1645 
  • 2.2.2023 julkaistu Komission täytäntöönpanoasetus (EU) 2023/203
  • (EU) 2017/373 Lennonvarmistusasetus, Liite III kohta ATM/ANS.OR.D.010 Turvatoimien hallinta
  • (EU) 139/2014 Lentopaikka-asetus sekä sitä täydentävä Komission delegoitu asetus (EU) 2020/2148 liite III kohta ADR.OR.D.007 Ilmailutietojen ja ilmailutiedotuksen hallinta
• Ilmailun turvaamiseen liittyvä kybersääntely:
  • Komission täytäntöönpanoasetus (EU) 2015/1998 yksityiskohtaisista toimenpi­teistä ilmailun turvaamista koskevien yhteisten perusvaatimusten täytäntöön­pa­ne­miseksi
  • Komission täytäntöönpanoasetus 2019/1583 yksityiskohtaisista toimenpiteistä ilmailun turvaamista koskevien yhteisten perusvaatimusten täytäntöönpane­miseksi annetun täytäntöönpanoasetuksen (EU) 2015/1998 muuttamisesta kyberturvallisuustoimenpiteiden osalta
• Toiminnan jatkuvuuteen liittyvä kybersääntely
  • 27.12.2022 julkaistu Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi).
  • . Kyberturvallisuuslaki hyväksyttiin eduskunnassa 25.3.2025. NIS2-direktiivin mukaiset velvoitteet astuivat voimaan 8.4.2025. Linkki Traficomin tiedotteeseen löytyy . 
• Lisäksi tiedon kyberturvallisuus on osa varautumisen kokonaisuutta. Ilmailun varautumisen sääntely:
  • Laki liikenteen palveluista (320/2017)
  • Valmiuslaki (1552/2011)
  • Traficomin määräys: Valmiussuunnittelun järjestäminen liikennejärjestelmässä (TRAFICOM/308489/03.04.04.00/2019)
  • Ohje ilmailun toimijoille valmiussuunnitelman laatimiseksi (TRAFICOM/495257/03.04.00.01/2020)

Traficom viestii aktiivisesti sääntelyn kehittymisestä ja velvoitteista. Viime kädessä on kuitenkin jokaisen organisaation vastuulla pysyä ajan tasalla voimassa olevasta regulaatiosta ja ennakoida tiedossa olevia muutoksia.

EU-sääntelyn lisäksi ilmailujärjestelmän kannalta kokonaisvaltaisempaa ilmailun kyberturvallisuussääntelyä ollaan parhaillaan valmistelemassa globaalilla tasolla ICAO SSGC:n (Secretariat Study Group on Cybersecurity) koordinoimana.

Ilmailuviranomainen suosittelee, että voimassa olevan sovellettavan lainsäädännön lisäksi ilmailuorganisaatiot seuraavat ja käyttävät proaktiivisesti kyberturvallisuuden hallintaan soveltuvia ja tarkoituksenmukaisia hyviä käytäntöjä. Niistä löytyy tietoa Ohjeita sekä kysymykset & vastaukset-osio -alasivulta

EASA Perusasetus ja sen nojalla annetut säädökset

Ensimmäisenä julkaistiin 26.9.2022  Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 soveltamista koskevista säännöistä siltä osin kuin on kyse ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien hallintaa koskevista vaatimuksista komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 soveltamisalaan kuuluville organisaatioille sekä komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 muuttamisesta. 

2.2.2023 julkaistiin Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 soveltamissäännöistä:

• komission asetusten (EU) N:o 1321/2014, (EU) N:o 965/2012, (EU) N:o 1178/2011 ja (EU) 2015/340 ja
• komission täytäntöönpanoasetusten (EU) 2017/373 ja (EU) 2021/664 soveltamisalaan kuuluvia organisaatioita sekä
• komission asetusten (EU) N:o 748/2012, (EU) N:o 1321/2014, (EU) N:o 965/2012, (EU) N:o 1178/2011, (EU) 2015/340 ja (EU) N:o 139/2014 ja
• komission täytäntöönpanoasetusten (EU) 2017/373 ja (EU) 2021/664 soveltamisalaan kuuluvia toimivaltaisia viranomaisia varten ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien hallintaa koskevien vaatimusten osalta sekä
• komission asetusten (EU) N:o 1178/2011, (EU) N:o 748/2012, (EU) N:o 965/2012, (EU) N:o 139/2014, (EU) N:o 1321/2014 ja (EU) 2015/340 ja komission täytäntöönpanoasetusten (EU) 2017/373 ja (EU) 2021/664 muuttamisesta.

Julkaisun jälkeen käynnistyi siirtymäaika, joka molempien asetusten osalta kestää kolme vuotta ko. asetuksen voimaantulosta muutamia poikkeuksia lukuun ottamatta. Siirtymäajan jälkeen asetukset tulevat sovellettaviksi. Ilmailuviranomaisten ja asetusten soveltamisalaan kuuluvien ilmailun organisaatioiden on siirtymäajan jälkeen täytettävä asetusten vaatimukset.

13.7.2023 EASA julkaisi Part IS:n hyväksyttävät vaatimusten täyttämisen menetelmät (Acceptable Means of Compliance, AMC) ja ohjemateriaalin (Guidance Material, GM). Traficom osallistui EASAn vetämään AMC- ja GM-työhön ESCP- (European Strategic Coordination Platform) ryhmän työryhmissä. Työryhmissä oli myös edustus ilmailun sidosryhmistä sekä ilmailualan kattojärjestöistä. 24.7.2025 EASA julkaisi päivitetyksen Part IS:n AMC- ja GM-materiaaliin.

31.10.2023 EASA julkaisi First Easy Access Rules for Information Security-koosteen. Se sisältää kootusti ja helposti käytettävässä formaatissa Part-IS asetukset (EU) 2023/203 ja (EU) 2022/1645 sekä niiden AMC- ja GM-materiaalin. 12.6.2024 EASA julkaisi päivitetyn version: Easy Access Rules for Information Security, June 2024 revision.

Traficom on parhaillaan mukana EASAn Part-IS Implementation Task Force-ryhmässä, jossa valmistaudutaan Part-IS-sääntelyn käytäntöön viemiseen.

Alla Part IS (Information Security)-regulaatiotyön julkaistut asetukset sekä AMC/GM-materiaalit:

Ilmailun turvaamisen osalta kyberturvallisuuteen liittyvä sääntely on Komission täytäntöönpanoasetuksessa (EU) 2015/1998. Asetus on päivitetty. Päivitetty Komission täytäntöönpanoasetus 2019/1583 (yksityiskohtaisista toimenpiteistä ilmailun turvaamista koskevien yhteisten perusvaatimusten täytäntöönpane­miseksi annetun täytäntöönpanoasetuksen (EU) 2015/1998 muuttamisesta kyberturvallisuustoimenpiteiden osalta) tuli sovellettavaksi 31.12.2021. 

Keitä ilmailun toimijoita päivitetty asetus 2019/1583 koskee?

Vaatimukset koskevat lentoaseman pitäjiä, lentoliikenteen harjoittajia ja kansallisessa siviili-ilmailun turvaohjelmassa määriteltyjä yksiköitä.

27.12.2022 julkaistiin Euroopan parlamentin ja neuvoston direktiivi toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa (NIS 2 -direktiivi / kyberturvallisuusdirektiivi). 

NIS2-direktiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa useiden yhteiskunnan toiminnan kannalta kriittisten toimialojen osalta. NIS 2 -direktiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi), jolla on säädetty tiettyihin toimialoihin kohdistuvista kyberturvallisuusvelvoitteista.

NIS2-direktiivivietiin kansalliseen lainsäädäntöön eduskunnan 25.3.2025 hyväksymällä kyberturvallisuuslailla.  mukaiset velvoitteet astuivat voimaan 8.4.2025. Linkki Traficomin tiedotteeseen löytyy . 

Aiempaan verrattuna NIS 2 ja Kyberturvallisuuslaki laajentavat soveltamisalaa ja lisäävät vaatimuksia. Ilmailun osalta AVSEC-ja Part IS-sääntely tavoittelevat eri asioita (ilmailun turvaaminen ja lentoturvallisuus) kuin NIS2 ja Kyberturvallisuuslaki, joiden tavoitteena on toiminnan jatkuvuus ja yhteiskunnan resilienssi. AVSEC, ja etenkin Part-IS, ovat soveltamisalaltaan kattavampia ja kyberturvallisuuden hallinnan vaatimuksiltaan vähintään yhtä kattavia. Täyttämällä ilmailun erityissääntelyn (AVSEC ja Part IS) velvoitteet, ilmailun toimija täyttää samalla suurelta osin NIS2:n ja Kyberturvallisuuslain velvoitteet. Kaikki edellä mainittu sääntely sisältää velvoitteita myös ilmailuviranomaisen omalle kyberturvallisuuden hallinnalle.

Kyberturvallisuus sisältyy ilmailun tuotteiden (esimerkiksi lentokoneet), osien ja komponenttien lentokelpoisuusvaatimuksia. Kesäkuussa 2020 julkaistiin ED Decision 2020/006/R. Sen tavoitteena oli pienentää kyberturvallisuusuhkien mahdollisia vaikutuksia lentoturvallisuudelle. Päätöksen myötä täydennettiin ja vahvistattiin lentokelpoisuusvaatimuksia sekä niihin liittyviä AMC (Acceptable Means of Compliance) - ja GM (Guidance Material) -materiaaleja kyberturvallisuuteen liittyvien velvoitteiden osalta.

Euroopan Unionin lentoturvallisuusvirasto EASAn sivuilta löydät tarkempaa tietoa sekä vaatimukset. Sivuille pääset tästä linkistä.