Tämä artikkeli on osa viiden artikkelin sarjaa, jossa tarkastellaan data-avaruuksia eri näkökulmista. Sarjan on koonnut Karelian tiedolla johtamisen lehtori Tiina Soininen, joka on kutsunut kirjoittajiksi asiantuntijoita myös Karelian yhteistyökumppaneista. Sarjan ensimmäinen osa, ”Data-avaruudet luovat mahdollisuuksia liiketoiminnalle: tehokkuutta, kustannussäästöjä ja uusia tuotteita”, esitteli data-avaruuksien perusperiaatteita ja mahdollisuuksia yleisellä tasolla. Toinen artikkeli ”Kun data alkaa liikkua: Euroopan tie kohti yhteisiä data-avaruuksia” tarkasteli data-avaruuksien liiketoimintakonseptia. Tässä kolmannessa artikkelissa Jouni Meriluoto, johtaja, tekoäly ja kyberturvallisuus (Lawder Oy), avaa data-avaruuksien tietoturvaa. Seuraavassa osassa käsitellään data-avaruuksiin liittyviä lainsäädännöllisiä reunaehtoja. Sarjan päättää artikkeli, jossa tarkastellaan tekoälyn roolia data-avaruuksien toiminnallisuuksien tehostamisessa.
EU:n lainsäädäntö asettaa useita merkittäviä kyberturvallisuuteen liittyviä reunaehtoja etenkin datatalouden ja data-avaruuden näkökulmista. Tietoturva on otettava huomioon alusta alkaen, jo toiminnan suunnittelussa, ja se on ymmärrettävä jatkuvana toimintana koko datan jakamisen elinkaaren ajan. Aivan kuten henkilötietojen suojan on oltava sisäänrakennettuna ja oletusarvoisesti sisällytettynä (ks. yleinen tietosuoja-asetus GDPR artiklat 24 ja25) myös tietoturvan lisääminen jälkikäteen voi olla mahdotonta tai ainakin erittäin kallista.
Data-avaruus tietoturvan kontekstissa
Termillä data-avaruus viitataan siihen ympäristöön, jossa eri toimijat voivat jakaa, käyttää ja yhdistellä dataa (sekä julkista että yksityistä) turvallisesti, hallitusti ja vuorovaikutteisesti. European Data Governance Actissa kerrotaan yhteisistä eurooppalaisista data-avaruuksista eri sektoreilla (Regulation (EU) 2022/868). Tällaisessa ympäristössä korostuvat kyberturvallisuuden ja datanhallinnan-vaatimukset: luottamuksellisuus, eheys, saatavuus, jakamisen hallinta, ulkopuolisten pääsyjen estäminen, rajapintojen turvallisuus jne.
Ellei toisin ole nimenomaisesti sovittu, tietoturvallisuuden toimintamalli ei ole osa data-avaruuden perustavaa sopimusta. Siksi on tärkeää, että tietoturvallisuuden kannalta kriittiset oikeudet ja velvollisuudet on erillisinä määräyksinä sopimuksissa. Tähän tulisi kiinnittää huomiota tarkasteltaessa tietoturvaan liittyviä tarkistuslistan kysymyksiä ja rakennettaessa data-avaruuden tietoturvallisuuden toimintamallia.
Keskeiset säädökset
Data-avaruuden tietoturvaan liittyvät säädökset ja niiden merkitys on hyvä tuntea ennen poikkeuksia. NIS2‑direktiivi kehystää yleisen tietoturvan. NIS2 laajentaa edeltäjäänsä siten, että se kattaa useammat sektorit ja tiukemmat vaatimukset (Directive (EU) 2022/2555). Se velvoittaa jäsenvaltioita mm. laatimaan kansalliset kyberturvallisuusstrategiat, nimeämään vastuulliset viranomaiset, CSIRT-yksiköt sekä single point of contact -toimijat.) (Directive (EU) 2022/2555).
NIS2:n artikkelissa 3 määritellään, mitkä organisaatiot katsotaan olennaisiksi tai tärkeiksi palveluntarjoajiksi, sekä kyseisiä organisaatioita koskevat riskinhallinta- ja raportointivelvoitteet, esimerkiksi kyberhyökkäyksistä ja haavoittuvuuksista (Directive (EU) 2022/2555, NIS2, artikla 3).
NIS2 data-avaruuden näkökulmasta muuttaa erityisesti sitä, että datan jakamiseen, alustoihin ja verkostoihin liittyvät toimijat (esim. pilvipalvelut, digitaaliset infrastruktuurit) voivat joutua direktiivin piiriin. Mahdolliset sanktiot ja vastuullisuus johtotasolla korostuvat. (Bucheli ja Corona, 2025.)
Pilvipalveluissa voidaan käyttää laitteisto- ja ohjelmistokokonaisuuksia useista eri tietokoneverkoista ympäri maailmaa. Se mahdollistaa kustannustehokkaamman ja nopeamman tiedon jakamisen. Tämän ovat havainneet rikolliset, jotka hyödyntävät viruksia ja muita haittaohjelmia esimerkiksi yrittäessään varastaa arkaluonteisia tietoja, häiritä palveluita tai vahingoittaa yritysten pilvipalveluverkkoja.
Data Governance Act, DGA antaa kehykset datan jakamiselle ja uudelleenkäytölle. Se asettaa säännöt datan uudelleenkäytölle julkisessa sektorissa, datan välityspalveluille (data intermediaries) ja “data-altruismille” (vapaaehtoiseen datan jakamiseen yleishyödyllisissä tarkoituksissa). (Regulation (EU) 2022/868.)
DGA myös edistää yhteisten eurooppalaisten data-avaruuksien (common European data spaces) rakentamista useilla strategisilla alueilla (terveys, energia, valmistus, liikenne jne.). Tässä lainsäädännössä kyberturvallisuuden reunaehtoina nousevat esiin luottamuksellisuus, datan eheys, välityspalveluiden oikea toiminta sekä se, että datan jakaminen tapahtuu hallitusti ja luotettavasti. Laki astui voimaan 24.9.2023. (Regulation (EU) 2022/868.)
Data Act –säätely datan käytöstä – selventää pääsy- ja käyttöehtoja, erityisesti tuotetun datan hyödyntämiselle. Siinä määritellään myös vaatimuksia yhteen toimivuudelle ja datan virtaamiselle sektoreiden ja jäsenvaltioiden välillä. Tämä on oleellista myös kyberturvallisuuden kannalta, sillä datan jakaminen ja hyödyntäminen edellyttävät teknistä turvallisuutta ja hallittuja rajapintoja. (Regulation (EU) 2023/2854.)
Cybersecurity Act sekä siihen liittyvät muutokset ovat varsinaisen tietoturvan ydintä myös data-avaruudessa. Cybersecurity Act tarjoaa mm. EU-tason sertifiointikehykset ICT-tuotteille ja palveluille. (EU cybersecurity policies (2020). Lisäksi on tarjolla Cyber Resilience Act, joka asettaa vaatimuksia digitaalisten tuotteiden (sekä laitteitten että ohjelmistojen) turvallisuuden suunnittelun (lähinnä päivitysten ja haavoittuvuuksien hallinnan kautta) tietoturvan parantamiseksi (Regulation (EU) 2024/2847).
Data-avaruuden taustalla on myös CER-direktiivi (Critical Entities Resilience Directive). CER on Euroopan Unionin uusi lainsäädäntö, joka keskittyy kriittisten toimintojen ja infrastruktuurien puolustuskyvyn vahvistamiseen fyysisiä uhkia vastaan. Se toimii NIS2:n rinnalla, mutta keskittyy enemmän fyysisiin turvallisuusuhkiin, kuten terrori-iskuihin, luonnonkatastrofeihin ja vakaviin onnettomuuksiin. Näillä kaikilla säädöksillä taataan, että data-avaruuden järjestelmät – mukaan lukien palvelimet, sovellukset ja koko infrastruktuuri – täyttävät perusturvallisuusvaatimukset.
Reunaehtoja data-avaruuden kyberturvallisuudelle
Edellä esitettyjen lisäksi on reunaehtoina joitakin keskeisiä tietoturvan velvoitteita, jotka liittyvät data-avaruuteen ja datan jakamiseen EU:n lainsäädännön puitteissa:
- Organisaatioiden tulee osaltaan noudattaa riskinhallinnan periaatteita: arvioida kyberuhkia, ylläpitää tietojärjestelmien turvallisuutta, varautua häiriötilanteisiin. Tämä on tarkennettu NIS2:ssa. (Chen, 2024).
- NIS2: raportointia koskeva artikkeli määrittelee pakolliseksi myös merkittävistä tietoturvaloukkauksista (esim. kaatunut palvelu, suuri tietovuoto) valvontaviranomaisille kertomisen. (Directive (EU) 2022/2555).
- Korkean tason kyberturvaa koskeva yhteistoiminta jäsenvaltioiden välillä; tärkeiden tunnistettavien toimijoiden listaus, viranomaisrakenteet (CSIRT, single point of contact) ja kyberkriisien hallinnan mekanismit tarkennetaan Eur-Lexin korkean yleistason kyberturvan määrittelyssä (Directive (EU) 2022/2555).
- Datan uudelleenkäyttöä koskevissa palveluissa (esim. datavälittäjät) on oltava luotettavat järjestelyt ja tarvittaessa sertifiointia tai valvontaa Data Governance Actin mukaisesti (Regulation (EU) 2022/868).
- Yleistoimivuus ja tietovirrat edellyttävät, että data-avaruus-ratkaisut ovat teknisesti ja organisatorisesti soveltuvia (esim. rajapinnat, standardit) – nämä korostuvat puolestaan Data Actissa (Regulation (EU) 2023/2854).
- Tuotteiden, palvelujen sekä infrastruktuurin osalta sovelletaan turvallisuuden suunnittelun ja haavoittuvuuksien hallinnan vaatimuksia – Cyber Resilience Act tuo tähän lisävaatimuksia. (Ruohonen, Hjerppe ja Eun-Young, 2025).
On tärkeää ottaa huomioon kaikki eri tietoturvallisuuden hallintakeinot sen varmistamiseksi, että data-avaruus saavuttaa riittävän tietoturvatason. Useiden valvontatasojen, eli monikerroksisen suojauksen, käyttö luo vankan puolustuksen suojattavien resurssien ympärille.
Huomionarvoiset haasteet
Vaikka data-avaruus -konsepti edistää datan jakamista ja hyödyntämistä, samaan aikaan turvallisuus, yksityisyys ja luottamus on varmistettava – siksi kyberturvallisuuden reunaehtoja on yhä enemmän sisällytetty säädöksiin.
Monessa tapauksessa EU-säädös asettaa minimivaatimuksia, mutta kansallisella tasolla jäsenvaltiot voivat asettaa lisärajoituksia tai täsmentää soveltamista. Data-avaruudessa voi olla mukana monia toimijoita eri maista ja sektoreilta, jolloin juridinen vastuu, tiedonhallintamekanismit, rajapintojen turvallisuus, tiedon jaon sopimukset ym. on määriteltävä erikseen. Koska datan jakaminen ylittää usein kansallisia rajoja, myös EU:n ulkopuoliset toimijat voivat tulla mukaan – tämä asettaa lisävaatimuksia turvallisuudelle ja datan siirrolle.
Tekniset vaatimukset (esim. haavoittuvuuksien hallinta, päivitykset, pääsynvalvonta) eivät kaikki ole vielä täysin konkretisoitu lainsäädännössä, joten operatiivinen soveltaminen vaatii organisaatiolta proaktiivisuutta.
Yhteenveto
Tietoturvatarpeet voivat vaihdella huomattavasti eri data-avaruuksissa, joten on tärkeää räätälöidä toimintamalli ja päivittää sitä riittävän usein. Mitä suurempi jaetun datan arvo tai tietoturvaloukkausten mahdollinen vaikutus on, sitä suurempi on tarve vankoille tietoturvatoimenpiteille. Taulukossa on tehty yhteenveto kaikista kyberturvallisuuteen liittyvistä EU-tason säädöksistä.
| Säädös | Tavoite / keskeinen sisältö | Kyberturvallisuuden näkökulma | Vaikutus organisaatioihin data-avaruudessa |
| NIS2-direktiivi (EU) 2022/2555 | Parantaa verkko- ja tietojärjestelmien turvallisuutta EU:ssa. Laajentaa soveltamisalaa useille sektoreille (energia, liikenne, digipalvelut, pilvipalvelut jne.). | Vaatimukset riskienhallinnasta, tapahtumaraportoinnista, toimitusketjun turvasta ja johdon vastuusta. | Data-avaruuden toimijat (pilvipalvelut, datan käsittelyalustat) voivat kuulua ”olennaisiin” toimijoihin. On toteutettava tietoturva- ja jatkuvuussuunnitelmat sekä ilmoitettava kyberpoikkeamista viranomaisille. |
| Data Governance Act (EU) 2022/868 | Luo luottamusta datan jakamiseen ja määrittelee säännöt datavälityspalveluille sekä julkisen datan uudelleenkäytölle. | Edellyttää datavälityspalveluilta turvallisia tietojärjestelmiä, pääsynvalvontaa, datan eheyden ja luottamuksellisuuden suojaa. | Organisaatioiden, jotka toimivat datavälityspalveluina, on varmistettava korkea tietoturvataso ja läpinäkyvyys. Mahdollinen sertifiointi ja valvonta EU:n tasolla. |
| Data Act (EU) 2023/2854 | Sääntelee datan pääsyä ja käyttöä, erityisesti teollisen ja IoT-datan osalta. | Korostaa turvallisia rajapintoja, käyttäjän hallittua pääsyä ja tiedon eheyden turvaamista datan siirroissa. | Data-avaruuden tekniset alustoja kehittävät toimijat joutuvat varmistamaan tietoturvan datan jakorajapinnoissa (API-turva, pääsynhallinta, valvonta). |
| Cybersecurity Act (EU) 2019/881 | Luo EU-tason kyberturvasertifiointikehyksen ICT-tuotteille ja -palveluille (ENISA:n rooli vahvistuu). | Sertifiointikehykset lisäävät järjestelmien ja laitteiden turvallisuutta. | Organisaatiot voivat hyödyntää EU-sertifioituja palveluita data-avaruuksien turvallisuuden varmistamisessa. Mahdollisuus osoittaa vaatimustenmukaisuus asiakkaille ja viranomaisille. |
| Cyber Resilience Act (EU) 2024/2847) | Asettaa vaatimuksia digitaalisille tuotteille (ohjelmistot ja laitteet) koko elinkaaren ajalle. | Turvallinen suunnittelu, säännölliset päivitykset, haavoittuvuuksien hallinta ja raportointi. | Kaikki data-avaruuden ohjelmisto- ja alustatoimijat joutuvat huomioimaan turvallisuusvaatimukset jo tuotekehitysvaiheessa. |
| GDPR (EU) 2016/679 | Säätelee henkilötietojen käsittelyä ja suojaa yksityisyyttä. | Edellyttää henkilötietojen käsittelyssä vahvaa tietoturvaa, minimointia ja pseudonymisointia. | Jos data-avaruus sisältää henkilötietoja, käsittelyssä on varmistettava tietosuoja (privacy by design & default) sekä ilmoitettava tietoturvaloukkauksista. |
| AI Act (EU) 2024/1689) | Sääntelee tekoälyn käyttöä riskiperusteisesti. | Korkean riskin järjestelmiltä vaaditaan turvallista datan hallintaa ja kyberturvallisuutta. | Jos data-avaruudessa hyödynnetään tekoälyä, on varmistettava datan eheys, jäljitettävyys ja suoja manipulaatiolta. |
Organisaatiot, jotka osallistuvat EU:n data-avaruuksiin, joutuvat täyttämään NIS2:n tietoturvavelvoitteet (riskienhallinta, raportointi, valvonta) sekä rakentamaan turvalliset ja valvotut rajapinnat (API:t) datan jakamiseen. GDPR-yhteensopivuus on varmistettava data-avaruudessa, joka sisältää henkilötietoja.
Tietosuojan ja -turvan leikkauksena GDPR:n 32 artikla sisältää erityisiä säännöksiä tietoturvasta. Artiklan mukaisesti rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskiin nähden asianmukaisen turvallisuustason.
Cybersecurity Actin pohjalta sertifioidut palvelut ja infrastruktuuri ovat olennaista tietoturvan kannalta, ja ohjelmistotasolla on noudatettava turvallisen ohjelmistokehityksen ja haavoittuvuudenhallinnan periaatteita (Cyber Resilience Act). Tietoturva edellyttää myös läpinäkyvyyttä ja luotettavuutta datan hallinnassa (Data Governance Act).
Data-avaruuden kehittyessä, toimintojen muuttuessa ja uusien toimijoiden tuodessa uusia tarpeita data-avaruuteen on tärkeää varmistaa, että tietoturva pysyy halutulla tasolla ja että data-avaruuden tietoturvaprosessia parannetaan jatkuvasti. Hallintomalliin on suositeltavaa kirjata erikseen, miten tietoturvan toimintamallia tarkastellaan ja päivitetään tarvittaessa ja sovituin väliajoin.
Kirjoittaja:
Jouni Meriluoto, Kyberturva, Lawder Oy
Lawderin kyberturvan ja tekoälyn palvelujen johdossa työskentelevä Jouni on tehnyt yli 40 vuotta tietohallinnon töitä, joista viimeiset 10 vuotta kyber- ja tietoturvan sekä -suojan parissa. Tietoliikenteestä ja tiedolla johtamisen kansainvälisistä palveluista on 20 vuoden kokemus Nokian johdossa, ja julkishallinnon sekä tiedolla johtamisen erikoisosaamista antaa Valtiotieteiden tohtorin tutkinto.
Lähteet:
Bucheli, Joshua ja Corona, John. 2025. The Who, What, When and Why. NIS Directive (EU) 2022/2555. Cyberbyte Issue 3/25. Cyberunity.io
Chen, Wei. 2024. NIS2 Explained: Demystifying Directive (EU) 2022/2555.Infobloks February, 2024.NIS2 Explained
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union.Eur-Lex – high common level of cybersecurity
Directive (EU) 2022/2555 (NIS2) Enisa NIS2
Directive (EU) 2022/2555 (NIS2) NIS2 Artikla 3
Directive (EU) 2022/2555. NIS2, Article 23
EU cybersecurity policies (2020) EU Cybersecurity policies
Regulation (EU) 2022/868 on European data governance (Data Governance Act) Eur-Lex
Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance (European Data Governance Act)
Regulation (EU) 2024/2847 of the European Parliament and of the Council of 23 October 2024 on horizontal cybersecurity requirements for products with digital elements (Cyber Resilience Act)
Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data (Data Act)Data Act
Ruohonen, Jukka, Hjerppe, Kalle ja Eun-Young, Kang (2025): A Mapping Analysis of Requirements Between the CRA and the GDPR. ArXiv, 15 Oct 2025. Cornell University. arXiv