Käyttöympäristön rekisteröinti
Ennen toisiokäyttöympäristön käyttöönottoa, ympäristön on oltava rekisteröity Astori-rekisteriin. Rekisteröinnistä ja rekisterissä olevien tietojen ajantasaisuudesta on vastuussa toisiokäyttöympäristön palveluntarjoaja. Tietolupaa edellyttävät aineistot voidaan luovuttaa vain vaatimukset täyttäviin, Astori-rekisterissä oleviin käyttöympäristöihin.
Toisiokäyttöympäristö täytyy ilmoittaa Valviran ylläpitämään Astori-rekisteriin ennen käyttöympäristön käyttöönottoa. Palveluntarjoaja ilmoittaa tarjoamansa käyttöympäristön rekisteriin, kun käyttöympäristö on saanut tietoturvallisuuden arviointilaitoksen myöntämän vaatimustenmukaisuustodistuksen. Käyttöympäristön tietoturvan arviointi edellyttää palveluntarjoajalta etukäteisvalmisteluja. Arvioinnissa käsitellään laaja-alaisesti organisaation tietoturvaa, joten arviointiin on hyvä varata riittävästi aikaa.
Palveluntarjoajalla tarkoitetaan toimijaa, joka tarjoaa asiakkailleen tietoturvalliseen käyttöympäristöön liittyviä palveluita. Jos käyttöympäristö koostuu useiden palveluntarjoajien kokonaisuudesta, ilmoitetaan Astori-rekisteriin yksi kokonaisuutta edustava Y-tunnuksellinen tai VAT-tunnuksellinen palveluntarjoaja. Palveluntarjoajat vastaavat keskenään omista sopimus- ja vastuusuhteistaan. Valvira hoitaa ohjaus- ja valvontatoimet rekisteriin ilmoitetun palveluntarjoajan kanssa. Rekisteriin ilmoittautuva palveluntarjoaja ilmoittaa rekisteröinnin yhteydessä yhteyshenkilönsä.
Lähetä rekisteröinti-ilmoitus turvaviestipalvelussamme.
1A. Tietoturvallisuuden arviointilaitos toimittaa käyttöympäristöä koskevan tietoturvatodistuksen Valviran kirjaamoon osoitteeseen [email protected].
1B. Käyttöympäristön palveluntarjoaja toimittaa käyttöympäristön rekisteröinti-ilmoituksen Valviran turvalomakepalvelussa.
2. Valvira ottaa rekisteröinnin vireille käyttöympäristön palveluntarjoajan toimittamasta rekisteri-ilmoituksesta.
3A ja 3B. Valvira vertailee tietoturvatodistuksen ja rekisteröinti-ilmoituksen tietoja keskenään ja varmistaa, että ilmoitetut tiedot ovat rekisteröinnin kannalta asianmukaisia. Jos tiedot eivät ole rekisteröinnin kannalta asianmukaisia, Valvira pyytää lisätietoja tai muutosta.
4. Valvira lisää käyttöympäristön Valviran julkiseen Astori-rekisteriin. Valvira ilmoittaa lisäyksestä käyttöympäristön palveluntarjoajalle, kun tiedot ovat rekisteröinnin kannalta asianmukaiset.
5. Käyttöympäristön palveluntarjoaja ottaa vastaan ilmoituksen käyttöympäristön rekisteröinnistä.
6. Valvira laskuttaa palveluntarjoajalta rekisteröintimaksun.
7. Käyttöympäristön palveluntarjoaja maksaa rekisteröintimaksun laskun.
Käyttöympäristön palveluntarjoaja vastaa siitä, että se ilmoittaa käyttöympäristöä, palveluntarjoajaa ja tietoturvallisuuden arviointilaitoksen vaatimustenmukaisuustodistusta koskevat oleelliset muutokset ajantasaisesti Valviralle.
Lähetä rekisteritietojen muutos turvaviestipalvelussamme
Oleellisia Valviran rekisteriin ilmoitettavia muutoksia ovat
- käyttöympäristön nimen muutos (nimen tulee olla yksilöllinen ja siinä muodossa, jossa käyttöympäristöä tarjotaan asiakkaalle)
- palveluntarjoajan nimen muutos
- palveluntarjoajan Y-tunnus tai VAT-tunnus
- yhteyshenkilön muutos ja yhteystietojen muutokset
- tietoturvallisuuden arviointilaitoksen todistuksen muutokset
- muutokset todistuksen voimassaoloon
- muutokset tietoturvallisuuden arviointilaitoksen rajoituksiin
- muut oleelliset todistuksen muutokset.
Huomioithan, että rekisteritietojen muutokset ovat maksullisia silloin, kun rekisteröidään tietoturvallisuuden arviointilaitoksen todistusmuutoksia, peruutuksia ja epäämisiä sekä kehotuksia ja rajoituksia. Muut rekisteritietojen muutokset ovat maksuttomia.
Toisiolain perusteella tehdyt rekisteröinnit ovat maksullisia. Maksu määräytyy Valviran hinnaston mukaisesti.
Toisiolain perusteella tehty rekisteröinti:
- Tietoturvallisuuden arviointilaitoksen myöntämän todistuksen rekisteröinti maksaa 1 200 euroa.
- Tietoturvallisuuden arviointilaitoksen myöntämän todistuksen muutoksen tai täydennyksen rekisteröinti maksaa 750 euroa.
- Tietoturvallisuuden arviointilaitoksen myöntämän todistuksen peruuttamisen tai epäämisen rekisteröinti maksaa 500 euroa.
- Tietoturvallisuuden arviointilaitoksen antaman kehotuksen tai rajoituksen rekisteröinti maksaa 300 euroa
Rekisteröinti-ilmoitus (valvira.fi)
Rekisteritietojen muutosilmoitus (valvira.fi)
Usein kysyttyä toisiokäyttöympäristöjen rekisteröinnistä
Toisiokäyttöympäristöjen rekisteröintiä edellytetään toisiolaissa. Rekisteröinti on osa käyttöympäristön vaatimustenmukaisuuden osoittamista. Käyttöympäristön palveluntarjoaja vastaa sille kohdistuvista lakisääteisistä velvoitteista ja tietoturvalliselle käyttöympäristölle kohdistuvista vaatimuksista, joiden pitää täyttyä rekisteröintihetkellä ja sen jälkeen. Valviran tehtävänä on rekisterin ylläpidon lisäksi valvoa ja edistää tietoturvallisten käyttöympäristöjen tietosuoja- ja tietoturvavaatimusten täyttymistä. Valvira voi tarvittaessa tehdä esimerkiksi rekisteröityjen käyttöympäristöjen tarkastuksia.
Rekisteröinnillä on merkitystä myös toisiolain tarkoittamien tietoaineistojen luovutuksiin. Tietolupaa edellyttävät aineistot voidaan luovuttaa vain vaatimukset täyttäviin ja rekisteröityihin toisiokäyttöympäristöihin.
Käyttöympäristön palveluntarjoaja tarkoittaa toimijaa, joka tarjoaa asiakkailleen tietoturvalliseen käyttöympäristöön liittyviä palveluita. Jos käyttöympäristö koostuu useiden palveluntarjoajien kokonaisuudesta, ilmoitetaan Valviran toisiokäyttöympäristöjen rekisteriin yksi kokonaisuutta edustava palveluntarjoaja. Palveluntarjoajaorganisaatiot vastaavat keskenään omista sopimus- ja vastuusuhteistaan. Valvira hoitaa ohjaus- ja valvontatoimet Astori-rekisteriin ilmoitetun palveluntarjoajan kanssa.