1.1  Tausta

Euroopan parlamentti ja neuvosto antoivat 14.12.2022 asetuksen (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (jäljempänä EU:n DORA-asetus ). Asetus on julkaistu Euroopan unionin virallisessa lehdessä 27.12.2022 ja se on tullut voimaan kahdentenakymmenentenä päivänä julkaisusta eli 16.1.2023. Asetusta sovelletaan 17.1.2025 alkaen. Jäsenvaltioiden on julkaistava asetuksen toimeenpanon edellyttämät kansallisten säännösten muutokset viimeistään 17.1.2025. Samassa Euroopan unionin virallisessa lehdessä julkaistiin Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2556 direktiivien 2009/65/EY, 2009/138/EY, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 ja (EU) 2016/2341 muuttamisesta finanssialan digitaalisen häiriönsietokyvyn osalta (jäljempänä DORA-muutosdirektiivi ), joka tuli EU:n DORA-asetuksen tavoin voimaan kahdentenakymmenentenä päivänä julkaisusta, eli 16.1.2023. Jäsenvaltioiden on annettava ja julkaistava direktiivin noudattamisen edellyttämät säännökset viimeistään 17.1.2025.  

EU:n DORA-asetus ja DORA-muutosdirektiivi ovat osa Euroopan komission toimenpidepakettia, jolla pyritään edistämään ja tukemaan digitaalisen rahoituksen tarjoamia mahdollisuuksia innovoinnin ja kilpailun näkökulmasta, luomaan uusia vaihtoehtoja nykyisten rahoitus- ja maksupalveluiden ohelle, sekä lieventämään digitaaliseen rahoitukseen liittyviä riskejä. Pakettiin kuuluu uusi digitaalisen rahoituksen strategia, jonka tavoitteena on edistää EU:n rahoitusalan digitalisaation tasoa ja varmistaa eurooppalaisten kuluttajien ja yritysten hyötyminen digitaalisesta rahoituksesta. 

Digitaalisen rahoituksen pakettiin kuuluvat EU:n DORA-asetuksen, DORA-muutosdirektiivin ja digitaalisen rahoituksen strategian ohella Euroopan kryptovarojen markkinoita koskeva asetus ja hajautetun tilikirjan teknologiaan perustuvien markkinainfrastruktuurien pilottijärjestelmä.  

EU:n DORA-asetuksen ja DORA-muutosdirektiivin lisäksi Euroopan parlamentti ja neuvosto antoivat 14.12.2022 direktiivin (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (jäljempänä NIS 2 -direktiivi ) sekä direktiivin (EU) 2022/2557 kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (jäljempänä CER-direktiivi ). Koska finanssialan toimijoiden digitaalista häiriönsietokykyä säännellään kattavasti EU:n DORA-asetuksessa, NIS 2 - ja CER-direktiiveistä toimijoille aiheutuvia velvoitteita ei tule päällekkäisen sääntelyn ja tarpeettoman hallinnollisen rasituksen välttämiseksi soveltaa niihin finanssialan toimijoihin, jotka kuuluvat mainittujen direktiivien soveltamisalaan. Kyseiset toimijat on kuitenkin tärkeää huomioida näiden direktiivien mukaisissa kansallisissa strategioissa ja toimenpiteissä ja viranomaisten välisissä yhteistyörakenteissa, jotta voidaan varmistaa johdonmukaisuus muun muassa jäsenvaltioiden hyväksymien kyberturvallisuusstrategioiden kanssa sekä viranomaisten välinen tiedonkulku.  

1.2  Valmistelu

EU-säädösten valmistelu

Komissio julkaisi 24.9.2020 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 muuttamisesta, sekä ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi direktiivien 2006/43/EY, 2009/65/EY, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 ja (EU) 216/2341 muuttamisesta. Samalla komissio julkaisi myös lainsäädäntöehdotukset Euroopan parlamentin ja neuvoston asetukseksi kryptovarojen markkinoinnista ja direktiivin (EU) 2019/1937 muuttamisesta ( MiCA ) ja Euroopan parlamentin ja neuvoston asetukseksi hajautetun tilikirjan teknologiaan perustuvien markkinainfrastruktuurien pilottijärjestelmästä ( DLT-pilotti ). Lainsäädäntöehdotukset ovat osa komission digitaalisen rahoituksen pakettia (KOM(2020) 591 lopullinen).  

Komission asetus- ja direktiiviehdotukset sekä luonnos valtioneuvoston kirjelmäksi eduskunnalle komission ehdotuksista olivat lausuntokierroksella EU-asioiden komitean alaisessa rahoituspalvelut ja pääomaliikkeet -jaostossa (jaosto EU-10) lokakuussa 2020. Komission ehdotuksista annettiin eduskunnalle U-kirjelmä U 58/2020 vp. Ehdotusten käsittely aloitettiin neuvoston rahoituspalvelutyöryhmässä 30.9.2020. 

Valtioneuvosto suhtautui myönteisesti lainsäädäntöehdotuksiin ja yhtyi komission näkemykseen siitä, että palveluiden luotettavan toiminnan ja rahoitusmarkkinoiden vakauden turvaamiseksi on tärkeää vahvistaa rahoitusmarkkinoiden digitaalista häiriönsietokykyä. Asetuksen tavoitteet tieto- ja viestintätekniikan ( jäljempänä TVT) riskienhallintaan ja kyberturvallisuuteen liittyvien säännösten yhtenäistämisestä olivat tervetulleita, mutta sääntelykehystä vahvistettaessa tulisi ottaa huomioon kriittisten rahoitusmarkkinapalveluiden turvaamiseen liittyvät järjestelyt kansallisen turvallisuuden näkökulmasta.  

Valtioneuvosto kannatti esitetyn suhteellisuusperiaatteen soveltamista, kunhan sen käyttö punnitaan tarkasti olemassa olevat riskit huomioon ottaen. Ehdotettua uutta ylätason valvontakehikkoa pidettiin hyväksyttävänä, mutta valtioneuvosto suhtautui varauksella kehikkoa koskevaan hallintorakenteeseen. Valtioneuvosto huomautti, että rakenteessa tulisi huomioida selkeät toimivaltuudet ja vastuualueet kansallisten ja Euroopan viranomaisten kesken.  

Viranomaisten keskinäinen tiedonkulku ja häiriöraportointi tulisi toteuttaa tarkoituksenmukaisella tavalla, mihin tulee valtioneuvoston mukaan kiinnittää huomiota ehdotuksen jatkokäsittelyssä. Valtioneuvosto korostaa muun ohella, että unionin toiminnassa on tärkeää systeemisen kokonaisturvallisuusajattelun mukaisten toimintamallien kehittäminen. 

Eduskunnan talousvaliokunta yhtyi asiassa valtioneuvoston kantaan korostaen eräitä näkökohtia (TaVL 26/2020 vp). Suhteellisuusperiaatteen osalta talousvaliokunta huomautti, että olennaista on arvioida nimenomaan toimijan vaikutusta markkinaan, eikä yksinomaan sen kokoa, sillä laajavaikutteinen ongelma voi lähteä liikkeelle myös pienen toimijan riskienhallinnan laiminlyönnistä. Lisäksi talousvaliokunta huomautti, että pitkälle harmonisoidun finanssialan Euroopan tasoisen sääntelyn kosketuspinta kansallisen turvallisuuden varmistamiseen tähtäävään sääntelyyn on kriittinen kohta lainsäädännön tavoitteiden toteutumisen kannalta. 

Hallituksen esityksen valmistelu

Hallituksen esitys on valmisteltu valtiovarainministeriössä virkatyönä. Työhön on osallistunut myös sosiaali- ja terveysministeriö. Esitysluonnos oli lausuntokierroksella 19.2.–29.3.2024. Lausunnon antoi 16 tahoa. Lausuntopalautteesta ja sen huomioon ottamisesta hallituksen esityksessä kerrotaan jaksossa 6. 

Hallituksen esityksen valmisteluasiakirjat ovat saatavilla julkisessa palvelussa osoitteessa valtioneuvosto.fi/hankkeet tunnuksella VM067:00/2023. 

3.1  Laki Finanssivalvonnasta

Finanssivalvonnasta annetun lain (878/2008) 3 §:ssä säädetään Finanssivalvonnan tehtävistä. Pykälän 1 momentin mukaan Finanssivalvonnan tehtävänä on valvoa finanssimarkkinoilla toimivien toimintaa niin kuin tässä laissa ja muualla laissa säädetään. Finanssivalvonta edistää lisäksi hyvien menettelytapojen noudattamista finanssimarkkinoilla sekä yleisön tietämystä finanssimarkkinoista.  

Pykälän 2 ja 3 momentissa säädetään Finanssivalvonnan erityisistä tehtäväalueista. Lain esitöiden (HE 66/2008 vp, s. 83) mukaan pykälän tarkoituksena on kuvata Finanssivalvonnan tärkeimmät tehtävät. Se missä laajuudessa Finanssivalvonta kutakin tehtäväaluetta hoitaisi ja kuinka paljon voimavaroja se kuhunkin niistä kohdistaisi, jäisi riippumaan niistä tarkemmista tavoitteista ja toiminnan painopisteistä, joita Finanssivalvonnan johtokunta Finanssivalvonnan toiminnalle kulloinkin asettaa. Pykälän 2 momentissa säädetään niistä Finanssivalvonnan tehtävistä, joiden tarkempi sisältö määräytyy sen mukaan, mitä muualla laissa säädetään. Pykälän 3 momentissa puolestaan säädetään sellaisista yleisemmistä tehtävistä, joiden osalta Finanssivalvonnan toimivalta perustuu yksinomaan tähän pykälään.  

Finanssivalvonnan tehtäviin kuuluu muun muassa pykälän 2 momentin 2 kohdan mukaan valvoa, että finanssimarkkinoilla toimivat noudattavat niihin sovellettavia finanssimarkkinoita koskevia säännöksiä, niiden nojalla annettuja määräyksiä, toimilupansa ehtoja ja toimintaansa koskevia sääntöjä sekä pykälän 3 momentin 6 kohdan mukaan osallistua viranomaisten väliseen kotimaiseen yhteistyöhön ja momentin 7 kohdan mukaan osallistua lain 3 a §:ssä tarkoitetun Euroopan finanssivalvontajärjestelmän puitteissa tapahtuvaan yhteistyöhön Euroopan unionissa sekä muuhun viranomaisten kansainväliseen yhteistyöhön.  

Finanssivalvonnan valvontavaltuuksista säädetään Finanssivalvonnasta annetun lain 3 luvussa. Lain 18 §:n mukaan valvottavan ja muun finanssimarkkinoilla toimivan on salassapitosäännösten estämättä ilman aiheetonta viivytystä toimitettava Finanssivalvonnalle sen pyytämät tiedot ja selvitykset, jotka ovat tarpeen Finanssivalvonnalle laissa säädetyn tehtävän hoitamiseksi. Vastaava velvollisuus on sillä, jolla on kirjanpitolain (1336/1997) 1 luvun 5 §:ssä tarkoitettu määräysvalta valvottavassa tai muussa finanssimarkkinoilla toimivassa tai joka on valvottavan tai muun finanssimarkkinoilla toimivan määräysvallassa. Vastaava koskee myös yritystä, joka valvottavan tai muun finanssimarkkinoilla toimivan asiamiehenä tai sijoituspalvelulain 7 luvun 6 §:ssä tarkoitettuna sidonnaisasiamiehenä taikka muuten valvottavan tai muun finanssimarkkinoilla toimivan toimeksiannosta hoitaa tämän liiketoimintaan, kirjanpitoon, tietojärjestelmään, riskienhallintaan tai sisäiseen valvontaan liittyviä tehtäviä. Tiedonsaantioikeus ulottuu lain 19 §:n nojalla myös Finanssivalvonnalle laissa säädetyn valvontatehtävän hoitamiseksi tarpeellisten tietojen saamiseen valvottavan ja muun finanssimarkkinoilla toimivan tilintarkastajalta sekä yksilöityä valvontatointa varten valvonnan kannalta välttämättömiin tietoihin muulta, jolla voidaan perustellusta syystä olettaa olevan valvontatoimen kannalta tarpeellista tietoa. 

Lain 22 §:n mukaan Finanssivalvonnalla on oikeus tarvittaessa kutsua kuultavaksi 18, 19 ja 21 §:ssä tarkoitetun oikeushenkilön edustaja tai sen palveluksessa oleva henkilö taikka mainituissa pykälissä tarkoitettu luonnollinen henkilö. Kuulemiseen sovelletaan, mitä hallintolaissa (434/2003) säädetään asian suullisesta käsittelystä. Kutsun noudattamatta jättämisen perusteella ei voida asettaa 33 a §:ssä tarkoitettua uhkasakkoa eikä määrätä 4 luvussa tarkoitettua hallinnollista seuraamusta. 

Lain 24 §:n 1 momentin mukaan Finanssivalvonnalla on salassapitosäännösten estämättä oikeus saada tarkastettavakseen valvottavan ja muun finanssimarkkinoilla toimivan toimipaikassa tämän toimintaa ja hallintoa koskevat asiakirjat, tallenteet puhelinkeskusteluista ja sähköisestä viestinnästä, muut tietoliikennetiedot sekä tietojärjestelmät siinä laajuudessa kuin se on tarpeen Finanssivalvonnalle laissa säädetyn valvontatehtävän hoitamiseksi. Finanssivalvonnalla on oikeus saada valvottavalta ja muulta finanssimarkkinoilla toimivalta maksutta tarpeelliset jäljennökset tässä pykälässä tarkoitetuista asiakirjoista ja muista tallenteista ja tietoliikennetiedoista. Pykälän 2 momentin mukaan, mitä 1 momentissa säädetään valvottavasta ja muusta finanssimarkkinoilla toimivasta, koskee myös yritystä, joka valvottavan tai muun finanssimarkkinoilla toimivan asiamiehenä tai sijoituspalvelulain 7 luvun 6 §:ssä tarkoitettuna sidonnaisasiamiehenä taikka muuten valvottavan tai muun finanssimarkkinoilla toimivan toimeksiannosta hoitaa tämän liiketoimintaan, kirjanpitoon, tietojärjestelmään, riskienhallintaan tai sisäiseen valvontaan liittyviä tehtäviä. Pykälän 3 momentin mukaan Finanssivalvonnalla on lisäksi salassapitosäännösten estämättä oikeus saada lain 19, 21 ja 23 §:ssä tarkoitetuilta henkilöiltä ja yrityksiltä tarkastettavakseen asiakirjat ja tallenteet, jotka sisältävät mainituissa pykälissä tarkoitettuja tietoja. 

Finanssivalvonnalla on lain 25 b §:n nojalla oikeus tehtäviensä suorittamiseksi saada pyynnöstä poliisilta virka-apua. 

Lain 33 §:ssä säädetään toimeenpanokiellosta ja oikaisukehotuksesta. Pykälän 1 momentin mukaan Finanssivalvonta voi kieltää valvottavan tai muun finanssimarkkinoilla toimivan tekemän päätöksen täytäntöönpanon tai valvottavan tai muun finanssimarkkinoilla toimivan suunnitteleman toimenpiteen toteutuksen, jos päätös tai toimenpide on ristiriidassa valvottavaan tai muuhun finanssimarkkinoilla toimivaan sovellettavien finanssimarkkinoita koskevien säännösten tai niiden nojalla annettujen määräysten, toimiluvan ehtojen taikka valvottavan tai muun finanssimarkkinoilla toimivan toimintaa koskevien sääntöjen kanssa. Jos valvottava tai muu finanssimarkkinoilla toimiva on pannut 1 momentissa tarkoitetun päätöksen täytäntöön tai toteuttanut 1 momentissa tarkoitetun muun toimenpiteen, Finanssivalvonta voi pykälän 2 momentin mukaan velvoittaa valvottavan tai muun finanssimarkkinoilla toimivan ryhtymään toimenpiteisiin päätöksen täytäntöönpanon tai toteutetun toimenpiteen peruuttamiseksi tai oikaisun aikaansaamiseksi. Finanssivalvonnan on varattava valvottavalle tai muulle finanssimarkkinoilla toimivalle kohtuullinen määräaika päätöksen täytäntöönpanon tai toteutetun toimenpiteen peruuttamiseksi tai oikaisun aikaansaamiseksi, jollei se vaaranna vakavasti finanssimarkkinoiden valvonnalle 1 §:ssä säädettyjen tavoitteiden toteutumista. Pykälän 3 momentin mukaan Finanssivalvonta voi velvoittaa valvottavan tai muun finanssimarkkinoilla toimivan lopettamaan toiminnassaan soveltamansa menettelyn ja kieltää menettelyn uudistamisen, jos menettely on ristiriidassa 1 momentissa tarkoitettujen säännösten, määräysten, toimiluvan ehtojen taikka sääntöjen kanssa. Finanssivalvonnan on varattava valvottavalle tai muulle finanssimarkkinoilla toimivalle kohtuullinen määräaika menettelyn korjaamiseksi, jollei se vaaranna vakavasti finanssimarkkinoiden valvonnalle 1 §:ssä säädettyjen tavoitteiden toteutumista. Pykälän 5 momentin mukaisesti pykälässä tarkoitettu kielto tai oikaisukehotus voidaan, jos siihen on erityistä syytä, kohdistaa myös valvottavan tai muun finanssimarkkinoilla toimivan palveluksessa olevaan tai muuhun, joka toimii hänen lukuunsa.  

Lain 33 a §:ssä säädetään uhkasakosta. Jos valvottava tai muu finanssimarkkinoilla toimiva toiminnassaan laiminlyö noudattaa finanssimarkkinoita koskevia säännöksiä tai niiden nojalla annettuja määräyksiä, Finanssivalvonnan 33 §:n nojalla antamaa toimeenpanokieltoa tai oikaisukehotusta taikka muuta Finanssivalvonnan lain nojalla antamaa määräystä tai kieltoa, toimilupansa ehtoja tai toimintaansa koskevia sääntöjä, Finanssivalvonta voi uhkasakolla velvoittaa valvottavan tai muun finanssimarkkinoilla toimivan täyttämään velvollisuutensa, jos laiminlyönti ei ole vähäinen. Uhkasakko voidaan, jos siihen on erityistä syytä, kohdistaa myös valvottavan tai muun finanssimarkkinoilla toimivan palveluksessa olevaan tai muuhun, joka toimii hänen lukuunsa. Finanssivalvonta voi uhkasakolla velvoittaa 18, 19, 21, 23 ja 24 §:ssä tarkoitetun täyttämään mainituissa pykälissä säädetyn velvollisuutensa, jos laiminlyönti ei ole vähäinen. 

Lain 34 §:n mukaan Finanssivalvonta voi valvottavan tai muun finanssimarkkinoilla toimivan valvonnan kannalta tarpeellisen, erityistä asiantuntemusta vaativan asian selvittämiseksi käyttää tilintarkastajaa tai muuta ulkopuolista asiantuntijaa. Tällä on tehtävässään 18, 19, 23 ja 24 §:n mukaiset oikeudet ja hän toimii rikosoikeudellisella virkavastuulla hoitaessaan tämän lain mukaisesti annettuja julkisoikeudellisia hallintotehtäviä. 

Finanssivalvonnasta annetun lain 4 luvussa säädetään hallinnollisista seuraamuksista, joita ovat 38 §:n mukainen rikemaksu, 39 §:n mukainen julkinen varoitus ja 40 §:n mukainen seuraamusmaksu. Rikemaksua ja seuraamusmaksua koskevissa pykälissä luetellaan ne lainkohdat, joiden laiminlyönnin tai rikkomisen seurauksena kyseinen seuraamus voidaan määrätä. Lain 38 §:n 4 momentin mukaan, jos teko tai laiminlyönti on erityisen moitittava, rikemaksun sijaan voidaan määrätä seuraamusmaksu.  

Lain 39 §:n mukaan Finanssivalvonta antaa valvottavalle ja muulle finanssimarkkinoilla toimivalle julkisen varoituksen, jos tämä tahallaan tai huolimattomuudesta menettelee muiden kuin 38 §:n 1 momentissa taikka 40 §:n 1 tai 2 momentissa tarkoitettujen finanssimarkkinoita koskevien säännösten tai niiden nojalla annettujen määräysten vastaisesti ja edellyttäen, ettei asia kokonaisuutena arvioiden anna aihetta ankarampiin toimenpiteisiin.  

Lain 40 §:n 3 momentin mukaan seuraamusmaksua ei voida määrätä luonnolliselle henkilölle teosta tai laiminlyönnistä, joka on laissa säädetty rangaistavaksi. Finanssivalvonta voi kuitenkin määrätä seuraamusmaksun ja jättää asian ilmoittamatta esitutkintaviranomaiselle, jos teko tai laiminlyönti on sen haitallisuus, siitä ilmenevä tekijän syyllisyys sekä siitä saatu hyöty ja muut tekoon tai laiminlyöntiin liittyvät seikat huomioon ottaen kokonaisuutena arvioiden vähäinen. Pykälän 4 momentin mukaan seuraamusmaksu voidaan määrätä oikeushenkilölle määrättävän seuraamusmaksun lisäksi tai sen sijasta sellaiselle oikeushenkilön johtoon kuuluvalle henkilölle, jonka velvollisuuksien vastainen edellä tässä pykälässä säädetty teko tai laiminlyönti on. Kyseiselle henkilölle määrättävän seuraamusmaksun edellytyksenä on, että henkilö on merkittävällä tavalla myötävaikuttanut tekoon tai laiminlyöntiin.  

Lain 41 §:ssä säädetään tarkemmin seuraamusmaksun määräämisestä. Pykälän 2 momentin mukaan seuraamusmaksun määrä perustuu kokonaisarviointiin, kuten myös rikemaksun määrääminen lain 38 §:n 2 momentin mukaan. Seuraamusmaksun määrää arvioitaessa on otettava huomioon menettelyn laatu, laajuus ja kestoaika sekä tekijän taloudellinen asema. Lisäksi arvioinnissa on otettava huomioon menettelyllä saavutettu hyöty ja sillä aiheutettu vahinko, jos ne ovat määritettävissä, tekijän yhteistyö Finanssivalvonnan kanssa asian selvittämiseksi ja toimenpiteet rikkomisen toistumisen estämiseksi, muut ja aiemmat finanssimarkkinoita koskeviin säännöksiin kohdistuneet rikkomukset ja laiminlyönnit sekä menettelyn mahdolliset vaikutukset rahoitusjärjestelmän vakaudelle. 

Lain 42 §:n 1 momentin mukaan Finanssivalvonta voi jättää rikemaksun määräämättä tai julkisen varoituksen antamatta, jos 1) edellä 38 tai 39 §:ssä tarkoitettu on oma-aloitteisesti ryhtynyt riittäviin toimenpiteisiin virheen korjaamiseksi välittömästi virheen havaitsemisen jälkeen ja ilmoittanut virheestä viivytyksettä Finanssivalvonnalle, eikä virhe tai laiminlyönti ole vakava tai toistuva; 2) virheellistä menettelyä on pidettävä vähäisenä; tai 3) rikemaksun määräämistä tai julkisen varoituksen antamista on muutoin pidettävä ilmeisen kohtuuttomana. Pykälän 2 momentin mukaan Finanssivalvonta voi seuraamusmaksun määräämisen sijaan antaa julkisen varoituksen 1 momentin 2 ja 3 kohdassa säädetyillä perusteilla. Pykälän 3 momentin mukaan rikemaksua tai seuraamusmaksua ei voida määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Rikemaksua tai seuraamusmaksua ei voida määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. 

Lain 43 §:n 1 momentin mukaan Finanssivalvonnan on julkistettava päätös, jossa määrätään rikemaksu, julkinen varoitus tai seuraamusmaksu viipymättä sen jälkeen, kun päätöksestä on ilmoitettu sen kohteena olevalle henkilölle. Julkistamisesta on käytävä ilmi, onko seuraamuksen antamista tai määräämistä koskeva päätös lainvoimainen, rikkomisen luonne ja tyyppi sekä rikkomisesta vastuussa olevan henkilöllisyys. Seuraamusta koskevat tiedot on pidettävä Finanssivalvonnan internetsivuilla viiden vuoden ajan. Pykälän 2 momentin mukaisin edellytyksin Finanssivalvonta voi lykätä seuraamusta koskevan päätöksen julkistamista, julkistaa seuraamusta koskevan päätöksen ilman seuraamuksen kohteena olevan henkilön nimeä tai jättää seuraamusta koskevan päätöksen julkistamatta, jos seuraamuksen kohteena olevan luonnollisen henkilön tai oikeushenkilön nimen julkistaminen olisi kohtuutonta, tai jos seuraamuksen julkistaminen vaarantaisi finanssimarkkinoiden vakauden tai meneillään olevan viranomaistutkinnan. Mitä pykälässä säädetään rikemaksun, julkisen varoituksen ja seuraamusmaksun julkistamisesta, sovelletaan myös muun muassa lain 33 ja 33 a §:ssä tarkoitettujen päätösten julkistamiseen. 

Finanssivalvonnasta annetun lain 6 luku sisältää säännöksiä muun muassa Finanssivalvonnan yhteistyöstä ulkomaan viranomaisten kanssa sekä EU-säädösten noudattamisen valvonnasta. Voimassa oleva 50 p § ja 52 a § on säädetty toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 ( verkko- ja tietoturvadirektiivi ) toimeenpanemiseksi.  

Lain 50 p §:n mukaan Finanssivalvonta toimii verkko- ja tietoturvadirektiivin 8 artiklan 1 kohdassa tarkoitettuna toimivaltaisena viranomaisena direktiivin liitteen II toimialojen 3 ja 4 osalta.  

Lain 52 a §:n mukaan Finanssivalvonnan on tehtävä yhteistyötä verkko- ja tietoturvadirektiivin mukaisten tehtävien hoitamisessa Liikenne- ja viestintäviraston kanssa. Finanssivalvonnalla on tätä tarkoitusta varten oikeus salassapitosäännösten estämättä luovuttaa tietoja Liikenne- ja viestintävirastolle. Pykälällä on pantu täytäntöön verkko- ja tietoturvadirektiivin 10 artikla direktiivin liitteen II toimialojen 3 ja 4 osalta. Direktiivin 10 artiklassa säädetään kansallisen tason viranomaisyhteistyöstä. Jos saman jäsenvaltion toimivaltainen viranomainen, keskitetty yhteyspiste ja CSIRT-toimija ovat erillisiä, niiden on tehtävä yhteistyötä direktiivissä säädettyjen velvollisuuksien täyttämisen osalta. Jäsenvaltioiden on varmistettava, että joko toimivaltaiset viranomaiset tai CSIRT-toimijat saavat direktiivin nojalla toimitetut poikkeamia koskevat ilmoitukset. Jos jäsenvaltio päättää, että CSIRT-toimijat eivät saa ilmoituksia, CSIRT-toimijoille on, siinä määrin kuin on tarpeen niiden tehtävien täyttämiseksi, annettava pääsy tietoihin, jotka koskevat keskeisten palvelujen tarjoajien direktiivin 14 artiklan 3 ja 5 kohdan nojalla ilmoittamia poikkeamia. Jäsenvaltioiden on varmistettava, että toimivaltaiset viranomaiset tai CSIRT-toimijat ilmoittavat keskitetyille yhteyspisteille tämän direktiivin nojalla toimitetuista poikkeamia koskevista ilmoituksista. Verkko- ja tietoturvadirektiivin tarkoittamana keskitettynä yhteyspisteenä ja CSIRT-toimijana on Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.  

Finanssivalvonnasta annetun lain 18 §:n 2 momentin mukaan Finanssivalvonta voi antaa määräyksiä muun muassa valvottavan sisäistä valvontaa ja riskienhallintaa koskevien tietojen säännöllisestä toimittamisesta ja toimittamistavasta Finanssivalvonnalle. Finanssivalvonta on antanut määräykset ja ohjeet operatiivisen riskin hallinnasta rahoitussektorin valvottavissa (Määräykset ja ohjeet 8/2014), jotka ovat tulleet voimaan 1.2.2015.  

Osana mainittuja määräyksiä ja ohjeita Finanssivalvonta on antanut määräykset sisäistä valvontaa, riskienhallintaa ja häiriöitä koskevien tietojen toimittamisesta Finanssivalvonnalle, jotka ovat tulleet voimaan 1.1.2020. Valvottavan tulee tehdä ensi-ilmoitus Finanssivalvonnalle asiakkaille tarjotuissa palveluissa sekä maksu- ja tietojärjestelmissä esiintyneistä merkittävistä häiriöistä ja virheistä viipymättä niiden ilmaannuttua. Maksujenvälityksessä ja korttimaksamisessa merkittäviksi häiriöiksi katsotaan esimerkiksi suurta määrää asiakkaita koskeva häiriö tai viivästys. Merkittävä häiriö on myös verkkoja tietoturvallisuuteen liittyvä häiriö tai poikkeama sekä häiriö, jossa asiakastietoja on joutunut ulkopuoliselle taholle. Finanssivalvonnalle tulee ilmoittaa viipymättä myös sellaiset häiriöt ja virheet, jotka haittaavat tai vaarantavat valvottavan kykyä jatkaa liiketoimintaansa tai vastata velvoitteistaan. Valvottavan tulee tehdä Finanssivalvonnalle täydentävä ilmoitus häiriön tarkemmista yksityiskohdista mahdollisimman pian ensimmäisen ilmoituksen tekemisen jälkeen ja loppuraportti, kun häiriön varsinainen syy on selvitetty. Ilmoitus tulee tehdä ainakin seuraaviin ryhmiin kuuluvista häiriöistä: murtautuminen tietojärjestelmään; tietojen paljastuminen asiattomille; tietoturvaloukkaus; haittaohjelman levittäminen tietojärjestelmään ja palvelunestohyökkäys. 

Lisäksi Finanssivalvonta on antanut määräykset ja ohjeet henki- ja vahinkovakuutusyhtiön toiminnan aloittamisesta ja hallintojärjestelmästä (Määräykset ja ohjeet 6/2015), jotka ovat tulleet voimaan 1.1.2016 ja sisältävät määräyksiä ja ohjeita tietojärjestelmien ja tietoturvallisuuden järjestämisestä osana operatiivisten riskien hallintaa henki- ja vahinkovakuutusyhtiöissä sekä tietojen ilmoittamisesta Finanssivalvonnalle. Finanssivalvonnan määräykset henki- ja vahinkovakuutusyhtiöille toiminnan häiriöistä ja virheistä tehtävästä ilmoituksesta vastaavat pääosin yllä muiden rahoitussektorin valvottavien osalta annettuja määräyksiä. 

3.2  EU:n DORA-asetuksen edellyttämät muutokset Finanssivalvonnan valvontavaltuuksiin

EU:n DORA-asetus on Suomessa suoraan sovellettavaa oikeutta. Asetuksen soveltamisalaan kuuluvat finanssiyhteisöt ovat siten velvoitettuja noudattamaan asetuksen sääntelyä ilman erillisiä kansallisia täytäntöönpanotoimia. Finanssivalvonta on Suomessa EU:n DORA-asetuksen 46 artiklan tarkoittama toimivaltainen viranomainen. Finanssivalvonnan tehtävänä on valvoa, että finanssimarkkinoilla toimivat noudattavat niihin sovellettavia finanssimarkkinoita koskevia säännöksiä, joihin jatkossa sisältyy myös EU:n DORA-asetus. Asetuksen 50 artiklan 1 kohta edellyttää, että toimivaltaisilla viranomaisilla on oltava kaikki asetuksen mukaisten tehtäviensä hoitamiseen tarvittavat valtuudet valvoa, tutkia ja määrätä seuraamuksia. Toimivaltaisen viranomaisen valtuuksista säädetään pääosin kansallisessa lainsäädännössä, joten tältä osin asetus edellyttää kansallisia sääntelytoimia.  

EU:n DORA-asetuksen 50 artiklan 2 kohdan a alakohdan mukaan mainittuihin valtuuksiin on kuuluttava valtuudet saada tutustua kaikkiin asiakirjoihin tai muuhun dataan, joilla toimivaltainen viranomainen katsoo olevan merkitystä tehtäviensä suorittamisen kannalta, ja oikeus saada tai ottaa jäljennös niistä. Artiklan 2 kohdan b alakohdan mukaan toimivaltaisella viranomaisella on oltava valtuudet suorittaa paikalla tehtäviä tarkastuksia tai tutkimuksia, joiden yhteydessä voidaan muun muassa pyytää finanssiyhteisöjen edustajilta suullisia tai kirjallisia selvityksiä tutkimuksen kohteeseen ja tarkoitukseen liittyvistä tosiseikoista tai asiakirjoista ja tallentaa vastaukset sekä haastatella ketä tahansa muuta haastatteluun suostuvaa luonnollista henkilöä tai oikeushenkilöä tutkimuksen kohteeseen liittyvien tietojen keräämiseksi. Kyseiset valtuudet sisältyvät Finanssivalvonnasta annetun lain 18, 19, 22 ja 24 §:ään.  

EU:n DORA-asetuksen 50 artiklan 2 kohdan c alakohdan mukaan toimivaltaisella viranomaisella on oltava valtuudet vaatia oikaisevia ja korjaavia toimenpiteitä, jos asetuksen vaatimuksia rikotaan. Artiklan 3 kohdan mukaan jäsenvaltioiden on vahvistettava säännöt, jotka koskevat asetuksen rikkomiseen liittyviä asianmukaisia hallinnollisia seuraamuksia ja korjaavia toimenpiteitä, ja varmistettava niiden tehokas täytäntöönpano, sanotun kuitenkaan rajoittamatta jäsenvaltioiden oikeutta määrätä rikosoikeudellisia seuraamuksia asetuksen 52 artiklan mukaisesti. Kyseisten seuraamusten ja toimenpiteiden on oltava tehokkaita, oikeasuhteisia ja varoittavia.  

Hallinnollisia seuraamuksia ja korjaavia toimenpiteitä koskevia vaatimuksia tarkennetaan EU:n DORA-asetuksen 50 artiklan 4 kohdassa. Kohdan a ja b alakohdan mukaan jäsenvaltioiden on annettava asetuksen rikkomistapauksissa toimivaltaisille viranomaisille valtuudet antaa määräys, jossa kyseessä olevaa luonnollista henkilöä tai oikeushenkilöä vaaditaan lopettamaan asetuksen vastainen toiminta ja pidättäytymään toistamasta kyseistä toimintaa sekä vaatia sellaisen käytännön tai menettelytavan tilapäistä tai pysyvää lopettamista, jonka toimivaltainen viranomainen katsoo olevan ristiriidassa asetuksen säännösten kanssa, ja estää kyseisen käytännön tai menettelytavan toistuminen. Kyseiset valtuudet sisältyvät Finanssivalvonnasta annetun lain 33 §:ään.  

EU:n DORA-asetuksen 50 artiklan 4 kohdan c alakohdan mukaan toimivaltaisille viranomaisille on annettava valtuudet ottaa käyttöön minkä tahansa tyyppisiä, myös taloudellisia, toimenpiteitä sen varmistamiseksi, että finanssiyhteisöt jatkavat lakisääteisten vaatimusten noudattamista. Kyseiset valtuudet sisältyvät uhkasakon osalta Finanssivalvonnasta annetun lain 33 a §:ään. Lisäksi lain 4 luvun hallinnollisia seuraamuksia koskevat säännökset ovat tältä osin merkityksellisiä. Lain rikemaksua ja seuraamusmaksua koskevissa säännöksissä luetellaan ne säännökset, joiden laiminlyönnin tai rikkomisen seurauksena kyseinen seuraamus voidaan määrätä. Näitä säännöksiä olisi täydennettävä siten, että seuraamus voidaan määrätä EU:n DORA-asetuksen asianomaisten säännösten laiminlyönnin tai rikkomisen johdosta. Lain mukaiset hallinnolliset seuraamukset mahdollistavat nopean ja tehokkaan puuttumisen lainsäädännön vastaiseen menettelyyn, mikä tehostaa finanssiyhteisöihin kohdistettavaa valvontaa. Hallinnollisia seuraamuksia koskevat säännökset turvaavat lakisääteisten vaatimusten noudattamista myös niiden yleisen ennalta estävän vaikutuksen kautta.  

EU:n DORA-asetuksen 50 artiklan 4 kohdan d alakohdan mukaan toimivaltaisilla viranomaisilla on kansallisen lainsäädännön mahdollistamissa puitteissa oltava valtuudet vaatia teleoperaattorin hallussa olevia dataliikennetietoja, jos voidaan perustellusti epäillä asetuksen rikkomista ja jos tällaiset tiedot voivat olla merkityksellisiä asetuksen rikkomista koskevan tutkinnan kannalta. Finanssivalvonnalle ei ole kansallisessa lainsäädännössä annettu oikeutta vaatia teleoperaattorin hallussa olevia tietoliikennetietoja. Asiaa on arvioitu EU:n markkinoiden väärinkäyttöasetukseen (EU) N:o 596/2014 liittyvien lakiehdotusten säätämisen yhteydessä (ks. HE 65/2016 vp., s. 27). Markkinoiden väärinkäyttöasetus sisältää EU:n DORA-asetusta vastaavan säännöksen valtuudesta vaatia teleoperaattorin hallussa olevia dataliikennetietoja kansallisen lainsäädännön mahdollistamissa puitteissa. Suomessa oikeus saada televalvontatietoja on pakkokeinolaissa (806/2011) säädetyin edellytyksin ainoastaan poliisilla, joka voi muun muassa törkeissä sisäpiirintiedon väärinkäyttöepäilyissä tai markkinoiden vääristämisepäilyissä saada tuomioistuimelta luvan televalvontatietoihin. Tätä lähestymistapaa ei ole perusteltua lähteä muuttamaan ilman perusteellista arviointia Finanssivalvonnan nykyisten tutkintavaltuuksien riittävyydestä. Ratkaisua jättää tällainen valtuus kansallisesti säätämättä on pidettävä myös EU:n DORA-asetuksen perusteella mahdollisena.  

Asetuksen 50 artiklan 4 kohdan e alakohdan mukaan toimivaltaisille viranomaisille on annettava valtuudet antaa julkisia ilmoituksia, mukaan lukien julkiset lausumat, joissa ilmoitetaan luonnollisen henkilön tai oikeushenkilön henkilöllisyys ja rikkomisen luonne. Kyseiset valtuudet sisältyvät Finanssivalvonnasta annetun lain 43 §:ään. Mitä pykälässä säädetään rikemaksun, julkisen varoituksen ja seuraamusmaksun julkistamisesta, sovelletaan myös lain 33 §:ssä tarkoitettua toimeenpanokieltoa ja oikaisukehotusta sekä 33 a §:ssä tarkoitettua uhkasakkoa koskevien päätösten julkistamiseen. Asetuksen 54 artiklassa annetaan lisäksi erillisiä suoraan sovellettavia säännöksiä hallinnollisten seuraamusten julkaisemisesta. Toimivaltaisten viranomaisten on julkaistava virallisilla verkkosivustoillaan ilman aiheetonta viivytystä kaikki hallinnollisen seuraamuksen määräämistä koskevat päätökset, joihin ei voi hakea muutosta, sen jälkeen, kun kyseinen päätös on annettu tiedoksi seuraamuksen kohteena olevalle henkilölle. Artikla sisältää lisäksi julkaisemisvelvollisuutta koskevia poikkeuksia sekä muita tarkentavia säännöksiä. Finanssivalvonnan tulee kansallisen lainsäädännön ohella ottaa mainitut säännökset huomioon toiminnassaan. Asiasta olisi perusteltua sisällyttää informatiivinen viittaussäännös Finanssivalvonnasta annettuun lakiin. 

EU:n DORA-asetuksen 50 artiklan 5 kohdan mukaan, jos artiklan 2 kohdan c alakohtaa ja 4 kohtaa sovelletaan oikeushenkilöihin, jäsenvaltioiden on annettava toimivaltaisille viranomaisille toimivalta soveltaa kansallisessa lainsäädännössä säädetyin edellytyksin hallinnollisia seuraamuksia ja korjaavia toimenpiteitä ylimmän hallintoelimen jäseniin ja muihin luonnollisiin henkilöihin, jotka ovat kansallisen lainsäädännön mukaan vastuussa rikkomisesta. Tätä koskevat säännökset sisältyvät Finanssivalvonnasta annetun lain 33 §:n 5 momenttiin ja 40 §:n 4 momenttiin.  

Asetuksen 50 artiklan 6 kohdan mukaan jäsenvaltioiden on varmistettava, että kaikki päätökset, joilla määrätään artiklan 2 kohdan c alakohdassa säädettyjä hallinnollisia seuraamuksia tai korjaavia toimenpiteitä, ovat asianmukaisesti perusteltuja ja että niihin voidaan hakea muutosta. Muutoksenhausta Finanssivalvonnan päätökseen säädetään Finanssivalvonnasta annetun lain 73 §:ssä. Hallintomenettelyä koskevat säännökset sisältyvät hallintolakiin. 

EU:n DORA-asetuksen 51 artiklan 2 kohdan mukaan, kun toimivaltaiset viranomaiset määrittävät 50 artiklan mukaisesti määrättävän hallinnollisen seuraamuksen tai korjaavan toimenpiteen tyyppiä ja tasoa, niiden on otettava huomioon, missä määrin rikkominen on tahallinen tai tuottamuksellinen, ja kaikki muut asiaan vaikuttavat olosuhteet, mukaan lukien tapauksen mukaan seuraavat: 

a) rikkomisen olennaisuus, vakavuus ja kesto; 

b) rikkomuksesta vastuussa olevan luonnollisen henkilön tai oikeushenkilön vastuun aste; 

c) vastuussa olevan luonnollisen henkilön tai oikeushenkilön taloudellinen vahvuus; 

d) vastuussa olevan luonnollisen henkilön tai oikeushenkilön saamien voittojen tai näiden välttämien tappioiden suuruus, jos ne ovat määritettävissä; 

e) rikkomisen kolmansille osapuolille aiheuttamat tappiot, jos ne ovat määritettävissä; 

f) se, missä määrin vastuussa oleva luonnollinen henkilö tai oikeushenkilö on tehnyt yhteistyötä toimivaltaisen viranomaisen kanssa, sanotun kuitenkaan rajoittamatta tarvetta varmistaa, että kyseinen luonnollinen henkilö tai oikeushenkilö joutuu luopumaan saamistaan voitoista tai välttämistään tappioista; 

g) vastuussa olevan luonnollisen henkilön tai oikeushenkilön aiempi syyllistyminen rikkomiseen. 

Rikemaksun ja seuraamusmaksun määrittämisessä huomioitavista tekijöistä säädetään Finanssivalvonnasta annetun lain 38 §:n 2 momentissa ja 41 §:n 2 momentissa. Määrättävän rike- tai seuraamusmaksun määrä perustuu kokonaisarviointiin. EU:n DORA-asetuksen mukaisten velvoitteiden laiminlyönnin tai rikkomisen johdosta määrättävää seuraamusta määritettäessä tulee ottaa huomioon ainakin kaikki asetuksen 51 artiklan 2 kohdassa mainitut seikat ja olosuhteet sekä kaikki muut asiaan vaikuttavat olosuhteet. Kohta koskee sekä hallinnollisen seuraamuksen että muun korjaavan toimenpiteen määräämistä. Finanssivalvonnan tulee kansallisen lainsäädännön ohella ottaa toiminnassaan huomioon mainitut suoraan sovellettavat säännökset. Asiasta olisi perusteltua sisällyttää informatiivinen viittaussäännös Finanssivalvonnasta annettuun lakiin. 

EU:n DORA-asetuksen 52 artiklan mukaan jäsenvaltiot voivat päättää, että ne eivät säädä hallinnollisia seuraamuksia tai korjaavia toimenpiteitä koskevia sääntöjä sellaisten rikkomisten osalta, joihin sovelletaan niiden kansallisen lainsäädännön mukaisia rikosoikeudellisia seuraamuksia. Jäsenvaltion harkittavissa siis on, säädetäänkö asetuksen rikkominen joltain osin rikosoikeudellisesti rangaistavaksi.  

Edellä sanotun perusteella voidaan todeta, että Finanssivalvonnasta annetun lain 3 luvun mukaiset Finanssivalvonnan valvontavaltuudet antavat Finanssivalvonnalle EU:n DORA-asetuksen 50 artiklan edellyttämät kattavat valtuudet tutkia ja valvoa asetuksen noudattamista, eikä näitä säännöksiä siten ole tarpeen muuttaa asetuksen johdosta. Sen sijaan lain 4 luvun mukaisten hallinnollisten seuraamusten osalta on edellä todettu tarve täydentävälle kansalliselle sääntelylle, jotta voidaan varmistaa tehokkaat, oikeasuhteiset ja varoittavat hallinnolliset seuraamukset EU:n DORA-asetuksen edellyttämällä tavalla.  

Osana EU:n DORA-asetuksen mukaisten velvoitteiden noudattamisen valvontaa, Finanssivalvonnan tehtäviin kuuluu valvoa, että finanssiyhteisöt hallitsevat asianmukaisesti kolmansiin osapuoliin liittyvää TVT-riskiä. Kun finanssiyhteisöt tukeutuvat toiminnassaan TVT-palveluntarjoajana olevien kolmansien osapuolten palveluihin, TVT-riskin kokonaisvaltainen arviointi edellyttää näkyvyyttä myös palveluntarjoajan toimintaan, vaikka vastuu asetuksen velvoitteiden noudattamisesta säilyykin finanssiyhteisöllä. Valvonta ulottuu näin ollen epäsuorasti myös asetuksessa tarkoitettujen TVT-palveluntarjoajana olevien kolmansien osapuolten toimintaan ja niiden omiin TVT-riskinhallintamenettelyihin. Lisäksi asetuksen 30 artiklassa säädetään seikoista, jotka finanssiyhteisöjen ja TVT-palveluntarjoajana olevien kolmansien osapuolten on otettava huomioon tehdessään näitä palveluja koskevia sopimuksia. Tämän vuoksi lakiin tulee tehdä tarpeelliset muutokset Finanssivalvonnan valvontavaltuuksien ulottamiseksi TVT-palveluntarjoajana oleviin kolmansiin osapuoliin. Tämä on tarpeen myös sen vuoksi, että DORA-muutosdirektiivin mukaan toimivaltaisella viranomaisella tulee olla oikeus vaatia kaikkia tehtäviensä hoitamisen kannalta tarpeellisia tietoja myös TVT-palveluntarjoajana olevilta kolmansilta osapuolilta. Tästä seuraa myös, että toimivaltaisella viranomaisella tulee luottolaitosdirektiivin 65 artiklan 3 kohdan mukaisesti olla oikeus suorittaa kaikki tarpeelliset TVT-palveluntarjoajana olevaa kolmatta osapuolta koskevat tutkimukset sekä valtuudet suorittaa kaikki tarpeelliset tarkastukset palveluntarjoajan liiketiloissa. 

3.3  EU:n DORA-asetuksen edellyttämät muut muutokset Finanssivalvonnasta annettuun lakiin

EU:n DORA-asetuksen 19 artiklan 6 kohdan mukaan toimivaltaisen viranomaisen on artiklan 4 kohdassa tarkoitetun laajavaikutteista TVT:hen liittyvää poikkeamaa koskevan ilmoituksen ja raportin saatuaan hyvissä ajoin toimitettava poikkeamaa koskevat yksityiskohtaiset tiedot soveltuvin osin niiden toimivallan perusteella EPV:lle, ESMAlle tai EIOPAlle; tarpeen mukaan EKP:lle; NIS 2 -direktiivin mukaisesti nimetyille tai perustetuille toimivaltaisille viranomaisille, keskitetyille yhteyspisteille tai CSIRT-yksiköille; kriisinratkaisuviranomaisille sekä muille kansallisen lainsäädännön mukaisille asianomaisille viranomaisille. Lisäksi finanssiyhteisöt voivat vapaaehtoisesti ilmoittaa merkittävistä kyberuhkista asianomaiselle toimivaltaiselle viranomaiselle, jos ne pitävät uhkaa merkittävänä rahoitusjärjestelmän, palvelujen käyttäjien tai asiakkaiden kannalta. Asianomainen toimivaltainen viranomainen voi artiklan 2 kohdan nojalla toimittaa tällaisia tietoja edellä mainituille viranomaisille. Näin ollen Finanssivalvonnalla olisi suoraan EU:n DORA-asetuksen 19 artiklan nojalla oikeus salassapitosäännösten estämättä luovuttaa artiklassa tarkoitettuja laajavaikutteisia TVT:hen liittyviä poikkeamia ja merkittäviä kyberuhkia koskevia tietoja mainituille viranomaisille. EU:n DORA-asetuksen 55 artiklassa säädetään asetuksen nojalla saatuja, vaihdettuja ja toimitettuja luottamuksellisia tietoja koskevasta salassapitovelvollisuudesta. Tiedot, jotka koskevat liiketoiminta- tai toimintaolosuhteita ja muita taloudellisia tai henkilökohtaisia asioita, on katsottava luottamuksellisiksi ja niihin on sovellettava salassapitovelvollisuutta koskevia vaatimuksia. Koska asetus on suoraan sovellettavaa oikeutta, ei kansalliseen lainsäädäntöön olisi näiden tietojen luovuttamisen osalta tarpeen tehdä muutoksia. Kyberturvallisuutta koskevan ajantasaisen tilannekuvan muodostamiseksi ja sektorit ylittävän koordinoinnin edistämiseksi Finanssivalvonnan on tärkeätä välittää saamansa häiriöilmoitukset ilman aiheetonta viivytystä Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen ja muiden keskeisten viranomaisten tietoon. Muita keskeisiä tahoja ovat ainakin rahoitusjärjestelmän kriisinhallinnan yhteistoiminta-asiakirjan osapuolet, joita Finanssivalvonnan ohella ovat valtiovarainministeriö, sosiaali- ja terveysministeriö, Suomen Pankki ja Rahoitusvakausvirasto. 

Finanssivalvonnasta annetun lain 18 §:n 2 momentin säännöstä, jonka nojalla Finanssivalvonta voi antaa määräyksiä tiettyjen tietojen toimittamisesta, ei ole tarpeen muuttaa EU:n DORA-asetuksen johdosta. Mainitun säännöksen nojalla annettavissa määräyksissä on kuitenkin huomioitava, että finanssiyhteisöt ovat suoraan EU:n DORA-asetuksen 19 artiklan nojalla velvollisia raportoimaan laajavaikutteisista TVT:hen liittyvistä poikkeamista. Määräyksiin ei tule sisältyä asetuksen kanssa päällekkäisiä raportointivelvollisuuksia. Samalla EU:n DORA-asetus ei kuitenkaan estä antamasta muita raportointia koskevia määräyksiä 18 §:n 2 momentin tai muiden soveltuvien kansallisten säännösten nojalla. Finanssiyhteisöjen on asetuksen 17 artiklan 2 kohdan mukaan kirjattava kaikki TVT:hen liittyvät poikkeamat ja merkittävät kyberuhat. Erityisesti jos yleinen kyberturvallisuustilanne ja ajantasaisen tilannekuvan muodostaminen sitä edellyttää, voi olla perusteltua edellyttää määräyksissä finanssiyhteisöjä tai joitakin finanssiyhteisöjen tyyppejä raportoimaan Finanssivalvonnalle myös muista kuin laajavaikutteisista poikkeamista.  

EU:n DORA-asetuksen 26 artiklan 9 kohdan mukaan jäsenvaltiot voivat nimetä rahoitusalan yhden viranomaisen, joka vastaa rahoitusalalla uhkaperusteiseen tunkeutumistestaukseen kansallisella tasolla liittyvistä asioista, ja antaa sille kaikki tätä koskevat toimivaltuudet ja tehtävät. Jos mainittua nimeämistä ei ole tehty ja rajoittamatta valtuuksia yksilöidä finanssiyhteisöt, joiden on suoritettava uhkaperusteinen tunkeutumistestaus, toimivaltainen viranomainen voi artiklan 10 kohdan nojalla siirtää joidenkin tai kaikkien EU:n DORA-asetuksen 26 ja 27 artiklassa tarkoitettujen tehtävien hoitamisen toiselle finanssialan kansalliselle viranomaiselle. Tältä osin asetus ei siis edellytä kansallista sääntelyä ja tällaisen sääntelyn puuttuessa Finanssivalvonta voisi tehdä mainitun tehtäväsiirron suoraan EU:n DORA-asetuksen nojalla. Käytännössä asetuksessa tarkoitettu toinen finanssialan kansallinen viranomainen voisi olla Suomen Pankki, joka vastaa nykyisin TIBER-FI-toimintamallista. TIBER-FI on Suomen finanssialan toimijoiden käyttöön laadittu kehikko finanssialan kriittisten toimintojen toimintavarmuuden varmistamiseksi kohdennettujen kyberhyökkäysten varalta. Se perustuu Euroopan keskuspankin TIBER-EU-toimintamalliin finanssialan kyberturvallisuuden kehittämiseksi. TIBER-EU on systemaattinen, kontrolloitu ja ajantasaiseen kyberturvallisuuden uhkatietoon pohjautuva toimintamalli Red Team -tietoturvatestausten suorittamiseksi. EU:n DORA-asetuksen nojalla Finanssivalvonta yksilöisi ne finanssiyhteisöt, joilta edellytetään uhkaperusteisen tunkeutumistestauksen tekemistä. Osana EU:n DORA-asetuksen noudattamisen valvontaa tulisi varmistaa, että kyseiset finanssiyhteisöt suorittavat testauksen vaatimusten mukaisesti. Viranomaisten on myös annettava finanssiyhteisöille todistus, jossa vahvistetaan, että testi on suoritettu viranomaiselle toimitetuissa asiakirjoissa osoitetun mukaisesti vaatimuksia noudattaen. Tämän kaltaiset tehtävät kuuluvat luontevasti valvovan viranomaisen eli Finanssivalvonnan vastuulle, kun taas Suomen Pankki vastaisi jatkossakin testauksessa käytettävän toimintamallin ylläpidosta. Asetuksen 26 ja 27 artiklan mukaisten tehtävien hoitamiseen sisältyy myös julkisen vallan käyttöä, joten viranomaistehtävät ja niihin liittyvät toimivaltuudet olisi määritettävä lainsäädännössä selkeästi. Näin ollen olisi perusteltua nimetä Finanssivalvonta toimimaan EU:n DORA-asetuksen 26 artiklan 9 kohdan tarkoittamana viranomaisena.  

3.4  Muut Finanssivalvonnasta annetun lain muutostarpeet

Verkko- ja tietoturvadirektiivi on kumottu NIS 2 -direktiivillä. Tämän vuoksi Finanssivalvonnasta annetun lain 50 p §:n ja 52 a §:n säännöksiä Finanssivalvonnan toimimisesta verkko- ja tietoturvadirektiivissä tarkoitettuna toimivaltaisena viranomaisena direktiivin liitteen II toimialojen 3 ja 4 osalta ja Finanssivalvonnan velvollisuudesta tehdä yhteistyötä verkko- ja tietoturvadirektiivin mukaisten tehtävien hoitamisessa Liikenne- ja viestintäviraston kanssa on tarpeen muuttaa. Finanssivalvonnan yhteistyö Liikenne- ja viestintäviraston ja sen Kyberturvallisuuskeskuksen kanssa olisi jatkossakin finanssimarkkinoiden kyberturvallisuuden ja häiriönsietokyvyn edistämisen kannalta keskeistä. Viranomaisyhteistyön merkitystä olisi perusteltua edelleen korostaa lainsäädännössä. Lisäksi säännöksissä on tarpeen huomioida CER-direktiivi sen liitteen toimialojen 3 ja 4 osalta. Vaikka CER-direktiivin velvoitteita ei sovelleta näiden toimialojen kriittisiin toimijoihin, direktiivi edellyttää erityisesti kriittisten toimijoiden tukemista niiden häiriönsietokyvyn parantamiseksi.  

3.5  DORA-muutosdirektiivin edellyttämät muutokset kansalliseen lainsäädäntöön

Kuten edellä on todettu, finanssialan TVT-riskin hallintaan liittyvistä vaatimuksista säädetään tällä hetkellä useissa Euroopan parlamentin ja neuvoston direktiiveissä. Kyseiset vaatimukset, ja siten myös niiden täytäntöön panemiseksi annetut kansalliset säännökset, ovat vaihtelevia. DORA-muutosdirektiivissä säädetään muutoksista, joilla pyritään varmistamaan sääntelyn johdonmukaisuus EU:n DORA-asetuksen kanssa. Direktiivin säännösten johdosta tarpeelliset muutokset olisi tehtävä luottolaitostoiminnasta annettuun lakiin (610/2014), sijoituspalvelulakiin (747/2012), maksulaitoslakiin (297/2010), kaupankäynnistä rahoitusvälineillä annettuun lakiin (1070/2017), sijoitusrahastolakiin (213/2019), vaihtoehtorahastojen hoitajista annettuun lakiin (162/2014), lisäeläkesäätiöistä ja lisäeläkekassoista annettuun lakiin (947/2021) ja vakuutusyhtiölakiin (521/2008). Käytännössä näissä muutoksissa kyse on pääosin vaatimuksista hallinnoida verkko- ja tietojärjestelmiä EU:n DORA-asetuksen mukaisesti osana sisäistä hallintoa sekä riskienhallinnan menettelyjä. Lisäksi liiketoiminnan jatkuvuutta koskevia suunnitelmia koskevaa sääntelyä on luottolaitosten osalta luottolaitosdirektiivissä ja algoritmista kaupankäyntiä harjoittavan sijoituspalveluyrityksen ja säännellyn markkinan osalta MiFID II -direktiivissä täsmennetty siten, että näihin suunnitelmiin sisältyvät EU:n DORA-asetuksen mukaiset tieto- ja viestintätekniikan liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet ja suunnitelmat ja tieto- ja viestintätekniikan reagointi- ja palautumissuunnitelmat. Koska asetus on kyseessä oleviin finanssiyhteisöihin nähden suoraan sovellettavaa oikeutta, on tällainen sääntely luonteeltaan pääasiallisesti informatiivista, ja siten DORA-muutosdirektiivin täytäntöön panemiseksi olisi pääosin riittävää lisätä asianomaisiin lainkohtiin tarvittavat viittaukset EU:n DORA-asetukseen.  

DORA-muutosdirektiivi edellyttää myös eräitä sisällöllisiä muutoksia kansalliseen lainsäädäntöön. Kuten edellä on todettu, luottolaitosdirektiiviä on muutettu siten, että toimivaltaisella viranomaisella tulee olla oikeus vaatia kaikkia tehtäviensä hoitamisen kannalta tarpeellisia tietoja myös TVT-palveluntarjoajana olevilta kolmansilta osapuolilta. Tämä toteutettaisiin muuttamalla Finanssivalvonnasta annettua lakia. Lisäksi luottolaitosdirektiivin mukaista vakavaraisuuden arviointiprosessin soveltamisalaa on muutettu siten, että arvioinnissa on huomioitava EU:n DORA-asetuksen IV luvun mukaisen digitaalisen häiriönsietokyvyn testauksen paljastamat riskit. Luottolaitostoiminnasta annettua lakia olisi täsmennettävä tältä osin. Maksupalveludirektiivin 96 artiklan 1–5 kohdan poikkeamista raportointia koskevia säännöksiä ei jatkossa sovelleta EU:n DORA-asetuksen soveltamisalaan kuuluviin maksupalveluntarjoajiin. Maksulaitoslakia olisi muutettava tältä osin.  

Seuraavassa kuvataan ne DORA-muutosdirektiivin kohdat, jotka eivät edellytä muutoksia kansalliseen lain tasoiseen sääntelyyn. Muilta osin lakiehdotusten yksityiskohtaisissa perusteluissa on kuvattu tarkemmin kunkin DORA-muutosdirektiivin kohdan täytäntöönpano.  

DORA-muutosdirektiivin 7 artiklan 1 kohta, jolla käsite ”tietotekniikka” korvataan käsitteellä ”tieto- ja viestintätekniikka” maksupalveludirektiivin 3 artiklan j kohdan säännöksessä direktiivin soveltamisalan ulkopuolelle jätettävistä maksupalveluiden tarjoamista tukevista palveluista, ei edellytä muutoksia kansalliseen lainsäädäntöön. Soveltamisalan rajaus on tältä osin pantu täytäntöön maksulaitoslain yksityiskohtaisilla perusteluilla (HE 172/2009 vp., s. 30). Myöskään DORA-muutosdirektiivin 7 artiklan 3 kohta, jolla käsite ”tietotekninen järjestelmä” on korvattu käsitteellä ”tieto- ja viestintätekniikan järjestelmä” maksupalveludirektiivin 19 artiklan 6 kohdan toisessa alakohdassa, ei edellytä kansallisia täytäntöönpanotoimia. Tieto- ja viestintätekniikan järjestelmät mainitaan esimerkkinä tärkeästä operatiivisesta toiminnosta, jollaisen saa ulkoistaa ainoastaan tietyin edellytyksin. Kansalliseen lakiin tätä esimerkinomaista mainintaa ei ole sisällytetty.  

DORA-muutosdirektiivin 5 artiklan 1 kohdan c alakohta ja 7 artiklan 6 kohta koskevat EPV:n teknisiä sääntelystandardeja, eivätkä ne siten edellytä muutoksia kansalliseen lainsäädäntöön. Direktiivin 5 artikla, sen 1 kohdan c alakohtaa lukuun ottamatta, ja 7 artiklan 2 kohta puolestaan koskevat asioita, joista säädetään kansallisesti asetustasoisesti. Luvussa 7 (Lakia alemman asteinen sääntely) on kuvattu direktiivin edellyttämiä muutoksia kansalliseen asetustasoiseen sääntelyyn.  

Siltä osin kuin DORA-muutosdirektiivillä muutetaan tiettyjä valtuutuksia antaa delegoituja säädöksiä ja täytäntöönpanosäädöksiä poistamalla TVT-riskiä koskevat säännökset kyseisten valtuutuksien soveltamisalasta (direktiivin 1 artiklan 2 kohta, 2 artiklan 2 kohta, 3 artikla AIFM-direktiivin 18 artiklan 2 kohdan osalta sekä 6 artiklan 2 kohdan b alakohta ja 4 kohdan c alakohta), direktiivistä ei aiheudu muutostarpeita kansalliseen lainsäädäntöön.  

4.1  Keskeiset ehdotukset

Finanssivalvonnasta annettuun lakiin ehdotetaan tehtävän EU:n DORA-asetuksesta aiheutuvat muutokset sekä NIS 2 - ja CER-direktiivien kansallista täytäntöönpanoa täydentävät muutokset. Laissa säädettäisiin Finanssivalvonnan toimimisesta EU:n DORA-asetuksen tarkoittamana toimivaltaisena viranomaisena sekä NIS 2 -direktiivin ja CER-direktiivin tarkoittamana toimivaltaisena viranomaisena pankkitoiminnan ja rahoitusmarkkinoiden infrastruktuurin osalta.  

Finanssivalvonnan yleistehtävää täydentäviä erityisiä tehtäväalueita ehdotetaan täydennettävän tehtävillä edistää finanssimarkkinoilla toimivien kyberturvallisia toimintatapoja sekä edistää kriittisten toimijoiden häiriönsietokykyä. 

Finanssivalvonnan velvollisuudet toimia yhteistyössä muiden viranomaisten kanssa kyberturvallisuuden edistämiseksi kansallisella tasolla sekä EU-säädösten nojalla perustettujen EU:n laajuisten yhteistyöjärjestelyjen puitteissa ehdotetaan koottavan uuteen pykälään. 

Finanssivalvonnasta annetun lain hallinnollisia seuraamuksia koskevia säännöksiä ehdotetaan täydennettävän EU:n DORA-asetuksen johdosta. Finanssivalvonta voisi määrätä seuraamusmaksun sille, joka laiminlyö tai rikkoo EU:n DORA-asetuksen mukaisen velvoitteensa. Asetuksen mukaisen yksinkertaistettua TVT-riskienhallintajärjestelmää koskevan velvoitteen laiminlyönnin tai rikkomisen johdosta voitaisiin määrätä rikemaksu. Laissa tarkoitettujen muiden finanssimarkkinoilla toimivien joukkoon lisättäisiin EU:n DORA-asetuksessa tarkoitettu TVT-palveluntarjoajana oleva kolmas osapuoli, jolloin Finanssivalvonnan yleiset toimivaltuudet ulottuisivat myös näihin toimijoihin. 

Teollisen yhteistyön rahasto Oy -nimisestä osakeyhtiöstä annettua lakia (291/1979) ja valtion erityisrahoitusyhtiöstä annettua lakia (443/1998) muutettaisiin siten, että Teollisen yhteistyön rahasto Oy ja Finnvera Oyj jätettäisiin EU:n DORA-asetuksen soveltamisalan ulkopuolelle. 

Lisäksi esityksellä pantaisiin täytäntöön DORA-muutosdirektiivi. Luottolaitostoiminnasta annettuun lakiin, sijoituspalvelulakiin, maksulaitoslakiin, kaupankäynnistä rahoitusvälineillä annettuun lakiin, sijoitusrahastolakiin, vaihtoehtorahastojen hoitajista annettuun lakiin, lisäeläkesäätiöistä ja lisäeläkekassoista annettuun lakiin ja vakuutusyhtiölakiin ehdotetaan tehtävän direktiivin edellyttämät muutokset.  

4.2  Pääasialliset vaikutukset

Taloudelliset vaikutukset

EU:n DORA-asetus on Suomessa suoraan sovellettavaa oikeutta ja asetuksen soveltamisalaan kuuluvat finanssiyhteisöt ovat velvoitettuja noudattamaan asetuksen sääntelyä ilman erillisiä kansallisia täytäntöönpanotoimia. Finanssiyhteisöihin kohdistuvat toiminnalliset ja taloudelliset vaikutukset aiheutuvat siten pääosin suoraan asetuksen sääntelystä. Tässä hallituksen esityksessä ehdotetut säännökset täydentävät EU:n DORA-asetusta erityisesti Finanssivalvonnan tehtävien, toimivaltuuksien ja hallinnollisten seuraamusten määräämisen osalta. Esityksessä ei ehdoteta EU:n DORA-asetuksen soveltamisalaan kuuluville toimijoille uusia tai asetuksen säännöksiä pidemmälle meneviä velvoitteita. Tässä yhteydessä kuvataan kuitenkin lyhyesti EU-sääntelystä toimijoille aiheutuvia vaikutuksia Euroopan komission DORA-lainsäädäntöehdotuksen yhteydessä laatimien vaikutusarvioiden perusteella.  

EU:n DORA-asetuksen merkittävimmät taloudelliset vaikutukset kohdistuvat finanssialalla toimiviin yrityksiin, finanssialan toiminnan valvojiin ja TVT-palveluita finanssialalle tuottaviin kolmansiin osapuoliin. Taloudellisia vaikutuksia saattaa arvion mukaan kohdistua myös finanssialan toimijoiden asiakkaisiin, sijoittajiin ja kuluttajiin. Sääntelystä aiheutuvat taloudelliset vaikutukset voivat olla kertaluonteisia tai jatkuvia. Suomessa asetuksen soveltamisalaan ja näin ollen myös hallituksen esityksen vaikutuspiiriin kuuluu satoja erilaisia, eri kokoisia ja muutenkin rakenteeltaan ja liiketoiminnaltaan erilaisia toimijoita. 

Suomessa finanssialan kyberriskeihin varautuminen ja niiden huomioiminen on yleisesti ottaen hyvällä tasolla. Finanssialan toimijat on velvoitettu ottamaan huomioon kyberriskit osana operatiivisen riskin hallintaa ja näihin velvoitteisiin on jo vastattu kehittämällä toimenpiteitä kyberriskeihin varautumista varten. Osa EU:n DORA-asetuksen vaatimuksista on kuitenkin uusia tai minimitasoa tarkentavia, jolloin tarvittavat tietojärjestelmiin kohdistuvat päivitykset ja muut muutokset voivat aiheuttaa niitä käyttäville yrityksille kertaluontoisia kustannuksia, minkä lisäksi TVT-riskinhallintaa koskevien vaatimusten jatkuva noudattaminen edellyttää riittävien resurssien kohdentamista näihin toimintoihin. Lisäksi erityisesti vakuutusedustajille vaatimukset ovat täysin uusia, sillä vakuutusedustajien operatiivista riskien hallintaa ei aikaisemmin ole säännelty. Tarkkaa arviota kustannusten määrästä on vaikea antaa, sillä toimijoille aiheutuvat kustannukset riippuvat muun muassa siitä, millä tasolla heidän TVT-järjestelmänsä ovat EU:n DORA-asetuksen vaatimuksiin verrattuna. Kustannukset tulevat kuitenkin Suomessa olemaan todennäköisesti kohtuullisia, sillä suurten toimijoiden TVT-järjestelmien ja riskinhallintamenettelyjen voidaan lähtökohtaisesti olettaa olevan pitkälti jo vaatimusten mukaisia ja pienempiin toimijoihin sovelletaan suhteellisuusperiaatteen mukaisesti lievempiä vaatimuksia. 

EU:n DORA-asetuksen tarkoituksena on yksinkertaistaa ja yhdenmukaistaa TVT-järjestelmien testausvaatimuksia ja TVT-riskitapahtumien raportointia unionin alueella. Euroopan valvontaviranomaiset ovat arviossaan todenneet, että uhkaperusteiseen tunkeutumistestaukseen liittyvien jatkuvien kustannusten osuus tulisi olemaan asianomaisten yritysten TVT-kokonaisbudjetista 0,1–0,3 prosenttia. Yhdenmukaisista testauskäytännöistä hyötyisivät erityisesti rajat ylittävät pankit, joista 44 suurinta voisivat saavuttaa jopa 11–88 miljoonan euron hyödyn vuositasolla. Päällekkäisten riskitapahtumien raportointivaatimuksien poistaminen puolestaan keventäisi etenkin suurten pankkien hallinnollista taakkaa, joka voisi tuoda niille unionin tasolla säästöjä 40–100 miljoonaa euroa vuodessa.  

EU:n DORA-asetuksen implementoinnin arvioidaan vähentävän kyberhäiriötilanteista aiheutuvia suoria kustannuksia ja mahdollisesti laajempia rahoitusvakautta koskevia negatiivisia vaikutuksia. Komission vaikutusarviossaan esittämän arvion mukaan, olettaen että yksi viidestä kyberriskitilanteesta tapahtuu finanssisektorilla, kyberhäiriötilanteista aiheutuvat negatiiviset vaikutukset unionin tasolla olivat vuoden 2018 tasolla kokonaisuudessaan 2–27 miljardia Yhdysvaltain dollaria. Soveltamalla näitä komission arvioita ja oletuksia voidaan todeta, että vuonna 2018 kybertapahtumien negatiivisten vaikutusten summa Suomessa oli arviolta 2,9–39 miljoonaa Yhdysvaltain dollaria. Vastaavasti mikäli vaikutuksista saataisiin vähennettyä kymmenenkin prosenttia, tarkoittaisi se Suomessa 0,29–3,9 miljoonan Yhdysvaltain dollarin vuosittaista säästöä. Komission arvion mukaan kymmenen prosentin vähennys on realistinen, mutta vaikutus voisi olla tätäkin suurempi. Komissio korostaa arviossaan, että vaikutusten arvioiminen on tältä osin erittäin haastavaa, koska häiriötilanteita ei ole raportoitu kattavasti ja usein on epäselvää, mitä suoria ja epäsuoria kustannuksia häiriötilanteista aiheutuviin kustannuksiin on sisällytetty. 

EU:n DORA-asetuksen velvoitteista aiheutuvien valvontaviranomaisten lisätehtävien arvioidaan aiheuttavan asianomaisille viranomaisille vähäisiä kustannuksia henkilöstön lisäämisen johdosta. Työmäärää voi lisätä esimerkiksi häiriöilmoitusten kasvava määrä. Komission arvion mukaan TVT-palveluntarjoajana olevien kolmansien osapuolten valvonnasta aiheutuvien tehtävien johdosta johtavan viranomaisen kokoaikaisten työntekijöiden määrä tulee kasvamaan 1–5 työntekijän verran ja osallistuvien viranomaisten vastaavasti keskimäärin 0,25 työntekijän verran.  

TVT-palveluita finanssialalle tarjoavien kolmansien osapuolten toiminta saattaa arvion mukaan olla EU:n DORA-asetuksen taloudellisten vaikutusten piirissä sen seurauksena, että valvontaviranomaiset velvoittavat heitä muuttamaan järjestelmiään EU:n DORA-asetuksen velvoitteiden mukaisiksi. Kolmansien osapuolien tulee myös sopeuttaa organisaatiotaan toimintansa valvonnan mahdollistamiseksi siten, että se sopii EU:n DORA-asetuksen velvoitekehikkoon, josta tulee koitumaan kustannuksia. Komission arvion mukaan nämä kustannukset tulisivat kuitenkin pysymään kohtuullisina, etenkin mikäli horisontaalinen ja alakohtainen valvontajärjestelmä TVT-palveluntarjoajina toimiville kolmansille osapuolille syntyy tulevaisuudessa.  

Finanssialan toimijoiden asiakkaat, sijoittajat ja kuluttajat voivat olla marginaalisten taloudellisten vaikutusten piirissä. Arvion mukaan on mahdollista, että finanssialalla toimivat yritykset rahoittavat osan EU:n DORA-asetuksen implementoinnista aiheutuvista kustannuksista lopulta erilaisina asiakas- ja palvelumaksujen korotuksina. 

Vaikutukset viranomaisten toimintaan

EU:n DORA-asetus ja muu digitaalista häiriönsietokykyä koskeva lainsäädäntö asettavat vaatimuksia Finanssivalvonnan toiminnalle. Erilaiset tieto- ja viestintätekniset järjestelmät ovat finanssiyhteisöjen jokapäiväisen toiminnan kannalta kriittisen tärkeitä ja muodostavat siten myös keskeisen operatiivisen riskin lähteen. EU:n DORA-asetuksella pyritään viime kädessä varmistamaan rahoitusvakaus ja markkinoiden eheys. Sääntelyn tehokas toteutuminen edellyttää myös sitä, että valvova viranomainen kohdistaa riittävästi resursseja valvontaan ja finanssialan toimijoiden tukemiseen digitaalista häiriönsietokykyä koskevissa asioissa. Ehdotuksilla täsmennetään Finanssivalvonnalle rahoitusmarkkinoiden valvontaviranomaisena sekä nykyisen verkko- ja tietoturvadirektiivin mukaisena toimivaltaisena viranomaisena kuuluvia velvoitteita. Myös viranomaisyhteistyö kansallisella ja kansainvälisellä tasolla kuuluu Finanssivalvonnan tehtäviin jo nykyisin. EU:n DORA-asetuksen viranomaisyhteistyötä ja tietojenvaihtoa koskevat säännökset asettavat kuitenkin myös Finanssivalvonnan toiminnalle aiempaa yksityiskohtaisempia vaatimuksia esimerkiksi uusien EU-tason yhteistyörakenteiden muodossa. Finanssivalvonnan edustaja muun muassa osallistuisi kriittisten TVT-palveluntarjoajina olevien kolmansien osapuolten valvontakehykseen sisältyvän valvontafoorumin toimintaan sekä tarpeen mukaan NIS 2 -direktiivin mukaisen yhteistyöryhmän toimintaan. Lähtökohtaisesti Finanssivalvonta hoitaisi tehtävät nykyisten resurssiensa puitteissa, uudelleenkohdentamalla tarvittaessa olemassa olevia resursseja EU:n DORA-asetuksesta aiheutuvien tehtävien hoitamiseen, ja päättäisi asetuksen mukaisten velvoitteiden valvonnan tarkemmasta toteuttamisesta ja kulloisistakin painopisteistä. Sääntelyn voimaantulon myötä on kuitenkin tarpeen seurata ja arvioida Finanssivalvonnan resurssien riittävyyttä tehtäviensä hoitamiseen.  

Tämän esityksen mukaisten viranomaisyhteistyötä koskevien ehdotusten tavoitteena on korostaa aktiivisen viranomaisyhteistyön merkitystä kyberturvallisuuteen liittyvien tehtävien tuloksellisen hoitamisen kannalta ja selkeyttää Finanssivalvonnan ja muiden viranomaisten välisen yhteistyön järjestämistä. Viime kädessä yhteistyön muodot ja tarkemmat toteuttamistavat jäisivät Finanssivalvonnan ja muiden yhteistyöhön osallistuvien viranomaisten kesken määritettäviksi, siltä osin kuin yhteistyöstä ei ole tarkemmin erikseen säädetty. Kyberturvallisuuden sektorit ylittävän koordinoinnin edistämiseksi Finanssivalvonnan on erityisen tärkeätä välittää saamansa häiriöilmoitukset ilman aiheetonta viivytystä Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen tietoon.  

EU:n DORA-asetuksella on vaikutuksia myös kansallisena kriisinratkaisuviranomaisena toimivan Rahoitusvakausviraston toimintaan. Rahoitusvakausvirasto osallistuu kyberturvallisuuden ja häiriönsietokyvyn edistämiseksi tehtävään viranomaisyhteistyöhön ja sillä on lakisääteisten tehtäviensä hoitamiseksi oltava kattava tilannekuva ajantasaisesta kyberturvallisuustilanteesta etenkin sen toimivaltaan kuuluvien luottolaitosten ja sijoituspalveluyritysten osalta. Myös asetuksen johdanto-osassa korostetaan tarvetta tehostaa tietojenvaihtoa asiaankuuluvien viranomaisten, mukaan lukien kriisinratkaisuviranomaisten, välillä. Finanssivalvonnalla ja Rahoitusvakausvirastolla tulee olla asianmukaiset tietojenvaihtojärjestelyt, jotta sen tehtävien hoitamiseksi tarvittavat tiedot ovat oikea-aikaisesti viraston käytettävissä. 

Digitaalista häiriönsietokykyä koskeva lainsäädäntö on huomioitava muun muassa luottolaitosten ja sijoituspalveluyritysten kriisinratkaisusta annetun lain (1194/2014) 3 luvun mukaisessa laitoksen purkamis- ja uudelleenjärjestelymahdollisuuksien arvioinnissa. Arvioinnissa on jatkossa huomioitava muun ohella sellaisten verkko- ja tietojärjestelmien digitaalinen häiriönsietokyky, joilla tuetaan laitoksen kriittisiä toimintoja ja ydinliiketoiminta-alueita, ottaen huomioon laajavaikutteisia tieto- ja viestintätekniikkaan liittyviä poikkeamia koskevat raportit sekä EU:n DORA-asetuksen mukaisen digitaalisen häiriönsietokyvyn testauksen tulokset. Luottolaitosten ja sijoituspalveluyritysten on varmistettava, että asiaankuuluvat TVT-palveluja koskevat sopimukset ovat vankkoja ja täysin täytäntöönpanokelpoisia kyseisten finanssiyhteisöjen kriisinratkaisun tapauksessa, ja Rahoitusvakausviraston on arvioitava tämän vaatimuksen toteutuminen arvioidessaan laitoksen tai konsernin purkamis- ja uudelleenjärjestämismahdollisuuksia. TVT-palveluja koskevien sopimusten tulisi sisältää tarvittavat lausekkeet, jotka koskevat sopimuksen purkamatta, keskeyttämättä ja muuttamatta jättämistä uudelleenjärjestelyn tai kriisinratkaisun perusteella, niin kauan kuin kyseiset finanssiyhteisöt jatkavat maksuvelvoitteidensa täyttämistä. EU:n DORA-asetuksen 30 artiklan 2 kohdan mukaan TVT-palvelujen käyttöä koskeviin sopimusjärjestelyihin on muun ohella sisällytettävä TVT-palveluntarjoajana olevan kolmannen osapuolen velvollisuus tehdä täysimääräisesti yhteistyötä kriisinratkaisuviranomaisten kanssa sekä irtisanomisoikeudet ja niihin liittyvät sopimusjärjestelyjen vähimmäisirtisanomisajat toimivaltaisten viranomaisten ja kriisinratkaisuviranomaisten odotuksia vastaavasti.  

Muut ihmisiin kohdistuvat ja yhteiskunnalliset vaikutukset

EU:n DORA-asetuksen implementoinnin myötä yleisen luottamuksen rahoitusmarkkinoihin voidaan arvioida kasvavan, joka hyödyttää lopulta kaikkia markkinaosapuolia. Digitaaliseen häiriönsietokykyyn liittyvien vaatimusten ollessa yhtenäisiä koko unionin alueella, säilyy sijoittajien luottamustaso finanssialan toimijoiden vakauteen arvioidusti korkealla ja halukkuus sijoittaa kyberturvallisuuden ylläpidon ja kehittämisen kannalta tärkeisiin ratkaisuihin vahvana.  

Digitaalisen häiriönsietokyvyn ylläpitäminen ja kehittäminen finanssialan toimijoiden keskuudessa varmistaa myös vahvan kuluttajien ja sijoittajien suojan. Kun alan toimijat pystyvät suojelemaan itseään kyberhyökkäyksiltä ja -häiriöiltä, pystyvät ne myös varmistamaan arkipäiväisten toimintojensa jatkuvuuden ja asiakkaiden ja sijoittajien tehokkaan palvelun, sekä heidän tietojensa ja varojensa suojaamisen.  

5.1  Toimivaltaisen viranomaisen valtuudet ja hallinnolliset seuraamukset

EU:n DORA-asetuksen 50 artikla edellyttää edellä tarkemmin kuvatulla tavalla, että toimivaltaisilla viranomaisilla on oltava kaikki asetuksen mukaisten tehtäviensä hoitamiseen tarvittavat valtuudet valvoa, tutkia ja määrätä seuraamuksia. Jäsenvaltioiden on vahvistettava säännöt, jotka koskevat asetuksen rikkomiseen liittyviä asianmukaisia hallinnollisia seuraamuksia ja korjaavia toimenpiteitä, ja varmistettava niiden tehokas täytäntöönpano. Seuraamusten ja toimenpiteiden on oltava tehokkaita, oikeasuhteisia ja varoittavia. Lisäksi asetuksen 51 artiklan 1 kohdassa todetaan, että toimivaltaisten viranomaisten on käytettävä valtuuksiaan määrätä 50 artiklassa tarkoitettuja hallinnollisia seuraamuksia ja korjaavia toimenpiteitä kansallisen oikeudellisen kehyksensä mukaisesti. Asetuksen 52 artiklan mukaan jäsenvaltiot voivat päättää, että ne eivät säädä hallinnollisia seuraamuksia tai korjaavia toimenpiteitä koskevia sääntöjä sellaisten rikkomisten osalta, joihin sovelletaan niiden kansallisen lainsäädännön mukaisia rikosoikeudellisia seuraamuksia. 

Jäsenvaltioilla on harkintavalta sen suhteen, millä tavoin varmistetaan EU:n DORA-asetuksen 50–52 artiklan asettamien vaatimusten täyttyminen kansallisessa lainsäädännössä. Asetuksen vaatimukset voidaan mahdollisuuksien mukaan täyttää voimassa olevalla sääntelyllä. Tässä esityksessä omaksutun lähtökohdan mukaisesti pyritään nykyiseen nähden mahdollisimman vähäiseen lisäsääntelyyn. Asetuksen tarkoittama toimivaltainen viranomainen on Suomessa Finanssivalvonta. Finanssivalvonnasta annettu laki sisältää kattavat säännökset Finanssivalvonnan valvontavaltuuksista, joiden arvioidaan täyttävän asetuksen edellytykset. Hallituksen esityksessä ei näin ollen esitetä Finanssivalvonnalle uudenlaisia valvontavaltuuksia. TVT-palveluntarjoajana olevan kolmannen osapuolen sisällyttäminen Finanssivalvonnasta annetussa laissa tarkoitettujen muiden finanssimarkkinoilla toimivien joukkoon olisi sääntelyteknisesti yksinkertaisin tapa ulottaa tarvittavat Finanssivalvonnan valvontavaltuudet myös näihin toimijoihin.  

Finanssivalvonnan rikemaksua ja seuraamusmaksua koskevissa säännöksissä luetellaan ne säännökset, joiden laiminlyönnin tai rikkomisen seurauksena kyseinen seuraamus voidaan määrätä. Näitä säännöksiä olisi täydennettävä siten, että seuraamus voidaan määrätä EU:n DORA-asetuksen asianomaisten säännösten laiminlyönnin tai rikkomisen johdosta. Ilman nimenomaisia säännöksiä Finanssivalvonta ei voisi määrätä muuta hallinnollista seuraamusta kuin Finanssivalvonnasta annetun lain 39 §:n mukaisen julkisen varoituksen. Tätä ei voitaisi pitää riittävänä, sillä EU:n DORA-asetus edellyttää myös taloudellisten seuraamusten olemassaoloa. Hallituksen esityksessä ehdotetaan, että Finanssivalvonta voisi määrätä seuraamusmaksun EU:n DORA-asetuksen 5–14, 17–19, 24–27 tai 28–30 artiklan laiminlyönnin tai rikkomisen johdosta. Sääntelyn oikeasuhtaisuutta turvaa osaltaan se, että Finanssivalvonta voi seuraamusmaksun määräämisen sijaan antaa julkisen varoituksen, jos virheellistä menettelyä on pidettävä vähäisenä. Asetuksen 16 artiklan mukaisen yksinkertaistettua TVT-riskinhallintajärjestelmää koskevan sääntelyn laiminlyönnin tai rikkomisen johdosta taas voitaisiin määrätä lievempi seuraamus, eli rikemaksu. Vaihtoehtoisia sääntelytapoja olisivat esimerkiksi EU:n DORA-asetuksen mukaisten velvoitteiden rikkomisen asettaminen kokonaisuudessaan pelkästään rikemaksun alaiseksi tai myös yksinkertaistettua TVT-riskinhallintajärjestelmää koskevan velvoitteen rikkomisen asettaminen seuraamusmaksun alaiseksi. Hallituksen esityksen mukaisen toteuttamistavan arvioidaan kuitenkin parhaiten turvaavan yhtäältä sääntelyn tehokkuuden ja varoittavuuden, ja toisaalta oikeasuhteisuuden. EU:n DORA-asetuksen mukaisten velvoitteiden rikkomista ei ehdoteta säädettävän rikosoikeudellisesti rangaistavaksi, sillä asetus ei tätä edellytä ja hallinnollisten seuraamusten voidaan arvioida olevan riittäviä. 

5.2  Raportointi tieto- ja viestintätekniikkaan liittyvistä poikkeamista

Finanssiyhteisöjen on raportoitava laajavaikutteisista TVT:hen liittyvistä poikkeamista toimivaltaiselle viranomaiselle EU:n DORA-asetuksen 19 artiklan mukaisesti. Artiklan 1 kohdan kuudennen alakohdan mukaan jäsenvaltiot voivat lisäksi päättää, että joidenkin tai kaikkien finanssiyhteisöjen on myös toimitettava artiklassa tarkoitetut ilmoitukset ja raportit NIS 2 -direktiivin mukaisesti nimetyille tai perustetuille tietoturvaloukkauksiin reagoiville ja niitä tutkiville CSIRT-yksiköille. NIS 2 -direktiivin mukaisena CSIRT-yksikkönä Suomessa toimii Liikenne- ja viestintäviraston Kyberturvallisuuskeskus. Finanssiyhteisöt voitaisiin siis velvoittaa raportoimaan poikkeamista Finanssivalvonnan ohella Kyberturvallisuuskeskukselle, jolloin poikkeamailmoitukset tulisivat sen tietoon samanaikaisesti Finanssivalvonnan kanssa. Päällekkäisten raportointivelvoitteiden välttämiseksi, ja koska toimivaltaisen viranomaisen on joka tapauksessa hyvissä ajoin toimitettava laajavaikutteista TVT:hen liittyvää poikkeamaa koskevat yksityiskohtaiset tiedot myös CSIRT-yksikölle, hallituksen esityksessä ei ehdoteta otettavan käyttöön mainittua lisäraportointivelvoitetta.  

EU:n DORA-asetuksen 19 artiklan 2 kohdan kolmannen alakohdan mukaan jäsenvaltiot voivat päättää, että ne finanssiyhteisöt, jotka ilmoittavat vapaaehtoisesti merkittävästä kyberuhasta, voivat toimittaa kyseisen ilmoituksen myös CSIRT-yksikölle. Hallituksen esitykseen ei sisälly tätä koskevia ehdotuksia, eikä asiasta ylipäätään ole tarpeen säätää lain tasolla.  

5.3  Luottolaitosdirektiivin nojalla vapautetut laitokset

EU:n DORA-asetuksen 2 artiklan 4 kohdan mukaan jäsenvaltiot voivat jättää asetuksen soveltamisalan ulkopuolelle luottolaitosdirektiivin 2 artiklan 5 kohdan 4–23 alakohdassa tarkoitetut yhteisöt, jotka sijaitsevat niiden alueella. Jos jäsenvaltio päättää olla soveltamatta asetuksen 2 artiklan 4 kohdassa tarkoitettua vaihtoehtoa, tällaiseen yhteisöön sovelletaan asetuksen 16 artiklan mukaista yksinkertaistettua TVT-riskinhallintajärjestelmää. Lisäksi asetuksen 46 artiklan perusteella luottolaitosdirektiivin mukaisen toimivaltaisen viranomaisen, Suomessa Finanssivalvonnan, on näiden toimijoiden osalta varmistettava asetuksessa säädettyjen velvoitteiden noudattaminen asiaa koskevissa säädöksissä annettujen valtuuksien mukaisesti. Suomen osalta tämä optio koskee Teollisen yhteistyön rahasto Oy:tä ja Finnvera Oyj:tä. Teollisen yhteistyön rahasto Oy eli Finnfund kuuluu ulkoministeriön hallinnonalaan ja sen toiminnasta säädetään Teollisen yhteistyön rahasto Oy -nimisestä osakeyhtiöstä annetussa laissa. Finnvera Oyj puolestaan kuuluu työ- ja elinkeinoministeriön hallinnonalaan ja sen toiminnasta säädetään valtion erityisrahoitusyhtiöstä annetussa laissa. Kumpaankaan toimijaan ei sovelleta luottolaitostoiminnasta annettua lakia eikä Finanssivalvonta nykyisin valvo niiden toimintaa.  

Hallituksen esityksessä esitetään käytettävän mainittu jäsenvaltio-optio. Teollisen yhteistyön rahasto Oy ja Finnvera Oyj jätettäisiin siis EU:n DORA-asetuksen soveltamisalan ulkopuolelle. Jos jäsenvaltio-optiota ei käytettäisi, tulisi tässä yhteydessä säätää Finanssivalvonnan tehtävästä valvoa EU:n DORA-asetuksessa säädettyjen velvoitteiden noudattamista Teollisen yhteistyön rahasto Oy:n ja Finnvera Oyj:n osalta sekä tähän liittyvistä tarpeellisista valvontavaltuuksista ja toimijoilta perittävistä valvontamaksuista. Erillisten valvontajärjestelyjen luomista yksittäisen säädöksen osalta ei voida pitää tarkoituksenmukaisena, vaan mainittuihin toimijoihin kohdistettavaa ohjausta ja valvontaa tulee arvioida kokonaisuutena niitä koskevan lainsäädännön uudistamisen yhteydessä. Sekä Teollisen yhteistyön rahasto Oy:n että Finnvera Oyj:n osalta on parhaillaan käynnissä lainsäädännön uudistamista koskevat hankkeet, joiden yhteydessä voidaan asiallisesti arvioida EU:n DORA-asetuksen soveltamista näihin toimijoihin. Omistajaohjauksen keinoin voidaan myös huolehtia laadultaan ja laajuudeltaan EU:n DORA-asetuksen mukaisia velvoitteita vastaavien TVT-riskinhallintamenettelyjen noudattamisesta Teollisen yhteistyön rahasto Oy:n ja Finnvera Oyj:n toiminnassa siitä huolimatta, että ne eivät kuuluisi asetuksen soveltamisalaan.  

5.4  Uhkaperusteista tunkeutumistestausta koskevat toimivaltuudet ja tehtävät

EU:n DORA-asetuksen 26 artiklan 9 kohdan mukaan jäsenvaltiot voivat nimetä rahoitusalan yhden viranomaisen, joka vastaa rahoitusalalla uhkaperusteiseen tunkeutumistestaukseen kansallisella tasolla liittyvistä asioista, ja antaa sille kaikki tätä koskevat toimivaltuudet ja tehtävät. Jos mainittua nimeämistä ei ole tehty ja rajoittamatta valtuuksia yksilöidä finanssiyhteisöt, joiden on suoritettava uhkaperusteinen tunkeutumistestaus, toimivaltainen viranomainen voi artiklan 10 kohdan nojalla siirtää joidenkin tai kaikkien EU:n DORA-asetuksen 26 ja 27 artiklassa tarkoitettujen tehtävien hoitamisen toiselle finanssialan kansalliselle viranomaiselle.  

EU:n DORA-asetus ei siis tältä osin edellytä kansallista sääntelyä. Käytännössä asetuksessa tarkoitettu toinen finanssialan kansallinen viranomainen voisi Suomen tapauksessa olla Suomen Pankki, joka vastaa nykyisin TIBER-FI-toimintamallista. Vaihtoehtoisina sääntelyratkaisuina on säätää uhkaperusteiseen tunkeutumistestaukseen kansallisella tasolla liittyvät asiat Finanssivalvonnan tai Suomen Pankin tehtäväksi taikka jättää asetuksen 26 artiklan 9 kohdan mukainen nimeäminen tekemättä. Kuten edellä on kuvattu, uhkaperusteista tunkeutumistestausta koskevien valvontatehtävien olisi lähtökohtaisesti perusteltua kuulua Finanssivalvonnan vastuulle. Suomen Pankki vastaisi jatkossakin testauksessa käytettävän toimintamallin ylläpidosta. Asetuksen 26 ja 27 artiklan mukaisten tehtävien hoitamiseen sisältyy myös julkisen vallan käyttöä, joten viranomaistehtävät ja niihin liittyvät toimivaltuudet olisi määritettävä lainsäädännössä selkeästi. Näin ollen olisi perusteltua nimetä Finanssivalvonta toimimaan EU:n DORA-asetuksen 26 artiklan 9 kohdan tarkoittamana viranomaisena. 

7.1  Laki Finanssivalvonnasta

3 §. Tehtävät. Voimassa olevassa pykälässä säädetään Finanssivalvonnan tehtävistä. Pykälän 1 momentissa säädetään Finanssivalvonnan yleistehtävästä valvoa finanssimarkkinoilla toimivien toimintaa niin kuin tässä laissa ja muualla laissa säädetään sekä edistää lisäksi hyvien menettelytapojen noudattamista finanssimarkkinoilla sekä yleisön tietämystä finanssimarkkinoista. Yleistehtävää täydentävät 2 ja 3 momentin säännökset Finanssivalvonnan erityisistä tehtäväalueista. Finanssivalvonnan tehtäviin kuuluu muun ohella osallistua viranomaisten väliseen kotimaiseen yhteistyöhön, sekä osallistua paitsi Euroopan finanssivalvontajärjestelmän puitteissa tapahtuvaan yhteistyöhön Euroopan unionissa, myös muuhun viranomaisten kansainväliseen yhteistyöhön.  

Rahoitusmarkkinoiden kyberturvallisuuden ja häiriönsietokyvyn kasvavan yhteiskunnallisen merkityksen ja niitä koskevan EU-lainsäädännön johdosta Finanssivalvonnan tehtäviä on syytä täsmentää erityisillä tehtävillä edistää finanssimarkkinoilla toimivien kyberturvallisia toimintatapoja sekä edistää kriittisten toimijoiden häiriönsietokykyä. Rahoitusmarkkinat ovat yhteiskunnallisesti merkittävä instituutio, jonka muuttuvaa yhteiskunnallista merkitystä kuvastaa yhä etenevä digitalisoituminen ja tieto- ja viestintäteknisten (TVT) ratkaisujen kriittinen merkitys finanssipalvelujen tarjoamisen kannalta, vakavan verkkorikollisuuden aiheuttamien riskien kasvu, sekä Suomen turvallisuusympäristön muutos. Näistä syistä kaikkien finanssimarkkinoilla toimivien kyberturvallisuuden korkea taso sekä kriittisiksi määriteltyjen toimijoiden häiriönsietokyvyn parantaminen ovat yhteiskunnallisesti aiempaa yhä tärkeämpiä tavoitteita. Kyse olisi luonteeltaan tehtävistä, joiden tarkempi sisältö ja niihin liittyvät Finanssivalvonnan toimivaltuudet määräytyvät sen mukaan, mitä niistä muualla lainsäädännössä säädetään.  

Ehdotetun uuden 7 kohdan mukaan Finanssivalvonnan tehtävänä olisi edistää finanssimarkkinoilla toimivien kyberturvallisia toimintatapoja. Ehdotetun 50 p §:n 1 momentin mukaan Finanssivalvonta toimisi EU:n DORA-asetuksen 46 artiklan tarkoittamana toimivaltaisena viranomaisena. Finanssivalvonnan tehtävä EU:n DORA-asetusta valvovana ja sen mukaisiin yhteistyöjärjestelyihin osallistuvana viranomaisena on keskeisin osa kyberturvallisten toimintatapojen edistämistä. Lisäksi Finanssivalvonta on NIS 2 -direktiivin 8 artiklan 1 kohdassa tarkoitettu toimivaltainen viranomainen pankkialan ja rahoitusmarkkinoiden infrastruktuurin osalta. Valvontatehtävänsä ohella Finanssivalvonta edistää kyberturvallisuutta muun muassa ylläpitämällä ja jakamalla tilannekuvaa tietoturvapoikkeamista ja kyberhyökkäyksistä sekä osallistumalla huoltovarmuusorganisaation toimintaan. Muun muassa parhaiden käytäntöjen, kyberturvallisuusosaamisen ja uudenlaisia kyberuhkia koskevan ajantasaisimman tiedon vastavuoroinen jakaminen yli toimialarajojen tehostaa voimavarojen käyttöä ja hyödyttää siten myös finanssimarkkinoiden toimijoita.  

Ehdotetun uuden 7 a kohdan mukaan Finanssivalvonnan tehtävänä olisi edistää finanssimarkkinoiden kriittisten toimijoiden häiriönsietokykyä. Finanssivalvonta on CER-direktiivin 9 artiklan 1 kohdan tarkoittama toimivaltainen viranomainen pankkialan ja rahoitusmarkkinoiden infrastruktuurin osalta. CER-direktiivin 10 artikla edellyttää kriittisten toimijoiden tukemista niiden häiriönsietokyvyn parantamiseksi ja niiden välisen tiedonvaihdon edistämiseksi. Direktiivin 9 artiklan 5 kohdan ja 10 artiklan 3 kohdan mukaan toimivaltaisen viranomaisen on tarvittaessa kuultava kriittisiä toimijoita ja asianomaisia osapuolia ja tehtävä yhteistyötä niiden kanssa.  

Ehdotettujen uusien tehtävien kannalta keskeistä olisi kyberturvallisuuden edistämiseksi tehtävä viranomaisyhteistyö, josta säädettäisiin tarkemmin lakiin ehdotetussa uudessa 3 f §:ssä, sekä asianomaisten viranomaisten välinen tietojenvaihto. 

3 f §.Viranomaisyhteistyö kyberturvallisuuden edistämiseksi. Lakiin ehdotetaan lisättäväksi uusi 3 f § , johon koottaisiin Finanssivalvonnan velvollisuudet toimia yhteistyössä muiden viranomaisten kanssa kyberturvallisuuden edistämiseksi kansallisella tasolla sekä EU-säädösten nojalla perustettujen EU:n laajuisten yhteistyöjärjestelyjen puitteissa. Viranomaisyhteistyö kansallisella ja kansainvälisellä tasolla kuuluu Finanssivalvonnan tehtäviin jo nykyisin. Pykälän tavoitteena on korostaa aktiivisen viranomaisyhteistyön merkitystä kyberturvallisuuteen liittyvien tehtävien tuloksellisen hoitamisen kannalta ja selkeyttää Finanssivalvonnan ja muiden viranomaisten välisen yhteistyön järjestämistä. Viranomaisyhteistyössä on keskeistä EU:n DORA-asetuksen mukainen yhteistyö, mukaan lukien yhteistyö NIS 2 -direktiivillä perustettujen rakenteiden ja viranomaisten kanssa, kansallisella tasolla erityisesti toiminta Liikenne- ja viestintäviraston yhteydessä toimivan Kyberturvallisuuskeskuksen ja sen CSIRT-toiminnon kanssa. Yhteistyöhön kuuluu olennaisesti myös viranomaisten välinen tietojenvaihto, jossa jaettavat tiedot voisivat sisältää esimerkiksi tietoja tietoturvallisuuteen liittyvistä häiriöistä ja parhaista käytännöistä häiriöiden ehkäisemiseksi ja niihin vastaamiseksi. Yleinen yhteistyövelvoite ei itsessään perusta oikeutta poiketa tiedon salassapitoa koskevista säännöksistä. Salassa pidettävien tietojen luovuttaminen osana viranomaisyhteistyötä on arvioitava tapauskohtaisesti asiaan soveltuvien säännösten nojalla.  

Pykälän 1 momentissa ehdotetaan säädettäväksi yleisesti Finanssivalvonnan velvollisuudesta toimia tieto- ja viestintätekniikkaan liittyvien häiriöiden hallitsemiseksi ja vaikutusten pienentämiseksi yhteistyössä valtiovarainministeriön, sosiaali- ja terveysministeriön, Suomen Pankin, Rahoitusvakausviraston, Liikenne- ja viestintäviraston ja muiden asianomaisten viranomaisten kanssa. Muita tarpeellisia yhteistyötahoja voivat olla muun muassa NIS 2 -direktiivin mukaiset toimivaltaiset viranomaiset muilla direktiivin mukaisilla toimialoilla. Ehdotettu säännös täydentää Finanssivalvonnasta annetun lain 3 §:n 3 momentin 6 kohdan mukaista Finanssivalvonnan yleistä velvoitetta osallistua viranomaisten väliseen kotimaiseen yhteistyöhön. Yhteistyön muodot ja tarkemmat toteuttamistavat jäisivät Finanssivalvonnan ja muiden yhteistyöhön osallistuvien viranomaisten kesken määritettäviksi, siltä osin kuin yhteistyöstä ei ole tarkemmin erikseen säädetty.  

Pykälän 2 momentissa ehdotetaan säädettäväksi Finanssivalvonnan osallistumisesta EU:n DORA-asetuksen 32 ja 47–49 artiklan mukaiseen yhteistyöhön. EU:n DORA-asetuksen 32 artiklassa säädetään kriittisten TVT-palvelutarjoajina olevien kolmansien osapuolten valvontakehyksestä. Finanssivalvonta osallistuisi valvontakehykseen kuuluvan valvontafoorumin toimintaan ja nimettäisiin toimivaltaiseksi viranomaiseksi 32 artiklan 5 kohdan mukaisesti. EU:n DORA-asetuksen 47 artiklassa säädetään yhteistyöstä NIS 2 -direktiivillä perustettujen rakenteiden ja viranomaisten kanssa kansallisella ja EU-tasolla. Finanssivalvonta voi osallistua NIS 2 -direktiivissä tarkoitetun yhteistyöryhmän toimintaan asioissa, jotka koskevat sen valvontatoimia finanssilaitosten osalta. Finanssivalvonta voi myös tarvittaessa kuulla NIS 2 -direktiivin mukaisesti nimettyjä viranomaisia, kansallisesti siis Liikenne- ja viestintävirastoa ja sen yhteydessä toimivaa Kyberturvallisuuskeskusta, sekä vaihtaa tietoja niiden kanssa, pyytää tarpeellista teknistä neuvontaa ja sopia yhteistyöjärjestelyjä. Lisäksi EU:n DORA-asetuksen 48–49 artiklassa säädetään muista kansainvälisen viranomaisyhteistyön muodoista. Toimivaltaisten viranomaisten, Euroopan valvontaviranomaisten ja EKP:n on tehtävä tiivistä yhteistyötä keskenään ja vaihdettava tietoja suorittaakseen niille EU:n DORA-asetuksessa säädetyt tehtävät sekä koordinoitava valvontatoimiaan. Viranomaiset voivat muun muassa ottaa tarvittaessa käyttöön mekanismeja, joiden avulla voidaan jakaa toimivia käytäntöjä finanssialan eri sektoreiden välillä tilannetietoisuuden parantamiseksi ja yhteisten kyberhaavoittuvuuksien ja -riskien tunnistamiseksi eri sektoreilla. Ehdotetussa momentissa säädettäisiin lisäksi siitä, että Finanssivalvonta toimii muutoinkin yhteistyössä Euroopan keskuspankin, Euroopan järjestelmäriskikomitean, Euroopan unionin kyberturvallisuusviraston (ENISA), Euroopan valvontaviranomaisten, muiden EU-viranomaisten sekä ulkomaisten ETA-valvontaviranomaisten kanssa tieto- ja viestintätekniikkaan liittyvien häiriöiden hallitsemiseksi ja vaikutusten pienentämiseksi. Finanssivalvonta osallistuu lisäksi Euroopan laajuisen systeemisten kyberpoikkeamien koordinointikehyksen toimintaan. Koordinaatiokehys perustuu Euroopan järjestelmäriskikomitean 2.12.2021 antamaan suositukseen EJRK/2021/17. Finanssivalvonta on voimassa olevan lainsäädännön nojalla ilmoitettu koordinaatiokehyksen kansalliseksi yhteyspisteeksi kesäkuussa 2023.  

Pykälän ehdotettu 3 momentti korvaisi lain kumottavaksi ehdotetun 52 a §:n. Momentissa säädettäisiin Finanssivalvonnalle velvoite tehdä yhteistyötä Liikenne- ja viestintäviraston kanssa verkko- ja tietoturvadirektiivin kumonneen NIS 2 -direktiivin mukaisten tehtävien hoitamisessa. Ehdotettu säännös täydentää edellä mainittuja EU:n DORA-asetuksen viranomaisyhteistyötä koskevia säännöksiä sekä korostaa Finanssivalvonnan ja Liikenne- ja viestintäviraston välisen yhteistyön erityistä merkitystä. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on Suomessa NIS 2 -direktiivin mukainen keskitetty yhteyspiste ja CSIRT-yksikkö. Kyberturvallisuuden sektorit ylittävän koordinoinnin edistämiseksi Finanssivalvonnan on erityisen tärkeätä välittää saamansa häiriöilmoitukset ilman aiheetonta viivytystä Kyberturvallisuuskeskuksen tietoon, jotta niiden perusteella voidaan muodostaa parempi kokonaiskäsitys vallitsevasta kyberturvallisuustilanteesta. Velvollisuudesta toimittaa laajavaikutteista TVT:hen liittyvää poikkeamaa koskevat tiedot säädetään EU:n DORA-asetuksen 19 artiklan 6 kohdassa. Kyberturvallisuuskeskuksen tehtävistä säädetään liikenne- ja viestintävirastosta annetun lain 3 §:ssä. Liikenne- ja viestintävirasto toimii myös toimialallaan NIS 2 -direktiivin mukaisena valvovana viranomaisena. Myös NIS 2 -direktiivin mukaiset toimivaltaiset viranomaiset muilla direktiivin mukaisilla toimialoilla voivat olla Finanssivalvonnalle tarpeellisia yhteistyötahoja.  

Pykälän ehdotetussa 4 momentissa säädettäisiin Finanssivalvonnalle velvoite tehdä viranomaisyhteistyötä CER-direktiivin mukaisten tehtävien hoitamiseksi, kriittisten toimijoiden häiriönsietokyvyn parantamiseksi ja niiden välisen vapaaehtoisen tiedonvaihdon edistämiseksi valtiovarainministeriön, sisäministeriön, Huoltovarmuuskeskuksen ja muiden asianomaisten viranomaisten kanssa.  

Momentilla täydennetään CER-direktiivin täytäntöön panemiseksi annettavan kansallisen yleislain säännöksiä direktiivin liitteen toimialojen 3 (pankkitoiminta) ja 4 (rahoitusmarkkinoiden infrastruktuuri) osalta. CER-direktiivin 9 artiklan 5 kohdan mukaan kunkin jäsenvaltion on varmistettava, että sen toimivaltainen viranomainen kuulee tarvittaessa unionin ja kansallisen lainsäädännön mukaisesti muita asianomaisia kansallisia viranomaisia, mukaan lukien pelastuspalvelusta, lainvalvonnasta ja henkilötietojen suojasta vastaavia viranomaisia, sekä kriittisiä toimijoita ja asianomaisia osapuolia ja tekee yhteistyötä niiden kanssa. CER-direktiivin 10 artiklan 1 kohdan mukaan jäsenvaltioiden on tuettava kriittisiä toimijoita niiden häiriönsietokyvyn parantamiseksi. Tukeen voi kuulua ohjemateriaalin ja menetelmien laatiminen, tuki kriittisten toimijoiden häiriönsietokykyä testaavien harjoitusten järjestämisessä ja niiden henkilöstön neuvonta ja koulutus. Lisäksi 10 artiklan 3 kohdan mukaan kriittisten toimijoiden välistä vapaaehtoista tiedonvaihtoa on helpotettava. Viranomaisyhteistyö on tärkeää myös hallinnollisten päällekkäisyyksien välttämiseksi, ohjeiden kattavuuden varmistamiseksi ja harjoitustoiminnan vahvistamiseksi. Viranomaisyhteistyöhön voi kuulua myös valmiussuunnittelua, harjoittelua tai muuta viranomaisyhteistyötä esimerkiksi puolustusvoimien, poliisin ja pelastustoimen kanssa. Yhteistyön muodot ja tarkemmat toteuttamistavat jäisivät näiltäkin osin Finanssivalvonnan ja muiden yhteistyöhön osallistuvien viranomaisten kesken määritettäviksi. 

5 §.Muut finanssimarkkinoilla toimivat . Ehdotetulla muutoksella lisättäisiin muiden finanssimarkkinoilla toimivien joukkoon EU:n DORA-asetuksessa tarkoitettu ja asetuksen soveltamisalaan kuuluva TVT-palveluntarjoajana oleva kolmas osapuoli. EU:n DORA-asetuksen 3 artiklan 19 alakohdan mukaan näitä ovat yritykset, jotka tarjoavat asetuksen tarkoittamia TVT-palveluja.  

Lainkohdan muutos tarkoittaisi Finanssivalvonnan lain 18–22 ja 24 §:n mukaisten tiedonsaanti- ja tarkastusvaltuuksien ja 33–34 §:n mukaisten yleisten toimivaltuuksien ulottamista TVT-palveluntarjoajana oleviin kolmansiin osapuoliin. Yleisiin toimivaltuuksiin kuuluvat 33 §:n mukainen toimeenpanokielto, 33 a §:n mukainen uhkasakko sekä oikeus käyttää 34 §:n tarkoittamaa ulkopuolista asiantuntijaa. Lainsäädäntöön sisältyy jo nykyisin eräitä asiaa koskevia säännöksiä. Voimassa olevan lain 18 §:n mukainen Finanssivalvonnan oikeus saada tietoja valvottavalta ja muulta finanssimarkkinoilla sekä 24 §:n mukainen tarkastusoikeus kohdistuu yritykseen, joka valvottavan tai muun finanssimarkkinoilla toimivan toimeksiannosta hoitaa tämän tietojärjestelmään liittyviä tehtäviä. 

Ehdotettu muutos on tarpeellinen, koska EU:n DORA-asetuksen mukaisiin velvoitteisiin kuuluu, että finanssiyhteisöt hallitsevat asianmukaisesti kolmansiin osapuoliin liittyvää TVT-riskiä. Asetuksen noudattamisen valvonta ulottuu näin ollen epäsuorasti myös TVT-palveluntarjoajana olevien kolmansien osapuolten toimintaan. Lisäksi asetuksen 30 artiklassa säädetään seikoista, jotka finanssiyhteisöjen ja TVT-palveluntarjoajana olevien kolmansien osapuolten on otettava huomioon tehdessään näitä palveluja koskevia sopimuksia. EU:n DORA-asetus edellyttää, että Finanssivalvonnalla on kaikki asetuksen mukaisten tehtäviensä hoitamiseen tarvittavat valtuudet. TVT-palveluntarjoajana olevan kolmannen osapuolen sisällyttäminen muiden finanssimarkkinoilla toimivien joukkoon olisi sääntelyteknisesti yksinkertaisin tapa ulottaa tarvittavat Finanssivalvonnan valvontavaltuudet myös näihin toimijoihin. Samalla on huomioitava, että lainsäädännön mukaisia valtuuksia on mahdollista käyttää vain silloin, kun se on Finanssivalvonnan tehtävien hoitamiseksi tarpeen. TVT-palveluntarjoajana olevien kolmansien osapuolten osalta voidaan erityisesti tiedonsaanti- ja tarkastusvaltuuksien arvioida olevan käytännön valvontatoiminnan kannalta keskeisiä. TVT-palveluntarjoajana olevia kolmansia osapuolia ei edellä sanotun perusteella ehdoteta lisättävän Finanssivalvonnan valvontamaksuista annetun lain (1209/2023) mukaisen maksuvelvollisuuden piiriin. EU:n DORA-asetus sisältää erillisen kriittisten TVT-palveluntarjoajina olevien kolmansien osapuolten valvontakehyksen, johon liittyy myös Euroopan valvontaviranomaisen perimä valvontamaksu.  

Ehdotetulla muutoksella myös pantaisiin täytäntöön DORA-muutosdirektiivin 4 artiklan 1 kohdassa säädetty muutos luottolaitosdirektiivin 65 artiklan 3 kohdan a alakohdan vi alakohtaan, jonka mukaan toimivaltaisella viranomaisella tulee olla oikeus vaatia kaikkia tehtäviensä hoitamisen kannalta tarpeellisia tietoja myös TVT-palveluntarjoajana olevilta kolmansilta osapuolilta. DORA-muutosdirektiivin mukaisen muutoksen myötä myös luottolaitosdirektiivin 65 artiklan 3 kohdan b ja c alakohtaa sovelletaan TVT-palveluntarjoajana oleviin kolmansiin osapuoliin. Mainittujen lainkohtien mukaan toimivaltaisella viranomaisella tulee olla valtuudet suorittaa kaikki tarpeelliset a alakohdassa tarkoitettuja, asianomaiseen jäsenvaltioon sijoittautuneita tai siellä olevia henkilöitä koskevat tutkimukset, jotka ovat tarpeen toimivaltaisten viranomaisten tehtävien hoitamiseksi sekä valtuudet suorittaa unionin oikeudessa säädettyjä muita edellytyksiä noudattaen kaikki tarpeelliset tarkastukset a alakohdassa tarkoitettujen oikeushenkilöiden liiketiloissa. 

Rahoitusvakausviranomaisesta annetun lain (1195/2014) 7 luvun 4 § mukaan rahoitusmarkkinoilla toimivan oikeushenkilön ja tämän palveluksessa olevan luonnollisen henkilön on salassapitosäännösten estämättä ilman aiheetonta viivytystä toimitettava virastolle sen pyytämät tiedot ja selvitykset, jotka ovat välttämättömiä virastolle tässä laissa tai luottolaitosten ja sijoituspalveluyritysten kriisinratkaisusta annetussa laissa säädetyn tehtävän hoitamiseksi. Rahoitusvakausviranomaisesta annetun lain 3 §:n 1 momentin 13 kohdan mukaan rahoitusmarkkinoilla toimivalla oikeushenkilöllä tarkoitetaan Finanssivalvonnasta annetun lain 4 §:ssä tarkoitettua valvottavaa tai 5 §:ssä tarkoitettua muuta finanssimarkkinoilla toimivaa. Ehdotettu muutos selkeyttää näin ollen myös EU:n DORA-asetuksen 30 artiklan 2 kohdan g alakohdan vaatimusta, joka edellyttää finanssiyhteisön ja TVT-palveluntarjoajana olevan kolmannen osapuolen välisen sopimuksen sisältävän TVT-palveluntarjoajana olevalle kolmannelle osapuolelle velvollisuuden tehdä täysimääräisesti yhteistyötä toimivaltaisten viranomaisten ja finanssiyhteisön kriisinratkaisuviranomaisten kanssa. 

38 § . Rikemaksu. Pykälän 1 momenttiin lisättäisiin uusi 12 kohta , jonka mukaan Finanssivalvonta voisi määrätä rikemaksun sille, joka tahallaan tai huolimattomuudesta laiminlyö tai rikkoo EU:n DORA-asetuksen 16 artiklassa säädetyn TVT-riskin hallintavelvollisuuden. Artiklan mukaista yksinkertaistettua riskienhallintajärjestelmää ovat velvollisia noudattamaan kooltaan ja systeemiseltä merkitykseltään pienimmät rahoitusmarkkinoiden toimijat. Tällainen rike olisi katsottavissa luonteeltaan vähäiseksi, joten siitä ei lähtökohtaisesti ole tarpeen määrätä moitittavammille rikkomuksille ja laiminlyönneille tarkoitettua seuraamusmaksua. Sanktiointi olisi kuitenkin näissäkin tapauksissa tarpeen ennen kaikkea rahoitusmarkkinoiden yleisen luotettavuuden turvaamiseksi. Lisäksi erityisen moitittavissa tapauksissa voidaan pykälän 4 momentin nojalla määrätä rikemaksun sijasta seuraamusmaksu. Tällainen tilanne voisi olla käsillä esimerkiksi, jos toimija jättää kokonaan noudattamatta velvollisuuden hallita TVT-riskiä. Säännös perustuu EU:n DORA-asetuksen 50 artiklan 3 kohtaan, joka edellyttää jäsenvaltioiden saattavan voimaan asetuksen rikkomiseen liittyviä asianmukaisia hallinnollisia seuraamuksia ja korjaavia toimenpiteitä, joiden on oltava tehokkaita, oikeasuhteisia ja varoittavia. Samalla momentin 11 kohtaan tehtäisiin uuden 12 kohdan lisäämisestä johtuva tekninen muutos.  

Pykälän 2 momentissa säädetään rikemaksun määrää arvioitaessa huomioon otettavista seikoista. EU:n DORA-asetuksen 51 artiklan 2 kohta sisältää suoraan sovellettavat säännökset seikoista, jotka toimivaltaisen viranomaisen on otettava huomioon määrittäessään hallinnollisia seuraamuksia asetuksen rikkomisen johdosta. Pykälään ehdotetaan tämän vuoksi lisättävän uusi 7 momentti , jossa säädettäisiin, että jos kyse on EU:n DORA-asetuksen rikkomisesta, rikemaksun määrää arvioitaessa noudatetaan pykälän 2 momentissa mainittujen seikkojen sijaan EU:n DORA-asetuksen 51 artiklan 2 kohtaa. Pykälän 2 momentissa säädetään myös rikemaksun enimmäismäärästä. EU:n DORA-asetukseen ei sisälly säännöksiä hallinnollisten seuraamusten enimmäismääristä, joten 2 momentin mukaiset enimmäismäärät soveltuisivat myös näissä tapauksissa.  

Lisäksi lain 42 §:n 3 momentissa säädetään, että rikemaksua ei voida määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa, eikä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio.  

40 § . Seuraamusmaksu . Pykälän 2 momentin uudessa 13 kohdassa ehdotetaan säädettäväksi Finanssivalvonnan toimivallasta määrätä seuraamusmaksu sille, joka tahallaan tai huolimattomuudesta laiminlyö tai rikkoo EU:n DORA-asetuksen 2 artiklan 2 kohdassa tarkoitettua finanssiyhteisöä velvoittavia mainitun asetuksen 5–14, 17–19, 24–27 tai 28–30 artiklan säännöksiä. Säännös perustuu EU:n DORA-asetuksen 50 artiklan 3 kohtaan, joka edellyttää jäsenvaltioiden saattavan voimaan asetuksen rikkomiseen liittyviä asianmukaisia hallinnollisia seuraamuksia ja korjaavia toimenpiteitä, joiden on oltava tehokkaita, oikeasuhteisia ja varoittavia. Momentin 11 ja 12 kohdassa tehdään lisäksi tarvittavat tekniset muutokset.  

Ehdotettu säännös vastaa muita finanssimarkkinoiden sektoreita koskevia säännöksiä. Säännöksestä ilmenee Finanssivalvonnan lähtökohtainen velvollisuus seuraamusmaksun määräämiselle laissa säädetyin edellytyksin. Finanssialan digitaalista häiriönsietokykyä koskevan sääntelyn yhteiskunnallisen merkityksen ja finanssimarkkinoiden valvonnan uskottavuuden kannalta on tärkeää, että Finanssivalvonnalla on käytettävissään tehokkaat sanktiot tapauksissa, joissa EU:n DORA-asetuksen velvoitteita rikotaan tai laiminlyödään. Siksi olisi perusteltua, että näissä tapauksissa määrättäisiin seuraamusmaksu. Samalla on keskeisen tärkeää huomioida hallinnollisten seuraamusten oikeasuhtaisuus. Seuraamusmaksu on vakava hallinnollinen seuraamus, jonka soveltamisalaan kuuluvissa rikkomuksissa ja laiminlyönneissä on lähtökohtaisesti kyse erittäin moitittavista teoista ja laiminlyönneistä (HE 32/2012 vp, s. 85). Finanssivalvonta ottaa mahdollisessa seuraamusharkinnassaan huomioon hallintolain 6 §:ssä tarkoitetut hallinnon oikeusperiaatteet sekä Finanssivalvonnasta annetussa laissa ja EU:n DORA-asetuksessa säädetyt hallinnollisen seuraamuksen määräämistä ja määräämättä jättämistä koskevat säännökset. Hallinnollisen seuraamuksen määräämistä koskevassa harkinnassa on otettava huomioon kaikki asiaan vaikuttavat olosuhteet, kuten tahallisuuden aste ja velvoitteiden rikkomisen olennaisuus ja vakavuus. EU:n DORA-asetuksen mukaisten velvoitteiden noudattamista arvioitaessa on asetuksen 4 artiklan ilmaiseman suhteellisuusperiaatteen mukaisesti otettava huomioon myös muun muassa finanssiyhteisön koko ja taloudellinen asema. Hallinnollisen seuraamuksen oikeasuhtaisuuden arviointi ei koske ainoastaan seuraamusmaksun mitoittamista, vaan myös seuraamuslajin valintaa. Seuraamusmaksun sijaan voidaan laissa säädetyin perustein poikkeuksellisesti antaa julkinen varoitus, jos lain vastaista menettelyä olisi pidettävä esimerkiksi vähäisenä. 

Oikeushenkilölle ja luonnolliselle henkilölle määrättävän seuraamusmaksun enimmäismääristä säädetään Finanssivalvonnasta annetun lain 41 §:ssä. Lain 41 a §:ssä on lisäksi useita seuraamusmaksun enimmäismäärää koskevia erityissäännöksiä. EU:n DORA-asetuksen mukaisten velvoitteiden laiminlyönnin tai rikkomisen osalta ei ehdoteta säädettävän erillisistä seuraamusmaksujen enimmäismääristä, vaan näissä tapauksissa sovellettaisiin lain 41 §:n yleisiä seuraamuksen enimmäismäärää koskevia säännöksiä. EU:n DORA-asetuksen mukaisten velvoitteiden laiminlyönnin tai rikkomisen osalta tulevat sovellettaviksi myös lain 40 §:n 3 momentin ja 42 §:n 3 momentin säännökset hallinnollisten seuraamusten suhteesta rikosoikeudellisiin rangaistuksiin, joilla varmistetaan kaksoisrangaistavuuden kiellon toteutumista. Seuraamusmaksua ei voida määrätä luonnolliselle henkilölle teosta tai laiminlyönnistä, joka on laissa säädetty rangaistavaksi, paitsi jos teko tai laiminlyönti on kokonaisuutena arvioiden vähäinen. Seuraamusmaksua ei voida määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa, eikä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. 

41 § . Seuraamusmaksun määrääminen . Pykälän 2 momentissa säädetään seuraamusmaksun määrää arvioitaessa huomioon otettavista seikoista. EU:n DORA-asetuksen 51 artiklan 2 kohta sisältää suoraan sovellettavat säännökset seikoista, jotka toimivaltaisen viranomaisen on otettava huomioon määrittäessään hallinnollisia seuraamuksia asetuksen rikkomisen johdosta. Pykälän 3 momenttiin lisättäisiin tämän vuoksi selventävä säännös siitä, että jos kyse on EU:n DORA-asetuksen rikkomisesta, seuraamusmaksun määrää arvioitaessa noudatetaan pykälän 2 momentin sijaan asetuksen 51 artiklan 2 kohtaa.  

43 § . Hallinnollisen seuraamuksen ja muun päätöksen julkistaminen . EU:n DORA-asetuksen 54 artiklassa annetaan suoraan sovellettavat säännökset hallinnollisten seuraamusten julkaisemisesta asetuksen rikkomista koskevissa tapauksissa. Pykälään lisättäisiin uusi 5 momentti , jonka mukaan, jos kyse on EU:n DORA-asetuksen rikkomisesta, hallinnollisen seuraamuksen määräämistä koskevan päätöksen julkistamiseen sovelletaan pykälän sijaan EU:n DORA-asetuksen 54 artiklaa.  

50 p § . Toiminta EU:n DORA-asetuksessa, NIS 2 -direktiivissä ja CER-direktiivissä tarkoitettuna toimivaltaisena viranomaisena. Pykälässä säädetään nykyisin Finanssivalvonnan toimimisesta verkko- ja tietoturvadirektiivin 8 artiklan 1 kohdassa tarkoitettuna toimivaltaisena viranomaisena direktiivin liitteen II toimialojen 3 ja 4 osalta. Uuden EU-sääntelyn ja verkko- ja tietoturvadirektiivin kumoamisen myötä pykälä ehdotetaan muutettavaksi. Ehdotetun 1 momentin mukaan Finanssivalvonta toimii EU:n DORA-asetuksen 46 artiklassa tarkoitettuna toimivaltaisena viranomaisena. Finanssivalvonta valvoisi siten EU:n DORA-asetuksen säännösten noudattamista ja sillä olisi käytössään asetuksessa mainitut valvonta-, tutkinta- ja seuraamusvaltuudet siten, kuin laissa säädetään. Finanssivalvonta osallistuisi myös asetuksessa tarkoitettuun viranomaisten väliseen yhteistyöhön. Lisäksi Finanssivalvonta toimisi EU:n DORA-asetuksen 26 artiklan 9 kohdassa tarkoitettuna viranomaisena, eli vastaisi uhkaperusteiseen tunkeutumistestaukseen kansallisella tasolla liittyvistä tehtävistä. Ehdotus ei kuitenkaan vaikuttaisi Suomen Pankin toimimiseen uhkaperusteissa tunkeutumistestauksessa käytettävän TIBER-FI-toimintamallin ylläpidosta vastaavana viranomaisena.  

Ehdotettu pykälän 2 momentti vastaa sisällöltään voimassa olevaa pykälää. Momentissa säädettäisiin siitä, että Finanssivalvonta toimii NIS 2 -direktiivin 8 artiklan 1 kohdassa tarkoitettuna liitteen I toimialojen 3 ja 4 toimivaltaisena viranomaisena. Direktiivin mainitun kohdan mukaan jäsenvaltion on nimettävä yksi tai useampi viranomainen, joka vastaa kyberturvallisuudesta ja direktiivin VII luvun mukaisista valvontatehtävistä. Suomessa toimii useita Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 575/2013 4 artiklan 1 kohdassa määriteltyjä luottolaitoksia sekä yksi Euroopan parlamentin ja neuvoston direktiivin 2014/65/EU 4 artiklan 24 kohdassa määritelty kauppapaikkojen ylläpitäjä. Sen sijaan Suomessa ei toimi Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 2 artiklan 1 kohdassa määriteltyjä keskusvastapuolia. Kuten edellä on todettu, NIS 2 -direktiivin säännöksiä, jotka koskevat kyberturvallisuusriskien hallintaa ja raportointivelvoitteita sekä valvontaa ja täytäntöönpanoa, ei kuitenkaan sovelleta EU:n DORA-asetuksen soveltamisalaan kuuluviin finanssialan toimijoihin. Siten ehdotetussa momentissa tarkoitettuna toimivaltaisena viranomaisena toimiminen pitäisi käytännössä sisällään tarvittavan viranomaisyhteistyön ja tietojenvaihdon muiden NIS 2 -direktiivin mukaisten viranomaisten kanssa. NIS 2 -direktiivin mukaiset kansallinen kyberturvallisuusstrategia ja kansalliset kyberkriisinhallintakehykset sekä Euroopan kyberkriisien yhteysorganisaatioiden verkosto EU-CyCLONe kattaisivat myös direktiivin soveltamisalaan kuuluvat finanssialan sektorit.  

Pykälän 3 momentissa ehdotetaan säädettäväksi Finanssivalvonnan toimimisesta CER-direktiivin 9 artiklan 1 kohdan tarkoittamana toimivaltaisena viranomaisena direktiivin liitteen toimialojen 3 (pankkiala) ja 4 (rahoitusmarkkinoiden infrastruktuuri) osalta. Toimialoihin 3 ja 4 kuuluvien kriittisten toimijoiden osalta toimivaltaisia viranomaisia ovat lähtökohtaisesti EU:n DORA-asetuksessa tarkoitetut toimivaltaiset viranomaiset. Jäsenvaltiot määrittävät erikseen kriittiset toimijat liitteessä tarkoitetuilla toimialoilla. CER-direktiivin velvoitteita ei sovelleta EU:n DORA-asetuksen soveltamisalaan kuuluviin finanssialan toimijoihin, mutta pankkiala ja rahoitusmarkkinoiden infrastruktuuri huomioidaan direktiivin II luvun mukaisessa kriittisten toimijoiden häiriönsietokykyä koskevassa strategiassa ja jäsenvaltion suorittamassa riskinarvioinnissa. Mainitulla strategialla ja riskinarvioinnilla ja kriittisten toimijoiden määrittämisellä olisi vaikutusta siihen, miten Finanssivalvonta mitoittaa ja kohdentaa valvontatoimintaansa. Finanssivalvonnan CER-direktiivin mukaisiin tehtäviin kuuluu direktiivin 10 artiklan mukaisesti kriittisten toimijoiden tukeminen niiden häiriönsietokyvyn parantamiseksi sekä yhteistyö, tiedonvaihto ja hyvien käytäntöjen jakaminen kriittisten toimijoiden kanssa. Finanssivalvonta olisi velvollinen tekemään yhteistyötä direktiivin mukaisten tehtäviensä hoitamisessa, mistä säädettäisiin tarkemmin lakiehdotuksen 3 f §:n 4 momentissa.  

52 a §. Yhteistyö ja tietojenvaihto verkko- ja tietoturvadirektiivin mukaisten tehtävien hoitamisessa. Säännös ehdotetaan kumottavaksi. Kyberturvallisuuden edistämiseksi tehtävää yhteistyötä koskevat säännökset sisältyisivät jatkossa ehdotettuun uuteen 3 f §:ään.  

71 §. Oikeus ja velvollisuus luovuttaa tietoja. Pykälään on koottu säännökset, joiden nojalla Finanssivalvonnalla on oikeus luovuttaa salassapitosäännösten estämättä tietoja muille viranomaisille. Pykälän 1 momenttiin lisättäisiin uusi 20 kohta , jonka mukaan Finanssivalvonnalla on oikeus luovuttaa tietoja tieto- ja viestintätekniikkaan liittyvistä häiriöistä ja uhkista Liikenne- ja viestintävirastolle lain 3 f §:n 3 momentissa tarkoitetun yhteistyön toteuttamista varten. Samalla momentin 19 kohtaan tehtäisiin uuden 20 kohdan lisäämisestä johtuva tekninen muutos. Voimassa olevassa laissa vastaava säännös sisältyy lain 52 a §:ään, joka ehdotetaan kumottavaksi. Voimassa olevaan säännökseen nähden pykälässä täsmennettäisiin, että oikeus luovuttaa tietoja koskee tieto- ja viestintätekniikkaan liittyviä häiriöitä ja uhkia koskevia tietoja. Oikeutta tietojen luovuttamiseen täsmentää lisäksi pykälän 2 momentti , jonka mukaan Finanssivalvonnalla on oikeus luovuttaa vain sellaisia tietoja, jotka ovat tarpeen kunkin 1 momentissa mainitun viranomaisen tehtävien suorittamiseksi. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus olisi Suomessa NIS 2 -direktiivin mukainen keskitetty yhteyspiste ja CSIRT-yksikkö. Kyberturvallisuuskeskus muun muassa ylläpitää kansallisen kyberturvallisuuden tilannekuvaa. NIS 2 -direktiivin mukaisen CSIRT-yksikön tehtävänä on muun ohella seurata ja analysoida kyberuhkia, haavoittuvuuksia ja poikkeamia kansallisella tasolla sekä kerätä niitä koskevia tietoja ja antaa niitä koskevia ennakkovaroituksia, hälytyksiä, ilmoituksia ja tietoja. Liikenne- ja viestintävirasto toimii myös toimialallaan NIS 2 -direktiivin mukaisena valvovana viranomaisena. EU:n DORA-asetuksen 19 artikla sisältää suoraan sovellettavia säännöksiä Finanssivalvonnan velvollisuudesta toimittaa laajavaikutteista TVT:hen liittyvää poikkeamaa koskevat yksityiskohtaiset tiedot muille asianomaisille viranomaisille sekä oikeudesta toimittaa näille viranomaisille merkittäviä kyberuhkia koskevia tietoja. Kyberturvallisuuden tilannekuvan muodostamiseksi olisi tärkeää, että Finanssivalvonta voisi luovuttaa tietoja myös sellaisista poikkeamista, jotka eivät itsessään ole EU:n DORA-asetuksen tarkoittamalla tavalla laajavaikutteisia.  

7.2  Laki luottolaitostoiminnasta

9 luku Riskien hallinta 

2 § . Riskienhallintajärjestelmälle asetettavat yleiset vaatimukset . Pykälän 1 momenttia ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 4 artiklan 2 kohdassa säädetyn muutoksen luottolaitosdirektiivin 74 artiklan 1 kohdan ensimmäiseen alakohtaan. Momenttiin lisättäisiin uusi 4 kohta , jolloin nykyinen 4 kohta siirtyisi 5 kohdaksi. Luottolaitoksen hallinto- ja ohjausjärjestelmiin kuuluisivat muun ohella EU:n DORA-asetuksen ja sen nojalla annettujen säännösten mukaiset verkko- ja tietojärjestelmät.  

16 § . Operatiivinen riski . Pykälän 3 momenttia ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 4 artiklan 3 kohdassa säädetyn muutoksen luottolaitosdirektiivin 85 artiklan 2 kohtaan. Luottolaitoksella on oltava käytössä varautumissuunnitelmat ja liiketoiminnan jatkuvuutta koskevat suunnitelmat. Direktiivin muutoksella täsmennetään, että mainittuihin suunnitelmiin sisältyvät myös TVT-riskiä koskevat liiketoiminnan jatkuvuus-, reagointi- ja palautumissuunnitelmat EU:n DORA-asetuksessa vahvistettujen vaatimusten mukaisesti. Momenttiin ehdotetaan lisättäväksi viittaus EU:n DORA-asetuksen 11 artiklaan, jossa säädetään luottolaitoksen tieto- ja viestintätekniikan liiketoiminnan jatkuvuutta koskevista toimintaperiaatteista ja suunnitelmista sekä tieto- ja viestintätekniikan reagointi- ja palautumissuunnitelmista.  

11 luku Luottolaitoksen valvonta 

2 §.Valvojan arvio . Pykälän 2 momenttiin ehdotetaan lisättäväksi uusi 11 kohta ottamaan huomioon DORA-muutosdirektiivin 4 artiklan 4 kohdassa säädetyn muutoksen luottolaitosdirektiivin 97 artiklan 1 kohtaan. Valvojan arviossa luottolaitokseen kohdistuvista riskeistä ja siitä, täyttääkö luottolaitos lain 9 ja 10 luvussa ja EU:n vakavaraisuusasetuksessa säädetyt vaatimukset, tulisi uuden kohdan mukaan ottaa huomioon EU:n DORA-asetuksen IV luvun mukaisen digitaalisen häiriönsietokyvyn testauksen paljastamat riskit. Samalla momentin 10 kohtaan tehtäisiin uuden 11 kohdan lisäämisestä johtuva tekninen muutos.  

7.3  Sijoituspalvelulaki

7 luku Sijoituspalveluyrityksen toiminnan järjestäminen 

2 §.Toiminnan luotettava järjestäminen . Pykälän 3–5 momenttia ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 6 artiklan 1 kohdassa säädetyn muutoksen MiFID II -direktiivin 16 artiklan 4 ja 5 kohtiin. Sen mukaan sijoituspalveluyrityksen toiminnan luotettava järjestäminen edellyttää jatkossa EU:n DORA-asetuksen ja sen nojalla annettujen säännösten noudattamista, mukaan lukien EU:n DORA-asetuksessa säädettyjen vaatimusten mukainen tiedonsiirtovälineiden suojaus ja todentaminen. Pykälän 3 ja 5 momenttiin ehdotetaan tältä osin tarvittavia muutoksia. Pykälän 4 momenttia muutettaisiin vastaamaan DORA-muutosdirektiivillä muutettua MiFID II -direktiivin 16 artiklan 5 kohdan ensimmäistä alakohtaa, johon ei enää sisälly mainintaa tehokkaista valvonta- ja turvajärjestelyistä tietojenkäsittelyjärjestelmiä varten.  

7 a luku Algoritminen kaupankäynti ja suora sähköinen markkinoillepääsy 

1 §.Algoritminen kaupankäynti . Pykälän 1 momentin 1 kohtaa ja 2 momenttia ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 6 artiklan 2 kohdassa säädetyn muutoksen MiFID II -direktiivin 17 artiklan 1 kohtaan. Ehdotusten mukaan algoritmistä kaupankäyntiä harjoittavan sijoituspalveluyrityksen käytössä olisi oltava käytössä tehokkaat järjestelmät ja riskinhallintamenetelmät, joiden avulla voidaan varmistaa sen kaupankäyntijärjestelmien häiriönsietokyky ja riittävä kapasiteetti EU:n DORA-asetuksessa vahvistettujen vaatimusten mukaisesti. Tällaisella sijoituspalveluyrityksellä olisi lisäksi oltava EU:n DORA-asetuksen 11 artiklan mukaiset TVT-liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet ja suunnitelmat ja tieto- ja viestintätekniikan reagointi- ja palautumissuunnitelmat ja sen olisi varmistettava, että sen järjestelmät ovat kaikilta osin testattuja ja niitä valvotaan asianmukaisesti, jotta ne täyttävät asetuksessa ja sen nojalla säädetyt vaatimukset.  

7.4  Maksulaitoslaki

19 a §.Operatiivisten ja turvallisuusriskien hallinta . Voimassa olevassa pykälässä säädetään maksulaitosta, maksulaitoslain 7 §:ssä tarkoitetun poikkeuksen nojalla maksupalveluita tarjoavaa henkilöä ja maksulaitoslain 7 b §:ssä tarkoitettua tilitietopalvelun tarjoajaa koskevista riskinhallintavelvoitteista. Pykälää sovelletaan lisäksi luottolaitostoiminnasta annetun lain 9 luvun 16 §:n 4 momentin viittaussäännöksen nojalla luottolaitokseen. Mainitut toimijat kuuluvat EU:n DORA-asetuksen soveltamisalaan. Pykälän 1 momentti ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 7 artiklan 4 kohdassa säädetyn muutoksen maksupalveludirektiivin 95 artiklan 1 kohtaan. Momenttiin lisättäisiin mainittua direktiivin kohtaa vastaava informatiivinen säännös, jonka mukaan se, mitä momentissa säädetään, ei rajoita EU:n DORA-asetuksen II luvun ja sen nojalla annettujen säännösten soveltamista.  

19 b § . Poikkeamista ja petoksista ilmoittaminen . Voimassa olevassa pykälässä säädetään poikkeamista ja petoksista ilmoittamista koskevista velvoitteista. Pykälää sovelletaan samoihin toimijoihin kuin lain 19 a §:ää. Pykälä ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 7 artiklan 5 kohdassa säädetyn muutoksen maksupalveludirektiivin 96 artiklaan. Sen perusteella artiklan 1–5 kohtaa, jotka on pantu täytäntöön voimassa olevan pykälän 1 ja 3 momentilla, ei jatkossa enää sovelleta edellä mainittuihin toimijoihin. Sen vuoksi nämä säännökset poistettaisiin laista.  

Pykälän 1 momentti vastaisi voimassa olevan pykälän 2 momenttia. Tällä säännöksellä on pantu täytäntöön maksupalveludirektiivin 68 artiklan 6 kohta, jota ei DORA-muutosdirektiivillä ole muutettu. Pykälän 2 momentti vastaisi voimassa olevan pykälän 4 momenttia. Tällä säännöksellä on pantu täytäntöön maksupalveludirektiivin 96 artiklan 6 kohta, jota ei DORA-muutosdirektiivillä ole muutettu. Pykälän 3 momentti vastaisi voimassa olevan pykälän 5 momenttia.  

Pykälän 4 momentti sisältäisi informatiivisen viittauksen EU:n DORA-asetuksen poikkeamailmoituksia koskevaan sääntelyyn. Maksulaitoksen, 7 §:ssä tarkoitetun poikkeuksen nojalla maksupalveluita tarjoavan henkilön, 7 b §:ssä tarkoitetun tilitietopalvelun tarjoajan ja sähköisen rahan liikkeeseenlaskijan velvollisuudesta ilmoittaa tieto- ja viestintätekniikkaan sekä toiminnan harjoittamiseen tai turvallisuuteen vaikuttaviin maksuihin liittyvistä poikkeamista säädetään EU:n DORA-asetuksen III luvussa.  

7.5  Laki kaupankäynnistä rahoitusvälineillä

3 luku Säännellyn markkinan toiminnan järjestäminen 

1 §.Säännellyn markkinan toiminnan järjestämistä koskevat vaatimukset . Pykälää ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 6 artiklan 3 kohdassa ja 4 kohdan a alakohdassa säädetyn muutoksen MiFID II -direktiivin 47 artiklaan ja 48 artiklan 6 kohtaan. Muutosdirektiivillä MiFID II -direktiivin 47 artiklan 1 kohdan b alakohtaa on muutettu, saman kohdan c alakohta on kumottu ja 48 artiklan 1 kohtaa muutettu.  

Voimassa olevan pykälän 1 momentissa säädetään säännellyn markkinan toiminnan järjestämisestä, mukaan lukien riskien hallinnasta. Momenttia täydennettäisiin DORA-muutosdirektiivin 6 artiklan 3 kohdan edellyttämällä tavalla vaatimuksella hallita tieto- ja viestintätekniikkaan liittyviä riskejä EU:n DORA-asetuksen II luvun ja sen nojalla annettujen säännösten mukaisesti.  

Voimassa olevassa pykälän 3 momentissa säädetään pörssin kaupankäyntijärjestelmän häiriönsietokyvystä MiFID II -direktiivin 47 artiklan 1 kohdan c ja 48 artiklan 1 kohdan mukaisesti. Pykälän 3 momenttia ehdotetaan muutettavaksi direktiivin uuden sanamuodon mukaiseksi. Säännellyn markkinan olisi ylläpidettävä toiminnallista häiriönsietokykyään EU:n DORA-asetuksen II luvussa vahvistettuja vaatimuksia noudattaen ja sen käytössä olisi oltava tehokkaat liiketoiminnan jatkuvuutta koskevat järjestelyt, joihin lukeutuvat EU:n DORA-asetuksen 11 artiklan mukaisesti laaditut TVT-liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet ja suunnitelmat ja TVT-reagointi- ja palautumissuunnitelmat. Toiminnallisen häiriönsietokyvyn käsite on lisätty MiFID II -direktiivin 48 artiklan 1 kohtaan DORA-muutosdirektiivillä. Direktiivin sanamuodon mukaisesti toiminnallinen häiriönsietokyky liittyy tässä yhteydessä EU:n DORA-asetuksen II luvun mukaisten vaatimusten noudattamiseen, eikä sillä ole muutoin tarkoitus laajentaa pörssin lakisääteisiä velvoitteita.  

Voimassa olevan pykälän 5 momentin mukaan pykälän 1 momentin mukaisia riskinhallintavelvoitteita sovelletaan vastaavasti pörssin omistusyhteisöön, eli yhteisöön, jolla on arvopaperimarkkinalain (746/2012) 2 luvun 4 §:ssä tarkoitetulla tavalla määräysvalta pörssissä. Momentissa olisi tarpeen selventää, että säännös ei koske velvollisuutta hallita tieto- ja viestintätekniikkaan liittyviä riskejä EU:n DORA-asetuksen mukaisesti.  

18 § . Algoritminen kaupankäynti . Pykälää ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 6 artiklan 4 kohdan a alakohdassa säädetyn muutoksen MiFID II -direktiivin 48 artiklan 6 kohtaan. Pörssin järjestelmien ja menettelytapojen sisältämä kaupankäyntiosapuolia koskeva velvoite testata algoritmejaan pörssin tarjoamassa testausympäristössä tulisi toteuttaa EU:n DORA-asetuksen II ja IV luvun ja sen nojalla annettujen säännösten mukaisesti.  

7.6  Sijoitusrahastolaki

5 luku Vakavaraisuus ja riskienhallinta 

1 §.Rahastoyhtiön riskienhallinta . Pykälää ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 1 artiklassa säädetyn muutoksen sijoitusrahastodirektiivin 12 artiklan 1 kohdan toisen alakohdan a alakohtaan. Direktiiviin on lisätty viittaus verkko- ja tietojärjestelmiin, jotka on perustettu ja joita hallinnoidaan EU:n DORA-asetusta noudattaen. Osana rahastoyhtiön riskienhallintaa, sähköisen tietojenkäsittelyn valvonta- ja suojajärjestelyjen on jatkossa oltava EU:n DORA-asetuksen ja sen nojalla annettujen säännösten mukaisia.  

7.7  Laki vaihtoehtorahaston hoitajista

7 luku Toiminnan järjestäminen 

2 §.Hallinto- ja valvontajärjestelyt . Pykälää ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 3 artiklassa säädetyn muutoksen AIFM-direktiivin 18 artiklaan. Sähköisen tietojenkäsittelyn valvonta- ja suojajärjestelyjen on jatkossa oltava EU:n DORA-asetuksen ja sen nojalla annettujen säännösten mukaisia.  

7.8  Laki lisäeläkesäätiöistä ja lisäeläkekassoista

1 luku Lain soveltaminen ja toiminnan keskeiset periaatteet 

13 §.Säännökset, joiden soveltaminen riippuu vakuutettujen lukumäärästä . Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että lain 3 luvun 12 §:ään lisättävä uusi 4 momentti soveltuu myös sellaiseen lisäeläkelaitokseen, jossa on vähemmän kuin 100 vakuutettua. EU:n DORA-asetuksen mukainen yksinkertaistettu TVT-riskienhallintajärjestelmä soveltuu lisäeläkelaitoksiin, joissa on yli 15 vakuutettua, mutta vähemmän kuin 100 vakuutettua.  

Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että lain 3 luvun 12 §:ään lisättävää uutta 4 momenttia ei sovelleta sellaiseen lisäeläkelaitokseen, jossa on vähemmän kuin 16 vakuutettua. EU:n DORA-asetuksen 2 artiklan 3 kohdan mukaan asetusta ei sovelleta kyseisiin lisäeläkelaitoksiin.  

3 luku Johto ja hallintojärjestelmä 

12 §.Toimintaperiaatteet, sisäisen valvonnan järjestelmä ja varautumissuunnitelma . Pykälää ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 8 artiklassa säädetyn muutoksen direktiivin (EU) 2016/2341 21 artiklan 5 kohtaan.  

7.9  Vakuutusyhtiölaki

6 luku Vakuutusyhtiön johto, hallintojärjestelmä ja varojen sijoittaminen 

8 §.Yleiset hallintovaatimukset . Pykälää ehdotetaan muutettavaksi ottamaan huomioon DORA-muutosdirektiivin 2 artiklassa säädetyn muutoksen Solvenssi II -direktiivin 41 artiklan 4 kohtaan.  

7.10  Laki Teollisen yhteistyön rahasto Oy -nimisestä osakeyhtiöstä

1 § . Pykälään ehdotetaan lisättävän uusi 5 momentti , jonka mukaan EU:n DORA-asetusta ei sovellettaisi Teollisen yhteistyön rahasto Oy:öön. Muutoksella hyödynnettäisiin yhtiön osalta EU:n DORA-asetuksen 2 artiklan 4 kohdan mukainen optio, jonka mukaan jäsenvaltiot voivat jättää asetuksen soveltamisalan ulkopuolelle luottolaitosdirektiivin 2 artiklan 5 kohdan 4–23 alakohdassa tarkoitetut yhteisöt, jotka sijaitsevat niiden alueella. EU:n DORA-asetuksen tarkoittamana toimivaltaisena viranomaisena toimii Finanssivalvonta, joka ei nykyisin valvo Teollisen yhteistyön rahasto Oy:tä. Jos jäsenvaltio-optiota ei käytettäisi, tulisi tässä yhteydessä säätää Finanssivalvonnan tehtävästä valvoa EU:n DORA-asetuksessa säädettyjen velvoitteiden noudattamista yhtiön osalta sekä tähän liittyvistä tarpeellisista valvontavaltuuksista ja valvontamaksuista. Erillisten valvontajärjestelyjen luomista yksittäisen säädöksen osalta ei voida pitää tarkoituksenmukaisena, vaan ohjausta ja valvontaa tulee arvioida kokonaisuutena yhtiötä koskevan lainsäädännön uudistamisen yhteydessä. Tämän vuoksi EU:n DORA-asetuksen mukainen jäsenvaltio-optio olisi perusteltua hyödyntää yhtiön osalta.  

7.11  Laki valtion erityisrahoitusyhtiöstä

3 § . Hallinto . Pykälään lisättäisiin uusi 5 momentti , jonka mukaan EU:n DORA-asetusta ei sovellettaisi Finnvera Oyj:hin. Muutoksella hyödynnettäisiin EU:n DORA-asetuksen 2 artiklan 4 kohdan mukainen optio Finnvera Oyj:n osalta vastaavin perustein kuin edellä on todettu Teollisen yhteistyön rahasto Oy:n osalta.  

11.1  TVT-palveluntarjoajana olevaa kolmatta osapuolta koskevat valvontavaltuudet

Suomen perustuslain 18 §:n 1 momentin mukaan jokaisella on oikeus lain mukaan hankkia toimeentulonsa valitsemallaan työllä, ammatilla ja elinkeinolla. 

Rahoitusmarkkinalainsäädäntö ja siihen liittyvät Finanssivalvonnan valvontavaltuudet merkitsevät rajoituksia elinkeinovapauteen. Voimassa oleva Finanssivalvonnasta annettu laki on tarpeellisilta osin saatettu voimaan perustuslakivaliokunnan myötävaikutuksella.  

Hallituksen esityksessä ei ehdoteta Finanssivalvonnalle uudenlaisia toimivaltuuksia eikä muutenkaan lainsäädännön peruslähtökohtia ehdoteta muutettavan. Esityksen 1. lakiehdotuksella lisättäisiin muiden finanssimarkkinoilla toimivien joukkoon EU:n DORA-asetuksessa tarkoitettu TVT-palveluntarjoajana oleva kolmas osapuoli. Näin Finanssivalvonnan valvontavaltuudet ulotettaisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin. Valvontavaltuuksien käyttäminen on mahdollista silloin, kuin se on tarpeen Finanssivalvonnalle laissa säädetyn valvontatehtävän hoitamiseksi. Finanssivalvonnasta annetun lain 18 §:n mukainen Finanssivalvonnan oikeus saada tietoja valvottavalta ja muulta finanssimarkkinoilla sekä 24 §:n mukainen tarkastusoikeus kohdistuvat jo nykyisin yritykseen, joka valvottavan tai muun finanssimarkkinoilla toimivan toimeksiannosta hoitaa tämän tietojärjestelmään liittyviä tehtäviä. Asiallisesti kyse ei siten ole merkittävästä muutoksesta, vaikka Finanssivalvonnan valvontavaltuudet laajenevatkin jonkin verran suhteessa näihin yrityksiin. Muutoksen taustalla on EU:n DORA-asetuksen edellytys siitä, että Finanssivalvonnalla on kaikki asetuksen mukaisten tehtäviensä hoitamiseen tarvittavat valtuudet.  

Ehdotetut toimivaltuudet ovat merkityksellisiä perustuslain 18 §:n 1 momentin mukaisen elinkeinon ja ammatin harjoittamisen vapauden kannalta. Perustuslakivaliokunta ei ole pitänyt tällaisia valtuuksia valtiosäännön kannalta ongelmallisina (esimerkiksi PeVL 67/2002 ja PeVL 28/2008 vp).  

11.2  Hallinnolliset seuraamukset

Perustuslain 21 §:n mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla. 

Finanssivalvonnasta annetun lain hallinnollisia seuraamuksia koskevia säännöksiä ehdotetaan täydennettävän EU:n DORA-asetuksen johdosta. EU:n DORA-asetus edellyttää jäsenvaltioiden saattavan voimaan asetuksen rikkomiseen liittyviä asianmukaisia hallinnollisia seuraamuksia ja korjaavia toimenpiteitä, joiden on oltava tehokkaita, oikeasuhteisia ja varoittavia. Finanssivalvonta voisi määrätä seuraamusmaksun sille, joka laiminlyö tai rikkoo EU:n DORA-asetuksen mukaisen velvoitteensa. Asetuksen mukaisen yksinkertaistettua TVT-riskienhallintajärjestelmää koskevan velvoitteen laiminlyönnin tai rikkomisen johdosta voitaisiin määrätä rikemaksu. 

Perustuslakivaliokunnan vakiintuneen tulkinnan mukaan tällaiset seuraamusmaksut eivät ole perustuslain 81 §:n mielessä sen paremmin veroja kuin maksujakaan, vaan lainvastaisesta teosta määrättäviä sanktioluonteisia hallinnollisia seuraamuksia. Valiokunta on asiallisesti rinnastanut rangaistusluonteisen taloudellisen seuraamuksen rikosoikeudelliseen seuraamukseen (PeVL 14/2013 vp, PeVL 17/2012 vp, PeVL 9/2012 vp, s. 2, PeVL 55/2005 vp, s. 2 ja PeVL 32/2005 vp, s. 2). Hallinnollisen seuraamuksen yleisistä perusteista on säädettävä perustuslain 2 §:n 3 momentin edellyttämällä tavalla lailla, koska sen määräämiseen sisältyy julkisen vallan käyttöä. Valiokunta on myös katsonut, että kyse on merkittävästä julkisen vallan käytöstä.  

Laissa on täsmällisesti ja selkeästi säädettävä maksuvelvollisuuden ja maksun suuruuden perusteista sekä maksuvelvollisen oikeusturvasta samoin kuin lain täytäntöönpanon perusteista (PeVL 14/2013 vp, PeVL 17/2012 vp, PeVL 9/2012 vp, s. 2, PeVL 57/2010 vp, s. 2, PeVL 55/2005 vp, s. 2 ja PeVL 32/2005 vp, s. 2–3). Vaikka perustuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen täsmällisyysvaatimus ei sellaisenaan kohdistu hallinnollisten seuraamusten sääntelyyn, ei tarkkuuden yleistä vaatimusta kuitenkaan voida tällaisen sääntelyn yhteydessä sivuuttaa (PeVL 14/2013 vp, PeVL 17/2012 vp, PeVL 9/2012 vp, s. 2, PeVL 57/2010 vp, s. 2 ja PeVL 74/2002 vp, s. 5). Lisäksi säännösten on täytettävä sanktioiden oikeasuhtaisuuteen liittyvät vaatimukset (PeVL 28/2014 vp, PeVL 15/2014 vp). Hallinnollisten sanktioiden osalta on vielä huomattava, etteivät ne saa menettelynsä puolesta muodostua perustuslain 21 §:ssä tarkoitetun syyttömyysolettaman vastaisiksi eivätkä ne voi myöskään perustua puhtaasti käännettyyn todistustaakkaan taikka ankaraan objektiiviseen vastuuseen (ks. myös PeVL 32/2005 vp, s. 3 ja PeVL 4/2004 vp, s. 7–8). 

Esityksen 1. lakiehdotuksiin sisältyvät säännökset hallinnollisista seuraamuksista vastaavat luonteeltaan voimassa olevaan lainsäädäntöön jo sisältyviä säännöksiä, jotka on säädetty perustuslakivaliokunnan myötävaikutuksella (PeVL 17/2012 vp, PeVL 15/2016 vp ja PeVL 43/2013 vp). Finanssivalvonnasta annetun lain rikemaksua ja seuraamusmaksua koskevissa säännöksissä luetellaan ne säännökset, joiden laiminlyönnin tai rikkomisen seurauksena kyseinen seuraamus voidaan määrätä. Näitä säännöksiä täydennettäisiin siten, että seuraamus voidaan määrätä EU:n DORA-asetuksen asianomaisten säännösten laiminlyönnin tai rikkomisen johdosta. Rikemaksun ja seuraamusmaksun määräämisen muita edellytyksiä ja määräämistä koskevaa menettelyä ei ehdoteta muutettavan.  

Ilman nimenomaisia säännöksiä Finanssivalvonta ei voi määrätä mitään muuta hallinnollista seuraamusta kuin Finanssivalvonnasta annetun lain 39 §:n mukaisen julkisen varoituksen. Jos EU:n DORA-asetuksen mukaisiin velvoitteisiin kohdistuvien rikkomusten tai laiminlyöntien seuraamuksista ei tarkemmin säädettäisi, Finanssivalvonta voisi siis ainoastaan antaa rikkomuksesta tai laiminlyönnistä julkisen varoituksen, mutta ei euromääräisiä hallinnollisia seuraamuksia. Finanssivalvonta ei näin ollen pystyisi välttämättä puuttumaan tehokkaasti mahdollisiin rikkomuksiin.  

Finanssivalvonnasta annetun lain hallinnollisia seuraamuksia koskevissa säännöksissä huomioidaan yhtäältä seuraamusten täsmällisyys ja oikeasuhtaisuus ja toisaalta seuraamusten käytön joustavuus ja varoittavuus. Finanssivalvonnalla tulee olla joustavat mahdollisuudet määrätä kussakin lainsäädännön rikkomis- tai laiminlyöntitapauksessa vallitsevat olosuhteet huomioon ottaen tarkoituksenmukaisin seuraamus. Lain mukaiset hallinnolliset seuraamukset mahdollistavat nopean ja tehokkaan puuttumisen finanssimarkkinalainsäädännön vastaiseen menettelyyn, mikä tehostaa finanssimarkkinoiden julkista valvontaa. Finanssialan digitaalista häiriönsietokykyä koskevan sääntelyn yhteiskunnallisen merkityksen ja finanssimarkkinoiden valvonnan uskottavuuden kannalta on tärkeää, että Finanssivalvonnalla on käytettävissään tehokkaat sanktiot tapauksissa, joissa EU:n DORA-asetuksen velvoitteita rikotaan tai laiminlyödään. Siksi olisi perusteltua, että näissä tapauksissa määrättäisiin seuraamusmaksu. Samalla on huomioitava hallinnollisten seuraamusten oikeasuhtaisuus. Hallinnollisten seuraamusten määräämistä koskevat säännökset mahdollistavat muutoinkin Finanssivalvonnalle tarpeenmukaisen harkinnan. EU:n DORA-asetuksen 51 artiklan 2 kohdan mukaan hallinnollisen seuraamuksen määrittämisessä on otettava huomioon, missä määrin rikkominen on tahallinen tai tuottamuksellinen, ja kaikki muut asiaan vaikuttavat olosuhteet, muun muassa rikkomisen olennaisuus, vakavuus ja kesto. EU:n DORA-asetuksen mukaisten velvoitteiden noudattamista arvioitaessa on asetuksen 4 artiklan ilmaiseman suhteellisuusperiaatteen mukaisesti otettava huomioon myös muun muassa finanssiyhteisön koko ja taloudellinen asema. Hallinnollisen seuraamuksen oikeasuhtaisuuden arviointi ei koske ainoastaan seuraamusmaksun mitoittamista, vaan myös seuraamuslajin valintaa. Lain 42 §:n mukaan Finanssivalvonta voi vähäisissä rikkomustapauksissa muuttaa seuraamusmaksun julkiseksi varoitukseksi tai jättää rikemaksun määräämättä. EU:n DORA-asetuksen 16 artiklassa säädetään yksinkertaistettua TVT-riskinhallintajärjestelmää koskevista vaatimuksista, joita sovelletaan tiettyihin pienempiin toimijoihin. Näiden vaatimusten laiminlyönnin tai rikkomisen osalta seuraamusmaksua lievempi seuraamus eli rikemaksu olisi lähtökohtaisesti riittävä. 

11.3  Oikeus luovuttaa salassa pidettäviä tietoja

Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Finanssivalvonnasta annetun lain 71 §:n 1 momentin 20 kohdan mukainen säännös oikeudesta luovuttaa tietoja salassapitosäännösten estämättä on merkityksellinen yksityiselämän ja henkilötietojen suojan kannalta. Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen (ks. esim. PeVL 15/2018 vp). Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (PeVL 38/2016 vp, s. 3). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (ks. esim. PeVL 71/2014 vp, s. 3/I, PeVL 62/2010 vp, s. 4/I ja PeVL 59/2010 vp, s. 4/I).  

Perustuslakivaliokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla (ks. esim. PeVL 92/2022 vp). Hallituksen esityksen 1. lakiehdotuksen 71 §:n tietojenluovutussäännös koskee tieto- ja viestintätekniikkaan liittyviä häiriöitä koskevia tietoja, joiden mahdollinen salassapito perustuu lähtökohtaisesti asianomaisten finanssialan yritysten liikesalaisuuteen. Tietojen luovuttamiseen ei voida katsoa liittyvän erityisiä riskejä henkilötietojen suojan kannalta. Säännöksen nojalla luovutettavat tiedot sisältävät henkilötietoja ylipäätään rajatusti, sillä kyse on liiketoimintaa koskevista tiedoista.  

Hallitus katsoo, että ehdotetut lait voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.