Viimeksi julkaistu 27.11.2024 9.51

Valiokunnan lausunto HaVL 15/2024 vp HE 57/2024 vp Hallintovaliokunta Hallituksen esitys eduskunnalle kyberturvallisuusdirektiivin (NIS 2 -direktiivi) täytäntöönpanoa koskevaksi lainsäädännöksi

Liikenne- ja viestintävaliokunnalle

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle kyberturvallisuusdirektiivin (NIS 2 -direktiivi) täytäntöönpanoa koskevaksi lainsäädännöksi (HE 57/2024 vp): Asia on saapunut hallintovaliokuntaan lausunnon antamista varten. Lausunto on annettava liikenne- ja viestintävaliokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

  • erityisasiantuntija Marko Priiki 
    liikenne- ja viestintäministeriö
  • lainsäädäntöneuvos Eeva Lantto 
    valtiovarainministeriö
  • poliisitarkastaja Kimmo Ulkuniemi 
    Poliisihallitus
  • erityisasiantuntija Hanna Menna 
    Hyvinvointialueyhtiö Hyvil Oy
  • erityisasiantuntija Martti Setälä 
    Suomen Kuntaliitto

Valiokunta on saanut kirjallisen lausunnon: 

  • sisäministeriö
  • tietosuojavaltuutetun toimisto
  • suojelupoliisi
  • Helsingin kaupunki
  • Länsi-Uudenmaan hyvinvointialue
  • Vantaan ja Keravan hyvinvointialue
  • Ahvenanmaan maakunnan hallitus

VALIOKUNNAN PERUSTELUT

Esityksen lähtökohdat

Hallituksen esityksessä ehdotetaan säädettäväksi kyberturvallisuuslaki. Lisäksi esityksessä ehdotetaan muutettavaksi useita lakeja, kuten esimerkiksi julkisen hallinnon tiedonhallinnasta annettua lakia (906/2019, jäljempänä tiedonhallintalaki), johon ehdotetaan lisättäväksi julkishallinnon toimialaa koskevat säännökset. Ehdotetuilla laeilla pannaan täytäntöön EU:n kyberturvallisuusdirektiiviEuroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi), jonka tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisillä toimialoilla. 

Hallintovaliokunta puoltaa esityksessä omaksuttua lähestymistapaa, jossa kansallista liikkumavaraa on käytetty siten, että direktiivin täytäntöönpano ehdotetaan tehtäväksi sen vähimmäistason edellyttämällä tavalla sekä soveltamisalan että velvoitteiden osalta.  

Hallintovaliokunta pitää kyberturvallisuusdirektiivin täytäntöönpanoa ja direktiivin tavoitteita kannatettavina ja toteaa, että yhtenäiset velvoitteet kyberturvallisuuden riskienhallinnasta ja merkittävien poikkeamien ilmoittamisesta selkeyttävät ja edistävät kyberturvallisuustoimenpiteitä eri organisaatioissa.  

Toimialakohtainen valvonta

Hallintovaliokunnan toimialalla hyvinvointialueen toiminnan olennaisimpana lakina näyttäytyy tiedonhallintalaki, joka sisältää julkishallintoon kohdistuvat velvoitteet ja niiden noudattamisen valvontaa koskevat säännökset. Toisaalta tiedonhallintalain soveltamisalaan kuuluva viranomainen voi tietyissä tilanteissa, kuten esimerkiksi hyvinvointialueet terveystoimialansa osalta, kuulua myös kyberturvallisuuslain soveltamisalaan. Hyvinvointialueet jakautuvat toiminnallisesti sosiaali- ja terveydenhuollon sekä pelastustoimen toimialoille. 

Hallintovaliokunta toteaa, että ehdotetussa lainsäädännössä hyvinvointialueiden valvontatehtävät on edellä todetun mukaisesti myös jaettu toimialakohtaisesti useille viranomaisille. Tiedonhallintalain mukaan Liikenne- ja viestintävirasto voi antaa toimijoita koskevia tarkempia ohjeita ja määräyksiä. Erityislainsäädännön perusteella myös eri viranomaiset, kuten Valvira ja Fimea, antavat hyvinvointialueita koskevia tarkempia ohjeita ja määräyksiä sekä kohdistavat niihin valvontaa. Hallintovaliokunta toteaa, että tähän liittyy riski siitä, että viranomaiset antavat keskenään päällekkäisiä ja ristiriitaisia määräyksiä.  

Valiokunta korostaa, että hyvinvointialueilla ja valvovilla viranomaisilla tulee olla yhteinen ymmärrys siitä, miten toimialakohtainen valvonta kohdistuu hyvinvointialueiden toimintoihin. Valiokunta pitää tärkeänä sitä, että kaikissa tilanteissa hyvinvointialueisiin ja muihin toimijoihin kohdistuva viranomaisten valvonta on yhteismitallista ja velvoitteiden toteutumisesta tehtävät tulkinnat selkeitä ja yhtenäisiä silloinkin, kun valvovia viranomaisia on useita. Viranomaisvalvonnan yhtenäisyyteen, yhteismitallisuuteen ja valvovien viranomaisten yhteistyöhön tulee kiinnittää erityistä huomiota. 

Valvontaviranomaisille tehtävät ilmoitukset

Kuten edellä on todettu, hallituksen esityksessä on ehdotettu toimialakohtaisesti uusia valvontatehtäviä useammalle viranomaiselle. Esityksessä ehdotetaan, että lain soveltamisalaan kuuluvat toimijat ilmoittavat tietonsa valvovalle viranomaiselle, joka puolestaan ilmoittaa tiedot keskitetylle yhteyspisteelle. Keskitetty yhteyspiste ilmoittaa puolestaan tiedot edelleen mm. Euroopan unionin kyberturvallisuusvirastolle.  

Esitetyssä ehdotuksessa toimijan on myös ilmoitettava valvontaviranomaisille merkittävistä poikkeamista 24 tunnin kuluessa poikkeaman havaitsemisesta. Muun muassa EU:n yleinen tietosuoja-asetus (EU) 2016/679Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) on jo aiemmin asettanut rekisterinpitäjille velvoitteen ilmoittaa havaitsemistaan henkilötietojen tietoturvaloukkauksista tietosuojavaltuutetulle 72 tunnin kuluessa. Laajasti toimijakenttää koskevia ilmoitusvelvollisuuksia löytyy myös esimerkiksi juuri voimaan tulleesta tekoälysäädöksestä (EU) 2024/1689Euroopan parlamentin ja neuvoston asetus (EU) 2024/1689, annettu 13 päivänä kesäkuuta 2024, tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta (tekoälysäädös) sekä Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta annetusta laista (1171/2022, ns. whistleblowing-laki). 

Hallintovaliokunta kiinnittää liikenne- ja viestintävaliokunnan huomiota siihen, että nykyisellään ilmoitusten tekemisen käytännöt ja menetelmät poikkeavat toisistaan valvontaviranomaiskohtaisesti ja sama poikkeama voi laukaista useamman yhtäaikaisen ilmoitusvelvoitteen.  

Valiokunta nostaa tässä yhteydessä esiin, että erilaisiin uusiin teknologioihin, turvallisuuteen sekä tietosuojaan liittyvien ilmoitusten laatiminen voitaisiin keskittää yhteen tietoturvalliseen ilmoituskanavaan, joka vähentäisi ilmoitusvelvollisten toimijoiden hallinnollista taakkaa sekä useiden rinnakkaisten tietoturvallisten ilmoituskanavien ylläpitokustannuksia. Samalla edistettäisiin myös viranomaisten välistä tiedonvaihtoa ja sitä, että koordinaatiota tosiasiallisesti tapahtuu valvovien viranomaisten välillä.  

Hallintovaliokunta tuo vielä esiin, että ehdotetun kyberturvallisuuslain 17 §:n 3 momentin mukaan valvovan viranomaisen on ilmoitettava merkittävän poikkeaman havaitsemisesta poliisille, jos merkittävässä poikkeamassa on toimijan ilmoituksen perusteella syytä epäillä rikosta, josta säädetty enimmäisrangaistus on vähintään kolme vuotta vankeutta. Valiokunta pitää ehdotettua ilmoitusvelvollisuutta hyvänä muutoksena. Suuri osa kyberympäristön tahallisista teoista on kyberrikoksia, jolloin on luontevaa, että valvovalla viranomaisella on velvollisuus ilmoittaa törkeistä tieto- ja viestintärikoksista poliisille. Asetettu kynnys epäillyistä rikoksista ilmoittamisen velvollisuudelle on oikealla tasolla. Sen sijaan ilmoitusvelvollisuuden perusteena olevaa ”syytä epäillä rikosta” -muotoilua tulisi harkita, jotta ilmoitusta käsittelevältä henkilöltä ei edellytettäisi oikeudellista harkintaa sen osalta, ylittyykö kyseisessä teossa ”syytä epäillä rikosta” -kynnys vai ei.  

Samalla valiokunta kuitenkin toteaa, että vastaavaa muotoilua on käytetty myös sähköisen viestinnän palveluista annetun lain (917/2014) 316 §:ssä, jossa säädetään Liikenne- ja viestintäviraston oikeudesta saada viestintää koskevia tietoja. Mikäli edellä mainittua lainkohtaa muutetaisiin, voitaisiin ”syytä epäillä rikosta” -ilmaisun sijaan käyttää ilmaisua ”voidaan olettaa rikoksen tapahtuneen”. Sama ilmaisu on käytössä myös ehdotetussa 16 §:ssä, jonka muuttamista tulisi vastaavasti harkita. Valiokunnan saaman selvityksen mukaan poliisin ja muiden toimijoiden välisissä keskusteluissa on noussut esiin huoli siitä, että julkishallinnon ja yksityisen sektorin toimijoilla voi olla vaikeaa arvioida, mitä ”syytä epäillä” -ilmaisulla tarkoitetaan ja miten sitä tulisi arvioida suhteessa havaittuun tapahtumaan. 

Valvovien viranomaisten yhteistyö ja resurssit

Hallituksen esityksestä käy ilmi, että viranomaisten yhteistyölle ei olla osoittamassa lisäresursseja, vaan yhteistyö nähdään ehdotetussa lainsäädännössä asiaksi, joka voidaan hoitaa nykyisillä resursseilla siitä huolimatta, että valvontaan on tulossa täysin uusia viranomaistahoja, joilla ei ole kokemusta voimassa olevien kyberturvallisuutta koskevien lakien soveltamisesta. Hallintovaliokunta pitää tärkeänä sitä, että valvovien viranomaisten välinen koordinaatio, tiedonvaihto ja yhteistyö järjestetään ja resursoidaan valtakunnallisella tasolla siten, että valvonta on tasalaatuista eri toimialojen välillä.  

VALIOKUNNAN PÄÄTÖSESITYS

Hallintovaliokunta esittää,

että liikenne- ja viestintävaliokunta ottaa edellä olevan huomioon
Helsingissä 19.9.2024 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Mauri Peltokangas ps 
 varapuheenjohtaja 
Pihla Keto-Huovinen kok 
 jäsen 
Alviina Alametsä vihr 
 jäsen 
Petri Honkonen kesk 
 jäsen 
Juha Hänninen kok 
 jäsen 
Christoffer Ingo 
 jäsen 
Mari Kaunistola kok 
 jäsen 
Anna Kontula vas 
 jäsen 
Rami Lehtinen ps 
 jäsen 
Mira Nieminen ps 
 jäsen 
Saku Nikkanen sd 
 jäsen 
Eemeli Peltonen sd 
 jäsen 
Paula Werning sd 
 jäsen 
Ben Zyskowicz kok 
 varajäsen 
Jari Ronkainen ps 
 

Valiokunnan sihteerinä on toiminut

istuntoasiainneuvos 
Sanna Helopuro