Allmänt

(1) I den aktuella propositionen är det fråga om uppgifter om områdesanvändning och datasystemet för den byggda miljön. I propositionen föreskrivs det inte om uppgifter om byggande, deras struktur eller publicering av dem. Bestämmelser om detta föreslås i regeringens proposition RP 139/2022 rd. 

(2) Enligt utredning till utskottet är de föreslagna bestämmelserna en nödvändig grund för att öka den övergripande säkerheten när det gäller information om den byggda miljön. Genom de föreslagna bestämmelserna harmoniseras formatet för informationen om områdesanvändningen och förenhetligas tillvägagångssätten. Betydelsen av informationssystemet för den byggda miljön accentueras vid beredskapen inför och hanteringen av riskerna för den övergripande säkerheten i samhället, eftersom ett riksomfattande system möjliggör beredskap i snabbt föränderliga situationer jämfört med det brokiga nuläget. Datasystemet för den byggda miljön utförs i enlighet med kraven för digital säkerhet med beaktande av ändamålsenlig behandling av uppgifter i olika säkerhetsklasser. Säkerhetsklassificerat material och sekretessbelagda uppgifter är tillgängliga endast för de aktörer som har rätt att få uppgifterna. 

(3) Försvarsutskottet bedömer i detta utlåtande propositionen med avseende på hur den nationella säkerheten och i synnerhet försvarsförvaltningens särskilda behov har beaktats i propositionen. Det är enligt utskottet positivt att det blir lättare även för Försvarsmakten att använda och utnyttja aktuell information om områdesanvändningen och byggandet i sin egen verksamhet, om uppgifter om områdesanvändningen och byggandet fås riksomfattande ur ett enda system. Ur denna synvinkel skulle systemet, om det genomfördes rätt och med beaktande av säkerhetsaspekterna, vara nyttigt också för Försvarsmakten. 

(4) Enligt utredning till utskottet är det dock klart att propositionen i den föreslagna formen inte säkerställer att den nationella säkerheten beaktas i tillräcklig utsträckning. Detta gäller allmänt taget många lagstiftningsprojekt som syftar till att främja digitaliseringen i samhället. Ett starkt främjande av digitaliseringen har skrivits in i regeringsprogrammet. Utskottet påpekar att den kraftigt försvagade säkerhetspolitiska miljön inte har kunnat beaktas när riktlinjerna i regeringsprogrammet dragits upp. Kriget i Ukraina och dess följdverkningar samt den långvariga förändringen i den säkerhetspolitiska miljön leder enligt försvarsutskottet till ett behov av att omvärdera alla lagprojekt som direkt eller indirekt hänför sig till den nationella säkerheten. 

(5) Vid beredningen av den lagstiftning som hör till försvarsministeriets föredragningsansvar beaktas den nationella säkerhetsaspekten naturligtvis på behörigt sätt. Propositionerna utgår också ofta från nationella säkerhetsbehov eller syftar till att förbättra den nationella säkerheten. Vid andra ministerier än de som ansvarar för den yttre och inre säkerheten kan det vara svårt att identifiera faktorer som påverkar den nationella säkerheten. Ofta är dessa också förknippade med sekretessfrågor, och konsekvenserna är inte nödvändigtvis kända i större utsträckning av någon annan än den behöriga myndighet som behandlar ärendet. Utskottet konstaterar att de olika förvaltningsområdena i Finland överlag har en tendens till silotänkande i sin verksamhet och att den tvärsektoriella beredningen och informationsutbytet inte till alla delar genomförs i tillräcklig omfattning. 

(6) Utskottet anser det vara yttersta viktigt att konsekvenserna för den nationella säkerheten bedöms mer systematiskt och heltäckande än för närvarande också i andra projekt än sådana som bereds av de förvaltningsområden som är verksamma inom området för den yttre och den inre säkerheten. Detta är särskilt viktigt nu när behovet av att skydda kritisk infrastruktur accentueras. Till exempel påverkar geografisk information i hög grad vår nationella säkerhet, och informationen kan också användas för att försämra säkerheten. Utskottet hänvisar i detta sammanhang också till sitt utlåtande om EU:s energieffektivitetsdirektiv (FsUU 9/2021 rd) och påpekar att regleringen på EU-nivå har betydande direkta och indirekta konsekvenser för ordnandet av det nationella försvaret. 

(7) Utskottet anser att det är nödvändigt att lagprojekt som kan bedömas ha konsekvenser för den nationella säkerheten regelbundet granskas också i Säkerhetskommittén eller i någon annan förvaltningsövergripande styr- eller samordningsgrupp som lämpar sig för ändamålet. Säkerhetskommittén är ett permanent och brett förankrat samarbetsorgan för föregripande beredskap i anslutning till den övergripande säkerheten. Det är därför på många sätt naturligt att den används för en sådan bedömning. 

Skydd av försvarsmaktens funktioner och av den kritiska infrastrukturen

(8) Det datasystem som avses i regeringens proposition till riksdagen med förslag till lagar om datasystemet för den byggda miljön och om ändring av markanvändnings- och bygglagen kommer, om propositionen genomförs, att innehålla ett omfattande informationsmaterial och således också uppgifter om samhällets vitala funktioner och aktörer samt om den inhemska infrastrukturen och strukturerna. Utöver försvarsförvaltningens områden och lokaler är sådana objekt för kritisk infrastruktur exempelvis vatten-, energi- och livsmedelsförsörjning, distributionstrafik, allmännyttiga inrättningar samt funktioner som hänför sig till invånarnas hälsa, välfärd och utkomst. Skyddspolisens definition av kritisk infrastruktur omfattar bland annat datakommunikationsnät, datalager, mat- och läkemedelsförsörjning, trafiknät, betalningsrörelse och banker. 

(9) Utskottet håller med sakkunniga inom försvarsförvaltningen om att det i planerna och informationssystemen i fortsättningen bör antecknas endast sådan information som även samlad är offentlig information. Enligt utredning till utskottet tillämpar Försvarsmakten principen att när en offentlig eller icke-säkerhetsklassificerad helhet hanteras som massa, bildar den en helhet i minst säkerhetsklass IV (begränsad tillgång). Då kan helheten inte tas in i det offentliga datasystemet. 

(10) Enligt de sakkunniga som utskottet har hört bildar fastighetsuppgifterna om de fastigheter som Försvarsmakten förfogar över en helhet där man enbart genom att analysera offentlig information kan dra långtgående slutsatser om Försvarsmaktens verksamhet. På grund av underrättelseinhämtning från offentliga källor (Open source intelligence, OSINT) och ackumulering av information gäller detta också andra objekt än sådana som är sekretessbelagda. De enskilda områdesuppgifter om Försvarsmaktens områden och funktioner som presenteras i planen kan samlade som en riksomfattande helhet i ett enda informationssystem bilda uppgifter på nivån för säkerhetsklass IV. 

(11) Utskottet betonar att det vid riksdagsbehandlingen av propositionen är viktigt att identifiera den ackumulerande effekten av fastighetsinformation, ta skyddet av geografisk information på allvar och utsträcka skyddsåtgärderna till hela leveranskedjan för fastighets- och geografisk information. Om uppgifter om vitala funktioner digitaliseras och lagras i informationssystemet, ska särskild uppmärksamhet fästas vid informationssäkerheten i ett sådant system. Också en noggrant avgränsad definition av rätten att få information förutsätter att den kritiska infrastruktur som ska skyddas och de egenskaper som hänför sig till den definieras enhetligt och rikstäckande. 

(12) Allmänt kända sårbarheter, såsom knutpunkter för infrastrukturen, bör beaktas i planeringen. Detsamma gäller äventyrad eller redan förlorad fastighetsinformation. I fråga om fast infrastruktur, såsom objekt som ska ges särskilt skydd eller centrala stamnät, kan kritisk geografisk information förloras endast en gång. Det är därför viktigt att skydda positions- och användningsdata för sådan infrastruktur. 

(13) Utvecklingen, underhållet och säkerställandet av samhällets vitala funktioner samt informationssystemen och deras tekniska gränssnitt kommer i fortsättningen att i större utsträckning än tidigare skötas av kommersiella aktörer. Företagen har dessutom en central och växande roll också när det gäller att producera information om den byggda miljön (bl.a. byggnadsplaner och planer). Nya innovations- och affärsmöjligheter gör också myndigheterna mer beroende av aktörer inom den privata sektorn och deras leveranskedjor. Detta gör samhällets vitala funktioner ännu mer sårbara som föremål för cyberhot och cyberattacker. 

(14) Kommersialiseringen av hanteringen av fastighetsinformation ställer nya samhälleliga försörjningsberedskapskrav på företagens säkerhet, kontinuitetshantering och beredskap för störningssituationer vars övervakning, underhåll, utbildning och övningar i samarbete i olika situationer bör granskas noggrannare än för närvarande. Kommersiella aktörer är också förenade med en risk för företagsförvärv. En ny ägares värderingar och säkerhetskultur eller affärsmodell kan avvika från det ursprungliga syftet och äventyra samhällets vitala funktioner. När riskerna realiseras är det svårt att upptäcka, bedöma och spåra dataläckage, och ansvarsfrågorna är krävande. 

Försvarsmaktens byggnader och konstruktioner

(15) På försvarsmaktens områden finns både offentliga och icke-offentliga byggnader och konstruktioner. Utskottet ser det som motiverat att undvika att uppgifter om Försvarsmaktens byggnader och konstruktioner förs in i de riksomfattande informationssystemen utan att det finns ett tvingande behov. Inga uppgifter om byggnader och konstruktioner på Försvarsmaktens områden eller konstruktioner på andra ställen som uteslutande tjänar Försvarsmaktens verksamhet bör inkluderas i datasystemet för den byggda miljön. Vidare gäller att om Försvarsmakten har verksamhet eller anordningar i någon byggnad eller konstruktion (en mast e.d.), får uppgifter om detta inte inkluderas i informationssystemet för den byggda miljön, om uppgiften inte är offentlig. Av dataskyddsskäl bör inte heller ett fastighets- och byggnadsbeteckningssystem som är åtskilt från försvarsmaktens övriga offentliga registerföring sammanföras med de riksomfattande registren och inte heller göras tillgängligt i informationssystemet för den byggda miljön. 

(16) Det är nyttigt och till vissa delar till och med nödvändigt att i planerna ange försvarsmaktens områden och influensområden (buller- och skyddsområden) som hänför sig till verksamheten. Influensområdena ska anges i planerna, om Försvarsmaktens verksamhet medför konsekvenser utanför Försvarsmaktens område eller om något byggande utanför Försvarsmaktens område kan inverka på verksamhet som finns inom Försvarsmaktens område eller som planeras bli placerad där. Utmärkningen av områdena i planerna tryggar Försvarsmaktens verksamhetsförutsättningar. Genom planerna påverkas byggandet utanför Försvarsmaktens områden. När områden anges i planerna bör man dock beakta effekten av att informationen ackumuleras för att informationen fortsatt ska klassificeras som offentlig. 

Fortsatta åtgärder

(17) Innan informationssystemet för den byggda miljön tas i bruk bör dimensionerna för den digitala fastighetsinformationens säkerhet ytterligare preciseras genom identifiering och definition av infrastruktur som är kritisk med tanke på samhällets vitala funktioner. Detta arbete måste beakta också kraven i CER-direktivet (Critical Entities Resilience), liksom också arbetet med att definiera kritisk infrastruktur i samband med genomförandet av direktivet. Kommissionen offentliggjorde förslaget till CER-direktiv den 16 december 2020 som en del av ett större paket med en ny cybersäkerhetsstrategi och en uppdatering av direktivet om nät- och informationssäkerhet (NIS). 

(18) Utskottet anser att det är motiverat att innan lagstiftningen träder i kraft göra en riskbedömning av den nationella säkerheten i fråga om geografisk information, och i detta arbete bör också beröringspunkterna med CER-direktivet beaktas. Riskbedömningen bör omfatta hela leveranskedjan: statsförvaltningen, kommunsektorn och företagen. Riskbedömningen bör också innehålla en heltäckande granskning av den nuvarande nationella författningsmiljön och EU-författningsmiljön för hantering av geografisk information, behoven att ändra den samt andra rättsliga frågor. Dessutom bör den innehålla en granskning av konsekvenserna av Natomedlemskapet samt en granskning av ansvaret för ledning och samordning av geografisk information. 

Förslag till ändrade bestämmelser

(20) De sakkunniga som utskottet hört framförde behovet av att precisera vissa bestämmelser i propositionen. Utskottet föreslår att 1 § 2 mom. i lagförslag 1 preciseras så att Försvarsmakten kan besluta om grunderna för sekretess i fråga om uppgifter om Försvarsmaktens områden efter prövning från fall till fall samt utifrån det tekniska genomförandet och skyddet av informationssystemet. Enligt 24 § 1 mom. i offentlighetslagen kan grunderna för sekretessen till exempel vara uppgifter om skyddsarrangemang, beredskap inför undantagsförhållanden, militär underrättelseinhämtning, Försvarsmaktens utrustning, sammansättning och belägenhet eller användande av försvarsmakten. Utskottet betonar att den föreslagna ändringen inte får komma i vägen för andra myndigheters behov av att få de uppgifter som de behöver ur systemet. 

1. Lag om datasystemet för den byggda miljön

(21) Utskottet fäster dessutom uppmärksamhet vid 11 § 3 mom. i lagförslag 1, vars formulering kan vara problematisk. Trots att det av informationssäkerhetsskäl har föreslagits att informationssökningarna ska begränsas till enskilda sökningar, är det ytterst viktigt att bedöma för vilka ändamål uppgifterna lämnas ut och huruvida den personuppgiftsansvarige har faktiska tekniska metoder för att begränsa exempelvis antalet informationssökningar som görs med hjälp av robotar. I fråga om samkörning av uppgifter konstateras det i propositionen att Finlands miljöcentral i egenskap av personuppgiftsansvarig inte längre har möjlighet att kontrollera den fortsatta användningen av de uppgifter som centralen lämnat ut efter det att uppgifterna har lämnats ut. Då är det sannolikt att inte heller andra myndigheter har tillräcklig förmåga eller behörighet att utöva sådan tillsyn.