Senast publicerat 13-03-2025 11:12

Utlåtande KoUU 2/2025 rd RP 205/2024 rd Kommunikationsutskottet Regeringens proposition till riksdagen med förslag till lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft och till vissa andra lagar

Till förvaltningsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft och till vissa andra lagar (RP 205/2024 rd): Ärendet har remitterats till kommunikationsutskottet för utlåtande till förvaltningsutskottet. 

Sakkunniga

Utskottet har hört 

  • regeringsråd Johanna Hakala 
    inrikesministeriet
  • regeringssekreterare Veikko Vauhkonen 
    kommunikationsministeriet
  • utvecklingschef Laura Vilkkonen 
    kommunikationsministeriet
  • lagstiftningsråd Niklas Vainio 
    justitieministeriet
  • polisinspektör Jonne Lähteenmäki 
    Polisstyrelsen
  • säkerhetsdirektör Toni Lahti 
    Tullen
  • ledande expert Kristiina Jaatinen 
    Transport- och kommunikationsverket
  • NIS-koordinator, specialsakkunnig Kalle Varjola 
    Transport- och kommunikationsverket, Cybersäkerhetscentret
  • branschdirektör Juuso Kummala 
    Trafikledsverket
  • ledande expert Katri Liekkilä 
    Försörjningsberedskapscentralen
  • enhetschef Heli Tammivuori 
    Försörjningsberedskapscentralen
  • chef för företagssäkerhet Tiina Ranta 
    Finavia Abp
  • trafikdirektör Timo Rosendahl 
    HaminaKotka Satama Oy
  • direktör Kimmo Lehtinen 
    Hamnoperatörerna rf
  • ansvarig jurist Sara Seppänen 
    Bil- och Transportbranschens Arbetarförbund AKT ry
  • ledande expert Markku Rajamäki 
    Finlands näringsliv rf
  • jurist Asko Metsola 
    FiCom rf
  • verkställande direktör Piia Karjalainen 
    Finlands Hamnar rf.

Skriftligt yttrande har lämnats av 

  • Finlands Fackförbunds Centralorganisation FFC rf.

UTSKOTTETS ÖVERVÄGANDEN

Allmänt

(1) Utskottet anser att förslagen i propositionen behövs och är viktiga kompletteringar till den gällande lagstiftningen om beredskap. Det finns färska konkreta exempel på hot mot kritisk infrastruktur, och utskottet välkomnar att propositionen som baserar sig på det så kallade CER-direktivet kompletterar lagstiftningen för sådana branscher där det inte tidigare uttryckligen har funnits bestämmelser om beredskap. 

(2) Utskottet noterar att propositionen har ett nära samband med Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet). Betänkandet KoUB 1/2025 rd om regeringens proposition RP 57/2024 rd om det nationella genomförandet av NIS 2-direktivet blev klart den 27 februari 2025. 

Gemensam nationell kontaktpunkt

(3) De sakkunniga har framfört att det i den aktuella propositionen inte uttryckligen har utsetts någon sådan gemensam nationell kontaktpunkt som avses i CER-direktivet och att den gemensamma kontaktpunktens uppgifter har fördelats på flera olika aktörer. Under sakkunnigutfrågningen har det ansetts nödvändigt att de centrala kontaktpunkterna enligt både CER- och NIS 2-direktivet utses som en del av det nationella genomförandet på det sätt som direktiven förutsätter. Enligt den nya cybersäkerhetslagen (KoUB 1/2025 rdRP 57/2024 rd) fungerar Transport- och kommunikationsverket i Finland som en sådan gemensam kontaktpunkt som avses i NIS 2-direktivet. Under sakkunnigutfrågningen föreslogs det att Försörjningsberedskapscentralen i samband med den nu aktuella propositionen bör utses till en sådan gemensam kontaktpunkt som avses i CER-direktivet. 

(4) Kommunikationsutskottet understöder det att det praktiska genomförandet av CER-lagförslaget byggs på befintliga strukturer och på den också i europeiskt jämförelse välfungerande befintliga samarbetsmodellen för försörjningsberedskap. Enligt uppgift kommer frågan att bedömas i samband med den pågående lagstiftningsreformen om Försörjningsberedskapscentralen. Kommunikationsutskottet anser det vara viktigt att ärendet bedöms och bereds omsorgsfullt och föreslår förvaltningsutskottet att utskottet bedömer om det i betänkandet om propositionen är nödvändigt att kräva åtgärder av statsrådet till exempel genom ett uttalande av riksdagen. 

Tillsyn och rätt att få uppgifter

(5) De sakkunniga har påpekat att tillsynsuppgifterna i rymdsektorn inte har anvisats någon myndighet i propositionen. 

(6) Utskottet konstaterar att det är klart att rymdsektorn också i Finland är en sektor vars betydelse ökar och där det redan nu finns ett betydande antal inhemska företag och andra aktörer. Utskottet anser därför att det utifrån inkommen utredning är ytterst viktigt att tillsynsuppgifterna inom rymdsektorn anvisas en viss myndighet på motsvarande sätt som i fråga om andra sektorer i lagförslag 1. 

(7) Utskottet föreslår förvaltningsutskottet att uppgiften som tillsynsmyndighet som övervakar rymdsektorn anförtros Transport- och kommunikationsverket, som redan nu är tillstånds- och tillsynsmyndighet enligt lagen om markstationer och vissa radaranläggningar (96/2023), med undantag för vissa tillståndsuppgifter som i lagen anvisas statsrådet. I samband med sakkunnigutfrågningen beredde och presenterade inrikesministeriet för kommunikationsutskottet ett förslag till ändring av 19 § 3 punkten i lagförslag 1, där uppgiften i fråga åläggs Transport- och kommunikationsverket. Utskottet ställer sig bakom förslaget. Utskottet påpekar ändå att uppgiften är ny för Transport- och kommunikationsverket, att förslaget utvidgar antalet aktörer som ska övervakas av Transport- och kommunikationsverket och att det inte har anvisats nya resurser för den nya uppgiften. Utskottet oroar sig för huruvida myndighetsresurserna räcker till för att de lagstadgade uppgifterna ska kunna skötas på behörigt sätt och i synnerhet för att den nationellt viktiga cybersäkerheten ska kunna tryggas. Utskottet påpekar ändå att man måste prioritera i nuläget. Bland annat förändringarna i den säkerhetspolitiska miljön har förändrat prioriteringsordningen för ärenden så att också användningen av de nuvarande resurser som står till förfogande för skötseln av uppgifterna måste bedömas delvis utifrån nya utgångspunkter. 

(8) De sakkunniga har fäst uppmärksamhet vid bestämmelsen i 27 § 2 mom. i lagförslag 1, enligt vilken Cybersäkerhetscentrets CSIRT-enhet, som finns i anslutning till Transport- och kommunikationsverket, står utanför tillsynsmyndigheternas rätt att få information. Kommunikationsutskottet fäster utifrån inkommen utredning förvaltningsutskottets uppmärksamhet vid att Transport- och kommunikationsverkets uppgifter i anslutning till cybersäkerheten i hög grad baserar sig på förtroende mellan aktörerna. Utan detta förtroende kommer Transport- och kommunikationsverket inte heller att få all den information som den behöver för att kunna utföra sina uppgifter effektivt. Utskottet betonar att avgränsningen i propositionen således är mycket viktig när det gäller att sköta CSIRT-enhetens uppgifter så effektivt som möjligt och bevara det förtroende som oundgängligen behövs för denna verksamhet. 

Gemensam rapporteringskanal för incidentanmälningar

(9) De sakkunniga ansåg det nödvändigt att skapa en rapporteringskanal för incidentanmälningar (NIS 2, CER och GDPR) och framförde att rapporteringsprocesserna kommer att bli komplicerade i och med den föreslagna tillsynsmodellen. Enligt inrikesministeriets utredning är målet att skapa en gemensam rapporteringskanal (portal) för incidentanmälningar. Kommunikationsutskottet välkomnar målet om en gemensam informationssäker rapporteringskanal. Enligt uppgift är utvecklingen av en gemensam rapporteringskanal framför allt en resursfråga. 

Säkerhetsutredningar i hamnar

(10) I fråga om lagförslag 5 i propositionen framförde de sakkunniga att ansvaret för säkerhetsutredningar inte bör läggas centraliserat på hamninnehavaren och att varje företag separat ska vara skyldigt att ansöka om säkerhetsutredning i fråga om sin egen personal. Enligt uppgift har regleringen i fråga beretts vid justitieministeriet. 

(11) Enligt utredning till utskottet har den centraliserade modell som föreslås i propositionen valts bland annat för att den sensitiva underrättelseinformation som erhålls till följd av säkerhetsutredningar inte ska spridas onödigt brett. Dessutom ansågs den centraliserade modellen vid beredningen av propositionen ha fördelar också med tanke på klientprocessen i anslutning till Skyddspolisens säkerhetsutredningar och det framfördes att motsvarande centraliserade krav på säkerhetsutredningar redan annanstans i lagstiftningen har ställts på bland annat flygplatser, kärnenergianläggningar, privata bevakningsföretag och byggbranschen. 

(12) Under sakkunnigutfrågningen framfördes det också att det i vilket fall som helst bör sättas ut en tillräcklig övergångstid för införandet av skyldigheten. Därför anser utskottet att det är ytterst viktigt att det reserveras tillräckligt med tid för fullgörandet av skyldigheterna i fråga om säkerhetsutredningar i hamnar. Utskottet betonar behovet av myndighetsrådgivning och nära samarbete vid det praktiska genomförandet av bestämmelserna om säkerhetsutredningar i hamnar. 

Vissa andra ändringsbehov

(13) De sakkunniga påpekade att formuleringen i 28 § 2 mom. i lagförslag 1 lämnar rum för tolkning när det gäller vilka myndigheter som strängt taget avses med de myndigheter som avses i 13 §. Propositionen kan tolkas så att hänvisningen till 13 § särskilt avser de ministerier som beslutar om identifiering av kritiska aktörer inom sitt eget ansvarsområde. Men ändå finns det till exempel i 13 § 2 mom. en hänvisning till även andra myndigheter än de ovannämnda ministerierna. Om avsikten är att i 28 § 2 mom. i fråga om 13 § endast hänvisa till de ministerier som beslutar om identifiering av kritiska aktörer, är det enligt utskottet nödvändigt att precisera hänvisningen i 28 § 2 mom. så att den gäller endast de myndigheter som avses i 13 § 1 mom. 

(14) De sakkunniga har också påpekat att för att propositionen ska överensstämma med artikel 8 i CER-direktivet, ska listan enligt 2 § 3 mom. i lagförslag 1 över de punkter i propositionen som inte ska tillämpas på aktörer inom den digitala infrastrukturen kompletteras med 7 § 4 mom. och 13 § 3 mom. Dessutom bör begränsningen som gäller 7 § 3 mom. i 2 § 3 mom. preciseras så att begränsningen av tillämpningsområdet endast gäller 7 § 3 mom. 3—5 punkten och inte 3 mom. i dess helhet. Utskottet instämmer i dessa ändringsbehov som lyfts fram. 

(15) Dessutom har de sakkunniga påpekat att det i 16 § 1 mom. i lagförslag 1 uttryckligen bör konstateras att processen för incidentanmälningar endast gäller betydande incidenter. Enligt uppgift avviker den finska språkversionen av direktivet klart från både den svenska och den engelska språkversionen till denna del. I artikel 15.1 i direktivet krävs det enligt både den engelska och den svenska språkversionen en betydande störning eller en potentiellt betydande störning, medan det på finska krävs endast en störning eller en potentiell störning. Utskottet instämmer i det som framfördes vid utfrågningen av sakkunniga och föreslår således att tröskeln för incidentanmälan preciseras i 16 § 1 mom. i lagförslag 1 så att den gäller endast betydande störningar. 

Propositionens samband med genomförandet av NIS 2-direktivet och grundlagsutskottets utlåtande när det gäller tillämpningsområdet i fråga om riksdagens ämbetsverk

(16) NIS 2-direktivet förutsätter att skyldigheterna enligt direktivet i fråga om riskhantering i samband med cybersäkerhet och rapportering av betydande incidenter också tillämpas på kritiska aktörer som identifieras med stöd av CER-direktivet. Dessutom innehåller CER-direktivet och NIS 2-direktivet bestämmelser om bland annat samarbete mellan de myndigheter som är behöriga enligt direktiven. 

(17) Det framförs i motiveringen till den nu aktuella propositionen att statsrådet bereder separat en proposition med förslag till sådana tekniska lagstiftningsändringar som behövs för att skyldigheterna enligt cybersäkerhetslagen (RP 57/2024 rd) ska kunna tillämpas på kritiska aktörer på det sätt som NIS 2- och CER-direktiven förutsätter. Enligt uppgift pågår beredningen av denna separata proposition för närvarande vid kommunikationsministeriet, och avsikten är att de ändringar i cybersäkerhetslagen som genomförandet av CER-direktivet medför ska föreläggas riksdagen så snart som möjligt genom en separat proposition under våren 2025. 

(18) Kommunikationsutskottet fäster samtidigt förvaltningsutskottets uppmärksamhet vid att grundlagsutskottet vid behandlingen av regeringens proposition RP 57/2024 rd i samband med genomförandet av NIS 2-direktivet förutsatte i sitt utlåtande GrUU 62/2024 rd att lagförslag 2 i propositionen måste ändras så att 4 a kap. i lagen om informationshantering inom den offentliga förvaltningen (906/2019) inte tillämpas på riksdagens ämbetsverk. Det var fråga om en så kallad konstitutionell anmärkning, dvs. det att ändringen görs var en förutsättning för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning. Därför strök kommunikationsutskottet i sitt betänkande ur lagförslaget i fråga definitionen av kritisk aktör, som hade samband med den aktuella propositionen om genomförande av CER-direktivet och gjorde också andra behövliga ändringar för att riksdagens ämbetsverk skulle undantas från tillämpningsområdet för regleringen på det sätt som det förutsätts i grundlagsutskottets utlåtande. 

(19) Utskottet noterar också att det i regeringspropositionerna om både NIS 2-direktivet och CER-direktivet (RP 57/2024 rd och RP 205/2024 rd) föreslås att samma lagrum i lagen om verkställighet av böter (672/2002) ändras. Kommunikationsutskottet gjorde i sitt betänkande KoUB 1/2025 rd om regeringens proposition RP 57/2024 rd korrigeringar i det ändringsförslag som gäller lagrummet i fråga. 

FÖRSLAG TILL BESLUT

Kommunikationsutskottet föreslår

att förvaltningsutskottet beaktar det som sägs ovan
Helsingfors 12.3.2025 

I den avgörande behandlingen deltog

ordförande 
Jouni Ovaska cent 
 
vice ordförande 
Timo Furuholm vänst 
 
medlem 
Pekka Aittakumpu saf 
 
medlem 
Heikki Autto saml 
 
medlem 
Seppo Eskelinen sd 
 
medlem 
Petri Huru saf 
 
medlem 
Aleksi Jäntti saml 
 
medlem 
Marko Kilpi saml 
 
medlem 
Sheikki Laakso saf 
 
medlem 
Mats Löfström sv 
 
medlem 
Anna-Kristiina Mikkonen sd 
 
medlem 
Jani Mäkelä saf 
 
medlem 
Martin Paasi saml 
 
medlem 
Pinja Perholehto sd. 
 

Sekreterare var

utskottsråd 
Juha Perttula.