1.1  Tausta

Tieto- ja viestintäteknologia sekä niihin liittyvät palvelut ovat keskeinen osa nykyaikaista yhteiskuntaa ja sen kriittistä infrastruktuuria. Kehittyneet tieto- ja viestintäteknologiset ratkaisut mahdollistavat uusia innovaatioita, toimintatapoja ja palveluita yhteiskunnassa. Samaan aikaan yhä useammat palvelut ja toiminnot ovat kasvavassa määrin riippuvaisia viestintäverkkojen ja tietojärjestelmien luotettavasta toiminnasta. Viestintäverkkojen ja tietojärjestelmien kyberturvallisuuteen voi kohdistua monenlaisia riskejä, jotka voivat aiheuttaa monenlaista häiriötä ja haittaa erilaisten syy-yhteyksien seurauksena. Kyberturvallisuuteen kohdistuvan riskin toteutuminen voi olla seurausta tahattomasta vahingosta tai tahallisesta oikeudettomasta teosta, jonka taustalla olevat motiivit vaihtelevat. Suomi on tietoyhteiskuntana riippuvainen viestintäverkkojen ja tietojärjestelmien toiminnasta ja näin ollen myös haavoittuvainen niihin kohdistuville häiriöille. Yhteiskunnan kokonaisturvallisuuden kannalta on tärkeää kasvattaa kyberturvallisuuden tasoa viestintäverkoissa ja tietojärjestelmissä. 

Kyberturvallisuuteen liittyvistä häiriöistä voi lisäksi aiheutua merkittäviä taloudellisia seurauksia, niin yhteiskunnalle kuin yksityisille kansalaisille, yrityksille ja muille yhteisöille. Yksittäisten kansalaisten ja yritysten kannalta erityisen merkityksellisiä ovat häiriöt, joiden seurauksena ulkopuolinen taho, kuten tietoverkkorikolliset, voisivat päästä käsiksi heidän luottamuksellisiin tietoihinsa, kuten henkilötietoihin, viestintään tai verkkopalveluiden salasanoihin. Palveluiden toiminnan kannalta erityisen haitallisia voivat olla häiriöt, joiden seurauksena palvelut tai niissä säilytetyt tiedot, eivät olisi käyttäjiensä käytettävissä. Häiriön aiheuttama taloudellinen vahinko voi johtua esimerkiksi omaisuuden vahingoittumisesta, yrityksen liiketoiminnan keskeytymisestä tai kuluista, jotka syntyvät vahingoilta suojautumisesta. Yhteiskunnan toiminnan kannalta on tärkeää huolehtia kyberturvallisuudesta sellaisissa tietojärjestelmissä ja viestintäverkoissa, joiden avulla tuotetaan palveluita ja harjoitetaan toimintaa, joka on osa yhteiskunnan kriittistä infrastruktuuria.  

Tämän esityksen keskeinen tavoite on vahvistaa ja kehittää kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisillä toimialoilla. Esityksen valmisteluun on johtanut Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi), jäljempänä NIS 2 -direktiivi . Tähän esitykseen sisältyvät NIS2-direktiivin kansallisen toimeenpanon edellyttämät lainsäädäntömuutokset on valmisteltu liikenne- ja viestintäministeriön asettamassa poikkihallinnollisessa valmisteluhankkeessa.  

NIS 2 -direktiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin, eli Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (jäljempänä NIS1-direktiivi ). NIS1-direktiivin uudelleentarkastelussa on tullut esiin jäljempänä kuvattuja seikkoja, joiden vuoksi direktiivi on päädytty korvaamaan uudella NIS2-direktiivillä. NIS1-direktiivi saatettiin pääosin voimaan kansallisesti 9. toukokuuta 2018 voimaan tulleilla lain muutoksilla (HE 192/2017 vp, LiVM 6/2018 vp ja EV 25/2018 vp). Lisäksi velvoitteiden soveltamisalaa on laajennettu kansallisesti 1.1.2019 voimaan tulleilla muutoksilla (HE 34/2018 vp, PeVL 16/2018 vp, LiVM 14/2018 vp ja EV 68/2018 vp).  

NIS 2 -direktiivi on julkaistu 14.12.2022 ja tullut voimaan 16.1.2023. NIS 2 –direktiivin säännökset on saatettava osaksi kansallista lainsäädäntöä 17.10.2024 mennessä ja sen soveltamisalaan kuuluviin toimijoihin kohdistuvia velvoitteita on sovellettava kansallisesti viimeistään 18.10.2024 alkaen.  

Esitys toteuttaa myös pääministeri Petteri Orpon hallitusohjelman kirjauksia kyberturvallisuuden ja sitä koskevan yhteistyön vahvistamisesta viranomaisten ja elinkeinoelämän välillä. Hallitusohjelman mukaan hallitus parantaa tietoturvaa kriittisillä toimialoilla sekä toteuttaa kyberturvallisuuden kehittämisohjelman (6.4). Hallitus uudistaa kansallisen kyberturvallisuusstrategian vastaamaan muuttunutta toimintaympäristöä (8.5). Lisäksi kyberturvallisuutta vahvistetaan tiiviissä yhteistyössä yritysten, elinkeinoelämän ja kolmannen sektorin kanssa huomioiden, että iso osa kriittisestä infrastruktuurista on yksityisessä omistuksessa (8.5). Kuntien toiminnan ja tehtävien mitoitusta ja toteutustapojen yksityiskohtaista sääntelyä karsitaan (3.1). Lisäksi EU-lainsäädännön toimeenpanon yhteydessä vältetään kansallista lisäsääntelyä (6.1).  

Esitys toteuttaa osaltaan myös tietoturvan ja tietosuojan parantamiseksi yhteiskunnan kriittisillä toimialoilla annetun valtioneuvoston periaatepäätöksen tavoitteita ja toimenpiteitä. Periaatepäätös on annettu 10.6.2021 ja vahvistettu linjauksineen voimassa olevaksi 21.3.2024. Periaatepäätöksen linjausten mukaisesti lainsäädännössä on oltava riittävät tietoturvaa koskevat vaatimukset ja –velvoitteet, toimijoilla riittävä tietämys ja osaaminen velvoitteiden noudattamisessa, sekä viranomaisilla riittävät toimivaltuudet ja resurssit valvoa tietoturvan ja tietosuojan toteutumista ja tehdä toimialarajat ylittävää yhteistyötä. Periaatepäätöksen tavoitteena on tietoturvan ja tietosuojan tason kehittäminen kaikilla yhteiskunnan kriittisillä sektoreilla. 

1.2  Valmistelu

2.1  Tavoitteet

NIS2-direktiivin tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisten ja tärkeiden toimialojen ja toimijatyyppien osalta. Jäsenvaltiot velvoitetaan asettamaan direktiivin soveltamisalaan kuuluville toimijoille velvoite riskienhallintatoimiin kyberturvallisuushäiriöiden varalta sekä järjestämään kyberturvallisuushäiriöiden hallintaan liittyviä viranomaistoimintoja kansallisella tasolla. Lisäksi direktiivissä säädetään kansainvälisestä ja unionin tason yhteistyöstä, jonka tavoitteena on kyberturvallisuuden korkean tason ylläpitäminen.  

NIS2-direktiivillä pyritään poistamaan jäsenvaltioiden välillä havaittuja eroja NIS1-direktiivin velvoitteiden täytäntöönpanossa erityisesti vahvistamalla vähimmäissäännöt koordinoidun sääntelykehyksen toiminnalle, vahvistamalla järjestelyt kunkin jäsenvaltion vastuuviranomaisten toimivaa yhteistyötä varten, ajantasaistamalla luettelo aloista ja toiminnoista, joihin sovelletaan kyberturvallisuusvelvoitteita, ja säätämällä tehokkaista oikeussuojakeinoista ja täytäntöönpanotoimenpiteistä, jotka ovat olennaisen tärkeitä direktiivin velvoitteiden tehokkaan täytäntöönpanon kannalta.  

NIS2-direktiivissä säädetään toimenpiteistä, joilla pyritään saavuttamaan kyberturvallisuuden yhteinen korkea taso Euroopan unionin jäsenvaltioissa. Direktiivissä säädetään jäsenvaltion velvollisuudesta hyväksyä kansallinen kyberturvallisuusstrategia, asettaa toimivaltaiset viranomaiset, kyberkriisinhallintaviranomaiset, kyberturvallisuusalan keskitetyt yhteyspisteet ja tietoturvaloukkauksiin reagoivat ja niitä tutkivat tahot (Computer security incident response teams, jäljempänä CSIRT-yksikkö ). Lisäksi direktiivissä säädetään kyberturvallisuustietojen jakamista koskevista säännöistä ja velvoitteista.  

NIS1-direktiivin uudelleentarkastelussa todettiin sen vauhdittaneen institutionaalista ja sääntelyyn perustuvaa lähestymistapaa kyberturvallisuuden varmistamiseksi EU:ssa. NIS1-direktiivin uudelleentarkastelussa tuli kuitenkin esiin siihen liittyviä puutteita suhteessa nykyisiin kyberturvallisuushaasteisiin. Uudelleentarkastelussa havaittiin muun ohella merkittäviä eroja jäsenvaltioiden välillä NIS1-direktiivin täytäntöönpanossa ja sen soveltamisalaan kuuluvien toimijoiden määrittämisessä. Lisäksi NIS1-direktiiviin liittyvä erottelu palvelujen tarjoajien välillä on osoittautunut vanhanaikaiseksi. Direktiivin tavoitteiden saavuttamiseksi sen soveltamisalan tulisi olla laajempi. NIS2-direktiivin tavoitteena on vastata muuttuneeseen kyberturvallisuusympäristöön ja NIS1-direktiivin uudelleenarvioinnissa havaittuihin haasteisiin. 

NIS2-direktiivin täytäntöönpano edellyttää sen soveltamisalaan kuuluville toimijoille kohdistuvista riskienhallinta- ja raportointivelvoitteista säätämistä. Lisäksi täytäntöönpano edellyttää direktiivissä tarkoitetuista viranomaistehtävistä ja em. velvoitteiden valvonnasta säätämistä. Direktiivin verkkotunnusten rekisteröintitietoja koskevan 28 artiklan täytäntöönpano edellyttäisi sähköisen viestinnän palveluista annetun lain muuttamista. 

2.2  Soveltamisala

NIS2-direktiivin yleinen soveltamisala määritellään sen 2 artiklassa. NIS2-direktiivin raportointi- ja riskienhallintavelvoitteet kohdistuvat sen 3 artiklassa määriteltäviin keskeisiin ja tärkeisiin toimijoihin.  

NIS2-direktiivin 2 artiklan nojalla direktiiviä sovelletaan sen liitteissä I ja II tarkoitettua toimijatyyppiä oleviin julkisiin ja yksityisiin toimijoihin, jotka tarjoavat palvelujaan tai harjoittavat toimintaansa Euroopan unionissa. Lisäksi edellytyksenä on, että toimija täyttää komission suosituksessa 2003/361/EY olevat keskisuuria yrityksiä koskevat edellytykset tai ylittää keskisuurten yritysten määrittelyssä käytettävät kynnysarvot. Liitteissä I on listattu tarkemmin direktiivin soveltamisalaan kuuluvat toimijatyypit, jotka harjoittavat toimintaa seuraavilla toimialoilla: energia, liikenne, pankkitoiminta, finanssimarkkinoiden infrastruktuurit, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, TVT-palvelujen hallinta, julkishallinto ja avaruus. Liitteessä II on listattu tarkemmin direktiivin soveltamisalaan kuuluvat toimijatyypit, jotka harjoittavat toimintaa seuraavilla toimialoilla: posti- ja kuriiripalvelut, jätehuolto, kemikaalien valmistus, tuotanto ja jakelu, elintarvikkeiden teollinen tuotanto, jalostus ja tukkukauppa, valmistus, digitaalisen palvelun tarjoajat sekä tutkimustoiminta. 

Komission suosituksen 2003/361/EY liitteen 2 artiklan nojalla keskisuuria yrityksiä, eli muita kuin mikro- ja pienyrityksiä, ovat yritykset, joiden palveluksessa on vähintään 50 työntekijää tai jonka vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa. Keskisuuren yrityksen määrittelyssä käytettävät kynnysarvot ylittävä yritys on yritys, jonka palveluksessa on vähintään 250 työntekijää tai jonka vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa. Komission suosituksen liitteen 3 artiklan 4 kohtaa julkisyhteisön hallinnasta toimijan pääomaan tai äänimäärään ei sovellettaisi arvioitaessa toimijan kuulumista NIS2-direktiivin soveltamisalaan.  

Pien- ja mikroyritykset jäävät lähtökohtaisesti direktiivin soveltamisalan ulkopuolelle, ellei niitä koske poikkeus NIS2-direktiivin soveltamisalaan kuulumisesta koosta riippumatta. Koosta riippumatta NIS2-direktiivin soveltamisalaan kuuluvat direktiivin liitteissä I ja II tarkoitettua toimijatyyppiä olevat toimijat, kun palvelujen tarjoajat ovat: 

yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajia; 

luottamuspalvelun tarjoajia; tai 

aluetunnusrekisterejä ja DNS-palveluntarjoajia. 

Lisäksi koosta riippumatta NIS2-direktiivin soveltamisalaan kuuluvat Kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 (jäljempänä CER-direktiivi ) nojalla kriittisiksi toimijoiksi määritellyt toimijat sekä verkkotunnusten rekisteröintipalveluja tarjoavat toimijat. CER-direktiivi koskee yhteiskunnan toiminnan kannalta kriittisten toimijoiden häiriönsietokykyä. CER-direktiivillä asetetaan muita kuin kyberturvallisuutta koskevia riskienhallintavelvoitteita ja poikkeamaraportointivelvoitteita direktiivin mukaisesti kriittiseksi tunnistetuille toimijoille. Kyberturvallisuutta koskevan riskienhallinnan ja poikkeamaraportoinnin osalta näihin toimijoihin olisi sovellettava NIS2-direktiivin mukaisia velvoitteita. CER-direktiivin mukaiset kriittiset toimijat olisi määritettävä ensimmäisen kerran vuonna 2026.  

Koosta riippumatta NIS2-direktiivin soveltamisalaan kuuluvat lisäksi liitteissä I ja II tarkoitettuja toimijatyyppiä olevat toimijat, kun: 

toimija tarjoaa ainoana jäsenvaltiossa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen; 

häiriö toimijan tarjoamassa palvelussa voisi vaikuttaa merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen; 

häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajatylittäviä vaikutuksia; 

toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta. 

NIS2-direktiivi velvoittaa julkishallinnon toimialalla lähtökohtaisesti keskus- ja aluehallinnon julkishallinnon toimijoita koosta riippumatta. Aluetason julkishallinnon toimijan osalta lisäedellytyksenä kuulumiselle NIS2-direktiivin vähimmäissoveltamisalan piiriin on, että toimija riskiperusteisen arvioinnin perusteella tarjoaa palveluja, joiden häiriintymisellä voisi olla merkittävä vaikutus yhteiskunnan tai talouden kriittisiin toimintoihin. Direktiivi ei kuitenkaan koske julkishallinnon toimijoita, jotka harjoittavat toimintaa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet. Direktiivi ei myöskään koske oikeuslaitosta, parlamentteja eikä keskuspankkeja. Paikallistason julkishallinnon toimijoiden sekä opetus- ja koulutusalan laitoksien saattaminen direktiivin edellyttämän sääntelyn soveltamisalaan on kansallisen liikkumavaran alassa.  

Lisäksi jäsenvaltioilla on kansallista liikkumavaraa vapauttaa riskienhallinta- ja raportointivelvoitteista toimijat, jotka harjoittavat toimintaa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet, tai jotka tarjoavat palveluja yksinomaan julkishallinnon toimijoille, jotka harjoittavat toimintaa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet. Vapautus koskisi mainittuja toimintoja tai palveluita. Jos erityisen toimijan harjoittama toiminta tai tarjoamat palvelut ovat yksinomaan edellä mainittuja, kansallinen liikkumavara kattaisi vapauttamisen myös jaksossa 2.4 tarkoitetuista rekisteröitymisvelvoitteista. Poikkeuksena tähän, sekä erityiseen toimijaan että julkishallinnon toimijaan on sovellettava direktiivin sääntelyä, jos toimija toimii luottamuspalvelun tarjoajana. Direktiivin johdanto-osan perustelukappaleen 8 mukaisesti kansainvälisen sopimuksen mukaisesti kolmannen maan kanssa perustetut julkishallinnon toimijat eivät kuulu direktiivin soveltamisalaan eikä direktiiviä olisi sovellettava kolmansissa maissa sijaitseviin diplomaattisiin edustustoihin ja konsuliedustustoihin siltä osin kun verkko- ja tietojärjestelmät sijaitsevat edustuston tiloissa tai niitä ylläpidetään kolmannessa maassa olevia käyttäjiä varten. 

NIS2-direktiiviä ei sovellettaisi toimijoihin, jotka jäsenvaltiot ovat jättäneet asetuksen (EU) 2022/2554 (Euroopan parlamentin ja neuvoston asetus finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta, jäljempänä DORA-asetus ) soveltamisalan ulkopuolelle mainitun asetuksen 2 artiklan 4 kohdan mukaisesti. NIS 2 –direktiivin soveltamista DORA-asetuksen soveltamisalaan kuuluviin toimijoihin käsitellään jäljempänä Nykytila-osiossa.  

2.3  Keskeiset ja tärkeät toimijat

NIS2-direktiivi asettaa velvoitteita keskeisille ja tärkeille toimijoille, jotka määritellään 3 artiklassa. Keskeisten ja tärkeiden toimijoiden erottelun osalta merkityksellistä on direktiivin niihin kohdistamat valvontatoimivaltuudet. Keskeisten toimijoiden osalta valvonnan tulee kattaa etukäteis- ja jälkikäteisvalvonta, mutta tärkeiden toimijoiden osalta pelkkä jälkikäteisvalvonta on direktiivin nojalla riittävä. 

Keskeisiä toimijoita ovat 3 artiklan 1 kohdan a-g alakohdassa tarkoitetut toimijat. Keskeisiä toimijoita ovat a-alakohdan direktiivin liitteessä I tarkoitetut toimijat jotka ylittävät keskisuuren yrityksen (suositus 2003/361/EY liitteessä olevan 2 artiklan 1 kohta) määrittelyssä käytetyt kynnysarvot. Keskisuuren yrityksen määrittelyssä käytettävät kynnysarvot ylittävä yritys on yritys, jonka palveluksessa on vähintään 250 työntekijää tai jonka vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa. Lisäksi keskeisiä toimijoita ovat b-alakohdan nojalla hyväksytyt luottamuspalvelun tarjoajat ja aluetunnusrekisterit sekä DNS-palveluntarjoajat niiden koosta riippumatta. Keskeisiä toimijoita ovat c-alakohdan nojalla yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat, jotka täyttävät suosituksen 2003/361/EY liitteessä olevan 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset, eli ovat muita kuin mikro- tai pienyrityksiä. Lisäksi keskeisiä toimijoita ovat 3 artiklan 1 kohdan d-alakohdan nojalla keskustason julkishallinnon toimijat ja f-alakohdan nojalla CER-direktiivin nojalla kriittiseksi määritetyt toimijat. 

Keskeisen toimijan määritelmän osalta 3 artiklan 1 kohdan e ja g alakohtiin liittyy kansallista liikkumavaraa. E-alakohdan nojalla keskeisiä toimijoita ovat myös sellaiset toimijat, jotka jäsenvaltio on määrittänyt keskeiseksi 2 artiklan 2 kohdan b-e alakohdan nojalla. G-alakohdan nojalla jäsenvaltio voi säätää NIS1-direktiivin nojalla määritettyjä keskeisten palvelujen tarjoajia keskeisiksi toimijoiksi.  

Tärkeinä toimijoina pidetään 3 artiklan 2 kohdan nojalla niitä toimijoita, jotka eivät täytä keskeisen toimijan määritelmää, mutta kuuluvat direktiivin soveltamisalaan ja ovat liitteissä I tai II tarkoitettua toimijatyyppiä. Tärkeitä toimijoita ovat myös sellaiset toimijat, jotka jäsenvaltiot ovat määrittäneet soveltamisalaan 2 artiklan 2 kohdan b-e alakohdan nojalla tärkeinä toimijoina. Näin ollen kaikki riskienhallinta- ja raportointivelvoitteiden soveltamisalaan kuuluvat toimijat ovat joko keskeisiä tai tärkeitä toimijoita.  

2.4  Toimijaluettelo ja toimijoiden rekisteri

NIS2-direktiivin 3 artiklan 3 kohta velvoittaa jäsenvaltiot laatimaan luettelon keskeisistä ja tärkeistä toimijoista sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista. Luettelo on laadittava 17.4.2025 mennessä. Luettelon laatimiseksi jäsenvaltion on vaadittava, että keskeisten ja tärkeiden toimijoiden sekä verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden on toimitettava toimivaltaisille viranomaisille 3 artiklan 4 kohdassa tarkoitetut tiedot sekä ilmoitettava muutoksista tietoihin viipymättä ja enintään kahden viikon kuluessa muutospäivästä. Jäsenvaltio voi perustaa järjestelyitä, joiden avulla toimija voi itse kirjautua luetteloon. Jäsenvaltion on tarkasteltava luetteloa uudelleen säännöllisesti ja vähintään kahden vuoden välein ja saatettava se tarvittaessa ajan tasalle. Toimivaltaisten viranomaisten on viimeistään 17.4.2025 ja sen jälkeen kahden vuoden välein ilmoitettava komissiolle ja NIS-yhteistyöryhmälle luetteloon kirjattujen keskeisten ja tärkeiden toimijoiden lukumäärä kullakin direktiivin liitteissä tarkoitetulla toimialalla ja toimialan osalla. Lisäksi komissiolle on ilmoitettava 5 kohdan b alakohdassa tarkoitetut tiedot 2 artiklan 2 kohdan b-e alakohdan nojalla soveltamisalaan saatetuista toimijoista. 

Lisäksi NIS2-direktiivin 27 artiklassa säädetään Euroopan unionin kyberturvallisuusvirasto ENISA:n perustamasta DNS-palveluntarjoajien, aluetunnusrekisterien, verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden, pilvipalvelujen tarjoajien, datakeskuspalvelujen tarjoajien, sisällönjakeluverkkojen tarjoajien, hallintapalvelun tarjoajien, tietoturvapalveluntarjoajien sekä verkossa toimivien markkinapaikkojen tarjoajien, verkossa toimivien hakukoneiden tarjoajien ja verkkoyhteisöalustojen tarjoajien rekisteristä. ENISA tarjoaa pyynnöstä toimivaltaisille viranomaisille pääsyn rekisteriin ja varmistaa tarvittaessa tietojen luottamuksellisuuden suojaamisen. Tätä rekisteriä varten jäsenvaltioiden on edellytettävä, että nämä toimijat ilmoittavat 17.1.2025 mennessä toimivaltaisille viranomaisille NIS2-direktiivin 27 artiklan 2 kohdassa tarkoitetut tiedot sekä ilmoittavat muutoksista tietoihin viipymättä ja enintään kolmen kuukauden kuluessa muutospäivästä. Kansallisen keskitetyn yhteyspisteen tulee toimittaa ENISA:lle nämä tiedot ilman aiheetonta viivytystä, lukuun ottamatta tietoa toimijan IP-osoitealueista. 

2.5  Riskienhallintavelvoitteet

NIS2-direktiivin riskienhallintavelvoitteet ovat vähimmäistason velvoitteita ja ne on pyritty muotoilemaan mahdollisimman teknologianeutraalisti, jotta ne kestäisivät aikaa ja soveltuisivat laajalle joukolle erilaisia toimijoita. Toimijat voisivat halutessaan ottaa käyttöön pidemmälle meneviä riskienhallintatoimia ja kansallisesti olisi jatkossankin mahdollista säätää tiukemmista riskienhallintavelvoitteista. Riskienhallintavelvoitteista on säädetty direktiivin 20 ja 21 artikloissa. 

Artikla 20 edellyttää, että keskeisten ja tärkeiden toimijoiden hallintoelimet hyväksyvät näiden toimijoiden 21 artiklan noudattamiseksi toteuttamat kyberturvallisuusriskien hallintatoimenpiteet ja valvovat näiden täytäntöönpanoa. Hallintoelimet tulee voida saattaa vastuuseen, mikäli toimijat rikkovat 21 artiklaa. Hallintoelinten jäsenillä on velvollisuus osallistua koulutukseen ja jäsenmaiden tulisi kannustaa heitä tarjoamaan koulutusta myös työntekijöilleen. 

Direktiivin 21 artiklan nojalla jäsenvaltion on varmistettava, että keskeiset ja tärkeät toimijat toteuttavat asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä, joita niiden toiminnoissaan tai palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen kohdistuu, ja estääkseen tai minimoidakseen poikkeamien vaikutuksen palvelujensa vastaanottajiin ja muihin palveluihin. Riskienhallintatoimenpiteillä on varmistettava, että verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa riskeihin. 

Direktiivin 21 artiklassa määritellään osa-alueet, joita keskeisen ja tärkeän toimijan on otettava riskienhallinnassa ja riskienhallintatoimenpiteissä huomioon. Näitä osa-alueita ovat:  

a) riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;  

b) poikkeamien käsittely;  

c) toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;  

d) toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;  

e) verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;  

f) toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;  

g) perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;  

h) toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;  

i) henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;  

j) tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa. 

Direktiivin mukaan toimijan tulee toteuttaa riskienhallintatoimenpiteet viivytyksettä ja siten, että turvallisuuden taso on oikeassa suhteessa riskeihin. Arvioinnissa on huomioitava toimijan altistuminen riskeille, toimijan koko, poikkeamien esiintymisen todennäköisyys ja vakavuus, mukaan lukien niiden yhteiskunnalliset ja taloudelliset vaikutukset. Jäsenvaltioiden on varmistettava, että toteuttaessaan riskienhallintatoimenpiteensä, toimijat huomioivat ne haavoittuvuudet, jotka ovat ominaisia toimijan harjoittamalle toiminnalle. 

NIS2-direktiivin 22 artiklan nojalla voidaan tehdä Euroopan unionin tason koordinoituja turvallisuusriskinarviointeja tietyistä kriittisistä TVT-palvelujen, TVT-järjestelmien tai TVT-tuotteiden toimitusketjuista ottaen huomioon tekniset ja tarvittaessa muut kuin tekniset riskitekijät. Jäsenvaltioiden on varmistettava, että näiden riskiarviointien tulokset otetaan huomioon toimitusketjun turvallisuutta koskevassa riskinhallinnassa NIS2-direktiivin 21 artiklan 3 kohdan nojalla.  

NIS2-direktiivin 21 artiklan 5 kohdan nojalla komissio hyväksyy viimeistään 17 päivänä lokakuuta 2024 täytäntöönpanosäädöksiä, joilla vahvistetaan 21 artiklan 2 kohdan riskienhallinnassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset, jotka koskevat DNS-palveluntarjoajia, aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia, verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia, verkkoyhteisöalustojen tarjoajia ja luottamuspalvelun tarjoajia. 

NIS2-direktiivin 21 artiklan 5 kohdan nojalla komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan 21 artiklan 2 kohdan riskienhallinnassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset sekä tarvittaessa alakohtaiset vaatimukset, jotka koskevat myös muita kuin edellä tarkoitettuja toimijoita. 

NIS2-direktiivin 24 artiklan 1 momentin nojalla jäsenvaltio voi vaatia riskienhallintavelvoitteen vaatimusten noudattamisen osoittamiseksi, että keskeiset ja tärkeät toimijat käyttävät TVT-tuotteita, TVT-palveluja ja TVT-prosesseja, jotka on sertifioitu EU:n kyberturvallisuusasetuksen (EU) 2019/881 Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) 49 artiklan nojalla hyväksyttyjen eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien mukaisesti. Lisäksi jäsenvaltioiden on kannustettava keskeisiä ja tärkeitä toimijoita käyttämään hyväksyttyjä luottamuspalveluja. Keskeisten ja tärkeiden toimijoiden vaatiminen riskienhallintavelvoitteen noudattamisen osoittamista siten, että ne käyttävät EU:n kyberturvallisuusasetuksen mukaisesti sertifioitua TVT-tuotetta, TVT-palvelua tai TVT-prosessia, on lähtökohtaisesti kokonaan kansallisen liikkumavaran alassa.  

NIS2-direktiivin 24 artiklan 2 momentin nojalla komissiolla on valta antaa delegoituja säädöksiä, joilla täydennetään NIS2-direktiiviä täsmentämällä, mitä keskeisten ja tärkeiden toimijoiden luokkia on vaadittava käyttämään tiettyjä sertifioituja TVT-tuotteita, TVT-palveluja ja TVT-prosesseja tai hankkimaan sertifiointi asetuksen (EU) 2019/881 49 artiklan nojalla hyväksytyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisesti. Siltä osin, jos tällaisia delegoituja säädöksiä annetaan, ei asian osalta ole kansallista liikkumavaraa.  

NIS2-direktiivin 25 artiklan nojalla jäsenvaltioiden on riskienhallintavelvoitteen yhdenmukaisen täytäntöönpanon edistämiseksi kannustettava käyttämään verkko- ja tietojärjestelmien turvallisuuden kannalta merkityksellisiä eurooppalaisia ja kansainvälisiä standardeja ja teknisiä eritelmiä ilman, että ne määräävät käyttämään jotain tiettyä teknologiaa tai harjoittavat syrjintää jonkin tietyn teknologian käytön suosimiseksi. 

2.6  Raportointivelvoitteet

Toimijoihin kohdistuvista raportointivelvoitteista säädetään NIS2-direktiivin 23 artiklassa ja vapaaehtoisesta ilmoittamisesta 30 artiklassa.  

NIS2-direktiivin 23 artiklan 1 kohdan nojalla keskeisten ja tärkeiden toimijoiden tulee raportoida merkittävästä poikkeamasta CSIRT-yksikölle tai toimivaltaiselle valvovalle viranomaiselle. Jos raportti tehdään toimivaltaiselle viranomaiselle, jäsenvaltion on varmistettava, että kyseinen toimivaltainen viranomainen heti ilmoituksen saatuaan toimittaa sen eteenpäin CSIRT-yksikölle. 

Merkittävällä poikkeamalla tarkoitetaan NIS2-direktiivin 23 artiklan 1 kohdan mukaisesti poikkeamaa, jolla on merkittävä vaikutus palvelujen tarjoamiseen NIS2-direktiivin 23 artiklan 3 kohdan mukaisesti. NIS2-direktiivin 23 artiklan 3 kohdan nojalla poikkeama katsotaan merkittäväksi, jos 

se on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai asianomaiselle toimijalle taloudellisia tappioita; tai 

jos poikkeama on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.  

Raportointivelvoite merkittävästä poikkeamasta on kolmiportainen (NIS2-artiklan 23 artiklan 4 kohta). Ennakkovaroitus tulee toimittaa ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa merkittävän poikkeaman havaitsemisesta. Ilmoitukseen tulee tapauksen mukaan sisällyttää tieto siitä, epäilläänkö poikkeaman johtuvan lainvastaisista tai vihamielisistä teoista tai voiko sillä olla rajat ylittäviä vaikutuksia. Kun poikkeamalla on rajat ylittäviä vaikutuksia, siitä on tiedotettava niille muille jäsenvaltioille, joihin poikkeama vaikuttaa sekä ENISA:lle. 

Poikkeamailmoitus tulee toimittaa ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa merkittävän poikkeaman havaitsemisesta. Ilmoitukseen tulee tapauksen mukaan päivittää ennakkovaroituksen tiedot ja esittää ensimmäinen arvio merkittävästä poikkeamasta, sen vakavuudesta ja vaikutuksista sekä vaarantumisindikaattorit, jos sellaisia on saatavilla. Poikkeuksena tälle luottamuspalvelun tarjoajan tulisi ilmoittaa luottamuspalvelun tarjontaan vaikuttavasta merkittävästä poikkeamasta 24 tunnin kuluessa.  

Loppuraportti laaditaan viimeistään kuukauden kuluttua poikkeamailmoituksen toimittamisesta ja sen tulee sisältää yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista sekä tiedot poikkeaman todennäköisesti aiheuttaneen uhan tai juurisyyn tyypistä, toimenpiteistä, jotka on tehty tai joita suunnitellaan vaikutusten lieventämiseksi sekä tapauksen mukaan poikkeaman rajat ylittävistä vaikutuksista. Jos poikkeama on käynnissä edelleen loppuraportin määräajan umpeutuessa, toimijan tulee toimittaa edistymisraportti. Lopullinen raportti on toimitettava kuukauden kuluttua poikkeaman käsittelyn päättymisestä. 

Väliraportti tai tilannepäivitys asian käsittelyn edistymisestä on toimitettava CSIRT-yksikön tai toimivaltaisen viranomaisen pyynnöstä. Jos poikkeama on edelleen meneillään silloin, kun loppuraportti pitäisi toimittaa, jäsenvaltioiden on varmistettava, että asianomaiset toimijat toimittavat tuolloin edistymisraportin ja lopullisen raportin kuukauden kuluessa siitä, kun ne ovat käsitelleet poikkeaman. 

CSIRT-yksikön tai toimivaltaisen viranomaisen on ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 tunnin kuluessa ennakkovaroituksen vastaanottamisesta annettava vastaus ilmoituksen tehneelle toimijalle. Vastaukseen sisältyy alustava palaute merkittävästä poikkeamasta ja siihen voidaan toimijan pyynnöstä sisällyttää ohjeita tai operatiivisia neuvoja mahdollisten vaikutuksia lieventävien toimenpiteiden täytäntöönpanoa varten. Jos CSIRT-yksikkö ei ole ilmoituksen alkuperäinen vastaanottaja, toimivaltaisen viranomaisen on annettava ohjeet yhteistyössä CSIRT-yksikön kanssa. CSIRT-yksikkö antaa täydentävää teknistä tukea, jos asianomainen toimija sitä pyytää. Jos merkittävää poikkeamaa epäillään rikokseksi, CSIRT-yksikön tai toimivaltaisen viranomaisen on myös annettava ohjeita merkittävän poikkeaman ilmoittamisesta lainvalvontaviranomaisille. 

Direktiivin 30 artiklassa säädetään vapaaehtoisesta ilmoittamisesta CSIRT-yksikölle tai valvovalle viranomaiselle. Vapaaehtoinen ilmoittaminen tarkoittaa muita ilmoituksia kuin niitä ilmoituksia merkittävistä poikkeamista, joiden tekemiseen soveltamisalaan kuuluvalla toimijalla on velvoite. Valvovan viranomaisen on 30 artiklan nojalla otettava toimialallaan vastaan ilmoituksia poikkeamista, kyberuhkista ja läheltä piti –tilanteista sekä NIS2-direktiivin soveltamisalaan kuuluvilta toimijoilta, että muiltakin toimijoilta. Vapaaehtoiset poikkeamailmoitukset on käsiteltävä samalla tavalla kuin velvoitteeseen perustuvat ilmoitukset, ja valvovalla viranomaisella on oikeus priorisoida velvoittavien ilmoitusten käsittelyä tarvittaessa. Suomessa NIS1-direktiivin valvoviksi viranomaisiksi määrätyt viranomaiset sekä Liikenne- ja viestintäviraston Kyberturvallisuuskeskus ovat ottaneet vastaan myös muita kuin NIS1-direktiivin mukaiseen velvoitteeseen perustuvia ilmoituksia, vaikka vapaaehtoisesta ilmoittamisesta ei ole erikseen säädetty. 

Viranomaiselle ilmoittamisen lisäksi keskeisen tai tärkeän toimijan on tarvittaessa ilmoitettava ilman aiheetonta viivytystä palvelujensa vastaanottajille merkittävistä poikkeamista, jotka todennäköisesti vaikuttavat haitallisesti kyseisten palvelujen tarjoamiseen (NIS2-direktiivin 23 artiklan 1 kohta). NIS2-direktiivin 23 artiklan 2 kohdan nojalla jäsenvaltion on tapauksen mukaan varmistettava, että keskeiset ja tärkeät toimijat tiedottavat ilman aiheetonta viivytystä niille palvelujensa vastaanottajille, joihin merkittävä kyberuhka saattaa vaikuttaa, kaikista toimenpiteistä tai korjaavista toimista, joita kyseiset palvelun vastaanottajat voivat uhkan hallitsemiseksi toteuttaa. Toimijoiden on tarvittaessa myös tiedotettava kyseisille palvelun vastaanottajille merkittävästä kyberuhkasta itsestään. NIS2-direktiivin 23 artiklan 7 kohdan nojalla silloin, jos yleinen tietoisuus on tarpeen merkittävän poikkeaman estämiseksi tai meneillään olevan merkittävän poikkeaman käsittelemiseksi tai jos merkittävän poikkeaman julkistaminen on muutoin yleisen edun mukaista, jäsenvaltion CSIRT-yksikkö tai tapauksen mukaan sen toimivaltainen viranomainen sekä tarvittaessa muiden asianomaisten jäsenvaltioiden CSIRT-yksiköt tai toimivaltaiset viranomaiset voivat asianomaista toimijaa kuultuaan tiedottaa merkittävästä poikkeamasta yleisölle tai vaatia toimijaa itseään tekemään niin. 

NIS2-direktiivin 23 artiklan 6 kohdan nojalla CSIRT-yksikön, toimivaltaisen viranomaisen tai keskitetyn yhteyspisteen on tarvittaessa ja erityisesti silloin, kun merkittävä poikkeama koskee vähintään kahta jäsenvaltiota, tiedotettava merkittävästä poikkeamasta ilman aiheetonta viivytystä niille muille jäsenvaltioille, joihin poikkeama vaikuttaa, ja ENISA:lle. Tällöin annettaviin tietoihin on sisällyttävä sen tyyppisiä tietoja kuin on vastaanotettu 4 kohdan mukaisesti. Näin tehdessään CSIRT-yksikön, toimivaltaisen viranomaisen tai keskitetyn yhteyspisteen on unionin oikeuden tai kansallisen lainsäädännön mukaisesti säilytettävä toimijan turvallisuusedut ja kaupalliset edut sekä annettujen tietojen luottamuksellisuus. 

Keskitetyn yhteyspisteen on CSIRT-yksikön tai toimivaltaisen viranomaisen pyynnöstä toimitettava ilmoitukset eteenpäin niiden muiden jäsenvaltioiden keskitetyille yhteyspisteille, joihin poikkeama vaikuttaa (23 artiklan 8 kohta). Lisäksi keskitetyn yhteyspisteen on toimitettava ENISA:lle kolmen kuukauden välein yhteenvetoraportti, joka sisältää anonymisoidut koontitiedot merkittävistä poikkeamista, poikkeamista, kyberuhkista ja läheltä piti -tilanteista, joista on ilmoitettu. 

NIS2-direktiivin 23 artiklan 10 kohdan nojalla CSIRT-yksiköiden tai tapauksen mukaan toimivaltaisten viranomaisten on toimitettava CER-direktiivin mukaisille toimivaltaisille viranomaisille tietoa merkittävistä poikkeamista, poikkeamista, kyberuhkista ja läheltä piti -tilanteista, joista CER-direktiivin kriittisiksi toimijoiksi määritetyt toimijat ovat ilmoittaneet. 

NIS2-direktiivin 23 artiklan 11 kohdan nojalla komissio voi hyväksyä täytäntöönpanosäädöksiä, joissa täsmennetään pakollista tai vapaaehtoista ilmoitusta sekä palvelujen vastaanottajiin kohdistuvaa tiedottamista koskeva tietosisältö, muoto ja ilmoitusmenettely. 

NIS2-direktiivin 23 artiklan 11 kohdan nojalla komissio hyväksyy viimeistään 17.10.2024 DNS-palveluntarjoajia, aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia sekä verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia ja verkkoyhteisöalustojen tarjoajia koskevia täytäntöönpanosäädöksiä, joissa täsmennetään tapaukset, joissa poikkeama katsotaan merkittäväksi 3 kohdan mukaisesti.  

NIS2-direktiivin 23 artiklan 11 kohdan nojalla komissio voi hyväksyä myös muita kuin edellä tarkoitettuja toimijoita koskevia täytäntöönpanosäädöksiä, joilla täsmennetään tapaukset, joissa poikkeama katsotaan merkittäväksi. 

2.7  Valvonta ja hallinnolliset sanktiot

NIS2-direktiivissä säädetään vähimmäisvaatimukset valvontatoimenpiteille ja –keinoille, joita valvovien viranomaisten on voitava kohdistaa keskeisiin ja tärkeisiin toimijoihin. Valvontaa ja täytäntöönpanoa koskevista yleisistä näkökohdista säädetään NIS2-direktiivin 31 artiklassa, vähimmäistoimet keskeisten toimijoiden osalta säädetään 32 artiklassa ja tärkeiden toimijoiden osalta 33 artiklassa. Direktiivin 31 artiklassa annetaan jäsenvaltioille mahdollisuus sallia valvontatoimenpiteiden priorisointi riskiperusteista lähestymistapaa noudattaen. Lisäksi artiklassa edellytetään, että jäsenvaltiot varmistavat toimivaltaisten viranomaisten toiminnallisen riippumattomuuden valvomistaan julkishallinnon toimijoista.  

NIS2-direktiivin tarkoituksena on sen johdanto-osan perustelukappaleen 122 mukaisesti säätää eri valvontajärjestelmästä keskeisille ja tärkeille toimijoille, jotta voidaan varmistaa kyseisten toimijoiden ja toimivaltaisten viranomaisten velvoitteiden oikeudenmukainen tasapaino. Keskeisiin toimijoihin olisikin sovellettava kattavaa valvontajärjestelmää, johon kuuluu etukäteis- ja jälkikäteisvalvonta, ja tärkeisiin toimijoihin olisi sovellettava kevyttä valvontajärjestelmää, johon kuuluu vain jälkikäteisvalvonta. Tärkeitä toimijoita ei tulisi siten NIS2-direktiivin nojalla vaatia raportoimaan valvovalle viranomaiselle järjestelmällisesti kyberturvallisuusriskien hallintatoimenpiteiden noudattamisesta, vaan valvovan viranomaisen olisi tärkeiden toimijoiden osalta harjoitettava yleisen valvonnan sijasta jälkikäteisvalvontaa. Kansallisessa harkinnassa olisi tärkeiden toimijoiden valvominen enemmälti tai saattaminen etukäteisvalvonnan piiriin. 

Keskeisten toimijoiden osalta jäsenvaltioiden on varmistettava, että viranomaisilla on valtuudet suorittaa 32 artiklan 2 kohdan a-g alakohdissa listatut toimenpiteet. Näihin toimenpiteisiin sisältyy muun muassa erilaisten tarkastusten ja auditointien suorittaminen sekä pyynnöt saada pääsy dataan, asiakirjoihin tai tietoihin joita viranomaiset tarvitsevat valvontatehtäviensä suorittamiseksi. Lisäksi direktiivin 32 artiklan 4 kohdassa jäsenvaltiot velvoitetaan varmistamaan, että valvovalla viranomaisella on alakohdissa a-i määritellyt toimivaltuudet, kuten valtuus antaa toimijoille varoituksia, sitovia ohjeita tai määrätä toimija lopettamaan direktiivin vastainen toiminta. Lisäksi valvovalla viranomaisella tulee olla mahdollisuus määrätä tai pyytää asiaankuuluvia elimiä tai tuomioistuimia määräämään hallinnollisia sakkoja. Direktiivin 34 artiklassa on säädetty vähimmäisvaatimuksista toimijoille määrättävistä hallinnollisista sakoista 21 artiklassa tarkoitetun riskienhallintavelvoitteen tai 23 artiklassa tarkoitetun raportointivelvoitteen laiminlyönnistä sekä asetettu vähimmäisvaatimus kansallisesti määrättävien hallinnollisten sakkojen enimmäismäärille. Keskeisille toimijoille määrättävän hallinnollisen sakon enimmäismäärän tulisi olla vähintään 10 000 000 euroa tai 2 prosenttia sen yrityksen, johon keskeinen toimija kuuluu, edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Tärkeille toimijoille määrättävän hallinnollisen sakon enimmäismäärän tulisi olla vähintään 7 000 000 euroa tai 1,4 prosenttia sen yrityksen, johon tärkeä toimija kuuluu, edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Direktiivin 34 artiklan 7 kohdan mukaan kukin jäsenvaltio voi vahvistaa säännöt siitä, voidaanko julkishallinnon toimijoille määrätä hallinnollisia sakkoja ja missä määrin. 

Lisäksi valvovilla viranomaisilla tulisi olla NIS2-direktiivin 32 artiklan 5 kohdan a-b alakohdissa tarkoitetut keskeisiin toimijoihin kohdistetut toimivaltuudet, mikäli muut täytäntöönpanotoimenpiteet eivät tuota tulosta. Jäsenvaltioiden on varmistettava, että mikäli toimija ei kehotuksesta huolimatta korjaa toiminnassa havaittuja puutteita sille asetetussa määräajassa, toimivaltainen viranomainen voi muun muassa keskeyttää väliaikaisesti keskeisen toimijan tarjoamia palveluja tai toimintoja koskeva sertifiointi tai lupa sekä pyytää asiaankuuluvia elimiä tai tuomioistuimia kieltämään väliaikaisesti luonnollista henkilöä toimimasta keskeisen toimijan johtotehtävissä. Direktiivin 32 artiklan 5 kohdan 3 alakohdan mukaan 5 kohdassa säädettyjä seuraamuksia ei sovelleta direktiivin soveltamisalaan kuuluviin julkishallinnon toimijoihin. 

NIS2-direktiivin 33 artikla velvoittaa jäsenvaltiot säätämään valvoville viranomaisille lähes vastaavat toimivaltuudet kohdistaa erilaisia valvontatoimenpiteitä tärkeisiin toimijoihin kuin keskeisiin toimijoihin. Keskeisimpänä erona direktiivi ei edellytä tärkeiden toimijoiden kohdalla, toisin kuin keskeisten toimijoiden kohdalla, että valvova viranomainen voisi kohdistaa niihin tietoturva-auditointeja, perua toimintaa koskevan luvan tai sertifioinnin taikka kieltää toimijan johdossa toimivaa henkilöä toimimasta johtotehtävässä. Tärkeisiin toimijoihin direktiivi edellyttää edellä kuvatulla valvontatoimenpiteiden kohdistamista vain, jos jäsenvaltiot saavat näyttöä, viitteitä tai tietoja, joiden mukaan tärkeä toimija ei väitetysti noudata direktiiviä ja erityisesti sen 21 ja 23 artiklaa, eli ne ovat niin kuvatusti jälkikäteisvalvonnan piirissä. 

2.8  Viranomaisyhteistyö

2.9  Kyberturvallisuusstrategia ja kansalliset kyberkriisinhallintakehykset

NIS2-direktiivin artikla 7 velvoittaa jäsenvaltiot hyväksymään kansallisen kyberturvallisuus-strategian kyberturvallisuuden korkean tason saavuttamiseksi ja ylläpitämiseksi. Artiklassa säädetään myös kansallisten kyberturvallisuusstrategioiden vähimmäissisällöstä. Kansallinen kyberturvallisuusstrategia on annettava komissiolle tiedoksi kolmen kuukauden kuluessa sen hyväksymisestä. Kyberturvallisuusstrategiaa on arvioitava jäsenvaltioissa säännöllisesti ja vähintään viiden vuoden välein. 

NIS2-direktiivin mukainen kansallinen kyberkriisinhallintakehys muodostuu kyberkriisinhallintaviranomaisesta ja kyberkriisien hallintasuunnitelmasta, joista on säädetty 9 artiklassa. Jäsenvaltion on nimettävä tai perustettava yksi tai useampi kyberkriisinhallintaviranomainen, jonka tehtävänä on vastata laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallinnasta. Laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallintasuunnitelmassa tulee vahvistaa laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallinnan tavoitteet ja järjestelyt. Kyberkriisinhallintaviranomaisesta ja kriisien hallintasuunnitelmasta on ilmoitettava eräitä tietoja myös komissiolle. 

2.10  Verkkotunnusten rekisteröintitietojen tietokanta

NIS2-direktiivin 28 artiklassa säädetään verkkotunnusten rekisteröintitietojen tietokannasta. Artiklan 1 kohdan nojalla jäsenvaltioiden on edellytettävä DNS-järjestelmän turvallisuuden, vakauden ja häiriönsietokyvyn edistämiseksi, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat keräävät ja ylläpitävät tarkkoja ja täydellisiä verkkotunnusten rekisteröintitietoja erityisessä tietokannassa noudattaen unionin tietosuojalainsäädännön mukaisesti asianmukaista huolellisuutta henkilötietojen suhteen. 

NIS2-direktiivin 28 artiklan 2 kohdan nojalla jäsenvaltion tulisi edellyttää, että verkkotunnusten rekisteröintitietojen tietokanta sisältää tarvittavat tiedot, jotta verkkotunnusten haltijat ja aluetunnusrekistereissä verkkotunnuksia hallinnoivat yhteyspisteet voidaan tunnistaa ja niihin voidaan ottaa yhteyttä. Näihin tietoihin olisi sisällyttävä verkkotunnus; rekisteröintipäivä; verkkotunnuksen rekisteröijän nimi, yhteyssähköpostiosoite ja puhelinnumero; verkkotunnusta hallinnoivan yhteyspisteen yhteyssähköpostiosoite ja puhelinnumero, jos ne eivät ole samat kuin verkkotunnuksen rekisteröijän.  

NIS2-direktiivin 28 artiklan 3 kohdan nojalla jäsenvaltioiden on edellytettävä, että aluetunnusrekistereillä ja verkkotunnusten rekisteröintipalveluja tarjoavilla toimijoilla on käytössä toimintaperiaatteet ja menettelyt, myös tarkastusmenettelyt, joilla varmistetaan, että tietokannat sisältävät tarkat ja täydelliset tiedot. Jäsenvaltioiden on edellytettävä, että tiedot tällaisista toimintaperiaatteista ja menettelyistä asetetaan julkisesti saataville. 

NIS2-direktiivin 28 artiklan 4 ja 5 kohdan nojalla jäsenvaltioiden on edellytettävä, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat asettavat julkisesti saataville ilman aiheetonta viivytystä verkkotunnuksen rekisteröinnin jälkeen muut verkkotunnuksen rekisteröintitiedot kuin henkilötiedot. Jäsenvaltioiden on edellytettävä, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat antavat pääsyn tarkasti määrättyihin verkkotunnusten rekisteröintitietoihin unionin tietosuojalainsäädännön mukaisesti, kun pääsyä oikeutetusti pyytävä esittää lainmukaisen ja asianmukaisesti perustellun pyynnön. Jäsenvaltioiden on edellytettävä, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat vastaavat tietoihin pääsyä koskeviin pyyntöihin ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa pyynnön vastaanottamisesta. Jäsenvaltioiden on edellytettävä, että tällaisten tietojen luovuttamista koskevat toimintaperiaatteet ja menettelyt asetetaan julkisesti saataville. 

2.11  Kyberturvallisuustietojen jakamisjärjestelyt

NIS2-direktiivin 29 artikla edellyttää jäsenvaltiota varmistamaan, että NIS2-direktiivin soveltamisalaan kuuluvat toimijat ja tapauksen mukaan soveltamisalan ulkopuolella olevat toimijat voivat vaihtaa keskenään asiaankuuluvia kyberturvallisuustietoja, mukaan lukien tietoja kyberuhkista, läheltä piti -tilanteista, haavoittuvuuksista, tekniikoista ja menettelyistä, vaarantumisindikaattoreista, kyberhyökkäystaktiikoista, yksittäisistä uhkatoimijoista, kyberturvallisuushälytyksistä ja suosituksista, jotka koskevat kyberhyökkäysten havaitsemiseen käytettävien kyberturvallisuustyökalujen konfigurointia, kun tällaisella tietojenvaihdolla 

pyritään ehkäisemään, havaitsemaan ja hallitsemaan poikkeamia tai palautumaan niistä tai lieventämään niiden vaikutuksia; tai 

parannetaan kyberturvallisuuden tasoa erityisesti lisäämällä tietoisuutta kyberuhkista, rajoittamalla tai estämällä tällaisten uhkien kykyä levitä, tukemalla erilaisia puolustusvalmiuksia, haavoittuvuuden korjaamista ja julkistamista, uhkien havaitsemis-, rajoittamis- ja ehkäisemistekniikoita, lieventämisstrategioita tai hallinta- ja palautumisvaiheita tai edistämällä julkisten ja yksityisten toimijoiden yhteistyöhön perustuvaa kyberuhkatutkimusta. 

NIS2-direktiivin 29 artiklan nojalla jäsenvaltion on helpotettava ja edistettävä kyberturvallisuustietojen jakamisjärjestelyiden perustamista. Jakamisjärjestelyissä voidaan asettaa ehtoja viranomaisten saataville asettamille tiedoille. 29 artiklan 4 kohdan nojalla jäsenvaltioiden on varmistettava, että keskeiset ja tärkeät toimijat ilmoittavat toimivaltaisille viranomaisille osallistumisestaan 2 kohdassa tarkoitettuihin kyberturvallisuustietojen jakamisjärjestelyihin, kun ne liittyvät tällaisiin järjestelyihin, tai tapauksen mukaan vetäytymisestään tällaisista järjestelyistä, kun vetäytyminen tulee voimaan. 

2.12  Kansallinen liikkumavara

NIS2-direktiivi on luonteeltaan vähimmäisharmonisoiva. NIS2-direktiivin vähimmäistason sisältöön tai sen edellyttämiin toimenpiteisiin ei lähtökohtaisesti liity kansallista liikkumavaraa. Keskeinen kansallinen liikkumavara liittyy kuitenkin siihen, että NIS2-direktiivillä ei estetä jäsenvaltioita antamasta tai pitämästä voimassa säännöksiä, joilla varmistetaan kyberturvallisuuden korkeampi taso edellyttäen, että tällaiset säännökset ovat unionin oikeudessa säädettyjen jäsenvaltioiden velvoitteiden mukaisia (5 artikla). Lisäksi jäsenvaltioilla on kansallista liikkumavaraa direktiivin soveltamisalan laajentamisen sekä sen edellyttämää korkeatasoisempien kyberturvallisuuden riskinhallinta- ja raportointivelvoitteiden osalta. 

Direktiivin vähimmäissoveltamisalaan sisältyvä liikkumavara on kuvattu jaksossa 2.2. Lisäksi kansallisesti voidaan säätää NIS2-direktiivin velvoitteiden kohdistamisesta myös sellaisiin toimijoihin, joita NIS2-direktiivi ei muuten koske edellyttäen, että tällaiset säännökset ovat unionin oikeudessa säädettyjen jäsenvaltioiden velvoitteiden mukaisia. 

Keskeisen toimijan määritelmään sisältyy kansallista liikkumavaraa siten, että jäsenvaltio voi lisätä NIS2-direktiivissä tarkoitetun keskeisen toimijan määritelmän alle myös sellaiset toimijat, jotka ovat 16.1.2023 mennessä NIS1-direktiivin nojalla tai kansallisesti muutoin määritetty keskeisten palvelujen tarjoajiksi (3 artiklan 1 kohdan g –alakohta). Lisäksi jäsenvaltio voi määrittää NIS2-direktiivin 2 artiklan 2 kohdan b-e alakohdassa tarkoitetut toimijat keskeisiksi tai tärkeiksi toimijoiksi (3 artiklan 1 kohdan e-alakohta ja 2 kohta). 

NIS 2 –direktiivi jättää kansallista liikkumavaraa sille, miten direktiivin valvonta jäsenvaltiossa järjestetään. Direktiivi edellyttää nimettäväksi vähintään yhden tai useamman toimivaltaisen viranomaisen, joka valvoo sen noudattamista kansallisella tasolla. Lisäksi NIS 2 –direktiivi edellyttää nimettäväksi tai perustettavaksi yhden tai useamman keskitetyn yhteyspisteen EU-tason yhteistyötä varten. Lisäksi NIS 2 –direktiivi edellyttää kansallisesti nimettävän tai perustettavan vähintään yksi tai useampi tietoturvaloukkauksiin reagoiva ja niitä tutkiva CSIRT-yksikkö. 

Kansallisia kyberkriisinhallintakehyksiä koskevan 9 artiklan osalta direktiivi jättää kansallista liikkumavaraa siten, että laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallinnasta vastaavaksi toimivaltaiseksi viranomaiseksi eli ns. kyberkriisinhallintaviranomaiseksi voidaan nimetä tai perustaa yksi tai useampi toimivaltainen viranomainen. Mikäli viranomaisia nimetään tai perustetaan useampi kuin yksi, jäsenvaltion on nimettävä näiden viranomaisten keskuudesta koordinaattori laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallintaan.  

NIS2-direktiivi ei edellytä sen soveltamisalaan kuuluvia toimijoita käyttämään EU-sertifioituja TVT-tuotteita, -palveluja tai –prosesseja, mutta jäsenvaltiot voivat 24 artiklan 1 kohdan mukaan vaatia keskeisiä ja tärkeitä toimijoita käyttämään Euroopan unionin kyberturvallisuusvirasto ENISA:sta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 (jäljempänä kyberturvallisuusasetus ) 49 artiklan nojalla hyväksyttyjen eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien mukaisesti sertifioituja TVT-tuotteita, -palveluja ja -prosesseja. Kansallisen liikkumavaran lisäksi NIS 2 -direktiivin 24 artiklan 2 kohdan nojalla komissiolla on toimivalta antaa delegoituja säädöksiä, joilla täsmennetään, mitä keskeisten ja tärkeiden toimijoiden luokkia on vaadittava käyttämään tiettyjä sertifioituja TVT-tuotteita, TVT-palveluja ja TVT-prosesseja tai hankkimaan sertifiointi kyberturvallisuusasetuksen 49 artiklan nojalla hyväksytyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisesti.  

Valvonnan osalta NIS2-direktiivissä on säädetty toimivaltaisten viranomaisten valvonta- ja täytäntöönpanotoimenpiteiden vähimmäistasosta, joka ei sisällä kansallista liikkumavaraa. NIS2-direktiivi jättää jäsenvaltioille kuitenkin mahdollisuuden sallia se, että niiden toimivaltaiset viranomaiset asettavat valvontatoimenpiteitä etusijalle (31 artiklan 2 kohta). Etusijalle asettamisessa on sovellettava riskiperusteista lähestymistapaa.  

NIS2-direktiivi edellyttää, että keskeisille ja tärkeille toimijoille voidaan määrätä hallinnollisia seuraamusmaksuja 21 artiklassa tarkoitetun riskienhallintavelvoitteen ja 23 artiklassa tarkoitetun raportointivelvoitteen vastaisesta toiminnasta. Kansallinen liikkumavara koskee hallinnollisten seuraamusmaksujen tasoa, kuitenkin siten, että direktiivissä säädetään alimmasta sallitusta tasosta, jolla keskeisille ja tärkeille toimijoille määrättävän hallinnollisen seuraamusmaksun enimmäismäärän tulee vähintään olla. Kansallista liikkumavaraa on kuitenkin jätetty sen osalta, voiko hallinnollisia seuraamusmaksuja määrätä myös julkishallinnon toimijoille ja voidaanko keskeisille tai tärkeille toimijoille määrätä uhkasakkoja (34 artiklan 6 ja 7 kohdat). Lisäksi 32 artiklan 5 kohdan mukaisia seuraamuksia (sertifioinnin tai luvan peruuttaminen sekä kieltäminen toimimaan toimijan johtotehtävissä) ei sovelleta direktiivin soveltamisalaan kuuluviin julkishallinnon toimijoihin. 

3.1  NIS1-direktiivin täytäntöönpano

NIS2-direktiiviä edeltävä EU:n verkko- ja tietoturvadirektiivi eli NIS1-direktiivi saatettiin pääosin voimaan kansallisesti 9. toukokuuta 2018 voimaan tulleilla sektorikohtaisilla lain muutoksilla (HE 192/2017 vp). NIS1-direktiivin tavoitteena oli parantaa kyberturvallisuusvalmiutta unionin alueella ja kohdistaa raportointivelvoitteita keskeisiin toimijoihin tietoturvapoikkeamien osalta. Tieto- ja verkkoturvallisuudesta ei ole laadittu kansallista, horisontaalista yleislakia, vaan NIS1-direktiivin velvoitteet on toimeenpantu sisällyttämällä ne toimialakohtaiseen erityislainsäädäntöön. Tietoturvavelvoitteiden noudattamisen valvonta on hajautettu usealle sektorikohtaiselle viranomaiselle. 

NIS1-direktiivin täytäntöönpanosäännöksiä sisältyy sähköisen viestinnän palveluista annettuun lakiin (917/2014), ilmailulakiin (864/2014), raideliikennelakiin (1302/2018), alusliikennepalvelulakiin (623/2005), eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettuun lakiin (485/2004, jäljempänä turvatoimilaki ), liikenteen palveluista annettuun lakiin (320/2017), sähkömarkkinalakiin (588/2013), maakaasumarkkinalakiin (587/2017) sekä vesihuoltolakiin (119/2001). Toimialakohtaisessa lainsäädännössä on säädetty keskeisten palveluntarjoajien velvollisuudesta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja ilmoittaa tietoturvapoikkeamasta valvovalle viranomaiselle sekä yleisölle.  

NIS1-direktiivin mukainen valvonta on järjestetty sektorikohtaisesti eli sektorikohtaiset valvovat viranomaiset valvovat oman sektorinsa toimijoita NIS1-vaatimusten osalta. Valvovina viranomaisina ovat toimineet Energiavirasto, Liikenne- ja viestintävirasto, Finanssivalvonta, Valvira sekä Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus. 

Koska NIS2-direktiivillä kumotaan NIS1-direktiivi velvoitteineen ja säädetään vastaavan tavoitteen saavuttamiseksi uusista velvoitteista myös NIS1-direktiivin soveltamisalaan kuuluneille toimijoille, on kansallisia NIS1-direktiivin täytäntöönpanosäädöksiä tarkasteltava NIS2-direktiivin täytäntöönpanon yhteydessä tarpeettoman ja päällekkäisen sääntelyn välttämiseksi sekä tarkoituksenmukaisen sääntelykokonaisuuden laatimiseksi.  

3.2  Energia

Energiasektorin osalta NIS2-direktiivin soveltamisalaan kuuluvia toimialoja ovat sähkö, öljy, kaasu, kaukolämmitys ja -jäähdytys sekä vety. Näistä toimialoista sähkö, öljy ja kaasu ovat kuuluneet jo aiemmin NIS1-direktiivin piiriin, jolloin kansallisen arvioinnin mukaan keskeisten palvelujen tarjoajiksi katsottiin kuuluvan sähköverkonhaltijat sekä maakaasun siirtoverkonhaltija. NIS2-direktiivin soveltamisala on merkittävästi laajempi kuin NIS1-direktiivin soveltamisala. Valvovana viranomaisena energiasektorilla on tähän saakka toiminut Energiavirasto.  

3.3  Liikenne

NIS2-direktiivin soveltamisalaan kuuluvat eräät ilmaliikenteen, rautatieliikenteen, tieliikenteen ja vesiliikenteen alan toimijat. NIS1-direktiivin kansallisen täytäntöönpanon yhteydessä verkko- ja tietoturvallisuusvelvoitteita asetettiin liikenteenohjauspalvelun tarjoajille, lennonvarmistuspalvelun tarjoajille, alusliikennepalvelun tarjoajille, älykkään liikennejärjestelmän ylläpitäjille, valtion rataverkon haltijalle sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman tai sataman pitäjälle. NIS1-direktiivin kansallisen täytäntöönpanon lisäksi muu kansallinen tieto- tai kyberturvallisuussääntely on liikennesektorilla pääosin erittäin vähäistä. Valvovana viranomaisena on liikennesektorin osalta toiminut sen kaikilla alasektoreilla Liikenne- ja viestintävirasto. Raideliikennelakiin ei ole raideliikennesektorin osalta sisällytetty erillistä säännöstä valvontavastuusta.  

3.4  Pankkitoiminta ja finanssimarkkinoiden infrastruktuuri

3.5  Terveydenhuoltoala

NIS2-direktiivin soveltamisalaan kuuluvat terveydenhuollon tarjoajat, EU:n vertailulaboratoriot, lääkkeiden tutkimusta ja kehitystä harjoittavat toimijat, eräät lääkeaineiden ja lääkkeiden valmistusta harjoittavat toimijat sekä vakavan kansanterveysuhan aikana kriittisiksi katsottuja lääkinnällisiä laitteita valmistavat toimijat. Soveltamisala on huomattavasti laajempi kuin NIS1-direktiivissä, jonka soveltamisalaan kuuluivat terveydenhuoltosektorin osalta vain terveydenhuoltolaitokset. NIS1-direktiivin toimeenpanon yhteydessä voimassaolevan sääntelyn katsottiin täyttävän direktiivin vaatimukset, joten kansalliseen lainsäädäntöön ei tällöin tehty muutoksia. 

3.6  Juomavesi ja jätevesi

Sekä juomavesi että jätevesi ovat kuuluneet NIS1-direktiivin mukaiseen kansalliseen soveltamisalaan, jonka mukaiset vaatimukset toimeenpantiin Suomessa vesihuoltolain muutoksella. Vesihuoltolaki soveltuu sekä talousveden että jäteveden käsittelyyn. Vesihuollon toimialalla ei ole muuta sektorikohtaista kyberturvallisuussääntelyä, mutta talousvettä toimittavalta laitokselta edellytetään jo nykyisin veden laatuun liittyvää riskinarviointia ja riskienhallintaa toiminnan harjoittajan, viranomaisten ja muiden sidosryhmien yhteistyönä. 

Vesihuoltolain 15 b §:ssä velvoitetaan sellainen vesihuoltolaitos, joka toimittaa vettä tai ottaa vastaan jätevettä vähintään 5 000 kuutiometriä vuorokaudessa, ilmoittamaan merkittävästä häiriötilanteesta elinkeino-, liikenne- ja ympäristökeskukselle. Lisäksi lain 35 §:n 2 momentissa säädetään oikeudesta luovuttaa tietoja tietoturvallisuuteen liittyen Liikenne- ja viestintävirastolle julkisuuslain salassapitovelvollisuuden estämättä. Vesihuoltolaissa säädetään myös vesihuoltolaitoksen velvollisuudesta turvata palvelujensa saatavuus häiriötilanteissa (15 a §) sekä ilmoittaa merkittävästä häiriötilanteesta viipymättä elinkeino- liikenne- ja ympäristökeskukselle (15 b §). Yhdyskuntajätevesien käsittelyä säännellään ympäristönsuojelulailla (527/2014), valtioneuvoston asetuksella ympäristönsuojelusta (713/2014) ja valtioneuvoston asetuksella yhdyskuntajätevesistä (888/2006). Jäteveden käsittely on ympäristönsuojelulain nojalla ympäristöluvanvaraista toimintaa ja puhdistamoita koskevia varautumis- ja riskienhallintavelvoitteita on määrätty puhdistamojen ympäristölupapäätöksissä. Nämä velvoitteet eivät kuitenkaan erityisesti kohdistu tieto- tai kyberturvallisuuskysymyksiin. 

Terveydensuojelulain (763/1994) 5 luvussa säädetään talousvettä toimittavan laitoksen riskienhallintavelvoitteista. Lailla on toimeenpantu ihmisten käyttöön tarkoitetun veden laadusta annetun Euroopan parlamentin ja neuvoston direktiivin (EU 2020/2184) riskienhallintavelvoitteet. Lain mukaan laitoksen on harjoitettava omavalvontaan liittyvää riskinarviointia ja riskienhallintaa toiminnan harjoittajan, viranomaisten ja muiden sidosryhmien yhteistyönä. Lain 19 a §:n mukaan toimijan on laadittava riskienhallintasuunnitelma riskien hallitsemiseksi ja ehkäisemiseksi. Riskinarvioinnilla tarkoitetaan pääasiassa veden laatuun vaikuttavia riskejä. Valtioneuvoston asetuksessa talousveden tuotantoketjun riskien hallinnasta ja omavalvonnasta (7/2023) on täsmennetty näitä velvoitteita. Asetus on annettu terveydensuojelulain 19 a §:n 5 momentin ja vesihuoltolain 15 §:n 5 momentin nojalla.  

Vesihuollon osalta NIS2-direktiivin soveltamisala edellyttää, että kansallisesta 5000 kuutiometrin määritelmästä luovutaan. Soveltamisalan olisi määräydyttävä jatkossa toimijatyypin ja toimijan koon perusteella. Lisäksi NIS2-direktiiviä on sovellettava toimijan koosta riippumatta myös sellaisiin toimijoihin, joiden tarjoamassa palvelussa tapahtuva häiriö voisi vaikuttaa merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen, mikä saattaa laajentaa soveltamisalaa vesihuollon osalta. Vesihuoltolain 15 b §:ssä säädettyyn velvoitteeseen ilmoittaa häiriötilanteesta ei arvioida välttämättömäksi tehdä muutoksia NIS2-direktiivin toimeenpanon johdosta, koska säännös tulee sovellettavaksi myös muissa kuin viestintäverkkoihin ja tietojärjestelmiin kohdistuvissa häiriötilanteissa. Lain 15 b §:n osalta tarvittavat muutokset arvioidaan CER-direktiivin toimeenpanon yhteydessä. Lain 35 § 2 momentin 3 kohta ehdotetaan kumottavan NIS2-direktiivin toimeenpanon johdosta päällekkäisen sääntelyn välttämiseksi. 

3.7  Digitaalinen infrastruktuuri ja digitaalisen palvelun tarjoajat

Digitaalisen palvelun tarjoajat ovat pääosin kuuluneet NIS1-direktiivin mukaiseen soveltamisalaan, mutta etenkin digitaalisen infrastruktuurin toimijoita on tulossa uusina toimijoina NIS2-direktiivin soveltamisalaan. NIS2-direktiivin soveltamisalaan tulisivat uusina toimijoina viestintäverkkojen ja –palvelujen tarjoajat, sähköisten luottamuspalvelujen tarjoajat, sisällönjakeluverkkojen tarjoajat sekä datakeskuspalvelujen tarjoajat. Sektorin valvovana viranomaisena on NIS1-direktiivin aikana toiminut Liikenne- ja viestintäviraston Kyberturvallisuuskeskus. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus valvoo jo nykyään myös viestintäverkkojen ja –palvelujen sekä sähköisten luottamuspalvelujen tarjoamista. Voimassa olevassa lainsäädännössä ei ole nimenomaan sisällönjakeluverkkojen tarjoajia ja datakeskuspalvelun tarjoajia koskevaa sääntelyä, ellei toiminta tapauskohtaisen arvioinnin perusteella täytä viestinnän välittämisen määritelmää. 

3.8  Tieto- ja viestintätekniikan palvelujen (TVT-palvelut) hallinta

Tieto- ja viestintätekniikan palvelujen tarjoajat eli TVT-palvelutarjoajat eivät ole kuuluneet NIS1-direktiivin soveltamisalaan, vaan tulevat uutena sektorina NIS2-direktiivin soveltamisalan piiriin. NIS2-direktiivin alaan kuuluvia TVT-palvelutarjoajia ovat yritysten väliset hallinta- ja tietoturvapalveluntarjoajat, jotka ovat keskisuuria tai suuria yrityksiä. NIS2-direktiivissä hallintapalvelun tarjoajalla tarkoitetaan toimijaa, joka tarjoaa TVT-tuotteiden, verkkojen, infrastruktuurin, sovellusten tai muiden verkko- ja tietojärjestelmien asentamiseen, hallintaan, käyttöön tai ylläpitoon liittyviä palveluja joko asiakkaan tiloissa tai etäyhteyden välityksellä toteutettavan tuen tai aktiivisen ylläpidon muodossa. Tietoturvapalveluntarjoajalla tarkoitetaan sellaista hallintapalvelun tarjoajaa, joka toteuttaa kyberturvallisuusriskien hallintatoimia tai antaa tukea niitä varten. TVT-palvelulla tarkoitetaan kyberturvallisuusasetuksen 2 artiklan 13 alakohdan mukaan mitä tahansa palvelua, jonka sisältönä on kokonaan tai pääasiassa tiedon välittäminen, tallentaminen, hakeminen tai käsittely verkko- ja tietojärjestelmien avulla.  

TVT-palvelujen tarjoamista ei tällä hetkellä säännellä kattavasti lainsäädännössä. Sähköisen viestinnän palveluista annetun lain näkökulmasta kyseessä saattaa olla viestinnän välittäjän alihankkijana toimiva taho, jolle ei laissa kuitenkaan aseteta suoraan omia velvoitteita. Joissakin tapauksissa tietoturvapalvelun tarjoaja saattaa olla em. laissa tarkoitettu lisäarvopalvelun tarjoaja, jolloin sitä koskisi sähköisen viestinnän palveluista annetun lain 247 §:n 2 momentin mukainen velvollisuus huolehtia palvelujensa tietoturvasta. 

3.9  Avaruus

Avaruussektori ei ole kuulunut NIS1-direktiivin soveltamisalaan, vaan se lisätään uutena NIS2-direktiivin soveltamisalan piiriin. Suomessa avaruustoimintaa on kansallisesti säännelty maa-asemista ja eräistä tutkista annetussa laissa (96/2023, jäljempänä maa-asemalaki ) sekä avaruustoiminnasta annetussa laissa (63/2018). NIS2-direktiivin soveltamisalaan kuuluvat avaruuspohjaisten palvelujen tarjoamista tukevan, maassa sijaitsevan infrastruktuurin ylläpitäjät.  

Maa-asemalaissa säädetään maa-aseman ja tutkan perustamisen sekä maa-asema- ja tutkatoiminnan luvanvaraisuudesta ja valvonnasta. Maa-aseman ja tutkan perustaminen sekä maa-asema- ja tutkatoiminnan harjoittaminen ovat luvanvaraista toimintaa lukuun ottamatta tavanomaista satelliittipalveluiden käyttöä. Lupa- ja valvontaviranomaisena lain velvoitteiden noudattamisessa toimii Liikenne- ja viestintävirasto.  

Lain 2 §:n 5 kohdan mukaan maa-asema- ja tutkatoiminnan harjoittajalla tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, joka harjoittaa tai jonka on tarkoitus harjoittaa maa-asema- tai tutkatoimintaa tai joka tosiasiallisesti vastaa tällaisesta toiminnasta. Edellä mainitut avaruuspohjaisten palvelujen tarjoamista tukevien, maassa sijaitsevan infrastruktuurien ylläpitäjät ovat maa-asemalain tarkoittamia toiminnanharjoittajia. Kaikki nykyiset toiminnanharjoittajat eivät kuitenkaan kuulu NIS2-soveltamisalaan. 

Toiminnan ja toiminnanharjoittajien on täytettävä tietyt vaatimukset riskien hallitsemiseksi, mukaan lukien toiminnan suojaaminen ulkoisilta häiriöiltä ja tietoturvauhilta, tietoturvallisuuden ja fyysisen turvallisuuden varmistaminen, kyky havaita tietoturvaloukkauksia ja -uhkia, jatkuvuuden ja kriisitilanteiden hallinta, toimitusketjujen turvallisuus sekä riskienhallintamenettelyiden ja tietojärjestelmäturvallisuutta koskevien käytäntöjen dokumentoiminen (6 §). Liikenne- ja viestintävirastolla on tiedonsaantioikeus tietoturvaloukkausten selvittämistä koskien (14 §) ja oikeus suorittaa toimintaan kohdistuvia tarkastuksia (13 §). Toiminnanharjoittaja on velvollinen ilmoittamaan tietoturvahäiriöstä Liikenne- ja viestintävirastolle (11 §). 

Maa-asemalain valmistelussa (HE 113/2022 vp) pyrittiin huomioimaan osa silloisten valmisteluvaiheessa olleiden NIS2- ja CER-direktiiviehdotuksien vaatimuksista. Maa-asemalain valmistelun yhteydessä ei ollut tiedossa, miten NIS2-direktiivi tultaisiin kansallisesti toimeenpanemaan. Lain valmistelussa tavoiteltiin, ettei esitys olisi ristiriidassa silloisen NIS2-direktiiviehdotuksen kanssa ja siinä pyrittiin huomioimaan erityisesti velvoitteet tietoturvariskien hallinnan ja häiriötilanteista ilmoittamisen osalta myöhempien säädösmuutostarpeiden minimoimiseksi. Kyseiset riskienhallinta-, tietoturva- ja häiriöilmoitusvelvoitteet koskevat kaikkia maa-asema- ja tutkatoiminnan harjoittajia koosta riippumatta ja viranomaisia koskevia tiettyjä poikkeuksia lukuun ottamatta. Edellä mainittujen velvoitteiden täyttyminen on osa luvan myöntämisen ja toiminnan harjoittamisen edellytyksiä. 

3.10  Posti- ja kuriiripalvelut

NIS2-direktiiviin soveltamisalaan on uutena sektorina lisätty posti- ja kuriiripalvelut. Kansallisesti postin yleispalvelusta ja eräistä muista postipalveluista säädetään postilaissa (415/2011). Kansallinen sääntely postipalvelujen osalta on perinteisesti keskittynyt postimarkkinoiden avaamiseen ja datan avoimuuteen eikä turvallisuusnäkökohtiin. Postipalveluista säädetään lisäksi yhteisön postipalvelujen sisämarkkinoiden kehittämistä ja palvelun laadun parantamista koskevista yhteisistä säännöistä annetussa Euroopan parlamentin ja neuvoston direktiivissä 97/67/EY (sellaisena kuin se on muutettuna direktiiveillä 2002/39/EY ja 2008/6/EY, jäljempänä postidirektiivi ) sekä rajat ylittävistä pakettipalveluista annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2018/644. Postidirektiivin sääntely on vanhentunutta, ja jäsenvaltiot ovat toivoneet sen pikaista päivittämistä. Nykyisellään kyberturvallisuutta koskeva sääntely on postipalvelujen osalta vähäistä. Postilain 64 – 66 §:ssä säädetään postiyrityksen velvollisuudesta varautua poikkeustilanteisiin. Kuriiripalvelujen tarjoamisesta ei ole Suomessa erityissääntelyä, ja toiminta on siviilioikeudellisten yleissäännösten varassa.  

Postilakiin ei ole tunnistettu tarpeelliseksi tehdä muutoksia NIS2-direktiivin toimeenpanon johdosta. 

3.11  Jätehuolto

Jätehuolto ei ole kuulunut NIS1-direktiivin soveltamisalaan, vaan se on lisätty uudeksi toimialaksi vasta NIS2-direktiivin myötä. Jätehuollon sektori on laaja-alainen ja sisältää lukuisan määrän erilaisia ja erikokoisia toimijoita, mutta käytännössä vain muutama kymmenen toimijaa kuuluu henkilöstömäärältään tai liikevaihdoltaan NIS2-direktiivin soveltamisalaan. Kansallisesti jätehuoltoa ja siihen liittyvää varautumissääntelyä sääntelee jätelaki (646/2011), valtioneuvoston asetus jätteistä (978/2021, jäljempänä jäteasetus ), ympäristönsuojelulaki (527/2014) ja valtioneuvoston asetus ympäristönsuojelusta (713/2014).  

Jätelain 6 §:n 16 kohdassa jätehuollon on määritelty tarkoittavan jätteen keräystä, kuljetusta, hyödyntämistä ja loppukäsittelyä, mukaan lukien tällaisen toiminnan tarkkailu ja seuranta sekä loppukäsittelypaikkojen jälkihoito ja toiminta välittäjänä. Lain 120 § asettaa toiminnanharjoittajalle velvoitteen tarkkailla ja seurata jätehuoltoa varmistaakseen, että toiminta täyttää lakien ja asetusten nojalla sille annetut velvoitteet. Lain 120 §:n 2 momentin mukaan ympäristöluvanvaraisen jätteen käsittelytoiminnan harjoittajan on laadittava seuranta- ja tarkkailusuunnitelma, joka tulee esittää lupaviranomaiselle. Jäteasetuksen 41 §:ssä on tarkennettu niitä tietoja, joita suunnitelmaan tulee sisällyttää.  

Ympäristönsuojelulain 15 § velvoittaa ilmoituksen- tai luvanvaraisen toiminnan harjoittajan varautumaan ennalta toimiin onnettomuuksien tai muiden poikkeuksellisten tilanteiden estämiseksi ja haitallisten seurausten rajoittamiseksi. Lisäksi lain 6 luvussa lupaharkintaa ja lupamääräyksiä koskien määritellään esimerkiksi luvan myöntämisen edellytykset (49 §), lupamääräykset pilaantumisen ehkäisemiseksi (52 §) ja seuranta- sekä tarkkailumääräykset (62 §). Ympäristönsuojeluasetuksen 3 §, 6 § ja 16 § täsmentävät lupahakemusten ja ilmoitusten sisältöä. 

Kansallinen sääntely ei kuitenkaan jätehuoltovelvoitteiden osalta erityisesti kohdistu tieto- tai kyberturvallisuuskysymyksiin, eikä NIS2-direktiivin vaatimusten mukaista sääntelyä ole kansallisesti tunnistettu. 

3.12  Kemikaalien valmistus, tuotanto ja jakelu

Kemikaalien valmistus, tuotanto ja jakelu ei kuulunut NIS1-direktiivin soveltamisalaan. Kansallisesti kemikaalien turvallisuutta koskeva keskeinen sääntely sisältyy kemikaaliturvallisuuslakiin ja sen nojalla annettuihin asetuksiin. Kemikaalisektoria säännellään lisäksi kansallisesti kemikaalilaissa, jonka tarkoituksena on ihmisten ja ympäristön suojelu kemikaalien aiheuttamilta vaaroilta ja haitoilta. EU-sääntelyä kemikaalien turvallisuutta koskien sisältyy kemikaalien rekisteröinnistä, arvioinnista, lupamenettelyistä ja rajoituksista (REACH), Euroopan kemikaaliviraston perustamisesta, direktiivin 1999/45/EY muuttamisesta sekä neuvoston asetuksen (ETY) N:o 793/93, komission asetuksen (EY) N:o 1488/94, neuvoston direktiivin 76/769/ETY ja komission direktiivien 91/155/ETY, 93/67/ETY, 93/105/EY ja 2000/21/EY kumoamisesta annettuun Euroopan parlamentin ja neuvoston asetukseen (EY) N:o 1907/2006 (jäljempänä REACH-asetus ) sekä aineiden ja seosten luokituksesta, merkinnöistä ja pakkaamisesta sekä direktiivien 67/548/ETY ja 1999/45/EY muuttamisesta ja kumoamisesta ja asetuksen (EY) N:o 1907/2006 muuttamisesta annettuun Euroopan parlamentin ja neuvoston asetukseen (EY) N:o 1272/2008 (jäljempänä CLP-asetus ). REACH-asetuksen tehtävänä on varmistaa korkeatasoinen ihmisten terveyden ja ympäristön suojelu, mukaan lukien vaihtoehtoisten keinojen edistäminen aineiden vaarojen arvioimiseksi, sekä aineiden vapaa liikkuvuus sisämarkkinoilla samalla kilpailukykyä ja innovointia edistäen ja CLP-asetuksen tavoitteena on yhdenmukaistaa käytäntöjä aineiden ja seosten luokituksesta, merkinnöistä ja pakkaamisesta.  

3.13  Elintarvikkeiden teollinen tuotanto, jalostus ja tukkukauppa

Elintarvikkeiden teollinen tuotanto, jalostus ja tukkukauppa eivät ole kuuluneet NIS1-direktiivin soveltamisalaan. Kansallisesti elintarvikesektoria on säännelty elintarvikelailla (297/2021), jolla on pantu täytäntöön elintarvikelainsäädäntöä koskevista yleisistä periaatteista ja vaatimuksista, Euroopan elintarviketurvallisuusviranomaisen perustamisesta sekä elintarvikkeiden turvallisuuteen liittyvistä menettelyistä annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 178/2002 (jäljempänä yleinen elintarvikeasetus ). Kansallista sektorikohtaista sääntelyä sisältyy lisäksi rehulakiin (1263/2020), eläintautilakiin (76/2021), valmiuslakiin (1522/2011) ja kasvinterveyslakiin (1110/2019)  

Elintarvikelainsäädäntö kattaa elintarvikkeiden lisäksi myös elintarvikkeiden kanssa kosketuksiin joutuvat materiaalit. Näitä materiaaleja koskevista vaatimuksista ja velvoitteista säädetään kansallisesti elintarvikelaissa. Rehulaissa säädetään lisäksi rehujen turvallisuuteen liittyvistä yleisistä periaatteista sekä rehualan toimijoiden ja valvontaviranomaisten velvollisuuksista. Ensisijainen vastuu elintarvikkeiden ja rehujen turvallisuudesta on yleisen elintarvikeasetuksen mukaan elintarvike- ja rehualan toimijalla. Viranomaisten velvollisuus on omilla toimillaan varmistaa, että elintarvike- ja rehualan toimijat täyttävät heitä koskevat velvoitteet. Elintarvikelainsäädännössä ei kuitenkaan ole toimijoiden tieto- tai kyberturvallisuuteen liittyvää sääntelyä, vaan riskienhallintaa ja varautumista koskevat velvoitteet kohdistuvat muihin riskeihin, kuten ruokamyrkytysten, zoonoosien ja eläintautien ehkäisemiseen.  

Elintarvikelain tarkoituksena on suojella kuluttajan terveyttä ja taloudellisia etuja varmistamalla elintarvikkeiden ja elintarvikekontaktimateriaalien turvallisuus, elintarvikkeiden hyvä terveydellinen ja muu elintarvikesäännösten mukainen laatu ja elintarvikkeista ja elintarvikekontaktimateriaaleista annettavien tietojen riittävyys ja oikeellisuus. Lain soveltamisala kattaa elintarvikkeet, elintarviketuotantoon käytettävät eläimet, elintarvikekontaktimateriaalit, elintarvike- ja kontaktimateriaalitoiminnan, elintarvikealan ja kontaktimateriaalialan toimijat sekä elintarvikevalvonnan kaikissa elintarvikkeiden ja elintarvikekontaktimateriaalien tuotanto-, jalostus- ja jakeluvaiheissa (2 §). 

Elintarvikelain 14 §:n mukaan toimijan on ilmoitettava vastaanottajalle elintarvikkeista, elintarviketuotantoon käytettävistä eläimistä ja elintarvikekontaktimateriaaleista edellytetyt jäljitettävyystiedot. Elintarviketuotantoon käytetyt eläimet ja muut mahdolliset aineet, jotka on tarkoitettu tai joiden voidaan olettaa tulevan lisätyiksi elintarvikkeeseen, tulee voida jäljittää. Tätä varten toimijalla on oltava järjestelmä, josta toimivaltaiset valvontaviranomaiset saavat tiedot käyttöönsä. Lain 15 § omavalvontaa koskien velvoittaa toimijan ylläpitämään järjestelmää, jonka avulla toimija tunnistaa ja hallitsee toimintaansa liittyvät vaarat ja varmistaa, että toiminta täyttää elintarvikesäännöksissä asetetut vaatimukset. 15 §:n 2 momentissa säädetään lisäksi toimijan velvoitteesta laatia näytteenotto- ja tutkimussuunnitelma salmonellan varalta, mikäli salmonellaa koskevien erityistakuiden piiriin kuuluvia elintarvikkeita tuodaan jäsenmaasta toiseen. Omavalvonnan tulokset tulee kirjata riittävällä tarkkuudella ja toimijan on osoitettava noudattavansa vaatimuksia viranomaisen edellyttämällä tavalla. 

Elintarvikelain 17 §:n mukaan toimijan on välittömästi ilmoitettava toimivaltaiselle valvontaviranomaiselle omavalvonnassa tai muulla tavalla esille tulleista vakavista vaaroista ihmisen terveydelle sekä toimenpiteistä, joihin epäkohtien korjaamiseksi on ryhdytty. Lisäksi 17 §:n 2 momentissa on säädetty toimijalle velvollisuus ilmoittaa valvontaviranomaiselle elintarvikkeen aiheuttamasta ruokamyrkytyksestä tai sen vaarasta. Valvontaviranomainen voi määrätä tuotteen poistettavaksi markkinoilta, mikäli toimiin ei ryhdytä oma-aloitteisesti ja tuotteen tiedot ovat olennaisesti säännösten vastaisia (57 §). Pykälään sisältyy myös valvontaviranomaisen yleinen oikeus tiedottaa asiasta. 

Elintarvikesektorin viranomaisvelvollisuuksista säädetään muun muassa elintarvikelain 24 §:ssä, 47 §:ssä, 48 §:ssä ja 82 §:ssä. Ruokaviraston tehtäviä koskeva 24 § velvoittaa Ruokaviraston suunnittelemaan, ohjaamaan, kehittämään ja suorittamaan valtakunnallisesti elintarvikevalvontaa. Lisäksi Ruokavirasto toimii Euroopan unionin lainsäädännössä ja kansainvälisissä sopimuksissa edellytettynä kansallisena viranomaisena tai yhteyspisteenä elintarvikevalvonnan osalta (esimerkiksi yleisen elintarvikeasetuksen 50 artiklassa tarkoitettu nopean hälytysjärjestelmän (RASFF) kansallinen yhteyspiste, EFSA Focal Point –yhteyspiste sekä elintarvikepetoksiin liittyvän tiedonvälitysverkoston yhteyspiste). Ruokavirasto myös laatii elintarvikkeita koskevan valtakunnallisen valmiussuunnitelman, jossa yksilöidään toimenpiteet, jotka toteutetaan, jos elintarvikkeiden on todettu aiheuttavan vakavan riskin ihmisten terveydelle. 

Elintarvikelain 48 § velvoittaa Ruokaviraston laatimaan zoonoosien seurantaan ja valvontaan tarvittavat näytteenottosuunnitelmat ja tekemään tarvittavat ilmoitukset zoonoositutkimusten tuloksista elintarvikealan toimijoille sekä viranomaisille. Myös kunnalle asetetaan velvollisuus ryhtyä toimenpiteisiin, mikäli zoonoosia esiintyy toistuvasti eläinten pitopaikassa tai pitopaikan epäillään olevan lähde ihmisessä todetulle zoonoosille. Kunnan velvollisuudesta laatia selvitys ruokamyrkytystä koskien säädetään 47 §:ssä. Lain 82 § säätää valvonnassa saatujen tietojen salassapitovelvollisuudesta. 

Elintarviketurvallisuutta koskee myös eläintautilaki (76/2021), jonka tavoitteena on eläintautien vastustaminen. Eläintautilain 18 §:n mukaan elintarvikelaissa tarkoitetun teurastamon, eläinsuojelulaissa (247/1996) tarkoitetun eläintarhan sekä eläinterveyssäännöstön tai tämän lain mukaista hyväksymistä edellyttävän sukusolujen pitopaikan on laadittava valmiussuunnitelma a-luokan tautien varalle, jos niissä käsitellään luetteloituihin lajeihin kuuluvia eläimiä. Maa- ja metsätalousministeriön asetuksella määritellään valmiussuunnitelman edellyttävät eläintaudit ja tarkennetaan valmiussuunnitelman sisältöä. Eläintautilaki velvoittaa toimijat (19 §) ja eläinlääkärit sekä laboratoriot (20 §) ilmoittamaan eläintaudeista kunnaneläinlääkärille tai aluehallintovirastolle. 22 §:n nojalla kunnanlääkärillä on velvollisuus ilmoittaa aluehallintovirastolle 19 ja 20 § mukaisesti hänelle ilmoitetusta eläintaudista. 

Valmiussuunnittelua koskevaa sääntelyä sisältyy myös tarttuvista eläintaudeista sekä tiettyjen eläinterveyttä koskevien säädösten muuttamisesta ja kumoamisesta annettuun Euroopan parlamentin ja neuvoston asetukseen (EU) 2016/429 ja virallisesta valvonnasta ja muista virallisista toimista, jotka suoritetaan elintarvike- ja rehulainsäädännön ja eläinten terveyttä ja hyvinvointia, kasvien terveyttä ja kasvinsuojeluaineita koskevien sääntöjen soveltamisen varmistamiseksi, sekä Euroopan parlamentin ja neuvoston asetusten (EY) N:o 999/2001, (EY) N:o 396/2005, (EY) N:o 1069/2009, (EY) N:o 1107/2009, (EU) N:o 1151/2012, (EU) N:o 652/2014, (EU) 2016/429 ja (EU) 2016/2031, neuvoston asetusten (EY) N:o 1/2005 ja (EY) N:o 1099/2009 ja neuvoston direktiivien 98/58/EY, 1999/74/EY, 2007/43/EY, 2008/119/EY ja 2008/120/EY muuttamisesta ja Euroopan parlamentin ja neuvoston asetusten (EY) N:o 854/2004 ja (EY) N:o 882/2004, neuvoston direktiivien 89/608/ETY, 89/662/ETY, 90/425/ETY, 91/496/ETY, 96/23/EY, 96/93/EY ja 97/78/EY ja neuvoston päätöksen 92/438/ETY kumoamisesta annettuun Euroopan parlamentin ja neuvoston asetukseen (EU) 2017/625.  

Elintarvikesektorin varautumis- ja riskinhallintavelvoitteista on säädetty lisäksi kasvinterveyslaissa ja osin tuotantopanoksia, kuten rehuja, lannoitteita ja kasvinsuojeluaineita koskevissa säädöksissä. Lisäksi CER-direktiivin kansallisen täytäntöönpanon arvioidaan edellyttävän muutoksia ja tarkennuksia elintarvikesektorin säädöksiin.  

Elintarvikevalvontaan liittyviä ohjeistuksia ja suunnitelmia ovat esimerkiksi ohje elintarvikehuoneiston ja kontaktimateriaalitoiminnan riskiluokituksesta ja elintarvikelainsäädännön mukaisen valvontatarpeen määrittämisestä, Elintarvikeketjun monivuotinen kansallinen valvontasuunnitelma 2021-2024 sekä monivuotinen kansallinen valvontasuunnitelma (VASU). 

Elintarvikelaissa taikka muissakaan elintarvikesektoria koskevissa laeissa ei ole tunnistettu päällekkäisyyksiä tai ristiriitaisuuksia NIS-sääntelyn kanssa, eikä sektorikohtaisen lainsäädännön muutostarpeita ole tunnistettu. 

3.14  Valmistussektori

Valmistussektori ei ole kuulunut NIS1-direktiivin soveltamisalaan. Valmistussektorin keskeisiä turvallisuusvelvollisuuksia sisältyy vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annettuun lakiin (390/2005), sähköturvallisuuslakiin (1135/2016) ja lakiin lääkinnällisistä laitteista. Säteilyturvallisuudesta säädetään säteilylaissa (859/2018). Valmistussektori on NIS2-direktiivin II-liitteessä jaettu lääkinnällisten laitteiden, tietokoneiden sekä elektronisten ja optisten tuotteiden, sähkölaitteiden, muiden koneiden ja laitteiden, moottoriajoneuvojen, perävaunujen ja puoliperävaunujen sekä muiden kulkuneuvojen valmistuksen osa-alueisiin. Valmistustoimialaa koskeva normaaliolojen sääntely on turvallisuussääntelyä, joka kohdistuu joko tuotteiden laatuun ja turvallisuuteen tai valmistuksessa käytettävien koneiden, laitteistojen tai kemikaalien käsittelyyn.  

3.15  Tutkimusorganisaatiot

Tutkimusorganisaatiot eivät kuuluneet NIS1-direktiivin soveltamisalaan NIS 2 -direktiivin 6 artiklan 41 kohdan mukaan tutkimusorganisaatiolla tarkoitetaan sellaista toimijaa, jonka ensisijaisena tavoitteena on harjoittaa soveltavaa tutkimusta tai kokeellista kehitystyötä kyseisen tutkimuksen tulosten hyödyntämiseksi kaupallisiin tarkoituksiin mutta joka ei ole opetus- ja koulutusalan laitos. Määritelmän mukaiseen soveltamisalaan on kansallisesti tunnistettu kuuluvan Teknologian Tutkimuskeskus VTT Oy (VTT).  

Teknologian tutkimuskeskus VTT Oy:stä säädetään laissa Teknologian tutkimuskeskus Oy –nimisestä osakeyhtiöstä (761/2014, jäljempänä VTT-laki ). Lain 2 §:n mukaan yhtiön tehtävänä on riippumattomana ja puolueettomana tutkimuslaitoksena edistää tutkimuksen ja teknologian laaja-alaista hyödyntämistä sekä kaupallistamista elinkeinoelämässä ja yhteiskunnassa. Lain 6 §:ssä säädetään varautumisvelvollisuudesta ja yhtiön velvollisuudesta varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa valmiussuunnitelmien ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmistelujen sekä muiden toimenpiteiden avulla.  

VTT-laissa ei säädetä yhtiöön kohdistuvista kyberturvallisuusvaatimuksista. 

3.16  Julkishallinnon toimiala

Julkishallinnon toimiala ei ole kuulunut NIS1-direktiivin soveltamisalaan, vaan se on lisätty erittäin kriittiseksi toimialaksi vasta NIS2-direktiivissä. Julkishallinnon toimialalla verkko- ja tietoturvallisuuteen kohdistuva yleislain tasoinen sääntely sisältyy julkisen hallinnon tiedonhallinnasta annettuun lakiin (906/2019, tiedonhallintalaki ). Julkisia toimijoita on kuulunut myös NIS1-direktiivin sääntelyn piiriin esimerkiksi terveydenhuollon sektorilla.  

3.17  Kyberturvallisuusstrategia

Voimassa oleva kansallinen kyberturvallisuusstrategia on hyväksytty valtioneuvoston periaatepäätöksenä 3.10.2019. Strategia perustuu Suomen 2013 kyberturvallisuusstrategiassa määriteltyihin yleisiin periaatteisiin. Kyberturvallisuusstrategian uudistus ja toimeenpano vuonna 2019 laadittiin hallitusohjelmakirjauksen pohjalta, ja oli myös osa EU:n kyberturvallisuusstrategian toimeenpanoa. Syinä vuoden 2019 uudistukseen ovat lisäksi olleet toimintaympäristössä tapahtuneet muutokset sekä kansallisesti havaitut kehittämiskohteet.  

Kyberturvallisuusstrategia asettaa keskeiset kansalliset tavoitteet, joilla pyritään kehittämään kybertoimintaympäristöä ja turvaamaan yhteiskunnan kannalta tärkeät toiminnot. Sen kolme strategista linjausta ovat kansainvälisen yhteistyön kehittäminen, kyberturvallisuuden johtamisen, suunnittelun ja varautumisen parempi koordinaatio sekä kyberturvallisuuden osaamisen kehittäminen.  

Kyberturvallisuusstrategian mukaisesti valtioneuvostoon on vuonna 2020 perustettu valtion kyberturvallisuusjohtajan tehtävä. Valtion kyberturvallisuusjohtajan johdolla on valmisteltu kyberturvallisuuden kehittämisohjelma. Valtioneuvoston periaatepäätös kyberturvallisuuden kehittämisohjelmasta on niin ikään laadittu vuoden 2019 kyberturvallisuusstrategian pohjalta valtion kyberturvallisuusjohtajan johdolla. Kehittämisohjelma on konkreettinen toimeenpanosuunnitelma, jonka tavoitteena on parantaa kyberturvallisuutta pitkäjänteisesti koko yhteiskunnassa. Suomen kyberturvallisuusstrategian täytäntöönpanoa seuraa Turvallisuuskomitea, joka toimii puolustusministeriön yhteydessä.  

Kyberturvallisuusstrategiaa on tarpeen päivittää tulevan hallituskauden aikana muuttuneen ympäristön sekä uusien sääntelyvelvoitteiden vuoksi. Nykyinen kyberturvallisuusstrategia tai kyberturvallisuuden kehittämisohjelma eivät sisällöllisesti täytä niitä vaatimuksia, jotka NIS2-direktiivi kyberturvallisuusstrategialle asettaa.  

Pääministeri Orpon hallitusohjelman mukaan kokonais- ja kyberturvallisuuden johtamisrakenne uudistetaan hallituskauden aikana pääministerin johdolla (luku 8) ja hallitus uudistaa kansallisen kyberturvallisuusstrategian vastaamaan muuttunutta toimintaympäristöä (luku 8.5). 

3.18  Toimilupa- ja sertifiointisääntely

NIS2-direktiivin 32 artiklan 5 kohdan ensimmäisen alakohdan a-alakohdassa edellytetään, että toimivaltaisilla viranomaisilla olisi oltava toimivalta keskeyttää väliaikaisesti tai pyytää toista tahoa keskeyttämään väliaikaisesti kansallisen lainsäädännön mukaisesti sertifiointi tai lupa, joka koskee keskeisen toimijan tarjoamia asiaankuuluvia palveluja tai toimintoja taikka osaa niistä. Toimiluvan tai sertifioinnin keskeyttäminen tulisi kuitenkin kyseeseen vain, jos lievemmän puuttumiskeinot eivät ole olleet tuloksekkaita, ja jos toimivaltainen viranomainen on ensin asettanut toimijalle määräajan, jonka kuluessa havaitut puutteet olisi korjattava, mutta toimija ei olisi korjannut havaittuja puutteita määräajan kuluessa. Määrättyjä keskeyttämisiä olisi sovellettava siihen asti, kunnes toimija toteuttaa tarvittavat toimet korjatakseen ne puutteet tai noudattaakseen niitä toimivaltaisen viranomaisen vaatimuksia, joiden johdosta seuraamukset määrättiin. Toimiluvan peruuttamista koskeva säännös ei soveltuisi julkishallinnon toimijoihin. 

NIS2-direktiivin säännös kohdistuu vain keskeisiin toimijoihin, eli vastaavaa toimivaltuutta ei olisi tarvetta säätää muiden kuin keskeisten toimijoiden osalta. Säännös kohdistuu lisäksi vain luvanvaraiseen tai sertifioituun toimintaan, eli vastaavaa toimivaltuutta ei olisi tarvetta säätää esimerkiksi ilmoituksen- tai rekisteröinninvaraisen toiminnan osalta. Edelleen, säännös kohdistuisi sertifioinnin tai luvan keskeyttämiseen kansallisen lainsäädännön mukaisesti, eli se ei kohdistuisi sellaisiin toimilupiin tai sertifiointeihin, joista on säädetty suoraan soveltuvassa EU-lainsäädännössä. 

NIS2-direktiivin soveltamisalaan kuuluvia, keskeisiä toimijoita koskevaa kansallista toimilupa- tai sertifiointisääntelyä on tunnistettu maa-asema- tai tutkatoimintaa harjoittavien toimijoiden, teleyritysten, sähkö- ja maakaasuverkkojen haltijoiden, öljyn tai vedyn käsittelyä tai varastointia harjoittavien toimijoiden sekä lääkkeitä tai lääkeaineita valmistavien toimijoiden osalta.  

Maa-asema- ja tutkatoimintaa harjoittavilta toimijoilta edellytetään maa-asemalain 4 §:ssä tarkoitettua toimilupaa. Luvan myöntää Liikenne- ja viestintävirasto, paitsi jos luvan myöntäminen ilmeisesti vaikuttaisi kansalliseen turvallisuuteen, jolloin luvan myöntää valtioneuvosto. Luvan myöntämisen edellytyksistä on säädetty maa-asemalain 4 §:ssä, ja luvan muuttamisesta ja peruuttamisesta on säädetty maa-asemalain 8 §:ssä. Luvan myöntänyt viranomainen voi muuttaa myönnettyä lupaa tai peruuttaa luvan, jos esimerkiksi toiminnanharjoittaja tai maa-asema- tai tutkatoiminta ei enää täytä luvan myöntämisen ehtoja, tai jos toiminnanharjoittaja on olennaisella tavalla laiminlyönyt tai rikkonut maa-asemalaissa säädettyä velvollisuutta tai rajoitusta taikka luvan ehtoja. Luvan peruuttamisen edellytyksenä on lisäksi, että luvan haltija ei viranomaisen kehotuksesta huolimatta ole kohtuullisessa määräajassa korjannut puutetta, virhettä, rikkomusta tai laiminlyöntiä. Lupa voitaisiin lisäksi peruuttaa vain erityisen painavista syistä tilanteissa, joissa luvan muuttaminen ei ole mahdollista. Luvan peruuttaminen ei vaikuttaisi olevan mahdollista sillä perusteella, että toiminnanharjoittaja on laiminlyönyt muussa kuin maa-asemalaissa säädettyjä velvollisuuksia. Maa-asemalain 8 §:ään onkin katsottu tarpeelliseksi lisätä maininta ehdotetun kyberturvallisuuslain velvoitteiden olennaisesta rikkomisesta luvan peruuttamisen perusteena. 

Yleisten sähköisten viestintäverkkojen tarjoajien sekä yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien, eli teleyritysten toiminta edellyttää sähköisen viestinnän palveluista annetun lain 3 luvussa tarkoitettua verkkotoimilupaa. Teletoimintaan verkkotoimiluvan myöntää valtioneuvosto. Teletoiminnan osalta NIS-sääntelyä valvova viranomainen olisi kuitenkin Liikenne- ja viestintävirasto. Sähköisen viestinnän palveluista annettuun lakiin ei ole tunnistettu tarpeelliseksi tehdä muutoksia toimilupasääntelyn osalta, sillä kyse ei olisi valvovan viranomaisen myöntämän luvan peruuttamisesta. 

Sähköverkkotoimintaa saa eräin poikkeuksin harjoittaa Suomessa sijaitsevassa sähköverkossa vain Energiaviraston myöntämällä sähköverkkoluvalla. Sähköverkkoluvan myöntämisestä on säädetty sähkömarkkinalain 5 §:ssä. NIS2-direktiivin soveltamisalaan kuuluvista keskeisistä toimijoista ainakin sähkön jakelu- tai kantaverkon haltijoilla tulisi olla sähkömarkkinalain mukainen sähköverkkolupa. Samoin maakaasuverkkotoimintaa saa eräin poikkeuksin harjoittaa Suomessa sijaitsevassa maakaasuverkossa vain Energiaviraston myöntämällä maakaasuverkkoluvalla. Maakaasuverkkoluvan myöntämisestä on säädetty maakaasumarkkinalain 5 §:ssä. NIS2-direktiivin soveltamisalaan kuuluvista keskeisistä toimijoista ainakin maakaasun siirto- tai jakeluverkon haltijoilla tulisi olla maakaasumarkkinalain mukainen maakaasuverkkolupa. Sähkö- ja maakaasuverkkoluvan peruuttamisesta säädetään sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain (590/2013) 23 §:ssä. Sen mukaan Energiavirasto voi peruuttaa sähkö- tai maakaasuverkkoluvan, jos luvanhaltija lopettaa verkkotoiminnan, ei enää täytä luvan myöntämisen edellytyksiä tai toistuvasti ja oleellisesti rikkoo lupaehtoja, tai eräitä sähkö- tai maakaasuverkkotoimintaa koskevia säädöksiä, eikä luvanhaltijalle etukäteen annettu varoitus luvan peruuttamisesta ole johtanut toiminnassa esiintyneiden puutteiden korjaamiseen. Luvan peruuttaminen ei vaikuttaisi olevan mahdollista sillä perusteella, että luvanhaltija on laiminlyönyt ehdotetussa kyberturvallisuuslaissa säädettyjä velvollisuuksia. sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain 23 §:ään onkin katsottu tarpeelliseksi lisätä maininta ehdotetun kyberturvallisuuslain velvoitteiden toistuvasta ja olennaisesta rikkomisesta luvan peruuttamisen perusteena. 

Kemikaaliturvallisuuslain 23 §:n mukaan vaarallisen kemikaalin laajamittaista teollista käsittelyä ja varastointia saa harjoittaa vain Turvallisuus- ja kemikaaliviraston luvalla. Kyseinen toimilupavaatimus saattaa koskea NIS2-soveltamisalaan kuuluvista keskeisistä toimijoista etenkin öljy- ja vetyalan toimijoita. Luvan myöntämisestä säädetään kemikaaliturvallisuuslain 23 a §:ssä ja peruuttamisesta 109 §:ssä. Valvontaviranomaisen tulee peruuttaa toiminnanharjoittamista koskeva lupa osittain tai kokonaan, jos toiminnanharjoittajan toteuttamissa toimenpiteissä onnettomuuksien estämiseksi ja rajoittamiseksi on todettu olevan vakavia puutteita. Sama koskee myös vaarallisten kemikaalien siirtoa. Lisäksi valvontaviranomainen voi peruuttaa toiminnanharjoittamista koskevan luvan, jos toiminnanharjoittaja ei ole määräajassa toimittanut vaadittua ilmoitusta tai selvityksiä taikka muita kemikaaliturvallisuuslain nojalla annettujen säännösten edellyttämiä tietoja toimenpiteistään onnettomuuksien estämiseksi tai rajoittamiseksi tai jos toiminnasta on todettu muutoin aiheutuvan kemikaaliturvallisuuslain 109 §:n 1 momentissa tarkoitettua vaaraa vähäisempää vaaraa. Luvan peruuttaminen ei vaikuttaisi olevan mahdollista sillä perusteella, että toiminnanharjoittaja on laiminlyönyt ehdotetussa kyberturvallisuuslaissa säädettyjä velvollisuuksia. Kemikaaliturvallisuuslain 109 §:ään onkin katsottu tarpeelliseksi lisätä maininta ehdotetun kyberturvallisuuslain velvoitteiden olennaisesta ja vakavasta rikkomisesta luvan peruuttamisen perusteena. Lääkkeiden valmistus edellyttää lääkelain 8 §:n mukaista lupaa (niin kutsuttu lääketehdaslupa). Lääkelain 8 §:n mukaisen luvan myöntää Lääkealan turvallisuus- ja kehittämiskeskus. Lääkelain 101 a §:ssä säädetään tilanteista, jolloin Lääkealan turvallisuus- ja kehittämiskeskus voi peruuttaa lääkkeiden valmistustoiminnan harjoittamiseen myönnetyn luvan väliaikaisesti tai kokonaan. Luvan voisi peruuttaa, jos jokin luvan myöntämiseen liittyvä vaatimus ei enää täyty tai jos jotakin turvallisuuden tai laadun kannalta olennaista velvoitetta ei ole täytetty. Ehdotetun kyberturvallisuuslain velvoitteiden on arvioitu olevan sellaisia turvallisuuden kannalta olennaisia vaatimuksia, että niiden laiminlyönti voisi täyttää toimiluvan peruuttamisen edellytykset. Lääkelakiin ei ole tunnistettu tarpeelliseksi tehdä muutoksia toimilupasääntelyn osalta. 

NIS 2 –direktiivin 32 artiklan 5 kohdan a-alakohdan täytäntöönpano edellyttäisi edellä arvioituja muutoksia kansalliseen toimilupasääntelyyn.  

4.1  Keskeiset ehdotukset

Esityksessä ehdotetaan säädettäväksi uusi kyberturvallisuuslaki. Laki sisältäisi kootusti NIS2-direktiivin edellyttämät kyberturvallisuuden riskienhallintaa ja poikkeamaraportointia koskevat vähimmäisvelvoitteet sen soveltamisalaan kuuluville toimijoille. Laissa noudatettaisiin NIS2-direktiivin edellyttämää vähimmäistasoa velvoitteiden soveltamisalan, laajuuden ja valvonnan suhteen. Lisäksi laissa säädettäisiin direktiivin edellyttämällä tavalla viranomaistehtävistä, eli valvovasta viranomaisesta, velvoitteiden noudattamisen valvonnasta ja valvontatoimivaltuuksista sekä hallinnollisesta seuraamusmaksusta, jonka määräisi uusi Liikenne- ja viestintäviraston yhteyteen perustettava seuraamusmaksulautakunta. Laissa säädettäisiin myös tietoturvaloukkauksiin reagoivasta ja niitä tutkivasta yksiköstä (CSIRT-yksikkö) ja sen tehtävistä. CSIRT-yksikkö sijoitettaisiin Liikenne- ja viestintäviraston Kyberturvallisuuskeskukseen. Direktiivin pääasiallinen täytäntöönpanomenetelmä olisi uudelleenkirjoittaminen. Direktiivin velvoitteet ja vaatimukset uudelleen kirjoitettaisiin kansalliseen lainsäädäntöön erityisesti siltä osin, kun ne kohdistuvat toimijoihin. Täytäntöönpano tehtäisiin direktiivin vähimmäisvaatimusten mukaisesti ja kansallista liikkumavaraa hyödyntäen.  

Yksinomaan julkishallinnon toimialaan kohdistuvista velvoitteista ja niiden noudattamisen valvonnasta säädettäisiin erikseen tiedonhallintalaissa. CSIRT-yksikköä koskevaa sääntelyä, tietojen vaihtoa ja viranomaisyhteistyötä koskevaa sääntelyä sovellettaisiin myös julkishallinnon toimialalla siltä osin kuin niistä ei säädettäisi tiedonhallintalaissa. Jos julkinen toimija toimii jollain NIS2-direktiivin muista toimialoista, se voi kuulua NIS2-sääntelyn piiriin myös tai vain kyberturvallisuuslain nojalla. Tämä koskee esimerkiksi hyvinvointialueita ja -yhtymiä, Helsingin kaupunkia sekä niitä kuntia, jotka harjoittavat toimintaa, joka on kuvattu muissa NIS2-direktiivin liitteiden I ja II kohdissa kuin liitteen I kohdassa 10. Vaikka tiedonhallintalakiin esitettyjä NIS2-direktiivistä johtuvia velvoitteita ei ehdoteta sovellettavaksi muiden kuntien kuin Helsingin kaupungin (siltä osin kuin se hoitaa laissa hyvinvointialueen järjestämisvastuulle säädettyjä tehtäviä) toimintaan, voisi muukin kunta kuulua NIS2-sääntelyn piiriin kyberturvallisuuslain perusteella, mikäli se harjoittaisi lain liitteessä I tai II tarkoitettua toimintaa tai CER-direktiivin nojalla kriittiseksi tunnistettua toimintaa ja täyttäisi sen toiminnan osalta toimijan määritelmän. Paikallistason julkishallintoa koskevan kansallisen liikkumavaran mukaisesti velvoitteita ei sovellettaisi muilta osin kuntiin.  

Finanssialan toimijoita ei ehdoteta sisällytettävän kyberturvallisuuslain soveltamisalaan, sillä kyseisiin toimijoihin sovellettaisiin DORA-asetusta ja sitä täytäntöönpanevaa sääntelyä. DORA-asetuksessa asetetaan finanssialan toimijoille NIS2-direktiivin velvoitteita pidemmälle meneviä velvoitteita kyberuhkiin varautumiseksi. 

Sähköisen viestinnän palveluista annetussa laissa pantaisiin täytäntöön verkkotunnusten rekisteröintitietojen tietokantaa koskevan NIS2-direktiivin 27 ja 28 artiklan edellyttämät seikat aluetunnusrekisteriä ja verkkotunnusvälittäjiä koskien. 

Kyberturvallisuuden riskienhallinta- ja raportointivelvoitteet kohdistuisivat yksityisiin tai julkisiin toimijoihin, jotka harjoittaisivat liitteessä I tai II tarkoitettua toimintaa, ja olisivat kooltaan komission pk-yrityksiä koskevan kokomääritelmän mukaisesti keskisuuria tai suurempia. Eräin poikkeuksin velvoitteet voisivat koskea myös tätä pienempiä yrityksiä. Lakiin sisältyisi myös säännös, jonka nojalla valtioneuvoston asetuksella voitaisiin tietyin edellytyksin säätää toimijan kuulumisesta lain soveltamisalaan sen koosta riippumatta. Laissa säädettäisiin myös näihin toimijoihin kohdistuvien riskienhallinta- ja raportointivelvoitteiden valvonnasta. 

Valvovat viranomaiset nimettäisiin sektorikohtaisesti NIS1-direktiivin mukaista valvontamallia jatkaen. Valvova viranomainen määräytyisi sektorikohtaisen toimijan mukaan. Valvovia viranomaisia olisivat sektoreittain Liikenne- ja viestintävirasto, Energiavirasto, Turvallisuus- ja kemikaalivirasto, Sosiaali- ja terveydenalan lupa- ja valvontavirasto, Etelä-Savon ELY-keskus, Ruokavirasto, Lääkealan turvallisuus ja kehittämiskeskus sekä Finanssivalvonta. Valvontavastuu toimialoittain jakautuisi seuraavasti: 

Taulukko 7: 

Esityksessä ehdotetaan käytettäväksi kansallinen liikkumavara siitä, että valvova viranomainen saisi kohdentaa valvontaa riskiperusteisesti ja ensisijaisesti keskeisiin toimijoihin.  

Tietoturvaloukkauksiin reagoivana ja niitä tutkivana CSIRT-yksikkönä sekä keskitettynä yhteyspisteenä toimisi jatkossakin Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.  

NIS2-direktiivin edellyttämien hallinnollisten sanktioiden enimmäismäärät olisivat tasolla, joka on direktiivin alin sallima enimmäismäärä. Hallinnolliset sanktiot määräisi seuraamusmaksulautakunta valvovan viranomaisen esityksestä. Seuraamusmaksulautakunta olisi uusi sivutoiminen elin, joka koostuisi valvovien viranomaisten nimeämistä jäsenistä. Kansallista liikkumavaran nojalla ehdotetaan säädettäväksi, ettei NIS2-direktiivin hallinnollisia seuraamusmaksuja voitaisi määrätä julkishallinnon toimijoille. 

Esityksellä säädettäisiin valtioneuvostolle velvoite hyväksyä kyberturvallisuusstrategia, jossa on NIS2-direktiivin edellyttämä vähimmäissisältö. NIS2-direktiivin tarkoittamana kyberkriisinhallintaviranomaisena toimisi kukin viranomainen sille laissa säädettyjen tehtävien mukaisesti. Kyberkriisinhallintaviranomaisten välisenä koordinaattorina toimisi Liikenne- ja viestintäviraston Kyberturvallisuuskeskus, joka vastaisi myös kansallisen NIS2-direktiivin edellyttämän kyberkriisinhallintakehyksen laatimisesta laajamittaisten kyberturvallisuuspoikkeamien ja –kriisien hallitsemiseksi yhteistyössä muiden viranomaisten kanssa. Esityksellä ei ehdoteta muutettavaksi turvallisuusviranomaisten nykyisiä toimivaltuuksia tai tehtävänjakoa laajamittaisen kyberturvallisuuspoikkeaman ja –kriisin hallitsemisessa. 

Esityksellä kumottaisiin sektorikohtaisesta sääntelystä NIS1-direktiivin täytäntöönpanemiseksi annettuja säännöksiä, koska säännökset olisivat jatkossa päällekkäisiä suhteessa uuteen NIS2-direktiivin täytäntöönpanemiseksi annettavaan lakiin ja NIS1-direktiivi on muutoinkin kumottu NIS2-direktiivillä. Kumottavaksi tai muutettavaksi ehdotetaan säännöksiä sähköisen viestinnän palveluista annetusta laista, ilmailulaista, raideliikennelaista, liikenteen palveluista annetusta laista, alusliikennepalvelulaista, eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetusta laista, sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetusta laista, sähkömarkkinalaista, maakaasumarkkinalaista ja sähkö- ja maakaasumarkkinoiden valvonnasta annetusta laista. Lisäksi NIS2-direktiivin täytäntöönpanoon liittyviä teknisiä muutoksia tehtäisiin Energiavirastosta annettuun lakiin. 

Esityksessä ei käytettäisi NIS2-direktiivin kansallista liikkumavaraa keskeisen toimijan määritelmän laajentamisesta siten, että määritelmään sisällytettäisiin erikseen myös NIS1-direktiivin nojalla tunnistetut keskeisten palvelujen tarjoajat tilanteessa, jossa ne eivät muuten olisi NIS2-direktiivin nojalla keskeisiä toimijoita. 

Esityksessä ei ehdoteta käytettäväksi kansallista liikkumavaraa NIS2-direktiivin soveltamisesta paikallistason julkishallinnon toimialan toimijoihin tai opetus- ja koulutusalan laitoksiin. Poikkeuksena velvoitteita sovellettaisiin Helsingin kaupunkiin siltä osin kuin se hoitaa tehtäviä, jotka on laissa säädetty hyvinvointialueen järjestämisvastuulle.  

Esityksessä ehdotetaan säädettäväksi kansallisen liikkumavaran sallima poikkeus NIS2-direktiivistä aiheutuvien velvoitteiden soveltamiseen erityisiin toimijoihin, jotka tarjoavat palveluita sellaisille julkishallinnon toimijoille, jotka harjoittavat toimintaa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet, tai harjoittavat sellaista toimintaa itse. Kansallista liikkumavaraa käytettäisiin täysimääräisesti NIS2-direktiivin sallimalla tavalla velvoitteiden kohdistumisesta näihin toimijoihin. 

Esityksessä ei ehdoteta säädettäväksi kansallisia lisävaatimuksia eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien käytölle. 

4.2  Pääasialliset vaikutukset

4.3  Taloudelliset vaikutukset

4.4  Vaikutukset viranomaisten toimintaan

4.5  Muut ihmisiin kohdistuvat ja yhteiskunnalliset vaikutukset

5.1  Vaihtoehdot ja niiden vaikutukset

5.2  Muiden jäsenvaltioiden suunnittelemat tai toteuttamat keinot

6.1  Lausuntokierros

Esitys on ollut lausuntokierroksella suomeksi kahdeksan viikkoa ajalla 3.10.–29.11.2023. Esitys on ollut lausuntokierroksella ruotsiksi yhteensä kahdeksan viikkoa ajalla 6.10.–1.11. (pykälät ja osa perusteluista) ja 1.11.–4.12.2023 (kokonaisuudessaan). Esitys on ollut lausuttavana Ahvenanmaan maakuntahallituksella kahdeksan viikkoa ajalla 2.11. – 29.12.2023. 

Esityksestä vastaanotettiin yhteensä 131 lausuntoa.  

Lausuntopalautteesta on laadittu lausuntoyhteenveto, jossa kuvataan lausuntojen keskeisin palaute ja merkityksellisimmät näkökannat. Lausuntopalaute ja lausuntoyhteenveto on saatavilla Valtioneuvoston hankeikkunasta hanketunnuksella LVM027:00/2023 (linkki: https://valtioneuvosto.fi/hanke?tunnus=LVM027:00/2023 ).  

Lausuntopalautteessa pidettiin yleisesti tärkeänä ja kannatettavana esityksen tavoitteita kyberturvallisuuden vahvistamiseksi yhteiskunnassa. Kyberturvallisuuden riskienhallinta- ja raportointivelvoitteiden asettamista lain tasolla pidettiin kannatettavana. Velvoitteista säätämistä keskitetysti uudella toimialarajat ylittävällä lailla pidettiin kannatettavana. Lausunnoissa kannatettiin niin ikään NIS2-direktiivin täytäntöönpanoa sen velvoitteiden vähimmäistasolla ja kansallinen liikkumavara esitetyllä tavalla hyödyntäen. Lausunnoissa esitettiin runsaasti yksityiskohtaisia ja teknisiä huomioita esitetystä sääntelystä. 

Toimialakohtaisesti hajautettua valvontamallia ja valvonnan yhdistämistä muuhun toimijoihin kohdistuvaan valvontaan pääosin kannatettiin lausuntopalautteessa. Oikeusministeriö arvioi lausunnossaan keskitetyn valvontamallin toimialakohtaista hajautusta perustellummaksi tavaksi järjestää valvonta. Eräisiin toimijoihin kohdistuisi valvontaa useamman viranomaisen toimesta, esimerkiksi hyvinvointialueet, jotka kuuluisivat sekä julkishallinnon että terveyssektorin määritelmien alaan.  

Ahvenanmaan maakuntahallitus totesi, että NIS2-direktiivin soveltamisalan osalta lainsäädäntövalta jakautuu maakunnan ja valtakunnan kesken. Maakuntahallituksessa on valmisteltu lainsäädäntöä julkishallinnon tiedonhallinnasta, ja alustavasti onkin arvioitu, että tiedonhallintalain 4 a lukuun ehdotettavia säännöksiä vastaavat säännökset voitaisiin sisällyttää myös maakunnassa valmisteltavana olevaan lainsäädäntöön. Maakunnan lainsäädännön jatkovalmistelussa olisi edelleen selvennettävä, miten NIS2-direktiivi täytäntöönpannaan mahdollisimman tarkoituksenmukaisesti ja yksinkertaisesti maakunnan lainsäädäntötoimivaltaan kuuluvalta osin. Koska ehdotettu valtakunnan lainsäädäntö muodostaa integroidun ja monimutkaisen kokonaisuuden, jatkovalmistelussa olisi selvitettävä tarkemmin, onko maakunnan NIS2-direktiivin täytäntöönpanoa ja hallintotehtävien hoitamista tarpeen sovittaa yhteen maakunnan ja valtakunnan välillä ja jos on, niin miten. 

Tiedonhallintalakia koskevien lausuntojen perusteella turvallisuusluokitteluvelvoitteen piiriin kuuluvia viranomaisia ja muita tahoja tulisi selvittää laajempana kokonaisuutena eikä pistemäisesti lisätä sääntelyn piiriin vain yhtä toimijaa. Lausuntopalautteen johdosta on poistettu tiedonhallintalain 18 §:n 1 momenttia eli turvallisuusluokitteluvelvollisuutta koskenut muutosehdotus. 

Lausuntopalautteen johdosta esitykseen on tehty muutoksia, täsmennyksiä ja täydennyksiä. Esityksen keskeisiä ehdotuksia sääntelytavasta, -tasosta tai viranomaistehtävistä ei ole muutettu lausuntopalautteen johdosta. Lausuntopalautteen johdosta esitykseen on tehty seuraavia muutoksia.  

Soveltamisalan osalta esityksessä on pyritty tarkentamaan toimijan määritelmää ja siihen liittyvää kokokriteeriä. Perusteluihin on tarkennettu kokokriteerin soveltumista sekä toimijan määritelmän käsittämistä oikeushenkilökohtaisesti. Perusteluissa on selkiytetty lain soveltumista koko oikeushenkilöön, vaikka vain osa toiminnasta olisi liitteessä I tai II tarkoitettua toimintaa. sekä koko oikeushenkilön toiminnan huomioimista arvioitaessa kokoedellytyksen täyttymistä. Toimijan määritelmän kokoedellytyksestä poikkeamiseen liittyvää valtioneuvoston asetuksenantovaltuutta on tarkennettu siten, että se koskisi toimijan sijaan laissa säädettyjen kriteerien tarkentamista. Lisäksi soveltamisalaan on lisätty kansallinen rajaus lain soveltumisesta kuntalaissa tarkoitettuun kuntaan vain siltä osin, kun kunta harjoittaa liitteessä I tai II tarkoitettua taikka CER-direktiivin nojalla kriittiseksi määritettyä toimintaa. Lisäksi soveltamisalaan on lisätty selventävä rajaus siitä, ettei lakia olisi sovellettava vähäiseen ja satunnaiseen liitteessä I tai II tarkoitettuun toimintaan.  

Toimialakohtaisesti soveltamisalaa on täsmennetty postipalveluiden, tieliikenteen ja terveyssektorin osalta. Postipalveluiden osalta soveltamisalaan kuuluisivat postidirektiivissä tarkoitetut postipalvelujen tarjoajat. Tieliikenteen osalta soveltamisalaan kuuluisivat liikenteen palveluista annetun lain 15 luvussa tarkoitetun tieliikenteen ohjaus- ja hallintapalvelun tarjoajat.  

Terveyssektorilla terveydenhuollon tarjoajan määritelmää on tarkennettu siten, että soveltamisalaan kuuluisivat sosiaali- ja terveydenhuollon valvonnasta annetussa laissa tarkoitetut palveluntuottajat, jotka tuottavat terveyspalvelua, sekä veripalvelulain mukaiset veripalvelulaitokset, apteekit ja muut potilasdirektiivin mukaiset terveydenhuollon ammattihenkilöt, jotka toimittavat tai tarjoavat lääkkeitä tai lääkinnällisiä laitteita. Soveltamisala vastaisi terveyssektorilla potilasdirektiivin mukaista NIS 2 –direktiivin edellyttämää vähimmäissoveltamisalaa yhdessä tiedonhallintalain soveltamisalan kanssa. 

Tiedonhallintalaissa uuden 4 a luvun soveltamisalaa koskeva 3 § on lausuntokierroksen johdosta muotoiltu uudelleen ja sisällöllisesti muutettu siten, että tasavallan presidentin kanslia ja kolmansissa maissa sijaitsevat edustustot eivät kuuluisi sääntelyn soveltamisalaan. Muutamien julkisten toimijoiden asemaa on selkeytetty perusteluissa. Eduskunnan virastojen osalta sääntelyä muutettiin siten, että virastot kuuluisivat soveltamisalaan. Soveltamisalaa on myös täsmennetty sen osalta, että CER-direktiivin nojalla kriittiseksi toimijaksi määritettyyn julkishallinnon toimialan toimijaan sovellettaisiin 3 §:n rajauksista huolimatta 4 a lukua. Lakiehdotukseen lisättiin myös kriittisen toimijan määritelmä. Soveltamista täsmennettiin myös niiden viranomaisten osalta, joihin ei sovellettaisi valvovan viranomaisen toimivaltuuksia koskevia säännöksiä. 

Kyberturvallisuuslain ja tiedonhallintalain välistä suhdetta selkeytettiin määrittelemällä laeissa (tiedonhallintalaki 1 § 2 mom ja kyberturvallisuuslaki 1 §) selkeämmin, mitä osin NIS2-direktiivi täytäntöönpannaan tiedonhallintalailla ja miltä osin kyberturvallisuuslailla. Tiedonhallintalain 18 h §:n viittaussäännöksiä sekä valvovan viranomaisen toimivaltaa koskevia pykäliä muotoiltiin lakien välisen suhteen selkeyttämiseksi. 

Toimijoihin kohdistuvan riskienhallinta- ja raportointivelvoitteen osalta sekä kyberturvallisuuslaissa että tiedonhallintalaissa on täsmennetty merkittävän poikkeaman määritelmää. Merkittävä poikkeama edellyttäisi taloudellisen haitan osalta huomattavuutta. Riskienhallinta- ja raportointivelvoiteisiin liittyvän valvovan viranomaisen määräyksenantovaltuuden alaa on kavennettu. Valvova viranomainen voisi määräyksellä täsmentää toimialakohtaisia seikkoja riskinhallinnassa, toimitusketjujen unionin tason riskiarviointien huomioimista, sekä poikkamailmoituksiin ja – raportteihin liittyviä teknisiä menettelytapoja ja tietosisältöjä. Liikenne- ja viestintävirasto voisi antaa ohjeistusta riskienhallintavelvoitteeseen ja riskienhallintatoimenpiteisiin liittyvistä seikoista. Lakiin on lisätty viittaussäännökset Euroopan komission antamien täytäntöönpanosäädösten soveltamisesta riskienhallinnassa ja merkittävän poikkeaman määritelmässä. Lisäksi riskinhallintavelvoitetta koskevia perusteluita on tarkennettu ja täsmennetty erityisesti toimitusketjun huomioimista koskevan osa-alueen osalta, joka kattaisi toimijan välittömät toimitusketjut. Merkittävistä poikkeamista raportointia koskien lakiin on lisätty säännös valvovan viranomaisen velvollisuudesta ilmoittaa merkittävästä poikkeamasta poliisille, jos merkittävän poikkeaman epäillään aiheutuvan rikoksesta, josta säädetty enimmäisrangaistus olisi vähintään kolme vuotta vankeutta. 

Myös tiedonhallintalakiin lisättiin tarpeelliset viittaukset komission täytäntöönpanosäädöksiin ja delegoituihin säädöksiin. 

Tiedonhallintalain 4 a luvun riskienhallintaan liittyviä velvoitteita yhtenäistettiin kyberturvallisuuslain vastaavien velvoitteiden kanssa. Tiedonhallintalaissa riskin määritelmä kuitenkin muutettiin kyberriskiksi, koska tiedonhallintalaki sisältää muitakin riskienhallintavelvoitteita, joihin NIS2-direktiiivn riskin määritelmä ei täysin sovellu. 

CSIRT-yksikön osalta laissa säädettäisiin täsmällisemmin sille asetettavista vaatimuksista. Haavoittuvuuskartoitusta koskevaan ehdotukseen on tarkennettu, ettei kartoituksessa käsitellä luottamuksellisen viestinnän suojan alaan kuuluvia tietoja. Vapaaehtoisten kyberturvallisuustietojen jakamisjärjestelyiden osalta lakiin on tehty täsmennyksiä koskien tiedonvaihtoa jakamisjärjestelyssä. CSIRT-yksiköllä olevien tietojen palomuurisäännöstä suhteessa lain valvontaan on tarkennettu.  

Valvontavastuun osalta valvontatehtävien jakoa on tarkennettu vety- ja maakaasualan toimijoiden osalta Energiaviraston ja Turvallisuus- ja kemikaaliviraston välillä. Terveyssektorilla ehdotettua valvontatehtävien jakoa on tarkennettu Sosiaali- ja terveysalan lupa- ja valvontavirasto Valviran ja Lääkealan turvallisuus- ja kehittämiskeskus Fimean välillä. Valvontatoimivaltuuksien osalta esityksestä on poistettu säännös huomautuksen antamisesta ja tarkennettu varoituksen antaminen kirjallisena. Valvovan viranomaisen tiedonsaantioikeutta koskevia säännöksiä on täsmennetty ja säännökset yhdistetty. Tarkastustoimivaltuutta on tarkennettu siten, että valvova viranomainen voisi käyttää tarkastuksessa vain apuna ulkopuolista, mutta ei ulkoistaa tarkastusta. Johdon vastuuta ja johdon toiminnan kieltämistä koskevista säännöksistä on poistettu viittaus johdon välittömässä alaisuudessa toimiviin henkilöihin sekä tarkennettu johdon toiminnan kieltämisen liittymistä kiellon perusteena olevan puutteen tai laiminlyönnin jatkumiseen.  

Oikaisuvaatimusmenettelyn sijasta muutosta valvovan viranomaisen päätökseen haettaisiin suoraan oikeudenkäynnistä hallintoasioissa annetussa laissa säädetyssä järjestyksessä, Lausuntopalautteen perusteella oikaisuvaatimusmenettely olisi epätarkoituksenmukainen osa muutoksenhakumenettelyä, sillä valvontapäätökset perustuisivat valvovassa viranomaisessa tapauskohtaiseen harkintaan. 

Luvan tai sertifioinnin peruuttamista tai toimijan toiminnan rajoittamista koskeva toimivaltasäännös on poistettu kyberturvallisuuslaista. Sen sijasta esitykseen on lisätty säännökset, joissa kyberturvallisuuslain velvoitteiden rikkominen lisättäisiin luvan peruuttamisperusteeksi eräiden toimilupien osalta. Kyseiset muutokset on lisätty liitelakeina maa-asemalakiin, sähkö- ja maakaasumarkkinoiden valvonnasta annettuun lakiin ja kemikaaliturvallisuuslakiin. 

Esityksessä olevia vaikutusarviointeja sekä vaikutuksia viranomaistoiminnalle ja julkistaloudelle on täydennetty ja päivitetty lausuntokierroksen aikana ja lausuntokierroksella esitettyjen arvioiden johdosta. Vaikutusarviointiin on lisätty tiedonhallinnan muutosvaikutuksia koskeva arvio.  

Lisäksi esityksen säätämisjärjestysperusteluita on tarkennettu ja laajennettu lausuntokierroksen johdosta. Esityksen säätämisjärjestystä koskeviin perusteluihin on lisätty arvio esityksen suhteesta omaisuudensuojaan, valtion toimielinten yleisistä perusteista säätämiseen, eräiden valtioelinten ja viranomaisten asemaan sekä Ahvenanmaan itsehallintoon.  

Verkkotunnusten rekisteröintiä koskien sähköisen viestinnän palveluista annettuun lakiin on lisätty säännös oikaisuvaatimuksesta muutoksenhakukeinona viranomaisen päätökseen, joka koskee verkkotunnuksen rekisteröinnin estämistä tai rekisteröinnin poistamista.  

Esitykseen on tehty myös lausuntopalautteen johdosta muita, pienempiä ja lainsäädäntöteknisiä muutoksia, täsmennyksiä ja täydennyksiä. 

6.2  Muu kuuleminen

Esityksen valmistelusta on viestitty aktiivisesti sidosryhmille ja sidosryhmiä on kuultu valmistelun aikana myös muutoin kuin lausuntokierroksen aikana.  

Esityksen valmistelun aikana on järjestetty avoimet kuulemistilaisuudet 30.3.2023 ja 9.10.2023 NIS2-direktiivin kansallisesta toimeenpanosta Suomessa. Lisäksi 4.5.2023 on järjestetty avoin webinaari koskien NIS2-direktiivin kansallista toimeenpanoa julkishallinnon sektorilla. Kuulemistilaisuuksien aineisto on saatavilla Valtioneuvoston hankeikkunassa hanketunnuksella LVM044:00/2022 (linkki: https://valtioneuvosto.fi/hanke?tunnus=LVM044:00/2022 ).  

NIS2-direktiivin toimeenpanoa tukeva päätyöryhmä on kutsunut keskeisten sidosryhmien edustajia kuultavaksi päätyöryhmän kokouksiin 18.4.2023 ja 25.5.2023. Kokouksissa kuultavat sidosryhmät ovat olleet FiCom ry, FISC – Kyberala ry, Finanssiala ry, Elinkeinoelämän keskusliitto ry, Energiateollisuus ry, Teknologiateollisuus ry, Kemianteollisuus ry, Elintarviketeollisuusliitto ja Päivittäistavarakauppa ry. 

Esityksen valmistelua on edeltänyt Euroopan komission verkko- ja tietoturvadirektiivistä (NIS-direktiivi) ja sen soveltamisesta eri jäsenvaltioissa tekemä uudelleenarviointi vuonna 2020. Komissio on järjestänyt direktiivistä julkisen kuulemisen vuoden 2020 aikana. Suomikin vastasi osaltaan julkiseen kuulemiseen ennakkovaikuttamislinjausten perusteella (E 107/2020 vp).  

Kansallisesti sidosryhmiä on kuultu NIS2-direktiivin ennakkovaikuttamisen ja EU-neuvotteluiden aikana muun muassa EU-jaostoissa pidettyjen esitysten kautta, sidosryhmille erikseen pidettyjen useiden esitysten kautta sekä epävirallisen kansallisen seurantaryhmäjakelun kautta. Hallituksen esityksen valmistelun aikana on lisäksi pidetty useita esityksiä NIS2-direktiivistä ja sen kansallisesta täytäntöönpanosta sidosryhmille sekä käyty keskustelua ja kuultu näkemyksiä näiden tilaisuuksien yhteydessä.  

6.3  Lainsäädännön arviointineuvoston lausunto

Lainsäädännön arviointineuvosto on antanut luonnoksesta hallituksen esitykseksi lausunnon 29.2.2024 asianumerolla VN/5157/2024-VNK-2. Lausumanaan arviointineuvosto katsoi, että hallituksen esitysluonnos noudattaa välttävästi lainvalmistelun vaikutusarviointiohjetta. Hallituksen esitysluonnoksessa on olennaisia puutteita ja esitysluonnosta tulee korjata neuvoston lausunnon mukaisesti ennen hallituksen esityksen antamista. Esityksen vaikutusarviointia on täydennetty lainsäädännön arviointineuvoston lausunnon johdosta.  

Arviointineuvosto katsoi, että esitysluonnos sisältää laajan kuvauksen täytäntöönpantavasta direktiivistä, mutta esitysluonnos on hajanainen ja vaikealukuinen. Arvioneuvosto katsoi, että kokonaiskuvan saaminen vaikutuksista edellyttäisi tiivistelmää keskeisistä vaikutuksista. Keskeisimpinä puutteina ja kehityskohteina arviointineuvosto katsoi, että esityksessä tulisi antaa suuntaa-antava arvio soveltamisalan piiriin tulevien toimijoiden kokonaismäärästä, arvioida tarkemmin yritysten kustannuksia suhteessa liikevaihtoon, IT-kustannuksiin ja yrityskokoon, selkeyttää esimerkein raportointivelvollisuuden piiriin kuuluvia tilanteita ja raportoinnista yrityksille aiheutuvia kustannuksia sekä kiinnittää paremmin huomiota sääntelykokonaisuuden ymmärrettävyyteen esimerkiksi havainnollistamalla keskeisten ja muiden toimijoiden eroa ja sääntelyn eroavaisuuksia niiden välillä kaaviolla tai taulukolla. Lisäksi arviointineuvosto katsoi, että jos esityksellä arvioidaan olevan yhteiskunnan häiriöttömän toiminnan kautta olennaisia vaikutuksia kansalaisille, niitä tulisi käsitellä esityksessä. Arviointineuvosto katsoo, että vaikutusten ymmärrettävyyden parantamiseksi tulisi laatia tiivistelmä, josta saisi kokonaiskuvan olennaisista määrällisistä ja laadullisista vaikutuksista. Lisäksi arviointineuvosto katsoi, että esitystä tulisi muutenkin tiivistää. Arviointineuvosto katsoi myös, että esityksessä tulisi kuvata selvemmin täytäntöönpantavan direktiivin tavoitteet ja siitä seuraavat sääntelyvelvoitteet sekä direktiivin linkittyminen muuhun EU-lainsäädäntöön sekä kuvata nykyisiä ja ennakoituja ongelmia kyberturvallisuudessa. Arviointineuvosto katsoi myös, että sääntelyn toimeenpanoon liittyviä riskejä ja epävarmuuksia voisi käsitellä laajemmin vaikutusarviointien yhteydessä. Lisäksi arviointineuvosto katsoi, että julkishallinnolle velvoitteiden noudattamisesta aiheutuvia kustannuksia tulisi arvioida vielä euromääräisesti, jos mahdollista.  

Arviointineuvosto piti myönteisenä, että esityksestä käy hyvin ilmi sen kansallinen liikkumavara ja sen käyttöä koskevat ehdotukset. Arviointineuvosto piti myönteisenä, että valmistelua on tehty poikkihallinnollisesti työryhmätyönä ja siinä on hankittu tietoa sidosryhmien näkemyksistä ja vaikutuksista muun muassa teettämällä erillinen selvitys sekä haastattelemalla ehdotettavan sääntelyn piiriin tulevia toimijoita. Arviointineuvosto pitää myönteisenä, että esitysluonnoksen vaikutusarviointien tekemisessä on hyödynnetty sääntelytaakkalaskuria ja laskelmia on havainnollistettu taulukon avulla. 

Arviointineuvoston lausunnon johdosta esitykseen on lisätty suuntaa-antava arvio sääntelyn piiriin tulevien toimijoiden kokonaismäärästä sekä arvio siitä osuudesta toimijoita, joka tulisi sääntelyn piiriin uusina. Lisäksi esitykseen on lisätty suuntaa-antava arvio keskeisten toimijoiden kokonaismäärästä. Esitykseen on täydennetty myös arviota riskienhallintavelvoitteesta aiheutuviin kustannuksiin suhteessa yritysten liikevaihtoon tai IT-kustannuksiin. Näihin arvioihin liittyy jaksossa 4 kuvattuja merkittäviä epävarmuustekijöitä, sillä yritys- ja toimintakohtaiset erot tekevät soveltamisalan laajuus huomioiden yleistettävien arvioiden esittämisen erittäin haastavaksi. Riskienhallinnasta aiheutuva kustannus on lähtökohtaisesti suhteessa toiminnan laatuun ja laajuuteen, mutta on keskeisessä yhteydessä yrityskohtaisiin yksittäisiin ratkaisuihin ja toiminnan luonteeseen. Soveltamisalaan kuuluvien toimijoiden ja keskeisten toimijoiden määrän osalta on lain voimaantulon jälkeen mahdollista muodostaa täsmällinen tieto sääntelyn alaan toimijoiden valvoville viranomaisille tekemien ilmoituksien perusteella.  

Esitystä on pyritty selkeyttämään lisäämällä vaikutusarviointeihin yhteenveto yritysvaikutuksista ja yhteenveto velvoitteiden soveltamisalasta. Vaikutuksia yrityksille aiheuttavat kyberturvallisuuslaissa säädetty riskienhallintavelvoite, merkittävien poikkeamien raportointia koskeva velvoite ja toimijaluetteloon ilmoittautuminen. Arvioitaessa kyberturvallisuuden riskienhallintavelvoitteesta eri kokoisille yrityksille aiheutuvia kustannuksia on otettava huomioon, että yrityskohtaiset erot IT-kustannuksien ja kyberturvallisuuden riskienhallintaan liittyvien kustannuksien osalta ovat erittäin merkittäviä, kuten edellä kuvataan. Lisäksi esitykseen on lisätty taulukko keskeisen toimijan kriteereistä sekä taulukko sääntelyn eroista keskeisen ja muun kuin keskeisen toimijan välillä. Esitykseen on lisätty tiivis arvio sääntelyn toimeenpanoon liittyvistä riskeistä.  

Jatkovalmistelun ja NIS2-direktiivin täytäntöönpanon aikataulun johdosta ja esityksen laajuus huomioiden sääntelyn tiivistämiselle, täydentämiselle tai jäsentelylle enemmälti arviointineuvoston esittämällä tavalla ei ole ollut mahdollisuutta. Vaikutustenarviointia on täydennetty ja täsmennetty arviointineuvoston esittämien keskeisimpien puutteiden ja kehityskohtien osalta. 

7.1  Kyberturvallisuuslaki

1 §.Soveltamisala . Laissa säädettäisiin kyberturvallisuutta koskevien riskien hallinnasta ja poikkeamista raportoimisesta. Velvoitteista säädettäisiin NIS 2 -direktiivin edellyttämällä tavalla sen soveltamisalaan kuuluville toimijoille. Lain soveltamisalaan kuuluvat toimijat määriteltäisiin 3 §:ssä. Laissa säädettäisiin myös velvoitteiden noudattamisen valvonnasta sekä NIS 2 –direktiivin täytäntöönpanon edellyttämistä viranomaistehtävistä ja -yhteistyöstä.  

Pykälän 2 momentissa olisi informatiivinen viittaussäännös siitä, että lailla pannaan täytäntöön toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 (NIS 2 -direktiivi).  

Pykälän 3 momentissa olisi informatiivinen viittaussäännös tiedonhallintalakiin, jolla pantaisiin täytäntöön NIS2 –direktiivi sen liitteen I kohdassa 10 tarkoitetulla julkishallinnon toimialalla.  

Tiedonhallintalaissa säädettäisiin NIS 2 –direktiivin edellyttämistä velvoitteista direktiivin liitteen I kohdassa 10 tarkoitetuille julkishallinnon toimijoille. Toiminta julkishallinnon toimialalla ei kuuluisi kyberturvallisuuslain liitteisiin I tai II ja julkishallinnon toimialan toimijat eivät siten kuuluisi kyberturvallisuuslaissa säädettävien velvoitteiden alaan.  

Tiedonhallintalain soveltamisalaan kuuluva viranomainen voisi kuitenkin kuulua myös kyberturvallisuuslain soveltamisalaan, mikäli se harjoittaisi toimintaa NIS 2 –direktiivin ja kyberturvallisuuslain liitteessä tarkoitetulla toimialalla. Julkishallinnon organisaatio tulisi myös kyberturvallisuuslain soveltamisalaan, mikäli se harjoittaisi lain liitteessä I tai II tarkoitettua toimintaa tai olisi niissä tarkoitettua toimijatyyppiä ja siten täyttäisi 3 §:ssä tarkoitetun toimijan määritelmän (esimerkiksi hyvinvointialue terveyspalvelun tuottajana). Viranomainen tai osa sen toiminnasta (esimerkiksi osa kunnan toiminnasta) voisi kuulua myös ainoastaan kyberturvallisuuslain soveltamisalaan, jos viranomaiseen (esimerkiksi kunnallinen viranomainen) ei tiedonhallintalain 3 §:n 3 momentin perusteella sovellettaisi tiedonhallintalain 4 a luvun julkishallinnon toimialan NIS 2 -säännöksiä. 

Mikäli julkishallinnon organisaatio kuuluisi samanaikaisesti sekä tiedonhallintalain että kyberturvallisuuslain soveltamisalaan, tulisi sen noudattaa sekä tiedonhallintalain 4 a lukua että kyberturvallisuuslaissa toimijalle asetettavia velvoitteita, jotka ovat keskeiseltä osin vastaavia. Kyberturvallisuuslaissa tarkoitettua hallinnollista seuraamusmaksua ei voitaisi määrätä lain 35 §:ssä tarkoitetulle julkishallinnon organisaatiolle, vaikka se kuuluisi muutoin lain soveltamisalaan.  

2 §.Määritelmät . Pykälässä säädettäisiin laissa käytetyistä määritelmistä. Määritelmät vastaisivat pääosin NIS2-direktiivin määritelmiä.  

Pykälän 1 kohdassa säädettäisiin aluetunnusrekisterin ylläpitäjän määritelmästä. Aluetunnusrekisterin ylläpitäjän määritelmä vastaisi NIS2-direktiivin 6 artiklan 21 kohdan määritelmää aluetunnusrekisteristä. Aluetunnusrekisterin ylläpitäjällä tarkoitettaisiin siten tahoa, jolle on myönnetty oikeus hallinnoida tiettyä aluetunnusta ja joka kyseistä aluetunnusta hallinnoidessaan vastaa verkkotunnusten rekisteröinnistä kyseisen aluetunnuksen alle sekä kyseisen aluetunnuksen teknisestä toiminnasta, myös siihen liittyvien nimipalvelinten toiminnasta, sen tietokantojen ylläpidosta ja aluetunnuksen vyöhyketiedostojen jakelusta nimipalvelimille, riippumatta siitä, suorittaako toimija kyseiset toiminnot itse vai ulkoistaako se ne, ja lukuun ottamatta tilanteita, joissa rekisteri käyttää aluetunnuksia vain omiin tarkoituksiinsa. Aluetunnusrekisterin ylläpitäjä olisi esimerkiksi sähköisen viestinnän palveluista annetun lain 21 luvussa tarkoitettua verkkotunnusrekisteriä hallinnoiva viranomainen.  

Pykälän 2 kohdassa säädettäisiin datakeskuspalvelun määritelmästä. Määritelmä vastaisi sisällöllisesti NIS2-direktiivin 6 artiklan 31 kohtaa. Datakeskuspalvelulla tarkoitettaisiin palvelua, joka käsittää rakenteita tai rakenteiden ryhmiä, jotka on tarkoitettu datan tallennus-, käsittely- ja siirtopalveluja tarjoavien tietoteknisten laitteiden ja verkkolaitteiden keskitettyyn ylläpitoon, yhteenliittämiseen ja ohjaukseen yhdessä kaikkien tarvittavien sähkönjakeluun ja toimintaolosuhteiden säätelyyn tarkoitettujen laitteiden ja infrastruktuurien kanssa. NIS2-direktiivin 35 resitaalissa täydennetään 6 artiklan 31 kohdan määritelmää. Resitaalin mukaan käsite kattaa sellaiset datakeskuspalvelujen tarjoajat, jotka eivät ole osa pilvipalveluinfrastruktuuria ja datakeskuspalvelun määritelmää ei tulisi käyttää toimijan omistamista ja omiin sisäisiin käyttötarkoituksiinsa operoimista datakeskuksista.  

Pykälän 3 kohdassa säädettäisiin DNS-palveluntarjoajan määritelmästä. Määritelmä vastaisi sisällöllisesti NIS2-direktiivin 6 artiklan 20 kohtaa. DNS-palveluntarjoajalla tarkoitettaisiin toimijaa, joka tarjoaa yleisesti saatavilla olevia rekursiivisia verkkotunnusten selvityspalveluja internetin loppukäyttäjille tai auktoritatiivisia verkkotunnusten selvityspalveluja kolmansille osapuolille, lukuun ottamatta juurinimipalvelimia.  

Pykälän 4 kohdassa säädettäisiin haavoittuvuuden määritelmästä. Haavoittuvuudella tarkoitettaisiin tuotteen tai palvelun heikkoutta, alttiutta tai vikaa, joka voi aiheuttaa kyberuhkan tai poikkeaman. Haavoittuvuuden määritelmä vastaisi sisällöllisesti NIS2-direktiivin 6 artiklan 15 kohtaa, jonka nojalla haavoittuvuudella tarkoitetaan kyberturvallisuusasetuksen (EU) 2019/881 2 artiklan 12 alakohdassa määritellyn tieto-ja viestintätekniikan tuotteen tai kyberturvallisuusasetuksen 2 artiklan 13 alakohdassa määritellyn tieto- ja viestintätekniikan palvelun heikkoutta, alttiutta tai vikaa, jota kyberuhka voi hyödyntää.  

Pykälän 5 kohdassa säädettäisiin hallintapalvelun tarjoajan määritelmästä. Määritelmä vastaisi sisällöllisesti NIS2-direktiivin 6 artiklan 39 kohtaa. Hallintapalvelun tarjoajalla tarkoitettaisiin toimijaa, joka tarjoaa TVT-tuotteiden, verkkojen, infrastruktuurin, sovellusten tai muiden viestintäverkkojen ja tietojärjestelmien asentamiseen, hallintaan, käyttöön tai ylläpitoon liittyviä palveluja joko asiakkaan tiloissa tai etäyhteyden välityksellä toteutettavan tuen tai aktiivisen ylläpidon muodossa.  

Pykälän 6 kohdassa säädettäisiin hyväksytyn luottamuspalvelun tarjoajan määritelmästä. Hyväksytyllä luottamuspalvelun tarjoajalla tarkoitettaisiin eIDAS-asetuksen 3 artiklan 20 kohdassa tarkoitettua hyväksyttyä luottamuspalvelun tarjoajaa eli sellaista eIDAS-asetuksen mukaista luottamuspalvelun tarjoajaa, joka tarjoaa yhtä tai useampaa hyväksyttyä luottamuspalvelua ja jolle valvontaelin on myöntänyt hyväksytyn aseman.  

Pykälän 7 kohdassa säädettäisiin NIS2-direktiivin 6 artiklan 3 kohtaa vastaavasti kyberturvallisuuden käsitteestä. Kyberturvallisuudella tarkoitettaisiin kyberturvallisuutta siten kuin se on määritelty Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta annettua Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 (jäljempänä kyberturvallisuusasetus ) 2 artiklan 1 kohdassa. Kyberturvallisuudella tarkoitettaisiin siten toimia, joita tarvitaan viestintäverkkojen ja tietojärjestelmien, tällaisten järjestelmien käyttäjien ja muiden asianosaisten henkilöiden suojaamiseksi kyberuhilta. Määritelmä ei rajoittaisi toimien muotoa tai laatua, vaan kysymykseen voisi tulla sekä teknisiä että muita suojaamiseksi tarpeellisia toimia niiden muodosta ja laadusta riippumatta. Viestintäverkkojen ja tietojärjestelmien käyttäjien ohella muita asianosaisia henkilöitä olisivat esimerkiksi henkilöt, joihin liittyvää tai joiden omistamaa tietoa viestintäverkossa ja tietojärjestelmässä käsitellään.  

Pykälän 8 kohdassa säädettäisiin NIS2-direktiivin 6 artiklan 10 kohtaa vastaavasti kyberuhkan määritelmästä. Kyberuhkalla tarkoitettaisiin kyberuhkaa siten kuin se on määritelty kyberturvallisuusasetuksen 2 artiklan 8 alakohdassa. Kyberuhkalla tarkoitettaisiin siten tilannetta, tapahtumaa tai toimintaa, joka toteutuessaan voisi vahingoittaa tai häiritä viestintäverkkoja tai tietojärjestelmiä, tällaisten järjestelmien käyttäjiä ja muita henkilöitä tai muulla tavoin vaikuttaa näihin haitallisesti. Kyberuhka voisi aiheutua esimerkiksi haavoittuvuudesta tai tietojärjestelmän tai viestintäverkon puutteellisesta suojauksesta. Kyberuhkan olemassaoloon riittäisi uhka, eli määritelmä ei edellyttäisi tilanteen, tapahtuman tai toiminnan toteutumista.  

Pykälän 9 kohdassa säädettäisiin luottamuspalvelun tarjoajan määritelmästä. Luottamuspalvelun tarjoajalla tarkoitettaisiin eIDAS-asetuksen 3 artiklan 19 alakohdassa määriteltyä luottamuspalvelun tarjoajaa. Tämän asetuksen 3 artiklan 19 alakohdan mukaan luottamuspalvelun tarjoajalla tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa yhtä tai useampaa luottamuspalvelua joko hyväksyttynä tai ei-hyväksyttynä luottamuspalvelun tarjoajana. Luottamuspalvelulla tarkoitetaan eIDAS-asetuksen 3 artiklan 16 alakohdan mukaan sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu joko sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista tai verkkosivustojen todentamisen varmenteiden luomisesta, tarkastamisesta ja validoinnista tai sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttämisestä.  

Pykälän 10 kohdassa säädettäisiin pilvipalvelun määritelmästä NIS2-direktiivin 6 artiklan 30 kohtaa ja johdanto-osan perustelukappaletta 33 ja 34 vastaavasti. Pilvipalvelulla tarkoitettaisiin digitaalista palvelua, joka tarjoaa laajaan etäkäyttöön skaalattavan ja joustavan joukon jaettavissa olevia ja tarveperusteisesti ohjattavia tietoteknisiä resursseja, myös sijainniltaan hajautettuja resursseja.  

Pilvipalvelun määritelmää tarkennetaan NIS2-direktiivin johdanto-osan perustelukappaleessa 33 ja 34. Pilvipalvelun määritelmää tulisi tulkita yhdenmukaisesti NIS2-direktiivin pilvipalvelun määritelmän kanssa. Tietotekninen resurssi voisi tarkoittaa siten esimerkiksi verkkoja, palvelimia ja muuta tietoteknistä infrastruktuuria, käyttöjärjestelmiä, ohjelmistoja, tallennustilaa, sovelluksia ja palveluja. Tarveperusteisella ohjauksella tarkoitettaisiin pilvipalvelun käyttäjän kykyä käyttää yksipuolisesti ja oma-aloitteisesti tietojenkäsittelyvalmiuksia ilman pilvipalveluntarjoajan inhimillistä panosta. Laajalla etäkäytöllä tarkoitettaisiin sitä, että resursseja tarjotaan verkossa ja niitä pääsee käyttämään erilaisten päätelaitteiden käytön mahdollistavien järjestelyjen ansiosta. Skaalautuvuus viittaa tietoteknisiin resursseihin, joita pilvipalvelujen tarjoaja voi teknisesti jakaa joustavasti kysynnän vaihtelun mukaan resurssien maantieteellisestä sijainnista riippumatta. Joustavaa joukolla tarkoitetaan tietoteknisiä resursseja, joita tarjotaan ja vapautetaan käyttöön kysynnän mukaan niin, että resursseja voidaan nopeasti lisätä ja vähentää kuormituksen perusteella. Jaettavissa olevalla kuvataan tietoteknisiä resursseja, joita tarjotaan useille käyttäjille, joilla on yhteinen pääsy palveluun, jossa prosessointi on kuitenkin käyttäjäkohtaista, vaikka palvelu tarjotaan saman sähköisen laitteiston kautta. Hajautetulla viitataan tietoteknisiin resursseihin, jotka sijaitsevat erillisissä verkotetuissa tietokoneissa tai laitteissa ja jotka viestivät ja koordinoivat toimintaansa keskenään rakenteisella viestinvaihdolla. Pilvipalvelujen palvelu- ja toimintamalleilla tarkoitettaisiin NIS2-direktiivin johdanto-osan perustelukappaletta 33 vastaavasti samaa kuin standardissa ISO/IEC 17788:2014 määritellyillä palvelu- ja toimintamalleilla. Standardi on korvattu standardeilla ISO/IEC 22123-1:2023 ja 22123-2:2023. 

Pykälän 11 kohdassa säädettäisiin poikkeaman määritelmästä. Määritelmä vastaisi sisällöllisesti NIS2-direktiivin 6 artiklan 6 kohtaa. Poikkeamalla tarkoitettaisiin tapahtumaa, joka vaarantaa viestintäverkoissa tai tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden.  

Pykälän 12 kohdassa määriteltäisiin poikkeaman käsittely. Määritelmä vastaisi sisällöllisesti NIS2-direktiivin 6 artiklan 8 kohtaa. Poikkeaman käsittelyllä tarkoitettaisiin mitä tahansa toimia ja menettelyjä, joilla pyritään ehkäisemään ja havaitsemaan poikkeama, analysoimaan, rajoittamaan tai hallitsemaan sitä ja palautumaan siitä.  

Pykälän 13 kohdassa säädettäisiin riskin määritelmästä. Riskillä tarkoitettaisiin laissa NIS2-direktiivin 6 artiklan 9 kohdan määritelmää vastaavasti sitä, kuinka todennäköinen viestintäverkossa ja tietojärjestelmässä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden ja luottamuksellisuuden vaarantava tapahtuma olisi ja toisaalta millaisen häiriön se toteutuessaan aiheuttaisi. Riskin vakavuutta arvioitaessa olisi otettava huomioon riskin toteutumisen todennäköisyys sekä riskin toteutumisesta aiheutuvan häiriön tai menetyksen suuruus ja merkitys. Riskistä aiheutuvan menetyksen merkitystä tulisi arvioida suhteessa samoihin seikkoihin, jotka ovat merkityksellisiä merkittävän poikkeaman eli poikkeamailmoituksen kynnyksen kannalta, ja niihin kohdistuvien vaikutusten kautta. Näitä seikkoja ovat palvelujen toimintahäiriöt, asianomaisen toimijan taloudelliset tappiot sekä muihin luonnollisiin henkilöihin tai oikeushenkilöihin vaikuttavat aineelliset tai aineettomat vahingot. Näihin seikkoihin tulisi myös lukea verkko- tai tietojärjestelmässä käsiteltävien tietojen määrä ja laatu sekä riskin toteutumisesta aiheutuvat haitalliset vaikutukset tietojen luottamuksellisuudelle ja henkilötietojen suojalle.  

Pykälän 14 kohdassa säädettäisiin sisällönjakeluverkon määritelmästä. Määritelmä vastaisi sisällöllisesti NIS2-direktiivin 6 artiklan 32 kohtaa. Sisällönjakeluverkolla tarkoitettaisiin maantieteellisesti hajautettujen palvelimien verkkoa, jonka tarkoituksena on varmistaa digitaalisen sisällön ja digitaalisten palvelujen hyvä saatavuus, käytettävyys ja nopea jakelu internetin käyttäjille sisällön ja palvelujen tarjoajien puolesta.  

Pykälän 15 kohdassa säädettäisiin NIS2-direktiivin 6 artiklan 40 kohtaa vastaavasti tietoturvapalveluntarjoajan määritelmästä. Tietoturvapalveluntarjoajalla tarkoitettaisiin 5 kohdassa tarkoitettua hallintapalvelun tarjoajaa, joka toimii kyberturvallisuusriskien hallitsemiseksi tai antaa tukea sitä varten toteuttamalla kyberturvallisuusriskien hallintatoimia tai antamalla muuten tukea sitä varten.  

Pykälän 16 kohdassa säädettäisiin TVT-palvelun määritelmästä. TVT-palvelun määritelmä vastaa sisällöllisesti kyberturvallisuusasetuksen (EU) 2019/881 2 artiklan 13 kohdassa tarkoitettua tieto- ja viestintätekniikan palvelua. TVT-palvelulla tarkoitettaisiin mitä tahansa palvelua, jonka sisältönä on kokonaan tai pääasiassa tiedon välittäminen, tallentaminen, hakeminen tai käsittely viestintäverkkojen ja tietojärjestelmien avulla.  

Pykälän 17 kohdassa säädettäisiin TVT-tuotteen määritelmästä. TVT-tuotteen määritelmä vastaisi sisällöllisesti kyberturvallisuusasetuksen (EU) 2019/881 2 artiklan 12 kohdassa tarkoitettua tieto- ja viestintätekniikan tuotetta. TVT-tuotteella tarkoitettaisiin mitä tahansa viestintäverkkojen ja tietojärjestelmien elementtiä ja elementtien ryhmää.  

Pykälän 18 kohdassa säädettäisiin valvovan viranomaisen määritelmästä. Valvovalla viranomaisella tarkoitettaisiin 26 §:n nojalla toimivaltaista valvovaa viranomaista, jonka tehtävänä järjestää tämän lain, sen nojalla annettujen määräysten ja NIS2-direktiivin nojalla annettujen säädösten valvonta toimialalla. Valvovalla viranomaisella tarkoitettaisiin NIS2-direktiivin 8 artiklan 1 kohdan mukaista toimivaltaista viranomaista.  

Pykälän 19 kohdassa säädettäisiin NIS2-direktiivin 6 artiklan 33 kohtaa vastaavasti verkkoyhteisöalustan määritelmästä. Verkkoyhteisöalustalla tarkoitettaisiin alustaa, jonka avulla loppukäyttäjät voivat olla yhteydessä toisiinsa, jakaa sisältöä, hakea tietoa ja viestiä keskenään monenlaisilla päätelaitteilla, erityisesti pikaviestikeskustelujen, julkaisujen, videoiden ja suositusten muodossa.  

Pykälän 20 kohdassa säädettäisiin verkossa toimivan hakukoneen määritelmästä. Määritelmä vastaisi sisällöllisesti oikeudenmukaisuuden ja avoimuuden edistämisessä verkossa toimivien välityspalvelujen yrityskäyttäjiä varten annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/1150 2 artiklan 5 kohtaa. Verkossa toimivalla hakukoneella tarkoitettaisiin digitaalista palvelua, joka antaa käyttäjille mahdollisuuden suorittaa kyselyjä hakujen tekemiseksi periaatteessa kaikilta verkkosivustoilta tai kaikilta tietynkielisiltä verkkosivustoilta mitä tahansa aihetta koskevan hakusanan, äänikomennon, lausekkeen tai muun syöttötiedon muodossa tehdyn kyselyn perusteella ja joka antaa missä tahansa muodossa tuloksia, joista voi saada pyydettyyn sisältöön liittyvää tietoa. Määritelmä vastaisi NIS2-direktiivin 6 artiklan 29 kohdan määritelmää. Lain liitteessä tarkoitetulla verkossa toimivien hakukoneiden tarjoajalla viitattaisiin määritelmän mukaista palvelua tarjoavaan toimijaan.  

Pykälän 21 kohdassa säädettäisiin verkossa toimivan markkinapaikan määritelmästä. Määritelmällä tarkoitettaisiin kuluttajansuojalain (38/1978) 6 luvun 8 §:n 4 kohdan mukaisesti palvelua, jossa tarjotaan kuluttajalle mahdollisuutta tehdä etäsopimuksia muiden elinkeinonharjoittajien kuin markkinapaikan tarjoajan kanssa taikka yksityishenkilöiden kanssa ja jossa hyödynnetään markkinapaikan tarjoajan käyttämää tai hänen puolestaan käytettyä verkkosivustoa, sovellusta tai muuta ohjelmaa tai sen osaa. Määritelmä vastaisi NIS2-direktiivin 6 artiklan 28 kohdan määritelmää. Lain liitteessä tarkoitetulla verkossa toimivien markkinapaikkojen tarjoajalla viitattaisiin määritelmän mukaista palvelua tarjoavaan toimijaan.  

Pykälän 22 kohdassa säädettäisiin viestintäverkon ja tietojärjestelmän määritelmästä. Määritelmä vastaisi sisällöllisesti NIS2-direktiivin 6 artiklan 1 kohtaa. NIS1- ja NIS2-direktiivien suomennoksissa käytetyn ”verkko- ja tietojärjestelmän”-käsitteen sijaan kansallisessa laissa käytettäisiin NIS1-direktiivin kansallisessa täytäntöönpanosääntelyssä ja sähköisen viestinnän palveluista annetussa laissa vakiintunutta käsitettä ”viestintäverkko ja tietojärjestelmä”. Viestintäverkon ja tietojärjestelmän käsitteestä säädettäisiin laissa vastaavasti kuin NIS2-direktiivissä säädetään verkko- ja tietojärjestelmän käsitteestä.  

Viestintäverkolla ja tietojärjestelmällä tarkoitettaisiin eurooppalaisesta sähköisen viestinnän säännöstöstä annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2018/1972 (ns. teledirektiivi) 2 artiklan 1 kohdassa määriteltyä sähköistä viestintäverkkoa; laitetta taikka yhteen kytkettyjen tai toisiinsa yhteydessä olevien laitteiden ryhmää, joista yksi tai useampi suorittaa ohjelman avulla digitaalisten tietojen automaattista käsittelyä; tai digitaalisia tietoja, joita em. järjestelmissä säilytetään, käsitellään, haetaan tai siirretään näiden järjestelmien toimintaa, käyttöä, suojausta tai ylläpitoa varten. Viestintäverkon ja tietojärjestelmän käsitettä olisi tulkittava yhdenmukaisesti suhteessa teledirektiiviin sekä NIS2-direktiivin verkko- ja tietojärjestelmän määritelmän tulkintaan.  

Pykälän 23 kohdassa säädettäisiin NIS2-direktiivin 6 artiklan 2 kohtaa vastaavasti viestintäverkon ja tietojärjestelmän turvallisuuden määritelmästä. Viestintäverkon ja tietojärjestelmän turvallisuudella tarkoitettaisiin viestintäverkon ja tietojärjestelmän kykyä suojautua tapahtumilta, jotka vaarantavat viestintäverkossa ja tietojärjestelmässä olevien tietojen saatavuutta, aitoutta, eheyttä ja luottamuksellisuutta sekä sitä, että tiedot ja palvelut ovat niiden käyttöön oikeutettujen hyödynnettävissä. Määritelmä kattaisi siten tietoturvan elementit siitä, että tietoturvallisessa järjestelmässä tiedon tulisi olla vain niiden käyttöön oikeutettujen saatavilla, tietoja eivät voisi muuttaa muut kuin siihen oikeutetut sekä että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä.  

Pykälän 24 kohdassa säädettäisiin yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajan määritelmästä. Yleisesti saatavilla oleva sähköinen viestintäpalvelu vastaisi sisällöllisesti sähköisen viestinnän palveluista annetun lain (917/2014) 3 §:n 1 momentin 37 kohdassa tarkoitettua viestintäpalvelua. Lain 3 §:n 1 momentin 37 kohdan mukaan viestintäpalvelulla tarkoitetaan palvelua, joka muodostuu kokonaan tai pääosin viestin siirtämisestä viestintäverkossa sekä siirto- ja lähetyspalvelua joukkoviestintäverkossa ja henkilöiden välisen viestinnän palvelua.  

Pykälän 25 kohdassa säädettäisiin yleisten sähköisten viestintäverkkojen tarjoajan määritelmästä. Palvelun määritelmä vastaisi sisällöllisesti sähköisen viestinnän palveluista annetun lain (917/2014) 3 §:n 1 momentin 34 kohdassa tarkoitettua verkkopalvelua. Lain 3 §:n 1 momentin 34 kohdan mukaan verkkopalvelulla tarkoitetaan palvelua, jossa teleyritys (verkkoyritys) tarjoaa omistamaansa tai muulla perusteella hallussaan olevaa viestintäverkkoa käytettäväksi viestien siirtoon tai jakeluun.  

3 §.Toimijat . Pykälässä säädettäisiin toimijan määritelmästä eli siitä, mitkä tahot olisivat lain soveltamisalaan kuuluvia toimijoita. Pykälän 1 momentissa säädettäisiin toimijan yleisestä määritelmästä, joka olisi kaksiosainen liittyen toimijan toiminnan laatuun tai tyyppiin ja toimijan kokoon. Pykälän 2 ja 3 momentissa säädettäisiin erikoistapauksista, joissa toimija kuuluisi lain soveltamisalaan sen koosta riippumatta. Eräiden toimijoiden osalta rajauksista lain soveltamisalaan säädettäisiin jäljempänä 4 §:ssä. Kansainvälisten toimijoiden osalta lainkäyttövallasta ja alueellisuudesta säädettäisiin 6 §:ssä.  

Lain soveltamisalan ja toimijan määritelmän olisi tarkoitus vastata NIS2-direktiivin 2 artiklan 1–4 kohtia ja 3 artiklan 1 ja 2 kohtia siten että se kattaisi kaikki NIS2-direktiivin vähimmäissoveltamisalaan kuuluvat keskeiset ja tärkeät toimijat, pois lukien julkishallinnon sektori, jonka osalta NIS2-direktiivin mukaisten velvoitteiden täytäntöönpanosta säädettäisiin julkisen hallinnon tiedonhallinnasta annetussa laissa. 

Ehdotetussa 1 momentissa säädettäisiin toimijan yleismääritelmästä. Toimijalla tarkoitettaisiin oikeushenkilöä tai luonnollista henkilöä, joka harjoittaa lain liitteissä I ja II tarkoitettua toimintaa tai on niissä tarkoitettua toimijatyyppiä. Lisäksi edellytyksenä on, että toimija täyttää tai ylittää komission suosituksen 2003/361/EY liitteessä olevan 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset ja tarjoaa palvelujaan tai harjoittaa toimintaansa unionissa. Suosituksen liitteessä olevan 3 artiklan 4 kohtaa ei sovelleta toimijan määrittelyssä 5 momentin nojalla.  

Toimijan määritelmän kannalta ei olisi merkitystä toimijan oikeudellisella muodolla, vaan ainoastaan sillä, että toimija harjoittaa pykälässä tarkoitettua toimintaa tai on siinä tarkoitettua toimijatyyppiä sekä täyttää 1 momentissa säädetyn kokoedellytyksen tai sitä koskee 2 tai 3 momentissa säädetty poikkeus soveltamisesta toimijan koosta riippumatta. Lisäksi edellytyksenä on, että toimija tarjoaa palvelua tai harjoittaa toimintaansa Euroopan unionissa. 

Komission suosituksessa 2003/361/EY säädetään mikroyrityksen, pienen yrityksen ja keskisuuren yrityksen enimmäiskoosta. Toimija täyttäisi keskisuuren yrityksen määritelmän silloin, kun se ylittää pienen yrityksen määritelmän reunaehdot, mutta ei ylitä pk-yrityksille asetettuja enimmäiskynnysarvoja. Toimija täyttäisi siten keskisuuren toimijan määritelmän, kun sen palveluksessa on vähintään 50 työntekijää taikka sen vuotuinen liikevaihto ja tase ylittävät 10 miljoonaa euroa. Jos toimijan palveluksessa on alle 50 työntekijää, mutta sekä liikevaihto että tase ylittävät 10 miljoonaa, toimija täyttäisi keskisuuren toimijan määritelmän. Jos toimijan palveluksessa on alle 50 työntekijää ja joko liikevaihto tai tase, mutta ei molemmat, ylittää 10 miljoonaa euroa, toimija ei täyttäisi keskisuuren toimijan määritelmää. Toimija ylittäisi keskisuuren toimijan määritelmän silloin kun se ylittää komission suosituksen mukaiset pk-yritysten määritelmän enimmäiskynnysarvot. 

Komission suosituksen mukaisen keskisuuren yrityksen kynnyksen voisi ylittää tai täyttää joko julkinen tai yksityinen organisaatio, joka täyttää tai ylittää komission suosituksen 2003/361/EY liitteessä olevan 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset. Kynnys määräytyisi muutoin komission suosituksessa 2003/361/EY tarkoitetun keskisuuren yrityksen määritelmän mukaisesti, mutta kuitenkin niin, että suosituksen liitteessä olevaa 3 artiklan 4 kohtaa, eli julkisyhteisön tai –laitoksen omistus- tai äänioikeudelle asetettuja rajoituksia ei tässä yhteydessä sovellettaisi. Keskisuuren toimijan määritelmän täyttymistä tai ylittymistä tulisi arvioida suhteessa komission suosituksen kynnysarvoihin ja niiden tulkintaan. 

Keskisuurta yritystä koskevien edellytysten täyttymisessä olisi otettava huomioon toimijan koko toiminta. Mikäli toimija toimii usealla eri toimialalla ja vain osa sen toiminnasta on liitteessä I tai II tarkoitettua toimintaa, kokorajoitusta arvioitaessa olisi otettava huomioon toimijan toiminta kokonaisuudessaan, eli kokorajoituksen ylittymistä koskevaa arviota ei olisi rajoitettava vain liitteessä I tai II tarkoitetun toiminnan laajuuteen. Näin ollen liikevaihtoa, tasetta ja henkilöstömäärää arvioidaan koko toimijan osalta, mikä kattaisi myös muun kuin liitteessä I tai II tarkoitetun toiminnan laajuuden. Arviointi tehdään toimijakohtaisesti. Poikkeuksena tästä olisi kuitenkin myöhemmin 4 §:ssä säädetty rajoitus silloin, jos liitteessä I tai II tarkoitettua toimintaa harjoittaa kunta. 

Toimijan määritelmää olisi tulkittava oikeussubjektikohtaisesti. Oikeushenkilön kohdalla kriteerien täyttymistä olisi tarkasteltava sen toimintaa kokonaisuutena arvioiden. Oikeushenkilö täyttäisi pykälässä tarkoitetun toimijan määritelmän, vaikka vain osa sen harjoittamasta toiminnasta olisi liitteessä I tai II tarkoitettua tai osa siitä olisi liitteessä I tai II tarkoitettua toimijatyyppiä, jos oikeushenkilön toiminnassa täyttyisi tai ylittyisi 1 momentissa tarkoitettu kokokriteeri tai sitä koskisi 2 tai 3 momentissa säädetty poikkeus, jonka nojalla oikeushenkilö kuuluisi soveltamisalaan sen koosta riippumatta. Kriteerien täyttymistä tulisi kuitenkin tarkastella oikeushenkilökohtaisesti. Selvyyden vuoksi todetaan, että tämän johdosta esimerkiksi konsernirakenteessa, kun emo- ja tytäryhtiö ovat erillisiä oikeushenkilöitä, ovat ne myös erillisiä toimijoita. Näin ollen tässä tilanteessa tytäryhtiön kuuluminen soveltamisalaan ei tarkoittaisi automaattisesti myös emoyhtiön kuulumista soveltamisalaan, jos emoyhtiö ei itsenäisesti täyttäisi 1–3 momentin nojalla toimijan määritelmää.  

Konsernirakenteeseen kuuluvien yhtiöiden osalta olisi sovellettaessa kiinnitettävä erityistä huomioita komission suosituksen mukaisen keskisuuren yrityksen edellytysten täyttymiseen tai ylittymiseen yhtiöiden välisten sidosten johdosta. Komission suosituksen liitteen 6 artiklassa säädetään yrityksen tietojen määräytymisestä silloin, kun yrityksellä on omistusyhteys- tai sidosyrityksiä. Komission suosituksen liitteen 3 artiklassa säädetään omistusyhteyksistä ja muista sidoksista yritysten välillä, jotka vaikuttavat keskisuuren toimijan kynnyksen ylittymisessä huomioon otettaviin tietoihin. Poikkeuksena tästä olisivat kuitenkin myöhemmin lain 4 §:ssä säädetyt rajoitukset lain soveltamisalaan. Konsernirakenteeseen kuuluvat soveltamisalaan kuuluvat yhtiöt voisivat tehdä yhteistyötä muiden samaan konserniin kuuluvien yhtiöiden kanssa riskienhallinta- ja raportointivelvoitteiden toteuttamisessa. Jos konsernirakenteessa tai muussa yhtiöiden keskinäisiä omistuksia koskevassa järjestelyssä osa yhtiöistä kuuluisi soveltamisalaan ja osa ei, olisi niiden otettava huomioon esimerkiksi riippuvuus toisten yhtiöiden tarjoamista palveluista osana 2 luvussa säädettyjen riskienhallinta- ja raportointivelvoitteiden noudattamista. 

Selvyyden vuoksi todetaan, että silloin kun lain liitteessä I tai II tarkoitettua toimintaa harjoittaa oikeushenkilö, kattaisi tässä laissa tarkoitettu toimijan määritelmä silloin kyseisen oikeushenkilön kokonaisuutena. Edellä todetulla tavalla toimijan määritelmää olisi tulkittava oikeussubjektikohtaisesti. Lain ja siinä säädettyjen velvoitteiden soveltaminen ei siten olisi tarkoitus rajoittua ainoastaan liitteissä tarkoitettua toimintaa harjoittavaan yksikköön tai toimintoon oikeushenkilössä, vaan velvoitteet koskisivat kyseistä oikeushenkilöä sellaisenaan, eli toimijaa kokonaisuutena. Esimerkiksi oikeushenkilö joka toimii usealla toimialalla, joista vain osa on mainittu lain liitteissä, kuuluisi siten sääntelyn piiriin myös sellaisten toimintojen osalta, joita ei ole mainittu lain liitteissä. Poikkeuksena tästä olisi kuitenkin myöhemmin 4 §:ssä säädetyt rajoitukset lain soveltamisalaan.  

Liitteen I kohdissa 1-4 määriteltäisiin lain soveltamisalaan kuuluvat toimijat liikennesektorin osalta. Ilmaliikenteen osalta soveltamisalaan kuuluisivat kaupallisen lentoliikenteen harjoittajat, eräät lentoaseman pitäjät sekä lennonjohtopalvelun tarjoajat. Raideliikenteen osalta soveltamisalaan kuuluisivat rataverkon haltijat ja liikenteenohjauspalvelua tarjoavat yhtiöt, rautatieyritykset sekä palvelupaikan ylläpitäjät. Vesiliikenteen osalta soveltamisalaan kuuluisivat matkustaja- ja rahtiliikennettä hoitavat yhtiöt, satamanpitäjät ja toimijat, jotka huolehtivat rakenteista ja varusteista sataman alueella sekä VTS-palveluntarjoajat. Sataman alueella rakenteista ja varusteita huolehtivat toimijat voivat olla edellä mainittuja satamanpitäjiä tai muita toimijoita, jotka satamanpitäjä eli sataman alueen ylläpitäjä on sopimuksen perusteella oikeuttanut toimimaan alueella ja tarjoamaan palvelua. Aiemmin satamayhtiöt eli satamanpitäjät omistivat ylläpitämällään alueella olevat varastot ja muut rakenteet sekä erilaiset lastinkäsittelylaitteet. Nykyisin satamanpitäjä hallinnoi usein vain kyseistä aluetta ja osaa tai kaikkia satamapalvelun tarjoamiseen liittyvistä toimista voi toteuttaa sopimukseen perustuen muu toimija tai useat muut toimijat. Tällaisia satamatoimintoihin liittyviä palveluita voivat olla esimerkiksi alusten kiinnitys- ja irrotuspalvelu, hinaajapalvelu, lastinkäsittely, lastinkäsittelylaitteiden ja niitä käyttävän henkilöstön toimittaminen, lastitietojen käsittelyyn liittyvien toimien hoitaminen, satama-alueen vartiointipalvelut sekä kulunvalvontaan ja kulkulupiin liittyvät palvelut, jos kyseiset palvelut ovat sataman toiminnan kannalta merkityksellisiä. Tieliikenteen osalta soveltamisalaan kuuluisivat liikenteen palveluista annetussa laissa tarkoitetut tieliikenteen ohjaus- ja hallintapalvelun tarjoajat sekä älykkäiden liikennejärjestelmien ylläpitäjät. Soveltamisala vastaisi liikennesektorin osalta sisällöllisesti NIS2-direktiivin liitteen I kohdassa 2 määriteltyä vähimmäissoveltamisalaa.  

Liitteen I kohdassa 5 määriteltäisiin lain soveltamisalaan kuuluvat toimijat avaruussektorin osalta. NIS2-direktiivin soveltamisala kattaisi direktiivin liitteen I kohdan 11 mukaisesti avaruuspohjaisten palvelujen tarjoamista tukevan, jäsenvaltioiden tai yksityisten tahojen omistaman, hallinnoiman ja operoiman maassa sijaitsevan infrastruktuurin ylläpitäjät, lukuun ottamatta yleisten sähköisten viestintäverkkojen tarjoajia. Määritelmän on katsottu sisältävän maa-asemalain (96/2023) 2 §:n 1 momentin 5 kohdassa tarkoitetut toiminnanharjoittajat. Lain soveltamisalaan kuuluisivat siten ainakin sellaiset toiminnanharjoittajat, jotka harjoittavat tai jonka on tarkoitus harjoittaa maa-asema- tai tutkatoimintaa tai jotka tosiasiallisesti vastaavat tällaisesta toiminnasta. Myös muut NIS2-direktiivin liitteen I kohdan 11 määritelmän täyttävät avaruussektorin toimijat kuin maa-asemalain mukaiset toiminnanharjoittajat kuuluisivat lain soveltamisalaan. Soveltamisala vastaisi avaruussektorin osalta sisällöllisesti NIS2-direktiivin liitteen I kohdassa 11 määriteltyä vähimmäissoveltamisalaa.  

Liitteen I kohdassa 6 määriteltäisiin lain soveltamisalaan kuuluvat toimijat digitaalisen infrastruktuurin osalta. Soveltamisalaan kuuluisivat internetin yhdysliikennepisteiden ylläpitäjät, DNS-palveluntarjoajat, aluetunnusrekisterin ylläpitäjät, pilvipalvelun tarjoajat, datakeskuspalvelun tarjoajat, sisällönjakeluverkon tarjoajat, luottamuspalvelun tarjoajat, yleisten sähköisten viestintäverkkojen tarjoajat sekä yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat. Toimijatyypit määriteltäisiin tarkemmin 2 §:ssä. Soveltamisala vastaisi digitaalisen infrastruktuurin osalta sisällöllisesti NIS2-direktiivin liitteen kohdassa 8 määriteltyä vähimmäissoveltamisalaa.  

Liitteen I kohdassa 7 määriteltäisiin lain soveltamisalaan kuuluvat toimijat TVT-palvelujen hallinnan osalta. Soveltamisalaan kuuluisivat hallintapalvelun tarjoajat ja tietoturvapalveluntarjoajat. Toimijatyypit määriteltäisiin tarkemmin 2 §:ssä. Soveltamisala vastaisi TVT-palvelujen hallinnan osalta NIS2-direktiivin liitteen I kohdassa 9 määriteltyä vähimmäissoveltamisalaa.  

Liitteen I kohdissa 8-12 määriteltäisiin lain soveltamisalaan kuuluvat toimijat energiasektorin osalta. Sähköalan osalta soveltamisalaan kuuluisivat sähkön toimittajat, jakeluverkonhaltijat, kantaverkonhaltijat, sähköntuottajat, sähkömarkkinaoperaattorit, aggregoinnin, kulutusjouston tai energian varastoinnin tarjoajat sekä latauspisteiden operaattorit. Lisäksi soveltamisalaan kuuluisivat kaukolämmityksen tai kaukojäähdytyksen haltijat, eli kaukolämmityksen ja -jäähdytyksen jakelijat. Kaukolämmön tai -jäähdytyksen tuottajat, joilla ei ole ollenkaan jakelutoimintaa jäisivät soveltamisalan ulkopuolelle. Kaasualan osalta lain soveltamisalaan kuuluisivat maakaasun toimittajat, jakeluverkonhaltijat, siirtoverkonhaltijat, varastointilaitteiston haltijat, nesteytetyn maakaasun käsittelylaitteiston haltijat, eräät maakaasualan yritykset sekä maakaasun jalostus- ja käsittelylaitteistojen haltijat. Öljyalan osalta soveltamisalaan kuuluisivat öljynsiirtoputkistojen haltijat, öljyn tuotanto-, jalostus- ja käsittelylaitteistojen haltijat, öljyn varastointia ja siirtoa hoitavat operaattorit sekä keskusvarastointiyksiköt. Vetyalan osalta soveltamisalaan kuuluisivat vedyn tuotantoa, varastointia ja siirtoa harjoittavat toimijat. Soveltamisala vastaisi energiasektorin osalta sisällöllisesti NIS2-direktiivin liitteen I kohdassa 1 määriteltyä vähimmäissoveltamisalaa.  

Liitteen I kohdassa 13 määriteltäisiin lain soveltamisalaan kuuluvat toimijat terveyssektorin osalta. Soveltamisalaan kuuluisivat sosiaali- ja terveydenhuollon valvonnasta annetussa laissa (741/2023) tarkoitetut palveluntuottajat, jotka tuottavat terveyspalvelua. Lisäksi soveltamisalaan kuuluisivat, EU:n vertailulaboratoriot, lääkkeiden tutkimusta ja kehitystä harjoittavat toimijat, lääkeaineiden ja lääkkeiden valmistusta harjoittavat toimijat sekä eräiden lääkinnällisten laitteiden valmistajat. Lisäksi soveltamisalaan kuuluisivat veripalvelulain mukaiset veripalvelulaitokset, apteekit sekä potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetun EU-direktiivin (2011/24/EU) mukaiset lääkkeitä ja lääkinnällisiä laitteita toimittavat ja tarjoavat toimijat. Apteekilla tarkoitettaisiin myös avohuollon apteekkeja sekä sairaala-apteekkeja ja lääkekeskuksia. Soveltamisala vastaisi terveyssektorin osalta NIS2-direktiivin liitteen I kohdassa 5 määriteltyä vähimmäissoveltamisalaa.  

Liitteen I kohdassa 14 määriteltäisiin lain soveltamisalaan kuuluvat toimijat juomaveden osalta. Soveltamisalaan kuuluisivat sekä ihmisten käyttöön tarkoitetun veden toimittajat, että jakelijat. Soveltamisala vastaisi juomaveden osalta NIS2-direktiivin liitteen I kohdassa 6 määriteltyä vähimmäissoveltamisalaa.  

Liitteen I kohdassa 15 määriteltäisiin lain soveltamisalaan kuuluvat toimijat jäteveden osalta. Soveltamisalaan kuuluisivat yhdyskuntajätevettä, talousjätevettä tai teollisuusjätevettä keräävät, hävittävät tai käsittelevät yritykset. Soveltamisala vastaisi jäteveden osalta NIS2-direktiivin liitteen I kohdassa 7 määriteltyä vähimmäissoveltamisalaa.  

Liitteen II kohdassa 1 määriteltäisiin lain soveltamisalaan kuuluvat toimijat posti- ja kuriiripalvelujen osalta. Soveltamisalaan kuuluisivat sekä kuriiripalvelun tarjoajat, että postipalvelun tarjoajat. Postipalvelujen tarjoajilla tarkoitettaisiin postidirektiivin 2 artiklan 1 a alakohdassa tarkoitettuja postipalvelujen tarjoajia. Postidirektiivissä postipalveluilla tarkoitetaan palveluja, joihin kuuluu postilähetysten keräily, lajittelu, kuljetus ja jakelu. Kuljetuspalvelut, jotka eivät koske jotain mainituista vaiheista, jäisivät postipalvelujen määritelmän ulkopuolelle. Postidirektiivissä postilähetyksellä tarkoitetaan postipalvelun tarjoajan kuljetettavaa valmista lähetystä, joka on osoitettu jollekin vastaanottajalle. Tällaiset lähetykset voivat kirjelähetysten lisäksi olla esimerkiksi kirjoja, luetteloita, sanomalehtiä ja aikakausjulkaisuja sekä postipaketteja, jotka sisältävät joko kaupallista arvoa omaavaa tai sitä vailla olevaa tavaraa. Kuriiripalvelujen tarjoajia olisivat esimerkiksi sellaiset palveluntarjoajat, jotka tarjoavat vähintään yhden postiketjun vaiheista, erityisesti postilähetysten keräilyn, lajittelun, kuljetuksen tai jakelun, mukaan lukien noutopalvelut. Soveltamisala vastaisi posti- ja kuriiripalvelujen osalta sisällöllisesti NIS2-direktiivin liitteen II kohdassa 1 määriteltyä vähimmäissoveltamisalaa.  

Liitteen II kohdassa 2 määriteltäisiin lain soveltamisalaan kuuluvat toimijat digitaalisen palvelun tarjoajien osalta. Soveltamisalaan kuuluisivat verkossa toimivien markkinapaikkojen tarjoajat, verkossa toimivien hakukoneiden tarjoajat sekä verkkoyhteisöalustojen tarjoajat. Toimijatyypit määriteltäisiin tarkemmin 2 §:ssä. Soveltamisala vastaisi digitaalisen palvelun tarjoajien osalta NIS2-direktiivin liitteen II kohdassa 6 määriteltyä vähimmäissoveltamisalaa.  

Liitteen II kohdassa 3 määriteltäisiin lain soveltamisalaan kuuluvat toimijat moottoriajoneuvojen, perävaunujen ja puoliperävaunujen valmistuksen osalta. Soveltamisalaan kuuluisivat NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 29 tarkoitettua valmistusta harjoittavat yritykset. Soveltamisala vastaisi moottoriajoneuvojen, perävaunujen ja puoliperävaunujen valmistuksen osalta NIS2-direktiivin liitteen II kohdan 5 alakohdassa e määriteltyä vähimmäissoveltamisalaa.  

NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 29 tarkoitettua taloudellista toimintaa harjoittavat yritykset: 

Moottoriajoneuvojen, perävaunujen ja puoliperävaunujen valmistus 

Moottoriajoneuvojen valmistus 

Moottoriajoneuvojen valmistus 

Moottoriajoneuvojen korien valmistus; perävaunujen ja puoliperävaunujen valmistus 

Moottoriajoneuvojen korien valmistus; perävaunujen ja puoliperävaunujen valmistus 

Osien ja tarvikkeiden valmistus moottoriajoneuvoihin 

Sähkö- ja elektroniikkalaitteiden valmistus moottoriajoneuvoihin 

Muiden osien ja tarvikkeiden valmistus moottoriajoneuvoihin 

Liitteen II kohdassa 4 määriteltäisiin lain soveltamisalaan kuuluvat toimijat muiden kulkuneuvojen valmistuksen osalta. Soveltamisalaan kuuluisivat NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 30 tarkoitettua valmistusta harjoittavat yritykset. Soveltamisala vastaisi muiden kulkuneuvojen valmistuksen osalta NIS2-direktiivin liitteen II kohdan 5 alakohdassa f määriteltyä vähimmäissoveltamisalaa.  

NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 30 tarkoitettua taloudellista toimintaa harjoittavat yritykset: 

Muiden kulkuneuvojen valmistus 

Laivojen ja veneiden rakentaminen 

Laivojen ja kelluvien rakenteiden rakentaminen 

Huvi- ja urheiluveneiden rakentaminen 

Raideliikenteen kulkuneuvojen valmistus 

Raideliikenteen kulkuneuvojen valmistus 

Ilma- ja avaruusalusten ja niihin liittyvien koneiden valmistus 

Ilma- ja avaruusalusten ja niihin liittyvien koneiden valmistus 

Taisteluajoneuvojen valmistus 

Taisteluajoneuvojen valmistus 

Muualla luokittelematon kulkuneuvojen valmistus 

Moottoripyörien valmistus 

Polkupyörien ja invalidiajoneuvojen valmistus 

Muiden muualla luokittelemattomien kulkuneuvojen valmistus 

Liitteen II kohdassa 5 määriteltäisiin lain soveltamisalaan kuuluvat tutkimusorganisaatiot. Soveltamisalaan kuuluisivat tutkimusorganisaatiot, joiden ensisijaisena tavoitteena on harjoittaa soveltavaa tutkimusta tai kokeellista kehitystyötä kyseisen tutkimuksen tulosten hyödyntämiseksi kaupallisiin tarkoituksiin. Lakia ei kuitenkaan sovellettaisi korkeakouluihin tai muihin opetus- ja koulutusalan laitoksiin. Yliopistoa tai muuta korkeakoulua taikka opetus- ja koulutusalan laitosta ei olisi pidettävä kohdan tarkoittamana tutkimusorganisaationa, ellei sen toiminnan ensisijaisena tavoitteena olisi harjoittaa soveltavaa tutkimusta tai kokeellista kehitystyötä tutkimuksen tulosten hyödyntämiseksi kaupallisiin tarkoituksiin.  

Tutkimusorganisaatioihin olisi luettava toimijat, joiden toiminnasta olennainen osa on Taloudellisen yhteistyön ja kehityksen järjestön vuonna 2015 laaditussa, tutkimus- ja kehittämistoiminnan tietojen keräämis- ja raportointiohjeita koskevassa Frascati-käsikirjassa tarkoitettua soveltavaa tutkimusta tai kokeellista kehitystyötä, joiden tuloksia ne hyödyntävät kaupallisiin tarkoituksiin, kuten tuotteen valmistamiseen tai kehittämiseen tai prosessiin, palvelun tarjoamiseen tai sen markkinointiin. Tutkimusorganisaatiot, jotka jakavat ja hyödyntävät tutkimustuloksia kaupallisiin tarkoituksiin, voivat olla tärkeitä osia arvoketjuissa, mikä tekee niiden viestintäverkkojen ja tietojärjestelmien turvallisuudesta merkityksellisen EU:n sisämarkkinoiden kyberturvallisuuden kannalta. Tutkimusorganisaation määritelmä vastaisi NIS2-direktiivin 6 artiklan 41 kohdan määritelmää ja johdanto-osan perustelukappaletta 36. Lain soveltamisala vastaisi tutkimusorganisaatioiden osalta NIS2-direktiivin liitteen II kohdassa 7 määriteltyä vähimmäissoveltamisalaa. 

Liitteen II kohdassa 6 määriteltäisiin lain soveltamisalaan kuuluvat toimijat kemikaalisektorin osalta. Soveltamisalaan kuuluisivat kemikaalien valmistusta, tuotantoa tai jakelua. Soveltamisala vastaisi kemikaalisektorin osalta NIS2-direktiivin liitteen II kohdassa 3 määriteltyä vähimmäissoveltamisalaa.  

Liitteen II kohdassa 7 määriteltäisiin lain soveltamisalaan kuuluvat toimijat elintarvikesektorin osalta. Soveltamisalaan kuuluisivat elintarvikeyritykset, jotka harjoittavat tukkukauppaa, teollista tuotantoa tai jalostusta. Yrityksen ei tarvitsisi toimia kaikilla mainitusta toimialan osista, vaan riittäisi että se harjoittaisi jotakin niistä. Soveltamisala vastaisi elintarvikesektorin toimijoiden osalta sisällöllisesti NIS2-direktiivin liitteen II kohdassa 4 määriteltyä vähimmäissoveltamisalaa.  

Liitteen II kohdassa 8 määriteltäisiin lain soveltamisalaan kuuluvat toimijat jätehuoltosektorin osalta. Soveltamisalaan kuuluisivat jätehuoltoa harjoittavat yritykset. Soveltamisala vastaisi jätehuoltosektorin osalta NIS2-direktiivin liitteen II kohdassa 2 määriteltyä vähimmäissoveltamisalaa.  

Liitteen II kohdassa 9-10 määriteltäisiin lain soveltamisalaan kuuluvat toimijat lääkinnällisten laitteiden valmistuksen osalta. Soveltamisalaan kuuluisivat ns. MD-asetuksen soveltamisalaan kuuluvien lääkinnällisten laitteiden sekä in vitro –diagnostiikkaan tarkoitettujen lääkinnällisten laitteiden valmistajat. Vakavan kansanterveysuhan aikana kriittisiksi katsottuja lääkinnällisiä laitteita valmistavat toimijat kuuluisivat kuitenkin edellä kuvatulla tavalla Liitteen I kohdassa 13 tarkoitettuihin terveyssektorin toimijoihin. Soveltamisala vastaisi lääkinnällisten laitteiden valmistuksen osalta NIS2-direktiivin liitteen II kohdan 5 alakohdassa a määriteltyä vähimmäissoveltamisalaa.  

Liitteen II kohdassa 11 määriteltäisiin lain soveltamisalaan kuuluvat toimijat tietokoneiden sekä elektronisten ja optisten tuotteiden valmistuksen osalta. Soveltamisalaan kuuluisivat NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 26 tarkoitettua valmistusta harjoittavat yritykset. Soveltamisala vastaisi tietokoneiden sekä elektronisten ja optisten tuotteiden valmistuksen osalta NIS2-direktiivin liitteen II kohdan 5 alakohdassa b määriteltyä vähimmäissoveltamisalaa.  

NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 26 tarkoitettua taloudellista toimintaa harjoittavat yritykset: 

Tietokoneiden sekä elektronisten ja optisten tuotteiden valmistus 

Elektronisten komponenttien ja piirilevyjen valmistus 

Elektronisten komponenttien valmistus 

Kalustettujen piirilevyjen valmistus 

Tietokoneiden ja niiden oheislaitteiden valmistus 

Tietokoneiden ja niiden oheislaitteiden valmistus 

Viestintälaitteiden valmistus 

Viestintälaitteiden valmistus 

Viihde-elektroniikan valmistus 

Viihde-elektroniikan valmistus 

Mittaus-, testaus- ja navigointivälineiden ja -laitteiden valmistus; kellot 

Mittaus-, testaus- ja navigointivälineiden ja -laitteiden valmistus 

Kellojen valmistus 

Säteilylaitteiden sekä elektronisten lääkintä- ja terapialaitteiden valmistus 

Säteilylaitteiden sekä elektronisten lääkintä- ja terapialaitteiden valmistus 

Optisten instrumenttien ja valokuvausvälineiden valmistus 

Optisten instrumenttien ja valokuvausvälineiden valmistus 

Tallennevälineiden valmistus 

Tallennevälineiden valmistus 

Liitteen II kohdassa 12 määriteltäisiin lain soveltamisalaan kuuluvat toimijat sähkölaitteiden valmistuksen osalta. Soveltamisalaan kuuluisivat NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 27 tarkoitettua valmistusta harjoittavat yritykset. Soveltamisala vastaisi sähkölaitteiden valmistuksen osalta NIS2-direktiivin liitteen II kohdan 5 alakohdassa c määriteltyä vähimmäissoveltamisalaa.  

NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 27 tarkoitettua taloudellista toimintaa harjoittavat yritykset: 

Sähkölaitteiden valmistus 

Sähkömoottorien, generaattorien, muuntajien sekä sähkönjakelu- ja valvontalaitteiden valmistus 

Sähkömoottorien, generaattorien ja muuntajien valmistus 

Sähkönjakelu- ja valvontalaitteiden valmistus 

Paristojen ja akkujen valmistus 

Paristojen ja akkujen valmistus 

Sähköjohtojen ja kytkentälaitteiden valmistus 

Optisten kuitukaapelien valmistus 

Muiden elektronisten ja sähköjohtojen sekä -kaapelien valmistus 

Kytkentälaitteiden valmistus 

Sähkölamppujen ja valaisimien valmistus 

Sähkölamppujen ja valaisimien valmistus 

Kodinkoneiden valmistus 

Sähköisten kodinkoneiden valmistus 

Sähköistämättömien kodinkoneiden valmistus 

Muiden sähkölaitteiden valmistus 

Muiden sähkölaitteiden valmistus 

Liitteen II kohdassa 13 määriteltäisiin lain soveltamisalaan kuuluvat toimijat muiden koneiden ja laitteiden valmistuksen osalta. Soveltamisalaan kuuluisivat NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 28 tarkoitettua valmistusta harjoittavat yritykset. Soveltamisala vastaisi muiden koneiden ja laitteiden valmistuksen osalta NIS2-direktiivin liitteen II kohdan 5 alakohdassa d määriteltyä vähimmäissoveltamisalaa.  

NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 28 tarkoitettua taloudellista toimintaa harjoittavat yritykset: 

Muiden koneiden ja laitteiden valmistus 

Yleiskäyttöön tarkoitettujen voimakoneiden valmistus 

Moottorien ja turbiinien valmistus (pl. lentokoneiden ja ajoneuvojen moottorit) 

Hydraulisten voimalaitteiden valmistus 

Pumppujen ja kompressoreiden valmistus 

Muiden hanojen ja venttiilien valmistus 

Laakereiden, hammaspyörien, vaihteisto- ja ohjauselementtien valmistus 

Muiden yleiskäyttöön tarkoitettujen koneiden valmistus 

Teollisuusuunien, lämmitysjärjestelmien ja tulipesäpolttimien valmistus 

Nosto- ja siirtolaitteiden valmistus 

Konttorikoneiden ja -laitteiden valmistus (pl. tietokoneet ja niiden oheislaitteet) 

Voimakäyttöisten käsityökalujen valmistus 

Muuhun kuin kotitalouskäyttöön tarkoitettujen jäähdytys- ja tuuletuslaitteiden valmistus 

Muualla luokittelematon yleiskäyttöön tarkoitettujen koneiden valmistus 

Maa- ja metsätalouskoneiden valmistus 

Maa- ja metsätalouskoneiden valmistus 

Metallin työstökoneiden ja konetyökalujen valmistus 

Metallin työstökoneiden valmistus 

Muiden konetyökalujen valmistus 

Muiden erikoiskoneiden valmistus 

Metallinjalostuskoneiden valmistus 

Kaivos-, louhinta- ja rakennuskoneiden valmistus 

Elintarvike-, juoma- ja tupakkateollisuuden koneiden valmistus 

Tekstiili-, vaate- ja nahkateollisuuden koneiden valmistus 

Paperi-, kartonki- ja pahviteollisuuden koneiden valmistus 

Muovi- ja kumiteollisuuden koneiden valmistus 

Muualla luokittelematon erikoiskoneiden valmistus 

Ehdotuksella pantaisiin täytäntöön NIS2-direktiivin 2 artiklan 1–2 ja 4 kohdat, 3 artiklan 1–2 kohdat ja 6 artiklan 38 kohta, pois lukien 2 artiklan 2 kohdan a–e alakohdat ja 3 kohta. 

Pykälän 2 momentissa säädettäisiin eräiden toimijoiden kuulumisesta laissa tarkoitetun toimijan määritelmään niiden koosta riippumatta, eli myös silloin, kun toimija ei täytä 1 momentin b kohdassa tarkoitettua kokoedellytystä. Näitä toimijoita olisivat yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat, luottamuspalvelun tarjoajat, aluetunnusrekisterin ylläpitäjät ja DNS-palveluntarjoajat.  

Momentilla pantaisiin täytäntöön NIS2-direktiivin NIS2-direktiivin 2 artiklan 2 kohdan a alakohta. 

Pykälän 3 momentissa säädettäisiin eräiden toimijoiden kuulumisesta laissa tarkoitetun toimijan määritelmän alaan niiden koosta riippumatta, eli myös silloin, kun toimija ei täytä 1 momentin b kohdassa tarkoitettua kokoedellytystä. Näitä toimijoita olisivat lain liitteessä I tai II tarkoitettua toimintaa harjoittavat tai toimijatyyppiä olevat toimijat, jotka täyttävät yhden tai useamman momentin 1–4 alakohdan kriteereistä.  

NS2-direktiivin 2 artiklan 2 kohdan b–e alakohdissa edellytetään, että soveltamisala kattaisi koosta riippumatta toimijat liitteissä I ja II tarkoitetuilla toimialoilla b–e alakohdissa tarkoitetuissa tilanteissa. Ehdotetut 1–4 kohdat vastaisivat NIS2-direktiivin 2 artiklan 2 kohdan b–e alakohtia ja luettelo olisi tyhjentävä. Luetteloa olisi tulkittava suppeasti. 

Pykälän 4momentin nojalla valtioneuvoston asetuksella voitaisiin antaa tarkempia säännöksiä 3 momentin 1–4 alakohdissa tarkoitetuista kriteereistä. . Kriteerien täsmentäminen voisi olla lain soveltamisen kannalta lakiteknisesti tarpeellista. Toimijoissa, joita kriteerit koskevat on kyse erityislaatuista toimintaa harjoittavista toimijoista, jotka kuuluisivat toiminnan erityisen laadun vuoksi poikkeuksellisesti lain velvoitteiden soveltamisalaan niiden koosta riippumatta. Ottaen huomioon 3 momentin 1–4 kohdassa tarkoitettujen kriteerien ja NIS2-direktiivin 2 artiklan 2 kohdan b-e alakohtien laatu, yksittäisen yrityksen käytettävissä olevien tietojen perusteella voi osoittautua epävarmaksi, täyttääkö yritys 1–4 kohdassa tarkoitettuja kriteereitä. Näin ollen kriteerien täsmentäminen valtioneuvoston asetuksella olisi tarpeen oikeustilan tarkentamiseksi siitä, milloin yksittäinen toimija täyttää 3 momentin 1–4 kohdassa tarkoitetun kriteerin EU-säädöksen velvoittavan soveltamisalan täsmentämiseksi.  

Valtioneuvoston asetuksella 3 momentissa tarkoitettujen kriteerien täsmentäminen myös selkeyttäisi oikeustilaa niille yrityksille, jotka harjoittavat liitteessä I tai II tarkoitettua toimintaa tai ovat niissä tarkoitettua toimijatyyppiä, mutta alittavat keskisuuren yrityksen määritelmän. Tällaisten yritysten osalta voisi olla oikeudellisesti haastavaa arvioida yrityksen näkökulmasta sitä, onko toiminnassa kyse 3 momentin 1-4 kohdissa tarkoitetusta tilanteesta, niillä tiedoilla, joita yrityksellä on käytettävissään, kriteerien laatu huomioon ottaen. Lisäksi tulkinnallisuus koskisi hyvin laajaa joukkoa suomalaisia pien- ja mikroyrityksiä. Tulkinnallisuus aiheuttaisi tarpeetonta hallinnollista taakkaa pien- ja mikroyrityksille, mikäli 3 momentissa tarkoitettuja kriteerejä ei täsmennettäisi valtioneuvoston asetuksella.  

Valtioneuvoston asetuksella voitaisiin säätää vain täsmennyksestä 3 momentissa tarkoitettuihin kriteereihin. Valtioneuvoston asetuksella ei siten voitaisi laajentaa kriteereitä. Ehdotetussa 3 momentissa olisi lain tasolla perussäännökset sille, milloin toimija, jota kriteerit koskevat, kuuluisi lain soveltamisalaan. Jotta kriteerit täyttävä toimija kuuluisi lain soveltamisalaan, tulisi sen harjoittaa myös lain liitteessä I tai II tarkoitettua toimintaa tai olla liitteessä I tai II tarkoitettua toimijatyyppiä 3 momentin edellyttämällä tavalla. Asetuksenantovaltuuden perusteesta säädettäisiin laissa ja valtuutus olisi selkeä sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset täyttävä. 

NIS2 –direktiivin johdanto-osan perustelukappaleen 20 nojalla komission olisi annettava ohjeita mikroyrityksiin ja pieniin yrityksiin sovellettavien kriteerien käytöstä sen arvioimisessa, kuuluvatko ne NIS2-direktiivin soveltamisalaan. Milloin mainittua ohjeistusta olisi annettu, olisi se huomioitava sovellettaessa 4 momenttia.  

Ehdotetulla 3 ja 4 momentilla pantaisiin täytäntöön NIS2-direktiivin 2 artiklan 2 kohdan b–e alakohdat soveltamisalasta. 

Pykälän 5 momentin nojalla toimijaan ei sovelleta komission suosituksen liitteessä olevan 3 artiklan 4 kohtaa. Rajaus vastaisi NIS2-direktiivin 2 artiklan 1 kohtaa. Koska mainittua kohtaa ei sovellettaisi, myös julkisomisteista yritystä voitaisiin pitää yrityksenä, joka ei täytä tai ylitä 1 momentin 2 kohdassa tarkoitettua kynnystä. Momentin nojalla toimijaan ei sovellettaisi komission suosituksen liitteessä olevan 3 artiklan 4 kohtaa myöskään silloin, kun arvioitaisiin sen 27 §:n 2 momentissa tarkoitettua keskeisyyttä.  

4 §. Soveltamisalan rajaukset. Pykälässä säädettäisiin eräistä poikkeuksista lain soveltamisalaan.  

Pykälän 1 – 3 momentilla otettaisiin käyttöön NIS2-direktiivin 2 artiklan 7–9 kohtien mukainen kansallinen liikkumavara soveltamisalasta.  

Pykälän 1 momentissa säädettäisiin poikkeus riskienhallinta- ja raportointivelvoitteiden soveltamisesta toimintaan tai palveluihin, joita tarjotaan maanpuolustuksen, kansallisen turvallisuuden, yleisen järjestyksen ja turvallisuuden taikka rikosten ennalta estämisen, rikostutkinnan ja syytetoimien toteuttamiseksi. Toimijaa koskisi edelleen 41 §:ssä tarkoitettu velvoite ilmoittautua toimijaluetteloon.  

Pykälän 2 momentissa säädettäisiin poikkeus koko lain soveltamisesta toimijaan, joka tarjoaa ainoastaan 1 momentissa tarkoitettua toimintaa tai palvelua.  

Pykälän 3 momentin nojalla toimija kuuluisi lain soveltamisalaan 1 ja 2 momentissa säädetystä poiketen silloin kun toimija on luottamuspalvelun tarjoaja.  

Pykälän 4 momentissa säädettäisiin poikkeus koko lain soveltamisesta toimijaan, johon DORA-asetusta ei sovelleta sen 2 artiklan 4 kohdan nojalla. Ehdotetulla 4 momentilla rajattaisiin lain soveltamisala NIS2-direktiivin 2 artiklan 10 kohdan mukaisesti.  

Pykälän 5 momentissa säädettäisiin poikkeus lain soveltamisesta silloin, kun liitteessä I tai II tarkoitettu toiminta on satunnaista ja vähäistä. Toiminnan satunnaisuutta ja vähäisyyttä tulisi arvioida suhteessa toiminnan ajalliseen kestoon, toiminnan pääasialliseen tarkoitukseen, toiminnan laajuuteen ja toiminnasta riippuvien henkilöiden tai asiakkaiden määrään. Satunnaisena ja vähäisenä toimintana olisi pidettävä esimerkiksi pääasiassa omaa käyttöä varten tapahtuvaa sähkön tuottamista aurinkopaneelin tai tuuligeneraattorin avulla, jossa sähköverkkoon syötetään ajoittain sähkön ylituotantoa, joka on määrällisesti vähäistä. Poikkeus olisi tarpeen, jotta lain soveltamisala ei laajenisi sen tarkoituksen vastaisesti kattamaan vähäisen tai satunnaisen liitteessä I tai II tarkoitetun toiminnan johdosta kokonaisuudessaan sellaista oikeushenkilöä tai luonnollista henkilöä, jonka harjoittama toiminta muutoin täyttäisi tai ylittäisi keskisuuren toimijan määritelmän mutta ei muutoin kuuluisi lain soveltamisalaan.  

Pykälän 6 momentissa säädettäisiin poikkeus lain soveltamisesta kuntalaissa tarkoitettuun kuntaan. Momentin nojalla, jos lain liitteessä I tai II tarkoitettua toimintaa harjoittaa kunta, olisi kunnan osalta lakia sovellettava vain lain liitteessä I tai II tarkoitettuun toimintaan. Kun arvioidaan kunnan harjoittaman toiminnan kuulumista soveltamisalaan, tulisi kokokriteerin määrittämisessä ottaa huomioon vain liitteessä I tai II tarkoitettu toiminta, mutta ei kunnan henkilöstöä, tasetta tai liikevaihtoa muilta osin. Vastaavasti toimijaa koskevia riskienhallinta-, raportointi- ja ilmoittautumisvelvoitetta ei tulisi tulkita kuntaa velvoittavaksi muun kuin liitteessä I tai II tarkoitetun toiminnan osalta.  

NIS2-direktiivin 2 artiklan 5 kohdan a-alakohdan nojalla ja jaksossa 2.10 kuvatulla tavalla julkishallinnon osalta paikallistason julkishallinnon toimijat, eli Suomessa kunnat, kuuluvat jäsenvaltion kansallisen liikkumavaran alaan. Kansallisen liikkumavaran nojalla kuntia ei ole tarkoitus saattaa esityksellä NIS2-direktiivin velvoitteiden soveltamisalaan kokonaisuutena. Kunnat voivat kuitenkin nykyisellään huolehtia joistakin tehtävistä, joita lain liitteessä I tai II tarkoitetaan. Näitä tehtäviä voivat olla esimerkiksi jätehuoltoon tai vesihuoltoon liittyvät tehtävät siten kuin jätelaissa (646/2011) ja vesihuoltolaissa (119/2001) säädetään. Pykälän 6 momentin tarkoituksena olisi rajata lain soveltamisalaa siten, että kunnan harjoittama pienimuotoinen liitteessä I tai II tarkoitettu toiminta ei johtaisi siihen, että lain velvoitteita sovellettaisiin kuntaan kokonaisuutena. Jos kunta harjoittaisi liitteessä I tai II tarkoitettua toimintaa siinä laajuudessa, joka täyttää tai ylittää keskisuuren toimijan määritelmän, olisi lakia sovellettava tähän toimintaan 5 momentin mukaisesti.  

Pykälän 7 momentissa säädettäisiin lain soveltamisen rajaamisesta tiedon luovuttamiseen silloin, jos tiedon luovuttaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta taikka olisi vastoin siihen liittyvää tärkeää etua. Lakia ei olisi tulkittava siten, että se velvoittaisi luovuttamaan tietoa, jos tiedon antamisessa olisi kyse 7 momentissa tarkoitetusta tilanteesta. Momentti voisi tulla sovellettavaksi tietojen luovuttamiseen toimijan ja viranomaisen välillä, kansallisten viranomaisten välillä sekä kansallisen viranomaisen Euroopan unionille luovuttamien tietojen osalta. Säännöksellä ei rajattaisi tahoja, joiden välillä tällainen tiedon luovuttaminen voisi tulla kyseeseen, vaan merkityksellistä olisi luovutettavan tiedon laatu ja luovuttamisen aiheuttama vaarantaminen. Säännös vastaisi NIS2-direktiivin 2 artiklan 11 kohdan rajausta tietojen luovuttamisesta.  

5 §.Suhde muuhun lainsäädäntöön . Pykälässä säädettäisiin lain suhteesta muuhun kyberturvallisuuden riskienhallinta- ja raportointivelvoitteita koskevaan lainsäädäntöön. Lain soveltamisala olisi laaja, toimialarajat ylittävä ja velvoitteita sovellettaisiin horisontaalisesti. Tämän johdosta olisi tarpeen selkeyttää lain suhdetta muuhun kyberturvallisuuden riskienhallinta- ja raportointivelvoitteita koskevaan sääntelyyn. Pykälän tarkoituksena olisi selventää lain merkitys yleislakina suhteessa toimialakohtaisiin erityissäännöksiin, joilla varmistetaan korkeampi kyberturvallisuuden taso. Jos toimialakohtaisia erityissäännöksiä olisi muussa laissa, niitä olisi sovellettava tämän lain vastaavien säännösten sijasta.  

Laissa säädettäisiin NIS2-direktiivin vähimmäistason edellyttämistä riskienhallinta- ja raportointivelvoitteista kullekin toimialalle. Sektorikohtaisesti on kuitenkin mahdollista, että kansallisessa laissa tai EU-sääntelyssä asetetaan tietylle toimialalle tai toimijatyypille yksityiskohtaisempia tai tarkempia velvoitteita, joilla pyritään varmistamaan NIS2-direktiivin mukaisia yleisvelvoitteita korkeampi kyberturvallisuuden taso. Tällaiset velvoitteet voivat sisältää esimerkiksi ehdotettuun lakiin verrattuna yksityiskohtaisempia säännöksiä riskienhallinnassa huomioitavista osa-alueista, edellyttää tietyn standardin tai sertifioinnin käyttämisestä, täsmentää tai tarkentaa toimialakohtaisesti kynnystä poikkeamalle, josta viranomaiselle on raportoitava taikka edellyttää tiiviimpää tai nopeampaa raportointia valvovalle viranomaiselle. Sektorikohtaista sääntelyä tulisi soveltaa tämän lain asemasta siltä osin kuin sillä pyrittäisiin kyberturvallisuuden korkeamman tason turvaamiseen. 

Lain suhteesta julkisen hallinnon tiedonhallinnasta annettuun lakiin säädettäisiin 1 §:n 3 momentissa. 

Pykälän 1 momentissa säädettäisiin lain suhteesta muussa kansallisessa laissa oleviin säännöksiin, jotka koskevat vaatimuksia kyberturvallisuusriskien hallintatoimenpiteistä tai merkittävistä poikkeamista ilmoittamisesta. Säännös olisi tarpeen lain suhteen selkeyttämiseksi mahdollisiin toimiala- tai toimijakohtaisiin erityissäännöksiin kyberturvallisuuden riskienhallinnasta ja poikkeamien ilmoittamisesta. Säännös ilmentäisi lain suhdetta sekä nykyisiin että tuleviin erityissäännöksiin, ellei laissa toisin säädettäisi. Lain tarkoituksena olisi olla yleislaki suhteessa toimiala- tai toimijakohtaisiin erityissäännöksiin muualla laissa. NIS2-direktiivi on sen 5 artiklan mukaisesti vähimmäisvelvoittava, eli NIS2-direktiivillä ei estetä jäsenvaltiota antamasta tai pitämästä voimassa säännöksiä, joilla varmistetaan kyberturvallisuuden korkeampi taso, edellyttäen, että tällaiset säännökset ovat unionin oikeudessa säädettyjen jäsenvaltioiden velvoitteiden mukaisia. Toimialakohtaista erityissääntelyä on esimerkiksi sähköisen viestinnän palveluista annetussa laissa.  

Jos kansallisessa laissa tai sen nojalla annetuissa säännöksissä tai määräyksissä olisi toimialakohtaisia vaatimuksia, ja vaatimukset ovat vaikutuksiltaan vähintään tässä laissa säädettyjä velvoitteita vastaavia, niitä sovelletaan tämän lain vastaavien säännösten asemasta. Siltä osin kuin toimialakohtaisesti ei olisi säädetty muusta, toimijaan sovellettaisiin edelleen, mitä tässä laissa säädetään.  

Pykälän 2 momentissa säädettäisiin lain suhteesta toimialakohtaisissa unionin säädöksissä asetettaviin edellytyksiin toimijalle. Euroopan unionin asetuksia ovat esimerkiksi Euroopan parlamentin ja neuvoston asetukset sekä Euroopan komission täytäntöönpano- ja delegoidut asetukset. Ehdotuksella pantaisiin täytäntöön NIS2-direktiivin 4 artikla.  

Jos Euroopan unionin asetuksessa tai NIS2-direktiivin nojalla säädetyssä komission asetuksessa edellytetään, että toimija ottaa käyttöön kyberturvallisuusriskien hallintatoimenpiteitä tai ilmoittaa merkittävistä poikkeamista, ja vaatimukset ovat vaikutuksiltaan vähintään tässä laissa säädettyjä vastaavia velvoitteita vastaavia, säännöksiä sovellettaisiin tämän lain 2, 4 ja 5 luvun sekä 41 §:n asemasta. Siltä osin, kun toimialakohtaisesti ei olisi säädetty muusta, toimijaan sovellettaisiin edelleen, mitä tässä laissa säädetään. 

Säännös tulisi sovellettavaksi NIS2-direktiivin 4 artiklan mukaisissa tilanteissa sekä silloin, kun NIS2-direktiivin nojalla säädetyssä komission täytäntöönpanoasetuksessa edellytettäisiin tätä lakia korkeampaa tasoa riskienhallinta- tai raportointivelvoitteilta.  

Sektorikohtaisia vaatimuksia kyberturvallisuudesta on unionin alakohtaisissa säädöksissä ainakin finanssimarkkinoihin ja ilmaliikenteeseen liittyen. Lisäksi valmisteilla on sektorikohtaisia vaatimuksia energia-alalle. Mikäli EU:n asetuksessa tai suoraan sovellettavassa komission täytäntöönpanoasetuksessa tai delegoidussa asetuksessa taikka NIS2-direktiivin nojalla annetussa suoraan sovellettavassa täytäntöönpanosäädöksessä säädetään sektorikohtaisesta tarkennuksesta NIS2-direktiivin velvoitteiden soveltamiseen, olisi sitä tulkittava yhdenmukaisesti myös tämän lain soveltamisen kannalta. 

NIS2-direktiivin 4 artiklan 2 kohdan mukaisesti vaatimusten tulisi katsoa olevan vaikutukseltaan vastaavia, kun kyberturvallisuusriskien hallintatoimenpiteet ovat vaikutukseltaan vähintään NIS2-direktiivin 21 artiklan 1 ja 2 kohdassa säädettyjä toimenpiteitä vastaavia; tai alakohtaisessa unionin säädöksessä säädetään tämän NIS2-direktiivin mukaisten CSIRT-yksiköiden, toimivaltaisten viranomaisten tai keskitettyjen yhteyspisteiden välittömästä, tarvittaessa automaattisesta ja suorasta, pääsystä poikkeamailmoituksiin, jos merkittävistä poikkeamista ilmoittamista koskevat vaatimukset ovat vaikutukseltaan vähintään tämän direktiivin 23 artiklan 1–6 kohdassa säädettyjä vaatimuksia vastaavia. Mikäli sektorikohtainen sääntely katsotaan vaikutuksiltaan vastaavaksi kuin tässä laissa säädetyt velvoitteet, sitä sovellettaisiin toimijaan tämän lain 2 luvun tai 41 §:n velvoitteiden sekä 4 ja 5 luvun säännöksien asemasta.  

Sektorikohtaisesta sääntelystä huolimatta kaikki lain liitteissä I ja II tarkoitetut toimialat ja toimijatyypit sekä tiedonhallintalaissa tarkoitettu julkishallinnon toimiala tulisi huomioida kansallisten kyberturvallisuusstrategian ja laajamittaisten kyberturvallisuuspoikkeamien ja –kriisien hallintasuunnitelman valmistelussa ja CSIRT-yksikön toiminnassa.  

NIS2-direktiivin 4 artiklan 3 kohdan nojalla komissio antaa ohjeita, joissa selvennetään NIS2-direktiivin 4 artiklan 1 ja 2 kohtien soveltamista. Komissio on julkaissut tarkempaa ohjeistusta sektorikohtaisen unionin sääntelyn arvioimisesta suhteessa NIS2-sääntelyyn ja, mikäli sektorikohtainen sääntely katsotaan NIS2-sääntelyä vastaavaksi, NIS2-sääntelyn soveltumisesta tällaisen sektorikohtaisen sääntelyn alaan kuuluviin toimijoihin. Komission ohjeet NIS2-direktiivin 4 artiklan 1 ja 2 kohdan soveltamisesta on annettu tiedonantona 2023/C 328/02. Säännöstä olisi tulkittava yhdenmukaisesti sen ohjeistuksen mukaisesti, jota komissio antaa NIS2-direktiivin 4 artiklan 3 kohdan nojalla. 

NIS2-direktiivin johdanto-osan perustelukappaleen 23 mukaan, jos alakohtaisessa unionin säädöksessä on säännöksiä, joissa keskeisiä tai tärkeitä toimijoita vaaditaan ottamaan käyttöön kyberturvallisuusriskien hallintatoimenpiteitä tai ilmoittamaan merkittävistä poikkeamista, ja jos kyseiset vaatimukset ovat vaikutukseltaan vähintään tässä direktiivissä säädettyjä velvoitteita vastaavia, tällaisiin toimijoihin olisi sovellettava kyseisiä säännöksiä, mukaan lukien valvontaa ja täytäntöönpanoa koskevat säännökset. Jos alakohtainen unionin säädös ei kata tämän direktiivin soveltamisalaan kuuluvan tietyn toimialan kaikkia toimijoita, tämän direktiivin asiaankuuluvia säännöksiä olisi edelleen sovellettava niihin toimijoihin, joita mainittu säädös ei kata. 

Pykälän 3 momentti olisi informatiivinen viittaus yleiseen tietosuoja-asetukseen ja tietosuojalakiin, joissa säädetään henkilötietojen käsittelyn tietoturvallisuudesta.  

Pykälän 4 momentti olisi informatiivinen viittaus niihin sektorikohtaisiin lakeihin, joissa säädetään eräiden lupien peruuttamisesta sillä perusteella, että luvanhaltija on rikkonut tämän lain mukaisia velvollisuuksiaan.  

6 §. Lainkäyttövalta ja alueellisuus. Pykälässä säädettäisiin Suomen lainkäyttövallasta kansainvälisten toimijoiden osalta NIS2-direktiivin 26 artiklan mukaisella tavalla.  

Pykälän 1 momentin nojalla Suomen lakia sovellettaisiin toimijaan, joka on sijoittautunut Suomeen NIS2-direktiivin 26 artiklan 1 kohdan pääsäännön mukaisesti. Suomen lainkäyttövaltaan ja Suomen lain soveltamisalaan kuuluvat siten pääsääntöisesti toimijat, jotka ovat sijoittautuneet Suomeen. Suomen lain soveltamisalaan kuuluisi Suomeen sijoittautunut toimija kokonaisuudessaan, eli myös kyseisen toimijan sellaiset toiminnot, jotka sijaitsevat esimerkiksi toisessa jäsenvaltiossa tai kolmansissa maissa. Mikäli Suomessa NIS2-direktiivin soveltamisalaan kuuluvaa toimintaa harjoittaisi tai palveluja tarjoaisi toimija, joka on sijoittautunut toiseen EU-jäsenvaltioon, kuuluisi toimija pääsääntöisesti ja vastaavasti sijoittautumisvaltionsa lainsäädännön ja -valvonnan alaan. Julkishallinnon toimija kuuluisi NIS2-direktiivin 26 artiklan 1 kohdan c alakohdan mukaisesti aina sen jäsenvaltion lainkäyttövaltaan, joka toimijan on perustanut.  

Pykälän 2 momentissa säädettäisiin poikkeuksesta 1 momentin pääsääntöön eräiden toimijoiden osalta NIS2-direktiivin 26 artiklan 1 kohdan a alakohtaa vastaavasti. Riippumatta valtiosta, johon toimija on sijoittautunut, yleisen sähköisen viestintäverkon tarjoaja ja yleisesti saatavilla olevan sähköisen viestintäpalvelun tarjoaja kuuluisi sen jäsenvaltion lainkäyttövallan piiriin, jossa se tarjoaa palvelujaan. Näin ollen mainittuja palveluita Suomessa tarjoavat toimijat kuuluisivat Suomen lainkäyttövaltaan. Jos yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja tarjoaa yleisesti saatavilla olevaa rekursiivista DNS-palvelua ainoastaan internetyhteyspalvelun osana, kyseinen toimija kuuluisi kunkin jäsenvaltion lainkäyttövaltaan, joissa se tarjoaa palvelujaan, jäsenvaltiossa tarjottavan palvelun osalta.  

Pykälän 3 momentissa säädettäisiin poikkeuksesta 1 momentin pääsääntöön eräiden toimijoiden osalta NIS2-direktiivin 26 artiklan 1 kohdan b alakohtaa ja 26 artiklan 2-5 kohtia vastaavasti. Momentissa tarkoitetut toimijat kuuluisivat NIS2-direktiivissä tarkoitettujen velvoitteiden osalta sen jäsenvaltion lainkäyttövaltaan, jossa sijaitsee toimijan NIS2-direktiivin 26 artiklan 2 kohdassa tarkoitettu päätoimipaikka. Lainkäyttövalta näiden toimijoiden osalta kuuluisi siten vain yhdelle jäsenvaltiolle. Jos päätoimipaikka sijaitsee Suomessa, toimija kuuluisi tämän lain soveltamisalaan. NIS2-direktiivin 26 artiklan 2 kohdan mukaisesti toimijan päätoimipaikan katsotaan olevan siinä jäsenvaltiossa, jossa kyberturvallisuuden riskienhallinnan toimenpiteisiin liittyvät päätökset pääsääntöisesti tehdään. Jos tällaista jäsenvaltiota ei voida määrittää tai jos tällaisia päätöksiä ei tehdä unionissa, päätoimipaikan katsotaan sijaitsevan jäsenvaltiossa, jossa kyberturvallisuustoiminnot toteutetaan. Jos tällaista jäsenvaltiota ei voida määrittää, päätoimipaikan katsotaan sijaitsevan jäsenvaltiossa, jossa asianomaisella toimijalla on eniten työntekijöitä työllistävä toimipaikka unionissa.  

Jos toimijan päätoimipaikka sijaitsisi Euroopan unionin ulkopuolella mutta se tarjoaisi palvelujaan Euroopan unionin alueella, toimijan edellytetään nimeävän edustaja Euroopan unioniin NIS2-direktiivin 26 artiklan 3 kohdan mukaisesti. Tällöin toimija kuuluisi sen jäsenvaltion lainkäyttövallan piiriin, jossa toimijan nimetty edustaja sijaitsee. Jos Euroopan unionin ulkopuolelle sijoittautunut toimija ei ole asettanut toimijalta edellytettyä ja NIS2-direktiivin 26 artiklan 3 kohdassa tarkoitettua nimettyä edustajaa Euroopan unionissa ja toimija tarjoaa palveluita Suomessa, toimija kuuluisi Suomen lainkäyttövaltaan ja lain soveltamisalaan.  

Euroopan unionin ulkopuolelle sijoittuneen toimijan katsotaan tarjoavan palveluja Euroopan unionin alueella, jos se aikoo tarjota palveluja henkilöille yhdessä tai useammassa jäsenvaltiossa. Esimerkiksi yhdessä tai useammassa jäsenvaltiossa yleisesti käytettävän kielen tai rahayksikön käyttäminen ja mahdollisuus tilata palveluja kyseisellä kielellä taikka unionissa olevien asiakkaiden tai käyttäjien mainitseminen voivat osoittaa toimijan aikomusta tarjota palveluja unionin jäsenvaltiossa oleville henkilöille. Toisaalta yksin verkkosivuston tai sähköpostiosoitteen tai muiden yhteystietojen saatavuus unionissa ei yleensä riitä osoittamaan, että toimija aikoo tarjota palvelujaan Euroopan unionissa.  

Nimetyn edustajan olisi toimittava toimijan puolesta, ja toimivaltaisten viranomaisten tai CSIRT-yksiköiden olisi voitava ottaa yhteyttä edustajaan. Edustaja olisi nimettävä nimenomaisesti toimijan antamalla kirjallisella valtuutuksella hoitamaan tämän puolesta tässä direktiivissä säädetyt velvoitteet, myös poikkeamista raportointi. Edustajan nimeäminen ei kuitenkaan rajoittaisi jäsenvaltioiden mahdollisuutta panna vireille oikeustoimia toimijaa itseään vastaan.  

Pykälän 4 momentissa säädettäisiin valvovan viranomaisen mahdollisuudesta kohdistaa valvonta- ja täytäntöönpanotoimia sellaiseen toimijaan, joka on sijoittautunut toiseen Euroopan unionin jäsenvaltioon, mutta joka tarjoaa palveluja Suomessa tai jolla on viestintäverkko tai tietojärjestelmä Suomessa. Valvova viranomainen voisi suorittaa toiseen Euroopan unionin jäsenvaltioon sijoittautuneeseen toimijaan kohdistuvia valvonta- ja täytäntöönpanotoimia Suomessa laissa säädetyllä tavalla, jos sijoittautumisvaltion toimivaltainen viranomainen sitä pyytää. Edellytyksenä on lisäksi, että toimija tarjoaa palveluja Suomessa tai sillä on viestintäverkko tai tietojärjestelmä Suomen alueella ja valvovalla viranomaisella olisi oikeus suorittaa pyydetty toimi tämän lain nojalla.  

Jäsenvaltioiden viranomaisten keskinäisestä yhteistyöstä säädetään NIS2-direktiivin 37 artiklassa, joka valvovan viranomaisen tulisi yhteistyötä toteuttaessa huomioida. NIS2-direktiivin 37 artiklan 1 kohdan toisen kappaleen nojalla valvova viranomainen ei saisi kieltäytyä pyynnöstä, paitsi jos sillä ei ole lain nojalla toimivaltaa antaa pyydettyä apua, pyydetty apu ei ole oikeassa suhteessa valvovan viranomaisen valvontatehtäviin tai pyyntö koskee sellaisia tietoja tai käsittää sellaisia toimintoja, joiden paljastaminen tai toteuttaminen olisi vastoin Suomen kansalliseen turvallisuuteen, yleiseen turvallisuuteen tai puolustukseen liittyviä etuja. Ennen pyynnöstä kieltäytymistä valvovan viranomaisen olisi kuultava muita asianomaisia toimivaltaisia viranomaisia sekä, jos jokin jäsenvaltioista sitä pyytää, Euroopan unionin komissiota ja ENISAa. Pykälän 4 momentin nojalla valvova viranomainen voi kieltäytyä pyynnöstä, jos sillä ei ole lain nojalla toimivaltaa antaa pyydettyä apua, pyydetty apu ei ole oikeassa suhteessa valvontatehtäviin tai pyyntö koskee sellaisia tietoja tai käsittää sellaisia toimintoja, joiden paljastaminen tai toteuttaminen olisi vastoin Suomen maapuolustukseen tai kansalliseen turvallisuuteen liittyviä etuja. Ennen pyynnöstä kieltäytymistä valvovan viranomaisen on kuultava muita asianomaisia toimivaltaisia viranomaisia sekä, jos jokin jäsenvaltio sitä pyytää, Euroopan unionin komissiota ja Euroopan unionin kyberturvallisuusvirastoa. 

7 §.Riskienhallinta . Pykälässä säädettäisiin soveltamisalaan kuuluvien toimijoiden yleisestä velvoitteesta tunnistaa, arvioida ja hallita riskejä, joita sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen kohdistuu.  

Pykälän 1 momentin nojalla toimijan olisi tunnistettava, arvioitava ja hallittava riskejä, joita kohdistuu sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Toimijoiden velvollisuutena olisi siten varmistua riskienhallinnan keinoin siitä, että toiminnassa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuustaso ja riskienhallintatoimenpiteiden taso on riittävä ja oikeasuhtainen riskeihin ja viestintäverkon tai tietojärjestelmän merkitykseen nähden. Riskienhallinnalla tarkoitettaisiin toiminnan tai palveluntarjonnan kannalta merkityksellisiin viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien tunnistamista, riskien vakavuuksien arvioimista sekä riittävien toimenpiteiden toteuttamista riskien hallitsemiseksi. Riskienhallinnan tarkoituksena on estää tai minimoida viestintäverkkojen ja tietojärjestelmien poikkeamien vaikutusta toimintaan, palvelujen vastaanottajiin ja muihin palveluihin häiriötilanteessa häiriön syystä riippumatta. Riskienhallinnalla on siten pyrittävä turvaamaan toiminnan jatkuvuus tilanteissa, joissa viestintäverkkojen ja tietojärjestelmien toiminta häiriintyisi joko pahantahtoisen toiminnan vuoksi tai muusta syystä. Kyberturvallisuutta koskevien riskien hallinta olisi osa organisaation riskienhallintaa. Riskienhallinnassa lähtökohtana olisi sekä riskien tunnistaminen että tulokset, joilla organisaatio haluaa vähentää riskiä.  

NIS2-direktiivin johdanto-osan perustelukappaleen 77 mukaisesti riskienhallintakulttuuria toimijoissa tulisi edistää ja kehittää, ja siihen tulisi sisältyä riskinarviointi ja riskeihin suhteutettujen kyberturvallisuusriskien hallintatoimenpiteiden toteuttaminen. 

Pykälän 2 momentin nojalla toimijan tulisi toteuttaa riskienhallintatoimenpiteet, jotka ovat ajantasaisia, oikeasuhtaisia ja riittäviä suhteessa toiminnassa käytettäville viestintäverkoille ja tietojärjestelmille aiheutuville riskeille sekä viestintäverkon tai tietojärjestelmän merkitykselle toimijan toiminnan ja palveluntarjonnan kannalta. Tunnistetun riskin merkityksen määrittely on sekä subjektiivista toimijan omien liiketoiminta- tai palveluintressien perusteella, että objektiivista toimijan viestintäverkon ja tietojärjestelmän luotettavuudesta riippuvaisen palvelun yleisen ja yhteiskunnallisen merkittävyyden ja tärkeyden perusteella. Objektiiviset perusteet kuvataan tarkemmin 9 §:ssä ja sen perusteluissa.  

Velvoite kyberturvallisuuden riskienhallinnasta olisi luonteeltaan jatkuvaa, sillä viestintäverkkojen ja tietojärjestelmien turvallisuuteen kohdistuvat riskit muuttuvat ja turvallisuustoimet kehittyvät ajan myötä. Riskienhallinnassa toteutettavien toimenpiteiden tulisi ennen kaikkea olla ajantasaisia, eli vastata ajantasaista teknologista kehitystä ja tunnettuja parhaita käytänteitä siitä, kuinka kyberturvallisuusriskeiltä voidaan suojautua tai niiden vaikutuksia minimoida. Riskienhallinnan riittävyyttä ja oikeasuhtaisuutta arvioitaessa tulisi huomioida muun ohella viestintäverkon tai tietojärjestelmän merkitys toimijan toiminnan tai palveluntarjonnan kannalta, viestintäverkossa tai tietojärjestelmässä käsiteltävien tietojen laatu sekä muiden toimijoiden riippuvuus toimijan toiminnasta, palveluntarjonnasta, viestintäverkosta tai tietojärjestelmästä sekä erityisesti sen merkitys yhteiskunnan kriisinkestävyyden kannalta.  

Kyberturvallisuuden riskienarvioinnin tarkoituksena olisi edistää ja kehittää riskienhallintakulttuuria, johon sisältyy riskienarviointi ja riskeihin suhteutettujen kyberturvallisuusriskien hallintatoimenpiteiden toteuttaminen ja seuranta. Mitä merkittävämpiä vaikutuksia riskillä toteutuessaan olisi ja mitä merkittävämpi sen toteutumisen todennäköisyys on, sitä tehokkaampia, korkeatasoisempia tai korkeampia kustannuksia aiheuttavia hallintatoimenpiteitä edellytettäisiin oikeasuhtaiselta riskienhallinnalta.  

Riskienhallintavelvoite kohdistuisi toimijan toimintaan, toiminnan jatkuvuuteen ja palveluntarjontaan. Riskienhallintavelvoitetta ei olisi tarkoitettu kohdentumaan toimijan valmistaman tai markkinoille tarjottavan tuotteen ominaisuuksiin.  

Riskin määritelmästä säädettäisiin 2 §:n 13 kohdassa.  

Ehdotetuilla 7–10 §:llä pantaisiin täytäntöön NIS2-direktiivin artiklat 20–22.  

8 §.Kyberturvallisuutta koskeva riskienhallinnan toimintamalli . Pykälässä säädettäisiin toimijan velvoitteesta pitää käytössään ajantasainen kyberturvallisuutta koskeva riskienhallinnan toimintamalli säädetyn riskienhallintavelvoitteen toteuttamiseksi. Riskienhallinnan toimintamallissa tulisi tunnistaa toimijan käytössä oleviin tai palveluntarjontaan vaikuttaviin viestintäverkkoihin ja tietojärjestelmiin sekä niiden fyysiseen ympäristöön kohdistuvat riskit sekä tunnistaa ja kuvata riskienhallinnan tavoitteet, menettelyt ja vastuut sekä 9 §:n mukaiset toimenpiteet, joilla viestintäverkkoja ja tietojärjestelmiä sekä niiden fyysistä ympäristöä suojataan kyberuhkien ja poikkeamien toteutumiselta sekä niiden haitallisilta vaikutuksilta. Toimija voisi luoda riskienhallinnan toimintamallin itse tai hankkia sen ulkoistetusti. Kyberturvallisuutta koskeva riskienhallinnan toimintamalli voisi olla myös osa toimijan laajempaa riskienhallintasuunnitelmaa, jossa huomioidaan myös muita toimintaan kohdistuvia riskejä tai osa muuta turvallisuusvarautumista.  

Kyberturvallisuutta koskeva riskienhallinnan toimintamalli tulisi luoda kaikki vaaratekijät huomioivan lähestymistavan (all-hazard approach) mukaisesti kattamaan sekä viestintäverkot ja tietojärjestelmät että niiden fyysinen ympäristö. Tarkoituksena on suojata viestintäverkkojen ja tietojärjestelmien sekä niiden avulla harjoitettua toimintaa tai tarjottavia palveluita tietoturvaloukkauksilta, järjestelmähäiriöiltä, inhimillisiltä virheiltä, vihamielisiltä teoilta ja luonnonilmiöiltä. Kaikki vaaratekijät huomioivassa lähestymistavassa tulisi siis huomioida kaikki kohtuudella ennakoitavissa olevat viestintäverkkoihin ja tietojärjestelmiin kohdistuvat uhkatekijät, olivat ne sitten tietoturvauhkien, luonnon tai ihmisen aiheuttamia, onnettomuuksia tai tahallaan aiheutettuja. 

Kaikki vaaratekijät huomioivan lähestymistavan tulisi kattaa viestintäverkkojen ja tietojärjestelmien tieto- ja kyberturvallisuusriskit kuten hallinnollisen, henkilöstö-, laitteisto- ja ohjelmisto-, tietoaineisto- sekä käyttöturvallisuuden riskit ja niiden fyysisen ympäristön, toimitilojen ja välttämättömien resurssien osalta sellaisia tapahtumia, kuten varkaus, tulipalo, tulva, televiestintähäiriö tai sähkökatko, luvaton fyysinen pääsy toimijan tietoihin tai tietojenkäsittely-ympäristöön sekä vahinko ja häirintä, joka vaarantaisi viestintäverkoissa ja tietojärjestelmissä tai niiden välityksellä käsiteltävien tietojen tai palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. Riskienhallinnassa olisi otettava huomioon se, missä määrin toimija on riippuvainen viestintäverkosta ja tietojärjestelmistä. Mitä merkittävämmästä järjestelmästä palveluntuotannon kannalta on kyse ja mitä merkittävämpiä haitallisia vaikutuksia riski toteutuessaan järjestelmälle aiheuttaisi, sitä korkeampitasoista riskienhallintaa olisi tältä osin edellytettävä. 

Kyberturvallisuutta koskeva riskienhallinnan toimintamalli ja siihen perustuvat hallintatoimenpiteet olisi päivitettävä ja pidettävä ajantasaisena osana 7 §:ssä tarkoitettua jatkuvaa riskien tunnistamista ja arviointia. 

9 §.Toimenpiteet kyberturvallisuutta koskevien riskien hallinnassa . Pykälän 1 momentin nojalla lain soveltamisalaan kuuluvat toimijat velvoitettaisiin toteuttamaan riskienhallinnan toimintamallin mukaiset hallintatoimenpiteet viestintäverkkojen ja tietojärjestelmien turvallisuudelle kohdistuvien riskien hallitsemiseksi, ehkäisemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset ja taloudelliset vaikutukset. Riskienhallinnassa olisi siten otettava huomioon toisaalta riskin toteutumisen todennäköisyys ja riskin toteutumisesta aiheutuvat kustannukset sekä toisaalta käytettävissä olevista riskinhallintatoimenpiteistä aiheutuva kustannus ja vaikuttavuus.  

Pykälän 2 momentissa säädettäisiin NIS2-direktiivin 21 artiklan 2 kohtaa vastaavasti osa-alueista, jotka olisi otettava huomioon kyberturvallisuuden riskienhallinnan toimintamallin luomisessa ja tarpeellisten riskienhallintatoimenpiteiden määrittelyssä. Osa-alueiden listaus olisi vähimmäistason listaus. Toimija voisi toteuttaa myös laaja-alaisempaa riskienhallintaa arvioidessaan sen tarpeelliseksi.  

Riskienhallintatoimenpiteiden osalta olisi huomioitava, että ne elävät ajassa, kehittyvät ja ovat myös teknologiasidonnaisia. Lisäksi kyberturvallisuusympäristö muuttuu jatkuvasti sekä teknologioiden että kyberturvallisuuteen liittyvien parhaiden käytäntöjen kehittyessä. Toimijoille olisi jätettävä liikkumavaraa siihen, miten ne huolehtivat riskienhallinnan käytännön toteutuksesta. Riskienhallintatoimenpiteissä tulisi huomioida myös, että menetelmät ja käytetty tekniikka ovat keskenään sidoksissa – esimerkiksi vanhempien verkkoteknologioiden osalta riskienhallintatoimenpiteet eivät teknologisista syistä voi olla yhtä kattavia tai sofistikoituneita verrattuna uudempiin verkkoteknologioihin. Toimijoiden olisi kuitenkin huomioitava riskienhallinnassa ja riskienhallintatoimenpiteissä vähintään pykälän 2 momentissa tarkoitetut osa-alueet sekä kyettävä dokumentoimaan ja osoittamaan, miten riskienhallintaa osa-alueisiin liittyen toteutetaan. Osa-alueiden yksilöinti siten osoittaa toimijoille riskienhallintavaatimuksen edellyttämän vähimmäisalan.  

Momentissa käytettävät termit on pyritty sovittamaan yhteen teknisen toimialan terminologian kanssa siten, että toimintaperiaatteilla tarkoitetaan toimijan yleisen tason periaatteita ja päämäärien määrittelyä eli politiikkoja (policy); menettelyillä tarkoitetaan erilaisia prosesseja ja teknisiä menettelytapoja (procedures, processes); ja käytännöillä tarkoitetaan toimintatapoja (practises). Termien merkityssisältö ja suomennokset ovat osin täsmentymättömiä, ja momentin tulkinnassa olisi otettava huomioon, että teknisissä lähteissä kuten standardeissa termejä voidaan käyttää erilaisissa merkityksissä. 

Kohdassa 1 tarkoitettaisiin kyberturvallisuutta koskevan riskienhallinnan toimintaperiaatteita ja riskienhallinnan toimenpiteiden vaikuttavuuden arviointia. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan f alakohta sekä osin a alakohta.  

Kyberturvallisuuden riskienhallinnan toimintaperiaatteilla tarkoitettaisiin esimerkiksi organisaation ylimmän tason suunnittelua, jonka tarkoituksena olisi tunnistaa, arvioida ja käsitellä järjestelmällisesti organisaatioon tai sen toimintaan kohdistuvia riskejä sekä asettaa tarpeelliset päämäärät ja seurata niiden toteutumista. Toimijalla tulisi olla käytössään kyberturvallisuuden riskienhallinnan toimintamalli, jolla tunnistetaan, analysoidaan, arvioidaan ja käsitellään viestintäverkkoihin ja tietojärjestelmiin sekä niiden fyysiseen ympäristöön kohdistuvia riskejä säännöllisesti. Toimintaperiaatteiden ja toimenpiteiden vaikuttavuuden arvioinnissa tulisi ottaa huomioon riskienhallinnan luonne jatkuvana osana organisaation toimintaa, minkä toteutuminen edellyttäisi toimintaperiaatteiden ja toimenpiteiden vaikuttavuuden arvioinnin sisällyttämistä hallintatoimenpiteisiin. Kyberturvallisuuden riskienhallinnan toimintaperiaatteiden ja toimintamallin olisi suositeltavaa perustua ajantasaisiin toimialalla omaksuttuihin parhaisiin käytänteisiin ja standardeihin.  

Riskienhallinnassa tulisi noudattaa kaikki vaaratekijät huomioivaa lähestymistapaa ja varmistaa, että yrityksen hallintotapa ja riskienhallintaprosessit ottavat huomioon tieto- ja kyberturvallisuusriskit. Riskienhallinnan lähtökohtana tulisi olla tunnistaa luottamuksellisuuteen, eheyteen, saatavuuteen ja aitouteen liittyvät tarpeet sekä sen kohteena toimintojen kannalta keskeiset palvelut, järjestelmät, prosessit ja henkilöt. Tunnistaminen liittyy omaisuudenhallintaa koskevaan kohtaan 5. Riskienhallinta edellyttäisi, että tunnistetaan toimijaan kohdistuvat uhat ja arvioidaan näiden todennäköisyydet sekä vaikutukset. Riskienhallinnalla tulisi pyrkiä riskien käsittelyyn niin, että niiden todennäköisyys tai vaikutus olisi minimoitu, poistettu tai ulkoistettu ja riskien käsittelyn lopputuloksena muodostuneet jäännösriskit hyväksyttäisiin perustellusti. Riskienhallinnan vaikuttavuutta olisi arvioitava säännöllisesti sopivin mittarein niin, että valittujen toimenpiteiden toimivuutta voitaisiin mitata ja tarvittaessa parantaa. Arvioinnin voisi tehdä esimerkiksi itsearviointina tai riippumattomia tietoturvapalveluntarjoajia hyödyntäen. Riskienhallinnassa tulisi arvioida riskienhallintatoimenpiteiden vaikuttavuutta suhteessa toimijaan kohdistuviin uhkiin ja niiden ennakoitavissa oleviin vaikutuksiin. 

Kohdassa 2 tarkoitettaisiin viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevia toimintaperiaatteita ja menettelyitä. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan a alakohta. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevilla toimintaperiaatteilla tarkoitetaan toimijan näkemystä tietoturvan päämääristä, periaatteista ja toteutuksesta koko laitteen tai järjestelmän elinkaaren ajan. Nämä voivat koskea hallinnollista, henkilöstö-, laitteisto-, ohjelmisto-, viestintäverkko- ja tietoaineistoturvallisuutta sekä operoinnin ja fyysisen ympäristön turvallisuutta. ISO 27001 -standardin yhteydessä vastaavista toimintaperiaatteista käytetään termiä tietoturvapolitiikka. Toimijalla tulisi esimerkiksi olla kirjalliset viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet ja menettelyt. Mikäli tällaisia on, tulisi niiden olla oikeasuhtaisia toimijan tarpeisiin nähden ja ajantasaisesti ylläpidettyjä. Lisäksi riskienhallinnassa voitaisiin pyrkiä siihen, että toimijan henkilöstön tulisi tuntea käytössä olevat turvallisuusmenettelyt ja sitoutua niiden noudattamiseen. Sopivien menettelyiden valinnassa voitaisiin huomioida esimerkiksi liiketoiminnalliset tarpeet ja tunnistetut kyberturvallisuusriskit.  

Kohdassa 3 tarkoitettaisiin viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuutta sekä menettelyjä haavoittuvuuksien käsittelyssä ja julkistamisessa. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan e alakohta.  

Toimijan tulisi pyrkiä ylläpitämään viestintäverkkojen ja tietojärjestelmien riittävää turvallisuuden tasoa koko niiden elinkaaren ajan. Esimerkiksi hankittavien järjestelmien olisi oltava toiminnan tarpeiden perusteella riittävän turvallisia muun muassa eheyden, saatavuuden ja luottamuksellisuuden suhteen. Järjestelmien hankinnassa voitaisiin kiinnittää huomiota esimerkiksi niiden kykyyn suojautua tavallisimpia hyökkäyksiä vastaan. Järjestelmien turvallinen konfiguraatio eli asetukset voitaisiin määritellä, dokumentoida ja ylläpitää koko elinkaaren ajan, ja erityistä huomiota voitaisiin kiinnittää tähän erityisesti päivitysten aikana. Konfiguraatio- ja ohjelmistopäivitysten osalta voitaisiin esimerkiksi pyrkiä siihen, että ne olisivat dokumentoituja, muutoshallintaprosessien mukaisesti suunniteltuja, kattavia sekä kohteen ominaispiirteiden ja päivitysten kriittisyyden kannalta oikea-aikaisia. Luvattomien tai haitallisten muutosten tekeminen voitaisiin esimerkiksi estää. Turvallisuuden kannalta kriittisimmät kohteet voitaisiin tunnistaa erikseen ja näiden turvallisuudesta voitaisiin huolehtia esimerkiksi tarkastelemalla säännöllisesti prosesseja tai teknisillä testauksilla. Toimijan voisi esimerkiksi varmistaa, että näiden viestintäverkkojen ja tietojärjestelmien turvallinen konfiguraatio ylipäätään on mahdollista ja että niille tuotetaan asianmukaisia turvallisuuspäivityksiä. Toimija voisi esimerkiksi kiinnittää huomiota siihen, että löydettyjä haavoittuvuuksia varten olisi olemassa raportointikanava sekä ennalta määritellyt menettelytavat ja käytännöt ilmoitusten käsittelyä varten. Viestintäverkkojen osalta olisi huolehdittava verkon turvallisesta rakenteesta. Esimerkiksi toiminnoille kriittiset kohteet tulisi tunnistaa ja tarvittaessa suojata ajantasaisin teknisin keinoin, kuten esimerkiksi vyöhykkeistämällä. Mahdollinen haitallinen tekninen liikenne tulisi kyetä havaitsemaan ja estämään.  

Kohdassa 4 tarkoitettaisiin välittömän toimitusketjun, toimittajien tuotteiden ja palveluntarjoajien palvelujen yleisestä laatua ja häiriönsietokykyä, tuotteisiin ja palveluihin sisällytettyjä kyberturvallisuusriskien hallintatoimenpiteitä sekä välittömien toimittajien ja palveluntarjoajien kyberturvallisuuskäytäntöjä. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan d alakohta ja 21 artiklan 3 kohta. Toimijalla tulisi olla ajantasainen tieto kaikista toimintaan ja palveluntarjontaan vaikuttavista välittömistä toimittajista ja palveluntarjoajista. Toimijan tulisi riskienhallinnassaan ottaa huomioon toimitusketjuhäiriön vaikutus sen omaan toimintaan sekä varautua mahdolliseen toimitushäiriöön. Toimijan olisi otettava turvallisuusnäkökohdat huomioon suhteessa toimitusketjunsa välittömiin laite- tai palvelutoimittajiin. Riskien hallintatoimenpiteitä harkitessa tulisi ottaa huomioon esimerkiksi välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, toimijan käyttämien tuotteiden ja palvelujen yleinen laatu ja häiriönsietokyky, tuotteisiin ja palveluihin sisällytetyt kyberturvallisuusriskien hallintatoimenpiteet sekä toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt. Nämä voisivat sisältää esimerkiksi erilaisia turvallisuuteen liittyviä vaatimuksia esimerkiksi saatavuuden, ylläpidettävyyden ja sopimusten osalta. Tässä laissa säädettyjen vaatimusten kannalta toimija vastaisi itse siitä, että se käyttäisi toiminnassaan sellaisia tuotteita ja palveluita, jotka vastaisivat toimijan riskienhallinnan vaatimuksia. Selvyyden vuoksi todetaan, ettei lakiin perustuva riskienhallintavaatimus koskisi alihankkijaa, ellei se itsekin ole toimija, jonka toimintaa sääntely koskee. Toimijat voisivat tarvittaessa pyrkiä hallitsemaan toimitusketjujen kyberturvallisuusriskiä sopimusjärjestelyin, joita ne tekevät välittömien toimittajiensa ja palveluntarjoajiensa kanssa.  

NIS2-direktiivin 85 johdanto-osan perustelukappaleen mukaisesti toimitusketjusta ja suhteesta toimittajiin aiheutuviin riskeihin puuttuminen olisi erityisen tärkeää toimijalle toimitusketjujen merkityksen vuoksi. 

NIS yhteistyöryhmä, Euroopan komissio ja ENISA laativat NIS2-direktiivin 22 artiklan mukaisesti yhteistyössä riskiarviointeja tietyistä toimitusketjuista. Siltä osin, kuin tällaisia riskiarviointeja on laadittu, valvova viranomainen voisi määräyksellä edellyttää toimijoiden ottavan huomioon riskiarvion tulokset.  

Kohdassa 5 tarkoitettaisiin omaisuudenhallintaa ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistamista. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan i alakohta osittain. Omaisuudenhallinnalla tarkoitettaisiin niitä menettelyjä ja toimenpiteitä, joilla toimija hallinnoi toiminnan ja kyberturvallisuuden kannalta olennaista laite-, ohjelmisto- ja tieto-omaisuuttaan. Omaisuudenhallinta on kyberturvallisuusriskien hallinnassa keskeinen keino, jonka huolellinen hoitaminen ennalta ehkäisee riskien toteutumista ja auttaa riskienhallinnassa. Toimijalla olisi oltava säännölliset ja dokumentoidut omaisuudenhallinnan menettelyt ja ohjeet, jotka voisivat esimerkiksi sisältää toimintojen, prosessien ja tietojen tunnistamisen. Omaisuudella tarkoitetaan esimerkiksi tiloja, laitteita, ohjelmistoja, palveluita, henkilöitä, aineetonta omaisuutta ja resursseja kuten immateriaalioikeuksia tai IP-osoitteita. Viestintäverkkoon ja tietojärjestelmään liittyvä omaisuus voitaisiin esimerkiksi tunnistaa ja luokitella suojaustarpeiden perusteella. Omaisuudesta voitaisiin esimerkiksi ylläpitää ajantasaista luetteloa. Omaisuudenhallinnan tulisi lähtökohtaisesti olla olennainen osa henkilöstön, ulkoisten toimijoiden ja tietojärjestelmien muutoksia sekä laitteiden elinkaaren hallintaa niiden käyttöönotosta turvalliseen poistamiseen asti.  

Kohdassa 6 tarkoitettaisiin henkilöstöturvallisuutta ja kyberturvallisuuskoulutusta. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan i alakohta osittain ja g alakohta. Henkilöstöturvallisuudella tarkoitetaan menettelyjä, joilla varmistetaan henkilöiden tietoturvavastuut ja velvollisuudet, tietoturvaosaaminen ja taustatarkastukset sekä avainhenkilöriskien hallinta. Lisäksi nämä menettelyt kattavat väärinkäytösten estämistä, kuten vaarallisten työyhdistelmien tunnistamista ja välttämistä, työtehtäväkiertoa, sekä työsuhteen tai sopimuksen päättymisen. Toimijalla tulisi esimerkiksi olla henkilöstöön liittyvät menettelytavat, joissa huomioidaan myös ulkoiset toimijat, kuten alihankkijat. Menettelytavoissa voitaisiin esimerkiksi huomioida myös työsuhteen päättymisen ja työtehtävien muutoksien jälkeiset vastuut ja velvollisuudet. Henkilöstöä ja ulkoisia toimijoita voitaisiin tarvittaessa esimerkiksi tiedottaa heidän työtehtäviensä ja tarjoamiensa palveluiden turvallisuuteen liittyvistä vastuista ja velvoitteista, kuten esimerkiksi salassapitoon liittyen. Jos työtehtävien ja vastuiden katsottaisiin vaativan erityistä luotettavuutta, henkilölle voitaisiin mahdollisuuksien mukaan tehdä esimerkiksi tarkoituksenmukainen taustatarkistus.  

Toimijan olisi huolehdittava siitä, että henkilöstöllä on kyvykkyys toimia tavalla, joka vastaa kyberturvallisuuden hallintamallia ja hallintatoimenpiteitä. Tämän saavuttamiseksi henkilöstölle voitaisiin esimerkiksi järjestää koulutusta, jolla pyritään tietoisuuden parantamiseen yleisesti kyberturvallisuudesta, ajantasaisten menettelyiden ja käytäntöjen tuntemuksesta sekä tunnetuista kyberturvallisuusriskeistä. Koulutuksella tai muulla vastaavalla tavalla tulisi varmistua, että henkilöstöllä on työtehtäviinsä nähden riittävä osaaminen viestintäverkon ja tietojärjestelmän suojaamisesta, kyberturvallisuusriskien tunnistamisesta, riskienhallintakäytännöistä ja niiden vaikutusten arvioinnista toimijan tarjoamiin palveluihin liittyen, ja että tätä osaamista myös ylläpidetään riittävällä tasolla. Toimijan johdon velvollisuudesta ylläpitää riittävää perehtyneisyyttä kyberturvallisuuden riskienhallintaan säädettäisiin 10 §:ssä.  

Kohdassa 7 tarkoitettaisiin pääsynhallinnan ja todentamisen menettelyitä. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan alakohta i osittain ja alakohta j osittain. Pääsynhallinnalla ja todentamisella tarkoitetaan menettelyjä, joilla varmistetaan käyttäjien, laitteiden, sovellusten ja järjestelmien tunnistaminen sekä toteutetaan pääsy tietoturvallisuutta koskevien vaatimusten mukaisesti. Pääsynhallinnan ja todentamisen menettelyiden tulisi koskea sekä luonnollisia käyttäjiä kuten henkilöstöä ja ulkoisia toimijoita, että järjestelmätunnuksia kuten laitteiden, ohjelmistojen, rajapintojen ja muiden oleellisten resurssien käyttämiä tunnuksia. Pääsynhallinnan tulisi koskea sekä ohjelmistolla todennettavaa pääsyä, että fyysistä pääsyä. Menettelyiden tulisi perustua liiketoimintavaatimuksiin sekä tietoverkkoja ja tietojärjestelmiä koskeviin vaatimuksiin järjestelmien erityispiirteet huomioon ottaen.  

Toimijalla voisi esimerkiksi olla pääsynhallintaan liittyvät määrittelyt ja käytännöt, joilla varmistetaan kattavasti luotettava tunnistaminen ja joilla sallitaan pääsy vain tarvittaviin viestintäverkkoihin ja tietojärjestelmiin, suojattaviin tietoihin sekä muihin resursseihin. Toimijalla voisi esimerkiksi olla menettelyt käyttäjätunnusten ja käyttöoikeuksien koko elinkaaren ajalle ja käyttöoikeuksia olisi hallittava niiden mukaisesti. Käyttöoikeuksia ja niiden käyttöä tulisi valvoa. Käyttöoikeuksista ja käyttöoikeusrooleista voitaisiin esimerkiksi pitää ajantasaista kirjaa ja käyttäjille voitaisiin antaa vain ne oikeudet, jotka ovat työtehtävien suorittamisen vuoksi välttämättömiä (vähimpien oikeuksien periaate). Toimijoilla tulisi olla menettelyt vahvojen oikeuksien käyttäjätilien ja pääkäyttäjätilien hallintaan, mitä voitaisiin toteuttaa esimerkiksi siten, että pääkäyttäjäoikeudet pyrittäisiin rajoittamaan mahdollisimman pienelle käyttäjäjoukolle ja tunnuksia olisi suojattava vahvoin menetelmin. Pääkäyttäjäoikeuksien käyttöä tulisi valvoa. 

Valittavien todentamiskäytäntöjen ja -tekniikoiden olisi tavoiteltavaa perustua tietojen saatavuutta koskeviin vaatimuksiin ja todentamisen menettelyihin. Todennusmenetelmien olisi oltava riittävän turvallisia niin, että oikeudeton käyttö on mahdollisuuksien mukaan estetty. Tarvittaessa todennusmenetelmänä tulisi käyttää vahvaa tunnistusta, monivaiheista todentamista (MFA) tai jatkuvaa todentamista, mikäli niiden käyttö on mahdollista. 

Kohdassa 8 tarkoitettaisiin salausmenetelmien käyttämistä koskevia toimintaperiaatteita ja menettelyitä. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan h alakohta ja j alakohta osittain. Salausmenetelmillä tarkoitetaan kryptografisia menetelmiä, joilla tieto muutetaan sellaiseen muotoon, ettei ulkopuolinen voi saada sen sisältöä selville. Toimijan olisi luotava kryptografian käyttöön liittyvät toimintaperiaatteet ja menettelyt, joilla suojataan tarvittaessa tiedon luottamuksellisuutta, aitoutta ja eheyttä. Tiedon salaaminen voi olla tarpeen esimerkiksi silloin, jos sitä siirretään avoimessa tietoverkossa tai säilötään ilman riittävää fyysistä suojaa. Tällöin olisi valittava salaustekniikka, joka on suojaukseltaan riittävä salattavan tiedon laatuun, salausluokitukseen, suojausaikaan ja suorituskykyvaatimuksiin nähden. Salaustekniikan osalta olisi huomioitava algoritmien, käyttötapojen ja avainvahvuuksien lisäksi myös avaimen saatavuus sekä turvallinen säilytys, luonti ja hallinta. Käytetyn salausmenetelmän vaatimusten tulisi olla ajantasaisia koko järjestelmän elinkaaren ajan, jolloin esimerkiksi salausalgoritmin tulisi olla vaihdettavissa (kryptoketteryys).  

Kohdassa 9 tarkoitettaisiin poikkeamien havainnointia ja käsittelyä turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi. Alakohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan b alakohta. Poikkeamalla tarkoitettaisiin 2 §:n 11 kohdan mukaisesti tapahtumaa, joka vaarantaa viestintäverkossa ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. Poikkeaman käsittelyllä tarkoitettaisiin NIS2-direktiivin artiklan 6 kohdan 1 alakohdan 8 mukaisesti mitä tahansa toimia ja menettelyjä, joilla pyritään ehkäisemään ja havaitsemaan poikkeama, analysoimaan, rajoittamaan tai hallitsemaan sitä ja palautumaan siitä. Poikkeaman käsittelyn järjestäminen olisi toimijan itsensä vastuulla. Turvallisuuden palauttamisella tarkoitetaan järjestelmän palauttamista turvalliseen tilaan häiriötilan jälkeen. Toimintavarmuuden ylläpitämisellä tarkoitetaan menettelyjä, joilla parannetaan järjestelmän toimintavarmuutta sekä toimijan kykyä toimia poikkeamissa ja toipua häiriötilanteesta. Poikkeamien käsittelyä varten toimijalla tulisi olla ennalta dokumentoidut menettelyt, roolit ja vastuut poikkeamien ehkäisemistä, havainnoimista, analysointia, hallitsemista ja palautumista sekä raportointia varten. Poikkeamien havainnointia varten toimijalla tulisi olla raportointikanavat sisäisille ja ulkoisille toimijoille. Toimijalla tulisi lähtökohtaisesti olla työkaluja ja prosesseja tapahtumien kirjaamiseen ja havainnointiin.  

Havainnointi- ja analysointikyvyn kannalta olisi välttämätöntä, että toimijalla olisi kerättynä ja käytettävissä riittävät lokitiedot esimerkiksi ylläpidosta, muutoksista, käytöstä ja virheistä. Toimijan tulisi esimerkiksi arvioida relevantit tapahtumat sen selvittämiseksi, aiheuttavatko ne poikkeaman. Toimijalla tulisi olla käytännöt, joilla poikkeaman vakavuus ja vaikutukset voitaisiin arvioida ja tarvittaessa luokitella. Poikkeaman käsittelyssä tulisi olla käytännöt myös niihin reagoimiseksi, sekä tarvittaessa poikkeaman rajoittamiseksi, selvittämiseksi ja vaikutusten poistamiseksi. Poikkeaman jälkeen tulisi pyrkiä arvioimaan poikkeamaan johtaneet syyt ja oppia sen kokemuksista, jotta vastaavan poikkeaman uhkaan voidaan varautua jatkossa paremmin. Merkittäviin poikkeamiin tulisi olla olemassa menettelyt, vastuut ja viestintäkanavat muiden toimijoiden varoittamiseksi. Poikkeamien käsittelyn tulisi sisältää myös menettelyt tiedon jakamiseen niin, ettei se vaaranna toimijaa tai muuta organisaatiota. Poikkeamien käsittelyn menettelyjä tulisi ylläpitää ja kehittää koko elinkaaren ajan, ja niitä tulisi päivittää esimerkiksi kokemusten perusteella. 

Kohdassa 10 tarkoitettaisiin varmuuskopiointia, palautumissuunnittelua, kriisinhallintaa ja muuta toimivuuden jatkuvuuden hallintaa ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttöä toimijan toiminnassa. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan c alakohta ja alakohta j osittain. Varmuuskopioinnilla tarkoitetaan tiedon kopiointia turvalliseen paikkaan. Palautumissuunnittelulla tarkoitetaan prosesseja ja menetelmiä, joilla järjestelmä saadaan takaisin toimintakuntoon esimerkiksi varajärjestelyin tai varmuuskopioista. Toiminnan jatkuvuuden hallinnalla tarkoitetaan prosesseja ja menettelyjä, joilla organisaatio varautuu hallitsemaan häiriötilanteet ja jatkamaan toimintaa ennalta määritellyllä hyväksyttävällä tasolla. Suojatuilla varaviestintäjärjestelmillä tarkoitetaan viestintäkanavia, jotka eivät ole riippuvaisia muusta järjestelmästä ja joissa on riittävä toimintavarmuus sekä luottamuksellisuus.  

Toimijalla tulisi olla dokumentoidut menettelyt toiminnan jatkuvuuden ja häiriötilanteista palautumisen osalta. Jatkuvuus voitaisiin varmistaa esimerkiksi riskienhallinnan perusteella luodulla jatkuvuussuunnitelmalla sekä toipumissuunnitelmalla. Suunnitelmat voisivat sisältää esimerkiksi olosuhteet, joissa niiden käyttö aktivoidaan sekä tarvittavia rooleja, resursseja, toimenpiteitä ja viestintäkanavia koskevat suunnitelmat sekä tarvittavat suojatut varaviestintäjärjestelmät. Suunnitelmien tulisi sisältää tai toimijan tulisi suunnitella muuten myös kriisinhallintamenettelyt vähintään erittäin vakavien poikkeamien varalta. Muun riskienhallinnan mukaisesti suunnitelmia tulisi ylläpitää ja kehittää säännöllisesti sekä niiden mukaista toimintaa harjoitella. 

Varmuuskopioinnin osalta toimija voisi esimerkiksi määrittää riskienhallinnan perusteella tarvittavat varmuuskopiot tiedoista, järjestelmistä sekä varajärjestelmistä. Toimijalla tulisi lähtökohtaisesti olla käytännöt esimerkiksi varmuuskopioinnin tiheydestä, varmuuskopioiden säilytysajasta, varmuuskopioiden suojauksesta ja palautuksen testaamisesta tilanteessa, jossa alkuperäinen järjestelmä ei olisi käytettävissä. Varmuuskopioiden säilytysaika olisi arvioitava suhteessa säilytyksen tarkoitukseen ja niitä olisi otettava tarpeeksi usein, jotta toiminnot voidaan palauttaa tarvittavalla nopeudella ja tarpeeseen nähden riittävän tuoreella tiedolla poikkeama- ja kriisitilanteissa. Palautuksen toimivuutta voitaisiin esimerkiksi testata säännöllisesti toimivuuden varmistamiseksi. Varmuuskopioita voitaisiin esimerkiksi suojata siten, että niitä eivät koske samat uhkat kuin varmistettavaa järjestelmää.  

Tarve suojattujen varaviestintäjärjestelmien käytölle voisi perustua esimerkiksi siihen, että riskiarviossa on todettu välttämättömäksi varmistaa viestintäkanavat myös silloin, kun tavanomaisesti käytössä olevat järjestelmät (esim. puhelin, sähköposti, pikaviestimet) eivät ole käytettävissä. Jos tarvetta on, toimija voisi määrittää esimerkiksi käytettävät varaviestintäjärjestelmät ja niiden tarpeen sekä tavan käyttöönotolle. 

Kohdassa 11 tarkoitettaisiin perustason tietoturva- eli kyberhygieniakäytäntöjä toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan g alakohta osittain. Toimijan tulisi suojata viestintäverkkonsa ja tietojärjestelmänsä perustason tietoturvakäytäntöjen avulla. Toimijan tulisi varmistaa, että tarpeelliset perustason tietoturvatoimenpiteet on toteutettu ja että työntekijät noudattavat niitä. Näiden tietoturva- eli kyberhygieniakäytäntöjen taso tulisi mitoittaa riittäväksi perustuen toimintojen kriittisyyteen. Valittujen toimenpiteiden tulisi perustua yleisiin hyviin käytäntöihin sekä riskienarviointiin.  

Tietoturva- eli kyberhygieniakäytännöillä tarkoitetaan yleisiä hyviä perustason tietoturvatoimenpiteitä, joilla varmistetaan järjestelmien, ohjelmien ja palveluiden turvallisen käytön perustaso. Tällä tarkoitettaisiin perustason teknisiä ja muita toimenpiteitä kohdassa kuvattujen kohteiden turvallisuuden varmistamiseksi. Kyberhygieniakäytännöt voisivat sisältää muun muassa viestintäverkon rakenteellista turvallisuutta, haitallisen liikenteen havainnointia ja estämistä, toimintojen jäljitettävyyttä ja monitorointia, laitteiden ja ohjelmistojen turvallista konfigurointia eli asetusten määrittämistä, ohjelmistojen päivityksiä, kattavaa ja luotettavaa tunnistamista sekä käyttäjien osaamisen parantamista ja tietoisuuden lisäämistä. Perustason tietoturva- eli kyberhygieniakäytäntöihin voitaisiin lukea esimerkiksi ajantasaiset ohjelmistopäivitykset, laitteiden ja ohjelmistojen turvallinen konfigurointi eli asetusten määrittäminen, verkon segmentointi, identiteetin- ja pääsynhallinta sekä käyttäjien osaamisen parantaminen ja tarvittaessa viestintäverkkojen ja tietojärjestelmien turvallisuutta parantavien teknologioiden käyttöönotto tarpeellisilta osin. Kohta olisi osin päällekkäinen muiden kohtien edellyttämien seikkojen kanssa, mutta selkeyden ja merkityksen vuoksi kuvattaisiin myös erillisenä. 

Kohdassa 12 tarkoitettaisiin toimenpiteitä viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi. Kohdalla pantaisiin täytäntöön NIS2-direktiivin 21 artiklan 2 kohdan johtolause viestintäverkkojen ja tietojärjestelmien fyysistä ympäristöä suojaavien toimenpiteiden osalta. NIS2-direktiivin johdanto-osan perustelukappaleen 79 mukaan näiden toimenpiteiden olisi oltava CER-direktiivin mukaisia. CER-direktiivin artikla 13 koskee kriittisten toimijoiden toimenpiteitä häiriönsietokyvyn varmistamiseksi. Artiklassa säädetään muun muassa tilojen fyysisestä suojauksesta kuten aidoista, esteistä, ilmaisulaitteista, kulunvalvonnasta, hälytyskäytännöistä sekä poikkeamista palautumiseksi vaihtoehtoisten toimitusketjujen kartoittamisesta.  

Fyysisellä turvallisuudella tarkoitetaan fyysisten ja teknisten turvatoimien toteuttamisesta siten, että järjestelmiä, tiloja, verkkoja ja muita resursseja suojataan luvattomalta pääsyltä sekä muilta vahingoilta ja häiriöiltä. Välttämättömillä resursseilla tarkoitetaan tunnistettuja toiminnan kannalta kriittisiä tukitoimintoja, -palveluita ja -järjestelmiä, joiden saatavuus olisi varmistettava. Toimijan tulisi tunnistaa fyysisen ympäristön tekijät, joiden turvallisuus on viestintäverkkojen ja tietojärjestelmien toiminnan kannalta tärkeää ja suojata näitä toimintaan vaikuttavien uhkien vaikutukselta ja häiriöiltä. Toimijan tulisi huomioida myös viestintäverkkoihin ja tietojärjestelmiin vaikuttavat fyysiset ympäristöt, jotka voivat olla hyvin erilaisia ja esimerkiksi maantieteellisesti laajoja tai suppeita. Fyysisiä uhkia ovat ympäristötekijät ja pahantahtoiset toimijat. Viestintäverkkoja ja tietojärjestelmiä voitaisiin esimerkiksi valvoa ja niitä tulisi suojata luvattomalta fyysiseltä pääsyltä, vahingoilta ja häiriöiltä. Lisäksi on suojauduttava luonnollisilta ja yhteiskunnallisilta tapahtumilta, kuten tulipaloilta, tulvilta ja levottomuuksilta. Toimijan tulisi varautua välttämättömien resurssien, kuten sähkönjakelun, tietoliikenneyhteyksien ja jäähdytyksen häiriöihin ja estää viestintäverkkojen ja tietojärjestelmien tuhoutuminen, vahingoittuminen tai toimijan kriittisten toimintojen keskeytyminen välttämättömien resurssien puutteen tai häiriön vuoksi. 

Ehdotetussa 3 momentissa säädettäisiin toimijalta edellytettyjen toimenpiteiden suhteellisuuden tasosta. Kyberturvallisuuden riskienhallinnan toimenpiteiden olisi oltava oikeassa suhteessa riskiin, eli haitallisten vaikutusten toteutumisen todennäköisyydelle ja seurauksille, joita riskin toteutumisesta olisi. Momentissa säädettäisiin perusteista, joiden mukaisesti toimija voi suhteuttaa riskienhallintatoimenpiteidensä oikean tason.  

Toimenpiteet tulisi suhteuttaa toiminnan laatuun ja laajuuteen, sillä toiminnan laatu ja laajuus ovat välittömässä yhteydessä sekä toimijan resursseihin torjua kyberuhkia että toimijan tarjoamien palveluiden merkitykseen yhteiskunnan toimintojen kannalta. Toimenpiteet tulisi suhteuttaa niihin kohtuudella ennakoitavissa oleviin välittömiin vaikutuksiin, joita ennakoidusta uhkasta voisi aiheutua sen toteutuessa. Vaikutuksia tulisi arvioida erityisesti yhteiskunnalle merkityksellisten toimintojen näkökulmasta, ja mitä merkittävämpiä vaikutuksia uhkan toteutumisella voitaisiin arvioida olevan yhteiskunnan tai talouden näkökulmasta, sitä merkittävämpiä hallintatoimenpiteitä olisi tarpeen toteuttaa. Vaikutuksia tulisi siten arvioida toimijan itsensä ohella myös niille, jotka käyttävät tai ovat riippuvaisia toimijan palveluista. Toimenpiteet tulisi suhteuttaa myös toimijan viestintäverkkojen ja tietojärjestelmien riskialttiuteen. Tiettyihin teknisiin ratkaisuihin voi liittyä tunnettuja tietoturvauhkia ja lisäksi toimijan toiminnan luonne, laatu tai toimijan rooli vaikuttaa siihen, kuinka houkuttelevaa toiminta on pahantahtoiselle toimijalle toiminnan kohteeksi valikoitumiselle. Toimenpiteet tulisi suhteuttaa myös poikkeaman syntymisen todennäköisyyteen ja sen toteutumisen vakavuuteen, mikä liittyy kokonaisarvioon uhkan laadusta ja luonteesta ja riskin määritelmään. Lisäksi toimenpiteet tulisi suhteuttaa viimeaikainen kehitys huomioon ottaen ajantasaisiin käytettävissä oleviin teknisiin mahdollisuuksiin torjua tunnistettuja uhkia. Viimeaikaisella kehityksellä viitattaisiin erityisesti tekniseen kehitykseen teknisten hallintatoimenpiteiden ja riskienhallintakeinojen kehitykseen sekä tunnettujen riskienhallintakeinojen kehitykseen esimerkiksi tunnettujen uhkatyyppien, uhkatoimijoiden, hyökkäystapojen ja uusien teknologioiden osalta.  

Pykälän 4 momentin nojalla valvova viranomainen voisi antaa riskienhallintavelvoitetta tarkentavia teknisiä määräyksiä toimialakohtaisista erityispiirteistä, jotka olisi otettava huomioon kyberturvallisuuden riskienhallinnan toimintamallissa ja riskienhallinnan huomioitavista osa-alueista alueissa sekä riskienhallinnan ja viestintäverkkojen ja tietojärjestelmien tietoturvallisuuden hallinnan menettelyissä toimialalla. Lisäksi valvova viranomainen voisi antaa riskienhallintavelvoitetta tarkentavia teknisiä määräyksiä kriittisiä toimitusketjuja koskevien unionin tason koordinoitujen riskinarviointien tuloksien huomioimisesta toimialakohtaisessa riskienhallinnassa. Kriittisellä toimitusketjuja koskevalla unionin tason koordinoidulla riskiarvioinnilla tarkoitettaisiin NIS 2 –direktiivin 22 artiklassa tarkoitettua riskiarviointia, minkä ottaminen huomioon osana riskienhallintaa jäsenvaltion on varmistettava NIS 2 –direktiivin 21 artiklan 3 kohdan nojalla.  

Viranomaisen määräyksenantovaltuus koskisi riskienhallintavelvoitteen tarkentamista ja täsmentämistä momentissa tarkoitettujen seikkojen osalta. Määräykset voisivat kuitenkin koskea vain teknisiä seikkoja, eli niillä ei saisi laajentaa 9 §:ssä säädettyjä velvoitteita. Määräyksenantovaltuuden tarkoituksena olisi täsmentää ja tarkentaa toimialakohtaisten erityispiirteiden huomioimista riskienhallintavelvoitteessa.  

Määräyksenantovaltuuden ohella valvova viranomainen voisi luonnollisesti antaa myös muita ohjeita tai suosituksia esimerkiksi kyberturvallisuuden riskienhallinnasta, hallintatoimenpiteistä ja hyvistä käytännöistä. Lisäksi Liikenne- ja viestintäviraston Kyberturvallisuuskeskus voisi antaa toimialarajat ylittäviä ohjeita tai suosituksia esimerkiksi kyberturvallisuusriskien hallintatoimenpiteistä ja hyvistä käytännöistä sekä valvovien viranomaisten että velvoitteiden kohteiden hyödynnettäväksi. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus voisi myös 18 §:ssä tarkoitetussa tehtävässä edistää riskinhallintatoimenpiteitä koskevien ohjeiden ja suositusten koordinointia valvovien viranomaisten välillä. 

Pykälän 5 momentin nojalla riskienhallinnan toimintamallissa ja hallintatoimenpiteissä on noudatettava lisäksi NIS2-direktiivin 21 artiklan 5 kohdan nojalla annettavia Euroopan komission täytäntöönpanosäädöksiä.  

NIS2-direktiivin 21 artiklan 5 kohdan nojalla komissio hyväksyy viimeistään 17 päivänä lokakuuta 2024 tarkempia vaatimuksia täytäntöönpanosäädöksellä, joilla vahvistetaan riskienhallintatoimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset sekä tarvittaessa alakohtaiset vaatimukset, jotka koskevat DNS-palveluntarjoajia, aluetunnusrekistereitä eli tässä laissa tarkoitettuja aluetunnusrekisterin ylläpitäjiä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia, verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia, verkkoyhteisöalustojen tarjoajia ja luottamuspalvelun tarjoajia.  

Lisäksi komissio voi hyväksyä NIS2-direktiivin 21 artiklan 5 kohdan nojalla sektorikohtaisempia yksityiskohtaisempia vaatimuksia koskevia täytäntöönpanosäädöksiä, joilla vahvistetaan riskienhallintatoimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset sekä tarvittaessa alakohtaiset vaatimukset, jotka koskevat muita kuin edellä tarkoitettuja toimijoita. 

Komission 21 artiklan 5 kohdan nojalla antamia täytäntöönpanosäädöksiä sovellettaisiin ensisijaisesti suhteessa valvovan viranomaisen määräyksiin ja Liikenne- ja viestintäviraston 5 momentin nojalla antamiin ohjeisiin. Siltä osin kuin komissio on käyttänyt sille annettua toimivaltaa ja antanut NIS2-direktiiviä tarkentavia täytäntöönpanosäädöksiä, olisi viranomaisten huomioitava ne määräys- tai ohjevalmistelussa ja huolehdittava antamiensa määräysten ja ohjeiden yhteensovittamisesta komission täytäntöönpanosäädösten kanssa. 

10 §. Johdon vastuu . Toimijan ylin johto olisi vastuussa viestintäverkkojen ja tietojärjestelmien kyberturvallisuutta koskevan riskienhallinnan toteuttamisesta ja valvonnasta toimijassa. Vastuu tarkoittaisi viimesijaista vastuuta järjestää ja resursoida riskienhallinta asianmukaisesti, sekä valvoa sen toimintaa. Toimijan johto hyväksyisi kyberturvallisuuden riskienhallinnan toimintamallin sekä valvoisi riskienhallinnan toteuttamista, resursointia, toimenpiteitä, riskiarvioiden ajantasaisuutta ja toimenpiteiden vaikuttavuutta. Toimijan johdolla tulisi niin ikään olla riittävä ja ajantasainen perehtyneisyys kyberturvallisuuden riskienhallintaan, mikä edellyttäisi perehtyneisyyden hankkimista joko kouluttautumalla tai muulla vastaavalla tavalla säännöllisin väliajoin. Osana 9 §:ssä tarkoitettuja hallintatoimenpiteitä johto huolehtii myös henkilöstön kyberturvallisuuskoulutuksen järjestämisestä.  

Johdolla tarkoitettaisiin toimijan hallitusta, hallintoneuvostoa, toimitusjohtajaa tai muussa niihin rinnastettavassa asemassa olevaa, joka tosiasiallisesti johtaa toimijan toimintaa. Tällaisessa asemassa voisi olla esimerkiksi avoimen yhtiön yhtiömies, kommandiittiyhtiön vastuunalainen yhtiömies, eurooppalaisen taloudellisen etuyhtymän henkilöjäsen tai yksityinen elinkeinonharjoittaja. 

Johdon vastuulla tarkoitettaisiin johdon vastuuta kyberturvallisuuden riskienhallinnan toteuttamisen ja sen valvonnan järjestämisestä toimijassa. Johdon vastuun laiminlyönti voisi johtaa toimijaan kohdistuvaan tässä laissa tarkoitettuun hallinnolliseen seuraamukseen. Keskeisessä toimijassa johdon vastuun vakava ja toistuva laiminlyönti voisi johtaa myös lain 4 luvussa tarkoitettuun valvovan viranomaisen päätökseen, jolla kielletään määräajaksi henkilöä toimimasta 10 §:ssä tarkoitetussa tehtävässä. Selvyyden vuoksi todetaan, että yhtiön johtoon kohdistuvasta vahingonkorvausvastuusta säädetään erikseen. 

Ehdotuksella pantaisiin täytäntöön NIS2-direktiivin 20 artiklan 1 ja 2 kohdat. 

11 §.Poikkeamailmoitukset viranomaiselle . Pykälässä säädettäisiin toimijoiden velvollisuudesta ilmoittaa merkittävästä poikkeamasta valvovalle viranomaiselle. Ehdotetuilla 11 – 13 §:llä pantaisiin täytäntöön NIS2-direktiivin 23 artiklan 1–4 kohdat. Ilmoitusvelvollisuus koskisi vain merkittäviä poikkeamia.  

Merkittävällä poikkeamalla tarkoitettaisiin poikkeamaa, joka on aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön tai huomattavia taloudellisia tappioita asianomaiselle toimijalle. Lisäksi merkittävällä poikkeamalla tarkoitettaisiin poikkeamaa, jos poikkeama on vaikuttanut tai voisi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. Merkittävän poikkeaman edellytyksenä olisi siten vakava toimintahäiriö palvelulle tai huomattava taloudellinen tappio asianomaiselle toimijalle taikka huomattava aineellinen tai aineeton vahinko, jonka poikkeama aiheuttaa tai voisi aiheuttaisi vaikuttamalla muihin luonnollisiin henkilöihin tai oikeushenkilöihin. Poikkeama määriteltäisiin 2 §:n 11 kohdassa, minkä nojalla poikkeamalla tarkoitettaisiin tapahtumaa, joka vaarantaa viestintäverkoissa ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. Merkittävän poikkeaman kynnystä tulisi tulkita yhdenmukaisesti suhteessa NIS 2 -direktiivin 23 artiklan 3 kohtaan ja johdantokappaleeseen 101. 

Mikäli toimija havaitsee merkittävän poikkeaman kynnyksen täyttävän tapahtuman jonkun muun toiminnassa kuin sen omassa toiminnassa, esimerkiksi välittömän alihankkijan, järjestelmän toimittajan tai sen käyttämän pilvipalvelun toiminnassa, olisi toimijan ilmoitettava tällaisesta poikkeamasta vain silloin, jos kyseinen poikkeama aiheuttaisi toimijalle itselleen merkittävän poikkeaman kynnyksen ylittävän tapahtuman. Toimijan alustavassa arvioinnissa poikkeaman merkittävyydestä olisi otettava huomioon ainakin viestintäverkot ja tietojärjestelmät, joihin poikkeama vaikuttaa, ja erityisesti niiden merkitys toimijan palvelujen tarjoamisessa, kyberuhkan vakavuus ja tekniset ominaisuudet sekä mahdolliset taustalla olevat haavoittuvuudet, joita käytetään hyväksi, sekä toimijan kokemukset samanlaisista poikkeamista. Indikaattorit, kuten palvelun häiriintymisen laajuus, poikkeaman kesto tai niiden palvelun vastaanottajien lukumäärä, joihin poikkeama vaikuttaa, voivat olla tärkeitä määritettäessä, onko palvelun toimintahäiriö vakava. Merkittävän poikkeaman kynnystä olisi tulkittava yhdenmukaisesti NIS2-direktiivin 23 artiklan 3 kohdan kanssa. 

Ilmoitusvelvollisuus olisi kolmivaiheinen, eli toimijan olisi toimitettava valvovalle viranomaiselle 24 tunnin kuluessa poikkeaman havaitsemisesta ensi-ilmoitus ja 72 tunnin kuluessa poikkeaman havaitsemisesta jatkoilmoitus. Poikkeamatilanteen päätyttyä toimijan olisi toimitettava valvovalle viranomaiselle vielä 13 §:ssä tarkoitettu loppuraportti. Kolmivaiheisen ilmoitusvelvollisuuden tavoitteena on toisaalta varmistaa poikkeamien nopea ilmoittaminen ja ajantasaisen tilannekuvan muodostaminen ja toisaalta mahdollistaa toimijan resurssien suuntaaminen ensisijaisesti poikkeamien käsittelyyn liittyviin toimintoihin. Toimija voisi tehdä ensi- ja jatkoilmoitukset myös kerralla, mikäli sillä olisi ensi-ilmoituksen määräajassa, eli viipymättä ja viimeistään 24 tunnin kuluessa poikkeaman havaitsemista saatavilla molempien ilmoitusten edellyttämät tiedot.  

Ensi-ilmoitus olisi tehtävä viipymättä ja viimeistään 24 tunnin kuluessa siitä, kun toimija on havainnut poikkeaman. Määräaika alkaisi siitä, kun toimija on tullut tietoiseksi poikkeamasta eli havainnut sen. Määräajan alkamiseen ei siten vaikuttaisi se, milloin poikkeama tosiasiallisesti on alkanut, vaan toimijassa tehty havainto poikkeamasta. Määräaika voisi alkaa tavanomaisen työskentelyajan ulkopuolella, mikäli toimijalla on päivystystoimintaa tai muulla tavoin kyky havaita poikkeamia tavanomaisen työskentelyajan ulkopuolella. Määräajan alkamisessa merkityksellistä olisi poikkeamasta tehty havainto, mutta ei se, kuka, miten tai missä osassa toimijaa havainto tehdään. Ensi-ilmoituksen vähimmäissisältö koostuisi merkittävän poikkeaman havaitsemisesta, alustavasta arviosta siitä, epäilläänkö merkittävän poikkeaman johtuvan rikoksesta tai muusta lainvastaisesta tai vihamielisestä teosta, sekä alustavasta arviosta siitä, voiko havaitulla merkittävällä poikkeamalla olla vaikutuksia muihin EU-jäsenvaltioihin sekä tällaisten rajat ylittävien vaikutusten todennäköisyys. Ensi-ilmoituksessa olisi lisäksi ilmoitettava muut mahdolliset tiedot, joiden avulla toimivaltainen viranomainen voi määrittää poikkeaman mahdolliset rajatylittävät vaikutukset.  

Jatkoilmoitus olisi tehtävä viipymättä ja viimeistään 72 tunnin kuluessa poikkeaman havaitsemisesta. Jatkoilmoituksessa toimijan olisi esitettävä alustava arvio merkittävästä poikkeamasta, sen vakavuudesta ja vaikutuksista sekä tekniset vaarantumisindikaattorit eli vaarantumista kuvaavat indikaattorit (Indicator of Compromise) eli IoC-tieto, jos sellaisia on saatavilla. Vaarantumista kuvaaviin indikaattoreihin voisi sisältyä välitystietoa. Lisäksi toimijan olisi päivitettävä ensi-ilmoituksessa annetut tiedot, mikäli niihin on tullut muutoksia tai tarkennuksia. 

Pykälän 5 momentin nojalla valvova viranomainen voisi tarvittaessa antaa omalla toimialallaan tarkentavia määräyksiä, joilla tarkennetaan 11 – 15 §:n nojalla tehtävän ilmoituksen, tiedotuksen tai raportin tietosisältöä, teknistä muotoa tai menettelyä. Kysymys olisi toimialakohtaisesta, teknisestä ja tarkentavasta määräyksenantovaltuudesta. NIS 2 –direktiivin 23 artiklan 11 kohdan nojalla komissio voi hyväksyä täytäntöönpanosäädöksiä, joissa täsmennetään 11 – 13 ja 15 §:ssä tarkoitetun ilmoituksen tai raportin sekä 14 §:n nojalla annettavan tiedonannon tietosisältö, muoto ja ilmoitusmenettely.  

Pykälän 6 momentin nojalla luottamuspalvelun tarjoajien olisi tehtävä myös jatkoilmoitus viimeistään 24 tunnin kuluessa merkittävän poikkeaman havaitsemisesta 2 momentissa säädetystä määräajasta poiketen NIS 2 –direktiivin 23 artiklan 4 kohdan toisen kappaleen edellyttämällä tavalla.  

Pykälän 7 momentin nojalla merkittävällä poikkeamalla tarkoitettaisiin 1 momentissa säädetyn lisäksi NIS 2 –direktiivin 23 artiklan 11 kohdan nojalla annetussa Euroopan komission täytäntöön-panosäädöksessä täsmennettyä tapausta, jossa poikkeama katsotaan merkittäväksi.  

NIS 2 –direktiivin 23 artiklan 11 kohdan nojalla komissio hyväksyy viimeistään 17 päivänä lokakuuta 2024 DNS-palveluntarjoajia, aluetunnusrekistereitä eli tässä laissa tarkoitettuja aluetunnusrekisterien ylläpitäjiä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia sekä verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia ja verkkoyhteisöalustojen tarjoajia koskevia täytäntöönpanosäädöksiä, joissa täsmennetään tapaukset, joissa poikkeama katsotaan merkittäväksi.  

Lisäksi NIS 2 –direktiivin 23 artiklan 11 kohdan nojalla komissio voi hyväksyä vastaavia täytäntöönpanosäädöksiä myös muitakin keskeisiä ja tärkeitä toimijoita koskien. 

12 §.Poikkeamaa koskeva väliraportti . Pykälässä säädettäisiin toimijan velvollisuudesta antaa valvovalle viranomaiselle lisätietoja tai väliraportti merkittävää poikkeamaa koskevista tilannepäivityksistä. Ensi- ja jatkoilmoituksen lisäksi toimijan olisi annettava valvovan viranomaisen pyynnöstä lisätietoja tai väliraportti asian tilannepäivityksistä ja käsittelyn edistymisestä. Jos merkittävä poikkeama on pitkäkestoinen, eli poikkeamatilanne tai sen vaikutukset eivät ole päättyneet alle kuukauden kuluessa jatkoilmoituksen toimittamisesta, milloin muusta kuin pitkäkestoisesta poikkeamasta olisi toimitettava loppuraportti, toimijan olisi annettava valvovalle viranomaiselle oma-aloitteisesti väliraportti poikkeaman käsittelyn etenemisestä. Väliraportti olisi annettava oma-aloitteisesti viimeistään kuukauden kuluessa jatkoilmoituksesta, mikäli poikkeaman käsittely ei olisi päättynyt ja loppuraporttia ei voitaisi toimittaa. Väliraportin tarkoituksena olisi kuvata poikkeaman käsittelyn etenemistä, poikkeaman vaikutuksia ja muita asian vaikutukseen liittyviä olennaisia tekijöitä sekä muutoksia niissä tiedoissa. Lisäksi väliraportilla voitaisiin antaa päivityksiä ensi- ja jatkoilmoituksen tietoihin. Toimijan olisi valvovan viranomaisen pyynnöstä annettava lisätietoja poikkeamasta ja sen käsittelystä tai uusi väliraportti poikkeaman tilannepäivityksistä ja käsittelyn etenemisestä.  

13 §.Poikkeamaa koskeva loppuraportti . Pykälän 1 momentin nojalla toimijan olisi annettava valvovalle viranomaiselle merkittävää poikkeamaa koskeva loppuraportti, kun poikkeaman käsittely on päättynyt. Loppuraportti olisi annettava viimeistään kuukauden kuluttua siitä, kun jatkoilmoitus on toimitettu. Jos kyse on pitkäkestoisesta poikkeamasta, jonka käsittely on kestänyt yli kuukauden jatkoilmoituksen toimittamisesta, olisi toimijan annettava loppuraportin sijaan tällöin 12 §:ssä tarkoitettu väliraportti asian tilannepäivityksistä ja käsittelyn etenemisestä. Pitkäkestoista poikkeamaa koskeva loppuraportti olisi toimitettava viimeistään kuukauden kuluessa poikkeaman käsittelyn päättymisestä. Loppuraportin toimittaminen ei rajoittaisi toimijan mahdollisuuksia täydentää tai korjata siinä annettuja tietoja myöhemmin, mikäli toimijan tiedot tai ymmärrys tilanteesta täydentyy vielä loppuraportin toimittamisen jälkeen.  

Pykälän 2 momentissa säädettäisiin loppuraportin vähimmäissisällöstä. Loppuraportin tarkoituksena olisi selvittää toimijalle itselleen sekä valvovalle viranomaiselle poikkeaman todennäköisesti aiheuttanut uhka tai syy, kuvaus poikkeaman laadusta, vakavuudesta ja vaikutuksista sekä toimenpiteet, joilla poikkeaman haitallisia vaikutuksia lievennettiin tai pyrittiin lieventämään. Lisäksi loppuraportissa tulisi kuvata merkittävän poikkeaman rajat ylittävät vaikutukset, mikäli poikkeamasta niitä aiheutui. Loppuraportoinnin tavoitteena olisi selventää toimijalle sen kokemukset ja havainnot poikkeaman syistä, vaikutuksista ja käsittelystä sekä siten parantaa poikkeamien jälkiarvioinnin kautta sekä poikkeaman kohteena olleen toimijan että muiden toimijoiden sietoisuutta kyberhäiriöille ja –hyökkäyksille tulevaisuudessa. Loppuraportin tarkoituksena olisi tarjota keino poikkeaman syiden, seurausten ja hyvien oppien saamiselle siten, että vastaavia merkittäviä poikkeamia voidaan jatkossa ennaltaehkäistä vastaisuuden varalle. Loppuraportin tarkoituksena ei olisi selvittää syyllistä tai kohdistaa seuraamuksia tai muita sanktioita toimijalle, vaan edistää hyvää turvallisuuskulttuuria kyberturvallisuuden tason kohottamiseksi yhteiskunnassa.  

14 §.Poikkeamasta ja kyberuhasta ilmoittaminen muulle kuin viranomaiselle . Toimijoiden olisi 1 momentin mukaan ilmoitettava viipymättä merkittävästä poikkeamasta myös niille palvelujensa vastaanottajille, joihin merkittävä poikkeama todennäköisesti vaikuttaa. Lisäksi toimijoiden olisi 2 momentin mukaisesti ilmoitettava viipymättä palvelujensa vastaanottajille sellaisesta merkittävästä kyberuhkasta, joka saattaa vaikuttaa niihin. Toimijan olisi ilmoitettava palvelujensa vastaanottajille kyberuhkan olemassaolosta sekä kaikista toimenpiteistä tai korjaavista toimista, joita palvelun vastaanottajat voivat toteuttaa uhkan hallitsemiseksi tai lieventääkseen siitä johtuvia riskejä. Ehdotetussa 2 momentissa tarkoitettu ilmoittaminen ei kuitenkaan vaikuttaisi toimijan velvollisuuteen toteuttaa asianmukaisia ja välittömiä toimenpiteitä uhkien ehkäisemiseksi tai korjaamiseksi ja palvelun normaalin turvallisuustason palauttamiseksi. Merkittäviä kyberuhkia koskevat tiedot olisi annettava palvelun vastaanottajille maksutta, ja ne olisi ilmaistava helppotajuisesti.  

Merkittävällä kyberuhkalla tarkoitettaisiin 2 §:ssä määriteltyä kyberuhkaa, jonka voidaan sen teknisten ominaisuuksien perusteella olettaa vaikuttavan mahdollisesti vakavasti toimijan viestintäverkkoihin ja tietojärjestelmiin tai toimijan palvelujen käyttäjiin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. 

Edellä 1 ja 2 momentissa tarkoitetut ilmoitukset voitaisiin tehdä yleisellä tavalla tai muutoin tavalla, jota toimija yleisesti käyttää palvelujensa vastaanottajille viestimiseen. Palvelujen vastaanottajalla olisi oltava tosiasiallinen mahdollisuus saada tieto merkittävän poikkeaman aiheuttamasta haitasta palvelulle sekä mahdollisista toimenpiteistä, joilla uhkaa voidaan hallita palvelun vastaanottajan toimesta. Erityisesti milloin palvelujen vastaanottajia on huomattava määrä, kuten vesi- tai jätehuollossa, ilmoitukset voitaisiin tehdä esimerkiksi verkkosivuston tai yleisen tiedottamisen kautta. 

Pykälän 3 momentin nojalla , jos poikkeamasta tiedottaminen eli ilmoittaminen yleisölle on yleisen edun mukaista, valvova viranomainen voisi päätöksellä velvoittaa toimijan tiedottamaan asiasta tai tiedottaa asiasta itse. Ennen tiedottamista koskevan hallintopäätöksen tekemistä toimijaa olisi kuultava siten kuin hallintolain 34 §:ssä säädetään. Hallintolain 34 §:n 2 momentissa säädettäisiin asian ratkaisemisesta asianosaista kuulematta.  

Ehdotetulla säännöksellä pannaan täytäntöön NIS2-direktiivin 23 artiklan kohdat 1, 2 ja 7. 

15 §.Vapaaehtoinen ilmoittaminen. Pykälässä säädettäisiin mahdollisuudesta tehdä vapaaehtoinen ilmoitus muista kuin merkittävistä poikkeamista, kyberuhkista ja läheltä piti –tilanteista. Lain soveltamisalaan kuuluvia toimijoita kannustetaan tekemään vapaaehtoisia ilmoituksia kyberuhkista, jotta kyberuhkien toteutuminen poikkeamina voitaisiin estää. Kyberturvallisuuden edistämiseksi on kuitenkin tärkeää, että myös sellaiset toimijat tai yksityishenkilöt, jotka eivät kuulu tämän lain soveltamisalaan ilmoittaisivat vapaaehtoisesti poikkeamista, kyberuhkista ja läheltä piti -tilanteista.  

Toimijoille asetettavan ilmoitusvelvollisuuden tarkoituksena ei olisi estää vapaaehtoista ilmoittamista. Vapaaehtoisia ilmoituksia voisi tehdä muutenkin kuin ehdotuksessa säädetyllä tavalla tai ehdotuksessa säädetyistä asioita. NIS2-direktiivin täytäntöön panemiseksi olisi kuitenkin tarpeen ottaa lain tasolle säännös eräistä vapaaehtoisista ilmoituksista, joita valvovan viranomaisen on vähintään otettava vastaan ja joihin valvovan viranomaisen on reagoitava samalla tavalla kuten ilmoitukseen, jonka tekemiseen tässä laissa tarkoitetulla toimijalla on velvollisuus. 

Pykälässä säädettäisiin myös valvovan viranomaisen velvollisuudesta ottaa yleisesti vastaan toimialallaan vapaaehtoisia poikkeamailmoituksia merkittävistä poikkeamista, kyberuhkista ja läheltä piti –tilanteista. Vapaaehtoisia ilmoituksia olisi otettava vastaan myös muilta kuin sellaisilta toimijoilta, joihin sovelletaan NIS2-direktiivissä tarkoitettuja riskienhallinta- ja raportointivelvoitteita. Valvovan viranomaisen tulisi käsitellä vapaaehtoisia poikkeamailmoituksia noudattaen 16-17 §:n mukaista menettelyä. Valvova viranomainen voisi asettaa pakollisten ilmoitusten käsittelyn etusijalle vapaaehtoisten ilmoitusten käsittelyyn nähden.  

Säännöksen tarkoituksena ei olisi rajata vapaaehtoista ilmoittamista vain säännöksen mukaisiin tilanteisiin tai säännöksen mukaiseen menettelyyn. Kysymys olisi NIS2-direktiivin täytäntöönpanemiseksi vähimmäissäännöksestä, jossa määriteltäisiin valvovan viranomaisen velvollisuus ottaa vastaan vähintään kuvattuja ilmoituksia. Vapaaehtoisia ilmoituksia kyberhäiriöistä, -uhkista, läheltä piti –tilanteista ja muista kyberturvallisuuden ylläpitämiseksi olennaisista havainnoista voitaisiin tehdä viranomaiselle jatkossa myös muuten kuin säännöksessä kuvatulla tavalla.  

Toimijoihin, jotka vapaaehtoisesti ilmoittavat merkittävistä poikkeamista, kyberuhkista ja läheltä piti –tilanteista, ja joihin ei sovelleta tämän lain mukaisia riskienhallinta- ja raportointivelvoitteita, ei sovelleta vapaaehtoisen ilmoituksen johdosta tätä lakia muilta osin.  

Poikkeaman ja kyberuhkan määritelmästä säädettäisiin 2 §:ssä. Läheltä piti –tilanteella tarkoitettaisiin NIS2-direktiivin 6 artiklan 5 kohdan määritelmää vastaavasti tapahtumaa, joka olisi voinut vaarantaa viestintäverkoissa ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden mutta jonka toteutuminen onnistuttiin estämään tai joka ei toteutunut satunnaisen syyn vuoksi.  

Valvovan viranomaisen olisi toimitettava 18 §:ssä tarkoitetulle keskitetylle yhteyspisteelle tieto myös vapaaehtoisuuteen perustuvista ilmoituksista, jotka sille on toimitettu. 

Ehdotetulla säännöksellä pannaan osittain täytäntöön NIS2-direktiivin 30 artikla.  

16 §.Poikkeamailmoituksen vastaanottaminen. Pykälän 1 momentissa säädettäisiin valvovan viranomaisen velvollisuudesta vastata poikkeamailmoituksiin. Vastaamisvelvoite koskisi sekä 11 §:ssä tarkoitettuja poikkeamailmoituksia että 15 §:ssä tarkoitettuja vapaaehtoisia ilmoituksia.  

Valvovan viranomaisen olisi vastattava poikkeamailmoituksen tehneelle taholle viivytyksettä saatuaan siltä 11 tai 15 §:ssä tarkoitetun poikkeamailmoituksen. Vastaus tulisi antaa viivytyksettä ja mahdollisuuksien mukaan 24 tunnin kuluessa, mutta kuitenkin virka-aikojen puitteissa. Valvovalta viranomaiselta ei siten edellytettäisi esimerkiksi valmiutta päivystää viikonloppuisin, öisin tai arkipyhinä. Vastaukseen tulee sisällyttää alustava palaute merkittävästä poikkeamasta sekä ohjeet merkittävän poikkeaman ilmoittamisesta esitutkintaviranomaiselle, jos asiassa epäillään rikosta. Alustavalla palautteella tarkoitettaisiin valvovan viranomaisen näkemystä poikkeaman merkittävyydestä sekä muista poikkeaman hallitsemiseksi tarpeellisista seikoista. Valvova viranomainen voisi sisällyttää vastaukseen myös muita tarpeelliseksi katsomiaan seikkoja, kuten yleisiä ohjeita tai neuvoja vaikutuksia lieventävistä toimenpiteistä.  

Pykälän 2 momentin nojalla valvova viranomainen voisi asettaa pakollisiin ilmoituksiin vastaamisen ja niiden 17 §:n mukaisen käsittelyn etusijalle vapaaehtoisten ilmoitusten käsittelyyn nähden. Ilmoituksien käsittelyn järjestäminen tärkeysjärjestykseen olisi oltava mahdollista esimerkiksi tilanteessa, jossa vapaaehtoisia ilmoituksia tulisi niin merkittävä määrä käytettävissä oleviin resursseihin nähden, että ilmoitusvelvollisuuden alaan kuuluvien ilmoituksien käsittely viivästyisi tai vaarantuisi sen johdosta. Ilmoitusvelvollisuuden alaan kuuluvien ilmoitusten käsittelyn tulisi olla ensisijaista valvovalle viranomaiselle ja CSIRT-yksikölle merkittävistä poikkeamista aiheutuvien haitallisten vaikutusten minimoimiseksi.  

Ehdotetulla säännöksellä pannaan täytäntöön osittain NIS2-direktiivin 23 artiklan 5 kohta sekä 30 artiklan 2 kohta.  

17 §.Poikkeamailmoitusten käsittely . Pykälässä säädettäisiin poikkeamailmoitusten käsittelystä, eli siitä, mihin toimenpiteisiin valvovan viranomaisen olisi poikkeamailmoituksen johdosta ryhdyttävä 16 §:ssä säädetyn vastaamisvelvoitteen lisäksi.  

Pykälän 1 momentin nojalla valvovan viranomaisen olisi toimitettava 11 – 13 §:ssä sekä 15 §:ssä tarkoitetut ilmoitukset ja raportit CSIRT-yksikölle, jotta CSIRT-yksikkö voi antaa täydentävää ohjeistusta ja teknistä tukea toimijalle sen pyynnöstä yhteistyössä valvovan viranomaisen kanssa. CSIRT-yksikkö antaisi toimijan pyynnöstä ohjeita tai operatiivisia neuvoja poikkeamaa lieventävistä toimenpiteistä siitä aiheutuvien haitallisten vaikutusten minimoimiseksi. Tarvittaessa ohjeita tai neuvoja voitaisiin antaa myös valvovan viranomaisen ja CSIRT-yksikön yhteistyönä. Ilmoitukset olisi toimitettava välittömästi niiden saavuttua valvovalle viranomaiselle, jotta CSIRT-yksiköllä olisi mahdollisuus antaa toimijan pyynnöstä ohjeita tai operatiivisia teknisiä neuvoja. Käytännössä keskitetyn ilmoituskanavan kautta tehdyt ilmoitukset välittyisivät CSIRT-yksikölle automaattisesti, eli valvovan viranomaisen ei tarvitsisi välittää niitä erikseen CSIRT-yksikölle.  

Pykälän 2 momentin nojalla silloin, jos merkittävästä poikkeamasta olisi aiheutunut yleisen tietosuoja-asetuksen 33 artiklassa tarkoitettu henkilötietojen tietoturvaloukkaus, josta olisi tehtävä ilmoitus yleisen tietosuoja-asetuksen nojalla toimivaltaiselle, henkilötietojen suojaa valvovalle viranomaiselle, valvovan viranomaisen olisi tiedotettava poikkeaman havaitsemisesta tietosuojavaltuutettua. Ilmoitus tehtäisiin Suomessa tapahtuvan valvonnan yhteydessä havaitusta seikasta tietosuojavaltuutetulle, vaikka yleisen tietosuoja-asetuksen nojalla tilanteessa toimivaltainen valvontaviranomainen olisi sijoittautunut toiseen EU-jäsenvaltioon. Tietosuojavaltuutettu harkitsisi yleisen tietosuoja-asetuksen ja tietosuojalain nojalla tilanteessa tarpeelliset toimenpiteet. Valvovan viranomaisen velvollisuus tiedottaa asiasta tietosuojavaltuutettua ei kuitenkaan vaikuttaisi toimijaan kohdistuviin velvoitteisiin, eikä se siten esimerkiksi täyttäisi rekisterinpitäjän velvollisuutta ilmoittaa henkilötietojen tietoturvaloukkauksesta.  

Pykälän 3 momentin nojalla valvovalla viranomaisella olisi velvollisuus ilmoittaa merkittävän poikkeaman havaitsemisesta poliisille, jos poikkeaman epäillään johtuvan rikoksesta, josta säädetty enimmäisrangaistus olisi vähintään kolme vuotta vankeutta. Lähtökohtaisesti toimijalla olisi vapaus päättää itse, ilmoittako se epäilemästään rikoksesta poliisille, ellei toimija epäilisi rikoslain 15 luvun 10 §:ssä tarkoitettua tekoa. Jos merkittävän poikkeaman kohdalla olisi syytä epäillä rikosta, valvovan viranomaisen tulisi ohjata toimijaa tekemään rikosilmoitus tarvittaessa. Siltä osin kuin kyse olisi rikoslain 15 luvun 10 §:ssä tarkoitetusta rikoksesta, ehdotettu momentti ei kuitenkaan vaikuttaisi velvollisuuteen ilmoittaa rikoksesta toimivaltaiselle viranomaiselle (poliisille). Kun kysymys olisi vakavasta, eli momentissa tarkoitetun kynnyksen täyttävää rikosta koskevasta epäilystä, valvovalla viranomaisella olisi kuitenkin velvollisuus ilmoittaa sitä koskevasta epäilystä poliisille.  

Pykälässä tarkoitettuja rikoksia olisivat esimerkiksi rikoslain 35 luvun 3 b §:ssä tarkoitettu törkeä datavahingonteko, 38 luvun 4 §:ssä tarkoitettu törkeä viestintäsalaisuuden loukkaus, 38 luvun 6 §:ssä tarkoitettu törkeä tietoliikenteen häirintä, 38 luvun 7 b §:ssä tarkoitettu törkeä tietojärjestelmän häirintä ja 38 luvun 8 a §:ssä tarkoitettu törkeä tietomurto. Pykälässä tarkoitettuja rikoksia olisivat myös esimerkiksi rikoslain 12 luvun 1–7 §:ssä ja 9 §:ssä tarkoitetut maanpetosrikokset. 

Pykälän 4 momentin nojalla silloin, jos merkittävällä poikkeamalla olisi vaikutuksia muihin EU-jäsenvaltioihin, valvovan viranomaisen olisi tiedotettava merkittävästä poikkeamasta keskitettyä yhteyspistettä sekä toimittaa keskitetylle yhteyspisteelle merkittävää poikkeamaa koskevat ilmoitukset ja raportit. Keskitetystä yhteyspisteestä säädettäisiin 18 §:ssä.  

Pykälän 5 momentin nojalla keskitetyn yhteyspisteen tulisi tiedottaa ilman aiheetonta viivytystä merkittävästä poikkeamasta Euroopan unionin kyberturvallisuusvirasto ENISA:aa ja niitä jäsenvaltioita, joihin poikkeama vaikuttaa. Jäsenvaltioiden tiedottaminen tapahtuisi kunkin jäsenvaltion NIS2-direktiivin nojalla nimetyn keskitetyn yhteyspisteen kautta. Keskitetyllä yhteyspisteellä olisi tässä tarkoituksessa oikeus toimittaa tietoja poikkeamailmoituksista sekä väli- ja loppuraporteista toisen EU-jäsenvaltion keskitetylle yhteyspisteelle ja ENISA:lle. Keskitetyn yhteyspisteen olisi annettava muille jäsenvaltioille sekä ENISA:lle erityisesti sellaisia tietoja, joiden avulla on mahdollista määrittää poikkeaman vaikutuksia siinä toisessa jäsenvaltiossa, johon vaikutukset kohdistuvat, sekä rajat ylittäviä vaikutuksia Euroopan unionin tasolla. Keskitetyn yhteyspisteen olisi huomioitava toimijaan liittyvien tietojen luottamuksellisuus sekä turvallisuus- ja kaupalliset edut ja pidättäydyttävä näiden etujen tarpeettomasta vaarantamisesta sekä tarpeettomasta tietojen luovuttamisesta. Keskitetyn yhteyspisteen ilmoitusvelvoitteeseen ei kuuluisi edellä 4 §:n 7 momentin nojalla sellaisten tietojen antaminen, joiden luovuttaminen olisi vastoin Suomen keskeisiä kansalliseen turvallisuuteen, yleiseen turvallisuuteen tai maanpuolustukseen liittyviä intressejä.  

Ehdotetulla säännöksellä pantaisiin täytäntöön NIS2-direktiivin 23 artiklan 1 ja 5 kohta osittain, 23 artiklan 6 ja 8 kohta sekä 13 artiklan 2 ja 3 kohdat. 

18 §.Keskitetty yhteyspiste. Pykälässä säädettäisiin NIS2-direktiivin 8 artiklan 3 kohdassa tarkoitetusta keskitetystä yhteyspisteestä. Keskitettynä yhteyspisteenä Suomessa ehdotetaan toimivaksi Liikenne- ja viestintäviraston Kyberturvallisuuskeskus, jolla on ollut vastaava tehtävä NIS1-direktiivin täytäntöönpanon myötä.  

Keskitetyn yhteyspisteen ensisijaisena tehtävänä olisi NIS2-direktiivin mukainen yhteydenpito suhteessa muihin EU-jäsenvaltioihin ja Euroopan unionin kyberturvallisuusvirasto ENISA:an. Keskitetty yhteyspiste vastaisi niistä tehtävistä, joita sille NIS2-direktiivissä on säädetty, sekä ilmoitusten vastaanottamisen, että lähettämisen osalta. Keskitetyn yhteyspisteen roolista poikkeamailmoitusten käsittelyssä on säädetty edellä 17 §:n 5 momentissa.  

Keskitetyn yhteyspisteen tehtävänä olisi myös edistää kansallisten valvovien viranomaisten välistä yhteistyötä niille tässä laissa säädettyjen tehtävien toteuttamiseksi. Keskitetty yhteyspiste voisi edistää valvovien viranomaisten välistä yhteistyötä ja tiedonvaihtoa sekä antaa suosituksia valvoville viranomaisille tämän lain mukaisten vaatimusten ja valvonnan yhteensovittamiseksi. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus voisi edistää esimerkiksi tämän lain 9 §:n riskinhallintatoimenpiteitä koskevien ohjeiden ja suositusten koordinointia valvovien viranomaisten välillä.  

Keskitetyllä yhteyspisteellä olisi lisäksi keskeinen rooli yhteydenpidossa muihin EU-jäsenvaltioihin ja ENISA:an. Sen lisäksi keskitetyn yhteyspisteen olisi toimitettava ENISA:lle kolmen kuukauden välein yhteenvetoraportti Suomessa ilmoitetuista merkittävistä poikkeamista, poikkeamista, kyberuhkista ja läheltä piti –tilanteista. 

Poikkeaman ja kyberuhkan määritelmästä säädettäisiin 2 §:ssä. Läheltä piti –tilanteella tarkoitettaisiin NIS2-direktiivin 6 artiklan 5 kohdan määritelmää vastaavasti tapahtumaa, joka olisi voinut vaarantaa viestintäverkoissa ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden mutta jonka toteutuminen onnistuttiin estämään tai joka ei toteutunut satunnaisen syyn vuoksi.  

Pykälällä pantaisiin täytäntöön NIS2-direktiivin 8 artiklan 3-4 kohdat sekä 23 artiklan 9 kohta. 

19 §.CSIRT-yksikkö. Pykälässä säädettäisiin NIS2-direktiivin 10 ja 11 artiklassa tarkoitetusta tietoturvaloukkauksiin reagoivasta ja niitä tutkivasta yksiköstä, eli CSIRT-yksiköstä.  

Pykälän 1 momentin nojalla Suomessa tietoturvaloukkauksiin reagoiva ja niitä tutkiva CSIRT-yksikkö toimisi Liikenne- ja viestintävirastossa. Toiminto olisi järjestettävä erilliseksi toimijoihin kohdistuvasta valvonnasta. CSIRT-yksikön tehtävistä säädettäisiin jäljempänä 20 §:ssä.  

CSIRT-yksikön itsenäisyys ja erillisyys valvonnasta tarkoittaisi samalla, että valvovalla viranomaisella ei olisi tiedonsaantioikeutta suhteessa CSIRT-yksikköön, vaan CSIRT-yksiköllä olisi sen tehtävien hoitamisen edellyttämä itsenäinen asema suhteessa valvovaan viranomaiseen ja luottamuksellinen asema suhteessa valvonnan kohteisiin. CSIRT-yksikkö kuitenkin luovuttaa tämän lain nojalla saamiaan ja hankkimiaan tietoja siten kuin sähköisen viestinnän palveluista annetun lain 319 §:n 2 ja 3 momentissa säädetään. Itsenäisestä asemasta seuraava luottamus CSIRT-toiminnan riippumattomuuteen mahdollistavat sen, että CSIRT-yksikkö saa jatkossakin vapaaehtoisuuteen perustuvia ilmoituksia laajasti eri toimijoilta, joihin perustuvien tietojen avulla se voi tukea ja vahvistaa kyberturvallisuutta suomalaisessa yhteiskunnassa. CSIRT-yksikön toiminnan luottamuksellisuus on edellytys kyberturvallisuuden kansallisen tilannekuvan muodostamiselle, joka mahdollistaa sen, että CSIRT-yksikkö voi luovuttaa relevantteja kyberturvallisuuteen liittyviä uhkatietoja suomalaisille organisaatioille kyberturvallisuustietojen vapaaehtoisten jakamisjärjestelyjen puitteissa. 

Pykälän 2 momentissa säädettäisiin vaatimuksista, jotka CSIRT-yksikön olisi täytettävä NIS2-direktiivin 11 artiklan 1 kohdan mukaisesti. CSIRT-yksikön olisi huolehdittava muun muassa viestintäkanaviensa saatavuudesta, toimitilojensa ja tietojärjestelmiensä sijoittamisesta suojattuihin paikkoihin sekä henkilöstönsä riittävyydestä ja asianmukaisesta koulutuksesta. Varautumisjärjestelyillä tarkoitettaisiin varajärjestelmiä ja –työtiloja. Momentti vastaisi NIS2-direktiivin 11 artiklan 1 kohtaa.  

Pykälän 3 momentissa säädettäisiin CSIRT-yksikön 11 artiklan 1 kohtaan sisältyvästä vaatimuksesta, jonka mukaisesti CSIRT-yksikön olisi määritettävä selkeästi 2 momentin 1 kohdassa tarkoitetut viestintäkanavat ja tiedotettava niistä kohderyhmilleen ja yhteistyökumppaneilleen asianmukaisella tavalla.  

19 ja 20 §:llä täytäntöönpantaisiin NIS2-direktiivin 10 ja 11 artiklat sekä osin 29 artikla. 

20 §. CSIRT-yksikön tehtävät. Pykälässä säädettäisiin CSIRT-yksikön tehtävistä. CSIRT-yksikön tehtävänä olisi seurata ja analysoida kyberuhkia, haavoittuvuuksia ja poikkeamia sekä kerätä tietoja niistä ja antaa ennakkovaroituksia toimijoille yhteiskunnassa sekä muista operatiivisen ja teknisen tason viranomaistehtävistä, jotka liittyvät kyberturvallisuuden riskienhallintaan yhteiskunnassa. CSIRT-yksikön tehtävänä olisi tarjota toimijoille operatiivisen ja teknisen tason tukea ja ohjeita merkittävien poikkeamien ja riskien ehkäisemiseksi, havaitsemiseksi ja hallitsemiseksi sekä niiden vaikutusten lieventämiseksi, jos se on tarpeellista, toimija sitä pyytää, ja CSIRT-yksikkö voi resurssiensa puitteissa tukea antaa.  

CSIRT-yksikön tehtävänä ei olisi valvoa tässä laissa tarkoitettuja toimijoita, minkä johdosta toiminta olisi järjestettävä erilliseksi suhteessa toimijoihin kohdistuvaan valvontaan Liikenne- ja viestintävirastossa. 

Pykälän 1 momentin 1 kohdan mukaan CSIRT-yksikkö seuraa ja analysoi kyberuhkia, haavoittuvuuksia ja poikkeamia kansallisella tasolla. Lisäksi se voi kerätä niitä koskevia tietoja sekä tiedottaa niistä tilanteen mukaan esimerkiksi antamalla havaittua haavoittuvuutta koskevia ennakkovaroituksia, hälytyksiä, ilmoituksia ja tietoja. Kyse olisi yleisluonteisesta tiedottamisesta, joka kohdistuisi esimerkiksi tässä laissa tarkoitettuihin keskeisiin tai muihin kuin keskeisiin toimijoihin tai valvoviin viranomaisiin taikka muihin sidosryhmiin, kuten erilaisiin verkostoihin tai yleisöön. Tehtävää tulisi toteuttaa mahdollisuuksien mukaan koordinoidusti sähköisen viestinnän palveluista annetun lain 304 §:n 7 kohdassa Liikenne- ja viestintävirastolle säädetyn tehtävän kanssa.  

Pykälän 1 momentin 2 kohdan mukaan CSIRT-yksikön tehtävänä olisi pyynnöstä avustaa viestintäverkkojen ja tietojärjestelmien tietoturvallisuuden reaaliaikaisessa tai lähes reaaliaikaisessa seurannassa. Avustaminen voisi tarkoittaa tapauskohtaisesti esimerkiksi ohjeita, neuvoja tai teknistä avustamista. CSIRT-yksikkö voisi tarjota palvelua tai avustaa ja neuvoa sekä tässä laissa tarkoitettuja, että muita toimijoita hankkimaan kolmannen osapuolen palvelua seurantaa varten. Seurannan toteuttamisessa olisi otettava huomioon, mitä henkilötietojen käsittelystä ja luottamuksellisen viestinnän suojasta erikseen säädetään. CSIRT-yksikön tehtävänä olisi erityisesti ohjaava ja neuvova rooli, joka ei vaikuttaisi toimijalla olevaan velvollisuuteen huolehtia sen käytössä olevien viestintäverkkojen ja tietojärjestelmien turvallisuudesta.  

Pykälän 1 momentin 3 kohdan mukaan CSIRT-yksikkö reagoi poikkeamailmoituksiin ja tarvittaessa avustaa poikkeamasta ilmoittanutta tahoa poikkeaman käsittelyssä. Lähtökohtaisesti kuka tahansa voisi tehdä CSIRT-yksikölle ilmoituksen tietoturvapoikkeamasta, ja CSIRT-yksikön tehtävänä olisi reagoida näihin ilmoituksiin. CSIRT-yksikkö reagoisi poikkeamailmoituksiin tarkoituksenmukaisella tavalla esimerkiksi vastaamalla siihen, ohjeistamalla ja neuvomalla ilmoituksen tehnyttä tahoa, koordinoimalla poikkeamaan vastaamista, tutkimalla ilmoitettua poikkeamaa tai tarjoamalla tarvittavaa teknistä tukea. CSIRT-yksikkö reagoisi siis myös muiden kuin tässä laissa tarkoitettujen keskeisten tai muiden kuin keskeisten toimijoiden tekemiin ilmoituksiin ja tarvittaessa avustaisi niitä poikkeaman käsittelyssä. Vastuu poikkeaman käsittelystä ja tarvittavien toimenpiteiden suorittamisesta olisi pääasiallisesti kuitenkin ilmoituksen tehneellä taholla itsellään.  

Pykälän 1 momentin 4 kohdan mukaan CSIRT-yksikön tehtävänä olisi kerätä ja analysoida uhkatietoja ja tietoturvaloukkausten tutkintaa koskevia tietoja eli forensisia tietoja. Forensisilla tiedoilla tarkoitetaan tietoturvaloukkauksen jättämää digitaalista todistusaineistoa, näytteitä, vaarantumisindikaattoreita eli IoC-tietoja taikka muita hyökkäykseen liittyviä teknisiä tunnisteita ja jälkiä. Forensisia tietoja voitaisiin kerätä esimerkiksi laitteista, tiedoista tai lokeista. Lisäksi uhkatietoja voidaan hankkia esimerkiksi sidosryhmiltä.  

Pykälän 1 momentin 5 kohdan mukaan CSIRT-yksikön tehtävänä olisi laatia riski- ja poikkeama-analyyseja ja tukea kyberturvallisuuden tilannekuvan ylläpitämistä. Liikenne- ja viestintävirastosta annetun lain 3 §:n nojalla Liikenne- ja viestintäviraston Kyberturvallisuuskeskus ylläpitää kyberturvallisuuden tilannekuvaa. CSIRT-yksikön tehtävänä olisi tukea tilannekuvan ylläpitämistä. Riski- ja poikkeama-analyysit voisivat käsitellä joko yksittäistä tapahtumaa tai laajempia ilmiöitä ja tarvittavilta osin ne voisivat olla päivittyviä eli dynaamisia.  

Pykälän 1 momentin 6 kohdan mukaan CSIRT-yksikkö osallistuisi NIS2-direktiivin 15 artiklassa tarkoitettuun CSIRT-verkostoon. CSIRT-verkosto koostuu kaikkien EU-jäsenvaltioiden CSIRT-yksiköistä. CSIRT-verkoston tarkoituksena on edistää luottamusta sekä ripeää ja tuloksellista operatiivista yhteistyötä jäsenvaltioiden välillä. CSIRT-yksikkö voisi myös valmiuksiensa ja osaamistasonsa mukaan avustaa muita CSIRT-verkoston jäseniä niiden pyynnöstä, esimerkiksi jakamalla tietoa ajankohtaisista tapauksista, ilmiöistä ja trendeistä tai tarjoamalla teknistä apua. CSIRT-yksikön tehtävänä olisi osallistua tällaiseen yhteistyöhön sen mukaan kuin se on käytettävissä olevien resurssien puitteissa mahdollista.  

Pykälän 1 momentin 7 kohdan mukaan CSIRT-yksikkö voisi nimetä asiantuntijoita, jotka osallistuisivat NIS2-direktiivin 19 artiklassa tarkoitettuihin vertaisarviointeihin. NIS2-direktiivin 19 artiklassa tarkoitetun vertaisarvioinnin suorittavat kyberturvallisuusasiantuntijat, joiden nimeäminen tehdään erikseen vahvistettavien kriteerien perusteella. Vertaisarviointeihin osallistuminen on kuitenkin vapaaehtoista, eli CSIRT-yksikkö voisi arvioida osallistumisen tarpeellisuutta tapauskohtaisesti eikä kohdalla velvoitettaisi CSIRT-yksikköä vertaisarviointeihin osallistumiseen.  

Pykälän 1 momentin 8 kohdan mukaan CSIRT-yksikön tehtävänä olisi edistää tietoturvallisten tiedonjakovälineiden käyttöönottoa. CSIRT-yksiköllä tulisi olla käytössään asianmukainen, suojattu ja häiriönsietokykyinen viestintä- ja tietoinfrastruktuuri tietojen vaihtamiseen keskeisten ja muiden kuin keskeisten toimijoiden ja muiden asiaankuuluvien sidosryhmien kanssa. Tiedonjakovälineiden tulisi täyttää tiedonhallintalain vaatimukset, ja koska niissä käsiteltävä tieto saattaa olla turvallisuusluokiteltua, myös asiakirjojen turvallisuusluokittelusta valtionhallinnossa annetun asetuksen vaatimukset. Käyttämällä tällaisia tiedonjakovälineitä CSIRT-yksikkö edistäisi niiden käyttöä yhteiskunnassa laajemminkin.  

Pykälän 1 momentin 9 kohdan mukaan CSIRT-yksikkö voisi edistää yhteistyötä yksityisen sektorin sidosryhmien kanssa antamalla ohjeita ja suosituksia esimerkiksi yhteisten tai standardoitujen käytäntöjen, luokitusjärjestelmien ja taksonomioiden hyväksymiseksi ja käyttämiseksi. CSIRT-yksikkö voisi antaa tällaisia ohjeita ja suosituksia poikkeamien käsittelemisestä, kyberturvallisuuden kriisinhallinnasta ja koordinoidusta haavoittuvuuksien julkistamisesta.  

Pykälän 2 momentissa säädettäisiin CSIRT-yksikön mahdollisuudesta asettaa tehtäviään tärkeysjärjestykseen riskiperusteisesti. Tärkeysjärjestykseen asettaminen tulisi tehdä riskiperustaista lähestymistapaa soveltaen. Riskiperusteisella lähestymistavalla tarkoitettaisiin keskittymistä ensisijaisesti sellaisiin riskeihin, uhkiin tai poikkeamiin, jotka voisivat aiheuttaa merkittäviä tai laaja-alaisia haitallisia vaikutuksia yhteiskunnassa taikka joiden toteutumisen todennäköisyys on huomattavan korkea. Esimerkiksi poikkeamailmoituksia voitaisiin luokitella tietoturvapoikkeaman tai kyberuhan merkittävyyden perusteella, ja tässä arvioinnissa voitaisiin huomioida esimerkiksi hyökkäystyyppi, poikkeaman tai uhan kohde sekä poikkeaman tai uhan laajuus.  

Pykälän 3 momentissa säädettäisiin CSIRT-yksikön tehtävästä koordinoida kyberturvallisuustietojen vapaaehtoisia jakamisjärjestelyjä tämän lain soveltamisalaan kuuluvien toimijoiden, muiden tahojen ja CSIRT-yksikön kesken. Kyberturvallisuustietojen vapaaehtoisista jakamisjärjestelyistä säädetään 23 §:ssä.  

Pykälän 4 momentissa säädettäisiin CSIRT-yksikön mahdollisuudesta tuottaa tietoturvaloukkausten havainnointipalvelua, jolla voitaisiin avustaa toimijoita niiden viestintäverkkojen ja tietojärjestelmien tietoturvallisuuden reaaliaikaisessa tai lähes reaaliaikaisessa seurannassa sekä edistää toimenpiteitä poikkeamien havaitsemiseksi, selvittämiseksi ja kyberuhkien ennalta estämiseksi. Tietoturvaloukkausten havainnointipalveluun liittyvästä tiedonkäsittelystä säädettäisiin 24 §:ssä. Säännös ei asettaisi velvoitetta palvelun tuottamiselle vaan mahdollistaisi sen, jos CSIRT-yksikkö katsoo palvelun tarjoamisen tarpeelliseksi. CSIRT-yksikkö voi tarjota tietoturvaloukkausten havainnointipalvelua suoraan sitä pyytäville toimijoille tai muille tahoille sekä sellaisille tietoturvapalveluntarjoajille, jotka tarjoavat tietoturvaloukkausten havainnointipalvelua toimijoille tai muille tahoille käytettäväksi palvelukeskuksen roolissa. Palvelu olisi CSIRT-yksikön tarjoama sen laissa säädetyn tehtävän edistämiseksi, ja olisi toimijan tai palvelun tilaajan itsensä päätettävissä, haluaako se palvelua tilata. Säännöksessä olisi kysymys tietoturvaloukkausten havainnointipalvelun tuottamista koskevan lain tasoisen toimivaltuuden täsmentämisestä. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on tuottanut tietoturvaloukkausten havainnointipalvelua sille sähköisen viestinnän palveluista annetussa laissa säädettyjen tehtävien toteuttamiseksi. Säännöksellä selkeytettäisiin palvelun tuottamisen säädösperustaa. Lisäksi palvelun tarjoaminen edistäisi CSIRT-yksikön tehtävien hoitamista.  

CSIRT-yksikön tietosuoja-asetuksen 6 artiklan 1 kohdan mukainen henkilötietojen käsittelyn oikeusperuste CSIRT-yksikön tehtävien hoitamiseksi on tehtävästä riippuen rinnakkain 6 artiklan 1 kohdan c alakohdan mukainen lakisääteisen velvoitteen noudattaminen ja 6 artiklan 1 kohdan e alakohdan mukainen yleinen etu tai julkisen vallan käyttö. 

Pykälän 5 momentin nojalla CSIRT-yksikkö voisi periä maksun 1 momentin 1 ja 2 kohdassa tarkoitetusta palvelusta, joka on tarjottu toimijan tai muun tahon pyynnöstä. Maksullista toimintaa voisi olla esimerkiksi pyynnöstä toteutettu 21 §:n 4 momentissa tarkoitettu kohdennettu haavoittuvuuskartoitus sekä tietoturvaloukkausten havainnointipalvelu ja muu 1 momentin 1 ja 2 kohdassa tarkoitettu palvelu, jota tarjotaan toimijan tai muun tahon pyynnöstä, eli muuten kuin CSIRT-yksikön omasta aloitteesta. Maksullisessa suoritteessa olisi kyse korvauksesta toimijalle tai muulle taholle kohdennetusta viranomaisen tuottamasta palvelusta, joka on toimijalle tai muulle taholle vapaaehtoinen. Viranomaisten suoritteiden maksullisuudesta ja suoritteista perittävien maksujen suuruuden yleisistä perusteista sekä maksujen muista perusteista säädetään valtion maksuperustelaissa (150/1992).  

21 §.Yleisten viestintäverkkojen ja tietojärjestelmien verkkopohjainen haavoittuvuuskartoitus . Pykälän säädettäisiin CSIRT-yksikön oikeudesta havainnoida yleiseen viestintäverkkoon liitettyjä viestintäverkkoja ja tietojärjestelmiä haavoittuvuuksien, kyberuhkien ja turvattomasti määritettyjen asetuksien eli turvattomasti konfiguroitujen viestintäverkkojen tai tietojärjestelmien havainnoimiseksi ja kartoituksen kohteen varoittamiseksi havainnoista ( haavoittuvuuskartoitus) . Lisäksi pykälän 4 momentissa säädettäisiin toimijan pyynnöstä toteutetusta kohdennetusta haavoittuvuuskartoituksesta. Ehdotetulla toimivaltuudella pantaisiin täytäntöön NIS2-direktiivin 11 artiklan 3 kohdan 1 alakohdan e-luetelmakohdassa ja saman artiklan 3 kohdan 2 alakohdassa CSIRT-yksikölle säädetyt tehtävät.  

Pykälän 1 momentissa säädettäisiin haavoittuvuuskartoituksen tarkoituksesta. Haavoittuvuuskartoituksen tarkoituksena olisi haavoittuvuuksien, kyberuhkien ja turvattomasti määritettyjen viestintäverkkojen ja tietojärjestelmien asetuksien eli turvattomien konfigurointien havaitseminen sekä näistä havainnoista asianomaisille tahoille ilmoittaminen, mikä parantaisi asianomaisten tahojen mahdollisuuksia suojautua haavoittuvuuksien hyväksikäytöltä ja kyberuhilta.  

Pykälän 1 ja 2 momentin nojalla haavoittuvuuskartoitus olisi toteutettava ennakoivalla ja muulla kuin intrusiivisella tavalla. Ennakoivuudella tarkoitettaisiin haavoittuvuuskartoituksen yhteyttä tiedossa oleviin tai ennakoitavissa oleviin haavoittuvuuksiin tai kyberuhkiin. Muu kuin intrusiivinen tapa tarkoittaisi havainnointia viestintäverkon avulla saatavilla olevista viestintäverkoista ja tietojärjestelmistä tavalla, joka ei edellyttäisi intrusiivisuutta, eli tunkeutumista viestintäverkkoihin tai tietojärjestelmiin havaintojen tai tietojen saamiseksi. Muussa kuin intrusiivisessa havainnoinnissa voitaisiin esimerkiksi lähettää teknisiä kyselyjä tai konekielisiä viestejä viestintäverkkoon tai tietojärjestelmään, palveluun, sen palvelimelle tai palvelimen sovellukselle, esim. portille, järjestelmässä olevien avointen porttien tai suojaamattomien teknisten ratkaisujen havaitsemiseksi. Kyselyjä voitaisiin lähettää myös tiedon keräämiseksi teknisistä ratkaisuista, kuten ohjelmistoista, joita viestintäverkoissa ja tietojärjestelmissä käytetään, sen selvittämiseksi, onko haavoittuvia tai suojaamattomia teknisiä ratkaisuja käytössä viestintäverkoissa ja tietojärjestelmissä niihin kohdistuvien haavoittuvuuksien tai kyberuhkien torjumiseksi. Muulla kuin intrusiivisella tavalla tarkoitettaisiin NIS2-direktiivissä tarkoitettua ”ei-intrusiivista” tapaa.  

Intrusiivisena ja siten kiellettynä haavoittuvuuskartoituksena olisi pidettävä ainakin sellaista toimintaa, jossa viestintäverkkoon ja tietojärjestelmään tunkeuduttaisiin ilman asianomaisen toimijan suostumusta haavoittuvuutta hyväksikäyttäen. Pykälässä erikseen edellytettäisiin myös, että kartoituksesta ei saa aiheutua haittaa asianomaisten järjestelmien tai palvelujen toiminnalle. Intrusiivista ja momentin nojalla kiellettyä olisi myös viestintäverkon ja tietojärjestelmän toimintaan vaikuttaminen haavoittuvuuskartoituksessa palvelun tavanomaisesta toiminnasta poikkeavalla tavalla tai muuten häiriötä aiheuttavalla tavalla taikka tietojen oikeudeton käsitteleminen viestintäverkossa tai tietojärjestelmässä. Haavoittuvuuskartoituksen toteuttaminen näillä tavoilla ei siten olisi ehdotuksen nojalla sallittua. Intrusiivisuutena ja siten viestintäverkkoon ja tietojärjestelmään kiellettynä tunkeutumisena ei olisi pidettävä esimerkiksi yksittäisen, tiedossa olevan tai ennalta tunnetun järjestelmän oletuskäyttäjätunnuksen ja salasanan yhdistelmän kokeilemista sen selvittämiseksi, onko järjestelmä asianmukaisesti suojattu, jos tällaisen kokeilun jälkeen toimintaa viestintäverkossa- ja tietojärjestelmässä ei jatketa tai siellä olevia tietoja käsitellä. Intrusiivisuutta ja siten kiellettyä olisi esimerkiksi oletuskäyttäjätunnuksen ja salasanan yhdistelmän kokeileminen toistuvasti tavalla, jonka johdosta tunnukset lukittuisivat tietoturvasyistä. Intrusiivisuuden arvioinnin kannalta olennaista olisi toiminta tietojärjestelmässä. Jos haavoittuvuus havaitaan siten, että turvajärjestely avaa pääsyn tietojärjestelmään, toimintaa ei tulisi tulkita intrusiiviseksi, jos heti havainnon jälkeen yhteys tietojärjestelmään katkaistaan ja toiminta tietojärjestelmässä lopetetaan. Jos tällaisen havainnon jälkeen tietojärjestelmässä käsiteltäisiin oikeudettomasti mitä tahansa tietoja, olisi toiminta intrusiivista ja siten kiellettyä. Haavoittuvuuskartoituksessa ei olisi sallittua käsitellä viestintäverkkoon tai tietojärjestelmään tallennettua henkilötietoa tällaisen käsittelyn intrusiivisuuden vuoksi. 

Haavoittuvuuskartoituksessa voitaisiin havainnoida tai kartoittaa vain viestintäverkkoja ja tietojärjestelmiä. Haavoittuvuuskartoituksella ei olisi sallittua hankkia ja käsitellä luottamuksellisen viestinnän suojaamia tietoja, kuten välitystietoja tai viestien sisältöä, jossa CSIRT-yksikkö ei ole viestinnän osapuolena. Haavoittuvuuskartoituksessa CSIRT-yksikkö toimii viestinnän osapuolen roolissa. Yleisellä verkkopohjaisella haavoittuvuuskartoituksella ei ole teknisesti mahdollista käsitellä kolmannen osapuolen viestintää sivullisen roolissa. Haavoittuvuuskartoituksella ei siten saisi eikä teknisesti voisikaan käsitellä luottamuksellisen viestinnän suojan alaan kuuluvia viestintää koskevia tietoja. Mikäli erittäin poikkeuksellisessa tapauksessa haavoittuvuuskartoituksen kohteena oleva viestintäverkko tai muu tietojärjestelmä palauttaisi erittäin poikkeuksellisen teknisen häiriötilanteen tai vastaavan vakavan haavoittuvuuden takia kolmannen osapuolen viestintää koskevia tietoja esimerkiksi sähköpostipalvelimen välimuistista, olisi tiedot poistettava viipymättä.  

Haavoittuvuuskartoituksessa ei olisi sallittua käsitellä viestintäverkkoon tai tietojärjestelmään tallennettua henkilötietoa. CSIRT-yksiköllä olisi oikeus haavoittamiskartoituksen toteuttamiseksi hankkia tietoja yleiseen viestintäverkkoon kytkettyjen telepäätelaitteiden ja tietojärjestelmien sekä niiden tietoliikennejärjestelyjen yksilöintitiedoista, käytetyistä ohjelmistoista ja niiden toiminnasta, teknisestä toteutuksesta ja niiden avulla tarjotuista palveluista. Haavoittuvuuskartoitus voisi kohdistua myös yleisen viestintäverkon viestintäverkkolaitteisiin, jotka kuuluisivat viestintäverkon käsitteen alaan. 

Pykälän 3 momentissa säädettäisiin haavoittuvuuskartoituksessa havaittujen tietojen käyttötarkoituksesta. Haavoittuvuuskartoituksessa havaittuja tietoja saisi käyttää vain haavoittuvuuskartoituksen kohteena olevalle taholle viestintäverkkoon ja tietojärjestelmään kohdistuvista haavoittuvuuksista ja riskeistä ilmoittamiseksi. Lisäksi CSIRT-yksikkö voisi käyttää tietoja 20 §:n 1 momentin 1, 4 ja 5 kohdissa tarkoitettujen tehtävien hoitamiseksi. Näitä tehtäviä olisivat:  

kyberuhkien, haavoittuvuuksien ja poikkeamien seuranta ja analysointi kansallisella tasolla sekä niitä koskevien tietojen kerääminen ja niitä koskevien ennakkovaroituksien, hälytyksien, ilmoituksien ja tietojen antaminen; 

poikkeamailmoituksiin reagoiminen ja tarvittaessa poikkeamasta ilmoittaneen tahon avustaminen; sekä  

riski- ja poikkeama-analyysien laatiminen ja kyberturvallisuuden tilannekuvan ylläpitämisen tukeminen.  

Haavoittuvuuskartoitus voitaisiin siten toteuttaa vain 1 momentissa säädettyä tarkoitusta varten. Haavoittuvuuskartoituksella kertyvää tietoa voitaisiin kuitenkin käyttää 3 momentissa säädetyllä tavalla myös CSIRT-yksikön tehtäviä varten. Tarpeettomat tiedot olisi poistettava viipymättä.  

Ehdotetun 4 momentin nojalla CSIRT-yksiköllä olisi oikeus suorittaa kohteen pyynnöstä sen viestintäverkossa ja tietojärjestelmissä haavoittuvuuskartoitus sellaisen haavoittuvuuden havaitsemiseksi, jolla voi olla merkittävä vaikutus viestintäverkkoon ja tietojärjestelmään tai sen avulla tarjottaviin palveluihin. Tällaisessa pyynnöstä tapahtuvassa haavoittuvuuskartoituksessa, jonka CSIRT-yksikkö toteuttaisi yhteistyössä asianomaisen tahon kanssa, voitaisiin poiketa 1–3 momentissa säädetyistä edellytyksistä. CSIRT-yksiköllä ei olisi velvollisuutta suorittaa pyynnöstä haavoittuvuuskartoitusta, vaan se voisi harkita tehtäviensä riskiperusteisen tärkeysjärjestyksen näkökulmasta, milloin erillinen pyynnöstä suoritettava haavoittuvuuskartoitus on tarkoituksenmukaista suorittaa juuri CSIRT-yksikön toimesta.  

Ehdotetun 5 momentissa selvennettäisiin, ettei haavoittuvuuskartoituksessa tai kohdennetussa haavoittuvuuskartoituksessa saisi käsitellä välitystietoja tietoja sähköisten viestien sisällöstä. Kuten edellä kuvataan, kun haavoittuvuuskartoitus suoritetaan ei-intrusiivisesti ja muutoinkin edellä kuvatulla tavalla, sähköisten viestien sisällön käsitteleminen ei ole teknisesti mahdollista. Teknologisen kehittymisen varalta ja kohdennetun haavoittuvuuskartoituksen reunaehtojen selventämiseksi pykälässä säädettäisiin yksiselitteinen kielto käsitellä haavoittuvuuskartoituksessa tai kohdennetussa haavoittuvuuskartoituksessa välitystietoja tai tietoja sähköisten viestien sisällöstä. Lisäksi CSIRT-yksikön olisi hävitettävä haavoittuvuuskartoituksessa saamansa tiedot, kun ne eivät ole enää tarpeen haavoittuvuudesta asianomaiselle toimijalle ilmoittamiseksi tai edellä 3 momentissa tarkoitettua tehtävää varten.  

Henkilötietojen käsittelyperuste haavoittuvuuskartoituksessa olisi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta. 

22 §. Koordinoitu haavoittuvuuksien julkistaminen. Pykälässä säädettäisiin koordinoidusta haavoittuvuuksien julkistamisprosessista. Ehdotuksella pantaisiin täytäntöön NIS2-direktiivin 12 artiklan 1 kohta.  

Pykälän 1 momentin nojalla CSIRT-yksikkö toimisi NIS2-direktiivin 12 artiklassa tarkoitettuna koordinaattorina haavoittuvuuksien koordinoitua julkistamista varten. CSIRT-yksikkö ottaisi haavoittuvuuksien julkistamista varten vastaan ilmoituksia havaituista haavoittuvuuksista. Ilmoituksen voisi tehdä CSIRT-yksikölle kuka tahansa, ja sen voisi tehdä myös nimettömänä. CSIRT-yksikön olisi varmistettava haavoittuvuudesta ilmoittavan luonnollisen henkilön tai oikeushenkilön nimettömyys aina, ellei ilmoittaja erikseen anna suostumusta henkilöllisyytensä paljastamiseen. CSIRT-yksikkö huolehtisi myös ilmoituksen johdosta tarpeellisista jatkotoimista, kuten haavoittuvuudesta ilmoittaminen TVT-tuotteen tai –palvelun valmistajalle tai tarjoajalle sekä Euroopan haavoittuvuustietokantaan sekä siitä, että toimija toteuttaa tarpeelliset jatkotoimet havainnon johdosta. Euroopan haavoittuvuustietokantaa ylläpitää Euroopan unionin kyberturvallisuusvirasto ENISA ja sen säädösperusta on NIS2-direktiivin 12 artiklassa.  

Pykälän 2 momentin nojalla CSIRT-yksikön tehtäviin koordinaattorina kuuluisi yhteyden ottaminen asianomaisiin toimijoihin, haavoittuvuudesta ilmoittavien tahojen avustaminen, julkistamisen aikataulusta neuvotteleminen ja useisiin toimijoihin vaikuttavien haavoittuvuuksien hallinta. CSIRT-yksikkö toimisi tarvittaessa myös luotettuna välittäjänä haavoittuvuudesta ilmoittavan tahon ja asianomaisen TVT-tuotteen tai –palvelun valmistajan tai tarjoajan välillä. CSIRT-yksikkö voisi lisäksi ohjata ja neuvoa asianomaisia tahoja siitä, miten Euroopan haavoittuvuustietokantaan voi ilmoittaa tietoja tai tarvittaessa hakea tietoja. CSIRT-yksikkö voisi lisäksi säännöksen estämättä ohjata ja neuvoa asianomaisia tahoja siitä, miten muuhun tarpeelliseen haavoittuvuustietokantaan voisi ilmoittaa tietoja tai hakea tietoja tarvittaessa. CSIRT-yksiköllä olisi myös oikeus ilmoittaa itse tiedossaan olevia haavoittuvuuksia Euroopan haavoittuvuustietokantaan. CSIRT-yksikkö voisi ilmoittaa Euroopan haavoittuvuustietokantaan pykälän 3 momentissa säädetyt tiedot ilmoitettavasta haavoittuvuudesta.  

Pykälän 3 momentin nojalla, jos CSIRT-yksikkö saisi tiedon sellaisesta haavoittuvuudesta, jolla voisi olla merkittävä vaikutus muihin EU-jäsenvaltioihin, CSIRT-yksikön olisi tarvittaessa tehtävä siihen liittyen yhteistyötä CSIRT-verkostossa.  

23 §.Kyberturvallisuustietojen vapaaehtoiset jakamisjärjestelyt . Pykälässä säädettäisiin CSIRT-yksikön koordinoimista vapaaehtoisista kyberturvallisuustietojen jakamisjärjestelyistä. Vapaaehtoisten jakamisjärjestelyjen tarkoituksena on vaihtaa kyberturvallisuustietoja niihin osallistuvien tahojen kesken sekä CSIRT-yksikön kanssa kyberuhkien ehkäisemiseksi, havaitsemiseksi, poikkeamien hallitsemiseksi ja niistä palautumiseksi tai niiden vaikutusten lieventämiseksi. Ehdotuksella pantaisiin täytäntöön NIS2-direktiivin 29 artikla.  

Pykälää sovellettaisiin vain CSIRT-yksikön koordinoimiin kyberturvallisuustietojen jakamisjärjestelyihin. Sen estämättä, mitä 1 momentissa säädetään, valvova viranomainen voisi kuitenkin toimialallaan tukea myös muita tiedonvaihtoyhteisöjä tai toimijat voisivat sopia muiden tiedonvaihtoyhteisön perustamisesta. CSIRT-yksikön koordinoimiin vapaaehtoisiin jakamisjärjestelyihin voisi osallistua sekä tämän lain soveltamisalaan kuuluvia toimijoita että muita kuin tämän lain soveltamisalaan kuuluvia julkisia tai yksityisiä organisaatioita. Jakamisjärjestelyn tarkoituksena olisi niihin osallistuvien organisaatioiden sekä niiden asiakkaiden viestintäverkkoihin, tietojärjestelmiin tai palveluihin kohdistuvien kyberuhkien ehkäiseminen ja havaitseminen, poikkeamien hallitseminen ja niistä palautuminen tai niiden vaikutuksien lieventäminen. Jakamisjärjestelyyn voisi siten osallistua organisaation oman toiminnan suojaamisen ohella esimerkiksi tietoturvapalveluntarjoaja sen asiakkaidensa suojaamiseksi.  

Kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn osallistuvien kesken voitaisiin jakaa pykälän 2 momentissa tarkoitettuja tietoja. Kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn osallistuvien kesken voitaisiin jakaa myös muita kyberuhkien ja poikkeamien torjumiseksi tarpeellisia tietoja, kuten suosituksia, jotka koskevat kyberhyökkäysten havaitsemiseen käytettävien kyberturvallisuustyökalujen konfigurointia eli asetusten määrittämistä. Jakamisjärjestelyn osapuolilla tulisi olla mahdollisuus sopia menettelyistä ja toimintatavoista jaettujen tietojen käsittelemisessä tai tietojen luottamuksellisuuden osalta säännöksen estämättä.  

Selvyyden vuoksi todetaan, että tietojen jakaminen perustuisi tiedon luovuttajan vapaaehtoisuuteen. Säännöksellä ei siten tarkoitettaisi aiheutuvan jakamisjärjestelyyn osallistuvalle lakiin perustuvaa velvollisuutta jakaa pykälän 2 momentissa tarkoitettuja tietoja tai muitakaan tietoja muille jakamisjärjestelyyn osallistuville. Luovutettaessa tietoa kyberturvallisuustietojen vapaaehtoisessa jakamisjärjestelyssä olisi otettava huomioon mahdolliset luovutettavaan tietoon kohdistuvat salassapitoa koskevat velvoitteet tai muut tiedon luovuttamista koskevat rajoitteet. Selvyyden vuoksi todetaan myös, että lain 4 §:n 7 momentin nojalla tässä laissa ei velvoiteta sellaisen tiedon antamiseen, jonka luovuttaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta taikka olisi vastoin siihen liittyvää tärkeää etua.  

Tietoja voitaisiin vaihtaa erityisesti 2 momentissa tarkoitetuista seikoista.  

Kyberuhkilla tarkoitetaan 2 §:n mukaisesti potentiaalisia tilanteita, tapahtumia tai toimintaa, joka voi vahingoittaa tai häiritä viestintäverkkoja ja tietojärjestelmiä, tällaisten järjestelmien käyttäjiä ja muita henkilöitä tai muulla tavoin vaikuttaa näihin haitallisesti. Kyse on uhkasta, joka toteutuessaan vaarantaa yhteiskunnan elintärkeän toiminnon tai muun kybertoimintaympäristöstä riippuvaisen toiminnon. Kyberuhkat voivat aiheutua paitsi toteutuneista tietoturvauhkista myös digitaalisessa viestintäympäristössä toteutettavista tietoturvallisuutta vaarantavista teoista. Kyberuhkat voivat kohdistua esimerkiksi yhteiskunnan elintärkeisiin toimintoihin, kansalliseen kriittiseen infrastruktuuriin, kaikenkokoisiin yrityksiin, valtion- ja kunnallishallinnon organisaatioihin kuin myös yksittäisiin kansalaisiin. Kyberuhkilla voi olla sekä suoria että välillisiä vaikutuksia erilaisiin toimijoihin yhteiskunnassa ja ne voivat olla peräisin niin Suomen rajojen sisäpuolelta kuin ulkopuolelta. 

Kyberuhka voi olla esimerkiksi uhkatoimijan toteuttama organisaatioon kohdistettu tunnuskalastelukampanja, jolla pyritään saamaan haltuun organisaation työntekijöiden käyttäjätunnuksia ja salasanoja varsinaisen tietomurron tai kyberhyökkäyksen toteuttamista varten. Lisäksi onnistunut tietomurto organisaation ympäristöön voi aiheuttaa monenlaisia kyberuhkia, jotka voivat vaikuttaa organisaation toiminnan kannalta kriittisten tietojen eheyteen, luottamuksellisuuteen ja saatavuuteen. Toinen esimerkki kyberuhasta ovat palvelunestohyökkäykset, jotka voivat aiheuttaa kyberuhan organisaation toiminnalle estämällä esimerkiksi organisaation toiminnan kannalta kriittisten järjestelmien ja palveluiden käytön tai heikentämällä niiden saatavuutta. Kyberuhka voi myös olla peräisin organisaation omista toimista: esimerkiksi verkko- ja tietojärjestelmien ylläpitotoimissa tahallisesti tai tahattomasti suoritettu virheellinen komento tai virheellisesti asetettu konfiguraatio voi muodostaa kyberuhan aiheuttamalla häiriötilanteen toimintaympäristössä tai altistamalla sen haavoittuvaksi. Lisäksi kyberuhkilla voi olla merkittäviä vaikutuksia organisaation palvelujen saatavuuteen. Esimerkiksi tuotantolaitoksen automaatioympäristön ohjausjärjestelmään tai prosessituotannon säätöjärjestelmään kohdistuneen tietomurron seurauksena uhkatoimija voi yrittää vaikuttaa tuotantolaitoksen toimintaan negatiivisella tavalla muodostaen tuotannolle vakavan kyberuhkan. Tällaisella kyberuhkalla saattaa olla vakavia vaikutuksia, jos kyseessä on esimerkiksi sähköntuotantoon, vedenjakeluun tai elintarviketuotantoon tai johonkin muuhun yhteiskunnan tärkeään toimintaan liittyvä ympäristö. 

Poikkeamilla tarkoitetaan 2 §:n mukaan tapahtumaa, joka vaarantaa viestintäverkoissa ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. Poikkeama voi olla esimerkiksi yksittäinen havaittu tietoturvatapahtuma tai joukko toisiinsa liittyviä palvelimilta kerättyihin lokitietoihin perustuvia tapahtumia, jotka viittaavat palvelun murtoyrityksiin tai onnistuneeseen tietomurtoon. Poikkeama voi siten olla myös laajempi kokonaisuus erilaisia verkossa havaittuja tietotapahtumia, jotka viittaavat esimerkiksi tunnistetun uhkatoimijan tekniikan tai menettelyn toteuttamiseen kohdeympäristössä, kuten kiristyshaittaohjelmahyökkäyksen toteuttamiseen tai sellaisen valmisteluun. Toisaalta poikkeama voi myös yksinkertaisesti olla järjestelmähäiriön tai laiterikon aiheuttama tilanne, joka aiheuttaa uhkan organisaation tietoturvalle. 

Läheltä piti -tilanteilla tarkoitetaan NIS2-direktiivin 6 artiklan 5 kohdan määritelmää vastaavasti tapahtumaa, joka olisi voinut vaarantaa viestintäverkoissa ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltävien tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden mutta jonka toteutuminen onnistuttiin estämään tai joka ei toteutunut satunnaisesti syystä.  

Esimerkkinä läheltä piti -tilanteesta voidaan pitää esimerkiksi organisaation tietoturvavalvomossa (Security Operations Centre, SOC) havaittua tietoturvatapahtumaa, joka aiheutti valvontajärjestelmässä (Security Incident and Event Management, SIEM) hälytyksen perustuen tunnettuun vaarantumisindikaattoriin (IoC), mutta jonka seurauksena nopeasti aloitetut reagointi ja -suojaustoimenpiteet estivät meneillään olevan kiristyshaittaohjelmahyökkäyksen viimeisen vaiheen, jossa uhkatoimija salaisi uhriorganisaation tiedot ja pyrkisi kiristämään uhrilta varoja tietojen palauttamiseksi. Tällaisessa tilanteessa varsinainen hyökkäys onnistuttiin pysäyttämään vaiheeseen, jossa tapahtui kyberpoikkeama ja tietomurto, sillä hyökkääjä onnistui murtautumaan organisaation tietojärjestelmiin, mutta hyökkäyksen varsinainen tavoite, eli tietojen salaus ja kiristäminen onnistuttiin estämään. Läheltä piti -tilanne voi olla myös esimerkiksi tilanne, jossa organisaatio saa Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselta ilmoituksen kyseisen organisaation ylläpitotunnusten kaupittelusta kyberrikollisten kauppapaikassa. Ilmoituksen johdosta organisaatio estää kyseisten ylläpitotunnusten käytön juuri ennen kun organisaation etäkäyttöpalvelun lokeissa havaitaan kyseisen tunnuksen hyödyntämistä organisaation verkkoympäristöön kohdistuvassa tietomurron yrityksessä. 

Haavoittuvuuksilla tarkoitetaan 2 §:n mukaan tieto- ja viestintätekniikan tuotteiden tai -palvelujen heikkoutta, alttiutta tai vikaa, jota kyberuhka voi hyödyntää. Haavoittuvuus on esimerkiksi tietyssä kaupallisesti tarjottavassa tai avoimen lähdekoodin ohjelmistossa havaittu vika tai heikkous, joka voi mahdollistaa ohjelmistoon toteutetun tietoturvakontrollin ohittamisen. Monien organisaatioiden verkkoympäristöissä on toteutettu joidenkin organisaation käyttämien tietojärjestelmien etäkäytön mahdollistava tekninen ratkaisu (VPN-palvelu). Jos organisaation käyttämän etäkäyttöpalvelun käyttäjien tunnistautumiseen liittyvän toiminnallisuuden toteutuksessa havaitaan virhe, joka mahdollistaa hyökkääjälle tietyllä tavalla muotoiltuja tunnistautumispyyntöjä lähettämällä sen, että hyökkääjä pystyy ohittamaan palvelun tunnistautumisvaiheen ja näin pääsee kirjautumaan palveluun millä tahansa tunnuksella, on kyseisessä etäkäyttöpalvelussa haavoittuvuus. 

Mikäli tietyn haavoittuvuuden julkitulemisen aikaan siihen ei ole vielä virallista haavoittuvuuden korjaavaa ohjelmistopäivitystä saatavilla, on kyseessä ns. nollapäivähaavoittuvuus. Tällaisessa tilanteessa organisaation ei ole vielä itse mahdollista korjata haavoittuvuutta ohjelmistopäivityksellä. Organisaation on tästä huolimatta yleensä mahdollista tehdä muita haavoittuvuuden hyväksikäyttöä koskevia rajoittamistoimia, kuten poistaa haavoittuva toiminnallisuus käytöstä, mikäli se on mahdollista, tai estää haavoittuvuuden hyväksikäyttö jollain toisella tietoturvakontrollilla esimerkiksi eri verkkokerroksella. 

Taktiikoilla, tekniikoilla ja menettelyillä (Tactics, Techniques ja Procedures - TTP) viitataan yleisesti uhkatoimijan käyttämään toimintamalliin kyberhyökkäyksessä. Taktiikka on hyökkääjän toiminnan korkeimman tason kuvaus, kun taas tekniikat antavat yksityiskohtaisemman tason kuvauksen hyökkääjän käyttäytymisestä taktiikan kontekstissa. Menettelyt ovat taas vielä alemman tason erittäin yksityisiä kuvauksia hyökkääjän toimista tekniikan yhteydessä. 

Taktiikat kertovat uhkatoimijan ylätason toimintatavoista ja strategiasta hyökkäyksen toteuttamisessa tietyn päämäärän saavuttamiseksi. Esimerkiksi hyökkäyksen kohteen ympäristön kartoittamista ja tiedustelua, murtautumista kohteen ympäristöön, käyttöoikeusvaltuuksien korottamista, hyökkäyksen laajentamista ja tietojen varastamista tai kiristämistä. Tekniikat sen sijaan kuvaavat tarkemmin toimia, joita hyökkääjä tekee kohteen ympäristöön murtautumisen valmistelemiseksi tai varsinaisen hyökkäyksen toteuttamiseksi kohteen ympäristössä. Käytettyjä tekniikoita ovat esimerkiksi kalasteluviestin lähettäminen käyttäjätunnusten haltuun saamiseksi, tunnettujen haavoittuvuuksien hyväksikäyttäminen, käyttäjätunnusten ja oikeuksien muokkaaminen, hyökkääjän työkalujen suorittaminen, havainnointimenetelmien ohittaminen, palvelinohjelmiston toimintaan vaikuttaminen ja aktiivinen kohteen ympäristön jatkokartoittaminen. Menettelyt taas yhdistävät sen, miten uhkatoimijan taktiikoita toteutetaan valittujen tekniikoiden avulla hyvin yksityiskohtaisella tasolla. Esimerkiksi menettely voi olla yksityiskohtainen tieto siitä, että uhkatoimija toteuttaa hyökkäyksen ensimmäisen vaiheen sisäänpääsyyn hyväksikäyttämällä juuri tietyn etäkäyttöjärjestelmän haavoittuvuutta ja saa näin suoritettua omaa ohjelmakoodiaan kohdejärjestelmässä, jolloin hyökkääjän ohjelmakoodi mahdollistaa palvelun oikeudettoman käytön muuttamalla etäkäyttöpalvelun konfiguraatiota kohteen sisäverkkoon pääsyn avaamiseksi. 

Vaarantumisindikaattorit ovat teknisiä tunnisteita tai mitattavissa olevia havaintoja, joiden perusteella voidaan päätellä, onko kyberhyökkäys mahdollinen, parhaillaan käynnissä tai tapahtunut jo aiemmin. Tavanomaisimmat vaarantumisindikaattorit ovat verkko-, laite-, tiedosto- ja käyttäytymispohjaisia. Esimerkiksi verkkopohjaisia vaarantumisindikaattoreita ovat hyökkääjän käyttämät IP-osoitteet, verkkotunnukset, URL-osoitteet sekä asiakas- ja palvelinohjelmistojen yksilöivät tunnisteet. Verkkopohjaisia vaarantumisindikaattoreita voidaan havainnoida tunkeutumisenhavainnointijärjestelmällä (IDS) suoraan verkkoliikenteestä tai verkkoliikenteestä kerättyjen lokitietojen pohjalta tätä tarkoitusta varten suunnitellussa lokienhallintajärjestelmässä. Verkkopohjainen indikaattori voi olla periaatteessa mikä tahansa verkkotasolla havaittavissa oleva tekninen tunnistetieto tai tapahtuma. Laitepohjaiset vaarantumisindikaattorit sen sijaan liittyvät tyypillisesti normaalista poikkeaviin muutoksiin esimerkiksi laitteen konfiguraatiotiedoissa tai muuhun normaalista poikkeavaan toimintaan laitteessa tai sen ohjelmistossa. Näiden indikaattoreiden havainnointiin tarvitaan yleensä erillinen ohjelmisto, joka seuraa laitteen toimintaa, havainnoi siinä tapahtuvat poikkeavuudet ja tekee niistä hälytyksiä. Laitetasolla voidaan myös havainnoida hyökkääjän haitallisten ohjelmien suoritukseen liittyviä vaarantumisindikaattoreita, kuten esimerkiksi ohjelmien ajonaikaiseen yksilöintiin liittyviä tunnisteita tai muita muistinvaraisia ohjelmistotunnisteita. 

Tiedostopohjaisista vaarantumisindikaattoreista yleisimpiä ovat taas haitallisiksi tunnistetuista tiedostoista lasketut yksilöivät tunnisteet eli tiedostotiivisteet, joiden pohjalta voidaan tunnistaa esimerkiksi hyökkääjän käyttämiä haittaohjelmia tai muita työkaluja. Näitä vaarantumisindikaattoreita voidaan hyödyntää esimerkiksi tietomurtotutkintaa suorittaessa tai havainnoitaessa tietyn uhkatoimijan menettelyjä suojattavassa ympäristössä. Käyttäytymispohjaiset vaarantumisindikaattorit voivat sen sijaan perustua esimerkiksi tietojärjestelmien käyttäjien eli ihmisten poikkeavaan käyttäytymiseen verkkoympäristössä, kuten käyttäjän kirjautumiseen organisaation tietojärjestelmään normaalista poikkeavana ajankohtana tai normaalista poikkeavasta sijainnista. 

Yleisiä käytännön esimerkkejä vaarantumisindikaattoreista ovat epätavalliset nimipalvelukyselyt, epäilyttävät tiedostot, sovellukset ja prosessit, botnet-verkkoihin tai haittaohjelmiin kuuluvat IP-osoitteet ja verkkotunnukset, epäilyttävä toiminta pääkäyttäjän oikeuksilla varustetuilla käyttäjätileillä, odottamattomat ohjelmistopäivitykset, tiedonsiirto harvoin käytettyjen tietoliikenneporttien kautta, ihmiselle epätyypillinen tietoliikenne verkkosivustolla, tunnetun haittaohjelman tiedostotiivisteet, kokoonpanotiedostojen, rekisterien ja laiteasetusten luvaton muuttaminen sekä suuri määrä epäonnistuneita sisäänkirjautumisyrityksiä. 

Erilaisia uhkatoimijoita ovat esimerkiksi yksittäiset kyberrikolliset, rikollisryhmittymät, valtiolliset toimijat, haktivistit, pahantahtoiset hakkerit, sisäiset uhkat ja terroristiset ryhmittymät. Näillä kaikilla on erilaiset tavoitteet toiminnalleen ja motivaation taustalla on usein joko rahallinen hyöty, poliittinen tai muu aatteellinen intressi tai maineen tavoittelu. Toisin sanoen uhkatoimijoita on monenlaisia ja ne voivat vaihdella yksittäisistä itsenäisistä hyökkääjistä hyvin resursoituihin ryhmittymiin, jotka toimivat koordinoidusti osana laajempaa rikollisjärjestöä tai valtiollisen toimijan tukemana. Uhkatoimijat voivat olla pitkäjänteisiä, motivoituneita ja mukautumiskykyisiä, ne voivat käyttää erilaisia taktiikoita, tekniikoita ja menettelyjä (TTP) murtautuakseen tietojärjestelmiin, häiritäkseen palveluita ja tavoitellakseen taloudellista hyötyä. Uhkatoimijat voivat myös varastaa tai paljastaa organisaation liikesalaisuuksia ja muita arkaluonteisia tietoja.  

Kyberturvallisuushälytyksillä tarkoitetaan yleensä tilanteita, jotka aiheutuvat jonkin tietoturvatapahtuman seurauksena joko organisaation automaattisen valvontajärjestelmän tuottamana tai aktiivisen uhkametsästyksen löydösten perusteella. Hälytys voi aiheutua esimerkiksi tietoturvatapahtumien valvontaan tarkoitetun järjestelmän havaitessa sen keräämissä tiedoissa jonkin tunnetun vaarantumisindikaattorin tai jonkin muun etukäteen määritellyn tapahtuman, jonka seurauksena on määritelty kyberturvallisuushälytyksen tapahtuvan. 

Pykälän 3 momentissa säädettäisiin CSIRT-yksikön oikeudesta luovuttaa kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn osallistuvalle tieto kyberuhkaan tai poikkeamaan liittyvästä välitystiedosta tai haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä. Sen lisäksi, mitä tässä laissa säädetään, CSIRT-yksikkö voisi luovuttaa tämän lain mukaisia tehtäviä hoitaessaan saamiaan ja hankkimiaan tietoja siten kuin sähköisen viestinnän palveluista annetun lain 319 §:ssä säädetään.  

Pykälän 4 momentissa säädettäisiin kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn osallistuvan oikeudesta luovuttaa sähköisen viestinnän palveluista annetun lain 136 §:n 4 momentin estämättä oma-aloitteisesti tietoa kyberuhkaan tai poikkeamaan liittyvästä välitystiedosta tai haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä CSIRT-yksikölle ja toiselle samaan kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn osallistuvalle taholle.  

Kyberuhkien ja poikkeamien hallitsemiseksi ja haitallisten vaikutusten ehkäisemiseksi olisi välttämätöntä, että CSIRT-yksiköllä ja jakamisjärjestelyihin osallistuvilla olisi mahdollisuus antaa muille jakamisjärjestelyyn osallistuville oma-aloitteisesti tietoa haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä ja sen välitystiedoista siltä osin kuin se liittyy haitalliseen tietokoneohjelmaan tai käskyn teknisiin ominaisuuksiin ja teknisiin jälkiin tai muuhun kyberuhkan tai poikkeaman toteuttamiseen liittyvään tekniseen tietoon. Säännös kattaisi esimerkiksi tiedon antamisen haitalliseen tietokoneohjelmaan liittyvistä lokitiedoista. Kyberturvallisuustietojen vapaaehtoisen jakamisjärjestelyn tarkoituksen toteuttamiseksi olisi välttämätöntä, että vapaaehtoiseen jakamisjärjestelyyn osallistuvat voisivat jakaa tietoja haitallisista tietokoneohjelmista ja käskyistä jakamisjärjestelyyn osallistuvien kesken. Jos pykälän nojalla tapahtuvassa luovuttamisessa olisi kyse henkilötiedoista, olisi erikseen noudatettava myös, mitä yleisessä tietosuoja-asetuksessa ja tietosuojalaissa henkilötiedoista säädetään. Tiedonvaihdon tarve ei kohdistuisi sähköisen viestinnän semanttiseen eli ihmisen luomaan sisältöön viestinnässä, vaan viestin teknisiin ominaisuuksiin. Ehdotuksen suhdetta luottamuksellisen viestinnän suojaan käsitellään jäljempänä säätämisjärjestysperustelussa. 

Pykälän 5 momentin nojalla jakamisjärjestelyyn osallistuva voisi käsitellä edellä 3 tai 4 momentin nojalla kyberuhkaan tai poikkeamaan liittyvistä välitystiedoista ja haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä saamaansa tietoa vain 1 momentin mukaisiin käyttötarkoituksiin. Lisäksi CSIRT-yksikkö voisi käsitellä tietoja 20 §:n 1 momentissa säädettyä tehtävää varten. Tiedon luovuttamisella ei saisi rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä 1 momentissa säädetyn tarkoituksen vuoksi.  

Tämän pykälän mukaisissa kyberturvallisuustietojen vapaaehtoisissa jakamisjärjestelyissä tietosuoja-asetuksen 6 artiklan mukainen henkilötietojen luovuttamisen oikeusperuste on jakamisjärjestelyihin osallistuvien viranomaisten osalta tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukainen yleinen etu tai julkisen vallan käyttö, ja jakamisjärjestelyihin osallistuvien yksityisten toimijoiden ja yhteisöjen osalta 6 artiklan 1 kohdan f alakohdan mukainen oikeutettu etu. 

Ehdotetulla 23 §:llä täytäntöönpantaisiin NIS2-direktiivin 29 artikla. 

24 §.Tietoturvaloukkausten havainnointipalveluun liittyvä tiedonkäsittely. Pykälässä säädettäisiin tiedonkäsittelystä 20 §:n 4 momentissa tarkoitetussa tietoturvaloukkausten havainnointipalvelussa, mikä olisi tarpeen siltä osin kuin palvelussa olisi käsiteltävänä sähköisiä viestejä tai välitystietoja. Pykälä olisi erityissäännös suhteessa sähköisen viestinnän 17 luvussa sähköisen viestin ja välitystietojen käsittelystä säädettyyn.  

Pykälän 1 momentin nojalla havainnointipalvelua käyttävä toimija tai muu kuin tämän lain soveltamisalaan kuuluva yhteisö, palvelukeskus ja CSIRT-yksikkö voisivat luovuttaa toisilleen viestintäverkkojen ja tietojärjestelmien tietoturvallisuuden seurannan kannalta tarpeellisia tietoja kyberuhkien ehkäisemiseksi, havaitsemiseksi, poikkeamien hallitsemiseksi ja niistä palautumiseksi tai niiden vaikutusten lieventämiseksi. CSIRT-yksikkö voisi luovuttaa 1 momentissa tarkoitettuja tietoja katseluyhteyden avulla taikka teknisen rajapinnan avulla siten kuin tiedonhallintalain 24 §:ssä säädetään. Siinä määrin kuin tietoturvaloukkausten havainnointipalvelun toteuttamiseksi on välttämätöntä, luovutettavat tiedot voivat sisältää palvelua käyttävän toimijan tai muun yhteisön palvelussa käsiteltäväksi pyytämiä sellaisia sähköisiä viestejä tai niihin liittyviä välitystietoja, joita sillä on oikeus käsitellä sähköisen viestinnän palveluista annetun lain 272 §:n nojalla.  

Luovutettavat tiedot voisivat sisältää siten muiden tietojen ohella myös palvelua käyttävän tahon palvelussa käsiteltäväksi pyytämiä sähköisiä viestejä tai niihin liittyviä välitystietoja siinä määrin kuin se on välttämätöntä tietoturvaloukkausten havainnointipalvelun toteuttamiseksi. Palvelussa voitaisiin käsitellä muuta tietoa kuin luottamuksellista sähköistä viestintää tai välitystietoja, mutta näistä tietotyypeistä olisi tarpeen säätää erikseen sähköisen viestinnän palveluista annetussa laissa säädettyjen käsittelyrajoitusten vuoksi. Säännöksen tarkoituksena olisi selkeyttää, että näitä tietotyyppejä saisi ehdotetun 1 momentin nojalla luovuttaa ja käsitellä sähköisen viestinnän palveluista annetun lain 136 §:n 4 momentin estämättä, jos pykälässä säädetyt edellytykset täyttyvät. Säännöksen tarkoituksena olisi myös selkeyttää palvelussa tietojen käsittelyä suhteessa sähköisen viestinnän palvelusta annetun lain 137 §:n edellytyksiin. Tietotyyppejä, joita taholla olisi oikeus käsitellä sähköisen viestinnän palveluista annetun lain 272 §:n nojalla, ovat esimerkiksi palvelussa käsiteltäväksi pyydetty sähköinen viestintä, siihen liittyvät välitystiedot ja muut viestintää kuvaavat loki- tai metatiedot sekä tietoturvaloukkausten ja niiden uhkien tunnistamiseen käytettävät tarpeelliset tunnisteet eli vaarantumisindikaattorit. 

Edellytyksenä viestien tai välitystietojen luovuttamiselle olisi välttämättömyyden lisäksi se, että havainnointipalvelua käyttävällä taholla olisi oikeus käsitellä näitä tietoja sähköisen viestinnän palveluista annetun lain 272 §:n nojalla. Sähköisen viestinnän palveluista annetun lain 272 §:ssä säädetään viestinnän välittäjän ja lisäarvopalvelun tarjoajan sekä niiden lukuun toimivan oikeudesta ryhtyä välttämättömiin toimiin tietoturvasta huolehtimiseksi. Sähköisen viestinnän palveluista annetun lain 272 §:n 3 ja 4 momentissa säädetyt edellytykset tietojen käsittelylle soveltuisivat myös tietoturvaloukkausten havainnointipalvelussa. Toimenpiteet olisi toteutettava huolellisesti ja ne olisi mitoitettava suhteessa torjuttavan häiriön vakavuuteen. Toimenpiteitä toteutettaessa ei saisi rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä. Toimenpiteet olisi lopetettava, jos niiden toteuttamiselle ei enää olisi pykälässä säädettyjä edellytyksiä. 

Pykälän 2 momentissa täsmennettäisiin säännökset, joita aina sovellettaisiin palvelun toteuttamisessa riippumatta siitä, onko palvelunkeskus tai CSIRT-yksikkö sähköisen viestinnän palveluista annetussa laissa tarkoitettu lisäarvopalvelun tarjoaja. Edellä 1 momentissa säädetty edellytys oikeudelle käsitellä viestejä tai välitystietoja sähköisen viestinnän palveluista annetun lain 272 §:n nojalla pitää sisällään edellytyksen siitä, että tahon on oltava sähköisen viestinnän palveluista annetussa laissa tarkoitettu viestinnän välittäjä. CSIRT-yksiköllä olisi oikeus käyttää palvelun tuottamisen yhteydessä saamiaan välitystietoja ja muita tietoja tukeakseen kansallisen kyberturvallisuuden tilannekuvan ylläpitämistä.  

Pykälän 3 momentissa täsmennettäisiin, että CSIRT-yksikölle tietoturvaloukkausten havainnointipalvelun toteuttamiseksi luovutettuja viestejä ja välitystietoja koskisi myös, mitä sähköisen viestinnän palveluista annetun lain 316 §:n 4 momentissa säädetään merkittävien tietoturvaloukkausten tai -uhkien selvittämistä koskevien tietojen hävittämisestä sekä 319 §:n 1 momentissa salassapitovelvollisuudesta.  

CSIRT-yksikön yleisen tietosuoja-asetuksen mukainen henkilötietojen käsittelyn oikeusperuste tietoturvaloukkausten havainnointipalvelun tuottamiseksi on 6 artiklan 1 kohdan e alakohdan mukainen yleinen etu tai julkisen vallan käyttö. 

25 §.CSIRT-yksikölle vapaaehtoisesti luovutettu tieto. Pykälässä säädettäisiin CSIRT-yksikölle vapaaehtoisesti luovutetun tiedon käyttörajoituksesta tietojen vapaaehtoisen luovuttajan suojaksi. Rajoitus koskisi CSIRT-yksikölle sen tämän lain mukaisten tehtävien hoitamiseksi vapaaehtoisesti luovutettua tietoa. CSIRT-yksikölle vapaaehtoisesti luovutettua tietoa ei saisi käyttää tiedon luovuttajaan kohdistuvassa rikostutkinnassa eikä hallinnollisessa tai muussa tiedon luovuttajaan kohdistuvassa päätöksenteossa ilman tiedon luovuttaneen suostumusta. CSIRT-yksikön tehtävien hoitaminen ja kyberturvallisuuden parantamiseksi organisaatioiden välillä tehtävän yhteistyön mahdollistaminen edellyttäisi luottamuksellista suhdetta CSIRT-yksikön ja sille tietoa antavien toimijoiden välillä. Sen turvaamiseksi olisi välttämätöntä, ettei CSIRT-yksikölle sen tehtävien hoitamiseksi vapaaehtoisesti luovutettavaa tietoa voitaisi käyttää tiedon luovuttaneeseen kohdistuvan sanktion kohdentamiseksi ilman tiedon luovuttajan suostumusta. Itsenäisestä asemasta seuraava luottamus CSIRT-toiminnan riippumattomuuteen yhdessä ehdotetun säännöksen kanssa mahdollistavat sen, että CSIRT-yksikkö saa jatkossakin vapaaehtoisuuteen perustuvia ilmoituksia laajasti eri toimijoilta, joihin perustuvien tietojen avulla se voi tukea ja vahvistaa kyberturvallisuutta suomalaisessa yhteiskunnassa.  

Pykälä vastaisi NIS2-direktiivin johdanto-osan perustelukappaletta 41 siitä, että toimijoiden ja CSIRT-yksiköiden välisen luottamuksen lujittamiseksi tapauksissa, joissa CSIRT on osa toimivaltaista viranomaista, jäsenvaltioiden olisi voitava harkita CSIRT-yksiköiden operatiivisten tehtävien, erityisesti tietojen jakamisen ja toimijoille annettavan tuen, erottamista toiminnallisesti toimivaltaisten viranomaisten valvontatoimista. Tietojen vapaaehtoisen luovuttajan suojaksi säädettävällä rajoituksella erotettaisiin myös valvontatoiminnassa ja CSIRT-yksikön operatiivisessa toiminnassa käytettäviä tietoja ja edistettäisiin toimijan oikeussuojan toteutumista. 

26 §.Valvovat viranomaiset . Pykälässä säädettäisiin lain noudattamista valvovista viranomaisista. Laissa tarkoitettaisiin valvovalla viranomaisella NIS2-direktiivin mukaista toimivaltaista viranomaista.  

Pykälän 1 momentissa säädettäisiin valvovan viranomaisen tehtävästä. Valvovan viranomaisen tehtävänä olisi valvoa toimialallaan tämän lain, sen nojalla annettujen määräysten sekä NIS2-direktiivin nojalla annettujen säädösten noudattamista. Momentissa osoitettaisiin valvovan viranomaisen tehtävä kunkin liitteessä I ja II tarkoitetun toimijan osalta.  

NIS 2 –direktiivin nojalla annetuilla säädöksillä tarkoitettaisiin sen 21 artiklan 5 kohdan ja 23 artiklan 11 kohdan nojalla annettavia Euroopan komission täytäntöönpanosäädöksiä ja 24 artiklan 2 kohdan annettavia Euroopan komission delegoituja asetuksia. 

Liikenne- ja viestintävirasto olisi tässä laissa tarkoitettu valvova viranomainen liikenne- ja avaruussektorilla, digitaalisen infrastruktuurin palvelujen, TVT-palvelujen, posti- ja kuriiripalvelujen ja digitaalisten palvelujen tarjoamisen osalta, moottoriajoneuvojen, perävaunujen, puoliperävaunujen ja muiden kulkuneuvojen valmistuksen osalta sekä tutkimusorganisaatioiden osalta.  

Energiavirasto olisi tässä laissa tarkoitettu valvova viranomainen sähkön, kaukolämmityksen ja –jäähdytyksen, maakaasun jakelu- tai siirtoverkonhaltijoiden sekä vedyn siirtoa harjoittavien toimijoiden osalta.  

Turvallisuus- ja kemikaalivirasto olisi tässä laissa tarkoitettu valvova viranomainen muiden kaasualan toimijoiden, öljyalan toimijoiden, vedyn tuotantoa ja varastointia harjoittavien toimijoiden, kemikaalien valmistuksen, tuotannon ja jakelun osalta sekä tietokoneiden, elektronisten ja optisten tuotteiden, sähkölaitteiden ja muiden koneiden ja laitteiden valmistuksen osalta.  

Sosiaali- ja terveysalan lupa- ja valvontavirasto olisi tässä laissa tarkoitettu valvova viranomainen terveyspalvelun tuottajien ja EU:n vertailulaboratorioiden osalta.  

Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus olisi tässä laissa tarkoitettu valvova viranomainen talous- ja jäteveden käsittelyn osalta sekä jätehuollon palveluiden osalta.  

Ruokavirasto olisi tässä laissa tarkoitettu valvova viranomainen elintarvikesektorin palveluiden tarjoamisen osalta.  

Lääkealan turvallisuus- ja kehittämiskeskus olisi tässä laissa tarkoitettu valvova viranomainen muiden lääkinnällisten laitteiden valmistajien paitsi kansanterveysuhan aikana kriittisten lääkinnällisten laitteiden valmistajien osalta. Lääkealan turvallisuus- ja kehittämiskeskus olisi tässä laissa tarkoitettu valvova viranomainen myös veripalveluiden, apteekkien sekä potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetun EU-direktiivin (2011/24/EU) mukaisten lääkkeiden ja lääkinnällisten laitteiden tarjoajien osalta. 

Pykälän 2 momentissa säädettäisiin valvovien viranomaisten velvollisuudesta tehdä yhteistyötä valvonnan toteuttamisessa. Yhteistyövelvoite konkretisoituisi erityisesti tilanteessa, jossa yksi toimija harjoittaisi toimintaa laaja-alaisesti usealla toimialalla siten, että toimijaan kohdistuisi 1 momentin nojalla useamman kuin yhden viranomaisen valvontatoimivalta. Valvovilta viranomaisilta edellytettäisiin tällöin yhteistyötä valvonnan toteuttamiseksi tavalla, joka säästää valvonnan kohteen ja valvovien viranomaisten resursseja. Valvovien viranomaisten tulisi esimerkiksi koordinoida kyseiseen toimijaan kohdistettavia valvontatoimenpiteitä ja hyödyntää toistensa tekemiä riskiarviointeja soveltuvin osin sekä pidättäytyä päällekkäisten valvontatoimenpiteiden toteuttamisesta erillisesti. Toimijaan ei tulisi kohdistaa saman asian vuoksi päällekkäisiä valvontatoimenpiteitä. Yhteistyövelvoite kattaisi myös valvovien viranomaisten välisen yhteistyön muissa kuin yksittäiseen toimijaan kohdistuvissa asioissa.  

27 §.Valvonnan kohdistaminen . Pykälässä säädettäisiin valvonnan kohdentamisesta, keskeisestä toimijasta ja valvovan viranomaisen tehtävien asettamisesta tärkeysjärjestykseen.  

Pykälän 1 momentin nojalla toimijoihin kohdistuva valvonta kohdistettaisiin keskeisiin toimijoihin NIS2-direktiivin vähimmäisvaatimuksen mukaisesti. Keskeisen toimijan määritelmä vastaisi NIS2-direktiivin 3 artiklaa. Valvova viranomainen voisi kuitenkin kohdistaa valvontaa myös muuhun kuin keskeiseen toimijaan, jos on perusteltu syy epäillä, että kyseinen toimija ei ole noudattanut tätä lakia, sen nojalla annettuja määräyksiä tai NIS 2 -direktiivin nojalla annettuja säädöksiä. Muulla kuin keskeisellä toimijalla tarkoitettaisiin toimijaa, joka ei ole keskeinen, eli NIS2-direktiivin 3 artiklassa tarkoitettua tärkeää toimijaa.  

NIS2-direktiivin vähimmäisvaatimuksen mukaisesti tämän lain, sen nojalla annettujen määräysten sekä NIS2-direktiivin nojalla annettujen säädösten ennakkovalvonta olisi kohdistettava keskeisiin toimijoihin. Keskeinen toimija määriteltäisiin NIS2-direktiivin keskeisen toimijan kriteereitä vastaavasti. Muulla kuin keskeisellä toimijalla viitattaisiin NIS2-direktiivin mukaisiin tärkeisiin toimijoihin, eli soveltamisalaan kuuluviin muihin kuin keskeisiin toimijoihin. NIS2-direktiivin 32 artiklan 1 kohdasta, 33 artiklan 1 kohdasta ja johdanto-osan perustelukappaleesta 122 ilmenee lähtökohta valvonnan jakamisesta keskeisten ja tärkeiden toimijoiden välillä ennakko- ja jälkivalvontaan. Keskeisiin toimijoihin olisi sovellettava ennakoivaa valvontaa ja tärkeisiin toimijoihin, eli muihin kuin keskeisiin toimijoihin, olisi sovellettava lähtökohtaisesti vain jälkikäteistä valvontaa silloin, jos on näyttöä, viitteitä tai tietoja, joiden mukaan tärkeä toimija ei noudata NIS2-direktiivin ja sitä täytäntöönpanevan sääntelyn velvoitteita.  

Keskeisten toimijoiden lisäksi valvova viranomainen voisi kohdistaa valvontaa muuhun toimijaan, jos on perusteltu syy epäillä, että kyseinen toimija ei ole noudattanut tätä lakia, sen nojalla annettuja määräyksiä tai NIS2-direktiivin nojalla annettuja säädöksiä. Näin ollen valvova viranomainen ei voisi kohdistaa valvontatoimenpiteitä muihin kuin keskeisiin toimijoihin ennakkovalvontana ilman perusteltua syytä epäillä lain noudattamattomuutta. Muulla kuin keskeisellä toimijalla tarkoitettaisiin niitä lain velvoitteiden soveltamisalaan kuuluvia toimijoita, jotka eivät olisi 2 momentissa säädetyllä perusteella keskeisiä, eli NIS2-direktiivin 3 artiklassa tarkoitettuja tärkeitä toimijoita. Perustellulla syyllä tarkoitettaisiin valvovan viranomaisen tietoon tulevaa näyttöä, viitteitä tai tietoja, joiden mukaan toimija ei väitetysti noudattaisi sille laissa säädettyjä velvoitteita erityisesti riskienhallinnan tai raportoinnin osalta. Perusteltu syy voisi olla esimerkiksi näyttöä, viitteitä tai tietoja, joiden perusteella viranomainen epäilee, että kyseinen toimija ei ole noudattanut tätä lakia, sen nojalla annettuja määräyksiä tai NIS2-direktiivin nojalla annettuja säädöksiä. Tällaista näyttöä, viitteitä tai tietoja voivat olla esimerkiksi muiden viranomaisten, toimijoiden, kansalaisten, tiedotusvälineiden tai muiden lähteiden toimittamat tai julkisesti saatavilla olevat tiedot tai valvovalle viranomaiselle tehty ilmianto, joka ei ole ilmeisen perusteeton. Perusteltu syy olisi käsillä myös silloin, jos toimijaan olisi kohdistunut merkittävä poikkeama. 

Pykälän 2 momentissa määriteltäisiin keskeiset toimijat NIS2-direktiivin 3 artiklan mukaisesti. Keskeisiä toimijoita olisivat liitteessä I tarkoitetut toimijat, jotka ylittävät komission suosituksen 2003/361/EY liitteessä olevan 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset. Suosituksen liitteessä olevan 3 artiklan 4 kohtaa ei sovelleta toimijan määrittelyssä. Keskeisiä toimijoita olisivat siten kokoperusteisesti suuret yritykset, joiden palveluksessa on vähintään 250 työntekijää taikka joiden vuotuinen liikevaihto on yli 50 miljoonaa euroa ja tase on yli 43 miljoonaa euroa. Jos toimijan palveluksessa on alle 250 työntekijää mutta sekä vuotuinen liikevaihto että tase ylittävät kyseiset raja-arvot, toimija ylittäisi keskisuuren toimijan määritelmän. Keskisuuren toimijan määritelmän ylittymisessä olisi huomioitava toimijan toiminnan laajuus kokonaisuudessaan, ei ainoastaan liitteessä I tarkoitetun toiminnan osalta, vastaavasti kuten toimijan määritelmän kynnysarvossa.  

Lisäksi keskeisiä toimijoita olisivat koosta riippumatta hyväksytyt luottamuspalvelun tarjoajat, aluetunnusrekisterien ylläpitäjät ja DNS-palveluntarjoajat. Lisäksi keskeisiä toimijoita olisivat 3 §:n 3 momentissa tarkoitetut toimijat.  

Keskeisiä toimijoita olisivat myös yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat, jotka täyttävät tai ylittävät komission suosituksen 2003/361/EY liitteessä olevan 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset. Suosituksen liitteessä olevan 3 artiklan 4 kohtaa ei sovelleta toimijan määrittelyssä. Keskeisiä toimijoita olisivat siten kokoperusteisesti näitä toimintoja harjoittavat yritykset, joiden palveluksessa on vähintään 50 työntekijää taikka joiden vuotuinen liikevaihto on yli 10 miljoonaa euroa ja tase on yli 10 miljoonaa euroa.  

Jos sama toimija harjoittaisi toimintaa useammalla lain liitteessä tarkoitetulla toimialalla ja toiminta olisi osin keskeisen toimijan määritelmän mukaista toimintaa sekä osin muuta toimintaa, toimijaa olisi pidettävä kokonaan keskeisenä toimijana.  

Pykälän 3 momentissa säädettäisiin valvovan viranomaisen oikeudesta asettaa laissa säädetyt tehtävät tärkeysjärjestykseen riskiperusteisesti. Valvottavien toimijoiden määrä, toimijoiden merkitys yhteiskunnan kriittisille toiminnoille sekä niihin kohdistuvien kyberturvallisuusriskien määrä vaihtelee merkittävästi toimialoittain. Olisi tarpeen, että valvova viranomainen voisi tarvittaessa asettaa tämän lain mukaiset valvontatehtävänsä tärkeysjärjestykseen riskiperusteisesti.  

Valvonnan, eli toimijoihin kohdistettavien valvontatoimenpiteiden laadun ja määrän tulisi olla suhteellista ja perustua kyberturvallisuusriskien arviointiin. Kyberturvallisuusriskien arvioinnissa olisi otettava huomioon toimijoihin kohdistuvien kyberturvallisuusriskien laatu ja määrä, mahdollisesta poikkeamasta aiheutuvat vaikutukset yhteiskunnalle, toimijoiden yleisen kyberturvallisuusmaturiteetin laatu, valvontaviranomaisten käytettävissä olevat resurssit sekä yhteistyö muiden viranomaisten kanssa. Viranomainen voisi toteuttaa riskiperusteisuutta esimerkiksi laatimalla valvontasuunnitelman, jossa se luokittelisi valvonnan kohteet erilaisiin riskiluokkiin ja määrittelisi niiden perusteella toimijoihin kohdistettavat valvontatoimenpiteet ja niiden tiheyden tai toimijoilta säännöllisesti pyydettävät tiedot ja niiden yksityiskohtaisuudelle asetettavat vaatimukset. Valvovilla viranomaisilla ei kuitenkaan olisi velvollisuutta laatia valvontasuunnitelmaa ja tehtävien asettamista tärkeysjärjestykseen voisi tehdä myös muilla tavoin. Valvonta ja tehtävien asettaminen tärkeysjärjestykseen toteutettaisiin NIS2-direktiivin 31 artiklan 1 ja 2 kohdan mukaisesti. 

Valvovan viranomaisen tulisi ottaa valvonnan kohdistamisessa ja täytäntöönpanotoimenpiteiden käyttämisestä päätettäessä huomioon ainakin liitteessä I tai II tarkoitetun toiminnan laatu ja laajuus, eli esimerkiksi se, kuinka merkittävä toimija on kyseisellä toimialalla ja millaisia vaikutuksia sen toiminnan häiriintymisellä olisi yhteiskunnassa. Lisäksi valvovan viranomaisen olisi yksittäisiä tietojärjestelmiä tai viestintäverkkoja koskevissa asioissa huomioitava kyseisen tietojärjestelmän tai viestintäverkon merkitys liitteessä I tai II tarkoitetulle toiminnalle. Lain tavoitteiden kannalta sellaisilla tietojärjestelmillä ja viestintäverkoilla, jotka ovat tämän lain liitteissä tarkoitetun toiminnan kannalta keskeisiä, olisi suurempi merkitys kuin sellaisilla tietojärjestelmillä ja viestintäverkoilla, joihin kohdistuva häiriö ei vaikuttaisi liitteissä tarkoitettuun toimintaan. Erityisesti tilanteissa, joissa valvottava toimija toimii useilla eri toimialoilla, joista vain osa on liitteessä I tai II tarkoitettua toimintaa, olisi toiminta kokonaisuudessaan sääntelyn piirissä, mutta valvontaa olisi syytä kohdistaa erityisesti liitteissä tarkoitettuun toimintaan ja sen kannalta merkityksellisiin tietojärjestelmiin ja viestintäverkkoihin ja niihin kohdistuvien riskien tai uhkien mahdollisiin vaikutuksiin liitteessä I tai II tarkoitetulle toiminnalle. Jos lain soveltamisalaan kuuluvan toimijan toiminnassa on esimerkiksi havaittu puutteita ja toimijan todetaan rikkoneen sille säädettyjä velvoitteita, olisi toimijaan kohdistettavia toimenpiteitä määritettäessä otettava huomioon NIS2-direktiivin 32 artiklan 7 kohdassa tarkoitetut eli jäljempänä lain 37 §:ssä säädetyt seikat, muun muassa rikkomisen vakavuus ja kesto, kyseisen toimijan aiemmat rikkomukset, rikkomuksen vaikutukset muihin palveluihin sekä aiheutunut vahinko ja toimenpiteet, joita toimija on toteuttanut vahingon ehkäisemiseksi tai lieventämiseksi. 

Pykälällä täytäntöönpantaisiin NIS2-direktiivin 3 artiklan 1-2 kohdat, 31 artiklan 1-2 kohdat, 32 artiklan 1 kohta ja 33 artiklan 1 kohta.  

28 §.Tiedonsaantioikeus . Pykälässä säädettäisiin valvovan viranomaisen tiedonsaantioikeudesta. Pykälässä säädettäisiin lisäksi oikeudesta luovuttaa tieto toiselle valvovalle viranomaiselle ja CSIRT-yksikölle.  

Pykälän 1 momentissa säädettäisiin valvovan viranomaisen oikeudesta saada salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä tässä laissa säädettyjen tehtäviensä suorittamiseksi toimijalta tarpeelliset tiedot, jotka koskevat kyberturvallisuuden riskienhallintaa toimijassa, riskienhallinnan toimintamallia, hallintatoimenpiteitä ja niiden toteutusta, sekä merkittävää poikkeamaa. Lisäksi valvovalla viranomaisella olisi oikeus saada muut edellä mainittuihin tietoihin liittyvät tiedot, jotka ovat välttämättömiä riskienhallintavelvoitteiden valvomista ja merkittävien poikkeamien ilmoittamisen ja raportoinnin valvomista varten.  

Tiedonsaantioikeuden käyttäminen olisi ensisijainen ja pääasiallinen toimijoihin kohdistuva valvovan viranomaisen toimenpide, jonka tarkoituksena on mahdollistaa riskienhallinta- ja raportointivelvoitteiden noudattamisen valvonta. Viranomaisella olisi oikeus saada pääsy kyberturvallisuuden riskienhallintaa ja riskiarviointeja koskeviin asiakirjoihin ja tietoihin sekä riskienhallinnan toimintamalliin. Lisäksi viranomaisella olisi oikeus saada tietoa hallintatoimenpiteiden toteuttamisesta ja kyberturvallisuusperiaatteiden täytäntöönpanosta, kuten mahdolliset turvallisuusauditointien tulokset ja niiden perustana oleva näyttö, toimijan itse tekemät riskiarvioinnit tai lokitiedot kyberuhkatapahtumista, jotka eivät sisällä 2 momentissa tarkoitettuja tietoja. Tiedonsaantioikeuden avulla viranomainen voisi esimerkiksi arvioida tietoja toimijassa käytettävästä riskienhallinnan toimintamallista sekä riskienhallinnan asianmukaisuudesta, kyberturvallisuutta koskevista koulutuksista ja niiden toteuttamisesta, havaintoja poikkeamista, kyberuhkista ja läheltä piti -tilanteista, tietoja tietoturvan toteutuksesta, poikkeamien hallinnan toteutuksesta sekä toiminnan ja palveluiden jatkuvuuden varmistamisesta. Edellytyksenä olisi, että tiedot olisivat tarpeen riskienhallintavelvoitteiden ja merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvomista varten. Lisäksi viranomaisella olisi oikeus saada muut tiedot, jotka ovat välttämättömiä riskienhallintavelvoitteiden valvomista ja merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvontaa varten.  

Kyberturvallisuuden riskienhallintavelvoitteesta säädettäisiin 7–9 §:ssä sekä eräiden toimijoiden osalta niistä voitaisiin säätää myös NIS2-direktiivin nojalla annetuissa komission täytäntöönpanoasetuksissa. Lisäksi kyberturvallisuuden riskienhallintavelvoitteiden sisältöä voitaisiin tarkentaa valvovien viranomaisten määräyksillä. Tiedonsaantioikeus koskisi lisäksi merkittävien poikkeamien ilmoittamisen ja raportoinnin valvontaa siten kuin siitä säädetään 11–14 §:ssä. Merkittävällä poikkeamalla tarkoitettaisiin 11 §:n 1 momentissa tarkoitettua merkittävää poikkeamaa. Lisäksi komission täytäntöönpanoasetuksella voitaisiin tarkentaa merkittävän poikkeaman kynnystä eräille toimijoille. 

Pykälän 2 momentissa säädettäisiin 1 momenttia täydentävä erityissäännös valvovan viranomaisen tiedonsaantioikeudesta välitystietojen, sijaintitietojen sekä sähköisten viestien osalta. Valvovalla viranomaisella olisi salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada tieto välitystiedosta, sijaintitiedosta tai haitallisen tietokoneohjelman tai käskyn sisältävästä sähköisestä viestistä, jos se olisi välttämätöntä kyberturvallisuuden riskienhallintavelvoitteiden noudattamisen valvomista varten tai merkittävän poikkeaman selvittämiseksi. Laissa säädetty erillinen ja täsmällinen tiedonsaantioikeus näitä tietoja koskien olisi tarpeen viestinnän luottamuksellisuuden suojan edellyttämistä syistä. Momentissa säädettäisiin viestinnän luottamuksellisuuden suojan turvaamiseksi myös erityisestä salassapitovelvoitteesta momentin nojalla saatuihin tietoihin. Salassapitovelvollisuus olisi tarpeen sen johdosta, että julkisuuslain salassapitoperusteet eivät riittävästi suojaa viestinnän luottamuksellisuuden alaan kuuluvien tietojen salassapitoa. Lisäksi tiedot tyypillisesti kuuluisivat tiedon luovuttajalla sähköisen viestinnän palveluista annetun lain 136 §:n 4 momentin mukaisen vaitiolovelvollisuuden alaan, jolloin olisi perusteltua, että salassapito jatkuisi myös viranomaisessa viestinnän luottamuksellisuuden turvaamiseksi. Salassapitovelvollisuus ei koskisi sellaisia tietoja haitallisesta tietokoneohjelmasta tai IP-osoitteesta, joihin ei kohdistu laissa säädettyä salassapitovelvollisuutta tai muuta tiedon luovuttamista koskevaa rajoitusta ja jotka toimija voisi muutoinkin luovuttaa salassapitosäännösten tai tiedon luovuttamista koskevien rajoitusten estämättä. Muiden kuin 2 momentissa tarkoitettujen erityisen salassapitovelvoitteen piirissä olevien tietojen salassapito määräytyisi julkisuuslain mukaan.  

Pykälän 3 momentin nojalla pyytäessään toimijalta säännöksen nojalla tietoja, valvovan viranomaisen olisi ilmoitettava pyynnön tarkoitus sekä täsmennettävä pyydetyt tiedot. Toimijan olisi luovutettava pyydetyt tiedot viipymättä, viranomaisen pyytämässä muodossa ja maksutta. Tietojen toimittamisesta ei saisi aiheutua toimijalle kohtuuttomia kustannuksia esimerkiksi pyydetyn muodon teknisistä ominaisuuksista johtuen. Milloin teknisistä syistä tietojen toimittaminen olisi mahdotonta, toimija voisi täyttää velvoitteen antamalla valvovalle viranomaiselle pääsyn tietoihin muulla tavalla.  

Jos tietopyyntö kohdistuisi sellaiseen osaan toimijan riskienhallinnasta, jonka toimija on ulkoistanut, toimija olisi velvollinen toimittamaan tiedon riippumatta siitä, onko tieto toimijan vai ulkoistetun tahon hallussa. Toimija olisi siten tarvittaessa velvollinen hankkimaan pyydetyt tiedot toimittajaltaan ja toimittamaan ne valvovalle viranomaiselle.  

Pykälän 4 momentin mukaan valvovalla viranomaisella olisi myös salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tehtäviensä yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toiselle valvovalle viranomaiselle ja CSIRT-yksikölle, jos se on niille säädettyjen tehtävien hoitamiseksi välttämätöntä. Salassa pidettävän tiedon, kuten tietojärjestelmien turvaamiseen liittyvät tiedon luovuttaminen toiselle valvovalle viranomaiselle voisi olla välttämätöntä esimerkiksi tilanteessa, jossa yhtä toimijaa valvoo useampi kuin yksi viranomainen, ja valvonnan tehokkaaksi tai tarkoituksenmukaiseksi järjestämiseksi olisi voitava vaihtaa toimijaa koskevia tietoja viranomaisten kesken. Salassa pidettävän tiedon luovuttaminen CSIRT-yksikölle voisi olla välttämätöntä esimerkiksi poikkeamatilanteiden selvittämiseksi tai valvottavan toimijan avustamiseksi poikkeaman käsittelyssä. Edellytyksenä on lisäksi, että tiedon saaminen on laissa säädetyn tehtävän hoitamiseksi välttämätöntä. Lisäksi tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella viranomaisten välillä ei saisi rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. Muusta kuin välttämättömästä tietojen pyytämisestä tai luovuttamisesta olisi pidättäydyttävä ja tarpeettomat tiedot poistettava.  

Pykälän 5 momentin nojalla valvovan viranomaisen tiedonsaantioikeus ei kuitenkaan ulottuisi CSIRT-yksikön tämän lain nojalla tuottamiin palveluihin tai tietoihin toimijassa. Valvovan viranomaisen tiedonsaantioikeus ei siten ulottuisi esimerkiksi sellaisiin CSIRT-yksikön tuottamiin palveluihin eikä niissä kertyneisiin tietoihin tai muihin tietoihin, joita toimijasta olisi kertynyt 20 §:n 1 momentin 2 kohdassa tarkoitetussa avustamisessa, tietoturvaloukkausten havainnointipalvelussa tai muussa CSIRT-yksikön toiminnassa CSIRT-yksikölle tai tietoturvaloukkausten havainnointipalvelua toteuttavalle palvelukeskukselle. Säännös olisi välttämätön erityissäännös CSIRT-yksikön luottamuksellisen aseman turvaamiseksi ja sen toimijoille antaman tuen mahdollistamiseksi.  

Pykälän 6 momentissa säädettäisiin julkisen hallinnon tiedonhallinnasta annetun lain 18 i §:ksi ehdotettua 3 momenttia vastaavasta valvovan viranomaisen tiedonsaantioikeuden rajoituksista. Säännöksen mukaan pykälässä säädetty tiedonsaantioikeus ei velvoittaisi luovuttamaan valvovalle viranomaiselle salassa pidettäviä tietoja turvallisuusverkkolaissa tarkoitetusta turvallisuusverkon palvelutuotannosta tai palvelujen käytöstä eikä tietoja, joiden luovuttaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta taikka olisi vastoin niihin liittyvää tärkeää etua.  

Säännös olisi merkityksellinen erityisesti tilanteessa, jossa pykälässä säädetty tiedonsaantioikeus kohdistuisi toiseen viranomaiseen. Säännöksen estämättä viranomainen voisi kuitenkin (vapaaehtoisesti ja harkintansa mukaan) luovuttaa julkisuuslain julkisuus- tai salassapito-olettaman sisältävän salassapitosäännöksen osoittamissa rajoissa valvovalle viranomaiselle tietoja myös turvallisuusverkon palvelutuotannosta ja palvelujen käytöstä sekä maanpuolustukseen ja kansalliseen turvallisuuteen liittyviä tietoja, jotka ovat yleisöltä salassa pidettäviä. Vaikka mainitut tiedot on lähtökohtaisesti rajattu valvovan viranomaisen tiedonsaantioikeuden ulkopuolelle, niitä voitaisiin viranomaisen harkinnan mukaan, kuten tähänkin asti, luovuttaa julkisuuslaissa sallitulla tavalla. Tämä mahdollisuus voisi tulla sovellettavaksi esimerkiksi silloin kun viranomainen haluaisi vapaaehtoisesti ilmoittaa kyberuhkasta tai poikkeamasta. Julkisuuslaki mahdollistaa yleisöltä salassa pidettävän asiakirjan luovuttamisen (yleensä toiselle viranomaiselle), jos salassapitosäännös sisältää vahinkoedellytyslausekkeen eikä salassapitosäännöksen suojaama intressi vaarannu tietoa luovutettaessa. Tällöin asiakirjaan merkitään salassa pitoa ja mahdollista turvallisuusluokkaa koskeva tieto sen osoittamiseksi, minkälaisia tietoturvallisuustoimenpiteitä asiakirjaa käsiteltäessä noudatetaan. Samalla merkinnällä osoitetaan merkitsijän käsitys siitä, että asiakirja on salassa pidettävä. Tietojen luovuttamisella ei saa vaarantaa niitä etuja, joita salassapitosäännöksellä tai -säännöksillä suojataan. Tietojen luovuttamisessa on otettava huomioon myös turvallisuusluokiteltua tietoa koskeva lähtökohta, jonka mukaan turvallisuusluokitellun asiakirjan antamisesta päättää asiakirjan laatinut viranomainen (julkisuuslaki 15 § 3 mom). Näin ollen, jos viranomainen olisi luovuttamassa Liikenne- ja viestintävirastolle sen tiedonsaantioikeuden ulkopuolelle jäävää asiakirjaa, jonka toinen viranomainen on turvallisuusluokitellut tai jonka käsiteltäväksi asiakirjan sisältämän tiedon luonteen arviointi kokonaisuudessaan kuuluu, asiakirjan tai tiedon antamisesta päättäisi luokittelun tehnyt viranomainen tai se viranomainen, jonka arvioitavaksi asia kokonaisuudessaan kuuluu.  

Erityisesti pykälän 3 momentin mukaisia tietoja luovutettaessa on syytä harkita tietojen edelleen luovuttamisen rajoittamista, mikäli tiedon edelleen luovuttaminen vaarantaisi Suomen keskeisiä turvallisuusetuja. Tässä yhteydessä olisi arvioitava myös, onko mahdollista luovuttaa jotain uhkaan tai poikkeamaan yleisellä tasolla liittyvää tietoa siten, että Suomen keskeiset turvallisuusedut eivät vaarannu. NIS 2 –direktiivissä ei edellytetä ehdotetussa 3 momentissa tarkoitettujen tietojen luovuttamista esimerkiksi EU:n toimielimille, erillisvirastoille, yhteistyöelimille taikka muille viranomaisille. Erityisesti turvallisuusluokitellun salassa pidettävän tiedon kohdalla korostuu sen viranomaisen arvio, jolla on edellytykset arvioida tiedon luonnetta suhteessa salassapitosäännöksellä suojattuun etuun. 

Pykälällä täytäntöönpantaisiin NIS2-direktiivin artiklan 32 kohdan 2 ensimmäisen alakohdan e-g alakohdat ja osin d alakohta, artiklan 32 kohta 3 sekä artiklan 33 kohdan 2 ensimmäisen alakohdan c-f alakohdat ja kohta 3. 

29 §.Tarkastusoikeus . Pykälässä säädettäisiin valvovan viranomaisen tarkastusoikeudesta. Pykälällä pantaisiin täytäntöön NIS2-direktiivin 32 artiklan 2 kohdan a ja osin d alakohta ja 33 artiklan 2 kohdan a ja osin c alakohta sekä 32 artiklan 4 kohdan g alakohdat.  

Pykälän 1 momentin nojalla valvovalla viranomaisella olisi oikeus tehdä toimijaa koskeva tarkastus laissa tai sen nojalla annetussa määräyksessä taikka NIS2-direktiivin nojalla annetussa säädöksessä asetettujen velvoitteiden noudattamisen valvomiseksi siinä laajuudessa kuin se on tarpeen. Tarkastus voitaisiin tehdä toimijan tiloissa tai tietojärjestelmässä. Tietojärjestelmässä tehtävä tarkastus voisi olla esimerkiksi teknisten riskienhallintakeinojen havainnointia taikka tietokantojen, laitteistojen, palomuurien, salauksen ja verkkojen heikkouksien tunnistamista. Toimijan tiloissa tapahtuva tarkastus voisi kohdistua esimerkiksi pääsynhallintaan ja tilaturvallisuutta koskeviin seikkoihin. Muuta toimijan tiloissa toteutettavaa tarkastusta voisi olla myös kirjallisen aineiston perusteella tapahtuva tarkastaminen, kuten toimijan laatimien toimintakäsikirjojen, ohjeiden, prosessikuvausten, koulutuskirjanpidon, ulkopuolisen tarkastuksen tulosten tai muun relevantin aineiston tarkastaminen ja vaatimustenmukaisuuden arviointi.  

Valvovalla viranomaisella olisi riskiarviointinsa perusteella ja valvonnan kohdentamisessa huomioon otettavat seikat huomioiden oikeus määritellä, kuinka tarkastuksia toimijoihin kohdistettaisiin. Tarkastuksessa voisi olla kyse satunnaistarkastuksesta, tarkastuksesta merkittävän poikkeaman jälkeen tai riskiarviointiin perustuvista säännöllisistä tarkastuksista yhteiskunnan toiminnan kannalta kriittisimmille toimijoille. Tarkastustoimivaltuudella katettaisiin myös NIS2-direktiivin 32 artiklan 4 kohdan g alakohdassa tarkoitettu valvonta siitä, että toimija noudattaa riskienhallinta- ja raportointivelvoitteita. Tarkastus voisi kohdistua joko toimijaan kokonaisvaltaisesti tai kohdennetusti riskienhallinnan tai toimijan osa-alueeseen.  

Pykälän 2 momentissa säädettäisiin valvovan viranomaisen mahdollisuudesta päätöksellä pyytää tarkastuksen suorittajaksi toinen viranomainen tai käyttää tarkastuksessa apuna muita asiantuntijoita, jos se on tarkastuksen laadun tai siihen liittyvien teknisten syiden vuoksi tarpeen. Muiden viranomaisten tai ulkopuolisten asiantuntijoiden käyttäminen voisi olla tarpeen esimerkiksi tilanteessa, jossa tarkastus edellyttäisi sellaista teknistä erityisosaamista tai laajoja teknologisia kyvykkyyksiä, mitä valvovalla viranomaisella ei itsellään olisi. Valvova viranomainen voisi pyytää tarkastuksen suorittajaksi vain toisen valvovan viranomaisen. Toisella valvovalla viranomaisella ei kuitenkaan olisi velvollisuutta antaa virka-apua tähän tarkoitukseen, vaan kyse olisi hallintolain 10 §:ssä tarkoitetusta viranomaisten yhteistyöstä. Lisäksi valvova viranomainen voisi käyttää tarkastuksessa apuna toista valvovaa viranomaista, tietoturvallisuuden arviointilaitosta tai ulkopuolista tietotekniikan asiantuntijaa. Valvova viranomainen ei kuitenkaan voisi siirtää tarkastustehtävää kokonaisuudessaan tietoturvallisuuden arviointilaitoksen tai ulkopuolisen asiantuntijan suoritettavaksi.  

Tarkastuksen suorittajalla ja siihen osallistuvalla olisi oltava sellainen koulutus ja kokemus, kuin tarkastuksen suorittamiseksi on tarpeen. Viranomainen voisi tietoturvallisuuden arviointilaitokselle tai ulkopuoliselle asiantuntijalle osoitetussa toimeksiannossa määritellä, millaista pätevyyttä arviointilaitokselta tai asiantuntijalta edellytetään ja mitä kriteeristöä arviointilaitoksen tai asiantuntijan tulee käyttää. Tarkastuksen kohdistuessa yhteiskunnan toiminnan kannalta kriittiseen infrastruktuuriin olisi harkittava turvallisuusselvityslaissa tarkoitetun henkilöturvallisuusselvityksen edellyttämistä tarkastuksen suorittajalta tai siihen osallistuvalta. Tietoturvallisuuden arviointilaitoksen tai muun ulkopuolisen asiantuntijan käyttämisessä olisi kyse tältä osin julkisen hallintotehtävän siirtämisestä yksityiselle ja tehtävää suorittavaan asiantuntijaan tulisi soveltaa rikoslain virkavastuuta koskevia säännöksiä. Tarkastuksesta aiheutuvasta kustannuksesta vastaisi tarkastuksen suorittamisesta päättänyt valvova viranomainen. 

Pykälän 3 momentissa säädettäisiin tarkastusta suorittavan tiedonsaantioikeudesta ja oikeudesta päästä tarkastuksen edellyttämässä laajuudessa tarkastuksen kohteena olevaan viestintäverkkoon tai tietojärjestelmään ja tiloihin. Toimijan olisi päästettävä tarkastaja tarkastusta varten tarpeellisiin tiloihin. Tarkastuksen kannalta tarpeelliset tilat riippuvat toiminnan laadusta, ja ne voisivat olla esimerkiksi toimijan toimitiloja, tuotantolaitosten tiloja ja infrastruktuuria, taikka etenkin liikennesektorilla kulkuvälineitä. Tarkastusta ei saisi suorittaa pysyväisluonteiseen asumiseen tarkoitetuissa tiloissa. Tarkastaja voisi tarkastaa yrityksen toimitilojen, tietojärjestelmien ja tietoliikennejärjestelyjen suojaamiseksi toteutetut sekä muut turvallisuusjärjestelyt. Tarkastusta suorittavalla olisi oikeus saada tutkittavakseen valvontatehtävän kannalta välttämättömät tiedot, asiakirjat, laitteet ja ohjelmistot, suorittaa tarvittavia testejä ja mittauksia sekä tarkastaa toimijan toteuttamat turvallisuusjärjestelyt. Tarkastajan olisi voitava suorittaa tarvittavia testejä ja mittauksia, kuten tunkeutumis- tai kuormitustestauksia osana tarkastusta.  

Pykälän 4 momentti olisi aineellinen viittaus hallintolakiin sen tarkastusta koskevan säännöksen soveltumisesta myös pykälässä tarkoitetussa.  

30 §. Turvallisuusauditointi. Pykälän 1 momentissa säädettäisiin valvovan viranomaisen oikeudesta päätöksellä velvoittaa toimija teettämään kyberturvallisuuden riskienhallintaan kohdistuva turvallisuusauditointi. Teettämisvelvoite tarkoittaisi toimijalle velvoitetta omalla kustannuksellaan teettää velvoitteen mukainen turvallisuusauditointi. Edellytyksenä olisi, että toimijaan olisi kohdistunut merkittävä poikkeama, joka on aiheuttanut palvelujen vakavan toimintahäiriön tai huomattavaa aineellista tai aineetonta vahinkoa, tai että toimijan olisi havaittu olennaisesti ja vakavasti laiminlyöneen toteuttaa kyberturvallisuuden riskienhallintaa taikka muutoin toimineen olennaisesti ja vakavasti laissa tai sen nojalla taikka NIS 2 –direktiivin nojalla säädetyn velvoitteen vastaisesti. Turvallisuusauditointivelvoitteen asettaminen voisi tulla kyseeseen vain, mikäli sen tavoitetta ei olisi lievemmällä keinoin saavutettavissa.  

Pykälän 2 momentissa säädettäisiin valvovan viranomaisen oikeudesta saada tieto teetetyn turvallisuusauditoinnin tuloksesta. Momentissa säädettäisiin myös valvovan viranomaisen oikeudesta päätöksellä velvoittaa toimija toteuttamaan turvallisuusauditoinnin suosittelemat kohtuulliset ja oikeasuhtaiset toimenpiteet kyberturvallisuuden riskienhallinnan kehittämiseksi.  

Pykälällä täytäntöönpantaisiin NIS2-direktiivin 32 artiklan 2 kohdan ensimmäisen alakohdan b alakohta osin, c alakohta, toinen alakohta osin ja kolmas alakohta sekä neljännen alakohdan f alakohta. Pykälällä täytäntöönpantaisiin myös NIS2-direktiivin 33 artiklan 2 kohdan ensimmäisen alakohdan b alakohta, 2 kohdan toinen ja kolmas alakohta ja 4 kohdan f alakohta.  

31 §.Valvontapäätös ja varoitus . Pykälän 1 momentissa säädettäisiin valvovan viranomaisen toimivallasta antaa toimijalle velvoittava päätös lain, sen nojalla annetun määräyksen tai NIS2-direktiivin nojalla annetun säädöksen vastaisen toiminnan korjaamiseksi. Valvova viranomainen voisi päätöksellä velvoittaa toimijan määräajassa korjaamaan puutteet velvoitteiden noudattamisessa, jos valvonnassa havaittaisiin virheitä, laiminlyöntejä tai muita puutteita tässä laissa, sen nojalla annetuissa määräyksissä tai NIS2-direktiivin nojalla annetuissa säädöksissä säädettyjen velvoitteiden noudattamisessa. Valvova viranomainen voisi esimerkiksi velvoittaa toimijan korjaamaan havaitut puutteet tai laiminlyönnit, lopettamaan sääntelyn vastainen toiminta ja pidättäytymään tästä toiminnasta vastaisuudessa sekä määrätä toimija täyttämään raportointivelvoitteensa määrätyllä tavalla ja määrätyn ajan kuluessa. Valvova viranomainen voisi myös velvoittaa keskeisen toimijan julkistamaan kyseiset puutteet tai muut seikat, jotka liittyvät tämän lain, sen nojalla annettujen määräysten tai NIS2-direktiivin nojalla annettujen säädösten rikkomiseen. Tietojen julkistamista koskeva määräys ei kuitenkaan saisi aiheuttaa toimijan turvallisuusjärjestelyille lisähaittaa, vaan julkaistavat tiedot olisi rajattava siten, että ne eivät vaaranna toimijan kriittisiä turvallisuusjärjestelyjä. Tietojen julkistamista koskevassa päätöksessä olisi tarkennettava, millä tavalla toimijan tulisi julkistaa kyseiset tiedot. Tietojen julkistaminen voisi tapahtua esimerkiksi tiedottamalla asiasta toimijan verkkosivuilla tai muissa viestintäkanavissa.  

Pykälän 2 momentissa säädettäisiin varoituksen antamisesta. Valvova viranomainen voisi antaa keskeiselle toimijalle varoituksen, jos kyseinen toimija ei ole noudattanut tätä lakia, sen nojalla annettuja määräyksiä tai NIS 2 –direktiivin nojalla annettuja säädöksiä. Varoitus voitaisiin antaa, ellei asia kokonaisuutena arvioiden antaisi aihetta ankarampiin toimenpiteisiin. Kyse olisi siten lähtökohtaisesti vähäisistä rikkomuksista. Valvova viranomainen antaisi varoituksen toimijalle. Varoituksen julkisuus valvovassa viranomaisessa määräytyisi julkisuuslain mukaan. Varoitus olisi seuraamus, joka voisi liittyä korjausvelvoitepäätökseen, mutta myös sellaiseen päätökseen, jolla päätetään valvontaprosessi ilman korjausvelvoitteita.  

Pykälällä täytäntöönpantaisiin NIS2-direktiivin 32 artiklan 4 kohdan a-e ja h alakohdat ja 33 artiklan 4 kohdan a-g alakohdat sekä 21 artiklan 4 kohta.  

32 §.Johdon toiminnan rajoittaminen. Pykälässä säädettäisiin valvovan viranomaisen toimivaltuudesta rajoittaa keskeisen toimijan johdossa toimivien henkilöiden toimintaa, jos nämä toistuvasti ja vakavasti rikkovat ehdotetussa 10 §:ssä säädettyjä velvollisuuksiaan. Kyse olisi yksittäiselle henkilölle määrättävästä määräaikaisesta kiellosta toimia kyseisen yhtiön ylimmissä johtotehtävissä. Kiellon perusteena olisi toistuva ja vakava 10 §:ssä säädetyn velvoitteen rikkominen, mikä ilmenee toimijan puutteena tai laiminlyöntinä lain noudattamisessa. Kielto voisi kohdistua 10 §:ssä tarkoitettuihin henkilöihin, joita olisivat hallituksen jäsenet ja varajäsenet, hallintoneuvoston jäsenet ja varajäsenet sekä toimitusjohtaja tai muu siihen rinnastettava tehtävä. Kiellon määräämisen tulisi olla poikkeuksellinen ja viimesijainen toimenpide lainvastaiseen toimintaan puuttumiseksi. Ennen kiellon määräämistä valvovan viranomaisen olisi annettava toimijalle varoitus, jossa yksilöidään puute tai laiminlyönti, jonka korjaamatta jättäminen voi johtaa päätökseen johdon toiminnan rajoittamisesta. Lisäksi valvovan viranomaisen olisi varattava kohtuullinen määräaika lain vastaisen toiminnan korjaamiseksi ennen päätöstä johdon toiminnan rajoittamisesta. Kiellon edellytyksenä oleva rikkomusten toistuvuus ja vakavuus, mikä edellyttäisi sitä, että toimijalle olisi jo aiemmin määrätty rikkomuksesta tai laiminlyönnistä hallinnollinen seuraamus tai valvova viranomainen olisi muuten puuttunut toimijan lainvastaiseen tai puutteelliseen toimintaan. Kyse olisi näin ollen viimesijaisesta keinosta estää lainvastainen menettely toimijassa. Valvovan viranomaisen olisi kussakin yksittäistapauksessa arvioitava, onko toimintakielto tarkoituksenmukaisin valvontatoimenpide.  

Johdon toiminnan rajoittamista koskeva päätös olisi aina määräaikainen. Päätös voisi olla voimassa enintään niin kauan, kuin sen perusteena oleva lainvastainen toiminta eli puute tai laiminlyönti toimijaan kohdistuvien velvoitteiden noudattamisessa on korjaamatta. Johdon toiminnan rajoittamista koskeva päätös voisi olla voimassa kuitenkin enintään viisi vuotta. 

Johdon toiminnan rajoittaminen ehdotetun pykälän nojalla ei kuitenkaan olisi mahdollista, jos keskeinen toimija on yksityinen elinkeinonharjoittaja, henkilöyhtiö tai julkishallinnon toimija. Rajauksella käytettäisiin NIS2-direktiivin 32 artiklan 5 kohdan 3 alakohdan mukaista kansallista liikkumavaraa. Lain soveltamisalassa ei mainita julkishallinnon toimijoita, eivätkä nämä toimijat pääsääntöisesti kuuluisi lain soveltamisalaan, mutta eräissä tilanteissa on mahdollista, että laki soveltuisi myös julkishallinnon toimijaan. Myös julkishallinnon toimija voisi kuulua lain soveltamisalaan, mikäli tämä harjoittaa lain liitteissä tarkoitettua toimintaa. Esimerkiksi hyvinvointialueet ja –yhtymät sekä kunnat ja kuntayhtymät voisivat kuulua lain soveltamisalaan harjoittamansa terveyspalvelun tai vesi- ja jätehuollon palvelun myötä. Johdon toiminnan rajoittaminen ei olisi mahdollista, jos kyse olisi esimerkiksi terveyspalvelua tarjoavasta hyvinvointialueesta tai –yhtymästä taikka vesi- tai jätehuoltopalvelua tarjoavasta kunnallisesta viranomaisesta. Kunnallisella viranomaisella tarkoitettaisiin kunnan tai kuntayhtymän toimielimiä, kunnan liikelaitosta sekä kunnan taseyksikköä. Rajoitus koskisi kuitenkin vain julkishallinnon toimijoita, eli esimerkiksi vesihuoltopalvelua tarjoavan, kunnan omistaman osakeyhtiön johdon toimintaa voisi rajoittaa samalla tavalla, kuin muidenkin lain soveltamisalaan kuuluvien osakeyhtiöiden osalta. Pykälällä täytäntöönpantaisiin NIS2-direktiivin 32 artiklan 5 kohdan b alakohta. Toimivaltaa voisi soveltaa vain keskeiseen toimijaan, sillä NIS2-direktiivi ei edellytä vastaavaa valvontatoimivaltaa muuhun kuin keskeiseen toimijaan kohdistuen. 

33 §. Ilmoitus tietosuojavaltuutetulle. NIS2-direktiivi ei rajoita yleisen tietosuoja-asetuksen soveltamista. Valvovan viranomaisen olisikin ilmoitettava tietosuojavaltuutetulle, jos se valvonnan tai täytäntöönpanon yhteydessä havaitsee sellaisen laiminlyönnin, joka voisi johtaa tai on jo johtanut sellaiseen henkilötietojen tietoturvaloukkaukseen, josta on ilmoitettava tietosuojavaltuutetulle yleisen tietosuoja-asetuksen nojalla.  

Yleisen tietosuoja-asetuksen 33 artiklan mukaista ilmoitusvelvollisuutta ei sovelleta yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamisen yhteydessä tapahtuneisiin henkilötietojen tietoturvaloukkauksiin, koska sen sijasta sovelletaan erityislainsäädäntöä (Tietosuojaneuvoston lausunto 5/2019 sähköisen viestinnän tietosuojadirektiivin ja yleisen tietosuoja-asetuksen vuorovaikutuksesta erityisesti tietosuojaviranomaisten toimivallan, tehtävien ja valtuuksien osalta, k. 44). Yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat ilmoittavat palveluun kohdistuvista tietoturvaloukkauksista Liikenne- ja viestintävirastolle sähköisen viestinnän palveluista annetun lain 275 §:n ja henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY mukaisten henkilötietojen tietoturvaloukkausten ilmoittamiseen sovellettavista toimenpiteistä annetun komission asetuksen 611/2013 mukaisesti. Näin ollen pykälässä säädetty velvollisuus ei kuitenkaan koskisi Liikenne- ja viestintäviraston tietoon tulleita teletoimintaa koskevia henkilötietojen tietoturvaloukkauksia, jotka se käsittelisi sähköisen viestinnän tietosuojadirektiivin mukaisena toimivaltaisena viranomaisena.  

Pykälällä täytäntöönpantaisiin NIS2-direktiivin 35 artiklan 1 ja 3 kohdat. 

34 §. Uhkasakko, teettämisuhka ja keskeyttämisuhka. Pykälässä säädettäisiin valvovan viranomaisen mahdollisuudesta asettaa antamansa päätöksen tehosteeksi uhkasakko, teettämisuhka tai keskeyttämisuhka. Hallinnollisen tehosteen asettamisesta ja täytäntöönpanosta säädetään uhkasakkolaissa.  

35 §.Hallinnollinen seuraamusmaksu . Pykälässä säädettäisiin hallinnollisesta seuraamusmaksusta. Seuraamusmaksu olisi lain rikkomisesta määrättävä hallinnollinen sanktio, jonka määräämisessä noudatettaisiin hallintolain säännöksiä hallintoasian käsittelystä. Seuraamusmaksun määräisi sektorikohtaisista valvovista viranomaisista koostuva seuraamusmaksulautakunta. Pykälällä pantaisiin täytäntöön NIS2-direktiivin 34 artikla muiden 5 luvun säännösten kanssa. NIS2-direktiivin 34 artiklan 4 ja 5 kohdat edellyttävät, että toimijoille voidaan määrätä enimmäismäärältään vähintään 38 §:n mukainen seuraamusmaksu direktiivin 21 artiklassa tarkoitetun riskienhallintavelvoitteen tai 23 artiklassa tarkoitetun raportointivelvoitteen rikkomisesta. Jäsenvaltio voi kansallisen liikkumavaran piirissä säätää seuraamusmaksun perusteeksi myös muita tekoja tai seuraamusmaksun korkeammasta enimmäismäärästä.  

Pykälän 1 momentissa määriteltäisiin teot, joista hallinnollinen seuraamusmaksu voitaisiin määrätä toimijalle. Seuraamusmaksu voitaisiin määrätä riskienhallintavelvoitteen laiminlyönnistä, riskienhallintatoimenpiteiden toteuttamisen laiminlyönnistä, velvoittavien poikkeamailmoitusten ja -raporttien tekemisen laiminlyönnistä tai toimijaluetteloon ilmoittautumisen laiminlyönnistä.  

Pykälän 2 momentissa säädettäisiin, ettei hallinnollista seuraamusmaksua voitaisi määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelisluterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. Momentilla käytettäisiin NIS2-direktiivin 34 artiklan 7 kohdan mukaista kansallista liikkumavaraa siitä, ettei julkishallinnon toimijoille määrätä direktiivin edellyttämiä hallinnollisia sanktioita.  

NIS 2 –direktiivin mukaisista velvoitteista julkishallinnolle säädettäisiin tiedonhallintalaissa eivätkä julkishallinnon toimijat pääsääntöisesti kuuluisi lain soveltamisalaan. Eräissä tilanteissa on mahdollista, että laki soveltuisi myös julkishallinnon toimijaan. Myös julkishallinnon toimija voisi kuulua lain soveltamisalaan, mikäli tämä harjoittaa lain liitteissä tarkoitettua toimintaa. Esimerkiksi hyvinvointialueet ja –yhtymät sekä kunnat ja kuntayhtymät voisivat kuulua lain soveltamisalaan harjoittamansa terveyspalvelun tai vesi- ja jätehuollon palvelun myötä. Hallinnollista seuraamusmaksua ei kuitenkaan voisi määrätä, lain soveltamisalaan kuuluvalle keskeiselle toimijalle, jos tämä on esimerkiksi terveyspalvelua tarjoava hyvinvointialue tai –yhtymä taikka vesi- tai jätehuoltopalvelua tarjoava kunnallinen viranomainen. Kunnallisella viranomaisella tarkoitettaisiin kunnan tai kuntayhtymän toimielimiä, kunnan liikelaitosta sekä kunnan taseyksikköä. Rajoitus koskisi kuitenkin vain julkishallinnon toimijoita, eli esimerkiksi vesihuoltopalvelua tarjoavan, kunnan omistamalle osakeyhtiölle hallinnollisen seuraamusmaksun voisi määrätä samalla tavalla, kuin muillekin lain soveltamisalaan kuuluville osakeyhtiöille. 

Momentin tarkoituksena olisi rajata selkeästi seuraamusmaksun ulkopuolelle momentissa tarkoitetut julkisoikeudelliset toimijat. Mikäli momentissa tarkoitettuun julkisoikeudelliseen toimijaan sovellettaisiin muilta osin kyberturvallisuuslakia, sille ei kuitenkaan voitaisi määrätä pykälässä tarkoitettua seuraamusmaksua. Viranomaiseen kohdistettava hallinnollinen seuraamusmaksu ei aiheuta samanlaista vaikutusta kuin yksityisellä sektorilla, koska viranomaisen toiminta on budjettisidonnaista, ja viranomaisen on kaikissa tehtävissä hoidettava lakisääteiset tehtävänsä ja noudatettava lakia. Viranomaisia sitoo hallinnon lainmukaisuusperiaate ja viranomaisten on noudatettava hallinnon yleislakeja. Virkamiehen asemaan kuuluu myös virkavastuu työssä tehdyistä virheistä ja viranomaisen toiminnasta voidaan tehdä myös hallintokantelu ylemmälle viranomaiselle. 

36 §.Seuraamusmaksulautakunta . Pykälässä säädettäisiin seuraamusmaksulautakunnasta, joka määräisi hallinnollisen seuraamusmaksun. Seuraamusmaksulautakunta olisi uusi elin, joka koostuisi valvovien viranomaisten nimeämistä jäsenistä. Seuraamusmaksulautakunta ei olisi päätoiminen, vaan se kokoontuisi tarvittaessa seuraamusmaksun määräämistä koskevan asian käsittelemiseksi. Seuraamusmaksu määrättäisiin sektorikohtaisen valvovan viranomaisen esityksestä.  

Pykälän 1 momentissa säädettäisiin siitä, että Liikenne- ja viestintäviraston yhteydessä toimii seuraamusmaksulautakunta, joka määrää hallinnollisen seuraamusmaksun valvovan viranomaisen esityksestä. Valvova viranomainen voisi esittää seuraamusmaksulautakunnalle hallinnollisen seuraamusmaksun määräämistä, jos se havaitsisi valvontatoiminnassa lain vastaista menettelyä. Valvovan viranomaisen tehtävänä olisi huolehtia asian riittävästä selvittämisestä valvontatoiminnassa siten, että esitys seuraamusmaksun määräämisestä voidaan tehdä liittäen esitykseen selvityksen sen perusteena olevasta rikkomuksesta tai laiminlyönnistä. Hallinnollinen seuraamusmaksu määrättäisiin maksettavaksi valtiolle.  

Pykälän 2 momentissa säädettäisiin seuraamusmaksulautakunnan kokoonpanosta. Lautakunta koostuisi kunkin valvovan viranomaisen nimeämästä jäsenestä ja varajäsenestä. Liikenne- ja viestintävirasto nimeäisi lautakunnan puheenjohtajan ja varapuheenjohtajan. Seuraamusmaksulautakunnan jäsenen ja varajäsenen yleisenä kelpoisuusehtona olisi perehtyneisyys kyberturvallisuuden riskienhallintaan sekä NIS2-direktiivin ja sitä täytäntöönpanevan lainsäädännön asettamiin velvoitteisiin kyseisen valvovan viranomaisen valvontatoimialalla. Lautakunnan puheenjohtajalta ja varapuheenjohtajalta edellytettäisiin tehtävän edellyttämää riittävää oikeudellista asiantuntemusta. Lautakunta nimettäisiin kolmen vuoden määräajaksi. Lautakunnan jäsen toimisi tehtävässään riippumattomasti ja puolueettomasti. Lautakunnan tehtävä olisi jäsenelle tai varajäsenelle sivutoiminen.  

Pykälän 3 momentissa säädettäisiin seuraamusmaksulautakunnan päätöksenteosta. Päätös tehtäisiin esittelystä. Käsiteltävänä olevasta asiasta riippuen esittelijä tulisi valvovasta viranomaisesta. Esittelijänä toimisi virkamies siitä valvovasta viranomaisesta, jonka valvottavana olevaan toimijatyyppiin kohdistuva asia olisi ratkaistavana. Päätökseksi tulisi se kanta, jota enemmistö on kannattanut. Äänten mennessä tasan päätökseksi tulisi se kanta, joka on lievempi sille, johon seuraamus kohdistuu.  

Pykälän 4 momentissa säädettäisiin seuraamusmaksulautakunnan tietojensaantioikeudesta. Lautakunnalla olisi oikeus saada salassapitosäännösten estämättä maksutta seuraamusmaksun määräämiseksi välttämättömät tiedot. Seuraamusmaksun määräämiseksi välttämättömiä tietoja voisivat tapauskohtaisesti esimerkiksi riskienhallintaa ja –raportointia koskevat tiedot, jotka valvovalla viranomaisella olisi oikeus saada 28 §:n nojalla, sekä muut tiedot, jotka olisivat välttämättömiä seuraamusmaksun perusteen ja määrän arvioimiseksi. Jäljempänä 37 §:ssä säädettäisiin seuraamusmaksun määrää koskevassa kokonaisarvioinnissa huomioon otettavista tiedoista. Lautakunnalla olisi voitava hankkia tieto seuraamusmaksun määräämistä koskevaan asiaan vaikuttavista seikoista seuraamusmaksun määräämiseksi tai määräämättä jättämiseksi.  

37 §.Seuraamusmaksun määrääminen . Pykälässä säädettäisiin seikoista, jotka olisi otettava huomioon hallinnollisen seuraamusmaksun määräämisessä. Hallinnollisen seuraamusmaksun määrä perustuisi kokonaisarviointiin, jossa olisi huomioitava tapauksen olosuhteet sekä säännöksessä kuvatut seikat. Huomioitavat seikat vastaisivat NIS2-direktiivin 32 artiklan 7 kohdassa säädettyjä seikkoja, jotka sen 34 artiklan 3 kohta edellyttää vähintään otettavan huomioon seuraamusmaksua määrättäessä.  

Harkitessa seuraamusmaksun suuruutta tulisi varmistaa, että sanktio ja sen määrä ovat oikeassa suhteessa tekoon tai laiminlyöntiin ja siitä aiheutuvan riskin vakavuuteen ja toteutumisen todennäköisyyteen nähden. Kokonaisarvioinnissa olisi otettava huomioon siten rikkomuksen tai laiminlyönnin laatu ja laajuus, moitittavuuden aste, kesto ja toimijan pyrkimykset toimia oma-aloitteisesti sille säädetyn velvollisuuden mukaisesti. Rikkomuksen tai laiminlyönnin moitittavuutta olisi arvioitava erityisesti niiden oikeushyvien näkökulmasta, joita tällä lailla ja NIS2-direktiivillä pyritään suojaamaan.  

Säännöksellä pantaisiin täytäntöön NIS2-direktiivin 34 artiklan 3 kohta, joka edellyttää NIS2-direktiivin 32 artiklan 7 kohdassa tarkoitettujen seikkojen huomioimista hallinnollisen seuraamusmaksun määräämisessä.  

38 §.Seuraamusmaksun enimmäismäärä . Pykälässä säädettäisiin hallinnollisen seuraamusmaksun enimmäismääristä. Hallinnollisen seuraamusmaksun enimmäismäärä olisi matalin sallittu enimmäismäärä NIS2-direktiivin 34 artiklan 4 ja 5 kohtien edellyttämällä tasolla. Enimmäismäärä olisi joko euromääräinen tai %-osuus liikevaihdosta sen mukaan, kumpi määristä on suurempi. Enimmäismäärä keskeiselle toimijalle olisi suurempi kuin muille toimijoille. Keskeisellä toimijalla tarkoitettaisiin keskeistä toimijaa 27 §:n 2 momentin mukaisesti.  

39 §.Seuraamusmaksun määräämättä jättäminen ja täytäntöönpano . Pykälässä säädettäisiin seuraamusmaksun määräämättä jättämisestä ja täytäntöönpanosta.  

Pykälän 1 momentin mukaan seuraamusmaksu jätettäisiin määräämättä, jos:  

toimija on oma-aloitteisesti ryhtynyt riittäviin toimenpiteisiin rikkomuksen tai laiminlyönnin korjaamiseksi välittömästi sen havaitsemisen jälkeen ja ilmoittanut siitä viivytyksettä valvovalle viranomaiselle sekä toiminut yhteistyössä valvovan viranomaisen kanssa eikä rikkomus tai laiminlyönti ole vakava tai toistuva; 

rikkomusta tai laiminlyöntiä on pidettävä vähäisenä; tai  

seuraamusmaksun määräämistä on pidettävä ilmeisen kohtuuttomana muutoin kuin 1 tai 2 kohdassa tarkoitetulla perusteella. 

Perustuslakivaliokunta on käytännössään edellyttänyt, että viranomaisen harkinnan sanktion määräämättä jättämisestä tulee olla sidottua harkintaa siten, että seuraamusmaksu on jätettävä määräämättä laissa säädettyjen edellytysten täyttyessä (ks. PeVL 49/2017 vp ja PeVL 39/2017 vp.) 

Säännöksen tarkoituksena olisi varmistaa, että seuraamusmaksua ei siis määrättäisi niissä tilanteissa, joissa se olisi kohtuutonta joko 1 momentin 1 tai 2 kohdassa tarkoitettujen seikkojen perusteella tai muutoin jonkin vastaavan seikan tai seikkojen perusteella ilmeisen kohtuutonta. 

Pykälän 2 momentissa säädettäisiin seuraamusmaksun määräämisoikeuden vanhentumisesta. Seuraamusmaksua ei saisi määrätä, jos on kulunut yli viisi vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt.  

Pykälän 3 momentissa säädettäisiin, että seuraamusmaksua ei voida määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei voitaisi määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. Säännös vastaisi niin sanottua ne bis in idem –periaatetta eli kaksoisrangaistavuuden kieltoa.  

Pykälän 4 momentissa säädettäisiin, että seuraamusmaksua ei voida määrätä, jos rikkomuksessa tai laiminlyönnissä on kyse samasta teosta, josta on määrätty yleisen tietosuoja-asetuksen 83 artiklassa tarkoitettu seuraamusmaksu. Momentilla pantaisiin täytäntöön NIS2-direktiivin 35 artiklan 2 kohta. Kyse voisi olla esimerkiksi puutteista tarpeellisten riskienhallintatoimenpiteiden tunnistamisessa tai niiden toteuttamisessa taikka henkilötietojen käsittelemisestä ja säilyttämisestä muutoin yleisen tietosuoja-asetuksen 5 artiklan vastaisesti, minkä johdosta aiheutuneesta henkilötietojen loukkauksesta yleisen tietosuoja-asetuksen nojalla toimivaltainen viranomainen määräisi yleisen tietosuoja-asetuksen 83 artiklassa tarkoitetun seuraamusmaksun.  

40 §. Seuraamusmaksun täytäntöönpano. Pykälässä säädettäisiin seuraamusmaksun täytäntöönpanosta. Seuraamusmaksun täytäntöönpanosta huolehtisi Oikeusrekisterikeskus. Lain nojalla maksettavaksi määrätty seuraamusmaksu pannaan täytäntöön siinä järjestyksessä kuin sakon täytäntöönpanosta annetussa laissa (672/2002) säädetään. Seuraamusmaksu vanhenisi viiden vuoden kuluttua siitä, kun sen määräämistä koskeva, lainvoiman saanut päätös on annettu. Seuraamusmaksusta ei tulisi periä viivästyskorkoa.  

41 §. Toimijaluettelo. Ehdotuksella pantaisiin täytäntöön NIS2-direktiivin 3 artiklan 3–6 kohdat, jotka edellyttävät jäsenvaltiota ylläpitämään luetteloa keskeisistä ja tärkeistä toimijoista. Verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden vastaavasta velvoitteesta säädettäisiin sähköisen viestinnän palveluista annetun lain 165 §:ssä. Lisäksi ehdotuksella pantaisiin täytäntöön NIS2-direktiivin 27 artikla, joka edellyttää eräiden toimijoiden osalta tarkempien tietojen keräämistä ja ilmoittamista ENISA:lle sen perustamaa rekisteriä varten, sekä NIS2-direktiivin 29 artiklan 4 kohta, joka edellyttää ilmoitusta valvovalle viranomaiselle osallistumisesta 23 §:ssä tarkoitettuun kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn.  

Ehdotetussa 1 momentissa säädettäisiin valvovan viranomaisen velvollisuudesta ylläpitää toimijaluetteloa valvontatoimialansa osalta.  

Ehdotetussa 2 momentissa säädettäisiin toimijoiden velvollisuudesta ilmoittaa toimijaluetteloa varten valvovalle viranomaiselle NIS2-direktiivin 3 artiklan 4 kohdassa tarkoitetut tiedot. Lisäksi valvonnan kohdistamista varten edellytettäisiin ilmoittamaan siitä, onko toimija 27 §:ssä tarkoitettu keskeinen toimija. Valvovalle viranomaiselle olisi ilmoitettava myös NIS2-direktiivin 29 artiklan 4 kohdan johdosta osallistumisesta 23 §:ssä tarkoitettuun kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn. Tietojen ilmoittamisessa ja toimijaluettelon pitämisessä voitaisiin ottaa huomioon Euroopan komission tai Euroopan unionin kyberturvallisuusvirasto ENISA:n antamat ohjeet ja mallit. Mikäli toimijalla olisi käytössä sekä staattisia että dynaamisia IP-osoitteita, tulisi toimijan toimittaa valvovalle viranomaiselle tiedot vähintään staattisista IP-osoitteista, sekä pyrkiä toimittamaan dynaamisia IP-osoitteita koskevat tarkoituksenmukaiset tiedot, joita voivat olla esimerkiksi listaus verkkoblokeista tai –lohkoista, joista toimijan IP-osoite on varattu, sekä kyseisten osoitteiden lukumäärä, tai muu vastaava tarkoituksenmukainen tieto.  

Ehdotetussa 3 momentissa säädettäisiin DNS-palveluntarjoajien, aluetunnusrekisterin ylläpitäjien, pilvipalvelujen tarjoajien, datakeskuspalvelujen tarjoajien, sisällönjakeluverkkojen tarjoajien, hallintapalvelun tarjoajien, tietoturvapalveluntarjoajien sekä verkossa toimivien markkinapaikkojen tarjoajien, verkossa toimivien hakukoneiden tarjoajien ja verkkoyhteisöalustojen tarjoajien osalta 1 momenttia täydentävästä ilmoitusvelvollisuudesta. Näitä toimijoita edellytettäisiin ilmoittamaan lisäksi NIS2-direktiivin 27 artiklan 2 kohdassa tarkoitetut tiedot.  

Ehdotetun 4 momentin nojalla valvova viranomainen voisi antaa tarkempia teknisiä määräyksiä tietojen ilmoittamisesta toimijaluetteloon. Toimijaluettelon laatimisen ja ylläpitämisen helpottamiseksi valvovan viranomaisen olisi tarjottava, jos mahdollista, toimijalle mahdollisuus itse sekä rekisteröityä että päivittää tietoja luettelossa. Lisäksi momentissa säädettäisiin NIS2-direktiivin 3 ja 27 artikloissa säädettyjä enimmäisaikoja vastaavasti, että muutoksista 1 momentissa tarkoitettuihin tietoihin olisi ilmoitettava enintään kahden viikon kuluessa ja 2 momentissa tarkoitettuihin tietoihin enintään kolmen kuukauden kuluessa muutoksesta.  

Ehdotetussa 5 momentissa säädettäisiin NIS2-direktiivin 3 artiklan edellyttämän toimijaluettelon ylläpitämisestä, 3 artiklan 5 kohdassa tarkoitettujen ilmoituksien tekemisestä Euroopan komissiolle ja NIS-yhteistyöryhmälle sekä 27 artiklan 4 kohdassa tarkoitetusta tietojen toimittamisesta ENISA:lle ja CSIRT-yksikön oikeudesta saada tietoja toimijaluettelosta. Siltä osin kuin muusta ei olisi säädetty, toimijaluettelon tietojen julkisuus määräytyisi julkisuuslain mukaan.  

NIS2-direktiivin 3 artiklan 5 kohdan nojalla valvovien viranomaisten olisi ilmoitettava viimeistään 17.4.2025 ja sen jälkeen kahden vuoden välein keskeisten toimijoiden lukumäärä kullakin toimialalla ja toimialan osalla komissiolle ja NIS-yhteistyöryhmälle. Lisäksi komissiolle olisi ilmoitettava tiedot NIS2-direktiivin 2 artiklan 2 kohdan b–e alakohdan nojalla lain soveltamisalaan kuuluvista toimijoista tieto toimijoiden lukumäärästä, liitteessä I tai II tarkoitetusta toimialasta ja toimialan osasta, tarjotun palvelun tyypistä sekä siitä, minkä alakohdan nojalla ne kuuluvat soveltamisalaan.  

NIS2-direktiivin 27 artiklan 4 kohdan nojalla keskitetyn yhteyspisteen olisi toimitettava 27 artiklan 2 ja 3 kohdassa tarkoitetut tiedot – pois lukien 2 kohdan f alakohdassa tarkoitetut tiedot eli toimijan IP-osoitealueet – ilman aiheetonta viivytystä ENISA:lle. Tämän ilmoituksen tekemistä varten valvovalla viranomaisella olisi oikeus toimittaa kansalliselle yhteyspisteelle ilmoituksen tekemiseksi tarpeelliset tiedot, eli 27 artiklan 2 ja 3 kohdassa tarkoitetut tiedot IP-osoitealueet pois lukien.  

CSIRT-yksiköllä olisi oikeus saada valvovalta viranomaiselta tietoja toimijaluettelosta. CSIRT-yksikön tehtävien kannalta merkityksellisiä tietoja ovat erityisesti toimijoiden yhteystiedot ja IP-osoitealueita koskevat tiedot. Valvovia viranomainen voisi antaa CSIRT-yksikölle tietoja esimerkiksi avaamalla katseluyhteyden toimijaluetteloon tai toimittamalla tietoja teknisen rajapinnan välityksellä, mikäli se on teknisesti mahdollista käytettävässä järjestelmässä ja siten kuin julkisen hallinnon tiedonhallinnasta annetussa laissa säädetään.  

NIS 2 -direktiivin 3 artikla 4 kohdan 3 alakohdan mukaan komissio antaa Euroopan unionin kyberturvallisuusviraston (ENISA) avustuksella ilman aiheetonta viivytystä ohjeita ja malleja ilmoitusvelvoitteiden täyttämiseksi. Valvovan viranomaisen tulisi ottaa komission ohjeet huomioon tarkoituksenmukaisella tavalla toimijoiden ohjeistamisessa ja neuvonnassa. 

42 §.Kansallinen kyberturvallisuusstrategia . Pykälässä säädettäisiin kansallisen kyberturvallisuusstrategian laatimisesta, päivittämisestä, vähimmäissisällöstä ja Euroopan komissiolle tehtävästä tiedoksiannosta. Ehdotuksella pantaisiin täytäntöön NIS2-direktiivin 7 artikla.  

Kansallisella kyberturvallisuusstrategialla tarkoitetaan NIS2-direktiivin 6 artiklan 4 kohdan nojalla yhtenäistä kehystä, jossa määritellään kyberturvallisuusalan strategiset tavoitteet ja painopisteet sekä hallintotapa niiden saavuttamiseksi kansallisesti. NIS2-direktiivin 7 artiklan 1 kohdan mukaisesti kansallisessa kyberturvallisuusstrategiassa olisi määritettävä strategiset tavoitteet, tavoitteiden saavuttamiseksi tarvittavat resurssit sekä asianmukaiset politiikka- ja sääntelytoimenpiteet kyberturvallisuuden korkean tason saavuttamiseksi ja ylläpitämiseksi.  

Kansallisen kyberturvallisuusstrategiaan olisi sisällytettävä vähintään NIS2-direktiivin 7 artiklan 1 ja 2 kohdissa tarkoitetut seikat. Kansallista kyberturvallisuusstrategiaa olisi arvioitava säännöllisesti ja vähintään viiden vuoden välein. Tarvittaessa strategia olisi ajantasaistettava keskeisten suorituskykyindikaattorien perusteella NIS2-direktiivin 7 artiklan 4 kohdan mukaisesti. Kansallisen kyberturvallisuusstrategian ja sen arvioinnissa käytettävien keskeisten suorituskykyindikaattorien kehittämisessä tai ajantasaistamisessa voisi pyynnöstä saada tukea Euroopan unionin kyberturvallisuusvirasto ENISA:lta. 

Kansallinen kyberturvallisuusstrategia voisi olla itsenäinen strategia tai osa toista asiakirjaa, strategiaa tai valtioneuvoston periaatepäätöstä. Ehdotuksessa ei siten säädettäisi tai rajattaisi strategian muotoa. Kansallisen kyberturvallisuusstrategian hyväksymisestä, päivittämisestä ja tiedoksiannosta Euroopan komissiolle vastaisi valtioneuvosto.  

Kansallinen kyberturvallisuusstrategia olisi annettava NIS2-direktiivin 7 artiklan 3 kohdan mukaisesti tiedoksi Euroopan komissiolle kolmen kuukauden kuluessa sen hyväksymisestä. Tiedoksiannon ulkopuolelle voitaisiin jättää tiedot, joiden luovuttaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta tai olisi vastoin siihen liittyvää tärkeää etua. Kansallisen kyberturvallisuusstrategian julkisuus muilta osin määräytyisi julkisuuslain mukaan. 

43 §.Laajamittaisten kyberturvallisuuspoikkeamien ja –kriisien hallintasuunnitelma. Pykälässä säädettäisiin kansallisen laajamittaisten kyberturvallisuuspoikkeamien ja –kriisien hallintasuunnitelman laatimisesta sekä kyberkriisinhallintaviranomaisesta. Ehdotuksella pantaisiin täytäntöön NIS2-direktiivin 9 artikla.  

Pykälän 1 momentissa säädettäisiin NIS2-direktiivin 9 artiklassa tarkoitetun kansallisen laajamittaisten kyberturvallisuuspoikkeamien ja –kriisien hallintasuunnitelman laatimisesta, josta vastaisi Liikenne- ja viestintävirasto. Suunnitelma olisi laadittava yhteistoiminnassa 26 §:ssä tarkoitettujen valvovien viranomaisten, poliisihallituksen, suojelupoliisin, Puolustusvoimien ja Huoltovarmuuskeskuksen kanssa. Suunnitelman laatimiseen voisi osallistua tarpeen mukaan myös muita viranomaistahoja. Laajamittaisella kyberturvallisuuspoikkeamalla tarkoitettaisiin poikkeamaa, joka aiheuttaa niin laajan häiriön, ettei Suomella yksin ole valmiuksia hallita sitä, tai jolla on merkittävä vaikutus myös toiseen EU-jäsenvaltioon.  

Pykälän 2 momentissa säädettäisiin suunnitelmaan sisällytettävistä tiedoista. Suunnitelmaan olisi sisällytettävä NIS2-direktiivin 9 artiklan 3 ja 4 kohdassa tarkoitetut tiedot, jotka koskevat varautumista ja viranomaisten toimintaa laajamittaisen kyberturvallisuuspoikkeaman tai –kriisin hallitsemiseksi. Säännöksellä säädettäisiin suunnitelman vähimmäissisällöstä eikä sen tarkoituksena olisi rajata, mitä tietoja suunnitelmaan voidaan sisällyttää. Säännöksen rajaamatta suunnitelma voisi olla itsenäinen ja erillinen taikka osa myös muuta viranomaisten valmius- ja varautumissuunnittelua. Suunnitelma olisi laadittava 1 momentissa tarkoitettujen viranomaisten yhteistyössä.  

Pykälän 3 momentissa säädettäisiin kansallinen laajamittainen kyberkriisinhallintasuunnitelmaa koskevasta tiedonantovelvollisuudesta. Tieto suunnitelmasta olisi annettava NIS2-direktiivin 9 artiklan 5 kohdan mukaisesti asiaankuuluvia tietoja Euroopan komissiolle ja Euroopan kyberkriisien yhteysorganisaatioiden verkostolle (EU-CyCLONe) kolmen kuukauden kuluessa sen hyväksymisestä. Tiedoksiannon ulkopuolelle voitaisiin jättää suunnitelman osat tai tiedot, joista tiedon antaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta tai olisi vastoin siihen liittyvää tärkeää etua. Kansallisen kyberkriisinhallintasuunnitelman julkisuus muilta osin määräytyisi julkisuuslain mukaan.  

44 §. Kyberkriisinhallintaviranomainen. Pykälässä säädettäisiin NIS2-direktiivin 9 artiklassa tarkoitetusta kyberkriisinhallintaviranomaisesta. Suomessa NIS2-direktiivin 9 artiklan 1 kohdan tarkoittamana kyberkriisinhallintaviranomaisena toimisi kukin 43 §:n 1 momentissa tarkoitettu viranomainen sille erikseen laissa säädettyjen tehtävien mukaisesti, eli laajamittaisten kyberturvallisuuspoikkeamien ja –kriisien hallintasuunnitelman laatimiseen osallistuvat viranomaiset. Näitä viranomaisia olisivat tässä laissa tarkoitetut valvovat viranomaiset, poliisi, suojelupoliisi, Puolustusvoimat, huoltovarmuuskeskus ja Liikenne- ja viestintävirasto. Kyberkriisinhallintaviranomaisten välisenä koordinaattorina toimisi Liikenne- ja viestintäviraston Kyberturvallisuuskeskus. Kyberkriisinhallintaviranomaisten tehtäviä, vastuita ja yhteistoimintaa täsmennettäisiin suunnitelmassa.  

45 §.Viranomaisten yhteistyö. Pykälässä olisi erityissäännöksiä viranomaisten välisestä yhteistyöstä. Tiedonvaihto ei itsessään perustaisi oikeutta poiketa salassapitosäännöksistä sitä toteutettaessa. Tarpeellisen yhteistyön laajuuden määrittämisessä painoarvo olisi annettava NIS2-direktiivin 13 artiklan ja sen tavoitteiden tulkinnalle. Pykälällä pantaisiin täytäntöön NIS2-direktiivin 13 artiklan 1, 4 ja 5 kohdat, 32 artiklan 9 ja 10 kohdat ja 33 artiklan 6 kohta.  

Pykälän 1 momentissa säädettäisiin valvovan viranomaisen ja CSIRT-yksikön velvollisuudesta tehdä yhteistyötä tämän lain ja NIS2-direktiivin mukaisten tehtävien toteuttamisessa. Momentilla pantaisiin täytäntöön NIS2-direktiivin 13 artiklan 1 kohta yhdessä voimassa olevan hallintolain 10 §:n kanssa.  

Pykälän 2 momentissa säädettäisiin valvovien viranomaisten, CSIRT-yksikön ja keskitetyn yhteyspisteen velvollisuudesta tehdä tarvittaessa yhteistyötä poliisin tai muun esitutkintaviranomaisen, tietosuojavaltuutetun, siviili-ilmailun turvallisuudesta vastaavan viranomaisen, eIDAS-asetuksen mukaisten valvontaelinten, DORA-asetuksen mukaisen toimivaltaisen viranomaisen ja teledirektiivin mukaisen kansallisen sääntelyviranomaisen kanssa. Momentilla pantaisiin täytäntöön NIS2-direktiivin 13 artiklan 4 kohta yhdessä voimassa olevan hallintolain 10 §:n kanssa. Valvovien viranomaisten, CSIRT-yksikön ja keskitetyn yhteyspisteen olisi tarvittaessa tehtävä yhteistyötä myös muiden viranomaisten, kuten Puolustusvoimien ja suojelupoliisin kanssa siten kuin hallintolain 10 §:ssä on säädetty.  

Pykälän 3 momentissa säädettäisiin valvovan viranomaisen velvollisuudesta ilmoittaa DORA-asetuksen 32 artiklan 1 kohdan nojalla perustetulle valvontafoorumille, kun se käyttää valvonta- ja täytäntöönpanovaltuuksia toimijaan, joka on nimetty kriittiseksi TVT-palveluntarjoajana olevaksi kolmanneksi osapuoleksi DORA-asetuksen 31 artiklan nojalla. Momentilla pantaisiin täytäntöön NIS2-direktiivin 32 artiklan 10 kohta ja 33 artiklan 6 kohta.  

Pykälän 4 momentissa säädettäisiin valvovien viranomaisten, eIDAS-asetuksen mukaisten valvontaelinten, DORA-asetuksen toimivaltaisen viranomaisen ja teledirektiivin mukaisen kansallisen sääntelyviranomaisen velvollisuudesta vaihtaa keskenään säännöllisesti tietoja merkittävistä poikkeamista ja kyberuhkista. Suomessa nämä tehtävät olisi osoitettu momentissa tarkoitetuille viranomaisille. Momentilla täytäntöönpantaisiin NIS2-direktiivin 13 artiklan 5 kohta osin.  

46 §. Muutoksenhaku. Valvovan viranomaisen ja seuraamusmaksulautakunnan tämän lain nojalla antamaan päätökseen saisi hakea muutosta siten kuin oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019) säädetään.  

Valvovan viranomaisen päätöstä olisi noudatettava muutoksenhausta huolimatta, ellei muutoksenhakuviranomainen toisin määrää. Valitusta käsittelevä tuomioistuin voisi kieltää tai keskeyttää täytäntöönpanon tai antaa muun täytäntöönpanoa koskevan väliaikaisen määräyksen (HOL 123 §). 

Muutoksenhaussa uhkasakon asettamista ja maksettavaksi tuomitsemista sekä teettämis- tai keskeyttämisuhan asettamista ja täytäntöönpantavaksi määräämistä koskevaan päätökseen olisi kuitenkin sovellettava myös muutoksenhaun osalta, mitä uhkasakkolaissa (1113/1990) säädetään.  

47 §.Voimaantulo. Lain voimaantulo esitetään NIS2-direktiivin 41 artiklassa säädetyn kansallisen täytäntöönpanon määräaikaa vastaavasti 18. päiväksi lokakuuta 2024.  

Lain 41 §:ssä tarkoitettujen ilmoitusten tekemiseen ehdotetaan kuitenkin siirtymäaikaa siten, että ensimmäinen ilmoitus tiedoista olisi tehtävä 31.12.2024 mennessä. Tarkoituksena olisi antaa toimijoille ja valvoville viranomaisille siirtymäaikaa toimijaluettelon muodostamisen ja siihen tietojen ilmoittamisen osalta. NIS2-direktiivi ei edellytä ilmoitettavien tietojen perusteella Euroopan komissiolle tehtävien ilmoituksien tekemistä ennen vuotta 2025. 

7.2  Laki julkisen hallinnon tiedonhallinnasta annetun lain muuttamisesta

1 §.Lain tarkoitus. Pykälään ehdotetaan lisättäväksi uusi 2 momentti , jossa todettaisiin, että lailla pannaan julkishallinnon toimialalla täytäntöön NIS2-direktiivi. Momentissa myös määriteltäisiin NIS2-direktiivi ja julkishallinnon toimiala, jolla tarkoitettaisiin direktiivin liitteen I kohdassa 10 tarkoitettua julkishallinnon toimialaa. Direktiivissä säädetyistä kyberturvallisuuteen liittyvistä velvoitteista ja niiden noudattamisen valvonnasta, mukaan lukien valvontatoimista, ja seuraamuksista julkishallinnon toimialalla säädettäisiin uudessa 4 a luvussa. Lisäksi ehdotettuun 2 momenttiin sisältyisi informatiivinen viittaus ehdotettuun kyberturvallisuuslakiin eli NIS2-direktiivin täytäntöönpanon yleislakiin. Aineellinen viittaus mainittuun lakiin sisältyisi ehdotettuun tiedonhallintalain 18 h §:ään, jossa säädettäisiin Liikenne- ja viestintäviraston tehtävistä julkishallinnon toimialan valvovana viranomaisena.  

Viranomainen voi harjoittaa toimintaa myös muulla NIS2-direktiivin liitteen toimialalla, esimerkiksi kunnallinen viranomainen vesi- tai jätehuollon toimialalla. Tällöin viranomainen voi olla vain kyberturvallisuuslaissa tarkoitettu toimija, jos viranomaiseen ei tiedonhallintalain 3 §:n mukaan sovelleta tiedonhallintalain 4 a lukua. Viranomainen voi myös kuulua kummankin lain soveltamisalaan, esimerkiksi hyvinvointialue tai -yhtymä, joka harjoittaa toimintaa kyberturvallisuuslain liitteessä tarkoitetulla Terveys-toimialalla ja johon sovellettaisiin tiedonhallintalain 3 §:n mukaisesti myös tiedonhallintalain 4 a lukua. Mikäli julkishallinnon organisaatio kuuluisi samanaikaisesti sekä tiedonhallintalain että kyberturvallisuuslain soveltamisalaan, tulisi sen noudattaa sekä tiedonhallintalain 4 a lukua että kyberturvallisuuslaissa toimijalle asetettavia velvoitteita, jotka ovat keskeiseltä osin vastaavia. Kyberturvallisuuslaissa tarkoitettua hallinnollista seuraamusmaksua ei voitaisi määrätä lain 35 §:ssä tarkoitetulle julkishallinnon organisaatiolle, vaikka se kuuluisi muutoin lain soveltamisalaan. 

2 §.Määritelmät . Pykälään lisättäisiin NIS2-direktiivin täytäntöönpanon edellyttämät, ehdotetussa uudessa 4 a luvussa käytetyt määritelmät eli uudet kohdat 17 - 26, joista muut kuin merkittävän poikkeaman ja kriittisen toimijan määritelmä sisältyvät direktiivin 6 artiklaan. Merkittävä poikkeama on määritelty direktiivin 23 artiklan 3 kohdassa. Kriittisen toimijan määritelmä perustuu NIS2-direktiivin 2 artiklan 3 kohtaan, jonka mukaan direktiiviä sovelletaan CER-direktiivin nojalla kriittisiksi toimijoiksi määritettyihin toimijoihin niiden koosta riippumatta.  

Tiedonhallintalakiin ehdotetut uudet määritelmät vastaavat sisällöltään ehdotetun kyberturvallisuuslain 2 §:n vastaavia määritelmiä, joiden säännöskohtaisissa perusteluissa on perusteltu myös muutaman määritelmän muotoilun muutokset suhteessa direktiiviin. Tiedonhallintalain määritelmissä käytetään toimijan sijaan viranomaisen käsitettä, koska tiedonhallintalaissa säädetyt julkishallinnon toimialan toimijat ovat viranomaisia.  

Ehdotetussa 21 kohdassa määriteltyä merkittävää kyberuhkaa ei ole määritelty kyberturvallisuuslain säännöksissä, mutta on kuvattu lain 14 §:n säännöskohtaisissa perusteluissa. Merkittävällä kyberuhkalla tarkoitettaisiin direktiivin 6 artiklan 11 kohdan mukaisesti kyberuhkaa, jonka voidaan sen teknisten ominaisuuksien perusteella olettaa vaikuttavan mahdollisesti vakavasti viranomaisen verkko- ja tietojärjestelmiin tai sen palvelujen käyttäjiin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.  

Ehdotetussa 22 kohdassa määriteltäisiin kyberriski. NIS2-direktiivissä ja kyberturvallisuuslaissa riski määritellään vastaavan sisältöisesti. Tiedonhallintalaissa kuitenkin käytetään käsitettä riski myös 13, 13 a, 28 c ja 28 f §:ssä, joiden asiayhteyteen NIS2-direktiivin mukainen riskin määritelmä ei sellaisenaan sovellu. Tästä syystä tiedonhallintalaissa määriteltäisiin sen 4 a luvussa hyödynnettäväksi riskin sijaan käsite kyberriski.  

Ehdotetussa 24 kohdassa määritelty merkittävä poikkeama on määritelty ehdotetun kyberturvallisuuslain 11 §:n 1 momentissa.  

Ehdotetussa 26 kohdassa määriteltäisiin kriittinen toimija, jolla tarkoitettaisiin viranomaista tai muuta julkista hallintotehtävää hoitavaa, joka on CER-direktiivin 2 artiklan 1 kohdassa tarkoitettu kriittinen toimija julkishallinnon toimialalla.  

NIS2-direktiivin 2 artiklan 3 kohdan mukaan direktiiviä sovelletaan direktiivin CER-direktiivin nojalla kriittisiksi toimijoiksi määritettyihin toimijoihin niiden koosta riippumatta. NIS2-direktiivin 3 artiklan 1 kohdan f alakohdan mukaan kriittisiä toimijoita olisi pidettävä keskeisinä toimijoina.  

Kriittisen toimijan käsitettä käytettäisiin tiedonhallintalain 3 §:ssä, jonka ehdotetun uuden 3 momentin kohdassa tarkoitettuun viranomaiseen ei sovellettaisi 4 a luvun NIS2-säännöksiä, ellei se olisi kriittinen toimija. Ehdotetulla 3 §:n 3 momentin (ehdotettujen muutosten jälkeen 4 momentin) muutoksella säädettäisiin valvovan viranomaisen toimivallan rajauksista, koskien myös eräitä muita perustuslain kannalta merkityksellisiä tahoja, siinä tapauksessa, että niihin sovellettaisiin 4 a lukua sen vuoksi, että ne olisivat kriittisiä toimijoita. Lisäksi 3 §:n 4 momentissa (ehdotettujen muutosten jälkeen 5 momentissa) säädettäisiin 4 a luvun soveltumisesta myös julkista hallintotehtävää hoitavaan yksityiseen henkilöön ja yhteisöön sekä muuna kuin viranomaisena toimivaan julkisoikeudelliseen yhteisöön, jos se on kriittinen toimija.  

Koska pykälään ehdotetaan lisättäväksi uusia kohtia, niiden edellä olevaa 16 kohtaa olisi muutettava niin, että kohtien väliin ei jää pistettä.  

3 §.Lain soveltamisala ja sen rajaukset. Pykälän otsikkoon ehdotetaan kielellistä täsmennystä. Pykälää ehdotetaan muutettavan siten, että siihen lisättäisiin uusi 3 momentti , jossa säädettäisiin niistä viranomaisista, jotka eivät olisi ehdotetun uuden 4 a luvun soveltamisalassa, ellei viranomainen olisi kriittinen toimija. Voimassa olevan 3 §:n 3 – 5 momentti siirtyisivät 4 – 6 momentiksi. Myös voimassa olevia 3 ja 4 momenttia (3 momentin lisäämisen jälkeen 4 ja 5 momentti) ehdotetaan muutettavaksi, samoin kuin Ahvenanmaata koskevaa pykälän 5 momenttia (3 momentin lisäämisen jälkeen 6 momenttia).  

Pykälän 2 momenttiin korjataan uuden kirkkolain säädöskokoelmanumero.  

Direktiivin 2 artiklassa säädetään sen vähimmäissoveltamisalasta julkishallinnon toimijoihin. Direktiivin 2 artiklan 2 kohdan f) alakohdan mukaan direktiiviä sovelletaan, kun toimija on julkishallinnon toimija, i) jonka jäsenvaltio on kansallisen lainsäädäntönsä mukaisesti määritellyt keskustason julkishallinnon toimijaksi; ii) jonka jäsenvaltio on kansallisen lainsäädäntönsä mukaisesti määritellyt aluetason julkishallinnon toimijaksi ja joka riskiperusteisen arvioinnin perusteella tarjoaa palveluja, joiden häiriintymisellä voisi olla merkittävä vaikutus yhteiskunnan tai talouden kriittisiin toimintoihin.  

Lakiin ehdotetun 4 a luvun soveltamisalan lähtökohtana on pykälän 1 momentin mukaisesti, että lain sääntelyä sovelletaan viranomaisiin, joilla tiedonhallintalaissa tarkoitetaan viranomaisten toiminnan julkisuudesta annetun lain (621/1999, jäljempänä julkisuuslaki ) 4 §:n 1 momentissa tarkoitettuja viranomaisia. Lisäksi 1 momentin mukaan lain viranomaista koskevaa sääntelyä sovelletaan myös yliopistolaissa (558/2009) tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa (932/2014) tarkoitettuihin ammattikorkeakouluihin.  

Ehdotetun 3 momentin sääntelyn perusteella 4 a lukua sovellettaisiin pykälän 1 momentin nojalla niihin tiedonhallintalain soveltamisalaan kuuluviin viranomaisiin, joita ei ole 3 momentissa erikseen rajattu pois luvun soveltamisalasta.  

Ehdotettu sääntely kattaisi direktiivissä säädetyn vähimmäissoveltamisalan julkishallinnon toimijoiden osalta. Soveltamisalaan lukeutuisivat valtion virastoina myös valtion aluehallintoviranomaiset kuten aluehallintovirastot ja elinkeino-, liikenne- ja ympäristökeskukset, joita voidaan pitää kansallisen lainsäädäntömme mukaisesti direktiivissä tarkoitettuina keskustason julkishallinnon toimijoina. Soveltamisalaan kuuluisivat myös valtion liikelaitokset poislukien Puolustuskiinteistöt (ehdotettu 3 §:n 3 kohta).  

Hyvinvointialueiden ja hyvinvointiyhtymien viranomaiset kuuluisivat myös 4 a luvun soveltamisalaan. Kunnalliset viranomaiset eivät kuuluisi lain soveltamisalaan lukuun ottamatta Helsingin kaupunkia sen hoitaessa hyvinvointialueiden järjestämisvastuulle lailla säädettyjä tehtäviä. 

Vastaavasti soveltamisalaan kuuluisivat Suomen Pankkia lukuun ottamatta itsenäiset julkisoikeudelliset laitokset, joita ovat muun muassa Kansaneläkelaitos, Työterveyslaitos, Suomen riistakeskus, Suomen metsäkeskus, Keva ja Kuntien takauskeskus. Julkisoikeudellinen laitos on itsenäinen julkisoikeudellinen oikeushenkilö, joka on yleensä perustettu erityisellä säädöksellä julkisoikeudellisen laitoksen asemaan. Itsenäisillä julkisoikeudellisilla laitoksilla on tavallisesti myös oma talous ja hallinto. Itsenäiset julkisoikeudelliset laitokset ovat oikeustoimikelpoisia. Julkisoikeudellinen laitos ei kuulu varsinaiseen hallintokoneistoon, mutta se hoitaa erikseen määriteltyä julkista tehtävää ja käyttää julkista valtaa. Ne päättävät ihmisiin kohdistuvista oikeuksista ja velvollisuuksista ja niiden toiminnasta on säädetty laissa. Laitoksen itsenäisyys merkitsee lähinnä sen korostettua riippumattomuutta hallintokoneiston ohjauksesta. Niiden toimintaa valvoo kuitenkin valtio. Valinta eri organisaatiomuotojen välillä (esimerkiksi valtion virasto vai julkisoikeudellinen laitos) on ollut epäsystemaattista ja osin satunnaista. Edellä todettu huomioon ottaen itsenäiset julkisoikeudelliset laitokset olisi luettava NIS2-direktiivin liitteen I kohdassa 10 tarkoitettuihin kansallisen lainsäädännön mukaisesti keskustason julkishallinnon toimijoiksi määritettyihin, joihin pääsääntöisesti on sovellettava direktiiviä.  

Suomen itsenäisyyden juhlarahaston (Sitra) toimintaan sovelletaan Suomen itsenäisyyden juhlarahastosta annetun lain (717/1990) 19 §:n mukaan mm. mitä julkisuuslaissa säädetään. Sitraa ei tiedonhallintalain yhteydessä pidetä julkisuuslain 4 §:n 1 momentissa tarkoitettuna viranomaisena ja Sitraan sovelletaan tiedonhallintalakia siten kuin 3 §:n 4 momentissa (esitettyjen muutosten jälkeen 5 momentissa) säädetään. Näin ollen myöskään tiedonhallintalain 4 a luku ei koskisi Sitraa. 

Direktiivin 6 artiklan 35 kohdan mukaan julkishallinnon toimijan käsitteen ulkopuolelle jäävät kansalliset parlamentit. Lain 4 a lukua sovellettaisiin kuitenkin eduskunnan virastoihin julkisuuslain 4 §:n 1 momentin 6 kohdasta ja sen perusteluista ilmenevällä tavalla, sillä direktiivissä käytetyllä käsitteellä ”parlamentti” viitataan kansanedustuslaitoksen toimintaan, Suomessa eduskunnan valtiopäivätoimintaan. Julkisuuslaissa eduskunnan virastoilla ja laitoksilla on tarkoitettu samaa kuin eduskunnan virkamiehistä annetussa laissa (1197/2003). Lain 2 §:n 2 momentin mukaan eduskunnan virastoja ovat eduskunnan kanslia ja eduskunnan oikeusasiamiehen kanslia sekä eduskunnan yhteydessä olevat valtiontalouden tarkastusvirasto ja kansainvälisten suhteiden ja Euroopan unionin asioiden tutkimuslaitos, joka käyttää nimeä Ulkopoliittinen instituutti. Eduskunnan kirjasto on kuulunut vuodesta 2001 alkaen eduskunnan kansliaan. Pohjoismaiden neuvoston Suomen valtuuskunnalla on sihteeristö eduskunnan kanslian kansainvälisellä osastolla.  

Julkisuuslakia ei sovelleta eduskunnan eikä sen toimielimien toimintaan, vaan niissä julkisuus määräytyy perustuslain ja eduskunnan työjärjestyksen mukaan. Julkisuuslaki ei siten koske eduskunnan täysistunnon ja valiokuntien toimintaa. (Olli Mäenpää: Julkisuusperiaate, Helsinki 2020, s. 135) Näin ollen myöskään tiedonhallintalaki tai sen 4 a luku ei koskisi eduskunnan valtiopäivätoimintaa. Perustuslakivaliokunnan lausunnossa PeVL 14/2018 vp hallituksen esityksestä esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi edellytettiin, että eduskunnan valtiopäivätoiminta tulee kokonaisuudessaan rajata sääntelyn soveltamisalan ulkopuolelle. Eduskunnan virastot kuuluvat muutoin tietosuojalain soveltamisalaan. 

Ehdotetun uuden 3 momentin mukaan 4 a lukua ei siis sovellettaisi momentissa lueteltuihin viranomaisiin, ellei momentissa tarkoitettu viranomainen ole kriittinen toimija. Kriittisellä toimijalla tarkoitettaisiin viranomaista tai muuta julkista hallintotehtävää hoitavaa, joka yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain nojalla on määritetty julkishallinnon toimialan kriittiseksi toimijaksi. Ehdotetulla 3 momentilla lain 4 a luvun soveltamisalasta poissuljettuun toimijaan sovellettaisiin 4 a lukua, jos se on kriittinen toimija. 

Vaikka osa julkishallinnon toimijoista sekä turvallisuusverkon palvelutuotanto ja palvelujen käyttö ehdotetaan direktiivin sallimalla tavalla jätettäväksi pois NIS 2-sääntelyn soveltamisalasta, ei se sulkisi pois kyseisten julkishallinnon toimijoiden oikeutta hyödyntää esimerkiksi Liikenne- ja viestintäviraston valvontatehtävästä erillisiä CSIRT-yksikön palveluja, joista - ja joihin liittyvästä tietojen käsittelystä - säädettäisiin kyberturvallisuuslaissa. Lisäksi nämä 4 a luvun sääntelyn ulkopuolella olevat toimijat voisivat tehdä 18 f §:ssä tarkoitettuja vapaaehtoisia ilmoituksia Liikenne- ja viestintävirastolle. Tietojen luovuttamisesta vapaaehtoisten ilmoitusten yhteydessä säädettäisiin 18 f §:ssä. 

Momentin 1 kohdan mukaan lukua ei sovellettaisi tasavallan presidentin kansliaan, Puolustusvoimiin, poliisin hallinnosta annetussa laissa (110/1992) tarkoitettuihin poliisiyksikköihin, Rajavartiolaitokseen, Syyttäjälaitokseen eikä Tullin rikostorjuntaan. Poliisiyksikköjä ovat poliisin hallinnosta annetun lain 1 §:n mukaan Poliisihallitus ja sen alaiset yksiköt sekä suojelupoliisi.  

Direktiivin 2 artiklan 7 kohdan mukaan direktiiviä ei sovelleta julkishallinnon toimijoihin, jotka harjoittavat toimintaa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet. Direktiivin johdanto-osan perustelukappaleen 8 mukaan: ”julkishallinnon toimijoista olisi jätettävä direktiivin soveltamisalan ulkopuolelle ne, jotka harjoittavat toimintaa pääasiassa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet. Niitä julkishallinnon toimijoita, joiden toiminta liittyy vain marginaalisesti mainittuihin aloihin, ei kuitenkaan olisi jätettävä tämän direktiivin soveltamisalan ulkopuolelle. Tätä direktiiviä sovellettaessa sääntelyvaltaa käyttävien toimijoiden ei katsota harjoittavan toimintaa lainvalvonnan alalla, joten niitä ei kyseisellä perusteella jätetä tämän direktiivin soveltamisalan ulkopuolelle”. 

Perustuslain 110 §:n 1 momentin mukaan valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen toimivaltaan kuuluu myös mahdollisuus nostaa syyte laillisuusvalvonta-asioissaan. Lisäksi ylimmät laillisuusvalvojat ovat saman perustuslain kohdan perusteella perustuslaissa säädettyjä erityissyyttäjiä, jotka ovat yksinomaan toimivaltaisia tuomaria koskevissa virkarikosasioissa ja lisäksi syyttäjälaitoksesta annetun lain (32/2019) 27 §:n perusteella yksinomaan toimivaltaisia erityissyyttäjiä kaikissa syyttäjiä koskevissa virkarikosasioissa. Syyttäjälaitoksesta annetun lain 8 §:ssä todetaan myös valtioneuvoston oikeuskansleri ja eduskunnan oikeusasiamies erityissyyttäjinä. Kuten edellä todetaan, NIS-direktiivin johdanto-osan perustelukappaleen 8 mukaan direktiivin on tarkoitus kattaa laajasti julkishallinnon toimijat ja direktiivin soveltamisalan ulkopuolelle jätettäviä julkishallinnon aloja tulkitaan suppeasti. Tästä syystä ylimpien laillisuusvalvojien toimintaa syyttäjinä ei ole erikseen huomioitu 3 §:n soveltamisalarajauksissa. On myös huomioitava, että tällaisen rajauksen merkitys jäisi osin vähäiseksi ja epätarkoituksenmukaiseksi, kun yksinomaan toimenpiteitä erityissyyttäjän koskevien toimien erottaminen yleisestä koko viranomaisen kyberturvallisuutta koskevasta riskienhallinnasta ei ole direktiivin johdannon valossa perusteltua eikä tarkoituksenmukaista. Lisäksi on huomioitava, että ylimpien laillisuusvalvojien toimintaan ei sovellettaisi miltään osin valvontaa tai valvovan viranomaisen toimivaltuuksia. Näin ollen valvova viranomainen ei valvoisi näiden viranomaisten toimintaa erityissyyttäjänäkään miltään osin eikä ylimmillä laillisuusvalvojilla myöskään olisi velvollisuutta luovuttaa valvovalle viranomaiselle tietoja erityissyyttäjän tehtävässä.  

Momentin 2 kohdan mukaan lukua ei sovellettaisi tuomioistuimiin eikä valitusasioita käsittelemään perustettuihin lautakuntiin. Direktiivin 6 artiklan 35 kohdan mukaan julkishallinnon toimijan käsitteen ulkopuolelle jäävät kansalliset oikeuslaitokset.  

Momentin 3 kohdan nojalla luvun soveltamisalan ulkopuolelle jäisi Puolustuskiinteistöt, jonka toiminta lukeutuu direktiivin 2 artiklan 7 kohdassa tarkoitetulla tavalla pääosin maanpuolustukseen ja kansalliseen turvallisuuteen.  

Ehdotetun 4 kohdan perusteella lukua ei sovellettaisi kunnallisiin viranomaisiin lukuun ottamatta Helsingin kaupunkia, johon sovellettaisiin 4 a lukua sen hoitaessa hyvinvointialueiden järjestämisvastuulle lailla säädettyjä tehtäviä. Paikallishallinnon viranomaiset eli kunnat eivät ole direktiivin vähimmäissoveltamisalassa. Kuntien osalta on katsottu tarkoituksenmukaiseksi rajata ne soveltamisalan ulkopuolelle edellä kohdassa 5.1.3 tarkemmin selostetuin perustein. Tiedonhallintalain 4 a luvun soveltamisalaan kuuluisivat hyvinvointialueet ja hyvinvointiyhtymät, jotka olisi katsottava kansallisen lainsäädännön mukaisesti direktiivissä tarkoitetuiksi aluetason julkishallinnon toimijoiksi. Tämän vuoksi myös Helsingin kaupunki kuuluisi lain soveltamisalaan sen hoitaessa hyvinvointialueiden järjestämisvastuulle lailla säädettyjä tehtäviä. Hyvinvointialueiden, hyvinvointiyhtymien ja Helsingin kaupungin järjestämisvastuulle kuuluvat lakisääteisesti sosiaali- ja terveydenhuolto sekä pelastustoimi. Julkisen ja yksityisen terveydenhuollon tarjoajat kuuluvat NIS2-direktiivin liitteen I kohdan 5 Terveys-toimialaan, jonka osalta direktiivissä säädetyistä velvoitteista ja valvonnasta säädettäisiin ehdotetussa kyberturvallisuuslaissa. Lisäksi tiedonhallintalain sääntely koskisi sosiaalihuollon ja pelastustoimen viranomaisia hyvinvointialueilla, hyvinvointiyhtymissä ja Helsingin kaupungissa. Hallinnon toimivuus on edellytys sille, että hyvinvointialueet ja –yhtymät sekä Helsingin kaupunki voivat toteuttaa niille säädetyt yhteiskunnan kriittisisiksi toiminnoiksi lukeutuvat tehtävät.  

Momentin 5 kohdan mukaan 4 a lukua ei sovellettaisi Suomen Pankkiin, koska direktiivin 6 artiklan 35 kohdan mukaan julkishallinnon toimijan käsitteen ulkopuolelle jäävät keskuspankit.  

Ehdotetun 6 kohdan mukaan 4 a luvun sääntelyä ei sovellettaisi yliopistolaissa tarkoitettuihin yliopistoihin, ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin eikä Pelastusopistoon, koska nämä eivät NIS2-direktiivin 2 artiklan 5 kohdan b alakohdan mukaan kuulu direktiivin vähimmäissoveltamisalaan.  

Ehdotetun 7 kohdan mukaan 4 a lukua ei sovellettaisi julkisen hallinnon turvallisuusverkkotoiminnasta annetussa laissa (10/2015), jäljempänä turvallisuusverkkolaki, tarkoitettuun turvallisuusverkon palvelutuotantoon eikä turvallisuusverkon palvelujen käyttöön. Rajaus perustuisi 1 kohdan perusteluissa mainitun direktiivin 2 artiklan 7 kohtaan. Turvallisuusverkon palvelutuotantoon ja käyttöön kohdistuva rajaus tarkoittaisi sitä, että 4 a lukua ei sovellettaisi Valtion tieto- ja viestintätekniikkakeskus Valtorin turvallisuusverkkolain mukaiseen toimintaan. Suomen Erillisverkot Oy:öön 4 a lukua ei sovellettaisi ilman turvallisuusverkkorajaustakaan, sillä Suomen Erillisverkot Oy ei kuulu mihinkään viranomaisryhmään, joihin 4 a lukua 3 §:n 1 momentin pääsäännön mukaan sovellettaisiin. Turvallisuusverkon palvelujen käytön osalta rajaus tarkoittaisi sitä, että ne turvallisuusverkon palvelujen käyttäjät (esimerkiksi ministeriöt ja Maahanmuuttovirasto), jotka kuuluisivat 4 a luvun soveltamisalaan, eivät olisi velvollisia ilmoittamaan turvallisuusverkon IP-osoitteita taikka ilmoittamaan turvallisuusverkon poikkeamista. Liikenne- ja viestintäviraston valvontatoimivalta taikka tiedonsaanti- tai tarkastusoikeus ei myöskään kohdistuisi turvallisuusverkon palveluihin eikä niiden käyttöön. Tiedonsaantioikeuden ja tarkastusoikeuden rajoituksista ehdotetaan säädettäväksi myös niitä koskevissa pykälissä. CER-direktiivin täytäntöönpanon yhteydessä on arvioitava, missä määrin turvallisuusverkon palvelutuotantoon tai palvelujen käyttöön on tarkoituksenmukaista soveltaa CER-sääntelyä ja sitä myötä myös tiedonhallintalain 4 a lukua. Valvovan viranomaisen tiedonsaantioikeutta koskevassa ehdotetussa 18 i §:ssä ehdotetaan kuitenkin, että säännöksessä tarkoitettu tiedonsaantioikeus ei koskisi turvallisuusverkkotoimintaan liittyviä salassa pidettäviä tietoja.  

Ehdotetun 8 kohdan nojalla 4 a lukua ei sovellettaisi viranomaisiin, jotka on perustettu yhdessä Euroopan talousalueen ulkopuolisen maan kanssa kansainvälisen sopimuksen mukaisesti eikä näissä maissa sijaitseviin diplomaattisiin edustustoihin tai konsuliedustustoihin taikka näiden verkko- ja tietojärjestelmiin, siltä osin kuin tällaiset järjestelmät sijaitsevat edustuston tiloissa tai niitä ylläpidetään kolmannessa maassa olevia käyttäjiä varten. NIS2-direktiivin perusteluosan johdantokappaleen 8 mukaan: ”Julkishallinnon toimijat, jotka on perustettu yhdessä kolmannen maan kanssa kansainvälisen sopimuksen mukaisesti, eivät kuulu tämän direktiivin soveltamisalaan. Tätä direktiiviä ei sovelleta jäsenvaltioiden kolmansissa maissa sijaitseviin diplomaattisiin edustustoihin ja konsuliedustustoihin tai näiden verkko- ja tietojärjestelmiin, siltä osin kuin tällaiset järjestelmät sijaitsevat edustuston tiloissa tai niitä ylläpidetään kolmannessa näissä maissa olevia käyttäjiä varten.”  

Pykälän 3 momenttia (uuden 3 momentin lisäämisen jälkeen 4 momentti ) ehdotetaan muutettavan siten, että sen toiseksi viimeisen virkkeen mukaan valvovan viranomaisen valvontatoimivaltuuksia tai tiedonsaanti- ja tarkastusoikeutta ei sovellettaisi eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeuskanslerin toimintaan. Sääntelystä kävisi selkeästi ilmi, ettei Liikenne- ja viestintävirastolle syntyisi valvontatoimivaltaa suhteessa ylimpiin laillisuusvalvojiin, Lisäksi valvovan viranomaisen valvontatoimivaltuuksia tai tiedonsaanti- ja tarkastusoikeutta ei sovellettaisi myöskään tasavallan presidentin kansliaan taikka tuomioistuinten tai valitusasioita käsittelemään perustettujen lautakuntien lainkäyttöön edes siinä tapauksessa, että mainittuun sovellettaisiin 4 a lukua kriittisenä toimijana. Rajoitukset johtuvat pääosin näiden julkiseen sektoriin kuuluvien organisaatioiden perustuslaissa säädetystä asemasta, jonka perusteella valtion keskushallintoon kuuluvien viranomaisten ohjaustoimivaltaa ei voida ulottaa näiden organisaatioiden sisäisen hallinnon ohjaukseen tai lainkäyttöön (esim. PeVL 46/2010 vp ja PeVL 14/2028 vp). Perustuslakivaliokunnan lausunnossa PeVL 14/2018 vp hallituksen esityksestä esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi todetaan, että perustuslakivaliokunnan mielestä ylimpien laillisuusvalvojien valtiosääntöinen asema ja tehtävät sekä laillisuusvalvonnan valtiosääntöinen kokonaisuus eivät mahdollista asteellisesti alemman tietosuojavaltuutetun ylimpiin laillisuusvalvojiin kohdistuvaa valvontaa ja että tällaisen rajauksen on ilmettävä myös tietosuojalain säännöksistä nimenomaisesti.  

Pykälän voimassa oleva 4 momentin sääntely siirtyisi 5 momentiksi , jonka loppuun lisättäisiin maininta siitä, että 4 a lukua sovellettaisiin julkista hallintotehtävää hoitavaan yksityiseen henkilöön ja yhteisöön sekä muuna kuin viranomaisena toimivaan julkisoikeudelliseen yhteisöön, jos se on kriittinen toimija. Lisäksi momenttiin ehdotetaan vähäisiä kieliopillisia täsmennyksiä.  

Pykälän voimassa olevan 5 momentin sääntely siirtyisi 6 momentiksi , jonka loppuun lisättäisiin virke, jonka mukaan lain 4 a lukua sovelletaan Ahvenanmaan maakunnassa toimiviin valtion viranomaisiin, ellei 3 momentista muuta johdu. NIS2 -direktiivin sääntelyä on julkishallinnon toimialalla arvioitava viranomaisten toimintaa koskevana sääntelynä, jolloin maakunnan ja valtakunnan välisen lainsäädäntövallan tarkastelu perustuisi Ahvenanmaan itsehallintolain (1144/1991, jäljempänä itsehallintolaki) sääntelyyn maakunnan ja valtakunnan viranomaisista. Itsehallintolaissa säädetään maakunnan itsehallinnosta ja lainsäädäntövallan jakautumisesta maakunnan ja valtakunnan välillä. Mainitun lain 4 luvussa säädetään maakunnan toimivallasta ja 5 luvussa valtakunnan toimivallasta. Itsehallintolain 18 §:n 1 kohdan mukaan maakunnalla on lainsäädäntövalta asioissa, jotka koskevat maakuntapäivien järjestysmuotoa ja tehtäviä sekä maakuntapäivien jäsenten vaalia, maakunnan hallitusta sekä sen alaisia viranomaisia ja laitoksia. Itsehallintolain 27 §:n 3 kohdan mukaan valtakunnalla on lainsäädäntövalta asioissa, jotka koskevat valtion viranomaisten järjestysmuotoa ja toimintaa. Ahvenanmaalla toimivaa valtakunnan viranomaista on pidettävä direktiivissä tarkoitettuna keskustason julkishallinnon toimijana, johon direktiiviä on sovellettava. Tämän vuoksi 4 a luvussa säädettyä olisi sovellettava myös Ahvenanmaalla toimivaan valtion viranomaiseen. Myös Ahvenanmaalla toimiviin valtion viranomaisiin sovellettaisiin 3 momentissa säädettyjä rajauksia – eli esimerkiksi Rajavartiolaitoksen toimintaan Ahvenanmaallakaan ei sovellettaisi 4 a lukua.  

10 §.Julkisen hallinnon tiedonhallintalautakunta. Pykälän 1 momentin 2 kohtaa muutettaisiin siten, että mainitussa kohdassa tiedonhallintalautakunnalle säädetty edistämistehtävä ei koskisi 4 a luvussa säädettyä. Lain 4 a luvun sääntelyn noudattamista valvoisi esityksessä ehdotetun mukaisesti Liikenne- ja viestintävirasto. Vaikka tiedonhallintalautakunta ei voi antaa mainitun kohdan nojalla viranomaisille sitovia ohjeita tai määräyksiä, eivätkä sen edistämistehtävän nojalla antamat kannanotot ja suositukset ole sitovia, voisi tiedonhallintalautakunnan 4 a lukuun kohdistuva edistämistehtävä aiheuttaa ristiriitaa 4 a luvun noudattamista valvovan viranomaisen toiminnan kanssa ja vaarantaa valvovan viranomaisen toiminnan riippumattomuuden. Tämän vuoksi olisi perusteltua, ettei tiedonhallintalautakunnan edistämistehtävä kohdistuisi 4 a luvun sääntelyyn. Tiedonhallintalautakunnan ja Liikenne- ja viestintäviraston tulisi tehdä yhteistyötä tietoturvallisuuteen ja kyberturvallisuuteen liittyvien ohjeiden ja suositusten laatimisessa niin, että niiden antama ohjeistus olisi tarvittavilta osin yhdenmukaista.  

4 a luku Kyberturvallisuutta koskevat velvollisuudet ja niiden noudattamisen valvonta  

Tiedonhallintalakiin ehdotetaan lisättäväksi uusi 4 a luku, jossa säädettäisiin yksinomaan NIS2-direktiivin täytäntöönpanon edellyttämistä seikoista. Ehdotettujen säännösten sijoittaminen omaan lukuunsa on perusteltua siksi, että luvun säännökset koskisivat ainoastaan rajattua määrää tiedonhallintayksiköistä ja viranomaisista. Myös 4 a luvussa Liikenne- ja viestintävirastolle ehdotetut NIS2 –direktiivissä tarkoitetun toimivaltaisen viranomaisen eli valvovan viranomaisen tehtävät rajautuisivat ehdotetussa 4 a luvussa säädettyjen velvoitteiden noudattamisen valvontaan. 

18 a §.Toimijajaottelu ja toimintaa koskeva ilmoitus. Pykälässä säädettäisiin NIS2-direktiivin 3 artiklan 4 kohtaan ja 29 artiklan 4 kohtaan perustuvasta ilmoitusvelvollisuudesta toimivaltaiselle viranomaiselle. Vastaavat säännökset ehdotetussa kyberturvallisuuslaissa sisältyisivät lain 41 §:ään.  

Direktiivin 3 artiklan 3 kohdan mukaan jäsenvaltioiden on viimeistään 17 päivänä huhtikuuta 2025 laadittava luettelo keskeisistä ja tärkeistä toimijoista sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista. Jäsenvaltioiden on tarkasteltava luetteloa uudelleen säännöllisesti ja vähintään kahden vuoden välein ja saatettava se tarvittaessa ajan tasalle. Direktiivin 3 artiklan 5 kohdan a alakohdan mukaan toimivaltaisten viranomaisten on viimeistään 17 päivänä huhtikuuta 2025 ja sen jälkeen kahden vuoden välein ilmoitettava komissiolle ja direktiivin 14 artiklassa tarkoitetulle yhteistyöryhmälle luetteloon kirjattujen keskeisten ja tärkeiden toimijoiden lukumäärä kullakin liitteessä I tai II tarkoitetulla toimialalla ja toimialan osalla. Näistä ilmoituksista komissiolle ja yhteistyöryhmälle säädettäisiin kyberturvallisuuslaissa. Direktiivin 29 artiklan 4 kohdan mukaan jäsenvaltioiden on varmistettava, että keskeiset ja tärkeät toimijat ilmoittavat toimivaltaisille viranomaisille osallistumisestaan 29 artiklan 2 kohdassa tarkoitettuihin kyberturvallisuustietojen jakamisjärjestelyihin, kun ne liittyvät tällaisiin järjestelyihin, tai tapauksen mukaan vetäytymisestään tällaisista järjestelyistä, kun vetäytyminen tulee voimaan. 

Pykälän 1 momentin mukaan 4 a luvun soveltamisalaan kuuluvat tiedonhallintayksiköt olisivat NIS2-direktiivin liitteen I 10 kohdassa tarkoitetun julkishallinnon toimialan keskeisiä toimijoita, lukuun ottamatta hyvinvointialueita ja hyvinvointiyhtymiä sekä Helsingin kaupunkia, jotka olisivat tärkeitä toimijoita. Direktiivin 3 artiklan 1 kohdan d alakohdan mukaan keskustason julkishallinnon toimijaa on pidettävä direktiivissä tarkoitettuna keskeisenä toimijana. CER-direktiivin nojalla kriittiseksi toimijaksi määriteltyä toimijaa on NIS 2 -direktiivin 3 artiklan 1 kohdan f alakohdan mukaan pidettävä keskeisenä toimijana. Muita julkishallinnon toimialan toimijoita on pidettävä tärkeinä toimijoina.  

Se, onko toimija keskeinen vai tärkeä, vaikuttaa komissiolle ja yhteistyöryhmälle direktiivin 3 artiklan 5 kohdan a alakohdan perusteella ilmoitettaviin toimijalukumääriin sekä siihen, tuleeko toimijaan kohdistaa 32 artiklassa tarkoitettuja keskeisiin toimijoihin liittyviä valvonta- ja täytäntöönpanotoimenpiteitä (etukäteisvalvontaa) vai 33 artiklassa tarkoitettuja tärkeisiin toimijoihin liittyviä valvonta- ja täytäntöönpanotoimenpiteitä (jälkikäteisvalvontaa).  

Pykälän 2 momentissa säädettäisiin julkishallinnon toimijoiden velvollisuudesta ilmoittaa tietyt tiedot itsestään valvovalle viranomaiselle. Liikenne- ja viestintävirasto voisi esimerkiksi perustaa verkkosivuilleen digitaalisen palvelun tietojen ilmoittamiseksi.  

Tiedonhallintayksikön olisi ilmoitettava tiedonhallintayksikön nimi, osoite, sähköpostiosoite, puhelinnumero ja muut ajantasaiset yhteystiedot sekä sen käyttämät IP-osoitealueet. Tiedonhallintayksikön pitäisi myös ilmoittaa, toimiiko se julkishallinnon toimialalla keskeisenä vai tärkeänä toimijana, luettelo muista Euroopan unionin jäsenvaltioista, joissa se tarjoaa palvelujaan sekä osallistumisesta kyberturvallisuuslain 23 §:ssä tarkoitettuun kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn. 

Pykälän 3 momentin mukaan tiedonhallintayksikön olisi viipymättä, viimeistään kahden viikon kuluttua muutoksesta, ilmoitettava kaikista muutoksista 2 momentin nojalla annettuihin tietoihin.  

Tiedonhallintayksikön tulisi huolehtia, että se saa ilmoituksia varten tarvitsemansa tiedot IP-osoitealueista siltä, joka tarjoaa sille tieto- ja viestintäteknisiä palveluja. Valtion tieto- ja viestintätekniikkakeskus Valtori kuuluisi myös ilmoitusvelvollisuuden alaan muun toimintansa paitsi turvallisuusverkon palvelutuotannon ja palvelujen käytön osalta. Valtorin tulisi myös huolehtia osaltaan siitä, että sen palveluja käyttävillä tiedonhallintayksiköillä on tieto niiden palveluissa käytettävistä IP-osoitealueista ja niiden muutoksista, niin että ne voivat osaltaan täyttää ilmoitusvelvollisuuden ja pitää tietonsa ajan tasalla. Luonnollisesti tiedonhallintayksiköllä voi olla myös omia IP-osoitteita, joita koskevista tiedoista ne vastaisivat itsenäisesti. IP-osoitealueet ovat melko stabiileja, joten niitä koskevien tietojen ajan tasalla pitämisen ei pitäisi muodostaa suurempaa rasitetta. 

Direktiivin 3 artikla 4 kohdan 3 alakohdan mukaan komissio antaa Euroopan unionin kyberturvallisuusviraston (ENISA) avustuksella ilman aiheetonta viivytystä ohjeita ja malleja ilmoitusvelvoitteiden täyttämiseksi. Valvovan viranomaisen tulisi ottaa komission ohjeet huomioon tarkoituksenmukaisella tavalla tiedonhallintayksiköiden ohjeistamisessa ja neuvonnassa. 

18 b §.Velvollisuus hallita kyberturvallisuusriskejä ja riskienhallinnan toimintamalli. Pykälässä säädettäisiin direktiivin 20 – 22 artiklaan perustuvista kyberturvallisuuden riskienhallinnasta ja riskienhallinnan toimintamallista sekä johdon vastuusta. Direktiivin 21 artiklaan sisältyvä kyberturvallisuuden riskienhallintatoimenpiteitä koskeva luettelo sisältyisi 18 c §:ään. Ehdotetussa kyberturvallisuuslaissa tiedonhallintalakiin ehdotettua 18 b §:ää vastaavista NIS 2 –direktiivin riskienhallintavelvoitteista säädettäisiin lain 7 ja 8 ja 10 §:ssä, joiden säännöskohtaisissa perusteluissa on esitetty muun muassa direktiivin johdanto-osan perustelukappaleissa riskienhallinnasta todettua sekä muita soveltuvia esimerkkejä riskienhallinnan toteuttamiseen.  

Pykälän 1 momentin ensimmäisen virkkeen mukaan tiedonhallintayksikön olisi tunnistettava, arvioitava ja hallittava kyberriskejä, joita kohdistuu sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen Tiedonhallintayksikön tulisi riskien tunnistamisen, arvioinnin ja hallinnan keinoin varmistua siitä, että toiminnassa käytettävien verkko- ja tietojärjestelmien turvallisuustaso ja riskienhallintatoimenpiteiden taso on riittävä ja oikeasuhtainen riskeihin nähden. Säännös vastaa pitkälti tiedonhallintalain 13 §:n sääntelyä riskiarviointiin perustuvasta tietoturvallisuustoimenpiteiden mitoittamisesta. Kyberturvallisuus ei käsitteenä täysin vastaa tietoturvallisuuden käsitettä, koska tietoturvallisuus suojaa tietoa kaikissa muodoissaan – ei pelkästään tietojärjestelmissä. Lisäksi kyberturvallisuuteen määritelmätasolla sisältyy henkilöiden suojaamisen ulottuvuus, joka toki seuraa myös tietoturvallisuuden toteuttamisesta.  

Ehdotetun 1 momentin toisen virkkeen mukaan kyberturvallisuuden riskienhallinnalla tulisi estää tai minimoida poikkeamien vaikutus toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin. Ehdotetun 1 momentin kolmannessa virkkeessä todettaisiin, että tiedonhallintayksikön on toteutettava 18 c §:ssä tarkoitetut kyberturvallisuuden riskienhallintatoimenpiteet. Näiden toimenpiteiden oikeasuhtaisuudesta säädettäisiin edotetun 18 c §:n 2 momentissa. 

Ehdotetun 2 momentin mukaan tiedonhallintayksiköllä olisi oltava käytössä ajantasainen kyberturvallisuutta koskeva riskienhallinnan toimintamalli viestintäverkkojen ja tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta. Toimintamallissa tulisi tunnistaa tiedonhallintayksikön viestintäverkkoihin ja tietojärjestelmiin sekä niiden fyysiseen ympäristöön kohdistuvat riskit kaikki vaaratekijät huomioivan lähestymistavan mukaisesti. Kyberturvallisuuden riskienhallinnan toimintamallissa olisi lisäksi määritettävä ja kuvattava kyberturvallisuuden riskienhallinnan tavoitteet, menettelyt ja vastuut sekä 18 c §:ssä tarkoitetut tekniset, operatiiviset ja organisatoriset kyberturvallisuuden riskienhallintatoimenpiteet. Riskienhallinnan tavoitteet, menettelyt ja vastuut yleensä kuvataan ehdotetun 18 c §:n 1 momentin 1 kohdassa tarkoitetuissa riskienhallinnan toimintaperiaatteissa, mutta näiden kuvaamista korostettaisiin myös ehdotetussa 18 b §:n 2 momentissa, jotta kuvaaminen olisi selkeä vaatimus riippumatta siitä, kuinka riskienhallinnan toimintaperiaatteiden sisältö ymmärretään. Riskienhallinta on luonteeltaan jatkuvaa ja laadittua riskienhallinnan toimintamallia olisi myös ylläpidettävä, sillä verkko- ja tietojärjestelmien turvallisuuteen kohdistuvat riskit muuttuvat ja kehittyvät ajan myötä niin kuin suojaustoimetkin.  

Kyberturvallisuutta koskeva riskienhallinnan toimintamalli voisi olla myös osa toimijan laajempaa riskienhallintasuunnitelmaa, jossa huomioidaan myös muita toimintaan kohdistuvia riskejä tai osa muuta turvallisuusvarautumista. 

Kyberturvallisuutta koskevien riskienhallintatoimenpiteiden olisi perustuttava kaikki vaaratekijät huomioivaan toimintamalliin, jolla pyritään suojaamaan verkko- ja tietojärjestelmät ja näiden järjestelmien fyysinen ympäristö sellaisilta tapahtumilta kuin varkaus, tulipalo, tulva, televiestintä- tai sähkökatko. Riskienhallinnalla suojattaisiin verkko- ja tietojärjestelmiä myös luvattomalta fyysiseltä pääsyltä tietoihin sekä tietojenkäsittely-ympäristöä vahingolta ja häirinnältä, jotka saattaisivat vaarantaa viestintäverkoissa- ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. 

Tiedonhallintalain 5 §:n 1 momentin mukaan tiedonhallintayksikön on ylläpidettävä sen toimintaympäristön tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia. Pykälän 2 momentin 5 kohdan mukaisesti tiedonhallintamallin on sisällettävä tiedot tietoturvallisuustoimenpiteistä. Lisäksi pykälän 3 momentin mukaan suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa tiedonhallintayksikön on arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa pykälässä yksilöityyn tiedonhallintalain sääntelyyn. Kyberturvallisuuden riskienhallinnan toimintamallin suhdetta tiedonhallintamalliin on käsitelty tarkemmin jaksossa 4.4.2. Tiedonhallinnan muutosvaikutukset. 

Pykälän 3 momentin mukaan tiedonhallintayksikön johto vastaisi kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyisi kyberturvallisuuden riskienhallinnan toimintamallin ja valvoisi sen toteuttamista. Tiedonhallintayksikön johdolla tulisi myös olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan.  

Tiedonhallintayksikön johdolla (direktiivissä hallintoelin, englanniksi management body) tarkoitettaisiin virastojen ja laitosten työjärjestyksissä sekä eri toimijoiden hallintosäännöissä määriteltyä virastopäällikköä tai johtavaa toimielintä. Johdolla tarkoitettaisiin valtion viraston tai laitoksen päällikköä, joka on tyypillisesti virkanimikkeeltään pääjohtaja tai ylijohtaja. Kuntalain 38 §:n 2 momentin mukaan kunnanhallitus johtaa kunnan toimintaa, hallintoa ja taloutta. Siten Helsingin kaupunginhallitus toimisi lähtökohtaisesti momentissa tarkoitettuna tiedonhallintayksikön johtona, ellei vastuuta ole delegoitu hallintosäännössä jollekin muulle toimielimelle tai viranhaltijalle, kuten pormestarille. Itsenäisissä julkisoikeudellisissa laitoksissa johdolla tarkoitettaisiin kutakin laitosta koskevien säännösten perusteella määriteltyä johtoa, joka voi delegoida vastuitaan muulle johdolle. 

Käytännössä johto vastaisi siitä, että kyberturvallisuutta koskeva riskienhallinnan toimintamalli on hyväksytty, ajantasainen ja sen toteuttamista valvotaan. Johto vastaisi siten siitä, että tiedonhallintayksikössä on järjestetty kyberturvallisuutta koskevan riskienhallinnan toteuttaminen ja valvonta. Lisäksi johto hyväksyisi riskienhallinnan toimintamallin ja sen tulisi järjestää sen toteuttamisen valvonta.  

Toimijan johdolla tulisi niin ikään olla riittävä ja ajantasainen perehtyneisyys kyberturvallisuuden riskienhallintaan, mikä edellyttäisi perehtyneisyyden hankkimista joko kouluttautumalla tai muulla vastaavalla tavalla säännöllisin väliajoin. Osana 18 c §:ssä tarkoitettuja kyberturvallisuuden riskienhallintatoimenpiteitä johdon tulisi huolehtia myös henkilöstön kyberturvallisuuskoulutuksen järjestämisestä. Kyberturvallisuuden riskienhallinnan koulutuksen tarkoituksena olisi antaa riittävät tiedot ja taidot henkilölle, jotta tämä kykenisi tunnistamaan riskejä ja arvioimaan kyberturvallisuusriskien hallintakäytäntöjä ja niiden vaikutusta tiedonhallintayksikön toimintaan mukaan lukien sen tarjoamiin palveluihin.  

Tiedonhallintalain 4 §:n 2 momentissa on säädetty tiedonhallintayksikön johdolle velvollisuus huolehtia muun muassa, että tiedonhallintayksikössä on määritelty tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut sekä ajantasaiset ohjeet sekä tarjolla koulutusta, jolla varmistetaan, että henkilöstöllä ja tiedonhallintayksikön lukuun toimivilla on riittävä tuntemus voimassa olevista tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja tiedonhallintayksikön ohjeista; sekä järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta. Voimassa olevan sääntelyn lisäksi ehdotetulla säännöksellä korostettaisiin kyberturvallisuuden riskienhallinnan merkitystä henkilöstön koulutuksessa sekä velvoitettaisiin johto huolehtimaan myös omasta koulutuksestaan, jotta johdolla olisi edellytykset vastata kyberturvallisuuden riskienhallinnasta ja sen valvonnasta. 

NIS2-direktiivin 20 artiklan 1 kohdan mukaan jäsenvaltioiden on varmistettava, että keskeisten ja tärkeiden toimijoiden hallintoelimet voidaan saattaa vastuuseen, jos toimijat rikkovat kyseistä artiklaa. Lisäksi todetaan, että kohdan soveltaminen ei rajoita kansallisen lainsäädännön soveltamista, kun on kyse julkisiin laitoksiin sovellettavista vastuusäännöistä taikka virkamiesten tai vaalilla valittujen tai nimettyjen toimenhaltijoiden vastuusta. Vastuuseen saattaminen olisi mahdollista esimerkiksi rikoslain (39/1889) 41 luvun 9 tai 10 §:n perusteella virkavelvollisuuden rikkomisena tai tuottamuksellisena virkavelvollisuuden rikkomisena. Johdon vastuun ala täyttäisi rikosoikeudellisen laillisuusperiaatteen edellytyksen tarkkarajaisuudesta ja täsmällisyydestä. 

18 c §.Toimenpiteet kyberturvallisuutta koskevien riskien hallinnassa. Pykälässä säädettäisiin direktiivin 21 artiklassa tarkoitetuista riskienhallintatoimenpiteistä. Pykälän 1 momentissa säädettäisiin tiedonhallintayksikön velvollisuudeksi toteuttaa oikeasuhtaiset tekniset, operatiiviset ja organisatoriset kyberturvallisuuden riskienhallintatoimenpiteet sen käyttämien viestintäverkkojen ja tietojärjestelmien turvallisuuteen kohdistuvien kyberriskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi.  

Lisäksi 1 momentissa säädettäisiin vähimmäistoimenpiteistä, jotka on ainakin huomioitava ja pidettävä ajantasaisina kyberturvallisuuden riskienhallinnan toimintamallissa ja siihen perustuvissa kyberturvallisuuden riskienhallintatoimenpiteissä. 

Direktiivin johdanto-osan perustelukappaleen 83 mukaan kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita olisi sovellettava asiaankuuluviin keskeisiin ja tärkeisiin toimijoihin riippumatta siitä, hoitavatko kyseiset toimijat verkko- ja tietojärjestelmiensä ylläpidon sisäisesti vai ovatko ne ulkoistaneet sen. Tiedonhallintayksikkö vastaisi kyberturvallisuuden riskienhallinnasta ja oikeasuhtaisten riskienhallintatoimenpiteiden toteuttamisesta silloinkin, kun se hankkii tieto- ja viestintäteknisiä palveluja ulkopuoliselta toimittajalta. Valtion tieto- ja viestintätekniikkakeskus Valtorin toiminta valtion yhteisten perustietotekniikka- ja tietojärjestelmäpalvelujen tuottajana ja kehittäjänä perustuu valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annettuun lakiin (1226/2013) ja sen nojalla annettuun asetukseen (132/2014). Valtion tieto- ja viestintätekniikkakeskus Valtori sopii tuottamistaan palveluista tiedonhallintayksiköiden kanssa tehtävissä palvelusopimuksissa. Ehdotettu pykälä velvoittaa tiedonhallintayksiköitä, mukaan lukien Valtion tieto- ja viestintätekniikkakeskus Valtoria toteuttamaan kyberturvallisuuden riskienhallintatoimenpiteet, jotka ovat asianmukaiset ja oikeasuhteiset suhteessa sen tuottamiin valtion yhteisiin perustietotekniikka- ja tietojärjestelmäpalveluihin. Valtion tieto- ja viestintätekniikkakeskus Valtorin tulisi myös kuvata nämä toimenpiteet palvelukuvauksissaan ja asettaa ne palvelua käyttävän tiedonhallintayksikön saataville riskienhallinnan ja riskienhallintatoimenpiteiden asianmukaisuuden ja oikeasuhtaisuuden arviointia varten. Kuvaukset voitaisiin tallentaa esimerkiksi asiakastyötilaan, jossa pidetään saatavilla muitakin palvelujen kuvauksia kuten yleisen tietosuoja-asetuksen mukaisia vaikutusarviointeja. 

Pykälän 1 momenttiin sisältyvä 12-kohtainen luettelo kyberturvallisuuden riskienhallintatoimenpiteiden toimenpidekokonaisuuksista vastaa ehdotetun kyberturvallisuuden riskienhallintaa koskevan lain 9 §:n 2 momenttiin sisältyvää luetteloa, jonka säännöskohtaisissa perusteluissa on kuvattu tarkemmin momenttiin sisältyvien kohtien 1 – 12 sisältöä. Tässä kuvataan ainoastaan erityisesti julkishallinnon toimialaa koskevia seikkoja liittyen toimenpidekokonaisuuksiin. 

Momentin 1 kohdassa edellytettäisiin, että tiedonhallintayksikön on riskienhallintatoimenpiteenä toteutettava kyberturvallisuutta koskevan riskienhallinnan toimintaperiaatteet ja kyberturvallisuuden riskienhallintatoimenpiteiden vaikuttavuuden arviointi.  

Momentin 2 kohdassa edellytettäisiin, että tiedonhallintayksiköllä on myös viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet. Säännökset vastaavat osin tiedonhallintalain 13 §:1 momentissa riskiarvioon perustuvasta tietoturvallisuudesta huolehtimisesta säädettyä, joskaan 13 §:ssä ei nimenomaisesti edellytetä tietoturvallisuuden toimintaperiaatteiden laatimista.  

Momentin 3 kohdassa edellytettäisiin, että tiedonhallintayksikkö huolehtii riskienhallintatoimenpiteenä ja kuvaa kyberturvallisuuden riskienhallinnan toimintamalliin viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuuden sekä tarvittavat menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen. Osin vastaavasti tiedonhallintalain 13 §:n 4 momentin mukaan viranomaisen on varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet.  

Momentin 4 kohdassa edellytettäisiin välittömien toimitusketjujen turvallisuudesta huolehtimista yhtenä riskienhallinnan toimenpidekokonaisuutena. Muun ohessa toimitusketjujen turvallisuudesta huolehdittaessa tulisi ottaa huomioon NIS2 –direktiivin 22 artiklan 1 kohdan mukaisesti tehtyjen kriittisiä toimitusketjuja koskevien koordinoitujen riskinarviointien tulokset. Direktiivin 22 artiklan mukaan direktiivin 14 artiklassa tarkoitettu yhteistyöryhmä voi yhteistyössä komission ja ENISAn kanssa tehdä koordinoituja turvallisuusriskinarviointeja tietyistä kriittisistä TVT-palvelujen, TVT-järjestelmien tai TVT-tuotteiden toimitusketjuista ottaen huomioon tekniset ja tarvittaessa muut kuin tekniset riskitekijät. Nämä turvallisuusriskiarvioinnit voisivat koskea myös julkishallinnon toimialaa. Siltä osin kun tällaisia riskiarviointeja on laadittu, tiedonhallintayksikön tulisi NIS2-direktiivin 21 artiklan 3 kohdan mukaisesti ottaa huomioon koordinoitujen turvallisuusriskiarviointien tulokset soveltuvin osin.  

Momentin 5 kohdan mukaan riskienhallintatoimenpiteisiin kuuluisi omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen.  

Momentin 6 kohdan mukaan tulisi huolehtia henkilöstöturvallisuudesta ja kyberturvallisuuskoulutuksesta. Henkilöstöturvallisuuteen liittyvistä asioista ja henkilöstön koulutuksesta säädetään myös muun muassa tiedonhallintalain 4 §:n 2 momentissa ja 12 §:ssä.  

Kohdassa 7 edellytetään tiedonhallintayksikön huolehtivan pääsynhallinnan ja todentamisen menettelyistä. Tiedonhallintayksikön tulisi tarvittaessa käyttää vahvan tunnistamisen ja todennuksen, monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisuja. Pääsynhallintaan ja todentamisen menettelyihin liittyvät myös tiedonhallintalain 14, 16 ja 17 §.  

Kohdassa 8 edellytettäisiin salausmenetelmien käyttämistä koskevien toimintaperiaatteita ja menettelyjä sekä tarvittaessa toimenpiteitä suojatun sähköisen viestinnän käyttöön. Tiedonhallintalaissa salausmenetelmiin liittyy erityisesti lain 14 §.  

Kohdassa 9 edellytettäisiin poikkeamien havainnointia ja käsittelyä turvallisuuden ja toimintavarmuuden ylläpitämiseksi ja palauttamiseksi.  

Kohdassa 10 edellytettäisiin varmuuskopiointia, palautumissuunnittelua, kriisinhallintaa ja muuta toiminnan jatkuvuuden hallintaa. Tiedonhallintalain 13 a §:llä tavoitellaan pitkälti samaa – eli tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen sekä niihin perustuvan toiminnan jatkuvuuden hallintaa. Lain 13 a §:n mukaan tiedonhallintayksikön on selvitettävä sen tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen sekä niihin perustuvan toiminnan jatkuvuuteen kohdistuvat olennaiset riskit. Riskiarvioinnin perusteella tiedonhallintayksikön on valmiussuunnitelmin ja häiriötilanteissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä huolehdittava, että sen tietoaineistojen käsittely, tietojärjestelmien hyödyntäminen ja niihin perustuva toiminta jatkuvat mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslaissa tarkoitetuissa poikkeusoloissa. Lisäksi ehdotetussa 10 kohdassa mainittaisiin NIS 2 – direktiiviä vastaavalla tavalla erityisesti, että tiedonhallintayksikön tulisi jatkuvuuden hallinnan osana tarvittaessa huolehtia suojattujen varaviestintäjärjestelmien käyttömahdollisuudesta.  

Ehdotetussa 11 kohdassa edellytettäisiin perustason tietoturvakäytäntöjä toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi. Tietoturvakäytäntöjä ei vastaavalla tavalla yksityiskohtaisella tasolla luetella tiedonhallintalaissa, mutta ne sisältyvät ainakin osittain lain 13 §:n säädettyyn velvollisuuteen varmistaa tietoaineistojen tietoturvallisuus riskienhallintaan perustuvilla tietoturvallisuustoimenpiteillä.  

Ehdotetun 12 kohdan mukaan tiedonhallintayksikön tulisi toteuttaa ja 18 b §:n nojalla kuvata toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön suojaamiseksi ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi. Tiedonhallintalain 15 §:n mukaan tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.  

Lisäksi asiakirjojen turvallisuusluokittelusta valtionhallinnossa annettu valtioneuvoston asetus (1101/2019) sisältää edellä kohtien 1-12 yhteydessä tiedonhallintalain osalta kuvattuja vaatimuksia tarkempia vaatimuksia turvallisuusluokiteltujen asiakirjojen käsittelylle. 

Ehdotetun 18 c §:n 2 momentissa määriteltäisiin yleisellä tasolla, mitä on otettava huomioon riskienhallintatoimenpiteitä valittaessa, toteutettaessa ja kuvattaessa kyberturvallisuuden riskienhallinnan toimintamalliin. Säännöksen mukaan kyberturvallisuuden riskienhallintatoimenpiteiden tulisi olla ajantasaiset, asianmukaiset ja oikeasuhtaiset suhteessa tiedonhallintayksikön käyttämien viestintäverkkojen ja tietojärjestelmien riskialttiuteen, viestintäverkon tai tietojärjestelmän merkitykseen tiedonhallintayksikön toiminnalle sekä niissä ilmenevän poikkeaman kohtuudella ennakoitavissa oleviin välittömiin vaikutuksiin.  

Lisäksi toimenpiteiden mitoittamisessa tulisi ottaa huomioon tiedonhallintayksikön koko, sen toiminnan laatu, poikkeaman todennäköisyys ja vakavuus, toimenpiteistä aiheutuvat kustannukset sekä ajantasainen kehitys huomioiden käytettävissä olevat tekniset mahdollisuudet torjua kyberuhka. 

Pykälän 3 momentin mukaan kyberturvallisuuden riskienhallinnassa, riskienhallinnan toimintamallissa ja riskienhallintatoimenpiteitä toteutettaessa olisi lisäksi noudatettava NIS 2 -direktiivin 21 artiklan 5 kohdan nojalla annettavia Euroopan komission täytäntöönpanosäädöksiä. Mainitun direktiivin kohdan mukaan komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan direktiivin 21 artiklan 2 kohdassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset sekä tarvittaessa alakohtaiset vaatimukset. Valvovan viranomaisen tehtävänä olisi tiedottaa tiedonhallintayksiköitä mahdollisten täytäntöönpanosäännösten valmistelusta ja olemassaolosta sekä ohjeistaa niiden noudattamisessa.  

NIS2-direktiivin 24 artiklan 2 kohdan mukaan komissiolla on valta antaa direktiivin 38 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä direktiiviä täsmentämällä, mitä keskeisten ja tärkeiden toimijoiden luokkia on vaadittava käyttämään tiettyjä kyberturvallisuuden sertifiointijärjestelmän mukaisesti sertifioituja TVT-tuotteita, TVT-palveluja ja TVT-prosesseja tai hankkimaan sertifiointi kyberturvallisuusasetuksen 49 artiklan nojalla hyväksytyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisesti. Tällaisia delegoituja säädöksiä annetaan, kun on havaittu, että kyberturvallisuus ei ole riittävän korkealla tasolla, ja niissä säädetään täytäntöönpanokaudesta. Ennen tällaisten delegoitujen säädösten hyväksymistä komissio tekee vaikutustenarvioinnin ja toteuttaa kuulemisia kyberturvallisuusasetuksen 56 artiklan mukaisesti. Mikäli komissio antaisi edellä kuvattuja delegoituja säädöksiä, olisi valvovan viranomaisen tiedotettava tiedonhallintayksiköitä mahdollisten täytäntöönpanosäännösten valmistelusta ja olemassaolosta sekä velvoitettava delegoiduissa säädöksissä tarkoitetulla tavalla käyttämään tiettyjä sertifioituja TVT-tuotteita, TVT-palveluja ja TVT-prosesseja tai hankkimaan sertifiointi kyberturvallisuusasetuksen 49 artiklan nojalla hyväksytyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisesti.  

18 d §.Ilmoitusvelvollisuus merkittävästä poikkeamasta. Pykälässä säädettäisiin viranomaisen kolmiportaisesta velvollisuudesta raportoida merkittävät poikkeamat julkishallinnon toimialan valvovalle viranomaiselle, Liikenne- ja viestintävirastolle. Pykälä perustuu direktiivin 23 artiklaan. Merkittäviä poikkeamia koskevasta ilmoitusvelvollisuudesta direktiivin liitteiden muiden toimialojen osalta säädettäisiin kyberturvallisuuslain 11-13 §:ssä. Mainittujen pykälien perustelut sisältävät täydentäviä esimerkkejä poikkeamailmoituksiin liittyen.  

Pykälän 1 momentissa säädettäisiin raportoinnin ensimmäisestä vaiheesta eli ensi-ilmoituksesta, joka viranomaisen olisi toimitettava viipymättä, viimeistään 24 tunnin kuluttua siitä, kun se on tullut tietoiseksi merkittävästä poikkeamasta. Ensi-ilmoituksessa olisi ilmoitettava poikkeamasta, epäilläänkö merkittävän poikkeaman johtuvan rikoksesta taikka muusta lainvastaisesta tai vihamielisestä teosta ja voiko sillä olla rajat ylittäviä vaikutuksia sekä näiden vaikutusten todennäköisyys. Kyse olisi eräänlaisesta ennakkovaroituksesta, jonka olisi sisällettävä vain ne tiedot, jotka ovat välttämättömiä, jotta Liikenne- ja viestintävirasto tulee tietoiseksi merkittävästä poikkeamasta ja jotta asianomainen toimija voi tarvittaessa pyytää apua. Tässä pykälässä säädetyt ilmoitusvelvollisuudet – varsinkin ensi-ilmoitus ja 2 momentissa tarkoitettu jatkoilmoitus - tulisi toteuttaa vain siinä laajuudessa, että poikkeaman käsittelyn toimet voidaan suorittaa tehokkaasti. Pykälän 3 momentissa tarkoitetun loppuraportin tarkoituksena on tarjota valvovalle viranomaiselle ja toimijalle itselleen arvokasta kokemusta poikkeamasta ja parantaa ajan mittaan sekä toimijan että julkishallinnon ja muidenkin toimialojen kyberresilienssiä.  

Säännöksessä mainitun 24 tunnin aikarajan laskeminen alkaa siitä, kun viranomainen on tullut tietoiseksi merkittävästä poikkeamasta. Tietoiseksi tuleminen voi riippua siitä, tapahtuuko poikkeama virka-aikaan vai yöllä tai viikonloppuna. Säännöksellä ei velvoiteta viranomaista järjestämään ympärivuorokautista päivystystä ensiraportin toimittamista varten. Päivystyksen tarve, kohde ja laajuus arvioidaan viranomaisen 18 b ja c §:n mukaisesti toteutetussa riskienhallinnassa. 

Viranomaisen tulisi huolehtia siitä, että sen alihankkija toimittaa sille tarpeelliset tiedot poikkeamailmoituksen tekemiseksi ja tekee yhteistyötä viranomaisen kanssa niin, että viranomainen pystyy täyttämään poikkeamailmoituksia koskevat velvoitteensa. Yksityinen alihankkija voi kuulua yleislaissa tarkoitetun ilmoitusvelvollisuuden piiriin, jos se tarjoaa direktiivin liitteissä kuvattuja TVT-palveluja tai digitaalisen infrastruktuurin palveluja. Tämä ei kuitenkaan poista viranomaisen ilmoitusvelvollisuutta julkishallinnon toimialan valvovalle viranomaiselle. 

Valtion tieto- ja viestintätekniikkakeskus Valtorilla on itsenäinen ilmoitusvelvollisuus valtion yhteisiin tieto- ja viestintäteknisiin palveluihin kohdistuvista merkittävistä poikkeamista. Sillä olisi velvollisuus ilmoittaa poikkeamista niille käyttäjäviranomaisille, joita poikkeama koskee, jotta nämä viranomaiset voisivat omalta osaltaan tehdä ilmoituksen Liikenne- ja viestintävirastolle. Valtorin ilmoitus ei yksinomaan olisi riittävä sen palvelua käyttävän viranomaisen osalta, koska Valtori ei välttämättä pysty arvioimaan ilmoituksessa edellytettyjä seikkoja, kuten poikkeaman lopullisia vaikutuksia mukaan lukien mahdollisia rajat ylittäviä vaikutuksia. Valtorin ilmoitusvelvollisuus koskisi vain sen omaa toimintaa ja se ei koskisi sen palveluja käyttävän viranomaisen toimialasidonnaisissa tietojärjestelmissä ilmeneviä merkittäviä poikkeamia, ellei poikkeama ilmene myös Valtorin palvelussa. 

Pykälän 2 momentissa säädettäisiin raportoinnin toisesta vaiheesta eli jatkoilmoituksesta, joka olisi toimitettava viipymättä, viimeistään 72 tunnin kuluttua siitä, kun viranomainen on tullut tietoiseksi merkittävästä poikkeamasta. Jatkoilmoituksessa olisi ajantasaistettava ensi-ilmoituksessa annetut tiedot ja esitettävä ensimmäinen arvio merkittävän poikkeaman laadusta, vakavuudesta ja vaikutuksista sekä vaarantumisindikaattorit (Indicator of Compromise) eli IoC-tieto, jos sellaisia on saatavilla. Viranomainen voisi tehdä ensi- ja jatkoilmoitukset myös kerralla, mikäli sillä olisi ensi-ilmoituksen määräajassa, eli viipymättä ja viimeistään 24 tunnin kuluessa poikkeaman havaitsemista saatavilla molempien ilmoitusten edellyttämät tiedot.  

Pykälän 3 momentissa säädettäisiin merkittävää poikkeamaa koskevasta loppuraportista, joka olisi toimitettava viimeistään kuukauden kuluttua jatkoilmoituksen tekemisestä. Loppuraportin tulisi sisältää yksityiskohtainen kuvaus poikkeamasta, sen vakavuus ja vaikutukset mukaan lukien. Loppuraportissa tulisi myös kuvata poikkeaman todennäköisesti aiheuttaneen uhkan tai juurisyyn tyyppi sekä toteutetut ja meneillään olevat toimenpiteet vaikutusten lieventämiseksi. Jos poikkeamalla on rajat ylittäviä vaikutuksia, myös ne tulisi kuvata.  

Ehdotetun 4 momentin mukaan, jos poikkeama edelleen jatkuu, kun 3 momentissa tarkoitettu loppuraportti pitäisi toimittaa, olisi loppuraportin sijaan toimitettava väliraportti. Tämän jälkeen olisi toimitettava loppuraportti kuukauden kuluessa siitä, kun viranomainen on lopulta käsitellyt poikkeaman. Väliraportin tarkoituksena olisi kuvata poikkeaman käsittelyn etenemistä, poikkeaman vaikutuksia ja muita asian vaikutukseen liittyviä olennaisia tekijöitä sekä muutoksia ensi- ja jatkoilmoituksen tietoihin. Valvova viranomainen voisi poikkeaman kestäessä pyytää viranomaiselta lisätietoja tai väliraportin asiaan liittyvistä tilannepäivityksistä ja käsittelyn etenemisestä.  

Ehdotetun 5 momentin mukaan merkittävän poikkeaman ilmoittamisessa olisi noudatettava lisäksi NIS 2 -direktiivin 23 artiklan 11 kohdan nojalla mahdollisesti annettavia Euroopan komission täytäntöönpanosäädöksiä ilmoituksen tietosisällöstä, muodosta ja ilmoitusmenettelystä sekä merkittävän poikkeaman tarkemmasta määrittelystä. Valvovan viranomaisen tulisi ohjeistuksessaan ja toiminnassaan ottaa huomioon mainitut täytäntöönpanosäädökset.  

18 e §.Poikkeamailmoituksen vastaanottaminen. Pykälässä säädettäisiin valvovan viranomaisen eli Liikenne- ja viestintäviraston vastauksesta poikkeamailmoitukseen. Pykälä perustuu direktiivin 23 artiklan 5 kohtaan.  

Valvovan viranomaisen olisi pykälän 1 momentin mukaan viipymättä ja mahdollisuuksien mukaan 24 tunnin kuluessa 18 d §:n 1 momentissa tarkoitetun ensi-ilmoituksen vastaanottamisesta annettava viranomaiselle vastaus. Tämä ei kuitenkaan edellyttäisi valvovalta viranomaiselta valmiutta päivystää viikonloppuisin, öisin tai arkipyhinä. Vastauksessa olisi oltava alustava palaute merkittävästä poikkeamasta, viranomaisen pyynnöstä ohjeita tai operatiivisia neuvoja koskien poikkeaman käsittelyä sekä ohjeet merkittävän poikkeaman ilmoittamisesta esitutkintaviranomaiselle, jos asiassa epäillään rikosta.  

NIS2-direktiivin 23 artiklan 5 kohdan mukaan, jos CSIRT-yksikkö ei ole ilmoituksen vastaanottaja, toimivaltaisen viranomaisen on annettava ohjeet yhteistyössä CSIRT:n kanssa. Liikenne- ja viestintävirastossa toimiva NIS2 – direktiivissä tarkoitettu CSIRT-yksikkö osallistuisi tarvittavalla tavalla poikkeamailmoituksen käsittelyyn. Pykälän 2 momentin mukaan valvova viranomainen tekisi 1 momentissa tarkoitettujen ohjeiden ja operatiivisten neuvojen antamisessa yhteistyötä kyberturvallisuuslaissa tarkoitetun CSIRT-yksikön kanssa. Ohjeet ja operatiiviset neuvot voisi valvovan viranomaisen sijaan antaa CSIRT-yksikkö. Ehdotetun kyberturvallisuuslain 17 §:n 1 momentin mukaan valvovan viranomaisen olisi toimitettava poikkeamailmoitukset ja raportit CSIRT-yksikölle välittömästi. CSIRT-yksikkö antaisi toimijan pyynnöstä ohjeita tai operatiivisia neuvoja vaikutuksia lieventävien toimenpiteiden osalta. Myös yleislain perustelujen perusteella valvova viranomainen ja CSIRT-yksikkö tekisivät yhteistyötä.  

18 f §.Vapaaehtoinen ilmoittaminen. Pykälässä säädettäisiin viranomaisten ja muiden julkishallinnon toimijoiden mahdollisuudesta ilmoittaa valvovalle viranomaiselle myös vapaaehtoisesti poikkeamista, kyberuhkista ja läheltä piti-tilanteista. Pykälä perustuu direktiivin 30 artiklaan. Ehdotetussa kyberturvallisuuslaissa vapaaehtoisesta ilmoittamisesta säädettäisiin lain 15 §:ssä.  

Direktiivin johdanto-osan perustelukappaleen 105 mukaisesti ennakoiva lähestymistapa kyberuhkiin on ratkaiseva osa kyberturvallisuusriskien hallintaa, jonka avulla toimivaltaisten viranomaisten olisi pystyttävä estämään tehokkaasti kyberuhkien toteutuminen poikkeamina, jotka voivat aiheuttaa huomattavaa aineellista ja aineetonta vahinkoa. Tätä varten kyberuhkista ilmoittaminen on erittäin tärkeää. Siksi toimijoita kannustetaan raportoimaan vapaaehtoisesti kyberuhkista. 

Pykälän 1 momentin mukaan viranomainen voisi ilmoittaa valvovalle viranomaiselle myös muista kuin merkittävistä poikkeamista sekä kyberuhkista ja läheltä piti –tilanteista. Myös muut tiedonhallintalain 3 §:ssä mainitut, joita ilmoitusvelvollisuus ei koskisi, voisivat ilmoittaa merkittävistä poikkeamista, poikkeamista, kyberuhkista ja läheltä piti –tilanteista valvovalle viranomaiselle.  

Mikäli poikkeamalla on rajat ylittäviä vaikutuksia, on CSIRT-yksikön, toimivaltaisen viranomaisen tai keskitetyn yhteyspisteen tarvittaessa ja erityisesti silloin, kun merkittävä poikkeama koskee vähintään kahta jäsenvaltiota, tiedotettava merkittävästä poikkeamasta ilman aiheetonta viivytystä niille muille jäsenvaltioille, joihin poikkeama vaikuttaa, ja ENISAlle (23 artikla 6 kohta). Lisäksi keskitetyn yhteyspisteen on toimitettava ENISAlle kolmen kuukauden välein yhteenvetoraportti, joka sisältää anonymisoidut koontitiedot merkittävistä poikkeamista, poikkeamista, kyberuhkista ja läheltä piti -tilanteista, joista on ilmoitettu joko ilmoitusvelvoitteen johdosta tai vapaaehtoisesti (23 artikla 9 kohta). Näistä yhteistyövelvoitteista säädettäisiin kyberturvallisuuslain 17 ja 18 §:ssä ja näihin velvoitteisiin viitattaisiin ehdotetussa tiedonhallintalain 18 h §:n 3 momentissa. 

Pykälän 2 momentin mukaan valvovan viranomaisen olisi käsiteltävä vapaaehtoiset ilmoitukset 18 e §:ssä säädettyä menettelyä noudattaen, mutta se voisi asettaa etusijalle 18 d §:n ilmoitusvelvollisuuden perusteella tehtyjen ilmoitusten käsittelyn vapaaehtoisten ilmoitusten käsittelyyn nähden.  

Pykälän 3 momentissa säädettäisiin tietojen luovuttamisesta vapaaehtoisen ilmoituksen yhteydessä. Viranomaiset ja muut lain 3 §:ssä mainitut voisivat vapaaehtoisen ilmoituksen yhteydessä luovuttaa valvovalle viranomaiselle tietoja, jotka valvovalla viranomaisella on oikeus saada 18 i §:n nojalla.  

Pykälän 4 momentin mukaan vapaaehtoisessa ilmoittamisessa olisi noudatettava lisäksi NIS 2 -direktiivin 23 artiklan 11 kohdan nojalla mahdollisesti annettavia Euroopan komission täytäntöönpanosäädöksiä ilmoituksen tietosisällöstä, muodosta ja ilmoitusmenettelystä. Valvovan viranomaisen tulisi ohjeistaa julkishallinnon toimijoita mahdollisten täytäntöönpanosäädösten sisällöstä.  

18 g §. Tiedotusvelvollisuus merkittävästä kyberuhkasta ja poikkeamasta. Pykälässä säädettäisiin viranomaisen velvollisuudesta tiedottaa sen palveluihin kohdistuvista merkittävistä kyberuhkista ja poikkeamista. Pykälä perustuu NIS2 – direktiivin 23 artiklan 1, 2 ja 7 kohtaan sekä 32 artiklan 4 kohdan e)-alakohtaan. Kyberturvallisuuslaissa vastaava sääntely sisältyisi lain 14 §:ään.  

Pykälän 1 momentin mukaan viranomaisen olisi ilmoitettava viipymättä merkittävästä poikkeamasta sen palvelujen vastaanottajille, jos merkittävä poikkeama todennäköisesti haittaa sen palvelujen tarjoamista.  

Pykälän 2 momentin mukaan viranomaisen olisi ilmoitettava viipymättä merkittävästä kyberuhkasta sekä kyberuhkan hallitsemiseksi käytettävissä olevista toimenpiteistä niille palvelujensa vastaanottajille, joihin merkittävä kyberuhka saattaa vaikuttaa.  

Pykälän 3 momentissa säädettäisiin tilanteesta, jossa merkittävän poikkeaman julkistaminen on yleisen edun mukaista. Yleisen edun mukaisesta tilanteesta olisi kyse esimerkiksi silloin, kun yleinen tietoisuus olisi tarpeen merkittävän poikkeaman estämiseksi tai meneillään olevan merkittävän poikkeaman käsittelemiseksi. Jos poikkeamasta tiedottaminen yleisölle olisi yleisen edun mukaista, Liikenne- ja viestintävirasto voisi velvoittaa viranomaisen tiedottamaan merkittävästä poikkeamasta tai tiedottaa asiasta itse. NIS2 – direktiivin 23 artiklan 7 kohdan mukaan jäsenvaltion CSIRT-yksikkö tai tapauksen mukaan sen toimivaltainen viranomainen sekä tarvittaessa muiden asianomaisten jäsenvaltioiden CSIRT-yksiköt tai toimivaltaiset viranomaiset voivat asianomaista toimijaa kuultuaan tiedottaa merkittävästä poikkeamasta yleisölle tai vaatia toimijaa tekemään niin. Hallintolain 34 §:ssä säädetään asianosaisen kuulemisvelvoitteesta sekä edellytyksistä asian ratkaisemiselle asianosaista kuulematta.  

Ehdotettuun 18 g §:n velvoitteet sisältyvät osin tiedonhallintalain 13 a §:n 1 momentissa säädettyyn tiedotusvelvollisuuteen. Lain 13 a §:n 1 momentin mukaan viranomaisen on viipymättä tiedotettava sen tietoaineistoja hyödyntäville, jos sen tiedonhallintaan kohdistuu häiriö, joka estää tai uhkaa estää viranomaisen tietoaineistojen saatavuuden. Viranomaisen on tiedotettava häiriön tai sen uhkan arvioidusta kestosta, mahdollisuuksien mukaan korvaavista tavoista hyödyntää viranomaisen tietoaineistoja sekä häiriön tai uhkan päättymisestä.  

Koska NIS2-direktiivistä johtuvaa sääntelyä ei sovellettaisi kaikkiin niihin, joihin tiedonhallintalain 4 lukua ja sen 13 a §:ää sovelletaan, lisättäisiin NIS2-direktiivistä johtuva velvoite kuitenkin sellaisenaan 4 a lukuun. Tämä on myös tarpeen valvovan viranomaisen toimivallan kohdentamiseksi NIS2-direktiivin täytäntöön panemiseksi annetun sääntelyn noudattamisen valvontaan ja vain niihin joilla on velvollisuus sitä noudattaa. 

Pykälän 4 momentin mukaan 1 ja 2 momentissa tarkoitetussa tiedottamisessa olisi noudatettava lisäksi NIS 2 -direktiivin 23 artiklan 11 kohdan nojalla mahdollisesti annettavia Euroopan komission täytäntöönpanosäädöksiä ilmoituksen tietosisällöstä, muodosta ja ilmoitusmenettelystä sekä merkittävän poikkeaman tarkemmasta määrittelystä. Valvovan viranomaisen tulisi ohjeistaa viranomaisia mahdollisista täytäntöönpanosäädöksistä.  

18 h §. Valvova viranomainen. Pykälässä säädettäisiin NIS 2 – direktiivin julkishallinnon toimialan toimivaltaisen viranomaisen tehtävästä sekä siihen kuuluvasta valvontatehtävästä. Pykälä perustuu NIS 2 – direktiivin 8 artiklan 1 ja 2 kohtaan, 31 artiklaan ja 32 artiklan 4 kohdan g alakohtaan ja 7 kohtaan sekä 33 artiklan 1 kohtaan.  

Pykälän 1 momentin mukaan Liikenne- ja viestintäviraston tehtävänä olisi toimia NIS 2 – direktiivin 8 artiklan 1 kohdassa tarkoitettuna toimivaltaisena viranomaisena eli ehdotetussa 4 a luvussa tarkoitettuna valvovana viranomaisena julkishallinnon toimialalla. Julkishallinnon toimiala määriteltäisiin 1 §:n 2 momentissa.  

Ehdotetun 1 momentin toisen virkkeen mukaan valvovan viranomaisen tehtävänä olisi sen lisäksi mitä muualla 4 a luvussa säädetään (muun muassa poikkeamailmoitusten käsittelystä), valvoa 4 a luvussa ja NIS 2 – direktiivin nojalla annetuissa säädöksissä säädettyjen velvollisuuksien noudattamista julkishallinnon toimialalla sekä ylläpitää julkishallinnon toimialan toimijaluetteloa 18 a §:n nojalla toimitetuista tiedoista.  

Lisäksi 1 momentissa säädettäisiin, että Liikenne ja viestintävirasto olisi valvovan viranomaisen toiminnassaan itsenäinen ja riippumaton. Valvova viranomainen olisi ratkaisu- ja muussa toiminnassaan riippumaton muiden tahojen kuten viranomaisten tai eri intressiryhmien samoin kuin ratkaistavana olevan asian osapuolten vaikutuksesta. Julkihallinnon toimialan valvovan viranomaisen riippumattomuudesta säädetään NIS2-drektiivin 31 artiklan 4 kohdassa.  

Liikenne- ja viestintävirastolla ei, toisin kuin ehdotetun kyberturvallisuuslain mukaisella valvovalla viranomaisella, olisi määräyksenantovaltuutta. Sen sijaan Liikenne- ja viestintävirasto voi luonnollisesti laatia ohjeita ja suosituksia esimerkiksi kyberturvallisuusriskien hallintatoimista ja hyvistä käytännöistä. Liikenne- ja viestintäviraston ja tiedonhallintalautakunnan tulisi tehdä yhteistyötä tietoturvallisuuteen ja kyberturvallisuuteen liittyvien ohjeiden ja suositusten laatimisessa niin, että niiden antama ohjeistus olisi tarvittavilta osin yhdenmukaista. 

NIS 2 –direktiivin nojalla annetuilla säädöksillä tarkoitettaisiin sen 21 artiklan 5 kohdan ja 23 artiklan 11 kohdan nojalla annettavia Euroopan komission täytäntöönpanosäädöksiä ja 24 artiklan 2 kohdan annettavia Euroopan komission delegoituja asetuksia.  

Pykälän 2 momentin mukaan valvova viranomainen voisi asettaa valvontatehtävänsä tärkeysjärjestykseen soveltaen riskiperusteista lähestymistapaa. Valvovan viranomaisen olisi valvontatoimiaan kohdentaessaan ja suorittaessaan sekä 18 l §:ssä tarkoitettua valvontapäätöstä tehdessään otettava huomioon kyberturvallisuuslain 27 §:n 3 momentissa ja 37 §:ssä säädetyt seikat eli NIS2 – direktiivin 32 artiklan 7 kohdassa säädetyt seikat, kuten mainitussa direktiivin kohdassa edellytetään. Viranomaisen valvonnan, eli toimijoihin kohdistettavien toimenpiteiden ja niiden määrän tulisi olla tällöin suhteellista ja perustua kyberturvallisuusriskien arviointiin. Direktiivin johdanto-osan perustelukappaleen 124 mukaan toimivaltainen viranomainen voisi luokitella keskeiset toimijat riskiluokkiin ja määritellä kullekin riskiluokalle suositeltavat valvontatoimenpiteet ja -keinot, kuten paikalla tehtävien tarkastusten, kohdennettujen turvallisuusauditointien tai turvallisuusskannausten käyttö, aikaväli ja tyypit sekä pyydettävien tietojen tyyppi ja yksityiskohtaisuus. Tällaisten valvontamenetelmien ohella voitaisiin käyttää työohjelmia, ja niitä voitaisiin arvioida ja tarkastella uudelleen säännöllisesti, myös esimerkiksi resurssien jakamisen ja tarpeiden osalta. Julkishallinnon toimijoiden suhteen valvontavaltuuksia olisi käytettävä kansallisten lainsäädäntö- ja toimielinkehysten mukaisesti, mikä tässä yhteydessä tarkoittaa lähinnä sitä, että tietyt julkishallinnon toimialan toimijat on näiden perustuslaissa säädetystä asemasta johtuen 3 §:ssä rajattu valvonnan ulkopuolelle. Direktiivissä sallitaan myös se, ettei tiettyjä seuraamuksia, kuten johdon toiminnan rajoittaminen ja hallinnollinen seuraamusmaksu, sovelleta julkishallinnon toimijoihin. Näin ollen näistä seuraamuksista ei säädettäisi tiedonhallintalaissa, jossa säädettäisiin valvonnasta ja seuraamuksista julkishallinnon toimialalla. Kyberturvallisuus lain seuraamussääntely soveltuu vain mainitun lain soveltamisalaan kuuluviin toimijoihin ja tiettyjä seuraamuksia ei sovellettaisi viranomaisiin, mikäli ne harjoittavat lain soveltamisalaan kuuluvaa toimintaa eli toimivat jollain muulla direktiivin liitteissä tarkoitetulla toimialalla kuin julkishallinnon toimialalla.  

Lisäksi 2 momentissa säädettäisiin, että Liikenne- ja viestintävirasto voisi kohdistaa valvontaa hyvinvointialueeseen, hyvinvointiyhtymään tai Helsingin kaupunkiin vain, jos on perusteltu syy epäillä, että mainittu ei ole noudattanut tässä luvussa tai NIS 2 – direktiivin nojalla annetuissa säädöksissä säädettyä. Direktiivin mukaan toimijaan tulee kohdistaa etukäteisvalvontaa vain, jos se on keskeinen toimija. Muihin (tärkeisiin) toimijoihin kohdistetaan vain jälkikäteisvalvontaa. Hyvinvointialueet, hyvinvointiyhtymät ja Helsingin kaupunki olisivat NIS 2 –direktiivin mukaisia tärkeitä toimijoita. Perustellulla syyllä tarkoitettaisiin valvovan viranomaisen tietoon tulevaa näyttöä, viitteitä tai tietoja, joiden mukaan toimija ei väitetysti noudattaisi sille laissa säädettyjä velvoitteita erityisesti riskienhallinnan tai raportoinnin osalta. Tällaista näyttöä, viitteitä tai tietoja voivat olla esimerkiksi muiden viranomaisten, toimijoiden, kansalaisten, tiedotusvälineiden tai muiden lähteiden toimittamat tai julkisesti saatavilla olevat tiedot tai valvovalle viranomaiselle tehty ilmianto, joka ei ole ilmeisen perusteeton. 

Direktiivin 32 artiklan 4 kohdan g alakohdassa edellytetään, että toimivaltaisen viranomaisen pitää voida nimetä valvova virkamies, joka valvoo tarkoin määriteltyjen tehtävien puitteissa määräkauden ajan, että asianomaiset toimijat noudattavat 21 ja 23 artiklaa. Liikenne- ja viestintävirasto voisi ilman erityistä lain säännöstäkin antaa palveluksessaan olevalle virkamiehelle valvontaan liittyviä erityisiä tehtäviä ja kohdentaa erityistä valvontaa toimijaan tai toimijoihin.  

Pykälän 3 momentti sisältäisi aineellisen viittaussäännöksen ehdotettuun kyberturvallisuuslakiin. Tiedonhallintalaissa säädettäisiin ainoastaan toimijoiden velvoitteista ja niiden noudattamisen valvonnasta mukaan lukien valvontatoimista sekä seuraamuksista NIS2 – direktiivin liitteen I 10 kohdassa tarkoitetulla julkishallinnon toimialalla. Muilta osin direktiivin sääntely pantaisiin täytäntöön ehdotetulla kyberturvallisuuslailla.  

Liikenne- ja viestintäviraston olisi 18 a §:ssä tarkoitettujen toimintaa koskevien ilmoitusten, 18 d ja f §:ssä tarkoitettujen poikkeamailmoitusten ja muiden valvontatehtävässä saatujen tietojen käsittelyssä sekä yhteistyössä NIS 2 – direktiivissä tarkoitettujen muiden viranomaisten sekä Euroopan unionin toimielinten, erillisvirastojen ja yhteistyöelinten kanssa sekä tietojen luovuttamisessa niille noudatettava mitä kyberturvallisuuslain 6 §:n 4 momentissa, 15 §:n 3 momentissa, 17 §:ssä, 18 §:n 3 momentissa, 26 §:n 2 momentissa, 28 §:n 4 ja 5 momentissa, 33 §:ssä, 41 §:n 5 momentissa ja 45 §:ssä säädetään tietojen käsittelystä valvovassa viranomaisessa sekä valvovan viranomaisen yhteistyöstä NIS 2 – direktiivissä tarkoitettujen muiden viranomaisten sekä Euroopan unionin toimielinten, erillisvirastojen ja yhteistyöelinten kanssa sekä tietojen luovuttamisesta niille.  

Ehdotetussa 4 momentissa todettaisiin informatiivisesti, että Liikenne- ja viestintäviraston tehtävistä NIS 2 -direktiivissä tarkoitettuna keskistettynä yhteyspisteenä ja CSIRT yksikkönä säädettäisiin kyberturvallisuuslaissa. NIS 2 – direktiivissä tarkoitetusta keskistetystä yhteyspisteestä ja CSIRT-yksiköstä ja niiden tehtävistä, mukaan lukien tietojen käsittelystä sekä yhteistyöstä NIS 2 – direktiivissä tarkoitettujen muiden viranomaisten sekä Euroopan unionin toimielinten, erillisvirastojen ja yhteistyöelinten kanssa, säädettäisiin siis ainoastaan kyberturvallisuuslaissa.  

18 i §. Valvovan viranomaisen tiedonsaantioikeus. Pykälässä säädettäisiin Liikenne- ja viestintäviraston tiedonsaantioikeuksista valvovana viranomaisena. Pykälä perustuu NIS2 – direktiivin 32 artiklan 2 kohdan ensimmäisen alakohdan e-g kohtiin, 32 artiklan 2 kohdan 3 alakohtaan sekä 32 artiklan 3 kohtaan. Ehdotetun 2 momentin osalta kyse on kansallisesta sääntelystä, jolla selvennetään viestintään liittyvien tietojen käsittelyä valvovassa viranomaisessa.  

Pykälän 1 momentin mukaan valvovalla viranomaisella olisi 4 a luvun mukaisia tehtäviä suorittaessaan oikeus saada salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä kyberturvallisuutta koskevien riskien hallintaa, riskienhallinnan toimintamallia, hallintatoimenpiteitä ja merkittävää poikkeamaa koskevat tiedot sekä muut edellä mainittuihin tietoihin välittömästi liittyvät tiedot, jotka ovat välttämättömiä kyberturvallisuutta koskevan riskienhallintavelvoitteen noudattamisen ja merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvontaa varten. Viranomaisen olisi luovutettava tiedot viipymättä ja maksutta. Säännös ei koskisi välitystietoja, sijaintitietoja eikä tietoa haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä, joiden osalta tiedonsaantioikeudesta säädettäisiin 2 momentissa.  

Valvovalla viranomaisella olisi oikeus saada näyttöä esimerkiksi kyberturvallisuuden riskienhallintaan liittyvien velvoitteiden noudattamisesta ja toteuttamisesta, sekä mahdolliset 18 k §:n perusteella tai muutoin tehtyjen arviointien tulokset ja niiden perustana oleva näyttö. Tiedonsaantioikeus koskisi myös tilannetta, jossa viranomainen on ulkoistanut osan tai kaikki kyberturvallisuusprosesseistaan. Viranomainen olisi silloin pyrittävä hankkimaan pyydetyt tiedot toimittajaltaan. Valvovalla viranomaisella olisi lisäksi oikeus saada esimerkiksi ulkoistamiseen liittyvät tiedot, kuten siihen liittyvät sopimukset. Pyytäessään viranomaiselta tietoja, valvovan viranomaisen olisi ilmoitettava pyynnön tarkoitus ja täsmennettävä pyydetyt tiedot.  

Pykälän 2 momentin mukaan valvovalla viranomaisella olisi salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada viranomaiselta välitystieto, sijaintitieto sekä tieto haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä, jos se on välttämätöntä kyberturvallisuutta koskevan riskienhallintavelvoitteen noudattamisen tai merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvomista varten. Momentissa säädettäisiin viestinnän luottamuksellisuuden suojan turvaamiseksi myös erityisestä salassapitovelvoitteesta, joka koskisi 2 momentin nojalla saatuja tietoja. Salassapitovelvollisuus olisi tarpeen sen johdosta, että julkisuuslain salassapitoperusteet eivät riittävästi suojaa viestinnän luottamuksellisuuden alaan kuuluvien tietojen salassapitoa. Lisäksi tiedot tyypillisesti kuuluisivat tiedon luovuttajalla sähköisen viestinnän palveluista annetun lain 136 §:n 4 momentin mukaisen vaitiolovelvollisuuden alaan, jolloin olisi perusteltua, että salassapito jatkuisi myös viranomaisessa viestinnän luottamuksellisuuden turvaamiseksi. Salassapitovelvollisuus ei koskisi sellaisia tietoja haitallisesta tietokoneohjelmasta tai IP-osoitteesta, joihin ei kohdistu laissa säädettyä salassapitovelvollisuutta tai muuta tiedon luovuttamista koskevaa rajoitusta ja jotka toimija voisi muutoinkin luovuttaa salassapitosäännösten tai tiedon luovuttamista koskevien rajoitusten estämättä. Muiden kuin 2 momentissa tarkoitettujen tietojen salassapito määräytyisi julkisuuslain mukaan.  

Pykälän 3 momentissa säädettäisiin valvovan viranomaisen tiedonsaantioikeuden rajoituksista. Säännöksen ensimmäisen virkkeen mukaan pykälässä säädetty tiedonsaantioikeus ei velvoittaisi luovuttamaan valvovalle viranomaiselle salassa pidettäviä tietoja turvallisuusverkkolaissa tarkoitetusta turvallisuusverkon palvelutuotannosta tai palvelujen käytöstä eikä tietoja, joiden luovuttaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta taikka olisi vastoin niihin liittyvää tärkeää etua.  

Säännöksen estämättä viranomainen voisi kuitenkin (vapaaehtoisesti ja harkintansa mukaan) luovuttaa julkisuuslain julkisuus- tai salassapito-olettaman sisältävän salassapitosäännöksen osoittamissa rajoissa valvovalle viranomaiselle tietoja myös turvallisuusverkon palvelutuotannosta ja palvelujen käytöstä sekä maanpuolustukseen ja kansalliseen turvallisuuteen liittyviä tietoja, jotka ovat yleisöltä salassa pidettäviä. Vaikka mainitut tiedot on lähtökohtaisesti rajattu valvovan viranomaisen tiedonsaantioikeuden ulkopuolelle, niin niitä voitaisiin viranomaisen harkinnan mukaan, kuten tähänkin asti, luovuttaa julkisuuslaissa sallitulla tavalla. Mahdollisuus voisi tulla sovellettavaksi esimerkiksi silloin kun viranomainen, johon 4 a lukua ei sovellettaisi toiminnan ollessa maanpuolustukseen tai kansalliseen turvallisuuteen liittyvää, haluaisi vapaaehtoisesti ilmoittaa Liikenne- ja viestintävirastolle kyberuhkasta tai poikkeamasta. Julkisuuslaki mahdollistaa yleisöltä salassa pidettävän asiakirjan luovuttamisen (yleensä toiselle viranomaiselle), jos salassapitosäännös sisältää vahinkoedellytyslausekkeen eikä salassapitosäännöksen suojaama intressi vaarannu tietoa luovutettaessa. Tällöin asiakirjaan merkitään salassa pitoa ja mahdollista turvallisuusluokkaa koskeva tieto sen osoittamiseksi, minkälaisia tietoturvallisuustoimenpiteitä asiakirjaa käsiteltäessä noudatetaan. Samalla merkinnällä osoitetaan merkitsijän käsitys siitä, että asiakirja on salassa pidettävä. Tietojen luovuttamisella ei saa vaarantaa niitä etuja, joita salassapitosäännöksellä tai -säännöksillä suojataan. Tietojen luovuttamisessa on otettava huomioon myös turvallisuusluokiteltua tietoa koskeva lähtökohta, jonka mukaan turvallisuusluokitellun asiakirjan antamisesta päättää asiakirjan laatinut viranomainen (julkisuuslaki 15 § 3 mom). Näin ollen, jos viranomainen olisi luovuttamassa Liikenne- ja viestintävirastolle sen tiedonsaantioikeuden ulkopuolelle jäävää asiakirjaa, jonka toinen viranomainen on turvallisuusluokitellut tai jonka käsiteltäväksi asiakirjan sisältämän tiedon luonteen arviointi kokonaisuudessaan kuuluu, asiakirjan tai tiedon antamisesta päättäisi luokittelun tehnyt viranomainen tai se viranomainen, jonka arvioitavaksi asia kokonaisuudessaan kuuluu.  

Erityisesti pykälän 3 momentin mukaisia tietoja luovutettaessa on syytä harkita tietojen edelleen luovuttamisen rajoittamista, mikäli tiedon edelleen luovuttaminen vaarantaisi Suomen keskeisiä turvallisuusetuja. Tässä yhteydessä olisi arvioitava myös, onko mahdollista luovuttaa jotain uhkaan tai poikkeamaan yleisellä tasolla liittyvää tietoa siten, että Suomen keskeiset turvallisuusedut eivät vaarannu. NIS 2 –direktiivissä ei edellytetä ehdotetussa 3 momentissa tarkoitettujen tietojen luovuttamista esimerkiksi EU:n toimielimille, erillisvirastoille, yhteistyöelimille taikka muille viranomaisille. Erityisesti turvallisuusluokitellun salassa pidettävän tiedon kohdalla korostuu sen viranomaisen arvio, jolla on edellytykset arvioida tiedon luonnetta suhteessa salassapitosäännöksellä suojattuun etuun. 

Ehdotettu 4 momentti sisältäisi informatiivisen viittauksen kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin (588/2004). Erityissuojattavan tietoaineiston luovuttamisen edellytyksiä olisi siis arvioitava mainitun lain ja tietoaineistoon soveltuvan kansainvälisen tietotuvallisuusvelvoitteen perusteella.  

18 j §. Valvovan viranomaisen oikeus tehdä tarkastuksia. Pykälässä säädettäisiin valvovan viranomaisen tarkastusoikeudesta. Pykälä perustuu NIS2 – direktiivin 32 artiklan 2 kohdan ensimmäisen alakohdan a-d kohtiin sekä 32 artiklan 2 kohdan toiseen ja kolmanteen alakohtaan.  

Pykälän 1 momentin mukaan valvovalla viranomaisella olisi siinä laajuudessa kuin se on tarpeen, oikeus tehdä 4 a luvussa tai NIS 2 – direktiivin nojalla annetuissa säännöksissä säädettyjen velvollisuuksien noudattamisen valvomiseksi viranomaiseen kohdistuva tarkastus. Tarkastus voitaisiin tehdä viranomaisen tiloissa tai tietojärjestelmässä. Tietojärjestelmässä tehtävä tarkastus voisi olla esimerkiksi teknisten riskienhallintakeinojen havainnointia taikka tietokantojen, laitteistojen, palomuurien, salauksen ja verkkojen heikkouksien tunnistamista. Viranomaisen tiloissa tapahtuva tarkastus voisi kohdistua esimerkiksi pääsynhallintaan ja tilaturvallisuutta koskeviin seikkoihin. Muuta viranomaisen tiloissa toteutettavaa tarkastusta voisi olla myös kirjallisen aineiston perusteella tapahtuva tarkastaminen, kuten toimijan laatimien toimintakäsikirjojen, ohjeiden, prosessikuvausten, koulutuskirjanpidon, ulkopuolisen tarkastuksen tulosten tai muun relevantin aineiston tarkastaminen ja vaatimustenmukaisuuden arviointi. Kyberturvallisuuslaissa säädettäisiin erikseen CSIRT-yksikön haavoittuvuuskartoituksista ja niissä saatujen tietojen sallituista käyttötarkoituksista. valvovan viranomaisen tarkastukset voisivat olla säännöllisiä, satunnaistarkastuksia tai tapauskohtaisia (esimerkiksi merkittävän poikkeaman jälkeen). Tarkastukset voisivat olla suppeampia, tiettyyn aihealueeseen keskittyviä tai laajempia, toiminnan kokonaisvaltaisia tarkastuksia. Viranomaisen tulisi toimitusketjujensa osalta pyrkiä hankintasopimuksessa ottamaan huomioon valvovan viranomaisen tarkastusoikeus niin, että se on tarkoituksenmukaisella tavalla toteutettavissa myös alihankintatilanteissa.  

Pykälän 2 momentin mukaan tarkastuksen suorittajalla olisi oltava tarkastuksen laatuun ja laajuuteen nähden riittävä koulutus ja kokemus. Valvovan viranomaisen olisi varmistettava, että tarkastuksen suorittajalla on kyseisten tehtävien suorittamiseen vaadittavat taidot ja että tarkastus toteutetaan objektiivisesti.  

Pykälän 3 momentin mukaan viranomaisen olisi tarkastusta varten päästettävä tarkastusta suorittava tarkastuksen edellyttämässä laajuudessa tarkastuksen kohteena olevaan viestintäverkkoon tai tietojärjestelmään ja muihin kuin pysyväisluonteiseen asumiseen tarkoitettuihin tiloihin. Tarkastuksen suorittamiseksi tarkastuksen suorittajalla olisi salassapitosäännösten tai muiden tiedon luovuttamista koskevien rajoitusten estämättä oikeus saada tutkittavakseen valvontatehtävän kannalta välttämättömät tiedot, asiakirjat, laitteet ja ohjelmistot, suorittaa tarvittavia testejä ja mittauksia sekä tarkastaa viranomaisen toteuttamat turvallisuusjärjestelyt. Valvovalla viranomaisella olisi tiedonsaantioikeutensa perusteella oikeus myös tarkastusta ennen sekä tarkastuksen kestäessä saada tutkittavakseen viranomaisen kirjallista aineistoa, kuten toimijan laatimia toimintakäsikirjoja, ohjeita, prosessikuvauksia, koulutuskirjanpitoa ja tietoturvallisuusarvioinnin tuloksia.  

Pykälän 3 momentin loppuun sisältyisi viittaus 18 i §:n 3 momentin ehdotettuihin tiedonsaantioikeuden rajoituksiin, jotka soveltuisivat myös tarkastuksen suorittajan tarkastus- ja tiedonsaantioikeuteen. 

Ehdotettu 4 momentti sisältäisi aineellisen viittaussäännöksen hallintolain 39 § soveltumisesta tarkastuksessa noudatettavaan menettelyyn. Mainittu säännös ei muutoin sovellu valvontatyyppiseen tarkastukseen. Hallintolain 39 §:n 1 momentissa säädetään muun muassa viranomaisen velvollisuudesta ilmoittaa tarkastuksen aloittamisajankohdasta asianosaiselle, jollei ilmoittaminen vaaranna tarkastuksen tarkoituksen toteutumista. Lisäksi säädetään asianosaisen oikeudesta olla läsnä tarkastuksessa sekä siitä, että tarkastus on suoritettava aiheuttamatta tarkastuksen kohteelle tai sen haltijalle kohtuutonta haittaa. NIS2 – direktiivin johdanto-osan perustelukappaleen 123 mukaan ”toimivaltaisten viranomaisten valvontatehtävien suorittaminen ei saisi tarpeettomasti haitata asianomaisen toimijan liiketoimintaa. Kun toimivaltaiset viranomaiset suorittavat keskeisiin toimijoihin liittyviä valvontatehtäviään, kuten paikalla tehtäviä tarkastuksia ja muuta kuin paikalla toteutettavaa valvontaa, tämän direktiivin rikkomisten tutkintaa, turvallisuusauditointia tai turvallisuusskannausta, niiden olisi minimoitava vaikutus asianomaisen toimijan liiketoimintaan”. Hallintolain 39 §:n 2 momentissa säädetään kirjallisesta tarkastuskertomuksesta.  

18 k §.Avustavan tehtävän antaminen tietoturvallisuuden arviointilaitokselle ja arvioinnin teettäminen. Pykälässä säädettäisiin tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011, jäljempänä arviointilaitoslaki ) tarkoitetun hyväksytyn tietoturvallisuuden arviointilaitoksen hyödyntämisestä tarkastustoiminnassa sekä tilanteessa, jossa Liikenne- ja viestintävirasto valvovana viranomaisena velvoittaisi viranomaisen itse teettämään kyberturvallisuuden riskienhallintaan kohdistuvan arvioinnin. Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain 3 §:n mukaan valtionhallinnon viranomaiset saavat käyttää tietojärjestelmiensä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnissa vain Liikenne- ja viestintäviraston palveluja taikka sellaista arviointilaitosta, joka on saanut Viestintäviraston hyväksynnän arviointilaitoslain mukaan. Säännöksen perusteluissa (HE 45/2011 vp, s. 11) todetaan, että tarkoitus on varmistaa, että valtionhallinnon viranomaiset käyttävät vain luotettavia ulkopuolisia tietoturvallisuuden arviointipalveluja ja että säännös on tarpeen valtionhallinnon tietoturvallisuuden kehittämiseksi yhtenäisellä tavalla ja ilman perustaltaan epäasiallisia kustannuksia. Samoilla perusteilla ehdotetussa säännöksessä rajattaisiin tarkastustehtävässä avustavan tehtävän antaminen ja arvioinnin suorittaminen hyväksyttyihin tietoturvallisuuden arviointilaitoksiin.  

Pykälän 1 momentin mukaan valvova viranomainen voisi antaa 18 j §:ssä tarkoitettuun tarkastustehtävään liittyvän avustavan tehtävän arviointilaitoslaissa tarkoitetulle hyväksytylle tietoturvallisuuden arviointilaitokselle. Valvova viranomainen voisi antaa avustavan tehtävän tietoturvallisuuden arviointilaitokselle, jonka pätevyysalue olisi soveltuva avustavan tehtävän suorittamiseen.  

Pykälän 2 momentin mukaan valvova viranomainen voisi velvoittaa viranomaisen teettämään tietoturvallisuuden arviointilaitoksen suorittaman kyberturvallisuuden riskienhallintaan kohdistuvan arvioinnin, jos viranomaiseen on kohdistunut merkittävä poikkeama, joka on aiheuttanut palvelujen vakavan toimintahäiriön tai huomattavaa aineellista tai aineetonta vahinkoa taikka, jos viranomainen on olennaisesti ja vakavasti laiminlyönyt 18 b tai c §:ssä tarkoitettujen kyberturvallisuuteen kohdistuvien riskienhallintavelvoitteiden noudattamisen. Arvioinnin tilaisi arvioinnin kohteena oleva viranomainen, joka myös vastaisi arvioinnin kustannuksista. Mikäli arviointilaitosten palvelujen saannissa olisi viivettä, valvovan viranomaisen tulisi ottaa huomioon tämä arviointiin velvoittaessaan, esimerkiksi mikäli se asettaa arvioinnin teettämiselle jonkin määräajan.  

Pykälän 3 momentin mukaan tietoturvallisuuden arviointilaitoksen palveluksessa olevaan tarkastuksessa avustavaan henkilöön ja arvioinnin suorittajaan sovellettaisiin, mitä 18 j §:n 2–4 momentissa säädetään tarkastuksen suorittajan kokemuksesta ja koulutuksesta sekä tarkastuksen suorittajan oikeuksista. Tietoturvallisuuden arviointilaitoksen henkilöstön pätevyys varmistetaan lähtökohtaisesti silloin kun arviointilaitos hyväksytään arviointilaitoslain mukaisessa menettelyssä. Tietoturvallisuuden arviointilaitoksen palveluksessa olevalla tarkastuksessa avustavalla henkilöllä ja arvioinnin suorittajalla olisivat samat tarkastustoimivaltuudet ja tiedonsaantioikeudet kuin valvovan viranomaisen palveluksessa olevalla tarkastuksen suorittajalla.  

Liikenne- ja viestintävirastolla valvovana viranomaisena olisi luonnollisesti ehdotetun 18 i §:n nojalla oikeus saada tieto teetetyn tarkastuksen tai arvioinnin tuloksista sekä oikeus 18 l §:n nojalla velvoittaa viranomainen korjaaviin toimenpiteisiin, mikäli tarkastuksessa tai arvioinnissa käy esille, että viranomainen ei ole noudattanut 4 a luvussa tai NIS 2 – direktiivin nojalla annetuissa säädöksissä säädettyjä velvoitteita. 

Ehdotetussa 3 momentissa säädettäisiin myös ehdotetun 18 k §:n ja arviointilaitoslain välisen suhteen selkeyttämiseksi, että tietoturvallisuuden arviointilaitokseen sovellettaisiin muilta osin arviointilaitoslakia, esimerkiksi arviointilaitoslain 13 §:ää, jonka mukaan hyväksytyn tietoturvallisuuden arviointilaitoksen on arvioitilaitoslaissa tarkoitettuja tehtäviä hoitaessaan noudatettava hallintolakia, julkisuuslakia sekä kielilakia (423/2003). Lisäksi 3 momentissa säädettäisiin tietoturvallisuuden arviointilaitoksen palveluksessa olevan henkilön rikosoikeudellisesta virkavastuusta ja momenttiin sisältyisi myös informatiivinen viittaus vahingonkorvauslakiin. 

18 l §. Seuraamukset. Pykälässä säädettäisiin valvovan viranomaisen valvontapäätöksestä eli oikeudesta velvoittaa viranomainen toteuttamaan 4 a luvussa tai NIS 2 –direktiivin nojalla säädetyt velvoitteet. Pykälä perustuu NIS2 – direktiivin 32 artiklan 1, 4 ja 7 kohtaan.  

Pykälän 1 momentin mukaan valvova viranomainen voisi velvoittaa viranomaisen määräajassa korjaamaan puutteet tässä luvussa tai NIS2-direktiivin nojalla annetuissa säännöksissä säädettyjen velvollisuuksien noudattamisessa. Liikenne- ja viestintävirasto voisi myös velvoittaa viranomaisen julkistamaan kyseiset puutteet tai muut seikat, jotka liittyvät mainittujen velvollisuuksien rikkomiseen. Julkistamisella ei luonnollisesti tarkoitettaisi salassa pidettävien tietojen julkistamista, esimerkiksi niin että viranomaisen kyberturvallisuuden hallinta vaarantuisi julkistamisen johdosta. Liikenne- ja viestintävirasto voisi päätöksessään yksilöidä ne toimenpiteet, jotka on suoritettava poikkeaman ehkäisemiseksi tai korjaamiseksi tai muun puutteen korjaamiseksi. Momentin mukainen valvontapäätös olisi hallintopäätös, jonka tekemiseen sovellettaisiin hallintolakia. Asiaa selvitettäessä ja ratkaistaessa tulisi siten ottaa huomioon, sen lisäksi mitä tässä pykälässä säädetään, muun muassa hallintolaissa asian selvittämisestä, asianosaisen kuulemisesta sekä päätöksen perustelemisesta säädetty.  

Pykälän 2 momentin mukaan valvova viranomainen voisi antaa viranomaiselle varoituksen, jos viranomainen ei ole noudattanut 4 a luvussa tai NIS 2 -direktiivin nojalla annetuissa säännöksissä säädettyjä velvollisuuksia. Varoituksessa olisi yksilöitävä puute tai laiminlyönti, jota varoitus koskee. Varoitus olisi annettava kirjallisena.  

Pykälän 3 momentissa säädettäisiin Liikenne- ja viestintäviraston mahdollisuudesta asettaa uhkasakko valvontapäätöksen noudattamisen tehosteeksi. Pykälä perustuu NIS2 – direktiivin 32 artiklan 1 kohtaan, jonka mukaan jäsenvaltioiden on varmistettava, että keskeisiä toimijoita koskevat tässä direktiivissä säädettyjen velvoitteiden noudattamisen valvonta- tai täytäntöönpanotoimenpiteet ovat vaikuttavia, oikeasuhteisia ja varoittavia ja että niissä otetaan huomioon kunkin yksittäisen tapauksen olosuhteet sekä 34 artiklan 6 kohtaan, jonka mukaan jäsenvaltiot voivat säätää valtuudesta määrätä uhkasakkoja, jotta keskeinen tai tärkeä toimija saadaan lopettamaan tämän direktiivin rikkominen toimivaltaisen viranomaisen aiemman päätöksen mukaisesti. Julkishallinnon toimialalla ei direktiivin 32 artiklan 5 kohdan mukaan edellytetä sovellettavan luvan tai sertifioinnin keskeyttämisen mahdollistavia velvoitteita eikä julkishallinnon toimialalla ole direktiivin 34 artiklan 7 kohdan mukaan välttämätöntä soveltaa hallinnollista sakkoa täytäntöönpanokeinona. Mainittuja päätöksen täytäntöönpanon tehosteita ei ole tarkoitus soveltaa julkishallinnon toimialalla, joten täytäntöönpanon tehosteeksi jää virkavastuun lisäksi uhkasakko, koska keskeyttämis- ja teettämisuhka eivät ole tarkoituksenmukaisia täytäntöönpanon tehosteita viranomaistoimintaan kohdistettuina. Uhkasakon määräämisessä noudatettaisiin uhkasakkolakia.  

18 m §. Muutoksenhaku. Pykälän 1 momenttiin sisältyisi informatiivinen viittaus muutoksenhakua koskevaan yleislakiin, lakiin oikeudenkäynnistä hallintoasioista.  

Oikeudenkäynnistä hallintoasioissa annetun lain 122 §:n 1 ja 2 momentin mukaan päätöstä ei saa panna täytäntöön ennen kuin se on saanut lainvoiman. Valitus korkeimpaan hallinto-oikeuteen ei kuitenkaan estä päätöksen täytäntöönpanoa asiassa, jossa tarvitaan valituslupa. Täytäntöönpanoon ei tällöinkään kuitenkaan saa ryhtyä, jos valitus käy täytäntöönpanon johdosta hyödyttömäksi. Lain 122 §:n 3 momentin mukaan päätös voidaan panna täytäntöön lainvoimaa vailla olevana, jos laissa niin säädetään tai päätös on luonteeltaan sellainen, että se on pantava täytäntöön heti taikka päätöksen täytäntöönpanoa ei yleisen edun vuoksi voida lykätä. Valvova viranomainen voisi tapauskohtaisesti harkita, onko syytä ja perusteita määrätä päätös pantavaksi täytäntöön heti. Oikeudenkäynnistä hallintoasioissa annetun lain 123 §:ssä säädetään muun muassa hallintotuomioistuimen oikeudesta kieltää päätöksen täytäntöönpano, määrätä täytäntöönpano keskeytettäväksi sekä oikeudesta antaa päätöksen täytäntöönpanoa koskevan muu määräys. 

Pykälän 2 momentti sisältäisi informatiivisen viittauksen uhkasakkolakiin, jonka 24 § sisältää erityisiä säännöksiä muutoksenhausta uhkasakon asettamista ja maksettavaksi tuomitsemista koskevaan päätökseen.  

7.3  Laki sähköisen viestinnän palveluista annetun lain muuttamisesta

2 §.Eräiden säännösten soveltaminen . Säännöksen 2 momentti ehdotetaan kumottavaksi. Momentissa säädetään kumottavaksi ehdotettavassa 247 a §:ssä tarkoitetun verkossa toimivan markkinapaikan, hakukonepalvelun ja pilvipalvelun tarjoajan toimintaan sovellettavasta lainsäädännöstä EU-jäsenvaltioiden kesken NIS1-direktiivin mukaisesti. Momentti kumottaisiin 247 a §:n kumoamisen johdosta tarpeettomana, koska näitä toimijoita koskeva NIS2-direktiivin mukainen sääntely pantaisiin täytäntöön ensimmäisellä lakiehdotuksella. Vastaava säännös sisältyisi ensimmäisen lakiehdotuksen 6 §:ään.  

165 §.Verkkotunnusvälittäjän ilmoitusvelvollisuudet. Säännöksen 1 momenttia ehdotetaan muutettavan siten, että verkkotunnusvälittäjän ilmoitusvelvollisuutta laajennettaisiin kattamaan NIS2-direktiivin 27 artiklan 2 kohdassa tarkoitetut tiedot. Verkkotunnusvälittäjien tulisi siten ilmoittaa verkkotunnusrekisteriä hallinnoivalle viranomaiselle eli Liikenne- ja viestintävirastolle myös eräitä osoitetietoja ja muita ajantasaisia yhteystietoja, IP-osoitealueet sekä luettelo jäsenvaltioista joissa se tarjoaa palvelujaan. Ehdotuksella täytäntöönpantaisiin NIS2-direktiivin 27 artiklan 2 kohta verkkotunnusvälittäjien osalta.  

Lisäksi säännökseen lisättäisiin uusi 4 momentti , jonka mukaan Liikenne- ja viestintäviraston olisi toimitettava eräitä tietoja verkkotunnusvälittäjien ilmoituksista myös kyberturvallisuuslain 18 §:ssä tarkoitetulle keskitetylle yhteyspisteelle NIS2-direktiivin 27 artiklan 4 kohdassa tarkoitetun ilmoituksen tekemiseksi.  

167 §.Tietojen merkitseminen verkkotunnusrekisteriin ja tietojen julkaiseminen . Säännöksen 1 momenttia ehdotetaan muutettavaksi NIS2-direktiivin 28 artiklan 1 ja 2 kohdan edellyttämällä tavalla. Verkkotunnuksen käyttäjä olisi velvollinen ilmoittamaan verkkotunnusvälittäjälle oikeat, ajantasaiset ja yksilöivät käyttäjä- ja yhteystiedot sekä niissä tapahtuvat muutokset. Verkkotunnusvälittäjän tai sen puolesta toimivan tahon, kuten yksityisyys- tai välityspalvelujen tarjoajan tai jälleenmyyjän, olisi merkittävä verkkotunnusrekisteriin verkkotunnuksen käyttäjää koskevien tietojen lisäksi myös rekisteröityä verkkotunnusta koskevat tiedot, kuten rekisteröity verkkotunnus sekä rekisteröintipäivä.  

Säännökseen ehdotetaan lisättävän uusi 2 momentti , jonka nojalla Liikenne- ja viestintävirasto voisi estää verkkotunnuksen rekisteröinnin verkkotunnusrekisteriin, jos se epäilee 1 momentissa tarkoitettujen tietojen olevan puutteellisia tai virheellisiä. Liikenne- ja viestintäviraston olisi kuitenkin ensin kehotettava verkkotunnusvälittäjää todentamaan tiedot oikeiksi kohtuullisessa määräajassa. Mikäli tietojen epäiltäisiin olevan puutteellisia tai virheellisiä eikä verkkotunnusvälittäjä vastaisi kehotukseen todentaa tietoja oikeellisiksi, olisi tiedot jätettävä merkitsemättä rekisteriin. Liikenne- ja viestintäviraston olisi julkaistava käytössään olevat, käyttäjätietojen oikeellisuuden varmistamista koskevat toimintaperiaatteet ja menettelyt. Verkkotunnuksen rekisteröinnin estämistä täydentäisi voimassa olevan 169 §:n mukainen Liikenne- ja viestintäviraston toimivaltuus verkkotunnuksen poistamisesta rekisteröinnin jälkeen, jos tiedot ovat puutteellisia tai virheellisiä ja tietoja ei kehotuksesta huolimatta korjata määräajassa.  

Säännöksen aikaisemmat 2-4 momentit siirtyisivät uuden 2 momentin lisäämisen johdosta 3-5 momenteiksi. Säännöksen 3 momenttia ehdotetaan muutettavaksi siten, että Liikenne- ja viestintävirasto olisi velvollinen julkaisemaan verkkotunnusrekisterin tiedot. Tiedot olisi julkaistava ilman aiheetonta viivytystä ja joko Liikenne- ja viestintäviraston internet-sivuilla tai muussa sähköisessä palvelussa. Henkilötietojen osalta olisi otettava huomioon, mitä henkilötietojen luovuttamiseen viranomaisen ylläpitämästä rekisteristä säädetään erikseen julkisuuslain 16 §:n 3 momentissa. Julkisuuslaista poiketen Liikenne- ja viestintäviraston olisi vastattava verkkotunnusten rekisteritietoihin pääsyä koskevaan pyyntöön ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa pyynnön vastaanottamisesta. Mikäli Liikenne- ja viestintävirastolle toimitettu tietopyyntö olisi puutteellinen tai epäselvä siten, että sen perusteella ei voida arvioida, onko tietojen luovuttaminen tietosuojalainsäädännön mukaista tai muusta syystä epäselvä tavalla, joka estää asian ratkaisemisen, Liikenne- ja viestintäviraston olisi vastattava tietopyynnön esittäjälle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa ja pyydettävä täydentämään tietopyyntöä puutteellisuuden tai epäselvyyden osalta. Liikenne- ja viestintäviraston olisi vastattava edelleen täydennettyyn pääsyä koskevaan pyyntöön ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa täydennyksen vastaanottamisesta. Liikenne- ja viestintäviraston olisi lisäksi julkaistava käytössään olevat toimintaperiaatteet ja menettelyt verkkotunnusten rekisteröintitietojen luovuttamisesta.  

Säännöksen 5 momentissa on säädetty Liikenne- ja viestintävirastolle annettavasta määräyksenantovaltuudesta. Liikenne- ja viestintäviraston määräyksenantovaltuutta ehdotetaan laajennettavan siten, että Liikenne- ja viestintävirasto voisi antaa tarkempia teknisiä määräyksiä myös verkkotunnuksen käyttäjää koskevien tietojen varmistamisesta. Tällä tarkoitettaisiin esimerkiksi teknisiä toimintaperiaatteita ja menettelyjä, joilla verkkotunnusvälittäjät voivat varmistua siitä että 1 momentissa tarkoitetut, verkkotunnuksen käyttäjän ilmoittamat tiedot ovat oikeita ja ajantasaisia.  

Ehdotetuilla muutoksilla pantaisiin täytäntöön NIS2-direktiivin 28 artiklan 1-2 kohdat sekä 3-5 kohdat aluetunnusrekisterin osalta. 

170 §.Verkkotunnusvälittäjän muut velvollisuudet. Säännöksen 1 momenttiin lisättäisiin uusi 8 kohta , jonka mukaan verkkotunnusvälittäjän olisi julkaistava sen käytössä olevat toimintaperiaatteet ja menettelyt, joilla varmistetaan, että verkkotunnusrekisterin tiedot ovat 167 §:n 1 momentin mukaiset. Mainitun 167 §:n mukaan verkkotunnusvälittäjän tai sen puolesta toimivan tahon, kuten yksityisyys- tai välityspalvelujen tarjoajan tai jälleenmyyjän, on merkittävä verkkotunnusrekisteriin verkkotunnuksen käyttäjää sekä rekisteröityä verkkotunnusta koskevat oikeat, ajantasaiset ja yksilöivät tiedot sekä kuulemisiin ja tiedoksiantoihin käytettävä sähköpostiosoite. Lisäksi 1 momenttiin ehdotetaan lisättävän uusi 9 kohta , jonka mukaan verkkotunnusvälittäjän on ilman aiheetonta viivytystä asetettava julkisesti saataville muut verkkotunnuksen rekisteröintitiedot kuin henkilötiedot. Verkkotunnusvälittäjän olisi lisäksi ehdotetun 10 kohdan mukaisesti annettava pääsy verkkotunnusten rekisteröintitietoihin tietosuojalainsäädännön mukaisesti ja maksuttomasti. Verkkotunnusvälittäjän olisi lisäksi vastattava rekisteritietoihin pääsyä pyytävälle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa siitä, kun verkkotunnusvälittäjä on vastaanottanut lainmukaisen ja asianmukaisesti perustellun pyynnön. Mikäli pyyntö on esimerkiksi sillä tavalla puutteellinen tai epäselvä, että sen perusteella ei voida arvioida, onko tietojen luovuttaminen tietosuojalainsäädännön mukaista, verkkotunnusvälittäjän olisi vastattava pyynnön esittäjälle esimerkiksi lisätietopyynnöllä laissa asetetun määräajan kuluessa. Lisäksi 1 momenttiin ehdotettaisiin lisättävän uusi 11 kohta , jonka mukaan verkkotunnusvälittäjän olisi julkaistava sen käyttämät toimintaperiaatteet ja menettelyt verkkotunnusten rekisteröintitietojen luovuttamisesta.  

Säännöksen 2 momentissa on säädetty Liikenne- ja viestintävirastolle annettavasta määräyksenantovaltuudesta. Liikenne- ja viestintäviraston määräyksenantovaltuutta ehdotetaan laajennettavan 1 momenttiin lisättävien 8-11 kohtien johdosta siten, että Liikenne- ja viestintävirasto voisi antaa tarkempia määräyksiä myös tarkoitetuista julkisesti saataville asetettavista tiedoista, pääsyn antamisesta tietoihin sekä toimintaperiaatteista ja menettelyistä.  

Säännökseen ehdotetaan lisättävän uusi 3 momentti , joka selkeyttäisi 1 momentin 6-7 kohtien suhdetta ehdotettuun kyberturvallisuuslakiin. NIS2-direktiivin soveltamisalaan kuuluvien DNS-palveluntarjoajien osalta velvollisuudesta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja poikkeamien ilmoittamisesta säädettäisiin jatkossa kyberturvallisuuslaissa. Sen sijaan sellaisten verkkotunnusvälittäjien, jotka eivät toimi DNS-palveluntarjoajina, vastaavat velvoitteet olisivat jatkossakin 1 momentin 6-7 kohdissa.  

Ehdotetuilla muutoksilla pantaisiin täytäntöön NIS2-direktiivin 28 artiklan 3-5 kohdat verkkotunnusvälittäjien osalta. 

247 §.Viestinnän välittäjän ja lisäarvopalvelun tarjoajan velvollisuus huolehtia tietoturvasta. Säännökseen ehdotetaan lisättävän selkeyttävä momentti siitä, että NIS2-direktiivin soveltamisalaan kuuluvien viestinnän välittäjien ja lisäarvopalvelun tarjoajien osalta velvollisuuteen huolehtia tietoturvasta ja siihen kohdistuvista riskeistä sovellettaisiin myös kyberturvallisuuslakia.  

247 a §.Verkossa toimivan markkinapaikan, hakukonepalvelun ja pilvipalvelun tarjoajan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. Säännös ehdotetaan kumottavaksi vastaavan velvoitteen siirtyessä kyberturvallisuudesta annettavaan lakiin. Säännöksen tarkoituksena on ollut siinä tarkoitettujen toimijoiden osalta NIS1-direktiivin täytäntöönpano. Jatkossa 247 a §:ssä tarkoitettujen toimijoiden vastaavasta riskienhallintavelvoitteesta säädettäisiin kyberturvallisuuslaissa. Näin ollen säännös ehdotetaan kumottavaksi tarpeettomana.  

275 §.Häiriöilmoitukset Liikenne- ja viestintävirastolle . Säännöksen 1 momentista ehdotetaan poistettavaksi Liikenne- ja viestintäviraston velvollisuus toimittaa komissiolle ja Euroopan unionin kyberturvallisuusvirastolle vuosittainen tiivistelmäraportti momentin nojalla annetuista ilmoituksista. Kyseinen velvoite on lisätty lakiin teledirektiivin 40 artiklan täytäntöönpanemiseksi. NIS2-direktiivillä kumotaan teledirektiivin 40 artikla, joten sitä täytäntöönpaneva kansallinen säännös ehdotetaan kumottavaksi tarpeettomana.  

Säännöksestä ehdotetaan kumottavaksi sen 2 momentti, jossa säädetään kumottavaksi ehdotettavassa 247 a §:ssä tarkoitettujen toimijoiden velvollisuudesta ilmoittaa merkittävistä tietoturvallisuuteen liittyvistä häiriöistä. Momentti on lisätty lakiin NIS1-direktiivin täytäntöönpanemiseksi 247 a §:ssä tarkoitettujen toimijoiden osalta. Jatkossa 247 a §:ssä tarkoitettujen toimijoiden vastaavasta NIS2-direktiivin nojalla tapahtuvasta ilmoitusvelvollisuudesta säädettäisiin kyberturvallisuuslaissa. Näin ollen säännös ehdotetaan kumottavaksi tarpeettomana.  

Samalla nykyiset 3–5 momentit siirtyisivät uusiksi 2–4 momentiksi ja niistä poistettaisiin viittaukset kumottavaan 2 momenttiin. Kumottavassa 247 a §:ssä tarkoitettujen toimijoiden osalta 275 §:n vanhaa 3 momenttia vastaava säännös sisältyisi ensimmäisen lakiehdotuksen 11 §:ään, vanhaa 4 momenttia vastaava määräyksenantovaltuus sisältyisi ensimmäisen lakiehdotuksen 11 §:ään ja vanhaa 5 momenttia vastaava säännös sisältyisi ensimmäisen lakiehdotuksen 17 §:ään. Voimassa olevan 275 §:n 4 momentin nojalla annettuja määräyksiä koskisi siirtymäsäännös.  

308 §.Yhteistyö eri viranomaisten kanssa. Pykälän 3 momenttia ehdotetaan muutettavaksi siten, että viittaus verkko- ja tietoturvadirektiivin 11 artiklassa tarkoitettuun yhteistyöryhmään muutetaan viittaukseksi NIS2-direktiivin 14 artiklassa tarkoitettuun yhteistyöryhmään. Momenttiin lisättäisiin viittaus myös NIS2-direktiivin 15 artiklassa tarkoitettuun CSIRT-verkostoon ja 16 artiklassa tarkoitettuun Euroopan kyberkriisien yhteysorganisaatioiden verkostoon (EU-CyCLONe). Momentista poistettaisiin viittaus verkko- ja tietoturvadirektiivin 10 artiklan 3 kohdan mukaisen tiivistelmäraportin toimittamiseen mainitun direktiivin kumoamisen johdosta. NIS2-direktiivin osalta vastaavasta raportointivelvollisuudesta Liikenne- ja viestintävirastolle säädettäisiin ehdotetussa kyberturvallisuuslain 18 §:ssä.  

313 §.Valvonta-asioiden käsittely Liikenne- ja viestintävirastossa. Pykälän 2 momentin 2 kohtaa ehdotetaan muutettavaksi siten, että kohdasta poistettaisiin viittaus kumottavaksi ehdotettavaan 247 a §:än.  

318 §.Tietojen luovuttaminen viranomaisesta. Pykälän 4 momenttia ehdotetaan muutettavaksi osin lainsäädäntöteknisistä syistä. Momentista poistettaisiin viittaus 275 §:n nykyiseen 2 momenttiin, joka ehdotetaan kumottavaksi. Lisäksi viittaus verkko- ja tietoturvadirektiivin 11 artiklassa tarkoitettuun yhteistyöryhmään muutettaisiin viittaukseksi NIS2-direktiivin 14 artiklassa tarkoitettuun yhteistyöryhmään ja 15 artiklassa tarkoitettuun CSIRT-verkostoon.  

342 §. Oikaisuvaatimus. Pykälän 2 momenttiin ehdotetaan lisättäväksi 167 §:n 2 momentissa tarkoitettu verkkotunnuksen rekisteröinnin estäminen sekä 169 §:n 1 momentissa tarkoitettu verkkotunnuksen poistaminen päätöksiksi, joista vaaditaan oikaisua siten kuin hallintolaissa säädetään. Verkkotunnuksien rekisteröintien suuren määrän johdosta olisi perusteltua noudattaa oikaisuvaatimusmenettelyä myös näissä momenteissa tarkoitettujen päätöksien osalta.  

7.4  Laki ilmailulain 128 a §:n ja 128 b §:n kumoamisesta

Ehdotuksella kumottaisiin ilmailulain 128 a § ja 128 b §, jotka koskevat lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän velvollisuutta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta sekä ilmoittaa siihen liittyvistä häiriöistä viranomaiselle. Säännökset on lisätty ilmailulakiin NIS1-direktiivin toimeenpanemiseksi. Säännökset kumottaisiin, sillä ehdotettuun kyberturvallisuuslakiin sisältyisi lennonvarmistuspalvelun tarjoajia ja lentoaseman pitäjiä koskevat vastaavat velvollisuudet.  

Ehdotuksen myötä kumoutuisi myös yhteiskunnan toiminnan kannalta merkittävistä lentoasemista ja satamista annettu valtioneuvoston asetus (361/2018), koska esitykseen sisältyy ehdotus myös turvatoimilain 7 e ja 7 f §:n kumoamisesta. Kumoutuva asetus on annettu kumottavaksi ehdotettavien ilmailulain 128 a §:n ja turvatoimilain 7 e §:n nojalla. Koska molemmat asetuksenantovaltuuden sisältävät säännökset ehdotetaan kumottavaksi, niiden nojalla annettu valtioneuvoston asetus ei jäisi voimaan. Velvoitteita sovellettaisiin jatkossa NIS2-direktiivin ja ehdotetun yleislain soveltamisalaan kuuluviin lentoasemiin ja satamiin, eikä siten olisi tarpeellista määritellä erikseen yhteiskunnan toiminnan kannalta merkittäviä lentoasemia ja satamia laissa tai sen nojalla. 

7.5  Laki raideliikennelain 169 §:n kumoamisesta

Ehdotuksella kumottaisiin raideliikennelain 169 §, joka koskee valtion rataverkon haltijan sekä liikenteenohjauspalvelun tarjoajan velvollisuutta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta sekä ilmoittaa viestintäverkkoihin ja tietojärjestelmiin liittyvistä häiriöistä viranomaiselle. Säännös kumottaisiin, sillä ehdotettuun kyberturvallisuuslakiin sisältyisi jatkossa vastaava velvollisuus rataverkon haltijalle ja liikenteenohjauspalvelun tarjoajalle. 

7.6  Laki liikenteen palveluista annetun lain muuttamisesta

140 §. Tietoturva tieliikenteen ohjaus- ja hallintapalvelussa. Pykälää ehdotetaan muutettavaksi siten, että nykyiset 1 – 4 momentti kumottaisiin. Ehdotettuun kyberturvallisuuslakiin sisältyisi jatkossa vastaava velvollisuus tieliikenteen ohjaus- ja hallintapalvelun tarjoajalle. Uutena 1 momenttina säädettäisiin informatiivinen viittaussäännös mainittuun lakiin. Pykälän nykyinen 5 momentti siirtyisi uudeksi 2 momentiksi muuttamattomana.  

161 §. Älykkään liikennejärjestelmän ylläpitäjän velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen. Pykälä ehdotetaan kumottavaksi. Pykälä koskee älykkään liikennejärjestelmän ylläpitäjän velvollisuutta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta sekä ilmoittaa siihen liittyvistä häiriöistä viranomaiselle. Säännös kumottaisiin, sillä ehdotettuun kyberturvallisuuslakiin sisältyisi jatkossa vastaava velvollisuus älykkään liikennejärjestelmän ylläpitäjälle.  

7.7  Laki alusliikennepalvelulain 18 a §:n kumoamisesta.

Ehdotuksella kumottaisiin alusliikennepalvelulain 18 a §, joka koskee VTS-palveluntarjoajan velvollisuutta ilmoittaa viestintäverkkoihin ja tietojärjestelmiin kohdistuvista merkittävistä tietoturvallisuuteen liittyvistä häiriöistä Liikenne- ja viestintävirastolle. Säännös kumottaisiin, sillä ehdotettuun kyberturvallisuuslakiin sisältyisi jatkossa vastaava velvollisuus VTS-palveluntarjoajalle. 

7.8  Laki eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain 7 e ja 7 f §:n kumoamisesta

Ehdotuksella kumottaisiin turvatoimilain 7 e ja 7 f §:t, jotka koskevat yhteiskunnan toiminnan kannalta merkittävän satamanpitäjän velvollisuutta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta sekä ilmoittaa siihen liittyvistä häiriöistä viranomaiselle. Säännökset kumottaisiin, sillä ehdotettuun kyberturvallisuuslakiin sisältyisi jatkossa satamanpitäjiä koskevat vastaavat velvollisuudet.  

Ehdotuksella kumoutuisi myös yhteiskunnan toiminnan kannalta merkittävistä lentoasemista ja satamista annettu valtioneuvoston asetus (361/2018), koska esitykseen sisältyy ehdotus myös ilmailulain 128 a ja 128 b §:n kumoamisesta. Velvoitteita sovellettaisiin jatkossa NIS2-direktiivin ja ehdotetun yleislain soveltamisalan mukaisesti. 

7.9  Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain muuttamisesta

2 §.Soveltamisala ja suhde muuhun lainsäädäntöön. Lain 2 §:n 3 momenttia ehdotetaan muutettavaksi niin, että sen mukaan sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetulla lailla annettaisiin toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetulla Euroopan parlamentin ja neuvoston direktiiviä (EU) 2022/2555 ja sen täytäntöönpanemiseksi ehdotettua kyberturvallisuuslakia täydentävät ja täsmentävät säännökset käsiteltäessä sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja sosiaali- ja terveyspalveluiden järjestämisen ja toteuttamisen käyttötarkoituksissa. Samalla muutettaisiin viittaus vastaamaan uutta NIS 2 -direktiiviä.  

NIS 2 -direktiiviä ja kyberturvallisuuslakia täydentävää ja täsmentävää sääntelyä on lain 10 luvussa Tietoturvallisuuden ja tietosuojan omavalvonnasta. Lain 77 §:ssä säädetään palvelunantajien velvoitteesta laatia tietoturvasuunnitelma ja selvittää siinä, miten pykälässä tarkemmin eriteltyjä asiakas- ja potilastietojen käsittelyyn liittyviä vaatimuksia varmistetaan. Vaatimukset liittyvät esimerkiksi tietojärjestelmän käyttöympäristön soveltuvuuteen tietojärjestelmien asianmukaisen sekä tietoturvan ja tietosuojaan varmistavaan käyttöön, ja käyttöympäristöön sekä tietojärjestelmiin kohdistuvien riskien hallinnasta huolehtimiseen. Vaatimus koskee sekä julkisia että yksityisiä sosiaali- ja terveydenhuollon palvelunantajia. Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista sekä tietoturvallisuuden todentamisesta. Täydentävää ja täsmentävää sääntelyä on myös lain 78 §:ssä, jossa säädetään tietoturvallisuuden omavalvonnan toteuttamisesta ja vastuista, mm. palvelunantajan vastaavan johtajan vastuusta huolehtia siitä, että tietoturvasuunnitelma laaditaan ja sitä noudatetaan. Lisäksi lain 90 § sisältää sääntelyn tietojärjestelmän ja hyvinvointisovelluksen olennaisten vaatimusten poikkeamista sekä tietoverkkoihin ja käyttöympäristöihin kohdistuvista tietoturvallisuuden häiriöistä. Pykälän mukaan sekä tietojärjestelmien että tietoverkkojen ja käyttöympäristöjen poikkeamista tulee ilmoittaa valvontaviranomaiselle, jos poikkeama voi aiheuttaa merkittävän riskin tietoturvalle, tietojärjestelmien käytölle tai palveluiden toteuttamiselle.  

Sosiaali- ja terveydenhuollon asiakastietojen käsittelyä koskeva sääntely koskee kaikkia sosiaali- ja terveydenhuollon palvelunantajia ja apteekkeja, ja lisäksi se koskee laajasti tietojärjestelmiä sekä käyttöympäristöjen ja tietoverkkojen tietoturvallisuutta eli sen soveltamisala on laajempi kuin kyberturvallisuuslaissa. Sosiaali- ja terveydenhuollon asiakastiedot ovat valtiosääntöisesti arkaluonteisia, yksityisyyden suojan piiriin kuuluvia tietoja, joten on välttämätöntä varmistaa mahdollisuus valvonnan keinoin puuttua niiden käsittelyssä käytettävien tietojärjestelmien, käyttöympäristöjen ja tietoverkkojen turvallisuuteen siten, että ilmoitusvelvollisuudet ja valvonta muodostavat eheän ja aukottoman kokonaisuuden. Asiakastietojen käsittelystä annetun lain ehdotetut muutokset ovat jatkumoa voimassa olevalle sosiaali- ja terveydenhuollon asiakastietojen käsittelyä koskevalle sääntelylle, jota NIS 2 –direktiivi ja kyberturvallisuuslaki täydentävät julkisten palvelunantajien sekä vähintään keskisuurten yksityisten toimijoiden osalta mahdollistaen tehokkaammat puuttumisen keinot kyseisten säädösten tarkoittamien merkittävien riskien osalta. Asiakastietolaki taas mahdollistaa häiriötilanteisiin puuttumisen mahdollisesti myös matalammalla kynnyksellä. Asiakastietojen käsittelystä annettu laki, NIS 2-direktiivi ja kyberturvallisuuslaki muodostavat kokonaisuuden, joka mahdollistaa asianmukaiset ja tarkoituksenmukaiset menettelyt eritasoisiin tietoturvallisuuden riskeihin puuttumiseen sosiaali- ja terveydenhuollon asiakastietojen osalta. 

90 §.Ilmoittaminen tietojärjestelmän ja hyvinvointisovelluksen olennaisten vaatimusten poikkeamista sekä tietoverkkoihin kohdistuvista tietoturvallisuuden häiriöistä. 

Pykälän 1 momenttia muutettaisiin niin, että apteekkien tulisi ilmoittaa Sosiaali- ja terveysalan lupa- ja valvontaviraston lisäksi Lääkealan turvallisuus- ja kehittämiskeskukselle, jos tietojärjestelmän poikkeama voi aiheuttaa merkittävän riskin apteekin toiminnalle. Muutos vastaisi muun lainsäädännön mukaisia kyseisten virastojen valvontatehtävien vastuita, ja olisi yhdenmukainen myös kyberturvallisuuslain mukaisten valvontavastuiden kanssa. Apteekkien valvonta kuuluu Lääkealan turvallisuus- ja kehittämiskeskuksen vastuulle, ja Sosiaali- ja terveysalan lupa- ja valvontavirasto vastaa tietojärjestelmien valvonnasta. Lääkealan turvallisuus- ja kehittämiskeskuksen on tärkeää saada tieto apteekkien toimintaan vaikuttavista häiriöistä, joilla voi olla esimerkiksi vaikutusta alueen lääkehuoltoon.  

Pykälän 2 momenttiin tehtäisiin muutokset siten, että määräyksenantovaltuus tietoturvallisuuden häiriön merkittävyydestä ja häiriötä koskevan ilmoituksen sisällöstä, muodosta ja toimittamisesta olisi Terveyden ja hyvinvoinnin laitoksen sijasta Sosiaali- ja terveysalan lupa- ja valvontavirastolla, joka myös vastaanottaa kyseiset ilmoitukset.  

Pykälän 3 momentissa säädettäisiin siitä, että apteekin olisi Sosiaali- ja terveysalan lupa- ja valvontaviraston lisäksi ilmoitettava Lääkealan turvallisuus- ja kehittämiskeskukselle viipymättä sellaisesta sen käyttämiin käyttöympäristöihin ja tietoverkkoihin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena apteekin toiminta voi merkittävästi vaarantua. Lääkealan turvallisuus- ja kehittämiskeskus voisi antaa tarkempia määräyksiä siitä, milloin apteekkeja koskeva häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. Ilmoitus tulisi tehdä molemmille virastoille, koska käyttöympäristöjen ja tietoverkkojen häiriöt voivat tiiviisti liittyä tietojärjestelmiin, eikä häiriön alkuvaiheessa ole aina selvää, johtuuko häiriö tietojärjestelmästä, sen käyttöympäristöstä vai tietoverkoista.  

Pykälän 3 momentti siirtyisi uudeksi 4 momentiksi ja vanha 4 momentti kumottaisiin tarpeettomana kyberturvallisuuslain ja tiedonhallintalain uuden 4 a luvun johdosta. Momenttia ehdotetaan täydennettäväksi siten, että apteekkien häiriötilanteiden osalta Lääkealan turvallisuus- ja kehittämiskeskus voi velvoittaa apteekin tiedottamaan yleisölle asiasta taikka kuultuaan ilmoitusvelvollista tiedottaa asiasta itse. Jos kyseessä on paikallinen häiriö, apteekki voi tiedottaa asiasta itse mutta Lääkealan turvallisuus- ja kehittämiskeskus voisi tiedottaa suuremmista, valtakunnallisista häiriöistä. Lisäksi vastaava velvoittamismahdollisuus olisi edelleen Sosiaali- ja terveysalan lupa- ja valvontaviranomaisella, joka voisi osana tietojärjestelmiin liittyvää valvontatehtäväänsä velvoittaa apteekin tiedottamaan tietojärjestelmään liittyvästä häiriöstä tai tiedottaa siitä itse.  

7.10  Laki sähkömarkkinalain muuttamisesta

29 a §.Verkonhaltijan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen. Pykälä ehdotetaan kumottavaksi, sillä verkonhaltijan velvollisuudesta huolehtia käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta säädettäisiin jatkossa ehdotetussa kyberturvallisuuslaissa.  

62 §.Suljettua jakeluverkkoa koskevat erityissäännökset. Pykälän 1 momenttia muutettaisiin poistamalla siitä viittaus kumottavaan 29 a §:ään. Muutos olisi lainsäädäntötekninen.  

7.11  Laki maakaasumarkkinalain 34 a §:n kumoamisesta

Ehdotuksella kumottaisiin maakaasumarkkinalain 34 a §, joka koskee siirtoverkonhaltijan velvollisuutta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta sekä ilmoitusvelvollisuutta merkittävistä tietoturvallisuuteen liittyvistä häiriöistä. Säännös kumottaisiin, sillä ehdotettuun kyberturvallisuuslakiin sisältyisi jatkossa vastaava velvollisuus siirtoverkonhaltijalle. 

7.12  Laki energiavirastosta annetun lain 1 §:n muuttamisesta

1 §.Tehtävät. Lain 1 §:ssä säädetään Energiaviraston tehtävistä. Pykälän 2 momenttiin ehdotetaan lisättäväksi uusi 20 kohta, jonka mukaan Energiavirasto hoitaisi tehtävät, jotka sille on säädetty kyberturvallisuuslaissa. Energiavirasto olisi yksi kyberturvallisuuslain 26 §:ssä tarkoitetuista valvovista viranomaisista.  

7.13  Laki sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain muuttamisesta

2 §.Soveltamisala. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka nojalla lain 23 ja 24 §:ää sovellettaisiin lisäksi niiden tehtävien hoitamiseen, jotka Energiaviraston tehtäviksi säädetään kyberturvallisuuslaissa. Lisäys olisi tarpeen lain soveltamisalan selkeyttämiseksi uuden 23 §:ään lisättäväksi ehdotettavan 6 kohdan johdosta.  

9 §. Energiamarkkinaviraston toimivalta valvonta-asioissa. Pykälään tehtäisiin lainsäädäntötekninen tarkennus 2 §:ään lisättävän uuden 2 momentin johdosta. Pykälän viittaus 2 §:ään muutettaisiin viittaukseksi 2 §:n 1 momenttiin. Muutos olisi lainsäädäntötekninen ja säännöksen asiasisältöä ei tarkoitettaisi muutettavan.  

23 §.Sähkö- ja maakaasuverkkoluvan peruuttaminen . Pykälään ehdotetaan lisättäväksi uusi 6 kohta, jonka nojalla Energiavirasto voisi peruuttaa sähkö- tai maakaasuverkkoluvan silloin, jos luvanhaltija toistuvasti ja oleellisesti rikkoo kyberturvallisuuslaissa säädettyjä velvoitteita. Luvan peruuttaminen voisi tulla kyseeseen, jos kyberturvallisuuslain soveltamisalaan kuuluva toimija ei esimerkiksi ole laatinut kyberturvallisuuslain 8 §:ssä tarkoitettua kyberturvallisuuden riskienhallinnan toimintamallia ja lisäksi toimija on laiminlyönyt viranomaisen kehotuksen korjaavien toimenpiteiden toteuttamisesta. Ennen luvan peruuttamista Energiaviraston olisi annettava luvanhaltijalle varoitus luvan peruuttamisesta. Pykälällä täytäntöönpantaisiin osin NIS2-direktiivin 32 artiklan 5 kohdan ensimmäisen alakohdan a-alakohta.  

Samalla pykälän 4 ja 5 kohtiin tehtäisiin tarvittavat lakitekniset muutokset. 

28 §.Energiaviraston oikeus luovuttaa tietoja toiselle viranomaiselle . Pykälän 1 momentin 1 kohtaa ehdotetaan muutettavan siten, että siitä poistettaisiin maininta salassa pidettävän tiedon luovuttamisesta Liikenne- ja viestintävirastolle. Kyseinen kohta poistettaisiin, sillä ehdotettuun kyberturvallisuuslain 28 §:ään sisältyisi jatkossa vastaava mahdollisuus luovuttaa salassa pidettävää tietoa toiselle viranomaiselle.  

7.14  Laki vesihuoltolain 35 §:n muuttamisesta

Ehdotuksella kumottaisiin vesihuoltolain 35 §:n 2 momentin 3 kohta, joka koskee tietoturvallisuuteen liittyvien tehtävien hoitamiseksi välttämättömien tietojen luovuttamista Liikenne- ja viestintävirastolle salassapitovelvollisuuden estämättä. Kyseinen kohta kumottaisiin, sillä ehdotettuun kyberturvallisuuslain 28 §:än sisältyisi jatkossa vastaava mahdollisuus luovuttaa salassa pidettävää tietoa toiselle viranomaiselle. Muutos olisi lainsäädäntötekninen, eikä säännöstä muutettaisi muilta osin. 

7.15  Laki sakon täytäntöönpanosta annetun lain 1 §:n muuttamisesta.

1 §.Lain soveltamisala. Pykälän 2 momentin listaan lisättäisiin uusi 31 kohta, jonka nojalla kyberturvallisuuslaissa tarkoitetun hallinnollisen seuraamusmaksun pantaisiin täytäntöön siten kuin sakon täytäntöönpanosta annetussa laissa säädetään. Lisäys olisi lainsäädäntötekninen ja vastaisi kyberturvallisuuslaissa hallinnollisen seuraamusmaksun täytäntöönpanosta säädettyä. Sakon täytäntöönpanosta annetun lain nojalla täytäntöönpantavat uudet hallinnolliset seuraamusmaksut on viime vuosina säännönmukaisesti lisätty 1 §:n 2 momentin listaan.  

7.16  Laki maa-asemista ja eräistä tutkista annetun lain 8 §:n muuttamisesta

8 §. Luvan muuttaminen ja peruuttaminen. Pykälän 1 momentin 3 kohtaan lisättäisiin maininta kyberturvallisuuslaista. Kyberturvallisuus laissa on asetettu eräille maa-asemalaissa tarkoitetuille toiminnanharjoittajille velvoitteita, joiden olennainen laiminlyönti voisi johtaa luvan muuttamiseen tai peruuttamiseen. Kyberturvallisuuslaissa säädetyn velvollisuuden olennainen laiminlyönti voisi olla kyseessä esimerkiksi silloin, jos kyberturvallisuuslain soveltamisalaan kuuluva toimija ei ole laatinut kyberturvallisuuslain 8 §:ssä tarkoitettua kyberturvallisuuden riskienhallinnan toimintamallia ja lisäksi toimija on laiminlyönyt viranomaisen kehotuksen korjaavien toimenpiteiden toteuttamisesta.  

Pykälällä täytäntöönpantaisiin osin NIS2-direktiivin 32 artiklan 5 kohdan ensimmäisen ala-kohdan a-alakohta 

7.17  Laki vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annetun lain muuttamisesta

5 §.Suhde muuhun lainsäädäntöön . Pykälään lisättäisiin selvyyden vuoksi informatiivinen viittaus kyberturvallisuuslakiin.  

109 a §.Kyberturvallisuutta koskevien velvoitteiden laiminlyömisestä johtuva luvan peruuttaminen. Pykälässä säädettäisiin valvontaviranomaisen toimivaltuudesta peruuttaa myöntämänsä toiminnanharjoittamista koskeva lupa osittain tai kokonaan, jos toiminnanharjoittaja olennaisesti ja vakavasti laiminlyö sille kyberturvallisuuslaissa säädettyjä velvollisuuksia. Kyberturvallisuuslaissa on asetettu eräille kemikaaliturvallisuuslaissa tarkoitetuille toiminnanharjoittajille velvoitteita toiminnan kyberturvallisuuteen liittyen. Kyberturvallisuuslaissa säädetyn velvollisuuden olennainen laiminlyönti voisi olla kyseessä esimerkiksi silloin, jos kyberturvallisuuslain soveltamisalaan kuuluva toimija ei ole laatinut kyberturvallisuuslain 8 §:ssä tarkoitettua kyberturvallisuuden riskienhallinnan toimintamallia. Ennen luvan peruuttamista valvontaviranomaisen olisi annettava toiminnanharjoittajalle riittävä määräaika asian korjaamiseksi. Pykälä koskisi vain toimintaa, jossa turvallisuus- ja kemikaalivirasto on valvova viranomainen 115 § mukaisesti.  

Pykälällä täytäntöönpantaisiin osin NIS2-direktiivin 32 artiklan 5 kohdan ensimmäisen ala-kohdan a-alakohta 

8.1  Esityksellä ehdotettavat uudet valtuudet lakia alemman asteisen sääntelyn antamiseksi

Hallituksen esitykseen sisältyy ehdotuksia lain tasoisen sääntelyn täydentämisestä lakia alemman asteisin säännöksin. Ehdotettuja uusia säännöksiä täsmentävät alemman asteiset säännökset annettaisiin valtioneuvoston aseuksella ja valvovan viranomaisen teknisellä määräyksellä. Lisäksi esitykseen sisältyy ehdotuksia lakia alemman asteisen sääntelyn ja sen antamisvaltuuden kumoamisesta. 

Asetuksenantovaltuus 

Esitykseen sisältyy ehdotus asetuksenantovaltuudesta, jonka nojalla valtioneuvoston asetuksella voitaisiin tarkentaa kyberturvallisuuslain 3 §:n 3 momentissa tarkoitettuja kriteerejä. Kriteereissä on kyse poikkeuksesta kyberturvallisuuslain soveltamisalaan kuuluvan toimijan yleiseen kokorajaan eräiden erityistilanteiden osalta. Tämä toteutettaisiin kyberturvallisuuslakiin ehdotetun 3 § 4 momentin valtuussäännöksellä nojalla, jonka mukaan valtioneuvoston asetuksella voitaisiin antaa tarkempia säännöksiä 3 §:n 3 momentissa tarkoitetuista kriteereistä.  

Valtioneuvoston asetuksella voitaisiin siten täsmentää kriteerejä, jotka määrittävät lain soveltamiseen kuuluvia toimijoita. Edellytyksenä toimijan määritelmän täyttymiselle olisi siten, että toimija olisi lain liitteessä tarkoitettua toimijatyyppiä tai harjoittaisi liitteessä tarkoitettua toimintaa ja toimijaa koskisi laissa säädetty kriteeri, joka vastaisi NIS2-direktitvin 2 artiklan 2 kohdan b-e alakohtaa, jota valtioneuvoston asetuksella voitaisiin täsmentää, mikäli se säännöksen soveltamiseksi olisi tarpeellista. 

NIS2-direktiivin 2 artiklan 2 kohdan b – e alakohdan nojalla edellytetään, että NIS2-direktiivin mukaisia riskienhallinta- ja raportointivelvoitteita olisi sovellettava alakohdissa tarkoitettuihin toimijoihin niiden koosta riippumatta toimialoilla, jotka kuuluvat direktiivin alaan. Kriteerit tällaisille toimijoille toimijoita ovat:  

a) toimija tarjoaa ainoana jäsenvaltiossa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen; 

b) häiriö toimijan tarjoamassa palvelussa voisi vaikuttaa merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen; 

c) häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajatylittäviä vaikutuksia; 

d) toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta; 

Kyberturvallisuuslaissa säädettäisiin NIS2-direktiivin velvoitteista sen vähimmäissoveltamisalaan kuuluville toimijoille, joita näissä kohdissa tarkoitetut toimijat myös ovat. Nämä toimijat kuuluisivat poikkeuksellisesti toiminnan erityisen laadun vuoksi lain ja NIS2-direktiivin velvoitteiden soveltamisalaan koosta riippumatta. Ottaen huomioon kriteerien laatu, ilman kriteerien täsmentämistä yksittäisen pien- tai mikroyrityksen käytettävissä olevien tietojen varassa voi olla haasteellista arvioida riittävällä oikeudellisella varmuudella, koskeeko yritystä edellä tarkoitettu kriteeri. Lisäksi kriteerien täsmentäminen parantaisi oikeusvarmuutta niiden liitteissä I tai II tarkoitettua toimintaa harjoittavien yritysten osalta, joita kriteerit eivät koske. Näiden syiden johdosta lainsäädäntövallan siirto olisi lakiteknisesti tarpeellista. Lähtökohtaisesti soveltamisalan ulottaminen kuvattuihin toimijoihin olisi poikkeuksellista, toimijoiden joukko olisi harvalukuinen ja erityislaatuinen.  

Ehdotettu asetuksenantovaltuus täyttäisi perustuslain 80 §:ssä säädetyt vaatimukset. Asetuksella ei voitaisi poiketa lain säännöksistä tai säätää muusta kuin lain soveltamisalan ulottamisesta laissa säädetyin kriteerein tarkoitettuihin toimijoihin. Asetuksella ei voitaisi säätää muutoksista niihin oikeuksiin ja velvollisuuksiin, joita toimijoille asetetaan laissa. Laissa säädettäisiin kriteereistä, joiden nojalla toimija kuuluisi sen soveltamisalaan. Asetuksenantovaltuutta koskeva säännös on arvioitu asianmukaiseksi ja tarkkarajaiseksi.  

Viranomaisen määräyksenantovaltuudet

Esitykseen sisältyy useita ehdotuksia määräyksenantovaltuudesta valvovalle viranomaiselle tai Liikenne- ja viestintävirastolle. Määräyksenantovaltuudet ovat tarkkarajaisia ja määräyksiä voitaisiin antaa vain laissa säädettyjen seikkojen tarkentamisesta rajatulle kohderyhmälle. Määräyksenantovaltuudet ovat tarpeellisia teknisten seikkojen täsmentämiseksi sekä sektorikohtaisten erityispiirteiden huomioimiseksi. Määräyksenantovaltuuksien katsotaan olevan asiallisia siten, että ne ovat täsmällisesti rajattuja ja koskevat määrättyjä asioita, joihin on sääntelyn kohteeseen liittyviä erityisiä syitä, eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. 

Kyberturvallisuus lain 9 § 4 momentissa säädettäisiin toimialallaan valvovalle viranomaiselle valtuus antaa valvontatoimialallaan tarkempia teknisiä määräyksiä momentissa tarkoitetuista seikoista riskienhallinnan osalta. Valvova viranomainen voisi antaa toimialallaan riskienhallintavelvoitetta tarkentavia teknisiä määräyksiä toimialakohtaisista erityispiirteistä, jotka olisi otettava huomioon kyberturvallisuutta koskevassa riskienhallinnassa sekä kriittisiä toimitusketjuja koskevien unionin tason koordinoitujen riskinarviointien tuloksien huomioimisesta toimialakohtaisessa riskienhallinnassa. Tarkemmat määräykset voisivat kuitenkin koskea vain teknisiä seikkoja, eli niillä ei saisi laajentaa 9 §:ssä säädettyjä tai NIS 2 –direktiivin nojalla säädettyyn komission täytäntöönpanoasetukseen perustuvia velvoitteita tai asiallisesti muuttaa velvoitteiden sisältöä. Määräysten olisi oltava teknologianeutraaleja. Määräyksenantovaltuus olisi tarpeen, sillä mainituista riskienhallinnan toimialakohtaisista seikoista olisi soveltamisen kannalta tarpeellista täsmentää erityisesti sektorikohtaisten toimintaan liittyvien erityispiirteiden huomioimiseksi. Lisäksi teknologisen kehityksen johdosta olisi tarpeellista, että valvova viranomainen voisi määräyksellä pitää riskienhallintaan liittyviä seikkoja ajantasaisina. Määräyksillä voitaisiin siten pitää riskienhallintavelvoite ajan tasalla ja huomioida paremmin sektorikohtaisia erityispiirteitä riskienhallinnan toteuttamisen osalta. Tällä toteutetaan osaltaan NIS 2 –direktiivin tavoitetta toteuttaa riskienhallintatoimenpiteitä siten, että turvallisuuden taso on oikeassa suhteessa riskeihin. 

Kyberturvallisuuslain 11 § 5 momentissa säädettäisiin valvovalle viranomaiselle valtuus antaa omalla toimialallaan tarvittaessa tarkentavia teknisiä määräyksiä, joilla tarkennetaan 11–15 §:n nojalla tehtävän ilmoituksen, tiedotuksen tai raportin tietosisältöä, teknistä muotoa tai menettelyä. Määräyksenantovaltuus on tarpeen, sillä määräyksillä voitaisiin säätää sektorikohtaisisesti merkityksellisistä seikoista yksityiskohtaisemmin ja sektoreiden erityispiirteet huomioiden sekä täsmentää velvoitetta NIS 2 –direktiivin nojalla säädetyn komission täytäntöönpanoasetuksen edellyttämällä tavalla.  

Kyberturvallisuuslain 41 §:n 3 momentissa säädettäisiin valvovan viranomaisen oikeudesta antaa tarkempia teknisiä määräyksiä tietojen ilmoittamisesta toimijaluetteloa varten. 

Sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain muutettava 90 §:n 2 momentti sisältää määräyksenantovaltuudet Terveyden ja hyvinvoinnin laitokselle antaa tarkempia määräyksiä siitä, milloin häiriö on merkittävä sekä häiriöilmoituksen sisällöstä, muodosta ja toimittamisesta. Esityksellä ei muutettaisi mainittua määräyksenantovaltuutta, mutta määräyksenantovaltuus kohdistuisi myös tietojärjestelmistä ja viestintäverkoista aiheutuviin häiriöihin. 

Sähköisen viestinnän palveluista annetun lain muuttamisesta annettavan lain 165 §:n 3 momentti sisältää määräyksenantovaltuuden Liikenne- ja viestintävirastolle verkkotunnusvälittäjän ennen toimintansa aloittamista tehtävän ilmoituksen tekemisestä ja sen sisällöstä. Esityksellä ei muutettaisi mainittua määräyksenantovaltuuslauseketta nykyisestä, mutta määräyksenantovaltuuden alaan olisivat merkityksellisiä pykälän 1, 2 ja 4 momenttiin ehdotettavat muutokset. 

Sähköisen viestinnän palveluista annetun lain muuttamisesta annettavan lain 167 § 5 momentissa on säädetty Liikenne- ja viestintävirastolle annettavasta määräyksenantovaltuudesta, jossa Liikenne- ja viestintäviraston määräyksenantovaltuutta ehdotetaan laajennettavan siten, että Liikenne- ja viestintävirasto voisi antaa tarkempia määräyksiä myös verkkotunnuksen käyttäjää koskevien tietojen varmentamisesta. Tällä tarkoitettaisiin esimerkiksi toimintaperiaatteita ja menettelyjä, joita verkkotunnusvälittäjien olisi otettava käyttöön, jotta ne voivat varmistua siitä että 1 momentissa tarkoitetut, verkkotunnuksen käyttäjän ilmoittamat tiedot ovat oikeita ja ajantasaisia.  

Sähköisen viestinnän palveluista annetun lain muuttamisesta annettavan lain 170 § 2 momentissa on säädetty Liikenne- ja viestintävirastolle annettavasta määräyksenantovaltuudesta. Liikenne- ja viestintäviraston määräyksenantovaltuutta ehdotetaan laajennettavan 1 momenttiin lisättävien 8-11 kohtien johdosta siten, että Liikenne- ja viestintävirasto voisi antaa tarkempia määräyksiä myös tarkoitetuista julkisesti saataville asetettavista tiedoista, pääsyn antamisesta tietoihin sekä toimintaperiaatteista ja menettelyistä.  

Sähköisen viestinnän palveluista annetun lain muuttamisesta annettavan lain 275 § 3 momentissa on säädetty Liikenne- ja viestintävirastolle annettavasta määräyksenantovaltuudesta, jonka nojalla Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä 1 momentissa tarkoitettujen ilmoitusten sisällöstä, muodosta ja toimittamisesta.  

8.2  Esityksellä kumottavat valtuudet antaa lakia alemman asteisia säännöksiä.

Valtioneuvoston asetus yhteiskunnan toiminnan kannalta merkittävistä lentoasemista ja satamista

Ehdotuksella kumottaisiin ilmailulain 128 a § jonka 3 momentti sisältää asetuksenantovaltuuden valtioneuvostolle säätää, milloin lentoasemaa on pidettävä yhteiskunnan toiminnan kannalta merkittävänä. Ehdotuksella kumottaisiin eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain 7 e § jonka 3 momentin mukaan valtioneuvoston asetuksella säädetään, milloin 1 momentissa tarkoitettua satamaa on pidettävä yhteiskunnan toiminnan kannalta merkittävänä. 

Ehdotuksen myötä kumoutuisi yhteiskunnan toiminnan kannalta merkittävistä lentoasemista ja satamista annettu valtioneuvoston asetus (361/2018) yhdessä eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain 7 e ja 7 f §:n kumoamista koskevan ehdotuksen kanssa. Kumoutuva asetus on annettu kumottavaksi ehdotettavien ilmailulain 128 a §:n ja eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain 7 e §:n nojalla. Koska molemmat asetuksenantovaltuuden sisältävät säännökset ehdotetaan kumottavaksi, niiden nojalla annettu valtioneuvoston asetus ei jäisi voimaan. Asetuksenantovaltuus yhteiskunnan toiminnan kannalta merkittävistä satamista tai lentoasemista ei olisi jatkossa tarpeen, sillä NIS2-velvoitteita sovellettaisiin jatkossa NIS2-direktiivin ja ehdotetun yleislain soveltamisalan kokokriteerin mukaisesti soveltamisalaan kuuluviin lentoasemiin ja satamiin. Jatkossa ei siten olisi tarpeellista säätää erikseen yhteiskunnan toiminnan kannalta merkittävistä lentoasemista ja satamista lailla tai sen nojalla annetulla valtioneuvoston asetuksella. 

Viranomaisen määräyksenantovaltuudet

Esityksellä kumottaisiin NIS1-direktiivin sektorikohtaisia täytäntöönpanosäännöksiä, koska vastaavat säännökset sisältyisivät jatkossa kyberturvallisuuslakiin. NIS 1 –direktiivin sääntelyn johdosta viranomaisille annetut määräyksenantovaltuudet edellä luetelluissa laeissa kumottaisiin, koska poikkeaman merkittävyydestä ja ilmoituksen sisällöstä, muodosta ja toimittamisesta säänneltäisiin jatkossa kyberturvallisuuslaissa. Valvovan viranomaien määräyksenantovaltuus poikkeaman loppuraportin sisällöstä sekä merkittävien poikkeamien ja poikkeaman väliraportin ja loppuraportin mukaisten tietojen ilmoitusmenettelystä sisältyisi jatkossa kyberturvallisuuslain 11 §:n 5 momenttiin.  

Ehdotuksella kumottaisiin ilmailulain 128 b § jonka 4 momentin mukaan Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu poikkeama on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. Säännös ei olisi tarpeen, sillä vastaava määräyksenantovaltuus sisältyisi jatkossa kyberturvallisuuslakiin.  

Ehdotuksella kumottaisiin raideliikennelain 169 § jonka 5 momentin mukaan Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä siitä, milloin 2 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. Säännös ei olisi tarpeen, sillä vastaava määräyksenantovaltuus sisältyisi jatkossa kyberturvallisuuslakiin.  

Ehdotuksella kumottaisiin maakaasumarkkinalain 34 a § jonka 5 momentin mukaan Energiavirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. Säännös ei olisi tarpeen, sillä vastaava määräyksenantovaltuus sisältyisi jatkossa kyberturvallisuuslakiin.  

Ehdotuksella kumottaisiin sähkömarkkinalain 29 a § jonka 5 momentin mukaan Energiavirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta sekä lain 49 a § 5 momentti, joka sisältää määräyksenantovaltuuden Energiavirastolle antaa tarkempia määräyksiä ilmoituksen sisällöstä, muodosta ja toimittamisesta. Säännös ei olisi tarpeen, sillä vastaavat säännökset ja niitä koskeva määräyksenantovaltuus sisältyisi jatkossa kyberturvallisuuslakiin.  

Ehdotuksella kumottaisiin eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain 7 f § jonka 4 momentin mukaan Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. Säännös ei olisi tarpeen, sillä vastaava määräyksenantovaltuus sisältyisi jatkossa kyberturvallisuuslakiin.  

Ehdotuksella kumottaisiin alusliikennepalvelulain 18 a § jonka 4 momentin mukaan Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. Säännös ei olisi tarpeen, sillä vastaava määräyksenantovaltuus sisältyisi jatkossa kyberturvallisuuslakiin.  

Ehdotuksella kumottaisiin liikenteen palveluista annetun lain 18 luvun 161 § jonka 5 momentin mukaan Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä siitä, milloin 2 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. Säännös ei olisi tarpeen, sillä vastaava määräyksenantovaltuus sisältyisi jatkossa kyberturvallisuuslakiin. 

12.1  Luottamuksellisen viestinnän suoja

Ehdotukseen sisältyy säännöksiä, jotka ovat merkityksellisiä perustuslain 10 §:ssä turvatun luottamuksellisen viestinnän suojan kannalta. Näitä ovat erityisesti 1. lakiehdotuksen 23 §:ään sisältyvä ehdotus CSIRT-yksikön koordinoimista kyberturvallisuustietojen vapaaehtoisista jakamisjärjestelyistä sekä 1. lakiehdotuksen 28 §:ään ja 2. lakiehdotuksen 18 i §:ään sisältyvät ehdotukset valvovan viranomaisen tiedonsaantioikeudesta. Ehdotuksissa on kyse muun ohella oikeudesta käsitellä sähköiseen viestintään liittyvää välitystietoa ja haitallisen tietokoneohjelman tai käskyn sisältävään viestiin liittyvää tietoa. Luottamuksellisen viestin suojan kannalta merkityksellinen on myös esityksen 21 §:ssä säädetty toimivaltuus yleiseen viestintäverkkoon liitettyjen viestintäverkkojen ja tietojärjestelmien haavoittuvuuksien havainnoinnista.  

Luottamuksellisen viestin suoja

Perustuslain 10 §:n mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu, ja henkilötietojen suojasta säädetään tarkemmin lailla Pykälän 2 momentin nojalla kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Pykälän 4 momentin mukaan lailla voidaan säätää välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä, turvallisuustarkastuksessa ja vapaudenmenetyksen aikana sekä tiedon hankkimiseksi sotilaallisesta toiminnasta taikka sellaisesta muusta toiminnasta, joka vakavasti uhkaa kansallista turvallisuutta. Nämä mahdollisuudet rajoittaa luottamuksellisen viestinnän suojaa on tarkoitettu tyhjentäväksi luetteloksi (HE 309/1993 vp, s. 54, PeVM 25/1994 vp, s. 6 ja PeVL 33/2013 vp, s. 3). Perustuslakivaliokunta on todennut, että perustuslain 10 §:ssä turvatun yksityiselämän suojan lähtökohtana on yksilön oikeus elää omaa elämäänsä ilman viranomaisten ja ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista siihen. (PeVL 53/2005 vp, s. 2, PeVL 36/2002 vp, s. 5/II, PeVL 9/2004 vp, s. 5/II). Euroopan unionin perusoikeuskirjan 7 artiklassa on säädetty jokaisen oikeudesta siihen, että hänen viestejään kunnioitetaan. Luottamuksellisen viestin suoja on turvattu myös Euroopan ihmisoikeussopimuksen (SopS 63/1999) 8 artiklassa, jonka mukaan jokaisella on oikeus nauttia kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Viranomaiset eivät saa puuttua tämän oikeuden käyttämiseen paitsi, kun laki sen sallii ja se on välttämätöntä demokraattisessa yhteiskunnassa kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen tai rikollisuuden estämiseksi, terveyden tai moraaliin suojaamiseksi tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi. 

Perustuslain 10 §:n 2 momentin esitöiden mukaan säännöksen on suojata luottamuksellisena pidettävän viestin sisältö ulkopuolisilta puuttumisilta. Suojan kohteena on oikeus viestiä ja kommunikoida muiden kanssa ilman, että ulkopuoliset voivat saada oikeudettomasti tietoa lähetettyjen tai vastaanotettujen luottamuksellisten viestien sisällöstä sekä oikeus viestiä ulkopuolisten puuttumatta siihen rajoittavasti. Luottamuksellisen viestinnän suoja käsittää perinteisen kirjeenvaihdon lisäksi puhelinliikenteen sekä tiedonvälityksen tietoliikenneyhteyksiä ja sähköisiä viestintävälineitä käyttämällä. Perusteluissa todetaan myös säännöksen edellyttävän lainsäädäntöä, joka käytännössä tehokkaasti turvaa luottamuksellista viestintää sekä viranomaisten että muiden ulkopuolisten loukkauksilta (HE 309/1993 vp, s. 53-54). Lisäksi ehdotuksien arvioinnissa on merkityksellistä huomioida sähköisen viestinnän tietosuojadirektiivin eli Euroopan parlamentin ja neuvoston henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla antaman direktiivin (2002/58/EY) 5 artikla, jonka nojalla jäsenvaltioiden on varmistettava sähköisen viestinnän luottamuksellisuus. Sähköisen viestinnän tietosuojadirektiivin 15 artiklan nojalla jäsenvaltio voi toteuttaa lainsäädännöllisiä toimenpiteitä, joilla sähköisen viestinnän luottamuksellisuutta rajoitetaan, jos tällaiset rajoitukset ovat välttämättömiä, asianmukaisia ja oikeasuhteisia muun ohella sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan ja selvittämisen vuoksi.  

Sähköisen viestin välitystiedot

Sähköisen viestin välitystietojen osalta perustuslakivaliokunta on vakiintuneessa käytännössään arvioinut viestien tunnistamistietojen, joista sittemmin on alettu käyttää termiä välitystieto, jäävän luottamuksellisen viestin salaisuuden ydinalueen ulkopuolelle. Tämän myötä perustuslakivaliokunta on esimerkiksi pitänyt mahdollisena, että tunnistamistietojen saamisoikeus jätetään sitomatta tiettyihin rikostyyppeihin, jos sääntely muutoin täyttää perusoikeuksien yleiset rajoitusedellytykset (PeVL 7/1997 vp, s. 2/I, PeVL 26/2001 vp, s. 3/II ja PeVL 33/2013).  

Perustuslakivaliokunta on kuitenkin sittemmin arvioinut, että EU:n tuomioistuimen oikeuskäytäntö on antanut perusteita jossain määrin arvioida uudelleen sähköisessä viestinnässä saatavien tunnistamistietojen suojaa luottamuksellisen viestin salaisuuden näkökulmasta. Sähköisen viestinnän käyttöön liittyvät tunnistamistiedot sekä mahdollisuus niiden kokoamiseen ja yhdistämiseen voivat olla yksityiselämän suojan näkökulmasta siinä määrin ongelmallisia, että kategorinen erottelu suojan reuna- ja ydinalueeseen ei aina ole perusteltua, vaan huomiota on yleisemmin kiinnitettävä myös rajoitusten merkittävyyteen (PeVL 36/2018 vp, s. 22 ja PeVL 18/2014 vp, s. 5–9). 

Edellä esitetyt seikat ovat merkinneet, ettei perustuslain 10 §:n aikaisemmassa 3 momentissa ja nykyisessä 4 momentissa olevaa erityistä lakivarausta ole sellaisenaan sovellettu tunnistamistietojen salaisuuden rajoittamiseen. Tunnistamistietojen salaisuuden suojaan puuttuvan sääntelyn on kuitenkin täytettävä perusoikeuksien rajoittamisen yleiset rajoitusedellytykset (PeVL 62/2010 vp, s.4-5 ja PeVL 23/2006 vp, s. 3). 

Haitallisen tietokoneohjelman tai käskyn sisältävä viesti

Esitykseen sisältyvien haitallisen tietokoneohjelman tai käskyn sisältävän viestin käsittelyä koskevien ehdotuksien perustuslainmukaisuuden arvioinnin kannalta ratkaisevaa on tulkinta siitä, nauttiiko haitallisen tietokoneohjelman tai käskyn sisältävä viesti luottamuksellisen viestinnän suojaa perustuslain 10 §:n 2 momentin mukaisena luottamuksellisena viestintänä siten, että perustuslain 10 § momentissa olevaa erityistä lakivarausta on sellaisenaan sovellettava, vai onko kysymys suojan ydinalueen ulkopuolelle sijoittuvasta toiminnasta, jota on arvioitava perusoikeuksien yleisten rajoitusedellytysten mukaisesti. Kysymyksestä on niukasti lainvalmisteluasiakirjoja, perustuslakivaliokunnan aineistoa tai muuta tulkinta-aineistoa. 

Luottamuksellisen viestin tai luottamuksellisen viestinnän sisällön tai soveltamisalan tarkempaa määritelmää ei sisälly perustuslain 10 §:n 2 momenttiin eikä tavalliseen lakiin. Viestin sisältö on sellaisenaan nauttinut perinteisesti vahvasti perusoikeussuojaa ja yksityisen viestin sisällön on tulkittu olevan viestinnän luottamuksellisuuden suojan ydinalueella (PeVL 36/2018 vp, s. 23). On kuitenkin arvioitavissa, että kaikki sähköinen viestien lähettäminen ja vastaanottaminen ei ilman muuta ole perusoikeussuojan kohteena olevaa luottamuksellista viestintää. 

Luottamuksellisen viestin suojan kohteena on erityisesti viestin lähettäjän ja sen vastaanottajan välisen viestin semanttisen eli viestinnän osapuolien luoman sisällön pysyminen luottamuksellisena ja suojattuna ulkopuolisten puuttumiselta. Luottamuksellisen viestin suojan voidaan katsoa siten kohdistuvan edes jollain tavoin merkitykselliseen viestintään ja kommunikointiin luonnollisten henkilöiden välillä.  

Luottamuksellisen viestin salaisuuden suojan ulkopuolelle perustuslakivaliokunnan käytännössä on rajattu viestinnän pääasiallisen luonteen vuoksi liikenteenohjauksessa syntyvä puhe- ja viestiliikenne (PeVL 62/2010 vp, s. 5). Lisäksi perustuslakivaliokunta on arvioinut, ettei esimerkiksi vieraan valtion sotilas- tai muu viranomaisorganisaation viestintä nauti luottamuksellisen viestinnän suojaa (PeVM 4/2018 vp, s. 7). Postinkulun varmistamiseksi eli viestin lähettäjän ja vastaanottajan viestinnällisten oikeuksien toteutumiseksi on lailla voitu säätää suljetun kirjeen avaamisesta (PeVL 56/2010 vp, s. 3-4 ja PeVL 30/2001 vp, s. 2-3). 

Haitallisen tietokoneohjelman ja käskyn sisältävässä viestissä on usein kyse haitallisen tietokoneohjelman automaattisesti luomasta viestistä, jossa viestin lähettäjänä ei ole luonnollista henkilöä, vaan haittaohjelma tai sen ohjelmoinut taho. Haitallisen tietokoneohjelman tai käskyn sisältävässä viestissä kysymys on usein teknisestä käskystä, ohjelmasta tai komennosta, jolla pyritään aiheuttamaan haittaa viestintäverkon tai tietojärjestelmän toiminnalle. Kysymys voi olla tietokonejärjestelmien välisestä automatisoidusta ja teknisestä toimesta, jonka osapuolina ei ole luonnollisia henkilöitä tai jossa ei ole teknisten ominaisuuksien ohella lainkaan semanttista sisältöä. Kysymys voi olla myös automatisoidusti luodusta kalasteluviestistä, jonka tarkoituksena on saada kohde erehdytettyä suorittamaan toimi, joka mahdollistaa haitallisen tietokoneohjelman suorittamisen viestintäverkossa ja tietojärjestelmässä taikka viestintäverkon ja tietojärjestelmän suojauksen murtamisen. Haitallisen tietokoneohjelman tai käskyn sisältävä viesti on pääasiallisesti semanttista sisältöä vailla oleva tekninen koneiden välinen viesti taikka haitallisen tietokoneohjelman automaattisesti luoma tai kyberhyökkäystä suorittavan tahon ennalta tuntemattomalle ja hyvin laajalle vastaanottajajoukolle lähettämä kalasteluviesti. Haitallisen tietokoneohjelman tai käskyn sisältävässä viestissä ei ole kysymys viestinnän osapuolten välisestä luottamuksellisen viestinnän suojan ydinalaan perinteisesti kuuluvasta viestistä, jolla on yksilöityä semanttista tai kommunikatiivista merkitystä osapuolille. Haitallisen tietokoneohjelman tai käskyn sisältävän viestin lähettäjänä on taho, jonka pyrkimyksenä on toteuttaa kyberhyökkäys tai aiheuttaa haittaa viestintäverkon ja tietojärjestelmän toiminnalle tai järjestelmässä olevien henkilö- ja muiden tietojen luottamuksellisuudelle. Haitallisen tietokoneohjelman tai käskyn sisältävän viestin käsitteleminen on usein välttämätöntä sen teknisten ominaisuuksien selvittämiseksi sekä yleisön varoittamiseksi vastaavasta toimesta. Haitallisen tietokoneohjelman tai käskyn sisältävän viestin käsittelytarpeen tarkoituksena ei ole saada selkoa viestin semanttisesta sisällöstä, eikä tämänkaltaisen viestin sisällössä pääasiallisesti ole luottamuksellisen viestinnän suojan ydinalueeseen kuuluvaa henkilökohtaista, vain toisen osapuolen vastaanotettavaksi tarkoitettua viestintää.  

Haitallisen tietokoneohjelman tai käskyn sisältävässä viestissä semanttinen tai kommunikatiivinen sisältö jää edellä todetulla tavalla hyvin vähäiseksi tai puuttuu kokonaan. Haitallisen tietokoneohjelman tai käskyn sisältävässä viestissä on kysymys yksipuolisesta toimesta, jonka tarkoituksena on pyrkiä toteuttamaan kyberhyökkäys tai teknistä haittaa viestintäverkolle tai tietojärjestelmälle. Vaikka kyberhyökkäyksen tai –häiriön toteuttamisen aiheuttamiseksi tähtäävää toimintaa voitaisiin sellaisenaan pitää viestinä, sen kuuluminen luottamuksellisen viestinnän perusoikeussuojan piiriin ei ole ilmeistä. Koska viestinnällinen ja kommunikatiivinen sisältö, tarkoitus ja merkitys joko puuttuvat kokonaan tai jäävät hyvin vähäiseksi, viestin ei voida katsoa kuuluvan ainakaan luottamuksellisen viestin suojan ydinalueelle, sikäli kun jaottelulle perusoikeussuojan reuna- ja ydinalueeseen on valtiosääntöoikeudellisia perusteita. Viesti voi jäädä kokonaan myös suoja-alueen ulkopuolelle. Luottamuksellisen viestinnän perusoikeussuojan soveltamisalan arvioinnille on perusteita erityisesti sähköisessä viestinnässä, sillä teknologian kehittyessä sähköisten viestien alaan luettavissa olevien erilaisten teknisten sisältöjen, komentojen, käskyjen ja viestien tekninen monipuolistuminen, käyttömahdollisuuksien laajentuminen, ja sähköisen viestinnän teknisten toteutumismuotojen ja –tapojen muutokset luovat tilanteita, joissa sähköisten viestien alaan luettavien toimien merkityksellisyys luottamuksellisen viestinnän perinteisesti suojaamien oikeushyvien kannalta eroavat toisistaan merkittävällä, olennaisella ja painavalla tavalla.  

Sotilastiedustelulaissa (590/2019) on tietoliikennetiedustelun yhteydessä säädetty mahdolliseksi luovuttaa haitallisen tietokoneohjelman tai käskyn sisältävä tieto yrityksille ja yhteisöille sekä viranomaisille. Ehdotusta on perusteltu siten, että yhteiskunnan kokonaissuojautumisen kannalta on tärkeää, että hyökkäyksissä käytettäviä haittaohjelmia koskevia tietoja voitaisiin mahdollisimman laajasti luovuttaa hyökkäysten potentiaalisille kohteille. Tällaisten tietojen luovuttamisoikeudesta säätämällä voitaisiin osaltaan turvata yritysten ja yhteisöjen mahdollisuuksia ryhtyä sellaisiin toimenpiteisiin tietoturvastaan huolehtimiseksi, joista säädetään sähköisen viestinnän palveluista annetun lain 272 §:ssä. Kyseisen säännöksen mukaiset toimenpiteet voivat pitää sisällään muun muassa viestin sisällön automaattisen selvittämisen, viestien välittämisen ja vastaanottamisen automaattisen estämisen tai rajoittamisen sekä tietoturvaa vaarantavien haitallisten tietokoneohjelmien automaattisen poistamisen viesteistä (HE 203/2017 vp). Asiaa koskevassa hallituksen esityksessä perustuslakivaliokunta ei nostanut ehdotettua säännöstä esiin perusoikeuksien kannalta ongelmallisena.  

Lisäksi oikeusjärjestelmässä yleisesti omaksutun shikaanikiellon ja oikeuksien väärinkäytön kiellon näkökulmasta voidaan argumentoida, että luottamuksellisen viestinnän suojaa ei tulisi tulkita tavalla, joka estäisi haittaohjelmaviestin teknisten tietojen käsittelemistä haittaohjelman ehkäisemiseksi, milloin luottamuksellisen viestinnän suojalla suojattaisiin toimintaa, jonka tarkoituksena on vakavasti vaarantaa juuri luottamuksellisen viestinnän suojaa sähköisessä viestinnässä. Erityisesti yhteiskunnan kriittisten toimijoiden kybervarautumisen kannalta olisi tärkeää, että hyökkäyksissä käytettäviä haittaohjelmia koskevia tietoja voitaisiin jakaa hyökkäysten potentiaalisten kohteiden kesken ja siten pyrkiä ehkäisemään esimerkiksi tietomurtoja tai muita luottamuksellisen viestinnän suojaa vaarantavia kyberhyökkäyksiä. Kyberhyökkäykset voisivat toteutuessaan johtaa merkittäviin luottamuksellisen viestinnän suojan tai henkilötietojen suojan loukkauksiin. Oikeuksien väärinkäytön kiellosta säädetään esimerkiksi Euroopan unionin perusoikeuskirjan (2016/C 202/02) 54 artiklassa, jonka nojalla perusoikeuskirjan määräysten ei saa tulkita antavan oikeutta ryhtyä sellaiseen toimintaan tai tehdä sellaista tekoa, jonka tarkoituksena on tehdä tyhjäksi jokin tässä perusoikeuskirjassa tunnustettu oikeus tai vapaus tai rajoittaa sitä laajemmalti kuin tässä perusoikeuskirjassa on sallittu. 

Edellä esitetyt seikat huomioon ottaen esityksen valmistelussa on päädytty arvioon, jossa kyberhyökkäyksen toteuttamiseksi luotu haitallisen tietokoneohjelman tai käskyn sisältävä viesti ei kuuluisi viestinnän luottamuksellisuuden suojan ydinalueelle, etenkään sen teknisten haittaohjelmaan liittyvien ominaisuuksien taikka automatisoidusti luodun sisällön osalta, viestinnän osapuoliksi luettavien luonnollisten henkilöiden välisen sisällön puutteen vuoksi. Näin ollen kysymys ei olisi perustuslain 10 §:n 2 momentissa tarkoitetusta luottamuksellisesta viestinnästä, eli sen käsittelystä voitaisiin säätää perustuslain 10 §:n 4 momentista riippumatta. Haitallisen tietokoneohjelman tai käskyn sisältävän viestin käsittelyä koskevan sääntelyn perustuslainmukaisuutta olisi arvioitava perustuslain yleisten rajoitusedellytysten kautta siten, että sääntely on välttämätöntä, asianmukaista ja oikeasuhtaista sillä tavoiteltavien hyväksyttävien ja painavan yhteiskunnallisen tarpeen mukaisten tavoitteiden toteuttamiseksi.  

Vapaaehtoiset kyberturvallisuustietojen jakamisjärjestelyt

Kyberturvallisuustietojen vapaaehtoisissa jakamisjärjestelyissä olisi kyse CSIRT-yksikön koordioimasta tiedonvaihtoyhteisöstä, jonka tarkoituksena olisi parantaa siihen osallistuvien yhteisöjen kykyä ehkäistä ja havaita kyberuhkia, hallita poikkeamia ja palautua niistä sekä lieventää niiden vaikutuksia. Jakamisjärjestelyyn osallistuminen perustuisi vapaaehtoisuuteen ja sitä koordinoisi viranomainen, eli CSIRT-yksikkö.  

Tiedonvaihtoon osallistuva yhteisö sekä CSIRT-yksikkö saisivat luovuttaa muille jakamisjärjestelyyn osallistuvalle haitalliseen tietokoneohjelmaan tai käskyyn liittyvän välitystiedon taikka haitallisen tietokoneohjelman tai käskyn sisältävään viestiin liittyvää tietoa siltä osin kuin se liittyy haitallisen tietokoneohjelman tai käskyn teknisiin ominaisuuksiin ja teknisiin jälkiin tai muuhun kyberuhkan tai poikkeaman toteuttamiseen liittyvään tekniseen tietoon. Jakamisjärjestelyyn osallistuva voisi käsitellä tällaista tietoa vain, mikäli se on tarpeen kyberuhkien ehkäisemiseksi, havaitsemiseksi, poikkeamien hallitsemiseksi ja niistä palautumiseksi sekä vaikutusten lieventämiseksi. Lisäksi CSIRT-yksikkö saisi käsitellä tietoja sille laissa säädettyä tehtävää varten. Edellytyksenä olisi, että tiedon luovuttaminen olisi välttämätöntä 23 §:n 1 momentissa säädettyä tarkoitusta varten, sillä tiedon luovuttamisella ei saisi rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä 1 momentissa säädettyä tarkoitusta varten.  

Ehdotuksen tarkoituksena on tietoturvan parantaminen siten, että mahdollistetaan tiedon jakaminen haitallisista teknologioista ja siten edistetään yhteiskunnan mahdollisuuksia ehkäistä kyberturvallisuushäiriöitä, joilla voisi toteutuessaan olla laajoja ja vakavia haitallisia seurauksia. Aiemmin havaitun haitallisen tietokoneohjelman tai käskyn tietoja ja välitystietoja voitaisiin käyttää tietoturvan vaarantumista aiheuttavan toiminnan tunnistamiseen, vastaavalta haitallisen tietokoneohjelman tai käskyn sisältävältä viestiltä suojautumiseen ja sen teknisten ominaisuuksien selvittämiseen sekä poikkeaman vaikutusten lieventämiseen. Haitallisen tietokoneohjelman tai käskyn sisältävän viestin käsitteleminen tässä tarkoituksessa on usein välttämätöntä.  

Ehdotuksella pantaisiin täytäntöön NIS 2 –direktiivin 29 artikla, joka edellyttää jäsenvaltioita mahdollistamaan vapaaehtoisen tiedonvaihdon direktiivin soveltamisalaan kuuluvien toimijoiden välillä. Muiden kuin direktiivin soveltamisalaan kuuluvien toimijoiden osalta ehdotuksessa on kansallista liikkumavaraa. 

Ehdotuksen tarkoittamassa käsittelytarkoituksessa voidaan todeta, että kyse ei ole sellaisesta tietojen kokoamisesta tai yhdistämisestä, jolla olisi merkittävä vaikutus yksityiselämän suojan kannalta. Kyse on välitystiedon käyttämisestä teknisenä tunnisteena yksittäiseltä kyberuhkalta, -poikkeamalta, haavoittuvuudelta tai uhkatoimijalta suojautumiseksi taikka häiriötä aiheuttavan viestinnän torjumista varten.  

Ehdotuksen arvioidaan täyttävän perusoikeuksien yleiset rajoitusedellytykset, kun haitallisen tietokoneohjelman tai käskyn sisältävä viesti ei edellä kuvatulla tavalla nauti luottamuksellisen viestinnän suojaa sen ydinalueella. Ehdotuksessa on kyse täsmällisestä, tarkkarajaisesta ja oikeasuhtaisesta lain tasoisesta säännöksestä hyväksyttävää tarkoitusta, eli viestintäverkkoihin ja tietojärjestelmiin kohdistuvien kyberhyökkäysten, -uhkien ja merkittävien poikkeamien sekä niistä aiheutuvien haitallisten vaikutusten torjumiseksi yhteiskunnassa. Näin ollen ehdotuksen arvioidaan olevan siten perustuslain mukainen, että ehdotus voidaan käsitellä tavanomaisessa lainsäädäntöjärjestyksessä. Haitallisen tietokoneohjelman tai käskyn sisältävän viestin käsittelyä koskevan ehdotuksen johdosta esityksestä olisi kuitenkin tarpeen pyytää perustuslakivaliokunnan lausunto. 

Valvovan viranomaisen tiedonsaantioikeus

Ehdotuksen 28 §:n ja ehdotetun tiedonhallintalain 18 i §:n nojalla valvovalla viranomaisella on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada toimijalta välitystieto, sijaintitieto tai haitallisen tietokoneohjelman tai käskyn sisältävä viesti, jos se on välttämätöntä kyberturvallisuuden riskienhallintaa koskevien velvoitteiden valvomista varten tai merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvomista varten. Edellytyksenä olisi siten välttämättömyys viranomaiselle säädettyä valvontatehtävää varten. Välttämättömyys edellyttäisi, että tarkoitusta, jota varten näitä tietoja pyydettäisiin, ei olisi saavutettavissa luottamuksellisen viestin ja yksityisyyden suojaan vähemmän puuttuvalla tavalla.  

Valvovan viranomaisen olisi tietopyynnössä ilmoitettava pyynnön tarkoitus sekä täsmennettävä pyydetyt tiedot. Lisäksi tiedot olisivat erillisen salassapitovelvoitteen alassa. Valvovalla viranomaisella olisi kuitenkin salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto rajatulle viranomaisjoukolle. Asiakirjan tai tiedon voisi luovuttaa toiselle valvovalle viranomaiselle ja CSIRT-yksikölle, jos se on välttämätöntä viranomaiselle tässä laissa säädettyä tehtävää varten. Tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella ei saisi rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.  

Yleisesti arvioituna ehdotuksilla on ensisijaisesti luottamuksellisen viestin suojaa rajoittava vaikutus tiedonsaantioikeus- ja tiedonvaihtotilanteissa. Toisaalta tiedonvaihdon perusteena on muun muassa luottamuksellisen viestinnän suojaaminen kyberuhkiin varautumisen ja niiltä suojautumisen kautta, jolloin luottamuksellisen viestinnän suojaamista välillisesti edistettäisiin sitä yksittäisessä tilanteessa rajoittamalla. Lisäksi sillä edistettäisiin osaltaan niiden oikeushyvien toteutumista yhteiskunnassa, joiden kannalta kulloisenkin viestintäverkon ja tietojärjestelmän häiriötön toiminta on merkityksellistä. Luottamuksellisen viestin suojaamista koskeva perusoikeusvaikutus olisi siten välillinen seuraus niistä toimenpiteistä, joita viranomaiset tietoturvaloukkauksen selvittämisen, ennaltaehkäisemisen ja vaikutusten poistamisen yhteydessä tekevät. 

Tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella ei saisi rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. Tämä edellyttäisi, että haitallisen tietokoneohjelman tai käskyn sisältävät viestit kyetään yksilöimään ja erottamaan tehokkaasti, jolloin perustellusti luottamuksellisen viestin salaisuutta nauttivaan viestintään ei tahattomasti kohdistettaisi viranomaistoimenpiteitä, eikä luottamuksellisen viestin salaisuuden suojaa niin ollen myöskään rajoitettaisi perusteettomasti. 

Ehdotuksen tarkoittamassa käsittelytarkoituksessa voidaan todeta, että kyse ei ole sellaisesta tietojen kokoamisesta tai yhdistämisestä, jolla olisi merkittävä vaikutus yksityiselämän suojan kannalta. Viranomaisen ei olisi valvontatehtävänsä suorittamiseksi välttämätöntä pyytää tai luovuttaa välitystietoja, sijaintitietoja tai haitallisen tietokoneohjelman tai käskyn sisältäviä viestejä yleisesti, kohdentamattomasti tai säännönmukaisesti, vaan kyse olisi pääosin yksittäisiin kyberuhkiin, -poikkeamiin, haavoittuvuuksiin tai uhkatoimijoihin liittyvistä tiedoista.  

Edellä esitetyin perustein haitallisen tietokoneohjelman tai käskyn sisältävän viestin käsittelyn arvioidaan jäävän viestinnän luottamuksellisuuden suojan ydinalueen ulkopuolelle, kun otetaan huomioon siitä ja välitystiedoista edellä esitetty. Käsittelyn arvioidaan täyttävän perusoikeuksien yleiset rajoitusedellytykset, kun huomioidaan käsittelyn tarkoitus ja tavoite suhteessa rajoituksen laatuun ja merkittävyyteen. Lisäksi NIS 2 –direktiivin täytäntöönpano edellyttää näiden tietojen käsittelemisen mahdollisuutta valvovassa viranomaisessa valvontatehtävän suorittamiseksi. Ehdotus täyttäisi myös muilta osin perusoikeuksien yleiset rajoitusedellytykset. Näin ollen tiedonsaantioikeutta ja tietojen vaihtoa viranomaisten välillä koskevien ehdotusten arvioidaan olevan siten perustuslain mukaisia, että ehdotus voidaan käsitellä tavanomaisessa lainsäädäntöjärjestyksessä. Haitallisen tietokoneohjelman tai käskyn sisältävän viestin käsittelyä koskevan ehdotuksen johdosta esityksestä olisi kuitenkin tarpeen pyytää perustuslakivaliokunnan lausunto. 

Haavoittuvuuskartoitus

Ehdotuksen 21 §:ään sisältyy ehdotus CSIRT-yksikön toimivaltuudesta suorittaa yleiseen viestintäverkkoon liitettyjen viestintäverkkojen ja tietojärjestelmien verkkopohjaista haavoittuvuuksien havainnointia. Havainnoinnin tarkoituksena olisi haavoittuvien tai turvattomasti määritettyjen viestintäverkkojen ja tietojärjestelmien asetuksien havaitseminen ja havainnoista asianomaisille tahoille ilmoittaminen. Havainnot perustuisivat yleisessä viestintäverkossa olevien tietojen havainnointiin. Toimivaltuuden taustalla on painava peruste kyberuhkiin varautumiseksi ja kyberhyökkäyksistä aiheutuvien haitallisten vaikutuksien torjumiseksi yhteiskunnassa. CSIRT-yksikön kyky havaita yleisesti saatavilla oleva tieto haavoittuvasta kohteesta ennen haavoittuvuuden hyväksikäyttöä ja saada tieto haavoittuvuuden olemassaolosta välitettyä haavoittuvaa kohdetta hallinnoivalle taholle, jotta korjaaviin toimenpiteisiin voidaan ryhtyä ja mahdollisilta haavoittuviin laitteisiin tai järjestelmiin liittyviltä tietoturvaloukkauksilta voidaan välttyä korjaavien toimenpiteiden avulla, edistäisi merkittävästi vakavilta tietoturvaloukkauksilta suojautumista haavoittuvuuksilta. 

Haavoittuvuuskartoitus olisi sallittua toteuttaa vain ei-intrusiivisella tavalla. Ehdotuksen säännöskohtaisissa perusteluissa kuvatulla tavalla se tarkoittaisi, ettei haavoittuvuuskartoituksessa saisi aiheuttaa haittaa kartoituksen kohteena olevan järjestelmän tai palvelun toiminnalle eikä tunkeutua viestintäverkkoon tai tietojärjestelmään tai hankkia pääsyä niissä käsiteltäviin tietoihin. Haavoittuvuuskartoituksen teknistä toteuttamistapaa on käsitelty tarkemmin pykälää koskevissa säännöskohtaisissa perusteluissa. Ehdotus ei mahdollistaisi tunkeutumista viestintäverkkoihin tai tietojärjestelmiin vaan kyse on yleiseen viestintäverkkoon avoinna olevien laitteiden ja tietojärjestelmien teknisten tietojen havainnoinnista. Haavoittuvuuskartoituksessa ei saisi aiheuttaa sen kohteena olevan tietojärjestelmän tai palvelun toiminnalle haittaa eikä haavoittuvuuskartoituksella saisi hankkia tietoa yleisessä viestintäverkossa tai yleisesti saatavilla olevassa viestintäpalvelussa välitettävänä olevasta viestinnästä. Haavoittuvuuskartoituksessa voitaisiin havainnoida tai kartoittaa vain viestintäverkkoja ja tietojärjestelmiä. Haavoittuvuuskartoituksella ei siten olisi sallittua hankkia ja käsitellä luottamuksellisen viestinnän suojaamia tietoja, kuten välitystietoja tai viestin sisältöä, ellei CSIRT-yksikkö käsittelisi viestinnän osapuolen roolissa omaa viestintäänsä. Haavoittuvuuskartoituksessa tai kohdennetussa haavoittuvuuskartoituksessa ei saisi käsitellä sähköisten viestien sisältöä ja pykälän 5 momentin nojalla CSIRT-yksikön olisi hävitettävä saamansa tiedot, kun ne eivät ole enää tarpeen laissa säädettyjen tehtävien hoitamiseksi. 

Perusoikeuksien yleisten rajoitusedellytysten kannalta ehdotus täyttää täsmällisyyden ja tarkkarajaisuuden vaatimuksen. Ehdotus sisältää useita toimintaa rajaavia tekijöitä. Ensinnäkin toiminta on rajattu yleisesti saatavilla oleviin viestintäverkkoihin ja tietojärjestelmiin eli ehdotus rajaa toiminnan ulkopuolelle muun muassa yksityiset verkot. Toiminnan tarkoitus on rajattu haavoittuvien tai turvattomasti määritettyjen viestintäverkkojen ja tietojärjestelmien asetusten havaitsemiseksi ja havainnoista asianomaisille tahoille ilmoittamiseksi sekä kyberturvallisuuden tilannekuvan ylläpitämiseksi. Toimintaa ei siten voisi harjoittaa muuta tarkoitusta varten. Tietoja voitaisiin hankkia teknisin kyselyin telepäätelaitteiden ja tietojärjestelmien sekä niiden tietoliikennejärjestelyjen yksilöintitiedoista, käytetyistä ohjelmistoista ja niiden toiminnasta, teknisestä toteutuksesta ja niiden avulla tarjotuista palveluista. Kyseisten tietojen on arvioitu olevan välttämättömiä muun muassa kriittisiä haavoittuvuuksia sisältävien laitteiden havainnoimiseksi sekä haavoittuvuudesta aiheutuvan kyberuhkan vakavuuden arvioimiseksi. Tiedot on lueteltu ehdotuksessa tyhjentävästi. Ehdotusta on rajattu lisäksi siten, että toiminta ei saa aiheuttaa haittaa kartoituksen kohteena olevan laitteen tai järjestelmän toiminnalle, eikä toiminnalla saa lisäksi hankkia tietoa yleisessä viestintäverkossa tai yleisesti saatavilla olevassa viestintäpalvelussa välitettävänä olevasta viestinnästä, mikä on merkityksellistä myös suhteellisuusperiaatteen toteutumisen näkökulmasta.  

Haavoittuvuuskartoituksen aikana käsiteltävien tietojen perusoikeuksiin kohdistuvien rajoitusten on arvioitu olevan oikeasuhtaisia saatavaan hyötyyn nähden. Kartoituksella saavutetaan merkittäviä hyötyjä tietoturvaloukkausten ennalta ehkäisemisen kautta, joilla voi olla yksilöiden ja yhteiskunnan kannalta merkittäviäkin vaikutuksia esimerkiksi tietomurtojen tai toiminnan häiritsemisen muodossa. Ehdotus on rajattu edellä kuvatulla tavalla siten, että se täyttää kokonaisuudessaan oikeasuhtaisuuden vaatimuksen.  

Ehdotuksen nimenomaisena tavoitteena on saada tieto haavoittuvista laitteista ja järjestelmistä niitä hallinnoivien tahojen tietoon. Lisäksi ehdotuksessa on tehty erityisesti oikeusturvan kannalta merkittäviä rajauksia sen suhteen, miten haavoittuvuuskartoituksella havaittua tietoa voidaan käyttää. Ehdotus sisältää myös velvoitteen tarpeettomien tietojen poistamisesta. 

Ehdotuksen ei ole arvioitu olevan ongelmallinen myöskään ihmisoikeusvelvoitteiden kannalta. Euroopan unionin tuomioistuin (EUT) ja Euroopan ihmisoikeustuomioistuin (EIT) ovat useissa ratkaisuissaan käsitelleet lähinnä valtiollisten toimijoiden kohdentamatonta tiedonhankintaa-, käsittelyä ja -säilytystä, jolla tyypillisesti on liittymäkohtia siviili- tai sotilastiedusteluun. Euroopan ihmisoikeussopimuksen (EIS) 8 ja 10 artikloja koskevissa tapauksissa on yleisesti huomioitu artikloissa muotoillut oikeuksien rajoitusperusteet, joiden keskeisenä sisältönä on lailla säätämisen vaatimus sekä välttämättömyys demokraattisessa yhteiskunnassa, esimerkiksi kansallisen ja yleisen turvallisuuden varmistamiseksi. Täten kohdentamattoman tiedonhankinnan (”bulk interception”) EIS:n kontekstissa tulisi tapahtua esimerkiksi kansallisen turvallisuuden turvaamiseksi siten, että tiedonhankinnasta säädetään kansallisella lailla, ja että puuttuminen yksityisen oikeuteen on välttämätöntä demokraattisessa yhteiskunnassa (esim. Kennedy v. the United Kingdom, kohta 155 ; Roman Zakharov v. Russia, kohta 236). EIT on ratkaisuissaan Big Brother Watch and Others v. the United Kingdom sekä Centrum för Rättvisa v. Sweden luonut kehyksen, jonka nojalla voidaan arvioida lainsäädäntötoimenpiteiden reunaehtoja ja riittävyyttä. Huomionarvoista on, että perustuslakivaliokunta ei ole lausuntokäytännössään myöskään pitänyt mahdollisena yleistä, kohdentamatonta ja kaiken kattavaa tietoliikenteen seurantaa tiedustelutoiminnan yhteydessä (PeVM 4/2018 vp, s. 8). Nyt käsillä olevassa ehdotuksessa ei olisi kysymys tämänkaltaisesta tiedonhankinnasta tai tietoliikenteen seurannasta.  

Ehdotettu haavoittuvuuskartoitustoiminta poikkeaa EIT:n ja EUT:n käsittelemien tapausten kohdentamattomasta tiedonhankinnasta kahdella merkittävällä tavalla. Kuvatuissa ratkaisuissa tarkoitettu toiminta käytännössä tarkoittaisi tiedon keräämistä tietoliikenteestä kaappaamalla itse liikennettä viestinnän osapuolten välissä. Haavoittuvuuskartoitustoiminnassa ei kaapattaisi tai analysoitaisi osapuolten välistä viestintää. Haavoittuvuuskartoitusta toteuttava taho toimisi sen sijaan itse viestinnän osapuolen roolissa lähettämällä yleisessä viestintäverkossa palvelimelle pyyntöjä ja analysoimalla palvelimen lähettämiä teknisiä vastauksia pyyntöihin, mikä mahdollistaa haavoittuvuuden havainnointia. Tässä tilanteessa toimitaan tietoliikenteen eri tasolla, joka ei ole vastaavalla tavalla ongelmallinen ihmisoikeusvelvoitteiden toteutumisen tai luottamuksellisen viestinnän näkökulmasta, koska kysymys ei olisi viestinnän seuraamisesta. Lisäksi toisena merkittävänä erona on toiminnan tarkoitus. Tuomioistuinten ratkaisut ovat keskittyneet usein tiedusteluviranomaisten harjoittamaan toimintaan eli tiedon hankintaan turvallisuutta uhkaavasta toiminnasta. Ehdotuksen tarkoituksena sen sijaan on kartoituksen kohteena olevien toimijoiden tietoturvan parantaminen ja sitä kautta muun muassa viestinnän luottamuksellisuuden edistäminen sekä viestintäverkossa ja tietojärjestelmässä välitettävänä olevan viestinnän tai tietojen suojaaminen ja turvallisuuden parantaminen.  

Ehdotukseen sisältyy myös edellä mainittua havainnointikartoitusta kohdennetumpi havainnointikartoitus, joka tapahtuisi kohteen pyynnöstä. Pyynnöstä tapahtuvan haavoittuvuuskartoituksen ei ole arvioitu olevan perusoikeusnäkökulmasta erityisen ongelmallinen erityisesti, koska kysymys on kohteen pyynnöstä toteutettavasta toimenpiteestä, jonka laajuuden kartoituksen pyytäjä voisi määritellä. Kohdennettu haavoittuvuuskartoitus ei sisällä mahdollisuutta käsitellä viestinnän sisältöä ilman viestinnän osapuolen suostumusta.  

Haavoittuvuuskartoituksessa ei saisi käsitellä tai hankkia tietoja yleisessä viestintäverkossa tai yleisesti saatavilla olevassa viestintäpalvelussa välitettävänä olevasta viestinnästä. Selvyyden vuoksi todetaan, että sen ohella, että vaikka haavoittuvuuskartoituksessa ei säännöksen nojalla saisi käsitellä sähköisten viestien sisältöä tai välitystietoa, ei sähköisten viestien tai välitystiedon käsitteleminen olisi teknisesti mahdollista, jos haavoittuvuuskartoitus toteutetaan teknisesti säännöksen edellyttämällä tavalla. Lisäksi ehdotuksessa säädettäisiin täsmällisesti ja tarkkarajaisesti haavoittuvuuskartoituksella hankittavien tietojen käyttötarkoituksesta ja tarpeettomien tietojen poistamisesta. Ehdotus täyttäisi perusoikeuksien yleiset rajoitusedellytykset. Edellä esitetyin perustein haavoittuvuuskartoitusta koskevan ehdotuksen arvioidaan olevan perustuslain asettamien edellytysten mukainen.  

12.2  Julkisen hallintotehtävän antaminen muulle kuin viranomaiselle ja viranomaisen suoritteen maksullisuus

Ulkopuolisen asiantuntijan käyttäminen apuna tarkastuksessa

Kyberturvallisuuslain 29 §:n nojalla valvova viranomainen voisi tehdä toimijaa koskevan tarkastuksen käyttäen apunaan tarkastuksen suorittamisessa tietoturvallisuuden arviointilaitosta tai ulkopuolista tietotekniikan asiantuntijaa, jos se on tarkastuksen laadun tai siihen liittyvien teknisten syiden vuoksi tarpeellista. Myös ehdotetun tiedonhallintalain 18 k §:n nojalla Liikenne- ja viestintävirasto voisi antaa tarkastustehtävään liittyvän avustavan tehtävän tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitetulle hyväksytylle tietoturvallisuuden arviointilaitokselle. Ehdotukset ovat merkityksellisiä perustuslain 124 §:n kannalta, jonka mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. 

Perustuslakivaliokunnan lausuntokäytännössä on painotettu, että perustuslain 124 §:n tarkoituksenmukaisuusvaatimus on oikeudellinen edellytys, joka vaatii tapauskohtaista arviointia jokaisen viranomaisorganisaation ulkopuolelle annettavaksi esitetyn julkisen hallintotehtävän kohdalla. Tällöin on huomioitava muun muassa hallintotehtävän luonne (PeVL 44/2016 vp s.5, PeVL 26/2017 vp, s.49, PeVL 5/2014 vp, s.3/I, PeVL 8/2014 vp, s.3/II, PeVL 23/2013 vp, s.3/I, PeVL 65/2010 vp, s.2/II). Tarkoituksenmukaisuusarvioinnissa tulee perustuslain esitöiden mukaan huomioida hallinnon sisäiset tarpeet sekä yksityisten henkilöiden ja yhteisöjen tarpeet (PeVL 44/2016 vp, s.5, HE 1/1998 vp, s.179/II). 

Tarkastuksen suorittamisessa lähtökohtana olisi se, että valvova viranomainen suorittaa itse tarkastuksen. Valvova viranomainen ei myöskään voisi siirtää tehtävää kokonaisuudessaan tietoturvallisuuden arviointilaitoksen tai ulkopuolisen asiantuntijan suoritettavaksi, vaan vastuu tarkastustehtävän suorittamisesta säilyisi valvovalla viranomaisella myös silloin, kun se olisi päättänyt käyttää tarkastuksessa apuna tietoturvallisuuden arviointilaitosta tai ulkopuolista asiantuntijaa. Perustuslakivaliokunnan lausuntokäytännön nojalla tarkastus voi valvonnan kohteina oleviin seikkoihin liittyvien ammatillisten ja teknisten erityispiirteiden vuoksi olla joissain tilanteissa tarkoituksenmukaista suorittaa viranomaisen siihen valtuuttaman asiantuntijan toimesta (PeVL 40/2002 vp, s.3, PeVL 44/2016 vp, s.5). Tarpeellisuusvaatimus voi täyttyä esimerkiksi silloin, kun tarkastuksen tekeminen edellyttää osaamista tai resursseja, joita viranomaisella ei ole (PeVL 29/2013 vp, s.2/I). Ehdotetun 29 §:n 2 momentin mukaan tietoturvallisuuden arviointilaitoksen tai ulkopuolisen asiantuntijan käyttäminen olisi mahdollista vain, jos tarkastuksen laatu tai siihen liittyvät tekniset syyt sitä edellyttävät. Käytännössä ehdotus koskisi siis tilannetta, jossa tarkastuksen tarkoitus kohdistuisi sellaisiin seikkoihin, joiden tarkastaminen vaatisi sellaista teknistä erityisosaamista tai poikkeuksellista osaamista, jota viranomaisella itsellään ole hallussa. Lisäksi ehdotus koskisi sellaisia tilanteita, joissa tarkastuksen suorittaminen edellyttäisi merkittäviä resursseja, joita valvovalla viranomaisella ei ole jatkuvasti käytettävissään. 

Perustusvaliokunta on katsonut, että annettaessa hallintotehtäviä muulle kuin viranomaiselle on oikeusturvan ja hyvän hallinnon vaatimusten noudattaminen turvattava säännösperusteisesti (PeVL 26/2001 vp, s.5/II, PeVL 2/2001 vp, s.2). Lisäksi perustusvaliokunta on viimeaikaisessa lausuntokäytännössään katsonut, että yrityksiin kohdistuvissa valvontatyyppisten tarkastuksen sääntelyssä on syytä viitata hallintolain tarkastuksia koskeviin 39 §:n yleissäännöksiin (PeVL 44/2016 vp s.6, PeVL 35/2014 vp, s.4/I ja PeVL 29/2013 vp, s.2). Tämä perustuslakivaliokunnan lausuntokäytäntö on esityksessä huomioitu ehdotetuissa kyberturvallisuuslain 29 §:n 4 momentissa ja tiedonhallintalain 18 j §:n 3 momentissa, joiden mukaan tarkastuksessa noudatettavaan menettelyyn sovelletaan hallintolain 39 §:ä.  

Perustuslakivaliokunta on katsonut, että perusoikeuksien, oikeusturvan ja hyvän hallinnon vaatimusten turvaamisesta voidaan huolehtia asianomaisten henkilöiden pätevyyden ja sopivuuden avulla (PeVL 5/2006 vp, s. 8/I, PeVL 67/2002 vp, s. 5/I ja PeVL 2/2002 vp, s. 2/II). Lisäksi tehtäviä hoitavien henkilöiden julkisen valvonnan tulee olla asianmukaista (PeVL 2/2002 vp, s. 2, PeVL 5/2006 vp, s.8 ja HE 1/1998 vp, s.179/II). Ehdotetussa kyberturvallisuuslain 29 §:n 2 momentissa ja tiedonhallintalain 18 j §:n 2 momentissa säädetään, että tarkastajalla tulee olla tarkastustehtävään nähden sellainen koulutus ja kokemus, joka on tarpeen tarkastuksen suorittamiseksi. Tämä pätevyysvaatimus koskee myös sellaista tietoturvallisuuden arviointilaitosta ja ulkopuolista asiantuntijaa, jota voitaisiin käyttää tarkastuksessa apuna 29 §:n 2 momentin nojalla. Perusoikeuksien, oikeusturvan ja hyvän hallinnon osalta perustuslakivaliokunta on lisäksi katsonut, että tarkastuksessa noudatetaan hallinnon yleislakeja ja että asioita käsitellään virkavastuulla (PeVL 20/2006 vp, s. 2, PeVL 46/2002 vp, s. 10, PeVL 33/2004 vp, s. 7/II, PeVL 11/2006 vp, s. 3). Esitettyjen kyberturvallisuuslain 29 §:n 1 momentin ja tiedonhallintalain 18 k §:n 3 momentin mukaan ulkopuoliseen asiantuntijaan ja hyväksytyn arviointilaitoksen palveluksessa olevaan henkilöön sovellettaisiin rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan kyseisen pykälän mukaisesti annettuja julkisoikeudellisia hallintotehtäviä. Lakiin ei enää nykyisin ole välttämätöntä sisällyttää perustuslain 124 §:ään perustuvaa viittausta hallinnon yleislakeihin, mikäli ehdotuksesta käy selvästi ilmi, että hallinnon yleislakeja sovelletaan PL 124 §:ssä tarkoitettuun toimintaan (PeVL 20/2006 vp, s.2) Hallinnon yleislakeja sovelletaan silloin, kun kyse on julkisuuslain 4 §:n 2 momentin mukaisesta toimijasta. 

Perustuslain 124 §:n mukaan merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan antaa vain viranomaiselle. Ehdotetuissa kyberturvallisuuslain 29 §:ssä ja tiedonhallintalain 18 k §:ssä ei olisi kysymys merkittävän julkisen vallan käyttämisestä. Perustuslakivaliokunta on lausunnoissaan katsonut, että merkittävänä julkisen vallan käyttämisenä pidetään esimerkiksi perusoikeuksiin puuttumista ((HE 1/1998 vp, s. 179/II, PeVL 28/2001 vp, s.5), itsenäiseen harkintaan perustuvaa voimakeinojen käyttöä (HE 1/1998 vp, s. 179/II, PeVL 28/2001 vp, s.5) ja kotirauhan piiriin kohdistuvia tarkastusvaltuuksia (PeVL 40/2002 vp, s.3/II, PeVL 46/2001 vp, s.3/II). Ulkopuolista tarkastajaa ei voida määrätä ainakaan yksin suorittamaan tarkastusta tiloissa, jotka kuuluvat kotirauhan piiriin (PeVL 29/2013 vp, s.2). Perustuslakivaliokunnan lausuntokäytäntö on huomioitu ehdotuksen 29 §:n 3 momentissa ja tiedonhallintalain 18 j §:n 3 momentissa, joiden mukaan tarkastaja on päästettävä muihin, kuin pysyväisluonteiseen asumiseen tarkoitettuihin tiloihin.  

Edellä esitetyin perustein ehdotus ulkopuolisen asiantuntijan käyttämisestä tarkastuksessa ei arvioida olevan ristiriidassa perustuslain 124 §:n kanssa. 

12.3  Elinkeinonvapaus

Toimijoiden ilmoittautumisvelvollisuus valvovalle viranomaiselle

Esitykseen sisältyy ehdotus soveltamisalaan kuuluvien toimijoiden velvollisuudesta ilmoittaa valvovalle viranomaiselle kyberturvallisuuslain 45 §:ssä tarkoitetut tiedot toimijaluettelon ylläpitämiseksi. Lisäksi sähköisen viestinnän palveluista annetun lain 165 §:ssä säädettäisiin nykyistä yksityiskohtaisemmin verkkotunnusvälittäjän tiedoista, jotka on ilmoitettava ennen toiminnan aloittamista. Ehdotukset tarkoittaisivat käytännössä soveltamisalaan kuuluvan toimijan ilmoitusvelvollisuutta toiminnasta valvovalle viranomaiselle ja ne olisivat siten merkityksellisiä perustuslain 18 §:ssä turvatun elinkeinovapauden kannalta.  

NIS2-direktiivin täytäntöönpano edellyttää ilmoitusvelvollisuuden mukaisten tietojen keräämistä näiltä toimijoilta. Lisäksi ilmoittautumisvelvollisuus toisi valvovan viranomaisen tietoon kyberturvallisuuslain soveltamisalaan kuuluvat toimijat ja mahdollistaisi valvonnan kohdentamisen näihin toimijoihin.  

Kyberturvallisuuslain 41 §:n mukaan toimijoiden olisi ilmoitettava valvovalle viranomaiselle 41 §:n 2 momentin a-g kohdissa listatut tiedot toimijaluettelon ylläpitämiseksi. Näiden tietojen lisäksi DNS-palveluntarjoajien, aluetunnusrekisterin ylläpitäjien, pilvipalvelujen tarjoajien, datakeskuspalvelujen tarjoajien, sisällönjakeluverkkojen tarjoajien, hallintapalvelun tarjoajien, tietoturvapalveluntarjoajien sekä verkossa toimivien markkinapaikkojen tarjoajien, verkossa toimivien hakukoneiden tarjoajien ja verkkoyhteisöalustojen tarjoajien on ilmoitettava valvovalle viranomaiselle 41 §:n 3 momentin a-c kohdan tiedot. Pykälän 3 momentissa säädetään lisäksi toimijan velvollisuudesta ilmoittaa muutoksista sekä valvovan viranomaisen oikeudesta antaa tarkempia määräyksiä tietojen ilmoittamisesta. Valvova viranomainen ylläpitäisi toimijaluetteloa ilmoituksiin perustuen.  

Perustuslakivaliokunta on lausunnossa PeVL 54/2002 vp katsonut, ettei pelkästä ilmoitusvelvollisuudesta säätäminen ole itsessään elinkeinovapauden kannalta ongelmallista etenkään, kun viranomaisen ei edellytetä tekevän ilmoituksen johdosta päätöstä. Ehdotetussa ilmoitusvelvollisuudessa olisi kyse kuvatun kaltaisesta tilanteesta. Toisaalta perustuslakivaliokunta on lausuntokäytännössään katsonut, että velvollisuus tehdä toiminnasta ilmoitus valvovalle viranomaiselle ja luovuttaa tälle tietoja tilanteessa, jossa ilmoituksen tekemättä jättäminen johtaa kielteisiin seurauksiin, rinnastuu usein luvanvaraisuuteen ja merkitsee näin ollen puuttumista elinkeinovapauteen (PeVL 45/2001 vp). Ilmoitusvelvollisuudessa on kuitenkin kyse luvanvaraisuutta lievemmin elinkeinonvapauteen puuttuvasta velvoitteesta. Perustuslakivaliokunta ei ole katsonut ilmoitusvelvollisuutta elinkeinovapauden kannalta ongelmallisena, kun ilmoituksen tekemättä jättämiselle ei ole asetettu kieltoa harjoittaa elinkeinotoimintaa (PeVL 16/2009 vp) tai viranomaisen ei edellytetä tekevän ilmoituksen johdosta päätöstä (PeVL 54/2002 vp).  

Esityksessä asetettaisiin toimijalle velvoite ilmoittaa vaaditut tiedot viranomaiselle silloin, kun se kuuluisi NIS2-direktiivin edellyttämän ilmoitusvelvollisuuden soveltamisalaan. Ilmoituksen tekeminen ei ole toiminnan harjoittamisen edellytys eikä valvovan viranomaisen edellytetä tekevän päätöstä ilmoituksen johdosta. Ilmoituksen tekemättä jättäminen ei sinänsä merkitse kieltoa tarjota palvelua tai harjoittaa toimintaa. Ilmoitusvelvollisuuden laiminlyönti olisi kuitenkin sanktioitu hallinnollisella seuraamusmaksulla ja valvovalla viranomaisella olisi toimivalta määrätä laiminlyönti oikaistavaksi uhkasakon tai keskeyttämisuhkan nojalla. Lisäksi valvovalla viranomaisella olisi viimesijassa oikeus käyttää muita laissa säädettyjä toimivaltuuksia lain vastaisen menettelyn, eli muun ohella ilmoituksen tekemättä jättämisen, oikaisemiseksi. Ehdotetussa ilmoitusvelvollisuudessa olisi kyse elinkeinovapauden rajoittamisesta ja ehdotuksen olisi täytettävä perusoikeutta rajoittavalta lailta vaadittavat yleiset edellytykset, kuten hyväksyttävyyden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset (PeVL 58/2014 vp, s.5, PeVL 19/2009 vp, s.2). Elinkeinovapauden rajoittamiselle tulee perustuslakivaliokunnan mukaan olla hyväksyttävä ja painava peruste (PeVL 15/2008 vp, s.2). Ehdotuksessa on kyse NIS 2 –direktiivin toimeenpanosta velvoittavalta osin, mihin ei liity kansallista liikkumavaraa. Esityksen tavoitteena on vahvistaa kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisten ja tärkeiden toimijatyyppien osalta. Ehdotuksen tavoitteena on parantaa soveltamisalaan kuuluvien toimijoiden kyberturvallisuuden riskienhallintaa ja siten turvata yhteiskunnan toiminnan kannalta kriittisten palvelujen jatkuvuutta. Ehdotuksella arvioidaan olevan ilmoitusvelvollisuuden asettamiseksi painava ja hyväksyttävä syy.  

Toimijoiden velvollisuus ilmoittautua valvovalle viranomaiselle ja toimijaluettelon ylläpitäminen mahdollistaa toimijoille asetettujen velvoitteiden valvonnan sekä laajassa kyberhäiriötilanteessa sen vaikuttavuuden arvioinnin sekä Suomessa että EU:n tasolla. NIS2-direktiivin toimeenpano edellyttää ilmoitusvelvollisuudesta säätämistä. Säännökseltä edellytettäisiin täsmällisyyttä ja tarkkarajaisuutta (PeVL 15/2008 vp, s.2, PeVL 33/2005 vp, s.2) ja elinkeinovapauden rajoitusten olennaisen sisällön, kuten rajoitusten laajuuden ja edellytysten tulisi ilmetä laista (PeVL 19/2009 vp, s.2). Laissa olisi määritelty ne toimijat, joihin ilmoitusvelvollisuus kohdistuu ja ilmoitettavat tiedot olisi määritelty tyhjentävästi lain tasolla. Lisäksi perustuslakivaliokunta on lausuntokäytännössään katsonut, että viranomaistoiminnan tulisi olla ennustettavaa . Viranomaistoiminnan ennustettavuutta tukee se, että rekisteröinnin edellytyksistä ja pysyvyydestä säännellään (PeVL 19/2009 vp, s.2, PeVL 15/2008 vp, s.2). Valvova viranomainen pitäisi ilmoituksien perusteella toimijarekisteriä valvottavan toimialan soveltamisalaan kuuluvista toimijoista. Perustuslakivaliokunta on lausuntokäytännössään edellyttänyt sitä, että laista ilmenisi, että rekisteriin merkittäisiin jokainen, joka harjoittaa lain sääntelemää toimintaa (PeVL 45/2001 vp). Ehdotetusta 41 §:stä ilmenisi, että valvova viranomainen ylläpitää valvontatoimialansa osalta toimijaluetteloa ilmoitettujen tietojen perusteella.  

Kyberturvallisuuslain 41 § ja sähköisen viestinnän palveluista annetun lain 165 §:ään ehdotettavat muutokset vastaisivat perustuslakivaliokunnan käytännöstä ilmeneviä reunaehtoja elinkeinovapautta rajoittavalle säännökselle eikä niiden arvioida siten olevan ristiriidassa perustuslain 18 §:n 1 momentissa turvatun elinkeinovapauden kannalta tavalla, joka estäisi lakiesityksen käsittelemisen tavallisen lain säätämisjärjestyksessä. 

Luvanvaraisen toiminnan rajoittaminen

Esitykseen sisältyy luvanvaraisen toiminnan rajoittamista tai luvan peruuttamista koskevia ehdotuksia. Luvan peruuttamista koskevia ehdotuksia olisivat sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain 23 §:n, maa-asemista ja eräistä tutkista annetun lain 8 §:n ja vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annetun lain 109 §:n muutokset. Ehdotuksilla pantaisiin osin täytäntöön NIS2-direktiivin 32 artiklan 5 kohta, joka ei sisällä kansallista liikkumavaraa. Ehdotukset ovat merkityksellisiä perustuslain 18 §:ssä turvatun elinkeinovapauden kannalta. 

Luvanvaraisen toiminnan rajoittamista tai luvan peruuttamista koskevat ehdotukset kohdistuisivat vain sellaiseen toimintaan, joka on jo aiemmin säädetty luvanvaraiseksi. Muutokset eivät myöskään vaikuttaisi kyseisten lupien myöntämisen edellytyksiin, vaan niissä on kyse jo myönnetyn toimiluvan muuttamisesta tai peruuttamisesta tilanteessa, jossa luvanhaltija ei ole noudattanut siihen kohdistuvia velvoitteita. 

Viranomaiselle voidaan myöntää toimivalta rajoittaa yritysten toimiluvan mukaista toimintaa. Perustuslakivaliokunta on kuitenkin edellyttänyt tällaisissa tilanteissa, että rajoitussääntelyä puoltavat perusoikeusjärjestelmän kannalta hyväksyttävät ja painavat syyt. Perustuslakivaliokunta on lausunnossaan tuonut muun muassa esille, että esimerkiksi rahoitusmarkkinoiden vakauden ja turvaamisen sekä sitä kautta asiakkaan suojaamiseen liittyvät perusteet puoltavat sääntelyä, jolla voidaan puuttua voimakkaasti perustuslaissa suojattuun omaisuuden suojaan ja elinkeinovapauteen (esim. PeVL 43/2004 vp, s.2/I tai PeVL 35/2014 vp, s. 3). Nyt käsillä oleva ehdotus kohdistuu kyberturvallisuusriskien hallitsemiseen yhteiskunnan toiminnan kannalta kriittisissä toiminnoissa tällaisten palveluiden jatkuvuuden turvaamiseksi, joten ehdotuksella arvioidaan olevan luvanvaraisen toiminnan rajoittamiseksi painava ja hyväksyttävä syy.  

Luvan peruuttamista on elinkeinotoiminnan sääntelyn yhteydessä pidetty yksilön oikeusasemaan puuttuvana toimenpiteenä jyrkempänä kuin esimerkiksi luvan epäämistä. Tämän vuoksi luvan peruuttaminen olisi välttämätöntä sitoa vakaviin tai olennaisiin rikkomuksiin tai laiminlyönteihin sekä siihen, että luvanhaltijalle mahdollisesti annetut huomautukset tai varoitukset sekä puutteen tai laiminlyönnin korjaamiseksi annettu kohtuullinen määräaika eivät ole johtaneet toiminnassa esiintyneiden puutteiden korjaamiseen (esim. PeVL 13/2014 vp, s. 3 tai PeVL 34/2012 vp, s. 2). Esitykseen sisältyvät, luvan peruuttamista koskevat ehdotukset on sidottu kyberturvallisuuslaissa säädettyjen velvoitteiden olennaiseen laiminlyöntiin, eli esimerkiksi siihen, että toimija ei ole ollenkaan laatinut kyberturvallisuuslain 8 §:ssä tarkoitettua kyberturvallisuuden riskienhallinnan toimintamallia. Lisäksi edellytyksenä on, että laiminlyönti on siten toistuvaa, että viranomaisen antama huomautus tai varoitus ei ole johtanut korjaaviin toimenpiteisiin. Luvan peruuttaminen olisi viimesijainen keino suhteessa muihin valvontatoimivaltuuksiin, eli ennen sitä viranomaisen olisi pyrittävä puuttumaan laiminlyöntiin lievemmillä keinoilla.  

Luvanvaraisen toiminnan rajoittamista koskevan ehdotuksen ei edellä esitetyin perustein katsota olevan ristiriidassa suhteessa perustuslakiin. 

Johdon toiminnan rajoittaminen

Hallituksen esityksen 32 §:n mukaan valvova viranomainen voisi kieltää henkilöä toimimasta keskeisen toimijan hallituksen jäsenenä ja varajäsenenä, hallintoneuvoston jäsenenä ja varajäsenenä, toimitusjohtajana tai muussa siihen rinnastettavassa asemassa, jos tämä on toistuvasti ja vakavasti rikkonut 10 §:ssä säädettyjä velvoitteita. Päätös voisi olla voimassa enintään niin kauan, kuin sen perusteena oleva puute tai laiminlyönti on korjaamatta ja kuitenkin enintään viisi vuotta. Ehdotuksella pantaisiin täytäntöön NIS2-direktiivin 32 artiklan 5 kohdan valvovalta viranomaiselta edellyttämä toimivalta. Ehdotus on merkityksellinen perustuslain 18 §:ssä turvatun elinkeinovapauden kannalta, jonka mukaan jokaisella on oikeus lain mukaan hankkia toimeentulonsa valitsemallaan työllä, ammatilla tai elinkeinolla.  

Johdon toiminnan rajoittamista koskevia säännöksiä on säädetty perustuslakivaliokunnan myötävaikutuksella (PeVL 67/2002 vp, s.3, PeVL 28/2008 vp, s.2). Perustuslakivaliokunnan lausuntokäytännön nojalla toimintakiellon tulee olla laissa määritelty, sille tulee olla hyväksyttävä peruste ja sitä koskevan sääntelyn on oltava täsmällistä. (PeVL 16/2003 vp, s.3, PeVL 67/2002 vp, s.3, PeVL 52/2001 vp, s.3-4). 

Johdon toiminnan rajoittamisesta säädettäisiin perustuslakivaliokunnan lausuntokäytännön mukaisesti lain tasolla, ehdotuksen 32 §:ssä. Perustuslakivaliokunta on edellyttänyt hyväksyttävää perustetta sellaiselta säännökseltä, joka rajoittaa johdon toimintaa. Esityksen 1. lakiehdotukseen sisältyvän ehdotuksen perusteena on sellaisen Suomea velvoittavan EU-säännöksen täytäntöönpano, jolla tavoitellaan yhteiskunnan toiminnan kannalta kriittisten toimijoiden kyberturvallisuuden häiriönsietokyvyn parantumista. NIS2-direktiivi edellyttää toimijan johdon henkilökohtaista vastuuta kyberturvallisuuden riskienhallinta- ja raportointivelvoitteiden toteuttamisesta toimijassa sekä mahdollisuutta kieltää henkilön toiminta keskeisen toimijan johdossa, jos toimija ei varoituksesta huolimatta kohtuullisessa määräajassa korjaa puutetta tai laiminlyöntiä sääntelyn noudattamisessa. Ehdotuksen mukaan, mikäli toimijan johto toimisi toistuvasti ja vakavasti laissa säädetyn velvollisuuden vastaisesti, voitaisiin johdon toimintaa rajoittaa. Rajoitus kohdistuisi luonnollisen henkilön toimintaan yksittäisen toimijan tietyissä johtotehtävissä. Säännöksen tavoitteena olisi vahvistaa laissa asetettujen toimenpiteiden vaikuttavuutta ja varoittavuutta.  

Perustuslakivaliokunta on lausunnoissaan korostanut perustuslainmukaisuutta vahvistavana seikkana sitä, että kieltomahdollisuuden piiriin on sisällytetty vain pieni määrä tehtäviä ja sitä, että sääntelyn kohderyhmä on pidetty suppeana (PeVL 52/2001 vp, s.4, PeVL 16/2003 vp, s.3). Säädösehdotuksessa johdon toiminnan rajoittamisen mahdollisuutta on rajattu siten, että se voi kohdistua vain toimijan ylimpään johtoon, eli esityksen 32 §:ssä määriteltyihin henkilöihin. Lisäksi kielto ei olisi yleinen kielto, vaan kohdistuisi vain luonnollisen henkilön toimintaan tietyn toimijan ylimmässä johdossa. Kielto ei rajoittaisi luonnollisen henkilön muuta elinkeinoharjoittamista tai mahdollisuutta toimia valitsemassaan ammatissa. Edellytyksenä olisi lisäksi keinon viimesijaisuus. Valvovan viranomaisen olisi ennen päätöksen tekemistä annettava keskeiselle toimijalle varoitus sekä varattava kohtuullinen määräaika puutteen tai laiminlyönnin korjaamiseksi. Nämä edellytykset varmistavat tilanteen, jossa johdon toimintaa voitaisiin rajoittaa vain viimesijaisesti ja poikkeuksellisesti.  

Kiellon vaikutuksia elinkeinovapauden rajoittamisen näkökulmasta lieventää myös se, että kiellon kohteena olevalla henkilöllä on mahdollisuus hakeutua muihin tehtäviin sekä samassa organisaatiossa, että muissa organisaatioissa. Kielto ei lisäksi tulisi koskemaan yksityisiä elinkeinonharjoittajia tai henkilöyhtiöitä, eli avoimia yhtiöitä tai kommandiittiyhtiöitä, joissa yksityinen elinkeinonharjoittaja tai henkilöyhtiön yhtiömiehet vastaavat yhtiön veloista henkilökohtaisesti. Johdon toiminnan rajoittamisen mahdollisuuden rajaaminen vain tiettyihin säännöksessä esitettyihin henkilöihin silloin kun kysymyksessä on vakava ja toistuva, 10 §:ssä säädetyn velvoitteen rikkominen, tukee perustuslakivaliokunnan vaatimusta sääntelyn täsmällisyydestä, ja vahvistaa sääntelyn perustuslainmukaisuutta. Toimenpide voisi kohdistua vain keskeiseen toimijaan, eli yhteiskunnan toiminnan kannalta erittäin kriittiseksi määriteltyyn toimijaan. 

12.4  Omaisuudensuoja

Kyberturvallisuuslain 30 §:ssä säädettäisiin valvovan viranomaisen oikeudesta velvoittaa toimija päätöksellä toteuttamaan kyberturvallisuuden riskienhallintaan kohdistuva turvallisuusauditointi. Lisäksi valvovalla viranomaisella olisi säännöksen nojalla oikeus saada tieto auditoinnin tuloksista ja velvoittaa toimija toteuttamaan turvallisuusauditoinnin suosittelemat kohtuulliset ja oikeasuhtaiset toimenpiteet kyberturvallisuuden riskienhallinnan kehittämiseksi. Ehdotus on merkityksellinen perustuslain 15 §:ssä turvatun omaisuudensuojan kannalta, sillä velvoitteen täyttämisestä aiheutuisi toimijalle lähtökohtaisesti kustannuksia ja rajoituksia omaisuuden käyttöön kohdistuen. Lisäksi 2 luvun 7–9 §:ssä säädettävä velvoite kyberturvallisuuden riskienhallinnasta voi aiheuttaa toimijoille kustannuksia tai velvoittaa toimijaa tekemään toimenpiteitä, joilla voi olla merkitystä omaisuudensuojan kannalta.  

Perustuslain 15 §:n 1 momentin nojalla jokaisen omaisuus on turvattu. Omaisuudensuoja sisältää paitsi omistajalle lähtökohtaisesti kuuluvan vallan hallita, käyttää ja hyödyntää omaisuuttaan haluamallaan tavalla myös vallan määrätä siitä (PeVL 41/2006 vp, s. 2, PeVL 49/2005 vp, s. 2, PeVL 15/2005 vp, s. 2). Perustuslakivaliokunnan käytännön mukaan omistajan oikeuksia voidaan rajoittaa lailla, kunhan sääntely täyttää perusoikeuksien yleiset rajoitusedellytykset.  

Perustuslakivaliokunta on pitänyt perusoikeusjärjestelmän kannalta hyväksyttävänä rajoitusperusteena pyrkimystä radioviestinnän häiriöttömyyden turvaamiseen (PeVL 26/2001 vp, s. 4).  

Viranomaisen toimivaltuus teettää turvallisuusauditointi ja määrätä toimenpiteitä toteutettavaksi sekä toimijoihin kohdistuvasta riskienhallintavelvoitteesta säätäminen ovat NIS 2 –direktiivin velvoittavan soveltamisalan toimeenpanon edellyttämiä ehdotuksia, joihin ei liity kansallista liikkumavaraa velvoitteiden vähimmäistason osalta. Ehdotuksen tavoitteena on vahvistaa kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisissä toimijoissa. 

Ehdotetussa 30 §:ssä säädettäisiin tyhjentävästi perusteista, joilla turvallisuusauditointi voitaisiin määrätä toteutettavaksi. Näitä olisivat toimijaan kohdistunut merkittävä poikkeama, joka on aiheuttanut vakavan toimintahäiriön tai huomattavaa vahinkoa; tai olennainen ja vakava riskienhallintavelvoitteen laiminlyönti. Valvova viranomainen voisi velvoittaa toimijan toteuttamaan vain sellaisia auditoinnin suosittelemia toimenpiteitä, jotka ovat kohtuullisia ja oikeasuhtaisia toimijan kyberturvallisuuden riskienhallinnan kehittämiseksi. Valvovalla viranomaisella olisi käytössään muita toimivaltuuksia varmistaa lain noudattaminen ennen turvallisuusauditoinnin määräämistä. Turvallisuusauditoinnin teettäminen tai toimenpiteisiin velvoittaminen olisi muutoksenhakukelpoinen hallintopäätös, joka valvovan viranomaisen on perusteltava. 

Ehdotuksien arvioidaan olevan perusoikeuksien yleisten rajoitusedellytysten kannalta täsmällisiä ja tarkkarajaisia sekä riittävän oikeasuhtaisia suhteessa niihin tavoitteisiin, joita esityksen taustalla on. Ehdotuksista säädetään laintasoisesti eikä niillä puututa omaisuudensuojan ydinalueelle. Lisäksi päätöksiin sisältyy muutoksenhakumahdollisuus. Ehdotuksien katsotaan olevan perustuslaissa turvatun omaisuudensuojan kannalta hyväksyttäviä. 

12.5  Hallinnollinen seuraamusmaksu

Kyberturvallisuuslain 5 luvussa säädettäisiin NIS2-direktiivin edellyttämällä tavalla hallinnollisen seuraamusmaksun määräämisestä toimijalle, joka tahallaan tai törkeästä huolimattomuudesta laiminlöisi laissa säädettyä riskienhallintavelvoitetta, ilmoitusvelvollisuutta merkittävistä poikkeamista tai laissa säädetyn ilmoituksen tekemisestä toimijaluetteloa varten. Kysymys olisi lainvastaisesta teosta määrättävästä sanktioluonteisesta hallinnollisesta seuraamuksesta, joka voisi olla määrällisesti huomattava. 

Perustuslakivaliokunnan lausuntokäytännön mukaan hallinnollisen seuraamuksen yleisistä perusteista on säädettävä perustuslain 2 §:n 3 momentin edellyttämällä tavalla lailla. Lisäksi kysymys on merkittävästä julkisen vallan käytöstä, jota voidaan osoittaa vain viranomaiselle. Laissa on täsmällisesti ja selkeästi säädettävä maksuvelvollisuuden ja maksun suuruuden perusteista sekä maksuvelvollisen oikeusturvasta samoin kuin lain täytäntöönpanon perusteista. Lisäksi valiokunta on katsonut, että vaikka perustuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen täsmällisyysvaatimus ei sellaisenaan kohdistu hallinnollisten seuraamusten sääntelyyn, ei tarkkuuden yleistä vaatimusta kuitenkaan voida tällaisen sääntelyn yhteydessä sivuuttaa (PeVL 43/2013 vp, PeVL 14/2013 vp, PeVL 32/2012 vp ja siinä viitatut lausunnot). 

Perustuslakivaliokunta on vakiintuneesti katsonut hallinnollisten seuraamusmaksujen olevan lainvastaisesta teosta määrättäviä sanktioluonteisia hallinnollisia seuraamuksia. Valiokunta on lausunnoissaan rinnastanut asiallisesti rangaistusluonteisen taloudellisen seuraamuksen rikosoikeudelliseen seuraamukseen (PeVL 17/2012 vp, s.6, PeVL 9/2012 vp, s.2). Hallinnollinen seuraamusmaksu on perustuslakivaliokunnan mukaan merkittävää julkisen vallan käyttöä (PeVL 34/2012 vp, s.3, PeVL 17/2012 vp, s.6, PeVL 9/2012 vp, s.2). Perustuslain 2.3 §:n mukaan julkisen vallan käytön tulee perustua lakiin. Perustuslain 124 §:n viimeisen virkkeen mukaan merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan antaa vain viranomaiselle. Seuraamusmaksun määräämistä koskevassa ehdotuksessa on otettu huomioon kuvattu perustuslakivaliokunnan lausuntokäytäntö. Laissa säädettäisiin täsmällisesti, tarkkarajaisesti ja tyhjentävästi teosta tai laiminlyönnistä, joka voisi olla toimijaan kohdistuvan seuraamusmaksun määräämisen perusteena. 

Perustuslakivaliokunta on lausunut yleistä tietosuoja-asetusta koskevassa arvioinnissaan, että oikeusturvaintressi hallinnollisissa seuraamusmaksuissa on voimakkaasti korostunut, kun otetaan huomioon seuraamusmaksun sanktioluonne ja ankaruus. Perustuslakivaliokunta on edellyttänyt, että menettelyn asianmukaisuuden, riippumattomuuden ja puolueettomuuden varmistamiseksi perustuslain 21 §:n edellyttämällä tavalla, seuraamismaksun päättämisen tulee kuulua monijäsenisen elimen toimivaltaan, jotta ehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Seuraamusmaksun määräämistä edeltävä asian selvittäminen ja muu valmistelu sekä esittely voitiin osoittaa tietosuojavaltuutetun tehtäväksi (PeVL 14/2018 vp). 

Kyberturvallisuuslaissa seuraamusmaksun määräämistä ehdotetaan monijäsenisen elimen tehtäväksi oikeusturvaan liittyvistä syistä. Seuraamusmaksun määräisi seuraamusmaksulautakunta, joka koostuisi valvovien viranomaisten nimeämistä jäsenistä. Liikenne- ja viestintävirasto nimeäisi lautakunnan puheenjohtajan ja varapuheenjohtajan. Lautakunta muodostuisi kunkin valvovan viranomaisen siihen määräämästä jäsenestä ja tämän henkilökohtaisesta varajäsenestä. Seuraamusmaksun määräämistä koskevan asian selvittämisestä vastaisi se valvova viranomainen, jonka valvontatoimialaa koskevasta asiasta olisi kyse ja asian esittelisi tämän valvovan viranomaisen nimeämä jäsen. Laissa olisi lisäksi säännöksiä lautakunnan perehtyneisyyttä, asiantuntemusta, riippumattomuutta ja puolueettomuutta koskien. 

Perustuslakivaliokunnan mukaan hallintoviranomaisen toiminnassa on asian käsittelyssä noudatettava perustuslain 21 §:n 2 momentin mukaisia hyvän hallinnon takeita, joita momentin mukaan ovat muun muassa käsittelyn julkisuus, oikeus tulla kuulluksi ja saada perusteltu päätös sekä oikeus hakea muutosta. Perustuslain mukaiset hyvän hallinnon takeet turvataan lailla. 

Perustuslakivaliokunta on lausuntokäytännössään pitänyt ongelmallisena sitä, että asia voitaisiin yksittäistapauksessa ratkaista ilman esittelyä (PeVL 14/2018 vp, s.19). Seuraamusmaksulautakunta tekisi aina päätöksensä esittelystä. Perustuslakivaliokunnan mukaan laissa on täsmällisesti ja selkeästi säädettävä maksuvelvollisuuden ja maksun suuruuden perusteista sekä maksuvelvollisen oikeusturvasta samoin kuin lain täytäntöönpanon perusteista (PeVL 14/2013 vp, s.2, PeVL 34/2012 vp, s.3, PeVL 17/2012 vp, s.6). Ehdotuksessa arvioidaan säädettävän näistä seikoista riittävällä tasolla. 

Koska seuraamusmaksut ovat määrältään huomattavia, on erityistä huomiota perustuslakivaliokunnan mukaan kiinnitettävä oikeusturvalle asetettaviin vaatimuksiin (PeVL 14/2018 vp, s.18). Seuraamusmaksun määrä perustuisi 37 §:n mukaan kokonaisarviointiin, jossa olisi huomioitava pykälässä säädetyt seikat. Maksun enimmäismäärä on määritelty esityksen 38 §:ssä. Seuraamusmaksua koskevaan päätökseen haettaisiin muutosta valittamalla oikeudenkäynnistä hallintoasioissa säädetyssä järjestyksessä. Seuraamusmaksua koskeva päätös olisi täytäntöönpanokelpoinen vasta lainvoimaisena, minkä on arvioitu turvaavan oikeusturvajärjestelyiden asianmukaisuutta (PeVL 4/2004 vp, s.7-8). Perustuslakivaliokunta on lisäksi käytännössään edellyttänyt, että viranomaisen harkinta sanktion määräämättä jättämisestä tulee olla sidottua harkintaa siten, että seuraamusmaksu on jätettävä määräämättä laissa säädettyjen edellytysten täyttyessä (PeVL 49/2017 vp, s.5-6, PeVL 39/2017 vp, s.4). Tämä on huomioitu ehdotuksen 39 §:ssä, jonka tarkoituksena on säädöskohtaisten perustelujen mukaan varmistaa, että seuraamusmaksua ei määrättäisi niissä tilanteissa, joissa se olisi kohtuutonta joko 1 momentin 1 tai 2 kohdassa tarkoitettujen seikkojen perusteella tai muutoin jonkin vastaavan seikan tai seikkojen perusteella ilmeisen kohtuutonta. 

Ne bis in dem –periaatteen mukaan ketään ei saa saman valtion tuomiovallan nojalla tutkia uudelleen tai rangaista oikeudenkäynnissä rikoksesta, josta hänet on jo lopullisesti vapautettu tai tuomittu syylliseksi kyseisen valtion lakien ja oikeudenkäyntimenettelyn mukaisesti (PeVL 9/2012 vp, s.3, PeVL 14/2013 vp, s.2). Kiellon soveltamisala ulottuu Euroopan ihmisoikeustuomioistuimen ratkaisukäytännössä myös rangaistusluonteisiin hallinnollisiin seuraamuksiin (PeVL 9/2012 vp, s.3). Esityksen 1. lakiehdotuksessa periaate on huomioitu 39 §:n 3 momentissa, jonka mukaan seuraamusmaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. Seuraamusmaksua ei saisi myöskään määrätä sille, jolle on samasta teosta määrätty yleisen tietosuoja-asetuksen nojalla seuraamusmaksu.  

Hallinnollista seuraamusmaksua ei voitaisi määrätä viranomaiselle. Perustuslakivaliokunta on katsonut lausuntokäytännössään vieraaksi sen, että hallinnollinen seuraamusmaksu voitaisiin määrätä viranomaiselle (PeVL 13/2023 vp, PeVL 37/2021 vp ja PeVL 14/2018 vp). 

Hallinnollista seuraamusmaksua koskevan ehdotuksen arvioidaan vastaavan edellä kuvattuja perustuslain reunaehtoja. 

12.6  Valtion toimielinten yleiset perusteet

Kyberturvallisuuslain 19 §:ssä säädettäisiin tietoturvaloukkauksiin reagoivasta ja niitä tutkivasta CSIRT-yksiköstä. Lisäksi lain 36 §:ssä säädettäisiin Liikenne- ja viestintäviraston yhteyteen perustettavasta seuraamusmaksulautakunnasta, jonka tehtävänä olisi määrätä hallinnollinen seuraamusmaksu siten kuin lain 5 luvussa säädetään. Ehdotukset ovat merkityksellisiä perustuslain 119 §:n 2 momentin mukaan valtionhallinnon toimielinten yleisistä perusteista on säädettävä lailla, jos niiden tehtäviin kuuluu julkisen vallan käyttöä.  

Perustuslain esitöiden mukaan valtionhallinnon toimielinten yleisillä perusteilla tarkoitetaan lähinnä yksikön nimeä, toimialaa sekä pääasiallisia tehtäviä ja toimivaltuuksia (HE 1/1998 vp, s. 174/II). Myös toimielimen toimikauden mahdollisen määräaikaisuuden on katsottu kuuluvan yleisiin perusteisiin (PeVL 12/2004 vp, s. 2-3). 

CSIRT-yksikköä koskevat 19 ja 20 §:t sisältäisivät säännökset yksikön vaatimuksista, tehtävistä ja sijoittumisesta Liikenne- ja viestintävirastoon. CSIRT-yksikön toiminta olisi järjestettävä erilliseksi Liikenne- ja viestintävirastossa tehtävästä valvontatoiminnosta. 

Seuraamusmaksulautakuntaa koskeva säännös sisältäisi yleiset perusteet, jotka koskevat seuraamusmaksulautakunnan tehtäviä, jäsenten nimeämistä, päätöksentekomenettelyä ja toimikauden määräaikaisuutta.  

Ehdotettujen säännösten katsotaan täyttävän perustuslain 119 §:n 2 momentin asettamat edellytykset valtionhallinnon toimielinten yleisistä perusteista säätämisestä lain tasolla. 

12.7  Lainsäädäntövallan siirtäminen

Valtioneuvoston asetus soveltamisalaan kuuluvien toimijoiden määrittämisestä.

Kyberturvallisuuslain 3 §;n 4 momenttiin sisältyy ehdotus, jonka nojalla valtioneuvoston asetuksella voitaisiin tarkentaa lain 3 §:n 3 momentissa tarkoitettuja kriteerejä, joiden perusteella liitteessä I tai II tarkoitettua toimintaa harjoittava toimija voisi poikkeuksellisesti kuulua lain soveltamisalaan, vaikka se olisi kooltaan keskisuurta yritystä pienempi. Ehdotus on merkityksellinen perustuslain 80 §:n kannalta. 

Perustuslain 80 §:n 1 momentin nojalla tasavallan presidentti, valtioneuvosto ja ministeriö voivat antaa asetuksia tässä perustuslaissa tai muussa laissa säädetyn valtuuden nojalla. Lailla on kuitenkin säädettävä yksilön oikeuksien ja velvollisuuksien perusteista sekä asioista, jotka perustuslain mukaan muuten kuuluvat lain alaan. 

Lainsäädäntövallan siirto olisi lakiteknisesti tarpeen, sillä kysymys olisi yksityiskohtaisesta laissa säädettyjen kriteerien täsmentämisestä EU-säädöksen velvoittavan soveltamisalan tarkentamiseksi. Lain tasolla säädettäisiin oikeuksien ja velvollisuuksien perusteista, eli yksilöivistä ja tyhjentävistä kriteereistä, joiden täyttyessä liitteessä I tai II määriteltyä toimintaa harjoittava tai toimijatyyppiä oleva toimija kuuluisi soveltamisalaan sen koosta riippumatta. Asetuksenantovaltuudella ei voitaisi laajentaa kriteerejä laissa säädetystä. Asetuksella voitaisiin kuitenkin selventää ja täsmentää kriteerejä, sillä yksittäisen toimijan osalta kriteerien täyttymisen arvioiminen voisi muodostua haastavaksi niiden tietojen perusteella, joita yksittäisellä yrityksellä on käytettävissään. Valtioneuvoston asetuksella 3 momentissa tarkoitetuista kriteereistä säätäminen selkeyttäisi siten oikeustilaa myös muille kuin soveltamisalaan kuuluville yrityksille, jotka harjoittavat liitteessä I tai II tarkoitettua toimintaa tai ovat niissä tarkoitettua toimijatyyppiä, mutta alittavat keskisuuren yrityksen määritelmän. Tällaisten yritysten osalta voisi muodostua oikeudellisesti haastavaksi arvioida yrityksen käytettävissä olevien tietojen perusteella sitä, onko toiminnassa kyse 3 momentin 1-4 kohdissa tarkoitetusta tilanteesta, ilman kohtien täsmentämistä, niillä tiedoilla, joita yrityksellä on käytettävissään, kriteerien laatu huomioon ottaen. Lisäksi tulkinnallisuus koskisi hyvin laajaa joukkoa suomalaisia pien- ja mikroyrityksiä. Tulkinnallisuus aiheuttaisi tarpeetonta hallinnollista taakkaa pien- ja mikroyrityksille, mikäli 3 momentissa tarkoitettuja kriteerejä ei täsmennettäisi valtioneuvoston asetuksella. Lisäksi kriteerien laatu huomioon ottaen olisi todennäköistä, että niiden alaan kuuluvissa toimijoissa tapahtuisi muutoksia toiminnan laadun tai laajuuden muuttuessa tai toiminnan päättyessä.  

Valtioneuvoston asetuksella ei voitaisi säätää lain osittaisesta soveltamisesta tai laissa säädettyjen oikeuksien ja velvollisuuksien sisällöstä. Kriteerit säädettäisiin tyhjentävästi lain tasolla. Jotta toimija kuuluisi lain soveltamisalaan 3 momentin nojalla, tulisi sen ensinnäkin harjoittaa lain liitteessä I tai II tarkoitettua toimintaa tai olla liitteessä I tai II tarkoitettua toimijatyyppiä. Edellytyksenä olisi lisäksi, että toimijassa olisi kyse vähintään yhdestä 1–4 kohdassa tarkoitetusta tilanteesta. Ehdotetut 1–4 kohdat vastaisivat NIS2-direktiivin 2 artiklan 2 kohdan b–e alakohtia ja luettelo olisi tyhjentävä. Asetuksenantovaltuuden soveltamisessa olisi myös otettava huomioon komission antama ohjeistus mikroyrityksiin ja pieniin yrityksiin sovellettavien kriteerien käytöstä sen arvioimiseksi, kuuluvatko ne NIS2-direktiivin soveltamisalaan, mikäli tällainen ohjeistus on annettu. 

Perustuslakivaliokunta on todennut, että asetuksella voidaan säätää esimerkiksi lain soveltamisen kannalta vähäisen teletoiminnan rajaamisesta lain soveltamisalan ulkopuolelle, kun asetuksenantajan toimivalta on riittävästi rajattu (PeVL 8/2002 vp, s. 3; ks. myös PeVL 14/2005 vp, s. 3). 

Asetuksenantovaltuuden perusteesta säädettäisiin laissa ja valtuutus olisi selkeä sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset täyttävä. Näistä syistä arvioidaan, että ehdotus vastaa perustuslain 80 §:n 1 momentin edellytyksiä asetuksenantovaltuudelle siten, että lailla säädetään yksilön oikeuksien ja velvollisuuksien perusteista, ja yksityiskohtainen ja teknisluontoinen kriteerejä koskeva täsmentäminen voitaisiin tehdä valtioneuvoston asetuksella. 

Määräyksenantovaltuudet

Perustuslain 80 §:n 2 momentin mukaan viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Lisäksi valtuutuksen tulee perustuslain mukaan olla soveltamisalaltaan täsmällisesti rajattu. Erityinen syy säätää viranomaisen määräystenantovallasta on muun muassa tekninen ja vähäisiä yksityiskohtia koskeva sääntely (PeVL 52/2001 vp, PeVL 46/2001 vp), joka ei sisällä merkittävää harkintavallan käyttöä (PeVL 43/2000 vp). Määräyksenantovaltuuden kattamat asiat tulee määritellä tarkasti laissa, ja sen soveltamisalan tulee olla täsmällisesti rajattu (HE 1/1998 vp). 

Kyberturvallisuuslain 9 §:n 4 momentin nojalla valvova viranomainen valtuutettaisiin antamaan tarkempia teknisiä määräyksiä kyberturvallisuuden riskienhallinnassa huomioitavista toimialakohtaisista erityispiirteistä sekä kriittisiä toimitusketjuja koskevien unionin tason koordinoitujen riskinarviointien tuloksien huomioimisesta toimialakohtaisessa riskienhallinnassa. Lisäksi määräyksenantovaltuus valvovalle viranomaiselle sisältyisi kyberturvallisuuslain 11 §:n 5 momenttiin, jonka nojalla valvovalla viranomaisella olisi toimialallaan mahdollisuus antaa tarkempia teknisiä määräyksiä, joilla tarkennetaan 11–15 §:n nojalla tehtävän ilmoituksen, tiedotuksen tai raportin tietosisältöä, teknistä muotoa tai menettelyä., Kyse olisi yksilöidyistä ja laissa säädettyyn poikkeamaraportointiin liittyvistä teknisistä yksityiskohdista sekä niiden yhdenmukaistamisesta komission täytäntöönpanosäädösten kanssa. Kolmas valvovalle viranomaiselle kohdennettu määräyksenantovaltuus sisältyy kyberturvallisuuslain 41 §:n 4 momenttiin, jonka mukaan valvova viranomainen voisi antaa tarkempia teknisiä määräyksiä tietojen ilmoittamisesta toimijaluetteloon, jota se ylläpitää. Ehdotukset ovat merkityksellisiä perustuslain 80 § 2 momentin kannalta. 

Perustuslain 80 §:n 2 momentin mukaan viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista . Valtuutuksen tulee lisäksi olla soveltamisalaltaan täsmällisesti rajattu . Perustuslain esitöiden (HE 1/1998 vp, s.133) mukaan edellytys valtuuttaa viranomainen antamaan määräyksiä määrätyistä asioista on yleistä tarkkarajaisuutta pidemmälle menevä vaatimus (myös PeVL 24/2002 vp, s.3). Ehdotuksessa perustuslain vaatimus on huomioitu 9 §:n 4 momentissa ja 11 §:n 5 momentissa yksilöimällä ja listaamalla tyhjentävästi ja täsmällisesti toimialakohtaiset tekniset seikat, joista valvova viranomainen voisi pykälän nojalla antaa tarkempia määräyksiä. Ehdotuksen 41 §:ssä määräyksenantovaltuus koskee tietojen ilmoittamista, joka on luonteeltaan tekninen ja tarkkarajainen seikka. Määräyksenantovaltuudet olisivat luonteeltaan teknistä sääntelyä eikä niillä voitaisi antaa yleisiä oikeussääntöjä asioista, joista on niiden merkityksen vuoksi säädettävä lailla tai asetuksella. Perustuslakivaliokunta on lausunnossaan pitänyt esimerkiksi Viestintävirastoa sellaisena viranomaisena, jolle määräyksenantovaltaa on mahdollista antaa (mm. PeVL 9/2004 vp, s. 8).  

Perustuslakivaliokunnan mietinnön (PeVM 10/1998 vp, s.23/II) mukaan ministeriötä alemmalle viranomaistasolle voidaan osoittaa oikeussääntöjen antamisvaltaa vain poikkeuksellisesti. Perustuslain esitöissä (HE 1/1998 vp, s.133/II) tunnistetaan tarve mahdollistaa muu viranomainen antamaan oikeussääntöjä joistakin sääntelyn kokonaisuuden kannalta vähäisistä yksityiskohdista. Perustuslain 80 §:n 2 momentti edellyttää määräyksenantovaltuuteen liittyvän erityisiä syitä . Erityinen syy olisi hallituksen esityksen (HE 1/1998 vp, s.133/II) mukaan käsillä lähinnä silloin, kun kysymyksessä on tekninen ja vähäisiä yksityiskohtia koskeva sääntely, johon ei liity merkittävää harkintavallan käyttöä. Perustuslakivaliokunta on lisäksi pitänyt säädeltävän toiminnan ammatillisia erityispiirteitä perustuslain 80 §:n 2 momentin mukaisina erityisinä syinä (PeVL 17/2004 vp, s.3, PeVL 16/2003 vp, s.3, PeVL 24/2002, s.3). Perustuslakivaliokunta ei ole pitänyt viranomaiselle kohdistettua valtuutta järjestää teknisluonteiset yksityiskohdat perustuslain kannalta ongelmallisena (PeVL 17/2004 vp, s.4, PeVL 16/2003 vp, s.3). Ehdotuksessa viranomaiselle esitetyt määräyksenantovaltuudet ovat luonteeltaan teknisiä. Tämä käy ilmi ehdotuksen 9 §:n 4 momentin, 11 §:n 5 momentin ja 41 § 3 momentin sanamuodoista, joiden mukaan valvova viranomainen voi toimialallaan antaa tarkempia teknisiä määräyksiä. Ehdotuksien katsotaan olevan edellä kuvattujen reunaehtojen mukaisia.  

Määräyksenantovaltuuksilla on tarkoitus antaa viranomaiselle mahdollisuus tarkentaa lain soveltamista antamalla teknisiä määräyksiä säädetyistä seikoista. Määräyksenantovaltuudet ovat tarkkarajaisia ja ne koskevat sääntelyn kokonaisuuden kannalta vähäisiä yksityiskohtia. Lisäksi määräyksenantovaltuus teknisistä seikoista mahdollistaa sektorikohtaisten erityispiirteiden huomioimista sekä sääntelyn yhteensovittamista komission NIS2-direktiivin 21 tai 23 artiklan nojalla antamiin täytäntöönpanosäädöksiin. Käsillä ovat perustuslain 80 §:n 2 momentissa tarkoitetut erityiset syyt. Ehdotettujen määräyksenantovaltuuksien katsotaan olevan perustuslain 80 §:n 2 momentin mukaisia.  

12.8  Julkisuusperiaate

Perustuslain 12 § 2 momentissa säädetään julkisuusperiaatteesta. Sen nojalla viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. 

Perustuslain esitöissä (HE 309/1993 vp, s. 58/I) on korostettu julkisuusperiaatteen liittymistä poliittisiin vapausoikeuksiin ja erityisesti sananvapauteen siten, että riittävän julkisuuden takaaminen on edellytys yksilöiden mahdollisuudelle vaikuttaa ja osallistua yhteiskunnalliseen toimintaan. Julkisuus on myös vallankäytön ja viranomaistoiminnan kritiikin ja valvonnan edellytys. Esitöissä todetaan myös, että julkisuudesta joudutaan poikkeamaan erilaisten tärkeiden intressien vuoksi, joita voivat olla muun muassa liikesalaisuudet ja valtakunnan turvallisuuteen liittyvät intressit. Perustuslakivaliokunta on katsonut, että julkisuutta lähtökohtana tulisi voida rajoittaa vain lailla ja vain välttämättömästä syystä. Perustuslakivaliokunta on katsonut, että salassapitovelvoitteen on täytettävä kolme edellytystä: (1) salassapito perustuu välttämättömiin syihin ja (2) sen perusteet määritellään laintasoisella säännöksellä, jolla (3) julkisuutta rajoitetaan erikseen (PeVM 25/1994 vp, s. 9 ja PeVL 43/1998 vp, s. 2). 

Kyberturvallisuuslain 28 :n 3 momenttiin ja ehdotettuun tiedonhallintalain 18 i §:n 2 momenttiin sisältyisi julkisuusperiaatteen kannalta merkityksellinen säännös, jonka nojalla valvovan viranomaisen toimijalta pyytämät eräät tiedot olisi pidettävä salassa. Salassapidon perusteena olisi tietoihin liittyvän yksityisyyden suojaan ja luottamuksellisen viestin suojaan liittyvän oikeushyvän suojaaminen. Salassapito ei kohdistuisi julkisuusperiaatteen ydinalueelle, sitä koskeva säännös olisi täsmällinen ja tarkkarajainen, ja se olisi välttämätöntä tärkeän intressin vuoksi. Ehdotettujen säännösten katsotaan olevan perustuslain 12 §:n 2 momentin kannalta hyväksyttävä. 

12.9  Eräiden valtioelinten ja viranomaisten asema

NIS2-direktiivin 2 artiklassa säädetään sen vähimmäissoveltamisalasta julkishallinnon toimijoihin. Direktiivin 2 artiklan 2 kohdan f) alakohdan mukaan direktiiviä sovelletaan, kun toimija on julkishallinnon toimija, i) jonka jäsenvaltio on kansallisen lainsäädäntönsä mukaisesti määritellyt keskustason julkishallinnon toimijaksi; ii) jonka jäsenvaltio on kansallisen lainsäädäntönsä mukaisesti määritellyt aluetason julkishallinnon toimijaksi ja joka riskiperusteisen arvioinnin perusteella tarjoaa palveluja, joiden häiriintymisellä voisi olla merkittävä vaikutus yhteiskunnan tai talouden kriittisiin toimintoihin.  

Julkishallinnon toimijalla tarkoitetaan direktiivin 6 artiklan 35 kohdan mukaan ”jäsenvaltiossa kansallisen lainsäädännön mukaisesti julkishallinnon toimijaksi tunnustettua toimijaa, lukuun ottamatta oikeuslaitosta, parlamentteja ja keskuspankkeja, joka täyttää seuraavat kriteerit: 

se on perustettu tyydyttämään yleisen edun mukaisia tarpeita, eikä sillä ole teollista tai kaupallista luonnetta; 

se on oikeushenkilö tai sillä on lain nojalla oikeus toimia toisen sellaisen toimijan puolesta, joka on oikeushenkilö; 

sitä rahoittavat pääosin valtio, alueviranomaiset tai muut julkisoikeudelliset laitokset, sen johto on näiden viranomaisten tai laitosten valvonnan alainen taikka valtio, alueviranomaiset tai muut julkisoikeudelliset laitokset nimittävät yli puolet sen hallinto-, johto- tai valvontaelimen jäsenistä; 

sillä on valtuudet osoittaa luonnollisille henkilöille tai oikeushenkilöille hallinnollisia tai sääntelyyn liittyviä päätöksiä, jotka vaikuttavat näiden oikeuksiin henkilöiden, tavaroiden, palvelujen tai pääoman rajatylittävässä liikkuvuudessa.” 

NIS2-direktiivin 2 artiklan 7 kohdan mukaan direktiiviä ei sovelleta julkishallinnon toimijoihin, jotka harjoittavat toimintaa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet.  

NIS2-direktiivin 31 artiklan 4 kohdan mukaan Jäsenvaltioiden on varmistettava, että toimivaltaisilla viranomaisilla on valvoessaan julkishallinnon toimijoita tämän direktiivin noudattamisessa ja määrätessään tämän direktiivin rikkomista koskevia täytäntöönpanotoimenpiteitä asianmukaiset valtuudet tällaisten tehtävien suorittamiseksi ja että ne ovat toiminnallisesti riippumattomia valvomistaan julkishallinnon toimijoista, sanotun kuitenkaan rajoittamatta kansallisten lainsäädäntö- ja toimielinkehysten soveltamista. Jäsenvaltiot voivat päättää määrätä kyseisiä toimijoita koskevia asianmukaisia, oikeasuhteisia ja tehokkaita valvonta- ja täytäntöönpanotoimenpiteitä kansallisten lainsäädäntö- ja toimielinkehysten mukaisesti. 

NIS2-direktiivin toimeenpanoa julkishallinnon toimialalla koskevan tiedonhallintalain 4 a luvun soveltamisalan sekä valvovan viranomaisen toimivallan rajaamisessa perustuslaillisista syistä on noudatettu pitkälti vastaavaa sääntelytapaa kuin, mihin yleisen tietosuoja-asetuksen ja tietosuojalain soveltamisen osalta päädyttiin perustuslakivaliokunnan lausunnossa (PeVL 14/2018 vp) esitetyn johdosta. NIS2-direktiivi sisältää jonkin verran yleistä tietosuoja-asetusta laajemmin liikkumavaraa kansallisessa soveltamisessa. 

Ehdotetun tiedonhallintalain 3 §:n 1 momentin lähtökohdan mukaan lakia, mukaan lukien ehdotettua 4 a luvun NIS2-direktiiviin perustuvaa sääntelyä, sovellettaisiin julkisuuslain 4 §:n 1 momentissa tarkoitettuihin viranomaisiin eli myös eduskunnan virastoihin sekä valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen toimintaan. Tiedonhallintalain 4 a lukua sovellettaisiin eduskunnan virastoihin julkisuuslain 4 §:n 1 momentin 6 kohdasta ja sen perusteluista ilmenevällä tavalla, sillä direktiivin 6 artiklan 35 kohdassa käytetyllä käsitteellä ”parlamentti” viitataan kansanedustuslaitoksen toimintaan, eli Suomessa eduskunnan valtiopäivätoimintaan. Myös perustuslakivaliokunta on todennut tietosuojalain hallituksen esityksestä antamassaan lausunnossa PeVL 14/2018 vp, ettei lähtökohtaista estettä ole sille, että hallintoa koskevat yleislait ulotetaan koskemaan eduskunnan virastoja. Julkisuuslakia ei sovelleta eduskunnan eikä sen toimielimien toimintaan, vaan niissä julkisuus määräytyy perustuslain ja eduskunnan työjärjestyksen mukaan. Julkisuuslaki ei siten koske eduskunnan täysistunnon ja valiokuntien toimintaa. (Olli Mäenpää: Julkisuusperiaate, Helsinki 2020, s. 135) Näin ollen myöskään tiedonhallintalaki tai sen 4 a luku ei koske eduskunnan valtiopäivätoimintaa 

Tasavallan presidentin kansliaan tai tuomioistuimiin taikka valitusasioita käsittelemään perustettuihin lautakuntiin ehdotettua 4 a lukua ei sovellettaisi ehdotettujen 3 §:n 3 momenttiin sisältyvien poikkeusten perusteella, ellei mainittua katsottaisi kriittiseksi toimijaksi. Tuomioistuinten ja valitusasioita käsittelemään perustettujen lautakuntien osalta rajaus perustuu NIS2-direktiivin 6 artiklan 35 kohtaan. Tasavallan presidentin kanslian osalta valmistelussa on katsottu, että se ei kuulu direktiivin pakolliseen soveltamisalaan, vaikka sen tyyppistä toimijaa ei ole nimenomaisesti mainittu direktiivin soveltamisalaa koskevissa poikkeuksissa. Direktiivin poikkeukset koskevat keskushallinnon viranomaisia ja lisäksi soveltamisessa on jätetty kansallista liikkumavaraa viittauksella jäsenvaltion kansallisen lainsäädännön mukaiseen keskustason julkishallinnon toimijan määrittelyyn. Tasavallan presidentin kanslian osalta nimenomainen poikkeus NIS2-sääntelyn osalta perustuu Tasavallan presidentin asemaan valtioelimenä ja Suomen puolustusvoimien ylipäällikkönä sekä tasavallan presidentin kanslian tehtäviin tasavallan presidentin avustamisessa (laki tasavallan presidentin kansliasta 2 §). Tasavallan presidentin kansliaa ei myöskään voida pitää perustuslain 119 §:ssä tarkoitettuna valtion keskushallinnon viranomaisena eikä myöskään ole selvää, onko sillä NIS2-direktiivin 6 artiklan 35 kohdan d alakohdassa tarkoitettua toimivaltaa.  

NIS2-direktiivin valvovan viranomaisen eli julkishallinnon toimialalla Liikenne- ja viestintäviraston valvontatoimivaltuuksia tai tiedonsaanti- ja tarkastusoikeutta ei ehdotetun tiedonhallintalain 3 §:n 4 momentin mukaan sovellettaisi eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeuskanslerin toimintaan. Valvontatoimivaltuuksia ei sovellettaisi myöskään tasavallan presidentin kansliaan taikka tuomioistuinten tai valitusasioita käsittelemään perustettujen lautakuntien lainkäyttöön siinä tapauksessa, että mainittuihin sovellettaisiin 4 a lukua kriittisenä toimijana, joka yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain nojalla olisi määritetty julkishallinnon toimialan kriittiseksi toimijaksi. Valvontatoimivallan rajoitukset johtuvat pääosin näiden julkiseen sektoriin kuuluvien organisaatioiden perustuslaissa säädetystä asemasta, jonka perusteella valtion keskushallintoon kuuluvien viranomaisten ohjaustoimivaltaa ei voida ulottaa näiden organisaatioiden sisäisen hallinnon ohjaukseen tai lainkäyttöön (esim. PeVL 46/2010 vp ja PeVL 14/2028 vp).  

Mainittujen viranomaisten osalta ei ehdotetussa tiedonhallintalain 3 §:n 4 momentissa ole suljettu pois velvoitetta ilmoittautua toimijaksi (tiedonhallintalain 18 a §) eikä velvoitetta ilmoittaa merkittävistä poikkeamista valvovalle viranomaiselle (18 d §). Näiden säännösten voidaan nähdä jossain suhteessa palvelevan valvonnallisia tarkoituksia, mutta tarkoituksena on myöskin toimijoiden ja niiden määrän tilastointi sekä tietojen kerääminen kriittisillä toimialoilla käytetyistä IP-osoitealueista sekä tilannekuvatiedon kerryttäminen merkittävistä poikkeamista. Valvonnallista tarkoitusta rajaa myös se, että valvovan viranomaisen tiedonsaantioikeus ei koskisi ylimpiä laillisuusvalvojia, eli niillä ei olisi velvoitetta luovuttaa valvovalle viranomaiselle salassa pidettäviä tietoja. Tiedonsaantioikeus ei koskisi myöskään tasavallan presidentin kansliaa tai tuomioistuimia taikka valitusasioita käsittelemään perustettujen valiokuntien lainkäyttöä, jos näihin sovellettaisiin 4 a lukua yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain johdosta. Tietojen luovuttamiseen liittyviä näkökulmia on esitetty tarkemmin valvovan viranomaisen tiedonsaantioikeutta koskevan tiedonhallintalain 18 i §:n ja vapaaehtoista ilmoittamista koskevan 18 f §:n säännöskohtaisissa perusteluissa.  

Tiedonhallintalain voimassa olevan 3 §:n 3 momentin mukaan lain tiedonhallinnan yleistä ohjausta koskevaa 3 lukua ei sovelleta eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeus-kanslerin toimintaan, tuomioistuimien eikä valitusasioita käsittelemään perustettujen lautakuntien toimintaan, tasavallan presidentin kansliaan, eduskunnan virastoihin, Kansaneläkelaitokseen, Suomen Pankkiin, muihin itsenäisiin julkisoikeudellisiin laitoksiin, yliopistolaissa tarkoitettuihin yliopistoihin eikä ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin. Lain 3 lukua sovelletaan hyvinvointialueisiin, hyvinvointiyhtymiin, kuntiin ja kuntayhtymiin vain niiden hoitaessa laissa säädettyjä tehtäviä.  

Mainittuja tiedonhallinnan yleistä ohjausta koskevia rajauksia ei ole eduskunnan virastojen, itsenäisten julkisoikeudellisten laitosten, yliopistojen, ammattikorkeakoulujen (jos sääntelyä sovellettaisiin niihin kriittisinä toimijoina) taikka hyvinvointialueiden ja hyvinvointiyhtymien osalta sisällytetty NIS2-direktiivin valvontatoimivaltuuksien soveltamisen rajauksiin. Tämä johtuu siitä, että NIS2-direktiivissä lähtökohtana on julkishallinnon toimijoidenkin osalta valvonnan kohdistaminen kaikkiin toimijoihin, joskin NIS2-direktiivin 31artiklan 4 kohdan mukaan valvontaan velvoittamisella ei rajoiteta kansallisten lainsäädäntö- ja toimielinkehysten soveltamista. Tietosuojalain hallituksen esityksestä annetussa perustuslakivaliokunnan lausunnossa PeVL 14/2018 vp on arvioitu mahdollisuuksia poiketa EU-oikeuden täysimääräisestä soveltamisesta seuraavasti: ”Perustuslakivaliokunnan käsityksen mukaan on kuitenkin selvää, että kansallista valtiosäännön rakenteisiin kiinnittyvää identiteettiä koskeva sopimusmääräys voi muodostaa vain kapeasti sovellettavissa olevan oikeasuhtaisen perusteen poiketa EU-oikeuden täysimääräisestä soveltamisesta. Unionin tuomioistuimen vakiintuneessa oikeuskäytännössä on katsottu, että unionin oikeuden ensisijaisuuden periaatteen, joka on unionin oikeusjärjestyksen olennainen ominaisuus, mukaan se, että jäsenvaltio vetoaa kansallisen oikeutensa säännöksiin, edes perustuslain tasoisiin säännöksiin, ei voi heikentää unionin oikeuden vaikutusta tämän jäsenvaltion alueella (ks. mm. asia 11/70, Internationale Handelsgesellschaft, tuomio 17.12.1970, 3 kohta ja asia C 409/06, Winner Wetten, tuomio 8.9.2010, 61 kohta ja erityisesti asia C-399/11, Melloni, tuomio 26.2.2013, k. 59).”  

Kyberturvallisuuslakiin ei esitetä tiedonhallintalakia vastaavia soveltamisalaa taikka valvovan viranomaisen toimivaltaa koskevia yleisiä rajauksia, koska tässä jaksossa kuvatut perustuslaillisten näkökohtien nojalla merkitykselliset valtioelimet ja viranomaiset eivät tarjoa palveluja kyberturvallisuuslain liitteissä tarkoitetuilla toimialoilla eivätkä siten tulisi lain soveltamisalaan. NIS2-direktiivin liitteessä tarkoitetun julkishallinnon toimialan osalta toimijoiden velvoitteista ja niiden noudattamisen valvonnasta säädettäisiin tiedonhallintalaissa, vaikka harjoittaessaan muuta NIS2-direktiivin liitteessä tarkoitettua toimintaa, myös viranomainen voisi tulla eräissä tilanteissa kyberturvallisuuslain soveltamisalaan. Tämän johdosta eräiden seuraamusten osalta (johdon toiminnan rajoittaminen ja hallinnollinen seuraamusmaksu) kyberturvallisuuslaissa kuitenkin rajattaisiin julkishallinto kattavasti mainittujen seuraamusten soveltamisen ulkopuolelle, koska osa julkishallinnon toimialan toimijoista (esimerkiksi hyvinvointialueet ja hyvinvointiyhtymät) kuuluisivat tiedonhallintalain ohella kyberturvallisuuslainlain soveltamisalaan, koska ne harjoittavat lain liitteessä tarkoitettua toimintaa.  

12.10  Ahvenanmaan asema ja suhde itsehallintoon

Esitys jakautuu osin valtakunnan ja osin maakunnan lainsäädäntövaltaan, kuten Ahvenanmaan maakuntahallitus on lausunnossaan arvioinut, koska NIS2-direktiivin soveltamisalan osalta lainsäädäntövalta jakautuu Ahvenanmaan itsehallintolain (1144/1991) nojalla maakunnan ja valtakunnan kesken. NIS1-direktiivi arvioitiin valtakunnan toimivaltaan kuuluvaksi, mutta NIS2-direktiivin soveltamisala on laajempi, kattaen osin myös Ahvenanmaan maakunnan lainsäädäntövaltaan kuuluvia asioita. Kyberturvallisuus ja tietoturvallisuus liittyvät siihen lainsäädäntövaltaan, mihin kutakin toimialaa koskeva lainsäädäntövalta kuuluu. Esitykseen sisältyvistä ehdotuksista valtakunnan lainsäädäntövaltaan kuuluvat osat tulisivat sovellettavaksi myös Ahvenanmaan maakunnassa. Esityksen niissä osissa, jotka Ahvenanmaan itsehallintolain nojalla kuuluvat maakunnan lainsäädäntövaltaan, kuulu lainsäädäntövalta kuuluu maakunnalle.  

Ahvenanmaan itsehallintolain 18 §:n 1, 4, 6, 12, 20 ja 21 kohtien mukaan maakunnalla on lainsäädäntövalta asioissa, jotka koskevat maakuntapäivien järjestysmuotoa, maakunnan hallitusta sekä sen alaisia viranomaisia ja laitoksia, kuntien hallintoa, yleistä järjestystä ja turvallisuutta, terveyden- ja sairaanhoitoa, postilaitosta, teitä ja kanavia, tieliikennettä raideliikennettä, veneliikennettä sekä paikallisen meriliikenteen väyliä. Lisäksi 18 §:n 22 kohdan mukaan maakunnalla on eräin rajoituksin lainsäädäntövaltaa asioissa, jotka koskevat elinkeinotoimintaa. Myös tietosuoja ja henkilötietojen käsittely kuuluvat maakunnan toimivaltaan niillä aloilla, joilla maakunnalla on lainsäädäntövaltaa.  

Ahvenanmaan itsehallintolain 27 §:n 3, 8, 13, 14, 18, 19, 30 ja 40 kohtien mukaan valtakunnalla on lainsäädäntövalta asioissa, jotka koskevat valtion viranomaisten järjestysmuotoa ja toimintaa, yhtiöitä ja muita yksityisoikeudellisia yhteisöjä, kauppamerenkulkua ja kauppamerenkulun väyliä, ilmailua, ydinvoimaa, standardisointia, apteekkeja, lääkkeitä ja lääkkeenomaisia tuotteita sekä teletoimintaa. 

Ahvenanmaan maakunnan toimivalta sähkö- ja energia-asioissa on maakunnan sähkölain (Ellag för landskapet Åland, ÅFS 1982:38) lainsäädäntövalvonnan yhteydessä johdettu aikaisemman Ahvenanmaan itsehallintolain (670/1951) 13 §:n 1 momentin 9 kohdasta, joka vastasi voimassa olevan Ahvenanmaan itsehallintolain elinkeinotoiminnasta säädettyä 18 §:n 22 kohtaa (HE 73/1990 vp s. 71). Itsehallintolaissa säädetystä valtakunnan ja maakunnan välisestä toimivallanjaosta johtuu, että sähkömarkkinalakia ei sovelleta Ahvenanmaan maakunnassa siltä osin kuin maakunnalla on lainsäädäntövalta sähkömarkkinoihin liittyvissä asioissa. (NIS1-HE) 

Avaruustoimialalla satelliittikaukokartoitus sekä maa-asema- ja tutkatoiminta kuuluvat valtakunnan lainsäädäntövaltaan itsehallintolain 27 §:n 40 ja 42 kohdan mukaisesti kuten avaruustoiminnan ja radiolupien osaltakin.  

Ahvenanmaan maakunnassa on valmisteltu maakuntalainsäädäntöä julkisen hallinnon tiedonhallinnasta. Ahvenanmaan maakuntahallitus on lausunnossaan arvioinut, että tiedonhallintalain 4 a lukuun ehdotettavia säännöksiä vastaavat säännökset voitaisiin sisällyttää myös maakunnassa valmisteltavana olevaan lainsäädäntöön. 

Esityksen edellä kuvatut ehdotukset ovat täsmällisiä, tarkkarajaisia, ja perustellussa suhteessa niiden tarkoitukseen ja suojeltavaksi pyrittäviin oikeushyviin nähden. Ehdotuksilla ei puututa perustuslaissa turvattujen oikeuksien ydinalueelle. Ehdotettu sääntely on rajattu siihen laajuuteen, jota NIS2-direktiivin täytäntöönpano vähimmäistasolla edellyttää ja jonka on katsottava olevan sen taustalla olevien tavoitteiden toteutumisen kannalta välttämätöntä ja oikeasuhtaista. 

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Esitys sisältää kuitenkin muun muassa ehdotuksen haitallisen tietokoneohjelman tai käskyn sisältävän viestin käsittelystä ja arvion eräiden valtioelinten ja viranomaisten asemasta. Hallitus pitää suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.