Viimeksi julkaistu 10.5.2021 9.16

Valiokunnan lausunto LiVL 8/2021 vp U 9/2021 vp Liikenne- ja viestintävaliokunta Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi (COM (2020) 823 final) kyberturvallisuuden korkean tason varmistamiseksi Euroopan unionin alueella ja direktiivin 2016/1148 kumoamisesta (verkko- ja tietoturvadirektiivi)

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi (COM (2020) 823 final) kyberturvallisuuden korkean tason varmistamiseksi Euroopan unionin alueella ja direktiivin 2016/1148 kumoamisesta (verkko- ja tietoturvadirektiivi) (U 9/2021 vp): Asia on saapunut liikenne- ja viestintävaliokuntaan lausunnon antamista varten. Lausunto on annettava suurelle valiokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

  • erityisasiantuntija Marième Korhonen 
    liikenne- ja viestintäministeriö
  • erityisasiantuntija Sanna Sahlman 
    Liikenne- ja viestintävirasto edustaen myös Kyberturvallisuuskeskusta
  • toiminnanjohtaja Mika Susi 
    Finnish Information Security Cluster - Kyberala ry
  • lakimies Asko Metsola 
    Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry

Valiokunta on saanut kirjallisen lausunnon: 

  • Euroopan hybridiuhkien torjunnan osaamiskeskus
  • Finanssivalvonta
  • Energiavirasto
  • Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira)
  • DNA Oy
  • Elisa Oyj
  • Telia Finland Oyj

VALTIONEUVOSTON KIRJELMÄ

Ehdotus

Komissio antoi 16.12.2020 ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi (COM(2020) 823 final) kyberturvallisuuden korkean tason varmistamiseksi Euroopan unionin alueella ja direktiivin (EU) 2016/1148 kumoamisesta. 

Tämä ehdotus pohjautuu ensimmäiseen EU:n laajuiseen säädösinstrumenttiin, verkko- ja tietoturvadirektiiviin (EU) 2016/1148, jäljempänä NIS-direktiivi), jonka tavoitteena oli kehittää EU:n yhteistä kyberturvallisuuden tasoa. Suomessa NIS-direktiivi implementoitiin sektorikohtaiseen sääntelyyn lisäämällä säännökset keskeisten palveluntarjoajien velvollisuudesta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta tietoyhteiskuntakaareen (nykyisin laki sähköisen viestinnän palveluista), ilmailulakiin, rautatielakiin, alusliikennepalvelulakiin, eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettuun lakiin, liikenteen palveluista annettuun lakiin, sähkömarkkinalakiin, maakaasumarkkinalakiin ja vesihuoltolakiin. Muiden NIS-direktiivin mukaisten kriittisten sektoreiden keskeisiä palveluntarjoajia sääntelevät kansalliset lait olivat tietoturvasääntelyn osalta ensimmäisen NIS-direktiivin tasolla tai tarkempia, eikä niitä tarvinnut muuttaa. 

Komissio uudelleenarvioi vuoden 2020 aikana NIS-direktiiviä ja sen soveltamiskokemuksia jäsenvaltioissa. Komissio järjesti lisäksi direktiivistä julkisen kuulemisen vuoden 2020 aikana. Suomi vastasi osaltaan julkiseen kuulemiseen ennakkovaikuttamislinjausten pohjalta (E 107/2020 vp). 

Komissio toteaa 16.12.2020 antamassaan ehdotuksessa, että yhteiskuntien digitaalinen kehitys, jota covid-19-pandemia on vauhdittanut, on muuttanut oleellisesti nykyistä toimintaympäristöä ja tuonut mukanaan uusia haasteita, jotka edellyttävät innovatiivisia ratkaisuja. Kyberloukkausten määrä on kasvanut, ja nämä ovat olleet entistä kehittyneempiä. Kyberturvallisuushäiriöt vaikeuttavat sisämarkkinoiden toimintaa, aiheuttavat taloudellisia menetyksiä ja heikentävät käyttäjien luottamusta unionin talous- ja yhteiskuntaelämään. Komission mukaan ehdotus uudeksi direktiiviksi uudistaisi olemassa olevaa lainsäädäntökehystä ottaen huomioon sisämarkkinoiden toimintaympäristön muutokset. Ehdotus on osa komission painopistettä edistää Euroopan digitaalista valmiutta. 

Ehdotuksen tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa kriittisiksi katsottujen sektoreiden ja toimijoiden osalta asettamalla riskienhallintatoimia kyberturvallisuushäiriöiden varalta. Ehdotus yhdenmukaistaisi toimijoiden tunnistamista EU:n laajuisesti ja vähentäisi tämän osalta jäsenvaltioiden hallinnollista taakkaa. Lisäksi ehdotus yhdenmukaistaisi kyberturvallisuus- ja raportointivelvoitteita ja laajentaisi soveltamisalaa koskettamaan uusia sektoreita ja toimijoita. Valvoville viranomaisille muodostuisi myös olemassa olevien tehtävien jatkumisen lisäksi uusia valvontatehtäviä, kuten soveltamisalaan lisättyjen toimijoiden valvonta.  

Valtioneuvoston kanta

Valtioneuvosto kannattaa komission ehdotuksen tavoitetta vastata paremmin muuttuneeseen kybertoimintaympäristöön ja kehittää entisestään EU:n yhteistä kyberturvallisuuden tasoa. Valtioneuvosto pitää myös tärkeinä ehdotuksen kyberturvallisuutta ja tietosuojaa vahvistavia myönteisiä vaikutuksia. 

On tärkeää, että EU:lla on selkeä sääntelykehys kyberturvallisuudelle, sillä useat häiriöt ja niiden vaikutukset voivat olla jäsenvaltioiden rajat ylittäviä. Tämän seurauksena on luontevaa, että yhteiskunnan keskeisiä ja tärkeitä toimijoita koskevat kyberturvallisuusvaatimukset perustuvat yhteiseen sääntelyinstrumenttiin. Valtioneuvosto katsoo, että kyberturvallisuutta koskevan sääntelykehyksen on oltava yhdenmukainen muun sektorikohtaisen sääntelyn ja muun relevantin sääntelyn kanssa. 

Valtioneuvosto pitää erityisen tärkeänä, että verkko- ja tietoturvaa koskevien uusien velvoitteiden ja vaatimusten tulee olla oikeasuhtaisia ja riskiperusteisia soveltamisalaan kuuluvien toimijoiden kokoon ja toimintaan nähden ja niiden tulee ottaa huomioon sektorikohtaiset erityispiirteet. 

Toimijoiden kategorisointia voidaan pitää kannatettavana, jos sen avulla kyetään kohdistamaan tehokkaat ja oikeasuhtaiset vaatimukset direktiivin soveltamisalaan kuuluville toimijoille. Kategorisoinnilla tulee myös välttää kohtuuttoman hallinnollisen taakan lisäämistä erityisesti pienten ja mikrotoimijoiden kohdalla. 

Valtioneuvosto pitää soveltamisalan ja toimijatyyppilistauksen laajentamista lähtökohtaisesti tervetulleena, koska kyseiset toimijat ovat kriittisiä yhteiskunnan toiminnan jatkuvuuden kannalta, kuten esimerkiksi kunnat julkishallinnon sektorin osalta. Valtioneuvosto pitää hyvänä, että direktiivi ei vaikuta jäsenvaltioiden toimivaltaan, joka koskee yleisen turvallisuuden, puolustuksen ja kansallisen turvallisuuden ylläpitämistä. Valtioneuvosto pitää lisäksi hyvänä, että ehdotuksen mukaan ne julkishallinnon toimijat, jotka toimivat yleisen turvallisuuden, lainvalvonnan, puolustuksen ja kansallisen turvallisuuden aloilla, eivät lukeudu soveltamisalaan.  

Valtioneuvosto pitää hyvänä, että ehdotuksessa tunnistetaan kansallisten kyberturvallisuusstrategioiden tärkeys. Valtioneuvosto pitää tervetulleena toimintatapojen laatimista haavoittuvuuksien tunnistamiseksi ja laajamittaisiin kyberturvallisuushäiriöihin varautumiseksi. Valtioneuvosto pitää hyvänä turvallisuusvelvoitteiden asettamista osana riskienhallintatoimia ehdotuksessa esitetyn mukaisesti. Lisäksi valtioneuvosto tukee raportoinnin tehostamista esitetyillä raportointivelvoitteilla. Valtioneuvosto pitää kannatettavana, että direktiiviehdotuksessa tarkastellaan myös tuotantoketjujen merkitystä ja turvallisuutta. 

Valtioneuvosto pitää valvontaviranomaisille esitettyjä tarkennettuja tehtäviä ja niiden lisäämistä lähtökohtaisesti perusteltuina. Neuvottelujen edetessä tulisi tarkastella näiden yhteensopivuutta perustuslain vaatimusten kanssa. Kansallisesta resursoinnista linjataan normaaliin tapaan talousarviota ja julkisen talouden suunnitelmaa koskevissa menettelyissä. 

Valtioneuvosto pitää kannatettavana, että jäsenvaltiot toimivat tiiviissä yhteistyössä ja vaihtavat kyberturvallisuuteen liittyviä tietoja myös tulevaisuudessa. Yhteistyötä on hyvä tiivistää jatkossakin kansallisella tasolla sekä vapaaehtoisuuteen perustuen että ehdotuksen velvoitteiden kautta. Erityisesti nykyistä tehokkaampi vapaaehtoinen tietojen vaihto on kannatettavaa. Valtioneuvosto pitää perusteltuna, että direktiivissä esitetään lainvalvontaviranomaisten mahdollisuus saada tieto sellaisista kyberturvallisuushäiriöistä, joilla on liityntä rikolliseen toimintaan. 

Valtioneuvosto pitää tärkeänä, että ehdotus säilyttää jäsenvaltioille riittävästi kansallista liikkumavaraa, jotta nämä voivat lisäksi ottaa käyttöön sellaisia kansallisia toimenpiteitä, joilla varmistetaan korkea kyberturvallisuuden taso. Viranomaisten toimivaltuuksien ja seuraamuksia koskevien säännösten osalta on tavoiteltava valmistelussa sellaista ratkaisua, jossa seuraamusjärjestelmä on kokonaisuudessaan toimiva ja yhteen sovitettavissa sekä kaikkiaan huomioi tarvittavan kansallisen liikkumavaran. 

Valtioneuvosto katsoo myös, että komissiolle delegoitavien toimivaltuuksien tulisi olla tarkkarajaisia, oikeasuhtaisia, tarkoituksenmukaisia ja hyvin perusteltuja. 

Valtioneuvosto katsoo, että direktiiviehdotus vastaa pääosin kansallisen ennakkovaikuttamisen sekä tietoturvan ja tietosuojan parantamista koskevan työryhmän väliraportin johtopäätöksiä.  

VALIOKUNNAN PERUSTELUT

Liikenne- ja viestintävaliokunta pitää tärkeänä, että sääntely on riittävän täsmällistä muun muassa ehdotuksen soveltamisalan sekä komission ja kansallisten viranomaisten tehtävien ja toimivaltarajojen osalta. Jatkovalmistelussa on myös tärkeää varmistaa, että ehdotettu sääntely ei ole päällekkäistä muun EU-sääntelyn kanssa.  

VALIOKUNNAN LAUSUNTO

Liikenne- ja viestintävaliokunta ilmoittaa,

että se yhtyy asiassa valtioneuvoston kantaan painottaen edellä esitettyjä näkökohtia. 
Helsingissä 16.3.2021 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Suna Kymäläinen sd 
 jäsen 
Pekka Aittakumpu kesk 
 jäsen 
Sandra Bergqvist 
 jäsen 
Seppo Eskelinen sd 
 jäsen 
Juho Kautto vas 
 jäsen 
Joonas Könttä kesk 
 jäsen 
Sheikki Laakso ps 
 jäsen 
Matias Marttinen kok 
 jäsen 
Jenni Pitko vihr 
 jäsen 
Mirka Soinikoski vihr 
 jäsen 
Kari Tolvanen kok 
 jäsen 
Paula Werning sd 
 varajäsen 
Eveliina Heinäluoma sd 
 varajäsen 
Jari Myllykoski vas 
 varajäsen 
Jari Ronkainen ps 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Juha Perttula