2.1.4
2.1.4 Palvelujen tarjoajien toimintaan liittyvät laatu- ja riskienhallintavaatimukset sekä turvallisuuteen liittyvistä häiriöistä ilmoittaminen viranomaisille
Kuten edellä on todettu, yhteiskunnan toiminnan kannalta keskeiset palvelut ovat yhä riippuvaisempia tietoverkkojen ja -järjestelmien luotettavasta toiminnasta. Lisäksi digitaalista tietoa hyödynnetään kiihtyvällä tahdilla palveluiden tarjoamiseen. Monilla yhteiskunnan toiminnan kannalta keskeisillä toimialoilla on palveluiden tarjoajia ja käyttäjiä koskevia lakisääteisiä velvoitteita, joilla turvataan toiminnan laatu ja turvallisuus. Lakisääteisten laatuvaatimusten taustalla on arvopunninnan keinoin määritelty tarve hallita toiminnan yhteiskunnallisesti merkittäviä vaikutuksia.
Seuraavaksi tarkastellaan tarkemmin voimassa olevaan lainsäädäntöön sisältyviä turvallisuusriskien hallintaan liittyviä velvoitteita verkko- ja tietoturvadirektiivin soveltamisalaan kuuluvilla toimialoilla. Verkko- ja tietoturvadirektiivin soveltamisalaan kuuluvat toimialat direktiivin liitteen II mukaisesti digitaalinen infrastruktuuri, liikenne, energia, pankkiala, finanssimarkkinoiden infrastruktuuri, terveydenhuolto sekä juomaveden toimittaminen ja jakelu. Liitteessä II jotkin näistä toimialoista on lisäksi jaoteltu toiminnan osa-alueisiin. Liitteessä kaksi on lisäksi kaikkien toimialojen osalta lueteltu toimijoiden tyyppejä.
Digitaalinen infrastruktuuri
Digitaalisen infrastruktuurin osalta verkko- ja tietoturvadirektiivin liitteessä II ei ole määritelty tarkempia toiminnan osa-alueita, mutta toimijoiden tyyppeinä on mainittu internetin yhdysliikennepisteet (Internet exchange point, IXP), nimipalvelujen tarjoajat sekä aluetunnusrekisterit. Suomessa digitaalista infrastruktuuria koskeva sääntely sisältyy keskeisin osin tietoyhteiskuntakaareen. Tietoyhteiskuntakaaressa säädetään sähköisen viestinnän ja tietoyhteiskunnan palvelujen tarjonnasta. Tietoyhteiskuntakaaren 29 luvussa säädetään viestintäverkkojen ja -palvelujen laatuvaatimuksista. Lain 243 §:n mukaan yleiset viestintäverkot ja -palvelut sekä niihin liitettävät viestintäverkot ja -palvelut on suunniteltava, rakennettava ja ylläpidettävä siten, että sähköinen viestintä on tekniseltä laadultaan hyvää ja tietoturvallista. Tietoturvalla tietoyhteiskuntakaaressa tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, että tietoja eivät voi muuttaa muut kuin siihen oikeutetut sekä että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä. Lisäksi viestintäverkkojen ja -palvelujen tulee kestää normaalit odotettavissa olevat tietoturvauhat, niiden laatua ja toimintavarmuutta tulee voida seurata, niihin kohdistuvat merkittävät tietoturvaloukkaukset ja -uhat sekä niiden toimivuutta merkittävästi häiritsevät viat ja häiriöt tulee voida havaita eikä kenenkään tietosuojan, tietoturvan tai muiden oikeuksien tule vaarantua.
Tietoyhteiskuntakaaren 246 §:n mukaan sähköisen viestintäpalvelun tilaaja tai käyttäjä ei saa liittää yleiseen viestintäverkkoon muita kuin toimintakuntoisia ja tietoyhteiskuntakaaren vaatimusten mukaisia radio- ja telepäätelaitteita. Lisäksi tilaajan on ylläpidettävä yleiseen viestintäverkkoon liitettävää laitetta tai järjestelmää teleyrityksen antamien ohjeiden mukaisesti siten, ettei se vaaranna yleisen viestintäverkon ja -palvelun tietoturvallisuutta.
Tietoyhteiskuntakaaren X osassa säädetään viestinnän ja palvelujen jatkuvuuden turvaamisesta ja sen 33 luvussa säädetään tietoturvan ja häiriöiden hallinnasta sekä häiriöistä ilmoittamisesta. Luvussa säädetään niistä toimenpiteistä, joihin teleyrityksellä, yhteisötilaajalla ja lisäarvopalvelun tarjoajalla sekä niiden lukuun toimivalla on oikeus ryhtyä tietoturvasta huolehtimiseksi, teleyrityksen tai muun viestintäverkon tai laitteen haltijan velvollisuudesta korjata häiriö, teleyrityksen ja lisäarvopalvelun tarjoajan velvollisuudesta tehdä häiriöilmoituksia käyttäjille ja viranomaisille.
Tietoyhteiskuntakaaren 275 §:n mukaan teleyrityksen on ilmoitettava viipymättä Viestintävirastolle, jos sen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää viestintäpalvelun toimivuuden tai häiritsee sitä olennaisesti. Teleyrityksen on ilmoitettava myös ilman aiheetonta viivästystä häiriön tai sen uhan arvioitu kesto ja vaikutukset, korjaustoimenpiteet sekä ne toimenpiteet, joilla häiriön toistuminen pyritään estämään.
Tietoyhteiskuntakaaressa teleyrityksellä tarkoitetaan sitä, joka tarjoaa verkkopalvelua tai viestintäpalvelua ennalta rajaamattomalle käyttäjäpiirille eli harjoittaa yleistä teletoimintaa. Teletoiminnan sääntely on teknologianeutraalia ja se voi olla vastikkeellista tai vastikkeetonta. Yleinen teletoiminta tarkoittaa sähköisten viestintäpalvelujen tarjontaa ennalta rajaamattomalle käyttäjäpiirille.
Internetin yhdysliikennepisteet tarjoavat vähimmillään teknisen paikan (point of presence) autonomisten AS-tunnuksella yksilöityjen viestintäverkkojen välisen liikenteen vaihtamiseen. Yhdysliikennepisteen tarjoaja voi myös tarjota palveluja yhteenliittämisen sopimiseksi.
Viestintävirasto on tulkinnut internetin yhdysliikennepisteen tietoyhteiskuntakaaren tarkoittamaksi yleiseksi teletoiminnaksi ainakin siltä osin, kun niitä käytetään yleisten viestintäverkkojen yhteenliittämiseen. Yhdysliikennepistettä voivat käyttää myös muut kuin yleisiä viestintäverkkoja tarjoavat teleyritykset, tyypillisesti esimerkiksi hajautettujen sisältöverkkojen (content delivery network, CDN) haltijat.
Nimipalvelun (Domain Name System, DNS) tarjoaminen on voimassa olevan sääntelyn mukaan yleistä teletoimintaa tai muuta toimintaa riippuen siitä, liittykö se internetyhteyspalvelun tarjontaan vai ei. Silloin kun se on osa internetyhteyspalvelun tarjoamista, sitä koskee yleistä teletoimintaa koskeva sääntely ja määräykset. Nimipalvelua tarjotaan myös muuten kuin internetyhteyspalvelun osana. Sitä tarjoavat esimerkiksi verkkotunnusvälittäjät ja muut verkon palveluntarjoajat. Nimipalvelua ei tyypillisesti hankita erikseen vaan se hankitaan osana muuta palvelua.
Suomen lainsäädäntövaltaan kuuluvista fi-maatunnusta ja ax-maakuntatunnusta koskevista verkkotunnusrekistereistä säädetään tietoyhteiskuntakaaressa. Viestintävirasto ylläpitää rekisteriä fi-maatunnukseen päättyvistä verkkotunnuksista ja tietokantaa verkkotunnusten teknisistä tiedoista internetliikenteen ohjaamista varten (fi-juuri). Ahvenanmaan maakuntahallitus ylläpitää ax-juurta.
Tietoyhteiskuntakaaren 21 luvussa säädetään verkkotunnuksista. Lain 171 §:ssä säädetään verkkotunnushallinnon järjestämisestä. Pykälän mukaan Viestintäviraston tehtävänä on huolehtia fi-verkkotunnustoiminnan tietoturvasta. Lisäksi lain 172 §:n mukaan Viestintävirastolla on oikeus ryhtyä välttämättömiin toimiin fi-verkkotunnuksia hyödyntämällä toteutettaviin yleisiin viestintäverkkoihin tai -palveluihin taikka niiden käyttäjiin kohdistuvien merkittävien tietoturvaloukkausten havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi. Viranomaisen toimintaa verkkotunnusrekisterin ja juuren ylläpidossa koskevat tietoyhteiskuntakaaren lisäksi viranomaisten toiminnan julkisuudesta annetussa laissa sekä sen nojalla annetun valtioneuvoston asetuksen tietoturvallisuudesta valtionhallinnossa (681/2010), jäljempänä tietoturva-asetus, tietoturvavaatimukset.
Energia
Energian toimialue on jaettu verkko- ja tietoturvadirektiivin liitteessä II sähkön, öljyn sekä kaasun osa-alueisiin. Näiden osa-alueiden osalta riskienhallintaan liittyviä velvoitteita sisältyy ainakin sähkömarkkinalakiin (588/2013), maakaasumarkkinalakiin (587/2017) sekä öljyn osalta vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annettuun lakiin (2005/390). Myös ydinenergialakiin (990/1987) sisältyy riskienhallintaan liittyvää lainsäädäntöä, mutta ydinenergia ei kuulu verkko- ja tietoturvadirektiivin soveltamisalaan.
Sähkö
Sähkönjakelun kantaverkko on suunniteltava ja rakennettava, ja sitä on ylläpidettävä siten, että verkko täyttää Euroopan unionin lainsäädännössä asetetut verkon käyttövarmuutta ja luotettavuutta koskevat vaatimukset ja järjestelmävastaavalle kantaverkonhaltijalle sähköverkkoluvassa asetetut verkon käyttövarmuutta ja luotettavuutta koskevat ehdot.
Sähköalan yrityksiä, jakeluverkonhaltijoita sekä siirtoverkonhaltijoita koskevat sähkömarkkinalain mukainen verkon kehittämisvelvollisuus (19 §), varautumissuunnitteluvelvoite (28 §), verkonhaltijan yhteistoimintavelvollisuus häiriötilanteissa (29§). Lisäksi sähköalan yrityksiä sekä jakeluverkonhaltijoita koskevat jakeluverkon toiminnan laatuvaatimukset (50–52 §).
Sähkömarkkinalain 28 §:n mukaan verkonhaltijan on asianmukaisella suunnittelulla varauduttava normaaliolojen häiriötilanteisiin ja valmiuslaissa (1552/2011) tarkoitettuihin poikkeusoloihin. Verkonhaltijan on laadittava varautumissuunnitelma sekä osallistuttava tarpeellisessa laajuudessa huoltovarmuuden turvaamiseen tähtäävään valmiussuunnitteluun.
Sähkömarkkinalain 59 §:n mukaan jakeluverkonhaltijan on tiedotettava verkon käyttäjille, mikäli sähkönjakelu keskeytyy jakeluverkossa merkittävässä laajuudessa. Samalla on annettava arvio vian tai keskeytyksen kestosta ja laajuudesta.
Maakaasu
Maakaasumarkkinalakiin sisältyy vain joitakin turvallisuusriskienhallintaa sivuavia velvoitteita. Uudistettu maakaasumarkkinalaki tulee voimaan vuoden 2018 alusta. Lain 4 luvussa säädetään verkonhaltijan yleisistä velvollisuuksista. Lain 27 §:ssä säädetään verkonhaltijan varautumissuunnittelusta. Lain mukaan verkonhaltijan on asianmukaisella suunnittelulla varauduttava maakaasuverkkoonsa kohdistuviin normaaliolojen häiriötilanteisiin, maakaasujärjestelmässä ilmenevien maakaasunsaannin häiriöiden edellyttämien säännöstelytoimenpiteiden täytäntöönpanoon ja valmiuslaissa tarkoitettuihin poikkeusoloihin. Verkonhaltijan on laadittava varautumissuunnitelma sekä osallistuttava tarpeellisessa laajuudessa huoltovarmuuden turvaamiseen tähtäävään valmiussuunnitteluun.
Öljy
Vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annetussa laissa ja sen nojalla annetussa valtioneuvoston asetuksessa vaarallisten kemikaalien teollisen käsittelyn ja varastoinnin valvonnasta (658/2015) säädetään muun muassa vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuusvaatimuksista, onnettomuuksien ehkäisemisestä sekä onnettomuuksien ja vaaratilanteiden ilmoittamisesta viranomaisille.
Liikenne
Liikenteen osalta verkko- ja tietoturvadirektiivin liitteessä II on määritelty neljä osa-aluetta: lentoliikenne, rautatieliikenne, vesiliikenne sekä tieliikenne. Liikennettä koskeva kansallinen turvallisuusriskienhallintaan liittyvä lainsäädäntö pohjautuu usein joko kansainvälisiin sopimuksiin taikka EU:n tasolla harmonisoituun lainsäädäntöön. Liikennettä koskeva lainsäädäntö on usein liikennemuotokohtaista ja sääntely voi koostua useiden eri kansainvälisten sopimusten, EU-tason sääntelyn sekä kansallisen sääntelyn yhdistelmästä.
Lentoliikenne
Ilmailu on kansainvälistä toimintaa ja siten siviili-ilmailualan sääntely perustuu yhteisiin sääntöihin, jotka on sovittu Kansainvälisen siviili-ilmailujärjestön (ICAO), Euroopan unionilainsäädännön, Euroopan lentoturvallisuusviranomaisen (EASA), Euroopan lennonvarmistusjärjestön eli Eurocontrolin ja Euroopan siviili-ilmailukonferenssin (ECAC) puitteissa. Kansallista liikkumavaraa siviili-ilmailun ja lentoliikenteen sääntelyssä on vähän.
Kansainvälisten ilmailusopimusten peruslähtökohtina ovat olleet turvallisuus, tehokkuus ja taloudellisuus. Kansainvälisen siviili-ilmailun yleissopimuksen (Chicagon yleissopimuksen) (SopS 11/1949) 37 artiklassa asetetaan ICAO:lle tehtäväksi hyväksyä ja tarvittaessa muuttaa kansainvälisiä standardeja, suositettuja menetelmiä ja menettelytapoja ilmailun turvallisuuteen, säännöllisyyteen ja tehokkuuteen liittyen.
Euroopan unionin ilmailualan lainsäädäntö on annettu viime vuosina enenevässä määrin asetustasolla direktiivien sijasta. Näin on pyritty varmistamaan se, että ilmailualan lainsäädäntöä sovelletaan Euroopan unionin jäsenvaltioissa mahdollisimman yhdenmukaisella tavalla.
Lentotoiminnan yleisistä edellytyksistä on säädetty yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan lentoturvallisuusviraston perustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 216/2008, jäljempänä EASA-asetus, 8 artiklassa, asetuksen liitteissä IV (8 artiklassa tarkoitetut lentotoimintaa koskevat keskeiset vaatimukset), V a (lentopaikkoja koskevat keskeiset vaatimukset) ja V b (ilmaliikenteen hallintaa ja lennonvarmistuspalveluja sekä lennonjohtajia koskevat keskeiset vaatimukset) sekä asetuksen nojalla annetuissa täytäntöönpanoasetuksissa. Komissio on antanut ehdotuksen EASA-asetuksen uudistamiseksi ((COM(2015) 613 FINAL) ja ehdotusta käsitellään parhaillaan unionissa.
EU-lainsäädännön vaatimuksilla ja niiden täytäntöönpanemiseksi hyväksytyillä säännöillä varmistetaan, että jäsenvaltiot täyttävät Chicagon yleissopimuksen mukaiset velvoitteensa. EASA-asetuksella, sen liitteillä ja asetuksen perusteella annetuilla täytäntöönpanosäännöillä säädetään verrattain kattavista turvallisuusriskienhallintavelvoitteista koskien lentotoiminnan harjoittajaa, lentopaikkoja sekä ilmaliikenteen hallintaa, lennonvarmistuspalveluja sekä lennonjohtoa.
Poikkeamien ilmoittamisesta, analysoinnista ja seurannasta siviili-ilmailun alalla annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 376/2014, jäljempänä poikkeama-asetus, säädetään ilmailun turvallisuuteen vaikuttavien poikkeamien ilmoittamisesta toimivaltaiselle viranomaiselle.
Asetuksen 4 artiklassa säädetään pakollisesta ilmoittamisvelvollisuudesta poikkeamista, jotka voivat muodostaa merkittävän riskin ilmailun turvallisuudelle. Ilmoittaminen on pakollista poikkeamista, jotka liittyvät esimerkiksi ilma-aluksen toimintaan, ilma-aluksen tekniseen kuntoon, huoltoon ja korjaukseen, lennonvarmistuspalveluihin ja -laitteisiin sekä lentopaikkoihin ja maapalveluihin.
Kansallisella tasolla ilmailun sääntelyä täydentää ilmailulaki (864/2014). Ilmailulakiin sisältyy kuitenkin vain muutamia turvallisuuteen liittyviä vaatimuksia liittyen esimerkiksi lentokelpoisuuden ylläpitämiseen (33 ja 34 §), lentoaseman hyväksymistodistukseen (83 §), maahuolintapalvelujen tarjoamiseen (93 §) sekä varautumiseen poikkeusoloihin ja häiriötilanteisiin (160 §).
Ilmailulain 118 §:n mukaan siviili-ilmailun onnettomuudesta ja vakavasta vaaratilanteesta on ilmoitettava Liikenteen turvallisuusvirastolle. Lain 125 §:n 1 momentin mukaan EU:n poikkeama-asetusta sovelletaan Suomessa kaikkiin ilma-aluksiin. Saman pykälän 2 momentin mukaisesti poikkeamista, joissa osallisena on Suomessa rekisteröity tai Suomeen sijoittautuneen organisaation käyttämä ilma-alus, on ilmoitettava siten kuin poikkeama-asetuksessa säädetään myös silloin, kun ne ovat tapahtuneet ulkomailla. Liikenteen turvallisuusvirasto vastaa ja ylläpitää poikkeama-asetuksen mukaista ilmoitusjärjestelmää, johon ilmoitetaan pakolliset ja vapaaehtoiset poikkeamatiedot (126 §).
Liikenteen turvallisuusvirasto on antanut ilmailuohjeen (GEN TI-4), jossa kuvataan tarkemmat menettelyt ja ohjeet, joita noudatetaan ilmailun onnettomuuksista, vakavista vaaratilanteista ja poikkeamisesta ilmoittamisessa, analysoinnissa ja seurannassa.
Rautatieliikenne
Rautateiden turvallisuudesta on säädetty yleisesti EU:n laajuisesti koskien viranomaisia ja toimijoita. Säädöksissä on asetettu vaatimukset mm. turvallisuusjohtamisjärjestelmälle, ilmoitusvelvollisuudelle ja valvonnalle. Keskeiset EU-tason säädökset ovat rautateiden turvallisuudesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/798 rautatieyritysten, turvallisuustodistuksen tai turvallisuusluvan saaneiden infrastruktuurin haltijoiden sekä kunnossapidosta vastaavien yksiköiden soveltamasta omavalvontaa koskevasta yhteisestä turvallisuusmenetelmästä annettu komission asetus (EU) N:o 1078/2012 sekä yhteisestä turvallisuusmenetelmästä kansallisten turvallisuusviranomaisten turvallisuustodistuksen tai turvallisuusluvan myöntämisen jälkeen harjoittamaa valvontaa varten annettu komission asetus (EU) N:o 1077/2012. Kansallisesti rautateiden turvallisuudesta on säädetty rautatielailla (304/2011), valtioneuvoston asetuksella ja Liikenteen turvallisuusviraston määräyksellä.
Rautatielain 6 luvussa on säädetty rautatiejärjestelmän turvallisuudesta. Lain 39 §:n mukaan rautatiejärjestelmän turvallisuustaso on säilytettävä ja sitä on kehitettävä Euroopan unionin lainsäädännön ja alan teknisen ja tieteellisen kehityksen mahdollistamalla tavalla. Pykälän mukaan rataverkon haltija ja rautatieliikenteen harjoittaja vastaavat rautatiejärjestelmän turvallisesta käytöstä ja käyttöön liittyvien riskien hallinnasta. Lain 40 §:n mukaan rautatieliikenteen harjoittajalla ja rataverkon haltijalla on oltava rautatieturvallisuutta koskevien säännösten ja määräysten mukainen turvallisuusjohtamisjärjestelmä. Lain 75 §:n mukaan Liikenteen turvallisuusvirasto voi rautatiejärjestelmän turvallisuuden ja teknisen toimivuuden varmistamiseksi antaa tarkempia määräyksiä mm. turvallisuusjohtamisjärjestelmästä ja varautumisesta onnettomuuteen tai vaaratilanteeseen. Liikenteen turvallisuusvirasto on antanut määräyksen rautatieliikenteen harjoittajan ja rataverkon haltijan turvallisuusjohtamisjärjestelmästä.
Rautatielain 79 §:n mukaan rautatieliikenteen harjoittajan ja rataverkon haltijan on riittävällä tavalla varauduttava rautateitä uhkaavan vaaran tai onnettomuuden varalta. Lisäksi 81 §:n mukaan turvallisuustodistuksen tai -luvan haltijoiden on varauduttava poikkeusoloihin ja huolehdittava siitä, että niiden toiminta jatkuu mahdollisimman häiriöttömästi myös valmiuslaissa tarkoitetuissa poikkeusoloissa ja niihin rinnastettavissa normaaliolojen häiriötilanteissa.
Rautatielain 81 a §:ssä säädetään toimenpiteistä, jotka rataverkon haltijan on toteutettava, jos rautatiejärjestelmässä esiintyy teknisistä ongelmista tai onnettomuudesta johtuvia häiriöitä tilanteen palauttamiseksi ennalleen.
Rautatielain 82 §:n mukaanrautatieliikenteen harjoittajien ja rataverkon haltijoiden tulee ilmoittaa Liikenteen turvallisuusvirastolle niiden tietoon tulleista onnettomuuksista ja vaaratilanteista. Lain mukaan nämä tiedot ovat salassa pidettäviä.
Valtioneuvoston asetuksella rautatiejärjestelmän turvallisuudesta ja yhteentoimivuudesta (372/2011) säädetään tarkemmin ilmoitusvelvollisuudesta.
Vesiliikenne
Merenkulun kansainvälisen sääntelyn pohjana ovat Yhdistyneiden kansakuntien alaisen Kansainvälisen merenkulkujärjestön (IMO) yleissopimukset. Keskeisiä kansainvälisiä yleissopimuksia ovat meriturvallisuutta sääntelevä vuoden 1974 kansainvälinen yleissopimus ihmishengen turvallisuudesta merellä (SOLAS (International Convention for the Safety of Life at Sea) -yleissopimus (SopS 11/1981)) sekä ympäristönsuojelua koskeva vuoden 1978 pöytäkirja, joka liittyy vuonna 1973 tehtyyn kansainväliseen yleissopimukseen alusten aiheuttaman meren pilaantumisen ehkäisemisestä (MARPOL (International Convention for the Prevention of Pollution from Ships)-yleissopimus).
Riskienhallintaan liittyviä velvoitteita on yhtiöiden (varustamot) osalta kansainvälisessä turvallisuusjohtamissäännöstössä (International Safety Management Code, ISM-säännöstö), joka perustuu SOLAS-yleissopimukseen. EU:n alueella säännöstö on toimeenpantu kansainvälisen turvallisuusjohtamissäännöstön täytäntöönpanosta yhteisössä annetulla Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 336/2006. Myös poikkeamaraportointijärjestelmä sisältyy ISM-säännöstön vaatimuksiin. Poikkeamaraportoinnin perusteena on, että analysoimalla läheltä piti -tilanteita ja vähäisiä onnettomuuksia sekä toteuttamalla ennakoivia korjaustoimenpiteitä voidaan pienentää vakavan onnettomuuden riskiä.
Lisäksi kaupallisen merenkulun onnettomuuksien raportointivelvoitteesta Liikenteen turvallisuusvirastolle on säädetty merilailla (674/1994). Lain mukaan merionnettomuusilmoitus on annettava merilain 18 luvun 6 ja 8 pykälissä tarkoitetuissa tapauksissa. Saman luvun 15 §:ssä säädetään onnettomuudesta ja vaaratilanteesta ilmoittamisesta. Alusturvallisuuden valvonnasta annetun lain (370/1995) 20 §:n mukaan valvontaviranomaiselle on tehtävä, mikäli mahdollista, kirjallinen ilmoitus alusturvallisuutta koskevan säännöksen tai määräyksen rikkomisesta.
Alusliikennepalvelu
Alusliikennepalvelulaissa (623/2005) säädetään eräistä merenkulkuun liittyvistä liikenteenohjaustehtävistä, joista vastaava viranomainen (VTS-viranomainen) on lain mukaan Liikennevirasto (2 §:n 1 ja 4 kohta). Lain 19 §:n mukaan VTS-viranomaisen on pidettävä toimintakäsikirjaa, jossa on määritelty VTS-keskuksen toiminnan ja teknisten järjestelmien ylläpitämiseen liittyvät tehtävät ja toimenpiteet sekä varautuminen alusliikennepalvelun ylläpitämiseen poikkeustilanteissa. Toimintakäsikirjassa on määriteltävä luotsauslaissa säädettyjä velvoitteita koskevat menettelytavat, ilmoituskäytännöt ja yhteistyö Liikenteen turvallisuusviraston kanssa.
Lain 20 a §:ssä on säädetty merenkulun tiedonhallintajärjestelmästä ja sille asetutuista vaatimuksista. Pykälän mukaan Liikennevirasto antaa tarkempia määräyksiä tiedonhallintajärjestelmän ilmoitusmenettelyistä, rakenteesta, sisällöstä, käyttöoikeuksista, tietojen jakelusta viranomaisille ja tietojen vaihdosta muiden jäsenvaltioiden sekä Euroopan unionin merenkulun tiedonhallintajärjestelmän (SafeSeaNet-keskusjärjestelmän) kanssa.
VTS-viranomaisella on velvollisuus ilmoittaa asianomaisille merenkulku-, meripelastus-, ympäristö-, aluevalvonta-, poliisi- tai tulliviranomaisille sekä asianomaisille satamanpitäjille havaitsemistaan tai sille ilmoitetuista tiettyä alusta koskevista aluksen tai siinä olevien ihmisten turvallisuuteen, meripelastukseen, ympäristönsuojeluun tai alue- taikka tullivalvontaan liittyvistä olennaisista seikoista (18 §). Lisäksi aluksen päällikön on Suomen vesialueella ilmoitettava VTS-viranomaiselle kaikista aluksen turvallisuuteen vaikuttavista tai merenkulun turvallisuutta vaarantavista vaaratilanteista tai onnettomuuksista sekä kaikista tilanteista, jotka voivat aiheuttaa vesien tai rannikon pilaantumista ja kaikista merellä ajelehtivista ympäristöstä pilaavien aineiden laitoista sekä konteista ja pakkauksista (23 §).
Satamat
Satamien osalta turvavelvoitteita on ISPS (International Ship and Port Facility Security Code) -säännöstössä, jonka tavoitteena on lisätä turvallisuutta aluksilla ja satamissa. Säännöstön on laatinut Kansainvälinen merenkulkujärjestö IMO. ISPS-säännöstö on myös liitetty kansainväliseen SOLAS-sopimukseen (luku XI-2 "Special measures to enhance maritime security") ja se on toimeenpantu EU:ssa alusten ja satamarakenteiden turvatoimien parantamisesta annetulla Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 725/2004, jäljempänä turvatoimiasetus. Kansallisesti eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetussa laissa säädetään satamissa noudatettavista turvatoimista. Lain mukainen toimivaltainen viranomainen on Liikenteen turvallisuusvirasto, jonka tehtävänä on valvoa turvatoimiasetuksen ja kyseisen lain säädösten noudattamista. Rajavartiolaitoksen, poliisin ja tullilaitoksen tehtävänä on ilmoittaa turvatoimiasetuksen ja kyseisen lain säännöksien noudattamisessa havaitsemistaan puutteista Liikenteen turvallisuusvirastolle, jonka on viipymättä ryhdyttävä toimiin puutteellisuuksien korjaamiseksi. Laissa säädetään myös Liikenteen turvallisuusvirastolle, rajavartiolaitokselle, poliisille ja tullilaitokselle kuuluvista erityistehtävistä (4–7 §).
Tieliikenne
Tienkäyttäjää koskevat säännöt, eli liikennesäännöt, sisältyvät tieliikennelakiin (267/1981). Tieliikenteen ohjaukseen liittyviä toimintoja kuuluu eri toimijoille. Maantielain mukaan Liikennevirasto ja elinkeino- liikenne ja ympäristö -keskukset ovat tienpitoviranomaisia. Ne voivat mm. kieltää tai rajoittaa tilapäisesti liikennettä (35 §) ja antaa lupia erilaisten rakennelmien, laitteiden ja kaapeleiden sijoittamiselle tiealueelle (42 ja 42 a §). Myös tieliikennelaissa Liikennevirastolla on toimivaltuuksia mm. liikenteen ohjauslaitteiden asettamiseen sekä liikenteen ohjaukseen tien ja rautatien tasoristeyksessä sekä tieliikenneasetuksen 49 §:ssä tarkoitetussa tien tilapäisessä sulkemisessa. Kunnilla on myös liikenteenohjaustehtäviä, esimerkiksi tieliikennelain 51 §:n mukaan kunta asettaa liikenteen ohjauslaitteen kadulle, rakennuskaavatielle, torille ja muulle vastaavanlaiselle liikennealueelle.
Tieliikenteen älykkäät liikennejärjestelmät
Automaattisesti ohjautuvat ajoneuvot ovat osa älykkäiden liikennejärjestelmien toteutumista. Älykkäissä liikennejärjestelmissä automaattisesti ohjautuvat ajoneuvot käyttävät liikkumiseensa itse tuottamaansa tietoa, jota ne keräävät ympäristöstä omilla sensoreillaan, tutkillaan ja kameroillaan. Sen lisäksi ne käyttävä sitä laajapohjaista tietoa, mitä ajoneuvoihin välittyy verkon kautta muusta liikenneympäristöstä, muista liikkuvista ajoneuvoista, tieympäristöstä, liikenteen ohjausjärjestelmistä ja kaupallisista palveluista.
EU:n tieliikenteen älykkäiden liikennejärjestelmien käyttöönoton sekä tieliikenteen ja muiden liikennemuotojen rajapintojen puitteista annetun Euroopan parlamentin ja neuvoston direktiivin 2010/40/EU (jäljempänä ITS-direktiivi) tavoitteena on nopeuttaa älykkäiden liikennejärjestelmien koordinoitua käyttöönottoa ja käyttöä tieliikenteessä kaikkialla Euroopassa. ITS-direktiiviä sovelletaan kaikkiin tieliikennealan älykkäisiin liikennejärjestelmiin sekä tieliikenteen ja muiden liikennemuotojen välisiin rajapintoihin. ITS-direktiivissä korostetaan eurooppalaista älyliikennearkkitehtuuria, jolla voidaan edistää myös multimodaalista, eli eri liikennemuodot yhdistävää lipunmyyntiä. ITS-direktiivi sisältää säännöksen, jonka nojalla Euroopan komissiolle on siirretty säädösvalta antaa delegoituja asetuksia niiden teknisten määritysten osalta, jotka ovat tarpeen ITS-järjestelmien käyttöönoton ja operatiivisen käytön yhteensopivuuden, yhteentoimivuuden ja jatkuvuuden varmistamiseksi koko unionin alueella. ITS-direktiivi onkin luonteeltaan puitelaki, joka saa sisältönsä sen 6 ja 7 artiklojen nojalla annettujen delegoitujen säädösten sisällöstä. Ne ovat komission asetuksia, minkä johdosta ne ovat suoraan sovellettavaa oikeutta ja edellyttävät ainoastaan rajallisesti kansallista sääntelyä.
ITS-direktiivi on Suomessa saatettu osaksi liikenteen palveluista annettua lakia (320/2017). Lain III osan 2 luvun 6 §:ssä säädetään älykkäiden liikennejärjestelmien käyttöönotosta. Pykälän 2 momentissa asetettaisiin Liikenteen turvallisuusvirasto toimivaltaiseksi viranomaiseksi arvioimaan vaatimustenmukaisuuden täyttymistä. Tällä hetkellä ITS-direktiivin nojalla annetuista komission asetuksista yhteentoimivaa EU:n laajuista eCall-hätäpuhelujärjestelmää koskevan asetuksen N:o 305/2013 4 artikla sekä dataa ja menettelyitä, joiden avulla mahdollisuuksien mukaan tarjotaan liikenneturvallisuuteen liittyviä yleisiä vähimmäisliikennetietoja ilmaiseksi käyttäjille koskevan asetuksen N:o 886/2013 9 artikla edellyttävät vaatimustenmukaisuutta arvioivan toimijan nimeämistä.
Komission delegoitua asetusta (EU) N:o 886/2013 Euroopan parlamentin ja neuvoston direktiivin 2010/40/EU täydentämisestä datan ja menettelyjen osalta, joiden avulla mahdollisuuksien mukaan tarjotaan liikenneturvallisuuteen liittyviä yleisiä vähimmäisliikennetietoja ilmaiseksi käyttäjille, sovelletaan liikenneturvallisuuteen liittyvien yleisten vähimmäistason liikennetietopalvelujen tarjontaan Euroopan laajuisessa tieverkossa. Liikenneturvallisuuteen liittyvillä yleisellä vähimmäistason liikennetietopalvelulla tarkoitetaan reaaliaikaista liikennetietopalvelua, joka tarjoaa sovitun liikenneturvallisuuteen liittyvän vähimmäissisällön ja joka on mahdollisimman monen loppukäyttäjän saatavissa mahdollisimman helposti.
Pankkiala ja finanssimarkkinoiden infrastruktuuri
Pankkialan ja finanssimarkkinoiden infrastruktuuria ei ole verkko- ja tietoturvadirektiivin liitteessä II jaettu tarkempiin osa-alueisiin. Toimijoiden tyyppeinä on mainittu pankkialan osalta luottolaitokset ja finanssimarkkinoiden infrastruktuurin osalta unionin direktiivissä 2014/65/EU määritellyt kauppapaikkojen ylläpitäjät sekä keskusvastapuolet.
Pankkialan ja finanssimarkkinoiden infrastruktuurien sääntely ja valvonta on erittäin yhdenmukaistettua unionin tasolla. Tämä näkyy unionin primaari- ja sekundaarioikeuden soveltamisessa sekä yhdessä Euroopan valvontaviranomaisten kanssa kehitettyjen standardien käyttämisessä. Näiden vaatimusten soveltaminen ja valvonta varmistetaan pankkiunionissa yhteisellä valvontamekanismilla. Rahoitusalan sääntelyn muilla aloilla myös Euroopan finanssivalvojien järjestelmä varmistaa valvontakäytäntöjen yhdenmukaisuuden ja yhtenäisyyden korkean tason. Pankkialalla riskienhallinnan keskeisenä tavoitteena on turvata riittävät omat varat suhteessa riskien ottoon ja riskienhallintajärjestelmien tasoon. Toimintaan kohdistuvat riskit voidaan jaotella esimerkiksi luottoriskien, operatiivisten riskien, markkinariskien sekä likviditeetin hallintaan.
Operatiivinen riski on keskeinen osa vakavaraissääntelyä ja -valvontaa pankkialalla ja finanssimarkkinoiden infrastruktuurien alalla. Operatiivisella riskeillä voidaan tarkoittaa esimerkiksi riskiä, joka aiheutuu riittämättömistä tai epäonnistuneista sisäisistä prosesseista, henkilöstöstä, järjestelmistä tai ulkoisista tekijöistä. Operatiivisten riskien hallinta kattaa kaikki toiminnot, mukaan lukien verkko- ja tietojärjestelmien turvallisuuden, eheyden ja häiriönsietokyvyn.
Luottolaitokset
Luottolaitostoiminnasta annetun lain (610/2014) 5 luvun 10 ja 11 §:ssä säädetään luottolaitoksen merkittävän toiminnan ulkoistamisesta ja ulkoistamisen edellytyksistä. Varautumisvelvollisuudesta on säädetty 16 §:ssä. Yleiset luottolaitoksen riskienhallintajärjestelmälle asetettavat vaatimukset on annettu luottolaitostoiminnasta annetun lain 9 luvun 2 §:ssä ja operatiivisten riskien hallinnan osalta 16 §:ssä, jonka mukaan luottolaitoksella on oltava riittävät, turvalliset ja toimintavarmat maksu-, arvopaperi- ja muut tietojärjestelmät. Lisäksi pykälässä säädetään varautumissuunnittelusta.
Lain 24 §:n mukaan Finanssivalvonta voi antaa tarkempia määräyksiä 16 §:ssä tarkoitetusta operatiivisesta riskistä. Finanssivalvonta on antanut määräykset operatiivisen riskin hallinnasta rahoitussektorin valvottavissa (Määräykset ja ohjeet 8/2014) sekä ulkoistamisesta (Määräykset ja ohjeet 1/2012). Määräyksen operatiivisen riskin hallinnasta rahoitussektorin valvottavissa 6 luku sisältää määräykset tietojärjestelmien tietoturvallisuudesta.
Finanssivalvonnasta annetun lain 18 §:n 2 momentin mukaan Finanssivalvonta voi antaa määräyksiä valvottavan taloudellista asemaa, omistajia, sisäistä valvontaa ja riskienhallintaa, hallinto- ja valvontaelinten jäseniä ja toimihenkilöitä sekä toimipaikkoja koskevien tietojen säännöllisestä toimittamisesta Finanssivalvonnalle.Finanssivalvonnan operatiivista riskinhallintaa koskevassa määräyksessä määrätään tarkemmin tietojärjestelmiin kohdistuvien häiriöiden ilmoittamisesta Finanssivalvonnalle.
Säännelty markkina, monenkeskinen kaupankäyntijärjestelmä, organisoitu kaupankäyntijärjestelmä sekä pörssi
Pörssitoiminnan harjoittamisen kannalta riskienhallintavaatimuksia ja häiriöiden ilmoittamista koskevat säännökset sisältyvät eduskunnalle 26.10 2017 annetun hallituksen esityksen sijoituspalvelulain muuttamisesta ja kaupankäynnistä rahoitusvälineillä annetuiksi laeiksi sekä eräiksi niihin liittyviksi laeiksi (HE 151/2017 vp) 3 lukuun. Lain 1 §:ssä säädetään säännellyn markkinan toiminnan järjestämistä koskevista vaatimuksista. Lain mukaan Pörssin on varmistettava, että sen käyttämät järjestelmät ja menettelytavat turvaavat kaupankäyntijärjestelmän toiminnan luotettavuuden ja jatkuvuuden myös häiriötilanteissa. Pörssin tulee voida varmistaa, että sillä on riittävä kaupankäyntijärjestelmien häiriönsietokyky, riittävä kapasiteetti toimeksiantojen ja viestien ruuhkahuippujen käsittelyyn ja varmistaa asianmukainen kaupankäynti markkinoiden vakavissa stressiolosuhteissa. Pörssin on testattava säännöllisesti kuormituskokein kaupankäyntijärjestelmän toimintaa edellä kuvattujen vaatimusten täyttämiseksi. Lain 2 §:n mukaan Pörssin on ilmoitettava Finanssivalvonnalle ilman aiheetonta viivästystä rahoitusvälineeseen liittyvistä järjestelmän toimintahäiriöstä.
Terveydenhuoltoala
Terveydenhuoltoa koskien verkko- ja tietoturvadirektiivin liitteessä II on määritelty tarkempina osa-alueina terveydenhuoltolaitokset (mukaan lukien sairaalat ja yksityisklinikat). Suomessa terveydenhuoltolakia (1326/2010) sovelletaan kansanterveyslaissa (66/1972) ja erikoissairaanhoitolaissa (1062/1989) säädetyn kunnan järjestämisvastuuseen kuuluvan terveydenhuollon toteuttamiseen ja sisältöön. Lain 8 §:ssä on säädetty terveydenhuollon toiminnan laatuvaatimuksista ja potilasturvallisuudesta. Lain mukaan terveydenhuollon toiminnan on oltava laadukasta, turvallista ja asianmukaisesti toteutettua. Tämän lisäksi terveydenhuollon toimintayksikön on laadittava suunnitelma laadunhallinnasta ja potilasturvallisuuden täytäntöönpanosta. Sosiaali- ja terveysministeriön asetuksella säädetään tarkemmin asioista, joista on suunnitelmassa sovittava.
Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) tarkoituksena on edistää sosiaali- ja terveydenhuollon asiakastietojen tietoturvallista sähköistä käsittelyä. Lailla toteutetaan yhtenäinen sähköinen potilastietojen käsittely- ja arkistointijärjestelmä terveydenhuollon palvelujen tuottamiseksi potilasturvallisesti ja tehokkaasti sekä potilaan tiedonsaantimahdollisuuksien edistämiseksi.Lakia sovelletaan julkisten ja yksityisten sosiaali- ja terveydenhuollon palvelujen antajien järjestäessä taikka toteuttaessa sosiaali- tai terveydenhuoltoa.
Lain5 a luvussaon säädettysosiaali- tai terveydenhuollon asiakastietojen käsittelyssä käytettävän tietojärjestelmän olennaisista vaatimuksista. Lisäksi 5 b luvussa on säädetty palvelun tarjoajan velvollisuudesta tehdä niin kutsuttu omavalvontasuunnitelma, jossa se määrittelee riskienhallintatoimenpiteitä.
Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 19 i §:n mukaan palvelun tarjoajan on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle merkittävistä poikkeamista tietojärjestelmän olennaisten vaatimusten täyttymisessä, jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle.
Terveydenhuollon laitteista ja tarvikkeista annetun lain (629/2010) tarkoituksena on ylläpitää ja edistää terveydenhuollon laitteiden ja tarvikkeiden sekä niiden käytön turvallisuutta. Lakia sovelletaan terveydenhuollon laitteiden ja tarvikkeiden ja niiden lisälaitteiden suunnitteluun ja valmistukseen sekä toimenpidepakkausten ja järjestelmien kokoamiseen. Lisäksi lakia sovelletaan mainittujen tuotteiden markkinoille saattamiseen ja sitä varten steriloimiseen, käyttöönottoon, asennukseen, huoltoon, ammattimaiseen käyttöön, markkinointiin ja jakeluun.
Lain 5 §:n määritelmän mukaan terveydenhuollon laitteella tarkoitetaan instrumenttia, laitteistoa, välinettä, ohjelmistoa, materiaalia tai muuta yksinään tai yhdistelmänä käytettävää laitetta tai tarviketta, jonka valmistaja on tarkoittanut käytettäväksi ihmisen
a) sairauden diagnosointiin, ehkäisyyn, tarkkailuun, hoitoon tai lievitykseen;
b) vamman tai vajavuuden diagnosointiin, tarkkailuun, hoitoon, lievitykseen tai kompensointiin;
c) anatomian tai fysiologisen toiminnon tutkimiseen, korvaamiseen tai muunteluun; taikka
d) hedelmöittymisen säätelyyn.
Lain 2 luvussa on säännökset terveydenhuollon laitteita koskevista vaatimuksista. Lain 6 §:n 3 momentin mukaan laitteen tulee olla käyttötarkoitukseensa sopiva ja sen tulee käyttötarkoituksensa mukaisesti käytettynä saavuttaa sille suunniteltu toimivuus ja suorituskyky. Laitteen asianmukainen käyttö ei saa tarpeettomasti vaarantaa potilaan, käyttäjän tai muun henkilön terveyttä tai turvallisuutta.
Lain 17 §:ssä on säädetty toiminnanharjoittajan velvollisuuksista. Sen mukaan toiminnanharjoittajan on noudatettava valmistajan antamia tietoja ja ohjeita terveydenhuollon laitteen kuljetuksesta, säilytyksestä, asennuksesta, huollosta ja muusta laitteen käsittelystä.
Lain 25 §:n mukaan ammattimaisen käyttäjän on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle ja valmistajalle tai valtuutetulle edustajalle vaaratilanteista, jotka ovat johtaneet tai olisivat saattaneet johtaa potilaan, käyttäjän tai muun henkilön terveyden vaarantumiseen ja jotka johtuvat muun muassa terveydenhuollon laitteen ominaisuuksista, suorituskyvyn poikkeamasta, riittämättömästä merkinnästä tai virheellisestä käyttöohjeesta.
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi antaa määräyksiä siitä, millä tavalla vaaratilanteista ilmoitetaan ja mitä tietoja niistä on ilmoitettava. Sosiaali- ja terveysalan lupa- ja valvontavirasto on antanut määräyksen terveydenhuollon laitteesta ja tarvikkeesta tehtävän ammattimaisen käyttäjän vaaratilanneilmoituksesta.
Juomaveden toimittaminen ja jakelu
Juomaveden toimittamisen ja jakelun osalta verkko- ja tietoturvadirektiivin liitteessä II ei ole määritelty tarkempia toiminnan osa-alueita. Suomessa vesihuoltolain (119/2001) tavoitteena on turvata sellainen vesihuolto, että kohtuullisin kustannuksin on saatavissa riittävästi terveydellisesti ja muutoinkin moitteetonta talousvettä sekä terveydensuojelulain ja ympäristönsuojelulain kannalta asianmukainen viemäröinti. Vesihuoltolain 14 §:n mukaan vesihuoltolaitoksen tulee huolehtia siitä, että laitoksen toimittama talousvesi täyttää terveydensuojelulaissa (763/1994) säädetyt laatuvaatimukset. Lain 15 §:n mukaan vesihuoltolaitoksen on oltava selvillä käyttämänsä raakaveden määrään tai laatuun kohdistuvista riskeistä sekä laitteistonsa kunnosta. Tässä tarkoituksessa vesihuoltolaitoksen on tarkkailtava käyttämänsä raakaveden määrää ja laatua, laitteistonsa kuntoa sekä vuotovesien määrää laitoksen vesijohto- ja viemäriverkostoissa. Lain 15 a §:n mukaan vesihuoltolaitoksen on vastattava verkostoihinsa liitettyjen kiinteistöjen vesihuoltopalvelujen saatavuudesta häiriötilanteissa. Vesihuoltolain muuttamista koskevaan hallituksen esityksen (HE 218/2013 vp) mukaan häiriötilanteella tarkoitettaisiin kaikkia vesihuollon palvelutuotantoa vaikeuttavia tai vaarantavia häiriötilanteita lukuun ottamatta tavanomaisia toimintahäiriöitä. Tällaisia häiriötilanteita olisivat esimerkiksi vaikutuksiltaan merkittävät laiterikot, muut vakavat vesihuollon laitteistojen, järjestelmien tai palvelujen häiriöt, teknisten järjestelmien häiriöt sekä vedenhankintaan ja energia- ja tietojärjestelmiin kohdistuvat häiriötilanteet. Häiriöitä voisivat aiheuttaa muun muassa luonnononnettomuudet, äärimmäiset sääolosuhteet, paikalliset tai valtakunnalliset onnettomuudet, ilkivalta ja rikokset. Häiriötilanteella tarkoitetaan sekä normaaliolojen että valmiuslaissa tarkoitettujen poikkeusolojen häiriötilanteita.
Vesihuoltolain 15 a §:n mukaan palvelujen turvaamiseksi laitoksen on oltava yhteistyössä muiden samaan verkostoon liitettyjen vesihuoltolaitosten, kunnan, kunnan valvontaviranomaisten, pelastusviranomaisten, sopimuskumppanien ja asiakkaiden kanssa. Vesihuoltolaitoksen on laadittava ja pidettävä ajan tasalla suunnitelma häiriötilanteisiin varautumisesta sekä ryhdyttävä suunnitelman perusteella tarvittaviin toimenpiteisiin. Laitoksen tulee toimittaa suunnitelma valvontaviranomaisille, pelastusviranomaiselle ja kunnalle.
Talousveden turvallisuutta koskevat laatuvaatimukset perustuvat ihmisten käyttöön tarkoitetun veden laadusta annettuun Euroopan parlamentin ja neuvoston direktiiviin 98/83/EY. Kansallisesti talousveden laatuvaatimuksista on säädetty terveydensuojelulain 17 §:ssä sekä laadun valvonnasta lain 20 §:ssä.
Sosiaali- ja terveysministeriö on antanut terveydensuojelulain 17 ja 20 §:n nojalla asetuksen talousveden laatuvaatimuksista ja valvontatutkimuksista (1352/2015). Asetuksessa säädetään talousveden laatuvaatimuksista, laatutavoitteista ja desinfioinnista, menettelystä, jos talousvesi ei täytä laatuvaatimuksia tai -tavoitteita, talousveden säännöllisestä valvonnasta, talousvettä toimittavan laitoksen toimintaa koskevan hakemuksen sisällöstä, talousveden terveydelliseen laatuun vaikuttavien riskien arvioinnista ja hallinnasta, talousveden radioaktiivisista aineista aiheutuvan säteilyaltistuksen rajoittamisesta ja kunnan terveydensuojeluviranomaisen häiriötilanteisiin varautumista koskevan suunnitelman sisällöstä ja laatimisesta.
2.1.7
2.1.7 Viranomaisvalvonta ja tilannekuvan muodostaminen
Suomessa edellä kuvattuja toiminnan laatu- ja turvallisuusvelvoitteita valvovat eri viranomaiset riippuen toiminnan luonteesta. Toiminnan turvallisuuteen tai tietoturvallisuuteen liittyviä velvoitteita ei ole järjestetty yhden viranomaisen valvottavaksi. Näin esimerkiksi teletoimintaan liittyviä turvallisuus- ja tietoturvallisuusvelvoitteita valvoo Viestintävirasto, luottolaitosten toimintaan liittyviä Finanssivalvonta ja terveyden huollon asiakastietojen käsittelyyn liittyviä Sosiaali- ja terveysalan lupa- ja valvontavirasto. Viestintävirastossa ei ole varsinaisia yleisiä yhteiskunnan keskeisten palvelujen tietoturvallisuuteen liittyviä valvontatehtäviä, vaikka Viestintävirasto yleisesti tukee ja auttaa kansalaisia ja yrityksiä tietoturvasta huolehtimisessa (esimerkiksi tarjoamalla tietoturvaloukkausten ja -uhkien kansallinen yhteyspisteen eli CERT (Computer Emergency Response Team) -toimintoa, jonka tehtävänä on selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia kerätä tietoa tällaisista tapahtumista ja tiedottaa tietoturva-asioista yleensä) sekä muodostaa yleistä tietoturvallisuuden tilannekuvaa. Viestintävirasto saa merkittävän osan tietoturvaloukkaus- ja haavoittuvuustiedoista elinkeinonharjoittajien vapaaehtoisesti tekemien ilmoituksien kautta.
Valtion tasolla yleisen turvallisuuden tilannekuvan muodostamisesta vastaa Valtioneuvoston tilannekeskus, joka koostaa tilannekuvaa myös eri toimialojen valvontaviranomaisten sekä muiden viranomaisten toimittamien tietojen pohjalta.
Valtioneuvoston tilannekeskus
Valtioneuvostosta annetun lain (175/2003) nojalla annetun valtioneuvoston ohjesäännön (262/2003) 12 §:n 7 kohdan mukaan valtioneuvoston kanslian toimialaan kuuluu valtioneuvoston yhteinen tilannekuva, varautuminen ja turvallisuus sekä häiriötilanteiden hallinnan yleinen yhteensovittaminen.
Ympärivuorokautisesti toimiva valtioneuvoston tilannekeskus perustettiin valtionjohdon ja viranomaisten jatkuvaa tiedonsaantia varten syyskuussa 2007. Laki valtioneuvoston tilannekeskuksesta tuli voimaan heinäkuussa 2017. Laissa säädetään valtioneuvoston tilannekeskuksen tehtävistä ja viranomaisten välisestä tiedonvaihdosta. Lain 1 §:n mukaan valtioneuvoston tilannekeskuksen tehtävänä on tasavallan presidentin ja valtioneuvoston päätöksenteon ja toiminnan tueksi koota ja analysoida tietoa turvallisuustilanteesta ja sellaisista häiriöistä ja niiden uhista, jotka vaarantavat yhteiskunnan elintärkeitä toimintoja, hoitaa ja koordinoida tilannekuvan ylläpitämiseen, kokoamiseen, yhteensovittamiseen ja välittämiseen liittyviä poikkihallinnollisia tehtäviä sekä jakaa yhteen sovitettua tietoa tasavallan presidentille, valtioneuvostolle ja muille viranomaisille. Lisäksi laissa säädetään ministeriöiden sekä hallinnonalan viraston ja laitoksen velvollisuudesta ilmoittaa onnettomuudesta, vaaratilanteesta, poikkeuksellisesta tapahtumasta tai muusta vastaavasta häiriöstä tilannekeskukselle sekä tilannekeskuksen tiedonsaantioikeudesta sekä salassa pidettävän tiedon luovuttamisesta.
Valtioneuvoston tilannekeskus tuottaa reaaliaikaista turvallisuustapahtumatietoa ja toimivaltaisten viranomaisten tiedoista koottua tilannekuvaa. Tilannekeskus yhdistää eri viranomaisilta ja avoimista lähteistä saadut tiedot ja raportoi niiden pohjalta valtionjohdolle ja eri viranomaisille.
Viestintävirasto
Viestintäviraston tehtävät ja erityiset tehtävät on määritelty tietoyhteiskuntakaaressa ja eräissä muissa laeissa. Tietoyhteiskuntakaaren mukaan Viestintäviraston erityisiin tehtäviin kuuluu muun muassa edistää sähköisen viestinnän toimivuutta, häiriöttömyyttä ja turvallisuutta, kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekä viestintäverkkojen ja viestintäpalvelujen vika- ja häiriötilanteista, tiedottaa tietoturva-asioista sekä viestintäverkkojen ja viestintäpalvelujen toimivuudesta sekä selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia.
Liikenteen turvallisuusvirasto
Liikenteen turvallisuusvirastosta annetun lain mukaan Liikenteen turvallisuusvirasto vastaa liikennejärjestelmän sääntely- ja valvontatehtävistä ja edistää liikenteen turvallisuutta. Liikenteen turvallisuusvirasto ylläpitää myös liikennejärjestelmän tilakuvaa, joka kertoo Suomen liikennejärjestelmän turvallisuuden tilasta.
Ilmailulaissa säädetään Liikenteen turvallisuusviraston tehtävistä koskien ilmailun turvallisuusvaatimusten noudattamista ja ilmailutoiminnan vaatimustenmukaisuutta. Sen lisäksi, mitä ilmailulaissa säädetään Liikenteen turvallisuusviraston tehtävistä, virasto toimii muun muassa EASA-asetuksessa ja poikkeama-asetuksessa tarkoitettuna toimivaltaisena kansallisena viranomaisena. Liikenteen turvallisuusvirasto toimii myös Suomen kansainvälisissä liikennesopimuksissa tarkoitettuna ilmailuviranomaisena, josta säädetään ilmailulain 173 §:ssä. Lentoturvallisuutta mahdollisesti vaarantavista poikkeamista on ilmoitettava Liikenteen turvallisuusvirastolle voimassa olevan lainsäädännön mukaisesti.
Liikenteen turvallisuusviraston valvontaan kuuluu yleinen meriturvallisuuden sekä hyvän merimiestaidon noudattamisen valvonta. Alusliikennepalvelulain mukaan Liikenteen turvallisuusvirasto ja VTS-viranomainen valvovat lain nojalla asetettujen säännösten ja määräysten noudattamista. Alusliikennepalvelulain 18 §:ssä säädetään VTS-viranomaisen velvollisuudesta ilmoittaa liikenteen turvallisuusvirastolle tietyistä merenkulun turvallisuuteen liittyvistä olennaisista seikoista ja luotsauslain HYPERLINK "http://www.finlex.fi/fi/laki/ajantasa/2003/20030940" \o "Ajantasainen säädös" (940/2003) noudattamiseen liittyvistä havainnoista. Liikenteen turvallisuusvirasto toimii myös eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain mukaisena toimivaltaisena viranomaisena.
Liikenteen turvallisuusvirasto valvoo rautatiejärjestelmän turvallisuusvaatimusten noudattamista sekä rautatieliikenteen harjoittajan ja rataverkon haltijan turvallisuusjohtamisjärjestelmien vaatimustenmukaisuutta. Valvontaa sääntelee kansallisen viranomaisen suorittamasta valvonnasta turvallisuusluvan tai -todistuksen myöntämisen jälkeen annettu Euroopan komission asetus (EU) N:o 1077/2012.
Sosiaali- ja terveysalan lupa- ja valvontavirasto
Terveydenhuollon laitteista ja tarvikkeista annetun lain 38 §:n mukaan Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää terveydenhuollon laitteiden sekä niiden käytön turvallisuutta ja vaatimustenmukaisuutta.
Tämän tehtävän toteuttamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää vaaratilannerekisteriä. Sosiaali- ja terveysalan lupa- ja valvontaviraston on arvioitava ilmoitusvelvollisilta tulleet vaaratilanneilmoitukset ja ryhdyttävä tarpeellisiin terveyden ja turvallisuuden edellyttämiin toimiin.
Lisäksi Sosiaali- ja terveysalan lupa- ja valvontavirasto valvoo sosiaali- ja terveydenhuollon asiakas- ja potilastietojen käsittelyyn tarkoitettujen tietojärjestelmien olennaisten vaatimusten toteutumista. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain mukaan Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien vaatimustenmukaisuutta. Lain mukaan sosiaali- tai terveydenhuollon palvelujen antajan on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle tietojärjestelmän olennaisten vaatimusten täyttymisessä havaitsemistaan merkittävistä poikkeamista silloin, kun poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle.
Terveyden ja hyvinvoinnin laitos
Sosiaali- ja terveysministeriön alainen Terveyden ja hyvinvoinnin laitos toimii siitä annetun lain mukaan väestön hyvinvoinnin ja terveyden edistämiseksi, sairauksien ja sosiaalisten ongelmien ehkäisemiseksi sekä sosiaali- ja terveydenhuollon ja sen palvelujen kehittämiseksi. Terveyden ja hyvinvoinnin laitoksesta annetun lain 2 §:n 4 b kohdan mukaan laitoksen tehtävänä on vastata sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn, siihen liittyvän tietohallinnon ja valtakunnallisten tietojärjestelmäpalvelujen käytön ja toteuttamisen suunnittelusta, ohjauksesta ja seurannasta. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 19 a §:n mukaan Terveyden ja hyvinvoinnin laitos voi tarvittaessa antaa tarkempia määräyksiä sosiaali- tai terveydenhuollon asiakastietojen käsittelyssä käytettävän tietojärjestelmän olennaisten vaatimusten sisällöstä.
Finanssivalvonta
Finanssivalvonnasta annetun lain mukaan Finanssivalvonnan toiminnan tavoitteena on finanssimarkkinoiden vakauden edellyttämä luotto-, vakuutus- ja eläkelaitosten ja muiden valvottaviksi säädettyjen vakaa toiminta, vakuutettujen etujen turvaaminen sekä yleinen luottamus finanssimarkkinoiden toimintaan. Finanssivalvonta valvoo, että finanssimarkkinoilla toimivat noudattavat niihin sovellettavia finanssimarkkinoita koskevia säännöksiä, niiden nojalla annettuja määräyksiä, toimilupansa ehtoja ja toimintaansa koskevia sääntöjä. Finanssivalvonnasta annetun lain mukaan Finanssivalvonta voi antaa määräyksiä valvottavan taloudellista asemaa, omistajia, sisäistä valvontaa ja riskienhallintaa, hallinto- ja valvontaelinten jäseniä ja toimihenkilöitä sekä toimipaikkoja koskevien tietojen säännöllisestä toimittamisesta Finanssivalvonnalle.
Energiavirasto
Energiaviraston tehtävistä on säädetty sähkö- ja maakaasumarkkinoiden valvonnasta annetussa laissa (590/2013). Lain 2 §:n mukaan lakia sovelletaan niiden valvonta- ja seurantatehtävien hoitamiseen, jotka säädetään Energiaviraston tehtäviksi muun muassa sähkömarkkinalaissa ja maakaasumarkkinalaissa sekä niiden nojalla annetuissa säännöksissä ja viranomaisten määräyksissä.
Energiaviraston toimivallasta valvonta-asioissa säädetään lain 9 §:ssä. Lain mukaan, jos joku rikkoo tai laiminlyö lain 2 §:ssä tarkoitetussa kansallisessa tai Euroopan unionin lainsäädännössä säädettyjä velvoitteitaan, Energiaviraston on velvoitettava hänet korjaamaan rikkomuksensa tai laiminlyöntinsä. Päätöksessä voidaan määrätä, millä tavoin rikkomus tai laiminlyönti tulee korjata.
Lain 30 §:ssä säädetään Energiaviraston tiedonsaanti- ja tarkastusoikeudesta. Lain mukaan valvottavaa toimintaa harjoittavan elinkeinonharjoittajan on annettava Energiavirastolle tässä laissa tarkoitettujen valvontatehtävien hoitamiseksi tarpeelliset tiedot ja asiakirjat. Tämän lisäksi Energiavirastolle on annettava muiden tässä laissa tarkoitettujen tehtävien hoitamiseksi tai kansainvälisten sopimusvelvoitteiden täyttämiseksi tarpeellisia tilasto- ja muita tietoja.
Juomaveden toimittaminen ja jakelu
Vesihuoltolain toimeenpanon yleinen ohjaus ja seuranta kuuluvat maa- ja metsätalousministeriölle. Vesihuoltolain mukaisia valvontaviranomaisia ovat toimialoillaan elinkeino-, liikenne- ja ympäristökeskus sekä kunnan ympäristönsuojeluviranomainen ja terveydensuojeluviranomainen.
Elinkeino-, liikenne- ja ympäristökeskus ja kunnan ympäristönsuojeluviranomainen valvovat, että vesihuoltolaitos täyttää laissa säädetyn yhteistyö- ja suunnitteluvelvollisuutensa häiriötilanteisiin varautumiseksi. Laitoksille ei ole kuitenkaan vesihuoltolaissa säädetty velvollisuutta ilmoittaa viranomaisille jakelun keskeytymisestä tai muista häiriötilanteista. Terveydensuojelulain 4 §:n mukaan sosiaali- ja terveysministeriölle kuuluu terveydensuojelun yleisen suunnittelun ja valvonnan ylin johto ja ohjaus. Sosiaali- ja terveysministeriö vastaa talousveden laatuvaatimuksista ja valvonnasta Suomessa. Terveydensuojelulain mukaan annetulla sosiaali- ja terveysministeriön asetuksella säädetään talousveden laatuvaatimuksista ja valvontatutkimuksista.
Talousveden laatua valvotaan säännöllisesti. Valvonnan tarkoituksena on seurata veden laatua terveydelle haitattoman veden jakelun varmistamiseksi. Jos talousvesi ei täytä sille asetettuja laatuvaatimuksia ja vedestä voi aiheutua haittaa terveydelle, kunnan terveydensuojeluviranomaisen on yhdessä vettä toimittavan laitoksen kanssa selvitettävä, mistä veden laadun häiriö johtuu. Terveydensuojeluviranomaisen on määrättävä veden toimittaja korjaamaan tilanne pikaisesti ja annettava veden käyttäjille ohjeet siitä, miten terveyshaitta voidaan ehkäistä.
Terveydensuojelulainsäädännössä vesihuoltolaitokset on jaoteltu suuriin ja pieniin laitoksiin. Suuria laitoksia ovat ne, jotka toimittavat vettä vähintään 10 kuutiometriä päivässä tai vähintään 50 henkilön tarpeisiin. Kaikkein suurimpien talousvettä toimittavien laitosten – sellaisten, jotka toimittavat vettä vähintään 1000 kuutiometriä päivässä taikka vähintään 5000 käyttäjälle veden laatutiedot toimitetaan Euroopan komissiolle.
Kuntien terveydensuojeluviranomaisten pitää toimittaa tällaisten laitosten valvontatutkimustulokset aluehallintovirastolle. Terveyden ja hyvinvoinnin laitos laatii vuosittain raportin näiden laitosten veden laadusta, ja raportti julkaistaan Sosiaali- ja terveysalan lupa- ja valvontaviraston verkkosivuilla.
Sosiaali- ja terveysalan lupa- ja valvontavirasto ohjaa kuntien terveydensuojeluviranomaisia talousveden laatua ja valvontaa koskevissa asioissa. Lisäksi aluehallintovirasto ohjaa ja valvoo terveydensuojelua toimialueellaan.