7.1
Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta
1 luku Yleiset säännökset
1 §. Soveltamisala.
Pykäläehdotuksen 1 momentin mukaan lailla pantaisiin täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557 kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (
CER direktiivi
). CER-direktiivillä luodaan yhtenäinen kehys kriittisten toimijoiden häiriönsietokyvyn vahvistamiseksi kaikkia uhkatekijöitä vastaan.
Pykäläehdotuksen 2 momentin 1 kohdassa säädettäisiin lain soveltamisalaan kuuluvista toimialoista, joiden piiristä kriittinen toimija tunnistetaan, viittaamalla CER-direktiivin liitteen toimialojen lainsäädäntöjen aloihin ja komission delegoituun asetukseen (EU) 2023/2450 luettelosta keskeisistä palveluista. Lakia sovellettaisiin 1 §:n 2 momentin 1 kohdan mukaan CER-direktiivin liitteen toimialaluokituksen mukaisesti kuuluvilla energian, liikenteen, pankkialan, rahoitusmarkkinoiden infrastruktuurin, terveyden, juomaveden, jäteveden, digitaalisen infrastruktuurin, julkishallinnon, avaruuden sekä elintarvikkeiden tuotannon, jalostuksen ja jakelun lainsäädännön aloilla ja ottaen huomioon Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 täydentämisestä vahvistamalla luettelo keskeisistä palveluista annettu komission delegoitu asetus (EU) 2023/2450. Keskeisten palvelujen luetteloa käytettäisiin myös kansallista riskiarviota laadittaessa. Lakia sovellettaisiin momentin 2 kohdan mukaan myös ohjaukseen ja päätöksentekoon, joka koskisi kriittisten toimijoiden häiriönsietokykyä koskevaa valtakunnallista suunnitelmaa, joka toimisi kriittisten toimijoiden häiriönsietokykyä koskevana kansallisena strategiana (
valtakunnallinen suunnitelma
). Lakia sovellettaisiin myös kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevaan kansalliseen riskiarviointiin ja yhteiskunnan toiminnan kannalta tunnistetun keskeisen toimijan määrittämiseen kriittiseksi toimijaksi (
kriittinen toimija
). Edelleen lakia sovellettaisiin momentin 3 kohdan mukaan tämän lain nojalla määritettyyn kriittiseen toimijaan ja sen velvollisuuksiin häiriönsietokyvyn parantamiseksi, 4 kohdan mukaan kriittisen toimijan valvontaan sekä 5 kohdan mukaan viranomaisten yhteistyöhön.
Pykäläehdotuksen 3 momentissa täsmennettäisiin julkishallintoa. Pykäläehdotuksin 2 momentin 1 kohdassa CER-direktiivin julkishallinnon toimialan toimijaluokalla tarkoitettaisiin tässä laissa viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentin 1 kohdassa säädettyjä viranomaisia. Tämä tarkoittaisi valtion hallintoviranomaisia sekä muita valtion virastoja ja laitoksia. Soveltamisala ei kattaisi julkisuuslain 4 §:ssä säädettyjä muita tahoja kuten tuomioistuimia ja muita lainkäyttöelimiä, valtion liikelaitoksia, hyvinvointialueita ja hyvinvointiyhtymän viranomaisia eikä kunnallisia viranomaisia, Suomen Pankkia, Kansaneläkelaitosta eikä muita itsenäisiä julkisoikeudellisia laitoksia tai muita tahoja kuten eduskunnan virastoja ja laitoksia tai Ahvenanmaan maakunnan viranomaisia niiden huolehtiessa valtakunnan viranomaisille kuuluvista tehtävistä maakunnassa. Valmiuslain 12 §:ssä säädetään valtioneuvoston, valtion hallintoviranomaisten, valtion itsenäisten julkisoikeudellisten laitosten, muiden valtion viranomaisten ja valtion liikelaitosten sekä hyvinvointialueiden ja hyvinvointiyhtymien, kuntien, kuntayhtymien ja muiden kuntien yhteenliittymien varautumisvelvollisuudesta. Näiden tahojen tulee valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa. Varautumisvelvollisuuteen liittyvät valmistelut tukevat myös normaaliolojen ja niiden häiriötilanteiden hallintaa. CER-direktiivin liitteen julkishallinto-toimialan toimijaluokkana on valtionhallintojen julkishallinnon toimijat sellaisina kuin jäsenvaltion on ne määritellyt kansallisen lainsäädännön mukaisesti. Direktiivin määritelmiä koskevassa 2 artiklan 10 kohdassa on määritelty julkishallinnon toimija, mikä on kuvattu edellä tässä esityksessä. Julkishallinnon toimija voi tulla määritetyksi kriittiseksi toimijaksi myös CER-direktiivin liitteen muiden toimialojen toimijaluokkien piiristä.
Pykäläehdotuksen 4 momentissa täsmennettäisiin, mitä 2 momentin 1 kohdassa säädettyä CER-direktiivin liitteessä terveyden toimiala- kohdassa mainitulla terveydenhuollon tarjoajalla tarkoitetaan.
CER-direktiivin liitteessä Terveys-toimialan yksi toimijaluokka on potilasdirektiivin 3 artiklan g alakohdassa määritellyt terveydenhuollon tarjoajat. Potilasdirektiivin mukaan terveydenhuollon tarjoajalla tarkoitetaan luonnollista henkilöä tai oikeushenkilöä tai muuta kokonaisuutta, joka tarjoaa laillisesti terveydenhuoltoa jonkin jäsenvaltion alueella. Potilasdirektiivin 3 artiklan a alakohdan mukaan terveydenhuollolla puolestaan tarkoitetaan terveydenhuollon ammattihenkilön potilaalle antamia terveyspalveluita potilaan terveydentilan arvioimiseksi, ylläpitämiseksi tai palauttamiseksi, mukaan lukien lääkkeiden ja lääkinnällisten laitteiden määrääminen, toimittaminen ja tarjoaminen. Määritelmä kattaa Suomessa julkiset ja yksityiset terveydenhuollon palveluiden järjestäjät ja tuottajat, eli keskeisesti hyvinvointialueet ja yksityiset terveyspalveluyrittäjät. Myös valtion järjestämä terveydenhuolto lähtökohtaisesti kuuluu lain soveltamisalaan.
Momentissa säädettäisiin, että lakia sovellettaisiin sosiaali- ja terveydenhuollon valvonnasta annetun lain (741/2023) 4 §:ssä tarkoitettuja terveydenhuollon palveluita antaviin palvelunjärjestäjiin ja palveluntuottajiin, veripalvelulain mukaisiin veripalvelulaitoksiin (197/2005), apteekkeihin potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetun EU-direktiivin (2011/24/EU) mukaisiin lääkkeitä ja lääkinnällisiä laitteita toimittaviin ja tarjoaviin toimijoihin. Lisäksi lakia sovellettaisiin sosiaali- ja terveydenhuollon valvonnasta annetun lain 4 §:ssä tarkoitettuihin sosiaalipalveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin. Hyvinvointialueisiin lakia sovellettaisiin niiden järjestämän ja tuottaman sosiaali- ja terveydenhuollon osalta poiketen siitä, mitä 3 momentissa säädetään. Sääntelyllä täsmennettäisiin sitä, mitä kansallisesti tarkoitetaan sosiaali- ja terveydenhuollon tarjoajalla ja mistä piiristä kriittinen toimija tunnistettaisiin ja määritettäisiin CER-kriittiseksi erillisellä päätöksellä.CER-direktiivin liitteen Terveys -toimiala kattaa potilasdirektiivin 3 artiklan g alakohdassa määritellyt terveydenhuollon tarjoajat. Potilasdirektiivin mukaan terveydenhuollon tarjoajalla tarkoitetaan luonnollista henkilöä tai oikeushenkilöä tai muuta kokonaisuutta, joka tarjoaa laillisesti terveydenhuoltoa jonkin jäsenvaltion alueella.
Pykälän 4 momentissa ehdotetaan lain soveltamisen selkeyttämiseksi määriteltävän, että terveydenhuollon tarjoajilla tarkoitetaan sosiaali- ja terveydenhuollon valvonnasta annetun lain mukaisia terveyspalveluiden palveluntarjoajia ja palveluntuottajia. Määritelmä kattaisi myös terveydenhuollon laboratoriotoiminnan. Lain soveltamisalaan kuuluisi myös veripalvelutoiminta. Hyvinvointialueiden osalta ehdotetaan selkeyden vuoksi säädettävän, että laki koskee niitä sosiaali- ja terveydenhuollon osalta, sillä sosiaali- ja terveydenhuollon valvonnasta annettu lakia sovelletaan hyvinvointialueisiin sosiaali- ja terveydenhuollon palveluiden osalta.
Pykälän 4 momentissa ehdotetaan säädettävän myös siitä, että CER-lain soveltamisalaan kuuluisivat myös apteekit ja potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetun EU-direktiivin (2011/24/EU) mukaiset lääkkeitä ja lääkinnällisiä laitteita toimittavat ja tarjoavat toimijat sekä lääkkeiden määrääjät.
Potilasdirektiivin määritelmä siltä osin kuin se viittaa lääkkeiden määräämiseen, on jo katettu viittauksella sosiaali- ja terveydenhuollon valvonnasta annettuun lakiin, koska lääkkeen voi määrätä vain lääkäri tai eräissä tilanteissa muu terveydenhuollon ammattihenkilö, eli kyseessä on mainitun lain määritelmään kuuluva toiminta. Suomessa lääkinnällisiä laitteita ei varsinaisesti määrätä reseptillä kuten lääkkeitä. Kansallisesti voidaan kuitenkin terveydenhuollossa luovuttaa potilaalle apuvälineitä, jotka siis pääsääntöisesti ovat lääkinnällisiä laitteita. Täten myös lääkinnällisen laitteen määrääjät sisältyvät sosiaali- ja terveydenhuollon valvonnasta annetun lain terveyspalveluiden palvelunjärjestäjän ja palveluntuottajan määritelmän piiriin.
Koska kansallisesti lääkkeitä toimitetaan pääsääntöisesti apteekeista, ne mainittaisiin erikseen 2 momentin säännöksessä. Avohuollon apteekissa lääke toimitetaan ja sitä tarjotaan asiakkaalle erillään terveydenhuollosta, kuten esimerkiksi lääkärin vastaanotolla annetusta hoidosta. Apteekista voidaan toimittaa myös lääkinnällisiä laitteita. Sairaala-apteekki tai lääkekeskus toimittaa hoidossa käytettävät lääkkeet sairaalan tai terveyskeskuksen henkilökunnalle potilaalle annettaviksi. Hyvinvointialueiden sairaala-apteekkitoiminta ja yksityisten palveluntuottajien lääkekeskukset olisivat lain soveltamisalan piirissä jo sen vuoksi, että apteekkitoiminta on osa toimijan terveyspalveluita.
Pykäläehdotuksella pantaisiin osin täytäntöön CER-direktiivin 1 artikla.
2 §. Soveltamisalan rajaukset.
Pykälän 1 momentin mukaan lakia ei sovellettaisi tasavallan presidentin kansliaan, eduskuntaan, eduskunnan oikeusasiamieheen, valtioneuvoston oikeuskansleriin, Suomen Pankkiin eikä tuomioistuimiin. Direktiivin 2 artiklan 10 kohdassa on määritelty julkishallinnon toimija, mutta sellaiseksi ei direktiivin mukaan katsota oikeuslaitosta, parlamentteja eikä keskuspankkeja. Parlamentilla viitataan kansanedustuslaitoksen toimintaan. Direktiiviä ei 1 artiklan 6 kohdan mukaan sovelleta julkishallinnon elimiin, jotka toimivat kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla mukaan lukien rikosten tutkinta, selvittäminen ja syytteeseenpano. Lakia ei sovellettaisi myöskään viranomaistoimintaan maanpuolustuksen, kansallisen turvallisuuden, yleisen järjestyksen ja turvallisuuden aloilla mukaan lukien rikosten ennalta estäminen, rikosten tutkinta, syyteharkintaan saattamisen toteuttaminen tai syytteeseen pano. Suomessa maanpuolustus, kansalliseen turvallisuuteen liittyvät tehtävät sekä yleiseen järjestykseen ja turvallisuuteen tai syytetoimiin liittyvät tehtävät ovat viranomaisten vastuulla. Näitä viranomaisia ovat puolustusvoimat, Rajavartiolaitos, poliisin hallinnosta annetun lain (110/1992) 1§:n mukaiset poliisiyksiköt sekä Syyttäjälaitos. Poliisiyksiköitä ovat Poliisihallitus, keskusrikospoliisi, Poliisiammattikorkeakoulu, poliisilaitokset sekä suojelupoliisi.
Direktiivin 1 artiklan 7 kohdan mukaan jäsenvaltiot voivat päättää, että direktiivin jäsenvaltioiden välistä yhteistyötä koskevaa 11 artiklaa, direktiivin kriittisten toimijoiden häiriönsietokykyä koskevaa III lukua, Euroopan kannalta erityisen merkittävää kriittistä toimijaa koskevaa IV lukua eikä valvontaa ja täytäntöönpanon valvontaa koskevaa VI lukua ei sovelleta lainkaan tai kaikilta osin sellaisiin kriittisiin toimijoihin, jotka toimivat kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, tai jotka tarjoavat palveluja yksinomaan 6 kohdassa tarkoitetuille julkishallinnon elimille. Pykälän 2 momentissa ehdotetaan, että lain 7 §:n 3 momenttia, 14‒16 §:iä, 5 lukua ja 29 §:ää ei sovellettaisi sellaiseen kriittiseen toimijaan, joka toimii kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen tai lainvalvonnan alalla tai tarjoaa palvelua 1 momentissa tarkoitetulle viranomaiselle. Nämä toimivat keskeisesti maanpuolustuksen, kansallisen turvallisuuden, yleisen järjestyksen ja turvallisuuden taikka rikosten ennalta estämisen tai rikostutkinnan alalla ja syytetoimien toimeenpanossa. Edelleen 2 momentissa ehdotetaan, että edellä mainittu ei koskisi sellaista kriittistä toimijaa, joka tarjoaisi vähäisessä määrin palvelua kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen tai lainvalvonnan alalla. Palvelun vähäisyys arvioidaan kokonaisharkinnan perusteella. Vähäinen palvelu voi olla esimerkiksi tukitoimintaa, mutta se ei voisi olla ydintoiminnan kannalta keskeistä tai kriittistä palvelua.
Pykäläehdotuksen 3 momentin mukaan lain 7 §:n 3 momenttia ja 14-16 §:iä , 5 lukua ja 29 §:ää ei sovellettaisi kriittiseen toimijaan, joka olisi määritetty pankkialan, rahoitusmarkkinoiden infrastruktuurin ja digitaalisen infrastruktuurin toimialoilla. CER-direktiivin 8 artiklan mukaan direktiivin 11 artiklaa ja III, IV ja VI lukua ei sovelleta kriittisiin toimijoihin, jotka on määritetty direktiivin liitetaulukon edellä mainituilla toimialoilla. Jäsenvaltioiden välistä yhteistyötä koskee 11 artikla, direktiivin kriittisten toimijoiden häiriönsietokykyä koskee III luku, Euroopan kannalta erityisen merkittävää kriittistä toimijaa koskee IV luku ja valvontaa ja täytäntöönpanon valvontaa koskee VI luku.
Pykälän 4 momentissa ehdotetaan, että lakia ei sovellettaisi sellaisen tiedon antamiseen, jonka ilmaiseminen tai luovuttaminen vaarantaisi maanpuolustusta, kansallista turvallisuutta tai yleistä järjestystä ja turvallisuutta. Direktiivin velvoitteisiin ei kuulu sellaisten tietojen toimittaminen, joiden ilmaiseminen olisi vastoin keskeisiä kansalliseen turvallisuuteen, yleiseen turvallisuuteen tai puolustukseen liittyviä etuja.
Pykäläehdotuksen 1 momentilla täytäntöön pantaisiin CER-direktiivin 1 artiklan 6 kohta ja osin 2 artiklan 10 kohta, 2 momentilla 1 artiklan 7 kohta ja 3 momentilla 8 artikla. Pykäläehdotuksen 4 momentilla pantaisiin täytäntöön CER-direktiivin 1 artiklan 8 kohta.
3 §. Suhde muuhun lainsäädäntöön.
Pykäläehdotuksen 1 momentin mukaan, jos Euroopan unionin säädöksissä edellytetään alakohtaisesti kriittisten toimijoiden toteuttavan toimenpiteitä häiriönsietokyvyn parantamiseksi ja vaatimukset ovat vähintään tässä laissa säädettyjä velvoitteita vastaavia, kriittiseen toimijaan sovelletaan niitä tämän lain sijasta. Tämä koskisi myös tämän lain valvontaa koskevia säännöksiä, joita ei sovellettaisi. Direktiivin resitaalin (10) mukaan näin voidaan välttää päällekkäisyydet ja tarpeeton rasitus.
Pykäläehdotuksen 2 momentissa selkeytettäisiin toimialarajat ylittävän yleislain suhdetta muihin kriittisen toimijan riskiarviointia ja poikkeamista ilmoittamista koskevaan toimialakohtaiseen erityissääntelyyn. Jos toimialakohtaisissa erityissääntelyä olisi muussa laissa, niitä olisi sovellettava tämän lain vastaavien säännösten sijasta, jos vaatimukset olisivat vaikutuksiltaan vähintään tässä laissa säädettyjä velvoitteita vastaavia. Sektorikohtaisessa sääntelyssä voi olla eri toimialoilla yksityiskohtaisempia velvoitteita.
Pykälän 3 momentissa olisi informatiivinen säännös siitä, että henkilötietojen käsittelystä säädettäisiin luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (
yleinen tietosuoja-asetus
) ja tietosuojalaissa (1050/2018).
Pykälän 4 momentissa säädettäisiin siitä, että tämän lain mukaan määritetyn kriittisen toimijan velvollisuudesta hallita kyberturvallisuuteen liittyviä riskejä säädetään kyberturvallisuuslaissa. NIS 2 –direktiivin 2 artiklan 3 kohdan mukaan NIS 2 -direktiiviä sovelletaan direktiivin (EU) 2022/2557 nojalla kriittisiksi toimijoiksi määritettyihin toimijoihin niiden koosta riippumatta.
Pykäläehdotuksen 1 momentilla täytäntöön pantaisiin CER-direktiivin 1 artiklan 3 kohta. Pykäläehdotuksen 2 momentti liittyy CER-direktiivin 1 artiklan 9 kohtaan, jonka mukaan direktiivi ei vaikuta henkilötietojen suojaa koskevan unionin lainsäädännön eikä etenkään Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679(28) ja Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY(29) soveltamiseen.
4 §. Määritelmät.
Pykälässä säädettäisiin laissa käytetyistä määritelmistä. Määritelmät vastaisivat pääosin CER-direktiivin määritelmiä.
Pykälän 1 kohdassa säädettäisiin häiriönsietokyvyn määritelmästä CER-direktiivin 2 artiklan 2 kohtaa vastaavasti. Häiriönsietokyvyllä tarkoitettaisiin kriittisen toimijan kykyä ehkäistä, torjua ja lieventää poikkeamia, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida ja sopeutua niihin sekä palautua niistä.
Pykälän 2 kohdassa säädettäisiin keskeisen palvelun määritelmästä CER-direktiivin 2 artiklan 5 kohtaa vastaavasti. Keskeinen palvelu tarkoittaisi palvelua, joka olisi olennainen välttämättömien yhteiskunnan toimintojen, taloudellisen toiminnan, kansanterveyden, yleisen turvallisuuden tai ympäristön ylläpitämiseksi.
Pykälän 3 kohdassa kriittisellä infrastruktuurilla tarkoitettaisiin hyödykettä, tilaa, laitteistoa, verkostoa tai järjestelmää tai osaa hyödykkeestä, tilasta, laitteistosta, verkostosta tai järjestelmästä, joka olisi välttämätön keskeisen palvelun tarjoamiseksi. Tämä vastaisi CER-direktiivin 2 artiklan 4 kohtaa.
Pykälän 4 kohdassa määriteltäisiin poikkeama CER-direktiivin 2 artiklan 3 kohtaa vastaavasti. Poikkeamalla tarkoitettaisiin tapahtumaa, joka voisi merkittävästi häiritä tai joka häiritsisi keskeisen palvelun tarjoamista, myös silloin, kun se vaikuttaisi kansallisiin järjestelmiin, joilla ylläpidetään oikeusvaltiota. Poikkeamalla voisi olla merkittävää vaikutusta myös keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle tai useammalle Euroopan unionin jäsenvaltiolle tai vähintään kuudessa tai useammassa jäsenvaltiossa. Poikkeama olisi omiaan aiheuttamaan keskeiselle palvelulle välittömiä ja välillisiä vaikutuksia Suomessa ja myös Suomen alueen ulkopuolella riippuen esimerkiksi poikkeaman alkamisajankohdasta ja kestosta.
Pykälän 5 kohdassa säädettäisiin riskin määritelmästä CER-direktiivin 2 artiklan 6 kohtaa vastaavasti. Riskillä tarkoitettaisiin poikkeaman aiheuttaman menetyksen tai häiriön mahdollisuutta, joka ilmaistaisiin tällaisen menetyksen tai häiriön suuruuden ja kyseisen poikkeaman toteutumisen todennäköisyyden yhdistelmänä.
Pykälän 6 kohdassa säädettäisiin riskiarvioinnin määritelmästä CER-direktiivin 2 artiklan 7 kohtaa vastaavasti. Riskiarvioinnilla tarkoitettaisiin kokonaisprosessia, jonka avulla määritettäisiin riskin luonne ja laajuus tunnistamalla ja analysoimalla sellaiset mahdolliset asiaankuuluvat uhat, heikkoudet ja vaarat, jotka voisivat johtaa poikkeamaan, ja arvioitaisiin mahdollinen kyseisen poikkeaman aiheuttama keskeisen palvelun tarjonnan menetys tai häiriytyminen.
2 luku Yleinen ohjaus ja kehittäminen
5 §. Kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma.
Pykälän 1 momentin mukaan valtioneuvosto hyväksyisi valtakunnallisen suunnitelman kriittisten toimijoiden häiriönsietokyvyn parantamiseksi ja toiminnan yleisten tavoitteiden saavuttamiseksi vähintään neljän vuoden välein. Suunnitelma olisi CER-direktiivin 4 artiklan mukainen kriittisten toimijoiden häiriönsietokykyä koskeva strategia ja kattaisi direktiivin strategiavelvoitteet, joita ei ole muissa kansallisissa strategia-asiakirjoissa huomioitu. Valtioneuvostolla tarkoitettaisiin valtioneuvoston yleisistuntoa. Valtioneuvoston ohjesäännön (262/2003) 3 §:ssä säädetään valtioneuvoston yleisistunnossa ratkaistavista yleisistä asioista. Valtioneuvoston yleisistunto käsittelee ja ratkaisee lakisääteiset valtakunnalliset suunnitelmat. Valtakunnallisen suunnitelman valmistelussa kuultaisiin ministeriötä, viranomaisia ja muita sidosryhmiä ja mahdollisuuksien mukaan menettelyt olisivat julkisia. Suunnitelmassa esitettäisiin tavoitteet ja poliittiset toimenpiteet, jotka perustuisivat olemassa oleviin asiaankuuluviin strategioihin, suunnitelmiin tai muihin vastaavan kaltaisiin asiakirjoihin, jotka koskevat kriittisten toimijoiden häiriönsietokykyä.
Pykälän 2 momentin mukaan, jos vastaavan kaltaista tarkoitusta varten on annettu valtioneuvoston periaate- tai muu päätös, ne otettaisiin huomioon valtakunnallisen suunnitelman valmistelussa. Tällainen muu päätös voisi koskea esimerkiksi hallitusohjelmaan kirjattua kansallisen turvallisuuden strategiaa. Direktiivin lähtökohtana on, että johdonmukaisuuden ja tehokkuuden vuoksi kansallinen strategia olisi laadittava niin, että siihen sisällytettäisiin olemassa olevat politiikat, ja että se perustuisi mahdollisuuksien mukaan asiaankuuluviin jo laadittuihin kansallisiin ja alakohtaisiin strategioihin. Johdonmukaisen lähestymistavan saavuttamiseksi olisi myös varmistettava, että strategiat sisältäisivät kehyksen CER- direktiivin mukaisten toimivaltaisten viranomaisten ja NIS 2- direktiivin mukaisten toimivaltaisten viranomaisten välisen koordinoinnin tehostamiselle. Strategian laadinnassa olisi otettava huomioon kriittisiin toimijoihin kohdistuvien uhkien hybridiluonne.
Pykälän 3 momentti sisältäisi asiat, jotka olisi direktiivin mukaan vähintään sisällytettävä kansalliseen strategiaan, joka annettaisiin valtakunnallisena suunnitelmana. Näitä olisivat momentin 1 kohdan mukaan strategiset tavoitteet ja painopisteet kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseksi. Tällöin olisi otettava huomioon rajat ylittävät ja eri toimialojen riippuvuudet ja keskinäiset riippuvuussuhteet. Momentin toisen kohdan mukaan strategiaan sisällytettäisiin ohjauskehys strategisten tavoitteiden ja painopisteiden saavuttamiseksi. Kolmas kohta kattaisi kuvauksen kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseen tarvittavista toimenpiteistä mukaan lukien kuvaus lakiesityksen 6 §:ssä tarkoitetusta, CER- direktiivin 5 artiklassa tarkoitetusta jäsenvaltion riskiarvioinnista eli kansallisesta riskiarvioinnista. Edelleen 4 kohdan mukaan strategiaan sisällytettäisiin kuvaus kriittisten toimijoiden määrittämisprosessista ja 5 kohdan mukaan kuvaukset toimijoita koskevasta tukiprosessista ja toimenpiteistä julkisten ja yksityisten toimijoiden välisen yhteistyön tehostamisesta. Momentin 6 kohdassa säädettäisiin strategiaan sisällytettäväksi luettelo tärkeimmistä strategian täytäntöönpanoon osallistuvista viranomaisista ja sidosryhmistä. Näitä ei olisi määritelty kriittisiksi toimijoiksi. Momentin 7 kohdassa säädettäisiin strategiaan sisällytettäväksi toimintapuitteet CER ja NIS2- direktiivien toimivaltaisten viranomaisten väliselle koordinoinnille kyberturvallisuusriskejä, kyberuhkia ja kyberturvallisuuspoikkeamia koskevaa tiedonvaihtoa ja valvontatehtävää varten. Kohta 8 sisältäisi kuvaukset käytössä olevista toimenpiteistä, jotka helpottaisivat komission suosituksessa 2003/361/EY tarkoitettujen kriittisiksi toimijoiksi määritettyjen pienten ja keskisuurten yritysten häiriönsietokykyä koskevien velvoitteiden täytäntöönpanoa. Komissio on antanut 6.5.2003 suosituksen 2003/361/EY mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin 4 artiklan 1 kohta pääosin ja 2 kohta.
6 §. Kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarviointi.
Pykälän 1 momentin mukaan valtioneuvosto hyväksyisi kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin vähintään neljän vuoden välein. Valtioneuvostolla tarkoitettaisiin valtioneuvoston yleisistuntoa. Kriittisten toimijoiden määrittäminen ja niiden häiriönsietokyvyn turvaamisen tuki perustuisi riskiperusteiseen lähestymistapaan, ja kansallista riskiarviointia olisi hyödynnettävä sen vahvistamisen jälkeen kriittisten toimijoiden määrittämisessä. Riskiperusteisessa lähestymistavassa toimet kohdennettaisiin toimijoille, joiden merkitys välttämättömille yhteiskunnan toiminnoille tai taloudelliselle toiminnalle olisi suurin.
Pykälän 2 momentin mukaan riskiarvioinnissa käsiteltäisiin merkityksellisiä luonnonriskejä, ihmisen aiheuttamia riskejä, useita toimialoja koskevia tai rajat ylittäviä riskejä, onnettomuuksia ja luonnonkatastrofeja, kansanterveydellisiä uhkia, hybridiuhkia ja vieraan valtion toimintaa (valtiollista vaikuttamista), terrorismirikoksiin liittyviä uhkia, teknologiaan liittyviä kansallisen turvallisuuden uhkia ja paikkatiedon väärinkäytön uhkaa sekä muita uhkia. Terrorismirikoksilla tarkoitetaan Euroopan parlamentin ja neuvoston direktiivissä (EU) 2017/541 tarkoitettuja rikoksia. Teknologiaan liittyy kansallisen turvallisuuden uhkia ja teknologiaa liittyviä asioita on suojattava. Kansallisesti on tunnistettu paikkatiedon väärinkäyttö yhdeksi merkitykselliseksi riskiksi, sillä paikkaan sidottu tieto on tietoyhteiskunnan toiminnan kannalta kriittinen elementti, ja paikkatietoon yhdistyy myös muita tärkeitä kohdetietoja. Paikkatieto muodostaa kokonaiskuvan yhteiskuntien toiminnollisuuksista ja niiden sijainneista. Direktiivi edellyttää, että riskiarvioinnissa otetaan huomioon vihamieliset uhat.
Pykälän 3 momentissa säädettäisiin riskiarvioinnissa huomioon otettavista neljästä vähimmäisvaatimuksesta. Ensimmäisen kohdan mukaan huomioon olisi otettava päätöksen N:o 1313/2013/EU 6 artiklan 1 kohdan mukainen riskiarviointi. Tällä tarkoitetaan Euroopan parlamentin ja neuvoston päätöstä N:o 1313/2013/EU unionin pelastuspalvelumekanismin riskinhallintaa koskevaa 6 artiklaa, joka liittyy katastrofien ennaltaehkäisyyn ja niihin varautumiseen sekä muiden kuin arkaluonteisten tietojen jakamiseen. Päätöksen perusteella on annettu Kansallinen riskiarvio vuonna 2023. Kansallisen riskiarvion laatimisen rinnalla laaditaan erikseen myös alueelliset riskiarviot. Pykälän 3 momentin toisen kohdan mukaan huomioon olisi otettava muut merkitykselliset riskiarvioinnit, jotka tehdään unionin säädösten vaatimusten mukaisesti. Euroopan parlamentti ja neuvosto on antanut muun muassa kaasu- ja sähköalaa koskevat asetukset (EU) 2017/1938 (33) ja (EU) 2019/941 (34) sekä tulvariskejä ja vaarallisista aineista johtuvien suuronnettomuusvaarojen torjuntaa koskevat Euroopan parlamentin ja neuvoston direktiivit 2007/60/EY (35) ja 2012/18/EU. Kolmas kohta koskisi riskejä, jotka johtuisivat CER-direktiivin liitteen toimialojen keskinäisriippuvuuksista ja rajat ylittävistä riippuvuuksista, jotka liittyvät muihin unionin jäsenvaltioihin tai kolmansiin maihin ja niissä toimiviin toimijoihin. Tarvittaessa olisi tehtävä yhteistyötä muiden jäsenvaltioiden ja kolmansien maiden toimivaltaisten viranomaisten kanssa. Viimeisen neljännen kohdan mukaan huomioon olisi otettava tämän lain 16 ja 17 §:n mukaiset ilmoitettuja poikkeamia koskevat tiedot. Lain 16 §:ssä säädettäisiin kriittisen toimijan ilmoitusvelvollisuudesta valvovalle viranomaiselle ja Valtioneuvoston tilannekeskukselle ja 17 §:ssä ensi-ilmoituksen ja yksityiskohtaisen raportin sisällöstä.
Ehdotuksella pantaisiin täytäntöön CER-direktiivin jäsenvaltioiden suorittamaa riskiarviointia koskeva 5 artiklan 2 kohta ja osin 1 kohta.
7 §.Yhteensovittamistehtävää hoitava ministeriö
. Sisäministeriö nimettäisiin pykäläehdotuksessa yhteensovittamistehtävää hoitavaksi ministeriöksi. Pykäläehdotuksen 1 momentin mukaan yhteensovittamistehtävää hoitavan ministeriön tehtävään kuuluisi tämän lain mukaisen toiminnan yleinen ohjaus, seuranta, yhteensovittaminen ja kehittäminen. Pykäläehdotuksen 2 momentin nojalla yhteensovittamistehtävää hoitava ministeriö ilmoittaisi myös direktiivin tarkoittaman kansallisen yhteyspisteen komissiolle. Yhteensovittamistehtävää hoitava ministeriö vastaisi kokonaisuuden näkökulmasta direktiivin 9 artiklan 1 kohdan mukaisesti direktiivin säännösten asianmukaisesta soveltamisesta ja kansallisesta toimeenpanosta. Pykäläehdotuksen 1 momentin yleisellä ohjauksella ja seurannalla tarkoitettaisiin yhteensovittamistehtävää hoitavan ministeriön lainsäädännöllistä ja toiminnallista ohjausta sekä kokonaisuuden seurantaa ja hallintaa. Vastuu kokonaisuuden seurannasta ja hallinnasta olisi yhteensovittamistehtävää hoitavan ministeriön tehtävänä ja muut ministeriöt vastaisivat toimialoistaan yleisen ohjauksen puitteissa. Käytännössä yhteensovittamistehtävää hoitava ministeriö käsittelisi yhteiskunnan kriittisen infrastruktuurin suojaamiseen ja häiriönsietokyvyn parantamiseen liittyviä asioita yhteistyössä toimialoistaan vastaavien valtioneuvoston ministeriöiden ja viranomaisten sekä muiden relevanttien tahojen, kuten Huoltovarmuuskeskuksen kanssa. Yhteensovittamistehtävää hoitava ministeriö voisi tarvittaessa perustaa yhteistyöryhmän yhteistyön toteuttamiseksi. Ryhmässä voitaisiin käsitellä asiakokonaisuuksia, jotka koskisivat kriittisten toimijoiden riskiperusteista määrittämistä ja muita lainsäädännön soveltamiseen liittyviä kysymyksiä johdonmukaisen lähestymistavan ja ratkaisukäytännön tai muiden toimenpiteiden varmistamiseksi. Tärkeää olisi käsitellä myös kriittisille toimijoille annettavia tukitoimia. Yhteensovittamistehtävää hoitava ministeriö ohjaisi CER-toiminnan yleisen ohjauksen ja siitä seuraavan kokonaisvastuun kannalta osaltaan yhteyspistetoimintaa.
Pykälän 3 momentissa säädettäisiin eritellymmin tehtävistä, joihin liittyy julkisen vallan käyttöä ja perustuslain 124 §:ssä tarkoitettuja julkisia hallintotehtäviä. Keskeisiä tehtäviä olisivat kriittisten toimijoiden häiriönsietokykyä koskevan valtakunnallisen suunnitelman, ja kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin valmistelusta vastaaminen ja valmistelun yhteensovittaminen muiden tahojen kuten sektoriministeriöiden ja asianomaisten viranomaisten kanssa. Kansallisen riskiarvioinnin valmistelussa ja yhteensovittamisessa olisi otettava huomioon muiden säännösten alaan kuuluvat riskiarviot kuten esimerkiksi sähköisen viestinnän palveluista annetun lain (917/2014) 244 a §, jossa säädetään viestintäverkon kriittisissä osissa käytettävistä laitteista ja verkkoturvallisuuden neuvottelukunnan tehtävät, joista säädetään sähköisen viestinnän palveluista annetun lain 244 b §:ssä. Verkkoturvallisuuden neuvottelukunta arvioi kokonaisvaltaisesti kansallisen turvallisuuden toteutumista viestintäverkoissa. Kansallisen riskiarvioinnin valmistelussa otettaisiin huomioon muiden tahojen lisäksi Huoltovarmuuskeskuksen näkemykset yritysrajapinnan kohdalla, ja ottaen huomioon, että Huoltovarmuuskeskuksen tehtäviin ei kuitenkaan kuulu edustaa yrityksiä. Huoltovarmuuskeskus osallistuu yritysten varautumisen kehittämiseen riskilähtöisesti ja kykenee tukemaan yrityksiä oman toimialan kannalta relevanttien riskien tunnistamisessa. Huoltovarmuuskeskus toimii hallinnon yritysrajapintana ja Huoltovarmuuskeskuksen rakenteissa on luotu hallinnon ja elinkeinoelämän yhteistyöfoorumit.
CER- direktiivin mukaisten tehtävien kansallinen toteuttaminen edellyttää tiivistä yhteistyötä ministeriöiden kesken. Ministeriöt tekevät yhteistyötä valmistelevasti asioissa, jotka koskevat CER-toiminnan kansallisia järjestelyjä ja toiminnallisuuksia sekä niitä koskevia linjauksia. Ministeriöt kehittävät huoltovarmuutta omalla toimialallaan. Huoltovarmuuden kehittäminen ja varautumistoimien yhteensovittaminen kuuluvat työ- ja elinkeinoministeriölle. Työ- ja elinkeinoministeriö vastaa Huoltovarmuuskeskuksen tulosohjauksesta valtioneuvostossa. CER- direktiivin mukainen toiminta ja huoltovarmuustoiminta ovat toisiaan täydentäviä.
Momentin kohtien 3 ja 4 nojalla tietyt CER-direktiivin 18 artiklaan perustuvat ja komission neuvontaoperaatioihin liittyvät tehtävät kuuluisivat myös yhteensovittamistehtävää hoitavalle ministeriölle, vaikka ovat direktiivissä luonteeltaan osin teknisiä. Momentin kohdan 5 mukaan yhteensovittamistehtävää hoitavan ministeriön tehtävään kuuluisi toimittaa komissiolle sen tai Euroopan unionin jäsenvaltion perustellusta pyynnöstä kriittisen toimijan riskiarvioinnin olennaiset osat ja luettelo kriittisen toimijan toteuttamista 15 §:ssä säädetyistä olennaisista toimenpiteistä. Lain 15 §:ssä säädettäisiin kriittisen toimijan riskiarviointiin perustuvista toimenpiteistä ja häiriönsietokyvyn varmistamiseksi laadittavasta suunnitelmasta. Kohta 5 tarkoittaisi CER-direktiivin 18 artiklan 3 kohdassa tarkoitettuja tietoja.
Momentin kohdan 6 nojalla olisi toimitettava tietoja komissiolle kriittisten toimijoiden häiriönsietokykyä koskevasta valtakunnallisesta suunnitelmasta eli kansallisesta strategiasta. Direktiivin 4 artiklan 3 kohta edellyttää jäsenvaltion toimittavan kansallisen strategiansa ja niiden merkittävät päivitykset komissiolle. Lähtökohtana on, että strategian päivitys on aina merkittävää ja päivitetty strategia toimitetaan komissiolle. Kohtien 7 ja 8 nojalla olisi toimitettava tieto kriittisten toimijoiden lukumäärästä sekä luettelo direktiivin 7 artiklan 2 kohdan a alakohdassa tarkoitetuista keskeisistä palveluista. Viimeksi mainittu luettelo sisältäisi muita kuin komission delegoidussa asetuksessa tarkoitettuja keskeisiä palveluja, jota koskeva sääntely ei ole tyhjentävää.
Pykälän 4 momentissa säädettäisiin toimista, jotka liittyvät CER-direktiivin johdonmukaisen soveltamisen varmistamiseen. Ehdotus liittyy yhtäältä kriittisten toimijoiden hallinnollisen rasituksen vähentämistavoitteeseen ja toisaalta kriittisen toimijan häiriönsietokyvyn parantamiseen. Yhteensovittamistehtävää hoitava ministeriö voi tarvittaessa kuulla unionin jäsenvaltioita kriittisistä toimijoista, mutta pykäläehdotuksen 3 momentissa velvoitettaisiin kuulemiseen tietyissä tapauksissa. Tällöin yhteensovittamistehtävää hoitavan ministeriön olisi kuultava Euroopan unionin jäsenvaltioita sellaisten kriittisten toimijoiden osalta, jotka
käyttävät kriittistä infrastruktuuria, jolla on fyysinen yhteys kahden tai useamman jäsenvaltion välillä;
ovat osa yhtiörakenteita, jotka liittyvät tai ovat yhteydessä muiden jäsenvaltioiden kriittisiin toimijoihin;
on määritetty kriittisiksi toimijoiksi yhdessä Euroopan unionin jäsenvaltiossa, ja jotka tarjoavat keskeisiä palveluja toisiin jäsenvaltioihin tai toisissa jäsenvaltioissa.
Yhteensovittamistehtävää hoitava ministeriö vastaa CER-direktiivin edellyttämien hallinnollisten ilmoitusten tekemisestä komissiolle kuten siitä ilmoituksesta, mikä taho hoitaa keskitetty yhteyspiste -tehtäviä.
Lisäksi valtioneuvostosta annetun lain (175/2003) 2 §:n 1 momentin nojalla annetuissa säännöksissä säädettäisiin jatkossa säännönmukaiseen tapaan ministeriöstä, jonka toimialaan yhteensovittamistehtävä kuuluisi.
Ehdotuksella pantaisiin täytäntöön CER-direktiivin 4 artiklan 3 kohta, 7 artiklan 2 kohdan a ja b alakohdat, 9 artiklan 1 kohta, osin 13 artiklan 4 kohta, 18 artiklan 1, 2 ja 3 kohta, sekä 11 artikla.
8 §.Kriittisen infrastruktuurin häiriönsietokykyä edistävät toimet.
CER-direktiivin toimeenpano edistää kriittisen infrastruktuurin häiriönsietokykyä ja kansallinen huoltovarmuustoiminta on komplementaarista sen kanssa. Yhteensovittavan ministeriön, sektoriministeriöiden sekä valvovien viranomaisten olisi tarkoituksenmukaista edistää yleisesti kriittisten toimijoiden häiriönsietokykyyn liittyviä kokonaisuuksia yhteistyössä Huoltovarmuuskeskuksen kanssa. Yhteistyötä tehdään myös turvallisuusviranomaisten kanssa. Edistämistehtäviin kuuluisivat strategioiden analysointi niihin liittyvien parhaiden käytäntöjen määrittämiseksi, sellaisten parhaiden käytäntöjen vaihtaminen, jotka liittyvät lakiehdotuksen 10 §:n eli direktiivin 6 artiklan 1 kohdan tarkoitettuun kriittisten toimijoiden määrittämiseen, tietojen ja parhaiden käytäntöjen vaihtaminen kriittisten toimijoiden häiriönsietokykyä koskevan innovoinnin, tutkimuksen ja kehityksen osalta sekä tarvittaessa tietojen vaihtaminen kriittisten toimijoiden häiriönsietokykyä koskevista kysymyksistä asiaankuuluvien unionin toimielinten, elinten ja laitosten kanssa. Edelleen valvovan viranomaisen tehtäviin kuuluisi CER-direktiivin 10 artiklan 1 kohdassa tarkoitetun tuen antaminen kriittiselle toimijalle. Tukea annettaisiin yhteistyössä Huoltovarmuuskeskuksen kanssa. Tässä tarkoituksessa voitaisiin laatia ohjemateriaalia, menetelmiä ja tukea häiriönsietokykyä testaavien harjoitusten järjestämisessä sekä antaa neuvontaa ja koulutusta. Direktiivin asianomaisen kohdan mukaan jäsenvaltion on tuettava kriittisiä toimijoita ja tukeen voi kuulua ohjemateriaalin ja menetelmien laatiminen, tuki harjoitusten järjestämisessä sekä neuvontaa ja koulutusta; myös rahoituksen myöntäminen on mahdollista. Direktiivin resitaalin mukaan mahdollisesti annettava tuki ei kuitenkaan vähentäisi kriittisen toimijan vastuuta velvoitteiden noudattamisen suhteen. Tuki voisi erityisesti kattaa ohjemateriaaleja ja menetelmiä, häiriönsietokykytestien järjestämistä sekä neuvontaa ja koulutusta. Rahoituksen myöntäminen määrärahojen puitteissa voisi olla mahdollista, jos se olisi perusteltua yleisen edun mukaisten tavoitteiden kannalta ja edistäisi kriittisten toimijoiden välistä vapaaehtoista tietojen ja hyvien käytäntöjen vaihtoa, kuitenkaan rajoittamatta Euroopan unionin toiminnasta tehdyssä sopimuksessa (SEUT) vahvistettujen kilpailusääntöjen soveltamista.
Ehdotuksella pantaisiin täytäntöön CER-direktiivin 10 artiklan 1 kohta sekä sillä on liityntä 19 artiklan 3 kohdan alakotiin b, c, i ja j.
9 §.Poikkeamailmoitusten välittäminen ja yhteenvetokertomus.
Pykäläehdotuksen mukaisia tehtäviä hoitaisi valtioneuvoston tilannekeskuksesta annetussa laissa (300/2017) tarkoitettu valtioneuvoston tilannekeskus.
Pykälän 1 momentin 1 kohdan mukaan tehtävänä olisi välittää asianomaisen viranomaisen laatima poikkeamailmoitus komissiolle, jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle tai useammalle Euroopan unionin jäsenvaltiolle tai vähintään kuudessa tai useammassa jäsenvaltiossa. Ilmoitus olisi käytännössä lyhyt tiedonanto ja luonteeltaan ensimmäinen ilmoitus tilanteesta. Rajat ylittävissä tilanteissa hyödynnettäisiin jo olemassa olevia kansallisia järjestelyjä. Valtioneuvoston tilannekeskus toimii valtioneuvoston tilannekeskuksesta annetun lain mukaisesti ympärivuorokautisesti ja on muun muassa komission CECIS-järjestelmän (Common Emergency Communication and Information System) yhteyspiste. Tilanneskus toimii myös Euroopan unionin kriisitoiminnan IPCR-järjestelmän (Integrated political crisis response) kansallisena yhteyspisteenä. Ministeriöissä ja viranomaisissa on erilaisia varallaolo- tai päivystysjärjestelmiä. Kriittinen toimija, joka tarjoaa keskeisiä palveluja vähintään kuudelle jäsenvaltiolle tai kuudessa jäsenvaltiossa, voi hyötyä erityisestä tuesta unionin tasolla. Ehdotetun pykälän mukaiseen poikkeamailmoitukseen voi liittyä ulko- ja turvallisuuspoliittisia ulottuvuuksia, jolloin ilmoituksen valmistelu käsitellään valtioneuvostossa. Direktiivin 15 artiklan mukaan toimivaltaisten viranomaisten on ilmoitettava komissiolle poikkeamasta, jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle tai useammalle jäsenvaltiolle tai vähintään kuudessa tai useammassa jäsenvaltiossa.
Pykälän 1 momentin 2 kohdan mukaan valtioneuvoston tilannekeskuksen tehtävänä olisi välittää asianomaisen viranomaisen tieto poikkeamasta muiden asiaan liittyvien unionin jäsenmaiden ilmoitetuille keskitetyille yhteyspisteille, jos poikkeamalla on tai voi olla merkittävää vaikutusta kriittisiin toimijoihin ja keskeisten palveluiden tarjonnan jatkuvuuteen yhdelle tai useammalle muulle Euroopan unionin jäsenvaltiolle tai yhdessä tai useammassa muussa jäsenvaltiossa. Komissio julkaisee CER-direktiivin mukaan listan jäsenmaiden ilmoittamista keskitetyistä yhteyspisteistä.
Pykälän 1 momentin 3 kohdan mukaan tehtävänä olisi vastaanottaa poikkeamailmoitus unionin jäsenmaiden ilmoitetuilta keskitetyiltä yhteyspisteiltä ja välittää sen asianomaiselle ministeriölle. Edelleen tehtävänä olisi 1 momentin 4 kohdan mukaan toimittaa kahden vuoden välein 7 §:ssä tarkoitetun ministeriön kokoama yhteenvetokertomus poikkeamailmoituksista, niiden lukumäärästä ja luonteesta Euroopan unionin komissiolle ja CER-direktiivin 19 artiklassa tarkoitetulle kriittisten toimijoiden häiriönsietokykyä käsittelevälle ryhmälle (CERG). Ministeriöt, valvovat viranomaiset ja Huoltovarmuuskeskus osallistuisivat yhteenvetokertomuksen valmisteluun. CERG ryhmän puheenjohtaja on komissiosta.
Pykäläehdotuksen 1 momentin 1 kohdalla pantaisiin täytäntöön osin CER-direktiivin 15 artiklan 1 kohta ja 2 kohdalla 15 artiklan 3 kohta. Direktiivin 15 artiklan 3 kohdan nojalla asianomainen toimivaltainen viranomainen ilmoittaa keskitetyn yhteyspisteen kautta muiden jäsenvaltioiden keskitettyyn yhteyspisteeseen, onko poikkeamalla tai voisiko sillä olla merkittävää vaikutusta kriittisiin toimijoihin ja keskeisten palvelujen jatkuvuuteen yhdelle tai useammalle muulle jäsenvaltiolle tai yhdessä tai useammassa muussa jäsenvaltiossa.
3 luku Kriittisten toimijoiden määrittäminen ja toimijoita koskevat yleiset vaatimukset
10 §. Kriittisen toimijan määrittäminen.
Kriittisillä toimijoilla on keskeisten palvelujen tarjoajina korvaamaton rooli yhteiskunnalle välttämättömien toimintojen tai sisämarkkinoilla tapahtuvan taloudellisen toiminnan ylläpitämisen kannalta unionin taloudessa, jossa keskinäiset riippuvuussuhteet lisääntyvät jatkuvasti. CER-direktiivin resitaalissa (8) todetaan, että korkeatasoisen häiriönsietokyvyn saavuttamiseksi jäsenvaltioiden olisi määritettävä kriittiset toimijat, joihin kohdistetaan erityisiä vaatimuksia ja valvontaa, ja joille tarjotaan erityistä tukea ja ohjeistusta kaikkien merkittävien riskien varalta. Pykälässä säädettäisiin kriittisen toimijan määrittämisestä. Kriittisen toimijan tunnistamisella ja määrittämisellä on keskeinen merkitys, koska lain säännöksiä sovellettaisiin niihin toimijoihin, jotka viranomaisen eli asianomaisen ministeriön päätöksellä määriteltäisiin kriittisiksi toimijoiksi. Toimijaksi voidaan tunnistaa esimerkiksi yrityksen toiminnallinen osa, jos liiketoimintaa harjoitetaan konsernirakenteessa. Vesihuoltosektorilla on kunnallisia toimijoita, jolloin kysymys saattaa olla kunnan kuntalain perusteella perustamasta liikelaitoksesta, joka toimii kunnan osana. Riskiperusteisen lähestymistavan johdosta kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevaa kansallista riskiarviointia hyödynnettäisiin kriittisten toimijoiden määrittämisessä. Toimijoihin kohdistettaisiin vaatimuksia ja valvontaa, toisaalta tarjottaisiin tukea ja ohjeistusta merkittävien riskien varalta. Direktiivin resitaalin 8 kohdan mukaan korkeatasoisen häiriönsietokyvyn saavuttamiseksi jäsenvaltioiden olisi määritettävä kriittiset toimijat, joihin kohdistetaan erityisiä vaatimuksia ja valvontaa, ja joille tarjotaan erityistä tukea ja ohjeistusta kaikkien merkittävien riskien varalta.
Pykälän 1 momentin ensimmäisen kohdan mukaan määritykseen sovellettava peruste olisi se, että toimija tarjoaa yhtä tai useampaa yhteiskunnan toimintakyvyn kannalta keskeistä palvelua. Momentin toisen kohdan mukaan perusteena olisi se, että toimija toimii ja sen omistama, hallinnassa oleva tai toiminnassaan käyttämä kriittinen infrastruktuuri sijaitsisi Suomen alueella. Kohdan 3 mukainen peruste olisi se, että poikkeamalla olisi 11 ja 12 §:ssä tarkoitettuja merkittäviä haitallisia vaikutuksia toimijan yhden tai useamman kyseisen keskeisen palvelun tarjoamiseen tai muiden keskeisten palvelujen tarjoamiseen palvelusta riippuvaisilla toimialoilla.
Pykälän 2 momentissa säädettäisiin siitä, että kriittisen toimijan määrittämisessä otettaisiin huomioon Euroopan tasolla yhteismitallinen, tässä laissa tarkoitettu kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma, joka sisältäisi strategiset linjaukset, sen toimeenpanoa ohjaavat asiakirjat sekä kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio. Yhteismitallisuudella tarkoitettaisiin määrityksien ja käytänteiden yhteneväisyyttä eurooppalaisella tasolla, mikä parantaisi muun muassa tiedon vertailtavuutta ja rajat ylittävien kriittisten infrastruktuurien yhteismitallista valvontaa.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin 6 artiklan 2 kohta.
11 §
.
Merkittävä haitallinen vaikutus.
Pykälässä ehdotetaan säädettäväksi CER-direktiivin toimialoille yhteisistä perusteista, joita otettaisiin huomioon merkittävää haitallista vaikutusta arvioitaessa. Kriteerit liittyisivät 1 kohdan nojalla yhteiskunnan toimintakyvyn kannalta keskeisestä palvelusta riippuvaisten käyttäjien lukumäärään ja 2 kohdan mukaan muiden toimialojen riippuvaisuuteen asianomaisesta palvelusta. Momentin kohdassa 3 otettaisiin huomioon poikkeaman vaikutukset yhteiskunnan ja talouden toimintoihin, ympäristöön, yleiseen järjestykseen ja turvallisuuteen tai väestön terveyteen. Käytännössä vaikutusta voisi olla myös kansalliseen turvallisuuteen. Kohta 4 koskisi markkinaosuutta ja kohta 5 alueellisia vaikutuksia. Kohta 6 liittyisi toimijan merkityksellisyyteen palvelun riittävän tason ylläpitämisessä ottaen huomioon vaihtoehtoisten palvelujen saatavuus tai keskeisen palvelun korvattavuus.
Pykäläehdotuksella pantaisiin täytäntöön osin CER-direktiivin 7 artiklan 1 kohta.
12 §.Merkittävä haitallinen vaikutus ja toimiala.
Pykäläehdotus täsmentäisi lakiehdotuksen 11 §:ää. Pykälässä säädettäisiin 11 §:ssä säädetyn merkittävän haitallisen vaikutuksen merkityksen arvioinnista. Tällöin otettaisiin huomioon yhteiskunnan toimintakyvyn kannalta merkittävät erityistehtävät, joita voi liittyä esimerkiksi toimijan asemaan CER-direktiivin mukaisten toimijoiden välisessä alihankinta- tai toimitusketjussa tai merkitykseen huoltovarmuuskriittisessä toiminnossa. Lisäksi otettaisiin huomioon muita toimialoja kuin finanssitoimialaa ja terveystoimialaa koskevia toimialakohtaisia perusteita.
Pykäläehdotuksen kohdan 1 mukaan energiatoimialalla perusteena olisi vastaanotetun raaka-aineen määrä tuotannossa tai jalostuksessa, vuositasolla tuotettu energian määrä, osuus kansallisen energian tuotetusta määrästä tai energian tuotantokapasiteetti, varastointikapasiteetti, asiakaslukumäärä, toimituskapasiteetti sekä energian siirto ja verkosta luovutetun energian määrä.
Kohdan 2 mukaan elintarviketoimialalla perusteena olisi elintarvikkeiden tuotannossa ja jalostuksessa vastaanotetun raaka-aineen määrä litroina tai kiloina, tuotannon määrä sekä jaettavan hyödykkeen määrä.
Kohdan 3 mukaan liikennetoimialalla arviointiperusteita olisivat palvelun tuottajan osuus kansallisesta liikennemäärästä, matkustajien vuosittainen lukumäärä ja rahtikuljetusten vuosittainen lukumäärä.
Kohdan 4 mukaan vesihuoltotoimialalla arviointiperusteita olisivat toimitettavan veden kuutiometrimäärä vuorokaudessa ja jäteveden poisjohtamisen kuutiometrimäärä vuorokaudessa.
Kohdan 5 mukaan avaruustoimialalla arviointiperusteita olisivat toimijan osuus yhteiskunnalle kriittisen palvelun tai tiedontuotannon tarjoamisessa, joka on riippuvainen avaruuspohjaisista palveluista ja toimijan osuus avaruustilannekuvaan tai radioympäristön häiriöihin liittyvän tiedontuotannon kannalta merkittävien palvelujen tarjoamisessa.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin 7 artiklan 1 kohta.
13 §. Päätöksenteko kriittisestä toimijasta.
Pykälän 1 momentin mukaan kriittisen toimijan määrittämisasian ratkaisi se ministeriö, jonka toimialaan käsiteltävä toimija kuuluu ja päätös olisi voimassa enintään neljä vuotta. Valtioneuvoston ohjesäännön 10 §:ssä säädetään toimivaltaisesta ministeriöstä. Asiat jakautuvat ministeriöiden toimialoille niin kuin valtioneuvoston ohjesäännössä säädetään. Edelleen asian käsittelee se ministeriö, jonka toimialaan se pääosaltaan kuuluu (toimivaltainen ministeriö). Valtioneuvostosta annetun lain 10 §:ssä säädetään toimivallan ratkaisemisesta, mikäli asiassa on erimielisyyttä. Säännöksen mukaan valtioneuvosto ratkaisee pääministerin esityksestä erimielisyyden siitä, minkä ministeriön käsiteltäväksi jokin asia kuuluu. Valtioneuvosto voi myös päättää, minkä ministeriön on käsiteltävä sellainen laajakantoinen tai periaatteellisesti tärkeä asia, joka koskee useamman kuin yhden ministeriön toimialaa.
Kriittiseksi toimijaksi määrittäminen tehtäisiin hallintopäätöksenä. Hallintolain 31 §:n 1 momentin mukaan viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset. Päätöksellä on oikeusvaikutuksia suhteessa kriittiseen toimijaan. Päätöksellä voi olla vaikutusta toimijan asemaan suhteessa samalla markkinalla toimiviin yrityksiin, toimijan hallinnon järjestämisen, hallintorakenteiden ja investointien kannalta. Ehdotettu laki ei suoraan aseta vaatimuksia toimijan hallinnon järjestämiseen ja hallintorakenteisiin. Laajemmin kriittisten toimijoiden määrittämisellä on merkitystä esimerkiksi kriisinkestävyyden strategisen painopisteen asettamisessa. Siksi olisi tärkeää, että ratkaisu kriittiseksi toimijaksi määrittämisestä tapahtuu ministeriötasolla.
Pykäläehdotuksen 2 momentin mukaan toimivaltaisen ministeriön olisi ennen asian ratkaisemista pyydettävä lausunto yhteensovittamistehtävää hoitavalta ministeriöltä ja tarpeellisessa laajuudessa muilta ministeriöltä sekä muilta viranomaisilta ja Huoltovarmuuskeskukselta. Lausuntoa voitaisiin pyytää esimerkiksi kriittisten toimijoiden keskinäisriippuvuuksista ja toimijan arvioinnin yhteismitallisuudesta ja suhteellisuudesta sekä muista tarvittavista seikoista. Kriittisen toimijan määrittämisessä hyödynnettäisiin yhteismitallisia menettelyjä, jotka huomioisivat hallinnollisen taakan minimoimisen, kansallisen turvallisuuden intressit ja olemassa olevan huoltovarmuusorganisaation. Koska ministeriö tekisi päätöksen kriittisestä toimijasta ja huoltovarmuuden turvaamisesta annetun lain mukaan kukin ministeriö kehittää huoltovarmuutta omalla toimialallaan, on tarkoituksenmukaista, että sektorikohtainen ohjaus yhdistyy ministeriötasolla ja tulee yhteensovitetuksi yhteensovittamistehtävää hoitavan ministeriön yleisessä ohjauksessa.
Valtioneuvoston toimintaa koskevan lainsäädännön nojalla toimivaltaisen ministeriön päätettäväksi kuuluva asia olisi yksittäistapauksessa siirrettävä valtioneuvoston yleisistunnossa ratkaistavaksi, jos sen katsottaisiin olevan niin laajakantoinen tai periaatteellisesti tärkeä, että se olisi viime kädessä ratkaistava yleisistunnossa. Yleisistuntoa edeltäisi valmisteleva käsittely ministeriryhmässä ja asianmukaisessa ministerivaliokunnassa. Tällainen tilanne olisi käsillä, jos kriittisen toimijan tunnistamismenettelyssä yhteensovittamistehtävää hoitava ministeriö havaitsisi poikkeaman yhteismitallisuuden tai hallinnollisen taakan minimoimisen näkökulmista. Kriittisten toimijoiden määrittämisen kokonaisuutta voidaan pitää sillä tavoin laajakantoisena ja periaatteellisesti tärkeänä, että kriittisten toimijoiden määrittämistä tehtäessä asiassa olisi toimivaltaisen ministeriön päätökselle saatava käytännössä kokonaisuutta yhteen sovittavan ministeriön perusteltu näkemys ja toimialarajat ylittävissä tapauksissa myös asiaan liittyvien toimialojen ministeriöiden näkemykset Periaatteellisesti tärkeä asia olisi myös, jos kriittisen toimijan nimeäminen poikkeaisi merkittävästi yhteismitallisista menettelyistä. Tarvittaessa asia vietäisiin päätettäväksi valtioneuvoston yleisistuntoon. Menettelyn tärkeys korostuu etenkin ensimmäistä kertaa päätöksiä tehtäessä. Toimivaltainen ministeriö ilmoittaisi päätöksestä kriittiselle toimijalle määräajassa.
Ehdotetun pykälän 3 momentin mukaan hallintopäätöksellä kriittiseksi toimijaksi määritetty toimija olisi Euroopan kannalta erityisen merkittävä kriittinen toimija, jos se tarjoaa samoja tai samanlaisia keskeisiä palveluja vähintään kuudelle Euroopan unionin jäsenvaltiolle tai vähintään kuuden jäsenvaltion alueella, ja kun toimijalle on ilmoitettu asiasta. Komission ilmoitettua siitä, että kriittistä toimijaa pidetään Euroopan kannalta erityisen merkittävänä kriittisenä toimijana, olisi 7 §:ssä tarkoitetun ministeriön toimitettava tieto komission ilmoituksesta ja siihen liittyvistä velvoitteista kriittiselle toimijalle viivytyksettä. Direktiivin 17 artiklan mukaan komissio kuulee kriittisen toimijan määrittäneen jäsenvaltion ja muiden asianomaisten jäsenvaltioiden toimivaltaisia viranomaisia sekä kriittistä toimijaa. Kuulemisten perusteella komissio toteaa tilanteen keskeisen palvelun tarjonnan osalta. Kriittiselle toimijalle ilmoitetaan toimivaltaisen viranomaisen kautta, mikäli sitä pidetään Euroopan kannalta erityisen merkittävänä kriittisenä toimijana.
Pykäläehdotuksen 4 momentissa säädettäisiin siitä, että asianomainen ministeriö voisi peruuttaa 1 momentissa tarkoitetun päätöksen, jos kriittinen toimija ei enää täyttäisi määrittämispäätöksen edellytyksiä. Tällainen tilanne voisi esimerkiksi syntyä, kun kriittinen toimija muuttaa toimialaansa tai liiketoimintaansa siten, ettei se enää tarjoa keskeistä palvelua. Päätös voitaisiin peruuttaa myös, jos kriittinen toimija on lopettanut toimintansa.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin osin 6 artiklan 1 ja 3 kohta sekä 17 artiklan 1 ja 3 kohta.
14 §. Kriittisen toimijan suorittama riskiarviointi.
Pykäläehdotuksen 1 momentin mukaan kriittisen toimijan olisi suoritettava riskiarviointi tarvittaessa ja vähintään neljän vuoden välein. Riskiarviointia laadittaessa olisi otettava huomioon kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio ja muita riskiarvioinnin kannalta merkittäviä tietolähteitä. Näitä muita tietolähteitä voisivat olla toimivaltaisen ministeriön tai muun viranomaisen antamat tiedot ja arviot uhista tai muista kriisinkestävyyteen liittyvistä seikoista sekä tiedot ja kokemukset tapahtuneista häiriöistä. Lähtökohtana on, että kriittiset toimijat arvioisivat kokonaisvaltaisesti toimintaansa kohdistuvat merkitykselliset riskit, mitä varten niiden olisi suoritettava riskiarviointeja erityisolosuhteidensa ja kyseisten riskien kehittymisen sitä edellyttäessä ja joka tapauksessa vähintään neljän vuoden välein. Kriittiset toimijat voivat hyödyntää huoltovarmuusorganisaation puitteissa tehdyn työn riskejä arvioidessaan.
Pykäläehdotuksen 2 momentissa säädettäisiin siitä, mitä kriittisen toimijan riskiarvioinnissa olisi otettava huomioon. Näitä olisivat kaikki merkitykselliset luonnon ja ihmisen aiheuttamat riskit, jotka voivat johtaa poikkeamaan. Tällöin otettaisiin huomioon toimialojen tai rajat ylittävät riskit, onnettomuudet, luonnonkatastrofit, kansanterveydelliset hätätilanteet, hybridiuhat ja muut uhat sekä muut toimivaltaisen ministeriön määrittämät uhat. Uhat voivat olla valtiollisia uhkia.
Pykäläehdotuksen 3 momentin mukaan riskiarvioinnissa olisi otettava huomioon, missä määrin muut toimialat ovat riippuvaisia kriittisen toimijan tarjoamasta keskeisestä palvelusta.
Pykälän 4 momentissa sallittaisiin riskiarviointia koskevien tietojen esittäminen muussakin asiakirjassa. Jos vastaavan kaltaista tarkoitusta varten laaditaan muun lain kuin ehdotetun lain nojalla muu riskiarvio tai asiakirja, kriittinen toimija voisi käyttää kyseistä arviointia tai asiakirjaa kokonaan tai osittain täyttämään tämän lain velvoitteet, ja tästä olisi mainittava kyseisessä arvioinnissa tai asiakirjassa. Valvova viranomainen voisi tarkastustoimintansa yhteydessä ottaa kantaa siihen, täyttääkö kriittisen toimijan suorittama riskiarviointi kokonaan tai osittain tässä pykälässä säädetyn velvoitteen. Valvova viranomainen ei tekisi erillistä hallintopäätöstä asiakirjojen vastaavuudesta. Menettely vähentäisi kriittisen toimijan hallinnollista taakkaa, mikäli muita säädösten nojalla laadittuja merkityksellisiä asiakirjoja olisi mahdollista käyttää.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin 12 artikla.
15 §. Häiriönsietokyvyn varmistaminen ja häiriönsietokykyä koskeva suunnitelma.
Direktiivi edellyttää kriittisen toimijan toteuttavan toimenpiteitä, jotta se voisi ehkäistä, torjua ja lieventää poikkeamia, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida ja sopeutua niihin sekä palautua niistä. Toimenpiteiden yksityiskohtien ja laajuuden olisi vastattava asianmukaisesti ja oikeasuhteisesti kriittisen toimijan riskiarvioinnissaan määrittämiä riskejä. Toimenpiteet, joilla turvallisuustaso saavutettaisiin ja joita valvova viranomainen voi arvioida, kuvattaisiin häiriönsietokyvyn varmistamista ja häiriönsietokykyä koskevassa suunnitelmassa.
Pykälän 1 momentissa säädettäisiin siitä, että kriittisen toimijan on toteutettava häiriönsietokykynsä varmistamiseksi asianmukaisia ja oikeasuhteisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä, jotka perustuisivat 14 §:ssä säädettyyn riskiarviontiin ja muihin asiaan kuuluviin tietoihin. Tässä tarkoituksessa kriittisen toimijan olisi laadittava asianmukaisia ja oikeasuhtaisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä sisältävä suunnitelma häiriönsietokyvyn varmistamiseksi. Pykäläehdotuksen 2 momentin 1 kohdan mukaan suunnitelmassa olisi oltava selostus toimenpiteistä poikkeamien syntymisen estämiseksi ottaen huomioon katastrofiriskien vähentämiseen ja ilmastonmuutokseen sopeutumiseen liittyvät toimenpiteet. Pykäläehdotuksen 2 momentin 2 kohdan mukaan suunnitelmassa olisi oltava selostus niistä toimenpiteistä, joilla vaadittava fyysisen suojauksen taso on saavutettu. Esimerkiksi kuvaus tilojen ja niissä sijaitsevan infrastruktuurin fyysisestä suojaamisesta kuten aidan asentaminen, esteiden pystyttäminen, ilmaisulaiteet ja kulunvalvonta. Kolmas kohta kattaisi toimenpiteet poikkeamien seurauksiin ja häiriötilanteisiin vastaamiseksi, torjumiseksi ja lieventämiseksi ja neljäs kohta selostuksen toimenpiteistä poikkeamisista palautumiseksi ottaen huomioon liiketoiminnan jatkuvuuteen liittyvät toimenpiteet ja vaihtoehtoiset toimitusketjut. 2 momentin viides kohta koskisi henkilöstöturvallisuuden varmistamista kuten kriittisiä tehtäviä hoitavien henkilöstöryhmien määrittämistä, pääsyoikeuksien vahvistamista tiloihin, kriittiseen infrastruktuuriin ja arkaluonteisiin, käytännössä salassa pidettäviin, tietoihin sekä turvallisuusselvitysten pyytämistä ja koulutus- ja pätevyysvaatimuksia. Henkilöstöryhmiä määritettäessä olisi otettava huomioon myös ulkopuolisten palvelutarjoajien henkilöstö. Kuudes kohta koskisi tiedottamista asianomaiselle henkilöstölle. Tällöin olisi huomioitava myös ulkopuolisten palvelutarjoajien henkilöstö. Kohta 7 koskisi suunnitelman toteuttamisaikataulua. Toteuttamisaikataulu on keskeinen myös valvontatoiminnassa.
Pykälän 3 momentti sallisi sen, että jos vastaavan kaltaista tarkoitusta varten laaditaan muun lain nojalla muu asiakirja tai suunnitelma, erillistä tämän pykälän mukaista suunnitelmaa ei tarvitsisi laatia, vaan vastaavat asiat voitaisiin koota muuhun asiakirjaan tai suunnitelmaan. Kriittinen toimija voisi käyttää kyseistä asiakirjaa tai suunnitelmaa Suunnitelmassa tai asiakirjassa olisi mainittava täyttääkö se miltä osin tämän lain velvoitteet. Toimivaltainen valvova viranomainen voisi esimerkiksi tarkastustoimintansa yhteydessä ottaa kantaa siihen, täyttääkö kriittisen toimijan muu asiakirja tai suunnitelma kokonaan tai osittain tässä pykälässä säädetyn velvoitteen. Valvova viranomainen ei tekisi erillistä hallintopäätöstä asiakirjojen vastaavuudesta.
Pykälän 4 momentin mukaan kriittisen toimijan olisi nimettävä organisaatiostaan yhteyspiste, jonka kautta tiedonkulku viranomaisten suuntaan järjestettäisiin. Toimijan olisi ilmoitettava tiedonkulun hoitamiseksi yhteyshenkilön nimi ja yhteystiedot tai muu yhteyspiste, josta voisi saada tietoa ilman aiheetonta viivytystä.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin 13 artiklan 1 ja 2 kohta.
4 luku Kriittisen toimijan poikkeamailmoitus
16 §. Poikkeamia koskeva ilmoitusvelvollisuus.
CER-direktiivin 15 artiklan 1 kohdan nojalla jäsenvaltioiden on varmistettava, että kriittiset toimijat ilmoittavat ilman aiheetonta viivytystä toimivaltaiselle viranomaiselle poikkeamista. Poikkeamia koskevassa ilmoituksessa kyse ei olisi hätäilmoituksesta, joka tehdään kiireellisessä hätätilanteessa, jos on tarve pelastustoimen, poliisin, sosiaali- ja terveystoimen tai Rajavartiolaitoksen välittömiin toimenpiteisiin. Hätäilmoitus on määritelty laissa hätäkeskustoiminnasta (692/2010). Poikkeamia koskevassa ilmoituksessa ei olisi kyse myöskään toiminnan suunnitellusta katkosta, mutta katkoksesta voi olla tarkoituksenmukaista informoida vapaaehtoisesti valvovaa viranomaista ja muita relevantteja tahoja sekä tapauksesta riippuen myös yleisöä. Ehdotetun pykälän 1 momentin mukaan kriittisen toimijan olisi ilmoitettava ilman aiheetonta viivytystä valvovalle viranomaiselle ja valtioneuvoston tilannekeskukselle poikkeamasta, joka häiritsee tai voi häiritä keskeisten palvelujen tarjoamista. Ilmoituksen saavilla tahoilla olisi oltava poikkeamailmoitusten vastaanottokyky ilmoitusten vastaanottoon tarkoitetun järjestelmän puitteissa ympärivuorokautisesti sekä kyky ilmoitusten edelleenvälitykseen, käytännössä kyseisen järjestelmän avulla. Järjestelmän kehittämisessä otettaisiin huomioon Traficomin NIS2-direktiivin mukaisiin ilmoituksiin käytettävä järjestelmä ja sen laajentaminen kyber- ja kriittisen infrastruktuuritoimijoiden häiriötilanteiden yhteiseksi ilmoituskanavaksi.
Ehdotetun 2 momentin mukaan kriittisen toimijan ensimmäinen ilmoitus (ensi-ilmoitus) olisi annettava viimeistään 24 tunnin kuluessa siitä, kun poikkeama on tullut tietoon, ellei välttämättömästä operatiivisesta syystä muuta johdu. Kriittisen toimijan olisi lähetettävä ensimmäinen ilmoitus viimeistään 24 tunnin kuluttua poikkeaman havaitsemisesta, paitsi jos se olisi käytännössä mahdotonta. Ensimmäisen ilmoituksen toimittaminen ei saisi viedä kriittisen toimijan voimavaroja pois poikkeamien käsittelyyn liittyvistä toimista, jotka olisi asetettava etusijalle. Toisaalta valvovan viranomaisen ja muiden viranomaisten olisi kuitenkin tärkeää saada ensitieto poikkeamista, jotka merkittävästi häiritsevät tai voisivat häiritä keskeisten palvelujen antamista, jotta viranomaiset voisivat reagoida ja ryhtyä tarvittavaan toimenpiteisin nopeasti. Kriittinen toimija saisi tätä kautta myös tiedon viranomaisten tukitoimista tilanteen hoitamiseksi. Keskeistä on myös saada viranomaisille tilannekuvaa kriittisiin toimijoihin kohdistuvista poikkeamista, niiden vaikutuksista, luonteesta, syistä ja mahdollisista seurauksista tarvittavien toimenpiteiden arvioimiseksi ja suuntaamiseksi. Yksityiskohtainen raportti toimitettaisiin tarvittaessa viimeistään kuukauden kuluessa siitä, kun poikkeama on tullut tietoon. Raportti toimitettaisiin yhteensovittamistehtävää hoitavalle ministeriölle, sektoriministeriölle ja valvovalle viranomaiselle.
Pykälän 3 momentin mukaan häiriön merkittävyyden määrittämisessä olisi otettava huomioon erityisesti käyttäjien lukumäärä ja osuus, joihin häiriö vaikuttaa, häiriön kesto ja maantieteellinen alue ja maantieteellisen alueen eristyneisyys.
Pykälän 4 momentin mukaan Huoltovarmuuskeskuksella olisi sen estämättä, mitä tietojen salassa pitämisestä säädetään, oikeus saada tehtäviensä hoitamiseksi ja asianomaisten ministeriöiden ja valvovien viranomaisten tukemiseksi välttämättömiksi arvioidut tiedot ensi-ilmoituksesta ja yksityiskohtaisesta raportista. Huoltovarmuuskeskuksen tehtävistä säädetään laissa huoltovarmuuden turvaamisesta, jonka 6 §:n mukaan Huoltovarmuuskeskuksen tehtävänä on muun muassa varmistaa huoltovarmuuden kannalta elintärkeiden teknisten järjestelmien toimivuus ja turvata välttämätön tavara- ja palvelutuotanto sekä sotilaallista maanpuolustusta tukeva tuotanto. Tieto koskisi aina kutakin yksittäistapausta.
Pykäläehdotuksella pantaisiin täytäntöön osin CER-direktiivin 15 artiklan 1 kohta.
17 §. Ensi-ilmoituksen ja yksityiskohtaisen raportin sisältö.
Pykälän 1 momentissa säädettäisiin poikkeamaa koskevaan ensi-ilmoitukseen sisällytettävistä tiedoista. Ensi-ilmoituksen tiedot olisivat välttämättömiä, jotta valtioneuvoston tilannekeskus ja toimivaltainen valvova viranomainen saisivat tiedon poikkeamasta ja kriittisellä toimijalla olisi tarvittaessa mahdollisuus pyytää apua ja tukea tilanteen hoitamiseksi. Ensi-ilmoitukseen sisällytettäisiin tästä johtuen tieto poikkeaman havaitsemisesta ja sen luonteesta, arvio mahdollisesta aiheuttajasta tai syystä sekä arvio mahdollisista seurauksista. Ilmoitukseen sisällytettäisiin myös arvio keskeisen palvelun käyttäjien lukumäärästä tai osuudesta, johon häiriö vaikuttaa sekä tieto, joka olisi tarpeen poikkeaman mahdollisten rajat ylittävien vaikutusten määrittämiseksi.
Pykälän toisessa momentissa säädettäisiin ensi-ilmoitusta tarvittaessa seuraavan yksityiskohtaisen raportin sisällöstä. Raportti annettaisiin viimeistään kuukauden kuluttua poikkeamasta. Yksityiskohtaisen raportin olisi täydennettävä ensimmäistä ilmoitusta ja annettava kattavampi yleiskuva poikkeamasta. Raporttiin sisällytettäisiin momentin 1 kohdan mukaan yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista sekä maantieteellisestä laajuudesta. Momentin 2 kohdan mukaan raporttiin sisällytettäisiin poikkeaman todennäköisesti aiheuttaneet uhkan tai syyn luonne, ja 3 kohdan nojalla toteutetut tai meneillään olevat toimenpiteet vaikutusten lieventämiseksi. Kohta 4 kattaisi mahdolliset rajat ylittävät vaikutukset ja kohta 5 muut poikkeaman hallinnan kannalta olennaiset tiedot. Tiedot mahdollistaisivat muun muassa tarvittaessa lisätoimenpiteitä ja toimenpiteiden vaikutusten seurantaa tai jälkiarviointia.
Pykälän kolmannen momentin mukaan kriittisen toimijan olisi toimitettava valvovan viranomaisen pyynnöstä lisätietoja havaittuun poikkeamaan liittyen.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin 15 artiklan 2 kohta.
18 §. Vastaanotetun poikkeamailmoituksen käsittely.
Kriittisen toimijan poikkeamailmoituksen vastaanottaneen valvovan viranomaisen olisi ilmoitettava kriittiselle toimijalle poikkeamailmoituksen vastaanottamisesta. Vastaanottoilmoitus voisi olla automaattivastaus virka-ajan ulkopuolella. Toimivaltaisen valvovan viranomaisen olisi ilmoituksen saatuaan annettava viivytyksettä tietoja mahdollisista jatkotoimista. Lisäksi jos häiriöstä ilmoittaminen on yleisen edun mukaista valvova viranomainen voi velvoittaa kriittisen toimijan tiedottamaan yleisölle asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse. Kriittiset toimijat huolehtisivat omilla toimenpiteillään häiriötilanteen hallinnasta ja keskeisen palvelun jatkuvuuden turvaamisesta. Sen lisäksi poikkeamailmoitus voi olla peruste käynnistää keskushallinnon ja muiden viranomaisten valmiussuunnitelmien toimeenpanoa häiriöiden ja niiden kertautumisen minimoiseksi. Poikkeamailmoitus voi olla myös peruste asiantuntija-avun pyytämiselle tai turvallisuusviranomaiselle osoitetulle virka-apupyynnölle. Virka-apua olisi mahdollista saada asianomaisen viranomaisen toimintaa koskevan lainsäädännön mukaisesti.
Jos poikkeamalla on tai voi olla merkittävä vaikutus kriittisiin toimijoihin ja keskeisten palvelujen tarjonnan jatkuvuuteen yhdelle tai useammalle Euroopan unionin jäsenvaltiolle tai jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle Euroopan unionin jäsenvaltiolle tai vähintään kuudessa jäsenvaltiossa, asiasta on saatujen tietojen perusteella ilmoitettava ehdotetun lain 9 §:n mukaan. Tarvittaessa asiasta voitaisiin myös tiedottaa tai viestiä yleisölle säännönmukaisten menettelyjen puitteissa yleisen edun sitä vaatiessa.
Pykäläehdotuksen 1 momentilla pantaisiin täytäntöön CER-direktiivin 15 artiklan 4 kohta.
5 luku Valvonta
19 §. Valvovat viranomaiset.
Pykäläehdotuksen mukaan asianomainen valvova viranomainen valvoisi tämän lain nojalla kriittiselle toimijalle säädettyjen ja määrättyjen velvoitteiden noudattamista. Pykälässä säädettäisiin valvontaviranomaisista CER-direktiivin toimialoilla. Suomessa valvovat viranomaiset olisivat tahoja, jotka nykyisinkin tekevät valvontaa asianomaisilla toimialoilla. Viranomaisia olisivat Energiavirasto, Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus, Liikenne- ja viestintävirasto, Lääkealan turvallisuus- ja kehittämiskeskus (Fimea), Ruokavirasto ja Turvallisuus- ja kemikaalivirasto sekä sosiaali- ja terveysalan lupa- ja valvontavirasto ja aluehallintovirastot.
Pykälän 1 momentin 1 kohdan mukaan valvova viranomainen olisi Energiavirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat energiatoimialan alasektoreiden sähkö, kaukolämmitys ja -jäähdytys toimijaluokkien alaan sekä kaasun alasektorin toimijaluokkien jakeluverkon haltijat, siirtoverkon haltijat ja toimittajat alaan sekä alasektori vedyn siirtoa koskevaan toimijaluokkaan. Momentin 2 kohdan mukaan valvova viranomainen olisi Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus niiden kriittisten toimijoiden osalta, jotka kuuluvat juomaveden ja jäteveden toimijaluokkaan ja 3 kohdan mukaan Liikenne- ja viestintävirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat liikennetoimialan alasektoreiden ilmaliikenne, raideliikenne, vesiliikenne, tieliikenne ja julkinen liikenne alaan.
Pykälän 1 momentin 4 kohdassa ehdotetaan säädettävän, että laissa tarkoitettu valvova viranomainen olisi Lääkealan turvallisuus- ja kehittämiskeskus (Fimea) kriittisten toimijoiden osalta, kun kyse on Euroopan parlamentin ja neuvoston direktiivin 2001/83/EY 1 artiklan 2 alakohdassa tarkoitettujen lääkkeiden tutkimusta ja kehitystä harjoittavista toimijoista. Fimea olisi laissa tarkoitettu valvova viranomainen myös, kun kyse on sellaisten lääkeaineiden ja lääkkeiden valmistajista, joita tarkoitetaan NACE Rev.2 –luokituksen C jakson kaksinumerotasossa 21. NACE Rev. 2 –toimialaluokitus on vahvistettu tilastollisen toimialaluokituksen NACE Rev. 2 vahvistamisesta sekä neuvoston asetuksen (ETY) N:o 3037/90 ja tiettyjen eri tilastoaloja koskevien yhteisön asetusten muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1893/2006. Toimialaluokitusta on muutettu tilastollisen toimialaluokituksen NACE Rev. 2 vahvistamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1893/2006 muuttamisesta annetussa komission delegoidussa asetuksessa (EU) 2023/137.
Fimean toimivalta kattaisi tältä osin CER-direktiivin liitteen 5 kohdan Terveys-toimialaan sisältyvän NACE Rev. 2-luokituksen C jakson kaksinumerotasossa 21 tarkoitettujen farmaseuttisten perustuotteiden ja farmaseuttisten valmisteiden valmistajien toimijaluokan. Fimea olisi valvova viranomainen myös, kun kyse on Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/123 ( 17) 22 artiklassa tarkoitettujen kansanterveysuhan aikana kriittisiksi katsottujen lääkinnällisten laitteiden (’kansanterveysuhan aikana kriittisten lääkinnällisten laitteiden luettelo’) valmistajista, direktiivin 2001/83/EY 79 artiklassa tarkoitetun tukkukaupan harjoittamista koskevien luvan haltijoista, apteekeista, potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetun EU-direktiivin (2011(24/EU) mukaisten lääkkeitä ja lääkinnällisiä laitteita toimittavista ja tarjoavista toimijoista ja veripalvelulaitoksista. Fimean toimiminen näiden toimijoiden valvovana viranomaisena on perustelua siksi, että Fimea huolehtii niiden valvonnasta myös voimassa olevan sektorilainsäädännön nojalla.
Pykälän 1 momentin 5 kohdassa ehdotetaan, että Ruokavirasto olisi valvova viranomainen niiden kriittisten toimijoiden osalta, jotka kuuluvat elintarvikkeiden tuotanto, jalostus ja jakelu toimijaluokkaan.
Pykälän 1 momentin 6 kohdassa ehdotetaan, että Turvallisuus- ja kemikaalivirasto olisi valvova viranomainen niiden kriittisten toimijoiden osalta, jotka kuuluvat energia toimialan alasektoreiden öljy, vety ja kaasu alaan, lukuun ottamatta edellä Energiaviraston valvonnan alaan kuuluvia toimijoita.
Pykälän 1 momentin 7 kohdassa ehdotetaan säädettävän, että sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira) ja aluehallintovirastot toimisivat valvovina viranomaisina kriittisiksi nimettyjen sosiaali- ja terveydenhuollon valvonnasta annetun lain 4 §:ssä tarkoitettujen sosiaali- ja terveydenhuollon palveluita antavien palvelunjärjestäjien ja palveluntuottajien osalta. Toimivaltainen valvontaviranomainen määräytyisi siten kuin sosiaali- ja terveydenhuollon valvonnasta annetun lain 32 §:n 2 ja 3 momentissa on säädetty. Valvontavastuu määräytyisi siis samojen periaatteiden mukaisesti kuin muidenkin terveydenhuollon valvonta-asioiden osalta.
Pykälän 1 momentin 8 kohdassa ehdotetaan säädettävän, että valvova viranomainen olisi Valvira silloin kun on kyse kriittiseksi nimetystä Europan parlamentin ja neuvoston asetuksen (EU) 2022/2371 15 artiklassa määritellyistä EU:n vertailulaboratorioista. Ensimmäiset kuusi EU:n referenssilaboratoriota nimettiin seitsemäksi vuodeksi EU:n komission täytäntöönpanoasetuksella maaliskuussa 2024, ja yksi niistä on Suomesta. Vertailulaboratoriot nimeää komissio ja laboratorioiden verkostoa hallinnoi Euroopan tautienehkäisy- ja valvontakeskus ECDC. Terveydenhuollon laboratorioiden valvonta kuuluu kuitenkin aluehallintovirastolle ja Valviralle. Koska mahdolliset Suomeen tulevat EU-referenssilaboratoriot toimisivat koko Suomen alueella, on perusteltua nimetä Valvira valvovaksi tahoksi.
20 §. Valvonnan kohdistaminen ja tarkastusoikeus.
Pykäläehdotuksen 1 momentin mukaan valvonta olisi kohdistettava määritettyyn kriittiseen toimijaan siinä laajuudessa kuin se olisi tarpeen. Keskeisiä valvottavia kohteita olisivat kriittisen toimijan velvollisuus laatia riskiarvio ja häiriönsietokykyä koskeva suunnitelma. Toimivaltainen
valvova viranomainen voisi tehdä tarkastuksia paikan päällä kriittisessä infrastruktuurissa, rakennuksissa ja toimitiloissa, joita kriittinen toimija käyttää keskeisten palvelujensa tarjoamiseen. Pykäläehdotuksen 2 momentin mukaan tarkastuksen yhteydessä olisi oikeus päästä valvottavan kohteen kaikkiin valvonnan kannalta välttämättömiin rakennuksiin, tiloihin ja tieto- ja muihin järjestelmiin sekä saada selvityksiä tässä laissa vaadituista suunnitelmista ja muista järjestelyistä. Tarkastusta ei kuitenkaan saisi suorittaa pysyväisluonteiseen asumiseen käytettävissä tiloissa. Tarkastuksia ei ole tarkoitus ulottaa kotirauhan piirissä tehtäviksi, koska ei ole poissuljettua, että toimenpiteiden kohteina olevissa tiloissa tai rakennuksissa ei olisi asumiseen käytettäviä tiloja. Lisäksi valvova viranomainen voisi suorittaa kriittisen toimijan toimenpiteiden valvontaa toimitilojen ulkopuolella kriittisen toimijan häiriönsietokyvyn varmistamiseksi. Kriittisen toimijan on tämän lain mukaan toteutettava asianmukaisia ja oikeasuhteisia toimenpiteitä häiriönsietokykynsä varmistamiseksi.
Valvova viranomainen voisi kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja. Valvova viranomainen voisi tarkastuksen yhteydessä käyttää apunaan ulkopuolista asiantuntijaa. Ulkopuolisella asiantuntijalla olisi oltava sellainen koulutus ja kokemus kuin tarkastuksen suorittamiseksi on tarpeen. Tarkastuksessa ulkopuolisen asiantuntijan käyttö voi olla perustelua arvioitaessa keskinäisriippuvaisten kriittisten palvelujen tilaa. Tällainen tilanne voi tulla kyseeseen CER-direktiivin liitteen toimialojen toimijaluokista kriittiseksi toimijoiksi määritettyjen toimijoiden välillä tai kriittisen toimijan ja muun kuin kriittisen toimijan välillä. Esimerkkinä voidaan mainita tilanne, jossa energiatuotannon toimijalla (tuottaja) ja energian siirtoon tarkoitetulla infrastruktuurilla on riippuvuussuhde, jolloin voidaan tarvita ulkopuolista asiantuntemusta tilanteen arvioimiseen rajapinnassa. CER-direktiivin resitaalissa (5) todetaan, että energiatoimialan ja erityisesti sähkön tuotanto- ja jakelumenetelmien (sähköntoimitukset) osalta sähköntuotanto voi, silloin kun se katsotaan tarpeelliseksi, käsittää osia, jotka liittyvät ydinvoimaloiden sähkönjakeluun mutta ei niitä, jotka kuuluvat yleissopimusten ja unionin oikeuden, mukaan lukien asiaankuuluvat ydinvoimaa koskevat unionin säädökset, soveltamisalaan. Asiantuntijaan sovellettaisiin rikosoikeudellista virkavastuuta koskevia säännöksiä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa. Tarkastuksessa noudatettavaan menettelyyn sovellettaisiin, mitä hallintolain (434/2003) 39 §:ssä säädetään. Hallintolain mukaan viranomaisen on ilmoitettava toimivaltaansa kuuluvan tarkastuksen aloittamisajankohdasta asianosaiselle, jota asia välittömästi koskee, jollei ilmoittaminen vaaranna tarkastuksen tarkoituksen toteutumista. Asianosaisella on oikeus olla läsnä tarkastuksessa sekä esittää mielipiteensä ja kysymyksiä tarkastukseen liittyvistä seikoista. Edelleen tarkastuksen kuluessa on, mikäli mahdollista, kerrottava tarkastuksen tavoitteista, sen suorittamisesta ja jatkotoimenpiteistä. Tarkastus on suoritettava aiheuttamatta tarkastuksen kohteelle tai sen haltijalle kohtuutonta haittaa.
Valvova viranomainen voisi pyytää poliisilta virka-apua tarkastuksen toteuttamiseksi. Poliisilain (872/2011) 9 luvun 1 §:ssä säädetään poliisin antamasta virka-avusta, antamiseen liittyvästä poliisin päätöksenteosta ja virka-avun maksullisuudesta. Mainitun pykälän 1 momentin mukaan poliisin on annettava pyynnöstä muulle viranomaiselle virka-apua, jos niin erikseen säädetään. Poliisin on annettava virka-apua muulle viranomaiselle myös laissa säädetyn valvontavelvollisuuden toteuttamiseksi, jos virka-apua pyytävää viranomaista estetään suorittamasta virkatehtäviään. Ehdotetun pykälän osalta kyse olisi tilanteesta, jossa valvovaa viranomaista estetään suorittamasta virkatehtävää ja valvovalla viranomaisella olisi mahdollisuus pyytää poliisilta virka-apua.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin 13 artiklan 2 kohta ja 21 artiklan 1 kohta.
21 §. Huomautus, varoitus ja valvontapäätös.
Toimivaltainen valvova viranomainen voisi antaa
huomautuksen tai varoituksen kriittiselle toimijalle, joka rikkoo tätä lakia. Valvoja voi kiinnittää valvottavan huomiota toiminnan asianmukaiseen järjestämiseen ja hyvän hallintotavan noudattamiseen ja antaa toteamansa virheellisen menettelyn tai laiminlyönnin johdosta huomautuksen. Varoituksen voisi antaa, jos huomautusta ei asiasta ilmenevät seikat kokonaisuudessaan huomioiden voida pitää riittävänä. Varoitus olisi annettava kirjallisena ja siinä olisi yksilöitävä puute tai laiminlyönti, jota varoitus koskisi.
Valvova viranomainen voisi myös päätöksellään velvoittaa toimijan korjaamaan havaitut puutteet tai laiminlyönnin kohtuullisessa määräajassa. Päätöksen tehosteeksi voitaisiin asettaa uhkasakko tai teettämisuhka, joihin sovelletaan, mitä uhkasakkolaissa (1113/1990) säädetään.
Uhkasakkolain mukainen keskeyttämisuhka ei olisi tarkoituksenmukainen keino, koska kriittisen toimijan keskeisen palvelun jatkuvuus olisi turvattava. Jos uhkasakko asetetaan ja tuomitaan maksettavaksi velvoitteen jäätyä noudattamatta, menettelyn tavoitteena on varmistaa velvoitteen noudattaminen. Uhkasakko on luonteeltaan hallinnollinen seuraamus, kun taas seuraava lakiesityksen 22 §:ää koskeva pykäläehdotuksen laiminlyöntimaksu on luonteeltaan hallinnollinen sanktio.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin 22 artikla.
22
§.
Laiminlyöntimaksu
. Pykäläehdotuksen mukaan valvova viranomainen voisi määrätä päätöksellään kriittisen toimijan maksamaan laiminlyöntimaksun, jos kriittinen toimija tahallaan tai törkeästä huolimattomuudesta laiminlöisi 14 §:ssä tarkoitetun riskiarvion, 15 §:ssä tarkoitettujen toimenpiteiden suorittamisen tai 16 §:ssä tarkoitetun poikkeamaa koskevan ilmoituksen antamisen ja havaitulla puutteella olisi merkittävää vaikutusta yhteiskunnan keskeisten palvelujen tarjoamiseen. Laiminlyöntimaksu määrättäisiin maksettavaksi valtiolle. Laiminlyöntimaksua ei voida määrätä kriittiselle toimijalle, joka on valtion viranomainen, valtion liikelaitos, kunnallinen viranomainen, hyvinvointialue tai itsenäinen julkisoikeudellinen laitos. Viranomaisia sitoo hallinnon lainmukaisuusperiaate ja viranomaisten on noudatettava hallinnon yleislakeja. Virkamiehellä on virkavastuu ja se voi toteutua myös rikosoikeudellisena virkavastuuna tai vahingonkorvausvastuuna. Viranomaisen toiminnasta voidaan tehdä myös hallintokantelu. Laiminlyöntimaksun määrä olisi vähintään 2 000 euroa ja enintään 20 000 euroa. Laiminlyöntimaksun suuruutta arvioitaessa olisi otettava huomioon tapauksen olosuhteet ja menettelyn laatu ja tässä tarkoituksessa ainakin seuraavia seikkoja, joita olisivat: laiminlyönnin kesto, laiminlyönnin tai puutteen toistuvuus, merkittävien poikkeamien jättäminen ilmoittamatta, havaittujen puutteiden jättäminen korjaamatta valvovan viranomaisen päätöksistä huolimatta ja toimenpiteet, jotka kriittinen toimija on toteuttanut vahingon ehkäisemiseksi tai lieventämiseksi.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin 22 artiklaa.
23 §.Laiminlyöntimaksun määräämättä jättäminen
. Pykäläehdotuksen mukaan laiminlyöntimaksu jätettäisiin määräämättä, jos pykälän 1 momentin ensimmäisen kohdan mukaan toimija olisi oma-aloitteisesti ryhtynyt riittäviin toimenpiteisiin laiminlyönnin korjaamiseksi välittömästi sen havaitsemisen jälkeen ja ilmoittanut siitä viivytyksettä valvovalle viranomaiselle sekä toiminut yhteistyössä valvovan viranomaisen kanssa eikä laiminlyönti ole toistuva, ja toisen kohdan mukaan, jos laiminlyöntiä olisi pidettävä vähäisenä. Laiminlyöntimaksu jätettäisiin määräämättä momentin kolmannen kohdan mukaan, jos maksun määräämistä olisi pidettävä ilmeisen kohtuuttomana muutoin kuin 1 tai 2 kohdassa tarkoitetulla perusteella. Laiminlyöntimaksua ei saisi määrätä, jos olisi kulunut yli viisi vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Pykälän toisen momentin mukaan laiminlyöntimaksua ei saisi määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Laiminlyöntimaksua ei saisi määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio.
24 §.Laiminlyöntimaksun täytäntöönpano
. Pykälässä säädettäisiin laiminlyöntimaksun täytäntöönpanosta. Maksun täytäntöönpanosta huolehtisi Oikeusrekisterikeskus. Lain nojalla maksettavaksi määrätty laiminlyöntimaksu pantaisiin täytäntöön siinä järjestyksessä kuin sakon täytäntöönpanosta annetussa laissa (672/2002) säädetään. Laiminlyöntimaksu vanhenisi viiden vuoden kuluttua siitä, kun sen määräämistä koskeva, lainvoiman saanut päätös on annettu. Laiminlyöntimaksusta ei tulisi periä viivästyskorkoa.
6 luku Erinäiset säännökset
25 §. Oikaisuvaatimus.
Lakiesityksessä tarkoitettuihin päätöksiin saisi vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa
(434/2003)
.
Keskeinen päätös, johon voisi hakea oikaisua, olisi 13 §:ssä tarkoitettu kriittistä toimijaa koskeva asianomaisen ministeriön määrittämispäätös. Oikaisuvaatimuksen ei katsota soveltuvan asianosaisten oikeusturvan kannalta erityisen merkittäviin asioihin, joissa olisi tärkeää saada asia nopeasti tuomioistuimen ratkaistavaksi eikä tässä asiassa voida katsoa välttämättä olevan kyse rutiininomaisesta asiasta (ks. HE 230/2014 vp s. 41‒42). Päätöksen taustalla olisi kuitenkin strateginen ohjausasiakirja eli valtioneuvoston yleisistunnon hyväksymä kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma, joka tukisi valtioneuvoston ministeriöiden päätöksentekoa ja sisäministeriön ohjausta yhteensovittavana ministeriönä. Taustalla olisi myös toinen strateginen ohjausasiakirja eli valtioneuvoston yleisistunnon hyväksymä kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarviointi. Toimivaltaisella ministeriöllä olisi toimialallaan parhaat edellytykset ja asiantuntemusta arvioida kriittiseksi toimijaksi määrittämisen perusteena olevia seikkoja. Lähtökohtaisesti kyseessä olisi päätös, jossa ei olisi periaatteellista tulkintaerimielisyyttä. Mahdollinen virheellinen päätös voitaisiin korjata joustavassa menettelyssä arvion mukaan nopeammin kuin hallinto-oikeudessa. Kyse olisi yhtenäisen menettelykehikon ja yhteismitallisten vaatimusten puitteissa tehtävistä päätöksistä, vaikka taustalla oleva asiasisältö voi vaihdella toimialan mukaisesti. Oikaisuvaatimusta käsittelevä viranomainen voi muuttaa hallintopäätöstä, kumota päätöksen tai hylätä oikaisuvaatimuksen.
Valtioneuvoston yleisistunnon päätökseen ei saisi vaatia oikaisua. Muutoksenhausta valtioneuvoston yleisistunnon päätökseen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019). Tapaukset voisivat koskea esimerkiksi valtioneuvoston yleisistunnon käsittelyyn siirtyneitä 13 §:n mukaisia kriittisen toimijan määrittämispäätöksiä. Valtioneuvoston yleisistunnon hyväksymä kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarviointi eivät olisi oikeudenkäynnistä hallintoasioissa annetun lain 6 §:n nojalla valituskelpoisia hallintopäätöksiä. Pykäläehdotuksella pantaisiin täytäntöön osin CER-direktiivin 21 artiklan 4 kohta.
26 §. Muutoksenhaku.
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019). Muutoksenhausta uhkasakon asettamista ja maksettavaksi tuomitsemista sekä teettämisuhan asettamista ja täytäntöönpantavaksi määräämistä koskevaan päätökseen sovelletaan kuitenkin, mitä uhkasakkolaissa (1113/1990) säädetään.
Pykäläehdotuksella pantaisiin täytäntöön osin CER-direktiivin 21 artiklan 4 kohta.
27 §. Viranomaisten ja muiden toimijoiden tiedonsaantioikeus.
Pykäläehdotuksen mukaan valvovilla viranomaisilla olisi oikeus salassapitosäännösten estämättä saada viranomaisilta ja kriittiseksi toimijaksi määritetyltä toimijalta maksutta tässä laissa säädettyjen tehtäviensä hoitamiseksi välttämättömät tiedot. Valvovalla viranomaisella olisi myös oikeus salassapitosäännösten estämättä luovuttaa toiselle valvovalle viranomaiselle ja kyberturvallisuuslain ( / ) 26 §:n mukaiselle valvovalle viranomaiselle sekä yhteensovittamistehtävää hoitavalle ministeriölle ja sektoriministeriölle tiedot, jotka ovat välttämättömiä tehtävien hoitamiseksi. Valvovien viranomaisten tehtävillä tarkoitettaisiin näiden lakisääteisiä tehtäviä. Valvovalla viranomaisella olisi myös oikeus salassapitosäännösten estämättä luovuttaa välttämättömiä tietoja Huoltovarmuuskeskukselle sen lakisääteisten tehtävien hoitamiseksi. Yhteensovittamistehtävää hoitavalla ministeriöllä ja valtioneuvoston tilannekeskuksella olisi sen tehtäviä varten välttämätöntä saada kokonaisnäkymä kansalliseen kriittisen infrastruktuurin kriisinkestävyyden tilaan. Jokaisen ministeriön olisi saatava vastaava näkymä omaan toimialaansa. Valtioneuvoston tilannekeskuksella on valtioneuvoston tilannekeskuksesta annetun lain (300/2017, 3 §) mukaan, sen estämättä, mitä tietojen salassa pitämisestä säädetään, oikeus saada viranomaiselta tilannekuvan kokoamiseksi luovuttavan viranomaisen välttämättömiksi arvioimat tiedot turvallisuustapahtumaan johtaneista olosuhteista, turvallisuustapahtuman paikasta ja ajankohdasta, turvallisuustapahtuman vaikutuksista, toimivaltaisen viranomaisen toimenpiteistä sekä muista näihin rinnastettavista seikoista. Erityisesti merkittävän vaikutuksen omaava poikkeama on lähtökohtaisesti tulkittava tällaiseksi turvallisuustapahtumaksi. Huoltovarmuuskeskuksen tehtävistä säädetään laissa huoltovarmuuden turvaamisesta, jonka 6 §:n mukaan Huoltovarmuuskeskuksen tehtävänä on muun muassa varmistaa huoltovarmuuden kannalta elintärkeiden teknisten järjestelmien toimivuus ja turvata välttämätön tavara- ja palvelutuotanto sekä sotilaallista maanpuolustusta tukeva tuotanto.
Pykäläehdotuksen 2 momentin mukaan tiedonsaantioikeus ei koskisi kyberturvallisuuslain 19 §:n mukaisen CSIRT-yksikön käsittelemiä tietoja. Liikenne- ja viestintävirastossa toimisi tietoturvaloukkauksiin reagoiva ja niitä tutkivat NIS 2- direktiivin 1 artiklan 2 kohdan a alakohdassa tarkoitettu CSIRT-yksikkö. Sen toiminta järjestettäisiin erilliseksi kyberturvallisuuslain 26 §:n nojalla tehtävästä valvonnasta.
28 §. Viranomaisten yhteistyö.
Pykälässä säädettäisiin siitä, että päätöksestä, joka koskee kriittisen toimijan määrittämistä, olisi ilmoitettava
k
yberturvallisuuslain 26 §:n tarkoitetuille viranomaisille yhden kuukauden kuluessa päätöksestä. Lakiehdotuksen mukaisten viranomaisten ja Kyberturvallisuuslain 26 §:n mukaisten toimivaltaisen viranomaisen olisi vaihdettava tietoja kriittisten toimijoiden määrittämisestä sekä kyberturvallisuusriskeistä, kyberuhkista ja kyberturvallisuuspoikkeamista sekä muista kuin kyberturvallisuusriskeistä, kyberuhkista ja kyberturvallisuuspoikkeamista, jotka vaikuttavat kriittisiin toimijoihin, sekä tämän lain sekä Kyberturvallisuuslain mukaisen toimivaltaisen viranomaisen toteuttamista olennaisista toimenpiteistä ja hallintatoimista. Tiedonvaihto on tärkeää, koska CER-kriittistä toimijaa koskevat myös NIS 2-direktiivin mukaan säädetyt velvoitteet.
Direktiivin resitaalin (24) mukaan jäsenvaltioiden on tärkeää varmistaa, että tässä direktiivissä ja direktiivissä (EU) 2022/2555 säädetyt vaatimukset pannaan täytäntöön toisiaan täydentävästi ja että kriittisiin toimijoihin ei kohdistu enempää hallinnollista rasitusta kuin on tarpeen tämän direktiivin ja direktiivin (EU) 2022/2555 tavoitteiden saavuttamiseksi.
Pykäläehdotuksella pantaisiin täytäntöön CER-direktiivin 6 artiklan 4 kohta ja 9 artiklan 6 kohta.
29 §.Turvallisuusselvitys.
Pykälässä säädettäisiin muiden EU:n jäsenvaltioiden rikosrekistereihin sisältyvien tietojen pyytämisestä tilanteessa, jossa turvallisuusselvityslaissa (716/2014) tarkoitettu henkilöturvallisuusselvitys laaditaan kriittisen toimija palveluksessa työskentelevästä tai palvelukseen otettavasta henkilöstä. Pykälällä pantaisiin täytäntöön taustatarkistuksia koskeva CER-direktiivin 14 artikla.
CER-direktiivin 14 artiklan mukaan kriittisten toimijoiden tulee voida asianmukaisesti perustelluissa tapauksissa esittää taustan tarkistusta koskevia pyyntöjä artiklassa tarkemmin määritellyistä niiden palveluksessa olevista tai palvelukseen otettavista henkilöistä. Pyynnöt on arvioitava ja käsiteltävä kohtuullisessa ajassa kansallisessa lainsäädännössä säädettyjen menettelyjen mukaisesti. Taustatarkistuksilla on direktiivin mukaan vähintään vahvistettava taustatarkistuksen kohteena olevan henkilön henkilöllisyys ja tarkistettava kyseisen henkilön rikosrekisteritiedot tiettyjen tehtävien kannalta merkittävien rikosten osalta. Taustatarkastuksia tehdessään jäsenvaltioiden on käytettävä eurooppalaista rikosrekisteritietojärjestelmää puitepäätöksessä 2009/315/YOS ja tarvittaessa ja soveltuvin osin asetuksessa (EU) 2019/816 määritettyjen menettelyjen mukaisesti saadakseen muiden jäsenvaltioiden rikosrekistereistä tietoja.
CER-direktiivissä tarkoitetut taustatarkistukset voidaan Suomessa toteuttaa henkilön työtehtävistä ja toimialasta riippuen turvallisuusselvityslain 19, 20 tai 21 §:n nojalla perusmuotoisena, laajana tai suppeana henkilöturvallisuusselvityksenä. Turvallisuusselvityslain voimassa olevien säännösten arvioidaan tältä osin jo kattavan kaikki direktiivin soveltamisalaan kuuluvat toimialat ja tehtävät, eikä turvallisuusselvityslakia siksi ole tarpeen direktiivin täytäntöönpanon vuoksi muuttaa. Direktiivissä kuitenkin edellytetään, että siinä tarkoitettujen taustatarkistusten yhteydessä käytetään niin sanottua ECRIS-järjestelmää muiden jäsenvaltioiden rikosrekistereissä olevien tietojen saamiseksi. Sen sijaan direktiivi sisältää liikkumavaraa siltä osin, mahdollistetaanko kyselyiden tekeminen myös niin sanotun ECRIS-TCN-tietojärjestelmän avulla, joka sisältää EU:n jäsenvaltioissa rikostuomion saaneiden kolmansien maiden kansalaisten tietoja. Valmistelussa on arvioitu tarkoituksenmukaiseksi rajata kyselyiden tekeminen pelkästään ECRIS-järjestelmään direktiivin vähimmäisvaatimuksen mukaisesti. ECRIS-tietojen vaihtamisesta muiden jäsenvaltioiden kanssa säädetään rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetussa laissa (214/2012, jäljempänä EU-rikosrekisterilaki). ECRIS-järjestelmää ei Suomessa tällä hetkellä ole mahdollista käyttää turvallisuusselvitysten laatimiseen, minkä vuoksi EU-rikosrekisterilakiin on tarpeen lisätä tätä koskevat säännökset. ECRIS-yhteistyössä Oikeusrekisterikeskus pyytää rikosrekisteritietoja toisesta jäsenvaltiosta.
Pykälässä säädettäisiin siitä, missä tilanteissa suojelupoliisi voisi pyytää Oikeusrekisterikeskusta tekemään toisille jäsenvaltioille rikosrekisteritietojen luovuttamista koskevan pyynnön. Ehdotuksen mukaan, jos turvallisuusselvityslaissa tarkoitettu henkilöturvallisuusselvitys laadittaisiin lain 14 §:ssä tarkoitettuun kriittiseen toimijaan palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta henkilöstä taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta henkilöstä, ja se on selvityksen kohteen ulkomailla oleskelun tai muun erityisen syyn vuoksi tarpeen, suojelupoliisi voisi tehdä selvitystä varten rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (214/2012) 20 c §:ssä tarkoitetun pyynnön. Muiden jäsenvaltioiden rikosrekisteritietoja koskevan pyynnön tekeminen ei siten olisi säännönmukaista silloinkaan, kun henkilöturvallisuusselvitys laaditaan kriittisen toimijan palveluksessa työskentelevästä tai sen palvelukseen otettavasta henkilöstä, vaan se olisi tarpeen ainoastaan erityisestä syystä. Erityinen syy voisi liittyä esimerkiksi henkilön pitkäaikaiseen tai toistuvaan oleskeluun muissa jäsenvaltioissa. Arvion ja päätöksen muiden jäsenvaltioiden rikosrekistereihin sisältyvien tietojen pyytämisen tarpeellisuudesta tekisi tapauskohtaisesti suojelupoliisi. Muista jäsenvaltioista pyynnön johdosta saatuja tietoja saisi käyttää henkilöturvallisuusselvityksen laadinnassa. Muilta osin turvallisuusselvityksen laatimiseen sovellettaisiin, mitä turvallisuusselvityslaissa säädetään. Pykälässä tarkoitettuja pyyntöjä voitaisiin käytännössä tehdä vasta, kun kriittiset toimijat on määritelty.
30 §. Voimaantulo.
Laki on tarkoitettu tulemaan voimaan mahdollisimman pian. Lain voimaantullessa 5 §:ssä tarkoitettu kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja 6 §:ssä tarkoitettu kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallisen riskiarvio hyväksyttäisiin ensimmäisen kerran viimeistään 17.1.2026. Tämän lain 13 §:ssä tarkoitettu päätös kriittisen toimijan määrittämisestä tehtäisiin ensimmäisen kerran viimeistään 17.7.2026. Tämän lain voimaantullessa 14 §:ssä säädetty kriittisen toimijan riskiarviointi tulisi kriittisen toimijan suorittaa ensimmäisen kerran yhdeksän kuukauden kuluessa siitä, kun vastaanottaja olisi saanut tiedon 13 §:ssä tarkoitetusta päätöksestä. Tämän lain 15 §:n mukainen kriittisen toimijan häiriönsietokykyä koskeva suunnitelma olisi laadittava ensimmäisen kerran vuoden kuluessa 14 §:ssä tarkoitetun riskiarvioinnin laatimisesta. tuSaaduista 16 §:ssä tarkoitetuista poikkeamailmoituksista toimitettaisiin viimeistään 17.7.2028 ensimmäinen yhteenvetokertomus komissiolle ja CER-direktiivin 19 artiklassa tarkoitetulle kriittisten toimijoiden häiriönsietokykyä käsittelevälle ryhmälle.