VALTIONEUVOSTON KIRJELMÄ
Ehdotus
CER-direktiiviehdotus on osa laajaa pakettia, johon kuuluu uusi kyberturvallisuusstrategia sekä verkko- ja tietoturvadirektiivin päivitys (ehdotus Euroopan parlamentin ja neuvoston direktiiviksi kyberturvallisuuden korkean tason varmistamiseksi Euroopan unionin alueella ja direktiivin 2016/1148 kumoamisesta, NIS2). Ehdotus perustuu 24.7.2020 komission julkaisemaan uuteen turvallisuusunionistrategiaan vuosille 2020—2025, jossa peräänkuulutettiin kokonaisvaltaista nykyiset ja tulevaisuuden riskit sekä fyysisen ja digitaalisen infrastruktuurin keskinäisriippuvuudet huomioivaa lähestymistapaa. Nämä toimet tukevat myös EU:n terrorismin vastaisen ohjelman tavoitteita.
Direktiiviehdotuksen tarkoituksena on parantaa välttämättömien palvelujen tarjontaa sisämarkkinoilla keskittymällä toimiin, jotka sekä ylläpitävät että parantavat yhteiskuntien kannalta kriittisten toimijoiden häiriönsietokykyä. Toimet kattavat monia aloja, ja niillä pyritään puuttumaan nykyisiin ja tuleviin verkossa ja sen ulkopuolella esiintyviin riskeihin johdonmukaisella ja toisiaan täydentävällä tavalla.
Komission mukaan toimivat sisämarkkinat ovat riippuvaisia kriittisten toimijoiden tuottamista palveluista, joita tarvitaan yhteiskunnan ja taloudellisen toiminnan ylläpitämiseksi. Yhteiskunnan toimintakyvyn kannalta kriittisten toimijoiden on oltava kriisinkestäviä, toisin sanoen kyettävä vastustamaan, kestämään, sopeutumaan ja toipumaan niihin vaikuttavista häiriöistä, jotka voivat johtaa vakaviin, toimialojen välisiin tai jopa rajat ylittäviin häiriötilanteisiin.
Komission mukaan ehdotus on linjassa verkko- ja tietojärjestelmiä koskevan NIS 2 direktiiviehdotuksen kanssa, luoden johdonmukaisen ja läheisen synergian toimenpiteisiin, joilla tavoitellaan korkean yhteisen kyberturvallisuuden tason saavuttamista koko unionissa.
Lisäksi komissio korostaa, että CER-direktiiviehdotus heijastaa kansallista lähestymistapaa yhä useammassa jäsenmaassa, joiden valmiustoimissa korostetaan sektorien välistä ja rajat ylittävää keskinäisriippuvuutta, ja joissa kriisinkestävyystoimet ovat vain yksi elementti riskien ehkäisyn ja vähentämisen, liiketoiminnan jatkuvuudenhallinnan ja elpymisen rinnalla.
Komissio korvaa CER-direktiivillä Euroopan kriittisen infrastruktuurin suojaamista koskevan ECI-direktiivin (2008/114EC), joka on komission mukaan vanhentunut, soveltamisalaltaan liian kapea eikä vastaa enää tämän päivän uhkia, joihin lukeutuvat luonnononnettomuuksien lisäksi muun muassa valtiollinen hybridivaikuttaminen, sisäpiiriuhat, terrorismi, pandemiat ja teollisuusonnettomuudet. CER-direktiivillä komissio tavoittelee koko uhkaspektrin kattamista ja digitaalisen ja fyysisen infrastruktuurin suojaamista yhtenä kokonaisuutena.
Direktiivillä tavoitellaan keinovalikoiman laajentamista pelkistä suojaustoimista elintärkeiden toimintojen jatkuvuudenhallintaa kehittäviin toimiin. Suojaustoimien ohella keskeisiksi toimiksi on nostettu mm. riskienhallinta ja toipumiskyky häiriöistä. Direktiiviluonnoksessa tunnistetaan fyysisen ja digitaalisen infrastruktuurin kytköksen lisäksi myös sekä sektorirajat ylittävät keskinäisriippuvuudet että jäsenvaltioiden rajat ylittävät keskinäisriippuvuudet.
Direktiiviehdotuksen soveltamisala koskee kymmentä sektoria, kattaen liikenteen, energian, pankit, finanssimarkkinat, terveyden, vesi- ja jätevesihuollon, digitaalisen infrastruktuurin, julkishallinnon ja avaruuden.
Ehdotuksessa sääntelyinstrumenttina säilyy direktiivi, mutta sen oikeusperustaksi komissio ehdottaa SEUT 114 artiklaa, joka koskee sisämarkkinoiden toteuttamiseen ja toimintaan liittyviä toimenpiteitä. Oikeusperustan muutoksen myötä siirrytään yksimielisestä päätöksenteosta määräenemmistöpäätöksentekoon. Sisällön osalta merkittävimmät muutokset koskevat soveltamisalaa, kriittisten toimijoiden identifiointia sekä jäsenmaille ja kriittisille toimijoille asetettavia velvoitteita.
Direktiiviehdotuksessa nykyinen jäsenvaltioiden asiantuntijoista muodostettu Critical Infrastructure Protection Point of Contact -ryhmä uudistetaan ja sen nimi muuttuu kriittisten toimijoiden häiriönsietokyvyn asiantuntijaryhmäksi (Critical Entities Resilience Group CERG). Ryhmän tehtävänä olisi avustaa komissiota direktiivin toimeenpanossa ja siihen sovellettaisiin komission horisontaalisten ryhmien toimintamallia (182/2011).
Valtioneuvoston kanta
Valtioneuvosto pitää EU:n kriisinkestävyyden kokonaisvaltaista kehittämistä keskeisenä. On erityisen tärkeää, että kriittisten toimijoiden fyysistä ja digitaalista kriisinkestävyyttä edistetään vahvasti EU:ssa ja jäsenmaissa. Näin parannetaan myös EU:n ja jäsenmaiden varautumista hybridiuhkiin. Muuttuva turvallisuusympäristö sekä meneillään oleva COVID-19-pandemia ovat osoittaneet, että EU:ssa on määritettävä ja tunnistettava yhdenmukaisin menettelyin yhteiskuntien toimintakyvyn kannalta kriittiset toimijat ja parannettava niiden kriisinsietokykyä muun muassa kehittämällä suojaustoimenpiteitä, tunnistamalla paremmin jäsenvaltioiden välisiä keskinäisriippuvuuksia sekä estämällä tietojen yhdistelyn ennakoimattomia vaikutuksia.
Valtioneuvosto katsoo, että kriittisten järjestelmien suojelu on tärkeää nähdä kokonaisuutena ja että jatkuvuudenhallinta, häiriönsietokyvyn kehittäminen ovat keskeisessä asemassa Euroopan kriittisen fyysisen ja digitaalisen infrastruktuurijärjestelmien turvallisuuden ja toimintakyvyn parantamisessa. Valtioneuvosto tukee EU:n kokonaisvaltaista ajattelua, jossa CER-direktiiviehdotus on osa laajempaa pakettia, johon kuuluu myös uusi kyberturvallisuusstrategia sekä verkko- ja tietoturvadirektiivin päivitys.
CER-direktiiviehdotuksen tavoitteena on parantaa yhteiskunnan elintärkeiden toimintojen tai taloudellisen toiminnan ylläpitämisen kannalta kriittisten palvelujen tarjoamista sisämarkkinoilla ja siten parantaa sisämarkkinoiden toimintaa myös kriisitilanteissa. Samalla tunnistetaan eri toimijoiden ja toimialojen keskinäisriippuvuudet, joihin myös Suomen kriittiset toimijat ovat kytkeytyneitä. Valtioneuvosto katsoo, että sisämarkkinoiden kriittisten palveluiden toimintavarmuuden paraneminen tukee osaltaan myös Suomen huoltovarmuuden ylläpitoa ja kehittämistä.
Valtioneuvosto toteaa, että ehdotus on osin lähtökohdiltaan ja periaatteeltaan erilainen kuin Suomen huoltovarmuusjärjestelmä, mutta ehdotuksen voidaan katsoa lisäävän EU-tasoista kriisinkestävyyttä sekä EU-maiden välistä yhteistyötä. Valtioneuvosto arvioi valmistelun edetessä tarkemmin direktiiviehdotuksen vaikutuksia kansalliseen lainsäädäntöön sekä ehdotuksen yritys- sekä hallinnollisia vaikutuksia, erityisesti kansallisen huoltovarmuusjärjestelmän osalta.
CER-direktiivi huomioi kriittisten järjestelmien kytköksen kybermaailmaan. Valtioneuvosto pitää hyvänä, että direktiiviehdotus on yhdenmukainen NIS 2 direktiiviehdotuksen kanssa, jossa säännellään keskeisten toimijoiden kyberturvallisuudesta ja digitaalisesta infrastruktuurista. Molempien ehdotusten myötä sekä kansallinen että rajat ylittävä viranomaisyhteistyö ja tietojenvaihto tulevat lisääntymään, mikä parantaa ymmärrystä fyysisten ja digitaalisten järjestelmien keskinäisriippuvuuksista. Keskusteluun tulisi nostaa myös paikkatieto eli paikkaan sidottu tieto, joka on tietoyhteiskunnan toiminnan kannalta kriittinen elementti, ja johon yhdistyy aina myös muita tärkeitä kohdetietoja. Paikkatieto muodostaa kokonaiskuvan yhteiskuntien toiminnollisuuksista ja niiden sijainneista. Tätä kokonaisuutta tulisi suojella nykyistä kattavammin. Valtioneuvosto lisäksi korostaa, että erityistä huomiota tulee kiinnittää omistajuuteen ja määräysvallan säilymiseen unionissa kriittisten toimijoiden osalta.
Direktiiviehdotus tukee jäsenvaltioiden kansallisia toimenpiteitä ja viranomaistoimintaa. Esityksen velvoitteet sekä jäsenvaltioille että kriittisille toimijoille on tärkeää suunnitella siten, etteivät velvoitteet lisää tarpeettomasti hallinnollista taakkaa tai kustannuksia. Mahdollisesta kansallisesta rahoituksesta päätetään julkisen talouden suunnitelman ja valtion talousarvion valmistelun yhteydessä. Toimenpiteiden edellyttämä valtion rahoitus toteutetaan valtiontalouden kehysten puitteissa tarvittaessa kohdentamalla määrärahoja uudelleen.
Valtioneuvosto kiinnittää valmistelun edetessä huomiota jäsenvaltioiden raportointivelvoitteiden oikeasuhtaisuuteen. Perussopimusten mukaan kansallinen turvallisuus säilyy kunkin jäsenvaltion vastuulla. Valtioneuvosto katsoo, että komissiolle delegoitavien toimivaltuuksien tulisi olla tarkkarajaisia, oikeasuhtaisia, tarkoituksenmukaisia ja hyvin perusteltuja.
Valtioneuvosto suhtautuu komission ehdotukseen direktiivin oikeusperustaksi alustavasti myönteisesti, mutta arvioi asiaa vielä valmistelun edetessä. Direktiiviehdotuksen voidaan katsoa liittyvän jäsenvaltioiden lainsäädännön yhteensovittamiseen ja sisämarkkinoiden kehittämiseen, sekä kriittisten infrastruktuuritoimijoiden suojaamiseen ja niiden kriisinkestävyyden parantamiseen. Lisäksi direktiiviehdotuksella varmistetaan, että jäsenvaltiot soveltavat yhtenäistä tapaa yhteiskuntien kannalta kriittisten toimijoiden tunnistamisessa sekä huomioidaan kansalliset erityispiirteet, kuten jäsenvaltiokohtaiset riskitasot.
Direktiiviehdotuksessa tarkoitettuun taustan selvittämiseen liittyviä taloudellisia ja lainsäädäntövaikutuksia tulisi arvioida vielä tarkemmin. Lisäksi kyseisen ehdotuksen perusoikeuksia rajoittavia vaikutuksia tulisi arvioida huolellisesti ehdotuksen käsittelyn aikana. Neuvottelujen aikana on tärkeää kiinnittää huomiota siihen, että turvallisuusselvityksiin sovelletaan kansallista lainsäädäntöä ja myös niihin käytettävät lähderekisterit ja toimivaltaiset viranomaiset voivat poiketa toisistaan. Tulisi pyrkiä vaikuttamaan siihen, että täytäntöönpanoon jää riittävästi kansallista liikkumavaraa. Erityisesti työntekijöiden taustan selvittämiseen sovellettava henkilötietojen käsittelyä koskeva yleislaki ja EU-rikosrekisteritietojen käyttäminen olisi syytä jättää kansalliseen harkintaan.
VALIOKUNNAN PERUSTELUT
Komission on julkaissut 16 päivänä joulukuuta 2020 ehdotuksensa direktiiviksi kriittisten toimijoiden häiriönsietokyvystä (CER-direktiivi; Critical Entities Resilience Directive) osana laajempaa kokonaisuutta, johon kuuluu uusi kyberturvallisuusstrategia sekä verkko- ja tietoturvadirektiivin (NIS) päivitys. CER-direktiivi korvaa Euroopan kriittisen infrastruktuurin suojaamista koskevan ECI-direktiivin (2008/114EC), joka on komission mukaan vanhentunut, soveltamisalaltaan liian kapea eikä vastaa enää tämän päivän uhkamaisemaa.
Komission mukaan on ilmeistä, että elintärkeiden infrastruktuurien suojaamista koskevat nykyiset puitteet eivät ole yhteismitallisia eivätkä riittäviä suojaamaan Euroopan kriittistä infrastruktuuria ja siihen kytkeytyviä palveluita. Komissio korostaa, että toimintaympäristö, jossa kriittiset toimijat toimivat, on muuttunut merkittävästi. Ensinnäkin Euroopan kohtaamat riskit ja uhat ovat monimuotoisempia kuin vuonna 2008. Toiseksi kriittisten järjestelmien toimijat, kuten palvelu-operaattorit kohtaavat uuden teknologian käyttöönoton myötä haasteita, jotka usein liittyvät järjestelmien haavoittuvuuksiin. Uusi teknologia myös avaa mahdollisuuksia valtiolähtöiselle vihamieliselle toiminnalle, joka pyrkii hyödyntämään verkottuneen infrastruktuurin haavoittuvuuksia. Kolmanneksi uusi teknologia lisää entisestään infrastruktuuri- ja palveluoperaattoreiden keskinäisriippuvuutta, mikä voi johtaa häiriötilanteiden nopeaan laajentumiseen yhdeltä sektorilta toiselle ja mahdollisesti aiheuttaa merkittäviä häiriötilanteita useissa jäsenvaltioissa tai unionin tasolla.
Komission mukaan kriittisten toimijoiden keskinäisriippuvuuteen liittyviä haasteita ei tähän mennessä ole riittävästi tunnistettu unionin lainsäädännössä. Tähän on komission mukaan useita syitä. Ensinnäkin infrastruktuuri -ja palveluoperaattorit eivät ole täysin tietoisia tai eivät ole riittävässä määrin varautuneet dynaamisen riskimaiseman vaikutuksiin omalla toimialallaan. Toiseksi kriisinsietokyvyn parantamiseen keskittyvät toimet eroavat merkittävästi jäsenvaltioiden ja toimialojen välillä. Kolmanneksi jäsenvaltioiden kesken ei ole riittävää yhteismitallista kriittisten toimijoiden arviointikehikkoa, joten valmiuksissa ja valvonnassa on merkittäviä poikkeamia jäsenvaltioiden kesken. Vaatimukset ja valtion tarjoama tuki toimijoille vaihtelee jäsenvaltioittain, mikä aiheuttaa esteitä rajat ylittävälle yhteistyölle. Näin ollen on mahdollista, että jopa yksittäisen infrastruktuuri- ja palveluoperaattorin riittämätön valmius häiriötilanteen hoitamiseksi voi aiheuttaa vakavan riskin sisämarkkinoiden toiminnalle.
Komissio toteaa, että sisämarkkinoiden moitteettoman toiminnan vaarantamisen lisäksi rajat ylittävillä häiriöillä voi olla Euroopan tasolla merkittäviä kielteisiä vaikutuksia kansalaisille, yrityksille, hallituksille ja ympäristölle. Komissio korostaa, että yksittäisen sektorin häiriöt voivat vaikuttaa esimerkiksi eurooppalaisten kykyyn matkustaa ja työskennellä vapaasti sekä esimerkiksi pääsyyn välttämättömien julkisten palvelujen, kuten terveydenhuollon, piiriin.
Komissio myös korostaa, että häiriötilanteet, kuten suuret sähkökatkokset ja vakavat liikenne-onnettomuudet, voivat heikentää turvallisuuden tunnetta ja väestön luottamusta kriittisten infrastruktuuri- ja palvelujärjestelmien toimintakykyyn sekä viranomaisiin, jotka viime kädessä ovat vastuussa järjestelmien valvonnasta ja väestön toimintakyvyn turvaamisesta.
Valiokunta katsoo, että komissio on ehdotuksessaan esittänyt kestävät perustelut kriittisen infrastruktuurin nykyistä tehokkaammaksi suojaamiseksi Euroopan unionissa. Valiokunta toteaa, että asetusehdotus perustuu komission turvallisuusunionistrategiaan vuosille 2020—2025, jossa peräänkuulutetaan kokonaisvaltaista nykyiset ja tulevaisuuden riskit sekä fyysisen ja digitaalisen infrastruktuurin keskinäiset riippuvuussuhteet huomioon ottavaa lähestymistapaa. Toimivat sisämarkkinat ovat riippuvaisia kriittisten toimijoiden tuottamista palveluista, joita tarvitaan yhteiskunnan ja taloudellisen toiminnan ylläpitämiseksi. Valiokunta yhtyy siihen näkemykseen, että yhteiskunnan toimintakyvyn kannalta kriittisten toimijoiden on kyettävä vastustamaan ja kestämään häiriötilanteita sekä sopeutumaan ja toipumaan niihin vaikuttavista häiriöistä, jotka muutoin voivat johtaa vakaviin toimialojen välisiin ja myös rajat ylittäviin vaikutuksiin. Tiivistäen ilmaistuna yhteiskunnan toimintakyvyn kannalta kriittisten toimijoiden on oltava kriisinkestäviä.
Valiokunta toteaa, että CER-direktiiviehdotuksen soveltamisala koskee kymmentä sektoria kattaen liikenteen, energian, pankit, finanssimarkkinat, terveyden, vesi- ja jätevesihuollon, digitaalisen infrastruktuurin, julkishallinnon ja avaruuden. Suomessa soveltamisala asettuu yhteiskunnan turvallisuusstrategian ja sitä palvelevan kokonaisturvallisuusmallin nimeämien yhteiskunnan elintärkeiden toimintojen ja huoltovarmuuden turvaamiseksi tunnistettujen sektorien sekä huoltovarmuuspoolien toimialojen väliin. Asetusehdotuksen soveltamisalaan kuuluu lisäksi yksi sektori, avaruus, joka ei sisälly tällä hetkellä maassamme tunnistettuihin toimintoihin tai sektoreihin.
Valiokunta toteaa tässä yhteydessä, että lakiin huoltovarmuuden turvaamisesta (1390/1992) pohjautuvalla kansallisella järjestelmällämme on eroistaan huolimatta sama tavoite kuin CER-direktiivillä eli yhteiskunnan elintärkeiden toimintojen turvaaminen. Koska käsitteet vaihtelevat maittain ja myös EU:n tasolla, valiokunta pitää tärkeänä niiden merkityssisällön ja luonteen ymmärtämistä. Valiokunta näkee uudistuksen hyötyjen liittyvän myös tähän seikkaan eli yhtenäisen ymmärryksen muodostamiseen direktiivin myötä kriisin kestävyydestä ja sen vaatimuksista. Uudistuksen tavoitteena on jäsenmaiden yhdensuuntainen lähestymistapa sisämarkkinoiden palveluiden kriisinkestävyyden parantamiseksi ja niitä koskevaan sääntelyyn sekä valvontaan.
Direktiivi saatetaan voimaan kansallisella lainsäädännöllä. Se asettaa velvoitteita sekä viranomaisille että yrityksille, jotka toimivat mainituilla kymmenellä sektorilla. Direktiiviehdotus edellyttää jäsenvaltioiden tunnistavan sektorikohtaiset elintärkeät toiminnot ja nimeävän niitä tarjoavat kriittiset toimijat yhteisten eurooppalaisten kriteerien ja kansallisen riskiarvion pohjalta. Tällä hetkellä Suomen lainsäädännössä ei ole määritelty kansallista kriittistä infrastruktuuria tai kriittisiä sektoreita. Kuitenkin useita direktiiviehdotuksen kriisinkestävyyttä parantavia toimenpiteitä on toteutettu kansallisessa huoltovarmuusjärjestelmässämme.
Jäsenvaltioilta edellytetään myös kansallista strategiaa kriittisten toimijoiden häiriönsietokyvyn vahvistamiseksi. Strategiassa tulee muun muassa määritellä kansalliset tavoitteet ja prioriteetit ottaen huomioon rajat ylittävät ja sektoreiden väliset riippuvuudet sekä toimeenpanoon osallistuvien roolit, tehtävät ja vastuut. Lisäksi on huolehdittava koordinaatiosta CER- ja NIS-direktiivien alaisten vastuuviranomaisten välillä tiedonvaihdon ja valvonnan edistämiseksi.
Jäsenvaltioiden tunnistamilta kriittisiltä toimijoilta direktiivi edellyttää omien riskiarvioiden ja kriisinkestävyyssuunnitelmien laadintaa. Kriittisiä toimijoita koskevat kriisinsietokykyvaatimukset liittyvät häiriöiden ehkäisyyn, infrastruktuurin fyysiseen suojaamiseen, riskin- ja kriisinhallintajärjestelyihin, jatkuvuudenhallintaan ja henkilöstön turvallisuusselvityksiin.
Direktiiviehdotuksessa erityistä valvontaa komissio esittää kohdennettavaksi strategisesti merkittäviin toimijoihin, joiden tuottamat palvelut koskevat vähintään kolmasosaa jäsenmaista. Komissio myös korostaa yhteistyötä kumppanimaiden kanssa, koska keskinäiset riippuvuudet eivät pääty EU:n ulkorajoille. Ehdotetussa direktiivissä säädetään mahdollisuudesta tällaiseen yhteistyöhön.
Direktiiviehdotuksen asettamat velvoitteet edellyttävät tiiviin viranomaisyhteistyön lisäksi raportointia jäsenvaltioiden sisällä, jäsenvaltioiden välillä sekä jäsenvaltioiden ja komission välillä. Koska raportoitava tieto koskee yhteiskunnan turvallisuutta ja toimintavarmuutta, on tietojen suojaaminen ensiarvoisen tärkeää niin jäsenvaltioissa kuin komissiossakin. Direktiivin velvoitteita koskevista tiedoista koostuvan aineiston arkaluontoisuuden tasoa on tässä vaiheessa vaikeaa määritellä. Valiokunta katsoo, että kansallista turvallisuutta koskevien tietojen luovuttamisessa on syytä noudattaa varovaisuusperiaatetta, eikä sellaisia tietoja tule luovuttaa automaattisesti komissiolle tai muulle taholle.
Komission ehdottamalla horisontaalisella sääntelyllä on rajapintoja muiden alakohtaisten ja monialaisten Euroopan unionin tavoitteiden kanssa, joita on tehty muun muassa katastrofiriskien vähentämisestä ja ilmastonmuutokseen sopeutumisesta, pelastuspalvelusta, suorista ulkomaisista investoinneista, kyberturvallisuudesta ja rahoituspalveluja koskevasta säännöstöstä. Eurooppalainen yhteinen lainsäädäntökehys on komission mukaan perusteltu kriittisen infrastruktuurin toimijoiden välisten suhteiden ja keskinäisriippuvuuksien tunnistamiseksi, niiden rajat ylittävän luonteen vuoksi ja kriittisten palveluiden takaamiseksi. Valiokunta kiinnittää päällekkäisyyksien välttämiseksi huomiota mahdollisen yhteensovittamisen tarpeeseen suhteessa sektorikohtaisen lainsäädännön kanssa.
Valiokunta suhtautuu myönteisesti komission direktiiviehdotukseen. Valiokunta arvioi, että voimaan tultuaan direktiivi nostaa yleistä kriisinkestävyyden tasoa Euroopan unionin jäsenmaissa, mukaan lukien sellaiset jäsenmaat, joissa on Suomen kannalta merkittäviä toimintoja ja riippuvuuksia.