Viimeksi julkaistu 12.3.2025 14.09

Valiokunnan lausunto LiVL 2/2025 vp HE 205/2024 vp Liikenne- ja viestintävaliokunta Hallituksen esitys eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi

Hallintovaliokunnalle

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi (HE 205/2024 vp): Asia on saapunut liikenne- ja viestintävaliokuntaan lausunnon antamista varten. Lausunto on annettava hallintovaliokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

  • hallitusneuvos Johanna Hakala 
    sisäministeriö
  • hallitussihteeri Veikko Vauhkonen 
    liikenne- ja viestintäministeriö
  • kehityspäällikkö Laura Vilkkonen 
    liikenne- ja viestintäministeriö
  • lainsäädäntöneuvos Niklas Vainio 
    oikeusministeriö
  • poliisitarkastaja Jonne Lähteenmäki 
    Poliisihallitus
  • turvallisuusjohtaja  Toni Lahti 
    Tulli
  • johtava asiantuntija Kristiina Jaatinen 
    Liikenne- ja viestintävirasto
  • NIS-koordinaattori, erityisasiantuntija Kalle Varjola 
    Liikenne- ja viestintävirasto, Kyberturvallisuuskeskus
  • toimialajohtaja Juuso Kummala 
    Väylävirasto
  • johtava asiantuntija Katri Liekkilä 
    Huoltovarmuuskeskus
  • yksikönjohtaja Heli Tammivuori 
    Huoltovarmuuskeskus
  • yritysturvallisuusjohtaja Tiina Ranta 
    Finavia Oyj
  • liikennejohtaja Timo Rosendahl 
    HaminaKotka Satama Oy
  • johtaja Kimmo Lehtinen 
    Satamaoperaattorit ry
  • vastaava lakimies Sara Seppänen 
    Auto- ja Kuljetusalan Työntekijäliitto AKT ry
  • johtava asiantuntija Markku Rajamäki 
    Elinkeinoelämän keskusliitto EK ry
  • lakimies Asko Metsola 
    FiCom ry
  • toimitusjohtaja Piia Karjalainen 
    Suomen Satamat ry

Valiokunta on saanut kirjallisen lausunnon: 

  • Suomen Ammattiliittojen Keskusjärjestö SAK ry

VALIOKUNNAN PERUSTELUT

Yleistä

(1) Valiokunta pitää hallituksen esityksessä tehtyjä ehdotuksia tarpeellisina ja tärkeinä täydennyksinä voimassa olevaan varautumista koskevaan lainsäädäntöön. Kriittiseen infrastruktuuriin kohdistuvista uhista on viimeajoilta konkreettisia esimerkkejä ja valiokunta pitää hyvänä, että niin sanottuun CER-direktiiviin perustuva esitys täydentää lainsäädäntöä sellaisilla toimialoilla, joiden varautumisesta ei ole aiemmin nimenomaisesti säädetty. 

(2) Valiokunta kiinnittää huomiota siihen, että esityksellä on kiinteä yhteys Euroopan parlamentin ja neuvoston direktiiviin (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi). NIS 2 -direktiivin kansallista täytäntöönpanoa koskevan hallituksen esityksen HE 57/2024 vp mietintö LiVM 1/2025 vp valmistui 27.2.2025.  

Keskitetty kansallinen yhteyspiste

(3) Asiantuntijakuulemisessa on tuotu esille, että nyt käsittelyssä olevassa esityksessä ei nimenomaisesti ole nimetty CER-direktiivissä tarkoitettua keskitettyä kansallista yhteyspistettä ja keskitetyn yhteyspisteen tehtävät on jaettu useille eri toimijoille. Asiantuntijakuulemisessa on pidetty tarpeellisena, että sekä CER- että NIS 2 -direktiivin mukaiset keskitetyt yhteyspisteet on nimetty direktiivien edellyttämällä tavalla osana kansallista täytäntöönpanoa. NIS 2 -direktiivissä tarkoitettuna keskitettynä yhteyspisteenä toimii uuden kyberturvallisuuslain (LiVM 1/2025 vpHE 57/2024 vp) perusteella Suomessa Liikenne- ja viestintävirasto. Asiantuntijakuulemisessa on ehdotettu, että Huoltovarmuuskeskus tulisi nimetä nyt käsittelyssä olevassa esityksessä CER-direktiivissä tarkoitetuksi keskitetyksi yhteyspisteeksi. 

(4) Liikenne- ja viestintävaliokunta kannattaa CER-lakiehdotuksen käytännön toimeenpanon rakentamista jo olemassa olevien rakenteiden ja eurooppalaisittainkin vertailtuna hyvin toimivan nykyisen huoltovarmuuden yhteistyömallin varaan. Saadun selvityksen mukaan asiaa tullaan arvioimaan Huoltovarmuuskeskusta koskevan parhaillaan käynnissä olevan lainsäädäntöuudistuksen yhteydessä. Liikenne- ja viestintävaliokunta pitää tärkeänä, että asia arvioidaan ja valmistellaan huolellisesti ja ehdottaa hallintovaliokunnalle, että se arvioi, onko esitystä koskevassa mietinnössä tarpeen edellyttää valtioneuvostolta toimenpiteitä esimerkiksi eduskunnan lausuman kautta. 

Valvonta ja tiedonsaantioikeudet

(5) Asiantuntijakuulemisessa on kiinnitetty huomiota siihen, että hallituksen esityksessä avaruustoimialan valvontatehtäviä ei ole osoitettu millekään viranomaiselle.  

(6) Valiokunta toteaa, että avaruustoimiala on selkeästi merkitykseltään Suomessakin kasvava toimiala, jolla toimii jo tällä hetkellä huomattava määrä kotimaisia yrityksiä ja muita toimijoita. Näin ollen valiokunta pitää saamansa selvityksen perusteella erittäin tärkeänä, että 1. lakiehdotuksessa osoitetaan avaruustoimialan valvontatehtävät tietylle viranomaiselle vastaavalla tavalla kuin muidenkin toimialojen osalta.  

(7) Valiokunta ehdottaa hallintovaliokunnalle, että avaruussektoria valvovan viranomaisen tehtävä osoitetaan Liikenne- ja viestintävirastolle, joka on jo nykyisin maa-asemista ja eräistä tutkista annetun lain (96/2023) mukainen lupa- ja valvontaviranomainen, lukuun ottamatta laissa eräitä valtioneuvostolle osoitettuja lupatehtäviä. Sisäministeriö valmisteli ja esitteli liikenne- ja viestintävaliokunnalle asiantuntijakuulemisen yhteydessä 1. lakiehdotuksen 19 §:n 3 kohtaa koskevan muutosehdotusluonnoksen, jossa kyseinen tehtävä säädetään Liikenne- ja viestintäviraston tehtäväksi. Valiokunta kannattaa kyseistä ehdotusta. Valiokunta kuitenkin kiinnittää samalla huomiota siihen, että tehtävä olisi virastolle uusi, ehdotus laajentaisi Liikenne- ja viestintäviraston valvottaviksi tulevien toimijoiden määrää eikä uutta tehtävää varten ole osoitettu uusia resursseja. Valiokunta kantaa huolta viranomaisresurssien riittävyydestä ja siitä, että viranomaisten resurssit ovat riittäviä lakisääteisten tehtävien asianmukaiselle hoitamiselle ja erityisesti kansallisesti tärkeän kyberturvallisuuden varmistamiselle. Valiokunta kiinnittää kuitenkin samalla huomiota myös priorisoinnin tarpeeseen nykytilanteessa. Muun muassa turvallisuusympäristössä tapahtuneet muutokset ovat muuttaneet asioiden painopistejärjestystä siten, että myös tehtävien hoitamiseen käytettävissä olevien nykyisten resurssien käyttöä joudutaan arvioimaan osin uusista lähtökohdista. 

(8) Asiantuntijakuulemisessa on kiinnitetty huomiota 1. lakiehdotuksen 27 §:n 2 momentin säännökseen, jonka mukaan Liikenne- ja viestintäviraston yhteydessä toimivan Kyberturvallisuuskeskuksen CSIRT-yksikkö on valvovien viranomaisten tiedonsaantioikeuksien ulkopuolella. Liikenne- ja viestintävaliokunta kiinnittää saamansa selvityksen perusteella hallintovaliokunnan huomiota siihen, että Liikenne- ja viestintäviraston kyberturvallisuuteen liittyvät tehtävät perustuvat keskeisesti toimijoiden väliseen luottamukseen. Ilman tätä luottamusta myöskään virasto ei saa toimijoilta kaikkea sitä tietoa, mitä se tarvitsee tehtävänsä tehokkaaksi hoitamiseksi. Valiokunta korostaa, että kyseinen esityksessä tehty rajaus on siten hyvin tärkeä CSIRT-yksikön tehtävien mahdollisimman tehokkaan hoitamisen ja tässä toiminnassa välttämättä tarvittavan luottamuksen säilymisen kannalta. 

Yhtenäinen ilmoituskanava poikkeamailmoituksille

(9) Asiantuntijakuulemisessa on pidetty tarpeellisena, että poikkeamailmoituksille (NIS 2, CER ja GDPR) luotaisiin yksi ilmoituskanava ja tuotu esille, että ehdotetun valvontamallin myötä ilmoitusprosessit tulevat muodostumaan monimutkaisiksi. Sisäministeriön antaman selvityksen mukaan tavoitteena on luoda poikkeamailmoituksille yksi yhteinen ilmoituskanava (portaali). Liikenne- ja viestintävaliokunta pitää tavoitetta yhteisestä tietoturvallisesta ilmoituskanavasta kannatettavana. Saadun selvityksen mukaan yhteisen ilmoituskanavan kehittäminen on ennen kaikkea resurssikysymys.  

Turvallisuusselvitykset satamissa

(10) Asiantuntijakuulemisessa on tuotu esityksen 5. lakiehdotukseen liittyen esille, että vastuuta turvallisuusselvityksistä ei tulisi asettaa keskitetysti satamanpitäjälle ja että velvollisuus turvallisuusselvityksen hakemiseen tulisi olla erikseen kullakin yrityksellä oman henkilöstönsä osalta. Saadun selvityksen mukaan kyseinen sääntely on valmisteltu oikeusministeriössä.  

(11) Valiokunnan saaman selvityksen mukaan esityksessä ehdotettu keskitetty malli on valittu muun muassa siksi, että turvallisuusselvitysten tuloksena saatu sensitiivinen tiedustelutieto ei leviäisi tarpeettoman laajalle. Lisäksi keskitetyllä mallilla on katsottu esityksen valmistelussa olevan etuja myös Suojelupoliisin turvallisuusselvityksiin liittyvän asiakasprosessin kannalta, ja on tuotu esille, että vastaavia keskitettyjä turvallisuusselvitysvaatimuksia on asetettu jo muualla lainsäädännössä muun muassa lentokentille, ydinenergialaitoksiin, yksityisiin vartiointiliikkeisiin sekä rakennusalalle.  

(12) Asiantuntijakuulemisessa on myös esitetty, että velvoitteen käyttöönotolle tulisi joka tapauksessa asettaa riittävä siirtymäaika. Valiokunta pitääkin erittäin tärkeänä, että satamien turvallisuusselvityksiä koskevien velvoitteiden toteuttamiseen varataan riittävästi aikaa. Valiokunta painottaa viranomaisneuvonnan ja tiiviin yhteistyön tarvetta satamien turvallisuusselvityksiä koskevan sääntelyn käytännön toimeenpanossa. 

Eräitä muita muutostarpeita

(13) Asiantuntijakuulemisessa on kiinnitetty huomiota siihen, että 1. lakiehdotuksen 28 §:n 2 momentin muotoilun perusteella jää tulkinnanvaraiseksi, mihin viranomaisiin 13 §:ssä tarkoitetuilla viranomaisilla tarkkaan ottaen viitataan. Esitystä voi tulkita siten, että viittauksella 13 §:ään tarkoitetaan erityisesti ministeriöitä, jotka päättävät kriittisten toimijoiden määrittämisestä omalla toimialallaan. Kuitenkin esimerkiksi 13 §:n 2 momentissa viitataan myös muihin viranomaisiin kuin edellä mainittuihin ministeriöihin. Mikäli 28 §:n 2 momentissa on tarkoitus viitata 13 §:n osalta vain kriittisten toimijoiden määrittämisestä päättäviin ministeriöihin, 28 §:n 2 momentin viittaus on valiokunnan näkemyksen mukaan tarpeen täsmentää koskemaan vain 13 §:n 1 momentissa tarkoitettuja viranomaisia.  

(14) Asiantuntijakuulemisessa on kiinnitetty huomiota myös siihen, että jotta hallituksen esitys olisi yhdenmukainen CER-direktiivin 8 artiklan kanssa, 1. lakiehdotuksen 2 §:n 3 momentin mukaista listaa niistä esityksen kohdista, joita ei sovelleta digitaalisen infrastruktuurin toimijoihin, tulisi täydentää lisäämällä siihen 7 §:n 4 momentti ja 13 §:n 3 momentti. Lisäksi 7 §:n 3 momenttia koskevaa rajausta 2 §:n 3 momentissa tulisi täsmentää siten, että soveltamisalan rajaus koskisi vain 7 §:n 3 momentin 3-5 kohtaa, eikä 3 momenttia kokonaisuudessaan. Valiokunta yhtyy näihin esille tuotuihin muutostarpeisiin. 

(15) Lisäksi asiantuntijakuulemisessa on kiinnitetty huomiota siihen, että 1. lakiehdotuksen 16 §:n 1 momentissa tulisi nimenomaisesti todeta, että poikkeamailmoitusprosessi koskee vain merkittäviä poikkeamia. Saadun selvityksen mukaan tältä osin direktiivin käännöksessä on selkeä ero suomenkielisen ja toisaalta ruotsinkielisen ja englanninkielisen kieliversion välillä. Direktiivin 15 artiklan 1 kohdan mukaan englannin- ja ruotsinkielisissä versioissa edellytetään merkittävää häiriötä tai sen mahdollisuutta, kun suomeksi taas edellytetään vain häiriötä tai sen mahdollisuutta. Valiokunta yhtyy asiantuntijakuulemisessa tehtyyn huomioon ja ehdottaa näin ollen hallintovaliokunnalle poikkeamailmoituksen kynnyksen täsmentämistä 1. lakiehdotuksen 16 §:n 1 momenttiin koskemaan vain merkittäviä häiriöitä. 

Esityksen yhteys NIS 2-direktiivin toimeenpanoon ja perustuslakivaliokunnan lausunto soveltamisalasta eduskunnan virastojen osalta

(16) NIS 2-direktiivi edellyttää, että sen mukaisia velvoitteita kyberturvallisuutta koskevasta riskienhallinnasta ja merkittävien poikkeamien raportoinnista sovelletaan myös CER-direktiivin nojalla määritettäviin kriittisiin toimijoihin. Lisäksi CER- ja NIS 2 -direktiiviin sisältyy muun muassa säännöksiä niiden mukaisten toimivaltaisten viranomaisten välisestä yhteistyöstä.  

(17) Nyt käsittelyssä olevan hallituksen esityksen perusteluissa on tuotu esille, että valtioneuvosto valmistelee erikseen esityksen teknisistä lainsäädäntömuutoksista, jotka ovat tarpeen kyberturvallisuuslain (HE 57/2024 vp) velvoitteiden soveltamiseksi kriittisiin toimijoihin NIS 2- ja CER-direktiivien edellyttämällä tavalla. Saadun selvityksen mukaan tämän erillisen hallituksen esityksen valmistelu on parhaillaan käynnissä liikenne- ja viestintäministeriössä ja CER-direktiivin täytäntöönpanon aiheuttamat muutokset kyberturvallisuuslakiin on tarkoitus saattaa eduskunnan käsiteltäväksi mahdollisimman pian erillisellä hallituksen esityksellä kevään 2025 aikana. 

(18) Liikenne- ja viestintävaliokunta kiinnittää samalla hallintovaliokunnan huomiota siihen, että NIS 2 -direktiivin toimeenpanon yhteydessä käsiteltäessä hallituksen esitystä HE 57/2024 vp perustuslakivaliokunta edellytti lausunnossaan PeVL 62/2024 vp, että esityksen 2. lakiehdotusta on muutettava siten, että julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 4 a lukua ei sovelleta eduskunnan virastoihin. Kyseessä oli niin sanottu valtiosääntöoikeudellinen huomautus eli muutoksen tekeminen oli edellytyksenä lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. Tästä johtuen liikenne- ja viestintävaliokunta poisti mietinnössään kyseisestä lakiehdotuksesta kriittisen toimijan määritelmän, joka oli yhteydessä nyt käsittelyssä olevaan CER-direktiivin toimeenpanoa koskevaan esitykseen ja teki mietinnössään myös muut tarvittavat muutokset, jotta eduskunnan virastot jäävät kyseisen sääntelyn soveltamisalan ulkopuolelle perustuslakivaliokunnan lausunnossa edellytetyllä tavalla.  

(19) Valiokunta kiinnittää hallintovaliokunnan huomiota myös siihen, että sekä NIS 2- että CER-direktiivejä koskevissa hallituksen esityksissä (HE 57/2024 vp ja HE 205/2024 vp) ehdotetaan muutettavaksi sakon täytäntöönpanosta annetun lain (672/2002) samaa lainkohtaa. Hallituksen esitystä HE 57/2024 vp koskevassa mietinnössään LiVM 1/2025 vp liikenne- ja viestintävaliokunta teki korjauksia kyseistä lainkohtaa koskevaan muutosehdotukseen. 

VALIOKUNNAN PÄÄTÖSESITYS

Liikenne- ja viestintävaliokunta esittää,

että hallintovaliokunta ottaa edellä olevan huomioon
Helsingissä 12.3.2025 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Jouni Ovaska kesk 
 varapuheenjohtaja 
Timo Furuholm vas 
 jäsen 
Pekka Aittakumpu ps 
 jäsen 
Heikki Autto kok 
 jäsen 
Seppo Eskelinen sd 
 jäsen 
Petri Huru ps 
 jäsen 
Aleksi Jäntti kok 
 jäsen 
Marko Kilpi kok 
 jäsen 
Sheikki Laakso ps 
 jäsen 
Mats Löfström 
 jäsen 
Anna-Kristiina Mikkonen sd 
 jäsen 
Jani Mäkelä ps 
 jäsen 
Martin Paasi kok 
 jäsen 
Pinja Perholehto sd 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Juha Perttula