Luonnos hallituksen esitykseksi laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi.

1. Yleiset huomiot CER-direktiivin kansallisesta toteuttamistavasta, kuten esimerkiksi viranomaistoiminnan järjestämisestä ja valvontamallista
 

Kuntaliitto kiittää mahdollisuudesta lausuntoon.

Kansallinen toteuttamistapa on hajautettu usealle taholle. Valtioneuvosto vastaa strategiasta ja kansallisesta riskiarviosta, sisäministeriö yleisestä ohjauksesta, seurannasta, yhteensovittamisesta ja kehittämisestä, ministeriöt toimialoillaan kriittisten toimijoiden määrittämisestä, huoltovarmuuskeskus keskitetyn yhteyspisteen tehtävistä kuten ministeriöille ja kriittisille toimijoille annettavasta tuesta ja tukeen liittyvistä yksityiskohtaisista tehtävistä. Valvonnasta taas vastaavat lain 20 §:ssä määritetyt viranomaiset, jotka ovat samat kuin toimialoilla voimassa olevan sektorilainsäädännön mukaisesti määräytyvät valvojat.

Kriittisen toimijan näkökulmasta tällä toteuttamistavalla ohjausta tulee mahdollisesti usean toimijan toimesta. Huoltovarmuuskeskus kuten myös valvonnasta vastaavat viranomaiset ovat todennäköisesti tahoja, jotka ovat kiinteimmässä kontaktissa suoraan kriittiseen toimijaan. On huomioitava, että kriittisten toimijoiden lukumäärä on iso, jolloin lakiehdotuksessa esitetyillä resursseilla tukipalvelu ei tule kattamaan kuin toimijoille annettavan yleistasoisen tuen. Keskeiseksi tuen kannalta muodostuvat oletettavasti huoltovarmuuskeskuksen poolit, joiden jäseniä useimmat kriittiset toimijat ovat ja niille varautumista koskeva tukitoiminto on jo jossain muodossa olemassa. Toteuttamismuoto kuitenkin riippuu siitä, miten huoltovarmuuskeskus organisoi laissa säädetyn kriittisille toimijoille osoitettavan tuen.

Tämän lain mukaisen toiminnan yleinen ohjaus, seuranta, yhteensovittaminen ja kehittäminen kuuluvat sisäministeriölle. Jos toimintaa käytännön tasolla kehitetään huoltovarmuuskeskuksen pooleissa ja lisäksi valvontaviranomaiseksi määrätyt sektorikohtaiset valvojat osallistuvat jo nykyroolissaan varautumisen kehittämiseen muun muassa projektien kautta, niin sisäministeriön kehittämisroolin tulee painottua strategisemman tason kehittämistoimintaan. Kriittisen toimijan näkökulmasta ohjaavien tahojen roolit menevät helposti päällekkäin. Tähän on syytä kiinnittää huomiota lain toimeenpanovaiheessa.

Muissa toteuttamisvaihtoehdoissa on tarkasteltu täysin hajautettua hallinnollista mallia ja täysin keskitettyä hallinnollista mallia. Täysin keskitetyn rakenteen luominen 11 toimialaa varten ainoastaan CER-direktiivin mukaisia toimintoja varten ei vaikuta tarkoituksenmukaiselta. Toisaalta varautumisen, häiriönsietokyvykkyyden ja resilienssin parantaminen koko yhteiskunnassa laajasti edellyttäisi Kuntaliiton näkemyksen mukaan poikkihallinnollisen toiminnon vahvistamista keskushallinto- ja aluehallintotasolla. Varautumisen poikkihallinnollinen ohjaaminen ja yhteensovittaminen sekä tukitoiminto on esillä myös valmiuslain varautumisvelvollisuutta koskevassa muistiossa, joka on ollut lausunnoilla alkuvuodesta 2024. 

CER-lain kansallinen soveltamistapa nojaa vahvasti malliin, jossa luomalla valtiotasolla strategia, viitekehys, tavoitteet, toimintaohjeet ja valvomalla niitä saavutetaan parempi häiriönsietokyvyn taso. Menettelyllä saavutetaan ainakin valtiolle parempi tilannekuva ja mahdollisuudet antaa yhteismitallisia määräyksiä häiriönsietokykyä koskien. Häiriösietokyvyn todellinen taso syntyy kuitenkin toimeenpanon alimmassa portaassa, kriittisissä toimijoissa ja niiden edellytyksissä kehittää varautumistaan. Kriittisiä toimijoita tukeviin toimintoihin tarvitaan riittävä toimeenpanoresurssi mutta myös lainsäädännön kehittämistä.

Esitetyssä laissa ei säädetä kriittisten toimijoiden mahdollisuudesta saada tilannekuvatietoa, vaikka direktiivin artikla 10 edellyttää, että jäsenvaltion on helpotettava kriittisten toimijoiden vapaaehtoista tiedonvaihtoa direktiivin soveltamisalaan kuuluvissa asioissa erityisesti turvallisuusluokiteltuja ja arkaluonteisia tietoja, kilpailua ja henkilötietojen suojaa koskevan unionin ja kansallisen lainsäädännön mukaisesti.

Kuntaliitto ehdottaa, että lakiin säädetään kohta, jonka perusteella myös kriittisen toimijan on oikeus saada kriittisten toimijoiden häiriönsietokykyä koskevaa valtakunnallista tilannekuvaa salassapitosäännösten sitä estämättä. Kriittinen toimija ei ole oikeutettu vastaanottamaan salassapidettävää tietoa ilman laissa mainittua perustetta.

Lisäksi Kuntaliitto huomauttaa, että kriittisillä toimijoilla ei ole käytössä tiedonhallintalain 18 §:n mukaista valtionhallinnon asiakirjojen turvallisuusluokitusjärjestelmää salassapidettävälle tiedolle.

2. Soveltamisalaa koskevat huomiot, kuten esimerkiksi kriittisen toimijan määrittäminen ja kriteeristön kattavuus

Kuntien järjestämisvastuulla tai kuntaomisteisilla toimialoilla (kuntaomisteiset yhtiöt) CER-yleislakia sovellettaisiin ainakin energia-alalla (sähkö, öljy, maakaasu, kaukolämmitys ja -jäähdytys, maakaasu, vety), vesihuollossa (juomavesi ja jätevesi), joukkoliikenteessä sekä raideliikenteessä (yksityisraiteet), mahdollisesti ilmailuliikenteessä (kuntaomisteiset lentokentät), vesiliikenteessä (satamat) sekä digitaalisen infrastruktuurin toimialalla. Kunnallinen tieverkko ei kuuluisi soveltamisalan piiriin, mutta mahdollisesti kunnissa käytössä olevien älykkäiden liikenteenohjausjärjestelmien ylläpito voisi kuulua. Soveltamisalan yksityiskohtien osalta asia selkiintyy vasta kun kriteeristö kriittisten toimijoiden arvioimiseksi määrittyy. Lisäksi CER-soveltamisalan piiriin saattaa kuulua esim. tehdasalueiden yksityistä vesihuoltoa tai yksityistä energiantuotantoa, jolla voi olla yhteys toiminnallisesti myös kunnalliseen vesi- tai energiahuoltoon, mutta jotka eivät ole kuntien vastuulla, eivätkä välttämättä vesihuoltolain soveltamisalan piirissä. On tärkeää, että CER-vaatimusten soveltaminen muodostaa samojen vastuutahojen kannalta tarkoituksenmukaisen kokonaisuuden.

Kuntaliitto toteaa, että soveltamisalaa koskeva kriteeristö antaa riittävät edellytykset ministeriöille määrittää kriittiset toimijat. Toisaalta lain 11-13 pykälissä on lukuisa määrä kriteereitä, jolloin toimijamäärittelyä koskevissa päätöksissä korostuu erityisesti saman alan toimijoiden yhdenvertainen kohtelu, mutta myös eri toimialalla toimivien yhdenvertainen kohtelu. 

Kriittisten toimijoiden määrittely jää lainsäädännössä avoimeksi. Kriittisistä toimijoista päättävien ministeriöiden on pystyttävä tekemään yhdenvertaisia päätöksiä suhteessa eri toimialan toimijoihin. On syytä harkita, tulisiko 13 §:ssä mainitut kriteerit määrittää valtioneuvoston asetuksella, jolloin kriteerien yhteensovittaminen olisi toimijoiden keskinäisen yhdenvertaisuuden kannalta läpinäkyvää. Kriittisiin CER-toimijoihin sovelletaan myös NIS2-vaatimuksia (laki kyberturvallisuuden riskienhallinnasta), joten CER-määrittely vaikuttaa olennaisesti myös NIS2-soveltamiseen.

Kuntaliitto pitää tärkeänä, että kriittiseksi toimijaksi voidaan tunnistaa esimerkiksi yrityksen toiminnallinen osa, jos liiketoimintaa harjoitetaan konsernirakenteessa. Esimerkiksi vesihuoltosektorilla on kunnallisia liikelaitos- tai taseyksikkömuotoisia toimijoita, jotka toimivat kunnan osana samalla Y-tunnuksella kuin koko kunta. Kuntaliitto huomauttaa, että vastaavasti kunnan osana voi olla muitakin CER-laissa mainittuja toimintoja niin liikelaitos- kuin taseyksikkömuotoisena, mutta näiden toimijoiden määrä on pienempi kuin vesihuoltotoiminnassa. Tärkeää on, että toiminnan järjestämistapa (kunnan omistama yhtiö, liikelaitos, taseyksikkö) ei vaikuta kriittisen toimijan arviointiin, vaan myös kunnan osa voidaan määritellä kriittiseksi toimijaksi.

Jos kriittinen toimija on osa kunnan toimintaa, on toimijalla yleensä kunnan järjestämät tukipalvelut kuten esimerkiksi ict-palvelut, tila- ja kulunvalvontapalvelut. Tällöin osa kriittiseen toimijaan kohdistuvista CER-vaatimuksista on kunnan vastuulla ja toimivallassa. CER-vaatimustaso voi joissakin tapauksissa edellyttää kuntaa järjestämään CER-kriittiselle toimijalle riittävän tasoiset tukipalvelut ilman, että kunta olisi itsessään CER-kriittinen toimija. Kuntaliitto ei arvioi tällä olevan merkitystä laissa kriittisille toimijoille asetettavien velvollisuuksien toteutumiseen. Huomattakoon, että CER-kriittiseen kunnan osan toimintaan kohdistuu yhtä aikaa CER- ja NIS-vaatimukset, toimialakohtaisen lainsäädännön varautumisvaatimukset sekä kuntaan yleisesti valmiuslain vaatimukset. Kuntaliitto toteaa, että esitetyllä soveltamisala- ja toimijamäärittelyllä kriittiseksi luonnehdittavan infrastruktuurin ulkopuolelle jää kuntien rakennettua ympäristöä kuten kunnallinen tieverkko, merkittävät julkiset rakennukset ja padot.

3. Vaikutustenarviointia koskevat huomiot, kuten esimerkiksi yhteiskunnalliset vaikutukset, taloudelliset vaikutukset yrityksille, hallinnollinen taakka ja muut kustannukset sekä vaikutukset yritysten toimintaan

Kriittisten toimijoiden varautuminen nojautuu tällä hetkellä samakaltaisiin strategisen tason linjauksiin, kuin mitä CER-kriteeristö edellyttää. Yhteiskunnan turvallisuusstrategia määrittää viitekehyksen ja tavoitteet varautumiselle. Kansallinen riskiarvio sekä alueelliset riskiarviot muodostavat uhkien arvioinnille perustan ja viitekehyksen. Valmiuslaki ja kriittisille toimijoille määritetty sektorikohtainen lainsäädäntö edellyttävät varautumista. CER-sääntely määrittää varautumiselle yksityiskohtaisemman sisällön, mutta ei Kuntaliiton arvion mukaan tuo oleellista muutosta jo olemassa olevaan varautumiseen. Merkittävin vaikutus lieneekin parempi kansallinen tilannekuva, varautumiselle annettava tuki ja valtion mahdollisuus määrittää strategisella tasolla yhteismitalliset tavoitteet. Poikkeamia koskeva raportointi ja muut valvontaviranomaisten edellyttämät tiedot lisäävät jonkin verran hallinnollista taakkaa. Toimijoilta vaadittava varautuminen voi edellyttää myös jonkinlaisia lisäinvestointeja esimerkiksi varavoimaan, tietoliikenteeseen, kameravalvontaan, kulunvalvontaan tai muuhun kohteen fyysiseen suojaamiseen. Kriittiset toimijat ovat osin asiakasmaksurahoitteisia toimijoita, jolloin mahdollisesti vaadittavat lisäresurssit voivat lisätä taksojen nostamispainetta. Kuntaliitto kuitenkin korostaa, että varautumista voidaan kehittää myös toimintatapoja muuttamalla, parhaita käytäntöjä levittämällä, yhteistoimintaa parantamalla ja harjoittelemalla. CER-sääntely luo edellytyksiä varautumisen kehittämiselle ja häiriönsietokyvyn parantamiselle ilman mittavaa resurssien lisäämistä. 

Taloudellisten vaikutusten osalta esityksessä ja perusteluissa korostuvat valtionhallinnon lisääntyvät kustannukset, joiden perusteet eivät kaikilta osin avaudu esityksestä. Esimerkiksi sisäministeriön CER-sisältöiset tehtävät ovat joiltakin osin nykyisenkaltaisia kuten kansallisen riskiarvion laatiminen. Uusissa tehtävissä korostuu muiden toimijoiden keräämien poikkeamatietojen välittäminen. Esitettyjen resurssilisäysten tarvetta on esimerkiksi tältä osin vaikea arvioida suhteessa nykytilaan. Toisaalta resurssilisäys voi pitää sisällään myös suojelupoliisille turvallisuusselvityksiin osoitettavaa resurssia, mutta se ei käy ilmi esityksestä tarkemmin. Kuntaliitto korostaa edelleen, että kriittisten toimijoiden riittävä tuki on tärkeä huomioida resurssien kohdentamisessa. Resurssien painopiste tulee kohdentaa toimijoille, jotka tarjoavat suoraa tukea kriittisille toimijoille ennemmin kuin panostaminen valtionhallinnon sisäiseen raporttien välittämiseen ja strategioiden laadintaan.   

Vaikutustenarvioinnissa tulee huomioida, että CER-kriittisiin toimijoihin sovelletaan myös NIS-kriteereitä kyberturvallisuuden riskienhallinnassa, jolloin asetetut vaatimukset kokonaisuutena nostavat yhtäaikaisesti toimijoiden velvollisuuksia.

4. Valvontaa koskevat huomiot

Valvontamenettelyssä käytettävä kriteeristö vaikuttaa tarkoituksenmukaiselta ja valvonnan toimijamäärittely oikealta. Valvontaa koskevassa säännöksessä ei kuitenkaan määritellä, minkä toimialan toimijoita kukin viranomainen valvoo. Lain perusteluissa todetaan, että Suomessa valvovat viranomaiset olisivat tahoja, jotka nykyisinkin tekevät valvontaa asianomaisilla toimialoilla. Lähtökohtana on siis sektorikohtaisessa lainsäädännössä määritetty valvova viranomainen. Tämä tulisi Kuntaliiton näkemyksen mukaan vähintään todeta lain 20 §:ssä tai vaihtoehtoisesti määrittää lakiin, millä toimialalla kukin viranomainen suorittaa CER-yleislain mukaista valvontaa.

Lisäksi laissa on tarpeen tarkentaa, miten valvonta järjestetään siinä tapauksessa, että toimija tarjoaa useampaa kuin yhtä CER-kriittistä palvelua (monialayhtiöt). Vastaavasti on määritettävä, mikä ministeriö tekee päätöksen kriittisestä toimijasta silloin kun toimija tarjoaa useampaa kuin yhtä palvelua. Monialayhtiöihin kuuluu Suomessa muun muassa energia- ja vesiyhtiöitä. Kuntaliitto esittää, että lakiehdotukseen täsmennetään monialayhtiöiden valvonta sekä päätöksenteko kriittisestä toimijasta.

Myös jäsenvaltioiden rajat ylittävien toimijoiden osalta on huolehdittava yhtenäisistä valvonnan ja tuen periaatteista.  

Valvontaan tulee käytännössä liittymään samanaikaisesti kriittisten toimijoiden neuvontaa ja tukea, ja tämä on syytä huomioida myös resurssien kohdentamisessa. 

5. Laiminlyöntimaksua koskevat huomiot

Kuntaliitto toteaa, että hallinnollinen sanktio on kansalliselle oikeusjärjestelmälle haastava kokonaisuus. Valvovilla viranomaisilla voi tilanteesta riippuen olla epäselvää, onko hallinnollinen sanktio luonteeltaan hallinnollinen vai rikosoikeudellinen seuraamus (KHO on ottanut kantaa tietosuojan hallinnollisiin sanktioihin ja todennut, että hallinnollisen seuraamuksen täyttyessä tulisi rikosprosessin menetelmiä silti noudattaa prosessissa). Kaksinkertaisen rangaistuksen kieltoa (ne bis in idem -kielto) tulisi tarkasti miettiä ja arvioida (hallinnollisten sanktioiden suhde esimerkiksi vahingonkorvausvastuisiin, rikosvastuisiin ja virkavastuuseen). Prosessuaalisesti on tärkeä kiinnittää huomiota valvovan viranomaisen selvittämisvelvollisuuteen sanktiota määrättäessä ja vastaavasti kohteena olevan tahon oikeuksiin. Esitetyt laiminlyöntimaksut vaikuttavat sinänsä oikeansuhteisilta. 

6. Miten arvioitte turvallisuusselvityslakia koskevan esityksen tarpeellisuutta ja muotoilua? Millaisia turvallisuusvaikutuksia esityksellä olisi?

Kuntaliiton näkemyksen mukaan henkilö- ja yritysturvallisuusselvitykset ovat tarpeellinen osa kriittisten toimijoiden suojautumista etenkin hybridivaikuttamista, terrorismiuhkaa ja rikollisuutta vastaan. Jälkikäteen tehtäviin turvallisuusselvityksiin kuitenkin liittyy ongelmia, joihin laki turvallisuusselvityksistä ei anna ratkaisua. Henkilö voi kieltäytyä turvallisuusselvityksestä, eikä kieltäytyminen automaattisesti oikeuta työnantajaa muuttamaan henkilön työsuhdetta tai irtisanomaan häntä. Toisaalta jos tehtävässä oleva henkilö suostuu jälkikäteen tehtävään turvallisuusselvitykseen, jonka lopputuloksena henkilön työsuhdetta muutettaisiin tai henkilö irtisanottaisiin, niin tämä lopputuloksen eriarvoisuus voi lisätä kieltäytymisiä turvallisuusselvityksistä. Turvallisuusselvityksen suhdetta työlainsäädäntöön tulisi tältä osin arvioida lisää myös siitä näkökulmasta, mitkä ovat työnantajan edellytykset työsuhteen muuttamiseen, jos turvallisuusselvityksestä kieltäydytään tai selvityksen sisällöstä käy ilmi seikkoja, joita työnantaja voi pitää turvallisuusriskinä. Nyt tehty esitys ei lisää työnantajan mahdollisuuksia työsuhteen osalta.

Jos CER-kriittinen toimija on osa kunnan toimintaa, kunnan on harkittava mahdollisten turvallisuusselvityksen laajentamista myös kunnan muille toimijoille esim. tukipalvelutoimintojen osalta. Tällöin koko kunnan on hakeuduttava suojelupoliisin turvallisuusselvitysasiakkaaksi. Suojelupoliisille tulee varata riittävä resurssi turvallisuusselvitysten tekemiseen, ettei turvallisuusselvitysasiakkaaksi hakeutuminen tai selvitysten tekeminen kestä kohtuuttoman kauan. 

7. Miten arvioitte satamien turvallisuusselvityksiä koskevan esityksen tarpeellisuutta ja muotoilua? Millaisia toiminnallisia ja taloudellisia vaikutuksia esityksellä olisi? Millaisia turvallisuusvaikutuksia esityksellä olisi?

Tässä viitataan kysymyksessä 6. annettuun vastaukseen. Henkilöturvallisuusselvitysten tekeminen jälkikäteen jo solmittuun työsuhteeseen ei välttämättä onnistu ja työsuhteen muuttamisen kynnys on korkea, vaikka jälkikäteen tehdyssä selvityksessä ilmenisi turvallisuusriskejä.

8. CER-yleislain 28 §:ään liittyen, miten arvioitte säännösehdotuksia, jotka koskevat muiden EU-jäsenvaltioiden rikosrekisteritietojen käyttämistä kriittisen toimijan työntekijästä tehtävässä turvallisuusselvityksessä (1. lakiesityksen 28§ sekä 3. ja 4. lakiesitys)?

Esitys on perusteltu, eikä Kuntaliitolla ole siihen huomautettavaa.

9. Muut huomiot

Ei muita huomioita.