HE 27/2025 vp Hallituksen esitys eduskunnalle laeiksi kyberturvallisuuslain ja julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta

Johdanto

Kuntaliitto kiittää liikenne- -ja viestintävaliokuntaa mahdollisuudesta tulla kuulluksi hallituksen esityksestä HE 27/2025. Kuntaliitto pitää hallituksen esitystä selkeänä ja kannatettavana. Esitys täydentää tarkoituksenmukaisesti Kyberturvallisuuslakia ja Tiedonhallintalain 4 a lukua (jäljessä yhdessä NIS2-toimeenpanolait), jotta niissä kyetään huomioimaan puuttuvalta osin Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (HE 205/2024, jäljessä CER-toimeenpanolaki). 

Keskeiset havainnot hallituksen esityksestä

Esityksessä on täsmennetty NIS-toimeenpanolakien soveltamisaloja, jotta CER-toimeenpanolain perusteella määritetyt kriittiset toimijat saataisiin sujuvasti mukaan NIS2-toimeenpanolakien soveltamisalaan. CER-toimeenpanolain soveltamisala koskee julkisen hallinnon osalta vain keskushallintoa, eikä sen perusteella määriteltyihin kriittisiin toimijoihin sisälly kuntia. 

Kyberturvallisuuslain soveltamisalaan voi kuulua kunnan yksittäisiä kriittiseen infraan kuuluvia toimintoja kuten vesilaitos tai lämpölaitos. Sääntelyn soveltamisala kattaa siten yksittäisen toiminnon kunnan sisällä, muttei koko kuntaa. 
CER-toimeenpanolaissa on vastaava mahdollisuus määrittää kunnan kriittisen infran toiminto kriittiseksi toimijaksi. 

CER-toimeenpanolain ja Kyberturvallisuuslain vaatimukset kohdistetaan vain kunnan kriittiseksi määritettyyn toimintoon. 
Tätä taustaa vasten esitetty Kyberturvallisuuslain (4 §) soveltamisalan tarkennus on järkevä: ”lakia sovelletaan kuntalaissa (410/2015) tarkoitettuun kuntaan vain liitteessä I tai II tarkoitetun toiminnan osalta sekä siltä osin, kun kunta on kriittinen toimija.” 

CER toimivaltaisen viranomaisen määrittämänä kriittisenä toimijana Kyberturvallisuuslain piiriin voi tulla uusia, aiemmin sen soveltamisalaan kuulumattomia kuntien liikenneyhtiöitä tai liikennelaitoksia. Hallituksen esityksen vaikutusarviointi pätee hyvin myös niihin: muutoskulut voivat olla suuret, jos lähtötaso on matala. Joukkoliikenteen toimijoilla on tyypillisesti pienet katemarginaalit ja uudet kustannukset voivat vaikuttaa toimintaedellytyksiin olennaisesti. Mikäli julkisen liikenteen toimijoita halutaan määrittää kriittiseksi toimijaksi, tulee ennakkoon arvioida toimenpiteen vaikutuksia markkinaan ja toimijoiden toimintaedellytyksiin. 

Edellä mainittu kustannuskysymys voi koskea myös tilanteita, joissa CER viranomainen nimeää kriittiseksi toimijaksi kunnan toiminnon tai yhtiön, joka on kooltaan selvästi NIS2-direktiivin raja-arvoja pienempi. Tällaiselle toimijalle Kyberturvallisuuslain velvoitteiden täyttämisestä voi syntyä merkittäviäkin kustannuksia suhteessa toiminnan volyymiin, jotka sitten tulisi viedä asiakasmaksuihin korotuksina. NIS2 ja CER toimeenpanon tukemista tulisikin harkita muun muassa kohdennetun valtion rahoituksen muodossa. 

Kyberturvallisuuslain vaatimustenmukaisuuden saavuttaminen vaatii toimijoilta lisäresursointia ja -panostuksia, eikä nyt esitetty siirtymäaika, 9 kuukautta, ole välttämättä realistinen kyvykkyyksien saavuttamiseksi. Siirtymäajan merkittävääkin pidentämistä kannattaisi harkita. 

Hallituksen esityksessä Kyberturvallisuuslain säädöksiä on päivitetty NIS2-toimeenpanolakien ja CER-toimeenpanolain valvovien ja vastuuviranomaisten välisen yhteistyön edellytysten parantamiseksi (17 §: Poikkeamailmoitusten käsittely, 28 §: Tiedonsaantioikeus, 45 §: Viranomaisten yhteistyö) ja valvovien viranomaisten listan täsmentämiseksi (26 §). Huomioiden sen, että valvovien viranomaisten yhteistyön onnistuminen on kriittinen tekijä lain toimeenpanon onnistumisen kannalta, näitä päivityksiä voi pitää tarkoituksenmukaisina ja kannatettavina. Toimeenpanovaiheessa olisi toivottavaa, että viranomaiset olisivat toimijoiden saavutettavissa (tuki, neuvonta ja ilmoitusten vastaanottaminen) sujuvasti yhden luukun periaatteella.

SUOMEN KUNTALIITTO

Markus Pauni
strategia- ja kehitysjohtaja

Martti Setälä                                    
erityisasiantuntija