Kuntaliiton lausunto luonnoksesta hallituksen esitykseksi eduskunnalle laeiksi turvallisuustutkintalain ja kyberturvallisuuslain 17 §:n muuttamisesta

Kuntaliitto kiittää mahdollisuudesta lausua luonnoksesta hallituksen esitykseksi eduskunnalle laeiksi turvallisuustutkintalain ja kyberturvallisuuslain 17 §:n muuttamisesta.

Kuntaliitto pitää hyvänä erittäin vakavien kyberturvallisuuspoikkeamien (jäljessä kyberpoikkeama) turvallisuustutkintatehtävän osoittamista Onnettomuustutkintakeskukselle (jäljessä OTKES). Menettely tukee yhteisömme mahdollisuuksia oppia kyberpoikkeamista ja parantaa kyberturvan tasoa. Kuntien ja kuntayhtymien huomioiminen kyberpoikkeaman tutkinnan kohteena olisi toivottavaa edellä mainituista syistä.

Kyberpoikkeamien tutkinta tulisi lainsäädännössä säätää myös kuntatoimijaan mahdollisesti kohdistuvaksi toimenpiteeksi, joka kuitenkin käynnistyisi kuntatoimijan omalla myötävaikutuksella. Tutkinnan kohteena olevalla kuntatoimijalla tulisi myös olla riittävät mahdollisuudet vaikuttaa tutkinnan kulkuun siltä osin kuin se on tarpeellista kunnan lakisääteisten palveluiden ja tehtävien jatkuvuuden ja turvallisuuden varmistamiseksi. 

Yksityiskohtaiset havainnot

Nykyinen lakiluonnos ei huomioi kuntatoimijoita tutkinnan kohteena, koska luonnoksessa kyberpoikkeamaan liittyvät ilmoitusvelvollisuudet ja tiedonsaantioikeudet perustuvat kyberturvallisuuslakiin ja sen alaisiin valvoviin viranomaisiin. Kunnat ja kuntayhtymät eivät yksittäisiä poikkeuksia lukuun ottamatta kuulu Kyberturvallisuuslain soveltamisalaan. 

Muutosehdotus 16 a §:än

Kuntien ja kuntayhtymien tietoturvallisuusvaatimuksista säädetään pääasiallisesti tiedonhallintalain 4 luvussa, jolle ei ole osoitettu kansallista valvovaa viranomaista. Kuntakentän toimijat kuitenkin tyypillisesti ilmoittavat - vapaaehtoisuuteen perustuen - kyberpoikkeamista Traficomin Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskus taasen tyypillisesti tukee ilmoituksen tehneitä kuntatoimijoita kyberpoikkeamien hallinnassa. 

Yksittäisen kunnan tai kuntayhtymän osaaminen ei välttämättä riitä arvioimaan, mitä voidaan pitää erittäin vakavana kyberpoikkeamana. Sitä vastoin Kyberturvallisuuskeskuksella voi olettaa olevan tällaista osaamista. 

Tätä taustaa vasten, kuntien ja kuntayhtymien huomioimiseksi päivitetyssä turvallisuustutkintalaissa Traficomin Kyberturvallisuuskeskukselle tulisi asettaa velvoite ilmoittaa OTKES:ille vapaaehtoisen ilmoitusmenettelyn kautta tietoonsa tulleista kuntia tai kuntayhtymiä koskevista erittäin vakavista kyberturvallisuuspoikkeamista (vrt. luonnos 16 a §). 

Muutosehdotus 19 §:än

Ehdotetussa 19 §:ssä on annettu OTKES:lle oikeus päästä paikkaan, joka liittyy kyberpoikkeamaan, sekä oikeus tutkia kyberpoikkeamaan liittyviä esineitä, laitteita, järjestelmiä, ohjelmistoja ja rakenteita. Lisäksi OTKES:lle annetaan oikeus eristää kyberpoikkeamaan liittyvä paikka. Ehdotetun 19 §:n kolmannessa momentissa myös esitetään, ettei kyberpoikkeamaan liittyviä esineitä, laitteita tai aineistoja, joilla on merkitystä tutkinnan kannalta, saa hävittää ilman OTKES:n tutkinnan johtajan lupaa. 

Kuntatoimijan, johon kyberpoikkeama kohdistuu, tulee OTKES:n tutkinnasta huolimatta kyetä jatkamaan lakisääteisten velvoitteidensa toteuttamista ja palveluidensa tarjoamista. OTKES:n on huomioitava tutkintansa toteutuksessa nämä velvoitteet, eikä tutkinta saa häiritä kuntatoimijan päivittäisten velvoitteiden ja palveluiden toteutumista. Onnettomuustutkinta ei esimerkiksi saa aiheuttaa ylimääräisiä palvelukatkoksia tai palvelukatkojen keston pidennyksiä. Se ei myöskään saa haitata poikkeaman kohteena olevan toimijan mahdollista omaa tapahtumatutkintaa tai poliisitutkintaa. Nämä näkökulmat tulee huomioida 19 §:ssä tai sen perusteluissa. Sama huomio koskee myös muita tutkinnan kohteita, joiden palvelut ovat lakisääteisiä tai muutoin elintärkeitä.

Muutosehdotus 20 a §:än

Turvallisuustutkintalain luonnoksen 20 a §:ssä on linjattu tiedonsaantioikeuksista kyberpoikkeaman turvallisuustutkintaa varten. Tähän pykälään liittyy kuntien ja kuntayhtymien näkökulmasta samat ongelmat kuin edellä kuvattuun 16 a §:än. Sikäli 20 a §:n sisältö pitäisi päivittää samoilla periaatteilla kuin 16 a § edellä, jotta kunnat ja kuntayhtymät voidaan tuoda turvallisuustutkintalain mukaisen kyberpoikkeamien tutkinnan piiriin. Lakiluonnoksen 20 a §:n mukaisen OTKES:n tietojen keräämisen tulisi tapahtua ensisijaisesti Traficomin Kyberturvallisuuskeskukselta (joka jakaisi OTKES:lle kunnan tai kuntayhtymän sille toimittamia tietoja) ja vasta toissijaisesti suoraan kunnalta tai kuntayhtymältä. 

Lakiluonnoksessa 20 a §:n 2 momentin 1) kohdassa on viitattu OTKES:n oikeuteen saada tietoja poikkeaman kohteena olevan toimijan lukuun toimivalta taholta, joka lakiluonnoksen perusteluiden perusteella voi esim. suorittaa viranomaistehtävää. Tulisi varmistaa, että näin toimittaessa OTKES kuitenkin tiedottaisi asiasta poikkeaman kohteena olevalle viranomaiselle ja mahdollistaisi sille sen lukuun toimivan tahon OTKES:lle toimittamien tietojen tarkastamisen ja kommentoinnin. Näin estettäisiin mahdollisten väärien tai puutteellisten tietojen päätyminen osaksi OTKES:n tutkimusta. Kyberpoikkeaman kohteena olevalla viranomaisella tulisi olla mahdollisuus saada riittävän usein tilannetietoa tutkinnan kokonaistilanteesta ja sille tulisi taata mahdollisuus tulla kuulluksi eri vaiheissa OTKES:n hyödyntämistä aineistoista ja niistä tekemistä tulkinnoista. 

Muutosehdotus 29 §:än

Lakiluonnoksen 29 §:ssä linjataan viranomaisten ja osallisten lausunnoista. Myös niille tahoille, joiden vastuulle on osoitettu suosituksia tutkimusselosteessa, tulisi lähtökohtaisesti (ei harkinnanvaraisesti) varata mahdollisuus antaa lausuntonsa tutkimusselosteen luonnoksesta ja siten tulla kuulluksi ennen selosteen julkaisemista. Lisäksi tutkintaselosteen luonnoksen rajoitetussa (ei julkisessa) lausuntovaiheessa tulisi kuulla keskeisimpiä tutkinnan osapuolia ja valvovia viranomaisia julkiseksi tarkoitetun tutkimusselosteen sisällön arkaluonteisuudesta ja siten soveltuvuudesta avoimesti julkaistavaksi. OTKES:lla tulisi olla velvollisuus tehdä tarkoituksenmukaiset muutokset tutkimusselosteen luonnokseen näiden kuulemisten perusteella.

Muutosehdotus 39 §:än

Luonnoksen 39 §:n 2 momentissa todetaan, että ”Lisäksi Onnettomuustutkintakeskus voi luovuttaa viranomaiselle 1 momentissa tarkoitettuja tietoja, jos se on välttämätöntä tärkeän yleisen edun turvaamiseksi.” Tämä muotoilu on väljä. Voisiko sen sisältöä ja toteutumisen reunaehtoja tarkentaa säädöskohtaisissa perusteluissa?

Muutosehdotus 46 §:än

Lakiluonnoksen 46 §:ssä on viitattu OTKES:n oikeuteen asettaa tiedonantovelvoitteen tai muun velvoitteen tehostamiseksi uhkasakko. Kuntaliitto vastustaa uhkasakkojen osoittamista kunnille tai kuntayhtymille. Viranomaisella olisi joka tapauksessa velvollisuus lain mukaan tukea tutkintaa siinä osoitetulla tavalla, eikä uhkasakko ole tarpeellinen. Edellä on viitattu tilanteisiin, jossa tutkinnan kohteena oleva taho voi joutua perustellusta syystä kieltäytymään toteuttamasta OTKES:n tiettyjä tutkintaan liittyviä pyyntöjä, vaikka ne perustuisivat OTKES:n lakisääteisiin oikeuksiin. Siten OTKES:n onnettomuustutkinnan tarpeiden tulisi tulla vasta kyberpoikkeaman hallinnasta ja rikostutkinnasta vastaavien tahojen tarpeiden jälkeen. Sanktio-oikeuden perusteella voisi syntyä hankalia tilanteita, joissa tutkinnan kohteena oleva toimija varmistaa lakisääteisten tehtäviensä jatkuvuuden, joka on sen ensisijainen vastuu, mutta joutuu samalla OTKES:n uhkasakon kohteeksi.

Annamme mielellämme lisätietoja lausunnostamme. 

SUOMEN KUNTALIITTO

Markus Pauni                                  Martti Setälä
strategia- ja kehitysjohtaja             erityisasiantuntija