Lausuntopyyntö: luonnos hallituksen esitykseksi kyberkestävyyssäädöksen toimeenpanoa koskevaksi lainsäädännöksi

Asia: Asia:  VN/11905/2024

Lausuntonne koskien lakiehdotuksen mukaisia markkinavalvontaviranomaisia

–

Lausuntonne koskien lakiehdotuksen mukaisia ilmoitettuja laitoksia

–

Lausuntonne koskien lakiehdotuksen mukaista kyberturvallisuussertifiointia

Kuntaliitto näkee sertifiointien roolin merkittävänä tämän lain (ja muidenkin vastaavien kyberturvallisuussäädösten yhteydessä). Sertifiointien avulla tuotteita hankkivien ja niitä käyttävien tahojen on helpompaa varmistua tuotteiden (ja palveluiden) kyberturvallisuuden tasosta. 

Huolta aiheuttaa se, että Euroopan unioni ei ole kyennyt kehittämään kyberturvallisuuskriteeristöjään ja niihin liittyviä sertifiointeja kovin menestyksekkäästi. Kyberturvallisuusasetuksen alaisia sertifiointiohjelmia on saatu valmiiksi vain yksi. Pilvipalveluihin liittyvä (EUCS) sertifiointi on taasen jumiutunut pahasti jo vuosia kestäneeseen valmisteluvaiheeseen. Euroopan komissio on asettanut tavoitteekseen sertifiointiohjelmien edistämisen aktivoinnin pyrkimyksenä saada useampia sertifiointeja käyttöön lähivuosina. Aika näyttää, miten EU onnistuu sertifiointien valmistelun vauhdittamisessa. CRA:n toimeenpanon onnistumisen kannalta on ensiarvoisen tärkeää, että EU:lla olisi jo pikaisella aikataululla tarjolla CRA:n mukaiset sertifiointimahdollisuudet (eli sertifiointikriteeristöjä ja sertifiointeja toteuttavia toimijoita on käytettävissä). Jos tässä ei onnistuta aikataulussa, voi CRA:n toimeenpano ja sen myötä turvallisten ja sertifioitujen digitaalisia elementtejä sisältävien tuotteiden saatavuus viivästyä. Siksi Suomessa voisi olla hyvä pohtia jo ennalta varasuunnitelmia tuoteturvallisuuden varmistamiseksi tilanteessa, jossa CRA:n toimeenpanon edellytykset viivästyisivät merkittävästi (useita vuosia tai pidempäänkin).

Lausuntonne koskien sähköisen viestinnän palveluista annetun lain muuttamista

–

Muut huomiot HE-luonnoksesta

Euroopan unioni on laajentanut kyberturvallisuuden sääntelyä merkittävällä tavalla viimevuosina. Kyberturvallisuusasetus, NIS2-direktiivi, Kyberkestävyyssäädös ja Kybersolidaarisuusasetus muodostavat merkittävän sääntelykehikon, joka toivottavasti onnistuu tuomaan yhdenmukaisuutta unionin jäsenmaiden kyberturvallisuusvaatimuksiin ja nostamaan kyberturvallisuuden tasoa unionin jäsenmaissa yhteiskunnan eri sektoreilla. Kuntaliitto pitää tätä kehitystä tervetulleena ja tarpeellisena, jotta kykenemme yhteisönä vastaamaan kyberturvallisuuden jatkuvasti entistä vaativammaksi kehittyvään toiminta- ja uhkaympäristöön. 

Kyberkestävyyssäädös on laadittu kuntatoimijoiden näkökulmasta tarkoituksenmukaisella tavalla. Säädöksen kyberturvallisuusvaatimukset ovat selkeät ja ne kohdennetaan toimeenpantavaksi suoraan tuotteiden valmistajille. Kyberkestävyyssäädöksen vaatimusten mukainen tuoteturvallisuus selviää CE-merkinnästä ja tuotteen mukana seuraavista ohjeista ja teknisistä asiakirjoista. Yhteiskunnan toimivuuden kannalta kriittisemmiltä tuotteilta vaaditaan myös sertifiointeja ja auditointeja. 

Toimeenpanon haasteena tullee olemaan se, että vaatimustenmukaisuuden osoittaminen on useissa vähemmän kriittisissä tuoteryhmissä itsearvioinnin ja valmistajan omien toimenpiteiden, vastuun ja huolellisuuden varassa. Monelle valmistajalle säädöksen vaatimustason saavuttaminen ja järjestelmällinen ylläpitäminen tullee olemaan merkittävä haaste. Säädöksen asettamien vaatimusten uskottava toteutuminen vaatii paljon myös valvovilta viranomaisilta. Valmistajiin tulee kohdistaa uskottava riski tulla tarkastetuksi ja mahdollisuus saada tuntuvat sanktiot, jos tarkastus osoittaa vakavia puutteita tai laiminlyöntejä. 

Tilannekuvaa valvontatoimenpiteiden toteuttamisen määrästä ja laadusta sekä tuotteiden vaatimustenmukaisuuden yleisestä ja tuoteryhmäkohtaisesta tilanteesta tulisi jakaa avoimesti tuotteiden valmistaja- ja asiakaskuntiin. Uskottava valvonta vaatii myös uskottavat resurssit, jotka tulee osoittaa valvoville viranomaisille. Ilman tätä riittävää resursointia lain kirjain voi jäädä kuolleeksi, ja markkina voi täyttyä tuotteista, joiden väitetään olevan CE-merkinnällä riittävän tasoisia, mutta jotka eivät sitä todellisuudessa ole. Kriittisemmissä säädöksen alaisissa tuoteryhmissä lainsäädännön toimeenpanon riskejä liittyy sertifiointeihin, jota on aiheena käsitelty edellä vastauksessamme kohtaan kyberturvallisuussertifioinneista.

Hallituksen esityksessä kyberkestävyyssäädöksen toimeenpanoa koskevaksi lainsäädännöksi 6 §:ssä todetaan, että ”[j]ulkisista hankinnoista ja käyttöoikeussopimuksista annetun lain (1397/2016) soveltamisalaan kuuluvassa hankinnassa, jossa hankinnan kohteena on digitaalisen elementin sisältävä tuote, hankintayksikön on huomioitava, mitä kyberkestävyyssäädöksen 5 artiklan 2 kohdassa säädetään vaatimusten noudattamisesta ja valmistajan kyvystä käsitellä tehokkaasti haavoittuvuuksia.” 

Tämä 6 §:n vaatimus koskee kuntakentän toimijoita ja vaikuttaa niiden hankintojen toteutukseen laajasti. Kuntakentän toimijat hankkivat merkittävässä määrin säädöksen soveltamisalaan kuuluvia tuotteita. Kunnissa hankintoja tehdään useamman eri viranomaisen (kuten rakennetun ympäristön ja sivistystoimen alaiset viranomaiset) toimesta. Ehdotettujen säädösten toimeenpano tulee lisäksi vaatimaan kunnissa aiempaa tiiviimpää yhteistyötä yli toimiala- ja toimintorajojen mm. hankinta-, palvelu-, tietohallinto- ja tietoturvavastaavien kesken. 

Siten 6 §:n toimeenpano tulee vaatimaan koulutusta ja viestintää sekä informaatio-ohjausta kuntatoimijoiden kentässä. Kuntakentän toimijoiden työtä 6 §:n toimeenpanemiseksi helpottaisi merkittävästi, että kansalliset kyberkestävyyssäädöksen valvovat viranomaiset (tai EU-tason vastaavat viranomaiset) laatisivat suosituksen tai ohjeen 6 §:n toimeenpanosta sisältäen mallilausekkeet hankintoihin liitettäväksi eri kategorioiden tuotteita hankittaessa (kategorioina esim. tuotteet, tärkeät tuotteet ja kriittiset tuotteet). Tällaiselle suositukselle olisi tarvetta mahdollisimman pian.

Lisäksi on toivottavaa, että kansalliset valvovat viranomaiset järjestäisivät kattavasti viestintää ja koulutustilaisuuksia (kuten webinaareja, jotka nauhoitetaan myöhemminkin katsottavaksi) ja tarjoaisivat riittävää neuvontaa ja tukea kohdennettuna kyberkestävyyssäädöksen mukaisia tuotteita käyttäville ja hankkiville julkisen sektorin toimijoille - ja jos mahdollista vielä erikseen kuntakentän toimijoille - kohdennettuna. Tässä ohjeistuksessa, viestinnässä ja koulutuksissa tulisi huomioida näkökulmina tuotteita käyttävät ja hallinnoivat tahot (kuten ICT-vastaavat ja tietoturvavastaavat) sekä niiden hankinnoista vastaavat tahot (kuten tietohallinto, kunnan toimialat ja toiminnot sekä hankintavastaavat). 

Hallituksen esityksen luvussa 6 käsitellään seuraamusmaksuja. Sen 40 §:n Seuraamusmaksun määräämättä jättäminen 4 momentissa todetaan, että ”Seuraamusmaksua ei saa määrätä valtion viranomaisille, valtion liikelaitoksille, hyvinvointialueille eikä -yhtymille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelisluterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille.” Kuntaliitto pitää tätä rajausta tarkoituksenmukaisena ja kannatettavana.

SUOMEN KUNTALIITTO

Markus Pauni                     
strategia- ja kehitysjohtaja 

Martti Setälä
erityisasiantuntija