Hallituksen esitys eduskunnalle kyberkestävyysasetuksen toimeenpanoa koskevaksi lainsäädännöksi

Säädösehdotukset ja niiden vaikutukset

EU:n kyberkestävyyssäädös (CRA) ja sen kansallinen toimeenpanolainsäädäntö on laadittu kuntatoimijoiden näkökulmasta tarkoituksenmukaisesti. Ehdotetut kyberturvavaatimukset ovat selkeät.Uusi sääntely parantaa digielementin sisältävien tuotteiden kyberturvaa ja siten vahvistaa välillisesti myös kuntatoimijoiden tietoturvaa, kun aiempaa turvallisempia tuotteita tulee saataville. 

Uusi sääntely on vaikuttavaa ja kustannustehokasta, koska kyberturvavaatimukset ja vastuu niiden toteuttamisesta kohdennetaan ensisijaisesti digielementin sisältävien tuotteiden valmistajille sen sijaan, että vaatimukset ja niiden varmistamisen vastuu olisi ensisijaisesti näitä tuotteita hankkivilla ja käyttävillä loppukäyttäjillä.

Kuntaliitto näkee sertifiointien roolin merkittäväksi. Valmistajien hankkimien ja ylläpitämien kyberturvasertifiointien avulla tuotteita hankkivien ja käyttävien tahojen on helpompi varmistua tuotteiden kyberturvan tasosta.

Esityksen 6 § edellyttää, että julkisia hankintoja tekevät hankintayksiköt huomioivat kyberkestävyyssäädöksen kyberturvaan ja haavoittuvuuksien hallintaan liittyvät, tuotteiden valmistajiin kohdistetut vaatimukset hankintoja tehdessään. Tämä vaatimus vaikuttaa kuntakentän toimijoiden hankintaprosesseihin ja hankintaehtoihin. Esityksen 6 §:n toimeenpano tulee vaatimaan kunnissa aiempaa tiiviimpää yhteistyötä yli toimialarajojen hankinta-, palvelu-, tietohallinto- ja tietoturvavastaavien kesken. Tarvitaan myös uutta ohjeistusta, prosessien kehittämistä ja valvontakyvykkyyttä.

Hallituksen esityksen luvussa 6 käsitellään seuraamusmaksuja. Esityksen mukaan seuraamusmaksua ei saa määrätäkunnallisille viranomaisille. Kuntaliitto pitää rajausta tarkoituksenmukaisena ja kannatettavana.

Säädösten toimeenpano ja sen riittävä resursointi

Säädöksen asettamien vaatimusten uskottava toteutuminen vaatii paljon valvovilta viranomaisilta. Valmistajiin tulee kohdistaa uskottava riski tulla tarkastetuksi ja mahdollisuus saada tuntuvat sanktiot, jos tarkastus osoittaa vakavia puutteita tai laiminlyöntejä. Uskottava valvonta vaatii uskottavat valvontaresurssit.

Tilannekuvaa valvontatoimien määrästä ja laadusta sekä tuotteiden vaatimustenmukaisuuden yleisestä ja tuoteryhmäkohtaisesta tilanteesta tulisi jakaa avoimesti tuotteiden valmistajille ja asiakkaille. 

Kriittisemmissä tuoteryhmissä CRA:n toimeenpanon onnistumisen kannalta on ensiarvoisen tärkeää, että EU:lla olisi jo pikaisella aikataululla tarjolla CRA:n mukaiset sertifiointimahdollisuudet (eli sertifiointikriteeristöjä ja sertifiointeja toteuttavia toimijoita on käytettävissä). Jos tässä ei onnistuta, toimeenpano ja odotetut kyberturva vaikutukset voivat viivästyä. 

Suomessa voisi olla hyvä pohtia jo ennalta tarvetta varasuunnitelmille tuoteturvallisuuden varmistamiseksi tilanteessa, jossa CRA:n toimeenpanon edellytykset viivästyisivät EU:n taholla merkittävästi.

Kuntia auttaisi merkittävästi, että valvovat viranomaiset laatisivat ohjeen 6 §:n toimeenpanosta. Keskitetyllä ennakollisella ohjeistuksella ja neuvonnalla saataisiin merkittäviä suhteellisia kustannussäästöjä, kun jokaisen (yli 300) kunnan ja kuntatoimijan ei tarvitsisi itse yksinään keksiä samoja sopimuslausekkeita. Ohje voisi sisältää mallilausekkeet hankintoihin liitettäväksi (lausekkeiden kategorioina esim. tuotteet, tärkeät tuotteet ja kriittiset tuotteet). Tällaiselle ohjeelle olisi tarvetta mahdollisimman pian.

Lisäksi on toivottavaa, että valvovat viranomaiset järjestäisivät kattavasti viestintää ja koulutustilaisuuksiasekä tarjoaisivat riittävää neuvontaa ja tukea kohdennettuna kyberkestävyyssäädöksen mukaisia tuotteita käyttäville ja hankkiville kuntakentän toimijoille. Ohjeistuksessa, viestinnässä ja koulutuksissa tulisi huomioida näkökulmina tuotteita käyttävät ja hallinnoivat tahot (kuten ICT- ja tietoturvavastaavat) sekä niiden hankinnoista vastaavat tahot (kuten tietohallinto, toimialat ja hankintavastaavat).

Kuntaliitto kiittää mahdollisuudesta antaa asiantuntijalausunto aiheesta. 

Annamme mieluusti lisätietoja aiheesta tarvittaessa.

SUOMEN KUNTALIITTO

Martti Setälä                 
erityisasiantuntija