Kuntaliiton lausunto ehdotuksesta viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointia koskevan lainsäädännön muuttamiseksi

Yleiset havainnot

Kuntaliitto kiittää mahdollisuudesta lausua ehdotuksesta viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointia koskevan lainsäädännön muuttamiseksi.

Kuntaliitto pitää hyvänä sitä, että arviontilainsäädäntö päivitetään vastaamaan toimintaympäristön vaatimuksia. Samalla arviointitoimintaa jäsennetään säädännössä aiempaa selkeämmin. Se parantaa julkisen hallinnon toimijoiden edellytyksiä tunnistaa ja hyödyntää arviointitoimintaa vaikuttavasti osana järjestelmien ylläpitoa ja kehittämistä. 

Ehdotetun lainsäädännön sisältö, rajaukset ja vaikutusarviot on laadittu kuntakentän toimijoiden näkökulmasta tarkoituksenmukaisesti. Uskomme, että säädännön tavoitteet voidaan saavuttaa kuntakentän toimijoiden osalta, jos sen toimeenpanoon panostetaan riittävästi ja pitkäjänteisesti.

Kuntaliitto kannattaa hallituksen esityksen hyväksymistä, eikä esitä siihen muutoksia.

Yksityiskohtaiset havainnot

Arviointilain muutokset

Huomiot ehdotetusta soveltamisalan laajenemisesta varautumisen arviointiin sekä muutoksen mahdollisista vaikutuksista

Varautumisen arvioinnille ei ole aiemmin ollut selkeitä vaatimuksia tai säädäntöä. Toimintaympäristön muutokset kuitenkin edellyttävät julkisen hallinnon toimijoilta aiempaa vahvempaa varautumista normaaliolojen häiriöihin ja poikkeusoloihin. Ehdotettu lainsäädäntö tukee viranomaisten tietojärjestelmien ja tietoliikennejärjestelyiden varautumisen kehittämistä. 

Huomiot ehdotetuista arviointimenettelyjä koskevista muutoksista sekä uusista viranomaisia koskevista arviointivelvollisuuksista ja niiden vaikutuksista organisaatiosi toimintaan (3–3 c §)

Arviointimenettelyitä koskeva 3 § kuvaa vaihtoehtoisia arviointimenetelmiä ja niiden välisiä suhteita aiempaa säädäntöä selkeämmin. Siten se tukee yhdessä 7 §:n ja 8 §:n kanssa kuntatoimijoiden ymmärrystä arviointitoiminnan roolista osana tietoturvallisuuden ylläpitoa ja kehittämistä. 

Ehdotettu säädäntö velvoittaa kuntakentän viranomaisia siltä osin kuin ne käsittelevät valtionhallinnon viranomaisten niille jakamia turvaluokka I - III tasoisia tietoja. Tällaisia tietoja tulee kuntien käsiteltäväksi hyvin vähän, jos ollenkaan. Valtionhallinnon viranomaiset voivat jakaa kuntataustaisille viranomaisille tapauskohtaisesti turvallisuusluokiteltuja tietoja liittyen esimerkiksi valmiussuunnitteluun. Tällöin aineistojen luokitus on yleensä korkeintaan TL IV, eikä niidenkään määrä ole merkittävä. Ehdotettu lainsäädäntö ei velvoita kuntataustaisia viranomaisia toteuttamaan arviointeja tietojärjestelmistä, joilla käsitellään julkisia, salassapidettäviä tai TL IV tasoisia tietoja. Vastuu sen varmistamisesta, että tiedon vastaanottaja (kuten kunta) toteuttaa vastaanottamansa turvallisuusluokitellun tiedon käsittelyssä asianmukaiset suojaustoimenpiteet, kuuluu tiedon luovuttavalle valtionhallinnon viranomaiselle (vrt. turvallisuusluokitteluasetus 6 §). 

Edellä mainituista syistä johtuen ehdotetulla säädännöllä ei ole juurikaan suoria kustannusvaikutuksia kuntatoimijoihin. Kuitenkin lainsäädännöllä voisi olettaa olevan kunnille epäsuoria kustannusvaikutuksia sen informaatio-ohjausvaikutuksesta johtuen. Uuden säädännön myötä kuntatoimijat ymmärtävät aiempaa paremmin arviointien merkityksen osana tietoturvallisuuden ja varautumisen ylläpitoa ja kehittämistä. Siten ne oletettavasti myös hyödyntävät arviointia tietoturvallisuuden ja ICT-varautumisen varmistamisen menetelmänä aiempaa laajemmin. Näitä mahdollisia kustannusvaikutuksia on vaikea arvioida tässä yhteydessä tarkemmin. Ne kuitenkin oletettavasti kuittautuisivat kohonneena tietoturvatasona sekä siten vältettyinä tietoturvaloukkauksina ja niistä aiheutuvina kuluina. 

Merkittävä osa kuntatoimijoiden tietojärjestelmistä hankitaan valmistuotteina tai palveluina. Kustannustehokkuuden ja turvallisuuden optimoimiseksi, kuntakentän kriittiseksi tunnistettujen tietojärjestelmien tietoturvallisuuden ja varautumisen arviointia tulisi toteuttaa ennen kaikkea yhteisarviointeina kansallisena tai alueellisella tasolla - yksittäisten tiedonhallintayksiköiden (eli kuntien) tekemien arviointien sijasta. Yhteisarviointien toteuttamiseksi tulisi kuitenkin muodostaa kansalliset toimintamallit, mihin tarvittaisiin yhteistyötä kuntien sekä ohjaavien viranomaisten kesken, palveluntoimittajia unohtamatta. 

Vaikka kunnilla on vain vähäisiä tarpeita käsitellä turvaluokiteltuja tietoja, säädäntö tarjoaa kunnille hyödyllistä taustatietoa niiden käsittelyyn liittyvistä arviointivaatimuksista. 

Huomiot ehdotetuista arviointiviranomaistehtävien ja tiedonsaanti- ja tarkastusoikeuksien muutoksista (3 d–6 §)

-

Huomiot ehdotetusta uudesta turvallisuuskriittisten ratkaisujen ja niiden valmistuksen arviointien kokonaisuudesta

-

Huomiot ehdotetuista siirtymäsäännöksistä ja -ajoista

-

Muut arviointilakia koskevat huomiot, pyydämme yksilöimään pykälän

-

Arviointilaitoslain muutokset

Huomiot ehdotetusta tietoturvallisuuden arviointilaitosten luotettavuuden varmistamista koskevista muutoksista (4–5 §)

-

Huomiot ehdotetusta tietoturvallisuuden arviointilaitosten lisäpätevyyksien hyväksymisprosessista (5 § 3 mom)

-

Muut arviointilaitoslakia koskevat huomiot, pyydämme yksilöimään pykälän

-

Huomiot esityksen vaikutusten arvioinnista

Kuntaliitto näkee, että hallituksen esityksen vaikutusten arviointi on toteutettu kuntien osalta tarkoituksenmukaisesti ja ehdotettu säädäntö tukenee kuntien tietoturvan kehittämistyötä - olettaen, että sen jalkautus onnistuu. Kuntaliitto esitti arvioita esityksen keskeisistä vaikutuksista lausunnon säädösehdotuksia 3 § - 3 c § käsittelevässä kohdassa. Niitä ei toisteta tässä.

Ehdotetun säädännön kuntatoimijoita koskevan informaatio-ohjauksen vaikuttavuus ei toteudu ilman riittävää, pitkäjänteistä lainsäädännön jalkautustyötä arviointilainsäädäntöä ohjaavien ministeriöiden ja virastojen taholta. 

Informaatio-ohjausta tulisi toteuttaa jalkautusvaiheessa muun muassa suosituksilla, koulutuksella ja neuvonnalla. Suosituksia voisi laatia esimerkiksi arviointitarpeen tunnistamiseen, arviointitulosten hyödyntämiseen, itsearviointien tekemiseen, konsultin / arviointilaitosten toteuttamien arviointien sisältöjen ja hankintaehtojen määrittelyyn sekä arviointitarpeen huomioimiseen hankintaehdoissa ICT-palveluita hankittaessa. 

Onnistunut toimeenpano edellyttää sitä tukevien kansallisten toimenpiteiden kohdentamista riittävässä määrin valtionhallinnon lisäksi myös hyvinvointialueisiin ja kuntakentän toimijoihin, arviointipalveluita tarjoaviin yrityksiin sekä arviointien tyypillisiin kohteisiin eli kriittisiä ICT-palveluita tarjoaviin yrityksiin. Sidosryhmien välillä tarvitaan pitkäjänteisiä yhteistyörakenteita sekä monitasoista, vastavuoroista viestintää. 

Annamme mielellämme lisätietoja lausunnostamme. 

SUOMEN KUNTALIITTO


Markus Pauni
strategia- ja kehitysjohtaja

Martti Setälä
erityisasiantuntija