Arvoisa puhemies! Hyvät kansanedustajat! Tieto- ja viestintäteknologia on nykyisin keskeinen osa yhteiskuntaamme ja arkeamme. Käytämme päivittäin erilaisia laitteita ja ohjelmistoja, jotka ovat yhteydessä verkkoon tai toisiin laitteisiin. Nämä tuotteet joutuvat kuitenkin entistä useammin kyberhyökkäysten kohteeksi. Tämän vuoksi on tärkeää, että laitteiden ja ohjelmistojen tietoturvallisuuden taso on riittävä, niissä ilmeneviin haavoittuvuuksiin puututaan ja tietoturvaan vaikuttavista poikkeamista ilmoitetaan käyttäjille ja viranomaiselle. 

Käsiteltävänä olevan hallituksen esityksen taustalla on Euroopan unionin niin kutsuttu kyberkestävyysasetus. Asetuksen soveltaminen alkaa vaiheittain vuosien 26 ja 27 aikana. Soveltamisala tulee siis suoraan sovellettavasta EU-asetuksesta, johon ei sisälly kansallista liikkumavaraa. Kyberkestävyysasetus on EU:n yhdenmukaistettu tuotesäädös, joka asettaa kyberturvallisuuteen liittyviä vähimmäisvaatimuksia digitaalisia elementtejä sisältäville tuotteille eli laitteille ja ohjelmistoille, jotka voidaan liittää internetiin tai toisiin laitteisiin ja ohjelmistoihin. Tavoitteena on varmistaa, että markkinoilla olevat tuotteet suunnitellaan ja valmistetaan ja niitä päivitetään siten, että ne kestävät nykypäivän kyberuhkia. Vastaavista vaatimuksista ei ole aiemmin säädetty Suomessa tai EU:ssa lain tasolla horisontaalisesti. 

Käsiteltävänä olevalla hallituksen esityksellä ehdotetaan kyberkestävyysasetuksen soveltamiseksi tarpeellisia täydentäviä ja täsmentäviä kansallisia säännöksiä. Esityksellä ehdotetaan uutta lakia, jossa säädettäisiin asetuksen valvonnasta, vaatimustenmukaisuuden arviointilaitoksien ilmoittamisesta sekä hallinnollisista seuraamuksista ja niihin liittyvistä viranomaistehtävistä. Esitys mahdollistaisi myös kyberkestävyysasetuksen mukaisen sääntelyn testiympäristön perustamisen. Esityksen tavoitteena on myös täydentää EU:n kyberturvallisuusasetuksen soveltamiseen liittyvää kansallista sääntelyä. Kyberturvallisuusasetus on tullut pääosin voimaan vuonna 2019, mutta erityisesti uuden kyberkestävyysasetuksen vuoksi sen soveltamista tukevaa sääntelyä on tarpeen täydentää. Tältä osin ehdotukset koskevat eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä, niitä valvovan viranomaisen tehtäviä ja toimivaltuuksia sekä vaatimustenmukaisuuden arviointilaitoksia. Tavoitteena on turvata sisämarkkinoiden toimintaa. 

Lisäksi esityksen tavoitteena on täydentää EU:n kyberturvallisuusdirektiivin eli NIS 2 -direktiivin kansallista täytäntöönpanoa koskien verkkotunnuksien rekisteröintitietoja ja verkkotunnusvälittäjiä. Sähköisen viestinnän palveluista annettuun lakiin ehdotetaan lisäyksiä, jotka koskevat verkkotunnuksiin liittyvien tietojen käsittelyä ja luovuttamista myös muiden kuin fi- ja ax-verkkotunnusten osalta silloin, kun verkkotunnusvälittäjä tai aluetunnusrekisteri on sijoittautunut Suomeen. 

Liikenne- ja viestintävirasto vastaisi pääosin uusista viranomaistehtävistä, joita esityksellä ehdotetaan. Esityksestä aiheutuu näin ollen virastolle ja erityisesti sen Kyberturvallisuuskeskukselle tehtävämäärää lisäävä vaikutus. Esityksestä aiheutuu myös vähäisempiä vaikutuksia eräille muille viranomaisille, kuten muun muassa tekoälyasetusta valvoville viranomaisille. 

Kyberkestävyysasetuksen soveltaminen parantaa markkinoilla olevien laitteiden ja ohjelmistojen tietoturvaa. Asetuksen soveltamisalaan kuuluvat laajasti erilaiset sekä kuluttaja- että yrityskäytössä olevat laitteet ja ohjelmistot. Kyberkestävyysasetuksen sujuva ja tehokas toimeenpano laitteiden ja ohjelmistojen tietoturvan parantamiseksi sisältyy myös Suomen kyberturvallisuusstrategian toimeenpanosuunnitelman priorisoituihin toimenpiteisiin. Asetuksen sujuva ja tehokas toimeenpano edellyttää siihen liittyvien uusien viranomaistehtävien järjestämistä tehokkaalla ja asianmukaisella tavalla, mistä tässä esityksessä on kysymys. — Kiitos. 

Arvoisa puhemies! Kyberturvallisuus ei ole enää erillinen tekninen kysymys, se on keskeinen osa Suomen kokonaisturvallisuutta. Yhteiskuntamme toiminta, viranomaispalvelut, yritysten liiketoiminta ja kansalaisten arki nojaavat digitaalisiin järjestelmiin, laitteisiin ja ohjelmistoihin. Niiden turvallisuus on suoraan yhteydessä huoltovarmuuteen, talouteen ja kansalliseen turvallisuuteen. Tällä esityksellä Suomi toimeenpanee EU:n kyberkestävyyssäädöstä ja täydentää kyberturvallisuusasetusta kansallisella lainsäädännöllä. Keskeinen muutos on se, että internetiin kytkettäville laitteille ja ohjelmistoille asetetaan yhtenäiset vähimmäisvaatimukset kyberturvallisuudesta koko EU-alueella. Samalla tuotteiden valmistajien vastuuta vahvistetaan, sillä jatkossa markkinoille ei pääse tuotteita, joiden tietoturvasta ei ole huolehdittu asianmukaisesti. 

Arvoisa puhemies! Kyberturvallisuudesta huolehtiminen on ennen kaikkea ennaltaehkäisyä. Yhä useampi kyberuhka kohdistuu nimenomaan tuotteiden ja ohjelmistojen haavoittuvuuksiin, ei vain yksittäisten organisaatioiden toimintaan. Kun turvallisuus rakennetaan jo suunnitteluvaiheessa tuotteisiin, vähennetään riskiä laajoista häiriöistä, palvelukatkoksista ja meille tärkeän digitaalisen toiminnan vaarantumisesta. Tämä on huoltovarmuutta digitaalisessa ajassa. Samalla esitys vahvistaa luottamusta digitaalisiin sisämarkkinoihin. Yhteiset säännöt tarkoittavat, että suomalaiset yritykset toimivat samoilla pelisäännöillä kuin muutkin ja että markkinoilla liikkuvien tuotteiden tietoturvataso nousee kautta linjan. Turvallisuus ei ole kilpailun este, vaan se on edellytys kestävälle digitaaliselle taloudelle. 

Arvoisa puhemies! Tämä esitys vahvistaa Suomen kykyä varautua, ennaltaehkäistä ja hallita kyberuhkia. Se on olennainen osa kokonaisturvallisuuttamme ja sen vahvistamista. Esityksessä säädetään siitä, mitä Suomessa odotamme digitaalisilta laitteilta ja ohjelmilta sekä miten näitä vaatimuksia valvotaan. Kyse on siis paljon laajemmasta asiasta kuin teknisestä sääntelystä. Kyse on siitä, että suojaamme yhteiskunnan elintärkeitä toimintoja, kansalaisten tietoja ja yritystemme toimintakykyä muuttuneessa turvallisuusympäristössä. Tämä lakiesitys vahvistaa kansallista kykyä havaita, koordinoida ja hallita kyberuhkia ajoissa. Kyberympäristö on uusi toimintaympäristö, mutta vastuumme turvallisuudesta on sama kuin aina ennenkin. — Kiitos, arvoisa puhemies. 

Arvoisa puhemies! Kunnioitettu ministeri! Esityksen tavoitteena on vahvistaa tuotteiden kyberturvallisuutta ja varmistaa Euroopan unionin kyberkestävyyssäädöksen sujuva ja yhdenmukainen toimeenpano Suomessa. Digitaalisen elementin sisältävät laitteet ja ohjelmistot ovat keskeisiä arjessa, elinkeinoelämässä ja yhteiskunnan kriittisissä toiminnoissa. Niiden turvallisuusvaatimusten toteutuminen on keskeistä, jotta suomalaiset yritykset ja kansalaiset voivat luottaa digitaalisiin palveluihin ja laitteisiin. Kyberturvallisuuden vahvistaminen tukee myös talouden toimivuutta ja vähentää häiriöiden riskiä kriittisillä aloilla. Markkinavalvontatehtävien keskittäminen Liikenne- ja viestintävirastolle tukee säädöksen yhdenmukaista soveltamista, selkeyttää vastuita ja helpottaa yritysten asiointia viranomaisten kanssa. Yhden viranomaisen malli mahdollistaa tehokkaan neuvonnan ja riskiperusteisen valvonnan, mikä parantaa valvonnan ennakoitavuutta ja luotettavuutta. 

Arvoisa puhemies! Jotta valvonta toimii käytännössä, virastolla tulee olla riittävät resurssit. Tarvittavat investoinnit viraston testausvalmiuksiin, laboratoriotoimintaan ja mittauslaitteisiin tukevat laadukasta ja ennakoivaa markkinavalvontaa. Lisäksi virastolla tulee olla osaavaa henkilöstöä ja valmiudet toteuttaa tarkastuksia erityisesti kriittisimpien tuoteryhmien osalta. Virasto voi näin tarjota myös ohjausta yrityksille ja varmistaa, että tuotteet täyttävät asetetut vaatimukset jo kehitysvaiheessa. Esitys ulottaa sääntelyn myös julkisiin hankintoihin, kun kohteena on digitaalisen elementin sisältävä tuote. Samalla ehdotetaan laki kyberkestävyydestä ja kyberturvallisuussertifioinnista sekä muutoksia markkinavalvontaan ja sähköistä viestintää koskevaan lainsäädäntöön. Liikenne- ja viestintävirasto jatkaa kansallisena sertifiointiviranomaisena, ja korkean riskin tekoälyjärjestelmien valvonta toteutetaan erillisen lainsäädännön mukaisesti. 

Arvoisa puhemies! Esitys täydentää EU:n kyberturvallisuusdirektiivin kansallista täytäntöönpanoa verkkotunnuksia koskien. Kyberkestävyyssäädöksen tehokas toimeenpano sisältyy Suomen kyberturvallisuusstrategian keskeisiin toimenpiteisiin. Hallitus vahvistaa turvallisuutta kriittisillä toimialoilla, tukee elinkeinoelämän valmiuksia ja toteuttaa EU-lainsäädännön johdonmukaisesti. Esitys tukee luottamusta digitaalisiin tuotteisiin ja palveluihin sekä Suomen turvallisuutta ja kilpailukykyä digitaalisessa toimintaympäristössä. Kiitän ministeri Rannetta tästäkin ennaltaehkäisevästä ja varautumiseen perustuvasta esityksestä. — Kiitos. 

Arvoisa rouva puhemies! Arvoisa ministeri! Tällä asetuksen toimeenpanoa koskevalla lainsäädännöllä on tarkoitus tosiaan parantaa yhteiskunnan kokonaisturvallisuutta, kun käytössä ja markkinoilla on aikaisempaa tietoturvallisempia laitteita ja ohjelmistoja. Tämä asetus koskee laajasti kaikkia valmistajia ja maahantuojia, joiden laitteet, ohjelmistot ja sovellukset ovat yhteydessä verkkoon, ja näitä ovat esimerkiksi tv:t, jääkaapit, kahvinkeittimet ja niin edelleen. Eli tällä asetuksella sinänsä on myös laaja-alaisia vaikutuksia kuluttajiin. 

Suomen avoimien tietojärjestelmien keskus COSS ry on tuonut selkeästi esille, että se vastustaa kansallista lisäsääntelyä eli tätä asetusta kireämpää sääntelyä, mikä uhkaa heidän näkemyksensä mukaan avoimen lähdekoodin toimintaedellytyksiä Suomessa, ja näkee sen myös haitaksi kilpailukyvylle. Tämä on näkemys, joka on saanut myös verraten laajaa tukea. Kysyisin ministeriltä, miten te näette tämän asian, ja miten olette tähän kritiikkiin vastannut tai miten aiotte siihen vastata. Tämä on ehkä kuitenkin sellainen asia, jota tässä talossa, eduskunnassa, valiokuntatyöskentelyssä, on sitten vielä syytä tarkastella enemmän. — Kiitos. 

Arvoisa rouva puhemies! Suuri huoli liittyy tietysti siihen, millä me takaamme viraston eli Traficomin resurssit. Kun tässäkin tulee nyt uusia tehtäviä, velvoitteita, ja sitten kun mennään tuohon täysistunnon kohtaan 9 ja myös sieltä tulee ministeri Mereltä lisää velvoitteita ja vaatimuksia Traficomille, niin miten me pidämme huolen niistä? Kun kyberturvallisuus vaatii koko ajan meiltä entistä enemmän huomiota ja resursseja, onko hallitus varautunut siihen, että jatkossa niitä panostuksia vielä saataisiin enemmän sinne Traficomille? Nyt siellä on aika kovat säästöpaineet päällä. 

Kiitoksia kysymyksistä. Ensin lyhyesti totean näistä avoimen lähdekoodin ohjelmistovastaavista. Tässähän on nimenomaan punnittu sitä, että näiden vaatimusten osalta näemme kuitenkin, että on parempi, että velvoitteita tulee, kuin että niitä ei tulisi. Toivottavasti myöskin sitten, kun valiokuntakäsittelyssä sitä vielä puitte, saatte tälle vahvistuksen. Kyllä tässä selkeästi kuitenkin turvallisuusvalvontavelvollisuuksia pitää olla laajasti. 

Sitten palataan tähän, joka on ikuisuuskysymys: Traficomin velvollisuudet ja vastuut. Ensin täytyy todeta, että meillähän kaikilla virastoilla, niin Väylällä kuin Traficomilla kuin Ilmatieteen laitoksella, on säästövelvoitteet, ja siellä tietenkin ollaan kuitenkin onnistuttu pitämään henkilöstömäärä samana, eli se ei ole vähentynyt tässä tämän hallituskauden aikana. Jatkuvasti me tätä pohdimme, ja tänään tapasin itse asiassa Traficomin pääjohtajaakin Jarkko Saarimäkeä, ja heillä siellä operatiivinen johto tietenkin hakee sitä mahdollisimman tehokasta porukan käyttämistä ja työajan käyttämistä. Mutta ei ole helppoa, ja niin kuin tiedetään tämä taloustilanne, niin hyvin vaikeaa on tietenkin mitään uutta, isompaa rahoitusta saada. Mutta toki painotus on turvallisuudessa. Painotus on myöskin Traficomin sisällä sillä tavalla, että kun siellä niitä tehtäviä ja rahoja pohditaan, niin kyllä... Itse asiassa tässä voisi ottaa esiin sen, joka on hieman herättänyt keskustelua, eli nämä palveluverkkosäästöt, joita nyt näihin insseihin ja muihin liittyy. Kun säästöjä on tehtävä, niin me emme ole halunneet säästää kyberturvallisuudesta, vaan sitten näistä harvemmin tarvittavista palveluista. Että kyllä tämä on tämmöistä vaikeaa tasapainottelua. 

Edelleen voi todeta, että Suomessa ja meidän Traficomilla ja meidän Kyberturvallisuuskeskuksella, joka on siis todellinen timantti, homma on kyllä hanskassa, mutta tämä on yhteinen huoli. Teemme kyllä parhaamme, ja minä uskon, että seuraavakin hallitus tekee. — Kiitos. 

Arvoisa puhemies! Oikeastaan kysymys ministerille tässä vielä, kun nostitte itse nämä inssit ja nämä palveluverkkokysymykset: arvioitteko te ministeriössä, kun ajattelen, että tämä on viraston oma asia, ja oletteko te ministerinä ollut sitten myös aktiivinen siinä, että näitä asioita laitetaan vastakkain, eli tämä kyberturvallisuus ja nämä Traficomin tarpeet versus sitten inssi ja ajokorttien saaminen? Näin valiokunnan puheenjohtajana on myönnettävä, että hyvin paljon palautetta tulee tällä hetkellä siitä palveluverkosta. Lukuisista toimipisteistä ympäri maata on uhattu palvelut ajaa alas. Muistan viime kaudelta, että keskusta halusi sen verkon siellä säilyttää. Onko nyt todella niin, että maakunnista sitten nämä palvelut viedään, niin Pirkanmaalta, Etelä-Pohjanmaalta, Pohjanmaalta kuin monesta muusta, ja ne palvelut karkaavat sinne maakuntakeskuksiin? 

Kiitoksia tästä kysymyksestä. Iso kuvahan on näin, että tietenkin ohjaamme varmistamaan ne kriittiset, kaikkein tärkeimmät palvelut, jotka ovat koko yhteiskunnan kannalta aivan keskeisiä. Tämä on se ylätason ohjeistus. Virastoilla on täysin oma vastuu ja myöskin asiantuntemus ja velvollisuus katsoa, millä tavalla näitä säästöjä sitten toteutetaan. Eli luotan kyllä siihen, että virasto pystyy tämän tekemään. Ainoastaan on tämä iso liikenne- ja viestintäministeriönkin tavoite, että kun me olemme turvallisuusministeriö, niin me katsomme, oli sitten kyse liikenneturvallisuudesta, oli sitten kyse kyberturvallisuudesta, kansallisesta turvallisuudesta, huoltovarmuudesta ja niin edespäin, että nämä ovat niitä asioita, joita painotetaan. Ja niin kuin valiokunnan puheenjohtaja Ovaskakin tietää, esimerkiksi liikenneturvallisuuden osalta vt 9 tuli sieltä juuri meidän kaudellamme. — Kiitoksia.