Arvoisa puhemies! Arvoisat edustajat! Esittelen talousvaliokunnan mietinnön, jonka pohjana on hallituksen esitys eduskunnalle laiksi Finanssivalvonnasta annetun lain muuttamisesta ja eräiksi siihen liittyviksi laeiksi. Esityksen tarkoituksena on antaa finanssialan digitaalista häiriönsietokykyä koskevaa niin sanottua EU:n DORA-asetusta täydentävät kansalliset säännökset sekä panna täytäntöön niin sanottu DORA-muutosdirektiivi. Lisäksi tarkoituksena on antaa kyberturvallisuuden korkean tason varmistamista koskevan niin sanotun NIS 2 -direktiivin ja kriittisten toimijoiden häiriönsietokykyä koskevan CER-direktiivin kansallista täytäntöönpanoa täydentävät säännökset pankkitoiminnan ja finanssimarkkinoiden infrastruktuurin osalta. Asetus on jäsenmaissa suoraan sovellettavaa oikeutta, ja kansallista liikkumavaraa on vain hyvin rajallisesti. 

DORA-asetus ja DORA-muutosdirektiivi ovat osa komission toimenpidepakettia, jolla pyritään parantamaan digitaalisen rahoituksen tarjoamia mahdollisuuksia innovoinnin ja kilpailun vauhdittamiseksi, luomaan uusia vaihtoehtoja nykyisten rahoitus- ja maksupalvelujen rinnalle sekä vähentämään digitaaliseen rahoitukseen liittyviä riskejä. Rahoitusmarkkinat ovat yhteiskunnan toiminnan kannalta kriittinen toimiala, jonka toimintaympäristöön vaikuttavat olennaisesti muun muassa digitalisoituminen, tieto- ja viestintäteknisten ratkaisujen aiheuttamien riskien kasvu sekä Suomen ja Euroopan turvallisuusympäristön muutos. 

Talousvaliokunta toteaa, että toimintaympäristön radikaalin muuttumisen vuoksi on entistäkin tärkeämpää varmistaa finanssimarkkinoilla toimivien finanssiyhteisöjen ja muiden kriittisten toimijoiden kyberturvallisuuden korkea taso ja toteuttaa toimenpiteet rahoitusmarkkinoiden häiriönsietokyvyn parantamiseksi mahdollisimman tehokkaasti ja yhdenmukaisesti koko EU:n alueella. 

DORA-asetusta sovelletaan laajasti rahoitusalan eri toimijoihin, joita ovat asetuksessa määritellyt finanssiyhteisöt sekä tieto- ja viestintäverkkopalvelujen eli tvt-palvelujen tarjoajat. Valiokunta yhtyy useissa asiantuntijalausunnoissa esitettyyn näkemykseen, jonka mukaan sääntelyn soveltamisalan tulee kattaa laajasti eri finanssialan toimijat sekä sellaiset muut kriittiset toimijat, joilla on keskeinen merkitys rahoitusmarkkinoiden kyberturvallisuuden ja häiriönsietokyvyn turvaamisen näkökulmasta. 

DORA-asetus mahdollistaa jäsenvaltioiden alueilla sijaitsevien, tiettyjen EU:n luottolaitosdirektiivissä tarkoitettujen yhteisöjen jättämisen asetuksen ulkopuolelle. Hallituksen esityksessä ehdotetaankin, että näin toimittaisiin Teollisen yhteistyön rahasto Oy:n, siis Finnfundin, ja Finnvera Oyj:n kohdalla, sillä DORA-asetuksen mukaisena toimivaltaisena viranomaisena toimiva Finanssivalvonta ei valvo Finnfundia eikä Finnveraa. Ei ole myöskään tarkoituksenmukaista luoda erillisiä valvontajärjestelyjä, vaan ohjausta ja valvontaa tulee arvioida kokonaisuutena näitä yhtiöitä koskevien lainsäädäntöuudistusten yhteydessä. Valiokunta pitää tätä etenemistapaa perusteltuna. 

DORA-asetusta on sovellettava niin, että sen nojalla asetettavat velvoitteet ovat oikeassa suhteessa yhteisön kokoon ja yleiseen riskiprofiiliin sekä sen palvelujen ja toimintojen luonteeseen, laajuuteen ja monimutkaisuuteen. Talousvaliokunta pitää tätä tavoitetta sinänsä kannatettavana. Samalla se viittaa aikaisempaan lausuntoonsa TaVL 26/2020 vp, jonka mukaan suhteellisuusperiaatetta sovellettaessa on olennaista arvioida nimenomaan toimijan vaikutusta markkinaan eikä yksinomaan sen kokoa. Tämä on tärkeää, koska myös pienen toimijan riskienhallinnan laiminlyönti voi aiheuttaa laajavaikutteisen ongelman, jolla voi olla haitallisia vaikutuksia esimerkiksi huoltovarmuuteen. Valiokunta katsoo, että valvonnan tulee olla tehokasta ja oikein kohdennettua, ja samalla on huolehdittava siitä, että se ei aiheuta finanssialan toimijoille tarpeetonta hallinnollista taakkaa. 

Ehdotuksen mukaan Finanssivalvonta toimii DORA-asetuksen säännösten noudattamista valvovana kansallisena toimivaltaisena viranomaisena. Lisäksi Finanssivalvonnan tehtävänä on edistää finanssimarkkinoilla toimivien kyberturvallisia toimintatapoja ja osallistua asetuksessa tarkoitettuun viranomaisten väliseen yhteistyöhön. 

Finanssivalvonnasta annetun lain hallinnollisia seuraamuksia koskevia säännöksiä ehdotetaan täydennettäväksi niin, että Finanssivalvonta voisi määrätä korjaavia toimenpiteitä tai seuraamusmaksun sille, joka laiminlyö tai rikkoo DORA-asetuksen mukaisia velvoitteitaan. Valiokunta pitää ehdotuksia perusteltuina ja oikeasuhtaisina. Finanssialan digitaalista häiriönsietokykyä koskevan sääntelyn yhteiskunnallisen merkittävyyden ja finanssimarkkinoiden valvonnan uskottavuuden näkökulmasta on tärkeää, että Finanssivalvonnalla on käytettävissä tehokkaat sanktiot tilanteissa, joissa DORA-asetuksen velvoitteita rikotaan tai laiminlyödään. 

DORA-asetus sisältää myös tvt-palveluita tarjoavia kolmansia osapuolia koskevia velvoitteita. Tvt-palveluilla tuetaan finanssiyhteisöjen keskeisiä toimintoja. Tvt-palvelujen tarjoajien toiminnalla on olennainen merkitys finanssimarkkinoiden häiriöttömän toiminnan näkökulmasta. Esityksessä ehdotetaan, että nämä toimijat lisätään Finanssivalvonnan yleisten valvontavaltuuksia, lain mukaisia tiedonsaanti- ja tarkastusvaltuuksia ja seuraamuksia koskevien säännösten piiriin. Valiokunta toteaa, että DORA-asetus on tvt-palveluntarjoajia koskevien soveltamisala- ja valvontakehikkosäännösten osalta suoraan sovellettavaa oikeutta, joka ei mahdollista kansallista liikkumavaraa. 

Finanssivalvonnasta annettuun lakiin ehdotetaan lisättäväksi uusi 3 f §, jossa säädetään Finanssivalvonnan ja muiden viranomaisten yhteistyöstä erityisesti kyberturvallisuuden edistämiseksi. Valiokunta yhtyy näkemyksiin ja painottaa toimivan viranomaisyhteistyön merkitystä finanssialan häiriönsietokyvyn vahvistamisessa sekä korostaa, ettei yleinen yhteistyövelvoite itsessään tarkoita oikeutta poiketa tiedon salassapitoa koskevista säännöksistä, vaan salassa pidettävien tietojen luovuttaminen on aina arvioitava soveltuvien säännösten nojalla. 

DORA-asetuksella ja sitä täydentävällä kansallisella sääntelyllä on vaikutuksia myös Rahoitusvakausviraston toimintaan. Kansallisena kriisinratkaisuviranomaisena toimivalla Rahoitusvakausvirastolla on lakisääteisten tehtäviensä hoitamiseksi oltava kattava tilannekuva luottolaitosten ja sijoituspalveluyritysten ajantasaisesta kyberturvallisuustilanteesta. 

Arvoisa puhemies! Valiokunta ehdottaa, että eduskunta hyväksyisi esityksen muutamin teknisluontoisin muutoksin. — Kiitos. 

Arvoisa puhemies! Kyse on, kuten valiokunnan puheenjohtaja tässä esittelyssä toikin esille, digitaalisesta häiriönsietokyvystä, DORA-asetuksesta ja Finanssivalvonnasta annetun lain muuttamisesta. Tässä siis muun muassa täydennettäisiin Finanssivalvonnan tehtäväksi kyberturvallisten toimintatapojen ja finanssimarkkinoiden kriittisten toimijoiden häiriönsietokyvyn edistäminen.  

On arvioitu, että suomalaisilla toimijoilla järjestelmien saattaminen vaatimuksia vastaavaksi on hyvällä tasolla. Huoltovarmuuskeskus on itse asiassa tehnyt kyberkypsyydestä kansallisen koosteraportin muutama vuosi sitten. Tästä Huoltovarmuuskeskuksen raportista nostan kuitenkin erään päinvastaisen johtopäätöksen esille: ”Kyberturvallisuusalaa piinaava pula osaajista näkyy usean organisaation kohdalla. Haasteen ratkaisu vaatii toimenpiteitä monella tasolla.”  

Tästä suomalaisten toimijoiden kyberosaamisesta kysyin myös valiokunnassa, ja minusta se on ala ja asia, mihin jatkossa on kiinnitettävä enemmän huomiota. Vaikka osaamista on, niin siihen ei voi tuudittautua, vaan jatkuvasti muuttuvassa toimintaympäristössä kyberturvallisuustietoisuuden ja -osaamisen kehittäminen vaatii jatkuvaa työtä. Kun alan toimijat pystyvät suojelemaan itseään kyberhyökkäyksiltä ja -häiriöiltä, pystyvät he myös varmistamaan arkipäiväisten toimintojensa jatkuvuuden ja asiakkaiden ja sijoittajien tehokkaan palvelun sekä heidän tietojensa ja varojensa suojaamisen. 

Arvoisa puhemies! Halusin vain nostaa tämän kyberosaamisasian esille, mutta sinänsähän tämän asian käsittely oli valiokunnassa sujuvaa ja mietintö oli yksimielinen. — Kiitos.