HALLINTOVALIOKUNNAN LAUSUNTO 20/2011 vp

HaVL 20/2011 vp - HE 45/2011 vp

Tarkistettu versio 2.0

Hallituksen esitys eduskunnalle laeiksi tietoturvallisuuden arviointilaitoksista, viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista sekä viestintähallinnosta annetun lain 2 §:n muuttamisesta

Liikenne- ja viestintävaliokunnalle

JOHDANTO

Vireilletulo

Eduskunta on 13 päivänä lokakuuta 2011 lähettäessään hallituksen esityksen laeiksi tietoturvallisuuden arviointilaitoksista, viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista sekä viestintähallinnosta annetun lain 2 §:n muuttamisesta (HE 45/2011 vp) valmistelevasti käsiteltäväksi liikenne- ja viestintävaliokuntaan samalla määrännyt, että hallintovaliokunnan on annettava asiasta lausunto liikenne- ja viestintävaliokunnalle.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

lainsäädäntöneuvos Anna-Riitta Wallin, oikeusministeriö

neuvotteleva virkamies Timo Kievari, liikenne- ja viestintäministeriö

IT-johtaja Mikael Kiviniemi, valtiovarainministeriö

johtaja Timo Lehtimäki, Viestintävirasto

Lisäksi kirjallisen lausunnon ovat antaneet

  • suojelupoliisi
  • Elinkeinoelämän keskusliitto EK ry.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi laki tietoturvallisuuden arviointilaitoksista sekä laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista. Uudistuksesta johtuvat tehtävät annettaisiin Viestintävirastolle, minkä vuoksi viestintähallinnosta annettua lakia olisi muutettava.

Esityksellä pyritään edistämään yritysturvallisuutta luomalla valvonta yritysten tietoturvallisuutta arvioiville laitoksille. Arviointilaitosten hyväksyntä ja valvonta kuuluisi Viestintävirastolle.

Arviointilaitosten hyväksyntä antaisi yrityksille mahdollisuuden osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan arvioinnin avulla. Esityksen tarkoituksena on osaltaan yksinkertaistaa ja tehostaa viranomaisten menettelyjä myöhemmin toteutettavan yritysten ja henkilöiden taustojen selvittämistä koskevan lainsäädännön täytäntöönpanossa.

Viestintävirastolle annettaisiin tehtäväksi hoitaa myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arviointitehtäviä. Lakiehdotuksen tarkoituksena on kehittää valtionhallinnon tietoturvallisuutta.

Esitys liittyy valtion vuoden 2012 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä.

Ehdotetut lait on tarkoitettu tulemaan voimaan viimeistään 1 päivänä kesäkuuta 2012.

VALIOKUNNAN KANNANOTOT

Perustelut

Yleistä

Esityksessä ehdotetaan lakia tietoturvallisuuden arviointilaitoksista ja lakia viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista. Lisäksi Viestintähallinnosta annettuun lakiin (625/2001) tehtäisiin Viestintävirastolle ehdotetuista tehtävistä johtuvat tarkistukset.

Hallintovaliokunta pitää ehdotettua lainsäädäntökokonaisuutta tervetulleena. Ehdotetun arviointi- ja selvitystoiminnan voidaan arvioida lisäävän tietoturvavaatimusten omaksumista ja hyödyntämistä sekä yrityksissä että valtionhallinnossa, mikä parantaa kansallisen tietoturvallisuuden tasoa. Ehdotukset ovat myös linjassa valtion tietoturvallisuuden ja hallinnon turvallisuusverkkoa koskevien valtioneuvoston periaatepäätösten kanssa. Valiokunta viittaa lisäksi lakiehdotuksista jäljempänä esittämiinsä näkökohtiin ja puoltaa lakiehdotusten hyväksymistä.

Laki tietoturvallisuuden arviointilaitoksista

Tietoturvallisuuden arviointilaitoksista ehdotetulla lailla luodaan järjestelmä, jonka avulla yritykset voivat kehittää tietoturvallisuuttaan yhteisten kriteerien ja viranomaisvalvonnassa olevien riippumattomien arviointilaitosten avulla. Ehdotetussa laissa annetaan arviointilaitoksille mahdollisuus hakea toimintaansa varten Viestintäviraston hyväksyntä. Arviointilaitos arvioi yrityksen tietoturvallisuutta suhteessa ennalta määriteltyihin tietoturvallisuusvaatimuksiin. Nämä voivat olla laissa tai asetuksessa säädettyjä vaatimuksia tai esimerkiksi määritelty standardissa. Käytettävä arviointiperuste määräytyy arviointia hakevan yrityksen pyynnön mukaan. Arviointilaitoksia valvoo Viestintävirasto.

Valiokunta toteaa lakiehdotuksen olevan tarpeellinen. Voimassa olevaan lainsäädäntöön ei tällä hetkellä sisälly säännöksiä yritysten tietoturvallisuuden arviointia harjoittavien laitosten toiminnasta. Vaatimustenmukaisuuden arviointipalveluiden pätevyyden toteamisesta annetussa laissa (920/2005) säädetään kansallisesta akkreditointijärjestelmästä, jonka tarkoituksena on varmistaa vaatimustenmukaisuuden arviointipalvelujen luotettavuus ja kansainvälinen hyväksyttävyys. Henkilöitä koskevan turvallisuusselvityksen laatimisesta säädetään turvallisuusselvityksistä annetussa laissa (177/2002).

Valiokunta katsoo, että ehdotetulla järjestelmällä parannetaan yritysturvallisuutta ja yritysten suojautumista tietojärjestelmiinsä kohdistuvilta uhilta. Lakiehdotus myös parantaa suomalaisten yritysten kilpailukykyä. Ehdotetun sääntelyn avulla yritykset voivat nykyistä paremmin varautua esimerkiksi sellaisiin kansainvälisiin hankintakilpailuihin, joissa edellytetään viranomaisen laatimaa turvallisuusselvitystä ja sen perusteella annettavaa todistusta. Yrityksen mahdollisuus viranomaisvalvonnassa olevan arviointilaitoksen avulla osoittaa tietoturvallisuutensa taso on merkityksellinen myös yritysten yhteisissä, esimerkiksi teknologian kehittämiseen liittyvissä hankkeissa, joissa sopimusosapuolten kesken vaihdetaan liikesalaisuuksia.

Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista

Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista ehdotetulla lailla annetaan Viestintäviraston tehtäväksi arvioida viranomaisten tietojärjestelmiä ja tietoliikennejärjestelyjä sekä antaa vaatimukset täyttävistä järjestelmistä todistus. Ehdotetun lain mukaan valtionhallinnon viranomaiset saavat käyttää tietoturvallisuutensa arvioinnissa vain tässä laissa tarkoitettua menettelyä taikka sellaista arviointilaitosta, joka on saanut Viestintäviraston hyväksynnän tietoturvallisuuden arviointilaitoksia koskevan lain mukaan. Lisäksi valtiovarainministeriö voi pyytää Viestintävirastoa laatimaan selvityksen valtionhallinnon viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta.

Lakiehdotus liittyy valtionhallinnon tietoturvallisuutta koskevien säännösten täytäntöönpanoon ja niiden kehittämiseen. Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta arvioiva viranomainen kuuluu osana eri maissa noudatettuihin ja useissa kansainvälisissä sopimuksissa ja säädöksissä edellytettyihin järjestelyihin, minkä vuoksi lakiehdotuksella on myös yleisempää merkitystä.

Voimassa olevaan lainsäädäntöön ei sisälly säännöksiä menettelystä, jonka avulla viranomaiset voisivat saada luotettavan arvion käyttämiensä tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuudesta. Lakiehdotus täydentää siten tärkeällä tavalla nykyistä lainsäädäntöä. Ehdotetun lain avulla viranomaiset voivat saada ulkopuolisen arvion myös silloin, kun ne käsittelevät korkeimpien tietoturvallisuusvaatimusten piiriin kuuluvia tietoaineistoja, joiden käsittelyyn ja siirtoon liittyvää arviointia on ongelmallista antaa yksityisten arviointilaitosten tehtäväksi.

Lakiehdotus mahdollistaa sen, että Viestintävirasto voi käyttää arviointitehtävässä myös ulkopuolista asiantuntijaa. Tällaisessa tilanteessa asiantuntija toimii Viestintäviraston antaman toimeksiannon perusteella ja Viestintäviraston lukuun. Viestintäviraston ja sen toimeksiannosta toimivan asiantuntijan tiedonsaantioikeudesta säädetään lakiehdotuksen 6 §:ssä. Tiedonsaantioikeus ei ole rajoittamaton, vaan Viestintävirastolla ja sen toimeksiannosta toimivalla asiantuntijalla on oikeus saada käyttöönsä vain arvioitavana olevaa tietojärjestelmää tai tietoliikennejärjestelyjä koskevat tiedot sekä oikeus päästä tietojärjestelmään vain siinä laajuudessa kuin se on tarpeen arvioinnin suorittamiseksi. Lisäksi toimeksiannosta toimivan asiantuntijan oikeutta rajaa se, minkälainen hänen toimeksiantonsa sisältö on.

Valiokunta korostaa, että sekä Viestintävirastoa että sen toimeksiannosta toimivaa asiantuntijaa koskevat viranomaisten toiminnan julkisuudesta annetun lain (621/1999; jäljempänä julkisuuslaki) säännökset vaitiolovelvollisuudesta. Julkisuuslain 23 §:n 2 momentin mukaan vaitiolovelvollisuus on myös sillä, joka toimii viranomaisen toimeksiannosta tai toimeksiantotehtävää hoitavan palveluksessa. Siten on selvää, että ehdotetun lain mukaisesti Viestintäviraston määräämissä arviointitehtävissä toimivat yritykset ja henkilöt ovat vaitiolovelvollisia toimeksiantotehtäväänsä suorittaessaan saamistaan salassa pidettävistä tiedoista. Julkisuuslain mukaan toimeksiantotehtävää suorittavalla ei ole muutoinkaan oikeutta päättää viranomaisen asiakirjan julkisuudesta, vaan tiedon antamista koskeva määräämisvalta on aina viranomaisella itsellään. Julkisuuslain 22 §:n 1 momentin mukaan vaitiolovelvollisuus luo myös velvollisuuden asiakirjan salassapitoon.

Toimeksiantotehtäviä varten annettavien salassa pidettävien tietojen luovuttamista sääntelee yleisesti julkisuuslain 26 §:n 3 momentti. Sen mukaan viranomainen voi antaa salassa pidettävästä asiakirjasta tiedon toimeksiannostaan suoritettavaa tehtävää varten, jos se on välttämätöntä tehtävän suorittamiseksi. Viranomaisen on lisäksi ennakolta varmistuttava siitä, että tietojen salassapidosta ja suojaamisesta huolehditaan asianmukaisesti. Valiokunta tähdentää, että tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arviointi ei edellytä pääsyä niissä käsiteltäviin tai siirrettäviin tietoihin ja että arviointi voidaan suorittaa myös sellaisina eriteltyinä osatehtävinä, joiden suorittamisen perusteella ei pysty tekemään arviota järjestelmän tietoturvallisuuden tasosta kokonaisuutena.

Viestintävirastossa tehdään asiantuntijamääräyksen laajuutta ja suuntaamista koskevat ratkaisut virkavastuulla ja edellä kuvatut säännökset huomioon otettuina. Viestintäviraston nyt tarkasteltavina olevia tehtäviä hoitavat henkilöt kuuluvat turvallisuusselvityksistä annetun lain mukaisen turvallisuusselvitysmenettelyn piiriin. Valiokunnan näkemyksen mukaan myös toimeksiannosta suoritettavissa tehtävissä voi käytännössä toimia vain henkilö, josta on laadittu turvallisuusselvitys.

Valiokunta katsoo, että ehdotetussa sääntelyssä on otettu asianmukaisesti huomioon myös korkeimpien tietoturvallisuusvaatimusten piiriin kuuluvien tietojärjestelmien ja tietoliikennejärjestelyjen näkökohdat. Ehdotetut säännökset eivät myöskään estä sitä, että arviointia pyytävä viranomainen ilmaisee oman käsityksensä siitä, miten ja minkälaisin toimeksiannoin asiantuntijoita arvioinnissa voidaan käyttää. Viranomainen voi myös peruuttaa pyyntönsä, jos se ei katso Viestintäviraston suunnitelman arvioinnin toteuttamiseksi olevan asianmukainen.

Lausunto

Lausuntonaan hallintovaliokunta esittää,

että liikenne- ja viestintävaliokunta ottaa edellä olevan huomioon.

Helsingissä 10 päivänä marraskuuta 2011

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Jussi Halla-aho /ps
  • vpj. Maarit Feldt-Ranta /sd
  • jäs. Heikki Autto /kok
  • Rakel Hiltunen /sd
  • Reijo Hongisto /ps
  • Risto Kalliorinne /vas
  • Mika Kari /sd
  • Elsi Katainen /kesk
  • Timo V. Korhonen /kesk
  • Antti Lindtman /sd
  • Tapani Mäkinen /kok
  • Markku Mäntymaa /kok
  • Osmo Soininvaara /vihr
  • Ulla-Maj Wideroos /r
  • vjäs. Anne Holmlund /kok

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Minna-Liisa Rinne