Viimeksi julkaistu 9.5.2021 20.35

2018 vp Liikenne- ja viestintävaliokunta Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta (U 102/2018 vp): Asia on saapunut liikenne- ja viestintävaliokuntaan mahdollisia toimenpiteitä varten.

Asiantuntijat

Valiokunta on kuullut:

ylitarkastaja Olli Lehtilä
liikenne- ja viestintäministeriö
tietosuojavaltuutettu Reijo Aarnio
tietosuojavaltuutetun toimisto
apulaisjohtaja Rauli Paananen
Liikenne- ja viestintävirasto
viestintäpäällikkö Päivi Tampere
Euroopan hybridiuhkien torjunnan osaamiskeskus

VALTIONEUVOSTON KIRJELMÄ

Ehdotus

Kyberturvallisuusympäristö muuttuu nopeasti ja siksi EU:n komissio ja unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja antoivat syyskuussa 2017 yhteisen tiedonannon Resilienssi, pelote ja puolustus: vahvan kyberturvallisuuden rakentaminen EU:lle tarkoituksena parantaa unionin sietokykyä, kyberpelotetta ja reagointivalmiuksia kyberhyökkäysten varalta. Tiedonannon toimenpide-ehdotuksiin sisältyivät Euroopan unionin verkko- ja tietoturvaviraston (ENISA) vahvistaminen sekä unionin laajuisen vapaaehtoisen kyberturvallisuuden sertifiointikehyksen luominen, jolla pyrittäisiin parantamaan tuotteiden ja palvelujen kyberturvallisuutta digitaalisessa maailmassa. Lisäksi ehdotuksiin sisältyi suunnitelma nopeasta ja koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin.

Tiedonannossa korostettiin, että unionin strategisten etujen mukaista on varmistaa kyberturvallisuuteen liittyvät keskeiset teknologiset valmiudet ja niiden säilyttäminen sekä valmiuksien kehittäminen digitaalisten sisämarkkinoiden turvaamiseksi. Erityisen tärkeää on kriittisten verkkojen ja tietojärjestelmien suojaaminen ja keskeisten kyberturvallisuuspalvelujen tarjoaminen. Unionin tulee voida itsenäisesti turvata digitaaliset voimavaransa ja kilpailla maailmanlaajuisilla kyberturvallisuusmarkkinoilla.

Tällä hetkellä Unioni on kyberturvallisuustuotteiden ja -ratkaisujen nettotuoja ja suurelta osin riippuvainen Euroopan ulkopuolisista toimittajista. Maailmanlaajuiset kyberturvallisuusmarkkinat ovat suuruudeltaan noin 600 miljardia euroa, ja markkinan odotetaan kasvavan seuraavien viiden vuoden aikana keskimäärin noin 17 %, kun tarkastellaan myyntiä ja yritysten ja työpaikkojen määrää. Markkinan näkökulmasta maailman 20 johtavan kyberturvallisuusmaan joukossa on kuitenkin vain kuusi EU:n jäsenvaltiota.

Euroopassa on paljon alaan liittyvää osaamista ja EU:ssa sijaitsee arviolta yhteensä 660 alan osaamiskeskittymää. Euroopan kyberturvallisuusalan tutkimus- ja teollisuusyhteisöjen toimet ovat kuitenkin hajanaisia ja epäyhtenäisiä ja niiltä puuttuu yhteinen missio, mikä heikentää EU:n kilpailukykyä. Myös investoinnit alalle ovat riittämättömiä eikä kyberturvallisuuden siviili- ja puolustusalojen välisiä synergioita hyödynnetä Euroopassa täysimääräisesti.

Unioni voisi toteuttaa huomattavasti suuremman mittakaavan investointeja. Se tarvitsee kuitenkin tehokkaamman koordinaatiomekanismin, jonka avulla voidaan rakentaa pysyviä valmiuksia, yhdistää toimia, koota osaamista ja edistää sellaisten innovatiivisten ratkaisujen kehittämistä, jotka vastaavat kyberturvallisuuden teollisiin haasteisiin uusien monikäyttöteknologioiden alalla (esim. tekoäly, kvanttilaskenta, lohkoketju ja turvalliset digitaaliset identiteetit).

Marraskuussa 2017 annetuissa neuvoston päätelmissä komissiota pyydettiin tekemään nopeasti vaikutusarviointi mahdollisista vaihtoehdoista perustaa kyberturvallisuuden osaamiskeskusten verkosto, jonka keskiössä olisi Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskus, sekä tekemään tätä koskeva säädösehdotus.

Euroopan komissio antoi edelliseen perustuen 12.9.2018 ehdotuksen (COM(2018) 630 final) Euroopan parlamentin ja neuvoston asetukseksi, jolla perustettaisiin Euroopan kyberturvallisuuden teollisen, teknologisen ja tutkimusosaamisen osaamiskeskus ja kyberturvallisuuden kansallisten koordinointikeskusten verkosto. Näitä tukisi kyberturvallisuuden osaamisyhteisö.

Ehdotuksen tavoitteena on mahdollistaa entistä tehokkaammin jäsenvaltioiden kansallisten viranomaisten ja teollisuuden kyberuhkien ehkäiseminen ja koordinaatio näihin vastaamisessa sekä pääsy kyberturvallisuuden korkean laadun osaamiseen, tuotteisiin ja ratkaisuihin. Tavoitteena on erityisesti auttaa Euroopan kyberturvallisuusalan yrityksiä kehittämään ja ottamaan käyttöön uusia ja parempia kyberturvallisuustuotteita ja -ratkaisuja, tukea yrityksiä markkinoihin liittyvien esteiden poistamisessa sekä lisätä eurooppalaisten yritysten markkinaosuutta turvaamalla reilun kilpailun pelisäännöt ja avoimet markkinat. Aloite myös auttaa eri alojen yrityksiä tekemään tuotteistaan kyberturvallisempia ja kääntämään kyberturvallisuuden kilpailueduksi.

Perustettavan keskuksen ja verkoston avulla pyritään säilyttämään ja kehittämään kyberturvallisuuden teknologista ja teollista kapasiteettia, joka on välttämätöntä Digitaalisten sisämarkkinoiden turvaamiselle. Tavoitteena on myös lisätä Unionin kyberturvallisuusteollisuuden kilpailukykyä ja edesauttaa tavoitetta luoda kybertuvallisuudesta Unionin muiden teollisuudenalojen kilpailuetu. Mekanismin avulla on mahdollista koota yhteen, jakaa ja varmistaa olemassa olevaa osaamista, mahdollistaa kustannuksiltaan mittavan infrastruktuurin yhteisinvestoinnit, edistää EU:n kyberturvallisuustuotteiden ja -ratkaisujen käyttöönottoa, toteuttaa pitkän aikavälin strategista yhteistyötä teollisuuden, tutkimusyhteisöjen ja valtioiden välillä sekä ylittää kyberturvallisuuteen liittyviä osaamiskuiluja.

Valtioneuvoston kanta

Valtioneuvosto suhtautuu ensivaiheen kantana myönteisesti ehdotukseen Euroopan kyberturvallisuuden osaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta ja ehdotuksen yleisiin tavoitteisiin. Euroopan kilpailukykyä tulee vahvistaa ja siinä tärkeää on EU-tason panostus innovaatioihin, tutkimukseen, osaamiseen ja investointeihin.

Uusia rakenteita suunniteltaessa on huomioitava, että kyberturvallisuustuotteiden ja -teknologioiden kehittäminen ei tapahdu viranomaisvetoisesti, vaan ensisijaisesti markkinaehtoisesti globaalissa kilpailussa toimivissa yrityksissä. Valtioneuvosto pitää tärkeänä, että kyberturvallisuuden osaamiskeskus ja siihen liittyvä verkostotoiminta hyödyttää sekä suomalaisia yrityksiä, että viranomaistoimijoita. On tärkeää huolehtia siitä, ettei ehdotuksesta aiheudu ylimääräistä, erityisesti yritysten kilpailukykyä tai yritysten ja muiden tahojen operatiivista toimintaa haittaavaa hallinnollista taakkaa.

Valtioneuvosto pitää keskeisenä varmistaa, etteivät keskuksen tai verkoston tehtävät tai toimivalta ole päällekkäisiä olemassa olevien toimijoiden tai yhteistyöelinten kanssa. Erityisesti on huolehdittava siitä, etteivät ehdotetun osaamiskeskuksen ja Euroopan Unionin verkko- ja tietoturvavirasto ENISA:n tehtävät ole päällekkäisiä. Lisäksi on tärkeää huolehtia EU:n eri instrumenttien ja ohjelmien kuten Digitaalinen Eurooppa, Horisontti Eurooppa ja koheesiopolitiikka synergioista ja toisiaan täydentävästä kokonaisuudesta keskukseen ja verkostoon olevien liittymäpintojen osalta.

Osaamiskeskuksen rahoitus katettaisiin komission ehdotuksen mukaan EU:n 2021—2027 rahoituskehyksen Digitaalinen Eurooppa ja Horisontti Eurooppa -ohjelmista sekä EU-rahoitusta vastaavalla määrällä osallistuvien jäsenvaltioiden rahoituksella. Komission ehdotuksen mukaan huomattava osa (25%) Digitaalinen Eurooppa -ohjelmalle ehdotetusta rahoituksesta kanavoitaisiin kyberturvallisuuden osaamiskeskukseen. Valtioneuvosto tarkentaa kantaansa kyberturvallisuuden osaamiskeskuksen ja kansallisen verkoston ehdotettuun rahoitukseen käsittelyn edetessä, ottaen huomioon aiemman linjauksen Digitaalinen Eurooppa -ohjelman tasosta, mistä seuraisi, että kyberturvallisuuden osaamiskeskuksen rahoitus kattaisi noin puolet koko Digitaalinen Eurooppa -ohjelman rahoituksesta.Komission 2021—2027 ohjelmaehdotusten rahoituksen mitoitukseen otetaan erikseen kantaa osana rahoituskehysneuvottelujen kokonaisuutta.

Valtioneuvosto jatkaa asetusehdotuksen analysointia ja täsmentää kantojaan U-jatkokirjelmässä ottaen huomioon tarkemman lisäanalyysin.

VALIOKUNNAN PERUSTELUT

Valiokunta suhtautuu valtioneuvoston tavoin myönteisesti kyberturvallisuuden osaamiskeskuksen ja kansallisten koordinointikeskusten perustamiseen sekä ehdotuksen tavoitteisiin tukea alan yhteistyötä, kehittää osaamista ja valmiuksia ja tukea alan tutkimusta ja innovaatioita. Koordinointikeskusten välisen yhteistyöverkoston kehittäminen Euroopan unionissa on tärkeä tavoite kyberuhkiin varautumisen ja tehokkaan reagoimisen mahdollistamiseksi.

Valiokunta painottaa, että uusien organisaatiorakenteiden luomisessa on kuitenkin tärkeää huomioida, ettei kehittämisellä luoda päällekkäisiä toimintoja nykyisten organisaatioiden tai käynnissä olevien muiden EU-ohjelmien kanssa eikä ylipäätään lisätä tarpeettomasti hallinnollista taakkaa. Saadun selvityksen mukaan kansalliselle koordinointikeskukselle ehdotetut tehtävät vastaavat osittain nykyisiä Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen tehtäviä. Valiokunta korostaa, että Kyberturvallisuuskeskuksella on tällä hetkellä jo muutoinkin selkeä lisäresursoinnin tarve, mikä on välttämätöntä huomioida, jos keskuksen tehtävät lisääntyvät ehdotuksen myötä nykyisestä.

Kyberturvallisuuteen liittyvät ongelmat ja uhat eivät kunnioita valtioiden rajoja. EU-laajuisen yhteistyön toimivuuden varmistamiseksi on siten tärkeää, että kukin jäsenvaltio panostaa myös kansallisesti riittävästi kyberturvallisuuteen. Valiokunta painottaa näin ollen myös kotimaisen kyberturvallisuuden johtamisrakenteiden, koordinaation ja yhteistyön kehittämisen tärkeyttä ehdotuksen tavoitteiden saavuttamiseksi.