Viimeksi julkaistu 1.8.2025 17.04

Valiokunnan mietintö LiVM 12/2025 vp HE 27/2025 vp Liikenne- ja viestintävaliokunta Hallituksen esitys eduskunnalle laeiksi kyberturvallisuuslain ja julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laeiksi kyberturvallisuuslain ja julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta. (HE 27/2025 vp): Asia on saapunut liikenne- ja viestintävaliokuntaan mietinnön antamista varten. 

Asiantuntijat

Valiokunta on kuullut: 

  • hallitussihteeri Veikko Vauhkonen 
    liikenne- ja viestintäministeriö
  • lainsäädäntöneuvos Eeva Lantto 
    valtiovarainministeriö
  • NIS-koordinaattori, erityisasiantuntija Kalle Varjola 
    Liikenne- ja viestintävirasto, Kyberturvallisuuskeskus
  • Vice President, Partner Success Artturi Lehtiö 
    WithSecure Oyj
  • johtava asiantuntija Markku Rajamäki 
    Elinkeinoelämän keskusliitto EK ry
  • johtava riskiasiantuntija Pasi Korhonen 
    Finanssivalvonta
  • toimitusjohtaja Peter Sund 
    Finnish Information Security Cluster - Kyberala ry edustaen myös Teknologiateollisuus ry:tä
  • erityisasiantuntija Martti Setälä 
    Suomen Kuntaliitto

Valiokunta on saanut kirjallisen lausunnon: 

  • tietosuojavaltuutetun toimisto
  • Yleisradio Oy

Valiokunta on saanut ilmoituksen, ei lausuttavaa: 

  • oikeusministeriö
  • FiCom ry

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi kyberturvallisuuslakia ja julkisen hallinnon tiedonhallinnasta annettua lakia. 

Esityksellä saatettaisiin kyberturvallisuuslain sekä julkisen hallinnon tiedonhallinnasta annetun lain 4 a luvun soveltamisala koskemaan sellaisia yhteisöjä, jotka määritetään yhteiskunnan toiminnan kannalta kriittisiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ehdotetun lain nojalla. Esityksellä täydennettäisiin kriittisten toimijoiden häiriönsietokykyä koskevan Euroopan parlamentin ja neuvoston direktiivin sekä kyberturvallisuutta koskevan Euroopan parlamentin ja neuvoston direktiivin kansallista täytäntöönpanoa.  

Pääministeri Petteri Orpon hallituksen hallitusohjelman mukaan kyberturvallisuutta ja sitä koskevaa yhteistyötä viranomaisten ja elinkeinoelämän välillä vahvistetaan, hallitus parantaa tietoturvaa kriittisillä toimialoilla ja EU-lainsäädännön toimeenpanon yhteydessä vältetään kansallista lisäsääntelyä. 

Lait on tarkoitettu tulemaan voimaan samanaikaisesti yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ehdotetun lain kanssa. 

VALIOKUNNAN YLEISPERUSTELUT

(1) Valiokunta pitää esityksen tavoitteita sekä tarpeellisina että tarkoituksenmukaisina ja pitää hyvänä, että niiden kautta vahvistetaan kyberturvallisuutta ja tietoturvaa kriittisillä toimialoilla. 

(2) Suomen Kuntaliitto on kiinnittänyt huomiota siihen, että esityksessä on täsmennetty NIS-toimeenpanolakien soveltamisaloja, jotta CER-toimeenpanolain perusteella määritetyt kriittiset toimijat saadaan sujuvasti mukaan NIS2-toimeenpanolakien soveltamisalaan. CER-toimeenpanolain soveltamisala koskee julkisen hallinnon osalta vain keskushallintoa eikä sen perusteella määriteltyihin kriittisiin toimijoihin sisälly kuntia.  

(3) Kyberturvallisuuslain soveltamisalaan voi toisaalta kuulua kunnan yksittäisiä kriittiseen infrastruktuuriin kuuluvia toimintoja kuten vesilaitos tai lämpölaitos. Sääntelyn soveltamisala kattaa siten yksittäisen toiminnon kunnan sisällä, muttei koko kuntaa. CER-toimeenpanolaissa on vastaava mahdollisuus määrittää kunnan kriittisen infrastruktuurin toiminto kriittiseksi toimijaksi. Suomen Kuntaliitto on kiinnittänyt huomiota siihen, että tällaiselle toimijalle syntyy kustannuksia, mikäli ne määritellään kriittiseksi toimijaksi. 

(4) Valiokunta kiinnittää huomiota Liikenne- ja viestintävirastolle uusista tehtävistä aiheutuviin määrärahatarpeisiin. Valiokunta korostaa aikaisemmin lausumansa mukaisesti riittävien resurssien osoittamisen tärkeyttä kansallisen kokonaisturvallisuuden kannalta keskeisten tehtävien turvaamiseksi. Valiokunta katsoo, että nykyisessä taloustilanteessa viranomaistoimintojen priorisointi on tärkeää. Valiokunta pitää kuitenkin tärkeänä, että viranomaisresurssien riittävyyttä tarkkaillaan kansallisen kokonaisturvallisuuden turvaamiseksi. 

VALIOKUNNAN YKSITYISKOHTAISET PERUSTELUT

1. Laki kyberturvallisuuslain muuttamisesta

Voimaantulosäännös.

Asiantuntijakuulemisessa on esitetty huomioita 1. lakiehdotuksen 10—18 §:n ja 41 §:n soveltamista koskevan kuukauden siirtymäajan pidentämiseksi. Valiokunnalle osoitetuissa lausunnoissa perustellaan huomioita sillä, että siirtymäaika on lyhyt erityisesti kriittiseksi määritettävien pien- tai mikroyritysten kannalta sekä merkittävien poikkeamien ilmoittamista koskevien järjestelyiden perustamiseksi. Liikenne- ja viestintäministeriö on katsonut, että lakien säännösten voimaantulo kriittiseksi määritettäviin toimijoihin olisi asianmukainen myös, mikäli siirtymäaikaa pidennettäisiin kolmeen kuukauteen. Valiokunta on pidentänyt kyseistä siirtymäaikaa kolmeen kuukauteen. 

2. Laki julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta

Voimaantulosäännös.

Ensimmäisen lakiehdotuksen voimaantulosäännöksen siirtymäaikaa vastaava siirtymäaika sisältyy myös 2. lakiehdotuksen voimaantulosäännökseen. Edellä mainituin perusteluin valiokunta on pidentänyt siirtymäaikaa kolmeen kuukauteen. 

Yhdeksän kuukauden siirtymäaikaa koskevan viittauksen osalta voimaantulosäännöksessä viitataan 18 a ja 18 b §:ään, kun viittauksen tulee saadun selvityksen mukaan asiallisesti olla 18 b ja 18 c §:ään. Viittaus 18 b ja 18 c §:ään vastaa 1. lakiehdotusta vastaavaa yhdeksän kuukauden siirtymäaikaa ja 18 a §:n on tarkoitettu jäävän lyhyemmän siirtymäajan varaan. Valiokunta on tehnyt kyseisen korjauksen voimaantulosäännöksen muotoiluihin. 

VALIOKUNNAN PÄÄTÖSEHDOTUS

Liikenne- ja viestintävaliokunnan päätösehdotus:

Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 27/2025 vp sisältyvät 1. ja 2. lakiehdotuksen. (Valiokunnan muutosehdotukset) 

Valiokunnan muutosehdotukset

1. Laki kyberturvallisuuslain muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan kyberturvallisuuslain (124/2025) 3 §:n 2 momentti, 4 §:n 6 momentti, 27 §:n 2 momentti, 28 §:n 4 momentti ja 45 §:n 2 momentti sekä 
lisätään 17 §:ään uusi 6 momentti, 26 §:ään uusi 3 momentti ja 45 §:ään uusi 5 momentti seuraavasti: 
3 § 
Toimijat 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tätä lakia sovelletaan myös toimijaan, joka koostaan riippumatta on: 
1) yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja; 
2) luottamuspalvelun tarjoaja; 
3) aluetunnusrekisterin ylläpitäjä;  
4) DNS-palveluntarjoaja; tai 
5) yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (/) nojalla määritetty kriittinen toimija muulla kuin julkishallinnon toimialalla (kriittinen toimija).  
 Muuttamaton osa säädöstekstistä on jätetty pois 
4 § 
Soveltamisalan rajaukset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tätä lakia sovelletaan kuntalaissa (410/2015) tarkoitettuun kuntaan vain liitteessä I tai II tarkoitetun toiminnan osalta sekä siltä osin, kun kunta on kriittinen toimija.  
 Muuttamaton osa säädöstekstistä on jätetty pois 
17 § 
Poikkeamailmoituksen käsittely 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos 11—13 tai 15 §:ssä tarkoitetun ilmoituksen tai raportin tekee kriittinen toimija, valvovan viranomaisen on toimitettava ilmoituksesta tai raportista tieto viranomaiselle, joka on yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltainen valvomaan kriittistä toimijaa. 
26 § 
Valvovat viranomaiset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos kriittinen toimija ei harjoita liitteessä I tai II tarkoitettua toimintaa, valvova viranomainen määräytyy yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla. 
27 § 
Valvonnan kohdistaminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Keskeisellä toimijalla tarkoitetaan:  
1) liitteessä I tarkoitettua toimijaa, joka ylittää mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset; 
2) hyväksyttyjä luottamuspalvelun tarjoajia, aluetunnusrekisterin ylläpitäjiä sekä DNS-palveluntarjoajia; 
3) yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajia, jotka täyttävät tai ylittävät mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset; 
4) 3 §:n 3 momentissa tarkoitettua toimijaa; sekä  
5) kriittistä toimijaa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
28 § 
Tiedonsaantioikeus 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valvovalla viranomaisella on salassapitosäännösten, 2 momentissa säädetyn salassapitovelvollisuuden ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toiselle valvovalle viranomaiselle, CSIRT-yksikölle ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitetulle valvovalle viranomaiselle, jos se on välttämätöntä tässä laissa tai yhteiskunnan kriittisen infrastruktuurin suojaamisesta annetussa laissa viranomaiselle säädettyä tehtävää varten. Tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.  
 Muuttamaton osa säädöstekstistä on jätetty pois 
45 § 
Viranomaisten yhteistyö 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valvovien viranomaisten, CSIRT-yksikön ja keskitetyn yhteyspisteen on toimittava tarvittaessa yhteistyössä poliisin tai muun esitutkintaviranomaisen, tietosuojavaltuutetun, Finanssivalvonnan ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitetun valvovan viranomaisen kanssa sekä Liikenne- ja viestintäviraston sille ilmailulaissa (864/2014), sähköisen viestinnän palveluista annetussa laissa ja eIDAS-asetuksessa säädettyjen tehtävien osalta  
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valvovien viranomaisten ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitettujen valvovien viranomaisten on vaihdettava keskenään säännöllisesti tietoja kriittisten toimijoiden määrittämisestä sekä riskeistä, kyberuhkista ja poikkeamista ja muista kuin kyberturvallisuuteen liittyvistä riskeistä, uhkista ja poikkeamista, jotka vaikuttavat kriittisiksi toimijoiksi määritettyihin toimijoihin, sekä näiden riskien, uhkien ja poikkeamien hallintatoimenpiteistä. Valvovan viranomaisen on ilmoitettava yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltaiselle valvovalle viranomaiselle, kun kriittiseen toimijaan kohdistetaan tämän lain 4 luvussa säädettyjä toimivaltuuksia. Valvova viranomainen voi kohdistaa kriittiseen toimijaan valvontaa yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltaisen valvovan viranomaisen pyynnöstä. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20
Tätä lakia ja tällä lailla muutettavan lain 10—18 ja 41 §:ää sovelletaan kriittiseen toimijaan Valiokunta ehdottaa sisältöä muutettavaksi kolmen Muutosehdotus päättyy kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. Tällä lailla muutettavan lain 7—9 §:ää sovelletaan kriittiseen toimijaan kuitenkin vasta yhdeksän kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. 
 Lakiehdotus päättyy 

2. Laki julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
lisätään julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 3 §:ään, sellaisena kuin se on laissa 125/2025, uusi 7 momentti seuraavasti: 
3 § 
Lain soveltamisala ja sen rajoitukset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Poiketen siitä, mitä 3 momentissa säädetään, 4 a lukua sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 1 momentin 1 kohdassa tarkoitettuun viranomaiseen, jos se on yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (/) nojalla määritetty kriittinen toimija julkishallinnon toimialalla. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20
Tällä lailla muutettavan lain 4 a lukua sovelletaan kriittiseen toimijaan Valiokunta ehdottaa sisältöä muutettavaksi kolmen Muutosehdotus päättyy kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. Kriittisen toimijan on saatettava toimintansa tällä lailla muutettavan lain 18 Valiokunta ehdottaa sisältöä muutettavaksi b Muutosehdotus päättyy ja 18 Valiokunta ehdottaa sisältöä muutettavaksi c Muutosehdotus päättyy §:n mukaiseksi yhdeksän kuukauden kuluessa siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. 
 Lakiehdotus päättyy 
Helsingissä 5.6.2025 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

varapuheenjohtaja 
Timo Furuholm vas 
 jäsen 
Pekka Aittakumpu ps 
 jäsen 
Marko Asell sd 
 jäsen 
Seppo Eskelinen sd 
 jäsen 
Atte Harjanne vihr 
 jäsen 
Petri Huru ps 
 jäsen 
Aleksi Jäntti kok 
 jäsen 
Marko Kilpi kok 
 jäsen 
Sheikki Laakso ps 
 jäsen 
Mats Löfström 
 jäsen 
Jani Mäkelä ps (osittain) 
 jäsen 
Pinja Perholehto sd 
 varajäsen 
Teemu Kinnari kok 
 varajäsen 
Johan Kvarnström sd 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Mika Boedeker