Viimeksi julkaistu 27.11.2021 11.04

Valtioneuvoston U-kirjelmä U 58/2020 vp Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksista Euroopan parlamentin ja neuvoston asetukseksi digitaalisesta häiriönsietokyvystä rahoitusmarkkinoilla ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 muuttamisesta ja direktiiviksi direktiivien 2006/43/EY, 2009/65/EY, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 ja EU/2016/2341 muuttamisesta (Rahoitusmarkkinoiden digitaalinen häiriönsietokyky)

Perustuslain 96 §:n 2 momentin mukaisesti lähetetään eduskunnalle komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi digitaalisesta häiriönsietokyvystä rahoitusmarkkinoilla ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 muuttamisesta, ehdotus Euroopan parlamentin ja neuvoston direktiiviksi direktiivien 2006/43/EY, 2009/65/EY, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 ja EU/2016/2341 muuttamisesta sekä ehdotuksista laadittu muistio. 

Helsingissä 5.11.2020  
Valtiovarainministeri 
Matti 
Vanhanen 
 
Hallitussihteeri 
Jonna 
Kuparinen 
 

MUISTIOVALTIOVARAINMINISTERIÖ19.10.2020EU/2020/1428EU/2020/1436EHDOTUS EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUKSEKSI DIGITAALISESTA HÄIRIÖNSIETOKYVYSTÄ RAHOITUSMARKKINOILLA JA ASETUSTEN (EY) N:O 1060/2009, (EU) N:O 648/2012, (EU) N:O 600/2014 JA (EU) N:O 909/2014 MUUTTAMISESTA JA DIREKTIIVIKSI DIREKTIIVIEN 2006/43/EY, 2009/65/EY, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 JA EU/2016/2341 MUUTTAMISESTA

Yleistä

Komissio antoi 24.9.2020 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi digitaalisesta häiriönsietokyvystä rahoitusmarkkinoilla ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 muuttamisesta, (COM(2020) 595 final), jäljempänä asetusehdotus ja ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi direktiivien 2006/43/EY, 2009/65/EY, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 ja EU/2016/2341 muuttamisesta, (COM(2020) 596 final), jäljempänä direktiiviehdotus.  

Asetus- ja direktiiviehdotus on toimitettu Euroopan parlamentin ja neuvoston käsiteltäväksi tavallista lainsäätämisjärjestystä noudattaen ja hyväksyttäväksi yhteispäätösmenettelyssä. Ehdotusten käsittely neuvostossa on alkanut syyskuussa 2020.  

Ehdotettu asetus tulisi voimaan kahtena kymmenentenä päivänä asetuksen julkaisemisesta Euroopan unionin virallisessa lehdessä ja sitä tultaisiin soveltamaan kahdentoista kuukauden kuluttua voimaantulosta. Direktiiviehdotus tulisi voimaan kahtena kymmenentenä päivänä direktiivin julkaisemisesta Euroopan unionin virallisessa lehdessä ja sitä tultaisiin soveltamaan kahdentoista kuukauden kuluttua voimaantulosta.  

Ehdotusten tavoitteet ja tausta

Ehdotukset ovat osa komission 24.9.2020 julkaisemaa Digitaalisen rahoituksen strategiaa COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS on a Digital Finance Strategy for the EU. (COM(2020) 591 final)., jolla mahdollistetaan ja tuetaan digitaaliseen rahoitukseen liittyvää potentiaalia innovaatioihin ja kilpailuun ja samalla lievennetään siitä aiheutuvia riskejä. Komission strategisena tavoitteena on tukea digitaalista rahoitusta kuluttajien ja yritysten hyödyksi. Komission mukaan Euroopan ja sen rahoitussektorin on omaksuttava nämä suuntaukset ja kaikki digitaalisen vallankumouksen tarjoamat mahdollisuudet.  

Rahoitusmarkkinoiden digitaalista häiriönsietokykyä koskevien lainsäädäntöehdotusten juuret ulottuvat komission vuonna 2018 julkaisemaan FinTech-toimintasuunnitelmaan Euroopan rahoitusalan kilpailukyvyn ja innovatiivisuuden parantamiseksi KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN KESKUSPANKILLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE SEKÄ ALUEIDEN KOMITEALLE FinTech-toimintasuunnitelma Euroopan rahoitusalan kilpailukyvyn ja innovatiivisuuden parantamiseksi. (COM/2018/0109 final).. Toimintasuunnitelman linjausten mukaisesti Euroopan rahoitusmarkkinaviranomaiset selvittivät tieto- ja viestintäteknologian (ICT) turvallisuutta ja hallinnointia eurooppalaisilla rahoitusmarkkinoilla ja julkaisivat löydöistään yhteisen raportin 10.4.2019 Joint Advice of the European Supervisory Authorities: To the European Commission on the need for legislative improvements relating to ICT risk management requirements in the EU financial sector.. Raportissa suositeltiin sekä sektorikohtaisia että toimialat ylittäviä lainsäädäntömuutoksia. Lisäksi Euroopan rahoitusmarkkinaviranomaisista Euroopan pankkiviranomainen (EBA) ja Euroopan vakuutus- ja lisäeläkeviranomainen (EIOPA) julkaisivat toimintasuunnitelmassa linjatusti omat ohjeensa toimijoille ICT- ja turvallisuusriskien hallinnasta. Alkuvuodesta 2020 komissio toteutti julkisen konsultaation, jossa se selvitti toimijoiden näkemyksiä siitä, miten rahoitusmarkkinoiden digitaalista häiriönsietokykyä koskeva lainsäädäntökehikko voitaisiin toteuttaa. Myös Suomi vastaisi konsultaatioon. 

Digitalisaatio tuo mukanaan mahdollisuuksia ja riskejä, joiden luonne on ymmärrettävä myös rahoitusmarkkinoiden näkökulmasta. Vuoden 2008 finanssikriisiä seurannut lainsäädännön uudistustyö vahvisti ensisijaisesti EU:n rahoitusmarkkinoiden häiriönsietokykyä, mutta se ei vahvistanut laajemmin rahoitussektorin rajat ylittävää toimintakykyä. Digitaalisen toiminnan häiriönsietokykyä koskevien yksityiskohtaisten ja kattavien sääntöjen puuttuminen EU:n tasolla on johtanut kansallisten sääntelyaloitteiden kuten häiriönsietokykytestauksen syntymiseen ja eri valvontamenetelmien lisääntymiseen. Vaikka kansallisten sääntelyhankkeiden tavoitteet ovat olleet hyviä, EU:n tasolla koordinoimattomat kansalliset hankkeet ovat osittain johtaneet toimijoiden osalta päällekkäisiin vaatimuksiin, epäjohdonmukaisuuksiin ja korkeisiin hallinnollisiin kustannuksiin etenkin rajat ylittäville toimijoille. Ehdotuksien tarkoituksena on tehostaa ja virtaviivaistaa rahoitusmarkkinatoimijoiden ICT-riskienhallintaa, järjestelmien testausta, valvojien tietoisuutta valvottavien kohtaamista kyberriskeistä ja ICT-kysymyksiin liittyvistä vaaratilanteista. Lisäksi ehdotusten avulla pyritään puuttumaan sellaisiin riskeihin, jotka ovat yhtenäisen sääntelyn puuttuessa jääneet huomioimatta. 

Ehdotuksilla on yhteys myös Digitaalisen rahoituksen strategian muihin säädösehdotuksiin ja toimintasuunnitelmiin. Strategian yhteydessä julkaistiin muun muassa kryptovaroja koskevat asetusehdotukset Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on Markets in Crypto-assets, and amending Directive (EU) 2019/1937. COM/2020/593 final. Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a pilot regime for market infrastructures based on distributed ledger technology. COM/2020/594 final., jäljempänä kryptovaroja koskevat asetusehdotukset ja EU:n vähittäismaksustrategia. Asetus- ja direktiiviehdotusten horisontaalisen luonteen vuoksi niillä on liityntöjä myös muihin EU-säädöksiin kuten verkko- ja tietojärjestelmädirektiiviin EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa. ja Euroopan elintärkeiden infrastruktuurien direktiiviin NEUVOSTON DIREKTIIVI 2008/114/EY, annettu 8 päivänä joulukuuta 2008, Euroopan elintärkeän infrastruktuurin määrittämisestä ja nimeämisestä sekä arvioinnista, joka koskee tarvetta parantaa sen suojaamista., joihin liittyvät uudelleentarkastelut ovat parhaillaan vireillä. Ehdotukset ovat myös yhdenmukaisia Euroopan unionin turvallisuusstrategia ja pääomamarkkinaunionia koskevan toimintasuunnitelman kanssa. 

Ehdotuksilla voidaan nähdä olevan liityntä myös COVID 19-pandemiaan, jonka aikana yhteisöiden kokemat kyberhyökkäykset ovat komission arvioiden mukaan lisääntyneet 38 prosenttia. Komission mukaan Euroopan tulisi hyödyntää sekä digitaalisia palveluita että teknologiaa palvelujen tarjoamisessa, joka edistäisi rahoituksen saantia ja korjaisi pandemian aiheuttamia sosiaalisia ja taloudellisia vahinkoja. Komissio näkee digitalisaation olevan avainasemassa Euroopan talouden elvyttämisessä ja modernisoimisessa talouskasvun polulle kaikilla aloilla. Tässä kirjelmässä käsiteltävät ehdotukset pyrkivät myös edesauttamaan asetettuja tavoitteita.  

Pääasiallinen sisältö

3.1  Rahoitusmarkkinoiden digitaalista häiriönsietokykyä koskeva asetusehdotus

3.1.1  3.1.1 Asetusehdotuksen kohde ja soveltamisala (artiklat 1—3)

Asetuksessa vahvistetaan yhtenäiset vaatimukset rahoitusmarkkinatoimijoiden liiketoimintaprosesseja tukevien ICT-järjestelmien turvallisuudesta, joka on välttämätöntä yhtenäisen digitaalisen toimintakyvyn saavuttamiseksi. Yhteiset vaatimukset koskevat ICT-riskienhallintaa, merkittävien ICT-liitännäisten tapahtumien ilmoittamista toimivaltaisille viranomaisille, digitaalisen toimintakyvyn testausta, tietojen ja tiedustelutietojen jakamista verkkouhista ja haavoittuvuuksista sekä toimenpiteistä ja ICT-riskien hallitsemisesta suhteessa kriittisiin kolmansiin osapuoliin.  

Komission tavoitteiden mukaisesti asetusta olisi sovellettava unionin rahoitusmarkkinoihin lähes kokonaisuudessaan. Asetusehdotuksen soveltamisala olisi näin ollen laaja, ja se kattaisi lähes kaikki EU:n rahoitusmarkkinalainsäädännössä säännellyt toimijat. Näitä toimijoita olisivat ainakin luottolaitokset, maksulaitokset, sähköisen rahan liikkeeseenlaskijalaitokset eli sähkörahayhteisöt, sijoituspalveluyritykset, kryptovaroja koskevissa asetusehdotuksissa tarkoitetut virtuaalivaluuttojen tarjoajat ja liikkeeseenlaskijat, arvopaperikeskukset, säilytysyhteisöt, keskusvastapuolet, kauppapaikat eli säännellyt markkinat, monenkeskiset kaupankäyntijärjestelmät ja organisoidut kaupankäyntijärjestelmät, kauppatietorekisterit, vaihtoehtorahastojen hoitajat, sijoitusrahastojen rahastoyhtiöt, raportointipalvelujen tarjoajat, vakuutus- ja jälleenvakuutusyritykset, vakuutusedustajat, jälleenvakuutusedustajat ja sivutoimisia vakuutusedustajat, ammatillisia lisäeläkkeitä tarjoavat laitokset, luottoluokituslaitokset, lakisääteiset tilintarkastajat ja tilintarkastusyhteisöt, vertailuarvojen hallinnoijat, unionin joukkorahoitusasetuksessa EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2020/1503, annettu 7 päivänä lokakuuta 2020, yrityksille suunnatun joukkorahoituspalvelun eurooppalaisista tarjoajista sekä asetuksen (EU) 2017/1129 ja direktiivin (EU) 2019/1937 muuttamisesta. tarkoitetut joukkorahoituspalvelun tarjoajat sekä arvopaperistamisrekisterit. Ehdotuksen soveltamisalan ulkopuolelle jäisivät kuitenkin muun muassa maksujärjestelmät.  

Edellä mainittujen toimijoiden lisäksi ehdotus koskettaisi myös rahoitusmarkkinoiden ulkopuolisia kriittisiä kolmansia osapuolia, jotka tarjoavat ICT-palveluita rahoitusmarkkinatoimijoille. Asetuksessa asetettaisiin minimivaatimukset kolmansien osapuolten ja rahoitusmarkkinatoimijoiden välillä tehtyjen sopimusjärjestelyiden vaatimuksista. Lisäksi asetuksessa määriteltäisiin ulkopuolisia palveluntarjoajia koskeva valvontakehys ja toimivaltaisia viranomaisia koskevat säännöt. 

Asetusehdotusta on tarkoitus soveltaa suhteellisuusperiaatetta noudattaen, jonka seurauksena asetuksessa rahoitusmarkkinatoimijoille asetettavat velvoitteet olisivat suhteessa yhteisön kokoon ja muihin olosuhteisiin. Suhteellisuusperiaatteen seurauksena esimerkiksi mikroyrityksiin sovellettaisiin lievempiä vaatimuksia. Mikroyrityksellä tarkoitettaisiin komission suosituksessa 2003/361 KOMISSION SUOSITUS, annettu 6 päivänä toukokuuta 2003, mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä tarkoitettua yhteisöä, jonka palveluksessa on vähemmän kuin 10 työntekijää ja jonka vuosiliikevaihto tai taseen loppusumma on enintään 2 miljoonaa euroa. Vastaavasti niin sanottua kattavaa TLPT-testausta (Threat Led Penetration Testing) sovellettaisiin vain merkittäviksi luokiteltaviin rahoitusmarkkinatoimijoihin. Suhteellisuusperiaate näkyisi myös toteutuneiden riskitapahtumien raportoinnissa, jossa raportointivelvoite kattaisi vain merkittävät tapahtumat.  

3.1.2  3.1.2 ICT-riskienhallinta (artiklat 4—14)

Asetusehdotus sisältää ICT-riskienhallintaa koskevat säännökset, jotka jakautuisivat rahoitusmarkkinatoimijan sisäistä hallintoa ja riskienhallintakehikkoa koskeviin kokonaisuuksiin. Yhteisön johdolla olisi ensinnäkin yleisvastuu ICT-riskienhallinnasta. Johto olisi vastuussa itse ICT-riskienhallintakehyksen luomisesta ja sen kehittämisestä. Lisäksi johto huolehtisi muun muassa toiminnan jatkuvuus- ja elpymissuunnitelmista, yhteisön sisäisiin ICT-toimintoihin liittyvien roolien ja riskitasojen määrittämisestä, ICT-investoinneista sekä tarvittavan koulutuksen järjestämisestä.  

Itse ICT-riskienhallintakehikon osalta yhteisöjen tulisi kyetä kehittämään riittävät strategiat, toimintapolitiikat, protokollat ja työkalut riskien tunnistamiseen, havaitsemiseen, ehkäisyyn ja niiltä suojautumiseen. Yhteisön tulisi myös kyetä vastaamaan ICT-liitännäisiin vahinkotapahtumiin ja toipua niistä sekä oppia tapahtumista. Tämän pohjalta yrityksen tulisi myös kyetä kehittämään prosessejaan ja viestimään sidosryhmille.  

Kehys uudelleenarvioitaisiin vuosittain ja tarvittaessa eräiden muiden ICT-liitännäisten tapahtumien yhteydessä. Lisäksi kehys tulisi tarkastaa säännöllisin väliajoin joko yhtiön sisäisen tai ulkoisen tahon toimesta. Koska monet riskienhallintaan liittyvät kysymykset ovat luonteeltaan teknisiä, Euroopan rahoitusmarkkinaviranomaiset määrittelisivät ne teknisten sääntelystandardien muodossa.  

3.1.3  3.1.3 ICT-liitännäisten tapahtumien raportointi (artiklat 15—20)

Ehdotuksessa rahoitusmarkkinatoimijalla olisi myös yleinen velvollisuus seurata sille aiheutuvia ICT-liitännäisiä tapahtumia, kirjata ja luokitella ne Euroopan rahoitusmarkkinaviranomaisten laatimien kriteerien perusteella sekä ilmoittaa niistä toimivaltaiselle kansalliselle viranomaiselle. Merkittävien tapahtumien osalta toimijan olisi ilmoitettava asiakkailleen, miten tapahtuma on vaikuttanut tai voi vaikuttaa asiakkaan etuun. ICT-tapahtumiin liittyvien tietojen olisi kuljettava sekä viranomaisten että rahoitusmarkkinatoimijoiden välillä. Toimivaltaiset viranomaiset jakaisivat tietoja merkittävistä tapahtumista myös muille viranomaisille. Samalla ne antaisivat toimijalle tapahtumien ilmoittamisesta valvontapalautetta ja ohjeita.  

3.1.4  3.1.4 Digitaalisen häiriönsietokyvyn testaaminen (artiklat 21—24)

Velvoite yhteisön digitaalisen häiriönsietokyvyn perusmuotoisesta testauksesta soveltuisi kaikkiin yhteisöihin. Sen sijaan valvojan merkittäviksi luokittelemat rahoitusmarkkinatoimijat olisivat velvollisia soveltamaan kattavaa TLPT-testausta (Threat Led Penetration Testing) kolmen vuoden välein, joka kohdistuisi yhteisön ICT-valmiuksiin ja -toimintoihin. Testauksen tarkempi kohde määräytyisi yhteisön ja valvovan viranomaisen hyväksynnän perusteella. Toimivaltaisten viranomaisten olisi tunnistettava ja luokiteltava rahoitusmarkkinatoimijat merkittäviin toimijoihin Euroopan rahoitusmarkkinaviranomaisten laatimien kriteerien perusteella. 

3.1.5  3.1.5 Kolmansiin osapuoliin liittyvä riski (artiklat 25—39)

Asetusehdotuksessa (artiklat 25—27) määritetään keskeiset periaatteet, jotka ovat tärkeitä ICT-palveluita tarjoavien kriittisten kolmansien osapuolten kanssa toimiessa. Rahoitusmarkkinatoimijoiden ja kolmansien osapuolten sopimusten olisi sisällettävä ehdot muun muassa palvelukuvauksesta, rahoitusmarkkinatoimijan tietojen käsittelypaikoista, palvelutasosta, määrällisistä ja laadullisista suoritustavoitteista, kolmannen osapuolen saavutettavuudesta, henkilötietojen turvallisuudesta, suojauksesta ja palauttamisesta, kolmannen osapuolen ilmoitusvelvollisuudesta esimerkiksi toimintahäiriön yhteydessä sekä irtisanomisoikeuksista ja irtautumisstrategioista. Rahoitusmarkkinatoimijoilla ja viranomaisilla olisi myös pääsy ja tarkastusoikeus kolmannen tahon tietoihin. Lainsäädännön vähimmäisvaatimuksilla pyrittäisiin tukemaan rahoitusmarkkinatoimijoiden kykyä valvoa tehokkaasti riskejä, jotka liittyvät isojen palveluntarjoajien kanssa toimimiseen.  

Lisäksi ehdotuksessa määriteltäisiin (artiklat 28—39) kolmansia osapuolia koskeva valvontakehikko. Valvontakehikko muodostuisi valvontaforumista, joka koostuisi Euroopan rahoitusmarkkinaviranomaisten muodostamasta yhteiskomiteasta ja sen alakomiteoista. Valvontaforumin jäsenenä olisi myös edustaja jokaisesta kansallisesta toimivaltaisesta viranomaisesta sekä tarkkailijoita muun muassa Euroopan keskuspankista. Forum koordinoisi kolmansiin osapuoliin liittyviä ICT-riskejä, suorittaisi valvontatyötä ja antaisi suosituksia havaintojensa perusteella. Jokaiselle kriittiselle kolmannelle toimijalle nimettäisiin oma päävalvoja, joka olisi yksi kolmesta Euroopan rahoitusmarkkinaviranomaisesta.  

3.1.6  3.1.6 Tiedonkulku ja tiedonjako (artikla 40)

Ehdotus mahdollistaisi myös rahoitusmarkkinatoimijoiden välisen vapaaehtoispohjalta tapahtuvan kyberuhkia koskevan tietojenvaihdon. Tietojenvaihto rohkaisisi toimijoita hyödyntämään kollektiivista tietämystään ja käytännön kokemustaan strategisella, taktisella ja operatiivisella tasolla. Tämä parantaisi toimijoiden kykyä arvioida tehokkaammin kyberuhkia, seurata uhkien kehittymistä, puolustautua niitä vastaan ja vastata niistä aiheutuviin uhkiin. 

3.1.7  3.1.7 Toimivaltaiset viranomaiset (artiklat 41—43, 47 ja 49)

Unionissa voimassa olevassa sektorikohtaisessa rahoitusmarkkinalainsäädännössä jo nimetyt toimivaltaiset viranomaiset olisivat lähtökohtaisesti myös ehdotuksessa tarkoitettuja toimivaltaisia viranomaisia, ja niillä olisi oltava säädösten edellyttämä toimivalta. Suomessa nämä viranomaiset olisivat finanssimarkkinoilla toimivien yhteisöjen osalta Finanssivalvonta ja tilintarkastajien osalta Patentti- ja rekisterihallitus. Lisäksi systeemisesti merkittäviin rahoitusmarkkinatoimijoihin ja infrastruktuureihin kohdistuu kansallisten keskuspankkien yleisvalvontaa. Toimivaltaisia viranomaisia koskevat säännökset sisältäisivät myös ammatillista salassapitoa, yhteistyötä ja tiedonkulkua koskevia säännöksiä.  

3.1.8  3.1.8 Seuraamukset (artiklat 44—46 ja 48)

Jäsenvaltioiden olisi myös huolehdittava siitä, että kansallisilla viranomaisilla on asianmukaiset toimivaltuudet puuttua asetuksen rikkomiseen seuraamusten muodossa.  

3.1.9  3.1.9 Siirretyn säädösvallan käyttäminen (50 artikla)

Komissio voi antaa delegoituja asetuksia kriittisten kolmansien osapuolten määrittelystä (28 artikla) ja valvontamaksuista (artikla 38).  

Asetusehdotukseen sisältyy myös valtuuksia, joiden nojalla Euroopan rahoitusmarkkinaviranomaiset voivat laatia teknisiä sääntelystandardeja muun muassa ICT-riskienhallinnan työkalujen, metodien, prosessien ja käytäntöjen (artikla 14), ICT-liitännäisten tapahtumien raportoinnin (16 artikla), ICT-järjestelmien testauksen (artikla 23), kolmansiin osapuoliin liittyvien yleisten periaatteiden (artikla 25), kolmansien osapuolten kanssa solmittavia sopimusten (artikla 27), jatkuvan valvonnan (artikla 35) ja kriittisiin kolmansiin osapuoliin liittyvän valvonnan harmonisoinnin (artikla 36) osalta. 

3.1.10  3.1.10 Voimaantulo ja loppusäännökset (artiklat 51—56)

Komission arvioisi uudelleen asetuksen kolmansien osapuolten määrittelyä koskevat kriteerit viiden vuoden kuluttua asetuksen voimaantulosta. Lisäksi asetus sisältää muihin unionin asetuksiin ehdotetut muutokset. Ehdotettu asetus tulisi voimaan kahtena kymmenentenä päivänä asetuksen julkaisemisesta Euroopan unionin virallisessa lehdessä ja sitä tultaisiin soveltamaan kahdentoista kuukauden kuluttua voimaantulosta. Direktiiviehdotus tulisi voimaan kahtena kymmenentenä päivänä direktiivin julkaisemisesta Euroopan unionin virallisessa lehdessä ja sitä tultaisiin soveltamaan kahdentoista kuukauden kuluttua voimaantulosta.  

3.2  Täydentävä muutosdirektiiviehdotus

Direktiivillä muutettaisiin rahoitusmarkkinalainsäädäntöä koskevia direktiivejä 2006/43/EY EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI 2006/43/EY, annettu 17 päivänä toukokuuta 2006, tilinpäätösten ja konsolidoitujen tilinpäätösten lakisääteisestä tilintarkastuksesta, direktiivien 78/660/ETY ja 83/349/ETY muuttamisesta sekä neuvoston direktiivin 84/253/ETY kumoamisesta. , 2009/65/EY EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI 2009/65/EY, annettu 13 päivänä heinäkuuta 2009, siirtokelpoisiin arvopapereihin kohdistuvaa yhteistä sijoitustoimintaa harjoittavia yrityksiä (yhteissijoitusyritykset) koskevien lakien, asetusten ja hallinnollisten määräysten yhteensovittamisesta. , 2009/138/EU EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI 2009/138/EY, annettu 25 päivänä marraskuuta 2009, vakuutus- ja jälleenvakuutustoiminnan aloittamisesta ja harjoittamisesta (Solvenssi II). , 2011/61/EU EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI 2011/61/EU, annettu 8 päivänä kesäkuuta 2011, vaihtoehtoisten sijoitusrahastojen hoitajista ja direktiivin 2003/41/EY ja 2009/65/EY sekä asetuksen (EY) N:o 1060/2009 ja (EU) N:o 1095/2010 muuttamisesta. , EU/2013/36 EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI 2013/36/EU, annettu 26 päivänä kesäkuuta 2013, oikeudesta harjoittaa luottolaitostoimintaa ja luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvalvonnasta, direktiivin 2002/87/EY muuttamisesta sekä direktiivien 2006/48/EY ja 2006/49/EY kumoamisesta. , 2014/65/EU EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI 2014/65/EU, annettu 15 päivänä toukokuuta 2014, rahoitusvälineiden markkinoista sekä direktiivin 2002/92/EY ja direktiivin 2011/61/EU muuttamisesta. , EU/2015/2366 EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI (EU) 2015/2366, annettu 25 päivänä marraskuuta 2015, maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta. ja EU/2016/2341 EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI (EU) 2016/2341, annettu 14 päivänä joulukuuta 2016, ammatillisia lisäeläkkeitä tarjoavien laitosten toiminnasta ja valvonnasta. . Muutoksilla täsmennettäisiin direktiivien artikloita niin, että niistä poistettaisiin asetusehdotuksen kanssa olevat ristiriidat. Ehdotuksen tavoitteena olisi muun muassa selkeyttää ja yhdenmukaistaa ICT-riskienhallintaa ja riskien tunnistamista. Direktiiviehdotus sisältää myös kryptovaroja koskeviin asetusehdotuksiin liittyviä muutoksia, joita käsitellään tarkemmin erillisessä U-kirjelmässä.  

Ehdotusten oikeusperusta sekä suhde toissijaisuus- ja suhteellisuusperiaatteeseen ja perustuslakiin

Asetusehdotus perustuu Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 114 artiklaan (sisämarkkinoita koskeva lainsäädännön lähentäminen). Direktiiviehdotus perustuu SEUT 53 artiklan 1 kohtaan ja 114 artiklaan. Ehdotukset käsitellään tavallisessa lainsäätämisjärjestyksessä, ja hyväksymisestä päätetään neuvostossa määräenemmistöllä. Valtioneuvosto pitää komission ehdotuksia oikeusperustan näkökulmasta perusteltuna. 

Toissijaisuusperiaatteen mukaisesti (Euroopan unionista tehdyn SEU-sopimuksen 5 artiklan 3 kohta) toimia on toteutettava EU:n tasolla vain, jos jäsenvaltiot eivät voi yksin saavuttaa suunniteltuja tavoitteita riittävällä tavalla, vaan ne voidaan ehdotetun toiminnan laajuuden ja vaikutusten vuoksi saavuttaa paremmin EU:n tasolla. Kun asetuksella asetetaan yhdenmukaiset säännöt ICT-riskienhallinnasta ja kyberturvallisuudesta koko unionin alueella, ei vastaavia tavoitteita saavutettaisi riittävällä tavalla EU-jäsenvaltioiden kansallisella lainsäädännöllä. Ehdotettujen säädösten ei ole katsottu olevan ristiriidassa toissijaisuusperiaatteen kanssa. Valtioneuvosto pitää ehdotuksia toissijaisuus- ja suhteellisuusperiaatteen mukaisina jaksossa 3.1.1 todetun mukaisesti. 

Asetusehdotuksen suhde henkilötietojen suojaan sekä tietojen luovutukseen korostuu erityisesti rahoitusmarkkinatoimijoille ehdotetun vapaaehtoisen tietojenvaihdon yhteydessä. Tietojenvaihto tulee asetusehdotuksen mukaan toteuttaa aina EU:n yleistä tietosuoja-asetusta EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus). ja muuta unionin tietosuojalainsäädäntöä noudattaen. Asetusehdotuksen mukaan toimivaltaisen viranomaisen on myös julkaistava virallisilla verkkosivuillaan viipymättä kaikki sen antamat päätökset hallinnollisista seuraamuksista. Tiedot tulee säilyttää verkkosivustoilla vähintään viiden vuoden ajan niiden julkaisemisesta. Julkaisuun sisältyviä henkilötietoja saa säilyttää toimivaltaisen viranomaisen virallisilla verkkosivuilla kuitenkin vain niin kauan kuin se on tietosuojalainsäädännön mukaan perusteltua. Asetusehdotusta voitaisiin pitää oikeasuhtaisena henkilötietosuojan osalta, koska tietoja ei tulisi kerätä, säilyttää tai luovuttaa määrällisesti enempää tai pidempään kuin on välttämätöntä asetusehdotuksen tavoitteiden saavuttamiseksi ja EU:n yleisen tietosuoja-asetuksen säännösten noudattamiseksi. Komission mukaan ehdotuksessa on tällä tavalla asetettu riittävät takeet henkilötietojen tallentamisen edellytyksille sekä niiden suojalle ja valvonnalle. 

Asetusehdotus sisältää komission valtuuksia delegoitujen asetusten antamiseksi.  

Valtioneuvosto ei katso ehdotusten olevan ristiriidassa Suomen perustuslain tai Suomea velvoittavien perus- ja ihmisoikeusinstrumenttien kanssa.  

Ehdotusten vaikutukset

5.1  Vaikutukset lainsäädäntöön

Asetusehdotuksen ja siihen liittyvän direktiivin muutosten huomioon ottaminen vaatii kansallisen lainsäädännön muutoksia. Asetusehdotuksen laajan soveltamisalan vuoksi kansallista lainsäädäntöä joudutaan tarkastamaan joissakin säädöksissä, sekä mahdollisesti näiden säädösten nojalla annetuissa alemman asteisissa säädöksissä ja Finanssivalvonnan määräyksissä, jotka koskevat soveltamisalaan kuuluvia toimijoita.  

Tarkennuksia voidaan joutua tekemään muun muassa luottolaitostoiminnasta annettuun lakiin (610/2014), sijoituspalvelulakiin (747/2012), maksulaitoslakiin (297/2010), kaupankäynnistä rahoitusvälineillä annettuun lakiin (1070/2017), sijoitusrahastolakiin (213/2019), vaihtoehtorahaston hoitajista annettuun lakiin (162/2014), eläkesäätiölakiin (1774/1995), vakuutuskassalakiin (1164/1992), vakuutusyhtiölakiin (521/2008), tilintarkastuslakiin (1141/2015) sekä arvo-osuusjärjestelmästä ja selvitystoiminnasta annettuun lakiin (348/2017). Valvojan toimivaltuuksien turvaamiseksi tarkistuksia joudutaan mahdollisesti tekemään myös Finanssivalvonnasta annettuun lakiin (878/2008).  

5.2  Vaikutukset talouteen

Komission ehdotuksen tavoitteena on parantaa markkinoiden häiriönsietokykyä ja täten ehkäistä kielteisten taloudellisten vaikutusten toteutumista. Markkinoiden luottamuksen ylläpitämiseen liittyvistä toimista epäsuorasti hyötyvät kaikki markkinaosapuolet, kun rahoitusmarkkinoilla vallitseva luottamus vankentuu entisestään. Komission arvioiden ja oletusten mukaan finanssisektorin mahdolliset negatiiviset kybertapahtumista aiheutuvat vaikutukset olivat koko maailman taloudelle 45—654 miljardia Yhdysvaltain dollaria vuonna 2018, josta EU:n osuus olisi ollut 2—27 miljardia Yhdysvaltain dollaria. Jos komission oletuksia käyttää hyväksi, niin Suomelle kybertapahtumista aiheutuvat negatiiviset vaikutukset olisivat olleet vuonna 2018 arviolta 2,9—39 miljoonaa Yhdysvaltain dollaria. Komissio tuo esiin, että jos kymmenenkin prosenttia vaikutuksista saataisiin leikattua, tarkoittaisi tämä 200—2700 miljoonan Yhdysvaltain dollarin vuosittaista säästöä EU:n rahoitusmarkkinoilla. Suomen tasolla vastaavat luvut olisivat 0,29—3,9 miljoonaa Yhdysvaltain dollaria. 

Komission asetusehdotuksen soveltamisalaan kuuluu satoja erilaisia suomalaisia finanssialan toimijoita. Näiden toimijoiden liiketoiminnat, rakenteet ja koko eroavat merkittävästi. Soveltamisalaan kuuluu esimerkiksi kooltaan hyvin suuria toimijoita, kuten arvopaperikeskukset ja luottolaitokset, sekä mahdollisesti hyvin pieniä toimijoita, kuten rekisteröidyt vaihtoehtorahastojen hoitajat.  

Komission ehdotuksella on sekä finanssialan toimijoiden kannalta kustannuksia nostavia mutta myös mahdollisesti laskevia vaikutuksia. Yrityskohtaista tai toimialakohtaista arvioita vaikutuksista on haastavaa tehdä. Suomessa finanssialalla toimivilla yrityksillä on pääosin velvoitteita huomioida kyberriskit osana operatiivisen riskin hallintaa ja ne ovat luoneet toimenpiteitä näihin reagoimiseen. Kuitenkin osa soveltamisalaan kuuluville tahoille esitetyistä vaatimuksista tulee uusina. 

Komission arvion mukaan rahoitusmarkkinoiden digitaalista häiriönsietokykyä koskeva asetusehdotus voi aiheuttaa sekä kertaluonteisia että jatkuvia kustannuksia soveltamisalaan kuuluville yrityksille. Esimerkiksi asetusehdotuksen vaatimien muutosten vieminen järjestelmiin tulee aiheuttamaan kertaluonteisia kustannuksia. Eri toimijoiden investointikustannuksia tietotekniikkajärjestelmiin on vaikeaa arvioida, koska niiden nykyiset järjestelmät eroavat toisistaan. Monet suomalaiset toimijat ovat jo parantaneet operatiivista kriisinhallintakykyään ja tehneet myös investointeja ICT-järjestelmiin, jolloin ehdotuksen toimenpiteiden toteuttamisesta aiheutuvat kustannukset saattavat olla vähäisiä. Kuitenkin järjestelmien sopeuttamisista ehdotuksen vaatimuksiin saattaa aiheutua joillekin suomalaisille toimijoille merkittäviä investointikustannuksia, jos järjestelmät eivät sovellu ehdotuksen vaatimuksiin. Komission mukaan jatkuvia kustannuksia aiheutuisi soveltamisalaan kuuluville toimijoille ICT-järjestelmien ylläpidosta ja testaamisesta. Komission arvion mukaan testaukseen liittyvät kustannukset vaihtelevat arviolta 0,1—0,3 prosentin välillä yrityksen ICT-budjetista. Komission arvion mukaan tapahtumaraportointiin liittyvät kustannukset saattaisivat jopa vähentyä eri lakeihin perustuvien velvollisuuksien päällekkäisyyden poistuessa. On oletettavissa, että suomalaisiin toimijoihin kohdistuvat vaikutukset ovat linjassa komission arvioinnin kanssa. 

Pienempien yritysten kustannusten odotetaan olevan alhaiset, koska niihin sovellettaisiin lievempiä vaatimuksia vähäisemmän riskin takia. Suhteellisuusperiaatteen soveltamisen vuoksi pienten ja keskisuurten yhteisöiden vaatimuksissa otettaisiin huomioon muun muassa liiketoimintamallit, koko, riskiprofiili ja systeeminen tärkeys. Esimerkiksi vaaratilanteiden ilmoittamista ja testausta koskevat toimenpiteet eivät olisi yhtä tiukkoja pienemmille rahoitusmarkkinatoimijoille, jolloin näille arvioidaan aiheituvan myös vähemmän kustannuksia.  

Finanssialan yritysten lisäksi komissio arvioi, että lainsäädäntöehdotuksella on myös kustannusvaikutuksia ICT-palveluita tarjoaville kolmannen osapuolen toimijoille. Tällaisten toimijoiden valvontaa parannetaan valvontaviranomaisten toimesta, minkä johdosta toimijat joutuvat todennäköisesti muuttamaan toimintaansa tarvittavin osin. 

Kansallisille valvontaviranomaisille esitetään uusia valvontatehtäviä. Kuitenkin Finanssivalvontaa koskevaan voimassaolevaan lainsäädäntöön sisältyy jo pitkälti esitetyn kaltaisia riskienhallinta- ja raportointivelvoitteita muistuttavia valvontavelvoitteita. Kuitenkin esitettyjen uusien tehtävien ja hieman nykyisestä laajentuvan soveltamisalan arvioidaan lisäävän jossain määrin Finanssivalvonnan työtä. Tilintarkastajien osalta valvova viranomainen on Patentti- ja rekisterihallituksen alainen Tilintarkastusvalvonta. Patentti- ja rekisterihallituksen tilintarkastajia koskevien riskienhallinta- ja raportointivelvoitteiden arvioidaan lisääntyvän asetusehdotuksen myötä. Esitettyjen uusien tehtävien arvioidaan lisäävän jossain määrin Patentti- ja rekisterihallituksen työtä.  

Euroopan rahoitusmarkkinaviranomaisille ehdotetaan myös uusia valvontatehtäviä, joiden johdosta niihin tarvitaan yhteensä 18 uutta kokoaikaista työntekijää, joista aiheutuviksi kustannuksiksi komissio arvioi 15 miljoonaa euroa vuosina 2022—2027. Lisäksi Euroopan rahoitusmarkkinaviranomaisille aiheutuu muita kustannuksia valvontatehtävien lisäyksestä, mutta ne tullaan kattamaan valvontamaksujen avulla. Henkilökunnan lisäyksestä aiheutuneet kustannukset katettaisiin Euroopan rahoitusmarkkinaviranomaisten budjeteista. 

Lainsäädäntöehdotukset parantavat rahoitusmarkkinoiden häiriönsietokykyä ja markkinoilla vallitsevaa luottamusta. Sijoittajat ja kuluttajat pääsevät osaksi entistä eheämpiä rahoitusmarkkinoita. On kuitenkin huomattava, että jos finanssialan toimijoiden kustannukset kasvavat lainsäädäntöehdotusten myötä merkittävästi, osa kustannusten kasvusta maksatetaan todennäköisesti asiakkailla aikaisempaa korkeampina asiakas- ja palvelumaksuina.  

Ehdotusten kansallinen käsittely ja käsittely Euroopan unionissa

Ehdotukset sekä niihin liittyvä luonnos valtioneuvoston kirjelmäksi ovat olleet lausunnolla EU-asiain komitean rahoituspalvelut ja pääomaliikkeet -jaoston (jaosto 10) kirjallisessa menettelyssä 19.—26.10.2020.  

Ehdotusten käsittely on aloitettu neuvoston rahoituspalvelutyöryhmässä ensimmäisellä kokouksella 30.9.2020. Neuvoston puheenjohtajavaltio Saksa on ilmoittanut, että sen tavoitteena on edistää ehdotusten käsittelyä tehokkaasti syksyn aikana. Muiden jäsenvaltioiden viralliset kannat eivät ole vielä tiedossa.  

Ahvenanmaan toimivalta

Asia kuuluu Ahvenanmaan itsehallintolain (1144/1991) 27 §:n perusteella valtakunnan lainsäädäntövaltaan. 

Valtioneuvoston kanta

Valtioneuvosto yhtyy komission näkemykseen siitä, että uusien innovatiivisten rahoituspalveluiden saatavuutta yrityksille ja kuluttajille on tarpeellista edistää. Kilpailuedellytysten laajentuminen edistää rahoituspalvelusektorin mahdollisuutta uudistua sekä tukee uusien liiketoimintamallien syntymistä. Samalla digitalisaation seurauksena syntyvät riskit on kyettävä tunnistamaan ja niihin on perusteltua puuttua osaltaan myös unionin yhtenäisen lainsäädännön tasolla. Rahoitusmarkkinoiden digitaalisen häiriönsietokyvyn vahvistaminen on suotuisaa palveluiden luotettavan toiminnan sekä rahoitusmarkkinoiden vakauden turvaamisen kannalta, ja siksi kaikkien toimijoiden kyberturvallisuusvalmiuksien tarkempi valvonta on tulevaisuudessa entistä tärkeämpää.  

Valtioneuvosto pitää tervetulleena asetus- ja direktiiviehdotuksissa esitettyjä tavoitteita ICT-riskienhallintaan ja kyberturvallisuuteen liittyvien säännösten yhtenäistämisestä ja virtaviivaistamisesta unionin sisämarkkinalainsäädännössä. Ehdotetulla sääntelyllä vahvistetaan yhdenmukaiset periaatteet rahoitusmarkkinatoimijoiden liiketoiminnan jatkuvuuden hallinnalle, edistetään rahoitussektorin ulkopuolisten kriittisten palveluntarjoajien valvontaa ja luodaan puitteita teknologisten innovaatioiden hyödyntämiselle. Unionin rahoitusmarkkinoita koskevaa sääntelykehystä vahvistettaessa on kuitenkin huomioitava kansallisen turvallisuuden kannalta kriittisten rahoitusmarkkinapalveluiden turvaamiseen liittyvät järjestelyt. Perussopimusten mukaan kansallinen turvallisuus säilyy kunkin jäsenvaltion vastuulla. 

Valtioneuvosto kannattaa esityksessä ehdotettua suhteellisuusperiaatteen soveltamista, joka mahdollistaa toimijoiden erityispiirteiden huomioimisen. Suhteellisuusperiaatteen käyttö on kuitenkin kyettävä punnitsemaan tarkasti olemassa olevien riskien näkökulmasta. Valtioneuvosto kannattaa ehdotusta yhteisön sisäisen riskienhallintakehikon luomisesta ja sen jatkuvasta kehittämisestä. Valtioneuvosto pitää lisäksi kannatettavana ehdotusten tavoitteita siitä, että ehdotuksilla yhdenmukaistettaisiin ja yksilöitäisiin vaatimukset, jotka finanssisektorin toimijoiden olisi ainakin otettava huomioon solmiessaan sopimuksia kriittisten kolmansien osapuolten kanssa.  

Valtioneuvosto pitää hyväksyttävänä asetusehdotuksessa perustettavaksi ehdotettua uutta ylätason valvontakehikkoa siltä osin, kun sillä on tarkoitus vankistaa kolmansiin osapuoliin kohdistuvaa valvontaa. Valtioneuvosto suhtautuu kuitenkin varauksellisesti kehikkoa koskevaan hallintorakenteeseen. Hallintorakenteessa tulisi huomioida selkeät toimivaltuudet ja vastuunjako sekä kansallisille toimivaltaisille viranomaisille että Euroopan rahoitusmarkkinaviranomaisille. Eurooppalaisen sääntelyn yhtenäistämishankkeiden toteuttamisen edellytyksenä on se, että viranomaisten toimivaltuudet ovat yksiselitteiset ja riittävät.  

Valtioneuvosto kiinnittää lisäksi huomiota ehdotuksissa viranomaisten keskinäisen tiedonkulun tarkoituksenmukaiseen toteuttamiseen. Ehdotusten tulisi vahvistaa eri viranomaisten välillä tapahtuvaa tiedonkulkua ja mahdollistaa se, että etenkin kriisitilanteessa tiedonkulkua ei estetä.  

Valtioneuvosto korostaa lisäksi, että rahoitusmarkkinoiden häiriönsietokyvyn turvaaminen systeemisen kokonaisturvallisuusajattelun mukaisten toimintamallien kehittämistä myös unionin toiminnassa on tärkeää. Keskeisessä asemassa on viranomaisten toimintakyvyn varmistaminen erityisesti laajamittaisissa häiriötilanteissa. Ehdotusten jatkokäsittelyssä on tämän vuoksi kiinnittävä huomiota häiriöraportoinnin tarkoituksenmukaiseen toteuttamiseen ja viranomaisten keskinäisen tiedonkulun tarkoituksenmukaiseen varmistamiseen.  

Asetusehdotukseen sisältyy komissiolle valtuus antaa delegoituja säädöksiä. Valtioneuvosto katsoo, että delegoidut säännökset ovat pääosin luonteeltaan teknistä sääntelyä, jolloin valtuudet ovat valtioneuvoston arvion mukaan myös hyväksyttävissä.