Eduskunnan vastaus
EV
25
2018 vp
Eduskunta
Hallituksen esitys eduskunnalle laeiksi Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta
HE 192/2017 vp
LiVM 6/2018 vp
Asia
Hallituksen esitys eduskunnalle laeiksi Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta (HE 192/2017 vp). 
Valiokuntakäsittely
Valiokunnan mietintö: Liikenne- ja viestintävaliokunta (LiVM 6/2018 vp). 
Päätös
Eduskunta on hyväksynyt seuraavat lait: 
Laki 
tietoyhteiskuntakaaren muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan tietoyhteiskuntakaaren (917/2014) 275 §, 304 §:n 1 momentin 7 ja 10 kohta sekä 313 §:n 2 momentin 2 kohta sekä  
lisätään lakiin uusi 247 a §, 308 §:ään, sellaisena kuin se on osaksi laissa 456/2016, uusi 3 momentti sekä 318 §:ään, sellaisena kuin se on osaksi laissa 456/2016, uusi 2 momentti, jolloin nykyinen 2—4 momentti siirtyvät 3—5 momentiksi, seuraavasti: 
247 a § 
Verkossa toimivan markkinapaikan, hakukonepalvelun ja pilvipalvelun tarjoajan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta 
Verkossa toimivan markkinapaikan, hakukonepalvelun ja pilvipalvelun tarjoajan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. Riskienhallinnassa on huomioitava:  
1) järjestelmien ja tilojen turvallisuus; 
2) tietoturvauhkien ja häiriöiden käsittely; 
3) liiketoiminnan jatkuvuuden hallinta; 
4) seuranta, tarkastukset ja testaukset; 
5) kansainvälisten standardien noudattaminen. 
Edellä 1 momentissa tarkoitettu riskienhallintavelvoite ei koske toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148, jäljempänä verkko- ja tietoturvadirektiivi, 16 artiklan 11 kohdassa tarkoitettuja mikroyrityksiä tai pieniä yrityksiä. 
275 §  
Häiriöilmoitukset Viestintävirastolle 
Teleyrityksen on ilmoitettava viipymättä Viestintävirastolle, jos sen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää viestintäpalvelun toimivuuden tai häiritsee sitä olennaisesti. Teleyrityksen on ilmoitettava myös ilman aiheetonta viivästystä häiriön tai sen uhan arvioitu kesto ja vaikutukset, korjaustoimenpiteet sekä ne toimenpiteet, joilla häiriön toistuminen pyritään estämään. Viestintävirasto toimittaa komissiolle ja Euroopan unionin verkko- ja tietoturvavirastolle vuosittain tiivistelmäraportin ilmoituksista. 
Edellä 247 a §:ssä tarkoitetun verkossa toimivan markkinapaikan tarjoajan, hakukonepalvelun tarjoajan sekä pilvipalvelun tarjoajan on ilmoitettava viipymättä Viestintävirastolle sen palveluun kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä.  
Jos häiriöistä ilmoittaminen on yleisen edun mukaista, Viestintävirasto voi velvoittaa teleyrityksen tai palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Viestintävirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä 1 ja 2 momentissa tarkoitettujen ilmoitusten sisällöstä, muodosta ja toimittamisesta. 
Viestintäviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille.  
304 § 
Viestintäviraston erityiset tehtävät 
Sen lisäksi, mitä muualla tässä laissa säädetään, Viestintäviraston tehtävänä on: 
7) kerätä tietoa verkkopalveluihin, viestintäpalveluihin, lisäarvopalveluihin sekä tietojärjestelmiin kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekä viestintäverkkojen ja viestintäpalvelujen vika- ja häiriötilanteista; 
10) selvittää verkkopalveluihin, viestintäpalveluihin, lisäarvopalveluihin sekä tietojärjestelmiin kohdistuvia tietoturvaloukkauksia ja niiden uhkia; 
308 §  
Yhteistyö eri viranomaisten kanssa 
Viestintäviraston on toimittava yhteistyössä muiden Euroopan unionin jäsenvaltioiden verkko- ja tietoturvallisuutta valvovien viranomaisten, tietoturvaloukkauksiin reagoivien yksiköiden sekä verkko- ja tietoturvadirektiivin 11 artiklassa tarkoitetun yhteistyöryhmän kanssa. Viestintävirasto toimittaa yhteistyöryhmälle vuosittain verkko- ja tietoturvadirektiivin 10 artiklan 3 kohdan mukaisen tiivistelmäraportin. 
313 § 
Valvonta-asioiden käsittely Viestintävirastossa 
Viestintävirasto voi asettaa tässä laissa säädetyt valvontatehtävänsä tärkeysjärjestykseen. Viestintävirasto voi jättää asian tutkimatta, jos: 
2) asialla on epäillystä virheestä tai laiminlyönnistä huolimatta viestintämarkkinoiden toimivuuden, viestintäpalvelujen luotettavuuden tai sähköisen viestinnän häiriöttömyyden turvaamisen ja palveluja käyttävien edun taikka 247 a §:ssä tarkoitettujen palveluiden riskinhallinnan kannalta vain vähäinen merkitys; tai 
318 §  
Tietojen luovuttaminen viranomaisesta 
Viestintävirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Liikenteen turvallisuusvirastolle, Energiavirastolle, Finanssivalvonnalle, Sosiaali- ja terveysalan lupa- ja valvontavirastolle sekä elinkeino-, liikenne- ja ympäristökeskukselle, jos se on näille säädettyjen tietoturvallisuuteen liittyvien tehtävien hoitamiseksi välttämätöntä. 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki  
ilmailulain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään ilmailulakiin (864/2014) uusi 128 a ja 128 b § seuraavasti: 
11 luku 
Ilmailuonnettomuudet, ilmailun etsintä- ja pelastuspalvelu, vaaratilanteet ja poikkeamat 
128 a §  
Velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta  
Lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 
Liikenteen turvallisuusviraston on arvioitava 1 momentissa tarkoitetun riskienhallinnan vaikutuksia ilmailun turvallisuuteen. Lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän on annettava Liikenteen turvallisuusvirastolle arvioinnin kannalta tarpeelliset tiedot. Virasto voi velvoittaa lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän ryhtymään korjaaviin toimenpiteisiin ilmailun turvallisuuteen kohdistuvan merkittävän riskin poistamiseksi. 
Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa 2 momentissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Valtioneuvoston asetuksella säädetään, milloin lentoasemaa on pidettävä yhteiskunnan toiminnan kannalta merkittävänä.  
128 b §  
Tietoturvapoikkeamista ilmoittaminen 
Lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä poikkeamasta. 
Jos poikkeamasta ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Liikenteen turvallisuusviraston on arvioitava koskeeko 1 momentissa tarkoitettu poikkeama muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 
Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu poikkeama on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki 
rautatielain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään rautatielakiin (304/2011) uusi 41 a § seuraavasti: 
6 luku 
Turvallisuus 
41 a § 
Velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen  
Valtion rataverkon haltijan sekä liikenteenohjauspalvelun tarjoajan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 
Valtion rataverkon haltijan sekä liikenteenohjauspalvelun tarjoajan on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. 
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Liikenteen turvallisuusviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 
Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä pykälässä säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 2 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki 
alusliikennepalvelulain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään alusliikennepalvelulain (623/2005) 16 §:ään uusi 5 momentti, lakiin uusi 18 a § sekä 28 §:ään, sellaisena kuin se on osaksi laissa 1307/2009, uusi 4 momentti seuraavasti: 
16 § 
Alusliikennepalvelun ylläpito 
VTS-viranomaisen on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.  
18 a §  
Tietoturvaan liittyvistä häiriöistä ilmoittaminen 
VTS-viranomaisen on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä.  
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Liikenteen turvallisuusviraston on arvioitava, koskeeko 1 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 
Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä pykälässä säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
28 § 
Valvonta 
Liikenteen turvallisuusviraston on arvioitava 16 §:n 5 momentissa tarkoitetun riskienhallinnan vaikutuksia merenkulun turvallisuuteen. Liikenteen turvallisuusvirasto voi velvoittaa ryhtymään korjaaviin toimenpiteisiin merenkulun turvallisuuteen kohdistuvan merkittävän riskin poistamiseksi. Velvoitteen tehosteeksi voidaan asettaa uhkasakko. Uhkasakosta säädetään uhkasakkolaissa (1113/1990). 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki 
eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettuun lakiin (485/2004) uusi 7 e ja 7 f § seuraavasti: 
2 a luku 
Satamien turvatoimet 
7 e § 
Satamanpitäjän velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta  
Yhteiskunnan toiminnan kannalta merkittävän satamanpitäjän on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 
Liikenteen turvallisuusviraston on arvioitava 1 momentissa tarkoitetun riskienhallinnan vaikutuksia merenkulun turvallisuuteen. Virasto voi velvoittaa 1 momentissa tarkoitetun satamanpitäjän ryhtymään korjaaviin toimenpiteisiin merenkulun turvallisuuteen kohdistuvan merkittävän riskin poistamiseksi. Velvoitteen tehosteeksi voidaan asettaa uhkasakko. Uhkasakosta säädetään uhkasakkolaissa (1113/1990). 
Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa 2 momentissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Valtioneuvoston asetuksella säädetään, milloin 1 momentissa tarkoitettua satamaa on pidettävä yhteiskunnan toiminnan kannalta merkittävänä. 
7 f § 
Tietoturvallisuuteen liittyvistä häiriöistä ilmoittaminen 
Yhteiskunnan toiminnan kannalta merkittävän satamanpitäjän on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. 
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Liikenteen turvallisuusviraston on arvioitava, koskeeko 1 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 
Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki 
liikenteen palveluista annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään liikenteen palveluista annetun lain (320/2017) III osan 2 lukuun uusi 7 § seuraavasti: 
III OSA 
PALVELUT 
2 luku 
Tietojen ja tietojärjestelmien yhteentoimivuus 
7 § 
Älykkään liikennejärjestelmän ylläpitäjän velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen   
Älykkään liikennejärjestelmän ylläpitäjän on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 
Älykkään liikennejärjestelmän ylläpitäjän on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. 
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Liikenteen turvallisuusviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 
Liikenteen turvallisuusvirastolla on salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä pykälässä säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki 
sähkömarkkinalain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan sähkömarkkinalain (588/2013) 62 §:n 1 momentti, sellaisena kuin se on laissa 590/2017, sekä 
lisätään lakiin uusi 29 a § seuraavasti: 
29 a § 
Verkonhaltijan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen  
Verkonhaltijan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.  
Verkonhaltijan on ilmoitettava viipymättä Energiavirastolle sellaisesta sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena sähkönjakelu voi keskeytyä jakeluverkossa merkittävässä laajuudessa.  
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Energiavirasto voi velvoittaa palvelun tarjoajan tiedottamaan yleisölle asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Energiaviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille jäsenvaltioille. 
Energiavirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
62 § 
Suljettua jakeluverkkoa koskevat erityissäännökset 
Suljettuun jakeluverkkoon ja suljetun jakeluverkonhaltijaan ei sovelleta 23 eikä 26 a §:ää, 27 §:n 3 momenttia, 28, 29, 29 a, 50—53, 53 a, 54—57, 57 a, 58 eikä 59 §:ää. 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki 
maakaasumarkkinalain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään maakaasumarkkinalakiin (587/2017) uusi 34 a § seuraavasti: 
34 a § 
Siirtoverkonhaltijan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen 
Siirtoverkonhaltijan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.  
Siirtoverkonhaltijan on ilmoitettava viipymättä Energiavirastolle sellaisesta sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena maakaasun siirto voi keskeytyä siirtoverkossa merkittävässä laajuudessa.  
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Energiavirasto voi velvoittaa siirtoverkonhaltijan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Energiaviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille jäsenvaltioille. 
Energiavirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki 
sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain 27 ja 28 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain (590/2013) 27 § sekä 28 §:n otsikko, 1 momentin johdantokappale ja 1 kohta sekä 2 ja 3 momentti seuraavasti: 
27 § 
Viranomaisten valvontayhteistyö 
Energiavirastolla on oikeus toimivaltaansa kuuluvissa asioissa tehdä valvontayhteistyötä Finanssivalvonnan, Kilpailu- ja kuluttajaviraston, Viestintäviraston, kuluttaja-asiamiehen, energia-alan sääntelyviranomaisten yhteistyöviraston, toisen ETA-valtion sääntelyviranomaisen ja Euroopan komission kanssa sekä antaa pyynnöstä virka-apua näiden suorittaessa sähkö- tai maakaasualan yritykseen liittyvää valvonta- tai tarkastustehtävää. 
28 § 
Energiaviraston oikeus luovuttaa tietoja toiselle viranomaiselle 
Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään, Energiavirastolla on oikeus luovuttaa salassapitosäännösten estämättä tietoja: 
1) Finanssivalvonnalle, Kilpailu- ja kuluttajavirastolle ja kuluttaja-asiamiehelle niiden tehtävien hoitamista varten sekä Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi; 
Energiavirastolla on oikeus luovuttaa vain sellaisia tietoja, jotka ovat tarpeen asianomaisen viranomaisen tehtävien suorittamiseksi, ja jos tietoja luovutetaan ulkomaan viranomaiselle tai kansainväliselle toimielimelle, edellyttäen, että niitä koskee kyseisten tietojen osalta vastaava salassapitovelvollisuus kuin Energiavirastoa. 
Energiavirasto ei saa luovuttaa toisen valtion viranomaiselta tai kansainväliseltä toimielimeltä saatuja salassa pidettäviä tietoja edelleen, ellei tiedon antanut viranomainen ole antanut siihen nimenomaista suostumusta. Näitä tietoja voidaan käyttää ainoastaan tämän lain mukaisten tehtävien hoitamiseen tai niihin tarkoituksiin, joita varten suostumus on annettu. 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki 
vesihuoltolain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan vesihuoltolain (119/2001) 35 §:n 2 momentti ja 
lisätään lakiin uusi 15 b § seuraavasti: 
15 b § 
Vesihuollon häiriötilanteista ilmoittaminen 
Vesihuoltolaitoksen, joka toimittaa vettä tai ottaa vastaan jätevettä vähintään 5 000 kuutiometriä vuorokaudessa, on ilmoitettava viipymättä elinkeino-, liikenne- ja ympäristökeskukselle merkittävästä häiriöstä vesihuollossa. Jos häiriöstä ilmoittaminen on yleisen edun mukaista, elinkeino-, liikenne- ja ympäristökeskus voi velvoittaa vesihuoltolaitoksen tiedottamaan asiasta tai vesihuoltolaitosta kuultuaan tiedottaa asiasta itse. 
Mitä 1 momentissa säädetään vesihuoltolaitoksesta, koskee myös laitosta, joka toimittaa vettä vesihuoltolaitokselle tai ottaa vastaan jätevettä vesihuoltolaitokselta. 
Elinkeino-, liikenne- ja ympäristökeskus toimittaa 1 momentissa tarkoitetun ilmoituksen tiedoksi maa- ja metsätalousministeriölle. Elinkeino-, liikenne- ja ympäristökeskuksen on lisäksi arvioitava, koskeeko 1 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltiota, ja ilmoitettava häiriöstä tarvittaessa jäsenvaltion asianomaiselle viranomaiselle.  
Maa- ja metsätalousministeriö voi antaa asetuksella tarkempia säännöksiä siitä, milloin 1 momentissa tarkoitettua vesihuollon häiriötä on pidettävä merkittävänä, sekä momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
35 § 
Salassapitovelvollisuus 
Viranomaisten toiminnan julkisuudesta annetussa laissa säädetyn salassapitovelvollisuuden estämättä saa tämän lain mukaisia tehtäviä suoritettaessa saatuja tietoja yksityisen tai yhteisön taloudellisesta asemasta, liike- tai ammattisalaisuudesta taikka yksityisen henkilökohtaisista oloista luovuttaa: 
1) valvontaviranomaiselle tämän lain mukaisten tehtävien suorittamista varten; 
2) rikoksen selvittämiseksi syyttäjä- ja poliisiviranomaiselle; 
3) Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki 
Finanssivalvonnasta annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään Finanssivalvonnasta annettuun lakiin (878/2008) uusi 50 p ja 52 a § seuraavasti: 
50 p § 
Toiminta verkko- ja tietoturvadirektiivissä tarkoitettuna toimivaltaisena viranomaisena 
Finanssivalvonta toimii toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148, jäljempänä verkko- ja tietoturvadirektiivi, 8 artiklan 1 kohdassa tarkoitettuna toimivaltaisena viranomaisena direktiivin liitteen II toimialojen 3 ja 4 osalta. 
52 a § 
Yhteistyö ja tietojenvaihto verkko- ja tietoturvadirektiivin mukaisten tehtävien hoitamisessa 
Finanssivalvonnan on tehtävä yhteistyötä verkko- ja tietoturvadirektiivin mukaisten tehtävien hoitamisessa Viestintäviraston ja muiden tarpeellisten viranomaisten kanssa. Finanssivalvonnalla on tätä tarkoitusta varten oikeus salassapitosäännösten estämättä vaihtaa tietoja Viestintäviraston ja muiden tarpeellisten viranomaisten kanssa. 
Tämä laki tulee voimaan     päivänä         kuuta 20 . 
Laki 
Sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain 6 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan Sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain (669/2008) 6 §, sellaisena kuin se on osaksi laeissa 1068/2009, 1569/2009 ja 818/2015, seuraavasti:  
6 § 
Tietojen antaminen 
Valtion ja kunnan viranomainen sekä muu julkisoikeudellinen yhteisö, Kansaneläkelaitos, Eläketurvakeskus, potilasvahinkolautakunta, eläkesäätiö ja muu eläkelaitos, vakuutuslaitos, huoltotoimintaa tai sairaanhoitotoimintaa harjoittava yhteisö tai laitos, yksityisten sosiaalipalvelujen tuottaja sekä apteekki ovat velvollisia pyynnöstä antamaan maksutta virastolle 2 §:ssä tarkoitettujen tehtävien suorittamiseksi välttämättömät tiedot ja selvitykset sen estämättä, mitä salassapitovelvollisuudesta säädetään.  
Edellä 1 momentissa tarkoitetulla viranomaisella, yhteisöllä ja laitoksella sekä apteekilla on salassapitosäännösten estämättä oikeus ilman viraston pyyntöäkin ilmoittaa sille seikasta, joka voi vaarantaa asiakas- tai potilasturvallisuutta, elinympäristön tai väestön terveellisyyttä tai turvallisuutta taikka joka voi vaikuttaa valvottavan toiminnanharjoittajan luotettavuusarviointiin. 
Virastolla ja aluehallintovirastoilla on salassapitosäännösten estämättä oikeus luovuttaa toisilleen 2 §:ssä tarkoitettujen tehtävien suorittamisessa tarvittavat tiedot ja selvitykset.  
Virastolla on oikeus luovuttaa salassapitosäännösten estämättä tietoja Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Edellä 3 momentissa tarkoitetut tiedot ja selvitykset voidaan luovuttaa myös teknisen käyttöyhteyden avulla. Ennen teknisen käyttöyhteyden avaamista on varmistuttava tietojen asianmukaisesta suojaamisesta.  
Tämä laki tulee voimaan     päivänä          kuuta 20  . 
Helsingissä 10.4.2018 
Eduskunnan puolesta
puhemies
pääsihteeri
Viimeksi julkaistu 12.4.2018 11:39