Viimeksi julkaistu 27.11.2021 9.34

Hallituksen esitys HE 157/2021 vp Hallituksen esitys eduskunnalle laeiksi Liikenne- ja viestintävirastosta annetun lain 3 §:n ja sähköisen viestinnän palveluista annetun lain 304 §:n muuttamisesta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan muutettavaksi Liikenne- ja viestintävirastosta annettua lakia ja sähköisen viestinnän palveluista annettua lakia siten, että niissä säädettäisiin Liikenne- ja viestintäviraston kyberturvallisuuskeskuksen nimeämisestä Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta annetun EU-asetuksen mukaiseksi kansalliseksi koordinointikeskukseksi. Kyberturvallisuuskeskukselle tulisi kansallisena koordinointikeskuksena hoidettavaksi uusia mainitussa asetuksessa säädettyjä erityisesti kansallisen kyberturvallisuusyhteisön rakentamiseen, koordinointiin ja osaamisyhteisön kansallisen tason yhteyspisteenä toimimiseen liittyviä tehtäviä. Osa tehtävistä olisi kokonaan uusia ja osa sellaisia, joita vastaavia tehtäviä Kyberturvallisuuskeskuksessa hoidetaan jo nykyisin.  

Laki on tarkoitettu tulemaan voimaan syksyllä 2021, mutta kuitenkin viimeistään 28.12.2021.  

PERUSTELUT

Asian tausta ja valmistelu

1.1  Tausta

Hallituksen esityksellä pannaan kansallisesti täytäntöön Euroopan parlamentin ja neuvoston asetus Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta (EU) 2021/887 (jäljempänä EU-asetus). 

Hallituksen esityksellä ehdotetaan muutettavaksi Liikenne- ja viestintävirastosta annetun lain (935/2018) 3 §:n 1 momenttia, jossa säädetään Liikenne- ja viestintäviraston kyberturvallisuuskeskuksen (jäljempänä Kyberturvallisuuskeskus) tehtävistä, sekä lisättäväksi sähköisen viestinnän palveluista annetun lain (917/2014) 304 §:n 1 momenttiin uusi 18 kohta, jossa säädettäisiin Liikenne- ja viestintäviraston erityisistä tehtävistä. Tarkoituksena on nimetä Kyberturvallisuuskeskus EU-asetuksen mukaiseksi kansalliseksi koordinointikeskukseksi. Kyberturvallisuuskeskukselle tulisi kansalliseksi koordinointikeskukseksi nimeämisen myötä uusia EU-asetukseen perustuvia tehtäviä, joiden hoitamisesta olisi säädettävä lailla.  

Esityksen tarkoituksena on osaltaan toteuttaa pääministeri Sanna Marinin hallituksen hallitusohjelman mukaisia tavoitteita, joilla tuetaan osaamisen, sivistyksen ja innovaatioiden Suomea. Esitys toteuttaisi osaltaan myös hallitusohjelman tavoitetta, jolla panostetaan turvalliseen oikeusvaltio-Suomeen. Hallitusohjelman mukaisten tavoitteiden ohella esityksen tarkoituksena on toteuttaa Suomen kyberturvallisuusstrategiassa 2019 (Valtioneuvoston periaatepäätös PLM/2019/52) ja osana strategian toimeenpanoa laaditussa kyberturvallisuuden kehittämisohjelmassa (Liikenne- ja viestintäministeriön julkaisuja 2021:7) asetettuja keskeisimpiä tavoitteita kybertoimintaympäristön kehittämiseksi. 

1.2  Valmistelu

EU-säädöksen valmistelu

Euroopan komissio antoi 12.9.2018 ehdotuksen (COM(2018) 630 final) Euroopan parlamentin ja neuvoston asetukseksi, jolla perustettaisiin Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskus (jäljempänä EU-osaamiskeskus) ja kyberturvallisuuden kansallisten koordinointikeskusten verkosto (jäljempänä verkosto). Näitä tukisi kyberturvallisuuden osaamisyhteisö (jäljempänä osaamisyhteisö). EU-asetusta on valmisteltu EU:ssa neuvoston horisontaalisessa kybertyöryhmässä, ja sen valmistelusta on Suomen osalta ollut päävastuussa työ- ja elinkeinoministeriö. EU-osaamiskeskuksen sijaintipaikaksi valikoitui 9.12.2020 järjestetyssä Coreper I –kokouksessa Romanian pääkaupunki Bukarest. 

Säädöksestä laaditusta U-kirjelmästä (U 102/2018 vp) käy ilmi, että Suomi on säädöksen valmistelun aikana suhtautunut myönteisesti EU-osaamiskeskuksen ja verkoston perustamiseen sekä ehdotuksen yleisiin tavoitteisiin. Suomi on EU-asetuksen valmistelun aikana pitänyt keskeisenä varmistaa, etteivät EU-osaamiskeskuksen tai verkoston tehtävät tai toimivalta muodostuisi päällekkäisiksi olemassa olevien toimijoiden tai yhteistyöelinten kanssa.  

Liikenne- ja viestintävaliokunta totesi lausunnossaan (LiVL 44/2018 vp) yhtyvänsä valtioneuvoston kantaan ja suhtautuvansa myönteisesti EU-osaamiskeskuksen ja koordinointikeskuksen perustamiseen sekä säädösehdotuksen tavoitteisiin. Liikenne- ja viestintävaliokunta painotti lausunnossaan, että uusien organisaatiorakenteiden luomisessa on tärkeää huomioida, ettei kehittämisellä luoda päällekkäisiä toimintoja nykyisten organisaatioiden kanssa, eikä lisätä tarpeettomasti hallinnollista taakkaa. Liikenne- ja viestintävaliokunta korosti, että Kyberturvallisuuskeskuksella on tällä hetkellä jo muutoinkin selkeä lisäresursoinnin tarve, mikä on välttämätöntä huomioida, jos keskuksen tehtävät lisääntyvät ehdotuksen myötä nykyisestä. 

Hallituksen esityksen valmistelu

Keväällä 2021 ministeriöiden välillä käydyissä neuvotteluissa saavutettiin yhteisymmärrys siitä, että EU-asetuksen mukaiseksi kansalliseksi koordinointikeskukseksi soveltuisi parhaiten Kyberturvallisuuskeskus. Koska kyseessä on liikenne- ja viestintäministeriön hallinnonalan virasto, on esitys valmisteltu liikenne- ja viestintäministeriössä. Valmistelussa on tehty tiivistä yhteistyötä Kyberturvallisuuskeskuksen ja työ- ja elinkeinoministeriön kanssa. 

Esitystä valmisteltaessa on pyydetty lausunnot eri sidosryhmiltä. Luonnos hallituksen esitykseksi oli lausuntokierroksella lausuntopalvelu.fi:ssä 9.6.2021-26.7.2021. Liikenne- ja viestintäministeriö vastaanotti lausuntoja yhteensä 20 kappaletta. Lausunnoista on laadittu lausuntoyhteenveto. Hallituksen esityksen valmisteluasiakirjat ovat saatavissa suomeksi valtioneuvoston hankeikkunan julkisessa palvelussa osoitteessa https://hankeikkuna.vnv.fi/app#/lainsaadanto/69254/kuvaukset.  

EU-säädöksen tavoitteet ja pääasiallinen sisältö

EU-säädöksen tavoitteet 

EU-asetuksella kehitetään EU:n kyberturvallisuuden strategista ja kestävää koordinaatiota. Sen keskiössä on yhteistyön kehittäminen elinkeinoelämän, kyberturvallisuusalan tutkimusyhteisöjen ja hallitusten välillä. Koordinaation ja yhteistyön kehittämiseksi perustetaan EU-asetuksella EU –tason toimielimeksi osaamiskeskus ja sitä tukemaan kansallisten koordinointikeskusten verkosto, jonka muodostavat jäsenvaltioiden nimeämät kansalliset koordinointikeskukset. Kansalliset koordinointikeskukset puolestaan kokoavat kansallisen tason kyberturvallisuuden sidosryhmistä yhteisön, joka yhdessä EU-osaamiskeskuksen ja verkoston kanssa muodostaa EU:n laajuisen osaamisyhteisön.  

EU-osaamiskeskuksen ja verkoston perustamisen tavoitteena on edistää vahvan eurooppalaisen kyberturvallisuusekosysteemin muodostumista ja auttaa EU:ta vahvistamaan sen johtajuutta ja strategista itsenäisyyttä kyberturvallisuuden alalla. Tähän pyritään kehittämällä EU:n kyberturvallisuusalan tutkimusta sekä akateemista, yhteiskunnallista, teknologista ja teollista kapasiteettia ja valmiuksia. Kehittämistoimenpiteillä vahvistetaan digitaalisten sisämarkkinoiden turvallisuutta ja niiden luotettavuutta. Tavoite edellyttää myös tietojen luottamuksellisuuden, eheyden ja saatavuuden kehittämistä edelleen.  

EU-osaamiskeskus ja verkosto tukevat EU:n teknologista kapasiteettia, valmiuksia ja osaamista verkko- ja tietojärjestelmien infrastruktuurin häiriönsietokyvyn ja luotettavuuden näkökulmasta. Tämä pitää sisällään kriittisen infrastruktuurin ja EU:ssa yleisesti käytettyjen laitteistojen ja ohjelmistojen häiriönsietokyvyn ja luotettavuuden.  

EU-osaamiskeskuksen ja verkoston on tarkoitus auttaa EU:ta parantamaan sen kyberturvallisuustoimialan globaalia kilpailukykyä. Tarkoituksena on varmistaa, että EU:ssa on korkeat kyberturvallisuusstandardit. Kehittämistoimien myötä kyberturvallisuudesta muodostuisi kilpailuetu myös EU:n muille toimialoille. 

EU-osaamiskeskuksen avulla kootaan yhteen kyberturvallisuusalan tutkimukseen, teknologiaan ja teollisuuden kehitykseen tehtäviä investointeja ja toteutetaan kokonaisuuteen liittyviä hankkeita ja aloitteita. Tämä tehdään yhdessä verkoston kanssa.  

EU-osaamiskeskuksen tehtävänä on EU-asetuksessa säädetyllä tavalla toteuttaa erityisiä tehtäviä kyberturvallisuuden teollisuus-, teknologia- ja tutkimusalalla sekä hallinnoida kyberturvallisuuteen liittyvää rahoitusta useista ohjelmista yhtäaikaisesti, erityisesti Horisontti Euroopasta ja Digitaalinen Eurooppa –ohjelmasta ja mahdollisesti myös muista EU:n ohjelmista. EU-osaamiskeskuksen olisi pantava täytäntöön Horisontti Euroopan ja Digitaalinen Eurooppa –ohjelman kyberturvallisuutta koskevat osat EU-osaamiskeskuksen monivuotisen työohjelman, vuotuisen työohjelman sekä Horisontti Euroopan strategisen suunnitteluprosessin mukaisesti myöntämällä avustuksia ja muita rahoituksen muotoja pääasiassa kilpailuun perustuvien ehdotuspyyntöjen perusteella.  

Kyberturvallisuusalan tutkimus- ja innovaatiotoimintaa tuetaan EU:n tutkimus- ja innovaatiopuiteohjelmasta. Horisontti Eurooppa –ohjelman vuosien 2021-2027 budjetti on 95,5 miljardia. Edeltävän puiteohjelman, Horisontti 2020 –ohjelman vuoden 2020 budjetista myönnettiin noin 49 miljoonaa euroa kyberturvallisuuden ja yksityisyyden suojajärjestelmiin kohdistuvan innovoinnin edistämiseen. EU:n uudessa Digitaalinen Eurooppa –ohjelmassa vuosille 2021– 2027 on varattu 1,6 miljardia euroa kyberturvallisuusvalmiuksiin ja kyberturvallisuusinfrastruktuurien ja -välineiden laajaan käyttöönottoon EU:n laajuisesti julkishallintoja, yrityksiä ja yksityishenkilöitä varten. Digitaalinen Eurooppa –ohjelman kokonaisbudjetti on noin 7,6 miljardia euroa. 

Lisäksi EU-osaamiskeskuksen tehtävänä on auttaa koordinoimaan verkostoa ja laajempaa osaamisyhteisöä kyberturvallisuusteknologiaan liittyvän agendan toteutuksessa sekä vauhdittaa EU:n, jäsenvaltioiden ja teollisuuden yhteisiä investointeja, sekä kyberturvallisuustuotteiden ja -ratkaisujen käyttöönottoa. 

Kansallisen koordinointikeskuksen nimeäminen ja tehtävät 

EU-asetuksen 6 artikla velvoittaa jäsenvaltiot kansallisen koordinointikeskuksen nimeämiseen kuuden kuukauden kuluessa asetuksen voimaantulosta. Kunkin jäsenvaltion on nimettävä yksi kansallinen koordinointikeskus, joka täyttää EU-asetuksen kriteerit kansallisena koordinointikeskuksena toimimiselle. Vaikka kansalliseksi koordinointikeskukseksi on nimettävä vain yksi taho, edellyttää EU-asetukseen perustuvien tehtävien hoitaminen tiivistä yhteistyötä eri kansallisen tason toimijoiden välillä. Keskeisiä kansallisen tason yhteistyötahoja olisivat muun muassa Business Finland, Teknologian tutkimuskeskus VTT Oy, Kyberala ry, Huoltovarmuuskeskus, Digi- ja väestötietovirasto, yliopistot ja korkeakoulut. 

Kansallisen koordinointikeskuksen on EU-asetuksessa vahvistettujen kriteereiden mukaan oltava julkisyhteisö tai oikeussubjekti, jonka enemmistöomistus on jäsenvaltiolla. Sen tulee hoitaa julkisia hallinnollisia tehtäviä kansallisen lainsäädännön nojalla ja sillä tulee olla kyky tukea EU-osaamiskeskusta ja toimia osana verkostoa niiden tavoitteiden toteuttamisessa. Lisäksi kansalliseksi koordinointikeskukseksi nimettävällä taholla on oltava käytössään kyberturvallisuusalan tutkimus- ja teknologista asiantuntemusta sekä valmiudet pitää yllä toimivia yhteyksiä elinkeinoelämään, julkiseen sektoriin, akateemiseen ja tutkimusyhteisöön, kansalaisiin sekä verkko- ja tietoturvadirektiivin ((EU) 2016/1148) mukaisesti nimettyihin viranomaisiin.  

Kansallisten koordinointikeskusten tehtävistä säädetään EU-asetuksen 7 artiklassa. Kansallisten koordinointikeskusten tehtävänä on: 

toimia yhteisön kansallisen tason yhteyspisteinä tukeakseen EU-osaamiskeskusta sen mission ja tavoitteiden saavuttamisessa, etenkin yhteisön koordinoinnissa yhteisön jäsenten niiden jäsenvaltioissa tapahtuvan koordinoinnin avulla, 

tarjota asiantuntemusta ja antaa aktiivinen panos asetuksessa säädettyihin strategisiin tehtäviin ottaen huomioon kyberturvallisuutta koskevat asiaankuuluvat kansalliset ja alueelliset haasteet eri aloilla, 

edistää, kannustaa ja helpottaa kansalaisyhteiskunnan, elinkeinoelämän, erityisesti start up- ja pk-yritysten, akateemisten ja tutkimusyhteisöjen sekä muiden sidosryhmien osallistumista rajat ylittäviin hankkeisiin kansallisella tasolla ja asiaankuuluvista unionin ohjelmista rahoitettuihin kyberturvallisuustoimiin, 

antaa teknistä apua sidosryhmille tukemalla niitä EU-osaamiskeskuksen hallinnoimien hankkeiden sovellusvaiheessa tämän mission ja tavoitteiden osalta ja noudattaen täysin moitteettoman varainhoidon sääntöjä erityisesti eturistiriitojen osalta, 

pyrkiä luomaan synergioita asiaankuuluvien kansallisten, alueellisten ja paikallisten toimien kanssa, kuten kyberturvallisuuden alan tutkimusta, kehitystä ja innovointia koskevat kansalliset politiikat, erityisesti kansallisissa kyberturvallisuusstrategioissa esitettyjen politiikkojen kanssa, 

toteuttaa erityistoimia, joihin EU-osaamiskeskus on myöntänyt avustuksia, myös antamalla varainhoitoasetuksen 204 artiklan mukaisesti rahoitustukea kolmansille osapuolille asianomaisissa avustussopimuksissa määriteltyjen ehtojen mukaisesti, 

toimia yhdessä kansallisten viranomaisten kanssa, kun on kyse mahdollisesta osallistumisesta kyberturvallisuuden koulutusohjelmien edistämiseen ja levittämiseen, sanotun kuitenkaan rajoittamatta jäsenvaltioiden toimivaltaa koulutuksen osalta ja ottaen huomioon Euroopan unionin verkko- ja tietoturvaviraston (ENISA) asiaankuuluvat tehtävät, 

tehdä tunnetuksi verkoston, yhteisön ja EU-osaamiskeskuksen työtä ja levittää sen tuloksia kansallisella, alueellisella tai paikallisella tasolla, 

arvioida sellaisten oikeussubjektien, jotka ovat sijoittautuneet samaan jäsenvaltioon kuin kansallinen koordinointikeskus, pyyntöjä liittyä yhteisöön, 

tukea ja edistää asiaankuuluvien oikeussubjektien osallistumista EU-osaamiskeskuksesta, verkostosta ja yhteisöstä johtuviin toimiin sekä seurata tarvittaessa kyberturvallisuuden tutkimukseen, kehitykseen ja käyttöönottoon osallistumisen tasoa ja julkisen rahoitustuen määrää. 

Jäsenvaltioiden nimeämät kansalliset koordinointikeskukset muodostavat verkoston, jonka tehtävänä on tukea EU-osaamiskeskusta sen tehtävien toimeenpanossa. Kukin kansallinen koordinointikeskus toimii kansallisena yhteyspisteenä ja edistää kansallisten kyberturvallisuusekosysteemien kehittymistä. Kansallinen koordinointikeskus arvioi jäsenvaltionsa toimijoiden kelpoisuutta niiden hakeutuessa osaksi yhteisöä ja edistää niiden osallistumista osaamisyhteisön tekemään yhteistyöhön. Näin muodostuvan osaamisyhteisön tehtäviin kuuluu EU-osaamiskeskuksen ja verkoston tukeminen niiden tehtävien ja tavoitteiden saavuttamisessa sekä osallistuminen verkoston edistämien toimenpiteiden toteuttamiseen. 

Kyberturvallisuuskeskukselle nimeämisen myötä tulevia uusia tehtäviä olisivat erityisesti kansallisen tason kyberturvallisuusalan sidosryhmistä koottavan yhteisön rakentamiseen, koordinointiin ja osaamisyhteisön kansallisen tason yhteyspisteenä toimimiseen liittyvät tehtävät. Keskeisimpien kansallisen tason toimijoiden välinen tiivis yhteistyö edesauttaa osaltaan kansalliselle koordinointikeskukselle säädettyjen tehtävien hoitamista. 

Erityisesti EU:n kyberturvallisuuteen liittyvien rahoitushakujen laadukkaaseen neuvontaan olisi varmistettava toimiva yhteistyö ja tiedonkulku Horisontti Eurooppa – ja Digitaalinen Eurooppa -ohjelmien vastuutahojen kesken, välttäen samalla päällekkäisyyttä ja vahvistaen toimijoiden osaamista. 

Nykytila ja sen arviointi

Suomi on tunnettu korkeasta kyberturvallisuusosaamisestaan. Kaiken Suomesta löytyvän kyberturvallisuusosaamisen valjastaminen käyttöön on tärkeää, jotta nopeasti kehittyvässä digitaalisessa toimintaympäristössä tapahtuviin muutoksiin ja haasteisiin kyetään vastaamaan. Tämä edellyttää uusiin toimintamahdollisuuksiin tarttumista. Yhteiskunnan eri sektorit ovat yhä riippuvaisempia digitaalisista palveluista, jotka puolestaan tarvitsevat toimiakseen luotettavia yhteyksiä ja tietojärjestelmiä. Kyberturvallisuus on digitaalisessa yhteiskunnassa perusedellytys palveluiden laadulle ja turvallisuudelle. Suomessa onkin viime vuosina tehty ansiokkaasti töitä kyberturvallisuuden vahvistamiseksi.  

Suomen kyberturvallisuusstrategiassa 2019 asetetaan keskeisimmät tavoitteet kybertoimintaympäristön kehittämiseksi ja siihen liittyvien elintärkeiden toimintojen turvaamiseksi. Kyberstrategian seurauksena liikenne- ja viestintäministeriössä on laadittu vuonna 2020 aloittaneen kyberturvallisuusjohtajan johdolla kyberturvallisuuden kehittämisohjelma. Valtioneuvoston kesäkuussa 2021 vahvistaman kyberturvallisuuden kehittämisohjelman on tarkoitus ohjata kyberturvallisuuden pitkän tähtäimen kehitystä. Sen keskiössä ovat muun muassa kyberosaamisen parantaminen, toimenpiteet kotimaisen kyberturvateollisuuden tukemiseksi ja yhteistyön tiivistäminen erityisesti julkishallinnon ja elinkeinoelämän välillä.  

Kyberosaamisen parantamisella tavoitellaan kansalaisten kyberturvataitojen saattamista hyvälle tasolle ja suomalaisten kyberturvallisuuden huippuosaajien kyvykkyyksien kehittämistä. Tämä tarkoittaa kyberturvallisuuden ottamista mukaan eri kouluasteissa. Ohjelmassa esitetään toimenpiteitä myös kotimaisen kyberturvateollisuuden tukemiseksi. Kyberturvateollisuuden syntyminen edellyttää kehittämisohjelman muiden osatekijöiden toimivuutta, ja edistää toisaalta samanaikaisesti digitaalisen tietoyhteiskunnan kehittymistä. Kyberturvallisuuden kehittämisohjelmassa ehdotetaan yhteistyön tiivistämistä esimerkiksi tutkimus- ja kehittämistoiminnan saralla. Lisäksi ohjelma lisäisi suomalaisten aktiivista osallistumista ja vaikuttamista kansainvälisillä foorumeilla sekä tiiviimpää yhteistyötä kansainvälisten kyberturvallisuustoimijoiden kanssa. Ohjelmassa kiinnitetään huomiota myös viranomaisten kykyyn toimia tarkoituksenmukaisesti kyberturvallisuuden takaamiseksi. Tämä pitää sisällään viranomaisten varautumisen ja kyberturvallisuuden havainnointikyvyn kehittämisen edelleen.  

Suomen kyberturvallisuusstrategia 2019 ja kyberturvallisuuden kehittämisohjelma osoittavat, että Suomessa on kysyntää EU-asetuksella edistettäville tavoitteille. EU-asetuksessa kyberturvallisuusalan teollisuusteknologioiden, tutkimuksen ja innovoinnin edistämiseksi säädetyt tehtävät edistävät samalla kansallisen kyberturvallisuusstrategian ja kyberturvallisuuden kehittämisohjelman tavoitteita. 

Kyberturvallisuuskeskus hoitaa jo tällä hetkellä monia tehtäviä, jotka ovat vastaavanlaisia kuin EU-asetuksessa kansallisille koordinointikeskuksille säädetyt tehtävät. Kyberturvallisuuskeskus kerää jo nykyisin ennakointimielessä ja teknologisen asiantuntemuksen varmistamiseksi tietoa kyberturvallisuusalan teollisuudesta ja tutkimuksesta verkosto-, kokeilu- ja innovaatiotoiminnan avulla. Kyberturvallisuuskeskuksella on kokemusta yhteisistä tutkimus- ja kehittämishankkeista akateemisen ja yrityssektorin kanssa. Kyberturvallisuuskeskus ylläpitää teknologista osaamista osallistumalla tietoturvallisuuden standardointiin muun muassa eurooppalaisen telealan standardisoimisjärjestön (European Telecommunications Standards Institute, ETSI) puitteissa. Lisäksi Kyberturvallisuuskeskus ylläpitää kriittisen infrastruktuurin kyberturvallisuuskyvykkyyksien tilannekuvaa.  

Kyberturvallisuuskeskus käy aktiivista vuoropuhelua kansallisen kyberturvallisuusteollisuuden kanssa. Myös Kyberturvallisuuskeskuksen kansainväliset verkostot ja yhteydet eri valtioiden tietoturvaloukkausten ennaltaehkäisyn, havainnoinnin ja niistä tiedottamisen parissa toimiviin CERT-toimijoihin (Computer Emergency Response Team) sekä ENISA:an tukevat teknologisen asiantuntemuksen ylläpitoa. 

EU-asetuksen mukaisena kansallisena koordinointikeskuksena toimiminen toisi Kyberturvallisuuskeskukselle sen jo nykyisin hoitamien tehtävien lisäksi uusia tehtäviä. 

Ehdotukset ja niiden vaikutukset

4.1  Keskeiset ehdotukset

Esityksellä pantaisiin täytäntöön EU-asetuksessa jäsenvaltioille asetettu velvoite nimetä kansallinen koordinointikeskus. Kansallisen koordinointikeskuksen tehtävät sijoittuvat ministeriöiden arvion mukaan luontevimmin Kyberturvallisuuskeskukseen. Nimeäminen toteutettaisiin muuttamalla Liikenne- ja viestintävirastosta annettua lakia ja sähköisen viestinnän palveluista annettua lakia. Liikenne- ja viestintävirastosta annetun lain 3 §:ssä säädetään Kyberturvallisuuskeskuksen tehtävistä. Myös sähköisen viestinnän palveluista annetussa laissa on säännöksiä Liikenne- ja viestintäviraston tehtävistä, ja sen 304 §:ssä säädetään viraston erityisistä tehtävistä. Velvollisuus toimia EU-asetuksen mukaisena kansallisena koordinointikeskuksena lisättäisiin Liikenne- ja viestintävirastosta annetun lain 3 §:n viraston kyberturvallisuuskeskuksen tehtäviin ja sähköisen viestinnän palveluista annetun lain 304 §:n Liikenne- ja viestintäviraston erityisiin tehtäviin lisättäisiin velvollisuus hoitaa EU-asetuksessa tarkoitetun kansallisen koordinointikeskuksen tehtäviä.  

EU-asetuksessa säädettyjen tehtävien tarkoituksenmukainen hoitaminen edellyttää yhteistyötä eri kansallisen tason toimijoiden välillä. Keskeisiä yhteistyötahoja olisivat muun muassa Business Finland, Teknologian tutkimuskeskus VTT Oy, Kyberala ry, Huoltovarmuuskeskus, Digi- ja väestötietovirasto, yliopistot ja korkeakoulut. Kyberturvallisuuskeskus voisi kansallisena koordinointikeskuksena toimiessaan hyödyntää käytännön toiminnassaan myös muiden kansallisten toimijoiden osaamista. Näin saataisiin valjastettua Suomesta löytyvä osaaminen mahdollisimman tarkoituksenmukaisella ja tehokkaalla tavalla uusien yritysten syntymisen tukemiseksi ja kokonaisen kyberturvallisuusklusterin rakentamiseksi. 

4.2  Pääasialliset vaikutukset

4.2.1  Taloudelliset vaikutukset

Kyberturvallisuuskeskukselle nimeämisen myötä tulevia uusia tehtäviä olisivat erityisesti kansallisen kyberturvallisuusyhteisön rakentamiseen, koordinointiin ja osaamisyhteisön kansallisen tason yhteyspisteenä toimimiseen liittyvät tehtävät. Kansallisen koordinointikeskuksen keskeisimpiin tehtäviin kuuluu pysyvien rakenteiden luominen yksityisen sektorin ja julkisen sektorin yhteistyölle. Pysyvillä rakenteilla varmistetaan vahvat yhteydet yritys- ja tutkimusmaailmaan sekä edistetään suomalaisten toimijoiden kyberturvallisuusvalmiuksia, uusia liiketoimintamahdollisuuksia ja osallistumista EU-tason kyberturvallisuushankkeisiin. Tutkimuksen edistämisen ohella tavoitellaan suomalaisia patentteja, osaamista suomalaisten start up-yritysten perustamisesta osaksi kyberturvallisuusekosysteemiä sekä suomalaisen vientiteollisuuden tukemista. EU:n kyberturvallisuusmarkkinoiden arvo on yli 130 miljardia euroa ja markkinoiden odotetaan kasvavan 17 prosentin vuosivauhtia. 

Kyberturvallisuuskeskuksen nimeämisellä kansalliseksi koordinointikeskukseksi olisi vaikutuksia julkiseen talouteen. Kyberturvallisuuskeskuksen uusista tehtävistä aiheutuisi uusia määrärahatarpeita, joita ei voida kattaa Liikenne- ja viestintäviraston nykyisistä määrärahoista. Nykyiset määrärahat on mitoitettu Liikenne- ja viestintävirastolle tällä hetkellä säädettyihin tehtäviin, eikä EU-asetuksesta seuraavien tehtävien hoitamiseen ole varattu tarvittavia resursseja. Uusien EU-asetuksesta seuraavien tehtävien hoitaminen nykyisillä resursseilla ei onnistuisi EU-asetuksen edellyttämällä tavalla ja vaarantaisi myös Liikenne- ja viestintäviraston vastuulle nykytilanteessa säädettyjen tehtävien hoitamisen, kun niitä ei enää kyettäisi hoitamaan tehtävien edellyttämällä tavalla ja olemassa olevilla resursseilla. 

Kansallinen koordinointikeskus voisi hakea EU-rahoitusta toimintaansa. Kyberturvallisuuskeskus ei kuitenkaan kansallisena koordinointikeskuksena kanavoi eikä jaa EU-rahoitusta tai osallistu päätöksentekoon EU-rahoituksen myöntämisestä. EU-asetuksen 7 artiklan f-kohdan mukaisesti toteuttaessaan erityistoimia, joihin EU-osaamiskeskus on myöntänyt avustuksia, koordinointikeskus voi myöntää osana omaa projektiaan varainhoitoasetuksen 204 artiklan mukaisesti rahoitustukea kolmansille osapuolille asianomaisissa avustussopimuksissa määriteltyjen ehtojen mukaisesti. Tämä tarkoittaa enintään 60.000 euron avustuksia kolmansille osapuolille osana projektia, johon koordinointikeskus on saanut avustuksen. 

Kansallinen koordinointikeskus voisi esimerkiksi hakea perustamistaan ja toimintaansa varten kahdelle ensimmäiselle vuodelle rahoitusta Digitaalinen Eurooppa –ohjelmasta enimmillään miljoona euroa. EU-rahoitus muodostaisi puolet (50 prosenttia) tarvittavasta rahoituksesta, joten EU:sta saatavan rahoituksen lisäksi tarvittaisiin vastaava määrä kansallista rahoitusta. Lisäksi kansallinen koordinointikeskus voisi hakea samassa haussa enimmillään miljoona euroa EU-rahoitusta tukeakseen erityisesti kyberturvallisuusratkaisujen käyttöönottamista erityisesti pienissä ja keskisuurissa yrityksissä. Tähän valinnaiseen lisärahoitukseen sovelletaan EU-asetuksen 7 artiklan f –kohdan mukaista menettelyä. Myös tämän EU –rahoitusosuuden hakeminen edellyttäisi vastaavaa määrää kansallista rahoitusta.  

Digitaalinen Eurooppa –ohjelman tarkempia avoimia hakuja kuvaavat työohjelmat ovat kaksivuotisia. Ohjelmakauden seuraavien työohjelmien valmistelussa komissiolla on mahdollisuus avata uusia koordinointikeskuksen toimintaa tukevia hakuja. Koska EU-osaamiskeskuksen ja verkoston on tarkoitus muodostaa pysyvä, EU-asetukseen perustuva rakenne, voidaan EU-rahoitusta odottaa olevan haettavissa myös tulevien työohjelmien aikana. 

Toiminnan käynnistämiseen on tarkoitus alkuvaiheessa ohjata rahoitusta Liikenne- ja viestintäviraston toimintamenolisäyksistä. Säädettyjen tehtävien tehokas hoitaminen edellyttäisi noin miljoonan euron jatkuvaa vuosittaista rahoitusta, josta kansallista määrärahaa olisi 500.000 euroa. Henkilöstökulujen osuus vuosittaisesta kokonaisrahoitustarpeesta olisi 650.000 euroa ja matkakulujen sekä muiden kansallisen koordinointikeskuksen toiminnalle välttämättömien kulujen osuus 350.000 euroa. Arvio perustuu Liikenne- ja viestintäviraston näkemykseen EU-asetuksesta seuraavien tehtävien hoitamisesta aiheutuvista kustannuksista sekä kokemukseen tutkimus- ja kehittämistoiminnasta sekä kansainvälisistä hankkeista. Kansallisen rahoituksen puuttuminen tarkoittaisi sitä, ettei EU-rahoitusta päästäisi hyödyntämään lainkaan, sillä EU-rahoituksen hakemisen edellytykseksi on asetettu 50 prosentin kansallinen omarahoitusosuus. 

Myös kansallisen koordinointikeskuksen mahdollisuus hakea samassa haussa enimmillään miljoona euroa EU-rahoitusta tukeakseen kyberturvallisuusratkaisujen käyttöönottamista (erityisesti pienissä ja keskisuurissa yrityksissä) edellyttää 50 prosentin omarahoitusosuutta. Kansalliselle koordinointikeskukselle kuuluvien EU-rahoitusohjelmien mukaisten rahoitusinstrumenttien kansallisiin omarahoitusosuuksiin olisi palattava erikseen tulevaisuudessa. 

4.2.2  Vaikutukset viranomaisten toimintaan

Esityksessä ehdotettu Kyberturvallisuuskeskuksen nimeäminen EU-asetuksen mukaiseksi kansalliseksi koordinointikeskukseksi laajentaisi Liikenne- ja viestintäviraston tehtäviä. Tehtävät sijoittuisivat Liikenne ja viestintäviraston kyberturvallisuuskeskukseen. Osa tehtävistä olisi kokonaan uusia ja osa sellaisia, joita vastaavia tehtäviä virastossa hoidetaan jo nykyisin.  

Uudet EU-asetukseen perustuvat tehtävät lisäävät Kyberturvallisuuskeskuksen työmäärää. Työmäärään vaikuttaa erityisesti EU-asetuksella perustettavan EU-osaamiskeskuksen kulloinenkin työohjelma. Kyberturvallisuuskeskuksen uusia EU-asetukseen perustuvia tehtäviä olisivat erityisesti kansallisen kyberturvallisuusyhteisön rakentamiseen, koordinointiin ja osaamisyhteisön kansallisen tason yhteyspisteenä toimimiseen liittyvät tehtävät.  

Kansallisen koordinointikeskuksen toiminnan käynnistäminen Kyberturvallisuuskeskuksessa edellyttää lisäresursseja ja osaamista, jotta Kyberturvallisuuskeskuksen olemassa olevien tehtävien hoitaminen ei vaarantuisi EU-asetuksen mukaisten uusien tehtävien hoitamisesta. EU-asetuksessa säädettyjen tehtävien hoitamiseksi on kehitettävä tarvittavat menettelytavat ja sidosryhmäyhteistyötä. Tässä vaiheessa EU-asetuksen vähimmäisvaatimukset toteutettaisiin yhdellä tai kahdella henkilötyövuodella. Näillä resursseilla jäävät tietoyhteiskunnalle odotettavissa olevat hyödyt ja EU-asetuksen mukanaan tuoma lisäarvo yritystoiminnan kiihdyttämiselle kuitenkin saavuttamatta. 

Kyberturvallisuuskeskus arvioi EU-asetuksesta seuraavien tehtävien hoitamisen ja sen myötä saavutettavissa olevan lisäarvon tuottamisen edellyttävän viiden henkilötyövuoden panosta. Tarvittavat viisi henkilötyövuotta jakautuisivat seuraavasti: 

kyberturvallisuusalan tutkimuksen ja innovoinnin, sekä teollisen, teknologisen ja tutkimuskapasiteetin, -valmiuksien ja –infrastruktuurin kehittäminen (1 htv), 

kyberturvallisuustuotteiden, -palveluiden ja –prosessien käyttöönoton ja markkinoille saattamisen tukeminen sekä kyberturvallisuuden loppukäyttäjäteollisuuden ja muiden loppukäyttäjien tukeminen viimeisimmän kehityksen mukaisten kyberturvallisuustuotteiden, -palveluiden ja –prosessien omaksumisessa ja integroimisessa (1 htv), 

kyberturvallisuusteollisuuden toimialan tukeminen kyberturvallisuutta koskevan huippuosaamisen, kapasiteetin ja kilpailukyvyn vahvistamiseksi sekä tuen ja teknisen avun antaminen kyberturvallisuusteollisuusalan start up-yrityksille, pienille ja keskisuurille yrityksille, mikroyrityksille, järjestöille, yksittäisille asiantuntijoille ja kansalaisteknologiahankkeille (2 htv), sekä 

strategiatehtävien hoitaminen, esimerkiksi synergioiden luominen kansallisten, alueellisten ja paikallisten toimien välillä sekä osaamiskeskuksen ja muiden eurooppalaisten verkostojen yhteydenpidon koordinointi (1 htv). 

EU-asetuksesta seuraavien tehtävien menestyksekkääseen hoitamiseen kuuluu olennaisena osana tehtäviä hoitavien henkilöiden vastuualueiden mukainen yhteydenpito EU-osaamiskeskukseen ja verkostoon. Lisäksi kansallisen koordinointikeskuksen tehtävien hoitaminen edellyttää tiivistä yhteistyötä eri kansallisen tason toimijoiden välillä. Lisäresurssit ja tiivis yhteistyö keskeisten kansallisten toimijoiden kanssa takaavat EU-asetukseen perustuvien tehtävien edellyttämän osaamistason. EU-asetukseen perustuvien tehtävien lisäresursointi varmistaa, ettei Kyberturvallisuuskeskuksen nykyisten tehtävien hoitaminen vaarannu ja että Kyberturvallisuuskeskus saa hankittua EU-asetuksesta seuraavien tehtävien edellyttämää osaamista. Samanaikaisesti lisäresursointi voidaan isossa kuvassa nähdä strategisena investointina Suomen kyberosaamisen kehittämiseen. 

Liikenne- ja viestintävirastolle EU-asetuksesta seuraavien tehtävien hoitaminen edellyttää riittävää resursointia, jotta taustalla olevien Horisontti Eurooppa –ohjelman ja Digitaalinen Eurooppa -ohjelman rahoituspotentiaali saadaan hyödynnettyä tehokkaasti. Liikenne- ja viestintäviraston kyberturvallisuuskeskuksen toiminnassa kansallisena koordinointikeskuksena on kyse EU:n asetuksesta seuraavasta uudesta velvoitteesta, jonka hoitaminen edellyttää lisää resursseja Liikenne- ja viestintävirastolle.  

Säädettyjen tehtävien tehokas hoitaminen edellyttää noin miljoonan euron jatkuvaa vuosittaista rahoitusta. Henkilöstökulujen osuus vuosittaisesta kokonaisrahoitustarpeesta olisi 650.000 euroa ja matkakulujen sekä muiden kansallisen koordinointikeskuksen toiminnalle välttämättömien kulujen osuus 350.000 euroa. Arvio rahoitustarpeesta perustuu EU-asetuksesta seuraavien tehtävien hoitamisesta aiheutuviin kustannuksiin sekä Liikenne- ja viestintäviraston kokemukseen tutkimus- ja kehittämistoiminnan sekä kansainvälisten hankkeiden kustannuksista.  

Kansallinen koordinointikeskus on ennen kaikkea strateginen investointi kyvykkyyksien kehittämiseen. Näin ollen koordinointikeskuksen toiminta edellyttää pitkäjänteistä kansallista rahoituspohjaa, jota EU:sta haettava rahoitus täydentää. Kansallinen koordinointikeskus voisi hakea perustamistaan ja toimintaansa varten kahdelle ensimmäiselle vuodelle rahoitusta Digitaalinen Eurooppa –ohjelmasta enimmillään miljoona euroa. EU-rahoitus muodostaisi puolet (50 prosenttia) tarvittavasta rahoituksesta, joten EU:sta saatavan rahoituksen lisäksi tarvitaan vastaava määrä kansallista rahoitusta. 

4.2.3  Tietoyhteiskuntavaikutukset

Ehdotetun sääntelyn tavoitteena on edistää vahvaa eurooppalaista kyberturvallisuusekosysteemiä ja tuoda yhteen asiaankuuluvat sidosryhmät. Ehdotetulla sääntelyllä on myönteisiä vaikutuksia kattavan kansallisen kyberturvallisuusekosysteemin kehittämiselle. Uudet tehtävät vahvistaisivat Kyberturvallisuuskeskuksen roolia suomalaisen kyberturvallisuuteen perustuvan elinkeinotoiminnan tukemisessa. Kyberturvallisuuskeskus tukisi osaltaan uusien yritysten syntymistä ja kokonaisen kyberturvallisuusklusterin rakentumista Suomeen. Mikäli EU-asetukseen perustuville tehtäville ei osoiteta lisärahoitusta, jäävät tietoyhteiskunnalle odotettavissa olevat hyödyt ja EU-asetuksen mukanaan tuoma lisäarvo yritystoiminnan kiihdyttämiselle kuitenkin saavuttamatta. 

Ehdotettu sääntely tukee myös kyberturvallisuuden kehittämisohjelmasta annetussa periaatepäätöksessä esitettyjä teemoja. Näitä teemoja on avattu tarkemmin esityksen nykytilaa käsittelevässä osiossa. Lisäksi ehdotettu sääntely tukee valtioneuvoston periaatepäätöstä tietoturvan ja tietosuojan parantamiseksi yhteiskunnan kriittisillä toimialoilla (Valtioneuvoston periaatepäätös LVM/2021/44) erityisesti kyberosaamisen tason nostamisen näkökulmasta. 

Muut toteuttamisvaihtoehdot

5.1  Vaihtoehdot ja niiden vaikutukset

Kunkin jäsenvaltion on nimettävä yksi taho kansalliseksi koordinointikeskukseksi. EU-asetus jättää kuitenkin jäsenvaltioille kansallista liikkumavaraa kansallisten koordinointikeskusten nimeämisen suhteen.  

Vaihtoehtoina Kyberturvallisuuskeskuksen nimeämiselle EU-asetuksessa tarkoitetuksi kansalliseksi koordinointikeskukseksi harkittiin Business Finlandin tai Teknologian tutkimuskeskus VTT Oy:n nimeämistä kyseiseen tehtävään. Business Finlandin ja Teknologian tutkimuskeskus VTT Oy:n vahvuuksiin lukeutuvat kokemus kansallisten ja kansainvälisten hankkeiden muodostamisesta, kokemus ja osaaminen EU-rahoituksesta sekä niiden yhteydet elinkeinoelämään.  

Vaihtoehtoja pohdittaessa päädyttiin siihen, että Kyberturvallisuuskeskuksella on parhaat edellytykset toimia EU-asetuksen mukaisena kansallisena koordinointikeskuksena. Valinnan puolesta puhuvat kattavan kansallisen kyberturvallisuusekosysteemin kehittämistä edistävät synergiaedut, joita Kyberturvallisuuskeskuksella on sen nykyiset tehtävät huomioon ottaen esillä olleista nimeämisvaihtoehdoista eniten. Uudet tehtävät vahvistaisivat entisestään Kyberturvallisuuskeskuksen keskeistä roolia suomalaisen kyberturvallisuuteen perustuvan elinkeinotoiminnan tukemisessa ja tiivistäisivät yhteistyötä tutkimus- ja kehittämistoiminnan saralla. Kyberturvallisuuskeskuksen valinta edistäisi kyberturvallisuusklusterin rakentumista Suomeen, auttaisi synnyttämään markkinoille uusia kyberturvallisuuteen toimintansa perustavia yrityksiä sekä vahvistaisi yritysten ja muiden toimijoiden kyberturvallisuusosaamista. Lisäksi Kyberturvallisuuskeskuksen jo nykyisin hyvät yhteydet EU:n eri jäsenvaltioissa toimiviin kyberturvallisuustoimijoihin vahvistuisivat entisestään. 

5.2  Muiden jäsenvaltioiden suunnittelemat tai toteuttamat keinot

Kattavia tietoja muiden EU-jäsenvaltioiden suunnitelmista kansallisten koordinointikeskusten nimeämisen osalta ei toistaiseksi ole saatavilla. Alustavia näkemyksiä kansallisten koordinointikeskusten nimeämisestä on kuitenkin vaihdettu kahdenvälisissä tapaamisissa, komission järjestämissä ja tukemissa tilaisuuksissa sekä huhtikuussa 2021 ja heinäkuussa 2021 kokoontuneen EU-osaamiskeskuksen varjojohtokunnan kokouksissa.  

Tapaamisten perusteella muodostuneen käsitykseen mukaan myös muissa jäsenvaltioissa on tehty suunnitelmia kansallisten kyberturvallisuuskeskusten nimeämisestä kansallisiksi koordinointikeskuksiksi. Nimeämisprosessit ovat kuitenkin eri jäsenvaltioissa siinä määrin keskeneräisiä, ettei eri jäsenvaltioiden esittämistä tahoista voida varmuudella antaa tarkkoja tietoja. 

Lausuntopalaute

Lausunnon antoivat Ammattiliitto Pro ry, Business Finland Oy, Elinkeinoelämän keskusliitto EK, Espoon kaupunki, Helsingin yliopisto, Kyberala ry, Liikenne- ja viestintävirasto Traficom, oikeusministeriö, Oulun yliopisto, Poliisihallitus, puolustusministeriö, sisäministeriö, sosiaali- ja terveysministeriö, Suomen itsenäisyyden juhlarahasto Sitra, Tampereen yliopisto, Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry, Turun kaupunki, ulkoministeriö, valtiovarainministeriö ja ympäristöministeriö. Turun kaupunki, oikeusministeriö ja ympäristöministeriö totesivat, ettei niillä ole lausuttavaa luonnoksesta hallituksen esitykseksi. 

Pääosassa lausuntoja tuotiin kannatettavana esille Kyberturvallisuuskeskuksen nimeäminen kansalliseksi koordinointikeskukseksi. Kyberturvallisuuskeskusta pidettiin yleisesti ottaen luontevimpana vaihtoehtona kansalliseksi koordinointikeskukseksi. Lisäksi esityksen todettiin olevan linjassa kansallisten kyberturvallisuuteen liittyvien strategioiden ja ohjelmien kanssa.  

Muina potentiaalisina tahoina nostettiin esille Business Finland ja Teknologian tutkimuskeskus VTT Oy. Parissa lausunnossa kehotettiin myös harkitsemaan koordinointikeskuksen erottamista Kyberturvallisuuskeskuksen sisällä omaksi toiminnokseen. 

Lausunnoissa tuotiin esille kyberympäristössä tapahtuvan haitallisen toiminnan lisääntyminen ja kyberturvallisuuden merkityksen kasvu. Toimintaympäristöön liittyviin haasteisiin vastaamisessa ja EU-asetuksesta seuraavien tehtävien hoitamisessa nähtiin läpi lausuntojen tärkeänä eri toimijoiden välinen yhteistyö.  

Yhteistyö 

Lausunnoissa kiinnitettiin huomiota aktiivisen yhteistyön merkitykseen kyberturvallisuudessa niin kansainvälisellä tasolla EU-osaamiskeskuksen ja verkoston kanssa kuin myös kansallisella tasolla keskeisten toimijoiden välillä. Monet lausunnonantajista ilmaisivat halukkuutensa osallistua eri tasoilla tehtävään yhteistyöhön.  

Keskeisiin yhteistyötahoihin lukeutuva Business Finland korosti lausunnossaan verkostomaisen toiminnan tärkeyttä ja totesi, että julkisen sektorin tuki kyberturvayrityksille pitäisi toteuttaa päällekkäisyyksiä välttäen. Verkostomainen toimintamalli nostettiin esille myös Elinkeinoelämän keskusliiton lausunnossa keskeisenä osana elinkeinoelämän tarpeiden huomioimista. Niin ikään alan keskeisiin toimijoihin kuuluva Kyberala ry toi lausunnossaan esille, että toiminnassa tulisi nojautua Business Finlandin ja VTT:n kaltaisten toimijoiden osaamiseen. Esityksessä on näiden lausuntojen pohjalta tuotu enemmän esille keskeisten toimijoiden yhteistyön merkitystä. 

EU:n rahoitusohjelmiin liittyvät tehtävät 

Business Finland ja Tampereen yliopisto toivat lausunnoissaan esille, ettei esitysluonnoksessa käytetty ilmaisu ”rahoituksen kanavointi” sovellu kuvaamaan koordinointikeskuksen tehtäviä. Esitystä on tältä osin korjattu poistamalla rahoituksen kanavointiin viittaavat ilmaisut ja lisäämällä taloudellisia vaikutuksia käsittelevään lukuun asiaa käsittelevä tarkentava kappale.  

Business Finland totesi lausunnossaan myös, että erityisesti Horisontti Eurooppa -ohjelmaan liittyvät kansalliset tehtävät vaativat syvällistä osaamista rahoituksen mekanismeista ja toteutuksesta ja siksi ohjelmaan liittyvän neuvonnan hajautusta tulisi välttää. Tähän liittyen nostettiin esille EU:n kyberturvallisuuteen liittyvien hakujen ja neuvonnan koordinaatio muiden EU –hakujen kanssa esimerkiksi aikataulujen, teemojen ja rahoituskäytäntöjen suhteen. Esityksessä on lausunnon pohjalta tuotu enemmän esille yhteistyön ja keskinäisen koordinaation merkitystä. 

Resurssit 

Lausunnoissa korostui EU-asetukseen perustuvien tehtävien riittävä resursointi. Esimerkiksi Ammattiliitto Pro ry:n lausunnon mukaan uusiin tehtäviin myönnettävien resurssien ja määrärahan riittävyyttä tulisi seurata tarkoin ja tarvittavasta lisärahoituksesta tulisi huolehtia uusien tehtävien edellyttämän työmäärän täsmentyessä.  

Lausunnoissa esitettiin, ettei uusien tehtävien rahoittaminen ole mahdollista nykyisillä määrärahoilla. Esimerkiksi Elinkeinoelämän keskusliitto nosti lausunnossaan esille, että kansallisen koordinointikeskuksen resursoinnin on oltava riittävällä, pitkäjänteisesti rakennetulla pohjalla. Suomen itsenäisyyden juhlarahasto Sitra puolestaan esitti lausunnossaan, että olemassa olevia toimivia rakenteita, osaamista ja toimijoita hyödyntämällä voitaisiin edesauttaa riittävää resursointia.  

Säännöskohtaiset perustelut

Laki Liikenne- ja viestintävirastosta 

3 §. Viraston kyberturvallisuuskeskuksen tehtävät. Pykälän 1 momenttia ehdotetaan täydennettäväksi. Liikenne- ja viestintäviraston kyberturvallisuuskeskuksen tehtäviin ehdotetaan lisättäväksi velvollisuus toimia Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta annetun asetuksen (EU) 2021/887 6 artiklan mukaisena kansallisena koordinointikeskuksena. Velvollisuus toimia asetuksen mukaisena kansallisena koordinointikeskuksena lisättäisiin momenttiin. 

Ehdotetun muutoksen mukaan Kyberturvallisuuskeskuksen tehtävänä olisi toimia Euroopan unionissa annetun Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta annetun asetuksen (EU) 2021/887 6 artiklan mukaisena kansallisena koordinointikeskuksena. Kyberturvallisuuskeskus toimisi kansallisena yhteyspisteenä, joka hoitaisi kansallisille koordinointikeskuksille EU-asetuksessa säädettyjä tehtäviä ja tarjoaisi asiantuntemustaan EU-asetuksella perustettavan EU-osaamiskeskuksen ja osaamisyhteisön käyttöön. Tehtävät tulevat suoraan EU-asetuksesta. 

EU-asetuksen 7 artiklan mukaan kansallisen koordinointikeskuksen tehtävänä on toimia yhteisön kansallisen tason yhteyspisteenä tukeakseen EU-osaamiskeskusta sen mission ja tavoitteiden saavuttamisessa, etenkin yhteisön koordinoinnissa yhteisön jäsenten niiden jäsenvaltioissa tapahtuvan koordinoinnin avulla. Koordinointikeskus tarjoaa asiantuntemusta ja antaa aktiivisen panoksen EU-asetuksessa säädettyihin strategisiin tehtäviin ottaen huomioon kyberturvallisuutta koskevat asiaankuuluvat kansalliset ja alueelliset haasteet eri aloilla, sekä edistää, kannustaa ja helpottaa kansalaisyhteiskunnan, elinkeinoelämän, erityisesti start up- ja pienten ja keskisuurten yritysten, akateemisten ja tutkimusyhteisöjen sekä muiden sidosryhmien osallistumista rajat ylittäviin hankkeisiin kansallisella tasolla ja asiaankuuluvista unionin ohjelmista rahoitettuihin kyberturvallisuustoimiin. 

Koordinointikeskuksen tehtäviin kuuluu antaa teknistä apua sidosryhmille tukemalla niitä EU-osaamiskeskuksen hallinnoimien hankkeiden sovellusvaiheessa tämän mission ja tavoitteiden osalta ja noudattaen täysin moitteettoman varainhoidon sääntöjä erityisesti eturistiriitojen osalta. Koordinointikeskus pyrkii luomaan synergioita asiaankuuluvien kansallisten, alueellisten ja paikallisten toimien kanssa, kuten kyberturvallisuuden alan tutkimusta, kehitystä ja innovointia koskevat kansalliset politiikat, erityisesti kansallisissa kyberturvallisuusstrategioissa esitettyjen politiikkojen kanssa. Tehtävänä on EU-asetuksen mukaan myös toteuttaa erityistoimia, joihin EU-osaamiskeskus on myöntänyt avustuksia, myös antamalla varainhoitoasetuksen 204 artiklan mukaisesti rahoitustukea kolmansille osapuolille asianomaisissa avustussopimuksissa määriteltyjen ehtojen mukaisesti.  

Koordinointikeskus toimii yhdessä kansallisten viranomaisten kanssa, kun on kyse mahdollisesta osallistumisesta kyberturvallisuuden koulutusohjelmien edistämiseen ja levittämiseen, sanotun kuitenkaan rajoittamatta jäsenvaltioiden toimivaltaa koulutuksen osalta ja ottaen huomioon ENISA:n asiaankuuluvat tehtävät. Lisäksi koordinointikeskus tekee tunnetuksi verkoston, yhteisön ja EU-osaamiskeskuksen työtä ja levittää sen tuloksia kansallisella, alueellisella tai paikallisella tasolla, sekä arvioi sellaisten oikeussubjektien, jotka ovat sijoittautuneet samaan jäsenvaltioon kuin kansallinen koordinointikeskus, pyyntöjä liittyä yhteisöön. Koordinointikeskus tukee ja edistää asiaankuuluvien oikeussubjektien osallistumista EU-osaamiskeskuksesta, verkostosta ja yhteisöstä johtuviin toimiin sekä seuraa tarvittaessa kyberturvallisuuden tutkimukseen, kehitykseen ja käyttöönottoon osallistumisen tasoa ja julkisen rahoitustuen määrää.  

Uusilla tehtävillä edistettäisiin kyberturvallisuusalan toimijoiden välisiä synergioita ja suomalaisen kyberturvallisuusekosysteemin kehittymistä. 

Koska kyseessä on EU:n asetus, joka on suoraan sovellettavaa oikeutta, ei EU-asetukseen perustuvia tehtäviä lueteltaisi pykälässä. Tehtävä on uusi. Perustuslain 2 §:n 3 momentin nojalla julkisen vallan käytön tulee perustua lakiin, joten tehtävän osoittamisesta Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselle tulee säätää kansallisesti. 

Asiallisesti vastaavan sisältöinen muutos on perusteltua tehdä myös sähköisen viestinnän palveluista annettuun lakiin, joten kyseisen lain muutosesitys sisältyy tähän esitykseen. 

Muilta osin pykälä jää ennalleen. 

Laki sähköisen viestinnän palveluista 

304 §. Liikenne- ja viestintäviraston erityiset tehtävät. Pykälän 1 momentin 17 kohtaan ehdotetaan lisättäväksi puolipiste, koska momenttiin ehdotetaan uutta kohtaa. Kyseessä on lakitekninen muutos.  

Pykälän 1 momenttiin ehdotetaan lisättäväksi uusi 18 kohta. Liikenne- ja viestintäviraston erityisiin tehtäviin ehdotetaan lisättäväksi velvollisuus hoitaa Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2021/887 6 artiklassa tarkoitetun kansallisen koordinointikeskuksen tehtäviä. Velvollisuus hoitaa EU-asetuksen mukaisia tehtäviä lisättäisiin pykälään. 

Ehdotetun 18 kohdan mukaan Liikenne- ja viestintäviraston tehtävänä olisi hoitaa Euroopan unionissa annetun Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta annetun asetuksen (EU) 2021/887 6 artiklassa tarkoitetun kansallisen koordinointikeskuksen tehtäviä. Tehtävät tulevat suoraan kyseisestä EU-asetuksesta.  

EU-asetuksen 7 artiklan mukaan kansallisen koordinointikeskuksen tehtävänä on toimia yhteisön kansallisen tason yhteyspisteenä tukeakseen EU-osaamiskeskusta sen mission ja tavoitteiden saavuttamisessa, etenkin yhteisön koordinoinnissa yhteisön jäsenten niiden jäsenvaltioissa tapahtuvan koordinoinnin avulla. Koordinointikeskus tarjoaa asiantuntemusta ja antaa aktiivisen panoksen asetuksessa säädettyihin strategisiin tehtäviin ottaen huomioon kyberturvallisuutta koskevat asiaankuuluvat kansalliset ja alueelliset haasteet eri aloilla, sekä edistää, kannustaa ja helpottaa kansalaisyhteiskunnan, elinkeinoelämän, erityisesti start up- ja pienten ja keskisuurten yritysten, akateemisten ja tutkimusyhteisöjen sekä muiden sidosryhmien osallistumista rajat ylittäviin hankkeisiin kansallisella tasolla ja asiaankuuluvista unionin ohjelmista rahoitettuihin kyberturvallisuustoimiin. 

Koordinointikeskuksen tehtäviin kuuluu antaa teknistä apua sidosryhmille tukemalla niitä EU-osaamiskeskuksen hallinnoimien hankkeiden sovellusvaiheessa tämän mission ja tavoitteiden osalta ja noudattaen täysin moitteettoman varainhoidon sääntöjä erityisesti eturistiriitojen osalta. Koordinointikeskus pyrkii luomaan synergioita asiaankuuluvien kansallisten, alueellisten ja paikallisten toimien kanssa, kuten kyberturvallisuuden alan tutkimusta, kehitystä ja innovointia koskevat kansalliset politiikat, erityisesti kansallisissa kyberturvallisuusstrategioissa esitettyjen politiikkojen kanssa. Tehtävänä on EU-asetuksen mukaan myös toteuttaa erityistoimia, joihin EU-osaamiskeskus on myöntänyt avustuksia, myös antamalla varainhoitoasetuksen 204 artiklan mukaisesti rahoitustukea kolmansille osapuolille asianomaisissa avustussopimuksissa määriteltyjen ehtojen mukaisesti.  

Koordinointikeskus toimii yhdessä kansallisten viranomaisten kanssa, kun on kyse mahdollisesta osallistumisesta kyberturvallisuuden koulutusohjelmien edistämiseen ja levittämiseen, sanotun kuitenkaan rajoittamatta jäsenvaltioiden toimivaltaa koulutuksen osalta ja ottaen huomioon ENISA:n asiaankuuluvat tehtävät. Lisäksi koordinointikeskus tekee tunnetuksi verkoston, yhteisön ja EU-osaamiskeskuksen työtä ja levittää sen tuloksia kansallisella, alueellisella tai paikallisella tasolla, sekä arvioi sellaisten oikeussubjektien, jotka ovat sijoittautuneet samaan jäsenvaltioon kuin kansallinen koordinointikeskus, pyyntöjä liittyä yhteisöön. Koordinointikeskus tukee ja edistää asiaankuuluvien oikeussubjektien osallistumista EU-osaamiskeskuksesta, verkostosta ja yhteisöstä johtuviin toimiin sekä seuraa tarvittaessa kyberturvallisuuden tutkimukseen, kehitykseen ja käyttöönottoon osallistumisen tasoa ja julkisen rahoitustuen määrää.  

Uusilla tehtävillä edistettäisiin kyberturvallisuusalan toimijoiden välisiä synergioita ja suomalaisen kyberturvallisuusekosysteemin kehittymistä.  

Ehdotettu 18 kohta täydentää Liikenne- ja viestintävirastosta annetun lain 3 §:ä viraston kyberturvallisuuskeskuksen tehtävistä, joihin ehdotetaan lisättäväksi asetuksen mukaisena kansallisena koordinointikeskuksena toimiminen. 

Koska kyseessä on EU:n asetus, joka on suoraan sovellettavaa oikeutta, ei EU-asetukseen perustuvia tehtäviä lueteltaisi pykälässä. Tehtävä on uusi. Perustuslain 2 §:n 3 momentin nojalla julkisen vallan käytön tulee perustua lakiin, joten tehtävän osoittamisesta Liikenne- ja viestintävirastolle tulee säätää kansallisesti. 

Muilta osin pykälä jää ennalleen. 

Voimaantulo

EU-asetuksessa säädetään, että jäsenvaltioiden on nimettävä kansalliset koordinointikeskukset kuuden kuukauden kuluessa EU-asetuksen voimaantulosta. EU-asetus tuli voimaan 28.6.2021.  

Ehdotetaan, että laki tulee voimaan viimeistään 28.12.2021.  

Toimeenpano ja seuranta

EU-asetuksessa säädetään EU-osaamiskeskuksen johtokunnasta, jonka tehtäviin kuuluu esimerkiksi EU-osaamiskeskuksen työohjelman täytäntöönpanon seuranta. Johtokuntaan on nimetty jäsen liikenne- ja viestintäministeriöstä ja varajäsen työ- ja elinkeinoministeriöstä. Lisäksi Horisontti Eurooppa – ja Digitaalinen Eurooppa –ohjelmilla on neuvoa-antavat komiteat, jotka osallistuvat komission johdolla ohjelmien kaksivuotisten työohjelmien valmisteluun. Komiteajäseninä toimivat ministeriöiden, Business Finlandin ja Suomen Akatemian asiantuntijat. 

EU-asetuksen seurannasta, arvioinneista ja uudelleentarkastelusta säädetään 38 artiklassa. EU-osaamiskeskuksen on varmistettava, että sen toimia, myös kansallisten koordinointikeskusten ja verkoston kautta hallinnoituja toimia, seurataan jatkuvasti ja järjestelmällisesti. EU-asetuksesta seuraa, että niitä arvioidaan määräajoin. EU-osaamiskeskuksen on varmistettava, että työohjelman toteuttamisessa ja tulosten seurannassa käytettävät tiedot kerätään tehokkaasti, tuloksellisesti ja oikea-aikaisesti. Sen on lisäksi asetettava EU:n varojen saajille ja jäsenvaltioille oikeasuhteiset raportointivaatimukset. Arvioinnin päätelmät julkistetaan.  

Komissio valmistelee täytäntöönpanokertomuksen EU-osaamiskeskuksen toimista heti kun EU-asetuksen täytäntöönpanosta on saatavilla riittävästi tietoa. Komissio toimittaa kyseisen täytäntöönpanokertomuksen Euroopan parlamentille ja neuvostolle viimeistään 30.6.2024. Kertomuksen laatimista varten toimitetaan tarvittavat tiedot EU-osaamiskeskuksen ja jäsenvaltioiden toimesta.  

10  Suhde perustuslakiin ja säätämisjärjestys

Perustuslain 2 §:n 3 momentissa asetetaan julkisen vallan lakisidonnaisuus ja lainalaisuus. Sen mukaan julkisen vallan käytön tulee perustua lakiin. Kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Perustuslain 119 §:ssä säädetään valtionhallinnosta. Valtionhallinnon toimielinten yleisistä perusteista on säädettävä lailla, jos niiden tehtäviin kuuluu julkisen vallan käyttöä. 

Koska viranomaisten toimivallasta tulee säätää laissa (esim. PeVL 72/2014 vp), ehdotetaan Kyberturvallisuuskeskuksen nimeäminen kansalliseksi koordinointikeskukseksi lisättäväksi Liikenne- ja viestintävirastosta annetun lain 3 §:n 1 momenttiin. Lisäksi ehdotetaan Liikenne- ja viestintävirastolle asetettavan velvollisuuden hoitaa asetuksen mukaisia tehtäviä lisäämistä sähköisen viestinnän palveluista annetun lain 304 §:n 1 momenttiin uutena 18 kohtana.  

Koska kyseessä on EU:n asetus, joka on jäsenvaltioissa suoraan sovellettavaa oikeutta, ei Liikenne- ja viestintävirastolle EU-asetuksessa säädettyjä tehtäviä lueteltaisi pykälässä. Tämä vastaa aiempaa käytäntöä ja on linjassa muiden Liikenne- ja viestintävirastolle säädettyjen erityisten tehtävien kanssa. 

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. 

Ponsiosa 

Ponsi 

Koska Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta annetussa asetuksessa on säännöksiä, joita ehdotetaan pantavaksi täytäntöön lailla, annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset: 

1. Laki Liikenne- ja viestintävirastosta annetun lain 3 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan Liikenne- ja viestintävirastosta annetun lain (935/2018)3 §:n 1 momentti, seuraavasti: 
3 § Viraston kyberturvallisuuskeskuksen tehtävät 
Liikenne- ja viestintäviraston kyberturvallisuuskeskus, jäljempänä Kyberturvallisuuskeskus, tukee, ohjaa ja valvoo tietoturvallisuutta ja yksityisyyden suojan toteutumista sähköisessä viestinnässä. Se ylläpitää kansallisen kyberturvallisuuden tilannekuvaa. Kyberturvallisuuskeskuksen toiminta edistää ja varmistaa tietojärjestelmien ja tietoliikennejärjestelyiden tietoturvallisuutta. Kyberturvallisuuskeskus toimii julkisesti säännellyn satelliittipalvelun vastuuviranomaisena ja Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2021/887 6 artiklan mukaisena kansallisena koordinointikeskuksena. Lisäksi Kyberturvallisuuskeskus huolehtii viestintätoimialan varautumisesta normaaliolojen häiriötilanteisiin ja poikkeusoloihin, edistää ja valvoo sähköisen viestinnän toimintavarmuutta sekä tukee toimialallaan yhteiskunnan yleistä varautumista normaaliolojen häiriötilanteisiin ja poikkeusoloihin. 
Ponsiosa 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

2. Laki sähköisen viestinnän palveluista annetun lain 304 §:n muuttamisesta  

Eduskunnan päätöksen mukaisesti  
muutetaan sähköisen viestinnän palveluista annetun lain (917/2014) 304 §:n 1 momentin 17 kohta, sellaisena kuin se on laissa 1207/2020, sekä 
lisätään 304 §:n 1 momenttiin, sellaisena kuin se on laeissa 1003/2018, 350/2019 ja 1207/2020, uusi 18 kohta seuraavasti: 
304 § Liikenne- ja viestintäviraston erityiset tehtävät 
Sen lisäksi, mitä muualla tässä laissa säädetään, Liikenne- ja viestintäviraston tehtävänä on: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
17) pitää tarvittaessa yllä teledirektiivin 103 artiklan 2 kohdassa tarkoitettua riippumatonta vertailuvälinettä sekä hyväksyä vertailuvälineen tarjoajan hakemuksesta mainitun artiklan 3 kohdan ensimmäisen alakohdan vaatimukset täyttävä riippumaton vertailuväline; 
18) hoitaa Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2021/887 6 artiklassa tarkoitetun kansallisen koordinointikeskuksen tehtäviä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 
Helsingissä 30.9.2021 
Pääministeri Sanna Marin 
Liikenne- ja viestintäministeri Timo Harakka