Valtioneuvoston U-kirjelmä
U
102
2018 vp
Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta
Perustuslain 96 §:n 2 momentin perusteella lähetetään eduskunnalle komission 12 päivänä syyskuuta 2018 antama ehdotus Euroopan parlamentin ja neuvoston asetukseksi Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta sekä siitä laadittu muistio. 
Helsingissä 10 päivänä tammikuuta 2019 
Elinkeinoministeri
Mika
Lintilä
Kaupallinen neuvos
Antti
Eskola
MUISTIO
TYÖ- JA ELINKEINOMINISTERIÖ
EU/2018/1532
EHDOTUS EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUKSEKSI EUROOPAN KYBERTURVALLISUUDEN TEOLLISUUS-, TEKNOLOGIA- JA TUTKIMUSOSAAMISKESKUKSEN JA KANSALLISTEN KOORDINOINTIKESKUSTEN VERKOSTON PERUSTAMISESTA
1
Ehdotuksen tausta
Kyberturvallisuusympäristö muuttuu nopeasti ja siksi EU:n komissio ja Unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja antoivat syyskuussa 2017 yhteisen tiedonannon Resilienssi, pelote ja puolustus: vahvan kyberturvallisuuden rakentaminen EU:lle tarkoituksena parantaa Unionin sietokykyä, kyberpelotetta ja reagointivalmiuksia kyberhyökkäysten varalta. Tiedonannon toimenpide-ehdotuksiin sisältyivät Euroopan Unionin verkko- ja tietoturvaviraston (ENISA) vahvistaminen sekä Unionin laajuisen vapaaehtoisen kyberturvallisuuden sertifiointikehyksen luominen, jolla pyrittäisiin parantamaan tuotteiden ja palvelujen kyberturvallisuutta digitaalisessa maailmassa. Lisäksi ehdotuksiin sisältyi suunnitelma nopeasta ja koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin.  
Tiedonannossa korostettiin, että Unionin strategisten etujen mukaista on varmistaa kyberturvallisuuteen liittyvät keskeiset teknologiset valmiudet ja niiden säilyttäminen sekä valmiuksien kehittäminen digitaalisten sisämarkkinoiden turvaamiseksi. Erityisen tärkeää on kriittisten verkkojen ja tietojärjestelmien suojaaminen ja keskeisten kyberturvallisuuspalvelujen tarjoaminen. Unionin tulee voida itsenäisesti turvata digitaaliset voimavaransa ja kilpailla maailmanlaajuisilla kyberturvallisuusmarkkinoilla. 
Tällä hetkellä Unioni on kyberturvallisuustuotteiden ja -ratkaisujen nettotuoja ja suurelta osin riippuvainen Euroopan ulkopuolisista toimittajista. Maailmanlaajuiset kyberturvallisuusmarkkinat ovat suuruudeltaan noin 600 miljardia euroa, ja markkinan odotetaan kasvavan seuraavien viiden vuoden aikana keskimäärin noin 17 %, kun tarkastellaan myyntiä ja yritysten ja työpaikkojen määrää. Markkinan näkökulmasta maailman 20 johtavan kyberturvallisuusmaan joukossa on kuitenkin vain kuusi EU:n jäsenvaltiota. 
Euroopassa on paljon alaan liittyvää osaamista ja EU:ssa sijaitsee arviolta yhteensä 660 alan osaamiskeskittymää. Euroopan kyberturvallisuusalan tutkimus- ja teollisuusyhteisöjen toimet ovat kuitenkin hajanaisia ja epäyhtenäisiä ja niiltä puuttuu yhteinen missio, mikä heikentää EU:n kilpailukykyä. Myös investoinnit alalle ovat riittämättömiä eikä kyberturvallisuuden siviili- ja puolustusalojen välisiä synergioita hyödynnetä Euroopassa täysimääräisesti. 
Unioni voisi toteuttaa huomattavasti suuremman mittakaavan investointeja. Se tarvitsee kuitenkin tehokkaamman koordinaatiomekanismin, jonka avulla voidaan rakentaa pysyviä valmiuksia, yhdistää toimia, koota osaamista ja edistää sellaisten innovatiivisten ratkaisujen kehittämistä, jotka vastaavat kyberturvallisuuden teollisiin haasteisiin uusien monikäyttöteknologioiden alalla (esim. tekoäly, kvanttilaskenta, lohkoketju ja turvalliset digitaaliset identiteetit).  
Marraskuussa 2017 annetuissa neuvoston päätelmissä komissiota pyydettiin tekemään nopeasti vaikutusarviointi mahdollisista vaihtoehdoista perustaa kyberturvallisuuden osaamiskeskusten verkosto, jonka keskiössä olisi Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskus, sekä tekemään tätä koskeva säädösehdotus. 
Euroopan komissio antoi edelliseen perustuen 12.9.2018 ehdotuksen (COM(2018) 630 final) Euroopan parlamentin ja neuvoston asetukseksi, jolla perustettaisiin Euroopan kyberturvallisuuden teollisen, teknologisen ja tutkimusosaamisen osaamiskeskus ja kyberturvallisuuden kansallisten koordinointikeskusten verkosto. Näitä tukisi kyberturvallisuuden osaamisyhteisö.  
2
Ehdotuksen tavoitteet
Ehdotuksen tavoitteena on mahdollistaa entistä tehokkaammin jäsenvaltioiden kansallisten viranomaisten ja teollisuuden kyberuhkien ehkäiseminen ja koordinaatio näihin vastaamisessa sekä pääsy kyberturvallisuuden korkean laadun osaamiseen, tuotteisiin ja ratkaisuihin. Tavoitteena on erityisesti auttaa Euroopan kyberturvallisuusalan yrityksiä kehittämään ja ottamaan käyttöön uusia ja parempia kyberturvallisuustuotteita ja -ratkaisuja, tukea yrityksiä markkinoihin liittyvien esteiden poistamisessa sekä lisätä eurooppalaisten yritysten markkinaosuutta turvaamalla reilun kilpailun pelisäännöt ja avoimet markkinat. Aloite myös auttaa eri alojen yrityksiä tekemään tuotteistaan kyberturvallisempia ja kääntämään kyberturvallisuuden kilpailueduksi.  
Perustettavan keskuksen ja verkoston avulla pyritään säilyttämään ja kehittämään kyberturvallisuuden teknologista ja teollista kapasiteettia, joka on välttämätöntä Digitaalisten sisämarkkinoiden turvaamiselle. Tavoitteena on myös lisätä Unionin kyberturvallisuusteollisuuden kilpailukykyä ja edesauttaa tavoitetta luoda kybertuvallisuudesta Unionin muiden teollisuudenalojen kilpailuetu. Mekanismin avulla on mahdollista koota yhteen, jakaa ja varmistaa olemassa olevaa osaamista, mahdollistaa kustannuksiltaan mittavan infrastruktuurin yhteisinvestoinnit, edistää EU:n kyberturvallisuustuotteiden ja -ratkaisujen käyttöönottoa, toteuttaa pitkän aikavälin strategista yhteistyötä teollisuuden, tutkimusyhteisöjen ja valtioiden välillä sekä ylittää kyberturvallisuuteen liittyviä osaamiskuiluja.  
3
Asetuksella perustettavat toimijat ja verkostorakenne
Asetuksella perustettaisiin Euroopan tason osaamiskeskus, jonka tehtävinä olisi hallinnoida kyberturvallisuuteen ohjelmakaudella 2021—2027 Digitaalinen Eurooppa ja Horisontti Eurooppa -ohjelmista kohdennettavia varoja, toteuttaa näiden ohjelmien kyberturvallisuuteen liittyviä osia, auttaa koordinoimaan jäsenvaltioiden kansallisista keskuksista muodostuvaa verkostoa ja laajempaa yhteisöä kyberturvallisuusteknologiaan liittyvän agendan toteutuksessa sekä vauhdittaa EU:n, jäsenvaltioiden ja teollisuuden yhteisiä investointeja ja tuotteiden ja ratkaisujen käyttöönottoa. 
Osaamiskeskuksen tehtävänä olisi edellisten lisäksi 
• vahvistaa kyberturvallisuuteen liittyviä kyvykkyyksiä, tietoa ja infrastruktuuria teollisuuden, julkisten toimijoiden ja tutkimusyhteisöjen tukena, 
• edistää laajamittaista, huippuluokan osaamista edustavien kyberturvallisuustuotteiden ja -ratkaisujen käyttöönottoa Euroopan Unionissa, 
• tukea kyberturvallisuuteen liittyvien osaamiskuilujen vähentämistä EU:n alueella, 
• edistää kyberturvallisuuden tutkimusta ja kehitystä, 
• vahvistaa siviili- ja puolustusalan yhteistyötä kaksikäyttöteknologioiden ja niiden sovellusten aloilla, sekä 
• vahvistaa synergioita siviili- ja puolustusalojen kesken ja Euroopan puolustusrahastoon liittyen. 
Asetusehdotuksen artiklan 11 mukaan osaamiskeskuksen rakenteeseen kuuluisivat johtokunta, pääjohtaja ja neuvoa-antava teollisuus- ja tiedeneuvosto. Artiklan 15 mukaan Unionilla olisi 50 prosenttia äänimäärästä ja kullakin osallistuvalla jäsenvaltiolla yksi ääni. Johtokunta tekisi päätöksensä vähintään 75 prosentin enemmistöllä kaikista äänistä, mukaan lukien poissa olevien jäsenten äänet, kun äänet edustavat vähintään 75 prosenttia osaamiskeskuksen kaikista rahoitusosuuksista. 
Osaamisverkoston ja kansallisten koordinointikeskusten osalta jäsenvaltiot nimeäisivät kansalliset yhteyspisteet ja ilmoittaisivat ne komissiolle. Kriteereinä olisivat keskusten pääsy kyberturvallisuuden teknologiseen osaamiseen sekä niiden mahdollisuudet toimia yhteistyössä teollisuuden, alan osaamisen ja julkisen sektorin kanssa. Tavoitteena olisi kansallisen kyvykkyyden rakentaminen ja yhteyksien muodostaminen jo olemassa oleviin aloitteisiin. Kansalliset koordinointikeskukset voisivat saada rahoitusta ja välittää sitä edelleen kolmansille osapuolille.  
Osaamisverkoston tehtävänä olisi tukea osaamiskeskusta sen tehtävien toimeenpanossa sekä toimia kansallisina kontaktipisteinä ja edistää teollisuuden ja muiden kansallisen tason toimijoiden osallistumista yhteistyöhön. Kansallisten koordinointikeskusten tehtävinä olisi myös arvioida jäsenvaltioiden toimijoita niiden hakeutuessa osaamisyhteisöön, luoda synergioita keskeisten kansallisen ja alueellisen tason toimintojen kesken, edistää kansallisten tai paikallisten ekosysteemien kehitystä sekä kohdentaa toimia sektorikohtaisiin kyberturvallisuuden teollisiin haasteisiin. 
Osaamisyhteisö muodostaisi laajan, avoimen ja monimuotoisen ryhmän, joka koostuisi kyberturvallisuuden intressitahoista tutkimuksen alalla sekä yksityisen ja julkisen sektorin eri toimijoista niin siviilipuolelta kuin puolustussektorilta. Yhteisöön pääsy edellyttäisi tutkimukseen, teolliseen kehitykseen tai koulutukseen liittyvää osaamista. Jäsenvaltion kansallinen koordinointikeskus tekisi arvion jäsenvaltion toimijoiden kelpoisuudesta ja akkreditoimisesta yhteisöön. Vain Unionin alueella sijaitsevien toimijoiden akkreditointi olisi mahdollista.  
Osaamisyhteisön tehtävänä olisi 
• tukea osaamiskeskusta ja verkostoa niiden tehtävien ja tavoitteiden saavuttamisessa, 
• vahvistaa ja levittää kyberturvallisuuteen liittyvää osaamista Unionissa, sekä 
• osallistua verkoston ja keskuksen edistämien toimenpiteiden toteuttamiseen ja niihin liittyviin työryhmiin. 
4
Oikeusperusta
Ehdotetulla säädöksellä perustettaisiin rakenne ja toimielin, jonka tehtävänä olisi panna täytäntöön Digitaalinen Eurooppa -ohjelmaan ja Euroopan Horisontti -ohjelmaan sisältyviä kyberturvallisuusalan toimia. Säädöksessä määritellään toimielimen tavoitteet ja tehtävät sekä sen hallinnollinen rakenne. Tällaisen Unionin toimielimen perustaminen edellyttää asetuksen antamista. Lisäksi perustettaisiin kansallisten koordinointikeskusten verkosto sekä osaamisyhteisö. Oikeusperustana ehdotetulle säädökselle ovat sopimuksen Euroopan Unionin toiminnasta (SEUT) artiklat 173, 187 ja 188 (soveltuvin osin). 
5
Vaikutukset kansalliseen lainsäädäntöön ml. Ahvenanmaan asema
Kyseessä on ehdotus EU-asetukseksi, joka on jäsenvaltioissa suoraan sovellettavaa oikeutta. Arvion mukaan asetus ei aiheuta muutostarpeita kansalliseen lainsäädäntöön. 
6
Muut vaikutukset
Euroopan Kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskus ja kyberturvallisuuden kansallisten koordinointikeskusten verkosto vauhdittavat kyberturvallisuusteknologioiden kehitystä ja käyttöönottoa sekä täydentävät kyvykkyyden rakentamista EU:ssa ja kansallisella tasolla. 
Ehdotus rakentuu jäsenvaltioissa ja sopimusperustaisen julkisen ja yksityisen sektorin kumppanuusmallin avulla luodulle aiemmalle perustalle. Tavoitteena on vahvistaa EU:n kyberturvallisuuskyvykkyyttä kansallisten koordinointikeskusten verkoston sekä Euroopan tason osaamiskeskuksen avulla. 
EU-tason lisäarvon odotetaan muodostuvan eurooppalaisen kyberturvallisuusteknologian edistyksellisyydestä ja kehittymisestä edelleen, toteutettaviksi suunnitelluista mittavista investoinneista ja niiden kokoamisesta Euroopan tasolla sekä EU:n laajuisesti toimivista ratkaisuista. 
6.1.1
Vaikutukset yrityksiin
Ehdotetulla säädöksellä ei luoda uusia lakisääteisiä velvoitteita yrityksille. Erityisesti pk-yritysten innovatiivisten ja kyberturvallisten tuotteiden kehityskustannukset tulevat todennäköisesti laskemaan, sillä aloite mahdollistaisi resurssien yhdistämisen, kun tarvittaviin valmiuksiin investoidaan jäsenvaltioiden tasolla tai Euroopan tasolla esimerkiksi hankkimalla yhteistyössä tarvittavia kyberturvallisuuden testaus- ja kokeiluinfrastruktuureja. Teollisuus ja pk-yritykset voisivat käyttää näitä voimavaroja eri sektoreilla varmistaakseen, että niiden tuotteet ovat kyberturvallisia ja muodostaakseen kyberturvallisuudesta itselleen kilpailuetua. 
Valtaosa yrityksistä on pk- ja mikroyrityksiä, joiden valmiudet kyberturvallisuudessa ovat usein heikommat kuin suurissa yrityksissä. Kansalliset koordinointikeskukset voisivat hyödyttää erityisesti näitä yrityksiä. 
6.1.2
Taloudelliset vaikutukset
Osaamiskeskuksen rahoitus sisältäisi 1 981 668 000 euroa Digitaalinen Eurooppa -ohjelmasta, mukaan lukien enintään 23 746 000 euroa hallintomenoihin, sekä Horisontti Eurooppa -ohjelman myöhemmin strategisessa suunnitteluprosessissa määriteltävän rahoitusosuuden. 
Asetusehdotuksen artiklan 22 kohdan 1 mukaan osallistuvien jäsenvaltioiden tulisi osallistua osaamiskeskuksen toiminta- ja hallintomenoihin yhteensä vähintään EU:n rahoitusta vastaavalla määrällä. Tässä vaiheessa ei ole mahdollista tehdä arviota tarkoista kustannuksista ja niiden jakautumisesta, koska käytettävien rahoitusvälineiden osalta neuvottelut ovat käynnissä osana monivuotisen rahoituskehyksen kokonaisuutta. Jäsenmaille tulevat EU-varat on tarkoitus ohjata osallistuviin jäsenmaihin nimettävien kansallisten koordinointikeskusten kautta. 
Aloitteen tavoitteet voidaan saavuttaa parhaiten, mikäli siihen osallistuvat kaikki tai mahdollisimman monet jäsenvaltioista. Osallistumiseen kannustaisi äänioikeuden perustuminen jäsenvaltion maksuosuuden suorittamiseen. Osaamiskeskuksen talousarvioon otettavat varat muodostuvat osallistuvien jäsenvaltioiden hallintomenoihin osoittamista rahoitusosuuksista, rahoitusosuuksista toimintamenoihin sekä muista varoista. Teollisuuden mahdollinen osarahoitus toteutuisi hankekohtaisesti. 
Kansalliset koordinointikeskukset saisivat Unionin suoraa rahoitustukea suorittaakseen tähän asetukseen liittyviä tehtäviä. Osaamiskeskuksen välittämän rahoituksen muotoina olisivat avustukset esimerkiksi pilottihankkeille, taloudellinen tuki kolmansille tahoille, yhteiset hankinnat sekä kolmansille osapuolille myönnettävät palkinnot. 
Toiminnan on tarkoitus alkaa 1.1.2021 ja päättyä 31.12.2029. Maksusitoumusmäärärahoihin liittyvät vaikutukset kohdistuisivat vuosiin 2021—2027.  
7
Toissijaisuus- ja suhteellisuusperiaate
Kyberturvallisuuteen liittyvien teknologisten haasteiden luonne ja mittakaava sekä toimien puutteellinen koordinointi teollisuudessa, julkisella sektorilla ja tutkimusyhteisöissä tai niiden välillä edellyttää EU:n tehokkaampaa tukea koordinointiin, resurssien kriittisen massan kokoamiseen sekä tietämyksen ja voimavarojen parempaan hallintaan. Tämä on tarpeen otettaessa huomioon tiettyihin kyberturvallisuuden tutkimus-, kehitys- ja käyttöönottovalmiuksiin liittyvät resurssivaatimukset, pääsy poikkitieteelliseen ja usein vain osittain kansallisesti saatavilla olevaan kyberturvallisuuden tietotaitoon sekä globaalit teolliset arvoketjut ja kilpailijoiden toiminta globaaleilla markkinoilla. 
Vaadittavien resurssien ja osaamisen mittakaava yleensä ylittää yksittäisten jäsenvaltioiden toimet. Esimerkiksi yleiseurooppalainen kvanttiviestintäverkko voisi vaatia EU:lta noin 900 miljoonan euron investoinnit samalla riippuen jäsenvaltioiden investoinneista ja olemassa olevien infrastruktuurien uudelleenkäytöstä. Ehdotuksessa aloite nähdään ratkaisevan tärkeänä rahoituksen kokoamiselle, jotta tämänkaltaiset investoinnit olisivat Unionissa mahdollisia. Aloitteen tavoitteet voidaan saavuttaa paremmin Unionin tasolla kokoamalla toimia yhteen ja välttämällä niiden päällekkäisyyttä. Tämä auttaa luomaan investointien kriittisen massan ja varmistamaan, että julkista rahoitusta käytetään optimaalisella tavalla. Asetuksella ei suhteellisuusperiaatteen mukaisesti ylitettäisi sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi.  
Valtioneuvosto katsoo, että ehdotusta voidaan pitää toissijaisuus- ja suhteellisuusperiaatteen mukaisena. 
8
Ehdotuksen kansallinen käsittely ja käsittely Euroopan Unionissa
Asetusehdotusta käsitellään neuvoston kybertyöryhmässä ja liikenne-, televiestintä- ja energia- neuvoston (televiestintä) kokoonpanossa.  
Euroopan parlamentissa asetusehdotuksen vastuuvaliokuntana on teollisuus-, tutkimus- ja energiavaliokunta (ITRE). 
Asetusehdotus käsitellään tavallisessa lainsäätämisjärjestyksessä. 
Luonnos U-kirjelmäksi on käsitelty kirjallisessa menettelyssä EU-asioiden komitean alaisessa sisämarkkinajaostossa (EU8), elinkeinopoliittisessa jaostossa (EU13), viestintäjaostossa (EU19) ja tutkimus- ja innovaatiojaostossa (EU20) 4.-8.10.2018. 
9
Valtioneuvoston kanta
Valtioneuvosto suhtautuu ensivaiheen kantana myönteisesti ehdotukseen Euroopan kyberturvallisuuden osaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta ja ehdotuksen yleisiin tavoitteisiin. Euroopan kilpailukykyä tulee vahvistaa ja siinä tärkeää on EU-tason panostus innovaatioihin, tutkimukseen, osaamiseen ja investointeihin. 
Uusia rakenteita suunniteltaessa on huomioitava, että kyberturvallisuustuotteiden ja -teknologioiden kehittäminen ei tapahdu viranomaisvetoisesti, vaan ensisijaisesti markkinaehtoisesti globaalissa kilpailussa toimivissa yrityksissä. Valtioneuvosto pitää tärkeänä, että kyberturvallisuuden osaamiskeskus ja siihen liittyvä verkostotoiminta hyödyttää sekä suomalaisia yrityksiä, että viranomaistoimijoita. On tärkeää huolehtia siitä, ettei ehdotuksesta aiheudu ylimääräistä, erityisesti yritysten kilpailukykyä tai yritysten ja muiden tahojen operatiivista toimintaa haittaavaa hallinnollista taakkaa. 
Valtioneuvosto pitää keskeisenä varmistaa, etteivät keskuksen tai verkoston tehtävät tai toimivalta ole päällekkäisiä olemassa olevien toimijoiden tai yhteistyöelinten kanssa. Erityisesti on huolehdittava siitä, etteivät ehdotetun osaamiskeskuksen ja Euroopan Unionin verkko- ja tietoturvavirasto ENISA:n tehtävät ole päällekkäisiä. Lisäksi on tärkeää huolehtia EU:n eri instrumenttien ja ohjelmien kuten Digitaalinen Eurooppa, Horisontti Eurooppa ja koheesiopolitiikka synergioista ja toisiaan täydentävästä kokonaisuudesta keskukseen ja verkostoon olevien liittymäpintojen osalta.  
Osaamiskeskuksen rahoitus katettaisiin komission ehdotuksen mukaan EU:n 2021—2027 rahoituskehyksen Digitaalinen Eurooppa ja Horisontti Eurooppa -ohjelmista sekä EU-rahoitusta vastaavalla määrällä osallistuvien jäsenvaltioiden rahoituksella. Komission ehdotuksen mukaan huomattava osa (25%) Digitaalinen Eurooppa -ohjelmalle ehdotetusta rahoituksesta kanavoitaisiin kyberturvallisuuden osaamiskeskukseen. Valtioneuvosto tarkentaa kantaansa kyberturvallisuuden osaamiskeskuksen ja kansallisen verkoston ehdotettuun rahoitukseen käsittelyn edetessä, ottaen huomioon aiemman linjauksen Digitaalinen Eurooppa -ohjelman tasosta, mistä seuraisi, että kyberturvallisuuden osaamiskeskuksen rahoitus kattaisi noin puolet koko Digitaalinen Eurooppa -ohjelman rahoituksesta.Komission 2021—2027 ohjelmaehdotusten rahoituksen mitoitukseen otetaan erikseen kantaa osana rahoituskehysneuvottelujen kokonaisuutta. 
Valtioneuvosto jatkaa asetusehdotuksen analysointia ja täsmentää kantojaan U-jatkokirjelmässä ottaen huomioon tarkemman lisäanalyysin. 
Viimeksi julkaistu 10.1.2019 13.28