Viimeksi julkaistu 27.11.2021 11.00

Valtioneuvoston U-kirjelmä U 36/2021 vp Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta komission asetuksiksi (ilmailun tietoturvariskien hallinnan sääntely)

Perustuslain 96 §:n 2 momentin perusteella lähetetään eduskunnalle Euroopan lentoturvallisuusviraston 11 päivänä kesäkuuta 2021 tekemä ehdotus komission asetuksiksi ilmailun tietoturvariskien hallinnan sääntelystä sekä ehdotuksesta laadittu muistio. 

Helsingissä 15.7.2021 
Liikenne- ja viestintäministeri 
Timo 
Harakka 
 
Ylitarkastaja 
Sonja 
Töyrylä 
 

MUISTIOLIIKENNE- JA VIESTINTÄMINISTERIÖ15.7.2021EHDOTUS KOMISSION ASETUKSIKSI (ILMAILUN TIETOTURVARISKIEN HALLINNAN SÄÄNTELY)

Tausta

Euroopan lentoturvallisuusvirasto (EASA) antoi 11.6.2021 Euroopan komissiolle ehdotuksensa ilmailun tietoturvasääntelyksi (EASA Opinion No 03/2021). EASA:n säädösehdotukset ovat saatavilla osoitteessa: https://www.easa.europa.eu/document-library/opinions/opinion-032021. EASA antoi ehdotuksen liitteenä komission valmistelun pohjaksi luonnokset komission täytäntöönpanoasetuksiksi sekä delegoiduiksi asetuksiksi. Komission toimivalta antaa asetukset perustuisi 11.9.2018 voimaan tulleeseen, niin sanottuun uudistettuun EASA-asetukseen (Euroopan parlamentin ja neuvoston asetus (EU) 2018/1139 yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan unionin lentoturvallisuusviraston perustamisesta, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 2111/2005, (EY) N:o 1008/2008, (EU) N:o 996/2010, (EU) N:o 376/2014 ja direktiivien 2014/30/EU ja 2014/53/EU muuttamisesta sekä Euroopan parlamentin ja neuvoston asetusten (EY) N:o 552/2004, (EY) N:o 216/2008 ja neuvoston asetuksen (ETY) N:o 3922/91 kumoamisesta.) EASA-asetuksen valmistelusta on tiedotettu eduskuntaa 11.2.2016 U-kirjelmällä (U 6/2016 vp). 

Ehdotetuilla asetuksilla pyritään nykyistä kattavampaan ja kokonaisvaltaisempaan tietoturvasääntelyyn ilmailualalla. Tällä hetkellä nimenomaisesti ilmailua koskevaa tietoturvasääntelyä on annettu niin kutsutun siviili-ilmailun turva-asetuksen (Euroopan parlamentin ja neuvoston asetus (EY) N:o 300/2008 yhteisistä siviili-ilmailun turvaamista koskevista säännöistä ja asetuksen (EY) N:o 2320/2002 kumoamisesta) nojalla annetulla komission täytäntöönpanoasetuksella (EU) 2015/1998. Voimassa oleva sääntely kattaa ilmailun turvatoimien (aviation security) tietoturvariskien hallintaa ja koskee käytännössä lähinnä lentokentällä toimivia organisaatioita, mutta nyt ehdotetut komission asetukset huomioisivat tietoturvariskien vaikutukset myös ilmailun turvallisuuteen (aviation safety).  

Lisäksi ehdotettu sääntely olisi kattavampaa ja kokonaisvaltaisempaa kuin EU:n verkko- ja tietoturvadirektiivin eli niin kutsutun NIS-direktiivin (Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa) sääntely. NIS-direktiiviä sovelletaan vain jäsenvaltioiden määrittelemiin keskeisten palvelujen tarjoajiin, kun taas ehdotetut komission asetukset kattaisivat lähes kaikki ilmailujärjestelmän keskeiset toimijaryhmät. 

Ehdotusten tavoite

Asetusehdotusten tavoitteena on tehostaa ilmailualan mahdollisuuksia suojautua tietoturvariskeiltä sekä parantaa lentoturvallisuutta. Ilmailun turvallisuussääntelyn tavoitteena on perinteisesti ollut onnettomuuksien todennäköisyyden ja seurauksien vakavuuden vähentäminen, mutta nyt ehdotetuilla asetuksilla on tarkoitus kiinnittää huomiota myös olemassa olevien tietoturvaheikkouksien tarkoitukselliseen hyväksikäyttöön. Ilmailualan tietojärjestelmät ovat enenevissä määrin yhteydessä toisiinsa, ja myös riski järjestelmän heikkouksien tahallisille väärinkäytöksille on kasvanut. Lisäksi tietojärjestelmien turvallisuus ennaltaehkäisee tilanteita, joissa väärä data tai virheellinen toiminto päätyy tahattomasti järjestelmään vaikuttaen sen operatiiviseen turvallisuuteen. 

On huomionarvoista, että ilmailualalla tietoturvasääntely suojaa paitsi henkilötietojen ja yksityisyyden suojaa, myös merkittäviä yleisiä ja yksilön etuja. Tietoturvariskit voivat johtaa tapahtumiin, joilla on suora yhteys lennon turvallisuuteen sekä ihmisen henkeen ja terveyteen. Järjestelmän häirintä vaikuttaa myös suoraan ilmailujärjestelmän toimintaan, esimerkiksi lamauttamalla lentoaseman toiminnan tai lentoliikenteen. 

Sääntelyn pääasiallisena tarkoituksena on varmistaa, että siviili-ilmailun toimintaan osallistuvat organisaatiot ja viranomaiset kykenevät tunnistamaan, suojaamaan, havaitsemaan, vastaamaan ja palautumaan lentoturvallisuuteen vaikuttavista tietoturvatapahtumista.  

Ehdotusten pääasiallinen sisältö

Siviili-ilmailun kansainvälisestä luonteesta johtuen alan sääntely on hyvin kansainvälis- ja EU-painotteista. Myös ilmailun turvallisuussääntely, niin lentoturvallisuuden kuin siviili-ilmailun turvatoimien osalta, on pitkälti harmonisoitu EU:ssa suoraan sovellettavilla asetuksilla. Ehdotettu tietoturvasääntely annettaisiin ilmailun turvallisuutta koskevan EASA-asetuksen nojalla. EASA-asetuksella on annettu komissiolle toimivalta säätää yksityiskohtaisemmista vaatimuksista useilla eri täytäntöönpano- ja delegoidulla asetuksilla. EASA-asetuksessa myös asetetaan erilaisia vaatimuksia alemman asteisen sääntelyn antamiselle riippuen siitä, mitä toimijoita sääntely koskee. 

Ehdotuksella esitetään organisaatioille ja viranomaisille tietoturvan hallintaan liittyvät vaatimukset, sekä viranomaiselle sertifiointiin ja valvontaan liittyvät vaatimukset. EASA-asetuksen systematiikasta johtuen nyt ehdotettava uusi sääntely on ollut tarpeen jakaa komission täytäntöönpanoasetuksiin ja delegoituihin asetuksiin. Ehdotukseen sisältyy yhteensä neljä komission asetusluonnosta. Niistä kaksi sisältäisi uutta sääntelyä eli ne asettaisivat vaatimuksia tietoturvariskien, -tapahtumien ja -loukkausten hallinnalle. Asetukset ovat sisällöllisesti lähes identtisiä, mutta delegoitu asetus soveltuu suunnittelu- ja valmistusorganisaatioihin, lentoaseman pitäjiin ja asematasovalvontapalvelun tarjoajiin, kun taas täytäntöönpanoasetus soveltuu kaikkiin muihin toimijoihin. Kahdella muulla komission asetuksella sen sijaan muutettaisiin voimassaolevia komission asetuksia (EU) No 748/2012, No 1321/2014, 2017/373, 2015/340, No 139/2014, No 1178/2011, No 965/2012 ja 2021/664 siten, että niihin lisätään tarvittavat säännökset viranomaisten sertifiointi- ja valvontatehtävistä. 

Asetusehdotuksissa on tunnistettu tarve yhteensovittaa ehdotettu sääntely valmisteilla olevan NIS-direktiivin kanssa. Asetusehdotuksissa on huomioitu mahdolliset päällekkäisyydet ja aukollisuudet siten, että kansallisten viranomaisten tulee koordinoida ehdotetun sääntelyn vaatimuksia suhteessa NIS-direktiivin ja muun päällekkäisen EU-sääntelyn edellyttämiin toimenpiteisiin. Lisäksi toimivaltainen viranomainen voisi korvata ehdotetun sääntelyn vaatimukset NIS-direktiivin tai muun EU- tai kansallisen sääntelyn vaatimuksilla, mikäli ne vastaisivat vähintään ehdotetun sääntelyn vaatimuksia. Suomessa ei tällä hetkellä ole ehdotetun laajuista sääntelyä. 

Sääntelyä sovellettaisiin ilmailualalla laajaan toimijajoukkoon; toimivaltaisiin viranomaisiin, suunnittelu-, valmistus- ja huolto-organisaatioihin, lentoyhtiöihin, lentokelpoisuusorganisaatioihin, ilmailulääketieteen keskuksiin, lentoa simuloivien koulutuslaitteiden (FSTD-laite) operaattoreihin, lennonvarmistus- tai lennonjohtopalvelun tarjoajiin, miehittämättömän ilmailun lennonvarmistuspalvelun tarjoajiin eli U-space palveluntarjoajiin, U-space ilmatilan yhteisten tietopalvelujen tarjoajiin, lentoaseman pitäjiin. Lisäksi sääntelyä sovellettaisiin muihin kuin ainoastaan teoreettista koulutustoimintaa harjoittaviin organisaatioihin.  

Sääntelyn soveltamisalan ulkopuolelle jäisivät ensinnäkin eräät kevyen ilmailun toimijat, eli ELA2-toiminnot (ELA2-toiminta on määritelty komission asetuksen (EU) No 748/2012 1 artiklan j kohdassa). Käytännössä se koskee esimerkiksi ilmapalloja sekä alle 2000 kg ilma-aluksia. 

Sääntelyä ei myöskään sovellettaisi miehittämättömien ilma-alusten kategorioihin ’avoin’ tai ’erityinen’ muutoin kuin tietyissä tapauksissa. EU-sääntelyssä ja siihen perustuvassa kansallisessa sääntelyssä miehittämättömien ilma-alusten toiminta jaotellaan riskiperusteisesti kolmeen eri toimintakategoriaan: avoin, erityinen ja sertifioitu. Avoimen ja erityisen kategorian toiminnassa on kyse matalan tai korotetun riskin toiminnasta. Valtaosa tämän hetkisestä miehittämättömästä ilmailusta kuuluu matalan riskin kategoriaan. Korkean riskin toiminnan eli ’sertifioitu’ kategorian osalta päätös ehdotetun sääntelyn soveltamisesta on tarkoitus tehdä myöhemmin erikseen eri säädösprosessissa. Sertifioidun kategorian toiminta muistuttaa miehitetyn ilmailun kaltaista toimintaa, kuten ihmisten tai tavaroiden kuljettamista. Korkean riskin kategoriaan lukeutuvaa toimintaa ei kuitenkaan käytännössä vielä harjoiteta Suomessa. 

Myös maahuolintapalvelun tarjoajien osalta päätös soveltamisesta on tarkoitus tehdä myöhemmin erikseen sen säädösprosessin yhteydessä, jossa maahuolintapalveluille kehitetään EU-tason tarkempia turvallisuusvaatimuksia. Maahuolintapalvelut lisättiin EASA-sääntelyn soveltamisalaan viimeisimmän EASA-asetuksen uudistuksen yhteydessä, ja niille ollaan samanaikaisesti kehittämässä ensimmäistä kertaa yhteisiä EU-tason tarkempia turvallisuusvaatimuksia. Maahuolintapalvelulla tarkoitetaan palveluja, joita lentoyhtiöt tarvitsevat liikennöinnin tukena. Tällaisia palveluita ovat esimerkiksi polttoaine-, kuormauslaskelma- ja rahtipalvelut. Maahuolintaan sisältyvät myös lennonselvitys, catering-palvelut, matkatavaroiden käsittely ja kuljetuspalvelut lentoasemilla.  

Soveltamisalan ulkopuolelle jäävät myös sellaiset kolmansien maiden toimijat, joihin sovelletaan komission asetusta (EU) No 452/2014 (komission asetus (EU) N:o 452/2014 kolmansien maiden lentotoiminnan harjoittajien lentotoimintaan liittyvien teknisten vaatimusten ja hallinnollisten menettelyjen vahvistamisesta Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 216/2008 mukaisesti) tai kahdenvälisiä turvallisuussopimuksia. Sääntelyä ei myöskään sovellettaisi sellaiseen organisaatioon, joka osoittaa toimivaltaiselle viranomaiselle, että sen toiminta ei muodosta sellaista tietoturvariskiä, millä olisi vaikutusta sen omaan tai toisen organisaation turvallisuuteen tai johon ei sovelleta EASA-asetusta. Sääntely ei myöskään soveltuisi sellaisiin organisaatioihin, joiden toiminnalle ei ole asetettu vaatimuksia voimassa olevassa sääntelyssä. Näin ollen esimerkiksi sääntelyn piiriin kuuluvien toimijoiden alihankkijoihin ei sovellettaisi ehdotettuja asetuksia, vaan näiden osalta olisi sääntelyn piiriin kuuluvan toimijan vastuulla huomioida sopimuskumppaneidensa toimintaan liittyvät tietoturvariskit ja huolehtia että näiden riskien hallinta on huomioitu osapuolten välisessä sopimuksessa. 

Sääntelyn keskeisenä periaatteena on riski- ja suorituskykyperusteisuus. Sääntelyllä siis asetetaan ilmailuun kohdistuvien tietoturva riskienhallintavelvoitteet organisaatioille ja viranomaiselle, sekä suorituskyky vaatimusten tavoitteiden täyttämiseksi. Sääntelyssä ei oteta kantaa käytettäviin keinoihin tai aseteta yksityiskohtaisempia vaatimuksia käytännön toteutukselle. Eri organisaatioille asetettavissa vaatimuksissa on siis tarkoitus huomioida niiden toiminnan laatu ja siihen liittyvät tietoturva- ja lentoturvallisuusriskit. Riski- ja suorituskykyperusteinen lähestymistapa on ollut myös uudistetun EASA-asetuksen lähtökohtana. Käytännössä sääntely tarkoittaisi toimijoiden kannalta, että niiden tulisi tunnistaa toimintaansa liittyvät tietoturvariskit ja laatia suunnitelma näiden riskien hallitsemiseksi. Lisäksi toimijoilta edellytettäisiin tietoturvatapahtumien vaikutusten rajaamiseen ja niistä palautumiseen liittyviä toimenpiteitä.  

EASA valmistelee parhaillaan yksityiskohtaisempaa materiaalia, jonka on tarkoitus tukea ehdotetun sääntelyn täytäntöönpanoa. EASA:n on tarkoitus antaa asetuksia täydentäviä hyväksyttäviä vaatimukset täyttäviä menetelmiä (acceptable means of compliance) ja ohjemateriaalia (guidance material) sen jälkeen, kun komissio on antanut lopulliset asetukset.  

Ehdotettuja asetuksia on tarkoitus alkaa soveltaa vuoden kuluttua siitä, kun ne tulevat voimaan. Organisaatioilla on kuitenkin mahdollisuus korjata viranomaisten huomauttamia epäkohtia kahden vuoden ajan siitä, kun asetukset ovat tulleet voimaan. Kansallinen viranomainen (eli Suomessa Liikenne- ja viestintävirasto) voi kuitenkin päättää myös pidemmästä ajasta. 

Ehdotuksen oikeusperusta

Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 290 artiklan 1 kohdan mukaan lainsäätämisjärjestyksessä hyväksyttävässä säädöksessä voidaan siirtää komissiolle valta antaa muita kuin lainsäätämisjärjestyksessä hyväksyttäviä, soveltamisalaltaan yleisiä säädöksiä, joilla täydennetään tai muutetaan lainsäätämisjärjestyksessä hyväksytyn säädöksen tiettyjä, muita kuin sen keskeisiä osia (delegoidut säädökset). Lisäksi SEUT 291 artiklan 2 kohdan mukaan, jos unionin oikeudellisesti velvoittavat säädökset edellyttävät yhdenmukaista täytäntöönpanoa, kyseisillä säädöksillä siirretään täytäntöönpanovaltaa komissiolle (täytäntöönpanosäädökset). 

Komission toimivalta antaa nyt ehdotetut asetukset perustuu tavallisessa lainsäätämisjärjestyksessä hyväksyttyyn Euroopan parlamentin ja neuvoston asetukseen (EU) 2018/1139 yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan unionin lentoturvallisuusviraston perustamisesta eli niin kutsuttuun EASA-asetukseen. 

Delegoitu säädösvalta perustuu EASA-asetuksen 19 artiklan 1 kohtaan ja 39 artiklan 1 kohtaan. 

Toimivalta antaa täytäntöönpanosäädökset perustuu EASA-asetuksen 17 artiklan 1 kohtaan, 27 artiklan 1 kohtaan, 31 artiklan 1 kohtaan, 43 artiklan 1 kohtaan, 53 artiklan 1 kohtaan ja 62 artiklan 15 kohdan c alakohtaan. Täytäntöönpanoasetukset hyväksytään EASA-asetuksen 127 artiklan mukaisesti Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 5 artiklassa tarkoitettua komitologiakomitean tarkastelumenettelyä noudattaen. 

Valtioneuvosto pitää ehdotuksia asianmukaisena suhteessa niiden oikeusperustaan. 

Ehdotuksen vaikutukset

Vaikutukset viranomaisten toimintaan 

Suomessa kansallisena siviili-ilmailuviranomaisena toimii Liikenne- ja viestintävirasto. Sääntelyn arvioidaan vaikuttavan viranomaisen toimintaan, sillä valvottavien toimijoiden lukumäärä kasvaa nykyisestä NIS-direktiivin mukaisesta toimijajoukosta huomattavasti. Asetuksissa ehdotetaan, että sääntelyä valvoisi sama viranomainen joka valvoo kyseisten organisaatioiden toimintaa muiltakin osin. Jäsenvaltiot voivat kuitenkin halutessaan nimittää toimivaltaiseksi viranomaiseksi myös jonkin muun viranomaisen. Suomessa luonteva viranomaistaho olisi Liikenne- ja viestintävirasto. Valvottavien toimijoiden määrän lisääntymisen arvioidaan lisäävän Liikenne- ja viestintäviraston tehtäviä ja vaikuttavan siten viranomaisten toimintaan. Tarkempia vaikutuksia viranomaisten taloudellisiin tarpeisiin ja henkilöresurssitarpeisiin voidaan arvioida vasta ehdotetun sääntelyn käsittelyn edetessä ja ehdotusta täydentävän materiaalin valmistuttua. Vaikutukset viranomaistoimintaan riippuvat siitä, miten valvonta käytännössä järjestetään, mutta jatkovalmistelussa pyritään hillitsemään ehdotuksesta syntyvää hallinnollista lisätaakkaa. Resurssivaikutuksia ja mahdollisia muita ehdotuksesta aiheutuvia vaikutuksia olisi arvioitava tarkemmin ehdotuksen käsittelyn aikana ja kansallisesta resursoinnista linjattava normaaliin tapaan talousarviota ja julkisen talouden suunnitelmaa koskevissa menettelyissä. 

Vaikutukset kansalliseen lainsäädäntöön 

Ehdotetut säädökset olisivat suoraan sovellettavia asetuksia, eivätkä siten edellyttäisi täytäntöönpanotoimia. Kansallisesti ilmailusta säädetään ilmailulaissa (864/2014) ja liikenteen palveluista annetussa laissa (320/2017). Ilmailulain 128 a §:ssä säädetään velvollisuudesta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja 128 b §:ssä säädetään tietoturvapoikkeamista ilmoittamisesta. Pykälillä on pantu kansallisesti täytäntöön NIS-direktiivin ilmailua koskevat vaatimukset. Voimassa olevaa ilmailulainsäädäntöä olisi todennäköisesti muutettava suoraan sovellettavan EU-sääntelyn huomioimiseksi ja päällekkäisyyksien välttämiseksi. 

Taloudelliset vaikutukset ilmailutoimijoille 

Ehdotetun sääntelyn vaikutukset ilmailutoimijoille riippuisivat merkittävästi siitä, millaiset tietoturvajärjestelmät ja käytänteet toimijoilla on jo nykyisin sekä siitä, minkälaisia tietoturva- ja lentoturvallisuusriskejä toimintaan liittyy. Ilmailuala on vahvasti säänneltyä, ja eri toimijoille on jo nykyään asetettu merkittäviä vaatimuksia turvallisuudenhallintajärjestelmien osalta. Lisäksi kyse on pääosin suurista toimijoista, joilla arvioidaan olevan hyvät valmiudet täyttää sääntelyn vaatimukset. Toisaalta tietoturvariskien realisoituminen vakavien tietoturvatapahtumien tai lentoturvallisuuteen vaikuttavien tapausten muodossa voi aiheuttaa mittavia kustannuksia sekä yksittäiselle ilmailuorganisaatiolle että ilmailualalle laajemminkin. Pitkällä aikavälillä taloudelliset vaikutukset ovat siten oletettavasti positiivisia. Lisäksi digitalisaation mahdollistaminen tietoturvallisesti tuo sekä taloudellisia että ympäristöhyötyjä. 

Ehdotuksen suhde perustuslakiin sekä perus- ja ihmisoikeuksiin

Sääntelyllä ei arvioida olevan merkittäviä vaikutuksia suhteessa perustuslakiin tai perus- ja ihmisoikeuksiin. Sääntelyllä olisi kuitenkin ennen kaikkea myönteisiä vaikutuksia yksilöiden turvallisuuteen sekä henkilökohtaiseen koskemattomuuteen. Sääntelyllä pyritään ehkäisemään tapahtumia, joilla olisi vaikutusta ihmisten henkeen ja terveyteen. Lisäksi sääntely vaikuttaisi myönteisesti yksityiselämän suojaan, sillä tietoturvajärjestelmien kehittäminen parantaa myös henkilötietojen suojaa.  

Ahvenanmaan toimivalta

Ahvenanmaan itsehallintolain (1144/1991) 27 §:n 14 kohdan mukaan valtakunnalla on lainsäädäntövalta asioissa, jotka koskevat ilmailua. Asetusehdotukset kuuluvat siten valtakunnan lainsäädäntövaltaan. 

Ehdotuksen käsittely Euroopan unionin toimielimissä ja muiden jäsenvaltioiden kannat

EASA:n esitys on laadittu EASA:n toimesta. Sen valmistelua on tukenut asiantuntijaryhmä, jossa on edustaja Liikenne- ja viestintävirastosta. Valmistelussa on kuultu myös sidosryhmiä. EASA:n säädösluonnos on ollut kaikille avoimella lausuntokierroksella 27.5-27.9.2019. Sidosryhmät ovat voineet lausua luonnoksesta suoraan EASA:lle. 

EASA:n asetusehdotukset on annettu pohjaksi komission valmistelua varten. Asetusehdotuksia on käsitelty ensimmäisen kerran EASA-komitean kokouksessa 22.6.–23.6.2021 ja käsittely jatkuu vuoden 2021 aikana. Tarkempi käsittelyaikataulu, kuten asetusten äänestysajankohta, ei ole vielä tiedossa. Äänestyskohdan on ennakoitu olevan vuonna 2022. 

EU-tason asiantuntijavalmistelua on tehty useiden vuosien ajan. Valmistelun aikana ei ole käynyt ilmi merkittäviä ristiriitaisuuksia. 

Ehdotuksen kansallinen käsittely

Sääntelyehdotuksesta laadittu U-kirjelmäluonnos käsiteltiin liikennejaoston (EU 22) kirjallisessa käsittelyssä 22.6.2021–24.6.2021. Lisäksi kommentteja pyydettiin liikenne- ja viestintäministeriön ylläpitämältä lentoliikenteen sidosryhmäverkostolta. Kommentteja saatiin kaksi kappaletta, ja niissä esitetyt huomiot on otettu U-kirjelmässä huomioon. Valtioneuvoston kantaan ja viranomaisvaikutuksiin lisättiin maininta siitä, että jatkovalmistelussa pyritään hillitsemään ehdotuksesta syntyvää hallinnollista lisätaakkaa. Lisäksi valtioneuvoston kantaan lisättiin maininta sääntelyn yhteensovittamisesta verkko- ja tietoturvadirektiivin lisäksi myös ilmailun turvatoimia koskevan sääntelyn kanssa. 

10  Valtioneuvoston kanta

Valtioneuvosto kannattaa ehdotuksen tavoitteita kyberturvallisuuden parantamisesta ilmailualalla. Ehdotettu sääntely parantaisi ilmailun turvallisuutta systematisoimalla ja standardoimalla ilmailutoimijoiden tietoturvakäytänteitä. Valtioneuvosto pitää tärkeänä, että ilmailun turvallisuussääntelyä kehitetään tavalla, joka vastaa toimialalla tunnistettuja tarpeita ja uusia turvallisuusuhkia. 

Ehdotettu sääntely soveltuisi laajaan toimijajoukkoon, mitä voidaan pitää hyvänä lähtökohtana sääntelyn riittävän kattavuuden turvaamiseksi. Valtioneuvosto pitää myös ehdotettuja soveltamisalarajoituksia asianmukaisina. Esimerkiksi sääntelyn soveltaminen kevyeen ilmailuun tai matalan taikka korotetun riskin miehittämättömään ilmailuun ei ole tässä vaiheessa arvioitu tarkoituksenmukaiseksi toiminnan erilaisen luonteen vuoksi. Valtioneuvosto kannattaa myös sitä, että sääntelyn soveltumista maahuolintapalveluihin ja korkean riskin miehittämättömään ilmailuun selvitetään erikseen. Näiden toimintojen osalta tarkempia turvallisuussäännöksiä vasta valmistellaan, joten myös tietoturvariskien hallinnan vaatimuksia olisi hyvä selvittää osana näitä kokonaisuuksia ja hallintojärjestelmävaatimuksia alan käytännöt huomioiden.  

Valtioneuvosto kannattaa myös asetusehdotuksissa omaksuttua riski- ja suorituskykyperiaatetta. Koska sääntelyn soveltamisala on laaja, tärkeää on, että edellytettävien toimien tasoa määriteltäessä voidaan ottaa huomioon toimijan koko ja toiminnan vaikutus ilmailun turvallisuuteen. Lisäksi valtioneuvosto pitää tärkeänä, että toimijoille varataan riittävä aika sopeutua muuttuvaan sääntelyyn. 

Valtioneuvosto pitää tärkeänä, että valvontaviranomaisille esitettyjä lisätehtäviä tarkasteltaessa pyritään hillitsemään ehdotuksesta syntyvä hallinnollinen lisätaakka. Kansallisesta resursoinnista linjataan normaaliin tapaan talousarviota ja julkisen talouden suunnitelmaa koskevissa menettelyissä. 

Valtioneuvosto pitää tärkeänä, että ehdotettu sääntely sovitetaan yhteen muun EU-lainsäädännön kanssa. Erityisesti huomiota on kiinnitettävä valmisteilla olevaan verkko- ja tietoturvadirektiivin muutokseen ja ilmailun turvatoimia koskevaan sääntelyyn. On tärkeää, että sääntely muodostaa yhtenäisen kokonaisuuden, jossa ei esimerkiksi aseteta päällekkäisiä tai ristiriitaisia velvoitteita jäsenvaltioille tai ilmailutoimijoille.