Valiokunnan lausunto
LiVL
25
2017 vp
Liikenne- ja viestintävaliokunta
Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi ("kyberturvallisuusasetus")
Suurelle valiokunnalle
JOHDANTO
Vireilletulo
Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi ("kyberturvallisuusasetus") (U 58/2017 vp): Asia on saapunut liikenne- ja viestintävaliokuntaan lausunnon antamista varten. Lausunto on annettava suurelle valiokunnalle. 
Asiantuntijat
Valiokunta on kuullut: 
EU-erityisasiantuntija
Jouni
Lind
valtioneuvoston kanslia
neuvotteleva virkamies
Piia
Nyström
liikenne- ja viestintäministeriö
päällikkö
Jukka-Pekka
Juutinen
Viestintävirasto
Valiokunta on saanut kirjallisen lausunnon: 
puolustusministeriö
valtiovarainministeriö
F-Secure Oy
VALTIONEUVOSTON KIRJELMÄ
Ehdotus
Euroopan verkko- ja tietoturvavirasto ENISA perustettiin vuonna 2004 Euroopan parlamentin ja neuvoston asetuksella viideksi vuodeksi parantamaan unionin, jäsenvaltioiden ja yritysmaailman valmiuksia ehkäistä, käsitellä ja ratkaista verkko- ja tietoturvaongelmia. Tämän jälkeen viraston toimikautta on jatkettu kaksi kertaa. Nykyinen toimikausi päättyy vuoden 2020 kesäkuussa.  
Komissio antoi 13.9.2017 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi Euroopan kyberturvallisuusvirasto ENISA:sta ja asetuksen EU 526/2013 kumoamisesta sekä tieto- ja viestintäteknologian kyberturvallisuussertifioinneista (”Kyberturvallisuusasetus”) (COM/2017/477). Ehdotuksella säädettäisiin ENISA:lle pysyvä mandaatti ja luotaisiin puitteet tieto- ja viestintäteknologiatuotteiden ja -palveluiden tietoturvasertifioinnille EU:ssa. Ehdotuksen tavoitteena on turvata sisämarkkinoiden toiminta vahvistamalla kyberturvallisuutta, sietokykyä ja luottamusta EU:ssa.  
ENISA muuttuisi Euroopan verkko- ja tietoturvavirastosta Euroopan kyberturvallisuusvirastoksi ja siitä tulisi pysyvä EU-virasto.  
Komissio on valinnut säädösinstrumentiksi asetuksen. Asetuksella kumottaisiin ENISA:n toimintaa nykyisin sääntelevä asetus (EU 526/2013). Asetus olisi jäsenvaltioissa suoraan sellaisenaan sovellettava.  
Asetusehdotus koostuu neljästä osasta. Ensimmäinen osa sisältää säädösehdotuksen tavoitteet, soveltamisalan ja määritelmät. Asetusehdotuksen toinen osa sisältä ENISA:n toimintaa ohjaavat säännökset. ENISA:n toiminnan tavoitteena olisi korkeantason tietoturvan edistäminen EU:ssa. Asetusehdotuksen kolmas osa sisältää säännökset, joilla luotaisiin EU:n laajuinen tieto- ja viestintäteknologiahyödykkeiden sertifioinnin puitekehys. Asetusehdotuksen neljäs osa sisältää loppusäännökset muun muassa voimaantulosta ja kumottavista säännöksistä. 
Valtioneuvoston kanta
Valtioneuvosto pitää tärkeänä, että ehdotuksella pyritään vahvistamaan tietoturvallisuutta koko EU:n alueella, parantamaan tietoturvallisten tuotteiden ja palveluiden saatavuutta sisämarkkinoilla ja edistämään innovaatioita. Pääministeri Juha Sipilän hallitusohjelman kärkihankkeena on, että Suomeen rakennetaan digitaalisen liiketoiminnan kasvuympäristö. Asetusehdotuksen tavoitteiden voidaan katsoa olevan linjassa hallitusohjelman, sen toimeenpanosuunnitelman nojalla laaditun kansallisen tietoturvastrategian ja edellisen hallituksen hyväksymän kyberturvallisuusstrategian kanssa.  
Valtioneuvosto katsoo, että ENISA:n mandaatin muuttuminen pysyväksi parantaisi viraston toimintaedellytyksiä. Se takaisi viraston toiminnan jatkuvuuden ja loisi uusia mahdollisuuksia rekrytoida virastoon korkean tason asiantuntemusta. ENISA:n toimintaa ja tavoitteita tulisi arvioida säännöllisesti, jotta se pystyisi parhaalla tavalla palvelemaan nopealla syklillä muuttuvia ja kehittyviä digitaalisia sisämarkkinoita. Tavoitteena tulee olla määrärahojen tuloksellinen, kustannustehokas ja moitteettoman varainhoidon periaatteiden mukainen käyttö.  
Valtioneuvoston näkemyksen mukaan ENISA:n toimintaa tulisi kehittää vahvistamaan sisämarkkinoita erityisesti niillä alueilla, joilla käyttäjien tarpeiden mukaisten sisäänrakennetusti tietoturvallisten tuotteiden ja palveluiden saatavuus ei vastaa käyttäjien kysyntää. Yksi tällaisista alueista on niin sanottu esineiden internet (Internet of Things, IoT), jolla tarkoitetaan tietoverkkoon liitettyjen laitteiden, ohjelmistojen ja muiden hyödykkeiden muodostamaa kokonaisuutta. Komissio arvioi ehdotuksessaan, että seuraavan vuosikymmenen aikana EU:ssa otetaan käyttöön miljoonia tai jopa miljardeja tietoverkkoon kytkettyjä digitaalisia laitteita. Valtioneuvosto yhtyy komission näkemykseen siitä, että esineiden internet ja muut digitaalisten sisämarkkinoiden keskeiset voimavarat, kuten datatalous ja automatisoituva liikenne, voivat kukoistaa vain, jos ne nauttivat yleistä luottamusta ja niiden tietoturvallisuus on riittävän korkealla tasolla. Lisäksi valtioneuvosto pitää tärkeänä, että käyttäjillä on mahdollisuus suojata luottamuksellinen viestintänsä ja digitaaliset tietonsa asiakastarpeiden mukaan kehittyvillä salaus- ja suojausohjelmistoilla sekä muilla teknologisilla ratkaisuilla. 
Ehdotetun tieto- ja viestintäteknologiahyödykkeiden sertifioinnin puitekehyksen tavoitteita voidaan pitää kannatettava siltä osin kuin sääntelyllä pyrittäisiin lisäämään luottamusta digitaalisille sisämarkkinoille ja vähentämään yrityksille sertifioinnista aiheutuvia kuluja. Ehdotettujen keinojen ja menettelyiden tehokkuutta suhteessa tavoiteltavaan päämäärään tulee kuitenkin vielä arvioida huolellisesti. 
Valtioneuvosto katsoo, että ENISA:n ja komission tulisi edistää erityisesti sellaisten standardien ja sertifiointien kehittymistä, joiden avulla eri toimialoilla tietotekniikkaa ja esineiden internetiä toiminnassaan hyödyntävät käyttäjät voisivat paremmin vakuuttua EU:n sisämarkkinoilla tarjottavien esineiden internetiin liittyvien laitteiden ja ohjelmistojen sisäänrakennetusta tietoturvallisuudesta. Tässä työssä komission ja ENISA:n tulisi ottaa huomioon myös tietoturvallisuuden ja digitaalisen palvelutuotannon parantamiseksi toimialoilla jo käynnissä oleva standardointi- ja sertifiointityö ja välttää päällekkäisyyksiä sen kanssa. Valtioneuvosto pitää myös tärkeänä, että asetusehdotuksella luotavat sertifiointipuitteet tukevat turvallisen automaattisen liikenteen kehittymistä. 
Valtioneuvosto haluaa kiinnittää huomiota siihen, että puitekehys ja sen nojalla laadittavat sertifiointiohjelmat saattaisivat potentiaalisesti vaikuttaa varsin suureen joukkoon erilaisia toimijoita, sillä puitekehyksen alaan kuuluvat tuotteet ja palvelut on asetusehdotuksessa määritelty laajasti. Täsmällisempi määrittely tehtäisiin komission täytäntöönpanosäädöksellä annettavissa sertifiointiohjelmissa, joissa määriteltäisiin niiden hyödykkeiden kategoriat, joita ohjelma koskisi. Asetusehdotuksen ja sen nojalla annettavan alemmanasteisen sääntelyn soveltamisalan vaikutuksia, laajuutta ja tarkoituksenmukaisuutta tulee arvioida jatkovalmistelussa, jotta voidaan varmistua siitä, että sertifioinneilla olisi aidosti positiivisia vaikutuksia ja markkinoille saataisiin nykyistä tietoturvallisempia tuotteita ja palveluita, jotka myös vastaavat käyttäjien tarpeita. 
Valtioneuvosto pitää tärkeänä, että tietoturvallisten tuotteiden standardointi- ja sertifiointitoiminta hyödyttää suomalaisia yrityksiä, muttei aiheuta niille ylimääräistä, kilpailukykyä haittaavaa hallinnollista taakkaa. EU-sääntelystä johtuvat velvoitteet tietoturvariskien hallitsemiseksi tulee voida jatkossakin sovittaa osaksi muiden liiketoiminnan riskien hallintaa. Tähän on kiinnitettävä huomiota erityisesti ehdotukseen liittyvän viranomaistoiminnan jatkovalmistelussa. Ehdotetulla sääntelyllä tulisi kokonaisuudessaankin pyrkiä siihen, ettei sillä tai sen mukaisilla menettelyillä aiheuteta yksityiselle sektorille tai viranomaisille ylimääräistä hallinnollista taakkaa eikä aseteta toimijoita keskenään eriarvoiseen asemaan. 
Valtioneuvosto katsoo, että ENISA:n tulisi toiminnassaan välttää päällekkäisyyksiä kansallisten viranomaisten toiminnan kanssa. Operatiivista yhteistyötä tulisi kehittää ensisijaisesti verkko- ja tietoturvadirektiivissä säädettyjen uusien yhteistyörakenteiden puitteissa, jotta niiden vaikuttavuudesta saataisiin kokemuksia. ENISA:n tehtävien ja asetusehdotuksesta jäsenmaille syntyvien velvoitteiden tulisi olla linjassa verkko- ja tietoturvadirektiivin kanssa. 
Lisäksi valtioneuvosto pitää yleisesti tärkeänä seurata jatkossakin tarkasti EU-instituutioiden ja virastojen hallintomenojen ja henkilöstömäärän kehitystä. Näiden menojen taso olisi kokonaisuutena pyrittävä pitämään maltillisena. 
VALIOKUNNAN PERUSTELUT
Valiokunta pitää valtioneuvoston kantaa tarkoituksenmukaisena ja kannatettavana. On hyvä, että asetusehdotuksen tavoitteiden voidaan katsoa olevan linjassa hallitusohjelman, sen toimeenpanosuunnitelman nojalla laaditun kansallisen tietoturvastrategian ja edellisen hallituksen hyväksymän kyberturvallisuusstrategian kanssa. Valiokunta korostaa tietoturvallisuuden ja kyberturvallisuuden merkitystä erityisesti esineiden internetin (IoT) osalta. 
Valiokunta pitää valtioneuvoston kantaa sertifioinnin osalta hyvänä. Sertifionnin edut ovat pyrkimyksessä lisätä luottamusta digitaalisille sisämarkkinoille. Valiokunta pitää erityisen tärkeänä, että kuluja varsinkin pienten yritysten osalta ei pidä lisätä, ja siltä osin onkin huolellisesti arvioitava ehdotettujen keinojen ja menettelyiden tehokkuutta suhteessa tavoiteltavaan päämäärään. 
Valiokunta kiinnittää tässä yhteydessä myös huomiota siihen, että kyberturvallisuuden osalta on syytä lisätä tietoisuutta suuren yleisön parissa. Tiedottamiseen on panostettava sekä kansallisesti että EU:n tasolla. 
VALIOKUNNAN LAUSUNTO
Liikenne- ja viestintävaliokunta ilmoittaa,
että se yhtyy asiassa valtioneuvoston kantaan edellä esitetyin painotuksin. 
Helsingissä 17.11.2017 
Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa
puheenjohtaja
Ari
Jalonen
sin
varapuheenjohtaja
Mirja
Vehkaperä
kesk
jäsen
Jyrki
Kasvi
vihr
jäsen
Jukka
Kopra
kok
jäsen
Susanna
Koski
kok
jäsen
Suna
Kymäläinen
sd
jäsen
Mats
Löfström
r
jäsen
Eeva-Maria
Maijala
kesk
jäsen
Jari
Myllykoski
vas
jäsen
Jani
Mäkelä
ps
jäsen
Markku
Pakkanen
kesk
jäsen
Jari
Ronkainen
ps
jäsen
Satu
Taavitsainen
sd
jäsen
Katja
Taimela
sd
jäsen
Ari
Torniainen
kesk
Valiokunnan sihteerinä on toiminut
valiokuntaneuvos
Mika
Boedeker
Viimeksi julkaistu 27.11.2017 16:26