Viimeksi julkaistu 8.7.2025 17.02

2023 vp Perustuslakivaliokunta Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksista Euroopan parlamentin ja neuvoston asetuksiksi (kybersolidaarisuussäädös ja kyberturvallisuusasetuksen muuttaminen)

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksista Euroopan parlamentin ja neuvoston asetuksiksi (kybersolidaarisuussäädös ja kyberturvallisuusasetuksen muuttaminen) (U 20/2023 vp): Asia on saapunut perustuslakivaliokuntaan mahdollisia toimenpiteitä varten.

Asiantuntijat

Valiokunta on kuullut:

lainsäädäntöneuvos Tuomas Kaivola
liikenne- ja viestintäministeriö
dosentti, tenure track -professori Anu Mutanen
professori Olli Mäenpää

Valiokunta on saanut kirjallisen lausunnon:

apulaisprofessori Ida Koivisto

VALTIONEUVOSTON KIRJELMÄ

Ehdotus

Euroopan komissio teki 18.4.2023 ehdotuksen (COM(2023) 209 final) Euroopan parlamentin ja neuvoston asetukseksi toimenpiteistä solidaarisuuden ja valmiuksien vahvistamiseksi unionissa kyberturvallisuusuhkien ja -poikkeamien havaitsemista sekä niihin varautumista ja reagoimista varten (kybersolidaarisuussäädös). Uuden sääntelyn lisäksi asetuksella muutettaisiin asetusta (EU) 2021/694 (Digitaalinen Eurooppa -ohjelma).

Kybersolidaarisuussäädöksellä esitetään yleiseurooppalaisen turvaoperaatiokeskusten infrastruktuurin käyttöönottoa yhteisten kyberhavainnointivalmiuksien rakentamiseksi ja tehostamiseksi. Lisäksi ehdotuksessa esitetään kyberhätätilanteiden mekanismin ja luotettavista yksityisen sektorin palveluntarjoajista koostuvan kyberturvallisuusreservin perustamista jäsenvaltioiden tukemiseksi merkittäviin ja laajamittaisiin kyberturvallisuuspoikkeamiin varautumisessa, niihin vastaamisessa ja niistä välittömästi toipumisessa sekä kyberturvallisuuspoikkeamien arviointimekanismin perustamista tiettyjen merkittävien tai laajamittaisten poikkeamien tarkastelua ja arviointia varten. Kybersuojakilpeä, kyberhätätilanteiden mekanismia sekä kyberturvallisuusreserviä esitetään tuettavaksi Digitaalinen Eurooppa -rahoituksesta, johon esitetään myös muutoksia soveltuvin osin.

Komissio teki 18.4.2023 myös ehdotuksen (COM(2023) 208 final) Euroopan parlamentin ja neuvoston asetukseksi asetuksen (EU) 2019/881 muuttamisesta tietoturvapalvelujen osalta (kyberturvallisuusasetuksen muuttaminen). Ehdotus täydentää kybersolidaarisuussäädösehdotusta, jossa esitetään, että kyberturvallisuusreservin palveluntarjoajien valinnassa tulisi ottaa huomioon luotettavien palveluntarjoajien sertifioinnit.

Valtioneuvoston kanta

Kybersolidaarisuussäädösehdotus

Valtioneuvosto katsoo, että kyberturvallisuus on olennainen osa EU:n sisämarkkinoiden häiriöttömän toiminnan ja yhteiskuntavakauden sekä kansalaisten yksityisyyden turvaamista. Valtioneuvosto kannattaa ehdotetun kybersolidaarisuussäädöksen tavoitteita, mutta toteaa, että aloitteen arvioiduista vaikutuksista ja kustannuksista tarvitaan vielä lisätietoja.

Kyberuhkien osalta valtioneuvosto painottaa yhtenäisen lähestymistavan, tiedonvaihdon ja yhteisen tilannekuvan sekä kriisivasteen tärkeyttä Euroopalle kyberturvallisuushaasteisiin vastaamiseksi. Valtioneuvosto katsoo, että on Suomen edun mukaista vahvistaa kyberturvallisuutta myös EU:n yhteisillä toimilla, ja hakea ja hyödyntää kansallisten ja unionin tason toimien välisiä synergioita. Valtioneuvosto pitää EU:n kriisinkestävyyden kokonaisvaltaista kehittämistä keskeisenä.

Valtioneuvosto kannattaa toimia, jotka edistävät jäsenmaiden välistä tietojenvaihtoa kyberturvallisuuspoikkeamista. Valtioneuvosto kuitenkin toteaa, että uusien tilannekuva- ja tiedonvaihtotoimintojen perustamisessa tulee välttää päällekkäisyyksiä jo olemassa olevien toimintojen kanssa. Valtioneuvosto katsoo, että kansallisten SOC-toimijoiden ja rajat ylittävien SOC-yhteenliittymien välisestä tietojenvaihdosta sekä komissiolle annettavasta toimivallan siirrosta tarvitaan lisätietoja.

Kyberhätätilanteiden mekanismin osalta valtioneuvosto suhtautuu myönteisesti toimiin, joilla pyritään koordinoidusti vahvistamaan kriittisten toimialojen varautumista kyberhäiriötilanteisiin. Valtioneuvosto katsoo, että kriittisten toimijoiden fyysisen ja digitaalista kriisinkestävyyden ja varautumisen edistäminen EU:ssa on erityisen tärkeää.

Kyberturvallisuusreservin osalta valtioneuvosto kannattaa toimia, jotka voivat hidastaa tai ehkäistä merkittävien tai laaja-alaisten kyberhäiriöiden leviämistä. Suhteellisuusperiaate huomioiden, valtioneuvosto pitää tärkeänä, ettei rahoitusinstrumenttien avulla luoda jäsenvaltioille sellaisia kannustimia, jotka heikentävät jäsenmaiden omien kyberturvallisuuskyvykkyyksien kehittämistä. Kyberuhkien rajat ylittävän luonteen vuoksi valtioneuvosto suhtautuu myönteisesti kyberturvallisuusreservin palveluiden ulottamiseen myös kolmansille maille. Valtioneuvosto pitää tärkeänä, että kyberhätätilanteiden mekanismi ja kyberturvallisuusreservi edistävät suomalaisten tietoturva-alan yritysten liiketoimintamahdollisuuksia sisämarkkinoilla.

Valtioneuvosto suhtautuu ehdotettuun kyberpoikkeamien jälkitarkastelumekanismiin lähtökohtaisen myönteisesti, mutta sen toiminnasta, tietojen luovutuksesta ja tietojen vaihdosta tarvitaan lisätietoja. Tiedonvaihtoon, jolla voisi olla negatiivisia vaikutuksia kansalliseen turvallisuuteen, suhtaudutaan varauksellisesti.

Valtioneuvosto näkee Digitaalinen Eurooppa-ohjelman EU:n olennaisena sitoumuksena digitaalisen muutoksen tukemisessa. Etenkin panostukset strategisiin hankkeisiin, kuten tekoälyyn ja kyberturvallisuuteen tukevat EU:n kasvua ja kilpailukykyä. Digitaalinen Eurooppa-ohjelman rahoitukseen kohdistuvien muutosten osalta valtioneuvosto korostaa tarvetta analysoida mahdollisia rahoitusinstrumenttien uudelleen kohdentamisen vaikutuksia niiden alkuperäisiin tarkoituksiin tarkemmin.

Valtioneuvosto suhtautuu varauksellisesti Digitaalinen Eurooppa -ohjelmaan ehdotettuun muutokseen siitä, että käyttämättömien maksusitoumus- ja maksumäärärahojen osalta poikettaisiin varainhoitoasetuksen mukaisesta vuotuisuusperiaatteesta, jonka mukaan käyttämättömät määrärahat peruutetaan varainhoitovuoden päättyessä (ks. U 78/2022 vp varainhoitoasetuksen uudelleenlaadinnasta). Komission ehdottama menettely on erityisen poikkeuksellinen siitä syystä, että varat otettaisiin käyttöön tulevina varainhoitovuosina automaattisesti eikä harkinnanvaraisesti.

Valtioneuvosto katsoo, että unionin tason kyberturvallisuuden operatiiviset tehtävät kuuluisi säilyttää ensisijaisesti Euroopan kyberturvallisuusvirasto ENISAlla. Valtioneuvosto katsoo, että ENISA:n tulisi toiminnassaan välttää päällekkäisyyksiä kansallisten viranomaisten toiminnan kanssa. Valtioneuvosto pitää tärkeänä, että kyberturvallisuuden viranomaisille esitettyjä lisätehtäviä tarkasteltaessa pyritään hillitsemään ehdotuksesta syntyvä hallinnollinen lisätaakka.

Valtioneuvosto katsoo, että ehdotuksen yhteyttä teollisuuteen ja lainsäädännön lähentämiseen tarkennettaisiin huomioiden ehdotuksen oikeusperusta. Valtioneuvosto katsoo, että jatkovalmistelussa on arvioitava erityisesti ehdotuksen suhdetta kansalliseen turvallisuuteen, joka kuuluu yksinomaan kunkin jäsenvaltion vastuulle. Toissijaisuusperiaatteen osalta valtioneuvosto huomauttaa, että kansallisen turvaoperaatiokeskuksen nimeämisessä ei tulisi rajoittaa jäsenvaltioiden hallinnollista autonomiaa.

Kyberturvallisuusasetukseen ehdotetut muutokset

Valtioneuvosto pitää tärkeänä, että ehdotuksella pyritään vahvistamaan tietoturvallisuutta koko EU:n alueella ja parantamaan tietoturvallisten palveluiden saatavuutta sisämarkkinoilla.

Valtioneuvosto pitää tärkeänä, että tietoturvallisten palveluiden standardointi- ja sertifiointitoiminta hyödyttää suomalaisia yrityksiä, muttei aiheuta niille ylimääräistä, kilpailukykyä haittaavaa hallinnollista taakkaa. Ehdotetun luotettujen palveluntarjoajien sertifiointikehyksen tavoitteita voidaan pitää kannatettava siltä osin kuin sääntelyllä pyrittäisiin lisäämään luottamusta digitaalisille sisämarkkinoille, vähentämään yrityksille sertifioinnista aiheutuvia kuluja ja parantamaan kyberturvallisuuspalveluiden laatua ja turvallisuutta. Ehdotettujen keinojen ja menettelyiden tehokkuutta suhteessa tavoiteltavaan päämäärään tulee kuitenkin vielä arvioida huolellisesti. Valtioneuvosto pitää tärkeänä, että luotettujen palveluntarjoajien sertifiointi edistää suomalaisten tietoturva-alan yritysten liiketoimintamahdollisuuksia sisämarkkinoilla.

VALIOKUNNAN PERUSTELUT

Arvioinnin lähtökohtia

(1) Valtioneuvoston kirjelmä koskee komission ehdotusta niin sanotuksi kybersolidaarisuusasetukseksi sekä ehdotusta kyberturvallisuusasetuksen muuttamisesta. Kybersolidaarisuussäädösehdotuksen yleisenä tavoitteena on vahvistaa EU:n yhteistä kyberhäiriöiden havainnointia, tilannekuvaa sekä kyvykkyyttä vastata kyberhäiriöihin. Toisena tavoitteena on vahvistaa kriittisten toimijoiden valmiuksia koko EU:ssa ja vahvistaa solidaarisuutta kehittämällä yhteisiä toimintavalmiuksia merkittävien tai laajamittaisten kyberturvallisuuspoikkeamien varalle, mukaan lukien tarjoamalla kyberhäiriötilanteiden hallintaan liittyvää tukea kolmansille maille. Kyberturvallisuusasetukseen ehdotetuilla muutoksilla lisättäisiin tietoturvapalveluntarjoajat kyberturvallisuusasetuksen soveltamisalaan.

(2) Perustuslain 96 §:n 1 momentin mukaan eduskunta käsittelee ehdotukset sellaisiksi säädöksiksi, sopimuksiksi tai muiksi toimiksi, joista päätetään Euroopan unionissa ja jotka muutoin perustuslain mukaan kuuluisivat eduskunnan toimivaltaan. Saman pykälän 2 momentin mukaan valtioneuvoston on toimitettava kirjelmällään 1 momentissa tarkoitettu ehdotus eduskunnalle viipymättä siitä tiedon saatuaan eduskunnan kannan määrittelyä varten. Ehdotus käsitellään suuressa valiokunnassa ja yleensä yhdessä tai useammassa sille lausuntonsa antavassa muussa valiokunnassa. Perustuslain 96 §:ssä olevan sääntelyn tarkoituksena on varmistaa eduskunnan mahdollisuus vaikuttaa kaikkien niiden Euroopan unionissa tehtävien päätösten valmisteluun, jotka sisältönsä puolesta kuuluisivat eduskunnan toimivaltaan, jos Suomi ei olisi Euroopan unionin jäsen (ks. SuVL 3/1995 vp ja PeVL 20/1996 vp).

(3) Nyt käsiteltävässä valtioneuvoston kirjelmässä tehdään asianmukaisesti selkoa ehdotuksen yleisistä tavoitteista ja tarkemmasta sisällöstä. Kirjelmässä selvitetään ja arvioidaan monipuolisesti asetusehdotusten oikeusperustaa sekä toissijaisuus- ja suhteellisuusperiaatteen noudattamista samoin kuin asetusehdotuksiin liittyviä perus- ja ihmisoikeuksien kannalta relevantteja näkökohtia. Perustuslakivaliokunnalla ei ole huomautettavaa ehdotusten tavoitteisiin.

(4) Valtioneuvosto on antanut 96 §:n 2 momentin mukaisen kirjelmän eduskunnalle 6.7.2023. Ehdotusta koskevien toissijaisuusmuistutusten määräaika on ollut 21.7.2023, minkä takia eduskunnalle on jäänyt tosiasiassa verraten niukasti aikaa toissijaisuusvalvonnan suorittamiseen. Valiokunta kiinnittää valtioneuvoston huomiota eduskunnan riittävään ja ajantasaiseen informoimiseen perustuslain mukaisella menettelyllä käsillä olevan asetusehdotuksen jatkovalmistelussa.

Oikeusperusta

(5) Oikeusperustan arviointi ei kuulu perustuslakivaliokunnalle perustuslaissa osoitettuihin tehtäviin. Oikeusperustan asianmukaisuus on EU-oikeudellinen kysymys, jonka ratkaisee viime kädessä EU-tuomioistuin (ks. esim. PeVL 47/2022 vp, kappale 15). Valiokunta on pitänyt kuitenkin tärkeänä, että unionilainsäädäntöä kehitetään ensisijaisesti perussopimusten puitteissa (ks. esim. PeVL 61/2016 vp).

(6) Kybersolidaarisuussäädösehdotuksen oikeusperustana on Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 173(3) ja 322(1)(a) artikla. Unioni ja jäsenvaltiot huolehtivat SEUT 173 artiklan mukaan siitä, että unionin teollisuuden kilpailukyvyn kannalta tarpeelliset edellytykset turvataan. Valtioneuvosto katsoo kirjelmässä (s. 10), ettei SEUT 173 artikla vaikuta asianmukaiselta oikeusperustalta kyberturvallisuuden eurooppalaiselle suojakilvelle eikä kyberturvallisuuspoikkeamien jälkitarkastelumekanismille, ellei sääntelyn yhteyttä teollisuuteen ja lainsäädännön lähentämiseen selkeytetä.

(7) Perustuslakivaliokunnan mielestä asian perustuslainmukaisuuden arviointia vaikeuttaa merkittävästi tässä vaiheessa se, että asetusehdotusten vaikutusarvioinnit puuttuvat ja ehdotettua sääntelyä voi pitää monin kohdin varsin monimutkaisena, avoimena ja epäselvänä. Valiokunta painottaa erityisesti tarvetta selvittää ja arvioida asetusehdotuksen suhdetta kansalliseen turvallisuuteen, joka kuuluu Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan mukaan yksinomaan kunkin jäsenvaltion vastuulle.

(8) Perustuslakivaliokunta korostaa tarvetta varmistua jatkovalmistelussa kybersolidaarisuusasetuksen oikeusperustan asianmukaisuudesta. Valiokunta kiinnittää huomiota unionin perussopimusten keskeisyyteen ja korostaa sitä, ettei johdetun oikeuden säännöksiin sisällytetä jäsenvaltioille perussopimuksissa määriteltyihin velvoitteisiin nähden merkittäviä uusia menettelyjä tai muitakaan sellaisia elementtejä, joita ei olisi jo hyväksytty perussopimusten voimaansaattamisen yhteydessä (ks. PeVL 12/2018 vp, s. 3, PeVL 49/2010 vp, s. 4/II ja PeVL 46/1996 vp, s. 2/II).

Tietojenvaihto

(9) Valtioneuvoston kirjelmän (s. 17) mukaan kyberturvallisuuden eurooppalaiseen suojakilpeen sekä rajojen yli toimivaan turvaoperaatiokeskukseen sisältyy laajaa tietojenvaihtoa eikä esimerkiksi julkisuuslain 24 §:n 1 momentin 3, 7 ja 20 kohdan mukaista salassa pidettävää tietoa, henkilötietoa tai sähköisen viestinnän palveluista annetussa laissa tarkoitettuja sähköisen viestinnän välitystietoja ole rajattu tietojenvaihdon ulkopuolelle. Kyberturvallisuuden eurooppalaisen suojakilven puitteissa tapahtuvaa tietojenvaihtoa ei ole asetusluonnoksessa tarkemmin määritelty. Sen sijaan isännöintiyhteenliittymän jäsenet vaihtavat keskenään "asiaankuuluvia tietoja", ja vaihdettavat tiedot ja tietojenvaihdon tarkoitus olisi määritelty asetuksessa.

(10) Perustuslakivaliokunta on korostanut, että Suomen perustuslaissa turvatut perusoikeudet ovat merkityksellisiä myös EU-sääntelyä valmisteltaessa (esim. PeVL 16/2022 vp, kappale 6, PeVL 20/2021 vp, kappale 11, PeVL 15/2017 vp, s. 4 ja PeVL 9/2017 vp, s. 5—6 ja niissä viitatut lausunnot). Valiokunta on pitänyt selvänä, että Suomen perustuslain tulee ohjata valtioneuvoston kannanmuodostusta EU-lainsäädännön valmistelussa (PeVL 16/2022 vp, kappale 6, PeVL 20/2017 vp, s. 6).

(11) Perustuslakivaliokunta korostaa jatkovalmistelun kannalta tarvetta arvioida huolellisesti sääntelyn suhdetta perustuslain 10 §:ään sekä varmistua sääntelyn yhteensopivuudesta kyseisen säännöksen ja sitä koskevan perustuslakivaliokunnan lausuntokäytännön kanssa (ks. esim. PeVL 4/2021 vp, kappale 4) ottaen huomioon myös luottamuksellisen viestin salaisuuden. Huomiota on syytä kiinnittää myös luovutettavien tietojen käyttötarkoituksen asianmukaiseen määrittelyyn. Valiokunta korostaa valtioneuvoston tavoin yleisemminkin tarvetta selkeyttää, missä määrin asetus velvoittaisi viranomaisten toiminnan julkisuudesta annetussa laissa salassa pidettäviksi säädettyjen tietojen luovuttamiseen myös muiden kuin yksityiselämän suojan piiriin kuuluvien tietojen osalta.

Lainalaisuusperiaate ja julkisen hallintotehtävän siirtäminen

(12) Valtioneuvosto tuo kirjelmässä (s. 16) esiin, että kyberturvallisuuden eurooppalaisen suojakilven toiminta vaikuttaisi perustuvan pitkälti sopimuksiin yhtäältä jäsenvaltioiden kesken sekä toisaalta jäsenvaltioiden yhteenliittymien ja unionin elinten kesken. Tältä osin valtioneuvosto kiinnittää huomiota siihen, että rajojen yli toimivaa turvaoperaatiokeskusta luonnehditaan "usean maan kattavaksi foorumiksi" sekä "koordinoiduksi verkostorakenteeksi". Rajojen yli toimiva turvaoperaatiokeskus perustuisi sopimukseen (isännöintiyhteenliittymä), jonka kansalliset turvaoperaatiokeskukset ovat tehneet.

(13) Perustuslakivaliokunnan mukaan viranomaisten yhteistoimintasopimuksia on arvioitava perustuslain 2 §:n 3 momentin kannalta. Perustuslakivaliokunta ei esimerkiksi ole pitänyt valtiosääntöoikeudellisesti asianmukaisena, että viranomaisen yksityisiin kohdistuvaa julkista valtaa sisältävä toimivalta voisi rajoitetulta osiltakaan pohjautua viranomaisten väliseen sopimukseen. (PeVL 19/2005 vp, s. 8/I.) Perustuslakivaliokunnan mielestä asetusehdotuksen sääntely voi olla ongelmallista perustuslain 2 §:n 3 momentissa säädetyn hallinnon lainalaisuusperiaatteen kanssa, jos kansallisen turvaoperaatiokeskuksen toimivalta perustuisi yksinomaan sopimusperusteisiin järjestelyihin.

(14) Perustuslakivaliokunta kiinnittää huomiota myös asetusehdotuksen johdannon 21 kohdassa esitettyyn näkemykseen, jonka mukaan kyberturvallisuuden hallinnoinnille olisi kehitettävä asteittain omat käytännöt ja standardit, jotka mahdollistavat kyberpuolustusyhteisön kanssa tehtävän yhteistyön, mukaan lukien turvallisuustutkinnat ja edellytykset. Valiokunta muistuttaa, että julkisen vallan käytön on perustuttava lakiin, eikä omia käytäntöjä ja standardeja voi pitää riittävänä julkisen vallan käytön perustana.

(15) Ehdotettu kyberturvallisuuden eurooppalainen suojakilpi rakentuu kansallisten turvaoperaatiokeskusten päälle. Jokaisen jäsenvaltion on nimettävä niitä vähintään yksi. Kansallisen turvaoperaatiokeskuksen tulee olla julkisoikeudellinen laitos. Valtioneuvosto katsoo toimittamassaan kirjelmässä (s. 16), että kansallisen turvaoperaatiokeskuksen toimiminen eräänlaisena solmukohtana voisi tehdä tehtävästä julkisen hallintotehtävän. Kirjelmän mukaan komission ehdotuksen perusteella ei voida myöskään täysin poissulkea sitä, ettei tehtävään sisältyisi perustuslain 124 §:ssä tarkoitettua merkittävää julkisen vallan käyttöä.

(16) Perustuslakivaliokunta yhtyy arvioon. Asetusehdotuksen sääntely on tältä osin erittäin epäselvää, ja sitä on syytä täsmentää ja selkeyttää olennaisesti. Valiokunta korostaa lisäksi tarvetta asianmukaisille vaikutusarvioinneille ehdotusten kansallisista vaikutuksista, jotta voidaan varmistua ehdotusten suhteellisuusperiaatteen mukaisuudesta.

(17) Perustuslakivaliokunnan saaman selvityksen mukaan sääntely on kuitenkin valmistelun aikana jo osin muuttunut ja täsmentynyt kirjelmässä esiin nostettujen kysymysten osalta. Valiokunta korostaa, että valtioneuvoston on syytä jatkovalmistelussa varmistua sääntelyyn sisältyvästä riittävästä liikkumavarasta ja yhteensopivuudesta perustuslain 2 §:n 3 momentin ja 124 §:n sääntelyn kanssa.