Valiokunnan mietintö
LiVM
6
2018 vp
Liikenne- ja viestintävaliokunta
Hallituksen esitys eduskunnalle laeiksi Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta
JOHDANTO
Vireilletulo
Hallituksen esitys eduskunnalle laeiksi Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta (HE 192/2017 vp): Asia on saapunut liikenne- ja viestintävaliokuntaan mietinnön antamista varten. 
Asiantuntijat
Valiokunta on kuullut: 
ylitarkastaja
Maija
Rönkä
liikenne- ja viestintäministeriö
ylitarkastaja
Jyrki
Pohjolainen
työ- ja elinkeinoministeriö
erityisasiantuntija
Jari
Porrasmaa
sosiaali- ja terveysministeriö
johtaja
Jarkko
Saarimäki
Viestintävirasto
ITC-johtaja
Heikki
Linnanen
Caruna Oy
lakiasiainjohtaja
Seija
Virkajärvi
Caruna Oy
turvallisuusjohtaja
Jaakko
Wallenius
Elisa Oyj
Cyber Security Advisor
Erka
Koivunen
F-Secure Oy
varapuheenjohtaja
Leena
Romppainen
Electronic Frontier Finland - Effi ry
lakiasianjohtaja
Marko
Vuorinen
Finnet-liitto ry
apulaisjohtaja
Kirsti
Tarnanen-Sariola
Suomen Satamaliitto
lakimies
Jussi
Mäkinen
Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry
Valiokunta on saanut kirjallisen lausunnon: 
valtiovarainministeriö
Liikennevirasto
Energiavirasto
Finanssivalvonta
Helsingin seudun ympäristöpalvelut -kuntayhtymä
Air Navigation Services Finland Oy (ANS Finland)
DNA Oy
Google Finland Oy
Telia Finland Oyj
UpCloud Oy
Älykkään liikenteen verkosto - ITS Finland ry
HALLITUKSEN ESITYS
Esityksessä ehdotetaan tietyille yhteiskunnan toiminnan kannalta keskeisten palveluiden tarjoajille sekä eräiden digitaalisten palveluiden tarjoajille tietoturvallisuuteen liittyvää riskienhallintaa ja häiriöiden raportointia koskevia velvoitteita. Lisäksi säädettäisiin näiden velvoitteiden valvonnasta, viranomaisten välisestä tietojen vaihdosta sekä yleisestä tietoturvallisuuteen liittyvästä viranomaistoiminnasta. Ehdotetulla lainsäädännöllä saatettaisiin osaksi kansallista lainsäädäntöä toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annettu Euroopan parlamentin ja neuvoston direktiivi. 
Esityksellä toteutetaan osaltaan hallitusohjelman tavoitetta digitalisaation edistämisestä ja digitaalisen turvallisuuden varmistamisesta parantamalla yhteiskunnan ja kansalaisten kannalta keskeisten palveluiden tietoturvallisuuden tasoa. Esityksellä kasvatetaan kansalaisten ja yritysten luottamusta digitalisaatioon ja edistetään siten myös digitaalisen liiketoiminnan kasvua ja kilpailukykyä.  
Yhteiskunnan toiminnan kannalta keskeisten palvelujen tietoturvallisuuden parantamiseksi tietoyhteiskuntakaareen, ilmailulakiin, rautatielakiin, alusliikennepalvelulakiin, eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettuun lakiin, liikenteen palveluista annettuun lakiin, sähkömarkkinalakiin, maakaasumarkkinalakiin sekä vesihuoltolakiin lisättäisiin säännökset keskeisten palveluntarjoajien velvollisuudesta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta sekä ilmoittaa merkittävästä tietoturvallisuuteen liittyvästä häiriöstä valvovalle viranomaiselle ja yleisölle. Tietoyhteiskuntakaaren velvoitteet koskisivat verkossa toimivan markkinapaikan tarjoajaa, hakukonepalvelun tarjoajaa sekä pilvipalvelun tarjoajaa. Ilmailulain velvoitteet koskisivat lennonvarmistuspalvelun tarjoajaa sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjää. Rautatielain velvoitteet koskisivat valtion rataverkon haltijaa sekä liikenteenohjauspalveluita tarjoavaa yhtiötä. Alusliikennepalvelulain velvoitteet koskisivat alusliikennepalvelun tarjoajaa. Eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain velvoitteet koskisivat yhteiskunnan toiminnan kannalta merkittävän sataman pitäjää. Liikenteen palveluista annetun lain velvoitteet koskisivat älykkään liikennejärjestelmän ylläpitäjää. Sähkömarkkinalain velvoitteet koskisivat verkonhaltijaa. Maakaasumarkkinalain velvoitteet koskisivat siirtoverkonhaltijaa ja vesihuoltolain velvoitteet vesihuoltolaitosta, joka toimittaa vettä vähintään tai ottaa vastaan jätevettä 5 000 kuutiometriä vuorokaudessa. 
Toimivalta valvoa riskienhallinta- ja häiriöraportointivelvoitteita olisi sektorikohtaisilla valvontaviranomaisilla. Tämä tarkoittaisi Viestintävirastoa, Liikenteen turvallisuusvirastoa, Energiavirastoa, Finanssivalvontaa, sekä elinkeino-, liikenne- ja ympäristökeskusta. Viranomaisten välisen yhteistyön turvaamiseksi ehdotetaan viranomaisten toimivaltuuksia koskevan lainsäädännön yhteyteen lisättäväksi säännökset valvovien viranomaisten yhteistyöstä sekä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi tarvittavien salassa pidettävien tietojen vaihdosta. 
Lisäksi Viestintävirastolle säädettäisiin velvoite toimia yhteistyössä verkko- ja tietoturvadirektiivin tarkoittamien tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden, valvontaviranomaisten sekä jäsenvaltioiden yhteistyöryhmän kanssa.  
Ehdotetut lait on tarkoitettu tulemaan voimaan 1 päivänä toukokuuta 2018.  
VALIOKUNNAN YLEISPERUSTELUT
Valiokunta pitää esityksen ja esityksellä toimeenpantavan verkko- ja tietoturvadirektiivin (EU) 2016/1148 tavoitetta edistää tietoturvallisuutta ja sitä kautta yhteiskunnan kokonaisturvallisuutta kannatettavana. Yhteiskunnan toiminnan kannalta keskeiset palvelut ovat yhä enemmän riippuvaisia viestintäverkkojen ja tietojärjestelmien toimivuudesta. Näihin palveluihin kohdistuvilla tietoturvaongelmilla ja häiriöillä voi olla pahimmillaan laajoja vaikutuksia yhteiskunnan eri sektoreille. Asettamalla tietyille liikenteen, energianjakelun, vesihuollon, terveydenhuollon ja digitaalisten palveluiden tarjoajille tietoturvallisuuteen liittyvää riskienhallintaa sekä palvelujen häiriöistä ilmoittamista koskevia velvoitteita voidaan edistää yhteiskunnan kokonaisturvallisuutta ja pyrkiä lisäämään digitaalisia palveluja ja toimintatapoja kohtaan tunnettavaa luottamusta. Tavoitteena tulee olla, että tietoturvasta huolehtiminen ja mahdollisista häiriöistä ilmoittaminen on osa näiden palveluntarjoajien normaalia toimintaa.  
Asiantuntijakuulemisessa on osin kritisoitu velvoitteiden kohteena olevien digitaalisten palvelujen tarjoajien määrittelyn epätäsmällisyyttä esityksessä. Saadun selvityksen mukaan kyse on kuitenkin toimeenpantavassa direktiivissä määritellyistä käsitteistä, joita ei ole tarkoituksenmukaista tai osin edes mahdollista määritellä kansallisella lailla. Lain toimeenpanossa ja direktiivin tulkinnassa on keskeistä varmistaa, etteivät velvoitteet heikennä uusien palvelujen kehittämismahdollisuuksia tai kotimaisten toimijoiden kilpailun edellytyksiä. Sääntelyn voimaantulosta ja vaatimuksista on myös tärkeää tiedottaa erityisesti digitaalisten palvelujen tarjoajille. 
Asian käsittelyn yhteydessä on myös tuotu esille näkemyksiä, joiden mukaan vastaavia tietoturvaa koskevia velvoitteita voisi olla tarkoituksenmukaista kohdentaa myös joihinkin muihin yhteiskunnan toiminnan kannalta keskeisiin toimijoihin. Esimerkkinä on tuotu esille muun muassa älykkäästä liikenteen ohjauksesta vastaavat palveluntarjoajat. Valiokunta pitää tärkeänä, että sääntelyn vaikutuksia arvioidaan jatkossa kattavasti ja samalla arvioidaan, tulisiko velvoitteita joiltain osin laajentaa myös uusiin toimijoihin tai sektoreihin direktiivin soveltamisalan ulkopuolelta. Valiokunta toteaa, että tietoturvallisuuden toteutumisella on jatkossa yhä suurempi merkitys myös liikenteen turvallisuuden kannalta ajoneuvojen ja liikennettä koskevien palvelujen kytkeytyessä jatkossa yhä enemmän viestintäverkkoihin. Valiokunnan saaman selvityksen mukaan tieliikenteen ohjaus- ja hallintapalvelun osalta tätä arviointia on jo käynnistetty. 
Valiokunta pitää Viestintäviraston kyberturvallisuuskeskuksen toimintaa yhteiskunnan kokonaisturvallisuuden kannalta erittäin keskeisenä. Valiokunta katsoo, että ehdotus vahvistaa keskuksen mahdollisuuksia edistää tietoturvallisuuden toteutumista ja huolehtia osaltaan yhteiskunnan keskeisten toimintojen jatkuvuudesta. Jatkossa tulee huolehtia, että Viestintävirastolle varmistetaan myös riittävät resurssit näiden kaikkia yhteiskunnan sektoreita hyödyttävien tehtävien hoitamiseen ja kehittämiseen.  
VALIOKUNNAN YKSITYISKOHTAISET PERUSTELUT
1. Lakiehdotus
Lain nimike.
Valiokunta on muuttanut mietinnössään LiVM 21/2017 vpHE 82/2017 vp tietoyhteiskuntakaaren nimikkeen muotoon laki sähköisen viestinnän palveluista. Kyseinen nimikkeen muutos tulee voimaan 1.6.2018. Nyt käsittelyssä olevan esityksen lain vielä voimassa olevan nimikkeen mukainen muutosehdotus tulee liikenne- ja viestintäministeriön antaman selvityksen mukaan kuitenkin voimaan ennen mainittua nimikkeen muutosta. Valiokunta painottaa, että nyt käsittelyssä oleva lakiehdotus on syytä saattaa sekä nimikkeen muutoksesta että direktiivissä asetetuista velvoitteista johtuen voimaan viimeistään toukokuun 2018 aikana.  
10. Lakiehdotus
15 b §. Vesihuollon häiriötilanteista ilmoittaminen.
Valiokunta on muuttanut pykälän 1 momenttia säännöksen yhtenäistämiseksi muiden esityksessä olevien saman sisältöisten säännösten kanssa. Muutoksen myötä myös vesihuollon häiriöstä tiedottamista koskevan velvoitteen tai säännöksessä tarkoitetun valvontaviranomaisen toteuttaman tiedottamisen edellytyksenä on, että häiriöstä ilmoittaminen on yleisen edun mukaista. 
12. Lakiehdotus
6 §. Tietojen antaminen.
Liikenne- ja viestintäministeriö on esittänyt, että sosiaali- ja terveysalan lupa- ja valvontaviranomaisen (VALVIRA) oikeudesta luovuttaa salassa pidettävää tietoa Viestintävirastolle olisi tarpeen säätää vastaavasti kuin muidenkin valvontaviranomaisten osalta. Saamansa selvityksen perusteella valiokunta on lisännyt uuden 12. lakiehdotuksen, jossa sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain (669/2008) 6 §:ään lisätään uusi 4 momentti. Uuden momentin mukaan sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus luovuttaa salassapitosäännösten estämättä tietoja Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. Valiokunta toteaa, että viranomaisia koskevat salassapitovelvoitteet ja virkavastuulla toimiminen varmistavat, ettei viranomaisten välisestä tietojen vaihdosta aiheudu tietosuojaa koskevia ongelmia. Uuden momentin lisäämisen myötä pykälän 4 momentti siirtyy 5 momentiksi. 
VALIOKUNNAN PÄÄTÖSEHDOTUS
Liikenne- ja viestintävaliokunnan päätösehdotus:
Eduskunta hyväksyy muuttamattomana hallituksen esitykseen HE 192/2017 vp sisältyvät 1.—9. ja 11. lakiehdotuksen. 
Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 192/2017 vp sisältyvän 10. lakiehdotuksen. (Valiokunnan muutosehdotukset) 
Eduskunta hyväksyy uuden 12. lakiehdotuksen. (Valiokunnan uusi lakiehdotus) 
Valiokunnan muutosehdotukset
1. 
Laki 
tietoyhteiskuntakaaren muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan tietoyhteiskuntakaaren (917/2014) 275 §, 304 §:n 1 momentin 7 ja 10 kohta sekä 313 §:n 2 momentin 2 kohta sekä  
lisätään lakiin uusi 247 a §, 308 §:ään, sellaisena kuin se on osaksi laissa 456/2016, uusi 3 momentti sekä 318 §:ään, sellaisena kuin se on osaksi laissa 456/2016, uusi 2 momentti, jolloin nykyinen 2—4 momentti siirtyvät 3—5 momentiksi, seuraavasti: 
247 a § 
Verkossa toimivan markkinapaikan, hakukonepalvelun ja pilvipalvelun tarjoajan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta 
Verkossa toimivan markkinapaikan, hakukonepalvelun ja pilvipalvelun tarjoajan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. Riskienhallinnassa on huomioitava:  
1) järjestelmien ja tilojen turvallisuus; 
2) tietoturvauhkien ja häiriöiden käsittely; 
3) liiketoiminnan jatkuvuuden hallinta; 
4) seuranta, tarkastukset ja testaukset; 
5) kansainvälisten standardien noudattaminen. 
Edellä 1 momentissa tarkoitettu riskienhallintavelvoite ei koske toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148, jäljempänä verkko- ja tietoturvadirektiivi, 16 artiklan 11 kohdassa tarkoitettuja mikroyrityksiä tai pieniä yrityksiä. 
275 §  
Häiriöilmoitukset Viestintävirastolle 
Teleyrityksen on ilmoitettava viipymättä Viestintävirastolle, jos sen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää viestintäpalvelun toimivuuden tai häiritsee sitä olennaisesti. Teleyrityksen on ilmoitettava myös ilman aiheetonta viivästystä häiriön tai sen uhan arvioitu kesto ja vaikutukset, korjaustoimenpiteet sekä ne toimenpiteet, joilla häiriön toistuminen pyritään estämään. Viestintävirasto toimittaa komissiolle ja Euroopan unionin verkko- ja tietoturvavirastolle vuosittain tiivistelmäraportin ilmoituksista. 
Edellä 247 a §:ssä tarkoitetun verkossa toimivan markkinapaikan tarjoajan, hakukonepalvelun tarjoajan sekä pilvipalvelun tarjoajan on ilmoitettava viipymättä Viestintävirastolle sen palveluun kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä.  
Jos häiriöistä ilmoittaminen on yleisen edun mukaista, Viestintävirasto voi velvoittaa teleyrityksen tai palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Viestintävirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä 1 ja 2 momentissa tarkoitettujen ilmoitusten sisällöstä, muodosta ja toimittamisesta. 
Viestintäviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille.  
304 § 
Viestintäviraston erityiset tehtävät 
Sen lisäksi, mitä muualla tässä laissa säädetään, Viestintäviraston tehtävänä on: 
7) kerätä tietoa verkkopalveluihin, viestintäpalveluihin, lisäarvopalveluihin sekä tietojärjestelmiin kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekä viestintäverkkojen ja viestintäpalvelujen vika- ja häiriötilanteista; 
10) selvittää verkkopalveluihin, viestintäpalveluihin, lisäarvopalveluihin sekä tietojärjestelmiin kohdistuvia tietoturvaloukkauksia ja niiden uhkia; 
308 §  
Yhteistyö eri viranomaisten kanssa 
Viestintäviraston on toimittava yhteistyössä muiden Euroopan unionin jäsenvaltioiden verkko- ja tietoturvallisuutta valvovien viranomaisten, tietoturvaloukkauksiin reagoivien yksiköiden sekä verkko- ja tietoturvadirektiivin 11 artiklassa tarkoitetun yhteistyöryhmän kanssa. Viestintävirasto toimittaa yhteistyöryhmälle vuosittain verkko- ja tietoturvadirektiivin 10 artiklan 3 kohdan mukaisen tiivistelmäraportin. 
313 § 
Valvonta-asioiden käsittely Viestintävirastossa 
Viestintävirasto voi asettaa tässä laissa säädetyt valvontatehtävänsä tärkeysjärjestykseen. Viestintävirasto voi jättää asian tutkimatta, jos: 
2) asialla on epäillystä virheestä tai laiminlyönnistä huolimatta viestintämarkkinoiden toimivuuden, viestintäpalvelujen luotettavuuden tai sähköisen viestinnän häiriöttömyyden turvaamisen ja palveluja käyttävien edun taikka 247 a §:ssä tarkoitettujen palveluiden riskinhallinnan kannalta vain vähäinen merkitys; tai 
318 §  
Tietojen luovuttaminen viranomaisesta 
Viestintävirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Liikenteen turvallisuusvirastolle, Energiavirastolle, Finanssivalvonnalle, Sosiaali- ja terveysalan lupa- ja valvontavirastolle sekä elinkeino-, liikenne- ja ympäristökeskukselle, jos se on näille säädettyjen tietoturvallisuuteen liittyvien tehtävien hoitamiseksi välttämätöntä. 
Tämä laki tulee voimaan päivänä kuuta 20 . 
2. 
Laki  
ilmailulain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään ilmailulakiin (864/2014) uusi 128 a ja 128 b § seuraavasti: 
11 luku 
Ilmailuonnettomuudet, ilmailun etsintä- ja pelastuspalvelu, vaaratilanteet ja poikkeamat 
128 a §  
Velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta  
Lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 
Liikenteen turvallisuusviraston on arvioitava 1 momentissa tarkoitetun riskienhallinnan vaikutuksia ilmailun turvallisuuteen. Lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän on annettava Liikenteen turvallisuusvirastolle arvioinnin kannalta tarpeelliset tiedot. Virasto voi velvoittaa lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän ryhtymään korjaaviin toimenpiteisiin ilmailun turvallisuuteen kohdistuvan merkittävän riskin poistamiseksi. 
Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa 2 momentissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Valtioneuvoston asetuksella säädetään, milloin lentoasemaa on pidettävä yhteiskunnan toiminnan kannalta merkittävänä.  
128 b §  
Tietoturvapoikkeamista ilmoittaminen 
Lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä poikkeamasta. 
Jos poikkeamasta ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Liikenteen turvallisuusviraston on arvioitava koskeeko 1 momentissa tarkoitettu poikkeama muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 
Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu poikkeama on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Tämä laki tulee voimaan päivänä kuuta 20 . 
3. 
Laki 
rautatielain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään rautatielakiin (304/2011) uusi 41 a § seuraavasti: 
6 luku 
Turvallisuus 
41 a § 
Velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen  
Valtion rataverkon haltijan sekä liikenteenohjauspalvelun tarjoajan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 
Valtion rataverkon haltijan sekä liikenteenohjauspalvelun tarjoajan on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. 
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Liikenteen turvallisuusviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 
Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä pykälässä säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 2 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Tämä laki tulee voimaan päivänä kuuta 20 . 
4. 
Laki 
alusliikennepalvelulain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään alusliikennepalvelulain (623/2005) 16 §:ään uusi 5 momentti, lakiin uusi 18 a § sekä 28 §:ään, sellaisena kuin se on osaksi laissa (1307/2009), uusi 4 momentti seuraavasti: 
16 § 
Alusliikennepalvelun ylläpito 
VTS-viranomaisen on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.  
18 a §  
Tietoturvaan liittyvistä häiriöistä ilmoittaminen 
VTS-viranomaisen on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä.  
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Liikenteen turvallisuusviraston on arvioitava, koskeeko 1 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 
Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä pykälässä säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
28 § 
Valvonta 
Liikenteen turvallisuusviraston on arvioitava 16 §:n 5 momentissa tarkoitetun riskienhallinnan vaikutuksia merenkulun turvallisuuteen. Liikenteen turvallisuusvirasto voi velvoittaa ryhtymään korjaaviin toimenpiteisiin merenkulun turvallisuuteen kohdistuvan merkittävän riskin poistamiseksi. Velvoitteen tehosteeksi voidaan asettaa uhkasakko. Uhkasakosta säädetään uhkasakkolaissa (1113/1190). 
Tämä laki tulee voimaan päivänä kuuta 20 . 
5. 
Laki 
eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettuun lakiin (485/2004) uusi 7 e ja 7 f § seuraavasti: 
2 a luku 
Satamien turvatoimet 
7 e § 
Satamanpitäjän velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta  
Yhteiskunnan toiminnan kannalta merkittävän satamanpitäjä on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 
Liikenteen turvallisuusviraston on arvioitava 1 momentissa tarkoitetun riskienhallinnan vaikutuksia merenkulun turvallisuuteen. Virasto voi velvoittaa 1 momentissa tarkoitetun satamanpitäjän ryhtymään korjaaviin toimenpiteisiin merenkulun turvallisuuteen kohdistuvan merkittävän riskin poistamiseksi. Velvoitteen tehosteeksi voidaan asettaa uhkasakko. Uhkasakosta säädetään uhkasakkolaissa (1113/1190). 
Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa 2 momentissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Valtioneuvoston asetuksella säädetään, milloin 1 momentissa tarkoitettua satamaa on pidettävä yhteiskunnan toiminnan kannalta merkittävänä. 
7 f § 
Tietoturvallisuuteen liittyvistä häiriöistä ilmoittaminen 
Yhteiskunnan toiminnan kannalta merkittävän satamanpitäjän on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. 
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Liikenteen turvallisuusviraston on arvioitava, koskeeko 1 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 
Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Tämä laki tulee voimaan päivänä kuuta 20 . 
6. 
Laki 
liikenteen palveluista annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään liikenteen palveluista annetun lain (320/2017) III osan 2 lukuun uusi 7 § seuraavasti: 
7 § 
Älykkään liikennejärjestelmän ylläpitäjän velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen  
Älykkään liikennejärjestelmän ylläpitäjän on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 
Älykkään liikennejärjestelmän ylläpitäjän on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. 
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Liikenteen turvallisuusviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 
Liikenteen turvallisuusvirastolla on salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä pykälässä säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Tämä laki tulee voimaan päivänä kuuta 20 . 
7. 
Laki 
sähkömarkkinalain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan sähkömarkkinalain (588/2013) 62 §:n 1 momentti, sellaisena kuin se on laissa 590/2017, sekä 
lisätään lakiin uusi 29 a § seuraavasti: 
29 a § 
Verkonhaltijan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen  
Verkonhaltijan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.  
Verkonhaltijan on ilmoitettava viipymättä Energiavirastolle sellaisesta sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena sähkönjakelu voi keskeytyä jakeluverkossa merkittävässä laajuudessa.  
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Energiavirasto voi velvoittaa palvelun tarjoajan tiedottamaan yleisölle asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Energiaviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille jäsenvaltioille. 
Energiavirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
62 § 
Suljettua jakeluverkkoa koskevat erityissäännökset 
Suljettuun jakeluverkkoon ja suljetun jakeluverkonhaltijaan ei sovelleta 23 eikä 26 a §:ää, 27 §:n 3 momenttia, 28, 29, 29 a, 50—53, 53 a, 54—57, 57 a, 58 eikä 59 §:ää. 
Tämä laki tulee voimaan päivänä kuuta 20 . 
8. 
Laki 
maakaasumarkkinalain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään maakaasumarkkinalakiin (587/2017) uusi 34 a § seuraavasti: 
34 a § 
Siirtoverkonhaltijan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen 
Siirtoverkonhaltijan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.  
Siirtoverkonhaltijan on ilmoitettava viipymättä Energiavirastolle sellaisesta sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena maakaasun siirto voi keskeytyä siirtoverkossa merkittävässä laajuudessa.  
Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Energiavirasto voi velvoittaa siirtoverkonhaltijan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  
Energiaviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille jäsenvaltioille. 
Energiavirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
Tämä laki tulee voimaan päivänä kuuta 20 . 
9. 
Laki 
sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain 27 ja 28 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain (590/2013) 27 § sekä 28 §:n otsikko, 1 momentin johdantokappale ja 1 kohta sekä 2 ja 3 momentti seuraavasti: 
27 § 
Viranomaisten valvontayhteistyö 
Energiavirastolla on oikeus toimivaltaansa kuuluvissa asioissa tehdä valvontayhteistyötä Finanssivalvonnan, Kilpailu- ja kuluttajaviraston, Viestintäviraston, kuluttaja-asiamiehen, energia-alan sääntelyviranomaisten yhteistyöviraston, toisen ETA-valtion sääntelyviranomaisen ja Euroopan komission kanssa sekä antaa pyynnöstä virka-apua näiden suorittaessa sähkö- tai maakaasualan yritykseen liittyvää valvonta- tai tarkastustehtävää. 
28 § 
Energiaviraston oikeus luovuttaa tietoja toiselle viranomaiselle 
Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään, Energiavirastolla on oikeus luovuttaa salassapitosäännösten estämättä tietoja: 
1) Finanssivalvonnalle, Kilpailu- ja kuluttajavirastolle ja kuluttaja-asiamiehelle niiden tehtävien hoitamista varten sekä Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi; 
Energiavirastolla on oikeus luovuttaa vain sellaisia tietoja, jotka ovat tarpeen asianomaisen viranomaisen tehtävien suorittamiseksi, ja jos tietoja luovutetaan ulkomaan viranomaiselle tai kansainväliselle toimielimelle, edellyttäen, että niitä koskee kyseisten tietojen osalta vastaava salassapitovelvollisuus kuin Energiavirastoa. 
Energiavirasto ei saa luovuttaa toisen valtion viranomaiselta tai kansainväliseltä toimielimeltä saatuja salassa pidettäviä tietoja edelleen, ellei tiedon antanut viranomainen ole antanut siihen nimenomaista suostumusta. Näitä tietoja voidaan käyttää ainoastaan tämän lain mukaisten tehtävien hoitamiseen tai niihin tarkoituksiin, joita varten suostumus on annettu. 
Tämä laki tulee voimaan päivänä kuuta 20 . 
10. 
Laki 
vesihuoltolain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan vesihuoltolain (119/2001) 35 §:n 2 momentti ja 
lisätään lakiin uusi 15 b § seuraavasti: 
15 b § 
Vesihuollon häiriötilanteista ilmoittaminen 
Vesihuoltolaitoksen, joka toimittaa vettä tai ottaa vastaan jätevettä vähintään 5 000 kuutiometriä vuorokaudessa, on ilmoitettava viipymättä elinkeino-, liikenne- ja ympäristökeskukselle merkittävästä häiriöstä vesihuollossa. Jos häiriöstä ilmoittaminen on yleisen edun mukaista, elinkeino-, liikenne- ja ympäristökeskus voi velvoittaa vesihuoltolaitoksen tiedottamaan asiasta tai vesihuoltolaitosta kuultuaan tiedottaa asiasta itse. 
Mitä 1 momentissa säädetään vesihuoltolaitoksesta, koskee myös laitosta, joka toimittaa vettä vesihuoltolaitokselle tai ottaa vastaan jätevettä vesihuoltolaitokselta. 
Elinkeino-, liikenne- ja ympäristökeskus toimittaa 1 momentissa tarkoitetun ilmoituksen tiedoksi maa- ja metsätalousministeriölle. Elinkeino-, liikenne- ja ympäristökeskuksen on lisäksi arvioitava, koskeeko 1 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltiota, ja ilmoitettava häiriöstä tarvittaessa jäsenvaltion asianomaiselle viranomaiselle.  
Maa- ja metsätalousministeriö voi antaa asetuksella tarkempia säännöksiä siitä, milloin 1 momentissa tarkoitettua vesihuollon häiriötä on pidettävä merkittävänä, sekä momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta. 
35 § 
Salassapitovelvollisuus 
Viranomaisten toiminnan julkisuudesta annetussa laissa säädetyn salassapitovelvollisuuden estämättä saa tämän lain mukaisia tehtäviä suoritettaessa saatuja tietoja yksityisen tai yhteisön taloudellisesta asemasta, liike- tai ammattisalaisuudesta taikka yksityisen henkilökohtaisista oloista luovuttaa: 
1) valvontaviranomaiselle tämän lain mukaisten tehtävien suorittamista varten; 
2) rikoksen selvittämiseksi syyttäjä- ja poliisiviranomaiselle; 
3) Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 
Tämä laki tulee voimaan päivänä kuuta 20 . 
11. 
Laki 
Finanssivalvonnasta annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
lisätään finanssivalvonnasta annettuun lakiin (878/2008) uusi 50 n ja 52 a § seuraavasti: 
50 n § 
Toiminta verkko- ja tietoturvadirektiivissä tarkoitettuna toimivaltaisena viranomaisena 
Finanssivalvonta toimii yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148, jäljempänä verkko- ja tietoturvadirektiivi, 8 artiklan 1 kohdassa tarkoitettuna toimivaltaisena viranomaisena direktiivin liitteen II toimialojen 3 ja 4 osalta. 
52 a § 
Yhteistyö ja tietojenvaihto verkko- ja tietoturvadirektiivin mukaisten tehtävien hoitamisessa 
Finanssivalvonnan on tehtävä yhteistyötä verkko- ja tietoturvadirektiivin mukaisten tehtävien hoitamisessa Viestintäviraston ja muiden tarpeellisten viranomaisten kanssa. Finanssivalvonnalla on tätä tarkoitusta varten oikeus salassapitosäännösten estämättä vaihtaa tietoja Viestintäviraston ja muiden tarpeellisten viranomaisten kanssa. 
Tämä laki tulee voimaan päivänä kuuta 20 . 
Valiokunnan uusi lakiehdotus
12. 
Laki 
Sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain 6 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain (669/2008) 6 § sellaisena kuin se on osaksi laeissa 1068/2009, 1569/2009 ja 818/2015 seuraavasti:  
6 § 
Tietojen antaminen 
Valtion ja kunnan viranomainen sekä muu julkisoikeudellinen yhteisö, Kansaneläkelaitos, Eläketurvakeskus, potilasvahinkolautakunta, eläkesäätiö ja muu eläkelaitos, vakuutuslaitos, huoltotoimintaa tai sairaanhoitotoimintaa harjoittava yhteisö tai laitos, yksityisten sosiaalipalvelujen tuottaja sekä apteekki ovat velvollisia pyynnöstä antamaan maksutta virastolle 2 §:ssä tarkoitettujen tehtävien suorittamiseksi välttämättömät tiedot ja selvitykset sen estämättä, mitä salassapitovelvollisuudesta säädetään.  
Edellä 1 momentissa tarkoitetulla viranomaisella, yhteisöllä ja laitoksella sekä apteekilla on salassapitosäännösten estämättä oikeus ilman viraston pyyntöäkin ilmoittaa sille seikasta, joka voi vaarantaa asiakas- tai potilasturvallisuutta, elinympäristön tai väestön terveellisyyttä tai turvallisuutta taikka joka voi vaikuttaa valvottavan toiminnanharjoittajan luotettavuusarviointiin. 
Virastolla ja aluehallintovirastoilla on salassapitosäännösten estämättä oikeus luovuttaa toisilleen 2 §:ssä tarkoitettujen tehtävien suorittamisessa tarvittavat tiedot ja selvitykset.  
Virastolla on oikeus luovuttaa salassapitosäännösten estämättä tietoja Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. (Uusi) 
Edellä 3 momentissa tarkoitetut tiedot ja selvitykset voidaan luovuttaa myös teknisen käyttöyhteyden avulla. Ennen teknisen käyttöyhteyden avaamista on varmistuttava tietojen asianmukaisesta suojaamisesta.  
Tämä laki tulee voimaan päivänä kuuta 20
Helsingissä 22.3.2018 
Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa
puheenjohtaja
Ari
Jalonen
sin
varapuheenjohtaja
Mirja
Vehkaperä
kesk
jäsen
Mikko
Alatalo
kesk
jäsen
Jyrki
Kasvi
vihr
jäsen
Jukka
Kopra
kok
jäsen
Mia
Laiho
kok
jäsen
Mats
Löfström
r
jäsen
Eeva-Maria
Maijala
kesk
jäsen
Jani
Mäkelä
ps
jäsen
Markku
Pakkanen
kesk
jäsen
Jari
Ronkainen
ps
jäsen
Satu
Taavitsainen
sd
jäsen
Katja
Taimela
sd
jäsen
Ari
Torniainen
kesk
Valiokunnan sihteerinä on toiminut
valiokuntaneuvos
Juha
Perttula
Viimeksi julkaistu 27.3.2018 13:36