Allmän motivering

Säkerhetsnätsprojektet

I slutet av 2007 startade regeringen ett planeringsprojekt för att främja nätsäkerheten inom den offentliga förvaltningen. Projektet hade som uppgift att planera ett säkert datakommunikationsnät och nättjänster för förvaltningen, i synnerhet för säkerhetsmyndigheterna. Ett fortsättningsprojekt startade 2009 och dess syfte var att integrera inrikesförvaltningens datakommunikationstjänster i försvarsmaktens kommunikationsnät och därmed att lägga grunden för säkerhetsnätets nät- och kommunikationstjänster. Utgångspunkten har varit att dessa sammanlänkade nät ska bilda säkerhetsnätets basnät. Nätet har byggts ut och åren 2009-2013 har omkring 200 miljoner euro investerats i det inom projektet för förvaltningen säkerhetsnät (Tuve).

Det är meningen att det kommande säkerhetsnätet ska erbjuda de centrala säkerhetsmyndigheter och statsledningen, inklusive ministerierna, en datakommunikationslösning med hög beredskaps- och säkerhetsnivå. Grundtanken är att säkerställa att säkerhetsmyndigheternas datakommunikation är skyddad och fungerar, att det kritiska informationsmaterial som myndigheterna i fråga förfogar över lagras och administreras i Finland och att ett överdrivet beroende av kommersiella aktörer kan undvikas. Syftet med Tuve är också att ge statsledningen bättre förutsättningar att fatta beslut, ge en bättre lägesbild, förbättra informationsutbytet mellan myndigheterna och förbättra förutsättningarna för integrerad och obestridlig information i alla säkerhetssituationer. De huvudprinciper är samhälleligt mycket viktiga, menar utskottet.

Utskottet vill poängtera att säkerhetsnätet är avsett att kunna användas under alla förhållanden och att det måste fungera tillförlitligt såväl i den dagliga användningen som vid störningar under normala förhållanden och under undantagsförhållanden. Med andra ord måste nätet vara funktionsdugligt bl.a. i händelse av naturfenomen, elavbrott eller webbattacker.

Ett av de grundläggande syftena med säkerhetsnätsprojektet är att genom ett enhetligt säkerhetsnät undanröja behovet för enskilda myndigheter att själva bygga upp och upprätthålla egna datakommunikationsförbindelser, utrustningslokaler och andra informations- och kommunikationstekniska lösningar som uppfyller kraven på säkerhet och beredskap, påpekar utskottet.

Behovet av lagstiftning om verksamheten i den offentliga förvaltningens säkerhetsnät

Utskottet påpekar att den gällande lagstiftningen innehåller bestämmelser om den offentliga förvaltningens säkerhetsnät men inte om säkerhetsnätsverksamheten. Lagstiftningen innehåller ändå flera bestämmelser som måste beaktas i den nya lagen om verksamheten i den offentliga förvaltningens säkerhetsnät. Enligt utskottets uppfattning krävs det lagstöd åtminstone i anknytning till att olika säkerhetsmyndigheter ska få använda sig av försvarsmaktens stamnät och att uppgifter och produktionsansvar ska bestämmas för den som tillhandahåller tjänster i säkerhetsnätet.

Vidare påpekar utskottet att den föreslagna nya lagen behövs för att definiera säkerhetsnätet, dess tjänster och användningen av tjänsterna och för att bestämma grunderna för övrig verksamhet i säkerhetsnätet. Säkerhetsnätet är enligt förslaget ett i kommunikationsmarknadslagen () avsett myndighetsnät som ägs och förvaltas av staten. Med ett myndighetsnät avses enligt den preciserade formuleringen av kommunikationsmarknadslagen i lagförslag 2 ett kommunikationsnät som byggts för behov i anslutning till statens ledning och säkerhet, försvaret, allmän ordning och säkerhet, gränssäkerhet, räddningsverksamhet, sjöräddning, nödcentralsverksamhet, invandring, prehospital akutsjukvård eller befolkningsskyddet. Anslutningar i nätet kan tillhandahållas utom myndigheterna även andra användargrupper som är nödvändiga med hänsyn till skötseln av ovan avsedda uppgifter.

Utskottet påpekar att kommunikationsmarknadslagen har upphävts genom den informationssamhällsbalk () som träder i kraft vid ingången av 2015. Definitionen av myndighetsnät ingår i 250 § i informationssamhällsbalken med samma innehåll som i lagförslag 2. Den enda ändringen är att informationssamhällsbalken också nämner säkerheten i järnvägstrafiken som en orsak till att bygga upp ett myndighetsnät. Utskottet föreslår nedan i detaljmotiveringen att lagförslag 2 i propositionen ska förkastas.

Även om säkerhetsnätets infrastruktur och tjänster måste bygga på kravet på hög beredskap och säkerhet kommer nätet att användas i det dagliga myndighetsarbetet. Syftet med den föreslagna lagstiftningen om säkerhetsnätet är att ha datanät och tjänster som backar upp kravet på beredskap och säkerhet och ligger inom ramen för en enhetlig och funktionssäker infrastruktur, statsägd tjänsteproduktion och enhetlig styrmodell. Avsikten är att när tjänsterna och verksamhetsmodellerna enligt lagförslag 1 (Tuve) införs kan myndigheterna bedriva en allt mer säker verksamhet också under undantagsförhållanden och vid störningar under normala förhållanden, särskilt när dessa gäller informationssäkerheten. Både undantagsförhållanden och störningar blir allt vanligare. Kravet på hög beredskap preciseras inte närmare i lagförslaget, men det som avses är att säkerhetsnätets kommunikationsnät, utrustningslokaler, utrustning och annan infrastruktur samt de gemensamma tjänsterna och tjänsteproduktionen ska byggas upp och organiseras på ett sätt där nätanvändningen kan garanteras under alla förhållanden. I detaljmotiveringen till propositionen anges det närmare vad som avses med informationssäkerhet för informations- och kommunikationstekniska tjänster med beredskap på hög nivå. De måste uppfylla kraven på informationssäkerhet enligt skyddsnivåer IV—II i 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen () och kraven på särskilt känsligt informationsmaterial (exempelvis lag om internationella förpliktelser som gäller informationssäkerhet).

Utskottet poängterar att ingen av de sakkunniga som hörts har ifrågasatt behovet av den nya lagstiftningen.

Säkerhetsnätets verksamhet

Enligt propositionsmotiven ska säkerhetsnätets verksamhet bestå av två delområden: själva nätet och dess styrning. Enligt 1 § i den föreslagna säkerhetsnätslagen ska säkerhetsnätet omfatta ett kommunikationsnät och med det direkt sammanhörande utrustningsutrymmen, utrustning och annan infrastruktur samt säkerhetsnätets gemensamma tjänster. Med säkerhetsnätets verksamhet avses enligt regeringens detaljmotivering den administrativa, funktionella och tekniska helhet av de nämnda delområdena, inom vilken verksamheten i fråga om säkerhetsnätet och de tjänster och tjänsteproducenter som hör samman med det samt styrningen av och tillsynen över säkerhetsnätet sammanförs.

Avsikten är att de ministerier som har en central roll när det gäller samhällets säkerhet plus försvarsmakten, Försörjningsberedskapscentralen och Finlands Kommunförbund ska delta i styrningen av verksamheten i säkerhetsnätet. Till verksamhetshelheten hör enligt propositionen också sådana uppgifter som kräver teknisk och funktionell specialsakkunskap och som stöder den verksamhet som bedrivs av myndigheter, och enligt lagförslaget kan det helt statsägda aktiebolaget Suomen Erillisverkot Oy eller ett dotterbolag som helt ägs av det bolaget vara tjänsteproducent som ansvarar för dessa uppgifter.

Skyldighet att använda säkerhetsnätet

Enligt föreslagna 2 § ska säkerhetsnätet användas i myndigheternas interna, inbördes och externa samarbete och kommunikation som ansluter sig till statens ledning och säkerhet, försvaret, den allmänna ordningen och säkerheten, gränssäkerheten, räddningsverksamheten, sjöräddningen, nödcentralsverksamheten, invandringen och den prehospitala akutsjukvården och där kraven på hög beredskap eller hög säkerhet iakttas.

Av 3 § i lagförslaget framgår i sin tur de myndigheter som måste använda säkerhetsnätet i de uppgifter som anknyter till sådan verksamhet.

Utskottet anser att skyldigheten att använda säkerhetsnätet anges i lag både funktionellt och organisatoriskt. Den funktionella räckvidden anger de för den högsta statsledningen och säkerheten centrala funktioner där kommunikationen kräver att säkerhetsnätet används. Det är i syfte att precisera skyldigheten motiverat att också organisatoriskt ange vem den gäller. Detta sker lämpligen genom att man i lag räknar upp de myndigheter som ska använda säkerhetsnätet. Det är viktigt, menar utskottet, att de myndigheter som är viktigast med avseende på samhällets säkerhet åläggs att använda säkerhetsnätet när deras kommunikation och samverkan måste uppfylla kraven på hög beredskap och säkerhet. Utskottet understryker hur viktigt det är att de aktörer som omfattas av den föreslagna skyldigheten börjar använda nätet och dess tjänster, bland annat med avseende på genomförandet av strategin för cybersäkerhet i Finland. Bestämmelserna om skyldigheten att använda säkerhetsnätet utgör en precisering av 1 § om lagens syfte och tillämpningsområde.

Också de viktigaste samarbetspartnerna till de myndigheter som omfattas av användningsskyldigheten kan tillåtas att använda säkerhetsnätet när villkoren enligt den föreslagna lagen är uppfyllda.

Under sakkunnigutfrågningen framfördes farhågor för huruvida verksamheten i säkerhetsnätet jämlikt kan tillgodose behoven för alla aktörer som är skyldiga att använda nätet. Exempelvis har det ansetts svårt att på ett rättvist sätt tillgodose och jämka samman försvarets, Nödcentralsverkets och den prehospitala akutsjukvårdens krav samtidigt och kostnadseffektivt. Under utfrågningen har det också framförts att det i säkerhetsnätet också måste gå att förmedla information säkert bl.a. i enlighet med EU:s och andra internationella krav.

Enligt uppgift ska de principer utifrån vilka tjänsterna kan förvaltas och prioriteras i olika situationer anges närmare på lägre normnivå. Därvid ska det finnas en balans mellan de olika nätanvändarnas behov utifrån vad den då aktuella situationen kräver. Det är enligt inkommen utredning möjligt att uppnå tillräcklig beredskap bl.a. genom kontroll över kapaciteten och prioritetsklassificeringen i fråga om kapacitetsutnyttjandet. Det sker med hjälp av tekniska och funktionsrelaterade lösningar inom säkerhetsnätet. Det är meningen att säkerhetsnätet ska utgöra grundläggande infrastruktur som såväl nationella som EU:s och andra internationella kommunikationslösningar med hög skyddsnivå ska kunna luta sig mot.

I detta sammanhang bör en sakfråga lyftas fram, nämligen skyddspolisens funktionella informationssystem, som finns i skyddspolisens operativa datanät. Nätet är separat från polisens datanät. Skyddspolisen anser att denna ordning bör bestå även fortsättningsvis. I detta avseende påpekar förvaltningsutskottet att enligt 5 § i den föreslagna lagen ska sådan utrustning och sådana informationssystem som omfattas av kravet på hög beredskap eller hög säkerhet och används direkt i sådan verksamhet som avses i 2 § 1 mom. vara placerade i utrustningsutrymmen i anslutning till säkerhetsnätet, om det inte av tekniska eller funktionella skäl är nödvändigt att de helt eller delvis placeras i andra utrustningsutrymmen. Enligt utskottet uppfattning ger denna möjlighet till undantag tillräckliga förutsättningar för att lösningar ska gå att finna separat från säkerhetsnätet när det finns särskilda behov, såsom exempelvis i fråga om skyddspolisens funktionella informationssystem.

Utskottet pekar vidare på att säkerhetsnätet utöver statliga myndigheter också berör kommunal aktörer, eftersom skyldigheten att använda nätet även gäller räddningsväsendet och den prehospitala akutsjukvården. Kommunerna inom ett räddningsområde ansvarar i samverkan för räddningsväsendet. För den prehospitala akutsjukvården ansvarar numera å sin sida sjukvårdsdistrikten, dvs. samkommuner bestående av flera kommunerna. Enligt planerna ska det för myndigheterna gemensamma fältledningssystemet stödja sig på säkerhetsnätets infrastruktur. Om planen förverkligas blir det möjligt för statliga och kommunala aktörer att få en gemensam lägesbild och informationsutbyte i realtid.

Enligt den föreslagna 28 § ska de användningsskyldiga användarna av säkerhetsnätet börja anlita säkerhetsnätets tjänster senast när de i lagen (7, 9 och 11 §) avsedda tjänsterna är tillgängliga och det serviceavtal för en tjänst som anskaffats självständigt och som motsvarar tjänsten i fråga har upphört att gälla. Det är meningen att användarna ska anslutas till nätet allteftersom de har förutsättningar för en säker anslutning och tjänsterna för den berörda användargruppen är godkända för att kan börja användas. Ett sådant förfarande medger att anslutningen till säkerhetsnätet kan ske på ett säkert sätt och med bevarande av funktionssäkerheten, också i fråga om de kommunala aktörerna.

Tjänsteproduktionen i säkerhetsnätet

Tjänsteproduktionen i säkerhetsnätet ska enligt förslaget indelas i följande tre servicehelheter: 1) nät- och infrastrukturtjänster, 2) gemensamma informations- och kommunikationstekniska tjänster och 3) integrationstjänster. Enligt lagförslaget ska den som tillhandahåller tjänster i säkerhetsnätet (tjänsteproducenten) ha ensamrätt när det gäller att producera de lagstadgade tjänsterna, varvid tjänsterna med stöd av 12 § i lagen om offentlig upphandling () inte behöver upphandlas. Under expertutfrågningen framfördes märkbart mycket kritik mot tjänsteproduktionen enligt lagförslaget. Därför behöver produktionen av var och en av servicehelheterna granskas närmare också i de allmänna motiven till detta betänkande. De ändringar som utskottet föreslår i bestämmelserna om tjänsteproduktion framgår av detaljmotiveringen.

Bestämmelserna om tjänsterna inom säkerhetsnätsverksamheten och bestämmelserna om de uppgifter som ansvaret för tjänsteproduktionen medför är synnerligen vagt formulerade. Dessutom innehåller lagförslaget begrepp som saknar en detaljerad definition, vilket ger dem ett delvis oklart innehåll, och detta gäller inte bara kapitlet om tjänsteproduktion.

Utskottet erfar att det är svårt att definiera begreppen entydigt, eftersom varken termerna eller verksamhetsformerna är helt etablerade inom IKT-sektorn och den offentliga förvaltningen i detta avseende. Lagen bereddes utifrån avsikten att de s.k. servicehelheternas innehåll kommer att preciseras i en förordning som statsrådet utfärdar med stöd av den föreslagna lagen. Förordningen ska innehålla bestämmelser om tjänsterna och tjänsteproducenternas uppgifter. Enligt utskottets bedömning kan en förordning åtminstone delvis leda till tydligare och mer begripliga bestämmelser. Men det skulle ha varit mer funktionellt att definiera begreppen tillräckligt exakt i lagen eller åtminstone i motiveringen till lagförslaget, särskilt när man beaktar att det är fråga om svåröverskådliga bestämmelser också i fråga om sakinnehåll. Utskottet har haft tillgång till ett preliminärt utkast av den 26 november 2013 till statsrådets förordning om verksamheten i säkerhetsnätet.

Nät- och infrastrukturtjänster

Enligt lagförslaget ska nät- och infrastrukturtjänsterna i säkerhetsnätet produceras av ett icke-vinstdrivande och helt statsägt aktiebolag, Suomen Erillisverkot Oy. Enligt bolagsordningen hör det till bolagets verksamhetsområde att bygga och sköta driften av datakommunikationsnät och andra säkerhetsnät som används av myndigheter inom den offentliga förvaltningen och som hänför sig till samhällets säkerhet samt att tillhandahålla och erbjuda konsultationer i anslutning till dessa tjänster. Bolaget får också äga och besitta de avsedda telenäten plus fastigheter och aktier. Till Suomen Erillisverkot-koncernen hör Suomen Turvallisuusverkko Oy, Virve Oy (Virveverkko), Virve Tuotteet ja Palvelut Oy, Leijonaverkot Oy (produktionslokalerna) och Johtotieto Oy.

Ett särskilt drag i de föreslagna bestämmelserna är att också ett dotterbolag som bolaget bildat och helt och hållet äger får producera nät- och infrastrukturtjänsterna. Det förhåller sig i själva verket så att aktiebolaget Suomen Turvallisuusverkko Oy bildats för detta ändamål. Dotterbolaget får inte ha andra uppgifter eller funktioner och det får inte ha som syfte att uppnå företagsekonomisk vinst. Med andra ord kan dotterbolaget inte bedriva verksamhet på en konkurrensutsatt marknad.

Det sägs i lagförslaget att bolaget administrativt, funktionellt och ekonomiskt ska avskilja den verksamhet som avses i lagförslaget från sin övriga verksamhet.

Enligt en av de föreslagna övergångsbestämmelserna ska också försvarsmakten och Statens IT-servicecentral vid Statskontoret producera nät- och infrastrukturtjänster under en övergångsperiod. Numera ansvarar Statens center för informations- och kommunikationsteknik Valtori för IT-servicecentralens uppgifter.

Producenten av nät- och infrastrukturtjänster ska med ensamrätt producera, upprätthålla och utveckla säkerhetsnätets nättjänster. Nättjänsterna i säkerhetsnätet består av datakommunikationsförbindelser som användarna använder för att ansluta sina lokalnät och säkerhetsnätets serversalar till varandra. Tjänsteproducenten ska också ansvara för de drifts- och applikationstjänster som är direkt kopplade till nättjänsterna, men inte i övrigt vara drift- och applikationsoperatör i fråga om tjänsterna.

Producenten ska också med ensamrätt administrera säkerhetsnätets utrustningslokaler och utrustning samt producera, upprätthålla och utveckla andra infrastrukturtjänster i säkerhetsnätet. Med andra tjänster avses tillhandahållande av sådana utrustningsutrymmen och platser för utrustning där det går att placera sådan utrustning som behövs för datakommunikationsförbindelser eller informationssystem som kräver hög beredskap eller hög säkerhet. Exempelvis säkerhetsnätets kablar, master och länkstationer är sådan utrustning.

Det viktigaste syftet med säkerhetsnätsverksamheten är att se till att statens och samhällets kärnfunktioner och den tillhörande kommunikationen kan fungera utan störningar och konfidentiellt. Grundlagsutskottet slår i sitt utlåtande fast att det är fråga om uppdrag som är väsentliga med tanke på statens säkerhet och de offentliga verksamheternas kontinuitet och vars främsta syfte är att bevara datasekretessen. Enligt det utlåtandet måste verksamheten på det hela taget betraktas som en offentlig förvaltningsuppgift som avses i 124 § i grundlagen. De föreslagna bestämmelserna om att ge uppgifter som hör till säkerhetsnätets verksamhet till någon annan än en myndighet bör därför också bedömas utifrån 124 § i grundlagen, anser grundlagsutskottet.

Det i 6 § i lagförslag 1 avsedda helt statsägda aktiebolaget eller av bolaget helägda dotterbolag som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet ska bland annat producera och upprätthålla säkerhetsnätets nättjänster, administrera säkerhetsnätets utrustningslokaler och utrustning och inom sitt uppgiftsområde svara för att de krav på säkerhet, aktionsberedskap, annan beredskap och kontinuitet som gäller säkerhetsnätet uppfylls under normala förhållanden och under undantagsförhållanden. Grundlagsutskottet konstaterar i sitt utlåtande att det i sak är fråga om uppgifter av teknisk natur som stöder myndigheternas verksamhet och som i hög grad genomförs under de statliga myndigheternas översyn och styrning. Även om verksamheten skapar förutsättningar för betydande utövning av offentlig makt har tjänsteproducenterna inte själva sådana uppgifter som kan anses vara utövning av offentlig makt enligt grundlagens 124 §.

Vidare påpekar grundlagsutskottet att kravet på ändamålsenlighet i 124 § är ett juridiskt villkor och det måste bedömas från fall till fall huruvida kravet uppfylls. I detta sammanhang måste bland annat förvaltningsuppgiftens karaktär beaktas. Enligt förarbetena till grundlagen ska man vid bedömning av ändamålsenligheten uppmärksamma dels förvaltningens effektivitet och övriga interna behov, dels enskilda personers och sammanslutningars behov.

I propositionen motiveras överföring av offentliga förvaltningsuppgifter till ett helt statsägt aktiebolag med att ett aktiebolag jämfört med ett statligt ämbetsverk har bättre möjligheter att klara av ett långsiktigt strategiskt utvecklande och hanteringen av investeringar, där man på ett smidigt sätt även kan beakta att tillhandahållandet av IKT-tjänster inom statsförvaltningen utvecklas på ett övergripande sätt. Förfarandets ändamålsenlighet har dessutom motiverats med att uppgifterna till sin karaktär kräver särskild informations- och kommunikationsteknisk sakkunskap, att investeringarna är långsiktiga och att det krävs fortsatta investeringar för utveckling.

Grundlagsutskottet fäster uppmärksamhet vid att arrangemangets ändamålsenlighet motiveras främst med faktorer som gäller ekonomisk långsiktighet och sakkunskap. Däremot motiveras ändamålsenligheten till exempel inte med grunder som syftar till att garantera funktionssäkerhet, tillförlitlighet, datasäkerhet eller riskhantering trots att syftet med bestämmelserna uttryckligen är att skapa förutsättningar för myndighetsverksamhet som är väsentlig med hänsyn till statens och samhällets säkerhet.

Grundlagsutskottet menar att det inte på något sätt är självklart att utvecklingen av verksamheten på lång sikt eller garanterad sakkunskap bättre kan säkerställas om tjänsterna produceras av ett aktiebolag och inte av myndigheter. Enligt uppgift till utskottet är till exempel myndighetsverksamheten i Statens center för informations- och kommunikationsteknik Valtori organiserad så att investeringsutgifterna kan hanteras mera långsiktigt än i sedvanlig myndighetsverksamhet. Styrningen av och tillsynen över verksamheten kan dessutom sannolikt skötas enklare och mera direkt om en myndighet har hand om uppgifterna. Grundlagsutskottet slår fast att man på goda grunder kan ställa sig skeptiskt till hur ändamålsenligt förfarandet enligt propositionen är. Kravet på ändamålsenlighet i 124 § i grundlagen kan enligt grundlagsutskottet inte i detta fall direkt anses utgöra ett absolut hinder för de föreslagna bestämmelserna, eftersom det är fråga om tekniska uppgifter i anknytning till tjänsteproduktion.

Förvaltningsutskottet konstaterar liksom grundlagsutskottet att för att offentliga förvaltningsuppgifter ska kunna anförtros andra än myndigheter krävs det att detta inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. De föreslagna bestämmelserna måste enligt vad grundlagsutskottet bedömer granskas med beaktande av att aktiebolagets verksamhet som producent av nät- och infrastrukturtjänster i synnerhet i dagens informationssamhälle är av väsentlig betydelse när man ska trygga de kärnfunktioner som gäller statsledningen och samhällets säkerhet. Det är delvis, åtminstone indirekt, också fråga om att uppgifter som gäller privatpersoners personuppgifter och privatliv förblir konfidentiella.

I fråga om sådan reglering måste särskilt höga krav ställas på att funktionerna förblir tillförlitliga och funktionssäkra och på att de behandlade uppgifternas konfidentialitet garanteras. Dessutom måste myndigheterna övervaka och instruera tjänsteproducenterna på ett effektivt och heltäckande sätt.

Grundlagsutskottet påpekar att den administrativa styrningen och tillsynen av aktiebolag i princip inte kan ligga på samma nivå eller vara lika effektiv som när det gäller myndighetsverksamhet. Det bör också beaktas att avsikten i praktiken är att ett dotterbolag till aktiebolaget Suomen Erillisverkot Oy ska ha hand om säkerhetsnätets nät- och infrastrukturtjänster, vilket innebär att myndighetstillsynen och myndighetsstyrningen blir ännu mer indirekt. Samtidigt har det skrivits in i lag att tjänsteproducenten är ett icke-vinstdrivande, helt statsägt aktiebolag eller ett dotterbolag som aktiebolaget äger helt och hållet. Det innebär enligt grundlagsutskottet att tillsynen och styrningen är något lättare att ordna än om det vore fråga om ett rent kommersiellt företag.

Som komplement till detta konstaterar förvaltningsutskottet att man måste kräva särskild offentlig tillförlitlighet och ansvarighet vid produktion och upprätthållande av samhälleligt kritisk infrastruktur som direkt stöder statens kärnfunktioner. Det är fråga om att se till att den högsta statsledningen och säkerhetsmyndigheterna kan fungera. Bestämmelserna gäller de centrala funktionerna för statens, samhällets och myndighetsverksamhetens och samtidigt också individens säkerhet. De allmänna principerna för statsförvaltningens organisation och 124 § i grundlagen talar för att säkerhetsnätets verksamhet till fullo ska vara myndighetsdriven under statsrådets omedelbara ledning och tillsyn. Det finns emellertid liksom grundlagsutskottet säger i detta enskilda fall inget absolut konstitutionellt hinder för den ordning som regeringen föreslår och som säkerhetsnätet till stora delar planerats enligt och byggts upp kring.

Enligt inkommen utredning är de centrala säkerhetsmyndigheterna, såsom försvarsförvaltningen och inrikesministeriet, i praktiken redan anslutna till säkerhetsnätet och det aktiebolag som bildats för att producera nät- och infrastrukturtjänsterna, Suomen Turvallisuusverkko Oy, har redan skapat en organisation och förberett sig på att börja producera tjänster och överta affärsverksamheten. Därför ställs lagstiftaren nu inför fullbordat faktum och utskottet har enligt sin uppfattning egentligen ingen faktisk möjlighet att komma fram till en annan lösning än den som regeringen föreslår.

Vidare vill förvaltningsutskottet i fråga om nät- och infrastrukturtjänsterna hänvisa särskilt till vad den säger i detaljmotiveringen om bl.a. tillsyn och styrning. Syftet med de ändringar som utskottet föreslår är också i övrigt att minska de risker som onekligen är förknippade med den verksamhetsmodell som regeringen föreslår.

Informations- och kommunikationstekniska tjänster

Uppgiften som producent av informations- och kommunikationstekniska tjänster i säkerhetsnätet kan enligt lagförslaget skötas av en myndighet inom den offentliga förvaltningen eller en aktör inom IKT-branschen som utsetts för denna uppgift.

De föreslagna bestämmelserna ger möjlighet att överföra uppgifterna också till en privaträttslig juridisk person, såsom ett IKT-företag. Beaktar man detta kan bestämmelserna i 8 § anses vara synnerligen allmänt och inexakt utformade i fråga om en eventuell överföring av statens rättigheter och skyldigheter, menar grundlagsutskottet. Både bestämmelserna och deras motiv måste i detta avseende kompletteras väsentligt för att grundlagsutskottet ska kunna bedöma dem utifrån kraven i 124 § i grundlagen.

Enligt inkommen utredning har planerna i fråga om producenten av IKT-tjänster i säkerhetsnätet emellertid preciserats allt eftersom beredningen framskridit. Det är meningen att en myndighet ska ha hand om dessa uppgifter. Det framgår av grundlagsutskottets utlåtande att omnämnandet av "en aktör inom den informations- och kommunikationstekniska branschen" som eventuell tjänsteproducent måste utgå ur 8 § 1 mom. i lagförslag 1 för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning.

Den som producerar IKT-tjänsterna ska med ensamrätt tillhandahålla, upprätthålla och utveckla gemensamma informations- och kommunikationstekniska tjänster i säkerhetsnätet. Det rör sig om sådana tjänster som krävs för en säker användning av och kommunikation inom säkerhetsnätet och som stöder anslutning till informationssystemtjänster i nätets utrustningslokaler, tjänster som stöder användning av informationssystem i nätets utrustningslokaler och tjänster som tillhandahålls i serversalar i utrustningslokaler i anslutning till säkerhetsnätet.

Många av de utfrågade sakkunniga förhåller sig tveksamma eller direkt negativa till planerna på att tjänsterna i säkerhetsnätet ska produceras av Valtori, ett servicecenter för branschoberoende IKT-tjänster (, RP 150/2013 rd och FvUB 18/2013 rd). Synpunkter som framförts är bland annat att ett nätverk för den högsta statsledningen och säkerhetsmyndigheterna ska hållas separat från de branschoberoende tjänsterna i Valtori. Det anses också viktigt att verksamheten i säkerhetsnätet förvaltas och styrs som en samlad helhet och att inga delar överförs till Valtori. Det framgår vidare av sakkunnigyttrandena att Tori-verksamheten siktar på kostnadseffektivitet, medan tonvikten i verksamheten i säkerhetsnätet ligger på hög beredskap, datasäkerhet och tillgänglighetsnivå. Tori-tjänsterna är avsedda för säkerhetsnivåerna IV och III, medan tjänsterna i säkerhetsnätet är avsedda för nivåerna III och II. Det har enligt ett yttrande till och med ansetts omöjligt att få dessa två tillvägagångssätt att fungera inom samma organisation, bl.a. för att gränserna mellan säkerhetsnivåerna är så pass oklara.

Försvarsutskottet understryker i sitt utlåtande vikten av samordning av lagförslagen om säkerhetsnätet och om Tori också med projektet för en integrationsplattform, särskilt ur tjänsteproduktionens synvinkel.

Enligt lagförslaget ska producenten av IKT-tjänster i säkerhetsnätet avskilja verksamheten enligt den aktuella lagen från sin övriga verksamhet i administrativt, funktionellt och ekonomiskt hänseende. Utskottet erfar att detta ger möjlighet att uppnå lagens syfte och säkerställer dessutom tillräcklig kompetens för tjänsteproduktion i säkerhetsnätet och de resurser som behövs för hög beredskap.

Övergångsbestämmelsen i lagförslaget säger att Förvaltningens IT-central (Haltik) ska tillhandahålla säkerhetsnätets informations- och kommunikationstekniska tjänster högst till den 31 december 2014. Efter det är det meningen att tjänsteproduktionen ska överföras till Statens center för informations- och kommunikationsteknik Valtori, ett servicecenter som producerar statens icke branschspecifika IKT-tjänster (servicecentret Tori). Det är meningen att tjänsteproduktionen efter övergångstiden ska fortsätta utifrån samma principer och i huvudsak med samma personal. Utskottet föreslår i detaljmotiven att övergångsperioden ska vara två år från lagens ikraftträdande.

Med statens icke branschspecifika IKT-tjänster avses sådana tjänster som kan tillhandahållas eller genomföras utan betydande branschspecifikt kunnande och som grundar sig på utrustning och datatekniska lösningar, inklusive den teknik som hänför sig till dessa, som används allmänt. Enligt inkommen utredning kommer servicecentret att bättre kunna övervaka, kontrollera och upprätthålla tidsmässigt kritiska tjänster i säkerhetsnätet när det får dygnet runt-kapacitet sju dagar i veckan (24/7). Till denna hanteringsfunktion kommer att fogas tjänster som tas fram inom projektet för bättre förebyggande och reaktionsförmåga när det gäller hot mot datasäkerheten (SecICT). Dessa nya funktioner och tjänster kommer att komplettera servicecentrets kapacitet att vara tjänsteproducent med hög beredskap och säkerhet enligt kraven i lagen om säkerhetsnätet och förmåga att svara bl.a. mot den senaste tidens hot mot datasäkerheten.

Genom att avskilja tjänsterna i säkerhetsnätet från servicecentrets övriga verksamhet i administrativt, funktionellt och ekonomiskt hänseende bör man se till att syftet med verksamhetens i säkerhetsnätet uppnås bl.a. i fråga om datasäkerhetsreglerna, it-säkerhetskulturen och tillräcklig resursering som kräver hög beredskap och även beaktar eventuella undantagsförhållanden, understryker förvaltningsutskottet. Om servicecentret Tori ska kunna leva upp till vad som krävs av det, är det ändamålsenligt att samla datasäkerhetspersonalen till en separat enhet för lagen om säkerhetsnätet när ansvaret för att producera de IKT-tjänster i säkerhetsnätet som avses i 8 §. Det är viktigt att genom den 24/7-övervaknings- och händelsehanteringskapacitet som byggs upp i servicecentret sörja för de användargruppers behov som kräver stark kontinuitet. Genom att bygga upp en särskild enhet på förhöjd nivå inom Valtori är det möjligt att förverkliga en lösning som beaktar dels kraven på hög beredskap och säkerhet, dels också kostnadseffektiviteten.

Integrationstjänster

Enligt den föreslagna 10 § i kan uppgiften som tillhandahållare av integrationstjänster i säkerhetsnätet skötas av en myndighet inom den offentliga förvaltningen eller aktör inom IKT-branschen som särskilt utsetts för denna uppgift. Det är finansministeriets uppgift att utse denna tjänsteproducent. Syftet med bestämmelsen är att beslutet om tjänsteproducenten kan fattas smidigare än när man väljer tillhandahållare av de informations- och kommunikationstekniska tjänster som avses ovan. I samband med beslutet kan det också vara nödvändigt att besluta om överföring av statens rättigheter och skyldigheter till tjänsteproducent som beslutet avser. Detta kan exempelvis innebära beslut om överlåtelse av rörelse. Beslut om överföringen av statens rättigheter och skyldigheter kan enligt bestämmelsen endast fattas av statsrådet efter föredragning från finansministeriet.

Sådana tillhandahållare av integrationstjänster som avses kan enligt propositionsmotiven t.ex. vara ministeriernas IKT-avdelningar, sådana servicecenter inom IKT-branschen som förvaltningsområdena använder eller företag som särskilt godkänts för denna uppgift.

Enligt lagförslaget kan således tjänsteproducenten vara en aktör inom den informations- och kommunikationstekniska branschen. Detta bör utgå för att lagförslaget i fråga om 10 § 1 mom. ska kunna behandlas i vanlig lagstiftningsordning. Utskottet hänvisar här till vad den sagt om informations- och kommunikationstekniska tjänster och till grundlagsutskottets utlåtande.

Den som tillhandahåller integrationstjänster ska med ensamrätt ansluta tjänsterna i säkerhetsnätet till användarnas andra IKT-tjänster och svara för att denna servicehelhet förmedlas och tillhandahålls till användarna. Det viktigaste i tjänsteproducentens uppgift är dels att ansluta användaren tekniskt, dels också att skapa en användarkontakt mellan andra tjänsteproducenter i säkerhetsnätet och användaren plus att dessutom samordna tjänsterna i säkerhetsnätet med användarnas branschspecifika tjänster och andra branschoberoende Tori-tjänster. Det är meningen att användarkontakten ska skapas genom ramavtal mellan de ministerier som styr användargrupperna och producenterna av nät- och infrastrukturtjänster och IKT-tjänster. Tillhandahållaren av integrationstjänster och nätanvändaren ska således ingå ett serviceavtal.

Enligt motiveringen till det tidigare behandlade lagförslaget om statens gemensamma IKT-tjänster är avsikten att det numera inrättade servicecentret Valtori också ska sköta produktionen av integrationstjänster (RP 150/2013 rd). Förvaltningsutskottet föreslår på det sätt som framgår av detaljmotiven att Statens center för informations- och kommunikationsteknik Valtori också ska tillhandahålla integrationstjänsterna. Enligt inkommen utredning är det viktigt att beakta att det finns aktörer inom kommunsektorn som använder säkerhetsnätet och att också de bör kunna använda integrationstjänsterna.

Underleverantörer

Enligt propositionen får tillhandahållaren av nät- och infrastrukturtjänster, informations- och kommunikationstekniska tjänster respektive integrationstjänster (tjänsteproducenterna) anlita underleverantörer i den omfattning finansministeriet beslutar. Också då ansvarar tjänsteproducenten för underleverantörens arbete enligt samma villkor som för sitt eget arbete. Emellertid kan försvarsmakten vara underleverantör när ett undervattenskabelnät för säkerhetsnätet byggs och upprätthålls samt Försvarsförvaltningens byggverk vara underleverantör i fråga om att bygga, låta bygga och upprätthålla utrustningsutrymmen för säkerhetsnätet.

Tjänsteproducenten ska begära utlåtande av finansministeriet innan den upphandlar från en underleverantör. Enligt propositionsmotiven innebär detta i praktiken att ministeriet fastställer de uppgifter som kan upphandlas från en underleverantör. Avsikten med utlåtandeförfarandet är dessutom att säkerställa att underleverantören verkligen klarar av att inom sitt uppgiftsområde uppfylla säkerhets- och beredskapskraven på säkerhetsnätet.

Grundlagsutskottet anser att det i princip ter sig som om obegränsad användning av underleverantörer är möjlig om man ser till bestämmelserna. Eventuella inskränkningar beslutas helt av finansministeriet. Det är viktigt att komplettera regleringen med bestämmelser som inskränker möjligheten att lägga ut verksamhet till det absolut nödvändiga och bestämmer villkoren för att använda underleverantörer, menar grundlagsutskottet. Dessutom måste myndigheternas styr- och tillsynsbehörighet i lag i tillräcklig omfattning utsträckas också till underleverantörens verksamhet.

Förvaltningsutskottet föreslår i syfte att beakta grundlagsutskottets utlåtande att lagförslag 1 ändras på det sätt som framgår av detaljmotiven.

Prioritets- och viktighetsklassificering

Enligt 13 § i lagförslag 1 beslutar finansministeriet under normala förhållanden och vid störningar under normala förhållanden om prioritet och skyndsamhet samt annan viktighetsklassificering i fråga om produktionen av tjänster i och användningen av säkerhetsnätet. Under sådana undantagsförhållanden som avses i beredskapslagen () ska bestämmelserna i beredskapslagen iakttas i fråga om det beslutsfattande som gäller viktighetsklassificering, och under ett sådant försvarstillstånd som avses i lagen om försvarstillstånd () fattar försvarsmakten beslut om viktighetsklassificeringen.

Försvarsförvaltningen har föreslagit en precisering av lagförslaget för att det i ett försvarstillstånd ska gå att ansluta det bolag som producerar nät- och infrastrukturtjänster i säkerhetsnätet till försvarets krigstida organisation och ordningen för beredskapshöjning. Dessutom understryker yttrandena vikten av att under normalförhållanden snabbt kunna höja säkerhetsnätets beredskap till den nivå som ett försvarstillstånd kräver. Enligt försvarsförvaltningens yttranden ska säkerhetsnätets viktighetsklassificering inte göras till föremål för beslut av en aktör utanför försvarsmakten.

I försvarsutskottets utlåtande sägs det för sin del att det viktigaste med tanke på försvarsförvaltningens ansvar är att tillgången till nätresurser säkerställs i synnerhet vid undantagsförhållanden enligt 3 § 1 och 2 punkten (väpnat angrepp och hot om väpnat angrepp) i beredskapslagen och vid försvarstillstånd. Det är enligt försvarsutskottets mening viktigt att försvarets rätt att besluta om prioritet, skyndsamhet och andra viktighetsklassificeringar under försvarstillstånd fortsatt regleras i bestämmelsen.

Sakkunniga tog ställning till viktighetsklassificeringen också ur ett annat perspektiv. I ett läge där alla ministerier har sin datakommunikation i samma nät som andra säkerhetsaktörer kommer statsledningens kommunikation i ett försvarstillstånd att kontrolleras av försvarsmakten, som då beslutar om hur kommunikationen ska prioriteras. I så fall föreligger det en risk för att utgångspunkten för datatrafikens viktighetsklassificeringar inte är den mest ändamålsenliga ur statsledningens synpunkt. Att göra statsrådets stamnät till en del av säkerhetsnätet skulle göra statsledningen underordnad i förhållande till försvarsmakten och dessutom försätta den i ett utsatt läge för samma attacker som försvarsmaktens datakommunikation, som är ett militärt objekt. Statsrådets autonomi i ett försvarstillstånd kan garanteras genom att statsrådets nät finns i anslutning till säkerhetsnätet utan att för den skull ingå i nätet, har sakkunniga framfört.

Förvaltningsutskottet noterar att delegationen för säkerhetsnätets verksamhet enligt lagförslaget ska fungera som finansministeriets stöd vid den strategiska styrningen. Delegationen deltar bl.a. i arbetet med att ta fram principer och praxis för prioritetsklassificeringen när det gäller användning av säkerhetnätet. I delegationen finns företrädare för alla centrala styrande aktörer och användargrupper i fråga om säkerhetsnätet.

Utskottet poängterar att det är viktigt att i senare förordningar av statsrådet och i den praktiska styrningen av säkerhetsnätet, särskilt genom delegationen för säkerhetsnätets verksamhet, närmare ange de principer utifrån vilka prioritetsklassificeringen av produktionen och användningen av tjänsterna i säkerhetsnätet kan göras i olika situationer så att det finns en balans mellan de olika nätanvändarnas behov utifrån vad den då aktuella situationen kräver. Enligt inkommen utredning är det möjligt att genom tekniska och funktionsrelaterade lösningar uppnå tillräcklig beredskap inom säkerhetnätet bl.a. genom kontroll över kapaciteten och prioritetsklassificeringen i fråga om kapacitetsutnyttjandet.

Vid prioritering och viktighetsklassificering under exceptionella samhällsförhållanden måste det gå att stödja sig på de bestämmelser i lagen om försvarstillstånd och beredskapslagen som också annars är tillämpliga under sådana förhållanden. Utskottet understryker att det hör till försvarsmaktens centrala uppgifter att se till att statsledningen har handlingsfrihet, och därför ser utskottet ingen konflikt mellan att både försvarets och statsledningens verksamhetsförutsättningar tryggas under ett försvarstillstånd.

Styrning och tillsyn

I det föreslagna 3 kap. finns bestämmelser om styrning och tillsyn av säkerhetsnätet. Där delas styr- och tillsynsuppgifterna upp mellan statsrådet kansli och finansministeriet. Kansliet ansvarar för ägarstyrningen av det bolag som tillhandahåller nät- och infrastrukturtjänsterna och finansministeriet för den allmänna administrativa, strategiska och ekonomiska styrningen av verksamheten i säkerhetsnätet och för styrningen av den informations- och kommunikationstekniska beredskapen och säkerheten. Dessutom tillsätter statsrådet en delegation för säkerhetsnätets verksamhet som ska stödja finansministeriet i den strategiska styrningen.

Under sakkunnigutfrågningen påpekades det för förvaltningsutskottet bl.a. att den föreslagna styrningsmodellen var oändamålsenlig och oklar. I det sammanhanget lyftes särskilt förhållandet mellan styrning enligt aktiebolagslagen () och annan styrning av verksamheten i säkerhetsnätet fram ur den synvinkeln att en sådan tjänsteproducent i säkerhetsnätet som bedriver verksamhet i aktiebolagsform inte kan styras tillräckligt kraftigt i förhållande till vilken särskild betydelse verksamheten har för samhällsfunktionerna.

Försvarsutskottet säger i sitt utlåtande att styrmodellen och anvisningarna för säkerhetsnätets verksamhet ska vara så pass tydliga att inga oklarheter kvarstår i fråga om styr- och ledningsförhållandena i olika situationer. Också enligt sakkunnigyttrandena till förvaltningsutskottet behövs det en tydlig styrmodell och adekvat styrning av olika aktörer.

Grundlagsutskottet erfar att den lagbaserade styr- och tillsynsmodellen tjänsteproduktionen också gäller på operativ nivå. Det utskottet anser emellertid att bestämmelserna inte avspeglar detta synsätt tillräckligt tydligt. Därför är det enligt grundlagsutskottet viktigt att bestämmelserna preciseras i det avseendet att man uttryckligen föreskriver att en viss myndighet ansvarar för tillsyn och styrning när det gäller det bolag som producerar nät- och infrastrukturtjänster i säkerhetsnätet. Dessutom måste bestämmelserna tydligt ange hurdana tillsynsmetoder myndigheterna får använda. Sammanfattningsvis bör förvaltningsutskottet, med beaktande av verksamhetens natur, försäkra sig om att den modell för tillsyn och styrning som ingår i regleringen faktiskt och tydligt säkerställer en tillräcklig tillsyn och styrning av tjänsteproducenten. Dessutom bör det sörjas för att verksamheten är effektiv och ledningen konsekvent i alla konkreta situationer, särskilt i undantagsförhållanden.

Förvaltningsutskottet föreslår nedan i detaljmotiven väsentliga förbättringar i bestämmelserna om styrning och tillsyn utifrån grundlagsutskottets utlåtande, försvarsutskottets utlåtande och sakkunnigyttrandena. En effektiv styrmodell kräver enhetlighet i den strategiska och ekonomiska styrningen och även annan styrning över lag. Syftet med den föreslagna lagstiftningen är att säkerhetsnätet och dess tjänster ska ligga inom ramen för en enhetlig och funktionssäker infrastruktur och enhetlig styrmodell.

Kostnaderna för säkerhetsnätet och användaravgifter

Under sakkunnigutfrågningen framfördes synpunkter om de extrakostnader som olika förvaltningsområden och kommunala aktörer orsakas av säkerhetsnätet. En extra utmaning i dagens läge utgörs av förvaltningsområdenas sparbeting. Det har bl.a. framförts att de betydande investeringar som gjorts för hög beredskap och säkerhet i säkerhetsnätet också kräver allt större satsningar på att upprätthålla och kontinuerligt utveckla nätet. Detta medför ytterligare it-kostnader för nätanvändarna. Sakkunniga har ansett det viktigt att de ökade IKT-utgifterna när säkerhetsnätet börjar användas kompenseras med särskild tilläggsfinansiering.

I propositionen beskrivs det när verksamheten i säkerhetsnätet inleds blir möjligt att ha större interoperabilitet mellan IKT-tjänsterna och ett mer kostnadseffektivt produktionssätt än med dagens splittrade produktionsmodell. En centraliserad upphandling och ett centraliserat tillhandahållande av informations- och kommunikationstekniska tjänster ger möjlighet till kostnadsbesparingar som täcker en del av de extra kostnader som orsakas av den höjda säkerhets- och beredskapsnivån. Samtidigt förutsätter den höjda säkerhets- och beredskapsnivå som det utvidgade nätet kräver av nya användare investeringar som också efter det att verksamheten effektiviserats ökar förvaltningsområdenas it-utgifter. Behovet av mer resurser beror på kostnader för att införa och upprätthålla nätet, tilläggsresurser som behövs för att syra verksamheten, pensionsskydd för de personer som överförs vid överlåtelse av rörelse och utvidgning av tjänsterna till nya användargrupper. I planen för de offentliga finanserna 2015—2018 reserveras 43,1 miljoner euro i tilläggsanslag för verksamheten i säkerhetsnätet.

Trots att verksamheten medför merkostnader kommer den enligt regeringen att ge en högre beredskaps- och säkerhetsnivå bl.a. mot hot och risker som gäller cybersäkerheten. Enligt propositionen kan myndigheterna i alla lägen lita och förlita sig på de funktionssäkra strukturerna och tjänsterna i säkerhetsnätet.

Vidare säger regeringen att det återstår att i budget- och ramprocesserna bedöma om anslagen behöver ökas och i vilken omfattning samt om eventuella tillägg ska finansieras genom omfördelningar. Dessutom kommer det att göras en ny, särskild granskning av om verksamheten har kunnat effektiviseras och överlappande verksamheter har kunnat slopas bättre än planerat. I statsbudgeten för 2015 föreslås sammanlagt 12,1 miljoner euro i ytterligare finansiering för verksamheten i säkerhetsnätet under inrikesministeriets och försvarsministeriets förvaltningsområden. Ett anslag på 2,5 miljoner euro föreslås i budgeten under investeringsmomentet för Statens center för informations- och kommunikationsteknik Valtori för de informations- och kommunikationstekniska tjänsterna i säkerhetsnätet. I planen för de offentliga finanserna för 2015—2018 är motsvarande investeringsreservation sammanlagt 10 miljoner euro.

När säkerhetsnätsprojektet planerades 2007 uppskattades budgeten för projektet till 340 miljoner euro och tiden för projektgenomförandet till åtta år. Åren 2008—2013 investerades omkring 200 miljoner euro i säkerhetsnätet och tillhörande tjänster inom projektet och dess planeringsetapp. Dessutom har försvarsmakten under de senaste 20 åren investerat ca 150 miljoner euro i nätstrukturerna för försvarsmaktens kommunikationsnät, som utgör basen för säkerhetsnätet. Kostnaderna beräknas uppgå till ca 100 miljoner om året när verksamheten enligt den föreslagna lagstiftningen startar. Enligt kalkylerna kommer det att inom inrikesförvaltningen, försvarsförvaltningen och statsrådet i övrigt finnas omkring 30 000 användare som berörs av tjänsteproduktionen. De ekonomiska verkningarna av säkerhetsnätsprojektet beskrivs närmare i propositionen. Enligt planerna ska den samlade finansieringsmodellen för säkerhetsnätet grunda sig på användaravgifter som tas ut av kunderna — de användande myndigheterna enligt lagen — i enlighet med de tjänster som de beställt. Avgifterna innefattar kostnaderna för att upprätthålla och utveckla höjd aktionsberedskap, annan beredskap och säkerhet.

Sammanfattningsvis konstaterar utskottet i fråga om de ekonomiska konsekvenserna att säkerhetsnätet med avseende på myndigheternas verksamhet och ekonomi går ut på att rationalisera verksamheten. Det är meningen att en centraliserad upphandling och ett centraliserat tillhandahållande av IKT-tjänster ska ge upphov till kostnadsbesparingar som täcker en del av de extra kostnader som orsakas av den eftersträvade höjda säkerhets- och beredskapsnivån. I detta sammanhang pekar utskottet mer allmänt på den senaste tidens svårigheter i anknytning till statens IKT-projekt (exempelvis inrikesministeriets Vitja-projekt), såsom oförutsedda extrakostnader, försenade projekt och brister i funktionerna i förhållande till förväntningarna.

Allmänna förvaltningslagar och tjänsteansvar

I sin tolkningspraxis har grundlagsutskottet ansett att det för att rättssäkerheten och kravet på god förvaltning ska anses vara uppfyllda i den bemärkelse som avses i 124 § i grundlagen krävs att ärendena behandlas i enlighet med de allmänna förvaltningslagarna och att de som behandlar ärendena handlar under tjänsteansvar. I sitt utlåtande konstaterar grundlagsutskottet att de allmänna förvaltningslagarna, också utan särskild hänvisning, med stöd av bestämmelserna om tillämpningsområde, myndighetsdefinition och skyldigheten att betjäna på ett visst språk tillämpas också på privata aktörer när de fullgör offentliga förvaltningsuppgifter.

Bestämmelser om offentlighet och sekretess finns i den föreslagna 21 §. De bör vara ändamålsenliga med avseende på regleringsobjektet. Det som däremot enligt utlåtandet är problematiskt är att de anställda med arbetsavtal hos det bolag som producerar nät- och infrastrukturtjänster i säkerhetsnätet eller de anställda hos den eventuella underleverantören inte har något straffrättsligt tjänsteansvar till den del uppgifterna inte inbegriper utövande av offentlig makt på det sätt som avses i 40 kap. 11 § i strafflagen. Grundlagsutskottet anser att regleringen till denna del måste kompletteras med bestämmelser om att bestämmelserna om straffrättsligt tjänsteansvar ska tillämpas på anställda hos bolaget eller underleverantören när de utför uppgifter som avses i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät. Det är en förutsättning för att behandla lagförslaget i vanlig lagstiftningsordning.

Säkerhetsutredningar

Enligt 22 § i lagförslag 1 ska den personal som sköter uppgifter i säkerhetsnätet ha sådan pålitlighet som uppgifterna förutsätter och som vid behov kan utredas i enlighet med vad som särskilt bestäms eller föreskrivs om detta. Enligt propositionsmotiven betyder detta i praktiken att personalens pålitlighet kan utredas t.ex. enligt lagen om säkerhetsutredningar, om de förutsättningar för en utredning som anges i den lagen är uppfyllda. I de fall där lagen om säkerhetsutredningar inte är tillämplig, kan utredningen enligt motiveringen göras exempelvis enligt vad finansministeriet bestämmer och enligt villkor och principer som har behandlats i den delegation som avses i den föreslagna 17 §.

Grundlagsutskottet har i sin praxis uppskattat att säkerhetsutredningar är ett ingrepp i skyddet för privatliv och personuppgifter, som garanteras i 10 § i grundlagen. I grundlagens 10 § 1 mom. tryggas skyddet för privatlivet och det förutsätts att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Det framgår av grundlagsutskottets utlåtande att grundlagens hänvisning till bestämmelser i lag om skyddet för personuppgifter kräver att lagstiftaren utfärdar sådana bestämmelser, men samtidigt får lagstiftaren själv överväga detaljerna i regleringen. Detta övervägande begränsas emellertid av att skyddet för personuppgifter ingår i skyddet för privatlivet i samma moment.

Grundlagsutskottet anser det vara självklart att uppgifter som omfattas av skyddet för privatlivet enligt grundlagen måste skaffas om man vill utreda hur pålitlig en person är som utför uppgifter i säkerhetsnätet. Med andra ord finns det skäl för de föreslagna bestämmelserna som är godtagbara med avseende på de grundläggande fri- och rättigheterna. Det som är problematiskt är att ordalydelsen i bestämmelsen och de tillhörande motiven utgår från att utredningen av pålitligheten kan bygga också på reglering på lägre nivå än lag eller till och med på vad finansministeriet bestämmer. Detta står i strid med kravet på reglering på lagnivå i 10 § i grundlagen. Därför måste den föreslagna 22 § ändras så att det framgår att bestämmelser om en sådan utredning ska finnas i lag för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.

Förvaltningsutskottet anser att man måste vara extra noggrann när det gäller personalsäkerheten i fråga om dem som arbetar med uppgifter enligt lagen om säkerhetsnätet. Bakgrund, pålitlighet och oförvitlighet måste noga utredas för dem som ska ha sådana uppgifter. Utskottet föreslår ändringar och hänvisar i fråga om dem till detaljmotiven.

Verksamhetsstart och överlåtelse av rörelse

Verksamhetsstarten i säkerhetsnätet är särskilt kopplad till en överföring av funktionerna i försvarsmaktens datakommunikationsnät till det helt statsägda aktiebolaget Suomen Erillisverkot Oy. Ett dotterbolag, Suomen Turvallisuusverkko Oy, har bildats inom Suomen Erillisverkot-koncernen för att producera nättjänster i säkerhetsnätet och underhålla och administrera säkerhetsnätets utrustningsutrymmen och utrustning. Det är meningen att överföringen av de funktioner som följer av lagen och de som ska utföra dessa uppgifter ska ske i form av överlåtelse av rörelse. På det sättet går det att sörja för kontinuiteten i den nuvarande verksamheten och de överförda personernas anställningsförhållanden.

Avsikten är att försvarsmakten med stöd av den föreslagna lagen om säkerhetsnätet överlåter den informationsnätsverksamhet som är i dess användning och besittning inklusive utrustning, utrymmen och personal till det bolag som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet. Enligt planerna ska försvarsmakten till den nya tjänsteproducenten överföra sitt stamnät och det regionnät som hör nära samman med stamnätet samt de delar av kommunikationsnätet som innefattas i dessa inklusive utrustningsutrymmen, utrustning och annan infrastruktur som omedelbart hör samman med dessa nät. På detta sätt är det meningen att möjliggöra att detta kommunikationsnät samanvänds med andra centrala säkerhetsmyndigheter.

Överlåtelsen innebär att staten överlåter försvarsmaktens nätverksamhet till det helt statsägda Suomen Erillisverkot Oy. Följden är att omkring 150 berörda personer inom försvarsmakten överförs till koncernen. Största delen av personalen blir anställda hos koncernföretaget Suomen Turvallisuusverkko Oy, som bildats för säkerhetsnätsverksamhet.

Beslutet om överlåtelse av rörelse och tidsplanen fattas av statsrådet efter det att den föreslagna lagen har blivit stadfäst. Enligt uppgift är det meningen att i tidsplanen beakta att förutsättningarna för överlåtelsen är uppfyllda och att säkerhetsnätsverksamhetens driftsäkerhet kan garanteras. Försvarsutskottet understryker i sitt utlåtande att överlåtelsen från försvaret till Suomen Erillisverkot Oy inte ska genomföras förrän försvaret och nätbolaget nått en samsyn och är säkra på att säkerhetsåtgärderna är tillräckliga och att den operativa verksamheten inte äventyras när rörelsen överlåts.

Överlåtelsen gäller de produktionsfaktorer som företagskoncernen behöver för att producera nät- och infrastrukturtjänster. Den går till så att statsrådet bestämmer värdet på det som ska överlåtas, varefter verkställigheten av överlåtelsen enigt inkommen utredning kommer att delegeras till de berörda förvaltningarna, dvs. försvarsförvaltningen och inrikesförvaltningen. Dessa ska sedan upprätta överlåtelsehandlingarna till Suomen Erillisverkot Oy, som i sin tur överlåter största delen av sin egendom till dotterbolaget Suomen Turvallisuusverkko Oy. Därefter tas egendomen upp i koncernens balansräkning, och staten får som apport aktier i Suomen Erillisverkot motsvarande värdet på den egendom som överlåts. Detta är enligt uppgift orsaken till att egendomen först överlåts till moderkoncernen. Dotterbolaget Suomen Turvallisuusverkko ska enligt planerna producera säkerhetsnätets nät- och infrastrukturtjänster, dvs. vara nätoperatör.

Enligt en övergångsbestämmelse i den föreslagna lagen får försvarsmakten, Förvaltningens IT-central (Haltik) och Statens IT-servicecentral vid Statskontoret tillhandahålla tjänster i säkerhetsnätet högst till och med den 31 december 2014. Syftet är att sörja för säkerhetsnätets driftsäkerhet och servicekapacitet under ett övergångsskede. Enligt inkommen utredning finns det tillräcklig beredskap och tillräckliga förutsättningar för att starta verksamhetsmodellen i den föreslagna lagen. Försvarsförvaltningen och inrikesministeriet har utifrån tillgängliga uppgifter i praktiken redan kopplats till säkerhetsnätet, och Suomen Turvallisuusverkko har organiserat och förberett sig för produktionsstart och mottagande av affärsverksamheten. Bestämmelserna måste emellertid preciseras något eftersom statens IT-servicecentral inte längre finns: Centralen och dess uppgifter är nämligen numera en del av Valtori. Dessutom behöver övergångsperioden förlängas i vissa avseenden eftersom lagens ikraftträdande skjutits upp från vad som ursprungligen planerades.

Personalens ställning

Enligt sakkunniga måste de olösta frågorna om de anställdas ställning lösas innan lagen träder i kraft.

Enligt den föreslagna 30 § tillämpas i fråga om ordnandet av personalens ställning bestämmelserna om överlåtelse av rörelse i arbetsavtalslagen () och i statstjänstemannalagen (). Syftet med bestämmelserna är att undanröja behovet av särskilda förhandlingar vid statlig bolagisering och att reglera personalens ställning vid överlåtelse av rörelse. Förvaltningsutskottet understryker vikten av god personalpolitik och ledning, i synnerhet i förändringsprocesser.

De anställda som på grundval av lagen om säkerhetsnätet kommer att övergå i tjänst hos det aktiebolag som avses i 6 § kommer inte längre att omfattas av statens pensionslagstiftning, utan av arbetspensionssystemet för den privata sektorn. De pensioner som de personer som överförs intjänat fram till tidpunkten för överlåtelsen kommer enligt inkommen utredning att tryggas genom tilläggspensionsförsäkringar som bolaget tecknar på ett sådant sätt att de intjänade pensionerna som är större på grund av de pensionsbestämmelser som iakttas hos staten tryggas till fullt belopp liksom även en lägre avgångsålder från 60 år. I statsbudgeten för 2014 beviljas ett treårigt reservationsanslag på 5 miljoner euro i ersättning till det bolag som avses i 6 § och som förvärvar rörelsen för de kostnader som föranleds av tilläggspensionsförsäkringarna.

Utskottet poängterar att också förtroendemännens verksamhet, samarbetsverksamheten och arbetarskyddssamarbetet måste ordnas på tillbörligt sätt inom koncernen Suomen Erillisverkot i syfte att behörigen trygga personalens ställning när lagstiftningen om säkerhetsnätet införs.

Ålands särställning

Enligt propositionsmotiven om lagstiftningsordningen kommer lagen inte att tillämpas i landskapet Åland till den del som lagstiftningsbehörigheten i ärendet hör till landskapet enligt självstyrelselagen för Åland (). Grundlagsutskottet påpekar att särskilda bestämmelser om detta måste utfärdas på grundval av en grundlig beredning, om landskapets säkerhetsmyndigheter ska ges möjlighet att använda säkerhetsnätet.

Uppföljning

Förvaltningsutskottet understryker att hela planen med säkerhetsnätet är att producera och upprätthålla samhälleligt kritisk infrastruktur som direkt stöder statens kärnfunktioner. Det faktum att reformen gäller de centrala funktionerna för myndighetsverksamhetens, statens, hela samhällets och individens säkerhet kan inte nog framhävas. Satsningarna på reformgenomförandet måste vara helhjärtade och självfallet måste genomförandet följas noga. Som ett exempel vill utskottet lyfta fram att reformen måste genomföras på ett sätt som bl.a. medger att nödcentralssystemet kan fortsätta att fungera störningsfritt också i praktiken. Dessutom vill utskottet absolut kunna utvärdera projektets genomförande utifrån erhållna erfarenheter.

Utskottet föreslår därför att riksdagen förutsätter att regeringen noga följer och utvärderar genomförandet av säkerhetsnätsreformen och att den före utgången av 2016 års riksmöte lämnar förvaltningsutskottet en sådan skriftlig och detaljerad utredning som avses i 47 § 2 mom. i grundlagen om reformgenomförandet och anknytande frågor, inklusive det som framgår av förvaltningsutskottets betänkande FvUB 35/2014 rd (Utskottets förslag till uttalande).

Sammanfattning

Under förvaltningsutskottets sakkunnigutfrågning framfördes omfattande kritik mot det föreliggande lagförslaget om säkerhetsnätet. Den bör anses vara befogad. Till det som framför allt kritiserats hör att tjänsterna i säkerhetsnätet, i synnerhet nät- och infrastrukturtjänsterna, utifrån lagförslaget enligt planerna ska produceras för ett statsägt aktiebolag. Omfattande kritik riktades också mot att IKT-tjänsterna och integrationstjänsterna ska produceras av Valtori, ett servicecenter för branschoberoende IKT-tjänster. Dessutom kan det stora antalet oklara begrepp i lagförslaget anses vara problematiskt eftersom begreppen saknar entydiga definitioner. Också i övrigt innehåller propositionen vaga bestämmelser. Exempelvis finns där bestämmelser om olika tjänsteproducenter ("tillhandahållare av tjänster") där den föreslagna producenten väljs i efterhand genom administrativa förfaranden och kan vara antingen en myndighet eller en enskild aktör.

Grundlagsutskottet framför i sitt utlåtande flera konstitutionella anmärkningar som gäller lagstiftningsordningen. I försvarsutskottets utlåtande finns å sin sida flera ställningstaganden som gäller stiftandet och verkställigheten av lagen.

Förvaltningsutskottet föreslår i detta betänkande många förbättringar med anledning av den befogade kritiken. Sammantaget finner utskottet att lagförslag 1 behövs och fyller sitt syfte när det har ändrats i enlighet med utskottets förslag. Utskottet tillstyrker lagförslag 1, men med de ändringar och ståndpunkter som framgår av betänkandet. Eftersom kommunikationsmarknadslagen har upphävts föreslår utskottet att lagförslag 2 avvisas.

Dessutom vill utskottet framhålla att denna lagstiftning utgör rättsgrund för verksamheten i säkerhetsnätet. Men samtidigt beror det på verkställigheten hur väl verksamheten lyckas och i vilken utsträckning målen nås.

Förvaltningsutskottet anser att lagen om verksamheten i den offentliga förvaltningens säkerhetsnät ska träda i kraft den 1 januari 2015.