FÖRVALTNINGSUTSKOTTETS BETÄNKANDE 35/2014 rd

FvUB 35/2014 rd - RP 54/2013 rd

Granskad version 2.0

Regeringens proposition till riksdagen med förslag till lag om verksamheten i den offentliga förvaltningens säkerhetsnät och lag om ändring av 2 § i kommunikationsmarknadslagen

INLEDNING

Remiss

Riksdagen remitterade den 29 maj 2013 regeringens proposition med förslag till lag om verksamheten i den offentliga förvaltningens säkerhetsnät och lag om ändring av 2 § i kommunikationsmarknadslagen (RP 54/2013 rd) till förvaltningsutskottet för beredning.

Utlåtanden

I enlighet med förvaltningsutskottets begäran har grundlagsutskottet lämnat utlåtande i ärendet. I enlighet med riksdagens beslut har försvarsutskottet lämnat utlåtande i ärendet. Utlåtandena (GrUU 8/2014 rd och FsUU 10/2013 rd) återges efter betänkandet.

Sakkunniga

Utskottet har hört

förvaltnings- och kommunminister Henna Virkkunen

IKT-direktör Anna-Maija Karjalainen, enhetschef Esko Vainio, lagstiftningsråd Sami Kivivasara ja konsultativ tjänsteman Timo Saastamoinen, finansministeriet

avdelningschef, överdirektör Eero Heliövaara, upphandlingschef Sami Kivivasara, finansråd Kalevi Alestalo ja specialsakkunnig Petri Railamo, statsrådets kansli

dataadministrationsdirektör Ari Uusikartano, utrikesministeriet

dataadministrationsdirektör Max Hamberg, justitieministeriet

kanslichef Päivi Nerg, lagstiftningsråd Tiina Ferm ja specialsakkunnig Minna Bloigu, inrikesministeriet

konsultativ tjänsteman Timo Nuutinen ja föredragande Kosti Honkanen, försvarsministeriet

konsultativ tjänsteman Timo Kievari, kommunikationsministeriet

specialsakkunnig Teemupekka Virtanen, social- och hälsovårdsministeriet

dataadministrationschef Janne Suuriniemi, Polisstyrelsen

säkerhetschef Sami Hyytiäinen, Tullen

avdelningschef, kommodor Jukka Jaakkola, Gränsbevakningsväsendet, tekniska avdelningen

dataadministrationschef Matti Viirret, skyddspolisen

specialforskare Marko Luoma ja professor Jukka Manner, Aalto-universitetet

direktör Ilkka Haataja, Förvaltningens IT-central HALTIK

ledningssystemavdelningens biträdande avdelningschef, överste Mikko Heiskanen ja avdelningsstabsofficer Juha Lehto, Huvudstaben

biträdande direktör Rauli Paananen, Kommunikationsverket

utvecklingschef för räddningsväsendet Jussi Rahikainen, Finlands Kommunförbund

verkställande direktör Timo Lehtimäki, Suomen Erillisverkot Oy

ombudsman Mikko Äikäs, Löntagarorganisationen Pardia rf

direktör, säkerhet och kontinuitetshantering Kari Wirman, FiCom ry

Dessutom har skriftligt yttrande lämnats av

  • inrikesministeriet, räddningsavdelningen
  • arbets- och näringsministeriet
  • miljöministeriet
  • Statens ämbetsverk på Åland
  • Nödcentralsverket
  • Konkurrens- och konsumentverket
  • Försörjningsberedskapscentralen
  • Institutet för hälsa och välfärd
  • Statskontoret
  • Ålands landskapsregering
  • Suomen Turvallisuusverkko Oy
  • Finlands Polisorganisationers Förbund rf
  • professor Olli Mäenpää
  • professor Kaarlo Tuori.

PROPOSITIONEN

I propositionen föreslår regeringen att det stiftas en lag om verksamheten i den offentliga förvaltningens säkerhetsnäts och att bestämmelsen om definitionen på myndighetsnät i kommunikationsmarknadslagen ändras.

Avsikten är att det i den föreslagna lagen ska föreskrivas om den offentliga förvaltningens säkerhetsnät, tjänsterna i nätet och användningen av tjänsterna samt säkerhetsnätets övriga verksamhet. Enligt förslaget ska lagen under normala förhållanden och vid störningar under normala förhållanden samt under undantagsförhållanden säkerställa att den kommunikation som samarbetet mellan den högsta statsledningen och de myndigheter och andra aktörer som är viktiga med tanke på säkerheten i samhället förutsätter är störningsfri och obruten samt att säkerställa att den information som behövs vid beslutsfattandet och ledningen är lättillgänglig, integrerad och konfidentiell.

Enligt den föreslagna lagen är säkerhetsnätet ett i kommunikationsmarknadslagen avsett myndighetsnät som är i statens ägo och besittning. Avsikten är att säkerhetsnätet ska omfatta ett kommunikationsnät samt utrustningsutrymmen, utrustning och annan infrastruktur i omedelbar anslutning till det samt de gemensamma tjänsterna i säkerhetsnätet. Det föreslås att det i lagen ska föreskrivas om en skyldighet att använda säkerhetsnätet och om annan användning samt om tjänsteproduktionen i fråga om säkerhetsnätet och de gemensamma tjänsterna i nätet. Enligt förslaget ska det i lagen också föreskrivas om en sådan styrningsmodell för säkerhetsnäts verksamhet som omfattar den allmänna styrningen av verksamheten, ägarstyrningen i fråga om ett företag som är tjänsteproducent samt den strategiska styrningen av verksamheten och stödet för styrningen.

Propositionen innehåller också ett förslag till ändring av kommunikationsmarknadslagen. På grund av den föreslagna ändringen kompletteras definitionen på myndighetsnät i lagen.

Propositionen hänför sig till tilläggsbudgetpropositionen för 2013 och avses bli behandlad i samband med den. De lagar som ingår i propositionen avses träda i kraft så snart som möjligt.

UTSKOTTETS ÖVERVÄGANDEN

Allmän motivering

Säkerhetsnätsprojektet

I slutet av 2007 startade regeringen ett planeringsprojekt för att främja nätsäkerheten inom den offentliga förvaltningen. Projektet hade som uppgift att planera ett säkert datakommunikationsnät och nättjänster för förvaltningen, i synnerhet för säkerhetsmyndigheterna. Ett fortsättningsprojekt startade 2009 och dess syfte var att integrera inrikesförvaltningens datakommunikationstjänster i försvarsmaktens kommunikationsnät och därmed att lägga grunden för säkerhetsnätets nät- och kommunikationstjänster. Utgångspunkten har varit att dessa sammanlänkade nät ska bilda säkerhetsnätets basnät. Nätet har byggts ut och åren 2009-2013 har omkring 200 miljoner euro investerats i det inom projektet för förvaltningen säkerhetsnät (Tuve).

Det är meningen att det kommande säkerhetsnätet ska erbjuda de centrala säkerhetsmyndigheter och statsledningen, inklusive ministerierna, en datakommunikationslösning med hög beredskaps- och säkerhetsnivå. Grundtanken är att säkerställa att säkerhetsmyndigheternas datakommunikation är skyddad och fungerar, att det kritiska informationsmaterial som myndigheterna i fråga förfogar över lagras och administreras i Finland och att ett överdrivet beroende av kommersiella aktörer kan undvikas. Syftet med Tuve är också att ge statsledningen bättre förutsättningar att fatta beslut, ge en bättre lägesbild, förbättra informationsutbytet mellan myndigheterna och förbättra förutsättningarna för integrerad och obestridlig information i alla säkerhetssituationer. De huvudprinciper är samhälleligt mycket viktiga, menar utskottet.

Utskottet vill poängtera att säkerhetsnätet är avsett att kunna användas under alla förhållanden och att det måste fungera tillförlitligt såväl i den dagliga användningen som vid störningar under normala förhållanden och under undantagsförhållanden. Med andra ord måste nätet vara funktionsdugligt bl.a. i händelse av naturfenomen, elavbrott eller webbattacker.

Ett av de grundläggande syftena med säkerhetsnätsprojektet är att genom ett enhetligt säkerhetsnät undanröja behovet för enskilda myndigheter att själva bygga upp och upprätthålla egna datakommunikationsförbindelser, utrustningslokaler och andra informations- och kommunikationstekniska lösningar som uppfyller kraven på säkerhet och beredskap, påpekar utskottet.

Behovet av lagstiftning om verksamheten i den offentliga förvaltningens säkerhetsnät

Utskottet påpekar att den gällande lagstiftningen innehåller bestämmelser om den offentliga förvaltningens säkerhetsnät men inte om säkerhetsnätsverksamheten. Lagstiftningen innehåller ändå flera bestämmelser som måste beaktas i den nya lagen om verksamheten i den offentliga förvaltningens säkerhetsnät. Enligt utskottets uppfattning krävs det lagstöd åtminstone i anknytning till att olika säkerhetsmyndigheter ska få använda sig av försvarsmaktens stamnät och att uppgifter och produktionsansvar ska bestämmas för den som tillhandahåller tjänster i säkerhetsnätet.

Vidare påpekar utskottet att den föreslagna nya lagen behövs för att definiera säkerhetsnätet, dess tjänster och användningen av tjänsterna och för att bestämma grunderna för övrig verksamhet i säkerhetsnätet. Säkerhetsnätet är enligt förslaget ett i kommunikationsmarknadslagen () avsett myndighetsnät som ägs och förvaltas av staten. Med ett myndighetsnät avses enligt den preciserade formuleringen av kommunikationsmarknadslagen i lagförslag 2 ett kommunikationsnät som byggts för behov i anslutning till statens ledning och säkerhet, försvaret, allmän ordning och säkerhet, gränssäkerhet, räddningsverksamhet, sjöräddning, nödcentralsverksamhet, invandring, prehospital akutsjukvård eller befolkningsskyddet. Anslutningar i nätet kan tillhandahållas utom myndigheterna även andra användargrupper som är nödvändiga med hänsyn till skötseln av ovan avsedda uppgifter.

Utskottet påpekar att kommunikationsmarknadslagen har upphävts genom den informationssamhällsbalk () som träder i kraft vid ingången av 2015. Definitionen av myndighetsnät ingår i 250 § i informationssamhällsbalken med samma innehåll som i lagförslag 2. Den enda ändringen är att informationssamhällsbalken också nämner säkerheten i järnvägstrafiken som en orsak till att bygga upp ett myndighetsnät. Utskottet föreslår nedan i detaljmotiveringen att lagförslag 2 i propositionen ska förkastas.

Även om säkerhetsnätets infrastruktur och tjänster måste bygga på kravet på hög beredskap och säkerhet kommer nätet att användas i det dagliga myndighetsarbetet. Syftet med den föreslagna lagstiftningen om säkerhetsnätet är att ha datanät och tjänster som backar upp kravet på beredskap och säkerhet och ligger inom ramen för en enhetlig och funktionssäker infrastruktur, statsägd tjänsteproduktion och enhetlig styrmodell. Avsikten är att när tjänsterna och verksamhetsmodellerna enligt lagförslag 1 (Tuve) införs kan myndigheterna bedriva en allt mer säker verksamhet också under undantagsförhållanden och vid störningar under normala förhållanden, särskilt när dessa gäller informationssäkerheten. Både undantagsförhållanden och störningar blir allt vanligare. Kravet på hög beredskap preciseras inte närmare i lagförslaget, men det som avses är att säkerhetsnätets kommunikationsnät, utrustningslokaler, utrustning och annan infrastruktur samt de gemensamma tjänsterna och tjänsteproduktionen ska byggas upp och organiseras på ett sätt där nätanvändningen kan garanteras under alla förhållanden. I detaljmotiveringen till propositionen anges det närmare vad som avses med informationssäkerhet för informations- och kommunikationstekniska tjänster med beredskap på hög nivå. De måste uppfylla kraven på informationssäkerhet enligt skyddsnivåer IV—II i 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen () och kraven på särskilt känsligt informationsmaterial (exempelvis lag om internationella förpliktelser som gäller informationssäkerhet).

Utskottet poängterar att ingen av de sakkunniga som hörts har ifrågasatt behovet av den nya lagstiftningen.

Säkerhetsnätets verksamhet

Enligt propositionsmotiven ska säkerhetsnätets verksamhet bestå av två delområden: själva nätet och dess styrning. Enligt 1 § i den föreslagna säkerhetsnätslagen ska säkerhetsnätet omfatta ett kommunikationsnät och med det direkt sammanhörande utrustningsutrymmen, utrustning och annan infrastruktur samt säkerhetsnätets gemensamma tjänster. Med säkerhetsnätets verksamhet avses enligt regeringens detaljmotivering den administrativa, funktionella och tekniska helhet av de nämnda delområdena, inom vilken verksamheten i fråga om säkerhetsnätet och de tjänster och tjänsteproducenter som hör samman med det samt styrningen av och tillsynen över säkerhetsnätet sammanförs.

Avsikten är att de ministerier som har en central roll när det gäller samhällets säkerhet plus försvarsmakten, Försörjningsberedskapscentralen och Finlands Kommunförbund ska delta i styrningen av verksamheten i säkerhetsnätet. Till verksamhetshelheten hör enligt propositionen också sådana uppgifter som kräver teknisk och funktionell specialsakkunskap och som stöder den verksamhet som bedrivs av myndigheter, och enligt lagförslaget kan det helt statsägda aktiebolaget Suomen Erillisverkot Oy eller ett dotterbolag som helt ägs av det bolaget vara tjänsteproducent som ansvarar för dessa uppgifter.

Skyldighet att använda säkerhetsnätet

Enligt föreslagna 2 § ska säkerhetsnätet användas i myndigheternas interna, inbördes och externa samarbete och kommunikation som ansluter sig till statens ledning och säkerhet, försvaret, den allmänna ordningen och säkerheten, gränssäkerheten, räddningsverksamheten, sjöräddningen, nödcentralsverksamheten, invandringen och den prehospitala akutsjukvården och där kraven på hög beredskap eller hög säkerhet iakttas.

Av 3 § i lagförslaget framgår i sin tur de myndigheter som måste använda säkerhetsnätet i de uppgifter som anknyter till sådan verksamhet.

Utskottet anser att skyldigheten att använda säkerhetsnätet anges i lag både funktionellt och organisatoriskt. Den funktionella räckvidden anger de för den högsta statsledningen och säkerheten centrala funktioner där kommunikationen kräver att säkerhetsnätet används. Det är i syfte att precisera skyldigheten motiverat att också organisatoriskt ange vem den gäller. Detta sker lämpligen genom att man i lag räknar upp de myndigheter som ska använda säkerhetsnätet. Det är viktigt, menar utskottet, att de myndigheter som är viktigast med avseende på samhällets säkerhet åläggs att använda säkerhetsnätet när deras kommunikation och samverkan måste uppfylla kraven på hög beredskap och säkerhet. Utskottet understryker hur viktigt det är att de aktörer som omfattas av den föreslagna skyldigheten börjar använda nätet och dess tjänster, bland annat med avseende på genomförandet av strategin för cybersäkerhet i Finland. Bestämmelserna om skyldigheten att använda säkerhetsnätet utgör en precisering av 1 § om lagens syfte och tillämpningsområde.

Också de viktigaste samarbetspartnerna till de myndigheter som omfattas av användningsskyldigheten kan tillåtas att använda säkerhetsnätet när villkoren enligt den föreslagna lagen är uppfyllda.

Under sakkunnigutfrågningen framfördes farhågor för huruvida verksamheten i säkerhetsnätet jämlikt kan tillgodose behoven för alla aktörer som är skyldiga att använda nätet. Exempelvis har det ansetts svårt att på ett rättvist sätt tillgodose och jämka samman försvarets, Nödcentralsverkets och den prehospitala akutsjukvårdens krav samtidigt och kostnadseffektivt. Under utfrågningen har det också framförts att det i säkerhetsnätet också måste gå att förmedla information säkert bl.a. i enlighet med EU:s och andra internationella krav.

Enligt uppgift ska de principer utifrån vilka tjänsterna kan förvaltas och prioriteras i olika situationer anges närmare på lägre normnivå. Därvid ska det finnas en balans mellan de olika nätanvändarnas behov utifrån vad den då aktuella situationen kräver. Det är enligt inkommen utredning möjligt att uppnå tillräcklig beredskap bl.a. genom kontroll över kapaciteten och prioritetsklassificeringen i fråga om kapacitetsutnyttjandet. Det sker med hjälp av tekniska och funktionsrelaterade lösningar inom säkerhetsnätet. Det är meningen att säkerhetsnätet ska utgöra grundläggande infrastruktur som såväl nationella som EU:s och andra internationella kommunikationslösningar med hög skyddsnivå ska kunna luta sig mot.

I detta sammanhang bör en sakfråga lyftas fram, nämligen skyddspolisens funktionella informationssystem, som finns i skyddspolisens operativa datanät. Nätet är separat från polisens datanät. Skyddspolisen anser att denna ordning bör bestå även fortsättningsvis. I detta avseende påpekar förvaltningsutskottet att enligt 5 § i den föreslagna lagen ska sådan utrustning och sådana informationssystem som omfattas av kravet på hög beredskap eller hög säkerhet och används direkt i sådan verksamhet som avses i 2 § 1 mom. vara placerade i utrustningsutrymmen i anslutning till säkerhetsnätet, om det inte av tekniska eller funktionella skäl är nödvändigt att de helt eller delvis placeras i andra utrustningsutrymmen. Enligt utskottet uppfattning ger denna möjlighet till undantag tillräckliga förutsättningar för att lösningar ska gå att finna separat från säkerhetsnätet när det finns särskilda behov, såsom exempelvis i fråga om skyddspolisens funktionella informationssystem.

Utskottet pekar vidare på att säkerhetsnätet utöver statliga myndigheter också berör kommunal aktörer, eftersom skyldigheten att använda nätet även gäller räddningsväsendet och den prehospitala akutsjukvården. Kommunerna inom ett räddningsområde ansvarar i samverkan för räddningsväsendet. För den prehospitala akutsjukvården ansvarar numera å sin sida sjukvårdsdistrikten, dvs. samkommuner bestående av flera kommunerna. Enligt planerna ska det för myndigheterna gemensamma fältledningssystemet stödja sig på säkerhetsnätets infrastruktur. Om planen förverkligas blir det möjligt för statliga och kommunala aktörer att få en gemensam lägesbild och informationsutbyte i realtid.

Enligt den föreslagna 28 § ska de användningsskyldiga användarna av säkerhetsnätet börja anlita säkerhetsnätets tjänster senast när de i lagen (7, 9 och 11 §) avsedda tjänsterna är tillgängliga och det serviceavtal för en tjänst som anskaffats självständigt och som motsvarar tjänsten i fråga har upphört att gälla. Det är meningen att användarna ska anslutas till nätet allteftersom de har förutsättningar för en säker anslutning och tjänsterna för den berörda användargruppen är godkända för att kan börja användas. Ett sådant förfarande medger att anslutningen till säkerhetsnätet kan ske på ett säkert sätt och med bevarande av funktionssäkerheten, också i fråga om de kommunala aktörerna.

Tjänsteproduktionen i säkerhetsnätet

Tjänsteproduktionen i säkerhetsnätet ska enligt förslaget indelas i följande tre servicehelheter: 1) nät- och infrastrukturtjänster, 2) gemensamma informations- och kommunikationstekniska tjänster och 3) integrationstjänster. Enligt lagförslaget ska den som tillhandahåller tjänster i säkerhetsnätet (tjänsteproducenten) ha ensamrätt när det gäller att producera de lagstadgade tjänsterna, varvid tjänsterna med stöd av 12 § i lagen om offentlig upphandling () inte behöver upphandlas. Under expertutfrågningen framfördes märkbart mycket kritik mot tjänsteproduktionen enligt lagförslaget. Därför behöver produktionen av var och en av servicehelheterna granskas närmare också i de allmänna motiven till detta betänkande. De ändringar som utskottet föreslår i bestämmelserna om tjänsteproduktion framgår av detaljmotiveringen.

Bestämmelserna om tjänsterna inom säkerhetsnätsverksamheten och bestämmelserna om de uppgifter som ansvaret för tjänsteproduktionen medför är synnerligen vagt formulerade. Dessutom innehåller lagförslaget begrepp som saknar en detaljerad definition, vilket ger dem ett delvis oklart innehåll, och detta gäller inte bara kapitlet om tjänsteproduktion.

Utskottet erfar att det är svårt att definiera begreppen entydigt, eftersom varken termerna eller verksamhetsformerna är helt etablerade inom IKT-sektorn och den offentliga förvaltningen i detta avseende. Lagen bereddes utifrån avsikten att de s.k. servicehelheternas innehåll kommer att preciseras i en förordning som statsrådet utfärdar med stöd av den föreslagna lagen. Förordningen ska innehålla bestämmelser om tjänsterna och tjänsteproducenternas uppgifter. Enligt utskottets bedömning kan en förordning åtminstone delvis leda till tydligare och mer begripliga bestämmelser. Men det skulle ha varit mer funktionellt att definiera begreppen tillräckligt exakt i lagen eller åtminstone i motiveringen till lagförslaget, särskilt när man beaktar att det är fråga om svåröverskådliga bestämmelser också i fråga om sakinnehåll. Utskottet har haft tillgång till ett preliminärt utkast av den 26 november 2013 till statsrådets förordning om verksamheten i säkerhetsnätet.

Nät- och infrastrukturtjänster

Enligt lagförslaget ska nät- och infrastrukturtjänsterna i säkerhetsnätet produceras av ett icke-vinstdrivande och helt statsägt aktiebolag, Suomen Erillisverkot Oy. Enligt bolagsordningen hör det till bolagets verksamhetsområde att bygga och sköta driften av datakommunikationsnät och andra säkerhetsnät som används av myndigheter inom den offentliga förvaltningen och som hänför sig till samhällets säkerhet samt att tillhandahålla och erbjuda konsultationer i anslutning till dessa tjänster. Bolaget får också äga och besitta de avsedda telenäten plus fastigheter och aktier. Till Suomen Erillisverkot-koncernen hör Suomen Turvallisuusverkko Oy, Virve Oy (Virveverkko), Virve Tuotteet ja Palvelut Oy, Leijonaverkot Oy (produktionslokalerna) och Johtotieto Oy.

Ett särskilt drag i de föreslagna bestämmelserna är att också ett dotterbolag som bolaget bildat och helt och hållet äger får producera nät- och infrastrukturtjänsterna. Det förhåller sig i själva verket så att aktiebolaget Suomen Turvallisuusverkko Oy bildats för detta ändamål. Dotterbolaget får inte ha andra uppgifter eller funktioner och det får inte ha som syfte att uppnå företagsekonomisk vinst. Med andra ord kan dotterbolaget inte bedriva verksamhet på en konkurrensutsatt marknad.

Det sägs i lagförslaget att bolaget administrativt, funktionellt och ekonomiskt ska avskilja den verksamhet som avses i lagförslaget från sin övriga verksamhet.

Enligt en av de föreslagna övergångsbestämmelserna ska också försvarsmakten och Statens IT-servicecentral vid Statskontoret producera nät- och infrastrukturtjänster under en övergångsperiod. Numera ansvarar Statens center för informations- och kommunikationsteknik Valtori för IT-servicecentralens uppgifter.

Producenten av nät- och infrastrukturtjänster ska med ensamrätt producera, upprätthålla och utveckla säkerhetsnätets nättjänster. Nättjänsterna i säkerhetsnätet består av datakommunikationsförbindelser som användarna använder för att ansluta sina lokalnät och säkerhetsnätets serversalar till varandra. Tjänsteproducenten ska också ansvara för de drifts- och applikationstjänster som är direkt kopplade till nättjänsterna, men inte i övrigt vara drift- och applikationsoperatör i fråga om tjänsterna.

Producenten ska också med ensamrätt administrera säkerhetsnätets utrustningslokaler och utrustning samt producera, upprätthålla och utveckla andra infrastrukturtjänster i säkerhetsnätet. Med andra tjänster avses tillhandahållande av sådana utrustningsutrymmen och platser för utrustning där det går att placera sådan utrustning som behövs för datakommunikationsförbindelser eller informationssystem som kräver hög beredskap eller hög säkerhet. Exempelvis säkerhetsnätets kablar, master och länkstationer är sådan utrustning.

Det viktigaste syftet med säkerhetsnätsverksamheten är att se till att statens och samhällets kärnfunktioner och den tillhörande kommunikationen kan fungera utan störningar och konfidentiellt. Grundlagsutskottet slår i sitt utlåtande fast att det är fråga om uppdrag som är väsentliga med tanke på statens säkerhet och de offentliga verksamheternas kontinuitet och vars främsta syfte är att bevara datasekretessen. Enligt det utlåtandet måste verksamheten på det hela taget betraktas som en offentlig förvaltningsuppgift som avses i 124 § i grundlagen. De föreslagna bestämmelserna om att ge uppgifter som hör till säkerhetsnätets verksamhet till någon annan än en myndighet bör därför också bedömas utifrån 124 § i grundlagen, anser grundlagsutskottet.

Det i 6 § i lagförslag 1 avsedda helt statsägda aktiebolaget eller av bolaget helägda dotterbolag som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet ska bland annat producera och upprätthålla säkerhetsnätets nättjänster, administrera säkerhetsnätets utrustningslokaler och utrustning och inom sitt uppgiftsområde svara för att de krav på säkerhet, aktionsberedskap, annan beredskap och kontinuitet som gäller säkerhetsnätet uppfylls under normala förhållanden och under undantagsförhållanden. Grundlagsutskottet konstaterar i sitt utlåtande att det i sak är fråga om uppgifter av teknisk natur som stöder myndigheternas verksamhet och som i hög grad genomförs under de statliga myndigheternas översyn och styrning. Även om verksamheten skapar förutsättningar för betydande utövning av offentlig makt har tjänsteproducenterna inte själva sådana uppgifter som kan anses vara utövning av offentlig makt enligt grundlagens 124 §.

Vidare påpekar grundlagsutskottet att kravet på ändamålsenlighet i 124 § är ett juridiskt villkor och det måste bedömas från fall till fall huruvida kravet uppfylls. I detta sammanhang måste bland annat förvaltningsuppgiftens karaktär beaktas. Enligt förarbetena till grundlagen ska man vid bedömning av ändamålsenligheten uppmärksamma dels förvaltningens effektivitet och övriga interna behov, dels enskilda personers och sammanslutningars behov.

I propositionen motiveras överföring av offentliga förvaltningsuppgifter till ett helt statsägt aktiebolag med att ett aktiebolag jämfört med ett statligt ämbetsverk har bättre möjligheter att klara av ett långsiktigt strategiskt utvecklande och hanteringen av investeringar, där man på ett smidigt sätt även kan beakta att tillhandahållandet av IKT-tjänster inom statsförvaltningen utvecklas på ett övergripande sätt. Förfarandets ändamålsenlighet har dessutom motiverats med att uppgifterna till sin karaktär kräver särskild informations- och kommunikationsteknisk sakkunskap, att investeringarna är långsiktiga och att det krävs fortsatta investeringar för utveckling.

Grundlagsutskottet fäster uppmärksamhet vid att arrangemangets ändamålsenlighet motiveras främst med faktorer som gäller ekonomisk långsiktighet och sakkunskap. Däremot motiveras ändamålsenligheten till exempel inte med grunder som syftar till att garantera funktionssäkerhet, tillförlitlighet, datasäkerhet eller riskhantering trots att syftet med bestämmelserna uttryckligen är att skapa förutsättningar för myndighetsverksamhet som är väsentlig med hänsyn till statens och samhällets säkerhet.

Grundlagsutskottet menar att det inte på något sätt är självklart att utvecklingen av verksamheten på lång sikt eller garanterad sakkunskap bättre kan säkerställas om tjänsterna produceras av ett aktiebolag och inte av myndigheter. Enligt uppgift till utskottet är till exempel myndighetsverksamheten i Statens center för informations- och kommunikationsteknik Valtori organiserad så att investeringsutgifterna kan hanteras mera långsiktigt än i sedvanlig myndighetsverksamhet. Styrningen av och tillsynen över verksamheten kan dessutom sannolikt skötas enklare och mera direkt om en myndighet har hand om uppgifterna. Grundlagsutskottet slår fast att man på goda grunder kan ställa sig skeptiskt till hur ändamålsenligt förfarandet enligt propositionen är. Kravet på ändamålsenlighet i 124 § i grundlagen kan enligt grundlagsutskottet inte i detta fall direkt anses utgöra ett absolut hinder för de föreslagna bestämmelserna, eftersom det är fråga om tekniska uppgifter i anknytning till tjänsteproduktion.

Förvaltningsutskottet konstaterar liksom grundlagsutskottet att för att offentliga förvaltningsuppgifter ska kunna anförtros andra än myndigheter krävs det att detta inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. De föreslagna bestämmelserna måste enligt vad grundlagsutskottet bedömer granskas med beaktande av att aktiebolagets verksamhet som producent av nät- och infrastrukturtjänster i synnerhet i dagens informationssamhälle är av väsentlig betydelse när man ska trygga de kärnfunktioner som gäller statsledningen och samhällets säkerhet. Det är delvis, åtminstone indirekt, också fråga om att uppgifter som gäller privatpersoners personuppgifter och privatliv förblir konfidentiella.

I fråga om sådan reglering måste särskilt höga krav ställas på att funktionerna förblir tillförlitliga och funktionssäkra och på att de behandlade uppgifternas konfidentialitet garanteras. Dessutom måste myndigheterna övervaka och instruera tjänsteproducenterna på ett effektivt och heltäckande sätt.

Grundlagsutskottet påpekar att den administrativa styrningen och tillsynen av aktiebolag i princip inte kan ligga på samma nivå eller vara lika effektiv som när det gäller myndighetsverksamhet. Det bör också beaktas att avsikten i praktiken är att ett dotterbolag till aktiebolaget Suomen Erillisverkot Oy ska ha hand om säkerhetsnätets nät- och infrastrukturtjänster, vilket innebär att myndighetstillsynen och myndighetsstyrningen blir ännu mer indirekt. Samtidigt har det skrivits in i lag att tjänsteproducenten är ett icke-vinstdrivande, helt statsägt aktiebolag eller ett dotterbolag som aktiebolaget äger helt och hållet. Det innebär enligt grundlagsutskottet att tillsynen och styrningen är något lättare att ordna än om det vore fråga om ett rent kommersiellt företag.

Som komplement till detta konstaterar förvaltningsutskottet att man måste kräva särskild offentlig tillförlitlighet och ansvarighet vid produktion och upprätthållande av samhälleligt kritisk infrastruktur som direkt stöder statens kärnfunktioner. Det är fråga om att se till att den högsta statsledningen och säkerhetsmyndigheterna kan fungera. Bestämmelserna gäller de centrala funktionerna för statens, samhällets och myndighetsverksamhetens och samtidigt också individens säkerhet. De allmänna principerna för statsförvaltningens organisation och 124 § i grundlagen talar för att säkerhetsnätets verksamhet till fullo ska vara myndighetsdriven under statsrådets omedelbara ledning och tillsyn. Det finns emellertid liksom grundlagsutskottet säger i detta enskilda fall inget absolut konstitutionellt hinder för den ordning som regeringen föreslår och som säkerhetsnätet till stora delar planerats enligt och byggts upp kring.

Enligt inkommen utredning är de centrala säkerhetsmyndigheterna, såsom försvarsförvaltningen och inrikesministeriet, i praktiken redan anslutna till säkerhetsnätet och det aktiebolag som bildats för att producera nät- och infrastrukturtjänsterna, Suomen Turvallisuusverkko Oy, har redan skapat en organisation och förberett sig på att börja producera tjänster och överta affärsverksamheten. Därför ställs lagstiftaren nu inför fullbordat faktum och utskottet har enligt sin uppfattning egentligen ingen faktisk möjlighet att komma fram till en annan lösning än den som regeringen föreslår.

Vidare vill förvaltningsutskottet i fråga om nät- och infrastrukturtjänsterna hänvisa särskilt till vad den säger i detaljmotiveringen om bl.a. tillsyn och styrning. Syftet med de ändringar som utskottet föreslår är också i övrigt att minska de risker som onekligen är förknippade med den verksamhetsmodell som regeringen föreslår.

Informations- och kommunikationstekniska tjänster

Uppgiften som producent av informations- och kommunikationstekniska tjänster i säkerhetsnätet kan enligt lagförslaget skötas av en myndighet inom den offentliga förvaltningen eller en aktör inom IKT-branschen som utsetts för denna uppgift.

De föreslagna bestämmelserna ger möjlighet att överföra uppgifterna också till en privaträttslig juridisk person, såsom ett IKT-företag. Beaktar man detta kan bestämmelserna i 8 § anses vara synnerligen allmänt och inexakt utformade i fråga om en eventuell överföring av statens rättigheter och skyldigheter, menar grundlagsutskottet. Både bestämmelserna och deras motiv måste i detta avseende kompletteras väsentligt för att grundlagsutskottet ska kunna bedöma dem utifrån kraven i 124 § i grundlagen.

Enligt inkommen utredning har planerna i fråga om producenten av IKT-tjänster i säkerhetsnätet emellertid preciserats allt eftersom beredningen framskridit. Det är meningen att en myndighet ska ha hand om dessa uppgifter. Det framgår av grundlagsutskottets utlåtande att omnämnandet av "en aktör inom den informations- och kommunikationstekniska branschen" som eventuell tjänsteproducent måste utgå ur 8 § 1 mom. i lagförslag 1 för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning.

Den som producerar IKT-tjänsterna ska med ensamrätt tillhandahålla, upprätthålla och utveckla gemensamma informations- och kommunikationstekniska tjänster i säkerhetsnätet. Det rör sig om sådana tjänster som krävs för en säker användning av och kommunikation inom säkerhetsnätet och som stöder anslutning till informationssystemtjänster i nätets utrustningslokaler, tjänster som stöder användning av informationssystem i nätets utrustningslokaler och tjänster som tillhandahålls i serversalar i utrustningslokaler i anslutning till säkerhetsnätet.

Många av de utfrågade sakkunniga förhåller sig tveksamma eller direkt negativa till planerna på att tjänsterna i säkerhetsnätet ska produceras av Valtori, ett servicecenter för branschoberoende IKT-tjänster (, RP 150/2013 rd och FvUB 18/2013 rd). Synpunkter som framförts är bland annat att ett nätverk för den högsta statsledningen och säkerhetsmyndigheterna ska hållas separat från de branschoberoende tjänsterna i Valtori. Det anses också viktigt att verksamheten i säkerhetsnätet förvaltas och styrs som en samlad helhet och att inga delar överförs till Valtori. Det framgår vidare av sakkunnigyttrandena att Tori-verksamheten siktar på kostnadseffektivitet, medan tonvikten i verksamheten i säkerhetsnätet ligger på hög beredskap, datasäkerhet och tillgänglighetsnivå. Tori-tjänsterna är avsedda för säkerhetsnivåerna IV och III, medan tjänsterna i säkerhetsnätet är avsedda för nivåerna III och II. Det har enligt ett yttrande till och med ansetts omöjligt att få dessa två tillvägagångssätt att fungera inom samma organisation, bl.a. för att gränserna mellan säkerhetsnivåerna är så pass oklara.

Försvarsutskottet understryker i sitt utlåtande vikten av samordning av lagförslagen om säkerhetsnätet och om Tori också med projektet för en integrationsplattform, särskilt ur tjänsteproduktionens synvinkel.

Enligt lagförslaget ska producenten av IKT-tjänster i säkerhetsnätet avskilja verksamheten enligt den aktuella lagen från sin övriga verksamhet i administrativt, funktionellt och ekonomiskt hänseende. Utskottet erfar att detta ger möjlighet att uppnå lagens syfte och säkerställer dessutom tillräcklig kompetens för tjänsteproduktion i säkerhetsnätet och de resurser som behövs för hög beredskap.

Övergångsbestämmelsen i lagförslaget säger att Förvaltningens IT-central (Haltik) ska tillhandahålla säkerhetsnätets informations- och kommunikationstekniska tjänster högst till den 31 december 2014. Efter det är det meningen att tjänsteproduktionen ska överföras till Statens center för informations- och kommunikationsteknik Valtori, ett servicecenter som producerar statens icke branschspecifika IKT-tjänster (servicecentret Tori). Det är meningen att tjänsteproduktionen efter övergångstiden ska fortsätta utifrån samma principer och i huvudsak med samma personal. Utskottet föreslår i detaljmotiven att övergångsperioden ska vara två år från lagens ikraftträdande.

Med statens icke branschspecifika IKT-tjänster avses sådana tjänster som kan tillhandahållas eller genomföras utan betydande branschspecifikt kunnande och som grundar sig på utrustning och datatekniska lösningar, inklusive den teknik som hänför sig till dessa, som används allmänt. Enligt inkommen utredning kommer servicecentret att bättre kunna övervaka, kontrollera och upprätthålla tidsmässigt kritiska tjänster i säkerhetsnätet när det får dygnet runt-kapacitet sju dagar i veckan (24/7). Till denna hanteringsfunktion kommer att fogas tjänster som tas fram inom projektet för bättre förebyggande och reaktionsförmåga när det gäller hot mot datasäkerheten (SecICT). Dessa nya funktioner och tjänster kommer att komplettera servicecentrets kapacitet att vara tjänsteproducent med hög beredskap och säkerhet enligt kraven i lagen om säkerhetsnätet och förmåga att svara bl.a. mot den senaste tidens hot mot datasäkerheten.

Genom att avskilja tjänsterna i säkerhetsnätet från servicecentrets övriga verksamhet i administrativt, funktionellt och ekonomiskt hänseende bör man se till att syftet med verksamhetens i säkerhetsnätet uppnås bl.a. i fråga om datasäkerhetsreglerna, it-säkerhetskulturen och tillräcklig resursering som kräver hög beredskap och även beaktar eventuella undantagsförhållanden, understryker förvaltningsutskottet. Om servicecentret Tori ska kunna leva upp till vad som krävs av det, är det ändamålsenligt att samla datasäkerhetspersonalen till en separat enhet för lagen om säkerhetsnätet när ansvaret för att producera de IKT-tjänster i säkerhetsnätet som avses i 8 §. Det är viktigt att genom den 24/7-övervaknings- och händelsehanteringskapacitet som byggs upp i servicecentret sörja för de användargruppers behov som kräver stark kontinuitet. Genom att bygga upp en särskild enhet på förhöjd nivå inom Valtori är det möjligt att förverkliga en lösning som beaktar dels kraven på hög beredskap och säkerhet, dels också kostnadseffektiviteten.

Integrationstjänster

Enligt den föreslagna 10 § i kan uppgiften som tillhandahållare av integrationstjänster i säkerhetsnätet skötas av en myndighet inom den offentliga förvaltningen eller aktör inom IKT-branschen som särskilt utsetts för denna uppgift. Det är finansministeriets uppgift att utse denna tjänsteproducent. Syftet med bestämmelsen är att beslutet om tjänsteproducenten kan fattas smidigare än när man väljer tillhandahållare av de informations- och kommunikationstekniska tjänster som avses ovan. I samband med beslutet kan det också vara nödvändigt att besluta om överföring av statens rättigheter och skyldigheter till tjänsteproducent som beslutet avser. Detta kan exempelvis innebära beslut om överlåtelse av rörelse. Beslut om överföringen av statens rättigheter och skyldigheter kan enligt bestämmelsen endast fattas av statsrådet efter föredragning från finansministeriet.

Sådana tillhandahållare av integrationstjänster som avses kan enligt propositionsmotiven t.ex. vara ministeriernas IKT-avdelningar, sådana servicecenter inom IKT-branschen som förvaltningsområdena använder eller företag som särskilt godkänts för denna uppgift.

Enligt lagförslaget kan således tjänsteproducenten vara en aktör inom den informations- och kommunikationstekniska branschen. Detta bör utgå för att lagförslaget i fråga om 10 § 1 mom. ska kunna behandlas i vanlig lagstiftningsordning. Utskottet hänvisar här till vad den sagt om informations- och kommunikationstekniska tjänster och till grundlagsutskottets utlåtande.

Den som tillhandahåller integrationstjänster ska med ensamrätt ansluta tjänsterna i säkerhetsnätet till användarnas andra IKT-tjänster och svara för att denna servicehelhet förmedlas och tillhandahålls till användarna. Det viktigaste i tjänsteproducentens uppgift är dels att ansluta användaren tekniskt, dels också att skapa en användarkontakt mellan andra tjänsteproducenter i säkerhetsnätet och användaren plus att dessutom samordna tjänsterna i säkerhetsnätet med användarnas branschspecifika tjänster och andra branschoberoende Tori-tjänster. Det är meningen att användarkontakten ska skapas genom ramavtal mellan de ministerier som styr användargrupperna och producenterna av nät- och infrastrukturtjänster och IKT-tjänster. Tillhandahållaren av integrationstjänster och nätanvändaren ska således ingå ett serviceavtal.

Enligt motiveringen till det tidigare behandlade lagförslaget om statens gemensamma IKT-tjänster är avsikten att det numera inrättade servicecentret Valtori också ska sköta produktionen av integrationstjänster (RP 150/2013 rd). Förvaltningsutskottet föreslår på det sätt som framgår av detaljmotiven att Statens center för informations- och kommunikationsteknik Valtori också ska tillhandahålla integrationstjänsterna. Enligt inkommen utredning är det viktigt att beakta att det finns aktörer inom kommunsektorn som använder säkerhetsnätet och att också de bör kunna använda integrationstjänsterna.

Underleverantörer

Enligt propositionen får tillhandahållaren av nät- och infrastrukturtjänster, informations- och kommunikationstekniska tjänster respektive integrationstjänster (tjänsteproducenterna) anlita underleverantörer i den omfattning finansministeriet beslutar. Också då ansvarar tjänsteproducenten för underleverantörens arbete enligt samma villkor som för sitt eget arbete. Emellertid kan försvarsmakten vara underleverantör när ett undervattenskabelnät för säkerhetsnätet byggs och upprätthålls samt Försvarsförvaltningens byggverk vara underleverantör i fråga om att bygga, låta bygga och upprätthålla utrustningsutrymmen för säkerhetsnätet.

Tjänsteproducenten ska begära utlåtande av finansministeriet innan den upphandlar från en underleverantör. Enligt propositionsmotiven innebär detta i praktiken att ministeriet fastställer de uppgifter som kan upphandlas från en underleverantör. Avsikten med utlåtandeförfarandet är dessutom att säkerställa att underleverantören verkligen klarar av att inom sitt uppgiftsområde uppfylla säkerhets- och beredskapskraven på säkerhetsnätet.

Grundlagsutskottet anser att det i princip ter sig som om obegränsad användning av underleverantörer är möjlig om man ser till bestämmelserna. Eventuella inskränkningar beslutas helt av finansministeriet. Det är viktigt att komplettera regleringen med bestämmelser som inskränker möjligheten att lägga ut verksamhet till det absolut nödvändiga och bestämmer villkoren för att använda underleverantörer, menar grundlagsutskottet. Dessutom måste myndigheternas styr- och tillsynsbehörighet i lag i tillräcklig omfattning utsträckas också till underleverantörens verksamhet.

Förvaltningsutskottet föreslår i syfte att beakta grundlagsutskottets utlåtande att lagförslag 1 ändras på det sätt som framgår av detaljmotiven.

Prioritets- och viktighetsklassificering

Enligt 13 § i lagförslag 1 beslutar finansministeriet under normala förhållanden och vid störningar under normala förhållanden om prioritet och skyndsamhet samt annan viktighetsklassificering i fråga om produktionen av tjänster i och användningen av säkerhetsnätet. Under sådana undantagsförhållanden som avses i beredskapslagen () ska bestämmelserna i beredskapslagen iakttas i fråga om det beslutsfattande som gäller viktighetsklassificering, och under ett sådant försvarstillstånd som avses i lagen om försvarstillstånd () fattar försvarsmakten beslut om viktighetsklassificeringen.

Försvarsförvaltningen har föreslagit en precisering av lagförslaget för att det i ett försvarstillstånd ska gå att ansluta det bolag som producerar nät- och infrastrukturtjänster i säkerhetsnätet till försvarets krigstida organisation och ordningen för beredskapshöjning. Dessutom understryker yttrandena vikten av att under normalförhållanden snabbt kunna höja säkerhetsnätets beredskap till den nivå som ett försvarstillstånd kräver. Enligt försvarsförvaltningens yttranden ska säkerhetsnätets viktighetsklassificering inte göras till föremål för beslut av en aktör utanför försvarsmakten.

I försvarsutskottets utlåtande sägs det för sin del att det viktigaste med tanke på försvarsförvaltningens ansvar är att tillgången till nätresurser säkerställs i synnerhet vid undantagsförhållanden enligt 3 § 1 och 2 punkten (väpnat angrepp och hot om väpnat angrepp) i beredskapslagen och vid försvarstillstånd. Det är enligt försvarsutskottets mening viktigt att försvarets rätt att besluta om prioritet, skyndsamhet och andra viktighetsklassificeringar under försvarstillstånd fortsatt regleras i bestämmelsen.

Sakkunniga tog ställning till viktighetsklassificeringen också ur ett annat perspektiv. I ett läge där alla ministerier har sin datakommunikation i samma nät som andra säkerhetsaktörer kommer statsledningens kommunikation i ett försvarstillstånd att kontrolleras av försvarsmakten, som då beslutar om hur kommunikationen ska prioriteras. I så fall föreligger det en risk för att utgångspunkten för datatrafikens viktighetsklassificeringar inte är den mest ändamålsenliga ur statsledningens synpunkt. Att göra statsrådets stamnät till en del av säkerhetsnätet skulle göra statsledningen underordnad i förhållande till försvarsmakten och dessutom försätta den i ett utsatt läge för samma attacker som försvarsmaktens datakommunikation, som är ett militärt objekt. Statsrådets autonomi i ett försvarstillstånd kan garanteras genom att statsrådets nät finns i anslutning till säkerhetsnätet utan att för den skull ingå i nätet, har sakkunniga framfört.

Förvaltningsutskottet noterar att delegationen för säkerhetsnätets verksamhet enligt lagförslaget ska fungera som finansministeriets stöd vid den strategiska styrningen. Delegationen deltar bl.a. i arbetet med att ta fram principer och praxis för prioritetsklassificeringen när det gäller användning av säkerhetnätet. I delegationen finns företrädare för alla centrala styrande aktörer och användargrupper i fråga om säkerhetsnätet.

Utskottet poängterar att det är viktigt att i senare förordningar av statsrådet och i den praktiska styrningen av säkerhetsnätet, särskilt genom delegationen för säkerhetsnätets verksamhet, närmare ange de principer utifrån vilka prioritetsklassificeringen av produktionen och användningen av tjänsterna i säkerhetsnätet kan göras i olika situationer så att det finns en balans mellan de olika nätanvändarnas behov utifrån vad den då aktuella situationen kräver. Enligt inkommen utredning är det möjligt att genom tekniska och funktionsrelaterade lösningar uppnå tillräcklig beredskap inom säkerhetnätet bl.a. genom kontroll över kapaciteten och prioritetsklassificeringen i fråga om kapacitetsutnyttjandet.

Vid prioritering och viktighetsklassificering under exceptionella samhällsförhållanden måste det gå att stödja sig på de bestämmelser i lagen om försvarstillstånd och beredskapslagen som också annars är tillämpliga under sådana förhållanden. Utskottet understryker att det hör till försvarsmaktens centrala uppgifter att se till att statsledningen har handlingsfrihet, och därför ser utskottet ingen konflikt mellan att både försvarets och statsledningens verksamhetsförutsättningar tryggas under ett försvarstillstånd.

Styrning och tillsyn

I det föreslagna 3 kap. finns bestämmelser om styrning och tillsyn av säkerhetsnätet. Där delas styr- och tillsynsuppgifterna upp mellan statsrådet kansli och finansministeriet. Kansliet ansvarar för ägarstyrningen av det bolag som tillhandahåller nät- och infrastrukturtjänsterna och finansministeriet för den allmänna administrativa, strategiska och ekonomiska styrningen av verksamheten i säkerhetsnätet och för styrningen av den informations- och kommunikationstekniska beredskapen och säkerheten. Dessutom tillsätter statsrådet en delegation för säkerhetsnätets verksamhet som ska stödja finansministeriet i den strategiska styrningen.

Under sakkunnigutfrågningen påpekades det för förvaltningsutskottet bl.a. att den föreslagna styrningsmodellen var oändamålsenlig och oklar. I det sammanhanget lyftes särskilt förhållandet mellan styrning enligt aktiebolagslagen () och annan styrning av verksamheten i säkerhetsnätet fram ur den synvinkeln att en sådan tjänsteproducent i säkerhetsnätet som bedriver verksamhet i aktiebolagsform inte kan styras tillräckligt kraftigt i förhållande till vilken särskild betydelse verksamheten har för samhällsfunktionerna.

Försvarsutskottet säger i sitt utlåtande att styrmodellen och anvisningarna för säkerhetsnätets verksamhet ska vara så pass tydliga att inga oklarheter kvarstår i fråga om styr- och ledningsförhållandena i olika situationer. Också enligt sakkunnigyttrandena till förvaltningsutskottet behövs det en tydlig styrmodell och adekvat styrning av olika aktörer.

Grundlagsutskottet erfar att den lagbaserade styr- och tillsynsmodellen tjänsteproduktionen också gäller på operativ nivå. Det utskottet anser emellertid att bestämmelserna inte avspeglar detta synsätt tillräckligt tydligt. Därför är det enligt grundlagsutskottet viktigt att bestämmelserna preciseras i det avseendet att man uttryckligen föreskriver att en viss myndighet ansvarar för tillsyn och styrning när det gäller det bolag som producerar nät- och infrastrukturtjänster i säkerhetsnätet. Dessutom måste bestämmelserna tydligt ange hurdana tillsynsmetoder myndigheterna får använda. Sammanfattningsvis bör förvaltningsutskottet, med beaktande av verksamhetens natur, försäkra sig om att den modell för tillsyn och styrning som ingår i regleringen faktiskt och tydligt säkerställer en tillräcklig tillsyn och styrning av tjänsteproducenten. Dessutom bör det sörjas för att verksamheten är effektiv och ledningen konsekvent i alla konkreta situationer, särskilt i undantagsförhållanden.

Förvaltningsutskottet föreslår nedan i detaljmotiven väsentliga förbättringar i bestämmelserna om styrning och tillsyn utifrån grundlagsutskottets utlåtande, försvarsutskottets utlåtande och sakkunnigyttrandena. En effektiv styrmodell kräver enhetlighet i den strategiska och ekonomiska styrningen och även annan styrning över lag. Syftet med den föreslagna lagstiftningen är att säkerhetsnätet och dess tjänster ska ligga inom ramen för en enhetlig och funktionssäker infrastruktur och enhetlig styrmodell.

Kostnaderna för säkerhetsnätet och användaravgifter

Under sakkunnigutfrågningen framfördes synpunkter om de extrakostnader som olika förvaltningsområden och kommunala aktörer orsakas av säkerhetsnätet. En extra utmaning i dagens läge utgörs av förvaltningsområdenas sparbeting. Det har bl.a. framförts att de betydande investeringar som gjorts för hög beredskap och säkerhet i säkerhetsnätet också kräver allt större satsningar på att upprätthålla och kontinuerligt utveckla nätet. Detta medför ytterligare it-kostnader för nätanvändarna. Sakkunniga har ansett det viktigt att de ökade IKT-utgifterna när säkerhetsnätet börjar användas kompenseras med särskild tilläggsfinansiering.

I propositionen beskrivs det när verksamheten i säkerhetsnätet inleds blir möjligt att ha större interoperabilitet mellan IKT-tjänsterna och ett mer kostnadseffektivt produktionssätt än med dagens splittrade produktionsmodell. En centraliserad upphandling och ett centraliserat tillhandahållande av informations- och kommunikationstekniska tjänster ger möjlighet till kostnadsbesparingar som täcker en del av de extra kostnader som orsakas av den höjda säkerhets- och beredskapsnivån. Samtidigt förutsätter den höjda säkerhets- och beredskapsnivå som det utvidgade nätet kräver av nya användare investeringar som också efter det att verksamheten effektiviserats ökar förvaltningsområdenas it-utgifter. Behovet av mer resurser beror på kostnader för att införa och upprätthålla nätet, tilläggsresurser som behövs för att syra verksamheten, pensionsskydd för de personer som överförs vid överlåtelse av rörelse och utvidgning av tjänsterna till nya användargrupper. I planen för de offentliga finanserna 2015—2018 reserveras 43,1 miljoner euro i tilläggsanslag för verksamheten i säkerhetsnätet.

Trots att verksamheten medför merkostnader kommer den enligt regeringen att ge en högre beredskaps- och säkerhetsnivå bl.a. mot hot och risker som gäller cybersäkerheten. Enligt propositionen kan myndigheterna i alla lägen lita och förlita sig på de funktionssäkra strukturerna och tjänsterna i säkerhetsnätet.

Vidare säger regeringen att det återstår att i budget- och ramprocesserna bedöma om anslagen behöver ökas och i vilken omfattning samt om eventuella tillägg ska finansieras genom omfördelningar. Dessutom kommer det att göras en ny, särskild granskning av om verksamheten har kunnat effektiviseras och överlappande verksamheter har kunnat slopas bättre än planerat. I statsbudgeten för 2015 föreslås sammanlagt 12,1 miljoner euro i ytterligare finansiering för verksamheten i säkerhetsnätet under inrikesministeriets och försvarsministeriets förvaltningsområden. Ett anslag på 2,5 miljoner euro föreslås i budgeten under investeringsmomentet för Statens center för informations- och kommunikationsteknik Valtori för de informations- och kommunikationstekniska tjänsterna i säkerhetsnätet. I planen för de offentliga finanserna för 2015—2018 är motsvarande investeringsreservation sammanlagt 10 miljoner euro.

När säkerhetsnätsprojektet planerades 2007 uppskattades budgeten för projektet till 340 miljoner euro och tiden för projektgenomförandet till åtta år. Åren 2008—2013 investerades omkring 200 miljoner euro i säkerhetsnätet och tillhörande tjänster inom projektet och dess planeringsetapp. Dessutom har försvarsmakten under de senaste 20 åren investerat ca 150 miljoner euro i nätstrukturerna för försvarsmaktens kommunikationsnät, som utgör basen för säkerhetsnätet. Kostnaderna beräknas uppgå till ca 100 miljoner om året när verksamheten enligt den föreslagna lagstiftningen startar. Enligt kalkylerna kommer det att inom inrikesförvaltningen, försvarsförvaltningen och statsrådet i övrigt finnas omkring 30 000 användare som berörs av tjänsteproduktionen. De ekonomiska verkningarna av säkerhetsnätsprojektet beskrivs närmare i propositionen. Enligt planerna ska den samlade finansieringsmodellen för säkerhetsnätet grunda sig på användaravgifter som tas ut av kunderna — de användande myndigheterna enligt lagen — i enlighet med de tjänster som de beställt. Avgifterna innefattar kostnaderna för att upprätthålla och utveckla höjd aktionsberedskap, annan beredskap och säkerhet.

Sammanfattningsvis konstaterar utskottet i fråga om de ekonomiska konsekvenserna att säkerhetsnätet med avseende på myndigheternas verksamhet och ekonomi går ut på att rationalisera verksamheten. Det är meningen att en centraliserad upphandling och ett centraliserat tillhandahållande av IKT-tjänster ska ge upphov till kostnadsbesparingar som täcker en del av de extra kostnader som orsakas av den eftersträvade höjda säkerhets- och beredskapsnivån. I detta sammanhang pekar utskottet mer allmänt på den senaste tidens svårigheter i anknytning till statens IKT-projekt (exempelvis inrikesministeriets Vitja-projekt), såsom oförutsedda extrakostnader, försenade projekt och brister i funktionerna i förhållande till förväntningarna.

Allmänna förvaltningslagar och tjänsteansvar

I sin tolkningspraxis har grundlagsutskottet ansett att det för att rättssäkerheten och kravet på god förvaltning ska anses vara uppfyllda i den bemärkelse som avses i 124 § i grundlagen krävs att ärendena behandlas i enlighet med de allmänna förvaltningslagarna och att de som behandlar ärendena handlar under tjänsteansvar. I sitt utlåtande konstaterar grundlagsutskottet att de allmänna förvaltningslagarna, också utan särskild hänvisning, med stöd av bestämmelserna om tillämpningsområde, myndighetsdefinition och skyldigheten att betjäna på ett visst språk tillämpas också på privata aktörer när de fullgör offentliga förvaltningsuppgifter.

Bestämmelser om offentlighet och sekretess finns i den föreslagna 21 §. De bör vara ändamålsenliga med avseende på regleringsobjektet. Det som däremot enligt utlåtandet är problematiskt är att de anställda med arbetsavtal hos det bolag som producerar nät- och infrastrukturtjänster i säkerhetsnätet eller de anställda hos den eventuella underleverantören inte har något straffrättsligt tjänsteansvar till den del uppgifterna inte inbegriper utövande av offentlig makt på det sätt som avses i 40 kap. 11 § i strafflagen. Grundlagsutskottet anser att regleringen till denna del måste kompletteras med bestämmelser om att bestämmelserna om straffrättsligt tjänsteansvar ska tillämpas på anställda hos bolaget eller underleverantören när de utför uppgifter som avses i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät. Det är en förutsättning för att behandla lagförslaget i vanlig lagstiftningsordning.

Säkerhetsutredningar

Enligt 22 § i lagförslag 1 ska den personal som sköter uppgifter i säkerhetsnätet ha sådan pålitlighet som uppgifterna förutsätter och som vid behov kan utredas i enlighet med vad som särskilt bestäms eller föreskrivs om detta. Enligt propositionsmotiven betyder detta i praktiken att personalens pålitlighet kan utredas t.ex. enligt lagen om säkerhetsutredningar, om de förutsättningar för en utredning som anges i den lagen är uppfyllda. I de fall där lagen om säkerhetsutredningar inte är tillämplig, kan utredningen enligt motiveringen göras exempelvis enligt vad finansministeriet bestämmer och enligt villkor och principer som har behandlats i den delegation som avses i den föreslagna 17 §.

Grundlagsutskottet har i sin praxis uppskattat att säkerhetsutredningar är ett ingrepp i skyddet för privatliv och personuppgifter, som garanteras i 10 § i grundlagen. I grundlagens 10 § 1 mom. tryggas skyddet för privatlivet och det förutsätts att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Det framgår av grundlagsutskottets utlåtande att grundlagens hänvisning till bestämmelser i lag om skyddet för personuppgifter kräver att lagstiftaren utfärdar sådana bestämmelser, men samtidigt får lagstiftaren själv överväga detaljerna i regleringen. Detta övervägande begränsas emellertid av att skyddet för personuppgifter ingår i skyddet för privatlivet i samma moment.

Grundlagsutskottet anser det vara självklart att uppgifter som omfattas av skyddet för privatlivet enligt grundlagen måste skaffas om man vill utreda hur pålitlig en person är som utför uppgifter i säkerhetsnätet. Med andra ord finns det skäl för de föreslagna bestämmelserna som är godtagbara med avseende på de grundläggande fri- och rättigheterna. Det som är problematiskt är att ordalydelsen i bestämmelsen och de tillhörande motiven utgår från att utredningen av pålitligheten kan bygga också på reglering på lägre nivå än lag eller till och med på vad finansministeriet bestämmer. Detta står i strid med kravet på reglering på lagnivå i 10 § i grundlagen. Därför måste den föreslagna 22 § ändras så att det framgår att bestämmelser om en sådan utredning ska finnas i lag för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.

Förvaltningsutskottet anser att man måste vara extra noggrann när det gäller personalsäkerheten i fråga om dem som arbetar med uppgifter enligt lagen om säkerhetsnätet. Bakgrund, pålitlighet och oförvitlighet måste noga utredas för dem som ska ha sådana uppgifter. Utskottet föreslår ändringar och hänvisar i fråga om dem till detaljmotiven.

Verksamhetsstart och överlåtelse av rörelse

Verksamhetsstarten i säkerhetsnätet är särskilt kopplad till en överföring av funktionerna i försvarsmaktens datakommunikationsnät till det helt statsägda aktiebolaget Suomen Erillisverkot Oy. Ett dotterbolag, Suomen Turvallisuusverkko Oy, har bildats inom Suomen Erillisverkot-koncernen för att producera nättjänster i säkerhetsnätet och underhålla och administrera säkerhetsnätets utrustningsutrymmen och utrustning. Det är meningen att överföringen av de funktioner som följer av lagen och de som ska utföra dessa uppgifter ska ske i form av överlåtelse av rörelse. På det sättet går det att sörja för kontinuiteten i den nuvarande verksamheten och de överförda personernas anställningsförhållanden.

Avsikten är att försvarsmakten med stöd av den föreslagna lagen om säkerhetsnätet överlåter den informationsnätsverksamhet som är i dess användning och besittning inklusive utrustning, utrymmen och personal till det bolag som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet. Enligt planerna ska försvarsmakten till den nya tjänsteproducenten överföra sitt stamnät och det regionnät som hör nära samman med stamnätet samt de delar av kommunikationsnätet som innefattas i dessa inklusive utrustningsutrymmen, utrustning och annan infrastruktur som omedelbart hör samman med dessa nät. På detta sätt är det meningen att möjliggöra att detta kommunikationsnät samanvänds med andra centrala säkerhetsmyndigheter.

Överlåtelsen innebär att staten överlåter försvarsmaktens nätverksamhet till det helt statsägda Suomen Erillisverkot Oy. Följden är att omkring 150 berörda personer inom försvarsmakten överförs till koncernen. Största delen av personalen blir anställda hos koncernföretaget Suomen Turvallisuusverkko Oy, som bildats för säkerhetsnätsverksamhet.

Beslutet om överlåtelse av rörelse och tidsplanen fattas av statsrådet efter det att den föreslagna lagen har blivit stadfäst. Enligt uppgift är det meningen att i tidsplanen beakta att förutsättningarna för överlåtelsen är uppfyllda och att säkerhetsnätsverksamhetens driftsäkerhet kan garanteras. Försvarsutskottet understryker i sitt utlåtande att överlåtelsen från försvaret till Suomen Erillisverkot Oy inte ska genomföras förrän försvaret och nätbolaget nått en samsyn och är säkra på att säkerhetsåtgärderna är tillräckliga och att den operativa verksamheten inte äventyras när rörelsen överlåts.

Överlåtelsen gäller de produktionsfaktorer som företagskoncernen behöver för att producera nät- och infrastrukturtjänster. Den går till så att statsrådet bestämmer värdet på det som ska överlåtas, varefter verkställigheten av överlåtelsen enigt inkommen utredning kommer att delegeras till de berörda förvaltningarna, dvs. försvarsförvaltningen och inrikesförvaltningen. Dessa ska sedan upprätta överlåtelsehandlingarna till Suomen Erillisverkot Oy, som i sin tur överlåter största delen av sin egendom till dotterbolaget Suomen Turvallisuusverkko Oy. Därefter tas egendomen upp i koncernens balansräkning, och staten får som apport aktier i Suomen Erillisverkot motsvarande värdet på den egendom som överlåts. Detta är enligt uppgift orsaken till att egendomen först överlåts till moderkoncernen. Dotterbolaget Suomen Turvallisuusverkko ska enligt planerna producera säkerhetsnätets nät- och infrastrukturtjänster, dvs. vara nätoperatör.

Enligt en övergångsbestämmelse i den föreslagna lagen får försvarsmakten, Förvaltningens IT-central (Haltik) och Statens IT-servicecentral vid Statskontoret tillhandahålla tjänster i säkerhetsnätet högst till och med den 31 december 2014. Syftet är att sörja för säkerhetsnätets driftsäkerhet och servicekapacitet under ett övergångsskede. Enligt inkommen utredning finns det tillräcklig beredskap och tillräckliga förutsättningar för att starta verksamhetsmodellen i den föreslagna lagen. Försvarsförvaltningen och inrikesministeriet har utifrån tillgängliga uppgifter i praktiken redan kopplats till säkerhetsnätet, och Suomen Turvallisuusverkko har organiserat och förberett sig för produktionsstart och mottagande av affärsverksamheten. Bestämmelserna måste emellertid preciseras något eftersom statens IT-servicecentral inte längre finns: Centralen och dess uppgifter är nämligen numera en del av Valtori. Dessutom behöver övergångsperioden förlängas i vissa avseenden eftersom lagens ikraftträdande skjutits upp från vad som ursprungligen planerades.

Personalens ställning

Enligt sakkunniga måste de olösta frågorna om de anställdas ställning lösas innan lagen träder i kraft.

Enligt den föreslagna 30 § tillämpas i fråga om ordnandet av personalens ställning bestämmelserna om överlåtelse av rörelse i arbetsavtalslagen () och i statstjänstemannalagen (). Syftet med bestämmelserna är att undanröja behovet av särskilda förhandlingar vid statlig bolagisering och att reglera personalens ställning vid överlåtelse av rörelse. Förvaltningsutskottet understryker vikten av god personalpolitik och ledning, i synnerhet i förändringsprocesser.

De anställda som på grundval av lagen om säkerhetsnätet kommer att övergå i tjänst hos det aktiebolag som avses i 6 § kommer inte längre att omfattas av statens pensionslagstiftning, utan av arbetspensionssystemet för den privata sektorn. De pensioner som de personer som överförs intjänat fram till tidpunkten för överlåtelsen kommer enligt inkommen utredning att tryggas genom tilläggspensionsförsäkringar som bolaget tecknar på ett sådant sätt att de intjänade pensionerna som är större på grund av de pensionsbestämmelser som iakttas hos staten tryggas till fullt belopp liksom även en lägre avgångsålder från 60 år. I statsbudgeten för 2014 beviljas ett treårigt reservationsanslag på 5 miljoner euro i ersättning till det bolag som avses i 6 § och som förvärvar rörelsen för de kostnader som föranleds av tilläggspensionsförsäkringarna.

Utskottet poängterar att också förtroendemännens verksamhet, samarbetsverksamheten och arbetarskyddssamarbetet måste ordnas på tillbörligt sätt inom koncernen Suomen Erillisverkot i syfte att behörigen trygga personalens ställning när lagstiftningen om säkerhetsnätet införs.

Ålands särställning

Enligt propositionsmotiven om lagstiftningsordningen kommer lagen inte att tillämpas i landskapet Åland till den del som lagstiftningsbehörigheten i ärendet hör till landskapet enligt självstyrelselagen för Åland (). Grundlagsutskottet påpekar att särskilda bestämmelser om detta måste utfärdas på grundval av en grundlig beredning, om landskapets säkerhetsmyndigheter ska ges möjlighet att använda säkerhetsnätet.

Uppföljning

Förvaltningsutskottet understryker att hela planen med säkerhetsnätet är att producera och upprätthålla samhälleligt kritisk infrastruktur som direkt stöder statens kärnfunktioner. Det faktum att reformen gäller de centrala funktionerna för myndighetsverksamhetens, statens, hela samhällets och individens säkerhet kan inte nog framhävas. Satsningarna på reformgenomförandet måste vara helhjärtade och självfallet måste genomförandet följas noga. Som ett exempel vill utskottet lyfta fram att reformen måste genomföras på ett sätt som bl.a. medger att nödcentralssystemet kan fortsätta att fungera störningsfritt också i praktiken. Dessutom vill utskottet absolut kunna utvärdera projektets genomförande utifrån erhållna erfarenheter.

Utskottet föreslår därför att riksdagen förutsätter att regeringen noga följer och utvärderar genomförandet av säkerhetsnätsreformen och att den före utgången av 2016 års riksmöte lämnar förvaltningsutskottet en sådan skriftlig och detaljerad utredning som avses i 47 § 2 mom. i grundlagen om reformgenomförandet och anknytande frågor, inklusive det som framgår av förvaltningsutskottets betänkande FvUB 35/2014 rd (Utskottets förslag till uttalande).

Sammanfattning

Under förvaltningsutskottets sakkunnigutfrågning framfördes omfattande kritik mot det föreliggande lagförslaget om säkerhetsnätet. Den bör anses vara befogad. Till det som framför allt kritiserats hör att tjänsterna i säkerhetsnätet, i synnerhet nät- och infrastrukturtjänsterna, utifrån lagförslaget enligt planerna ska produceras för ett statsägt aktiebolag. Omfattande kritik riktades också mot att IKT-tjänsterna och integrationstjänsterna ska produceras av Valtori, ett servicecenter för branschoberoende IKT-tjänster. Dessutom kan det stora antalet oklara begrepp i lagförslaget anses vara problematiskt eftersom begreppen saknar entydiga definitioner. Också i övrigt innehåller propositionen vaga bestämmelser. Exempelvis finns där bestämmelser om olika tjänsteproducenter ("tillhandahållare av tjänster") där den föreslagna producenten väljs i efterhand genom administrativa förfaranden och kan vara antingen en myndighet eller en enskild aktör.

Grundlagsutskottet framför i sitt utlåtande flera konstitutionella anmärkningar som gäller lagstiftningsordningen. I försvarsutskottets utlåtande finns å sin sida flera ställningstaganden som gäller stiftandet och verkställigheten av lagen.

Förvaltningsutskottet föreslår i detta betänkande många förbättringar med anledning av den befogade kritiken. Sammantaget finner utskottet att lagförslag 1 behövs och fyller sitt syfte när det har ändrats i enlighet med utskottets förslag. Utskottet tillstyrker lagförslag 1, men med de ändringar och ståndpunkter som framgår av betänkandet. Eftersom kommunikationsmarknadslagen har upphävts föreslår utskottet att lagförslag 2 avvisas.

Dessutom vill utskottet framhålla att denna lagstiftning utgör rättsgrund för verksamheten i säkerhetsnätet. Men samtidigt beror det på verkställigheten hur väl verksamheten lyckas och i vilken utsträckning målen nås.

Förvaltningsutskottet anser att lagen om verksamheten i den offentliga förvaltningens säkerhetsnät ska träda i kraft den 1 januari 2015.

Detaljmotivering

1. Lagen om verksamheten i den offentliga förvaltningens säkerhetsnät

1 kap. Allmänna bestämmelser
1 §. Lagens syfte och tillämpningsområde.

I 1 § 2 mom. i den föreslagna lagen finns en allmän definition av säkerhetsnät, enligt vilken säkerhetsnätet är ett i kommunikationsmarknadslagen avsett myndighetsnät i statens ägo och besittning, som uppfyller kraven på hög beredskap och hög säkerhet. Utskottet föreslår att momentet ändras eftersom kommunikationsmarknadslagen har upphävts och definitionen av myndighetsnät i stället ingår i 250 § i en ny lag med rubriken informationssamhällsbalk.

Vidare föreslår utskottet att 1 § 3 mom. i lagförslaget ska hänvisa till bestämmelserna om myndighetsnät i informationssamhällsbalken i stället för till motsvarande bestämmelser i kommunikationsmarknadslagen.

Det framgår av motiveringen till proposition RP 150/2013 rd (förslag till lag om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster osv.) att den nu föreslagna lagen om verksamheten i den offentliga förvaltningens säkerhetsnät är avsedd att vara en speciallag i relation till lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster ().

I 1 § 2 mom. i lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster anges i sin tur att den lagen har företräde framför lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen ().

Förvaltningsutskottet vill att regleringen ska vara överskådlig och konsekvent och föreslår därför ett nytt 1 § 4 mom. där det sägs att lagen om säkerhetsnätet har företräde framför de två andra lagarna (1226/2013 och 634/2011).

4 §. Annan användning av säkerhetsnätet.

Med anledning av det som ovan anfördes i detaljmotiven till 1 § föreslår utskottet att uttrycket "...användaren hör till en sådan användargrupp inom myndighetsnätet som bestäms i enlighet med kommunikationsmarknadslagen..." i 4 § 1 mom. preciseras så att den hänvisar till informationssamhällsbalken i stället för till kommunikationsmarknadslagen.

Enligt det föreslagna 4 § 2 mom. får det helt statsägda aktiebolaget Suomen Erillisverkot Oy och ett dotterbolag till det, som tillhandahåller tjänster inom myndighetsradionätets verksamhet, använda säkerhetsnätet för skötseln av sina uppgifter i anslutning till myndighetsradionätets verksamhet.

Enligt inkommen utredning har det skett en omstrukturering inom koncernen efter det att propositionen utarbetades. Numera är det dotterbolagen Virve Tuotteet ja Palvelut Oy och det nyare Suomen Virveverkko Oy som ansvarar för myndighetsradionätet. Utskottet föreslår därför att 4 § 2 mom. ska uttryckas i plural, dvs. "de dotterbolag som producerar tjänster".

2 kap. Tjänsteproduktionen i säkerhetsnätet
6 §. Tillhandahållare av nät- och infrastrukturtjänster.

Av 6 § 1 mom. framgår att aktiebolaget Suomen Erillisverkot Oy, som helt och hållet ägs av staten, är tillhandahållare av nät- och infrastrukturtjänster i säkerhetsnätet.

I den allmänna motiveringen har nät- och infrastrukturtjänster och tillhandahållare behandlats ingående. Utskottet vill i detta sammanhang ytterligare understryka att ordalydelsen i den föreslagna lagen inte tillåter att ens en del av det statsägda bolaget Suomen Erillisverkot Oy säljs. Utskottet menar att en sådan bestämmelse är nödvändig när det gäller säkerhetsnät. Bolagets ställning som ett aktiebolag som helt och hållet ägs av staten får under inga omständigheter ifrågasättas till exempel genom regeringens programförklaringar eller till följd av politiska förhållanden eller budgetlösningar.

Enligt 6 § 3 mom. kan tillhandahållaren av nät- och infrastrukturtjänster i säkerhetsnätet också vara ett dotterbolag som Suomen Erillisverkot Oy separat bildat för detta ändamål. Dotterbolaget får inte ha andra uppgifter eller funktioner och det får inte ha som syfte att uppnå företagsekonomisk vinst. Utskottet poängterar att den föreslagna lagen till denna del säkerställer att också Suomen Turvallisuusverkko Oy, som bildats för produktionen av nät- och infrastrukturtjänster, kvarstår i ett av staten helägt bolags ägo.

7 §. Uppgifterna för den som tillhandahåller nät- och infrastrukturtjänster.

Grundlagsutskottet anser i sitt utlåtande att det är viktigt att komplettera regleringen om underleverantörer bl.a. med bestämmelser som inskränker möjligheten att lägga ut verksamhet till det absolut nödvändiga och bestämmer villkoren för att använda underleverantörer. Ser man till bestämmelserna ter det sig nämligen enligt utskottet i princip som om obegränsad användning av underleverantörer är möjlig.

I 7 § 2 mom. finns bestämmelser om de möjligheter som tillhandahållaren av nät- och infrastrukturtjänster, dvs. i praktiken Suomen Turvallisuusverkko Oy, har att anlita underleverantörer för sina uppgifter enligt 1 mom. Utskottet föreslår generella bestämmelser om underleverantörer för de olika tjänsteproducenterna i 13 §. Därmed kan de tre första meningarna i 7 § 2 mom. utgå.

Efter ändringen kommer 7 § 2 mom. att innehålla en bestämmelse enligt vilken tillhandahållaren av nät- och infrastrukturtjänster får anlita försvarsmakten som underleverantör för att bygga och upprätthålla ett undervattenskabelnät för säkerhetsnätet samt Försvarsförvaltningens byggverk för att bygga, låta bygga och upprätthålla utrustningsutrymmen för säkerhetsnätet.

Enligt 3 mom. får tillhandahållaren av nät- och infrastrukturtjänster i säkerhetsnätet avtala om anskaffning och överlåtelse av användarrätter till säkerhetsnätets fiberkapacitet och till antennplatser och platser för säkerhetsnätsutrustning. Enligt propositionsmotiven får användarrätterna hyras eller bytas med teleföretag som är verksamma i Finland i den omfattning som behövs för att tillhandahållaren av nät- och infrastrukturtjänster ska kunna fullgöra sina uppgifter enligt 1 mom. Utskottet föreslår att 3 mom. kompletteras med en möjlighet att anskaffa och överlåta användarrätter också till säkerhetsnätets överföringsförbindelser. Detta föreslås till följd av vad som framkommit efter det att propositionen utarbetades i samband med granskningen av den egendom som enligt planerna ska överföras till det statsägda bolaget.

8 §. Tillhandahållare av informations- och kommunikationstekniska tjänster.

Uppgiften som tillhandahållare (producent) av informations- och kommunikationstekniska tjänster i säkerhetsnätet ska enligt 8 § 1 mom. skötas av en myndighet inom den offentliga förvaltningen eller en aktör inom den IKT-branschen som utsetts för denna uppgift. Förvaltningsutskottet föreslår med anledning av grundlagsutskottets utlåtande att omnämnandet av en annan aktör inom den informations- och kommunikationstekniska branschen än en myndighet som eventuell tjänsteproducent utgår. Därmed kan lagförslaget i detta avseende behandlas i vanlig lagstiftningsordning.

Vidare föreslår utskottet med hänvisning till den allmänna motiveringen att det servicecenter som avses i 5 § 1 mom. i lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster ska utses till den myndighet som enligt 8 § 1 mom. tillhandahåller informations- och kommunikationstekniska tjänster. Med andra ord kommer de tjänsterna att produceras av Statens center för informations- och kommunikationsteknik Valtori. Det är ett servicecenter som inledde sin verksamhet i början av mars 2014 och som producerar statens icke branschspecifika IKT-tjänster.

En följd av detta är att sista meningen i 1 mom. utgår. Där står att statsrådet efter föredragning från finansministeriet fattar beslut om vem som ska tillhandahålla informations- och kommunikationstekniska tjänster i säkerhetsnätet och om överföringen av statens rättigheter och skyldigheter i anslutning till verksamheten.

Också första meningen i 2 mom. ska enligt utskottets förslag utgå. Dess innebörd är att syftet med tjänsteproducentens verksamhet inte får vara att uppnå företagsekonomisk vinst. Den meningen behövs inte eftersom ett privat företag efter den ändring som utskottet föreslår inte längre kan vara tjänsteproducent.

Utskottet vill poängtera vikten av det ändrade 8 § 2 mom. Bestämmelsen innebär att tjänsteproducenten måste avskilja sin verksamhet enligt lagen om säkerhetsnätet från sin övriga verksamhet i administrativt, funktionellt och ekonomiskt hänseende. Utskottet anser att det bör finnas en separat enhet för säkerhetsnätsverksamheten.

9 §. Uppgifterna för den som tillhandahåller informations- och kommunikationstekniska tjänster.

Det föreslagna 2 mom. föreskriver om de möjligheter som tillhandahållaren av informations- och kommunikationstekniska (IKT) tjänster har att anlita underleverantörer för sina uppgifter enligt 1 mom. Momentet motsvarar de tre första meningarna i 7 § 2 mom.

Utskottet hänvisar till sin detaljmotivering om 7 § och föreslår att 9 § 2 mom. om underleverantörer ska utgå. Det innebär att 9 § 3 mom. blir 9 § 2 mom. Bestämmelser om underleverantörer tas enligt utskottets förslag in i 13 §.

10 §. Tillhandahållare av integrationstjänster.

Enligt 10 § 1 mom. sköts uppgiften som tillhandahållare (producent) av integrationstjänster i säkerhetsnätet av en myndighet inom den offentliga förvaltningen eller en aktör inom den informations- och kommunikationstekniska branschen som särskilt utsetts för denna uppgift. Statsrådet beslutar om vem som ska producera integrationstjänsterna.

Förvaltningsutskottet hänvisar till vad den anför om 8 § 1 mom. och till grundlagsutskottets utlåtande och föreslår således också i 10 § 1 mom. att omnämnandet av en aktör inom IKT-branschen, dvs. ett privat företag, som eventuell tjänsteproducent utgår.

Vidare föreslår utskottet liksom i fråga om 8 § 1 mom. att Statens center för informations- och kommunikationsteknik Valtori också ska producera integrationstjänsterna och att momentet justeras lagtekniskt i enlighet med detta.

Utskottet vill att regleringen ska vara konsekvent och föreslår därför att 10 § 3 mom. ska preciseras i överensstämmelse med det ändrade 8 § 2 mom. Det innebär att den som producerar integrationstjänsterna måste avskilja sin verksamhet enligt lagen om säkerhetsnätet från sin övriga verksamhet i administrativt, funktionellt och ekonomiskt hänseende. Utöver att integrera tjänsterna i säkerhetsnätet ska den som tillhandahåller integrationstjänster samordna tjänsterna i säkerhetsnätet med användarnas branschspecifika tjänster och andra branschoberoende Tori-tjänster. Det är därför inte motiverat att kravet att avskilja verksamheten är lika strängt för tillhandahållare av integrationstjänster som för andra tillhandahållare av tjänster i säkerhetsnätet.

11 §. Uppgifterna för den som tillhandahåller integrationstjänster.

Det föreslagna 11 § 2 mom. gäller villkoren för att den som tillhandahåller integrationstjänsterna ska få anlita underleverantörer för sina uppgifter enligt 1 mom. Förslaget motsvarar formuleringen i de tre första meningarna i 7 § 2 mom.

Utskottet föreslår på samma sätt som i fråga om 9 § 2 mom. och med hänvisning även här till detaljmotiven för 7 § att 11 § 2 mom. ska utgå. Därmed blir de föreslagna 11 § 3 och 4 mom. i stället 2 och 3 mom. Bestämmelser om underleverantörer finns i 13 §.

12 §. Beredskapsskyldighet.

Den föreslagna 12 § gäller ett företags eller en sammanslutnings skyldighet att ha beredskap för att se till att dess verksamhet fortsätter så störningsfritt som möjligt vid störningar under normala förhållanden samt under undantagsförhållanden. Utskottet föreslår ovan i fråga om 8 och 10 § att endast en myndighet kan vara tjänsteproducent. Därför bör hänvisningen till 9 och 11 § i 1 mom. utgå och formuleringen preciseras genom hänvisning till den tillhandahållare av tjänster som avses i 6 § i stället för i 7 §. Utskottet fäster i detta sammanhang dessutom uppmärksamhet vid att den föreslagna beredskapsskyldigheten motsvarar den skyldighet att vidta förberedelser som avses i till exempel beredskapslagen.

13 §. Underleverantörer.

Grundlagsutskottet är kritiskt mot propositionens bestämmelser om underleverantörer. Det är viktigt att komplettera regleringen med bestämmelser som inskränker möjligheten att lägga ut verksamhet till det absolut nödvändiga och bestämmer villkoren för att använda underleverantörer, menar grundlagsutskottet. Dessutom måste myndigheternas styr- och tillsynsbehörighet i lag i tillräcklig omfattning utsträckas också till underleverantörens verksamhet.

Utifrån grundlagsutskottets utlåtande föreslår förvaltningsutskottet att bestämmelserna om underleverantörer för de olika tjänsteproducenterna i de tre första meningarna i 7 § 2 mom. samt 9 § 2 mom. och 11 § 2 mom. samlas i 13 §. Paragrafen får då också en ny rubrik, "Underleverantörer", i stället för "Prioritetsklassificering i fråga om produktion av tjänster och användningen av säkerhetsnätet". I ändrad form gäller paragrafen villkoren för att de olika tjänsteproducenterna, dvs. tillhandahållaren av nät- och infrastrukturtjänster, IKT-tjänster respektive integrationstjänster, ska få anlita underleverantörer för sina uppgifter.

Förvaltningsutskottet anser att en väsentlig faktor när det gäller att bestämma vad underentreprenaden får omfatta är att den egentliga tjänsteproducenten under alla omständigheter administrerar, styr och övervakar tjänsteproduktionen. Underleverantörer ska alltid anlitas bara i nödvändig utsträckning. Dessutom är det väsentligt att underleverantörerna inte medför någon säkerhetsrisk eller risk för driftsäkerheten, vilket är väsentligt att beakta när det ska bestämmas i vilken omfattning och på vilka villkor underleverantörer ska anlitas. Utskottet föreslår att bestämmelser om detta införs i 13 § 1 mom. Det är finansministeriet som bestämmer omfattningen och villkoren, precis såsom framgår av propositionen. De ändringar som utskottet föreslår i 13 § innebär synnerligen strikta gränser för anlitande av underleverantörer.

Dessutom finner utskottet att det i 13 § 2 mom. behövs ur säkerhetsnätsverksamhetens synvinkel väsentliga krav för vad man i avtalsväg ska säkerställa i ett uppdragsavtal om underentreprenad. Till detta hör i alla fall förfarandena för hantering av störningar under normala förhållanden och av undantagssituationer. I det ändrade momentet finns också ett precisering som innebär att den som tillhandahåller tjänster ska begära finansministeriets utlåtande i frågan innan den inleder en upphandling. Med andra ord ska utlåtandet begäras innan upphandlingsannonsen lämnats eller anbudsförfrågan gjorts. I fråga om innebörden av finansministeriets utlåtande hänvisar utskottet till propositionsmotiven.

Utskottet föreslår att bestämmelserna om villkor som gäller underleverantörer i tillämpliga delar i 13 § 3 mom. ska preciseras med de kriterier enligt vilka den upphandlande enheten med stöd av 56 § i lagen om offentlig upphandling () och 50 § i lagen om offentlig försvars- och säkerhetsupphandling () kan ställa krav som gäller anbudssökandens och anbudsgivarens lämplighet. Till dessa hör tillräckliga finansiella och ekonomiska förutsättningar samt teknisk prestationsförmåga och yrkesmässiga kvalifikationer för att fullgöra underleverantörskontraktet. Dessutom ska underleverantören uppfylla kraven på säkerhet, aktionsberedskap, annan beredskap och kontinuitet.

Utskottet föreslår därför i syfte att beakta grundlagsutskottets utlåtande, med undantag för tillsynen över underleverantörerna enligt 14 §, att 13 § om underleverantörer ska få följande lydelse:

"Tillhandahållarna av tjänster i säkerhetsnätet får i sitt uppdrag anlita underleverantörer i den omfattning och på de villkor som finansministeriet bestämmer med stöd av denna lag. Underleverantörer ska anlitas bara i nödvändig utsträckning. Också i övrigt får underleverantörer anlitas endast i sådan utsträckning att den som tillhandahåller tjänsten fortfarande administrerar, styr och övervakar tjänsteproduktionen och att säkerhetsnätets säkerhet och tjänsteproduktionens kontinuitet inte äventyras.

Innan den som tillhandahåller tjänster inleder en upphandling ska den begära finansministeriets utlåtande i frågan. I synnerhet ska underleverantörens uppdragsavtal säkerställa förfarandena för hantering av störningar under normala förhållanden och av undantagssituationer.

Tillhandahållaren ansvarar för underleverantörens arbete enligt samma villkor som för sitt eget arbete. Underleverantören ska ha tillräckliga finansiella och ekonomiska förutsättningar samt teknisk prestationsförmåga och yrkesmässiga kvalifikationer för att fullgöra kontraktet om underentreprenad. Underleverantören ska uppfylla kraven på säkerhet, aktionsberedskap, annan beredskap och kontinuitet som gäller säkerhetsnätet."

Propositionsbestämmelserna om prioritetsklassificering i fråga om tjänsteproduktion i och användningen av säkerhetsnätet i 13 § föreslår utskottet att ska ingå i 14 och 15 §.

3 kap. Styrning och tillsyn
14 §. Allmän styrning och tillsyn.

Utskottet föreslår att det i 14 § görs ändringar som säkerställer stärkandet av styrningen och tillsynen av det bolag som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet, vilket grundlagsutskottet i sitt utlåtande betraktade som viktigt. Styrningen av och tillsynen över hela serviceproduktionen ska enligt utskottets ändringsförslag entydigt anförtros en enda myndighet och det ska föreskrivas om bemyndigande att utfärda förordning och föreskrifter och om andra medel för styrning och tillsyn. Bestämmelser om ägarstyrningen finns i 15 §. Som konstaterats i den allmänna motiveringen förutsätter en effektiv styrmodell att den strategiska styrningen, den ekonomiska styrningen och den övriga styrningen är enhetlig.

I regeringens lagförslag innehåller 14 § endast en bestämmelse om att finansministeriet svarar för den allmänna administrativa styrningen. Utskottet föreslår att rubriken till 14 § ändras till "Allmän styrning och tillsyn" och att det i paragrafen tas in heltäckande bestämmelser om såväl styrningen som tillsynen av verksamheten i säkerhetsnätet, med undantag av ägarstyrningen.

Utskottet föreslår att det i 1 mom. föreskrivs om styrningen och tillsynen av den allmänna administrativa, strategiska, ekonomiska och informations- och kommunikationstekniska aktionsberedskapen, övriga beredskapen och säkerheten i fråga om säkerhetsnätets verksamhet och att föreskrivs att finansministeriet svarar för dessa uppgifter. Med denna ändring motsvarar momentet 14 § och 16 § 1 mom. i propositionens lagförslag 1.

I det nya 2 mom. föreslår utskottet en bestämmelse om att finansministeriet svarar för styrningen och tillsynen av tjänsteproduktionen i säkerhetsnätet.

Det är enligt utskottet befogat att det i 14 § 1 mom. föreskrivs att finansministeriet har till uppgift att som myndighet med det övergripande ansvaret för säkerhetsnätets verksamhet svara för styrningen och tillsynen av verksamheten. Finansministeriets allmänna styrning omfattar utöver strategisk styrning av verksamheten även allmän administrativ styrning, vilket omfattar att bereda och utfärda administrativa normer för verksamheten inom de gränser som är möjliga med anledning av en lag som föreskriver om sådana normer. I den allmänna administrativa styrningen den myndighetsstyrning som avses i den föreslagna lagen med annan styrning av den offentliga förvaltningens informationsförvaltning. En central del av styrningen och tillsynen är dessutom i enlighet med propositionen styrningen och tillsynen av den informations- och kommunikationstekniska aktionsberedskapen, övriga beredskapen och säkerheten. I den ekonomiska styrningen beslutas till exempel om allokeringen av den finansiering som finns tillgänglig för utveckling av nätet och om grunderna för fastställandet av kundavgifterna.

Utskottet föreslår att det i det nya 2 mom. uttryckligen bestäms om styrningen och tillsynen av tjänsteproduktionen. Det understryker att myndighetens styrning och tillsyn sträcker sig också till den operativa sidan av tjänsteproduktionen. Styrningen av tjänsteproduktionen ska till exempel se till att de som svarar för förvaltningen av systemet har de förutsättningar som krävs för att vid störningar göra de prioriteringar som behövs. Detta styrs genom föreskrifter som utfärdas på förhand och genom utbildning av personalen. Det föreslås att finansministeriet ska svara för styrningen och tillsynen av tjänsteproduktionen.

Det bemyndigande att utfärda förordning som ingår i utskottets förslag till nytt 3 mom. motsvarar bemyndigandet i 16 § i regeringens lagförslag 1, dock kompletterat med behörighet för tillsyn. Utskottet föreslår att vissa formuleringar preciseras och regleringen görs klarare.

Utskottet föreslår att finansministeriets behörighet för styrning och tillsyn kompletteras med behörighet att utfärda föreskrifter i ett nytt 4 mom. Bestämmelsen om behörighet att utfärda föreskrifter motsvarar i huvudsak ordalydelsen och innehållet i 3 mom. I syfte att fullgöra styrningsuppdraget får finansministeriet utfärda föreskrifter för dem som tillhandahåller tjänster. Rättsverkningarna av dessa föreskrifter motsvarar huvudsakligen liknande föreskrifter som ges av andra styrnings- och tillsynsmyndigheter. Föreskrifterna ska säkerställa att tjänsteproduktionen i tillräcklig grad iakttar den beredskapsskyldighet som avses i 12 § och att de krav på säkerhet, aktionsberedskap, annan beredskap och kontinuitet som gäller tjänsteproduktionen är tillräckligt exakta och bindande. Vidare ska föreskrifterna i kombination med en förhandsplanerad och systematisk hantering av störningar i tillräcklig utsträckning svara för prioritets- och skyndsamhetsklassificering samt för annan viktighetsklassificering i fråga om produktionen av tjänster i och användningen av säkerhetsnätet. Behörighet att utfärda föreskrifter kompletteras också med bemyndigande att utfärda förordning. Behörighet att utfärda föreskrifter sträcker sig enligt utskottets förslag till 4 mom. också till underleverantörer när de utför uppgifter enligt den föreslagna lagen.

Eftersom utskottet föreslår att finansministeriets behörighet för styrning ska kompletteras med en allmän behörighet att utfärda föreskrifter, behövs inte längre den befogenhet att meddela beslut som ingår i 13 § 1 mom. i regeringens lagförslag 1. Utskottet föreslår däremot att bestämmelserna om undantagsförhållanden i 13 § 2 och 3 mom. i lagförslaget flyttas till en ny 15 § om styrning och tillsyn i 3 kap.

I utskottets förslag till nytt 5 mom. ingår bestämmelser om fullgörande av tillsynsuppdraget. Med stöd av momentet får finansministeriet i syfte att fullgöra tillsynsuppdraget utföra förebyggande kontroller som gäller tjänsteproduktionens aktionsberedskap, säkerhet och kvalitet. Den förebyggande tillsynen kan utöver andra kontroller och utvärderingar tillämpa det förfarande som avses i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (). Det är skäl att föreskriva särskilt om detta i 5 mom., eftersom tillämpningsområdet för den nämnda lagen endast omfattar bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation. För att möjliggöra tillsynen föreslår utskottet dessutom att det föreskrivs om tjänsteproducenternas skyldighet att lämna uppgifter till tillsynsmyndigheten och om behörighet att utfärda föreskrifter i anslutning till detta. För att beakta grundlagsutskottet utlåtande föreslår förvaltningsutskottet att finansministeriet tillsyn med stöd av 5 mom. också kan gälla underleverantörerna. Samtidigt stärks, vid sidan av tillhandahållarens egen kontroll enligt 13 §, den övergripande tillsynen över underleverantörer klart.

15 §. Prioritetsklassificering av tjänsteproduktion under undantagsförhållanden.

Utskottet föreslår att bestämmelserna om ägarstyrning i 15 § i lagförslag 1 inkluderas ändrade i 16 §. I 15 § föreslår utskottet däremot att det i enlighet med den ändrade rubrikens föreskrivs om prioritetsklassificering av tjänsteproduktion under undantagsförhållanden. Utskottet föreslår att det föreskrivs om viktighetsklassificering under normala förhållanden och vid störningar under normala förhållanden i 14 § 2 och 4 mom. i stället för i 13 § 1 mom.

Vidare föreslår utskottet att det i 15 § 1 mom. i stället för i 13 § 2 mom. föreskrivs att under sådana undantagsförhållanden som avses i beredskapslagen ska bestämmelserna i beredskapslagen iakttas i fråga om det beslutsfattande som gäller prioritet och skyndsamhet samt annan viktighetsklassificering i fråga om produktionen av tjänster i och användningen av säkerhetsnätet.

I 2 mom. finns en bestämmelse som motsvarar 13 § 3 mom. i regeringens förslag. Enligt utskottets förslag fattar försvarsmakten under ett sådant försvarstillstånd som avses i lagen om försvarstillstånd beslut om prioritet och skyndsamhet samt annan viktighetsklassificering i fråga om produktionen av tjänster för och användningen av säkerhetsnätet.

16 (15) §. Ägarstyrning.

Grundlagsutskottet påpekade i sitt utlåtande att den administrativa styrningen och tillsynen av aktiebolag i princip inte kan ligga på samma nivå respektive vara lika effektiv som när det gäller myndighetsverksamhet. Vidare konstaterar grundlagsutskottet att det också bör beaktas att avsikten i praktiken är att det dotterbolag till aktiebolaget Suomen Erillisverkot Oy som avses i det föreslagna 6 § 3 mom. ska ha hand om säkerhetsnätets nät- och infrastrukturtjänster, vilket innebär att myndighetstillsynen och myndighetsstyrningen blir ännu mer indirekt.

Grundlagsutskottet ansåg, som framgår av detaljmotiven till 14 § i detta betänkande, det viktigt att styrningen och tillsynen av hela serviceproduktionen stärks genom att den entydigt anförtros en enda myndighet. Förvaltningsutskottet har beaktat dessa synpunkter i 14 §.

Enligt 15 § i propositionen ansvarar statsrådets kansli för ägarstyrningen i fråga om det bolag som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet i enlighet med vad som bestäms i lagen om statens bolagsinnehav och ägarstyrning ().

Utskottet föreslår att ägarstyrningen enligt förslaget till 16 § preciseras så att statsrådets kansli ansvarar för ägarstyrningen i fråga om det bolag enligt 6 § 1 mom. som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet i enlighet med vad som bestäms i lagen om statens bolagsinnehav och ägarstyrning, om inte något annat följer av denna lag. Den formulering som utskottet föreslår betonar bland annat den tillsyn som avses i 14 § och som avsevärt begränsar ägarstyrningens rörelseutrymme.

I ett regelverk av detta slag är ägarstyrningen mycket begränsad. Dess betydelse ligger enligt utskottet i det att den kan bidra till att den övriga styrningen och tillsynen fungerar väl. I och med de bindande bestämmelser om en tjänsteproducent i aktiebolagsform som utskottet föreslår kan man tala om ett "ämbetsverk som bedriver verksamhet i aktiebolagsform".

Vidare föreslår förvaltningsutskottet att det i ett nytt 2 mom. införs en bestämmelse om att styrelsen för Suomen Erillisverkot Oy och för det i 6 § 3 mom. avsedda bolaget, dvs. Suomen Turvallisuusverkko Oy, ska ha ett tillräckligt antal företrädare för de myndigheter som styr säkerhetsnätets verksamhet enligt 17 §. Utskottets förslag till 2 mom. motsvarar propositionens 18 §, kompletterad med formuleringen som hänvisar till dotterbolag.

I enlighet med aktiebolagslagen () och bokföringslagen () utövas det bestämmande inflytande i Suomen Erillisverkot Oy:s dotterbolag av moderbolaget, som utser dotterbolagens styrelser. Nät- och infrastrukturtjänsterna i säkerhetsnätet kommer i praktiken att skötas av dotterbolaget Suomen Turvallisuusverkko Oy, som bildats uttryckligen för detta ändamål och som enligt inkommen utredning i syfte att avskilja tjänsteproduktionen i säkerhetsnätet ekonomiskt, administrativt och funktionellt från koncernens övriga verksamhet.

Även om statens ägarstyrning är mer indirekt i arrangemanget med dotterbolag och ägarstyrningen i detta sammanhang är mycket begränsad, är det motiverat att föreskriva om finansministeriets ägarstyrning. I vilket fall inriktas finansministeriets allmänna styrning och tillsyn på det bolag som sköter den direkta tjänsteproduktionen. Den är därför i huvudsak oberoende av att moderbolaget Suomen Erillisverkot Oy har bestämmande inflytande. I fråga om verksamheten i säkerhetsnätet innebär ägarstyrningen att styra anskaffningen av de resurser som behövs för tjänsteproduktionen. I praktiken innebär detta att i styrelsen fatta beslut om finansiering av verksamheten och investeringarna genom andra källor än direkt kundfinansiering.

17 §. Delegationen för säkerhetsnätets verksamhet.

Av 17 § 1 mom. i lagförslaget framgår att det till stöd för finansministeriet vid den strategiska styrningen samt vid planeringen, utvecklandet och uppföljningen av samt tillsynen över den verksamhet som bedrivs av de tillhandahållare av tjänster som avses i 2 kap. finns en delegation, delegationen för säkerhetsnätets verksamhet, som statsrådet tillsätter för viss tid. Eftersom utskottet föreslår att det i 14 § ska ingå omfattande bestämmelser om styrning och tillsyn måste också 17 § om delegationen ändras i fråga om styrningen. Utskottet föreslår dessutom att delegationen ska ha i uppgift att delta i beredningen av de föreskrifter som avses i 14 §.

Utskottet poängterar att delegationen har till uppgift att bereda viktiga beslut om strategisk och ekonomisk styrning, uppföljning och tillsyn i anslutning till säkerhetsnätets verksamhet. Andra frågor som kan beredas i delegationen är till exempel storleken på avgifterna för tjänsteproducenternas tjänster, inriktningen av tjänsteproducenternas investeringar, tjänsteproducenternas kvalitetsmål och verksamhetskvalitet, omfattningen av utnyttjandet av underleverantörer samt förutsättningar och principer för anlitande av underleverantörer, principerna för anskaffning och överlåtelse av säkerhetsnätets fiberkapacitet, antennplatser och platser för säkerhetsnätsutrustning, principerna för prioritets-, skyndsamhets- och andra viktighetsklassificeringar, säkerhetsnätets plan för tjänsteproduktion och utveckling, den informations- och kommunikationstekniska aktionsberedskapen och tillsynen över säkerheten.

Utskottet understryker att det i anslutning till säkerhetsnätets verksamhet uttryckligen är delegationen som är det forum som i praktiken har möjlighet att säkerställa att lagens bestämmelser följs och att verksamheten i säkerhetsnätet kan samordnas. Behovet av samordning gäller i lika hög grad aktiebolag som ämbetsverk. Delegationen har en exceptionellt viktig uppgift i säkerhetsnätets verksamhet.

I slutet av behandlingen av ärendet har det genom sakkunnigutfrågningen uppstått en bild av att nivån på säkerhetsnätets verksamhet kan sänkas om de som ingår i delegationen inte uttrycker beredskap att för de tjänster de behöver betala aktiebolaget det som behövs för att täcka kostnaderna. Utskottet ser det som absolut nödvändigt att säkerhetsnätets kunder har den finansiering som behövs för att betala för tjänsterna. Finansministeriets har en central roll också på denna punkt, eftersom ministeriet svarar för budgetberedningen.

18 §. De styrande myndigheternas deltagande i ledningen av verksamheten hos den som tillhandahåller nät- och infrastrukturtjänster.

Utskottet föreslår att 18 § i lagförslaget stryks, eftersom dess bestämmelser i ändrad form ingår i 16 § 2 mom. Därmed blir 20 §, vars rubrik är "Avgifter för tjänsterna" 18 § i oförändrad form.

19 §. Kund- och samarbetsgruppen för säkerhetsnätets verksamhet.

Som stöd för delegationen för säkerhetsnätets verksamhet finns enligt 19 § i lagförslaget kund- och samarbetsgruppen för säkerhetsnätets verksamhet, som har till uppgift att samordna behoven hos de aktörer som svarar för säkerhetsnätet och verksamheten, nätanvändarna och intressentgrupperna inom säkerhetsnätet. Kund- och samarbetsgruppen är inte avsett att vara ett organ med beslutanderätt, utan syftet med den är att vara en informations- och samarbetskanal för nätanvändare och andra intressentgrupper och stödja verksamheten i delegationen för säkerhetsnätets verksamhet. Gruppens verksamhet bör enligt propositionen organiseras så att intressentgruppernas behov kan samordnas i gruppen, för att syftena med lagen ska kunna nås så väl som möjligt och att alla nätanvändare har lika möjligheter att påverka utvecklandet av nätet.

För att göra den ovan nämnda styrmodellen tydligare och enklare föreslår utskottet utöver de tidigare förslagen men i samma syfte att 19 § om en kund- och samarbetsgrupp stryks. Delegationen för säkerhetsnätets verksamhet kan trots det tillsätta undergrupper inom olika delområden till stöd för den egna verksamheten. Eftersom delegationen för säkerhetsnätets verksamhet och kund- och samarbetsgruppen för säkerhetsnätets verksamhet enligt propositionen delvis skulle ha överlappande arbetsuppgifter, finns det inget behov av att föreskriva särskilt om den senare i lag. Eftersom utskottet föreslår att 19 § i regeringens lagförslag ska strykas, blir lagförslagets 21 §, med rubriken "Offentlighet och sekretess", nytt 19 § i lagen.

4 kap. Särskilda bestämmelser
20 (22) §. Tjänsteansvar och personalsäkerhet.

För att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning har grundlagsutskottet i sitt utlåtande förutsatt att regleringen måste kompletteras med bestämmelser om att bestämmelserna om straffrättsligt tjänsteansvar ska tillämpas på anställda hos bolaget eller underleverantören när de utför uppgifter som avses i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät.

I fråga om lagstiftningsordningen förutsatte grundlagsutskottet också att den föreslagna 22 § ändras så att det framgår att bestämmelser om en utredning av pålitligheten ska finnas i lag. Ordalydelsen i lagförslaget och de tillhörande motiven utgår från att utredningen av pålitligheten kan bygga på reglering på lägre nivå än lag eller till och med på vad finansministeriet bestämmer.

Förvaltningsutskottet föreslår på grundval av grundlagsutskottets utlåtande att det föreskrivs om straffrättsligt tjänsteansvar och utredning av pålitlighet i 20 § i stället för i 22 § i den föreslagna lagen, eftersom förvaltningsutskottet föreslagit att 18 och 19 § i regeringens proposition ska strykas. Förvaltningsutskottet föreslår att paragrafens rubrik ändras till "Tjänsteansvar och personalsäkerhet" och att 20 § godkänns i följande form:

"På anställda hos bolag som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet, på anställda hos underleverantörer till de tillhandahållare av tjänster i säkerhetsnätet som avses i 6, 8 och 10 §, på dem som står i ett annat anställningsförhållande till en tillhandahållare av tjänster som avses i 8 och 10 § tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter som anknyter till verksamheten i säkerhetsnätet. Bestämmelserna om straffrättsligt tjänsteansvar tillämpas också på styrelsemedlemmar i bolag som avses i 6 § och på andra medlemmar i tillhandahållarnas beslutande organ samt på medlemmar i underleverantörernas beslutande organ när de utför uppgifter som anknyter till verksamheten i säkerhetsnätet.

Av den personal som sköter uppgifter i säkerhetsnätet krävs sådan oförvitlighet och pålitlighet som uppgifterna förutsätter och som vid behov kan utredas i enlighet med vad säkerhetsutredningslagen (726/2014) föreskriver."

Förvaltningsutskottet föreslår i 20 § 1 mom. att det straffrättsliga ansvaret vid utförande av uppgifter som anknyter till verksamheten i säkerhetsnätet ska utsträckas till anställda hos bolag som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet, anställda hos samtliga tjänsteproducenters underleverantörer, andra anställda hos Valtori (8 och 10 §) än anställda i tjänsteförhållande eller därmed jämförbar anställning samt sådana medlemmar i tjänstetillhandahållarnas och underleverantörernas beslutande organ som inte står i tjänsteförhållande till dessa. Angående beslutande organ må det nämnas att också Valtori har en styrelse. Utskottet konstaterar att tjänsteansvaret bland annat för Suomen Turvallisuusverkkos del i praktiken omfattar alla anställda och all verksamhet, eftersom bolagets verksamhet i sin helhet anknyter till säkerhetsnätets verksamhet. I aktiebolag som är involverade i tjänsteproduktionen finns det inga till säkerhetsnätet anslutande frågor eller uppgifter som skulle falla utanför det straffrättsliga tjänsteansvaret.

Utskottet föreslår att det föreskrivs om personalsäkerhet i 20 § 2 mom. Utöver de preciseringar som grundlagsutskottet har förutsatt föreslår förvaltningsutskottet att 22 § i regeringens lagförslag ändras så att det av personalen utöver pålitlighet också krävs oförvitlighet. Det motsvarar ordalydelsen i 3 § 1 mom. 1 punkten i den nya säkerhetsutredningslagen () (FvUB 16/2014 rdRP 57/2013 rd).

21 (23) §. Byggande som hänför sig till säkerhetsnätet.

Enligt 23 § i propositionen får byggnader, konstruktioner och anläggningar som direkt ansluter sig till säkerhetsnätet uppföras utan tillstånd enligt markanvändnings- och bygglagen () på områden som besitts av staten eller av ett bolag som svarar för de uppgifter som avses i 7, 9 eller 11 §.

Utskottet har ovan föreslagit att 8 och 10 § ändras så att de uppgifter som avses i 9 och 11 § kan utföras av ett bolag. Utskottet föreslår därför att omnämnandet i 20 § av de uppgifter som avses i 9 och 11 § stryks.

5 kap. Ikraftträdande
25 (27) §. Övergångsbestämmelse som gäller ordnandet av uppgifter.

Enligt 27 § 1 mom. i lagförslag 1 är försvarsmakten och Statens IT-servicecentral vid Statskontoret tillhandahållare av säkerhetsnätets nät- och infrastrukturtjänster enligt 6 § högst till den 31 december 2014.

Enligt inkommen utredning har de uppgifter som ankommit på Statens IT-servicecentral vid Statskontoret överförts till Valtori, varför utskottet föreslår att 1 mom. ändras. Vidare föreslår utskottet att försvarsmakten och Valtori är tillhandahållare av nät- och infrastrukturtjänster högst till utgången av 2016, så att det finns tillräckligt med tid för omorganiseringen av uppgifterna.

Förvaltningens IT-central är enligt 27 § 2 mom. i lagförslaget tillhandahållare av säkerhetsnätets informations- och kommunikationstekniska tjänster enligt 8 § högst till den 31 december 2014. Utskottet föreslår att det i 25 § 2 mom. föreskrivs att Förvaltningens IT-central är tillhandahållare också av integrationstjänster under övergångsperioden. Utskottet föreslår att övergångstiden också på denna punkt förlängs till utgången av 2016. Utskottet understryker att förutsättningarna för en överföring av uppgifterna måste prövas noggrant och att uppgifterna inte får överföras förrän det säkerställts att dessa förutsättningar föreligger. Om genomförandet av reformen mot förmodan inte lyckas inom den planerade tiden måste övergångstiden förlängas.

Utskottet föreslår att 27 § 3 mom. i regeringens lagförslag ändras så att statsrådet beslutar närmare inom ramen för tidsfristen enligt 1 och 2 mom. om de uppgifter som ska överföras.

30 (32) §. Övergångsbestämmelse som gäller avtal och andra förbindelser.

I 32 § i lagförslag 1 föreskrivs att sådana gällande avtal och förbindelser som direkt gäller säkerhetsnätets nät- och infrastrukturtjänster och som ingåtts av försvarsmakten, Förvaltningens IT-central, Gränsbevakningsväsendet eller Statens IT-servicecentral vid Statskontoret innan lagen trätt i kraft samt de rättigheter och skyldigheter som följer av dessa vid lagens ikraftträdande överförs till det bolag som avses i 6 §, om inte något annat följer av 27 §.

Utskottet föreslår att paragrafen ändras till följd av att de uppgifter som ankommit på Statens IT-servicecentral vid Statskontoret har överförts till Valtori, som bildades i början av mars 2014. Dessutom måste hänvisningen till 27 § ändras så att den hänvisar till 25 §.

31 (33) §. Övergångsbestämmelse som gäller anhängiga ärenden.

Sådana ärenden som direkt gäller säkerhetsnätets nät- och infrastrukturtjänster och som är anhängiga vid försvarsmakten, Förvaltningens IT-central eller Statens IT-servicecentral vid Statskontoret när lagen träder i kraft överförs med stöd av 33 § i lagförslag 1 vid lagens ikraftträdande till det bolag som avses i 6 §, om inte något annat följer av 27 §.

Utskottet föreslår att paragrafen ändras till följd av att de uppgifter som ankommit på Statens IT-servicecentral vid Statskontoret har överförts till Valtori. Dessutom måste hänvisningen till 27 § ändras så att den hänvisar till 25 §.

2. Lagen om ändring av 2 § i kommunikationsmarknadslagen

Utskottet föreslår att lagförslag 2 förkastas, eftersom den aktuella lagen har upphävts.

Grundlagsutskottets utlåtande

Förvaltningsutskottet har på eget initiativ begärt utlåtande av grundlagsutskottet om grundlagsenligheten i förslaget. Under sakkunnigutfrågningen i förvaltningsutskottet har det framförts att det i fråga om bolagiseringen av säkerhetsuppgifter finns många centrala och principiellt viktiga frågor som anknyter till grunderna för konstitutionen och att det därför vore motiverat att ännu separat bedöma lagförslagets grundlagsenlighet. Det har vid förvaltningsutskottets sakkunnigutfrågning också ansetts att bestämmelserna i lagförslaget om överföringen av statens rättigheter och skyldigheter i anslutning till den verksamhet som utövas av tillhandahållarna av informations- och kommunikationstekniska tjänster och integrationstjänster bör preciseras i lagen, och först på grundval av det kan man till exempel bedöma huruvida en sådan överföring är möjlig i konstitutionellt hänseende.

Förvaltningsutskottet har på behörigt sätt beaktat grundlagsutskottets konstitutionella anmärkningar till 8 § 1 mom., 10 § 1 mom. och 22 § i lagförslag 1 och till bestämmelserna om straffrättsligt tjänsteansvar. Lagförslagen kan således behandlas i vanlig lagstiftningsordning.

Utskottets förslag till beslut

Riksdagen

godkänner lagförslag 1 med ändringar (Utskottets ändringsförslag),

förkastar lagförslag 2 och

godkänner ett uttalande (Utskottets förslag till uttalande).

Utskottets ändringsförslag

1.

Lag

om verksamheten i den offentliga förvaltningens säkerhetsnät

I enlighet med riksdagens beslut föreskrivs:

1 kap.

Allmänna bestämmelser

1 §

Lagens syfte och tillämpningsområde

(1 mom. som i RP)

Denna lag tillämpas på den offentliga förvaltningens säkerhetsnät och användningen av dess tjänster samt på den övriga säkerhetsnätets verksamhet. Säkerhetsnätet är ett i informationssamhällsbalken (917/2014) avsett myndighetsnät som ägs och förvaltas av staten och som uppfyller kraven på hög beredskap och hög säkerhet i enlighet med vad som särskilt föreskrivs i lag eller bestäms med stöd av lag. Till säkerhetsnätet hör ett kommunikationsnät och med det direkt sammanhörande utrustningsutrymmen, utrustning och annan infrastruktur samt säkerhetsnätets gemensamma tjänster.

Om inte något annat föreskrivs i denna lag, tillämpas på säkerhetsnätet vad som i informationssamhällsbalken föreskrivs om myndighetsnät.

Om inte något annat föreskrivs i denna lag ska lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster (1226/2013) och lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011) tillämpas på verksamheten i säkerhetsnätet. (Nytt 4 mom.)

2 och 3 §

(Som i RP)

4 §

Annan användning av säkerhetsnätet

(1 mom. som i RP)

Aktiebolaget Suomen Erillisverkot Oy, som helt och hållet ägs av staten, och de dotterbolag till det, som tillhandahåller tjänster inom myndighetsradionätets verksamhet (utesl.) får använda säkerhetsnätet för skötseln av sina uppgifter i anslutning till myndighetsradionätets verksamhet.

Aktiebolaget Suomen Erillisverkot Oy, som helt och hållet ägs av staten, och de dotterbolag till det som tillhandahåller tjänster inom myndighetsradionätets verksamhet, får använda säkerhetsnätet för skötseln av sina uppgifter i anslutning till myndighetsradionätets verksamhet.

5 §

(Som i RP)

2 kap.

Tjänsteproduktionen i säkerhetsnätet

6 §

(Som i RP)

7 §

Uppgifterna för den som tillhandahåller nät- och infrastrukturtjänster

(1 mom. som i RP)

(Utesl.) Tillhandahållaren av nät- och infrastrukturtjänster får anlita försvarsmakten som underleverantör för att bygga och upprätthålla ett undervattenskabelnät för säkerhetsnätet samt Försvarsförvaltningens byggverk för att bygga, låta bygga och upprätthålla utrustningsutrymmen för säkerhetsnätet.

Tillhandahållaren av nät- och infrastrukturtjänster får för skötseln av de uppgifter som avses i 1 mom. avtala med teleföretag som är verksamma i Finland om anskaffning och överlåtelse av användarrätter till säkerhetsnätets fiberkapacitet, överföringsförbindelser, antennplatser och platser för säkerhetsnätsutrustning.

(4 mom. som i RP)

8 §

Tillhandahållare av informations- och kommunikationstekniska tjänster

Uppgiften som tillhandahållare av informations- och kommunikationstekniska tjänster i säkerhetsnätet sköts av det servicecenter som avses i 5 § 1 mom. i lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster (utesl.).

(Utesl.) Den som tillhandahåller tjänster ska i administrativt, funktionellt och ekonomiskt hänseende avskilja den verksamhet som avses i denna lag från sin övriuga verksamhet.

9 §

Uppgifterna för den som tillhandahåller informations- och kommunikationstekniska tjänster

(1 mom. som i RP)

(2 mom. utesl.)

(2 mom. som 3 mom. i RP)

10 §

Tillhandahållare av integrationstjänster

Uppgiften som tillhandahållare av integrationstjänster i säkerhetsnätet sköts av det servicecenter som avses i 5 § 1 mom. i lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster.

Den som tillhandahåller integrationstjänster i säkerhetsnätet ska i administrativt, funktionellt och ekonomiskt hänseende avskilja verksamheten enligt denna lag från sin övriga verksamhet därtill hörande verksamhet.

11 §

Uppgifterna för den som tillhandahåller integrationstjänster

(1 mom. som i RP)

(2 mom. utesl.)

(2 och 3 mom. som 3 och 4 mom. i RP)

12 §

Beredskapsskyldighet

Den tillhandahållare av tjänster som avses i 6 § ska (utesl.) genom beredskapsplaner och förberedande åtgärder med tanke på verksamheten vid störningar under normala förhållanden samt under undantagsförhållanden samt genom andra åtgärder se till att dess verksamhet fortsätter så störningsfritt som möjligt vid störningar under normala förhållanden samt under undantagsförhållanden.

Den tillhandahållare av tjänster som avses i 6 § ska under ledning av de myndigheter som ansvarar för säkerheten i samhället delta i sådan beredskapsplanering som ansluter sig till försvaret samt i sådana övningar som höjer beredskapen i samhället i syfte att främja aktionsberedskapen vid störningar under normala förhållanden samt under undantagsförhållanden.

13 §

Underleverantörer

Tillhandahållarna av tjänster i säkerhetsnätet får i sitt uppdrag anlita underleverantörer i den omfattning och på de villkor som finansministeriet bestämmer med stöd av denna lag. Underleverantörer ska anlitas bara i nödvändig utsträckning. Också i övrigt får underleverantörer anlitas endast i sådan utsträckning att den som tillhandahåller tjänsten fortfarande administrerar, styr och övervakar tjänsteproduktionen och att säkerhetsnätets säkerhet och tjänsteproduktionens kontinuitet inte äventyras.

Innan den som tillhandahåller tjänster inleder en upphandling ska den begära finansministeriets utlåtande i frågan. I synnerhet ska underleverantörens uppdragsavtal säkerställa förfarandena för hantering av störningar under normala förhållanden och av undantagssituationer.

Tillhandahållaren ansvarar för underleverantörens arbete som för sitt eget. Underleverantören ska ha tillräckliga finansiella och ekonomiska förutsättningar samt teknisk prestationsförmåga och yrkesmässiga kvalifikationer för att fullgöra kontraktet om underentreprenad. Underleverantören ska uppfylla kraven på säkerhet, aktionsberedskap, annan beredskap och kontinuitet som gäller säkerhetsnätet.

3 kap.

Styrning och tillsyn

14 §

Allmän styrning och tillsyn

Finansministeriet svarar för den allmänna administrativa, strategiska och ekonomiska styrningen och tillsynen av den informations- och kommunikationstekniska aktionsberedskapen, övriga beredskapen och säkerheten i fråga om säkerhetsnätets verksamhet.

Finansministeriet svarar för styrningen och tillsynen av tjänsteproduktionen i säkerhetsnätet. (Nytt 2 mom.)

Statsrådet får genom förordning utfärda närmare bestämmelser om de krav på säkerhet, aktionsberedskap, annan beredskap och kontinuitet som avses i 7, 9, 11 och 12 §, om den prioritet, skyndsamhet och övriga viktighetsklassificering som gäller för säkerhetsnätets tjänsteproduktion och användning och om förfarandena för styrning och tillsyn av säkerhetsnätets verksamhet. Bestämmelserna kan också gälla arrangemang i fråga om säkerhetsnätets verksamhet samt tekniska krav och förfaringssätt i anslutning till denna verksamhet. (Nytt 3 mom.)

Finansministeriet får i syfte att fullgöra styrningsuppdraget utfärda föreskrifter som gäller dem som tillhandahåller tjänster. De kan gälla de krav på säkerhet, aktionsberedskap, annan beredskap och kontinuitet som avses i 7, 9, 11 och 12 §, den prioritet, skyndsamhet och övriga viktighetsklassificering som gäller för säkerhetsnätets tjänsteproduktion och användning och andra nödvändiga åtgärder för styrningen av säkerhetsnätets verksamhet. Tillhandahållarnas underleverantörer ska följa föreskrifterna när de utför uppgifter enligt denna lag. (Nytt 4 mom.)

Finansministeriet får i syfte att fullgöra tillsynsuppdraget utföra förebyggande kontroller och utvärderingar som gäller tjänsteproduktionens aktionsberedskap, säkerhet och kvalitet. Informationssäkerheten i de informationssystem och den datakommunikation som tillhandahållarna av tjänster i säkerhetsnätet använder i sin verksamhet enligt denna lag kan bedömas i enlighet med lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011). Tillhandahållarna och deras underleverantörer ska till finansministeriet ge in de uppgifter som behövs för tillsynen över säkerhet, aktionsberedaskap, annan beredskap, kontinuitet och kvalitet i fråga om tjänsteproduktionen på det sätt som finansministeriet närmare anger. Tillsynen kan också gälla underleverantörerna. (Nytt 5 mom.)

15 §

Prioritetsklassificering av tjänsteproduktion under undantagsförhållanden

Under sådana undantagsförhållanden som avses i beredskapslagen (1552/2011) ska bestämmelserna i beredskapslagen iakttas i fråga om det beslutsfattande som gäller prioritet och skyndsamhet samt annan viktighetsklassificering i fråga om produktionen av tjänster i och användningen av säkerhetsnätet.

Under ett sådant försvarstillstånd som avses i lagen om försvarstillstånd (1083/1991) fattar försvarsmakten beslut om prioritet och skyndsamhet samt annan viktighetsklassificering i fråga om produktionen av tjänster i och användningen av säkerhetsnätet. (Nytt 2 mom.)

16 §

Ägarstyrning

Finansministeriet ansvarar för ägarstyrningen i fråga om det bolag enligt 6 § 1 mom. som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet i enlighet med vad som bestäms i lagen om statens bolagsinnehav och ägarstyrning (1368/2007), om inte något annat följer av denna lag. (15 § i RP)

Styrelsen för Suomen Erillisverkot Oy och ett sådant bolag som avses i 6 § 3 mom. ska ha ett tillräckligt antal företrädare för de myndigheter som styr säkerhetsnätets verksamhet enligt 17 §.

17 §

Delegationen för säkerhetsnätets verksamhet

Som finansministeriets stöd vid den styrning och tillsyn som avses i 14 § finns delegationen för säkerhetsnätets verksamhet, som statsrådet tillsätter för viss tid. Delegationen leds av finansministeriet och dessutom är åtminstone statsrådets kansli, utrikesministeriet, inrikesministeriet, försvarsministeriet, kommunikationsministeriet, social- och hälsovårdsministeriet, försvarsmakten, Försörjningsberedskapscentralen samt Finlands Kommunförbund rf företrädda i delegationen. Delegationen har till uppgift att delta i beredningen av förordningar och föreskrifter som utfärdas och beslut som fattas med stöd av bestämmelserna i denna lag samt av andra ärenden som gäller den styrning och tillsyn av säkerhetsnätets verksamhet som avses i 14 §. Närmare bestämmelser om delegationens sammansättning och mandatperiod samt uppgifter får utfärdas genom förordning av statsrådet.

18 och 19 §

(Utesl.)

4 kap.

Särskilda bestämmelser

18 (20) och 19 (21) §

(Som i RP)

20 (22) §

Tjänsteansvar och personalsäkerhet

På anställda hos bolag som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet, på anställda hos underleverantörer till de tillhandahållare av tjänster i säkerhetsnätet som avses i 6, 8 och 10 §, på dem som står i ett annat anställningsförhållande än tjänsteförhållande eller motsvarande anställningsförhållande till en tillhandahållare av tjänster som avses i 8 och 10 § tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter som anknyter till verksamheten i säkerhetsnätet. Bestämmelserna om straffrättsligt tjänsteansvar tillämpas också på styrelsemedlemmar i bolag som avses i 6 § och på andra medlemmar i tillhandahållarnas beslutande organ samt på medlemmarna i underleverantörernas beslutande organ när de utför uppgifter som anknyter till verksamheten i säkerhetsnätet.

Av den personal som sköter uppgifter i säkerhetsnätet krävs sådan oförvitlighet och tillförlitlighet som uppgifterna förutsätter och som vid behov kan utredas i enlighet med vad säkerhetsutredningslagen (726/2014) föreskriver. (22 § i RP)

21 (23) §

Byggande som hänför sig till säkerhetsnätet

Byggnader, konstruktioner och anläggningar som direkt ansluter sig till säkerhetsnätet får uppföras på områden som besitts av staten eller av ett bolag som svarar för de uppgifter som avses i 7 (utesl.) § utan tillstånd enligt markanvändnings- och bygglagen (132/1999). Bestämmelserna om myndigheternas tillsyn över byggnadsarbete gäller inte byggande för säkerhetsnätets verksamhet.

22 och 23 (24 och 25) §

(Som i RP)

5 kap.

Ikraftträdande

24 (26) §

(Som i RP)

25 (27) §

Övergångsbestämmelse som gäller ordnandet av uppgifter

Försvarsmakten och det servicecenter som avses i 5 § 1 mom. i lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster är tillhandahållare av säkerhetsnätets nät- och infrastrukturtjänster enligt 6 § högst till den 31 december 2016.

Förvaltningens IT-central är tillhandahållare av säkerhetsnätets informations- och kommunikationstekniska tjänster enligt 8 § och tillhandahållare av integrationstjänster i säkerhetsnätet enligt 10 § högst till den 31 december 2016.

Statsrådet beslutar närmare inom ramen för tidsfristen enligt 1 och 2 mom. om de uppgifter och funktioner som ska överföras till de tillhandahållare av tjänster som avses i 6, 8 och 10 § och om tidsplanerna.

26—29 (28—31) §

(Som i RP)

30 (32) §

Övergångsbestämmelse som gäller avtal och andra förbindelser

Sådana gällande avtal och förbindelser som direkt gäller säkerhetsnätets nät- och infrastrukturtjänster och som ingåtts av försvarsmakten, Förvaltningens IT-central, Gränsbevakningsväsendet, (utesl.) Statens IT-servicecentral vid Statskontoret eller det servicecenter som avses i 5 § 1 mom. i lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster innan denna lag trädde i kraft samt de rättigheter och skyldigheter som följer av dessa överförs vid denna lags ikraftträdande till det bolag som avses i 6 §, om inte något annat följer av 25 §.

31 (33) §

Övergångsbestämmelse som gäller anhängiga ärenden

Sådana ärenden som direkt gäller säkerhetsnätets nät- och infrastrukturtjänster och som är anhängiga vid försvarsmakten, Förvaltningens IT-central eller det servicecenter som avses i 5 § 1 mom. i lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster när denna lag träder i kraft överförs vid denna lags ikraftträdande till det bolag som avses i 6 §, om inte något annat följer av 25 §.

_______________

Utskottets förslag till uttalande

Riksdagen förutsätter att regeringen noga följer och utvärderar genomförandet av säkerhetsnätsreformen och att den före utgången av 2016 års riksmöte lämnar förvaltningsutskottet en sådan skriftlig och detaljerad utredning som avses i 47 § 2 mom. i grundlagen om reformgenomförandet och anknytande frågor, inklusive det som framgår av förvaltningsutskottets betänkande FvUB 35/2014 rd.

Helsingfors den 9 december 2014

I den avgörande behandlingen deltog

  • ordf. Pirkko Mattila /saf
  • vordf. Mika Kari /sd
  • medl. Maarit Feldt-Ranta /sd
  • Satu Haapanen /gröna
  • Rakel Hiltunen /sd
  • Anne Holmlund /saml
  • Reijo Hongisto /saf
  • Risto Kalliorinne /vänst
  • Elsi Katainen /cent
  • Timo V. Korhonen /cent
  • Antti Lindtman /sd
  • Markus Lohi /cent
  • Tapani Mäkinen /saml
  • Mika Raatikainen /saf
  • Kari Tolvanen /saml
  • Ulla-Maj Wideroos /sv
  • ers. Mikael Palola /saml

Sekreterare var

utskottsråd Ossi Lantto

RESERVATION

Motivering

Regeringen föreslår en lag om verksamheten i den offentliga förvaltningens säkerhetsnäts och dessutom att bestämmelsen med definitionen på myndighetsnät i kommunikationsmarknadslagen ändras. Avsikten är att det i den föreslagna lagen ska föreskrivas om den offentliga förvaltningens säkerhetsnät, tjänsterna i nätet och användningen av tjänsterna samt säkerhetsnätets övriga verksamhet. Enligt förslaget ska lagen under normala förhållanden och vid störningar under normala förhållanden samt under undantagsförhållanden säkerställa att den kommunikation som samarbetet mellan den högsta statsledningen och de myndigheter och andra aktörer som är viktiga med tanke på säkerheten i samhället förutsätter är störningsfri och obruten samt att säkerställa att den information som behövs vid beslutsfattandet och ledningen är lättillgänglig, integrerad och konfidentiell.

Syftet med säkerhetsnätsprojektet är att integrera inrikesförvaltningens datakommunikationstjänster i försvarsmaktens kommunikationsnät. Dessa nät ska länkas samman och bilda säkerhetsnätets basnät. Grundtanken bakom säkerhetsnätsprojektet är att garantera att säkerhetsmyndigheternas datakommunikation skyddas och att den fungerar samt att det kritiska informationsmaterial som säkerhetsmyndigheterna förfogar över lagras och administreras i Finland liksom även att ett överdrivet beroende av enskilda kommersiella aktörer undviks.

Målen med propositionen är i och för sig välkomna och ändamålsenliga. Däremot väljer regeringens fel lösningar för att nå målen; de främjar inte de eftersträvade målen. Det finns två principiellt stora problem i propositionen och betänkandet. Det rör sig om att funktioner som gäller samma intressen, hög beredskap och hög informationssäkerhet, och som nu ska splittras på olika organisationer och att offentliga förvaltningsuppgifter överförs till en privat tjänsteproducent i aktiebolagsform, Suomen Turvallisuusverkko Oy.

Överföring av IKT-tjänsterna och integrationstjänster till servicecentret Tori

Regeringen räknar upp tre olika aktörer som ska producera tjänsterna i säkerhetsnätet: en tillhandahållare av nät- och infrastrukturtjänster (6 §), en tillhandahållare av informations- och kommunikationstekniska tjänster (8 §) och en tillhandahållare av integrationstjänster (10 §). Nät- och infrastrukturtjänsterna ska produceras av Suomen Turvallisuusverkot Oy, medan produktionen av de informations- och kommunikationstekniska tjänster (IKT-tjänsterna) och integrationstjänsterna överförs till servicecentret Tori. Lösningen innebär att funktioner som styrs av samma intressen och som av denna anledning bör höra till samma organisation splittras upp på två olika organisationer. En viktig uppgift för tjänsteproduktionen i säkerhetsnätet är att säkerställa och trygga den intersektoriella kommunikationen och att erbjuda för sektorn optimerade instrument för operativ ledning. Samverkanseffekterna kommer av konsolidering inom sektorn. Några sådana effekter kan inte uppkomma mellan olika sektorer eftersom kraven inte är desamma.

IKT-tjänsterna är tjänster som tagits fram för säkerhetssektorn, och deras syfte är att så bra som möjligt fungera ihop med sektorns särdrag. Tjänsterna bygger på kunskaper om sektorns processer och tjänsternas användningsfall. Tjänsterna har utvecklats av branschens IKT-hus Haltik och PVJJK. Enligt lagförslaget ska Haltik bli en del av servicecentret Tori och de tjänster som skapats för användning i säkerhetsnätet konsolideras för att bli Tori-tjänster. En sådan lösning kan äventyra målet med hög aktionsberedskap och hög informationssäkerhet. Samtidigt finns det risk för att man inte längre lyckas producera de branschoberoende IKT-tjänsterna så ekonomiskt som möjligt, när samma organisation också ska producera tjänster som gäller säkerhetsnätet. Man uppnår inga samverkanseffekter med att integrera Haltik med servicecentret Tori, eftersom tjänsteproduktionen enligt lagförslaget ska åtskiljas till en egen helhet inom servicecentret. I stället för den föreslagna lösningen bör Haltik helt bli en del av Suomen Turvallisuusverkko, och alla tjänster som gäller säkerhetsnätet bör produceras inom en samlad helhet där samma intressen, hög beredskap och hög informationssäkerhet, styr alla funktioner. Precis såsom utfrågade sakkunniga har påpekat fyller lägesbilden inom tjänsteproduktionen i säkerhetsnätet en central funktion. En utspridd tjänsteproduktion ökar de organisatoriska hindren, som medför långsammare reaktion och ger fel lägesbild. En splittrad tjänsteproduktion ökar riskerna och försvagar beredskapen. Den föreslagna lösningen tjänar inte lagens syften att nå en så hög beredskap och informationssäkerhet som möjligt.

Bestämmelserna om producenten av nät- och infrastrukturtjänster samt organiseringen i bolagsform

Enligt propositionen är det Suomen Turvallisuusverkot Oy som ska producera nät- och infrastrukturtjänsterna. Det är fråga om offentliga förvaltningsuppdrag. I propositionen (s. 15) motiveras överföring av offentliga förvaltningsuppgifter till ett helt statsägt aktiebolag med att ett aktiebolag jämfört med ett statligt ämbetsverk har bättre möjligheter att klara av ett långsiktigt strategiskt utvecklande och hanteringen av investeringar, där man på ett smidigt sätt även kan beakta att tillhandahållandet av IKT-tjänster inom statsförvaltningen utvecklas på ett övergripande sätt. Förfarandets ändamålsenlighet har dessutom i en redogörelse från finansministeriet motiverats med att uppgifterna till sin karaktär kräver särskild informations- och kommunikationsteknisk sakkunskap, att investeringarna är långsiktiga och att det krävs fortsatta investeringar för utveckling. Uppgifter som kräver sådan särskild expertis och en långsiktig hantering av utveckling och investeringar lyckas enligt ministeriet bäst i bolagsform.

Grundlagsutskottet gick i sitt utlåtande (GrUU 8/2014 rd) mycket grundligt in på frågan om överföring av offentliga förvaltningsuppgifter till en privat serviceproducent och konstaterade då följande: "Grundlagsutskottet fäster uppmärksamhet vid att arrangemangets ändamålsenlighet motiveras främst med faktorer som gäller ekonomisk långsiktighet och sakkunskap. Däremot motiveras ändamålsenligheten till exempel inte med grunder som syftar till att garantera funktionssäkerhet, tillförlitlighet, datasäkerhet eller riskhantering trots att syftet med bestämmelserna uttryckligen är att skapa förutsättningar för myndighetsverksamhet som är väsentlig med hänsyn till statens och samhällets säkerhet. Utskottet menar att det inte på något sätt är självklart att utveckling av verksamheten på lång sikt eller garanterad sakkunskap bättre kan säkerställas om tjänsterna produceras av ett aktiebolag och inte av myndigheter. Enligt uppgift till utskottet är till exempel verksamheten i Statens center för informations- och kommunikationsteknik Valtori organiserad så att investeringsutgifterna kan hanteras mera långsiktigt än av myndighetsverksamheten. Styrningen av och tillsynen över verksamheten kan sannolikt skötas enklare och mera direkt om en myndighet har hand om uppgifterna. Man kan således också med skäl ställa sig skeptiskt till hur ändamålsenlighet förfarandet är."

Under förvaltningsutskottets sakkunnigutfrågning framfördes inga särskilda grunder ur ekonomisk eller än mindre ur ägarstyrningens synvinkel som skulle förorda bolagsform. Däremot är bolagsformen mycket problematisk med avseende på såväl ägarstyrningen och riksdagens budgetmakt som tjänsteansvaret. Det är också lätt att instämma i vad professor Tuori framför i sitt sakkunnigyttrande, nämligen att det är fråga om infrastrukturuppgifter som är mycket väsentliga med tanke på statens säkerhet och de offentliga verksamheternas kontinuitet och att uppgifterna också gäller mycket konfidentiell information, vilket talar för myndighetsmodellen. I försvarsutskottets utlåtande (FsUU 10/2013 rd) betonas i synnerhet följande: "Styrmodellen och anvisningarna ska vara så pass tydliga att inga oklarheter finns i fråga om styr- och ledningsförhållandena i olika situationer." Den aktiebolagsmodell som regeringen nu föreslår leder till en ytterst komplicerad och överlappande ägarstyrningsstruktur, som inte blir ett dugg enklare av att verksamheten dessutom regleras av i synnerhet aktiebolagslagen. I den betonas bolagsledningens strategiska roll och dessutom att bolagets intressen ska vara utgångspunkten för all verksamhet.

Hela lagstiftningen om säkerhetsnätet bör ha ett säkerhetsperspektiv där Suomen Turvallisuusverkot Oy, Suomen Erillisverkot Oy och Haltik fusioneras till en enda organisation. Och denna organisation ska ha myndighetsform, en säkerhetsnätsmyndighet, som ska sörja för alla säkerhetsnätstjänster till säkerhetsmyndigheterna. Ett sådant alternativ kräver en radikal omarbetning av lagen.

Förslag

Vi föreslår

att riksdagen förkastar lagförslag 1 i betänkandet.

Helsingfors den 9 december 2014

  • Elsi Katainen /cent
  • Timo V. Korhonen /cent
  • Markus Lohi /cent

​​​​