Allmän motivering
Säkerhetsnätsprojektet
I slutet av 2007 startade regeringen ett planeringsprojekt för
att främja nätsäkerheten inom den offentliga
förvaltningen. Projektet hade som uppgift att planera ett
säkert datakommunikationsnät och nättjänster
för förvaltningen, i synnerhet för säkerhetsmyndigheterna.
Ett fortsättningsprojekt startade 2009 och dess syfte var
att integrera inrikesförvaltningens datakommunikationstjänster
i försvarsmaktens kommunikationsnät och därmed
att lägga grunden för säkerhetsnätets
nät- och kommunikationstjänster. Utgångspunkten
har varit att dessa sammanlänkade nät ska bilda
säkerhetsnätets basnät. Nätet
har byggts ut och åren 2009-2013 har omkring 200 miljoner
euro investerats i det inom projektet för förvaltningen
säkerhetsnät (Tuve).
Det är meningen att det kommande säkerhetsnätet
ska erbjuda de centrala säkerhetsmyndigheter och statsledningen,
inklusive ministerierna, en datakommunikationslösning med
hög beredskaps- och säkerhetsnivå. Grundtanken är
att säkerställa att säkerhetsmyndigheternas
datakommunikation är skyddad och fungerar, att det kritiska
informationsmaterial som myndigheterna i fråga förfogar över
lagras och administreras i Finland och att ett överdrivet
beroende av kommersiella aktörer kan undvikas. Syftet med
Tuve är också att ge statsledningen bättre
förutsättningar att fatta beslut, ge en bättre
lägesbild, förbättra informationsutbytet
mellan myndigheterna och förbättra förutsättningarna
för integrerad och obestridlig information i alla säkerhetssituationer.
De huvudprinciper är samhälleligt mycket viktiga,
menar utskottet.
Utskottet vill poängtera att säkerhetsnätet är avsett
att kunna användas under alla förhållanden
och att det måste fungera tillförlitligt såväl
i den dagliga användningen som vid störningar under
normala förhållanden och under undantagsförhållanden.
Med andra ord måste nätet vara funktionsdugligt
bl.a. i händelse av naturfenomen, elavbrott eller webbattacker.
Ett av de grundläggande syftena med säkerhetsnätsprojektet är
att genom ett enhetligt säkerhetsnät undanröja
behovet för enskilda myndigheter att själva bygga
upp och upprätthålla egna datakommunikationsförbindelser,
utrustningslokaler och andra informations- och kommunikationstekniska
lösningar som uppfyller kraven på säkerhet
och beredskap, påpekar utskottet.
Behovet av lagstiftning om verksamheten i den offentliga förvaltningens
säkerhetsnät
Utskottet påpekar att den gällande lagstiftningen
innehåller bestämmelser om den offentliga förvaltningens
säkerhetsnät men inte om säkerhetsnätsverksamheten.
Lagstiftningen innehåller ändå flera
bestämmelser som måste beaktas i den nya lagen
om verksamheten i den offentliga förvaltningens säkerhetsnät.
Enligt utskottets uppfattning krävs det lagstöd åtminstone
i anknytning till att olika säkerhetsmyndigheter ska få använda
sig av försvarsmaktens stamnät och att uppgifter
och produktionsansvar ska bestämmas för den som
tillhandahåller tjänster i säkerhetsnätet.
Vidare påpekar utskottet att den föreslagna nya
lagen behövs för att definiera säkerhetsnätet,
dess tjänster och användningen av tjänsterna och
för att bestämma grunderna för övrig
verksamhet i säkerhetsnätet. Säkerhetsnätet är
enligt förslaget ett i kommunikationsmarknadslagen ()
avsett myndighetsnät som ägs och förvaltas
av staten. Med ett myndighetsnät avses enligt den preciserade
formuleringen av kommunikationsmarknadslagen i lagförslag
2 ett kommunikationsnät som byggts för behov i
anslutning till statens ledning och säkerhet, försvaret, allmän
ordning och säkerhet, gränssäkerhet, räddningsverksamhet,
sjöräddning, nödcentralsverksamhet, invandring,
prehospital akutsjukvård eller befolkningsskyddet. Anslutningar
i nätet kan tillhandahållas utom myndigheterna även
andra användargrupper som är nödvändiga med
hänsyn till skötseln av ovan avsedda uppgifter.
Utskottet påpekar att kommunikationsmarknadslagen har
upphävts genom den informationssamhällsbalk ()
som träder i kraft vid ingången av 2015. Definitionen
av myndighetsnät ingår i 250 § i informationssamhällsbalken
med samma innehåll som i lagförslag 2. Den enda ändringen är
att informationssamhällsbalken också nämner
säkerheten i järnvägstrafiken som en
orsak till att bygga upp ett myndighetsnät. Utskottet föreslår
nedan i detaljmotiveringen att lagförslag 2 i propositionen
ska förkastas.
Även om säkerhetsnätets infrastruktur
och tjänster måste bygga på kravet på hög
beredskap och säkerhet kommer nätet att användas
i det dagliga myndighetsarbetet. Syftet med den föreslagna
lagstiftningen om säkerhetsnätet är att
ha datanät och tjänster som backar upp kravet
på beredskap och säkerhet och ligger inom ramen för
en enhetlig och funktionssäker infrastruktur, statsägd
tjänsteproduktion och enhetlig styrmodell. Avsikten är
att när tjänsterna och verksamhetsmodellerna enligt
lagförslag 1 (Tuve) införs kan myndigheterna bedriva
en allt mer säker verksamhet också under undantagsförhållanden och
vid störningar under normala förhållanden, särskilt
när dessa gäller informationssäkerheten. Både
undantagsförhållanden och störningar
blir allt vanligare. Kravet på hög beredskap preciseras
inte närmare i lagförslaget, men det som avses är
att säkerhetsnätets kommunikationsnät, utrustningslokaler,
utrustning och annan infrastruktur samt de gemensamma tjänsterna
och tjänsteproduktionen ska byggas upp och organiseras
på ett sätt där nätanvändningen
kan garanteras under alla förhållanden. I detaljmotiveringen
till propositionen anges det närmare vad som avses med
informationssäkerhet för informations- och kommunikationstekniska
tjänster med beredskap på hög nivå.
De måste uppfylla kraven på informationssäkerhet
enligt skyddsnivåer IV—II i 9 § i statsrådets
förordning om informationssäkerheten inom statsförvaltningen ()
och kraven på särskilt känsligt informationsmaterial
(exempelvis lag om internationella
förpliktelser som gäller informationssäkerhet).
Utskottet poängterar att ingen av de sakkunniga som
hörts har ifrågasatt behovet av den nya lagstiftningen.
Säkerhetsnätets verksamhet
Enligt propositionsmotiven ska säkerhetsnätets verksamhet
bestå av två delområden: själva
nätet och dess styrning. Enligt 1 § i den föreslagna säkerhetsnätslagen
ska säkerhetsnätet omfatta ett kommunikationsnät
och med det direkt sammanhörande utrustningsutrymmen, utrustning och
annan infrastruktur samt säkerhetsnätets gemensamma
tjänster. Med säkerhetsnätets verksamhet
avses enligt regeringens detaljmotivering den administrativa, funktionella
och tekniska helhet av de nämnda delområdena,
inom vilken verksamheten i fråga om säkerhetsnätet
och de tjänster och tjänsteproducenter som hör
samman med det samt styrningen av och tillsynen över säkerhetsnätet
sammanförs.
Avsikten är att de ministerier som har en central roll
när det gäller samhällets säkerhet
plus försvarsmakten, Försörjningsberedskapscentralen
och Finlands Kommunförbund ska delta i styrningen av verksamheten
i säkerhetsnätet. Till verksamhetshelheten hör
enligt propositionen också sådana uppgifter som
kräver teknisk och funktionell specialsakkunskap och som
stöder den verksamhet som bedrivs av myndigheter, och enligt
lagförslaget kan det helt statsägda aktiebolaget
Suomen Erillisverkot Oy eller ett dotterbolag som helt ägs
av det bolaget vara tjänsteproducent som ansvarar för
dessa uppgifter.
Skyldighet att använda säkerhetsnätet
Enligt föreslagna 2 § ska säkerhetsnätet
användas i myndigheternas interna, inbördes och
externa samarbete och kommunikation som ansluter sig till statens
ledning och säkerhet, försvaret, den allmänna
ordningen och säkerheten, gränssäkerheten,
räddningsverksamheten, sjöräddningen,
nödcentralsverksamheten, invandringen och den prehospitala
akutsjukvården och där kraven på hög
beredskap eller hög säkerhet iakttas.
Av 3 § i lagförslaget framgår i sin
tur de myndigheter som måste använda säkerhetsnätet
i de uppgifter som anknyter till sådan verksamhet.
Utskottet anser att skyldigheten att använda säkerhetsnätet
anges i lag både funktionellt och organisatoriskt. Den
funktionella räckvidden anger de för den högsta
statsledningen och säkerheten centrala funktioner där
kommunikationen kräver att säkerhetsnätet
används. Det är i syfte att precisera skyldigheten
motiverat att också organisatoriskt ange vem den gäller.
Detta sker lämpligen genom att man i lag räknar
upp de myndigheter som ska använda säkerhetsnätet.
Det är viktigt, menar utskottet, att de myndigheter som är
viktigast med avseende på samhällets säkerhet åläggs
att använda säkerhetsnätet när
deras kommunikation och samverkan måste uppfylla kraven
på hög beredskap och säkerhet. Utskottet
understryker hur viktigt det är att de aktörer
som omfattas av den föreslagna skyldigheten börjar
använda nätet och dess tjänster, bland
annat med avseende på genomförandet av strategin
för cybersäkerhet i Finland. Bestämmelserna
om skyldigheten att använda säkerhetsnätet
utgör en precisering av 1 § om lagens syfte och
tillämpningsområde.
Också de viktigaste samarbetspartnerna till de myndigheter
som omfattas av användningsskyldigheten kan tillåtas
att använda säkerhetsnätet när
villkoren enligt den föreslagna lagen är uppfyllda.
Under sakkunnigutfrågningen framfördes farhågor
för huruvida verksamheten i säkerhetsnätet
jämlikt kan tillgodose behoven för alla aktörer
som är skyldiga att använda nätet. Exempelvis
har det ansetts svårt att på ett rättvist
sätt tillgodose och jämka samman försvarets,
Nödcentralsverkets och den prehospitala akutsjukvårdens
krav samtidigt och kostnadseffektivt. Under utfrågningen
har det också framförts att det i säkerhetsnätet
också måste gå att förmedla
information säkert bl.a. i enlighet med EU:s och andra
internationella krav.
Enligt uppgift ska de principer utifrån vilka tjänsterna
kan förvaltas och prioriteras i olika situationer anges
närmare på lägre normnivå. Därvid
ska det finnas en balans mellan de olika nätanvändarnas
behov utifrån vad den då aktuella situationen
kräver. Det är enligt inkommen utredning möjligt
att uppnå tillräcklig beredskap bl.a. genom kontroll över
kapaciteten och prioritetsklassificeringen i fråga om kapacitetsutnyttjandet.
Det sker med hjälp av tekniska och funktionsrelaterade
lösningar inom säkerhetsnätet. Det är
meningen att säkerhetsnätet ska utgöra grundläggande
infrastruktur som såväl nationella som EU:s och
andra internationella kommunikationslösningar med hög
skyddsnivå ska kunna luta sig mot.
I detta sammanhang bör en sakfråga lyftas fram,
nämligen skyddspolisens funktionella informationssystem,
som finns i skyddspolisens operativa datanät. Nätet är
separat från polisens datanät. Skyddspolisen anser
att denna ordning bör bestå även fortsättningsvis.
I detta avseende påpekar förvaltningsutskottet
att enligt 5 § i den föreslagna lagen ska sådan
utrustning och sådana informationssystem som omfattas av
kravet på hög beredskap eller hög säkerhet
och används direkt i sådan verksamhet som avses
i 2 § 1 mom. vara placerade i utrustningsutrymmen i anslutning
till säkerhetsnätet, om det inte av tekniska eller
funktionella skäl är nödvändigt
att de helt eller delvis placeras i andra utrustningsutrymmen. Enligt
utskottet uppfattning ger denna möjlighet till undantag
tillräckliga förutsättningar för
att lösningar ska gå att finna separat från säkerhetsnätet
när det finns särskilda behov, såsom
exempelvis i fråga om skyddspolisens funktionella informationssystem.
Utskottet pekar vidare på att säkerhetsnätet utöver
statliga myndigheter också berör kommunal aktörer,
eftersom skyldigheten att använda nätet även
gäller räddningsväsendet och den prehospitala
akutsjukvården. Kommunerna inom ett räddningsområde
ansvarar i samverkan för räddningsväsendet.
För den prehospitala akutsjukvården ansvarar numera å sin
sida sjukvårdsdistrikten, dvs. samkommuner bestående
av flera kommunerna. Enligt planerna ska det för myndigheterna
gemensamma fältledningssystemet stödja sig på säkerhetsnätets
infrastruktur. Om planen förverkligas blir det möjligt
för statliga och kommunala aktörer att få en
gemensam lägesbild och informationsutbyte i realtid.
Enligt den föreslagna 28 § ska de användningsskyldiga
användarna av säkerhetsnätet börja
anlita säkerhetsnätets tjänster senast
när de i lagen (7, 9 och 11 §) avsedda tjänsterna är
tillgängliga och det serviceavtal för en tjänst
som anskaffats självständigt och som motsvarar tjänsten
i fråga har upphört att gälla. Det är
meningen att användarna ska anslutas till nätet
allteftersom de har förutsättningar för
en säker anslutning och tjänsterna för
den berörda användargruppen är godkända
för att kan börja användas. Ett sådant
förfarande medger att anslutningen till säkerhetsnätet
kan ske på ett säkert sätt och med bevarande
av funktionssäkerheten, också i fråga
om de kommunala aktörerna.
Tjänsteproduktionen i säkerhetsnätet
Tjänsteproduktionen i säkerhetsnätet
ska enligt förslaget indelas i följande tre servicehelheter: 1)
nät- och infrastrukturtjänster, 2) gemensamma
informations- och kommunikationstekniska tjänster och 3)
integrationstjänster. Enligt lagförslaget ska
den som tillhandahåller tjänster i säkerhetsnätet
(tjänsteproducenten) ha ensamrätt när
det gäller att producera de lagstadgade tjänsterna,
varvid tjänsterna med stöd av 12 § i lagen
om offentlig upphandling ()
inte behöver upphandlas. Under expertutfrågningen framfördes
märkbart mycket kritik mot tjänsteproduktionen
enligt lagförslaget. Därför behöver
produktionen av var och en av servicehelheterna granskas närmare
också i de allmänna motiven till detta betänkande.
De ändringar som utskottet föreslår i
bestämmelserna om tjänsteproduktion framgår
av detaljmotiveringen.
Bestämmelserna om tjänsterna inom säkerhetsnätsverksamheten
och bestämmelserna om de uppgifter som ansvaret för
tjänsteproduktionen medför är synnerligen
vagt formulerade. Dessutom innehåller lagförslaget
begrepp som saknar en detaljerad definition, vilket ger dem ett
delvis oklart innehåll, och detta gäller inte bara
kapitlet om tjänsteproduktion.
Utskottet erfar att det är svårt att definiera
begreppen entydigt, eftersom varken termerna eller verksamhetsformerna är
helt etablerade inom IKT-sektorn och den offentliga förvaltningen
i detta avseende. Lagen bereddes utifrån avsikten att de
s.k. servicehelheternas innehåll kommer att preciseras
i en förordning som statsrådet utfärdar
med stöd av den föreslagna lagen. Förordningen
ska innehålla bestämmelser om tjänsterna
och tjänsteproducenternas uppgifter. Enligt utskottets
bedömning kan en förordning åtminstone
delvis leda till tydligare och mer begripliga bestämmelser.
Men det skulle ha varit mer funktionellt att definiera begreppen
tillräckligt exakt i lagen eller åtminstone i
motiveringen till lagförslaget, särskilt när
man beaktar att det är fråga om svåröverskådliga
bestämmelser också i fråga om sakinnehåll.
Utskottet har haft tillgång till ett preliminärt
utkast av den 26 november 2013 till statsrådets förordning
om verksamheten i säkerhetsnätet.
Nät- och infrastrukturtjänster
Enligt lagförslaget ska nät- och infrastrukturtjänsterna
i säkerhetsnätet produceras av ett icke-vinstdrivande
och helt statsägt aktiebolag, Suomen Erillisverkot Oy.
Enligt bolagsordningen hör det till bolagets verksamhetsområde
att bygga och sköta driften av datakommunikationsnät
och andra säkerhetsnät som används av
myndigheter inom den offentliga förvaltningen och som hänför
sig till samhällets säkerhet samt att tillhandahålla
och erbjuda konsultationer i anslutning till dessa tjänster.
Bolaget får också äga och besitta de
avsedda telenäten plus fastigheter och aktier. Till Suomen
Erillisverkot-koncernen hör Suomen Turvallisuusverkko Oy,
Virve Oy (Virveverkko), Virve Tuotteet ja Palvelut Oy, Leijonaverkot
Oy (produktionslokalerna) och Johtotieto Oy.
Ett särskilt drag i de föreslagna bestämmelserna är
att också ett dotterbolag som bolaget bildat och helt och
hållet äger får producera nät- och
infrastrukturtjänsterna. Det förhåller
sig i själva verket så att aktiebolaget Suomen
Turvallisuusverkko Oy bildats för detta ändamål.
Dotterbolaget får inte ha andra uppgifter eller funktioner
och det får inte ha som syfte att uppnå företagsekonomisk
vinst. Med andra ord kan dotterbolaget inte bedriva verksamhet på en
konkurrensutsatt marknad.
Det sägs i lagförslaget att bolaget administrativt,
funktionellt och ekonomiskt ska avskilja den verksamhet som avses
i lagförslaget från sin övriga verksamhet.
Enligt en av de föreslagna övergångsbestämmelserna
ska också försvarsmakten och Statens IT-servicecentral
vid Statskontoret producera nät- och infrastrukturtjänster
under en övergångsperiod. Numera ansvarar Statens
center för informations- och kommunikationsteknik Valtori
för IT-servicecentralens uppgifter.
Producenten av nät- och infrastrukturtjänster ska
med ensamrätt producera, upprätthålla
och utveckla säkerhetsnätets nättjänster.
Nättjänsterna i säkerhetsnätet
består av datakommunikationsförbindelser som användarna
använder för att ansluta sina lokalnät
och säkerhetsnätets serversalar till varandra.
Tjänsteproducenten ska också ansvara för
de drifts- och applikationstjänster som är direkt
kopplade till nättjänsterna, men inte i övrigt
vara drift- och applikationsoperatör i fråga om
tjänsterna.
Producenten ska också med ensamrätt administrera
säkerhetsnätets utrustningslokaler och utrustning
samt producera, upprätthålla och utveckla andra
infrastrukturtjänster i säkerhetsnätet.
Med andra tjänster avses tillhandahållande av
sådana utrustningsutrymmen och platser för utrustning
där det går att placera sådan utrustning
som behövs för datakommunikationsförbindelser
eller informationssystem som kräver hög beredskap
eller hög säkerhet. Exempelvis säkerhetsnätets
kablar, master och länkstationer är sådan
utrustning.
Det viktigaste syftet med säkerhetsnätsverksamheten är
att se till att statens och samhällets kärnfunktioner
och den tillhörande kommunikationen kan fungera utan störningar
och konfidentiellt. Grundlagsutskottet slår i sitt utlåtande
fast att det är fråga om uppdrag som är
väsentliga med tanke på statens säkerhet
och de offentliga verksamheternas kontinuitet och vars främsta syfte är
att bevara datasekretessen. Enligt det utlåtandet måste
verksamheten på det hela taget betraktas som en offentlig
förvaltningsuppgift som avses i 124 § i grundlagen.
De föreslagna bestämmelserna om att ge uppgifter
som hör till säkerhetsnätets verksamhet
till någon annan än en myndighet bör
därför också bedömas utifrån 124 § i
grundlagen, anser grundlagsutskottet.
Det i 6 § i lagförslag 1 avsedda helt statsägda aktiebolaget
eller av bolaget helägda dotterbolag som tillhandahåller
nät- och infrastrukturtjänster i säkerhetsnätet
ska bland annat producera och upprätthålla säkerhetsnätets
nättjänster, administrera säkerhetsnätets
utrustningslokaler och utrustning och inom sitt uppgiftsområde
svara för att de krav på säkerhet, aktionsberedskap,
annan beredskap och kontinuitet som gäller säkerhetsnätet
uppfylls under normala förhållanden och under
undantagsförhållanden. Grundlagsutskottet konstaterar
i sitt utlåtande att det i sak är fråga
om uppgifter av teknisk natur som stöder myndigheternas
verksamhet och som i hög grad genomförs under
de statliga myndigheternas översyn och styrning. Även
om verksamheten skapar förutsättningar för
betydande utövning av offentlig makt har tjänsteproducenterna
inte själva sådana uppgifter som kan anses vara
utövning av offentlig makt enligt grundlagens 124 §.
Vidare påpekar grundlagsutskottet att kravet på ändamålsenlighet
i 124 § är ett juridiskt villkor och det måste
bedömas från fall till fall huruvida kravet uppfylls.
I detta sammanhang måste bland annat förvaltningsuppgiftens
karaktär beaktas. Enligt förarbetena till grundlagen
ska man vid bedömning av ändamålsenligheten
uppmärksamma dels förvaltningens effektivitet
och övriga interna behov, dels enskilda personers och sammanslutningars
behov.
I propositionen motiveras överföring av offentliga
förvaltningsuppgifter till ett helt statsägt aktiebolag
med att ett aktiebolag jämfört med ett statligt ämbetsverk
har bättre möjligheter att klara av ett långsiktigt
strategiskt utvecklande och hanteringen av investeringar, där
man på ett smidigt sätt även kan beakta
att tillhandahållandet av IKT-tjänster inom statsförvaltningen
utvecklas på ett övergripande sätt. Förfarandets ändamålsenlighet
har dessutom motiverats med att uppgifterna till sin karaktär
kräver särskild informations- och kommunikationsteknisk sakkunskap,
att investeringarna är långsiktiga och att det
krävs fortsatta investeringar för utveckling.
Grundlagsutskottet fäster uppmärksamhet vid att
arrangemangets ändamålsenlighet motiveras främst
med faktorer som gäller ekonomisk långsiktighet
och sakkunskap. Däremot motiveras ändamålsenligheten
till exempel inte med grunder som syftar till att garantera funktionssäkerhet,
tillförlitlighet, datasäkerhet eller riskhantering
trots att syftet med bestämmelserna uttryckligen är
att skapa förutsättningar för myndighetsverksamhet
som är väsentlig med hänsyn till statens
och samhällets säkerhet.
Grundlagsutskottet menar att det inte på något
sätt är självklart att utvecklingen av
verksamheten på lång sikt eller garanterad sakkunskap
bättre kan säkerställas om tjänsterna
produceras av ett aktiebolag och inte av myndigheter. Enligt uppgift
till utskottet är till exempel myndighetsverksamheten i
Statens center för informations- och kommunikationsteknik
Valtori organiserad så att investeringsutgifterna kan hanteras
mera långsiktigt än i sedvanlig myndighetsverksamhet.
Styrningen av och tillsynen över verksamheten kan dessutom
sannolikt skötas enklare och mera direkt om en myndighet
har hand om uppgifterna. Grundlagsutskottet slår fast att
man på goda grunder kan ställa sig skeptiskt till
hur ändamålsenligt förfarandet enligt propositionen är.
Kravet på ändamålsenlighet i 124 § i
grundlagen kan enligt grundlagsutskottet inte i detta fall direkt
anses utgöra ett absolut hinder för de föreslagna
bestämmelserna, eftersom det är fråga
om tekniska uppgifter i anknytning till tjänsteproduktion.
Förvaltningsutskottet konstaterar liksom grundlagsutskottet
att för att offentliga förvaltningsuppgifter ska
kunna anförtros andra än myndigheter krävs
det att detta inte äventyrar de grundläggande
fri- och rättigheterna, rättssäkerheten
eller andra krav på god förvaltning. De föreslagna
bestämmelserna måste enligt vad grundlagsutskottet
bedömer granskas med beaktande av att aktiebolagets verksamhet
som producent av nät- och infrastrukturtjänster
i synnerhet i dagens informationssamhälle är av
väsentlig betydelse när man ska trygga de kärnfunktioner
som gäller statsledningen och samhällets säkerhet.
Det är delvis, åtminstone indirekt, också fråga
om att uppgifter som gäller privatpersoners personuppgifter
och privatliv förblir konfidentiella.
I fråga om sådan reglering måste
särskilt höga krav ställas på att
funktionerna förblir tillförlitliga och funktionssäkra
och på att de behandlade uppgifternas konfidentialitet
garanteras. Dessutom måste myndigheterna övervaka
och instruera tjänsteproducenterna på ett effektivt
och heltäckande sätt.
Grundlagsutskottet påpekar att den administrativa styrningen
och tillsynen av aktiebolag i princip inte kan ligga på samma
nivå eller vara lika effektiv som när det gäller
myndighetsverksamhet. Det bör också beaktas att
avsikten i praktiken är att ett dotterbolag till aktiebolaget Suomen
Erillisverkot Oy ska ha hand om säkerhetsnätets
nät- och infrastrukturtjänster, vilket innebär
att myndighetstillsynen och myndighetsstyrningen blir ännu
mer indirekt. Samtidigt har det skrivits in i lag att tjänsteproducenten är ett
icke-vinstdrivande, helt statsägt aktiebolag eller ett
dotterbolag som aktiebolaget äger helt och hållet.
Det innebär enligt grundlagsutskottet att tillsynen och
styrningen är något lättare att ordna än
om det vore fråga om ett rent kommersiellt företag.
Som komplement till detta konstaterar förvaltningsutskottet
att man måste kräva särskild offentlig
tillförlitlighet och ansvarighet vid produktion och upprätthållande
av samhälleligt kritisk infrastruktur som direkt stöder
statens kärnfunktioner. Det är fråga
om att se till att den högsta statsledningen och säkerhetsmyndigheterna kan
fungera. Bestämmelserna gäller de centrala funktionerna
för statens, samhällets och myndighetsverksamhetens
och samtidigt också individens säkerhet. De allmänna
principerna för statsförvaltningens organisation
och 124 § i grundlagen talar för att säkerhetsnätets
verksamhet till fullo ska vara myndighetsdriven under statsrådets
omedelbara ledning och tillsyn. Det finns emellertid liksom grundlagsutskottet
säger i detta enskilda fall inget absolut konstitutionellt
hinder för den ordning som regeringen föreslår
och som säkerhetsnätet till stora delar planerats
enligt och byggts upp kring.
Enligt inkommen utredning är de centrala säkerhetsmyndigheterna,
såsom försvarsförvaltningen och inrikesministeriet,
i praktiken redan anslutna till säkerhetsnätet
och det aktiebolag som bildats för att producera nät-
och infrastrukturtjänsterna, Suomen Turvallisuusverkko
Oy, har redan skapat en organisation och förberett sig
på att börja producera tjänster och överta
affärsverksamheten. Därför ställs
lagstiftaren nu inför fullbordat faktum och utskottet har
enligt sin uppfattning egentligen ingen faktisk möjlighet
att komma fram till en annan lösning än den som
regeringen föreslår.
Vidare vill förvaltningsutskottet i fråga
om nät- och infrastrukturtjänsterna hänvisa
särskilt till vad den säger i detaljmotiveringen
om bl.a. tillsyn och styrning. Syftet med de ändringar som
utskottet föreslår är också i övrigt
att minska de risker som onekligen är förknippade
med den verksamhetsmodell som regeringen föreslår.
Informations- och kommunikationstekniska tjänster
Uppgiften som producent av informations- och kommunikationstekniska
tjänster i säkerhetsnätet kan enligt
lagförslaget skötas av en myndighet inom den offentliga
förvaltningen eller en aktör inom IKT-branschen
som utsetts för denna uppgift.
De föreslagna bestämmelserna ger möjlighet att överföra
uppgifterna också till en privaträttslig juridisk
person, såsom ett IKT-företag. Beaktar man detta
kan bestämmelserna i 8 § anses vara synnerligen
allmänt och inexakt utformade i fråga om en eventuell överföring
av statens rättigheter och skyldigheter, menar grundlagsutskottet.
Både bestämmelserna och deras motiv måste
i detta avseende kompletteras väsentligt för att
grundlagsutskottet ska kunna bedöma dem utifrån
kraven i 124 § i grundlagen.
Enligt inkommen utredning har planerna i fråga om producenten
av IKT-tjänster i säkerhetsnätet emellertid
preciserats allt eftersom beredningen framskridit. Det är
meningen att en myndighet ska ha hand om dessa uppgifter. Det framgår
av grundlagsutskottets utlåtande att omnämnandet
av "en aktör inom den informations- och kommunikationstekniska
branschen" som eventuell tjänsteproducent måste
utgå ur 8 § 1 mom. i lagförslag 1 för
att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning.
Den som producerar IKT-tjänsterna ska med ensamrätt
tillhandahålla, upprätthålla och utveckla
gemensamma informations- och kommunikationstekniska tjänster
i säkerhetsnätet. Det rör sig om sådana
tjänster som krävs för en säker användning
av och kommunikation inom säkerhetsnätet och som
stöder anslutning till informationssystemtjänster
i nätets utrustningslokaler, tjänster som stöder
användning av informationssystem i nätets utrustningslokaler
och tjänster som tillhandahålls i serversalar
i utrustningslokaler i anslutning till säkerhetsnätet.
Många av de utfrågade sakkunniga förhåller sig
tveksamma eller direkt negativa till planerna på att tjänsterna
i säkerhetsnätet ska produceras av Valtori, ett
servicecenter för branschoberoende IKT-tjänster
(, RP 150/2013
rd och FvUB 18/2013 rd). Synpunkter
som framförts är bland annat att ett nätverk
för den högsta statsledningen och säkerhetsmyndigheterna
ska hållas separat från de branschoberoende tjänsterna
i Valtori. Det anses också viktigt att verksamheten i säkerhetsnätet
förvaltas och styrs som en samlad helhet och att inga delar överförs
till Valtori. Det framgår vidare av sakkunnigyttrandena
att Tori-verksamheten siktar på kostnadseffektivitet, medan
tonvikten i verksamheten i säkerhetsnätet ligger
på hög beredskap, datasäkerhet och tillgänglighetsnivå.
Tori-tjänsterna är avsedda för säkerhetsnivåerna
IV och III, medan tjänsterna i säkerhetsnätet är
avsedda för nivåerna III och II. Det har enligt
ett yttrande till och med ansetts omöjligt att få dessa
två tillvägagångssätt att fungera
inom samma organisation, bl.a. för att gränserna
mellan säkerhetsnivåerna är så pass
oklara.
Försvarsutskottet understryker i sitt utlåtande vikten
av samordning av lagförslagen om säkerhetsnätet
och om Tori också med projektet för en integrationsplattform,
särskilt ur tjänsteproduktionens synvinkel.
Enligt lagförslaget ska producenten av IKT-tjänster
i säkerhetsnätet avskilja verksamheten enligt
den aktuella lagen från sin övriga verksamhet
i administrativt, funktionellt och ekonomiskt hänseende.
Utskottet erfar att detta ger möjlighet att uppnå lagens
syfte och säkerställer dessutom tillräcklig
kompetens för tjänsteproduktion i säkerhetsnätet
och de resurser som behövs för hög beredskap.
Övergångsbestämmelsen i lagförslaget
säger att Förvaltningens IT-central (Haltik) ska
tillhandahålla säkerhetsnätets informations-
och kommunikationstekniska tjänster högst till
den 31 december 2014. Efter det är det meningen att tjänsteproduktionen
ska överföras till Statens center för
informations- och kommunikationsteknik Valtori, ett servicecenter
som producerar statens icke branschspecifika IKT-tjänster
(servicecentret Tori). Det är meningen att tjänsteproduktionen
efter övergångstiden ska fortsätta utifrån
samma principer och i huvudsak med samma personal. Utskottet föreslår
i detaljmotiven att övergångsperioden ska vara
två år från lagens ikraftträdande.
Med statens icke branschspecifika IKT-tjänster avses
sådana tjänster som kan tillhandahållas eller
genomföras utan betydande branschspecifikt kunnande och
som grundar sig på utrustning och datatekniska lösningar,
inklusive den teknik som hänför sig till dessa,
som används allmänt. Enligt inkommen utredning
kommer servicecentret att bättre kunna övervaka,
kontrollera och upprätthålla tidsmässigt
kritiska tjänster i säkerhetsnätet när
det får dygnet runt-kapacitet sju dagar i veckan (24/7).
Till denna hanteringsfunktion kommer att fogas tjänster
som tas fram inom projektet för bättre förebyggande
och reaktionsförmåga när det gäller
hot mot datasäkerheten (SecICT). Dessa nya funktioner och
tjänster kommer att komplettera servicecentrets kapacitet
att vara tjänsteproducent med hög beredskap och
säkerhet enligt kraven i lagen om säkerhetsnätet
och förmåga att svara bl.a. mot den senaste tidens
hot mot datasäkerheten.
Genom att avskilja tjänsterna i säkerhetsnätet från
servicecentrets övriga verksamhet i administrativt, funktionellt
och ekonomiskt hänseende bör man se till att syftet
med verksamhetens i säkerhetsnätet uppnås
bl.a. i fråga om datasäkerhetsreglerna, it-säkerhetskulturen
och tillräcklig resursering som kräver hög
beredskap och även beaktar eventuella undantagsförhållanden,
understryker förvaltningsutskottet. Om servicecentret Tori
ska kunna leva upp till vad som krävs av det, är
det ändamålsenligt att samla datasäkerhetspersonalen
till en separat enhet för lagen om säkerhetsnätet
när ansvaret för att producera de IKT-tjänster
i säkerhetsnätet som avses i 8 §. Det är
viktigt att genom den 24/7-övervaknings- och händelsehanteringskapacitet
som byggs upp i servicecentret sörja för de användargruppers
behov som kräver stark kontinuitet. Genom att bygga upp
en särskild enhet på förhöjd
nivå inom Valtori är det möjligt att
förverkliga en lösning som beaktar dels kraven
på hög beredskap och säkerhet, dels också kostnadseffektiviteten.
Integrationstjänster
Enligt den föreslagna 10 § i kan uppgiften
som tillhandahållare av integrationstjänster i
säkerhetsnätet skötas av en myndighet
inom den offentliga förvaltningen eller aktör
inom IKT-branschen som särskilt utsetts för denna
uppgift. Det är finansministeriets uppgift att utse denna tjänsteproducent.
Syftet med bestämmelsen är att beslutet om tjänsteproducenten
kan fattas smidigare än när man väljer
tillhandahållare av de informations- och kommunikationstekniska tjänster
som avses ovan. I samband med beslutet kan det också vara
nödvändigt att besluta om överföring
av statens rättigheter och skyldigheter till tjänsteproducent
som beslutet avser. Detta kan exempelvis innebära beslut
om överlåtelse av rörelse. Beslut om överföringen
av statens rättigheter och skyldigheter kan enligt bestämmelsen
endast fattas av statsrådet efter föredragning
från finansministeriet.
Sådana tillhandahållare av integrationstjänster
som avses kan enligt propositionsmotiven t.ex. vara ministeriernas
IKT-avdelningar, sådana servicecenter inom IKT-branschen
som förvaltningsområdena använder eller
företag som särskilt godkänts för
denna uppgift.
Enligt lagförslaget kan således tjänsteproducenten
vara en aktör inom den informations- och kommunikationstekniska
branschen. Detta bör utgå för att lagförslaget
i fråga om 10 § 1 mom. ska kunna behandlas i vanlig
lagstiftningsordning. Utskottet hänvisar här till
vad den sagt om informations- och kommunikationstekniska tjänster
och till grundlagsutskottets utlåtande.
Den som tillhandahåller integrationstjänster ska
med ensamrätt ansluta tjänsterna i säkerhetsnätet
till användarnas andra IKT-tjänster och svara
för att denna servicehelhet förmedlas och tillhandahålls
till användarna. Det viktigaste i tjänsteproducentens
uppgift är dels att ansluta användaren tekniskt,
dels också att skapa en användarkontakt mellan
andra tjänsteproducenter i säkerhetsnätet
och användaren plus att dessutom samordna tjänsterna
i säkerhetsnätet med användarnas branschspecifika
tjänster och andra branschoberoende Tori-tjänster.
Det är meningen att användarkontakten ska skapas
genom ramavtal mellan de ministerier som styr användargrupperna
och producenterna av nät- och infrastrukturtjänster
och IKT-tjänster. Tillhandahållaren av integrationstjänster
och nätanvändaren ska således ingå ett
serviceavtal.
Enligt motiveringen till det tidigare behandlade lagförslaget
om statens gemensamma IKT-tjänster är avsikten
att det numera inrättade servicecentret Valtori också ska
sköta produktionen av integrationstjänster (RP
150/2013 rd). Förvaltningsutskottet
föreslår på det sätt som framgår
av detaljmotiven att Statens center för informations- och
kommunikationsteknik Valtori också ska tillhandahålla
integrationstjänsterna. Enligt inkommen utredning är
det viktigt att beakta att det finns aktörer inom kommunsektorn
som använder säkerhetsnätet och att också de
bör kunna använda integrationstjänsterna.
Underleverantörer
Enligt propositionen får tillhandahållaren
av nät- och infrastrukturtjänster, informations-
och kommunikationstekniska tjänster respektive integrationstjänster
(tjänsteproducenterna) anlita underleverantörer
i den omfattning finansministeriet beslutar. Också då ansvarar
tjänsteproducenten för underleverantörens
arbete enligt samma villkor som för sitt eget arbete. Emellertid kan
försvarsmakten vara underleverantör när
ett undervattenskabelnät för säkerhetsnätet
byggs och upprätthålls samt Försvarsförvaltningens byggverk
vara underleverantör i fråga om att bygga, låta
bygga och upprätthålla utrustningsutrymmen för
säkerhetsnätet.
Tjänsteproducenten ska begära utlåtande
av finansministeriet innan den upphandlar från en underleverantör.
Enligt propositionsmotiven innebär detta i praktiken att
ministeriet fastställer de uppgifter som kan upphandlas
från en underleverantör. Avsikten med utlåtandeförfarandet är
dessutom att säkerställa att underleverantören
verkligen klarar av att inom sitt uppgiftsområde uppfylla
säkerhets- och beredskapskraven på säkerhetsnätet.
Grundlagsutskottet anser att det i princip ter sig som om obegränsad
användning av underleverantörer är möjlig
om man ser till bestämmelserna. Eventuella inskränkningar
beslutas helt av finansministeriet. Det är viktigt att
komplettera regleringen med bestämmelser som inskränker
möjligheten att lägga ut verksamhet till det absolut
nödvändiga och bestämmer villkoren för att
använda underleverantörer, menar grundlagsutskottet.
Dessutom måste myndigheternas styr- och tillsynsbehörighet
i lag i tillräcklig omfattning utsträckas också till
underleverantörens verksamhet.
Förvaltningsutskottet föreslår i
syfte att beakta grundlagsutskottets utlåtande att lagförslag
1 ändras på det sätt som framgår
av detaljmotiven.
Prioritets- och viktighetsklassificering
Enligt 13 § i lagförslag 1 beslutar finansministeriet
under normala förhållanden och vid störningar
under normala förhållanden om prioritet och skyndsamhet
samt annan viktighetsklassificering i fråga om produktionen
av tjänster i och användningen av säkerhetsnätet.
Under sådana undantagsförhållanden som
avses i beredskapslagen ()
ska bestämmelserna i beredskapslagen iakttas i fråga
om det beslutsfattande som gäller viktighetsklassificering,
och under ett sådant försvarstillstånd
som avses i lagen om försvarstillstånd ()
fattar försvarsmakten beslut om viktighetsklassificeringen.
Försvarsförvaltningen har föreslagit
en precisering av lagförslaget för att det i ett
försvarstillstånd ska gå att ansluta
det bolag som producerar nät- och infrastrukturtjänster
i säkerhetsnätet till försvarets krigstida
organisation och ordningen för beredskapshöjning.
Dessutom understryker yttrandena vikten av att under normalförhållanden
snabbt kunna höja säkerhetsnätets beredskap
till den nivå som ett försvarstillstånd kräver.
Enligt försvarsförvaltningens yttranden ska säkerhetsnätets
viktighetsklassificering inte göras till föremål
för beslut av en aktör utanför försvarsmakten.
I försvarsutskottets utlåtande sägs
det för sin del att det viktigaste med tanke på försvarsförvaltningens
ansvar är att tillgången till nätresurser
säkerställs i synnerhet vid undantagsförhållanden
enligt 3 § 1 och 2 punkten (väpnat angrepp och
hot om väpnat angrepp) i beredskapslagen och vid försvarstillstånd.
Det är enligt försvarsutskottets mening viktigt
att försvarets rätt att besluta om prioritet,
skyndsamhet och andra viktighetsklassificeringar under försvarstillstånd
fortsatt regleras i bestämmelsen.
Sakkunniga tog ställning till viktighetsklassificeringen
också ur ett annat perspektiv. I ett läge där
alla ministerier har sin datakommunikation i samma nät
som andra säkerhetsaktörer kommer statsledningens
kommunikation i ett försvarstillstånd att kontrolleras
av försvarsmakten, som då beslutar om hur kommunikationen ska
prioriteras. I så fall föreligger det en risk
för att utgångspunkten för datatrafikens
viktighetsklassificeringar inte är den mest ändamålsenliga ur
statsledningens synpunkt. Att göra statsrådets
stamnät till en del av säkerhetsnätet
skulle göra statsledningen underordnad i förhållande till
försvarsmakten och dessutom försätta
den i ett utsatt läge för samma attacker som försvarsmaktens
datakommunikation, som är ett militärt objekt.
Statsrådets autonomi i ett försvarstillstånd
kan garanteras genom att statsrådets nät finns
i anslutning till säkerhetsnätet utan att för den
skull ingå i nätet, har sakkunniga framfört.
Förvaltningsutskottet noterar att delegationen för
säkerhetsnätets verksamhet enligt lagförslaget
ska fungera som finansministeriets stöd vid den strategiska
styrningen. Delegationen deltar bl.a. i arbetet med att ta fram
principer och praxis för prioritetsklassificeringen när
det gäller användning av säkerhetnätet.
I delegationen finns företrädare för
alla centrala styrande aktörer och användargrupper
i fråga om säkerhetsnätet.
Utskottet poängterar att det är viktigt att
i senare förordningar av statsrådet och i den
praktiska styrningen av säkerhetsnätet, särskilt
genom delegationen för säkerhetsnätets
verksamhet, närmare ange de principer utifrån
vilka prioritetsklassificeringen av produktionen och användningen
av tjänsterna i säkerhetsnätet kan göras
i olika situationer så att det finns en balans mellan de
olika nätanvändarnas behov utifrån vad
den då aktuella situationen kräver. Enligt inkommen
utredning är det möjligt att genom tekniska och
funktionsrelaterade lösningar uppnå tillräcklig
beredskap inom säkerhetnätet bl.a. genom kontroll över
kapaciteten och prioritetsklassificeringen i fråga om kapacitetsutnyttjandet.
Vid prioritering och viktighetsklassificering under exceptionella
samhällsförhållanden måste det
gå att stödja sig på de bestämmelser
i lagen om försvarstillstånd och beredskapslagen
som också annars är tillämpliga under
sådana förhållanden. Utskottet understryker
att det hör till försvarsmaktens centrala uppgifter
att se till att statsledningen har handlingsfrihet, och därför ser
utskottet ingen konflikt mellan att både försvarets
och statsledningens verksamhetsförutsättningar
tryggas under ett försvarstillstånd.
Styrning och tillsyn
I det föreslagna 3 kap. finns bestämmelser
om styrning och tillsyn av säkerhetsnätet. Där
delas styr- och tillsynsuppgifterna upp mellan statsrådet
kansli och finansministeriet. Kansliet ansvarar för ägarstyrningen
av det bolag som tillhandahåller nät- och infrastrukturtjänsterna
och finansministeriet för den allmänna administrativa,
strategiska och ekonomiska styrningen av verksamheten i säkerhetsnätet
och för styrningen av den informations- och kommunikationstekniska
beredskapen och säkerheten. Dessutom tillsätter
statsrådet en delegation för säkerhetsnätets
verksamhet som ska stödja finansministeriet i den strategiska
styrningen.
Under sakkunnigutfrågningen påpekades det för
förvaltningsutskottet bl.a. att den föreslagna styrningsmodellen
var oändamålsenlig och oklar. I det sammanhanget
lyftes särskilt förhållandet mellan styrning
enligt aktiebolagslagen () och
annan styrning av verksamheten i säkerhetsnätet
fram ur den synvinkeln att en sådan tjänsteproducent
i säkerhetsnätet som bedriver verksamhet i aktiebolagsform
inte kan styras tillräckligt kraftigt i förhållande
till vilken särskild betydelse verksamheten har för
samhällsfunktionerna.
Försvarsutskottet säger i sitt utlåtande
att styrmodellen och anvisningarna för säkerhetsnätets
verksamhet ska vara så pass tydliga att inga oklarheter
kvarstår i fråga om styr- och ledningsförhållandena
i olika situationer. Också enligt sakkunnigyttrandena till
förvaltningsutskottet behövs det en tydlig styrmodell
och adekvat styrning av olika aktörer.
Grundlagsutskottet erfar att den lagbaserade styr- och tillsynsmodellen
tjänsteproduktionen också gäller på operativ
nivå. Det utskottet anser emellertid att bestämmelserna
inte avspeglar detta synsätt tillräckligt tydligt.
Därför är det enligt grundlagsutskottet
viktigt att bestämmelserna preciseras i det avseendet att
man uttryckligen föreskriver att en viss myndighet ansvarar för
tillsyn och styrning när det gäller det bolag som
producerar nät- och infrastrukturtjänster i säkerhetsnätet.
Dessutom måste bestämmelserna tydligt ange hurdana
tillsynsmetoder myndigheterna får använda. Sammanfattningsvis
bör förvaltningsutskottet, med beaktande av verksamhetens
natur, försäkra sig om att den modell för
tillsyn och styrning som ingår i regleringen faktiskt och
tydligt säkerställer en tillräcklig tillsyn
och styrning av tjänsteproducenten. Dessutom bör
det sörjas för att verksamheten är effektiv
och ledningen konsekvent i alla konkreta situationer, särskilt
i undantagsförhållanden.
Förvaltningsutskottet föreslår nedan
i detaljmotiven väsentliga förbättringar
i bestämmelserna om styrning och tillsyn utifrån
grundlagsutskottets utlåtande, försvarsutskottets
utlåtande och sakkunnigyttrandena. En effektiv styrmodell
kräver enhetlighet i den strategiska och ekonomiska styrningen
och även annan styrning över lag. Syftet med den
föreslagna lagstiftningen är att säkerhetsnätet
och dess tjänster ska ligga inom ramen för en
enhetlig och funktionssäker infrastruktur och enhetlig
styrmodell.
Kostnaderna för säkerhetsnätet och
användaravgifter
Under sakkunnigutfrågningen framfördes synpunkter
om de extrakostnader som olika förvaltningsområden
och kommunala aktörer orsakas av säkerhetsnätet.
En extra utmaning i dagens läge utgörs av förvaltningsområdenas
sparbeting. Det har bl.a. framförts att de betydande investeringar
som gjorts för hög beredskap och säkerhet
i säkerhetsnätet också kräver
allt större satsningar på att upprätthålla
och kontinuerligt utveckla nätet. Detta medför
ytterligare it-kostnader för nätanvändarna.
Sakkunniga har ansett det viktigt att de ökade IKT-utgifterna
när säkerhetsnätet börjar användas
kompenseras med särskild tilläggsfinansiering.
I propositionen beskrivs det när verksamheten i säkerhetsnätet
inleds blir möjligt att ha större interoperabilitet
mellan IKT-tjänsterna och ett mer kostnadseffektivt produktionssätt än med
dagens splittrade produktionsmodell. En centraliserad upphandling
och ett centraliserat tillhandahållande av informations-
och kommunikationstekniska tjänster ger möjlighet
till kostnadsbesparingar som täcker en del av de extra kostnader
som orsakas av den höjda säkerhets- och beredskapsnivån.
Samtidigt förutsätter den höjda säkerhets-
och beredskapsnivå som det utvidgade nätet kräver
av nya användare investeringar som också efter
det att verksamheten effektiviserats ökar förvaltningsområdenas
it-utgifter. Behovet av mer resurser beror på kostnader
för att införa och upprätthålla
nätet, tilläggsresurser som behövs för
att syra verksamheten, pensionsskydd för de personer som överförs
vid överlåtelse av rörelse och utvidgning
av tjänsterna till nya användargrupper. I planen
för de offentliga finanserna 2015—2018 reserveras
43,1 miljoner euro i tilläggsanslag för verksamheten
i säkerhetsnätet.
Trots att verksamheten medför merkostnader kommer den
enligt regeringen att ge en högre beredskaps- och säkerhetsnivå bl.a.
mot hot och risker som gäller cybersäkerheten.
Enligt propositionen kan myndigheterna i alla lägen lita
och förlita sig på de funktionssäkra
strukturerna och tjänsterna i säkerhetsnätet.
Vidare säger regeringen att det återstår
att i budget- och ramprocesserna bedöma om anslagen behöver ökas
och i vilken omfattning samt om eventuella tillägg ska
finansieras genom omfördelningar. Dessutom kommer det att
göras en ny, särskild granskning av om verksamheten
har kunnat effektiviseras och överlappande verksamheter
har kunnat slopas bättre än planerat. I statsbudgeten
för 2015 föreslås sammanlagt 12,1 miljoner
euro i ytterligare finansiering för verksamheten i säkerhetsnätet
under inrikesministeriets och försvarsministeriets förvaltningsområden.
Ett anslag på 2,5 miljoner euro föreslås
i budgeten under investeringsmomentet för Statens center
för informations- och kommunikationsteknik Valtori för
de informations- och kommunikationstekniska tjänsterna
i säkerhetsnätet. I planen för de offentliga
finanserna för 2015—2018 är motsvarande
investeringsreservation sammanlagt 10 miljoner euro.
När säkerhetsnätsprojektet planerades
2007 uppskattades budgeten för projektet till 340 miljoner
euro och tiden för projektgenomförandet till åtta år. Åren
2008—2013 investerades omkring 200 miljoner euro i säkerhetsnätet
och tillhörande tjänster inom projektet och dess
planeringsetapp. Dessutom har försvarsmakten under de senaste
20 åren investerat ca 150 miljoner euro i nätstrukturerna
för försvarsmaktens kommunikationsnät,
som utgör basen för säkerhetsnätet.
Kostnaderna beräknas uppgå till ca 100 miljoner
om året när verksamheten enligt den föreslagna
lagstiftningen startar. Enligt kalkylerna kommer det att inom inrikesförvaltningen,
försvarsförvaltningen
och statsrådet i övrigt finnas omkring 30 000
användare som berörs av tjänsteproduktionen.
De ekonomiska verkningarna av säkerhetsnätsprojektet
beskrivs närmare i propositionen. Enligt planerna ska den
samlade finansieringsmodellen för säkerhetsnätet grunda
sig på användaravgifter som tas ut av kunderna — de
användande myndigheterna enligt lagen — i enlighet
med de tjänster som de beställt. Avgifterna innefattar
kostnaderna för att upprätthålla och
utveckla höjd aktionsberedskap, annan beredskap och säkerhet.
Sammanfattningsvis konstaterar utskottet i fråga om
de ekonomiska konsekvenserna att säkerhetsnätet
med avseende på myndigheternas verksamhet och ekonomi går
ut på att rationalisera verksamheten. Det är meningen
att en centraliserad upphandling och ett centraliserat tillhandahållande
av IKT-tjänster ska ge upphov till kostnadsbesparingar
som täcker en del av de extra kostnader som orsakas av
den eftersträvade höjda säkerhets- och
beredskapsnivån. I detta sammanhang pekar utskottet mer
allmänt på den senaste tidens svårigheter
i anknytning till statens IKT-projekt (exempelvis inrikesministeriets
Vitja-projekt), såsom oförutsedda extrakostnader,
försenade projekt och brister i funktionerna i förhållande
till förväntningarna.
Allmänna förvaltningslagar och tjänsteansvar
I sin tolkningspraxis har grundlagsutskottet ansett att det
för att rättssäkerheten och kravet på god
förvaltning ska anses vara uppfyllda i den bemärkelse
som avses i 124 § i grundlagen krävs att ärendena
behandlas i enlighet med de allmänna förvaltningslagarna
och att de som behandlar ärendena handlar under tjänsteansvar.
I sitt utlåtande konstaterar grundlagsutskottet att de
allmänna förvaltningslagarna, också utan
särskild hänvisning, med stöd av bestämmelserna
om tillämpningsområde, myndighetsdefinition och skyldigheten
att betjäna på ett visst språk tillämpas
också på privata aktörer när
de fullgör offentliga förvaltningsuppgifter.
Bestämmelser om offentlighet och sekretess finns i
den föreslagna 21 §. De bör vara ändamålsenliga
med avseende på regleringsobjektet. Det som däremot
enligt utlåtandet är problematiskt är
att de anställda med arbetsavtal hos det bolag som producerar
nät- och infrastrukturtjänster i säkerhetsnätet
eller de anställda hos den eventuella underleverantören
inte har något straffrättsligt tjänsteansvar
till den del uppgifterna inte inbegriper utövande av offentlig
makt på det sätt som avses i 40 kap. 11 § i
strafflagen. Grundlagsutskottet anser att regleringen till denna
del måste kompletteras med bestämmelser om att
bestämmelserna om straffrättsligt tjänsteansvar
ska tillämpas på anställda hos bolaget eller
underleverantören när de utför uppgifter som
avses i lagen om verksamheten i den offentliga förvaltningens
säkerhetsnät. Det är en förutsättning
för att behandla lagförslaget i vanlig lagstiftningsordning.
Säkerhetsutredningar
Enligt 22 § i lagförslag 1 ska den personal
som sköter uppgifter i säkerhetsnätet
ha sådan pålitlighet som uppgifterna förutsätter
och som vid behov kan utredas i enlighet med vad som särskilt
bestäms eller föreskrivs om detta. Enligt propositionsmotiven
betyder detta i praktiken att personalens pålitlighet kan
utredas t.ex. enligt lagen om säkerhetsutredningar, om
de förutsättningar för en utredning som
anges i den lagen är uppfyllda. I de fall där
lagen om säkerhetsutredningar inte är tillämplig,
kan utredningen enligt motiveringen göras exempelvis enligt
vad finansministeriet bestämmer och enligt villkor och
principer som har behandlats i den delegation som avses i den föreslagna
17 §.
Grundlagsutskottet har i sin praxis uppskattat att säkerhetsutredningar är
ett ingrepp i skyddet för privatliv och personuppgifter,
som garanteras i 10 § i grundlagen. I grundlagens 10 § 1 mom.
tryggas skyddet för privatlivet och det förutsätts
att närmare bestämmelser om skydd för personuppgifter
utfärdas genom lag. Det framgår av grundlagsutskottets
utlåtande att grundlagens hänvisning till bestämmelser
i lag om skyddet för personuppgifter kräver att
lagstiftaren utfärdar sådana bestämmelser,
men samtidigt får lagstiftaren själv överväga
detaljerna i regleringen. Detta övervägande begränsas
emellertid av att skyddet för personuppgifter ingår
i skyddet för privatlivet i samma moment.
Grundlagsutskottet anser det vara självklart att uppgifter
som omfattas av skyddet för privatlivet enligt grundlagen
måste skaffas om man vill utreda hur pålitlig
en person är som utför uppgifter i säkerhetsnätet.
Med andra ord finns det skäl för de föreslagna
bestämmelserna som är godtagbara med avseende
på de grundläggande fri- och rättigheterna.
Det som är problematiskt är att ordalydelsen i
bestämmelsen och de tillhörande motiven utgår
från att utredningen av pålitligheten kan bygga
också på reglering på lägre
nivå än lag eller till och med på vad
finansministeriet bestämmer. Detta står i strid
med kravet på reglering på lagnivå i
10 § i grundlagen. Därför måste
den föreslagna 22 § ändras så att
det framgår att bestämmelser om en sådan
utredning ska finnas i lag för att lagförslag
1 ska kunna behandlas i vanlig lagstiftningsordning.
Förvaltningsutskottet anser att man måste vara
extra noggrann när det gäller personalsäkerheten
i fråga om dem som arbetar med uppgifter enligt lagen om
säkerhetsnätet. Bakgrund, pålitlighet
och oförvitlighet måste noga utredas för dem
som ska ha sådana uppgifter. Utskottet föreslår ändringar
och hänvisar i fråga om dem till detaljmotiven.
Verksamhetsstart och överlåtelse av rörelse
Verksamhetsstarten i säkerhetsnätet är
särskilt kopplad till en överföring av
funktionerna i försvarsmaktens datakommunikationsnät
till det helt statsägda aktiebolaget Suomen Erillisverkot
Oy. Ett dotterbolag, Suomen Turvallisuusverkko Oy, har bildats inom
Suomen Erillisverkot-koncernen för att producera nättjänster
i säkerhetsnätet och underhålla och administrera
säkerhetsnätets utrustningsutrymmen och utrustning.
Det är meningen att överföringen av de
funktioner som följer av lagen och de som ska utföra
dessa uppgifter ska ske i form av överlåtelse
av rörelse. På det sättet går
det att sörja för kontinuiteten i den nuvarande
verksamheten och de överförda personernas anställningsförhållanden.
Avsikten är att försvarsmakten med stöd
av den föreslagna lagen om säkerhetsnätet överlåter
den informationsnätsverksamhet som är i dess användning
och besittning inklusive utrustning, utrymmen och personal till
det bolag som tillhandahåller nät- och infrastrukturtjänster
i säkerhetsnätet. Enligt planerna ska försvarsmakten
till den nya tjänsteproducenten överföra
sitt stamnät och det regionnät som hör
nära samman med stamnätet samt de delar av kommunikationsnätet
som innefattas i dessa inklusive utrustningsutrymmen, utrustning
och annan infrastruktur som omedelbart hör samman med dessa nät.
På detta sätt är det meningen att möjliggöra att
detta kommunikationsnät samanvänds med andra centrala
säkerhetsmyndigheter.
Överlåtelsen innebär att staten överlåter
försvarsmaktens nätverksamhet till det helt statsägda
Suomen Erillisverkot Oy. Följden är att omkring
150 berörda personer inom försvarsmakten överförs
till koncernen. Största delen av personalen blir anställda
hos koncernföretaget Suomen Turvallisuusverkko Oy, som
bildats för säkerhetsnätsverksamhet.
Beslutet om överlåtelse av rörelse
och tidsplanen fattas av statsrådet efter det att den föreslagna
lagen har blivit stadfäst. Enligt uppgift är det meningen
att i tidsplanen beakta att förutsättningarna
för överlåtelsen är uppfyllda
och att säkerhetsnätsverksamhetens driftsäkerhet
kan garanteras. Försvarsutskottet understryker i sitt utlåtande
att överlåtelsen från försvaret
till Suomen Erillisverkot Oy inte ska genomföras förrän försvaret
och nätbolaget nått en samsyn och är säkra
på att säkerhetsåtgärderna är
tillräckliga och att den operativa verksamheten inte äventyras
när rörelsen överlåts.
Överlåtelsen gäller de produktionsfaktorer som
företagskoncernen behöver för att producera
nät- och infrastrukturtjänster. Den går
till så att statsrådet bestämmer värdet
på det som ska överlåtas, varefter verkställigheten
av överlåtelsen enigt inkommen utredning kommer
att delegeras till de berörda förvaltningarna,
dvs. försvarsförvaltningen och inrikesförvaltningen. Dessa
ska sedan upprätta överlåtelsehandlingarna
till Suomen Erillisverkot Oy, som i sin tur överlåter
största delen av sin egendom till dotterbolaget Suomen
Turvallisuusverkko Oy. Därefter tas egendomen upp i koncernens
balansräkning, och staten får som apport aktier
i Suomen Erillisverkot motsvarande värdet på den
egendom som överlåts. Detta är enligt
uppgift orsaken till att egendomen först överlåts
till moderkoncernen. Dotterbolaget Suomen Turvallisuusverkko ska
enligt planerna producera säkerhetsnätets nät-
och infrastrukturtjänster, dvs. vara nätoperatör.
Enligt en övergångsbestämmelse i
den föreslagna lagen får försvarsmakten,
Förvaltningens IT-central (Haltik) och Statens IT-servicecentral
vid Statskontoret tillhandahålla tjänster i säkerhetsnätet
högst till och med den 31 december 2014. Syftet är
att sörja för säkerhetsnätets
driftsäkerhet och servicekapacitet under ett övergångsskede.
Enligt inkommen utredning finns det tillräcklig beredskap
och tillräckliga förutsättningar för
att starta verksamhetsmodellen i den föreslagna lagen.
Försvarsförvaltningen och inrikesministeriet har
utifrån tillgängliga uppgifter i praktiken redan
kopplats till säkerhetsnätet, och Suomen Turvallisuusverkko
har organiserat och förberett sig för produktionsstart
och mottagande av affärsverksamheten. Bestämmelserna
måste emellertid preciseras något eftersom statens
IT-servicecentral inte längre finns: Centralen och dess
uppgifter är nämligen numera en del av Valtori.
Dessutom behöver övergångsperioden förlängas
i vissa avseenden eftersom lagens ikraftträdande skjutits
upp från vad som ursprungligen planerades.
Personalens ställning
Enligt sakkunniga måste de olösta frågorna
om de anställdas ställning lösas innan
lagen träder i kraft.
Enligt den föreslagna 30 § tillämpas
i fråga om ordnandet av personalens ställning
bestämmelserna om överlåtelse av rörelse
i arbetsavtalslagen () och i
statstjänstemannalagen ().
Syftet med bestämmelserna är att undanröja
behovet av särskilda förhandlingar vid statlig
bolagisering och att reglera personalens ställning vid överlåtelse
av rörelse. Förvaltningsutskottet understryker
vikten av god personalpolitik och ledning, i synnerhet i förändringsprocesser.
De anställda som på grundval av lagen om säkerhetsnätet
kommer att övergå i tjänst hos det aktiebolag
som avses i 6 § kommer inte längre att omfattas
av statens pensionslagstiftning, utan av arbetspensionssystemet
för den privata sektorn. De pensioner som de personer som överförs
intjänat fram till tidpunkten för överlåtelsen kommer
enligt inkommen utredning att tryggas genom tilläggspensionsförsäkringar
som bolaget tecknar på ett sådant sätt
att de intjänade pensionerna som är större
på grund av de pensionsbestämmelser som iakttas
hos staten tryggas till fullt belopp liksom även en lägre
avgångsålder från 60 år. I statsbudgeten
för 2014 beviljas ett treårigt reservationsanslag
på 5 miljoner euro i ersättning till det bolag
som avses i 6 § och som förvärvar rörelsen
för de kostnader som föranleds av tilläggspensionsförsäkringarna.
Utskottet poängterar att också förtroendemännens
verksamhet, samarbetsverksamheten och arbetarskyddssamarbetet måste
ordnas på tillbörligt sätt inom koncernen
Suomen Erillisverkot i syfte att behörigen trygga personalens ställning
när lagstiftningen om säkerhetsnätet införs.
Ålands särställning
Enligt propositionsmotiven om lagstiftningsordningen kommer
lagen inte att tillämpas i landskapet Åland till
den del som lagstiftningsbehörigheten i ärendet
hör till landskapet enligt självstyrelselagen
för Åland ().
Grundlagsutskottet påpekar att särskilda bestämmelser om
detta måste utfärdas på grundval av en grundlig
beredning, om landskapets säkerhetsmyndigheter ska ges
möjlighet att använda säkerhetsnätet.
Uppföljning
Förvaltningsutskottet understryker att hela planen
med säkerhetsnätet är att producera och
upprätthålla samhälleligt kritisk infrastruktur
som direkt stöder statens kärnfunktioner. Det
faktum att reformen gäller de centrala funktionerna för myndighetsverksamhetens,
statens, hela samhällets och individens säkerhet
kan inte nog framhävas. Satsningarna på reformgenomförandet måste
vara helhjärtade och självfallet måste
genomförandet följas noga. Som ett exempel vill utskottet
lyfta fram att reformen måste genomföras på ett
sätt som bl.a. medger att nödcentralssystemet
kan fortsätta att fungera störningsfritt också i
praktiken. Dessutom vill utskottet absolut kunna utvärdera
projektets genomförande utifrån erhållna
erfarenheter.
Utskottet föreslår därför
att riksdagen förutsätter att regeringen noga
följer och utvärderar genomförandet av
säkerhetsnätsreformen och att den före
utgången av 2016 års riksmöte lämnar förvaltningsutskottet
en sådan skriftlig och detaljerad utredning som avses i
47 § 2 mom. i grundlagen om reformgenomförandet
och anknytande frågor, inklusive det som framgår
av förvaltningsutskottets betänkande FvUB 35/2014
rd (Utskottets förslag till uttalande).
Sammanfattning
Under förvaltningsutskottets sakkunnigutfrågning
framfördes omfattande kritik mot det föreliggande
lagförslaget om säkerhetsnätet. Den bör
anses vara befogad. Till det som framför allt kritiserats
hör att tjänsterna i säkerhetsnätet,
i synnerhet nät- och infrastrukturtjänsterna,
utifrån lagförslaget enligt planerna ska produceras för
ett statsägt aktiebolag. Omfattande kritik riktades också mot
att IKT-tjänsterna och integrationstjänsterna
ska produceras av Valtori, ett servicecenter för branschoberoende
IKT-tjänster. Dessutom kan det stora antalet oklara begrepp
i lagförslaget anses vara problematiskt eftersom begreppen
saknar entydiga definitioner. Också i övrigt innehåller
propositionen vaga bestämmelser. Exempelvis finns där
bestämmelser om olika tjänsteproducenter ("tillhandahållare av
tjänster") där den föreslagna
producenten väljs i efterhand genom administrativa förfaranden
och kan vara antingen en myndighet eller en enskild aktör.
Grundlagsutskottet framför i sitt utlåtande flera
konstitutionella anmärkningar som gäller lagstiftningsordningen.
I försvarsutskottets utlåtande finns å sin
sida flera ställningstaganden som gäller stiftandet
och verkställigheten av lagen.
Förvaltningsutskottet föreslår i
detta betänkande många förbättringar
med anledning av den befogade kritiken. Sammantaget finner utskottet att
lagförslag 1 behövs och fyller sitt syfte när det
har ändrats i enlighet med utskottets förslag. Utskottet
tillstyrker lagförslag 1, men med de ändringar
och ståndpunkter som framgår av betänkandet.
Eftersom kommunikationsmarknadslagen har upphävts föreslår
utskottet att lagförslag 2 avvisas.
Dessutom vill utskottet framhålla att denna lagstiftning
utgör rättsgrund för verksamheten i säkerhetsnätet.
Men samtidigt beror det på verkställigheten hur
väl verksamheten lyckas och i vilken utsträckning
målen nås.
Förvaltningsutskottet anser att lagen om verksamheten
i den offentliga förvaltningens säkerhetsnät
ska träda i kraft den 1 januari 2015.
Detaljmotivering
1. Lagen om verksamheten i den offentliga förvaltningens
säkerhetsnät
1 kap. Allmänna bestämmelser
1 §. Lagens syfte och tillämpningsområde.
I 1 § 2 mom. i den föreslagna lagen finns
en allmän definition av säkerhetsnät,
enligt vilken säkerhetsnätet är ett i
kommunikationsmarknadslagen avsett myndighetsnät i statens ägo
och besittning, som uppfyller kraven på hög beredskap och
hög säkerhet. Utskottet föreslår
att momentet ändras eftersom kommunikationsmarknadslagen
har upphävts och definitionen av myndighetsnät
i stället ingår i 250 § i en ny lag med
rubriken informationssamhällsbalk.
Vidare föreslår utskottet att 1 § 3
mom. i lagförslaget ska hänvisa till bestämmelserna
om myndighetsnät i informationssamhällsbalken
i stället för till motsvarande bestämmelser
i kommunikationsmarknadslagen.
Det framgår av motiveringen till proposition RP 150/2013
rd (förslag till lag om anordnande av statens gemensamma
informations- och kommunikationstekniska tjänster osv.)
att den nu föreslagna lagen om verksamheten i den offentliga förvaltningens
säkerhetsnät är avsedd att vara en speciallag
i relation till lagen om anordnande av statens gemensamma informations-
och kommunikationstekniska tjänster ().
I 1 § 2 mom. i lagen om anordnande av statens gemensamma
informations- och kommunikationstekniska tjänster anges
i sin tur att den lagen har företräde framför
lagen om styrning av informationsförvaltningen inom den
offentliga förvaltningen ().
Förvaltningsutskottet vill att regleringen ska vara överskådlig
och konsekvent och föreslår därför
ett nytt 1 § 4 mom. där det sägs att
lagen om säkerhetsnätet har företräde
framför de två andra lagarna (1226/2013
och 634/2011).
4 §. Annan användning av säkerhetsnätet.
Med anledning av det som ovan anfördes i detaljmotiven
till 1 § föreslår utskottet att uttrycket "...användaren
hör till en sådan användargrupp inom
myndighetsnätet som bestäms i enlighet med kommunikationsmarknadslagen..." i
4 § 1 mom. preciseras så att den hänvisar
till informationssamhällsbalken i stället för
till kommunikationsmarknadslagen.
Enligt det föreslagna 4 § 2 mom. får
det helt statsägda aktiebolaget Suomen Erillisverkot Oy och
ett dotterbolag till det, som tillhandahåller tjänster
inom myndighetsradionätets verksamhet, använda
säkerhetsnätet för skötseln
av sina uppgifter i anslutning till myndighetsradionätets
verksamhet.
Enligt inkommen utredning har det skett en omstrukturering inom
koncernen efter det att propositionen utarbetades. Numera är
det dotterbolagen Virve Tuotteet ja Palvelut Oy och det nyare Suomen
Virveverkko Oy som ansvarar för myndighetsradionätet.
Utskottet föreslår därför att
4 § 2 mom. ska uttryckas i plural, dvs. "de dotterbolag
som producerar tjänster".
2 kap. Tjänsteproduktionen i säkerhetsnätet
6 §. Tillhandahållare av nät- och
infrastrukturtjänster.
Av 6 § 1 mom. framgår att aktiebolaget Suomen
Erillisverkot Oy, som helt och hållet ägs av staten, är
tillhandahållare av nät- och infrastrukturtjänster
i säkerhetsnätet.
I den allmänna motiveringen har nät- och infrastrukturtjänster
och tillhandahållare behandlats ingående. Utskottet
vill i detta sammanhang ytterligare understryka att ordalydelsen
i den föreslagna lagen inte tillåter att ens en
del av det statsägda bolaget Suomen Erillisverkot Oy säljs. Utskottet
menar att en sådan bestämmelse är nödvändig
när det gäller säkerhetsnät.
Bolagets ställning som ett aktiebolag som helt och hållet ägs
av staten får under inga omständigheter ifrågasättas
till exempel genom regeringens programförklaringar eller
till följd av politiska förhållanden
eller budgetlösningar.
Enligt 6 § 3 mom. kan tillhandahållaren av nät-
och infrastrukturtjänster i säkerhetsnätet också vara
ett dotterbolag som Suomen Erillisverkot Oy separat bildat för
detta ändamål. Dotterbolaget får inte
ha andra uppgifter eller funktioner och det får inte ha
som syfte att uppnå företagsekonomisk vinst. Utskottet
poängterar att den föreslagna lagen till denna
del säkerställer att också Suomen Turvallisuusverkko
Oy, som bildats för produktionen av nät- och infrastrukturtjänster,
kvarstår i ett av staten helägt bolags ägo.
7 §. Uppgifterna för den som tillhandahåller nät-
och infrastrukturtjänster.
Grundlagsutskottet anser i sitt utlåtande att det är
viktigt att komplettera regleringen om underleverantörer
bl.a. med bestämmelser som inskränker möjligheten att
lägga ut verksamhet till det absolut nödvändiga
och bestämmer villkoren för att använda underleverantörer.
Ser man till bestämmelserna ter det sig nämligen
enligt utskottet i princip som om obegränsad användning
av underleverantörer är möjlig.
I 7 § 2 mom. finns bestämmelser om de möjligheter
som tillhandahållaren av nät- och infrastrukturtjänster,
dvs. i praktiken Suomen Turvallisuusverkko Oy, har att anlita underleverantörer
för sina uppgifter enligt 1 mom. Utskottet föreslår
generella bestämmelser om underleverantörer för
de olika tjänsteproducenterna i 13 §. Därmed
kan de tre första meningarna i 7 § 2 mom. utgå.
Efter ändringen kommer 7 § 2 mom. att innehålla
en bestämmelse enligt vilken tillhandahållaren
av nät- och infrastrukturtjänster får
anlita försvarsmakten som underleverantör för
att bygga och upprätthålla ett undervattenskabelnät
för säkerhetsnätet samt Försvarsförvaltningens byggverk
för att bygga, låta bygga och upprätthålla
utrustningsutrymmen för säkerhetsnätet.
Enligt 3 mom. får tillhandahållaren av nät- och
infrastrukturtjänster i säkerhetsnätet
avtala om anskaffning och överlåtelse av användarrätter
till säkerhetsnätets fiberkapacitet och till antennplatser
och platser för säkerhetsnätsutrustning.
Enligt propositionsmotiven får användarrätterna
hyras eller bytas med teleföretag som är verksamma
i Finland i den omfattning som behövs för att
tillhandahållaren av nät- och infrastrukturtjänster
ska kunna fullgöra sina uppgifter enligt 1 mom. Utskottet
föreslår att 3 mom. kompletteras med en möjlighet
att anskaffa och överlåta användarrätter
också till säkerhetsnätets överföringsförbindelser.
Detta föreslås till följd av vad som
framkommit efter det att propositionen utarbetades i samband med
granskningen av den egendom som enligt planerna ska överföras
till det statsägda bolaget.
8 §. Tillhandahållare av informations- och
kommunikationstekniska tjänster.
Uppgiften som tillhandahållare (producent) av informations- och
kommunikationstekniska tjänster i säkerhetsnätet
ska enligt 8 § 1 mom. skötas av en myndighet inom
den offentliga förvaltningen eller en aktör inom
den IKT-branschen som utsetts för denna uppgift. Förvaltningsutskottet
föreslår med anledning av grundlagsutskottets
utlåtande att omnämnandet av en annan aktör
inom den informations- och kommunikationstekniska branschen än
en myndighet som eventuell tjänsteproducent utgår.
Därmed kan lagförslaget i detta avseende behandlas
i vanlig lagstiftningsordning.
Vidare föreslår utskottet med hänvisning
till den allmänna motiveringen att det servicecenter som
avses i 5 § 1 mom. i lagen om anordnande av statens gemensamma
informations- och kommunikationstekniska tjänster ska utses
till den myndighet som enligt 8 § 1 mom. tillhandahåller
informations- och kommunikationstekniska tjänster. Med
andra ord kommer de tjänsterna att produceras av Statens
center för informations- och kommunikationsteknik Valtori.
Det är ett servicecenter som inledde sin verksamhet i början
av mars 2014 och som producerar statens icke branschspecifika IKT-tjänster.
En följd av detta är att sista meningen i
1 mom. utgår. Där står att statsrådet
efter föredragning från finansministeriet fattar
beslut om vem som ska tillhandahålla informations- och kommunikationstekniska
tjänster i säkerhetsnätet och om överföringen
av statens rättigheter och skyldigheter i anslutning till
verksamheten.
Också första meningen i 2 mom. ska enligt
utskottets förslag utgå. Dess innebörd är
att syftet med tjänsteproducentens verksamhet inte får vara
att uppnå företagsekonomisk vinst. Den meningen
behövs inte eftersom ett privat företag efter
den ändring som utskottet föreslår inte längre
kan vara tjänsteproducent.
Utskottet vill poängtera vikten av det ändrade 8 § 2
mom. Bestämmelsen innebär att tjänsteproducenten
måste avskilja sin verksamhet enligt lagen om säkerhetsnätet
från sin övriga verksamhet i administrativt, funktionellt
och ekonomiskt hänseende. Utskottet anser att det bör
finnas en separat enhet för säkerhetsnätsverksamheten.
9 §. Uppgifterna för den som tillhandahåller
informations- och kommunikationstekniska tjänster.
Det föreslagna 2 mom. föreskriver om de möjligheter
som tillhandahållaren av informations- och kommunikationstekniska
(IKT) tjänster har att anlita underleverantörer
för sina uppgifter enligt 1 mom. Momentet motsvarar de
tre första meningarna i 7 § 2 mom.
Utskottet hänvisar till sin detaljmotivering om 7 § och
föreslår att 9 § 2 mom. om underleverantörer
ska utgå. Det innebär att 9 § 3 mom. blir
9 § 2 mom. Bestämmelser om underleverantörer
tas enligt utskottets förslag in i 13 §.
10 §. Tillhandahållare av integrationstjänster.
Enligt 10 § 1 mom. sköts uppgiften som tillhandahållare
(producent) av integrationstjänster i säkerhetsnätet
av en myndighet inom den offentliga förvaltningen eller
en aktör inom den informations- och kommunikationstekniska
branschen som särskilt utsetts för denna uppgift. Statsrådet
beslutar om vem som ska producera integrationstjänsterna.
Förvaltningsutskottet hänvisar till vad den
anför om 8 § 1 mom. och till grundlagsutskottets utlåtande
och föreslår således också i
10 § 1 mom. att omnämnandet av en aktör
inom IKT-branschen, dvs. ett privat företag, som eventuell tjänsteproducent
utgår.
Vidare föreslår utskottet liksom i fråga
om 8 § 1 mom. att Statens center för informations-
och kommunikationsteknik Valtori också ska producera integrationstjänsterna
och att momentet justeras lagtekniskt i enlighet med detta.
Utskottet vill att regleringen ska vara konsekvent och föreslår
därför att 10 § 3 mom. ska preciseras
i överensstämmelse med det ändrade 8 § 2
mom. Det innebär att den som producerar integrationstjänsterna
måste avskilja sin verksamhet enligt lagen om säkerhetsnätet
från sin övriga verksamhet i administrativt, funktionellt och
ekonomiskt hänseende. Utöver att integrera tjänsterna
i säkerhetsnätet ska den som tillhandahåller
integrationstjänster samordna tjänsterna i säkerhetsnätet
med användarnas branschspecifika tjänster och
andra branschoberoende Tori-tjänster. Det är därför
inte motiverat att kravet att avskilja verksamheten är
lika strängt för tillhandahållare av
integrationstjänster som för andra tillhandahållare
av tjänster i säkerhetsnätet.
11 §. Uppgifterna för den som tillhandahåller integrationstjänster.
Det föreslagna 11 § 2 mom. gäller
villkoren för att den som tillhandahåller integrationstjänsterna
ska få anlita underleverantörer för sina
uppgifter enligt 1 mom. Förslaget motsvarar formuleringen
i de tre första meningarna i 7 § 2 mom.
Utskottet föreslår på samma sätt
som i fråga om 9 § 2 mom. och med hänvisning även
här till detaljmotiven för 7 § att 11 § 2
mom. ska utgå. Därmed blir de föreslagna
11 § 3 och 4 mom. i stället 2 och 3 mom. Bestämmelser
om underleverantörer finns i 13 §.
12 §. Beredskapsskyldighet.
Den föreslagna 12 § gäller
ett företags eller en sammanslutnings skyldighet att ha
beredskap för att se till att dess verksamhet fortsätter
så störningsfritt som möjligt vid störningar
under normala förhållanden samt under undantagsförhållanden.
Utskottet föreslår ovan i fråga om 8
och 10 § att endast en myndighet kan vara tjänsteproducent.
Därför bör hänvisningen till
9 och 11 § i 1 mom. utgå och formuleringen preciseras
genom hänvisning till den tillhandahållare av
tjänster som avses i 6 § i stället
för i 7 §. Utskottet fäster i detta sammanhang
dessutom uppmärksamhet vid att den föreslagna
beredskapsskyldigheten motsvarar den skyldighet att vidta förberedelser
som avses i till exempel beredskapslagen.
13 §. Underleverantörer.
Grundlagsutskottet är kritiskt mot propositionens bestämmelser
om underleverantörer. Det är viktigt att komplettera regleringen
med bestämmelser som inskränker möjligheten
att lägga ut verksamhet till det absolut nödvändiga
och bestämmer villkoren för att använda
underleverantörer, menar grundlagsutskottet. Dessutom måste
myndigheternas styr- och tillsynsbehörighet i lag i tillräcklig
omfattning utsträckas också till underleverantörens verksamhet.
Utifrån grundlagsutskottets utlåtande föreslår
förvaltningsutskottet att bestämmelserna om underleverantörer
för de olika tjänsteproducenterna i de tre första
meningarna i 7 § 2 mom. samt 9 § 2 mom. och 11 § 2
mom. samlas i 13 §. Paragrafen får då också en
ny rubrik, "Underleverantörer", i stället
för "Prioritetsklassificering i fråga
om produktion av tjänster och användningen av
säkerhetsnätet". I ändrad form
gäller paragrafen villkoren för att de olika tjänsteproducenterna,
dvs. tillhandahållaren av nät- och infrastrukturtjänster,
IKT-tjänster respektive integrationstjänster,
ska få anlita underleverantörer för sina
uppgifter.
Förvaltningsutskottet anser att en väsentlig faktor
när det gäller att bestämma vad underentreprenaden
får omfatta är att den egentliga tjänsteproducenten
under alla omständigheter administrerar, styr och övervakar
tjänsteproduktionen. Underleverantörer ska alltid
anlitas bara i nödvändig utsträckning.
Dessutom är det väsentligt att underleverantörerna
inte medför någon säkerhetsrisk eller
risk för driftsäkerheten, vilket är väsentligt
att beakta när det ska bestämmas i vilken omfattning
och på vilka villkor underleverantörer ska anlitas.
Utskottet föreslår att bestämmelser om
detta införs i 13 § 1 mom. Det är finansministeriet
som bestämmer omfattningen och villkoren, precis såsom
framgår av propositionen. De ändringar som utskottet
föreslår i 13 § innebär synnerligen
strikta gränser för anlitande av underleverantörer.
Dessutom finner utskottet att det i 13 § 2 mom. behövs
ur säkerhetsnätsverksamhetens synvinkel väsentliga
krav för vad man i avtalsväg ska säkerställa
i ett uppdragsavtal om underentreprenad. Till detta hör
i alla fall förfarandena för hantering av störningar
under normala förhållanden och av undantagssituationer.
I det ändrade momentet finns också ett precisering som
innebär att den som tillhandahåller tjänster ska
begära finansministeriets utlåtande i frågan innan
den inleder en upphandling. Med andra ord ska utlåtandet
begäras innan upphandlingsannonsen lämnats eller
anbudsförfrågan gjorts. I fråga om innebörden
av finansministeriets utlåtande hänvisar utskottet
till propositionsmotiven.
Utskottet föreslår att bestämmelserna
om villkor som gäller underleverantörer i tillämpliga delar
i 13 § 3 mom. ska preciseras med de kriterier enligt vilka
den upphandlande enheten med stöd av 56 § i lagen
om offentlig upphandling ()
och 50 § i lagen om offentlig försvars- och säkerhetsupphandling
() kan ställa krav
som gäller anbudssökandens och anbudsgivarens
lämplighet. Till dessa hör tillräckliga
finansiella och ekonomiska förutsättningar samt
teknisk prestationsförmåga och yrkesmässiga
kvalifikationer för att fullgöra underleverantörskontraktet.
Dessutom ska underleverantören uppfylla kraven på säkerhet,
aktionsberedskap, annan beredskap och kontinuitet.
Utskottet föreslår därför
i syfte att beakta grundlagsutskottets utlåtande, med undantag
för tillsynen över underleverantörerna
enligt 14 §, att 13 § om underleverantörer
ska få följande lydelse:
"Tillhandahållarna av tjänster
i säkerhetsnätet får i sitt uppdrag anlita
underleverantörer i den omfattning och på de villkor
som finansministeriet bestämmer med stöd av denna
lag. Underleverantörer ska anlitas bara i nödvändig
utsträckning. Också i övrigt får
underleverantörer anlitas endast i sådan utsträckning
att den som tillhandahåller tjänsten fortfarande
administrerar, styr och övervakar tjänsteproduktionen
och att säkerhetsnätets säkerhet och
tjänsteproduktionens kontinuitet inte äventyras.
Innan den som tillhandahåller tjänster
inleder en upphandling ska den begära finansministeriets
utlåtande i frågan. I synnerhet ska underleverantörens
uppdragsavtal säkerställa förfarandena
för hantering av störningar under normala förhållanden
och av undantagssituationer.
Tillhandahållaren ansvarar för underleverantörens
arbete enligt samma villkor som för sitt eget arbete. Underleverantören
ska ha tillräckliga finansiella och ekonomiska förutsättningar
samt teknisk prestationsförmåga och yrkesmässiga
kvalifikationer för att fullgöra kontraktet om
underentreprenad. Underleverantören ska uppfylla kraven
på säkerhet, aktionsberedskap, annan beredskap
och kontinuitet som gäller säkerhetsnätet."
Propositionsbestämmelserna om prioritetsklassificering
i fråga om tjänsteproduktion i och användningen
av säkerhetsnätet i 13 § föreslår utskottet
att ska ingå i 14 och 15 §.
3 kap. Styrning och tillsyn
14 §. Allmän styrning och tillsyn.
Utskottet föreslår att det i 14 § görs ändringar
som säkerställer stärkandet av styrningen
och tillsynen av det bolag som tillhandahåller nät-
och infrastrukturtjänster i säkerhetsnätet,
vilket grundlagsutskottet i sitt utlåtande betraktade som
viktigt. Styrningen av och tillsynen över hela serviceproduktionen
ska enligt utskottets ändringsförslag entydigt
anförtros en enda myndighet och det ska föreskrivas
om bemyndigande att utfärda förordning och föreskrifter
och om andra medel för styrning och tillsyn. Bestämmelser
om ägarstyrningen finns i 15 §. Som konstaterats
i den allmänna motiveringen förutsätter
en effektiv styrmodell att den strategiska styrningen, den ekonomiska
styrningen och den övriga styrningen är enhetlig.
I regeringens lagförslag innehåller 14 § endast
en bestämmelse om att finansministeriet svarar för
den allmänna administrativa styrningen. Utskottet föreslår
att rubriken till 14 § ändras till "Allmän
styrning och tillsyn" och att det i paragrafen tas in heltäckande
bestämmelser om såväl styrningen som
tillsynen av verksamheten i säkerhetsnätet, med
undantag av ägarstyrningen.
Utskottet föreslår att det i 1 mom. föreskrivs om
styrningen och tillsynen av den allmänna administrativa,
strategiska, ekonomiska och informations- och kommunikationstekniska
aktionsberedskapen, övriga beredskapen och säkerheten
i fråga om säkerhetsnätets verksamhet
och att föreskrivs att finansministeriet svarar för dessa
uppgifter. Med denna ändring motsvarar momentet 14 § och
16 § 1 mom. i propositionens lagförslag 1.
I det nya 2 mom. föreslår utskottet en bestämmelse
om att finansministeriet svarar för styrningen och tillsynen
av tjänsteproduktionen i säkerhetsnätet.
Det är enligt utskottet befogat att det i 14 § 1 mom.
föreskrivs att finansministeriet har till uppgift att som
myndighet med det övergripande ansvaret för säkerhetsnätets
verksamhet svara för styrningen och tillsynen av verksamheten. Finansministeriets
allmänna styrning omfattar utöver strategisk styrning
av verksamheten även allmän administrativ styrning,
vilket omfattar att bereda och utfärda administrativa normer
för verksamheten inom de gränser som är
möjliga med anledning av en lag som föreskriver
om sådana normer. I den allmänna administrativa
styrningen den myndighetsstyrning som avses i den föreslagna
lagen med annan styrning av den offentliga förvaltningens
informationsförvaltning. En central del av styrningen och
tillsynen är dessutom i enlighet med propositionen styrningen
och tillsynen av den informations- och kommunikationstekniska aktionsberedskapen,
övriga
beredskapen och säkerheten. I den ekonomiska styrningen
beslutas till exempel om allokeringen av den finansiering som finns
tillgänglig för utveckling av nätet och
om grunderna för fastställandet av kundavgifterna.
Utskottet föreslår att det i det nya 2 mom.
uttryckligen bestäms om styrningen och tillsynen av tjänsteproduktionen.
Det understryker att myndighetens styrning och tillsyn sträcker
sig också till den operativa sidan av tjänsteproduktionen.
Styrningen av tjänsteproduktionen ska till exempel se till
att de som svarar för förvaltningen av systemet
har de förutsättningar som krävs för
att vid störningar göra de prioriteringar som
behövs. Detta styrs genom föreskrifter som utfärdas
på förhand och genom utbildning av personalen.
Det föreslås att finansministeriet ska svara för
styrningen och tillsynen av tjänsteproduktionen.
Det bemyndigande att utfärda förordning som ingår
i utskottets förslag till nytt 3 mom. motsvarar bemyndigandet
i 16 § i regeringens lagförslag 1, dock kompletterat
med behörighet för tillsyn. Utskottet föreslår
att vissa formuleringar preciseras och regleringen görs
klarare.
Utskottet föreslår att finansministeriets
behörighet för styrning och tillsyn kompletteras
med behörighet att utfärda föreskrifter
i ett nytt 4 mom. Bestämmelsen om behörighet att
utfärda föreskrifter motsvarar i huvudsak ordalydelsen och
innehållet i 3 mom. I syfte att fullgöra styrningsuppdraget
får finansministeriet utfärda föreskrifter
för dem som tillhandahåller tjänster. Rättsverkningarna
av dessa föreskrifter motsvarar huvudsakligen liknande
föreskrifter som ges av andra styrnings- och tillsynsmyndigheter.
Föreskrifterna ska säkerställa att tjänsteproduktionen
i tillräcklig grad iakttar den beredskapsskyldighet som
avses i 12 § och att de krav på säkerhet,
aktionsberedskap, annan beredskap och kontinuitet som gäller
tjänsteproduktionen är tillräckligt exakta
och bindande. Vidare ska föreskrifterna i kombination med
en förhandsplanerad och systematisk hantering av störningar
i tillräcklig utsträckning svara för
prioritets- och skyndsamhetsklassificering samt för annan
viktighetsklassificering i fråga om produktionen av tjänster
i och användningen av säkerhetsnätet. Behörighet
att utfärda föreskrifter kompletteras också med
bemyndigande att utfärda förordning. Behörighet
att utfärda föreskrifter sträcker sig
enligt utskottets förslag till 4 mom. också till underleverantörer
när de utför uppgifter enligt den föreslagna
lagen.
Eftersom utskottet föreslår att finansministeriets
behörighet för styrning ska kompletteras med en
allmän behörighet att utfärda föreskrifter,
behövs inte längre den befogenhet att meddela
beslut som ingår i 13 § 1 mom. i regeringens lagförslag
1. Utskottet föreslår däremot att bestämmelserna
om undantagsförhållanden i 13 § 2 och
3 mom. i lagförslaget flyttas till en ny 15 § om
styrning och tillsyn i 3 kap.
I utskottets förslag till nytt 5 mom. ingår
bestämmelser om fullgörande av tillsynsuppdraget.
Med stöd av momentet får finansministeriet i syfte
att fullgöra tillsynsuppdraget utföra förebyggande
kontroller som gäller tjänsteproduktionens aktionsberedskap,
säkerhet och kvalitet. Den förebyggande tillsynen
kan utöver andra kontroller och utvärderingar
tillämpa det förfarande som avses i lagen om bedömning
av informationssäkerheten i myndigheternas informationssystem
och datakommunikation (). Det är
skäl att föreskriva särskilt om detta
i 5 mom., eftersom tillämpningsområdet för
den nämnda lagen endast omfattar bedömning av
informationssäkerheten i myndigheternas informationssystem
och datakommunikation. För att möjliggöra
tillsynen föreslår utskottet dessutom att det
föreskrivs om tjänsteproducenternas skyldighet
att lämna uppgifter till tillsynsmyndigheten och om behörighet
att utfärda föreskrifter i anslutning till detta.
För att beakta grundlagsutskottet utlåtande föreslår
förvaltningsutskottet att finansministeriet tillsyn med stöd
av 5 mom. också kan gälla underleverantörerna.
Samtidigt stärks, vid sidan av tillhandahållarens
egen kontroll enligt 13 §, den övergripande tillsynen över
underleverantörer klart.
15 §. Prioritetsklassificering av tjänsteproduktion
under undantagsförhållanden.
Utskottet föreslår att bestämmelserna
om ägarstyrning i 15 § i lagförslag
1 inkluderas ändrade i 16 §. I 15 § föreslår
utskottet däremot att det i enlighet med den ändrade
rubrikens föreskrivs om prioritetsklassificering av tjänsteproduktion
under undantagsförhållanden. Utskottet föreslår
att det föreskrivs om viktighetsklassificering under normala
förhållanden och vid störningar under normala
förhållanden i 14 § 2 och 4 mom. i stället
för i 13 § 1 mom.
Vidare föreslår utskottet att det i 15 § 1
mom. i stället för i 13 § 2 mom. föreskrivs
att under sådana undantagsförhållanden
som avses i beredskapslagen ska bestämmelserna i beredskapslagen
iakttas i fråga om det beslutsfattande som gäller
prioritet och skyndsamhet samt annan viktighetsklassificering i
fråga om produktionen av tjänster i och användningen
av säkerhetsnätet.
I 2 mom. finns en bestämmelse som motsvarar 13 § 3
mom. i regeringens förslag. Enligt utskottets förslag
fattar försvarsmakten under ett sådant försvarstillstånd
som avses i lagen om försvarstillstånd beslut
om prioritet och skyndsamhet samt annan viktighetsklassificering
i fråga om produktionen av tjänster för
och användningen av säkerhetsnätet.
16 (15) §. Ägarstyrning.
Grundlagsutskottet påpekade i sitt utlåtande
att den administrativa styrningen och tillsynen av aktiebolag i
princip inte kan ligga på samma nivå respektive
vara lika effektiv som när det gäller myndighetsverksamhet.
Vidare konstaterar grundlagsutskottet att det också bör
beaktas att avsikten i praktiken är att det dotterbolag
till aktiebolaget Suomen Erillisverkot Oy som avses i det föreslagna
6 § 3 mom. ska ha hand om säkerhetsnätets
nät- och infrastrukturtjänster, vilket innebär
att myndighetstillsynen och myndighetsstyrningen blir ännu
mer indirekt.
Grundlagsutskottet ansåg, som framgår av detaljmotiven
till 14 § i detta betänkande, det viktigt att
styrningen och tillsynen av hela serviceproduktionen stärks
genom att den entydigt anförtros en enda myndighet. Förvaltningsutskottet
har beaktat dessa synpunkter i 14 §.
Enligt 15 § i propositionen ansvarar statsrådets
kansli för ägarstyrningen i fråga om
det bolag som tillhandahåller nät- och infrastrukturtjänster
i säkerhetsnätet i enlighet med vad som bestäms
i lagen om statens bolagsinnehav och ägarstyrning ().
Utskottet föreslår att ägarstyrningen
enligt förslaget till 16 § preciseras så att
statsrådets kansli ansvarar för ägarstyrningen
i fråga om det bolag enligt 6 § 1 mom. som tillhandahåller
nät- och infrastrukturtjänster i säkerhetsnätet
i enlighet med vad som bestäms i lagen om statens bolagsinnehav
och ägarstyrning, om inte något annat följer
av denna lag. Den formulering som utskottet föreslår
betonar bland annat den tillsyn som avses i 14 § och som
avsevärt begränsar ägarstyrningens rörelseutrymme.
I ett regelverk av detta slag är ägarstyrningen mycket
begränsad. Dess betydelse ligger enligt utskottet i det
att den kan bidra till att den övriga styrningen och tillsynen
fungerar väl. I och med de bindande bestämmelser
om en tjänsteproducent i aktiebolagsform som utskottet
föreslår kan man tala om ett "ämbetsverk
som bedriver verksamhet i aktiebolagsform".
Vidare föreslår förvaltningsutskottet
att det i ett nytt 2 mom. införs en bestämmelse
om att styrelsen för Suomen Erillisverkot Oy och för det
i 6 § 3 mom. avsedda bolaget, dvs. Suomen Turvallisuusverkko
Oy, ska ha ett tillräckligt antal företrädare
för de myndigheter som styr säkerhetsnätets
verksamhet enligt 17 §. Utskottets förslag till
2 mom. motsvarar propositionens 18 §, kompletterad med
formuleringen som hänvisar till dotterbolag.
I enlighet med aktiebolagslagen () och
bokföringslagen ()
utövas det bestämmande inflytande i Suomen Erillisverkot Oy:s
dotterbolag av moderbolaget, som utser dotterbolagens styrelser.
Nät- och infrastrukturtjänsterna i säkerhetsnätet
kommer i praktiken att skötas av dotterbolaget Suomen Turvallisuusverkko
Oy, som bildats uttryckligen för detta ändamål
och som enligt inkommen utredning i syfte att avskilja tjänsteproduktionen
i säkerhetsnätet ekonomiskt, administrativt och funktionellt
från koncernens övriga verksamhet.
Även om statens ägarstyrning är mer
indirekt i arrangemanget med dotterbolag och ägarstyrningen
i detta sammanhang är mycket begränsad, är
det motiverat att föreskriva om finansministeriets ägarstyrning.
I vilket fall inriktas finansministeriets allmänna styrning
och tillsyn på det bolag som sköter den direkta
tjänsteproduktionen. Den är därför
i huvudsak oberoende av att moderbolaget Suomen Erillisverkot Oy har
bestämmande inflytande. I fråga om verksamheten
i säkerhetsnätet innebär ägarstyrningen
att styra anskaffningen av de resurser som behövs för
tjänsteproduktionen. I praktiken innebär detta
att i styrelsen fatta beslut om finansiering av verksamheten och
investeringarna genom andra källor än direkt kundfinansiering.
17 §. Delegationen för säkerhetsnätets
verksamhet.
Av 17 § 1 mom. i lagförslaget framgår
att det till stöd för finansministeriet vid den
strategiska styrningen samt vid planeringen, utvecklandet och uppföljningen
av samt tillsynen över den verksamhet som bedrivs av de
tillhandahållare av tjänster som avses i 2 kap.
finns en delegation, delegationen för säkerhetsnätets
verksamhet, som statsrådet tillsätter för
viss tid. Eftersom utskottet föreslår att det
i 14 § ska ingå omfattande bestämmelser
om styrning och tillsyn måste också 17 § om
delegationen ändras i fråga om styrningen. Utskottet
föreslår dessutom att delegationen ska ha i uppgift
att delta i beredningen av de föreskrifter som avses i
14 §.
Utskottet poängterar att delegationen har till uppgift
att bereda viktiga beslut om strategisk och ekonomisk styrning,
uppföljning och tillsyn i anslutning till säkerhetsnätets
verksamhet. Andra frågor som kan beredas i delegationen är
till exempel storleken på avgifterna för tjänsteproducenternas
tjänster, inriktningen av tjänsteproducenternas
investeringar, tjänsteproducenternas kvalitetsmål
och verksamhetskvalitet, omfattningen av utnyttjandet av underleverantörer samt
förutsättningar och principer för anlitande av
underleverantörer, principerna för anskaffning
och överlåtelse av säkerhetsnätets
fiberkapacitet, antennplatser och platser för säkerhetsnätsutrustning,
principerna för prioritets-, skyndsamhets- och andra viktighetsklassificeringar,
säkerhetsnätets plan för tjänsteproduktion
och utveckling, den informations- och kommunikationstekniska aktionsberedskapen
och tillsynen över säkerheten.
Utskottet understryker att det i anslutning till säkerhetsnätets
verksamhet uttryckligen är delegationen som är
det forum som i praktiken har möjlighet att säkerställa
att lagens bestämmelser följs och att verksamheten
i säkerhetsnätet kan samordnas. Behovet av samordning
gäller i lika hög grad aktiebolag som ämbetsverk.
Delegationen har en exceptionellt viktig uppgift i säkerhetsnätets
verksamhet.
I slutet av behandlingen av ärendet har det genom sakkunnigutfrågningen
uppstått en bild av att nivån på säkerhetsnätets
verksamhet kan sänkas om de som ingår i delegationen
inte uttrycker beredskap att för de tjänster de
behöver betala aktiebolaget det som behövs för
att täcka kostnaderna. Utskottet ser det som absolut nödvändigt att
säkerhetsnätets kunder har den finansiering som
behövs för att betala för tjänsterna.
Finansministeriets har en central roll också på denna punkt,
eftersom ministeriet svarar för budgetberedningen.
18 §. De styrande myndigheternas deltagande
i ledningen av verksamheten hos den som tillhandahåller
nät- och infrastrukturtjänster.
Utskottet föreslår att 18 § i lagförslaget
stryks, eftersom dess bestämmelser i ändrad form
ingår i 16 § 2 mom. Därmed blir 20 §,
vars rubrik är "Avgifter för tjänsterna" 18 § i
oförändrad form.
19 §. Kund- och samarbetsgruppen för
säkerhetsnätets verksamhet.
Som stöd för delegationen för säkerhetsnätets
verksamhet finns enligt 19 § i lagförslaget kund-
och samarbetsgruppen för säkerhetsnätets
verksamhet, som har till uppgift att samordna behoven hos de aktörer
som svarar för säkerhetsnätet och verksamheten, nätanvändarna
och intressentgrupperna inom säkerhetsnätet. Kund-
och samarbetsgruppen är inte avsett att vara ett organ
med beslutanderätt, utan syftet med den är att
vara en informations- och samarbetskanal för nätanvändare
och andra intressentgrupper och stödja verksamheten i delegationen
för säkerhetsnätets verksamhet. Gruppens
verksamhet bör enligt propositionen organiseras så att
intressentgruppernas behov kan samordnas i gruppen, för
att syftena med lagen ska kunna nås så väl
som möjligt och att alla nätanvändare
har lika möjligheter att påverka utvecklandet
av nätet.
För att göra den ovan nämnda styrmodellen tydligare
och enklare föreslår utskottet utöver
de tidigare förslagen men i samma syfte att 19 § om en
kund- och samarbetsgrupp stryks. Delegationen för säkerhetsnätets
verksamhet kan trots det tillsätta undergrupper inom olika
delområden till stöd för den egna verksamheten.
Eftersom delegationen för säkerhetsnätets
verksamhet och kund- och samarbetsgruppen för säkerhetsnätets verksamhet
enligt propositionen delvis skulle ha överlappande arbetsuppgifter,
finns det inget behov av att föreskriva särskilt
om den senare i lag. Eftersom utskottet föreslår
att 19 § i regeringens lagförslag ska strykas,
blir lagförslagets 21 §, med rubriken "Offentlighet
och sekretess", nytt 19 § i lagen.
4 kap. Särskilda bestämmelser
20 (22) §. Tjänsteansvar och personalsäkerhet.
För att lagförslaget ska kunna behandlas i
vanlig lagstiftningsordning har grundlagsutskottet i sitt utlåtande
förutsatt att regleringen måste kompletteras med
bestämmelser om att bestämmelserna om straffrättsligt
tjänsteansvar ska tillämpas på anställda
hos bolaget eller underleverantören när de utför
uppgifter som avses i lagen om verksamheten i den offentliga förvaltningens
säkerhetsnät.
I fråga om lagstiftningsordningen förutsatte grundlagsutskottet
också att den föreslagna 22 § ändras
så att det framgår att bestämmelser om
en utredning av pålitligheten ska finnas i lag. Ordalydelsen
i lagförslaget och de tillhörande motiven utgår
från att utredningen av pålitligheten kan bygga
på reglering på lägre nivå än
lag eller till och med på vad finansministeriet bestämmer.
Förvaltningsutskottet föreslår på grundval
av grundlagsutskottets utlåtande att det föreskrivs om
straffrättsligt tjänsteansvar och utredning av pålitlighet
i 20 § i stället för i 22 § i
den föreslagna lagen, eftersom förvaltningsutskottet
föreslagit att 18 och 19 § i regeringens proposition
ska strykas. Förvaltningsutskottet föreslår
att paragrafens rubrik ändras till "Tjänsteansvar
och personalsäkerhet" och att 20 § godkänns
i följande form:
"På anställda hos bolag som tillhandahåller nät-
och infrastrukturtjänster i säkerhetsnätet, på anställda
hos underleverantörer till de tillhandahållare
av tjänster i säkerhetsnätet som avses
i 6, 8 och 10 §, på dem som står i ett
annat anställningsförhållande till en
tillhandahållare av tjänster som avses i 8 och
10 § tillämpas bestämmelserna om straffrättsligt
tjänsteansvar när de utför uppgifter
som anknyter till verksamheten i säkerhetsnätet.
Bestämmelserna om straffrättsligt tjänsteansvar
tillämpas också på styrelsemedlemmar
i bolag som avses i 6 § och på andra medlemmar
i tillhandahållarnas beslutande organ samt på medlemmar
i underleverantörernas beslutande organ när de
utför uppgifter som anknyter till verksamheten i säkerhetsnätet.
Av den personal som sköter uppgifter i säkerhetsnätet
krävs sådan oförvitlighet och pålitlighet
som uppgifterna förutsätter och som vid behov
kan utredas i enlighet med vad säkerhetsutredningslagen
(726/2014) föreskriver."
Förvaltningsutskottet föreslår i
20 § 1 mom. att det straffrättsliga ansvaret vid
utförande av uppgifter som anknyter till verksamheten i
säkerhetsnätet ska utsträckas till anställda
hos bolag som tillhandahåller nät- och infrastrukturtjänster
i säkerhetsnätet, anställda hos samtliga tjänsteproducenters
underleverantörer, andra anställda hos Valtori
(8 och 10 §) än anställda i tjänsteförhållande
eller därmed jämförbar anställning
samt sådana medlemmar i tjänstetillhandahållarnas
och underleverantörernas beslutande organ som inte står
i tjänsteförhållande till dessa. Angående
beslutande organ må det nämnas att också Valtori
har en styrelse. Utskottet konstaterar att tjänsteansvaret
bland annat för Suomen Turvallisuusverkkos del i praktiken
omfattar alla anställda och all verksamhet, eftersom bolagets
verksamhet i sin helhet anknyter till säkerhetsnätets
verksamhet. I aktiebolag som är involverade i tjänsteproduktionen
finns det inga till säkerhetsnätet anslutande
frågor eller uppgifter som skulle falla utanför
det straffrättsliga tjänsteansvaret.
Utskottet föreslår att det föreskrivs
om personalsäkerhet i 20 § 2 mom. Utöver
de preciseringar som grundlagsutskottet har förutsatt föreslår förvaltningsutskottet
att 22 § i regeringens lagförslag ändras
så att det av personalen utöver pålitlighet
också krävs oförvitlighet. Det motsvarar
ordalydelsen i 3 § 1 mom. 1 punkten i den nya säkerhetsutredningslagen
() (FvUB 16/2014
rd — RP 57/2013 rd).
21 (23) §. Byggande som hänför sig
till säkerhetsnätet.
Enligt 23 § i propositionen får byggnader,
konstruktioner och anläggningar som direkt ansluter sig
till säkerhetsnätet uppföras utan tillstånd
enligt markanvändnings- och bygglagen ()
på områden som besitts av staten eller av ett
bolag som svarar för de uppgifter som avses i 7, 9 eller
11 §.
Utskottet har ovan föreslagit att 8 och 10 § ändras
så att de uppgifter som avses i 9 och 11 § kan
utföras av ett bolag. Utskottet föreslår
därför att omnämnandet i 20 § av
de uppgifter som avses i 9 och 11 § stryks.
5 kap. Ikraftträdande
25 (27) §. Övergångsbestämmelse
som gäller ordnandet av uppgifter.
Enligt 27 § 1 mom. i lagförslag 1 är
försvarsmakten och Statens IT-servicecentral vid Statskontoret
tillhandahållare av säkerhetsnätets nät-
och infrastrukturtjänster enligt 6 § högst
till den 31 december 2014.
Enligt inkommen utredning har de uppgifter som ankommit på Statens
IT-servicecentral vid Statskontoret överförts
till Valtori, varför utskottet föreslår
att 1 mom. ändras. Vidare föreslår utskottet
att försvarsmakten och Valtori är tillhandahållare
av nät- och infrastrukturtjänster högst
till utgången av 2016, så att det finns tillräckligt
med tid för omorganiseringen av uppgifterna.
Förvaltningens IT-central är enligt 27 § 2 mom.
i lagförslaget tillhandahållare av säkerhetsnätets
informations- och kommunikationstekniska tjänster enligt
8 § högst till den 31 december 2014. Utskottet
föreslår att det i 25 § 2 mom. föreskrivs
att Förvaltningens IT-central är tillhandahållare
också av integrationstjänster under övergångsperioden.
Utskottet föreslår att övergångstiden
också på denna punkt förlängs till
utgången av 2016. Utskottet understryker att förutsättningarna
för en överföring av uppgifterna måste
prövas noggrant och att uppgifterna inte får överföras
förrän det säkerställts att
dessa förutsättningar föreligger. Om
genomförandet av reformen mot förmodan inte lyckas
inom den planerade tiden måste övergångstiden
förlängas.
Utskottet föreslår att 27 § 3 mom.
i regeringens lagförslag ändras så att
statsrådet beslutar närmare inom ramen för
tidsfristen enligt 1 och 2 mom. om de uppgifter som ska överföras.
30 (32) §. Övergångsbestämmelse
som gäller avtal och andra förbindelser.
I 32 § i lagförslag 1 föreskrivs
att sådana gällande avtal och förbindelser
som direkt gäller säkerhetsnätets nät-
och infrastrukturtjänster och som ingåtts av försvarsmakten,
Förvaltningens IT-central, Gränsbevakningsväsendet
eller Statens IT-servicecentral vid Statskontoret innan lagen trätt
i kraft samt de rättigheter och skyldigheter som följer
av dessa vid lagens ikraftträdande överförs
till det bolag som avses i 6 §, om inte något
annat följer av 27 §.
Utskottet föreslår att paragrafen ändras
till följd av att de uppgifter som ankommit på Statens
IT-servicecentral vid Statskontoret har överförts
till Valtori, som bildades i början av mars 2014. Dessutom
måste hänvisningen till 27 § ändras
så att den hänvisar till 25 §.
31 (33) §. Övergångsbestämmelse
som gäller anhängiga ärenden.
Sådana ärenden som direkt gäller
säkerhetsnätets nät- och infrastrukturtjänster
och som är anhängiga vid försvarsmakten,
Förvaltningens IT-central eller Statens IT-servicecentral
vid Statskontoret när lagen träder i kraft överförs
med stöd av 33 § i lagförslag 1 vid lagens
ikraftträdande till det bolag som avses i 6 §,
om inte något annat följer av 27 §.
Utskottet föreslår att paragrafen ändras
till följd av att de uppgifter som ankommit på Statens
IT-servicecentral vid Statskontoret har överförts
till Valtori. Dessutom måste hänvisningen till
27 § ändras så att den hänvisar
till 25 §.
2. Lagen om ändring av 2 § i kommunikationsmarknadslagen
Utskottet föreslår att lagförslag
2 förkastas, eftersom den aktuella lagen har upphävts.