Betänkande
KoUB
6
2018 rd
Kommunikationsutskottet
Regeringens proposition till riksdagen med förslag till lagar om ändring av lagar som har samband med genomförandet Europeiska unionens av direktiv om nät- och informationssäkerhet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lagar om ändring av lagar som har samband med genomförandet av Europeiska unionens direktiv om nät- och informationssäkerhet (RP 192/2017 rd): Ärendet har remitterats till kommunikationsutskottet för betänkande. 
Sakkunniga
Utskottet har hört 
överinspektör
Maija
Rönkä
kommunikationsministeriet
överinspektör
Jyrki
Pohjolainen
arbets- och näringsministeriet
specialsakkunnig
Jari
Porrasmaa
social- och hälsovårdsministeriet
direktör
Jarkko
Saarimäki
Kommunikationsverket
IKT-direktör
Heikki
Linnanen
Caruna Ab
chef för juridiska ärenden
Seija
Virkajärvi
Caruna Ab
säkerhetsdirektör
Jaakko
Wallenius
Elisa Abp
Cyber Security Advisor
Erka
Koivunen
F-Secure Oy
vice ordförande
Leena
Romppainen
Electronic Frontier Finland - Effi ry
chef för juridiska ärenden
Marko
Vuorinen
Finnet-förbundet rf
biträdande direktör
Kirsti
Tarnanen-Sariola
Finlands Hamnförbund rf
jurist
Jussi
Mäkinen
Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry.
Skriftligt yttrande har lämnats av 
finansministeriet
Trafikverket
Energimyndigheten
Finansinspektionen
Samkommunen Helsingforsregionens miljötjänster
Air Navigation Services Finland Oy (ANS Finland)
DNA Ab
Google Finland Oy
Telia Finland Oyj
UpCloud Oy
Älykkään liikenteen verkosto - ITS Finland ry.
PROPOSITIONEN
I propositionen föreslår regeringen ett antal skyldigheter för vissa leverantörer av samhällsviktiga tjänster och vissa leverantörer av digitala tjänster. De gäller hantering av informationssäkerhetsrisker samt rapportering av störningar. Dessutom införs bestämmelser om tillsyn över dessa skyldigheter, om informationsutbyte mellan myndigheter och om myndigheternas allmänna verksamhet i anknytning till informationssäkerhet. Genom den föreslagna lagstiftningen införlivas Europaparlamentets och rådets direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen i den nationella lagstiftningen. 
Propositionen bidrar till att genomföra målen i regeringsprogrammet att främja digitaliseringen och säkerställa den digitala säkerheten genom att förbättra informationssäkerhetsnivån för de tjänster som är viktiga för samhället och medborgarna. Genom propositionen ska medborgarnas och företagens förtroende för digitaliseringen ökas och därmed främjas också den digitala affärsverksamhetens tillväxt och konkurrenskraft. 
För att förbättra informationssäkerheten för samhällsviktiga tjänster införs i informationssamhällsbalken, luftfartslagen, järnvägslagen, lagen om fartygstrafikservice, lagen om sjöfartsskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet, lagen om transportservice, elmarknadslagen, naturgasmarknadslagen och lagen om vattentjänster bestämmelser om skyldigheten för viktiga tillhandahållare av tjänster att hantera riskerna i fråga om kommunikationsnät och informationssystem och även att till den myndighet som utövar tillsyn och till allmänheten rapportera störningar som är betydande med tanke på informationssäkerheten. Skyldigheterna enligt informationssamhällsbalken gäller tillhandahållare av internetbaserade marknadsplatser, sökmotortjänster och molntjänster. Skyldigheterna enligt luftfartslagen gäller leverantörer av flygtrafiktjänster samt operatörer av samhällsviktiga flygplatser. Skyldigheterna enligt järnvägslagen gäller förvaltaren av statens bannät samt bolag som tillhandahåller trafikledningstjänster. Skyldigheterna enligt lagen om fartygstrafikservice gäller leverantörer av fartygstrafikservice. Skyldigheten enligt lagen om sjöfartsskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet gäller innehavare av samhällsviktiga hamnar. Skyldigheterna enligt lagen om transportservice gäller förvaltare av intelligenta trafiksystem. Skyldigheten enligt elmarknadslagen gäller nätinnehavare. Skyldigheterna enligt naturgasmarknadslagen gäller överföringsnätsinnehavare och skyldigheterna enligt lagen om vattentjänster vattentjänstverk som levererar eller tar emot avloppsvatten minst 5 000 kubikmeter vatten per dygn. 
De sektorsvisa tillsynsmyndigheterna har behörighet att utöva tillsyn över fullgörandet av skyldigheterna i fråga om riskhantering och rapportering av störningar. Dessa myndigheter är Kommunikationsverket, Trafiksäkerhetsverket, Energimyndigheten, Finansinspektionen samt närings-, trafik- och miljöcentralen. Vidare föreslås det att bestämmelser om samarbete mellan tillsynsmyndigheterna och om utbyte av sådan sekretessbelagd information som behövs för uppgifter inom informationssäkerheten införs i anslutning till bestämmelserna om myndigheternas behörighet. Avsikten är att säkerställa samarbetet mellan myndigheterna. 
Dessutom införs bestämmelser om skyldighet för Kommunikationsverket att samarbeta med de enheter för hantering av it-säkerhetsincidenter, de tillsynsmyndigheter och den samarbetsgrupp för medlemsstaterna som avses i direktivet om nät- och informationssäkerhet. 
De föreslagna lagarna avses träda i kraft den 1 maj 2018. 
UTSKOTTETS ÖVERVÄGANDEN
Syftet med propositionen och det EU-direktiv om nät- och informationssäkerhet (2016/1148) som ska genomföras är välkommet, menar utskottet. Det handlar om att främja informationssäkerheten och därigenom den övergripande säkerheten i samhället. De samhällsviktiga tjänsterna är alltmer beroende av fungerande kommunikationsnät och informationssystem. Problem med informationssäkerheten och störningar i fråga om de tjänsterna kan i värsta fall ha allvarliga konsekvenser för samhällets olika sektorer. Genom att ställa upp skyldigheter som gäller hanteringen av informationssäkerhetsrisker och rapporteringen av störningar i tjänsterna för vissa tjänsteleverantörer inom transport, energidistribution, vattentjänster, hälso- och sjukvård och digitala tjänster kan man främja den övergripande säkerheten i samhället och försöka öka förtroendet för digitala tjänster och förfaranden. Målet bör vara att dessa tjänsteleverantörer som en del av sin normala verksamhet ska sörja för informationssäkerheten och rapportera om eventuella störningar. 
Under utfrågningen framförde en del av de sakkunniga kritik mot att propositionen inte tillräckligt exakt anger vilka de leverantörer av digitala tjänster är som skyldigheterna gäller. Enligt uppgift är det emellertid fråga om begrepp som anges i det direktiv som nu ska genomföras. Det är inte ändamålsenligt och till vissa delar inte ens möjligt att definiera dem i nationell lag. När lagen verkställs och direktivet tolkas är det viktigt att se till att skyldigheterna inte försämrar möjligheterna att ta fram nya tjänster eller konkurrensvillkoren för inhemska aktörer. Det är också viktigt att informera särskilt leverantörer av digitala tjänster om den reglering som träder i kraft och om de krav som följer av den. 
Under behandlingen av ärendet sades det vidare att det kunde vara lämpligt att införa motsvarande informationssäkerhetsrelaterade skyldigheter också för en del andra aktörer som är viktiga för att samhället ska fungera. Som exempel nämndes bland annat tjänsteleverantörer som ansvarar för intelligent trafikledning. Utskottet anser att det är viktigt att i framtiden göra en övergripande utvärdering av konsekvenserna av regleringen och att samtidigt bedöma om skyldigheterna till vissa delar bör utsträckas också till nya aktörer eller sektorer utanför direktivets tillämpningsområde. Utskottet konstaterar att informationssäkerheten i framtiden kommer att få en allt större betydelse också med tanke på trafiksäkerheten, när fordons- och trafiktjänsterna framöver i allt högre grad kommer att vara kopplade till kommunikationsnäten. Enligt uppgift till utskottet har denna bedömning redan inletts när det gäller vägtrafikstyrnings- och vägtrafikledningstjänsterna. 
Utskottet anser att den verksamhet som bedrivs av cybersäkerhetscentret vid Kommunikationsverket är synnerligen viktig med tanke på samhällets övergripande säkerhet. Förslaget stärker centrets möjligheter att främja informationssäkerheten och för sin del bidra till de samhällsviktiga funktionernas kontinuitet, menar utskottet. I framtiden bör man se till att Kommunikationsverket också får tillräckliga resurser för att sköta och ytterligare utveckla dessa uppgifter, som gagnar samhällets alla sektorer. 
DETALJMOTIVERING
Lagförslag 1
Lagrubriken.
Utskottet har i sitt betänkande KoUB 21/2017 rdRP 82/2017 rd ändrat rubriken för informationssamhällsbalken så att lagens namn blir lagen om tjänster inom elektronisk kommunikation. Ändringen träder i kraft den 1 juni 2018. Rubriken i ändringsförslaget i den nu aktuella propositionen är fortfarande i kraft, och lagförslaget träder enligt uppgift från kommunikationsministeriet i kraft före den ovannämnda rubrikändringen. Utskottet betonar att det här lagförslaget på grund av både rubrikändringen och skyldigheterna i direktivet bör sättas i kraft senast i maj 2018. 
Lagförslag 10
15 b §. Anmälan om störningar i vattentjänster.
Utskottet ändrar 1 mom. för att göra bestämmelsen enhetlig med de andra bestämmelser i propositionen som har samma innehåll. Att det ligger i allmänt intresse att en störning anmäls blir då en förutsättning också för skyldigheten att informera om störningar i vattentjänsterna eller för att den myndighet som avses i bestämmelsen ska informera om saken. 
Lagförslag 12
6 §. Utlämnande av uppgifter.
Kommunikationsministeriet har varit av den meningen att det bör föreskrivas om att Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) har rätt att lämna ut sekretessbelagd information till Kommunikationsverket på samma sätt som i fråga om andra tillsynsmyndigheter. Utifrån inkommen utredning har utskottet lagt till ett nytt lagförslag 12, där 6 § i lagen om Tillstånds- och tillsynsverket för social- och hälsovården (669/2008) får ett nytt 4 mom. Enligt det nya momentet har Tillstånds- och tillsynsverket för social- och hälsovården rätt att trots sekretessbestämmelserna lämna ut information för Kommunikationsverket, om det är nödvändigt för skötseln av informationssäkerhetsrelaterade uppgifter. Utskottet konstaterar att myndigheternas tystnadsplikt och deras tjänsteansvar säkerställer att det inte uppstår några problem med informationssäkerheten till följd av informationsutbytet mellan myndigheterna. När det nya momentet läggs till blir 4 mom. 5 mom. 
FÖRSLAG TILL BESLUT
Kommunikationsutskottets förslag till beslut:
Riksdagen godkänner lagförslag 1—9 och 11 i proposition RP 192/2017 rd utan ändringar. 
Riksdagen godkänner lagförslag 10 i proposition RP 192/2017 rd med ändringar.(Utskottets ändringsförslag) 
Riksdagen godkänner ett nytt lagförslag 12. (Utskottets nya lagförslag) 
Utskottets ändringsförslag
1. 
Lag 
om ändring av informationssamhällsbalken 
I enlighet med riksdagens beslut 
ändras i informationssamhällsbalken (917/2014) 275 §, 304 § 1 mom. 7 och 10 punkten samt 313 § 2 mom. 2 punkten och 
fogas till lagen en ny 247 a §, till 308 §, sådan den lyder delvis ändrad i lag 456/2016, ett nytt 3 mom. samt till 318 §, sådan den lyder delvis ändrad i lag 456/2016, ett nytt 2 mom., varvid det nuvarande 2-4 mom. blir 3-5 mom., som följer: 
247 a § 
Skyldighet för den som tillhandahålle av internetbaserade marknadsplatser, sökmotortjänster och molntjänster att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem 
Den som tillhandahåller en internetbaserad marknadsplats, en internetbaserad sökmotortjänst eller en molntjänst ska sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som denne använder. Vid riskhanteringen ska hänsyn tas till 
1) systems och anläggningars säkerhet, 
2) hantering av hot mot informationssäkerheten och av störningar, 
3) driftskontinuitetshantering, 
4) övervakning, revision och testning, 
5) efterlevnad av internationella standarder. 
Den riskhanteringskyldighet som avses i 1 mom. gäller inte sådana mikroföretag och små företag som avses i artikel 16.11 i Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, nedan direktivet om nät- och informationssäkerhet
275 § 
Störningsanmälningar till Kommunikationsverket 
Ett teleföretag ska utan dröjsmål göra en anmälan till Kommunikationsverket om dess tjänster utsätts för eller hotas av betydande kränkningar av informationssäkerheten eller av någonting annat som gör att en kommunikationstjänst inte fungerar eller väsentligen stör den. Teleföretaget ska också utan obefogat dröjsmål anmäla hur länge störningen eller hotet beräknas pågå, om vilka verkningar störningen eller hotet har, om avhjälpande åtgärder samt om åtgärder för att förhindra att störningen upprepas. Kommunikationsverket ska årligen sända kommissionen och Europeiska unionens byrå för nät- och informationssäkerhet en sammanfattande informationsrapport om anmälningarna. 
En i 247 a § avsedd aktör som tillhandahåller en internetbaserad marknadsplats, en internetbasera sökmotortjänst eller en molntjänst ska utan dröjsmål göra en anmälan till Kommunikationsverket om dess tjänster utsätts för en betydande informationssäkerhetsrelaterad störning. 
Om det ligger i allmänt intresse att det görs en anmälan om en störning kan Kommunikationsverket ålägga teleföretaget eller den som tillhandahåller tjänsten att informera om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. 
Kommunikationsverket får meddela närmare föreskrifter om när en störning som avses i 1 mom. är betydande samt föreskrifter om innehållet i de anmälningar som avses i 1 och 2 mom. samt anmälningarnas utformning och hur de lämnas in. 
Kommunikationsverket ska bedöma om en sådan störning som avses i 2 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna. 
304 § 
Kommunikationsverkets särskilda uppgifter 
Utöver vad som föreskrivs någon annanstans i denna lag ska Kommunikationsverket 
7) samla in information om kränkningar och hot om kränkningar av informationssäkerheten för nättjänster, kommunikationstjänster, mervärdestjänster och informationssystem samt om fel och störningar i kommunikationsnät och kommunikationstjänster, 
10) utreda kränkningar och hot om kränkningar av informationssäkerheten för nättjänster, kommunikationstjänster, mervärdestjänster och informationssystem, 
308 § 
Myndighetssamarbete 
Kommunikationsverket ska samarbeta med de myndigheter som utövar tillsyn över nät- och informationssäkerheten i övriga medlemsstater i Europeiska unionen, med enheter för hantering av it-säkerhetsincidenter samt med den samarbetsgrupp som avses i artikel 11 i direktivet om nät- och informationssäkerhet. Kommunikationsverket ska årligen sända samarbetsgruppen en sammanfattande rapport i enlighet med artikel 10.3 i direktivet. 
313 § 
Behandling av tillsynsärenden vid Kommunikationsverket 
Kommunikationsverket kan ställa sina tillsynsuppgifter enligt denna lag i viktighetsordning. Kommunikationsverket får lämna ett ärende utan prövning om 
2) ärendet trots en misstanke om fel eller försummelser endast har en ringa betydelse med tanke på kommunikationsmarknadens funktion, kommunikationstjänsternas tillförlitlighet eller tryggandet av störningsfri elektronisk kommunikation och med tanke på deras intressen som använder tjänsterna eller med tanke på riskhanteringen i fråga om de tjänster som avses i 247 a §, eller 
318 § 
Utlämnande av information från myndigheter 
Kommunikationsverket har, trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information, rätt att lämna ut dokument som det fått eller upprättat i samband med sina uppgifter enligt lag samt att röja sekretessbelagd information för Trafiksäkerhetsverket, Energimyndigheten, Finansinspektionen, Tillstånds- och tillsynsverket för social- och hälsovården samt närings-, trafik- och miljöcentralen, om det är nödvändigt för skötseln av deras lagstadgade uppgifter i anslutning till informationssäkerhet. 
Denna lag träder i kraft den 20 . 
2. 
Lag 
om ändring av luftfartslagen 
I enlighet med riksdagens beslut 
fogas till luftfartslagen (864/2014) en ny 128 a och en ny 128 b § som följer: 
11 kap. 
Luftfartsolyckor, efterspanings- och räddningstjänst för luftfart, tillbud och händelser 
128 a § 
Skyldighet att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem 
Leverantörer av flygtrafiktjänster samt samhällsviktiga flygplatsoperatörer ska sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som de använder. 
Trafiksäkerhetsverket ska bedöma hur den riskhantering som avses i 1 mom. påverkar säkerheten inom luftfarten. Leverantörer av flygtrafiktjänster samt samhällsviktiga flygplatsoperatörer ska lämna Trafiksäkerhetsverket sådana uppgifter som behövs för denna bedömning. Verket får ålägga en leverantör av flygtrafiktjänster eller en samhällsviktig flygplatsoperatör att vidta korrigerande åtgärder för att eliminera en betydande risk för säkerheten inom luftfarten. 
Trafiksäkerhetsverket har, trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information, rätt att lämna ut dokument som det fått eller upprättat i samband med sina uppgifter enligt 2 mom. samt att röja sekretessbelagd information för Kommunikationsverket, om det är nödvändigt för skötseln av informationssäkerhetsrelaterade uppgifter. 
Närmare bestämmelser om när en flygplats ska betraktas som samhällsviktig utfärdas genom förordning av statsrådet. 
128 b § 
Rapportering av informationssäkerhetshändelser 
Leverantörer av flygtrafiktjänster samt samhällsviktiga flygplatsoperatörer ska utan dröjsmål lämna Trafiksäkerhetsverket en anmälan om betydande informationssäkerhetsrelaterade händelser som är riktade mot kommunikationsnät eller informationssystem. 
Om det ligger i allmänt intresse att en händelse anmäls kan Trafiksäkerhetsverket ålägga den som tillhandahåller tjänsten att informera om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. 
Trafiksäkerhetsverket ska bedöma om en sådan händelse som avses i 1 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna. 
Trafiksäkerhetsverket får meddela närmare föreskrifter om när en händelse som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. 
Denna lag träder i kraft den 20 . 
3. 
Lag 
om ändring av järnvägslagen 
I enlighet med riksdagens beslut 
fogas till järnvägslagen (304/2011) en ny 41 a § som följer: 
6 kap. 
Säkerhet 
41 a § 
Skyldighet att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem samt anmälan om störning i informationssäkerheten 
Förvaltaren av statens bannät samt den som tillhandahåller trafikledningstjänster ska sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som denne använder. 
Förvaltaren av statens bannät samt den som tillhandahåller trafikledningstjänster ska utan dröjsmål lämna Trafiksäkerhetsverket en anmälan om betydande informationssäkerhetsrelaterade störningar som är riktade mot kommunikationsnät eller informationssystem. 
Om det ligger i allmänt intresse att en störning anmäls kan Trafiksäkerhetsverket ålägga den som tillhandahåller tjänsten att informera om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. 
Trafiksäkerhetsverket ska bedöma om en sådan störning som avses i 2 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna. 
Trafiksäkerhetsverket har, trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information, rätt att lämna ut dokument som det fått eller upprättat i samband med sina uppgifter enligt denna paragraf samt att röja sekretessbelagd information för Kommunikationsverket, om det är nödvändigt för skötseln av informationssäkerhetsrelaterade uppgifter. 
Trafiksäkerhetsverket får meddela närmare föreskrifter om när en sådan störning som avses i 2 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. 
Denna lag träder i kraft den 20 . 
4. 
Lag 
om ändring av lagen om fartygstrafikservice 
I enlighet med riksdagens beslut 
fogas till 16 § i lagen om fartygstrafikservice (623/2005) ett nytt 5 mom., till lagen en ny 18 a § samt till 28 §, sådan den lyder delvis ändrad i lag (1307/2009), ett nytt 4 mom. som följer: 
16 § 
Upprätthållande av fartygstrafikservice 
VTS-myndigheten ska sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som denne använder. 
18 a § 
Anmälan om störningar i informationssäkerheten 
VTS-myndigheten ska utan dröjsmål lämna Trafiksäkerhetsverket en anmälan om betydande informationssäkerhetsrelaterade störningar som är riktade mot kommunikationsnät eller informationssystem som denne använder. 
Om det ligger i allmänt intresse att en störning anmäls kan Trafiksäkerhetsverket ålägga den som tillhandahåller tjänsten att informera om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. 
Trafiksäkerhetsverket ska bedöma om en sådan störning som avses i 1 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna. 
Trafiksäkerhetsverket får meddela närmare föreskrifter om när en sådan störning som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. 
Trafiksäkerhetsverket har, trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information, rätt att lämna ut dokument som det fått eller upprättat i samband med sina uppgifter enligt denna paragraf samt att röja sekretessbelagd information för Kommunikationsverket, om det är nödvändigt för skötseln av informationssäkerhetsrelaterade uppgifter. 
28 § 
Tillsyn 
Trafiksäkerhetsverket ska bedöma hur den riskhantering som avses i 16 § 5 mom. påverkarsäkerheten inom sjöfarten. Trafiksäkerhetsverket kan ålägga en aktör att vidta korrigerande åtgärder för att eliminera en betydande risk som inverkar på säkerheten inom sjöfarten. Åläggandet kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1190). 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om ändring av lagen om sjöfartsskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet 
I enlighet med riksdagens beslut 
fogas till lagen om sjöfartsskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004) en ny 7 e och en ny 7 f § som följer: 
2 a kap. 
Sjöfartsskyddet i hamnar 
7 e § 
Hamninnehavares skyldighet att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem 
Innehavare av samhällsviktiga hamnar ska sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som de använder. 
Trafiksäkerhetsverket ska bedöma hur den riskhantering som avses i 1 mom. påverkar säkerheten inom sjöfarten. Verket kan ålägga en i 1 mom. avsedd hamninnehavare att vidta korrigerande åtgärder för att eliminera en betydande risk som inverkar på säkerheten inom sjöfarten. Åläggandet kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1190). 
Trafiksäkerhetsverket har, trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information, rätt att lämna ut dokument som det fått eller upprättat i samband med sina uppgifter enligt 2 mom. samt att röja sekretessbelagd information för Kommunikationsverket, om det är nödvändigt för skötseln av informationssäkerhetsrelaterade uppgifter. 
Bestämmelser om när en i 1 mom. avsedd hamn ska betraktas som samhällsviktig utfärdas genom förordning av statsrådet. 
7 f § 
Anmälan om störningar i informationssäkerheten 
Innehavare av samhällsviktiga hamnar ska utan dröjsmål lämna Trafiksäkerhetsverket en anmälan om betydande informationssäkerhetsrelaterade störningar som är riktade mot kommunikationsnät eller informationssystem som de använder. 
Om det ligger i allmänt intresse att en störning anmäls kan Trafiksäkerhetsverket ålägga den som tillhandahåller tjänsten att informera om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. 
Trafiksäkerhetsverket ska bedöma om en sådan störning som avses i 1 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna. 
Trafiksäkerhetsverket får meddela närmare föreskrifter om när en sådan störning som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av lagen om transportservice 
I enlighet med riksdagens beslut 
fogas till lagen om transportservice (320/2017) III avd. 2 kap. en ny 7 § som följer: 
7 § 
Skyldighet för den som tillhandahåller intelligenta trafiksystem att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem samt anmälan om störning i informationssäkerheten 
Den som tillhandahåller ett intelligent trafiksystem ska sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som denne använder. 
Den som tillhandahåller ett intelligent trafiksystem ska utan dröjsmål lämna Trafiksäkerhetsverket en anmälan om betydande informationssäkerhetsrelaterade störningar, som är riktade mot sådana kommunikationsnät eller informationssystem som denne använder. 
Om det ligger i allmänt intresse att en störning anmäls kan Trafiksäkerhetsverket ålägga den som tillhandahåller tjänsten att informera om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. 
Trafiksäkerhetsverket ska bedöma om en sådan störning som avses i 2 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna. 
Trafiksäkerhetsverket har, trots sekretessbestämmelserna eller andra begränsningar som gäller utlämnande av information, rätt att lämna ut dokument som det fått eller upprättat i samband med sina uppgifter enligt denna paragraf samt att röja sekretessbelagd information för Kommunikationsverket, om det är nödvändigt för skötseln av informationssäkerhetsrelaterade uppgifter. 
Trafiksäkerhetsverket får meddela närmare föreskrifter om när en sådan störning som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av elmarknadslagen 
I enlighet med riksdagens beslut 
ändras i elmarknadslagen (588/2013) 62 § 1 mom., sådant det lyder i lag 590/2017, samtfogas till lagen en ny 29 a § som följer: 
29 a § 
Nätinnehavares skyldighet att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem samt anmälan om störning i informationssäkerheten 
Nätinnehavare ska sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som denne använder. 
Nätinnehavare ska utan dröjsmål lämna Energimyndigheten en anmälan om sådana betydande informationssäkerhetsrelaterade störningar som är riktade mot kommunikationsnät eller informationssystem som denne använder och som kan leda till att eldistributionen i eldistributionsnätet avbryts i betydande omfattning. 
Om det ligger i allmänt intresse att en störning anmäls kan Energimyndigheten ålägga den som tillhandahåller tjänsten att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. 
Energimyndigheten ska bedöma om en sådan störning som avses i 2 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna. 
Energimyndigheten får meddela närmare föreskrifter om när en sådan störning som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. 
62 § 
Specialbestämmelser som gäller slutna distributionsnät 
På slutna distributionsnät och deras innehavare tillämpas inte 23 och 26 a §, 27 § 3 mom., 28, 29, 29 a, 50–53, 53 a, 54–57, 57 a, 58 och 59 §. 
Denna lag träder i kraft den 20 . 
8. 
Lag 
om ändring av naturgasmarknadslagen 
I enlighet med riksdagens beslut 
fogas till naturgasmarknadslagen (587/2017) en ny 34 a § som följer: 
34 a § 
Överföringsnätinnehavares skyldighet att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem samt anmälan om störning i informationssäkerheten 
Överföringsnätinnehavaren ska sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som denne använder. 
Överföringsnätinnehavaren ska utan dröjsmål lämna Energimyndigheten en anmälan om sådana betydande informationssäkerhetsrelaterade störningar som är riktade mot kommunikationsnät eller informationssystem som denne använder och som kan leda till att naturgasdistributionen i överföringsnätet avbryts i betydande omfattning. 
Om det ligger i allmänt intresse att en störning anmäls kan Energimyndigheten ålägga överföringsnätinnehavaren att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. 
Energimyndigheten ska bedöma om en sådan störning som avses i 2 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna. 
Energimyndigheten får meddela närmare föreskrifter om när en sådan störning som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. 
Denna lag träder i kraft den 20 . 
9. 
Lag 
om ändring av 27 och 28 § i lagen om tillsyn över el- och naturgasmarknaden 
I enlighet med riksdagens beslut 
ändras i lagen om tillsyn över el- och naturgasmarknaden (590/2013) 27 §, rubriken för 28 §, det inledande stycket i 28 § 1 mom. och 28 § 1 mom. 1 punkten samt 2 och 3 mom. som följer: 
27 § 
Myndigheternas tillsynssamarbete 
I frågor som hör till Energimyndighetens behörighet har verket rätt att utöva tillsynssamarbete med Finansinspektionen, Konkurrens- och konsumentverket, Kommunikationsverket, konsumentombudsmannen, byrån för samarbete mellan energitillsynsmyndigheter, en annan EES-stats tillsynsmyndighet och Europeiska kommissionen samt på begäran ge handräckning då dessa utför tillsyns- eller kontrolluppgifter som hänför sig till ett elföretag eller naturgasföretag. 
28 § 
Energimyndighetens rätt att lämna ut uppgifter till andra myndigheter 
Utöver det som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999) har Energimyndigheten rätt att trots bestämmelserna om sekretess lämna ut uppgifter till 
1) Finansinspektionen, Konkurrens- och konsumentverket och konsumentombudsmannen för att de ska kunna sköta sina uppgifter, och till Kommunikationsverket, om det är nödvändigt för skötseln av informationssäkerhetsrelaterade uppgifter, 
Energimyndigheten har rätt att lämna ut endast sådana uppgifter som behövs för att den berörda myndigheten ska kunna utföra sina uppgifter, och om uppgifter lämnas ut till en utländsk myndighet eller ett internationellt organ förutsätts det dessutom att dessa har motsvarande sekretess som Energimyndigheten i fråga om de uppgifter som lämnas ut. 
Energimyndigheten får inte lämna ut sekretessbelagda uppgifter som myndigheten fått av en myndighet i en annan stat eller ett internationellt organ, om inte den myndighet som gett uppgifterna har gett sitt uttryckliga samtycke till att uppgifterna lämnas ut. Uppgifterna får endast användas för skötsel av de uppgifter som avses i denna lag eller för de ändamål som samtycket getts för. 
Denna lag träder i kraft den 20 . 
10. 
Lag 
om ändring av lagen om vattentjänster 
I enlighet med riksdagens beslut 
ändras i lagen om vattentjänster (119/2001) 35 § 2 mom. och 
fogas till lagen en ny 15 b § som följer: 
15 b § 
Anmälan om störningar i vattentjänster 
Ett vattentjänstverk som levererar eller tar emot avloppsvatten till en volym om minst 5 000 kubikmeter vatten per dygn ska utan dröjsmål anmäla betydande störningar i vattentjänsterna till närings-, trafik- och miljöcentralen. Om det ligger i allmänt intresse att en störning anmäls kan Närings-, trafik- och miljöcentralen kan efter att ha mottagit anmälan ålägga vattentjänstverket att informera om saken eller, efter att ha hört vattentjänstverket, själv informera om saken. 
Bestämmelserna om vattentjänstverk i 1 mom. gäller också anläggningar som levererar vatten till ett vattentjänstverk eller som tar emot avloppsvatten från ett vattentjänstverk. 
Närings-, trafik- och miljöcentralen ska vidarebefordra den anmälan som avses i 1 mom. för kännedom till jord- och skogsbruksministeriet. Närings-, trafik- och miljöcentralen ska dessutom bedöma om en sådan störning som avses i 1 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta den behöriga myndigheten i den berörda medlemsstaten. 
Närmare bestämmelser om när en sådan störning som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in får utfärdas genom förordning av jord- och skogsbruksministeriet.. 
35 § 
Tystnadsplikt 
Utan hinder av tystnadsplikten enligt lagen om offentlighet i myndigheternas verksamhet får uppgifter om enskildas eller sammanslutningars ekonomiska ställning eller affärs- eller yrkeshemligheter eller enskildas personliga förhållanden, som erhållits vid utförande av åligganden enligt denna lag, lämnas ut till 
1) tillsynsmyndigheten för utförande av uppgifter som avses i denna lag, 
2) åklagar- och polismyndigheter för utredande av brott, 
3) Kommunikationsverket, om det är nödvändigt för skötseln av informationssäkerhetsrelaterade uppgifter. 
Denna lag träder i kraft den 20 . 
11. 
Lag 
om ändring av lagen om Finansinspektionen 
I enlighet med riksdagens beslut 
fogas till lagen om Finansinspektionen (878/2008) en ny 50 n och en ny 52 a § som följer: 
50 n § 
Behörig myndighet enligt direktivet om nät- och informationssäkerhet 
Finansinspektionen är behörig myndighet enligt artikel 8.1 i Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, nedan direktivet om nät- och informationssäkerhet, när det gäller sektorerna 3 och 4 i bilaga II till direktivet. 
52 a § 
Samarbete och utbyte av information vid skötseln av uppgifter enligt direktivet om nät- och informationssäkerhet 
Finansinspektionen ska samarbeta med Kommunikationsverket och andra behövliga myndigheter vid skötseln av uppgifter enligt direktivet om nät- och informationssäkerhet. Finansinspektionen har rätt att för detta ändamål trots sekretessbestämmelserna utbyta information med Kommunikationsverket och andra behövliga myndigheter. 
Denna lag träder i kraft den 20 . 
Utskottets nya lagförslag
12. 
Lag 
om ändring av 6 § i lagen om Tillstånds- och tillsynsverket för social- och hälsovården 
I enlighet med riksdagens beslut 
ändras i lagen om Tillstånds- och tillsynsverket för social- och hälsovården (669/2008) 6 §, sådan den lyder delvis ändrad i lagarna 1068/2009, 1569/2009 och 818/2015, som följer: 
6 § 
Utlämnande av uppgifter 
Statliga och kommunala myndigheter samt andra offentligrättsliga sammanslutningar, Folk-pensionsanstalten, Pensionsskyddscentralen, patientskadenämnden, pensionsstiftelser och andra pensionsanstalter, försäkringsanstalter, sammanslutningar eller inrättningar som bedriver service- eller sjukvårdsverksamhet, producenter av privat socialservice och apoteken är skyldiga att på begäran avgiftsfritt och oberoende av sekretessbestämmelserna ge verket de upplysningar och utredningar som är nödvändiga för att utföra de uppgifter som avses i 2 §. 
De i 1 mom. avsedda myndigheterna, anstalterna, sammanslutningarna och inrättningarna samt apoteken har trots sekretessbestämmelserna rätt att även utan begäran från verket underrätta detta om en sådan omständighet som kan äventyra klient- eller patientsäkerheten eller sundheten eller säkerheten i livsmiljön eller hos befolkningen eller som kan inverka på bedömningen av tillförlitligheten hos en verksamhetsutövare som står under tillsyn. 
Trots sekretessbestämmelserna har verket och regionförvaltningsverken rätt att till varandra lämna ut upplysningar och utredningar som behövs för de uppgifter som avses i 2 §. 
Verket har trots sekretessbestämmelserna rätt att lämna ut information för Kommunikationsverket, om det är nödvändigt för skötseln av informationssäkerhetsrelaterade uppgifter. (Nytt) 
De upplysningar och utredningar som avses i 3 mom. kan också lämnas ut via en teknisk an-slutning. Innan anslutningen öppnas ska det säkerställas att uppgifterna skyddas på behörigt sätt. 
Denna lag träder i kraftden 20
Helsingfors 22.3.2018 
I den avgörande behandlingen deltog
ordförande
Ari
Jalonen
blå
vice ordförande
Mirja
Vehkaperä
cent
medlem
Mikko
Alatalo
cent
medlem
Jyrki
Kasvi
gröna
medlem
Jukka
Kopra
saml
medlem
Mia
Laiho
saml
medlem
Mats
Löfström
sv
medlem
Eeva-Maria
Maijala
cent
medlem
Jani
Mäkelä
saf
medlem
Markku
Pakkanen
cent
medlem
Jari
Ronkainen
saf
medlem
Satu
Taavitsainen
sd
medlem
Katja
Taimela
sd
medlem
Ari
Torniainen
cent.
Sekreterare var
utskottsråd
Juha
Perttula.
Senast publicerat 27.3.2018 11:09