FÖRSVARSUTSKOTTETS UTLÅTANDE 10/2013 rd

FsUU 10/2013 rd - RP 54/2013 rd

Granskad version 2.0

Regeringens proposition till riksdagen med förslag till lag om verksamheten i den offentliga förvaltningens säkerhetsnät och lag om ändring av 2 § i kommunikationsmarknadslagen

Till förvaltningsutskottet

INLEDNING

Remiss

Riksdagen remitterade den 29 maj 2013 regeringens proposition med förslag till lag om verksamheten i den offentliga förvaltningens säkerhetsnät och lag om ändring av 2 § i kommunikationsmarknadslagen (RP 54/2013 rd) till förvaltningsutskottet för beredning och bestämde samtidigt att försvarsutskottet ska lämna utlåtande om ärendet till förvaltningsutskottet.

Sakkunniga

Utskottet har hört

konsultativ tjänsteman Timo Nuutinen och föredragande Kosti Honkanen, försvarsministeriet

avdelningschef Auni-Marja Vilavaara, statsrådets kansli

dataadministrationsdirektör Ari Uusikartano, utrikesministeriet

IKT-direktör Timo Valli, finansministeriet

konsultativ tjänsteman Timo Kievari, kommunikationsministeriet

chef för ledningssystemsavdelningen, brigadgeneral Ilkka Korkiamäki, direktör för Försvarsmaktens Ledningssystemcentral, kommodor Timo Saastamoinen och major Juha Lehto, Huvudstaben

dataadministrationschef Janne Suuriniemi, Polisstyrelsen

direktör Sauli Savisalo, Försörjningsberedskapscentralen

verkställande direktör Timo Lehtimäki, Suomen Erillisverkot Oy

verkställande direktör Olli Martikainen

PROPOSITIONEN

Regeringen föreslår en lag om verksamheten i den offentliga förvaltningens säkerhetsnät och en ändring av kommunikationsmarknadslagens definition på myndighetsnät.

Den föreslagna lagen avses föreskriva om den offentliga förvaltningens säkerhetsnät, tjänsterna i nätet, användningen av tjänsterna och säkerhetsnätets övriga verksamhet. Enligt förslaget ska lagen under normala förhållanden och vid störningar under normala förhållanden samt under undantagsförhållanden säkerställa att den kommunikation som är viktig för den högsta statsledningens beslutsfattande och säkerheten i samhället är störningsfri och att informationen är lättillgänglig, integrerad och konfidentiell.

Enligt den föreslagna lagen är säkerhetsnätet ett myndighetsnät som är i statens ägo och besittning. Det ska omfatta ett kommunikationsnät, infrastrukturen i omedelbar anslutning till nätet och de gemensamma tjänsterna i nätet. Lagen avses innehålla bestämmelser om en skyldighet att använda säkerhetsnätet och om annan användning samt om tjänsteproduktionen i fråga om säkerhetsnätet och de gemensamma tjänsterna. Enligt förslaget ska lagen också föreskriva om en styrningsmodell för verksamheten i säkerhetsnät.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Enligt propositionen ska verksamheten i säkerhetsnätet bestå av själva nätet och dess styrning. Det huvudsakliga ansvaret för verksamheten ska bäras av de myndigheter som svarar för säkerheten i samhället, såsom bl.a. försvarsministeriet. Till verksamhetshelheten ska emellertid också höra uppgifter som stöder myndigheternas verksamhet och som kräver teknisk och funktionell specialexpertis. Det är inte är fråga om utövning av offentlig makt i dessa uppgifter, och enligt lagförslaget ska de också kunna skötas av någon annan än en myndighet inom den offentliga förvaltningen. Enligt lagförslaget ska åtminstone det helt statsägda aktiebolaget Suomen Erillisverkot Oy eller ett av bolaget helägt dotterbolag vara en tjänsteproducent som ansvarar för sådana uppgifter.

Konsekvenser för försvarsmakten

Säkerhetsnätet bygger på försvarsmaktens kommunikationsnät, som enligt förslaget ska överlämnas till Suomen Erillisverkot Oy. Det är meningen att försvarsmakten fortsatt ska delta i företagets tjänsteproduktionen när det gäller undervattenskabelnätet. Som utskottet ser det är statligt ägande och statlig förvaltning det bästa sättet att ha kontroll över att säkerhetsnätet hålls säkert och är tillgängligt i alla förhållanden. Utskottet erinrar om att alla tjänsteproducenter i säkerhetsnätet måste åläggas att ha beredskap för undantagsförhållanden. Det måste vidare gå att särskilt utfärda förpliktande bestämmelser om detta genom förordning av statsrådet.

Den lösning som ingår i lagförslaget kan få omfattande konsekvenser för försvarsmaktens verksamhet. Om försvarsmakten inte längre har hand om säkerhetsnätsverksamheten kan flera potentiellt allvarliga problem uppstå, och detta måste beaktas när lagen verkställs, poängterar utskottet. Enligt utskottet kommer den aktuella överlåtelsen av rörelse att ha stor inverkan på det militära försvarets verksamhetsförutsättningar, i synnerhet när det gäller ledarskap, underrättelse och it-försvar samt att övervaka och garantera den territoriella integriteten.

Dessutom kommer processerna inom försvarets nättjänster att bli mer komplicerade, de anknytande påverkningsmöjligheterna att bli snävare och övervakningen och förvaltningen av nätet delvis att flyttas bort från försvarsmaktens egen kontroll. Det som särskilt bör uppmärksammas är säkerhetsnätets övergripande säkerhet, funktionsförmågan under undantagsförhållanden och företagets förmåga när verksamheten inleds.

Verksamheten i säkerhetsnätet berör en ansenlig mängd säkerhets- och försvarssekretessrelaterad information som måste skyddas med alla till buds stående medel. Det är viktigt, menar utskottet, att också de företag eller organisationer som producerar tjänster i säkerhetsnätet åläggs att följa samma sekretessbestämmelser som myndigheterna och att man kontrollerar alla som hanterar sekretessbelagd information som gäller säkerhetsnätet.

Utskottet understryker att överlåtelsen inte ska genomföras förrän försvaret och nätbolaget nått en samsyn och är säkra på att säkerhetsåtgärderna är tillräckliga och att den operativa verksamheten inte äventyras när rörelsen överlåts.

Enligt utskottet kan det bli svårt för försvarsmakten att i tillräckligt snabb takt få tillgång till de nätresurser som behövs för höjd militär beredskap i situationer där det ännu inte är fråga om ett försvarstillstånd enligt lagen om försvarstillstånd (1083/1991). Den föreslagna 13 § innehåller bestämmelser om vem som får besluta om användningen av säkerhetsnätet under normala förhållanden och undantagsförhållanden. Enligt expertutlåtanden som utskottet tagit del av är det viktigaste med tanke på försvarsförvaltningens ansvar att tillgången till nätresurser säkerställs i synnerhet vid undantagsförhållanden enligt 3 § 1 och 2 punkten (väpnat angrepp och hot om väpnat angrepp) i beredskapslagen och vid försvarstillstånd. Det är viktigt att rätten att besluta om prioritet, skyndsamhet och andra viktighetsklassificeringar under försvarstillstånd regleras i bestämmelsen för att dessa frågor inte på det som anges i 13 § ska behandlas i enlighet med beredskapslagen.

Med tanke på försvarets förutsättningar att fullgöra sitt uppdrag är det av största vikt att försvarsmakten kan lita på att säkerhetsnätet fungerar och är säkert utan avbrott i alla lägen. För försvarets vidkommande kan modellen enligt lagförslaget innebära säkerhetsrisker, särskilt i inlednings- och övergångsskedet. Som utskottet ser det går det att hantera dessa risker både till omfattning och vid eventualiteten att de realiseras tack vare de i lagen inskrivna kraven på säkerhet, förberedelser, beredskap och kontinuitet som gäller säkerhetsnätet generellt och de tillhörande utvärderings- och verifieringsförfarandena. Kraven kan gälla exempelvis riskhantering, upprätthållande av skyddsnivåerna, valet av underleverantörer, upprättande av säkerhetsavtal som gäller verksamheten, rekrytering och, i fråga om eventuella utländska intressentgrupper, säkerhetsutredningar som gäller företag och personer.

Det är viktigt att försvarsförvaltningen får bestämma vilka till militärt försvar relaterade informationssystem som ska ingå i säkerhetsnätet och vilka system förvaltningen ska producera själv, menar utskottet. Omfattningen av obligatoriet när det gäller användningen av informations- och kommunikationstekniska tjänster är inte klarlagd ännu, eftersom inga förordningar som anknyter till lagen finns klara. Utskottet understryker att försvaret även i fortsättningen i syfte att trygga verksamheten under undantagsförhållanden behöver egen kapacitet att övervaka, operera i, bygga upp och upprätthålla nätet så att krigsförband kan kopplas till säkerhetsnätet.

Här vill utskottet poängtera att uppgifter om säkerhetsnätets lokaler och strukturer inte finns att tillgå i offentliga register. Det är bara de aktörer och myndigheter som har direkt koppling till verksamheten i säkerhetsnätet som har tillgång till uppgifterna.

Finansiering, ledning och produktivitet

Enligt sakkunniga måste man komma ihåg att störningar i nätet ofta har kopplingar till mer omfattande störningar i samhället. Därför bör nätet ledas efter samma principer som gäller när störningar ska hanteras både under normala förhållanden och under undantagsförhållanden. Den strategiska ledningen bör utforma tydliga principer och mål för agerandet under undantagsförhållanden, understryker utskottet. Det är också angeläget att besluta om prioriteringarna inom tjänsteproduktionen och att bestämma hur och under vems ledning övningen av verksamheten under undantagsförhållanden ska ske.

Utskottet ser det som viktigt att man målmedvetet satsar på att styrmodellen för säkerhetsnätet rationaliseras och förtydligas, i synnerhet eftersom det är fråga om en organisation där behovet av tydliga styrförhållanden och korta styrkedjor accentueras under störningar som avviker från normalläget. På ledningscentralnivå måste det finnas tillräckliga anvisningar för hur trafiken vid behov ska prioriteras.

Styrmodellen och anvisningarna ska vara så pass tydliga att inga oklarheter finns i fråga om styr- och ledningsförhållandena i olika situationer.

Styrningen och övervakningen ska ske med beaktande av de enskilda myndigheternas särdrag. Utskottet understryker vikten av att lägga fast ledningssystemet för krislägen och att målmedvetet starta upp styrmodellen operativt.

Dessutom vill utskottet ta upp frågan om kontrollen av kostnaderna för den offentliga förvaltningens projekt för informations- och kommunikationsteknik (IKT) och hur produktivitetsvinst ska uppnås. Erfarenheterna har inte varit alltigenom uppmuntrande. Lagförslaget medger att olika organisationer producerar tjänster för olika delar av säkerhetsnätet. Av detta följer enligt uppgift tilläggskrav i synnerhet när det gäller kontrollsystemens kompatibilitet, den prestationsbaserade kostnadskalkylen av tjänsterna och bedömningen av tjänsternas säkerhet, kvalitet, produktivitet och effektivitet. Allt detta måste beaktas särskilt. Utöver detta poängterar utskottet att kostnadsutvecklingen i fortsättningen hålls under kontroll och att verksamheten ska kännetecknas av så god framförhållning som möjligt i den ekonomiska planeringen, särskilt när nya investeringar planeras och tjänsterna i nätet utvecklas.

Parallellt med detta lagförslag behandlas en proposition (RP 150/2013 rd), som anknyter till produktionen av statens gemensamma, branschoberoende informations- och kommunikationstekniska tjänster (Tori). Syftet med det projektet är att både de statliga IKT-servicecentralernas och de statliga myndigheternas branschoberoende informations- och kommunikationstekniska uppgifter ska koncentreras bl.a. så att det klart går att peka på totalekonomiska inbesparingar inom statsförvaltningen till följd av sammanslagningen och att det garanteras att tjänsterna är driftssäkra också under övergångsskedet. Vidare pågår ett projekt för planering av arkitekturen för en nationell integrationsplattform inom statsrådet. Syftet med det är att för informationsutbytets del svara mot de krav som ställs på tillförlitlighet och datasäkerhet i fråga om den offentliga förvaltningens verksamhet. Utskottet understryker vikten av samordning av dessa propositioner och projekt, särskilt ur tjänsteproduktionens synvinkel.

Utskottet anser att man bör överväga att komplettera statens gemensamma analysram för datasystemsprojekt, som finansministeriet tagit fram, med säkerhetskraven på tjänsterna. Samtidigt måste en utvärdering ske av hur målen uppfyllts i fråga om säkerhet, kvalitet, produktivitet och effektivitet. En särskild utmaning består i hur nödvändig konfidentialitet ska kombineras med behövlig öppenhet. Projektet ska också bestämma kriterier som gör det möjligt att utvärdera och kvantifiera verksamheten i säkerhetsnätet.

Ställningstagande

Försvarsutskottet föreslår

att förvaltningsutskottet beaktar det som sägs ovan.

Helsingfors den 24 oktober 2013

I den avgörande behandlingen deltog

  • ordf. Jussi Niinistö /saf
  • vordf. Seppo Kääriäinen /cent
  • medl. Tuija Brax /gröna
  • Lars Erik Gästgivars /sv
  • Timo Heinonen /saml
  • Mika Kari /sd (delvis)
  • Esko Kurvinen /saml
  • Pentti Oinonen /saf
  • Eero Reijonen /cent
  • Mikko Savola /cent (delvis)
  • Ismo Soukola /saf
  • Pauliina Viitamies /sd
  • Sofia Vikman /saml (delvis)
  • Tuula Väätäinen /sd
  • Jyrki Yrttiaho /vg

Sekreterare var

utskottsråd Juha Martelius

AVVIKANDE MENING

Motivering

Enligt propositionen ska ett dotterbolag till det helt statsägda aktiebolaget Suomen Erillisverkot Oy i fortsättningen producera alla säkerhetsmyndigheters nät- och infrastrukturtjänster. Det framgår inte av propositionsmotiven varför aktiebolagsmodellen valts, trots att det är fråga om en offentlig förvaltningsuppgift som bara en offentlig myndighet kan ha övergripande ansvar för. Hur kan man i praktiken säkerställa att ett företag som får omfattande rättigheter när det gäller att förvalta och använda utrustning och tillhörande lokaler för nätinfrastrukturen helt kommer att kvarstå i statens ägo och hur säkerställer man säkerhetsnivå och tillförlitlighet när det gäller underleverantörsföretag som fungerar på marknadsvillkor? Det företag som producerar tjänsterna kommer i praktiken att fatta beslut utan myndighetsstyrning om omfattande offentligt finansierade upphandlingar och att stå i beroendeförhållande till multinationella telekomföretag. Parallellt med detta säkernätsprojekt (Tuve) behandlar riksdagen en proposition som gäller produktionen av statens gemensamma, branschoberoende informations- och kommunikationstekniska tjänster (Tori). Där är det en statlig myndighet som svarar för tjänsteproduktionen, inte ett aktiebolag. Ingen faktisk offentlig debatt har förts om de olika modellernas användbarhet. Valet av koncept skedde redan för flera år sedan, och projektet har framskridit. Flera tiotal miljoner euro har allokerats till projektet. Riksdagen ställs nu inför fullbordat faktum i form av en proposition.

Regeringen påstår också att säkerhetsnätprojektet eftersträvar betydande kostnadsinbesparingar. Kostnaderna för nätlösningar för en hög säkerhetsnivå är mångdubbla jämfört med andra sätt att höja säkerhetsnivån, vilka i sin tur är kostar mångdubbelt mer än baslösningar. En stor del av de aktörer som ska ingå i nätet har inget som helst behov av applikationer för höga dataskyddsnivåer. I sin nuvarande utformning innebär lagen emellertid att alla säkerhetsmyndigheter måste börja använda lösningarna på den höga nivån. Detta orsakar betydande och till stora delar onödiga extrakostnader för exempelvis räddningsverken, den prehospitala akutsjukvården och många andra myndigheter som ska ingå i nätet. Dessutom är ett samlat säkerhetsnät mycket sårbart för it-attacker och andra störningar, och även kostnaderna för att skapa och underhålla reservsystem ökar.

Den föreslagna lagen innehåller betydande reglering av uppgifter som innebär betydande utövning av offentlig makt. Enligt grundlagen får sådana uppgifter bara ges myndigheter. Därför borde propositionen också ha behandlats av grundlagsutskottet och till alla delar bedömts med avseende på grundlagsenlighet och lagstiftningsordning.

Avvikande mening

Jag föreslår

att förvaltningsutskottet beaktar det som sägs ovan.

Helsingfors den 24 oktober 2013

  • Jyrki Yrttiaho /vg