Käsiteltävänä olevassa hallituksen esityksessä on kysymys Pohjois-Atlantin sopimuksen osapuolten välillä tietoturvallisuudesta tehdyn sopimuksen ja sen nojalla annettujen turvallisuussääntöjen hyväksymisestä sekä niiden kansallista voimaansaattamista koskevasta lainsäädännöstä. Samalla ehdotetaan, että eduskunta hyväksyy nykyisten Suomen ja Pohjois-Atlantin liiton (Nato) kesken vaihdettavan turvallisuusluokitellun tiedon suojaamiseksi tehdyn hallinnollisen järjestelyn ja kahdenvälisen tietoturvallisuussopimuksen irtisanomisen. Hallintovaliokunta puoltaa esitykseen sisältyvien ehdotusten hyväksymistä. 

Eduskunta on hyväksynyt Pohjois-Atlantin sopimuksen 1.3.2023 (EV 327/2022 vp — HE 315/2022 vp). Suomesta on tullut Pohjois-Atlantin sopimuksen (SopS 17 ja 18/2023) osapuoli ja Naton jäsen 4.4.2023, kun Suomen liittymiskirja on talletettu Yhdysvaltojen hallituksen huostaan. Naton jäsenvaltioiden välinen tietoturvallisuussopimus on yksi kuudesta sopimuksesta, joihin Suomi on sitoutunut liittymään 12 kuukauden kuluessa mainitun liittymiskirjan tallettamisesta. 

Vuonna 1997 tehty tietoturvallisuussopimus sisältää Pohjois-Atlantin sopimuksen osapuolten välillä sovellettavat määräykset turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta ja turvaamisesta. Sopimusta sovelletaan Suomen ja Naton välillä vaihdettavan turvallisuusluokitellun tiedon lisäksi sellaiseen jäsenvaltioiden välillä vaihdettavaan turvallisuusluokiteltuun tietoon, joka toimitetaan Naton ohjelman, hankkeen tai sopimuksen tueksi. Hallintovaliokunta pitää tärkeänä, että tietoturvallisuussopimus saatetaan voimaan mahdollisimman pian, jotta Suomi voi täysimääräisesti vastaanottaa Naton turvallisuusluokiteltua tietoa ja osallistua tiedonvaihtoa sisältävään jäsenvaltioiden väliseen yhteistyöhön. 

Tietoturvallisuussopimuksen keskeisenä lähtökohtana on, että sopimuksen osapuolet säilyttävät niille luovutetun tiedon turvallisuusluokituksen ja pyrkivät kaikin keinoin turvaamaan tietoa. Tietoa ei luovuteta kolmansille osapuolille ilman tiedon luovuttajan suostumusta. Valiokunta korostaa turvallisuusluokitellun tiedon suojaamisen ja turvaamisen keskeistä merkitystä toimivassa kansainvälisessä yhteistyössä.  

Sopimuksen osapuolet laativat ja panevat täytäntöön turvallisuusvaatimuksia, joilla varmistetaan turvallisuusluokitellun tiedon yhteinen suojauksen taso. Naton turvallisuussääntöjen vaatimukset koskevat henkilöstöturvallisuutta, tietoaineistoturvallisuutta, toimitilaturvallisuutta, viestintä- ja tietojärjestelmien turvallisuutta sekä yritysturvallisuutta. Vaatimusten noudattamisen valvonnassa on olennaista, että mahdolliset tietoturvapoikkeamat tai -loukkaukset havaitaan ja niistä ilmoitetaan viipymättä toimivaltaiselle turvallisuusviranomaiselle. 

Suomi on jo vuonna 1994 Naton kanssa tehdyllä tietoturvallisuussopimuksella sitoutunut luokittelemaan ja suojaamaan rauhankumppanuusohjelman puitteissa Natolta saadun aineiston sekä laatimaan turvallisuusselvitykset niistä henkilöistä, joilla on pääsy suojattuun aineistoon. Sopimusta on täydennetty vuonna 2012 allekirjoitetulla hallinnollisella järjestelyllä. Nämä kahdenväliset järjestelyt on tarkoitus irtisanoa Suomen liittyessä Naton monenväliseen tietoturvallisuussopimukseen. 

Tietoturvallisuussopimukseen liittyminen ei saadun selvityksen mukaan aiheuta merkittäviä muutoksia nykytilaan, sillä Suomi suojaa ja käsittelee turvallisuusluokiteltua tietoa jo nykyisin Naton turvallisuussääntöjen vähimmäisvaatimusten ja periaatteiden mukaisesti. Sopimukseen liittyminen mahdollistaa kuitenkin esimerkiksi Naton korkeimman turvallisuusluokan (COSMIC TOP SECRET) tiedon saamisen, jollaista ei pääsääntöisesti luovuteta muille kuin jäsenvaltioille. Jäsenvaltioilla on myös jonkin verran kansallista liikkumavaraa turvallisuusluokiteltujen tietojen käsittelyvaatimuksissa. Naton turvallisuustoimisto tulee jatkossa tekemään Suomeen määräajoin turvallisuusluokitellun tiedon suojaamiseen tarkoitettujen turvallisuusjärjestelyjen tarkastuksia nykyisten tarkastusvierailujen sijaan. Suomen viranomaisten turvallisuusluokitellun tiedon suojaamismenettelyt on Naton säännöllisillä tarkastusvierailuilla havaittu toimiviksi.  

Hallituksen esityksen perusteluista ilmenee, että Natoon liittyminen aiheuttaa kertaluontoisia lisäkustannuksia ja pysyviä kiinteitä kustannuksia, jotka liittyvät muun muassa tietoturvallisuusratkaisuihin, toimitilaturvallisuuteen sekä järjestelmien tarkastus- ja hyväksyntätyöhön. Natoon liittyvän tiedon käsittelyn mahdollistavan korkeaa turvallisuutta edellyttävän tietojenkäsittely-ympäristön jatkokehittämiskustannuksiksi arvioidaan noin 20 miljoonaa euroa vuosina 2023—2025. Tämän lisäksi tietojen käsittelytiloihin vaadittavat suojaukset aiheuttavat uusia kustannuksia noin kuusi miljoonaa euroa. Valiokunta pitää tärkeänä, että kansallisen tietojenkäsittely-ympäristön suunnittelussa ja rakentamisessa otetaan huomioon kaikkien hallinnonalojen tarpeet turvallisuusluokitellun tiedon sähköiselle käsittelylle. Valiokunnan käsityksen mukaan sähköinen tiedonsiirto on operatiivisen yhteistyön ja päätöksenteon oikea-aikaisuuden varmistamiseksi välttämätöntä. 

Naton turvallisuusluokitellun tiedon määrä tulee Suomessa kasvamaan Nato-jäsenyyden myötä. Myös tietojen käsittelytarve eri viranomaisissa, ministeriöissä ja yrityksissä lisääntyy nykyisestä. Valiokunta tähdentää, että viranomaisten riittävistä resursseista on huolehdittava turvallisuusluokitellun tiedon ja sitä käsittelevien viranomaisten määrän kasvaessa. Turvallisuusluokitellun tiedon määrän kasvu näkyy etenkin Puolustusvoimissa, ulkoministeriössä ja puolustusministeriössä. Natosta saapuvat asiakirjajakelut ovat kuitenkin lisääntyneet myös esimerkiksi poliisissa. Rajavartiolaitokselle Nato-jäsenyydestä aiheutuvia kustannuksia arvioitaessa on otettava huomioon, että Rajavartiolaitoksella on myös sotilaallisen maanpuolustuksen tehtäviä. Rajavartiolaitoksella tulee olla mahdollisuus ja kyky käsitellä Naton turvallisuusluokiteltua tietoa, sillä Suomen rajoja koskeva tilannekuva on jatkossa osa Naton tilannekuvaa. Tietoturvallisuusjärjestelyjen saattaminen vaaditulle tasolle aiheuttaa poliisissa ja Rajavartiolaitoksessa lisäresurssitarpeita, joiden suuruus ei ole vielä tarkemmin arvioitavissa. 

Tietoturvallisuussopimuksessa tarkoitettuun turvallisuusluokiteltuun tietoon sovelletaan kansainvälisistä tietoturvallisuusvelvoitteista annettua lakia (588/2004). Ulkoministeriö toimii mainitun lain mukaan kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena (National Security Authority, NSA). Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen asiantuntijoina henkilöstö-, yritys- ja toimitilaturvallisuutta koskevissa sekä Liikenne- ja viestintävirasto tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta koskevissa asioissa. Pääosin suojelupoliisin laatimat henkilö- ja yritysturvallisuusselvitykset ovat perusteena kansallisen turvallisuusviranomaisen myöntämille henkilö- ja yritysturvallisuusselvitystodistuksille, jotka liittyvät keskeisesti Naton turvallisuusluokiteltujen tietojen suojaamiseen. Kansallisen järjestelmäkokonaisuuden suunnittelun tuki sekä arviointi- ja hyväksyntäprosessin tehokas toteuttaminen edellyttävät lisäresursointia Liikenne- ja viestintävirastossa. Valiokunta kiinnittää näiltäkin osin huomiota viranomaisten riittävien resurssien varmistamiseen. 

Valiokunta toteaa, että tietoturvallisuussopimus parantaa suomalaisten yritysten mahdollisuuksia osallistua hankintoihin tai tarjouskilpailuihin, joissa edellytetään Naton turvallisuusluokitellun tiedon käsittelyä. Tällaisia hankkeita on esimerkiksi puolustusteollisuudessa.  

Tietoturvallisuussopimuksesta ei aiheudu välttämättömiä muutostarpeita kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin tai muuhun kansalliseen lainsäädäntöön. Valiokunta viittaa voimassa olevan lainsäädännön arvioinnin osalta hallituksen esityksen perusteluihin, joissa tietoturvallisuussopimuksen määräyksiä käsitellään muun muassa viranomaisten toiminnan julkisuudesta annetun lain (621/1999) ja henkilötietojen käsittelyä koskevan lainsäädännön näkökulmista.