HALLINTOVALIOKUNNAN MIETINTÖ 13/2010 vp

HaVM 13/2010 vp - HE 53/2010 vp

Tarkistettu versio 2.0

Hallituksen esitys laeiksi kansainvälisistä tietoturvallisuusvelvoitteista annetun lain sekä viestintähallinnosta annetun lain 2 §:n muuttamisesta

JOHDANTO

Vireilletulo

Eduskunta on 6 päivänä toukokuuta 2010 lähettänyt hallintovaliokuntaan valmistelevasti käsiteltäväksi hallituksen esityksen kansainvälisistä tietoturvallisuusvelvoitteista annetun lain sekä viestintähallinnosta annetun lain 2 §:n muuttamisesta (HE 53/2010 vp).

Lausunnot

Eduskunnan päätöksen mukaisesti liikenne- ja viestintävaliokunta ja puolustusvaliokunta ovat antaneet asiasta lausunnot (LiVL 8/2010 vp PuVL 6/2010 vp), jotka on otettu tämän mietinnön liitteiksi.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

lainsäädäntöneuvos Kaija Suvanto, ulkoasiainministeriö

lainsäädäntöneuvos Anna-Riitta Wallin, oikeusministeriö

tietohallintopäällikkö, tekniikan tohtori Catharina Candolin, Pääesikunta

ylitarkastaja Lotta Lampela, suojelupoliisi

johtaja Timo Lehtimäki, Viestintävirasto

Lisäksi kirjallisen lausunnon ovat antaneet

  • sisäasiainministeriö
  • valtiovarainministeriö
  • puolustusministeriö
  • liikenne- ja viestintäministeriö
  • tietosuojavaltuutettu
  • Poliisihallitus
  • Elinkeinoelämän keskusliitto EK ry
  • FiCom ry.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan kansainvälisistä tietoturvallisuusvelvoitteista annettua lakia muutettavaksi. Esityksen mukaan suojelupoliisille annettaisiin tehtäväksi huolehtia kansainvälisen tietoturvallisuusvelvoitteen perusteella tehtävästä elinkeinonharjoittajan luotettavuuden selvittämisestä sekä sen perusteella tehdyistä arvioista muissa kuin puolustushallinnon alaan kuuluvissa asioissa. Pääesikunta vastaa nykyisen lain mukaan selvitysten laadinnasta kaikilta osin. Käytännössä tehtävät niin sanotun siviilipuolen asioissa ovat siirtyneet laissa olevan valtuutuksen nojalla tehdyllä pääesikunnan ja suojelupoliisin välisellä sopimuksella suojelupoliisille.

Esityksessä ehdotetaan lain salassapitosäännöksen muotoilua uudelleen. Ehdotuksen mukaan salassapitovelvollisuuden laajuus olisi riippuvainen siitä, mitä kansainvälinen tietoturvallisuusvelvoite kulloinkin edellyttää.

Tietojärjestelmien ja tietoliikennejärjestelyjen turvallisuuteen liittyvistä arviointitehtävistä vastaavaksi viranomaiseksi laissa säädettäisiin Viestintävirasto. Uuden tehtävän vuoksi muutettaisiin myös viestintähallinnosta annettua lakia.

Ehdotetut lait ovat tarkoitetut tulemaan voimaan mahdollisimman pian niiden tultua hyväksytyiksi ja vahvistetuiksi.

VALIOKUNNAN KANNANOTOT

Perustelut

Yleistä

Valiokunnan saaman selvityksen mukaan kansainvälisessä yhteistyössä on yhä laajemmin tarpeen vaihtaa salassa pidettäviä ja luonteeltaan arkaluonteisia tietoja. Viime vuosikymmenen aikana eri valtioiden välillä onkin tehty lukuisia sopimuksia turvallisuusluokiteltujen tietojen vaihtamisesta ja suojaamisesta. Kasvavien tietoturvallisuusvaatimusten vuoksi Suomessa säädettiin vuonna 2004 laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004). Lainsäädäntöä on nyt tarpeen kehittää niin, että Suomi voi vastata kansainvälisistä velvoitteistaan ja olla mukana erilaisissa niin puolustushallinnon kuin siviilihallinnonkin hankkeissa, joissa turvaluokitellun tiedon vaihto on tarpeen.

Hallituksen esityksen perusteluista ilmenevistä syistä ja saamansa selvityksen perusteella valiokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Valiokunta puoltaa lakiehdotusten hyväksymistä muuttamattomina.

Vaikutukset viranomaisten toimintaan

Ulkoasiainministeriö jatkaa 1. lakiehdotuksen 4 §:n 1 momentin mukaan kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena (National Security Authority, NSA). Pykälän 2 momentin mukaan se saa uutena tehtävänä valtionhallinnon sisäisen koordinaatiotehtävän sen varmistamiseksi, että laissa tarkoitetut erityissuojattavat tietoaineistot suojataan ja niitä käsitellään asianmukaisesti. Hallintovaliokunta katsoo, että kansallisen turvallisuusviranomaisen tehtävien täsmentäminen 4 §:n 2 momenttia muuttamalla on tarpeen kansainvälisen yhteistyön toimivuuden varmistamiseksi.

Puolustusministeriö, pääesikunta, suojelupoliisi ja Viestintävirasto toimisivat lakiehdotuksen 4 §:n 1 momentin mukaan kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina (Designated Security Authority, DSA). Suojelupoliisin ja Viestintäviraston tehtävät laajenisivat esitykseen sisältyvien ehdotusten mukaan nykyisestä.

Suojelupoliisi hoitaa ehdotettujen säännösten mukaan vastaisuudessa yhteisöturvallisuusselvitysten laadinnan ja niihin liittyvät arvioinnit niin sanotuissa siviilipuolen hankinnoissa. Pääesikunta jatkaa yhteisöturvallisuusselvitysten tekemistä omalla erityisosaamisalueellaan puolustusteollisuuden alalla.

Koska suojelupoliisi on käytännössä hoitanut sille nyt osoitettavia tehtäviä jo heinäkuusta 2009 alkaen, valiokunta katsoo, että käsiteltävänä oleva hallituksen esitys vahvistaa tämän menettelyn de jure.

Lakiehdotuksen 4 §:n 3 momentin mukaan Viestintävirasto toimisi kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tietojärjestelmien ja tietoliikenteen tietoturvallisuudesta vastaavana viranomaisena. Uusien tehtävien vuoksi myös viestintähallinnosta annettua lakia (625/2001) esitetään muutettavaksi.

Käytännössä Viestintävirastossa aloitti jo vuoden 2010 alussa toimintansa uusi kansallinen tietoturvaviranomainen (National Communication Security Authority, NCSA-FI), joka toimii asiantuntijana turvaluokitellun aineiston sähköiseen tiedonsiirtoon ja käsittelyyn liittyvissä turvallisuusasioissa ja hoitaa näihin asioihin liittyviä kansainvälisistä tietoturvallisuusvelvoitteista johtuvia tehtäviä.

Valiokunta katsoo, että uusien tehtävien uskominen Viestintävirastolle on tarkoituksenmukaista ottaen huomioon viraston jo nykyisin hoitamat tehtävät. Viestintävirasto hoitaa käytännössä jo tällä hetkellä useita tietoliikenteen ja tietojärjestelmien tietoturvallisuuteen kuuluvia tehtäviä.

Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 5 §:n 2 momentin mukaan, jota ei nyt esitetä muutettavaksi, kansallinen turvallisuusviranomainen ja tehtävään määrätyt turvallisuusviranomaiset voivat sopia tietyn tehtävän tai tehtäväkokonaisuuden hoitamisesta toisen turvallisuusviranomaisen lukuun, jos järjestely on tarpeen tehtävien hoitamiseksi tarkoituksenmukaisesti, taloudellisesti ja joutuisasti.

Hallintovaliokunta toteaa, että mainittu lainkohta antaa mahdollisuuden turvata viranomaisten välisin sopimuksin muun muassa puolustusvoimien erityistarpeet, joihin asiantuntijalausunnoissa on kiinnitetty huomiota. Tämä olisi puolustusvaliokunnan lausunnon (PuVL 6/2010 vp) mukaan tarpeen niissä tilanteissa, joissa puolustusvoimilta edellytetään vastuuta tietojärjestelmien ja tietoliikenteen turvallisuudesta ja joissa siviiliviranomaisten suorittama auditointi ei ole mahdollista.

Salassapitosäännöksen täsmentäminen

Kansainvälistä tietoturvallisuusvelvoitteista annettua lakia ehdotetaan muutettavaksi myös siten, että salassapitovelvollisuuden laajuus olisi riippuvainen kansainvälisessä sopimuksessa tai muussa kansainvälisessä velvoitteessa osoitetusta salassapitovelvollisuudesta.

Koska ei ole tarkoituksenmukaista, että Suomi noudattaa laajempaa salassapitovelvollisuutta kuin muut sopimuspuolet, valiokunta katsoo, että on perusteltua ottaa 1. lakiehdotuksen 6 §:n 1 momenttiin edellä kuvatun lainen lauseke. Muutoksella on mahdollista varautua myös myöhemmin käsittelyyn tuleviin kansainvälisiin sopimuksiin, ja se on omiaan selkeyttämään pykälän sisältöä myös sikäli, että salassapitosäännös ei estä tietojen luovuttamista silloin, kun se tapahtuu sopimuksen mukaisesti.

Taloudelliset ja henkilöstövaikutukset

Suojelupoliisin ja Viestintäviraston tehtävät laajenevat esitykseen sisältyvien ehdotusten myötä nykyisestä.

Suojelupoliisi arvioi, että yhteisöturvallisuusselvityksiä koskevien tehtävien hoitaminen edellyttää ainakin kolmen henkilön vuotuista lisätarvetta. Tätä tarvetta ei ole huomioitu valtion vuoden 2011 talousarvioesityksessä. Toiminta on saatu käynnistettyä sisäasiainministeriön vuonna 2009 suojelupoliisin kehykseen osoittaman kolme henkilötyövuotta kattavan määrärahan avulla.

Viestintävirastolle on valtion talousarviossa vuodelle 2010 varattu määräraha NSCA-viranomaisen tehtävien hoitamiseen. Saadun selvityksen mukaan tällä mahdollistetaan kuitenkin ainoastaan toiminnan liikkeelle lähteminen, mutta jatkossa tehtävien hoitamista varten tarvittaisiin nykyistä suurempi määräraha. Toiminnan ollessa neljän vuoden kuluttua täysimääräisesti käynnissä, henkilöresurssien lisätarpeeksi on liikenne- ja viestintävaliokunnan lausunnon (LiVL 8/2010 vp) mukaan arvioitu kymmenen henkilötyövuotta. Toiminnan toteuttaminen vaatii lisäksi välttämättä riittävällä tavalla suojattuja suojatiloja ja teknisiä järjestelmiä.

Hallintovaliokunta katsoo, että on tärkeää, että suojelupoliisille osoitetaan yhteisöturvallisuusselvityksiä koskevien tehtävien hoitamiseen riittävät henkilöresurssit, vaikka selvityksistä onkin vastaisuudessa tarkoitus periä maksuperustelain mukainen maksu. On myös välttämätöntä, että Viestintävirastolle järjestetään tarvittavat henkilöresurssit kansainvälisten tietoturvavelvoitteiden piirissä olevien tietoliikenteen ja tietojärjestelmien turvallisuuden arviointiin samoin kuin riittävällä tavalla suojatut suojatilat ja tekniset järjestelmät.

Päätösehdotus

Edellä esitetyn perusteella hallintovaliokunta ehdottaa,

että lakiehdotukset hyväksytään muuttamattomina.

Helsingissä 22 päivänä syyskuuta 2010

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Antti Rantakangas /kesk
  • vpj. Tapani Mäkinen /kok
  • jäs. Marko Asell /sd
  • Juha Hakola /kok
  • Heli Järvinen /vihr
  • Pietari Jääskeläinen /ps
  • Oiva Kaltiokumpu /kesk
  • Outi Mäkelä /kok
  • Petri Pihlajaniemi /kok
  • Raimo Piirainen /sd
  • Lenita Toivakka /kok
  • Unto Valpas /vas
  • vjäs. Veijo Puhjo /vas

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Tuula Sivonen