VALTIONEUVOSTON KIRJELMÄ

Ehdotus

Euroopan verkko- ja tietoturvavirasto ENISA perustettiin vuonna 2004 Euroopan parlamentin ja neuvoston asetuksella viideksi vuodeksi parantamaan unionin, jäsenvaltioiden ja yritysmaailman valmiuksia ehkäistä, käsitellä ja ratkaista verkko- ja tietoturvaongelmia. Tämän jälkeen viraston toimikautta on jatkettu kaksi kertaa. Nykyinen toimikausi päättyy vuoden 2020 kesäkuussa.  

Komissio antoi 13.9.2017 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi Euroopan kyberturvallisuusvirasto ENISA:sta ja asetuksen EU 526/2013 kumoamisesta sekä tieto- ja viestintäteknologian kyberturvallisuussertifioinneista (”Kyberturvallisuusasetus”) (COM/2017/477). Ehdotuksella säädettäisiin ENISA:lle pysyvä mandaatti ja luotaisiin puitteet tieto- ja viestintäteknologiatuotteiden ja -palveluiden tietoturvasertifioinnille EU:ssa. Ehdotuksen tavoitteena on turvata sisämarkkinoiden toiminta vahvistamalla kyberturvallisuutta, sietokykyä ja luottamusta EU:ssa.  

ENISA muuttuisi Euroopan verkko- ja tietoturvavirastosta Euroopan kyberturvallisuusvirastoksi ja siitä tulisi pysyvä EU-virasto.  

Komissio on valinnut säädösinstrumentiksi asetuksen. Asetuksella kumottaisiin ENISA:n toimintaa nykyisin sääntelevä asetus (EU 526/2013). Asetus olisi jäsenvaltioissa suoraan sellaisenaan sovellettava.  

Asetusehdotus koostuu neljästä osasta. Ensimmäinen osa sisältää säädösehdotuksen tavoitteet, soveltamisalan ja määritelmät. Asetusehdotuksen toinen osa sisältä ENISA:n toimintaa ohjaavat säännökset. ENISA:n toiminnan tavoitteena olisi korkeantason tietoturvan edistäminen EU:ssa. Asetusehdotuksen kolmas osa sisältää säännökset, joilla luotaisiin EU:n laajuinen tieto- ja viestintäteknologiahyödykkeiden sertifioinnin puitekehys. Asetusehdotuksen neljäs osa sisältää loppusäännökset muun muassa voimaantulosta ja kumottavista säännöksistä. 

Valtioneuvoston kanta

Valtioneuvosto pitää tärkeänä, että ehdotuksella pyritään vahvistamaan tietoturvallisuutta koko EU:n alueella, parantamaan tietoturvallisten tuotteiden ja palveluiden saatavuutta sisämarkkinoilla ja edistämään innovaatioita. Pääministeri Juha Sipilän hallitusohjelman kärkihankkeena on, että Suomeen rakennetaan digitaalisen liiketoiminnan kasvuympäristö. Asetusehdotuksen tavoitteiden voidaan katsoa olevan linjassa hallitusohjelman, sen toimeenpanosuunnitelman nojalla laaditun kansallisen tietoturvastrategian ja edellisen hallituksen hyväksymän kyberturvallisuusstrategian kanssa.  

Valtioneuvosto katsoo, että ENISA:n mandaatin muuttuminen pysyväksi parantaisi viraston toimintaedellytyksiä. Se takaisi viraston toiminnan jatkuvuuden ja loisi uusia mahdollisuuksia rekrytoida virastoon korkean tason asiantuntemusta. ENISA:n toimintaa ja tavoitteita tulisi arvioida säännöllisesti, jotta se pystyisi parhaalla tavalla palvelemaan nopealla syklillä muuttuvia ja kehittyviä digitaalisia sisämarkkinoita. Tavoitteena tulee olla määrärahojen tuloksellinen, kustannustehokas ja moitteettoman varainhoidon periaatteiden mukainen käyttö.  

Valtioneuvoston näkemyksen mukaan ENISA:n toimintaa tulisi kehittää vahvistamaan sisämarkkinoita erityisesti niillä alueilla, joilla käyttäjien tarpeiden mukaisten sisäänrakennetusti tietoturvallisten tuotteiden ja palveluiden saatavuus ei vastaa käyttäjien kysyntää. Yksi tällaisista alueista on niin sanottu esineiden internet (Internet of Things, IoT), jolla tarkoitetaan tietoverkkoon liitettyjen laitteiden, ohjelmistojen ja muiden hyödykkeiden muodostamaa kokonaisuutta. Komissio arvioi ehdotuksessaan, että seuraavan vuosikymmenen aikana EU:ssa otetaan käyttöön miljoonia tai jopa miljardeja tietoverkkoon kytkettyjä digitaalisia laitteita. Valtioneuvosto yhtyy komission näkemykseen siitä, että esineiden internet ja muut digitaalisten sisämarkkinoiden keskeiset voimavarat, kuten datatalous ja automatisoituva liikenne, voivat kukoistaa vain, jos ne nauttivat yleistä luottamusta ja niiden tietoturvallisuus on riittävän korkealla tasolla. Lisäksi valtioneuvosto pitää tärkeänä, että käyttäjillä on mahdollisuus suojata luottamuksellinen viestintänsä ja digitaaliset tietonsa asiakastarpeiden mukaan kehittyvillä salaus- ja suojausohjelmistoilla sekä muilla teknologisilla ratkaisuilla. 

Ehdotetun tieto- ja viestintäteknologiahyödykkeiden sertifioinnin puitekehyksen tavoitteita voidaan pitää kannatettava siltä osin kuin sääntelyllä pyrittäisiin lisäämään luottamusta digitaalisille sisämarkkinoille ja vähentämään yrityksille sertifioinnista aiheutuvia kuluja. Ehdotettujen keinojen ja menettelyiden tehokkuutta suhteessa tavoiteltavaan päämäärään tulee kuitenkin vielä arvioida huolellisesti. 

Valtioneuvosto katsoo, että ENISA:n ja komission tulisi edistää erityisesti sellaisten standardien ja sertifiointien kehittymistä, joiden avulla eri toimialoilla tietotekniikkaa ja esineiden internetiä toiminnassaan hyödyntävät käyttäjät voisivat paremmin vakuuttua EU:n sisämarkkinoilla tarjottavien esineiden internetiin liittyvien laitteiden ja ohjelmistojen sisäänrakennetusta tietoturvallisuudesta. Tässä työssä komission ja ENISA:n tulisi ottaa huomioon myös tietoturvallisuuden ja digitaalisen palvelutuotannon parantamiseksi toimialoilla jo käynnissä oleva standardointi- ja sertifiointityö ja välttää päällekkäisyyksiä sen kanssa. Valtioneuvosto pitää myös tärkeänä, että asetusehdotuksella luotavat sertifiointipuitteet tukevat turvallisen automaattisen liikenteen kehittymistä. 

Valtioneuvosto haluaa kiinnittää huomiota siihen, että puitekehys ja sen nojalla laadittavat sertifiointiohjelmat saattaisivat potentiaalisesti vaikuttaa varsin suureen joukkoon erilaisia toimijoita, sillä puitekehyksen alaan kuuluvat tuotteet ja palvelut on asetusehdotuksessa määritelty laajasti. Täsmällisempi määrittely tehtäisiin komission täytäntöönpanosäädöksellä annettavissa sertifiointiohjelmissa, joissa määriteltäisiin niiden hyödykkeiden kategoriat, joita ohjelma koskisi. Asetusehdotuksen ja sen nojalla annettavan alemmanasteisen sääntelyn soveltamisalan vaikutuksia, laajuutta ja tarkoituksenmukaisuutta tulee arvioida jatkovalmistelussa, jotta voidaan varmistua siitä, että sertifioinneilla olisi aidosti positiivisia vaikutuksia ja markkinoille saataisiin nykyistä tietoturvallisempia tuotteita ja palveluita, jotka myös vastaavat käyttäjien tarpeita. 

Valtioneuvosto pitää tärkeänä, että tietoturvallisten tuotteiden standardointi- ja sertifiointitoiminta hyödyttää suomalaisia yrityksiä, muttei aiheuta niille ylimääräistä, kilpailukykyä haittaavaa hallinnollista taakkaa. EU-sääntelystä johtuvat velvoitteet tietoturvariskien hallitsemiseksi tulee voida jatkossakin sovittaa osaksi muiden liiketoiminnan riskien hallintaa. Tähän on kiinnitettävä huomiota erityisesti ehdotukseen liittyvän viranomaistoiminnan jatkovalmistelussa. Ehdotetulla sääntelyllä tulisi kokonaisuudessaankin pyrkiä siihen, ettei sillä tai sen mukaisilla menettelyillä aiheuteta yksityiselle sektorille tai viranomaisille ylimääräistä hallinnollista taakkaa eikä aseteta toimijoita keskenään eriarvoiseen asemaan. 

Valtioneuvosto katsoo, että ENISA:n tulisi toiminnassaan välttää päällekkäisyyksiä kansallisten viranomaisten toiminnan kanssa. Operatiivista yhteistyötä tulisi kehittää ensisijaisesti verkko- ja tietoturvadirektiivissä säädettyjen uusien yhteistyörakenteiden puitteissa, jotta niiden vaikuttavuudesta saataisiin kokemuksia. ENISA:n tehtävien ja asetusehdotuksesta jäsenmaille syntyvien velvoitteiden tulisi olla linjassa verkko- ja tietoturvadirektiivin kanssa. 

Lisäksi valtioneuvosto pitää yleisesti tärkeänä seurata jatkossakin tarkasti EU-instituutioiden ja virastojen hallintomenojen ja henkilöstömäärän kehitystä. Näiden menojen taso olisi kokonaisuutena pyrittävä pitämään maltillisena.