Viimeksi julkaistu 1.8.2025 16.48

Eduskunnan vastaus EV 72/2025 vp HE 27/2025 vp  Hallituksen esitys eduskunnalle laeiksi kyberturvallisuuslain ja julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta

HE 27/2025 vp
LiVM 12/2025 vp

Asia

Hallituksen esitys eduskunnalle laeiksi kyberturvallisuuslain ja julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta (HE 27/2025 vp). 

Valiokuntakäsittely

Valiokunnan mietintö: Liikenne- ja viestintävaliokunta (LiVM 12/2025 vp). 

Päätös

Eduskunta on hyväksynyt seuraavat lait: 

Laki kyberturvallisuuslain muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan kyberturvallisuuslain (124/2025) 3 §:n 2 momentti, 4 §:n 6 momentti, 27 §:n 2 momentti, 28 §:n 4 momentti ja 45 §:n 2 momentti sekä 
lisätään 17 §:ään uusi 6 momentti, 26 §:ään uusi 3 momentti ja 45 §:ään uusi 5 momentti seuraavasti: 
3 § 
Toimijat 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tätä lakia sovelletaan myös toimijaan, joka koostaan riippumatta on: 
1) yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja; 
2) luottamuspalvelun tarjoaja; 
3) aluetunnusrekisterin ylläpitäjä;  
4) DNS-palveluntarjoaja; tai 
5) yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (  /  ) nojalla määritetty kriittinen toimija muulla kuin julkishallinnon toimialalla (kriittinen toimija).  
 Muuttamaton osa säädöstekstistä on jätetty pois 
4 § 
Soveltamisalan rajaukset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tätä lakia sovelletaan kuntalaissa (410/2015) tarkoitettuun kuntaan vain liitteessä I tai II tarkoitetun toiminnan osalta sekä siltä osin, kun kunta on kriittinen toimija.  
 Muuttamaton osa säädöstekstistä on jätetty pois 
17 § 
Poikkeamailmoituksen käsittely 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos 11—13 tai 15 §:ssä tarkoitetun ilmoituksen tai raportin tekee kriittinen toimija, valvovan viranomaisen on toimitettava ilmoituksesta tai raportista tieto viranomaiselle, joka on yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltainen valvomaan kriittistä toimijaa. 
26 § 
Valvovat viranomaiset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos kriittinen toimija ei harjoita liitteessä I tai II tarkoitettua toimintaa, valvova viranomainen määräytyy yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla. 
27 § 
Valvonnan kohdistaminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Keskeisellä toimijalla tarkoitetaan:  
1) liitteessä I tarkoitettua toimijaa, joka ylittää mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset; 
2) hyväksyttyjä luottamuspalvelun tarjoajia, aluetunnusrekisterin ylläpitäjiä sekä DNS-palveluntarjoajia; 
3) yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajia, jotka täyttävät tai ylittävät mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset; 
4) 3 §:n 3 momentissa tarkoitettua toimijaa; sekä  
5) kriittistä toimijaa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
28 § 
Tiedonsaantioikeus 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valvovalla viranomaisella on salassapitosäännösten, 2 momentissa säädetyn salassapitovelvollisuuden ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toiselle valvovalle viranomaiselle, CSIRT-yksikölle ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitetulle valvovalle viranomaiselle, jos se on välttämätöntä tässä laissa tai yhteiskunnan kriittisen infrastruktuurin suojaamisesta annetussa laissa viranomaiselle säädettyä tehtävää varten. Tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.  
 Muuttamaton osa säädöstekstistä on jätetty pois 
45 § 
Viranomaisten yhteistyö 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valvovien viranomaisten, CSIRT-yksikön ja keskitetyn yhteyspisteen on toimittava tarvittaessa yhteistyössä poliisin tai muun esitutkintaviranomaisen, tietosuojavaltuutetun, Finanssivalvonnan ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitetun valvovan viranomaisen kanssa sekä Liikenne- ja viestintäviraston sille ilmailulaissa (864/2014), sähköisen viestinnän palveluista annetussa laissa ja eIDAS-asetuksessa säädettyjen tehtävien osalta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valvovien viranomaisten ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitettujen valvovien viranomaisten on vaihdettava keskenään säännöllisesti tietoja kriittisten toimijoiden määrittämisestä sekä riskeistä, kyberuhkista ja poikkeamista ja muista kuin kyberturvallisuuteen liittyvistä riskeistä, uhkista ja poikkeamista, jotka vaikuttavat kriittisiksi toimijoiksi määritettyihin toimijoihin, sekä näiden riskien, uhkien ja poikkeamien hallintatoimenpiteistä. Valvovan viranomaisen on ilmoitettava yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltaiselle valvovalle viranomaiselle, kun kriittiseen toimijaan kohdistetaan tämän lain 4 luvussa säädettyjä toimivaltuuksia. Valvova viranomainen voi kohdistaa kriittiseen toimijaan valvontaa yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltaisen valvovan viranomaisen pyynnöstä. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
Tätä lakia ja tällä lailla muutettavan lain 10—18 ja 41 §:ää sovelletaan kriittiseen toimijaan kolmen kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. Tällä lailla muutettavan lain 7—9 §:ää sovelletaan kriittiseen toimijaan kuitenkin vasta yhdeksän kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. 
 Lakiehdotus päättyy 

Laki julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
lisätään julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 3 §:ään, sellaisena kuin se on laissa 125/2025, uusi 7 momentti seuraavasti: 
3 § 
Lain soveltamisala ja sen rajoitukset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Poiketen siitä, mitä 3 momentissa säädetään, 4 a lukua sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 1 momentin 1 kohdassa tarkoitettuun viranomaiseen, jos se on yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (  /  ) nojalla määritetty kriittinen toimija julkishallinnon toimialalla. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
Tällä lailla muutettavan lain 4 a lukua sovelletaan kriittiseen toimijaan kolmen kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. Kriittisen toimijan on saatettava toimintansa tällä lailla muutettavan lain 18 b ja 18 c §:n mukaiseksi yhdeksän kuukauden kuluessa siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. 
 Lakiehdotus päättyy 
Helsingissä 16.6.2025 

Eduskunnan puolesta

puhemies   
pääsihteeri