1.1  Tausta

Esityksen valmisteluun on johtanut Euroopan parlamentin ja neuvoston asetus (EU) 2024/2847, annettu 23 päivänä lokakuuta 2024, digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvallisuusvaatimuksista ja asetusten (EU) N:o 168/2013 ja (EU) 2019/1020 ja direktiivin (EU) 2020/1828 muuttamisesta (kyberkestävyyssäädös), jäljempänä kyberkestävyysasetus . Asetus on tullut voimaan 10.12.2024 ja sen soveltaminen alkaa vaiheittain vuosien 2026–2027 aikana, kuitenkin pääosin 11.12.2027. Tällä esityksellä ehdotetaan säädettäväksi asetuksen soveltamiseksi tarpeelliset kansalliset säännökset.  

Kyberkestävyysasetuksen taustalla on kyberturvallisuuteen liittyvä kehitys, jossa laitteet ja ohjelmistot joutuvat enenevässä määrin kyberhyökkäysten kohteeksi. Kyberhyökkäykset aiheuttavat merkittäviä kustannuksia sekä hyökkäyksen kohteeksi joutuneelle että sivullisille esimerkiksi henkilötietojen vaarantumisena. Haasteena tuotteissa ovat matala tietoturvallisuuden taso, haavoittuvuudet ja tietoturvapäivitysten puutteet sekä käyttäjien vajaa tietämys tuotteiden turvallisuusominaisuuksista ja rajoitettu pääsy niitä koskevaan tietoon. Asetuksen tavoitteena onkin puuttua näihin haasteisiin ja varmistaa, että laitteisto- ja ohjelmistotuotteet saatetaan markkinoille nykyistä vähemmin haavoittuvuuksin, valmistajat suhtautuvat tietoturvaan vakavasti tuotteen koko elinkaaren ajan ja käyttäjät voivat ottaa kyberturvallisuutta koskevat ominaisuudet huomioon valitessaan ja käyttäessään tuotteita ja ohjelmistoja.  

Euroopan unionissa tai Suomessa kansallisesti ei ole ennestään ollut horisontaalista sääntelykehystä, jossa vahvistettaisiin kyberturvallisuutta koskevia vaatimuksia kaikille digitaalisia elementtejä sisältäville tuotteille.  

Esityksen valmisteluun on lisäksi johtanut viranomaistoiminnassa havaittu tarve kansalliselle täydentävälle sääntelylle Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 soveltamiseksi kansallisen kyberturvallisuussertifioinnin viranomaisen tehtävässä. Tämä tehtävä on Suomessa osoitettu Liikenne- ja viestintävirastolle sähköisen viestinnän palveluista annetussa laissa (917/2014, viestintäpalvelulaki). Kyberturvallisuuden sertifiointikehystä koskevat kyberturvallisuusasetuksen säännökset ovat tulleet sovellettavaksi pääosin kesäkuussa 2021. Kyberkestävyysasetuksen soveltamisen ennakoidaan lisäävän kyberturvallisuussertifiointiin liittyviä viranomaistehtäviä nykyisestä. 

Suomen kyberturvallisuusstrategia on uudistettu pääministeri Orpon hallitusohjelman mukaisesti vastaamaan muuttunutta toimintaympäristöä. Suomen uusi kyberturvallisuusstrategia vuosille 2024–2035 hyväksyttiin valtioneuvoston periaatepäätöksenä 10.10.2024. Kyberturvallisuusstrategian hyväksymisen jälkeen on valmisteltu sen toimeenpanosuunnitelma, jossa määritellään kehittämistoimet strategian tavoitteiden saavuttamiseksi. Kyberkestävyysasetuksen sujuva ja tehokas toimeenpano laitteiden ja ohjelmistojen tietoturvan parantamiseksi sisältyy Suomen uudistetun kyberturvallisuusstrategian toimeenpanosuunnitelman priorisoituihin toimenpiteisiin.  

1.2  Valmistelu

2.1  Kyberkestävyysasetus

2.2  Kyberturvallisuusasetus

2.3  Verkkotunnusvälittäjät

Euroopan unionin kyberturvallisuusdirektiivin eli toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555, jäljempänä NIS 2 -direktiivi, tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisten ja tärkeiden toimialojen ja toimijatyyppien osalta. Jäsenvaltiot velvoitetaan asettamaan direktiivin soveltamisalaan kuuluville toimijoille velvoitteet kyberturvallisuutta koskevasta riskienhallinnasta sekä merkittävistä kyberturvallisuuspoikkeamista ilmoittamisesta. Lisäksi direktiivissä säädetään jäsenvaltion velvollisuudesta hyväksyä kansallinen kyberturvallisuusstrategia, asettaa toimivaltaiset viranomaiset, kyberkriisinhallintaviranomaiset, kyberturvallisuusalan keskitetyt yhteyspisteet ja tietoturvaloukkauksiin reagoivat ja niitä tutkivat tahot (Computer security incident response team, jäljempänä  CSIRT-yksikkö ). Lisäksi direktiivissä säädetään verkkotunnusten rekisteröintitietoja koskevasta tietokannasta.  

NIS 2 -direktiivin keskeinen sisältö kuvataan tarkemmin hallituksen esityksen HE 57/2024 vp jaksossa 2. Tässä yhteydessä käsitellään NIS 2 -direktiivin keskeiset verkkotunnusvälittäjiä koskevat säännökset.  

NIS 2 -direktiivin 6 artiklan 22 kohdan nojalla ”verkkotunnusten rekisteröintipalveluja tarjoavalla toimijalla” tarkoitetaan verkkotunnusvälittäjää tai verkkotunnusvälittäjien puolesta toimivaa tahoa, kuten yksityisyys- tai välityspalvelujen tarjoajaa tai jälleenmyyjää. Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat eivät ole direktiivin 3 artiklassa tarkoitettuja keskeisiä toimijoita, joihin olisi sovellettava direktiivin 21 ja 23 artiklan mukaisia velvollisuuksia kyberturvallisuuden riskienhallinnasta ja merkittävien poikkeamien ilmoittamisesta. Verkkotunnusten rekisteröintipalveluja tarjoaviin toimijoihin liittyvää sääntelyä sisältyy direktiivin 3 artiklan 3 ja 4 kohtaan, 27 artiklaan ja 28 artiklaan.  

NIS 2 -direktiivin 3 artiklan 3 kohdan mukaan jäsenvaltioiden on laadittava luettelo keskeisistä ja tärkeistä toimijoista sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista. Saman kohdan mukaan jäsenvaltioiden on tarkasteltava luetteloa uudelleen säännöllisesti ja vähintään kahden vuoden välein ja saatettava se tarvittaessa ajan tasalle. NIS 2 -direktiivin 3 artiklan 4 kohdan mukaan 3 kohdassa tarkoitetun luettelon laatimiseksi jäsenvaltioiden on vaadittava kyseisessä kohdassa tarkoitettuja toimijoita toimittamaan toimivaltaisille viranomaisille eräät tiedot. Lisäksi toimijoiden on ilmoitettava kaikista muutoksista tällaisiin tietoihin viipymättä ja joka tapauksessa kahden viikon kuluessa muutospäivästä. 

NIS 2 -direktiivin 27 artiklan 2 ja 3 kohdan nojalla jäsenvaltion on edellytettävä eräiden toimijoiden, mukaan lukien verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden, toimittamaan jäsenvaltion toimivaltaiselle viranomaiselle kohdassa tarkoitetut tiedot. Jäsenvaltioiden on varmistettava, että toimijat ilmoittavat toimivaltaiselle viranomaiselle kaikista muutoksista 2 kohdan mukaisesti toimittamiinsa tietoihin viipymättä ja joka tapauksessa kolmen kuukauden kuluessa muutospäivästä.  

NIS 2 -direktiivin 28 artiklassa säädetään verkkotunnusten rekisteröintitietojen tietokannasta. Artiklan 1 kohdan nojalla jäsenvaltioiden on edellytettävä DNS-järjestelmän turvallisuuden, vakauden ja häiriönsietokyvyn edistämiseksi, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat keräävät ja ylläpitävät tarkkoja ja täydellisiä verkkotunnusten rekisteröintitietoja erityisessä tietokannassa noudattaen unionin tietosuojalainsäädännön mukaisesti asianmukaista huolellisuutta henkilötietojen suhteen.  

NIS 2 -direktiivin 28 artiklan 2 kohdan nojalla jäsenvaltion tulee edellyttää 28 artiklan 1 kohdan soveltamiseksi, että verkkotunnusten rekisteröintitietojen tietokanta sisältää tarvittavat tiedot, jotta verkkotunnusten haltijat ja aluetunnusrekistereissä verkkotunnuksia hallinnoivat yhteyspisteet voidaan tunnistaa ja niihin voidaan ottaa yhteyttä. Näihin tietoihin olisi sisällyttävä verkkotunnus; rekisteröintipäivä; verkkotunnuksen rekisteröijän nimi, yhteyssähköpostiosoite ja puhelinnumero; verkkotunnusta hallinnoivan yhteyspisteen yhteyssähköpostiosoite ja puhelinnumero, jos ne eivät ole samat kuin verkkotunnuksen rekisteröijän.   

NIS 2 -direktiivin 28 artiklan 3 kohdan nojalla jäsenvaltioiden on edellytettävä, että aluetunnusrekistereillä ja verkkotunnusten rekisteröintipalveluja tarjoavilla toimijoilla on käytössä toimintaperiaatteet ja menettelyt, myös tarkastusmenettelyt, joilla varmistetaan, että tietokannat sisältävät tarkat ja täydelliset tiedot. Jäsenvaltioiden on edellytettävä, että tiedot tällaisista toimintaperiaatteista ja menettelyistä asetetaan julkisesti saataville.  

NIS 2 -direktiivin 28 artiklan 4 ja 5 kohdan nojalla jäsenvaltioiden on edellytettävä, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat asettavat julkisesti saataville ilman aiheetonta viivytystä verkkotunnuksen rekisteröinnin jälkeen muut verkkotunnuksen rekisteröintitiedot kuin henkilötiedot. Jäsenvaltioiden on edellytettävä, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat antavat pääsyn tarkasti määrättyihin verkkotunnusten rekisteröintitietoihin unionin tietosuojalainsäädännön mukaisesti, kun pääsyä oikeutetusti pyytävä esittää lainmukaisen ja asianmukaisesti perustellun pyynnön. Jäsenvaltioiden on edellytettävä, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat vastaavat tietoihin pääsyä koskeviin pyyntöihin ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa pyynnön vastaanottamisesta. Jäsenvaltioiden on edellytettävä, että tällaisten tietojen luovuttamista koskevat toimintaperiaatteet ja menettelyt asetetaan julkisesti saataville.  

NIS 2 -direktiivin 28 artiklan 6 kohdan nojalla 28 artiklan 1–5 kohdassa säädettyjen velvoitteiden noudattaminen ei saa johtaa päällekkäisyyksiin verkkotunnusten rekisteröintitietojen keruussa. Tätä varten jäsenvaltioiden on edellytettävä, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat tekevät yhteistyötä keskenään. 

NIS 2 -direktiivin 26 artiklassa säädetään jäsenvaltioiden lainkäyttövallasta verkkotunnusten rekisteröintipalveluja tarjoavia toimijoita koskien. 26 artiklan 1 kohdan nojalla verkkotunnusten rekisteröintipalveluja tarjoava toimija kuuluu sen jäsenvaltion lainkäyttövaltaan, jossa sen päätoimipaikka on. Päätoimipaikasta tai edustajan nimeämisestä unioniin säädetään 26 artiklan 2–5 kohdassa. 

3.1  Kyberkestävyysasetus

3.2  Kyberturvallisuusasetus

3.3  Viranomaistoiminnan maksullisuus

Valtion viranomaisten suoritteiden maksullisuuden ja suoritteista perittävien maksujen suuruuden yleisistä perusteista sekä maksujen muista perusteista säädetään valtion maksuperustelaissa (150/1992). Kyseessä on yleislaki, jonka lisäksi maksuista voidaan säätää erikseen. Lakiin sisältyy säännökset suoritteiden maksullisuudesta ja maksujen suuruuden yleisistä perusteista (2 luku), mukaan lukien säännökset tietyistä suoritteista, jotka ovat joko maksullisia tai maksuttomia. Julkisoikeudellisella suoritteella tarkoitetaan maksuperustelaissa valtion viranomaisen suoritetta, jonka kysyntä perustuu lakiin tai asetukseen ja jonka tuottamiseen viranomaisella on tosiasiallinen yksinoikeus. Julkisoikeudellisesta suoritteesta valtiolle perittävän maksun suuruuden tulee maksuperustelain 6 §:n mukaan vastata suoritteen tuottamisesta valtiolle aiheutuvien kokonaiskustannusten määrää. Valtion maksuperustelain 8 §:ssä säädetään asetuksella säädettävistä asioista ja ministeriön toimivallasta. Maksuperustelain 12 §:n mukaan asetuksella voidaan antaa tarkempia säännöksiä omakustannusarvoon kuuluvista kustannuksista.  

Valtion maksuperustelain sääntelyn viranomaisten suoritteiden maksullisuudesta ja maksujen suoritteiden perusteista arvioidaan olevan riittävää. Korkean varmuustason sertifikaattien myöntäminen viranomaisen toimesta on maksuperustelain puitteissa katsottava julkisoikeudelliseksi suoritteeksi. Samoin muun muassa vaatimustenmukaisuuden arviointilaitosten nimeäminen ilmoitetuksi laitokseksi kyberkestävyysasetuksen puitteissa, niiden ilmoittaminen kyberturvallisuussertifiointia varten komissiolle sekä niiden valvonta on katsottava julkisoikeudelliseksi suoritteeksi. Kun mainitut suoritteet liittyvät sertifiointia hakevan tahon tai vaatimustenmukaisuuden arviointilaitoksen taloudelliseen toimintaan, ei niiden maksullisuudesta poikkeamiseen ole maksuperustelaissa tarkoitettua perusteltua syytä. Myös kyberkestävyyden sääntelyn testiympäristön käytön tulisi olla maksuperustelain lähtökohdan mukaisesti oletusarvioisesti maksullista, sillä maksuilla katettaisiin viranomaiselle testiympäristön ylläpidosta ja käytöstä aiheutuvia kustannuksia. Maksuperustelaki mahdollistaa kuitenkin sen, että erityisestä syystä maksu voidaan määrätä tietyltä ryhmältä perittäväksi suoritteen omakustannusarvoa alempana tai jättää kokonaan perimättä. Tämä mahdollistaisi tarvittaessa maksullisuutta koskevat helpotukset etenkin, jos testiympäristö perustettaisiin tekoälyasetuksen mukaisen testiympäristön yhteyteen, sillä pääsy kyseiseen testiympäristöön tulee tekoälyasetuksen mukaan tarjota pk-yrityksille maksutta. 

Liikenne- ja viestintäministeriön Liikenne- ja viestintäviraston sähköiseen viestintään liittyvistä suoritteista perittävistä maksuista antaman asetuksen (1190/2023, muutettu asetuksella 905/2024) 3 §:ssä säädetään muun ohella tietoturvatuotteiden ja tietoliikenneyhteyksiä hyödyntävien tuotteiden turvallisuuden tason arviointiin liittyvien suoritteiden maksullisuudesta. Suoritteesta peritään omakustannusarvon mukainen maksu. Saman pykälän 4 kohdan mukaan tietoturvallisuuden arviointilaitosten hyväksyntään liittyvistä toimenpiteistä peritään niin ikään maksu. Asetuksen täsmentämistarvetta siten, että se kattaisi myös kyberkestävyysasetukseen ja kyberturvallisuusasetukseen liittyviä suoritteita, olisi tarpeen arvioida asetuksen päivittämisen yhteydessä. 

3.4  Verkkotunnusvälittäjät

NIS 2 -direktiivin verkkotunnusten rekisteröintipalveluja tarjoavia toimijoita koskevat 3 ja 26–28 artiklan säännökset on pantu täytäntöön sähköisen viestinnän palveluista annetun lain muutoksilla (L 126/2025; HE 57/2024 vp).  

Sähköisen viestinnän palveluista annetun lain 21 luvussa säädetään Suomen maatunnukseen ( fi-maatunnus ) ja Ahvenanmaan maakuntatunnukseen ( ax-maakuntatunnus ) päättyviin verkkotunnuksiin sekä niihin liittyvästä verkkotunnustoiminnasta ja verkkotunnusten välittämisestä. Verkkotunnusvälittäjän NIS 2 -direktiivin 27 artiklan mukaisista ilmoitusvelvollisuuksista säädetään sähköisen viestinnän palveluista annetun lain 165 §:ssä. NIS 2 -direktiivin 28 artiklaa täytäntöönpanevia säännöksiä sisältyy sähköisen viestinnän palveluista annetun lain 167 §:ään ja 170 §:ään.  

Muita kuin verkkotunnusten rekisteröintipalveluja tarjoavia toimijoita koskevat NIS 2 direktiivin säännökset on pantu täytäntöön kyberturvallisuuslailla (124/2025) ja julkisen hallinnon tiedonhallinnasta annetun lain muutoksilla (L 125/2025). Mainittuihin lakeihin ei sisälly verkkotunnusvälittäjiä koskevia säännöksiä.  

Sähköisen viestinnän palveluista annetun lain 21 luvun säännökset soveltuvat ainoastaan fi-maatunnukseen ja ax-maakuntatunnukseen päättyviin verkkotunnuksiin ja niihin liittyvään verkkotunnusten välitystoimintaan verkkotunnusvälittäjien (eng. registrar) toimesta. NIS 2 direktiivi vaatii jäsenvaltiota edellyttämään 27–28 artiklan mukaisia toimenpiteitä myös muita verkkotunnuksia välittäviltä verkkotunnusvälittäjiltä silloin, jos verkkotunnusvälittäjä kuuluu NIS 2 -direktiivin 26 artiklan nojalla Suomen lainkäyttövaltaan. NIS 2 -direktiivin täytäntöönpanoa olisi näin ollen tarpeen täydentää verkkotunnusten rekisteröintipalveluja tarjoavia toimijoita koskien silloin, kun kysymys on muusta verkkotunnusten rekisteröintipalveluja koskevasta toiminnasta kuin fi-maatunnukseen tai ax-maakuntatunnukseen päättyvään verkkotunnukseen liittyvästä toiminnasta. Lisäksi 21 luvun soveltamista tulisi direktiivin kattavan täytäntöönpanon varmistamiseksi laajentaa eräiltä osin verkkotunnusvälittäjien puolesta toimiviin tahoihin. Täydennykset edellyttävät muutoksia sähköisen viestinnän palveluista annettuun lakiin tai kyberturvallisuuslakiin. 

Suomessa ei nykyisin ole voimassa olevaa sääntelyä muiden kuin fi-maatunnukseen tai ax-maakuntatunnukseen päättyvien verkkotunnusten välittämisestä. Liikenne- ja viestintävirasto on antanut sähköisen viestinnän palveluista annetun lain 21 luvun nojalla verkkotunnusmääräyksen, joka koskee fi-maatunnukseen tai ax-maakuntatunnukseen päättyvien verkkotunnusten välittämistä. 

Verkkotunnusten rekisteröintitietojen keräämisestä, saataville saattamisesta ja niihin pääsystä on laadittu useita Internetin vapaaehtoisia standardeja ja toimialan käytänteitä kansainvälisessä yhteistyössä). Näiden pohjalta on syntynyt käytäntö, jonka mukaan jokainen ylimmän tason verkkotunnusrekisteri pitää itse yllä ns. WHOIS-palvelua, jossa rekisterin hallinnassa olevien verkkotunnusten rekisteröintitiedot julkaistaan. Internetin geneerisiä ylimmän tason verkkotunnuksia hallinnoiva ICANN (Internet Corporation for Assigned Names and Numbers) on vienyt tämän periaatteen omiin sopimuksiinsa geneeristen ylimmän tason verkkotunnusrekisterien (gTLD) kanssa siten, että nykyisin rekisteröintitiedon julkaisemisesta ovat vastuussa kyseisen aluetunnusrekisterin ylläpitäjän lisäksi sen valtuuttamat verkkotunnusvälittäjät kukin osaltaan niin, että kummankin toimijan vastuut eri tietotyyppien julkisesti saataville saattamisesta poikkeavat hieman toisistaan. Sopimuksessa määrätään myös rekisteritietojen siirtämisestä verkkotunnusvälittäjältä aluetunnusrekisterin ylläpitäjälle henkilötietojen käsittelyä koskevasta lainsäädännöstä seuraavin edellytyksin. Ylimmän tason maatunnusten (ccTLD) osalta ei sen sijaan ole yhtenäisiä käytäntöjä. NIS 2 direktiivin täytäntöönpanon täydentämistä sen 28 artiklan osalta koskevat lakimuutokset, jotka koskevat verkkotunnusten rekisteröintitietojen julkisuutta, olisi valmisteltava siten, että ne ovat mahdollisuuksien mukaan linjassa kansainvälisten standardien ja niiden pohjalta syntyneiden käytäntöjen kanssa. Direktiivin voidaan katsoa mahdollistavan erilaiset tekniset toteutusmallit, kunhan direktiivin 28 artiklan edellyttämät tiedot ovat julkisesti saatavilla ja kunhan aluetunnusrekisterin ylläpitäjät ja verkkotunnusvälittäjät kykenevät antamaan direktiivin edellyttämän pääsyn henkilötietoja sisältäviin tietoihin. 

Sähköisen viestinnän palveluista annetun lain mukaiset Liikenne- ja viestintäviraston toimivaltuudet kuten tiedonsaantioikeus ja mahdollisuus uhkasakon asettamiseen olisivat kohdistettavissa myös muuhun verkkotunnustustoimintaan kuin 21 luvussa nykyisin säädettyihin verkkotunnusvälittäjiin, mikäli täydentävistä velvoitteista säädettäisiin kyseisessä laissa. Sähköisen viestinnän palveluista annetun lain 312 §:n 2 momentin erityinen verkkotunnuksiin liittyviä asiakirjoja koskeva tiedoksiantosäännös soveltuisi niin ikään myös muihin kuin nykyisin 21 luvussa säädettyihin verkkotunnusasioihin. 

4.1  Keskeiset ehdotukset

Esityksellä ehdotetaan säädettäväksi uusi laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista .  

Laissa säädettäisiin kyberkestävyysasetuksen markkinavalvonnasta, vaatimuksenmukaisuuden arviointilaitoksien ilmoittamisesta kyberkestävyysasetuksen mukaisia arviointitehtäviä varten sekä kyberkestävyysasetuksen rikkomiseen liittyvistä hallinnollisista seuraamuksista. Lisäksi laissa säädettäisiin kyberkestävyyden sääntelyn testiympäristön perustamisesta, keskeneräisten tuotteiden käyttämisestä eräissä olosuhteissa sekä kyberkestävyysasetuksen vaatimuksien huomioimisesta julkisissa hankinnoissa.  

Liikenne- ja viestintävirasto vastaisi keskitetysti kyberkestävyysasetuksen markkinavalvontaviranomaisen tehtävistä. Lisäksi suuririskisille tekoälyjärjestelmille markkinavalvontaviranomaisena toimisi eräiden tekoälyjärjestelmien valvonnasta annetun lain nojalla toimivaltainen valvova viranomainen. Kyberkestävyysasetuksen markkinavalvontaan sovellettaisiin eräiden tuotteiden markkinavalvonnasta annettua lakia ja markkinavalvonta-asetusta. 

Liikenne- ja viestintävirasto vastaisi myös kyberkestävyysasetuksen mukaisen ilmoittavan viranomaisen tehtävistä. Suomeen sijoittautunut vaatimustenmukaisuuden arviointilaitos hakisi kyberkestävyysasetuksen mukaiseksi ilmoitetuksi laitokseksi ilmoittamista Liikenne- ja viestintävirastolta. Hakemukseen olisi lähtökohtaisesti liitettävä FINAS-akkreditointipalvelun akkreditointitodistus siitä, että arviointilaitos täyttää kyberkestävyysasetuksen vaatimukset.  

Esityksellä annettaisiin myös EU:n kyberturvallisuusasetusta täydentäviä säännöksiä kyberturvallisuussertifioinnin kansallisen viranomaisen tehtävistä ja sen toimivaltuuksista. Tehtävä on nykyisin osoitettu Liikenne- ja viestintävirastolle sähköisen viestinnän palveluista annetun lain nojalla. Liikenne- ja viestintävirasto jatkaisi tehtävässä. Tehtävää ja toimivaltuuksia koskevat kansalliset säännökset sisältyisivät kuitenkin uuteen eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista annettavaan lakiin. Ehdotuksella täydennettäisiin ja täsmennettäisiin kyberturvallisuussertifiointiin liittyvien viranomaistehtävien toimivaltuuksia, vaatimustenmukaisuuden arviointilaitosten ilmoittamista sekä hallinnollisten seuraamusmaksujen määräämistä kyberturvallisuussertifiointiin liittyvistä väärinkäytöksistä.  

Sähköisen viestinnän palveluista annettuun lakiin ehdotetaan lisättäväksi uusi 21 a luku, jossa säädettäisiin verkkotunnusten rekisteröintitietojen keräämisestä ja luovuttamisesta muiden kuin fi-maatunnukseen ja ax-maakuntatunnukseen päättyvien verkkotunnuksien osalta. Luvussa säädettäisiin myös verkkotunnusvälittäjän ilmoittautumisvelvollisuudesta Liikenne- ja viestintävirastolle. Ehdotuksilla täydennettäisiin EU:n kyberturvallisuusdirektiivin täytäntöönpanoa verkkotunnuksien rekisteröintitietojen osalta. 

4.2  Pääasialliset vaikutukset

5.1  Vaihtoehdot ja niiden vaikutukset

5.2  Muiden jäsenvaltioiden suunnittelemat tai toteuttamat keinot

7.1  Laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista

1 luku – Yleiset säännökset 

1 §. Lain tarkoitus. Laissa annettaisiin kyberkestävyysasetuksen soveltamista täydentävät ja täsmentävät kansalliset säännökset. Lisäksi laissa säädettäisiin kyberturvallisuusasetuksen mukaisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien täytäntöönpanosta.  

Pykälän 1 momentissa säädettäisiin lain tavoitteesta täsmentää ja täydentää kyberkestävyysasetusta ja sen kansallista soveltamista.  

Kyberkestävyysasetuksen soveltamisalasta säädetään asetuksen 1–3 artiklassa. Lakia sovellettaisiin kyberkestävyysasetuksen soveltamisalaan kuuluviin tuotteisiin. Kyberkestävyysasetuksen soveltamisalaan kuuluvat sen 2 artiklan 1 kohdassa tarkoitetut digitaalisen elementin sisältävät tuotteet, joiden käyttötarkoitus tai kohtuudella ennakoitavissa oleva käyttö sisältää suoran tai välillisen loogisen tai fyysisen datayhteyden johonkin laitteeseen tai verkkoon. Kyberkestävyysasetuksen soveltamisalan rajauksista säädetään sen 2 artiklan 2–7 kohdassa ja digitaalisen elementin sisältävän tuotteen määritelmästä asetuksen 3 artiklassa.  

Kyberkestävyysasetuksen soveltamisalaan kuuluvia tuotteita ovat esimerkiksi älykellot, turvakamerat, televisiot, lelut, kotitalousreitittimet, palomuurit, pelit sekä ohjelmistot. Soveltamisala kattaa laajasti IoT-laitteita ja ohjelmistoja riippumatta siitä, onko laite tai ohjelmisto tarkoitettu kuluttajan, yrityksen tai julkishallinnon käyttöön. Kyberkestävyysasetusta sovelletaan kaikkiin markkinoilla saataville asetettuihin digitaalisia elementtejä sisältäviin tuotteisiin, joiden käyttötarkoitus tai kohtuudella ennakoitavissa oleva käyttö sisältää suoran tai välillisen loogisen tai fyysisen datayhteyden johonkin laitteeseen tai verkkoon, sen 2 artiklan mukaisesti ja sisältämine poikkeuksineen. 

Pykälän 2 momentissa säädettäisiin lain tavoitteesta täsmentää ja täydentää myös kyberturvallisuusasetusta ja sen kansallista soveltamista. Tavoitteena olisi täydentää kyberturvallisuusasetuksen mukaisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien täytäntöönpanoa. Tällä tarkoitettaisiin sertifiointijärjestelmien valvontaa sekä kyberturvallisuussertifikaattien myöntämistä. Kyberturvallisuusasetuksella on perustettu sertifiointikehys, joka asettaa vaatimukset tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille laadittaville eurooppalaisille kyberturvallisuuden sertifiointijärjestelmille ja menettelyt niiden laatimiselle.  

2 §. Määritelmät. Pykälässä säädettäisiin määritelmistä vastaten kyberkestävyysasetuksen ja kyberturvallisuusasetuksen vastaavia määritelmiä.  

Momentin 1 kohdassa säädettäisiin digitaalisen elementin sisältävän tuotteen määritelmästä. Määritelmä vastaisi kyberkestävyysasetuksen 3 artiklan 1 kohdan määritelmää, minkä mukaisesti määritelmä kattaisi myös toisistaan erillään markkinoille saatettavat ohjelmisto- tai laitteistokomponentit. Datan etäkäsittelyratkaisulla tarkoitettaisiin kyberkestävyysasetuksen 3 artiklan 2 kohdan mukaisesti etäältä tapahtuvaa datan käsittelyä, jota varten on suunniteltu ja kehitetty ohjelmisto valmistajan toimesta tai valmistajan vastuulla ja jota ilman digitaalisia elementtejä sisältävä tuote ei kykenisi suorittamaan jotakin toimintoaan. Ohjelmiston, laitteiston, ja komponentin määritelmistä säädetään kyberkestävyysasetuksen 3 artiklan 4–6 kohdassa.  

Momentin 2 kohdassa säädettäisiin ilmoitetun laitoksen määritelmästä. Ilmoitetulla laitoksella tarkoitettaisiin kyberkestävyysasetuksen IV luvun mukaisesti Suomen viranomaisen nimeämää ja Euroopan komissiolle ilmoitettua Suomeen sijoittautunutta vaatimustenmukaisuuden arviointilaitosta.  

Momentin 3 kohdassa säädettäisiin jakelijan määritelmästä. Jakelijalla tarkoitettaisiin kyberkestävyysasetuksen 3 artiklan 17 kohtaa vastaavasti sellaista muuta toimitusketjuun kuuluvaa luonnollista tai oikeushenkilöä kuin valmistajaa tai maahantuojaa, joka asettaa digitaalisia elementtejä sisältävän tuotteen saataville unionin markkinoilla vaikuttamatta sen ominaisuuksiin.  

Momentin 4 kohdassa säädettäisiin maahantuojan määritelmästä. Maahantuojalla tarkoitettaisiin kyberkestävyysasetuksen 3 artiklan 16 kohtaa vastaavasti Euroopan unioniin sijoittautunutta luonnollista tai oikeushenkilöä, joka saattaa markkinoille digitaalisia elementtejä sisältävän tuotteen, jossa on unionin ulkopuolelle sijoittautuneen luonnollisen henkilön tai oikeushenkilön nimi tai tavaramerkki.  

Momentin 5 kohdassa säädettäisiin valmistajan määritelmästä. Valmistajalla tarkoitettaisiin kyberkestävyysasetuksen artiklan 13 kohtaa vastaavasti luonnollista tai oikeushenkilöä, joka kehittää tai valmistaa digitaalisia elementtejä sisältäviä tuotteita tai suunnitteluttaa, kehityttää tai valmistuttaa digitaalisia elementtejä sisältäviä tuotteita ja pitää niitä kaupan omalla nimellään tai tavaramerkillään joko maksua vastaan, ansaintatarkoituksessa tai maksutta.  

Momentin 6 kohdassa säädettäisiin valtuutetun edustajan määritelmästä. Valtuutetulla edustajalla tarkoitettaisiin kyberkestävyysasetuksen 3 artiklan 15 kohtaa vastaavasti unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jolla on valmistajan antama kirjallinen toimeksianto hoitaa valmistajan puolesta tietyt tehtävät.  

Momentin 7 kohdassa säädettäisiin talouden toimijan määritelmästä. Talouden toimijalla tarkoitettaisiin 3–7 kohdassa määriteltyä valmistajaa, valtuutettua edustajaa, maahantuojaa, jakelijaa tai muuta luonnollista henkilöä tai oikeushenkilöä, jota koskevat kyberkestävyysasetuksen mukaiset digitaalisia elementtejä sisältävien tuotteiden valmistamiseen tai markkinoilla saataville asettamiseen liittyvät velvoitteet. Määritelmä vastaisi kyberkestävyysasetuksen 3 artiklan 12 kohtaa.  

Momentin 8 kohdassa säädettäisiin avoimen lähdekoodin ohjelmistovastaavan määritelmästä. Avoimen lähdekoodin ohjelmistovastaavan määritelmä vastaisi kyberkestävyysasetuksen 3 artiklan 14 kohdan määritelmää. Vapaan ja avoimen lähdekoodin ohjelmiston määritelmästä säädetään kyberkestävyysasetuksen 3 artiklan 48 kohdassa.  

Momentin 9 kohdassa säädettäisiin vaatimustenmukaisuuden arviointilaitoksen määritelmästä. Vaatimustenmukaisuuden arviointilaitoksella tarkoitettaisiin elintä, joka suorittaa vaatimustenmukaisuuden arviointitoimia kuten kalibrointia, testausta, sertifiointia ja tarkastuksia. Määritelmä vastaisi Euroopan parlamentin ja neuvoston asetus (EY) n:o 765/2008, akkreditoinnin vaatimusten vahvistamisesta ja asetuksen (ETY) N:o 339/93 kumoamisesta (jäljempänä NLF-asetus) 2 artiklan 13 kohdan määritelmää, johon perustuvat kyberkestävyysasetuksen 3 artiklan 28 kohdan ja kyberturvallisuusasetuksen 2 artiklan 18 kohdan vastaavat määritelmät.  

Momentin 10 kohdassa säädettäisiin akkreditoinnin määritelmästä. Akkreditoinnilla tarkoitettaisiin kansallisen akkreditointielimen antamaa todistusta siitä, että vaatimustenmukaisuuden arviointilaitos täyttää tiettyä vaatimustenmukaisuuden arviointia koskevat, yhdenmukaistetuilla standardeilla vahvistetut vaatimukset, ja tarvittaessa muut vaatimukset, mukaan luettuna ne, jotka on vahvistettu asiaa koskevissa alakohtaisissa ohjelmissa.  

Momentin 11 kohdassa säädettäisiin CSIRT-yksikön määritelmästä. CSIRT-yksiköllä tarkoitettaisiin kyberturvallisuuslain 19 §:ssä tarkoitettua CSIRT-yksikköä.  

Momentin 12 kohdassa säädettäisiin kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen määritelmästä, millä tarkoitettaisiin kyberturvallisuusasetuksen 61 artiklan mukaisesti Euroopan komissiolle ilmoitettua vaatimustenmukaisuuden arviointilaitosta. Vaatimustenmukaisuuden arviointilaitos määritellään edellä 9 kohdassa tavalla, joka vastaa NLF-asetusta ja johon myös kyberturvallisuusasetuksen vastaavassa määritelmässä viitataan. Siinä missä kyberkestävyysasetuksen alalla komissiolle ilmoitettu vaatimustenmukaisuuden arviointilaitos toimii 2 kohdassa tarkoitettuna ilmoitettuna laitoksena NLF-kehikon puitteissa, kyberturvallisuusasetuksessa ei ole kyse unionin yhdenmukaistamislainsäädännöstä eikä sen nojalla komissiolle ilmoitettava vaatimustenmukaisuuden arviointilaitos toimi NLF-kehikon puitteissa, joskin esimerkiksi niiden akkreditointiin sovelletaan kyberturvallisuusasetuksen viittauksen johdosta NLF-asetuksen mukaisia vaatimuksia. Ilmoitettuihin laitoksiin ja kyberturvallisuusasetuksen nojalla ilmoitettuihin vaatimustenmukaisuuden arviointilaitoksiin kohdistuu samankaltaisia mutta jossain määrin erilaisia vaatimuksia. Tämän erottelun selventämiseksi ehdotetussa laissa käytetään kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen käsitettä yhteyksissä, jotka koskevat kyberturvallisuusasetukseen liittyvää toimintaa. Käytännössä olisi kuitenkin mahdollista, että tietty vaatimustenmukaisuuden arviointilaitos hakeutuisi toimimaan molemmissa rooleissa, jotka voivat tukea toisiaan.  

3 §. Suhde muuhun lainsäädäntöön. Pykälä sisältäisi informatiiviset viittaukset markkinavalvonta-asetukseen ja markkinavalvontalakiin, joita sovellettaisiin kyberkestävyysasetuksen valvonnassa ehdotetussa laissa säädetyn ohella.  

Pykälän 1 momentti sisältäisi informatiivisen viittauksen markkinavalvonta-asetukseen. Markkinavalvonta-asetusta sovelletaan kyberkestävyysasetuksen 52 artiklan 1 kohdan nojalla digitaalisia elementtejä sisältävien tuotteiden markkinavalvonnassa.  

Pykälän 2 momentti sisältäisi informatiivisen viittauksen eräiden tuotteiden markkinavalvonnasta annettuun lakiin (jäljempänä markkinavalvontalaki ). Markkinavalvontalakia sovellettaisiin digitaalisia elementtejä sisältävien tuotteiden markkinavalvontaan 2. lakiehdotuksella ehdotettavien muutosten mukaisesti. Markkinavalvontalaissa säädetään tuotteiden markkinavalvonnasta, valvontaviranomaisten toimivaltuuksista ja valvontakeinoista sekä muutoksenhausta viranomaisten päätöksiin.    

Pykälän 3 momentti sisältäisi informatiivisen viittauksen kuluttajatuotteiden turvallisuudesta annettuun lakiin sekä EU:n yleiseen tuoteturvallisuusasetukseen. EU:n yleistä tuoteturvallisuusasetusta sovelletaan sen 2 artiklan mukaisesti tuotteisiin, jotka saatetaan markkinoille tai asetetaan saataville markkinoilla, siltä osin kuin kyseisten tuotteiden turvallisuutta sääntelevässä unionin oikeudessa ei ole erityissäännöksiä, joilla on sama tavoite. Kun tuotteisiin sovelletaan unionin lainsäädännössä asetettuja erityisiä turvallisuusvaatimuksia, asetusta sovelletaan ainoastaan niihin seikkoihin ja riskeihin tai riskiluokkiin, joita kyseiset vaatimukset eivät kata.  

Pykälän 4 momentti sisältäisi informatiivisen viittauksen EU:n tekoälyasetukseen ja eräiden tekoälyjärjestelmien valvonnasta annettuun lakiin, jota koskeva ehdotus sisältyy hallituksen esitykseen eduskunnalle EU:n tekoälyasetusta täydentäväksi lainsäädännöksi (HE 46/2025 vp). Tekoälyasetuksessa ja sitä täydentävässä kansallisessa sääntelyssä säädetään tekoälyjärjestelmiä koskevista vaatimuksista ja niiden valvonnasta tekoälyasetuksen soveltamisalaan kuuluville tuotteille.  

Pykälän 5 momentti sisältäisi informatiivista viittauksen CSIRT-yksikön tehtävistä muualla laissa säädettyyn. CSIRT-yksikön tehtävistä ja haavoittuvuuskoordinaatiosta muuten kuin kyberkestävyysasetuksessa tarkoitettujen tehtävien ja ilmoitusten käsittelyn osalta säädetään kyberturvallisuuslaissa. Kyberkestävyysasetuksen 14–17 artiklassa säädetään digitaalisia elementtejä sisältävään tuotteeseen sisältyvistä haavoittuvuuksista ja eräistä muista seikoista tehtävistä pakollisista ja vapaaehtoisista ilmoituksista ja niiden käsittelystä. Ilmoituksia vastaanottaisi ja käsittelisi kansallisesti CSIRT-yksikkö. Säännösten sisältö on kuvattu tarkemmin luvussa REF _Ref188708828 \r \h 2.1.3.1.  

CSIRT-yksikkö vastaanottaa myös muita kuin kyberkestävyysasetuksessa tarkoitettuja vapaaehtoisia haavoittuvuusilmoituksia osana sen olemassa olevien kyberturvallisuuslain mukaisten tehtävien hoitamista. Asiaa käsitellään myös 8 §:n perusteluissa. CSIRT-yksikön kyberturvallisuuslain 22 §:n mukainen haavoittuvuuskoordinaatiotehtävä kattaisi kyberkestävyysasetuksen soveltamisalan ulkopuolelle jäävien tuotteiden ja palvelujen sisältämiä haavoittuvuusilmoituksia sekä organisaatioiden toimintaan liittyviä haavoittuvuusilmoituksia.  

2 luku – Vaatimustenmukaisuus ja ilmoitukset 

4 §. Digitaalisen elementin sisältävän tuotteen vaatimustenmukaisuus. Pykälä sisältäisi informatiivisen viittauksen kyberkestävyysasetuksen nojalla asetettuihin vaatimuksiin digitaalisen elementin sisältäville tuotteille.  

Kyberkestävyysasetuksen 6 artiklan nojalla digitaalisia elementtejä sisältävän tuotteen saa asettaa markkinoille ainoastaan, jos se täyttää asetuksen liitteessä I olevassa I osassa vahvistetut olennaiset kyberturvallisuusvaatimukset, edellyttäen että sitä käytetään asianmukaisesti asennettuina ja ylläpidettyinä käyttötarkoituksensa mukaisesti tai kohtuudella ennakoitavissa olosuhteissa ja tarvittaessa tarpeelliset tietoturvapäivitykset on asennettu. Lisäksi edellytyksenä on, että valmistajan käyttöön ottamat prosessit täyttävät asetuksen liitteessä I olevassa II osassa vahvistetut olennaiset kyberturvallisuusvaatimukset.  

Talouden toimijan velvollisuuksista ja digitaalisen elementin sisältävää tuotetta koskevista vaatimuksista säädetään asetuksen 2 luvussa sekä liitteissä I ja II ja vaatimustenmukaisuuden osoittamisesta asetuksen 3 luvussa. 

5 §. Keskeneräiset tuotteet. Kyberkestävyysasetuksen 4 artiklan 2 ja 3 kohdissa säädetään tilanteista, joissa jäsenvaltiot eivät saa estää esittelemästä, käyttämästä tai asettamasta saataville markkinoilla digitaalisen elementin sisältäviä tuotteita, jotka eivät täytä kyberkestävyysasetuksen vaatimuksia. EU-oikeuden etusijaperiaatteen nojalla sovellettavaksi ei voisi tulla 4 artiklan vastaista kansallista normia. Sääntelyn selkeyttämiseksi ja oikeustilan tarkentamiseksi erityisesti hallinnollista seuraamusmaksua 6 luvussa koskevien ehdotuksien kannalta ehdotetaan säädettäväksi erikseen 4 artiklan 2 ja 3 kohtien mukaisen keskeneräisen tuotteen esittelyn, käytön tai markkinoilla saattaville asettamisen sallimisesta.  

Pykälässä säädettäisiin mahdollisuudesta esitellä, käyttää tai saattaa markkinoille digitaalisen elementin sisältävä tuote, silloin kuin se ei täytä kyberkestävyysasetuksen vaatimuksia. Kyberkestävyysasetuksen 4 artiklan 2 kohdan mukaisesti digitaalisen elementin sisältävää tuotetta sekä sen prototyyppiä, jotka eivät täytä asetuksen vaatimuksia, saisi esitellä tai käyttää messuilla, näyttelyissä, esittelytilaisuuksissa tai vastaavissa tapahtumissa edellyttäen, että tuotteet esitellään sellaisella näkyvällä merkinnällä varustettuna, josta käy selvästi ilmi, että tuote ei ole kyberkestävyysasetuksen vaatimuksien mukainen ja että tuotetta ei saa asettaa saataville markkinoilla ennen kuin se on sitä. Kyberkestävyysasetuksen 4 artiklan 3 kohdan mukaisesti keskeneräisen ohjelmiston, joka ei täytä kyberkestävyysasetuksen vaatimuksia, saisi asettaa saataville markkinoilla edellyttäen, että ohjelmisto asetetaan saataville vain rajoitetuksi ajaksi, joka on tarpeen testausta varten, ja että sillä on näkyvä merkintä, josta käy selvästi ilmi, että ohjelmisto ei ole kyberkestävyysasetuksen mukainen ja että se ei ole saatavilla markkinoilla muita tarkoituksia kuin testausta varten. 

Selvyyden vuoksi todetaan, että digitaalisen elementin sisältävän tuotteen käytölle voisi kuitenkin aiheutua muusta sääntelystä aiheutuva este. Esimerkiksi digitaalisen elementin sisältävän tuotteen ollessa radiolaite voi sen käyttö vaatia radioluvan. Säännös koskisi digitaalisen elementin sisältävän tuotteen esittelyä, vaikka kyberkestävyysasetuksen mukainen vaatimustenmukaisuus ei täyttyisi. Säännöksen tarkoituksena ei olisi muodostaa perustetta poiketa muussa sääntelyssä tuotteelle asetettavista vaatimuksista, mikäli sellaisia tuotteeseen soveltuu. 

6 §. Digitaalisen elementin sisältävä tuote julkisessa hankinnassa. Pykälässä säädettäisiin hankintayksikön velvollisuudesta ottaa huomioon kyberkestävyysasetuksen liitteessä I vahvistettujen kyberturvallisuusvaatimusten noudattaminen, mukaan lukien valmistajien kyky käsitellä tehokkaasti haavoittuvuuksia, silloin, kun julkisen hankinnan kohteena on digitaalisen elementin sisältävä tuote. Säännöksellä täydennettäisiin kyberkestävyysasetuksen 5 artiklan 2 kohtaa, joka edellyttää jäsenvaltiota varmistamaan, että hankittaessa kyberkestävyysasetuksen soveltamisalaan kuuluvia digitaalisia elementtejä sisältäviä tuotteita, hankintaprosessissa on otettava huomioon kyberkestävyysasetuksen liitteessä I vahvistettujen olennaisten kyberturvallisuusvaatimusten noudattaminen, mukaan lukien valmistajien kyky käsitellä tehokkaasti haavoittuvuuksia, tämän kuitenkaan rajoittamatta julkisia hankintoja koskevien direktiivien 2014/24/EU ja 2014/25/EU soveltamista. Käytännössä hankintayksikkö voisi huomioida kyberturvallisuutta koskevien vaatimuksien noudattamista esimerkiksi hankintaa ja tarjouspyyntöä valmisteltaessa, hankinnan kohteelle asetettavia vaatimuksia harkitessa sekä ehdokkaan tai tarjoajan soveltuvuuskriteereitä asetettaessa. Säännös olisi tarkoitettu sovellettavaksi julkisista hankinnoista ja käyttöoikeussopimuksista annetun lain soveltamisalaan kuuluviin hankintoihin, joissa hankinnan kohteena on tuote, johon sovelletaan kyberkestävyysasetuksen vaatimuksia.  

7 §. Valmistajan ilmoitusvelvollisuus. Pykälän 1 momentti sisältäisi informatiivisen viittauksen kyberkestävyysasetuksen 14 artiklassa säädettyyn velvollisuuteen ilmoittaa digitaalisen elementin sisältävään tuotteeseen sisältyvästä aktiivisesti hyödynnetystä haavoittuvuudesta tai digitaalisen elementin sisältävän tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta. Ilmoitus olisi tehtävä kyberkestävyysasetuksen 16 artiklassa tarkoitetun keskitetyn raportointialustan kautta CSIRT-yksikölle ja Euroopan unionin kyberturvallisuusvirasto ENISA:lle. Aktiivisesti hyödynnetyn haavoittuvuuden määritelmästä säädetään asetuksen 3 artiklan 40 ja 42 kohdissa ja vakavan poikkeaman määritelmästä asetuksen 3 artiklan 43 ja 44 kohdissa ja 14 artiklan 5 kohdassa. Ilmoitukset olisi tehtävä asetuksen 14 artiklan 2 ja 4 kohdissa säädettyjen määräaikojen ja tietosisältöjen mukaisina. Liikenne- ja viestintävirastossa sijaitseva CSIRT-yksikkö voisi tarvittaessa pyytää lisätietoja väliraportilla digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavan aktiivisesti hyödynnetyn haavoittuvuuden tai vakavan poikkeaman tilanteesta kyberkestävyysasetuksen 14 artiklan 6 kohdan mukaisesti. Lisäksi valmistajan olisi tiedotettava asetuksen 14 artiklan 8 kohdan mukaisesti tuotteen käyttäjiä. Ilmoitusvelvollisuuksia sovelletaan lisäksi myös avoimen lähdekoodin ohjelmistovastaaviin asetuksen 24 artiklan 3 kohdan nojalla.  

Pykälän 2 momentissa säädettäisiin selvyyden vuoksi CSIRT-yksikön ja markkinavalvontaviranomaisen yhteistyöstä. Momentti sisältäisi informatiivisen viittauksen kyberkestävyysasetuksen 16 artiklan 3 kohtaan, jonka mukaisesti koordinaattoreiksi nimettyjen CSIRT-yksiköiden on annettava jäsenvaltioidensa markkinavalvontaviranomaisille aktiivisesti hyödynnetystä haavoittuvuudesta tai vakavasta poikkeamasta ilmoitetut tiedot, joita markkinavalvontaviranomaiset tarvitsevat täyttääkseen asetuksen mukaiset velvoitteensa. CSIRT-yksikön tiedonantovelvollisuus kohdistuisi käytännössä kyberkestävyysasetuksen 14 artiklassa yksilöityihin tietotyyppeihin, jotka valmistajan on sisällytettävä ilmoitukseensa. Markkinavalvontaviranomaisella olisi kyberkestävyysasetuksen 16 artiklan 3 kohdassa säädetyn johdosta oikeus saada myös tarvitsemansa salassa pidettävät tiedot ilmoituksesta. CSIRT-yksikön oikeudesta luovuttaa salassa pidettäviä tietoja säädettäisiin jäljempänä 9 §:n 1 kohdassa. Markkinavalvontaviranomaisen voidaan katsoa tarvitsevan kaikki haavoittuvuus- tai poikkeamailmoitukseen sisältyvät, kyberkestävyysasetuksen edellyttämät tiedot.  

8 §. Vapaaehtoinen ilmoittaminen . Pykälässä säädettäisiin kyberkestävyysasetuksen 15 artiklan mukaisista vapaaehtoisista ilmoituksista, joita CSIRT-yksikkö ottaisi 1 momentin mukaisesti vastaan Euroopan unionin kyberturvallisuusvirasto ENISA:n ohella valmistajilta ja muilta tahoilta. Kyberkestävyysasetuksen 15 artiklan 1 tai 2 kohdan mukainen vapaaehtoisen ilmoitus voi koskea 1) digitaalisia elementtejä sisältävään tuotteeseen sisältyvää haavoittuvuutta; 2) kyberuhkaa, joka voi vaikuttaa digitaalisia elementtejä sisältävän tuotteen riskiprofiiliin; tai 3) mahdollisista digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista poikkeamista sekä läheltä piti tilanteista, jotka olisivat voineet johtaa tällaiseen poikkeamaan.  

Vapaaehtoiset ilmoitukset olisi käsiteltävä kyberkestävyysasetuksen 15 ja 16 artiklassa säädetyn menettelyn mukaisesti. Jos muu kuin valmistaja ilmoittaisi aktiivisesti hyödynnetystä haavoittuvuudesta tai digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta, koordinaattoriksi nimetyn CSIRT-yksikön olisi ilmoitettava siitä valmistajalle ilman aiheetonta viivytystä. CSIRT-yksikkö voisi asettaa etusijalle pakollisten ilmoitusten eli kyberkestävyysasetuksen 14 artiklassa tarkoitettujen ilmoitusten käsittelyn vapaaehtoisiin ilmoituksiin nähden. 

Selvyyden vuoksi todetaan, että kyberkestävyysasetuksen haavoittuvuusilmoituksia koskevien säännösten soveltamisen alkaessa CSIRT-yksikön vastaanottamia haavoittuvuusilmoitukset voidaan jakaa kolmeen luokkaan: 1) kyberkestävyysasetuksen 14 artiklan mukaiset pakolliset haavoittuvuusilmoitukset; 2) kyberkestävyysasetuksen 15 artiklan mukaiset vapaaehtoiset haavoittuvuusilmoitukset ja 3) muut vapaaehtoiset haavoittuvuusilmoitukset. Luokkien 1 ja 2 mukaisten ilmoitusten käsittelyyn sovelletaan kyberkestävyysasetuksen mukaisia toimenpiteitä, kuten velvoitetta ilmoittaa haavoittuvuusilmoituksista muille jäsenvaltioille. Luokan 3 mukaisten vapaaehtoisten haavoittuvuusilmoituksien käsittelyyn ei sovellettaisi kyberkestävyysasetuksen sääntelyä, vaan niitä koskevasta haavoittuvuuskoordinaatiosta säädettäisiin kyberturvallisuuslain 22 §:ssä.  

CSIRT-yksikölle voitaisiin siten ilmoittaa myös muutenkin kuin kyberkestävyysasetuksen 15 artiklassa tarkoitettuna vapaaehtoisena ilmoituksena vapaaehtoisesti haavoittuvuuksista, kyberuhkista, poikkeamista ja läheltä piti tilanteista. Tällaiset ilmoitukset eivät kuuluisi säännöksen tai kyberkestävyysasetuksen ilmoituksien käsittelyä koskevien velvoitteiden soveltamisalaan.  

Pykälän 2 momentin nojalla kyberkestävyysasetuksen 15 artiklan mukaisesti CSIRT-yksikölle vapaaehtoisesti ilmoitettua tietoa ei saa ilman ilmoittajan suostumusta käyttää ilmoittajaan kohdistuvassa rikostutkinnassa eikä hallinnollisessa tai muussa tiedon luovuttajaan kohdistuvassa päätöksenteossa. Kyberkestävyysasetuksen 15 artiklan 5 kohdan mukaisesti vapaaehtoinen ilmoittaminen ei saisi johtaa sellaisten lisävelvoitteiden asettamiseen ilmoituksen tehneelle luonnolliselle henkilölle tai oikeushenkilölle, joita siihen ei olisi sovellettu, jos se ei olisi toimittanut kyseistä ilmoitusta, sanotun kuitenkaan rajoittamatta rikosten ennaltaehkäisemistä, tutkimista, paljastamista ja rikoksiin liittyviä syytetoimia. Säännöksen tarkoitus olisi suojata vapaaehtoista ilmoittajaa sekä kannustaa vapaaehtoiseen ilmoittamiseen turvallisuuden parantamiseksi.  

9 §. CSIRT-yksikön oikeus luovuttaa salassa pidettäviä tietoja. Pykälässä säädettäisiin CSIRT-yksikön oikeudesta luovuttaa salassapitovelvoitteiden ja muiden tietojen luovuttamista koskevien rajoitusten estämättä tietoja sen hoitaessa kyberkestävyysasetuksen 14–17 artiklan mukaisia haavoittuvuus- ja poikkeamailmoitusten käsittelyyn liittyviä tehtäviä. Säännös olisi tarpeen kyberkestävyysasetuksella CSIRT-yksikölle osoitettujen tehtävien hoitamiseksi. Artiklojen sisältö kuvataan tarkemmin luvussa 2.1.3.1. Pykälän nojalla CSIRT-yksikkö voisi luovuttaa tietoja oma-aloitteisesti kyseisten haavoittuvuus- ja poikkeamailmoitusten käsittelyyn liittyvien tehtävien hoitamiseksi kyberkestävyysasetuksen mukaisesti.  

Tiedonluovutusoikeus olisi välttämätön, jotta CSIRT-yksikkö voi välittää ilmoituspalvelussa vastaanottamansa ilmoitukset kyberkestävyysasetuksen 16 artiklan 2 kohdan mukaisesti toisille koordinaattoreiksi nimetyille CSIRT-yksiköille alueella, jolla valmistaja on ilmoittanut asettaneensa digitaalisia elementtejä sisältävän tuotteen saataville. Ilmoitukset tulisivat lähtökohtaisesti samanaikaisesti myös ENISA:n saataville, kun ne tehdään CSIRT-yksikölle. Kyberkestävyysasetuksen 16 artiklan 2 kohdassa säädetyssä poikkeustilanteessa ilmoituksen välittämistä voidaan kuitenkin lykätä. 

Pykälän 1 momentti olisi soveltamisalaltaan rajattu CSIRT-yksikön kyberkestävyysasetuksen 14 artiklan 2, 4 ja 6 kohdissa yksilöityihin pakollisten haavoittuvuus- ja poikkeamailmoitusten tietotyyppeihin sekä vastaaviin 15 artiklan nojalla annettujen vapaaehtoisten ilmoitusten sisältämiin tietoihin. Tiedonluovutusoikeus olisi sidottu tarpeellisuusedellytykseen ja koskisi tietoja, joita sisältyisi CSIRT-yksikön vastaanottamiin pakollisiin ennakkovaroitusilmoituksiin, poikkeamailmoituksiin, haavoittuvuusilmoituksiin ja mahdollisiin väliraportteihin sekä loppuraportteihin samoin kuin haavoittuvuuksia, poikkeamia ja lähellä piti tilanteita koskeviin vapaaehtoisiin ilmoituksiin.  

Pakollisten ilmoitusten sisältämät tietotyypit on yksilöity 14 artiklassa. Haavoittuvuudesta annetaan artiklan 2 kohdan nojalla ennakkovaroitusilmoitus (so. tieto haavoittuvuuden olemassaolosta ja tulevasta ilmoituksesta), jossa ilmoitetaan tarvittaessa jäsenvaltiot, joiden alueella valmistaja tietää digitaalisia elementtejä sisältävää tuotettaan asetetun saataville. Varsinaisessa haavoittuvuusilmoituksessa annetaan yleiset tiedot kyseisestä digitaalisia elementtejä sisältävästä tuotteesta, kyseisen hyödyntämisen ja haavoittuvuuden yleisestä luonteesta sekä toteutetuista korjaavista tai lieventävistä toimenpiteistä ja korjaavista tai lieventävistä toimenpiteistä, joita käyttäjät voivat toteuttaa. Haavoittuvuutta koskevassa loppuraportissa puolestaan on annettava kuvaus haavoittuvuudesta, sen vakavuudesta ja vaikutuksesta, mahdolliset tiedot mahdollisista pahantahtoisista toimijoista, jotka ovat hyödyntäneet tai hyödyntävät haavoittuvuutta sekä yksityiskohtaiset tiedot tietoturvapäivityksestä tai muista korjaavista toimenpiteistä, jotka on asetettu saataville haavoittuvuuden korjaamiseksi. Poikkeamia koskien artiklan 4 kohdan nojalla ennakkovaroituksen olisi puolestaan sisällettävä tieto, epäilläänkö poikkeamaa laittomien tai pahantahtoisten tekojen aiheuttamaksi, ja siinä ilmoitetaan tarvittaessa jäsenvaltiot, joiden alueella valmistaja tietää digitaalisia elementtejä sisältävää tuotettaan asetetun saataville. Varsinaisessa poikkeamailmoituksessa tulisi antaa yleisiä tietoja poikkeaman luonteesta, alustava arvio poikkeamasta sekä tietoa toteutetuista korjaavista tai lieventävistä toimenpiteistä ja korjaavista tai lieventävistä toimenpiteistä, joita käyttäjät voivat toteuttaa. Poikkeamaa koskevan loppuraportin puolestaan tulee sisältää yksityiskohtainen kuvaus poikkeamasta, mukaan lukien sen vakavuus ja vaikutukset, uhkan tyyppi tai poikkeaman todennäköisesti aiheuttanut perimmäinen syy sekä toteutetut ja meneillään olevat lieventämistoimenpiteet. Artiklan 6 kohdan nojalla CSIRT-yksikkö voi pyytää valmistajia toimittamaan väliraportin, joka sisältää merkityksellisiä ajantasaisia tietoja digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavan aktiivisesti hyödynnetyn haavoittuvuuden tai vakavan poikkeaman tilanteesta. Väliraportti sisältäisi siis päivityksen 2 ja 4 kohdan nojalla annettuihin tietoihin. 

Vapaaehtoisten ilmoitusten osalta CSIRT-yksikölle voidaan ilmoittaa mahdollisista digitaalisia elementtejä sisältävään tuotteeseen sisältyvistä haavoittuvuuksista tai kyberuhkista, jotka voisivat vaikuttaa digitaalisia elementtejä sisältävän tuotteen riskiprofiiliin, sekä mahdollisista digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista poikkeamista ja läheltä piti tilanteista, jotka olisivat voineet johtaa tällaiseen poikkeamaan. Luovutettavia tietotyyppejä täsmennettäisiin ehdotuksessa edellyttämällä, että kyseessä on 14 artiklan 2, 4 ja 6 kohdissa mainittuja tietoja vastaava tieto, jotta on selvää, että tiedonluovutukset voidaan sitoa tarpeellisuusedellytykseen.  

Pykälän 2 momentissa säädettäisiin lisäksi mahdollisuudesta luovuttaa muitakin kuin edellä yksilöityjä, CSIRT-yksikön kyberkestävyysasetuksen mukaisia tehtäviä hoitaessaan saamia tietoja. Tietoja voitaisiin tällöin luovuttaa momentin mukaan vain 1 momentissa tarkoitetuille tahoille. Edellytyksenä olisi, että tiedon luovuttaminen on 1 momentista poiketen välttämätöntä kyberkestävyysasetuksen 14–17 artiklassa säädettyjen tehtävien toteuttamiseksi. Ehdotus on tarpeellinen, sillä ilmoitusten käsittelyssä voi syntyä myös sellaista olennaista liitännäistietoa, joka ei välttämättä kuulu kyberkestävyysasetuksen 14 ja 15 artiklassa yksilöityihin tietoihin. Tietojen luovutus tapahtuisi pääsäännön mukaan 1 momentissa säädetyllä tavalla, ja 2 momentti on tarkoitettu sovellettavaksi vain poikkeuksellisesti.  

Kyberkestävyysasetuksen 15 artiklan 5 kohdan mukaisesti koordinaattoriksi nimettyjen CSIRT-yksikköjen ja ENISA:n on varmistettava vapaaehtoisesti ilmoituksen tehneen luonnollisen henkilön tai oikeushenkilön toimittamien tietojen luottamuksellisuus ja asianmukainen suoja. Kuten luvussa REF _Ref209643463 \r \h \* MERGEFORMAT 3.1.4 arvioitiin, julkisuuslain säännösten voidaan katsoa varmistavan CSIRT-yksikön osalta kyseisten tietojen salassapidon niiltä osin kuin se on perusteltua. CSIRT-yksikön olisi luovuttaessaan vapaaehtoisesti saamansa ilmoituksen tietoja käsiteltävä tietoja niin, että nämä edut eivät vaarannu. Tahoja, joille tietoja voitaisiin ehdotuksen mukaan luovuttaa, sitoisi julkisuuslain mukainen salassapitovelvollisuus tai tämä sama kyberkestävyysasetuksen mukainen velvollisuus. 

Salassapitosäännös tai muu tiedon luovuttamista koskeva rajoitus, josta ehdotetun säännöksen nojalla poiketaan, voisi koskea esimerkiksi tietoa yksityisestä liikesalaisuudesta taikka tieto- ja viestintäjärjestelmien turvajärjestelyistä. Haavoittuvuuteen tai poikkeamaan liittyvään tietoon voisi kohdistua myös muita julkisuuslain mukaisia salassapitoperusteita, kuten julkisuuslain 24 §:n 1 momentin 9 kohta (valtion turvallisuuden ylläpitämistä koskevat asiakirjat) tai 17 kohta (julkisyhteisön liikesalaisuus). Toiseen jäsenvaltioon sijoittautunutta elinkeinonharjoittajaa koskeva tieto voisi olla joissakin oloissa salassa pidettävä myös julkisuuslain 24 §:n 1 momentin 2 kohdan nojalla. 

Pykälän 1 kohdassa säädettäisiin tietojen luovuttamisesta kyberkestävyysasetuksen valvonnassa Suomessa toimivaltaiselle markkinavalvontaviranomaiselle. Markkinavalvontatehtävien osoittamisesta säädettäisiin ehdotetun lain 15 ja 16 §:ssä. Kohta täydentäisi kyberkestävyysasetuksen 16 artiklan 3 kohtaa, jossa säädetään CSIRT-yksiköiden velvollisuudesta antaa jäsenvaltioidensa markkinavalvontaviranomaisille haavoittuvuusilmoituksessa tai poikkeamailmoituksessa ilmoitetut tiedot, joita markkinavalvontaviranomaiset tarvitsevat täyttääkseen asetuksen mukaiset velvoitteensa. Tietoja voitaisiin luovuttaa myös väliraporttiin tai loppuraporttiin sisältyvistä tiedoista.  

Pykälän 2 kohdassa säädettäisiin puolestaan tietojen luovuttamisesta Euroopan unionin kyberturvallisuusvirastolle ENISA:lle ja 3 kohdassa toisessa jäsenvaltiossa koordinaattoreiksi nimetyille CSIRT-yksiköille. CSIRT-yksikön velvollisuudesta välittää ilmoitukset ENISA:lle ja muille CSIRT-yksiköille säädetään kyberkestävyysasetuksen 16 artiklassa. Tämän lisäksi tietoja voisi tapauskohtaisesti olla tarpeen vaihtaa ENISA:n kanssa, kun tarkoitus on tiedottaa yleisölle poikkeamasta kyberkestävyysasetuksen 17 artiklan 2 kohdassa tarkoitetulla tavalla.  

Pykälä ei rajoittaisi CSIRT-yksikön oikeutta luovuttaa kyseisiä tietoja julkisuuslain vahinkoedellytyslausekkeiden puitteissa eikä tietojen luovuttamista muussa laissa kuten kyberturvallisuuslaissa tai sähköisen viestinnän palveluista annetun lain 319 §:ssä säädetyn perusteella. 

10 §.Kyberkestävyyden sääntelyn testiympäristö . Pykälässä säädettäisiin kyberkestävyysasetuksen 33 artiklan 2 kohdassa tarkoitetun testiympäristön perustamisesta. Säännös ei velvoittaisi kyberkestävyyden sääntelyn testiympäristön perustamiseen vaan mahdollistaisi testiympäristön perustamisen Liikenne- ja viestintäviraston päätöksellä tarvittaessa. Säännöksellä ei rajattaisi perustettavien testiympäristöjen määrää. Testiympäristöjä voisi olla tarvittaessa useampia, esimerkiksi erilaisten tuotteiden tai olosuhteiden testaamista varten. Testiympäristön perustaminen olisi Liikenne- ja viestintäviraston harkintavallassa. Testiympäristön hyödyntäminen tuotteen kehittämisessä olisi talouden toimijalle vapaaehtoista ja lähtökohtaisesti maksullista valtion maksuperustelaissa säädetyn mukaisesti. Testiympäristön hyödyntäminen olisi tarkoitettu määräaikaiseksi talouden toimijan kehitystyön tueksi silloin, kun digitaalisia elementtejä sisältävä tuote tai sen osa ei ole saatavilla markkinoilla.  

Pykälän 1 momentin nojalla testiympäristön perustaisi Liikenne- ja viestintävirasto. Testiympäristön perustamisesta olisi tehtävä päätös, jossa määritetään testiympäristön voimassaoloaika ja paikka, soveltuva tekninen rajaus, toimintasuunnitelma sekä testiympäristöön soveltuva testauksen kohde. Testauksen kohteen voisi määrittää esimerkiksi tuotekategorian tai tyypin, tuotteen käyttötarkoituksen tai tuotteen ominaisuuksien perusteella taikka muulla soveltuvalla tavalla. Testauksen kohteen voisi rajata esimerkiksi myös tiettyyn komponenttiin, ominaisuuteen, käyttötarkoitukseen tai ohjelmiston osaan. Toimintasuunnitelmassa voitaisiin tarkentaa testiympäristön kapasiteettia ja resursointia. Päätöksellä voitaisiin asettaa myös testiympäristöä koskevia ehtoja, jotka ovat tarpeellisia sen toiminnan järjestämisen tai turvallisuuden kannalta. Ehdot voisivat liittyä esimerkiksi testauksen ajalliseen rajaamiseen tai testauksen turvajärjestelyihin. Ehtojen olisi oltava tasapuolisia talouden toimijoille sekä tarpeellisia testiympäristön tai turvallisuuden kannalta. Testiympäristö voitaisiin perustaa myös tekoälyasetuksen mukaisen testiympäristön yhteyteen, mikäli se olisi testauksen vuoksi tarkoituksenmukaista, kuten suuririskiseen tekoälyjärjestelmään liittyvän testauksen vuoksi. Tekoälyn sääntelyn testiympäristöistä on tarkoitus esittää säännöksiä eräiden tekoälyjärjestelmien valvonnasta annettuun lakiin osana tekoälyasetuksen II vaiheen täytäntöönpanoa (VN/31658/2024).  

Pykälän 2 momentin nojalla Liikenne- ja viestintävirasto myöntäisi hakemuksesta talouden toimijalle oikeuden toimintaan eli testaukseen testiympäristössä. Testiympäristön perustaminen tai olemassaolo ei siten perustaisi talouden toimijalle oikeutta sen käyttöön ilman erillistä hakemusta. Hakemuksessa olisi esitettävä sen käsittelemiseksi tarpeelliset tiedot. Liikenne- ja viestintäviraston olisi hakemuksesta myönnettävä oikeus toimintaan testiympäristössä, ellei momentissa tarkoitettua perustetta oikeuden myöntämättä jättämiselle olisi käsillä. Liikenne- ja viestintäviraston olisi kohdeltava talouden toimijoita tasapuolisesti, kuten hallintolain 6 §:ssä edellytetään.  

Pykälän 3 momentin informatiivisesta viittauksesta kävisi ilmi, että Liikenne- ja viestintäviraston velvollisuutena olisi tehdä testiympäristön perustamisesta kyberkestävyysasetuksen 33 artiklan 2 kohdassa tarkoitettu ilmoitus Euroopan komissiolle ja muille markkinavalvontaviranomaisille hallinnollisen yhteistyön ryhmän kautta. Lisäksi pykälässä säädettäisiin viraston tehtäväksi valvoa ja ohjata toimintaa testiympäristössä. Mikäli testattavana olisi suuririskisen tekoälyjärjestelmän kyberkestävyys, voisi sen markkinavalvonnasta vastaava viranomainen osallistua kyberkestävyyden testiympäristössä tapahtuvan toiminnan ohjaamiseen toimivaltuuksiensa ja resurssiensa puitteissa, mutta ehdotus ei asettaisi sille velvollisuutta tähän. Tekoälyjärjestelmien markkinavalvonnasta vastaavien viranomaisten tehtävistä tekoälyasetuksen mukaisessa testiympäristössä on tarkoitus säätää eräiden tekoälyjärjestelmien valvonnasta annetussa laissa.  

Pykälän 4 momentin nojalla Liikenne- ja viestintävirasto voisi määräyksellä antaa tarkempia teknisiä säännöksiä kyberkestävyyden sääntelyn testiympäristön järjestämisestä ja toiminnasta sekä talouden toimijan hakemuksesta.  

3 luku – Ilmoitetut laitokset 

11 §. Ilmoittava viranomainen. Pykälässä säädettäisiin kyberkestävyysasetuksen 36 artiklassa tarkoitetun ilmoittamisesta vastaavan viranomaisen tehtävästä, joka osoitettaisiin Liikenne- ja viestintävirastolle. Ilmoittavan viranomaisen tehtävänä olisi huolehtia sille kyberkestävyysasetuksen IV luvussa säädetyistä tehtävistä. Ilmoittavan viranomaisen vastuulla olisi siten laatia ja toteuttaa tarvittavat menettelyt, jotka liittyvät vaatimustenmukaisuuden arviointilaitosten arviointiin, nimeämiseen ja ilmoittamiseen, sekä valvoa niitä. Kyberkestävyysasetuksen 41 artiklan mukaisesti tehtäviin kuuluisi myös ilmoitettujen laitosten valvonta niiden käyttäessä apuna alihankkijaa tai tytäryhtiötä. Ilmoittava viranomainen vastaisi myös kyberkestävyysasetuksen 35 artiklan 1 kohdassa, 38 artiklan 1 kohdassa ja 46 artiklan 2 kohdassa tarkoitettujen tietojen ilmoittamisesta komissiolle ja muille jäsenvaltioille silloin kun jäsenvaltiolla on velvollisuus niiden ilmoittamiseksi. Ilmoittavan viranomaisen toiminnassa olisi täytettävä kyberkestävyysasetuksen 37 artiklassa säädetyt vaatimukset.  

12 §. Ilmoittamista koskeva hakemus. Pykälän nojalla kyberkestävyysasetuksen mukaiseksi ilmoitetuksi laitokseksi ilmoittamista koskeva hakemus osoitettaisiin ilmoittavalle viranomaiselle eli Liikenne- ja viestintävirastolle. Sellaisen vaatimustenmukaisuuden arviointilaitoksen, joka ei ole sijoittautunut Suomeen, olisi haettava ilmoittamista kyberkestävyysasetuksen 42 artiklan 1 kohdan mukaisesti siitä jäsenvaltiosta, johon arviointilaitos on sijoittautunut.  

Hakemukseen olisi liitettävä kyberkestävyysasetuksen 42 artiklassa tarkoitetut tiedot. Näitä tietoja ovat kuvaus vaatimustenmukaisuuden arviointitoimista, vaatimustenmukaisuuden arviointimenettelystä tai -menettelyistä ja yhdestä tai useammasta digitaalisia elementtejä sisältävästä tuotteesta, jonka osalta laitos katsoo olevansa pätevä, sekä tapauksen mukaan akkreditointitodistus, jonka kansallinen akkreditointielin on antanut ja jossa todistetaan, että vaatimustenmukaisuuden arviointilaitos täyttää kyberkestävyysasetuksen 39 artiklassa säädetyt vaatimukset. Suomessa kansallinen akkreditointielin on Turvallisuus- ja kemikaalivirastosta annetun lain (1261/2010) 2 a §:n nojalla Turvallisuus- ja kemikaaliviraston akkreditointiyksikkö (FINAS-akkreditointipalvelu). 

Akkreditointitodistuksen liittäminen hakemukseen olisi tarkoitettu pääsääntöiseksi ja ensisijaiseksi menettelyksi haettaessa nimeämistä ilmoitetuksi laitokseksi. Kyberkestävyysasetuksessa säädetään kuitenkin myös vaihtoehtoisesta menettelystä, jota voitaisiin soveltaa, jos akkreditointitodistuksen hankkiminen ei poikkeuksellisesti olisi mahdollista. Jos hakemukseen ei voitaisi liittää FINAS-akkreditointipalvelun antamaa akkreditointitodistusta siitä, että vaatimustenmukaisuuden arviointilaitos täyttää kyberkestävyysasetuksen vaatimukset, olisi vaatimustenmukaisuuden arviointilaitoksen toimitettava kyberkestävyysasetuksen 42(3) artiklan mukaisesti Liikenne- ja viestintävirastolle kaikki tarpeelliset asiakirjatodisteet, joiden avulla voidaan varmentaa, todeta ja säännöllisesti valvoa, että se täyttää kyberkestävyysasetuksen 39 artiklassa säädetyt vaatimukset.  

13 §. Ilmoitetuksi laitokseksi nimeäminen ja nimeämisen rajaaminen tai peruuttaminen. Pykälän 1 momentin nojalla Liikenne- ja viestintävirasto nimeäisi hakemuksesta ilmoitetuksi laitokseksi sellaisen vaatimustenmukaisuuden arviointilaitoksen, joka täyttää kyberkestävyysasetuksessa säädetyt vaatimukset haetun pätevyysalueen osalta. Ilmoitetun laitoksen tehtävien suorittamisen edellytyksenä olisi lisäksi, että kyberkestävyysasetuksen 43 artiklan 5 kohdassa tarkoitettuja vastalauseita nimeämiselle ei ole esitetty. Vaatimustenmukaisuuden arviointilaitos nimettäisiin suorittamaan ilmoitettuna laitoksena vaatimustenmukaisuuden arviointia niiden digitaalisen elementin sisältävien tuotteiden osalta, joiden osalta arviointilaitos on hakenut ilmoittamista ja osoittanut täyttävänsä vaatimukset. Ilmoitusmenettelystä säädetään kyberkestävyysasetuksen 43 artiklassa. Ilmoitetun laitoksen vaatimuksista säädetään kyberkestävyysasetuksen 39 artiklassa.  

Pykälän 2 momentissa säädettäisiin ilmoitetun laitoksen nimeämistä koskevan päätöksen sisällöstä. Päätöksessä olisi hallintolain 44 §:ssä säädetyn ohella määriteltävä arviointilaitoksen pätevyysalue ja vahvistettava valvontaan liittyvät järjestelyt. Lisäksi päätöksessä voitaisiin tarvittaessa asettaa laitoksen toimintaa koskevia vaatimuksia, rajoituksia ja ehtoja, joilla varmistetaan kyberkestävyysasetuksen mukaisten tehtävien asianmukainen suorittaminen.  

Pykälän 3 momentissa säädettäisiin informatiivinen viittaus kyberkestävyysasetuksen 45 artiklan säännöksiin koskien ilmoitetuksi laitokseksi nimeämistä koskevan päätöksen rajaamista ja peruuttamista.  

Pykälän 4 momentin nojalla ilmoitettuun laitokseen sekä sen käyttämän tytäryhtiön ja alihankkijan henkilöstöön sovellettaisiin rikosoikeudellista virkavastuuta koskevia säännöksiä henkilöstön suorittaessa kyberkestävyysasetuksessa tarkoitettuja ilmoitetulle laitokselle kuuluvia tehtäviä. Säännös olisi tarpeen, koska tehtävien suorittamisessa olisi kysymys julkisesta hallintotehtävästä. Momentti sisältäisi myös informatiivisen viittauksen vahingonkorvauslakiin. Lisäksi ilmoitetun laitoksen tai sen käyttämän tytäryhtiön tai alihankkijan olisi noudatettava julkista hallintotehtävää hoitaessaan hallinnon yleislakeja eli hallintolakia (434/2003), viranomaisten toiminnan julkisuudesta annettua lakia (621/1999), sähköisestä asioinnista viranomaistoiminnassa annettua lakia (13/2003), kielilakia (423/2003), julkisen hallinnon tiedonhallinnasta annettua lakia (906/2019) ja digitaalisten palvelujen tarjoamisesta annettua lakia (306/2019) myös ilman nimenomaista viittausta yleislakeihin. Ilmoitetun laitoksen mahdollisuudesta teettää tehtäviä alihankintana tai käyttää tytäryhtiötä säädettäisiin kyberkestävyysasetuksen 41 artiklassa.  

14 §. Ilmoittavan viranomaisen ja ilmoitetun laitoksen oikeus luovuttaa salassa pidettäviä tietoja. Pykälässä säädettäisiin ilmoittavan viranomaisen ja ilmoitetun laitoksen oikeudesta luovuttaa tietoja silloin kun se on tarpeen niille kyberkestävyysasetuksen nojalla osoitettujen tehtävien suorittamiseksi.  

Pykälän 1 momentissa säädettäisiin ilmoittavan viranomaisen oikeudesta luovuttaa salassa pidettävää vaatimustenmukaisuuden arviointilaitoksen ilmoittamisen perusteita ja muuta sen pätevyyttä koskevaa tietoa komissiolle sekä toiselle jäsenvaltiolle, jos se on tarpeen ilmoittavan viranomaisen kyberkestävyysasetuksessa säädetyn velvoitteen toteuttamiseksi. Kyseessä olisivat etupäässä vaatimustenmukaisuuden arviointilaitoksen toimintaa koskevat liikesalaisuudet tai muut elinkeinosalaisuudet. Salassa pidettävien tietojen luovuttaminen olisi tarpeen esimerkiksi kyberkestävyysasetuksen 43 artiklan 4 kohdassa tarkoitetussa tilanteessa, jossa laitoksen ilmoittaminen perustuu muuhun selvitykseen kuin akkreditointitodistukseen. Tällöin ilmoittavan viranomaisen olisi toimitettava komissiolle ja muille jäsenvaltioille asiakirjatodisteet, joiden avulla voidaan todistaa vaatimustenmukaisuuden arviointilaitoksen pätevyys ja käytössä olevat järjestelyt, joilla varmistetaan, että laitosta valvotaan säännöllisesti ja että se täyttää edelleen 39 artiklassa säädetyt vaatimukset. Salassa pidettävien tietojen luovuttamisen olisi todennäköisesti tarpeen myös tilanteessa, jossa ilmoitetun laitoksen pätevyys riitautetaan kyberkestävyysasetuksen 46 artiklan mukaisesti. Tällöin ilmoituksen tehneen jäsenvaltion eli 11 §:n 2 momentin nojalla ilmoittavan viranomaisen olisi kyberkestävyysasetuksen 46(2) artiklan mukaisesti toimitettava pyynnöstä komissiolle kaikki tiedot, jotka liittyvät ilmoituksen perusteisiin tai asianomaisen laitoksen pätevyyden ylläpitoon.  

Pykälän 2 momentissa säädettäisiin puolestaan ilmoitetun laitoksen oikeudesta luovuttaa salassa pidettäviä vaatimustenmukaisuuden arviointia ja tarkastuksen tuloksia koskevia tietoja Euroopan komissiolle, Euroopan unionin jäsenvaltiolle ja toiselle ilmoitetulle laitokselle, jos se on tarpeen ilmoitetun laitoksen kyberkestävyysasetuksessa säädetyn velvoitteen toteuttamiseksi. Tässä tilanteessa olisi pääsääntöisesti kysymys arvioituun tuotteeseen liittyvistä valmistajan liikesalaisuuksista tai muista tuotetta koskevista salassa pidettävistä tiedoista. Tietojen luovuttamisen edellytyksenä olisi sen tarpeellisuus ilmoitetulle laitokselle kyberkestävyysasetuksen nojalla säädetyn velvoitteen toteuttamiseksi. Tietojen antaminen voi olla tarpeen kyberkestävyysasetuksen 49 artiklan 2 kohdan mukaisen ilmoitetun laitoksen velvoitteen täyttämiseksi. Sen mukaan ilmoitettujen laitosten on toimitettava muille ilmoitetuille laitoksille, jotka suorittavat samat digitaalisia elementtejä sisältävät tuotteet kattavia samanlaisia vaatimustenmukaisuuden arviointitoimia, asiaankuuluvat tiedot kysymyksistä, jotka liittyvät vaatimustenmukaisuuden arvioinnin kielteisiin tuloksiin ja pyynnöstä myös myönteisiin tuloksiin. Lisäksi ilmoitetulla laitoksella olisi velvollisuus toimittaa jäljennökset EU-tyyppitarkastukseen liittyvistä teknisistä asiakirjoista ja ilmoitetun laitoksen suorittamien tarkastusten tuloksista pyynnöstä komissiolle tai toiselle jäsenvaltiolle kyberkestävyysasetuksen liitteen VIII osan II kohdan 9 nojalla.  

4 luku – Markkinavalvonta 

15 §.Markkinavalvontaviranomaiset . Pykälässä säädettäisiin kyberkestävyysasetuksen mukaisesta markkinavalvontaviranomaisen tehtävästä. Kyberkestävyysasetuksen mukaisten vaatimusten markkinavalvontaviranomaisena asetuksen soveltamisalaan kuuluville digitaalisen elementin sisältäville tuotteille toimisi Suomessa pääsääntöisesti Liikenne- ja viestintävirasto. Markkinavalvontaviranomainen vastaisi tehtävistä, jotka sille kyberkestävyysasetuksessa osoitetaan. Markkinavalvontaviranomaisen tehtävistä ja toimivaltuuksista säädettäisiin lisäksi markkinavalvonta-asetuksessa ja markkinavalvontalaissa.  

16 §.Suuririskisen tekoälyjärjestelmän markkinavalvonta . Pykälässä säädettäisiin digitaalisen elementin sisältävien tuotteiden markkinavalvonnasta silloin, kun tuote on tekoälyasetuksessa tarkoitettu suuririskinen tekoälyjärjestelmä. Edellä 15 §:ssä säädetystä poiketen markkinavalvontaviranomaisena suuririskiselle tekoälyjärjestelmälle toimisi myös kyberkestävyysasetuksen vaatimuksien osalta se viranomainen, joka valvoo suuririskistä tekoälyjärjestelmää eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:n nojalla.  

Kyberkestävyysasetuksen 52(14) artikla edellyttää, että siltä osin kuin on kyse EU:n tekoälyasetuksen (EU) 2024/1689 mukaisista suuririskisistä tekoälyjärjestelmistä, tuotteita valvoo tekoälyasetuksen nojalla toimivaltainen viranomainen myös kyberkestävyysasetuksen vaatimuksien osalta. Asiaan ei liity kansallista liikkumavaraa. Tämän johdosta suuririskisille tekoälyjärjestelmille, siltä osin kuin ne kuuluvat kyberkestävyysasetuksen vaatimusten alaan, markkinavalvontaviranomaisena toimisi eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:n nojalla toimivaltainen viranomainen. 

Kyberkestävyysasetuksen 52 artiklan 15 kohdassa säädetään hallinnollisen yhteistyön ryhmän perustamisesta. Hallinnollisen yhteistyön ryhmä koostuu nimettyjen markkinavalvontaviranomaisten edustajista ja tarvittaessa yhteyspisteiden edustajista. Edustajan hallinnollisen yhteistyön ryhmään nimeäisi Liikenne- ja viestintävirasto, sillä markkinavalvontatehtävä olisi 16 §:n poikkeusta lukuun ottamatta keskitetty sille. Siinä tapauksessa, että yhteistyöryhmään voitaisiin nimetä useampi kuin yksi edustaja Suomesta, edustajaksi voitaisiin nimetä myös 16 §:ssä tarkoitettu markkinavalvontaviranomainen, jos se on tarkoituksenmukaista kyberkestävyysasetuksen markkinavalvontaa varten. 

17 §.Markkinavalvonnan asiantuntijatuki . Pykälässä säädettäisiin asiantuntijatuen antamisesta Liikenne- ja viestintävirastosta toiselle viranomaiselle markkinavalvontaa ja hallinnollisen seuraamusmaksun määräämistä varten. Liikenne- ja viestintävirasto voisi antaa 16 §:ssä tarkoitetulle markkinavalvontaviranomaiselle sekä sille, jolla on toimivalta määrätä 6 luvussa tarkoitettu seuraamusmaksu, sen pyynnöstä asiantuntija-apua, joka koskee kyberkestävyysasetuksen markkinavalvontaa, vaatimustenmukaisuuden arviointia tai kyberturvallisuusriskien arviointia. Tukea voitaisiin antaa toiselle viranomaiselle siten käytännössä suuririskisten tekoälyjärjestelmien markkinavalvontaa tai niitä koskevan hallinnollisen seuraamusmaksun määräämistä varten.  

Mahdollisuus asiantuntija-avun käyttöön olisi käytännössä tarpeen sen varmistamiseksi, että valvonnassa kyetään noudattamaan yhtenäisiä arviointiperusteita tuotteiden vaatimustenmukaisuudelle. Asiantuntija-apu olisi olla luonteeltaan esimerkiksi tiedollista tai teknistä tukea vaatimustenmukaisuuden arviointien sekä valvontatoimien suuntaamisen tueksi. Tuki voisi liittyä myös kyberkestävyysasetuksen 54 artiklassa tarkoitettuun menettelyyn, jossa arvioidaan tuotteen mahdollista merkittävää kyberturvallisuusriskiä. Ehdotetun lain 18 §:ssä säädettäisiin asiantuntijatukeen liittyvästä tietojenvaihdosta.  

Markkinavalvontaviranomaisten yhteistyöhön muutoin sovellettaisiin, mitä markkinavalvontalaissa, markkinavalvonta-asetuksessa ja kyberkestävyysasetuksessa säädetään. 

18 §.Markkinavalvontaviranomaisen oikeus luovuttaa salassa pidettävää tietoa. Pykälässä säädettäisiin kyberkestävyysasetuksen markkinavalvonnan edellyttämistä tiedonluovutusoikeuksista.  

Säännöksiä sovellettaisiin erityissäännöksinä sen lisäksi, mitä muualla laissa säädetään markkinavalvontaviranomaisen tiedonluovutusoikeuksista. Markkinavalvontalain 11 §:ssä säädetään muun ohella markkinavalvontaviranomaisen oikeudesta luovuttaa tietoja Tullille, ja markkinavalvontalain 13 §:ssä säädetään markkinavalvontaviranomaisen oikeudesta luovuttaa eräitä tietoja tietyille muille kotimaisille ja ulkomaisille viranomaisille sekä kansanväliselle toimielimelle. Markkinavalvontalaissa luetellut tietotyypit (tiedot yksityisen ja yhteisön taloudellisesta asemasta, liikesalaisuudesta sekä yksityisen henkilökohtaisista oloista) eivät ole riittäviä kyberkestävyysasetuksen edellyttämän yhteistyön kannalta (ks. luku REF _Ref196839805 \r \h 3.1.2), vaikkakin myös kyseisten tietojen luovuttaminen tulisi kyseeseen. Ehdotuksessa täydennettäisiin näitä säännöksiä säätämällä oikeudesta luovuttaa myös eräitä muita tietoja ja tietojen luovuttamisesta sellaisille viranomaisille, joita ei mainita markkinavalvontalaissa. 

Pykälän 1 momentissa laajennettaisiin markkinavalvontalain 11 ja 13 §:n nojalla tietojenluovutusoikeuden piirissä olevia tietotyyppejä myös digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuutta, turvajärjestelyjä, haavoittuvuutta ja tietoturvaan vaikuttavaa poikkeamaa koskeviin tietoihin. Kyseiset tiedot voisivat olla salassa pidettäviä erityisesti julkisuuslain 24 §:n 1 momentin 7 kohdassa tarkoitettuina tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevina ja niiden toteuttamiseen vaikuttavina asiakirjoina. Nämä tiedot ovat lähtökohtaisesti salassa pidettäviä salassapito-olettaman mukaisesti. Tiedot olisi välttämätöntä sisällyttää tiedonvaihdon alaan, koska kyberkestävyysasetuksen velvoitteet kohdistuvat siihen, mitä nämä tiedot koskevat. Markkinavalvontaviranomainen voisi luovuttaa tietoja omasta aloitteestaan tai pyynnöstä.  

Pykälän 2 momentissa säädettäisiin markkinavalvontaviranomaisen oikeudesta luovuttaa salassa pidettäviä tietoja 1–6 kohdissa tarkoitetuille tahoille, joiden kanssa markkinavalvontaviranomaisen on tarpeen tehdä yhteistyötä sille säädettyjen tehtävien toteuttamiseksi, mutta jotka eivät sisälly markkinavalvontalain 11 ja 13 §:ään. Markkinavalvontaviranomainen voisi luovuttaa tietoja oma-aloitteisesti tai pyynnöstä.  

Momentin 1 kohdassa säädettäisiin tietojen luovuttamisesta FINAS-akkreditointipalvelulle, jos tiedon luovuttaminen on välttämätöntä vaatimustenmukaisuuden arviointilaitosten pätevyyden arvioimiseksi. Akkreditointia koskevan ns. NLF-asetuksen 5 artiklan 3 kohdan mukaan kansallisten akkreditointielinten on valvottava kaikkia niitä vaatimustenmukaisuuden arviointilaitoksia, joille ne ovat myöntäneet akkreditointitodistuksen. Artiklan 4 kohdan mukaan, jos kansallinen akkreditointielin toteaa, että jokin akkreditointitodistuksen saanut vaatimustenmukaisuuden arviointilaitos ei enää ole pätevä hoitamaan tiettyä vaatimustenmukaisuuden arviointiin liittyvää tehtävää tai on rikkonut vakavasti velvoitteitaan, kansallisen akkreditointielimen on toteutettava tarvittavat toimenpiteet kohtuullisen ajan kuluessa kyseisen laitoksen akkreditointitodistuksen voimassaolon rajoittamiseksi, keskeyttämiseksi tai peruuttamiseksi.  

Momentin 2 kohdassa säädettäisiin tietojen luovuttamisesta kansalliselle kyberturvallisuussertifioinnin viranomaiselle, jos tiedon luovuttaminen on välttämätöntä kyseisen viranomaisen valvontatehtävien suorittamiseksi. Markkinavalvontaviranomaisten on kyberkestävyysasetuksen 52 artiklan 4 kohdan mukaan tehtävä tarvittaessa yhteistyötä kyberturvallisuusasetuksen nojalla nimettyjen kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten kanssa ja vaihdettava säännöllisesti niiden kanssa tietoja. Suomessa tehtävässä jatkaisi Liikenne- ja viestintävirasto ehdotetun lain 21 §:n nojalla. Tietoja voitaisiin luovuttaa lisäksi toisen jäsenvaltion vastaavaa tehtävää hoitavalle viranomaiselle. Tietojen luovuttaminen voisi olla ehdotetulla tavalla välttämätöntä esimerkiksi, jos valvonnassa ilmenisi kyberturvallisuussertifiointia koskeva poikkeama, johon kyberturvallisuussertifioinnin viranomaisen olisi kohdistettava valvontatoimenpiteitä.  

Momentin 3 kohdassa säädettäisiin tietojen luovuttamisesta kyberturvallisuuslain 26 §:ssä ja julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 18 h §:ssä tarkoitetulle valvovalle viranomaiselle, Finanssivalvonnalle tai toisen jäsenvaltion vastaavalle viranomaiselle, jos digitaalisia elementtejä sisältävän tuotteen voidaan perustellusti arvioida aiheuttavan merkittävän kyberturvallisuusriskin muiden kuin teknisten riskitekijöiden vuoksi. Tällä viitattaisiin kyberkestävyysasetuksen 54 artiklan 2 kohdan mukaiseen tilanteeseen. Sen mukaan, jos markkinavalvontaviranomaisella on riittävä peruste katsoa, että digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvallisuusriskin muiden kuin teknisten riskitekijöiden vuoksi, sen on ilmoitettava tästä NIS 2 -direktiivin 8 artiklan nojalla nimetyille tai perustetuille toimivaltaisille viranomaisille sekä tehtävä tarpeen mukaan yhteistyötä kyseisten viranomaisten kanssa. NIS 2 -direktiivin 8 artiklassa tarkoitettuina toimivaltaisina viranomaisina toimivat kansallisesti kyberturvallisuuslain 26 §:ssä ja tiedonhallintalain 18 h §:ssä tarkoitetut valvovat viranomaiset sekä Finanssivalvonnasta annetun lain (878/2008) 50 p §:n (laissa 610/2024) nojalla Finanssivalvonta. Salassa pidettävän tiedon luovuttamisen tulisi olla välttämätöntä kyberkestävyysasetuksen 54 artiklan 2 kohdassa säädetyn ilmoitusvelvollisuuden täyttämiseksi.  

Momentin 4 kohdassa säädettäisiin ensinnäkin tietojen luovuttamisesta Euroopan unionin kyberturvallisuusvirastolle (ENISA) ja Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksessa toimivalle CSIRT-yksikölle, jos se on välttämätöntä kyberkestävyysasetuksessa 52 artiklan 4 ja 5 kohdassa tai 54 artiklan 1 kohdassa säädetyn yhteistyövelvollisuuden, neuvonnan tai tutkimuksen suorittamiseksi. Lisäksi momentissa säädettäisiin tietojen luovuttamisesta CSIRT-yksikölle, jos se on välttämätöntä sille kyberturvallisuuslaissa säädettyjen tehtävien hoitamista varten.  

Kyberkestävyysasetuksen 52 artiklan 4 kohdan mukaan markkinavalvontaviranomaisten on tehtävä yhteistyötä ja vaihdettava säännöllisesti tietoja koordinaattoreiksi nimettyjen CSIRT-yksiköiden ja ENISA:n kanssa kyberkestävyysasetuksen 14 artiklan mukaisten raportointivelvoitteiden noudattamisen valvonnan osalta. Kyberkestävyysasetuksen 52 artiklan 4 kohdan mukaan markkinavalvontaviranomaiset voivat pyytää koordinaattoriksi nimettyä CSIRT-yksikköä tai ENISA:a antamaan teknistä neuvontaa asioissa, jotka liittyvät tämän asetuksen täytäntöönpanoon ja sen noudattamisen valvontaan. Markkinavalvontaviranomaiset voivat 54 artiklan mukaista tutkimusta suorittaessaan pyytää koordinaattoriksi nimettyä CSIRT-yksikköä tai ENISA:a esittämään analyysin digitaalisia elementtejä sisältävien tuotteiden vaatimustenmukaisuuden arviointien tueksi.  

Kyberkestävyysasetuksen 54 artiklassa säädetään kansallisen tason menettelystä digitaalisia elementtejä sisältäviä merkittävän kyberturvallisuusriskin aiheuttavia tuotteita varten. Artiklan 1 kohdassa säädetään, että jos jäsenvaltion markkinavalvontaviranomaisella on riittävä peruste katsoa, että digitaalisia elementtejä sisältävä tuote, mukaan lukien sen haavoittuvuuksien käsittely, aiheuttaa merkittävän kyberturvallisuusriskin, sen on arvioitava ilman aiheetonta viivytystä ja tarvittaessa yhteistyössä asiaankuuluvan CSIRT-yksikön kanssa, täyttääkö kyseinen digitaalisia elementtejä sisältävä tuote kaikki tässä asetuksessa säädetyt vaatimukset.  

Toiseksi kohdassa säädettäisiin oikeudesta luovuttaa tietoja muissakin tapauksissa CSIRT-yksikölle siinä tapauksessa, että se olisi välttämätöntä CSIRT-yksikön kyberturvallisuuslaissa säädettyjen tehtävien hoitamista varten. CSIRT-yksikön kyberturvallisuuslaissa säädettyjen tehtävien kannalta tiedon luovutus voisi olla välttämätöntä esimerkiksi kyberturvallisuuden tilannekuvan ylläpitämistä, ennakkovaroitusta, haavoittuvuuskoordinaatiota tai haavoittuvuuskartoitusta varten. Tiedonluovutusoikeudessa olisi tältä osin kyse kansallista yhteistyötä ja tiedonvaihtoa parantavasta säädöksestä, jota kyberkestävyysasetuksen markkinavalvonta ei välittömästi edellytä. Markkinavalvontaviranomainen voi kuitenkin todennäköisesti havaita tai vastaanottaa tehtävässään tietoja, jotka olisivat välttämättömiksi CSIRT-yksikön kyberturvallisuuslain 20 §:ssä säädettyjen tehtävien hoitamiseksi. Kyseessä voisivat olla esimerkiksi kyberturvallisuuden tilannekuvan ylläpitämiseksi välttämättömät tiedot esimerkiksi kyberkestävyysasetuksen velvoitteiden puutteelliseen noudattamiseen tilanteista, joista markkinavalvontaviranomaisen käsityksen mukaan CSIRT-yksikkö tulisi saattaa tietoiseksi, tai esimerkiksi markkinavalvontaviranomaisen tietoon tulleet haavoittuvuus- ja uhkatiedot, jotka olisivat tarpeen CSIRT-yksikön haavoittuvuuskoordinaatiotehtävän hoitamiseksi tai ennakkovaroituksen antamiseksi taikka joiden perusteella CSIRT-yksikkö voisi toteuttaa haavoittuvuuskartoituksen. Säännöksellä tuettaisiin kansallisten viranomaisten yhteistyötä ja tiedonvaihtoa kyberpoikkeamien varalta.  

Momentin 5 kohdassa säädettäisiin tietojen luovuttamisesta tietosuojavaltuutetulle, jos tiedon luovuttaminen on välttämätöntä tietosuojavaltuutetulle laissa säädettyjen valvontatehtävien hoitamiseksi. Kyberkestävyysasetuksen 52 artiklan 7 kohdan ensimmäisen alakohdan mukaan markkinavalvontaviranomaisten on tarvittaessa tehtävä yhteistyötä unionin tietosuojalainsäädäntöä valvovien viranomaisten kanssa. Tällaiseen yhteistyöhön sisältyy tiedottaminen kyseisille viranomaisille niiden toimivaltuuksien käytön kannalta merkityksellisistä havainnoista, myös silloin, kun markkinavalvontaviranomainen antaa 52 artiklan 10 kohdan mukaisesti ohjeita ja neuvoja, jos ne koskevat henkilötietojen käsittelyä. Kohta mahdollistaisi tietojen oma-aloitteisen luovuttamisen näissä tapauksissa. Tietojen luovuttaminen olisi rajattava havainnoista tiedottamisen kannalta välttämättömään. Tietosuojavaltuutetulla olisi oikeus pyytää muitakin asiaan liittyviä tietoja alla kuvatun mukaisesti.  

Momentin 6 kohdassa säädettäisiin välttämättömien tietojen luovuttamisesta kilpailulainsäädännön valvomista varten Euroopan komissiolle ja Kilpailu- ja kuluttajavirastolle tai toisen Euroopan unionin jäsenvaltion kansalliselle kilpailuviranomaiselle. Kyberkestävyysasetuksen 52 artiklan 13 kohdassa säädetään markkinavalvontaviranomaisten velvollisuudesta ilmoittaa viipymättä komissiolle ja asianomaisille kansallisille kilpailuviranomaisille kaikki markkinavalvontatoimien yhteydessä esiin tulleet tiedot, joilla voi olla merkitystä unionin kilpailulainsäädännön soveltamisen kannalta.  

Pykälän 3 momentissa säädettäisiin tietojen vaihtamisesta 17 §:ssä tarkoitettua asiantuntijatukea pyytävän ja antavan viranomaisen välillä. Viranomaisten välillä voitaisiin luovuttaa asiantuntijatuen antamiseksi välttämättömiä tietoja salassapitovelvoitteiden estämättä. Asiantuntijatuen antaminen olisi erillinen tehtävä suhteessa Liikenne- ja viestintäviraston suorittamaan valvontatehtävään, minkä vuoksi olisi selvyyden vuoksi tarve säätää erikseen oikeudesta luovuttaa tietoja myös asiantuntijatuen antamista varten.  

19 §.Markkinavalvontaviranomaisen oikeus tehdä tarkastuksia ja ottaa ohjelmistoja tutkittavaksi . Pykälän 1 momentissa säädettäisiin markkinavalvontaviranomaisen oikeudesta tehdä tarkastuksia pysyväisluonteiseen asumiseen käytettyihin tiloihin, joita talouden toimija käyttää elinkeino- tai ammattitoimintaansa liittyviin tarkoituksiin. Säännös täydentäisi markkinavalvontalain 9 §:ssä markkinavalvontaviranomaisen tarkastusoikeutta koskevaa säännöstä, jota sovellettaisiin muilta osin markkinavalvontaviranomaisen oikeuteen tehdä tarkastuksia. Markkinavalvontalain 9 §:n 2 momentti edellyttää, että pysyväisluonteiseen asumiseen käytettäviin tiloihin kohdistettavasta tarkastuksesta säädetään tarvittaessa erikseen.  

Kyberkestävyysasetuksen alaan kuuluu tuotteita, joiden kehittämistä ja valmistamista on mahdollista ja jossain määrin tavanomaistakin harjoittaa yrityksen erillisten toimitilojen ohella kotirauhan piiriin kuuluvissa tiloissa. Kyberkestävyysasetuksen alaan kuuluvaa elinkeino- tai ammattitoimintaa kuten ohjelmistokehitystä tai laitteiden kokoonpanoa voidaan harjoittaa myös kotirauhan piiriin kuuluvissa tiloissa. Tällöin voi syntyä tilanteita, joissa ainoa mahdollisuus yritykseen kohdistuvan tarkastuksen tekemiselle on sen toteuttaminen talouden toimijan elinkeinotoimintaansa käyttämissä sinänsä kotirauhan piiriin kuuluvissa tiloissa, joissa toiminnan harjoittamisessa käytettävät järjestelmät ja dokumentaatio sijaitsevat. Säännös mahdollistaisi tarkastuksen ulottamisen tästä syystä myös kotirauhan piiriin kuuluviin tiloihin, kun se olisi välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi.  

Kotirauhan piirissä tapahtuva tarkastus olisi mahdollinen vain, jos se olisi välttämätön tarkastuksen kohteena olevien seikkojen selvittämiseksi, eli jos viranomainen ei voisi hankkia valvonnassa välttämättömiä tietoja tiedonsaantioikeutensa nojalla tai suorittamalla tarkastus muualla kuin pysyväisluonteiseen asumiseen käytetyssä tilassa.  

Ulkopuoliset asiantuntijat voisivat tarvittaessa osallistua tarkastukseen markkinavalvontaviranomaisen apuna siten kuin markkinavalvontalain 14 §:n 2 momentissa säädetään. Ulkopuolisen asiantuntijan itsenäisesti suorittama tarkastus ei olisi mahdollinen säännöksen nojalla. Koska säännöksessä viitataan markkinavalvontalain 9 §:ään, myös pysyväisluontoiseen asumiseen käytettyyn tilaan kohdistettavassa tarkastuksessa olisi kyse mainitussa momentissa tarkoitetulla tavalla markkinavalvontalain mukaisesta tarkastuksesta. Viittauksen johdosta myös hallintolain 39 § tulisi sovellettavaksi säännöksen mukaisissa tarkastuksissa. 

Momentissa edellytettäisiin, että viranomaisella olisi perusteltu ja yksilöity syy epäillä kyberkestävyysasetusta tai sen nojalla annettuja säädöksiä rikottavan tavalla, josta voi olla seuraamuksena ehdotetussa laissa tarkoitettu seuraamusmaksu. Pysyväisluonteiseen asumiseen käytettävässä tilassa tarkastuksen saisi siten suorittaa vain, jos viranomaisella on ennalta asianmukaiset perusteet epäillä sääntelyä rikottavan. Rikkomuksen vakavuutta ilmentäisi, että siitä tulisi voida määrätä rangaistuksenluonteinen hallinnollinen seuraamusmaksu. Jos olisi ilmeistä, että selvitettävänä olevasta teosta ei tultaisi määräämään seuraamusmaksua sen vähäisyyden tai muun sellaisen syyn vuoksi, ei tarkastustakaan saisi suorittaa. Tarkastuksen oikeasuhtaisuutta varmistaisi lisäksi momentin edellytys siitä, että epäillyssä rikkomuksessa olisi kyse digitaalisen elementin sisältävän tuotteen tai siihen liittyvän prosessin, kuten haavoittuvuuksien hallinnan, vaatimustenvastaisuudesta taikka että kyse on kyberkestävyysasetuksen 57 artiklassa tarkoitetusta tilanteesta, jossa tuote aiheuttaa vaatimustenmukaisuudestaan huolimatta merkittävän kyberturvallisuusriskin sekä muun artiklassa tarkoitetun riskin, jonka tulee kohdistua ihmisten terveyteen tai turvallisuuteen, perusoikeuksien suojaamiseen tarkoitettujen unionin oikeuden tai kansallisen lainsäädännön mukaisten velvoitteiden noudattamiseen, NIS 2 direktiivissä tarkoitettujen keskeisten toimijoiden tietoturvaan tai muihin yleisen edun suojaamiseen liittyville näkökohdille. Näin ollen tarkastusoikeutta voitaisiin käyttää kotirauhan piirissä vain siinä määrin vakavissa epäillyissä rikkomustapauksissa, joissa nämä edellytykset täyttyvät. 

Pykälän 2 momentissa säädettäisiin ohjelmistojen tutkittavaksi ottamisesta markkinavalvonnassa. Momentti sisältäisi informatiivisen viittauksen markkinavalvontalakiin. Lisäksi momentissa säädettäisiin rajatusta poikkeuksesta markkinavalvontalain mukaiseen velvollisuuteen korvata tutkittavaksi otettu tuote talouden toimijalle.  

Markkinavalvontalain 10 §:ssä säädetään markkinavalvontaviranomaisen oikeudesta ottaa tuotteita tutkittavaksi, jos se on tuotteen vaatimustenmukaisuuden valvonnan kannalta tarpeellista. Markkinavalvontaviranomaisen on markkinavalvontalain 10 §:n 2 momentin mukaan talouden toimijan vaatimuksesta korvattava tarkoitettu tuote käyvän hinnan mukaan, jollei havaita, että tuote on vaatimustenvastainen. Koska kyberkestävyysasetuksen soveltamisalaan kuuluvia tuotteita ovat myös ohjelmistotuotteet sekä tuotteiden ratkaisut datan etäkäsittelystä, mukaan lukien toisistaan erillään markkinoille saatettavat ohjelmisto- ja laitteistokomponentit, markkinavalvontalain mukainen toimivalta soveltuisi myös niihin. Ohjelmistotuotteen ottamisesta tutkittavaksi ei aiheudu talouden toimijalle tutkittavaksi otettavan kappaleen myynnin menetyksestä aiheutuvaa vahinkoa vastaavasti kuin fyysisen tuotteen menetyksestä voi aiheutua, koska ohjelmistotuotteet ovat pääsääntöisesti digitaalisessa muodossa. Näin ollen markkinavalvontaviranomaisen ei olisi suoritettava ohjelmiston tutkittavaksi ottamisesta markkinavalvontalain 10 §:n mukaista korvausta talouden toimijalle riippumatta siitä, todetaanko ohjelmisto vaatimustenmukaiseksi. Säännös ei koskisi Tullin perimää korvausta markkinavalvontalain 10 §:n 2 momentin nojalla.  

20 §.Avoimen lähdekoodin ohjelmistovastaavalle annettava valvontapäätös . Pykälän 1 momentissa säädettäisiin mahdollisuudesta antaa avoimen lähdekoodin ohjelmistovastaavalle velvoittava määräys korjata puute sen kyberkestävyysasetuksessa säädettyjen velvollisuuksien noudattamisessa päätöksessä asetettavassa määräajassa. Ohjelmistovastaavan velvoitteista säädetään kyberkestävyysasetuksen 24 artiklassa (ks. luku REF _Ref209616288 \r \h 2.1.3.3). Markkinavalvontalakia täydentävän sääntelyn tarvetta on arvioitu luvussa REF _Ref196053144 \r \h 3.1.2. Kyse voisi olla esimerkiksi velvoitteesta korjata puute ohjelmistovastaavan laatimissa kyberturvallisuusperiaatteissa, tehdä puuttuva poikkeama- tai haavoittuvuusilmoitus. Velvoitteella voitaisiin tehostaa myös viranomaisen pyyntöä luovuttaa ohjelmistovastaavan laatimat dokumentoidut kyberturvallisuusperiaatteet, jos niitä ei annettaisi sille vapaaehtoisesti, samoin kuin viranomaisen pyyntöä tehdä kyberkestävyysasetuksen edellyttämää yhteistyötä tuotteen aiheuttamien kyberturvallisuusriskien lieventämiseksi tietyssä tapauksessa, jos pyyntöä ei muutoin noudatettaisi.  

Pykälän 2 momentissa säädettäisiin markkinavalvontaviranomaisen mahdollisuudesta asettaa antamansa päätöksen tehosteeksi uhkasakko. Uhkasakon asettamisesta ja täytäntöönpanosta säädetään uhkasakkolaissa.  

5 luku – Kyberturvallisuussertifiointi 

21 §.Kansallinen kyberturvallisuussertifioinnin viranomainen . Pykälän 1 momentissa osoitettaisiin kyberturvallisuusasetuksen mukaiset kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen tehtävät Liikenne- ja viestintävirastolle, joka hoitaa tehtävää nykyisinkin sähköisen viestinnän palveluista annetun lain eli viestintäpalvelulain nojalla. Viranomaisen tehtäviin kuuluvat kyberturvallisuusasetuksen 58 artiklan nojalla vaatimustenmukaisuuden arviointilaitosten valtuuttaminen, valvonta ja seuranta, vaatimustenmukaisuuden valvonta sekä korkean varmuustason kyberturvallisuussertifikaattien myöntäminen.  

Ehdotuksessa käytettäisiin kyberturvallisuusasetuksen suomenkielisestä toisinnosta poikkeavaa kyberturvallisuussertifioinnin viranomaisen käsitettä, joka on omaksuttu myös käytännössä viranomaisen viestinnässä. Kyberturvallisuusasetuksen suomenkielisessä versiossa käytetään kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen käsitettä, vaikka tämän viranomaisen tehtäviin kuuluvat paitsi eurooppalaisten kyberturvallisuussertifikaattien myöntäminen tietyissä tapauksissa myös kyberturvallisuusasetukseen liittyvä valvontatoiminta, jotka asetus vaatii erottamaan toisistaan. Ruotsinkielisessä toisinnossa käytetty käsite on nationell myndighet för cybersäkerhetscertifiering ja englanninkielisessä national cybersecurity certification authority. Ehdotetusta käsitteestä kävisi asetuksen suomenkielistä toisintoa paremmin ilmi, että viranomaisen tehtäviin kuuluu eurooppalaisten kyberturvallisuussertifikaattien myöntämisen lisäksi kyberturvallisuusasetukseen liittyvä valvontatoiminta.  

Pykälän 2 momentissa säädettäisiin kyberturvallisuussertifikaattien myöntämiseen ja kyberturvallisuusasetukseen liittyvän valvontatoiminnan eriyttämisestä asetuksen edellyttämällä tavalla. Asetuksen mukaan jäsenvaltioiden on varmistettava, että kansallisen kyberturvallisuussertifioinnin myöntävät viranomaisten toiminta, joka liittyy 56 artiklan 5 kohdan a alakohdan ja 56 artiklan 6 kohdan mukaiseen eurooppalaisten kyberturvallisuussertifikaattien myöntämiseen, on tiukasti erotettu tämän artiklan mukaisesta valvontatoiminnasta ja että nämä toiminnot suoritetaan toisistaan riippumattomasti.  

Liikenne- ja viestintäviraston olisi järjestettävä toimintansa organisatorisesti niin, että kyberturvallisuussertifikaattien myöntämiseen liittyvä päätöksenteko on eriytetty kyberturvallisuussertifioinnin valvontaan liittyvästä päätöksenteosta niin, etteivät samat henkilöt voi kohdistaa hallinnollista ohjausta sekä sertifikaattien myöntämiseen että valvontatoimintaan. Käytännössä tehtävät voitaisiin osoittaa Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen eri osastoilla toimiviin yksiköihin. Tämä ei kuitenkaan estäisi viranomaisen henkilöstön asiantuntemuksen hyödyntämistä eri tehtävissä. 

Kyberturvallisuusasetus ja ehdotuksen 24 § mahdollistaisivat kyberturvallisuussertifioinnin viranomaisen korkean tason sertifikaattien myöntämisen tehtävän delegoinnin vaatimustenmukaisuuden arviointilaitokselle. Euroopan kyberturvallisuuden sertifiointiryhmän tulkinnan mukaan kyberturvallisuusasetuksen 56 artiklan 6 kohdan a alakohdan mukainen vaatimustenmukaisuuden arviointilaitosten myöntämien yksittäisten sertifikaattien etukäteishyväksyntä viranomaisen toimesta olisi sertifioinnin myöntämistä, mikä tulisi siis eriyttää valvontaviranomaisen toiminnasta. Asetuksen 56 artiklan 6 kohdan b alakohdan mukainen ennalta yleisesti tapahtuva delegointi ei ole yhtä ongelmallinen suhteessa valvontatehtävien hoitamiseen, sillä viranomaisella ei olisi roolia yksittäisten sertifikaattien myöntämisessä. Tältäkin osin voidaan kuitenkin katsoa, että delegointi kuuluisi luontevammin organisatorisesti osaksi sertifikaattien myöntämistä, sillä erotuksena arviointilaitoksen ilmoittamisen ja valtuuttamisen sekä valvonnan tehtäviin viranomaiselle jää lähtökohtaisesti harkintavaltaa siinä, delegoidaanko tehtäviä lainkaan ja mille vaatimustenmukaisuuden arviointilaitoksille niitä delegoidaan. Valvonnan viranomaistehtäviin taas kuuluu yksiselitteisesti kyberturvallisuusasetuksen 58 artiklan 7 kohdan f alakohdassa mainittu vaatimustenmukaisuuden arviointilaitosten delegoinnin perusteella myöntämiin sertifikaatteihin liittyvien sivullisten tekemien valitusten käsittely. 

22 §.Vaatimustenmukaisuuden arviointilaitosten ilmoittaminen ja valtuuttaminen kyberturvallisuussertifiointia varten . Pykälän 1 momentissa olisi informatiivinen viittaus kyberturvallisuussertifioinnin viranomaisen tehtävään ilmoittaa vaatimustenmukaisuuden arviointilaitos komissiolle kyberturvallisuussertifiointia varten sen jälkeen, kun laitos on saanut akkreditoinnin. Samoin kuin ehdotetun lain 11 §:ssä kyberkestävyysasetuksen osalta akkreditoinnin myöntäisi Turvallisuus- ja kemikaaliviraston akkreditointiyksikkö (FINAS-akkreditointipalvelu). Lisäksi ilmoittamisen edellytyksenä olisi eräissä tapauksissa kyberturvallisuussertifioinnin viranomaisen arviointilaitokselle antama valtuutus, joka tarvittaisiin, kun sertifiointijärjestelmässä vahvistettaisiin 54 artiklan 1 kohdan f alakohdan mukaisia erityisiä vaatimuksia tai lisävaatimuksia, jotka arviointilaitoksen olisi täytettävä. Tällaisia valtuuttamista koskevia vaatimuksia voi sisältyä komission hyväksymiin sertifiointijärjestelmiin. Tällä hetkellä ns. EUCC-täytäntöönpanoasetus (komission täytäntöönpanoasetus (EU) 2024/482 Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 soveltamissäännöistä siltä osin kuin on kyse yhteisiin kriteereihin perustuvan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän (EUCC) hyväksymisestä) edellyttää valtuutusta sen nojalla tapahtuvaan korkean varmuustason sertifikaattien myöntämiseen.  

Akkreditointiin ja siihen rinnastettavaan pätevyyden arviointiin sovelletaan vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annettua lakia (920/2005). Vaatimuksenmukaisuuden arviointilaitosta koskeviin vaatimuksiin sovelletaan kyberturvallisuusasetuksen 60 artiklan 1 kohdan viittauksen nojalla asetuksen liitettä. Kansallinen akkreditointielin antaa akkreditoinnin vain, jos vaatimukset täyttyvät. Kyberturvallisuussertifioinnin viranomaisella olisi kyberturvallisuusasetuksen mukaiset tehtävät ja toimivalta valvoa, että vaatimustenmukaisuuden arviointilaitokset noudattavat asetuksen vaatimuksia. Tämän lisäksi akkreditointiyksikkö seuraa arviointielimen pätevyyttä ja voisi peruuttaa akkreditoinnin, jos akkreditoinnin edellytykset eivät enää täyty. 

Pykälän 2 momentissa säädettäisiin, että ilmoittamisen ja valtuuttamisen edellytyksenä olisi FINAS-akkreditointipalvelun antama akkreditointitodistus siitä, että vaatimustenmukaisuuden arviointilaitos täyttää kyberturvallisuusasetuksen vaatimukset. Ehdotettu sanamuoto mahdollistaisi sen, että kyberturvallisuussertifioinnin viranomaisen olisi mahdollista käynnistää valtuutukseen liittyvä arviointi akkreditointimenettelyn ollessa vielä kesken, jos viranomainen pitää sitä perusteltuna.  

23 §.Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen velvollisuudet .  

Pykälän 1 momentissa säädettäisiin kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen velvollisuudesta suorittaa vaatimustenmukaisuuden arvioinnit kyberturvallisuusasetuksessa ja sen nojalla annettujen säädösten mukaisten vaatimustenmukaisuuden arviointimenettelyjen edellyttämällä tavalla samoin kuin muut edellä tarkoitetuissa säädöksissä säädetyt tehtävät. Ehdotus vastaa osin eräitä tuoteryhmiä koskevista ilmoitetuista laitoksista annetun lain 14 §:n 1 momenttia. Kyseinen laki ei tule sovellettavaksi kyberturvallisuusasetuksen nojalla ilmoitettuihin vaatimustenmukaisuuden arviointilaitoksiin, minkä johdosta lakiehdotukseen on tarpeen ottaa eräitä arviointilaitosten velvollisuuksia koskevia säännöksiä.  

Pykälän 2 momentissa säädettäisiin kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen velvollisuudesta ilmoittaa kyberturvallisuussertifioinnin viranomaiselle kaikista muutoksista, joilla on vaikutusta ilmoittamisen tai valtuuttamisen edellytysten täyttymiseen. Näistä edellytyksistä säädetään kyberturvallisuusasetuksessa ja sen nojalla hyväksytyissä sertifiointijärjestelmissä. Lakiehdotuksen 25 §:ssä säädettäisiin kyberturvallisuussertifioinnin viranomaisen oikeudesta saada muitakin tietoja vaatimustenmukaisuuden arviointilaitokselta.  

Pykälän 3 momentissa säädettäisiin edellä 13 §:ää vastaavasti rikosoikeudellisesta virkavastuusta kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen sekä sen käyttämän tytäryhtiön ja alihankkijan henkilöstön virkavastuusta arviointilaitoksen hoitaman julkisen hallintotehtävän johdosta. Lisäksi momentti sisältäisi informatiivisen viittauksen vahingonkorvauslakiin. Edellä 13 §:n perustelujen yhteydessä mainitusti hallinnon yleislait tulisivat sovellettavaksi ilman eri viittaustakin. Kyberturvallisuusasetuksen liite (vaatimustenmukaisuuden arviointilaitoksia koskevat vaatimukset) sisältää myös tytäryhtiön tai alihankkijan käyttöön liittyviä vaatimuksia.  

24 §.Kyberturvallisuussertifikaatin myöntämiseen liittyvä tehtävien siirtäminen . Pykälän 1 momentissa säädettäisiin, että kyberturvallisuussertifioinnin viranomainen voisi siirtää eli delegoida korkean varmuustason kyberturvallisuussertifikaatin myöntämisen vaatimuksenmukaisuuden arviointilaitokselle. Tästä mahdollisuudesta säädetään kyberturvallisuusasetuksen 56 artiklan 6 kohdassa, joka mahdollistaa kaksi erilaista delegoinnin tapaa. Tehtävä voitaisiin siirtää joko niin, että viranomainen hyväksyy ennalta kunkin yksittäisen sertifikaatin myöntämisten erikseen, tai yleisesti ennalta siten, että vaatimustenmukaisuuden arviointilaitos myöntäisi itsenäisesti tietyn sertifiointijärjestelmän puitteissa myönnettävät eurooppalaiset kyberturvallisuussertifikaatit. Kummassakin tapauksessa arviointilaitoksen voitaisiin katsoa toimivan itsenäisesti ja tekevän myöntämistä koskevat päätökset omissa nimissään, eli kyse ei olisi viranomaista avustavasta roolista. Komission täytäntöönpanoasetuksella annettu sertifiointijärjestelmä voi asettaa reunaehtoja delegoinnille tai edellyttää sitä. EUCC-täytäntöönpanoasetuksen 17 artiklan 4 kohdan b alakohta esimerkiksi mahdollistaa vain menettelyn, että viranomainen hyväksyy kunkin yksittäisen sertifioitavan prosessin ennalta. Edellä 21 §:n yhteydessä on tarkasteltu kyberturvallisuussertifioinnin viranomaisen delegointia koskevien tehtävien eriyttämistä valvontatehtävistä.  

Tehtävän siirtämiseen liittyvään vaatimustenmukaisuuden arviointilaitoksen palvelun hankintaan voisi tapauskohtaisesti tulla sovellettavaksi laki julkisista hankinnoista ja käyttöoikeussopimuksista (1397/2016). Jos viranomainen hyväksyy tehtävää hoitamaan kaikki ne vaatimustenmukaisuuden arviointilaitokset, jotka täyttävät laissa säädetyt edellytykset, ei kyse ei olisi julkisesta hankinnasta eikä hankintalainsäädäntöä sovellettaisi (ks. vastaavasti HE 108/2016 vp, s. 75). Jos taas ainoastaan osa vaatimustenmukaisuuden arviointilaitoksista voisi osallistua ehdotuksen 1 momentissa tarkoitettujen sertifikaattien myöntämiseen, voisi tilanne tulla arvioitavaksi palveluja koskevana käyttöoikeussopimuksena. Laissa julkisista hankinnoista ja käyttöoikeussopimuksista palveluja koskevalla käyttöoikeussopimuksella tarkoitetaan ”taloudellista vastiketta vastaan tehtyä kirjallista sopimusta, jolla yksi tai usea hankintayksikkö siirtää muiden kuin käyttöoikeusurakkaa koskevien palvelujen tarjoamisen ja hallinnoimisen sekä siihen liittyvän toiminnallisen riskin yhdelle tai usealle toimittajalle ja jossa siirtämisen vastikkeena on joko yksinomaan palvelujen käyttöoikeus tai tällainen oikeus ja maksu yhdessä”. Kun palveluntarjoaja ottaisi riskin palvelun kysynnästä ja sertifiointiviranomainen puolestaan hyötyisi siitä, ettei sen tarvitsisi suorittaa tehtävää itse, voi määritelmä täyttyä.  

Pykälän 2 momentissa säädettäisiin seikoista, joista kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen kanssa tehtävässä sopimuksessa olisi ainakin sovittava. Sopimuksessa tulisi ensinnäkin kuvata delegoitavat tehtävät tarkemmin. Tehtävät olisi mahdollista rajata myös tarkemmin kuin vain tiettyyn sertifiointijärjestelmään. Toiseksi sopimukseen voitaisiin ottaa kyberturvallisuussertifioinnin viranomaisen tarpeellisiksi arvioimia erityisiä vaatimuksia vaatimustenmukaisuuden arviointilaitoksen pätevyydelle ja sen toiminnan turvallisuudelle, kuten tietoturvasta ja fyysisestä turvallisuudesta huolehtimiselle, jos kyberturvallisuusasetuksesta ja sovellettavasta sertifiointijärjestelmästä seuraavia vaatimuksia ei pidettäisi riittävinä. Kolmanneksi sopimuksessa tulisi ottaa kantaa sopimuskauteen, toiminnan aloittamiseen ja sopimuksen päättymiseen kesken sopimuskauden, kuten viranomaisen tai arviointilaitoksen mahdolliseen oikeuteen irtisanoa delegointia koskeva sopimus kesken sopimuskauden. Neljänneksi sopimuksessa tulisi lausua vaatimustenmukaisuuden arviointilaitoksen toimintaan liittyvien asiakirjojen säilyttämisestä ja arkistoinnista etenkin silmällä pitäen sopimuksen päättymistä. Viidenneksi sopimuksessa tulisi sopia vaatimustenmukaisuuden arviointilaitoksen toiminnan puutteista ja laiminlyönneistä aiheutuvista seuraamuksista.  

Momentissa ei erikseen mainittaisi henkilötietojen käsittelyä tai maksuja. Vaatimustenmukaisuuden arviointilaitoksen katsottaisiin toimivan itsenäisenä rekisterinpitäjänä siltä osin kuin sertifiointitehtävien hoitamiseen liittyisi esimerkiksi sertifikaatin hakijan henkilöstön henkilötietojen käsittelyä. Tarkoituksena on, että delegoidun tehtävän hoitaminen rahoitettaisiin maksuilla, joita arviointilaitos perisi kaupallisin perustein sertifioinnin hakijoilta.  

Pykälän 3 momentin mukaan kyberturvallisuussertifioinnin viranomainen voisi irtisanoa tai purkaa delegointia koskevan sopimuksen, jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos ei enää täytä arviointilaitokseen kohdistuvia vaatimuksia tai jos se olennaisesti laiminlyö sopimuksessa sovittujen tehtävien suorittamisen tai muutoin rikkoo sopimusta tai toimii olennaisesti tai toistuvasti lainvastaisesti. Ehdotus mahdollistaisi delegoinnin peruuttamisen, jos delegoituja tehtäviä laiminlyödään olennaisella tavalla tai jos arviointilaitos ei enää ole pätevä tehtäviinsä. Vaatimustenmukaisuuden arviointilaitokseen voitaisiin tarvittaessa kohdistaa myös valvontatoimenpiteitä erillisessä menettelyssä ehdotetun lain mukaisesti, mutta delegoinnin peruuttaminen ei periaatteessa olisi riippuvainen valvontaprosessin etenemisestä.  

25 §.Kyberturvallisuussertifioinnin viranomaisen tiedonsaanti- ja tarkastusoikeus. Pykälän 1 momentissa säädettäisiin kyberturvallisuussertifioinnin viranomaisen tiedonsaantioikeudesta. Viranomaisella olisi salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada sen ehdotetussa laissa tai kyberturvallisuusasetuksessa säädettyjen tehtävien hoitamiseksi ja kyberturvallisuusasetuksen, sen nojalla annettujen säädösten ja tämän lain noudattamisen valvomiseksi välttämättömät tiedot vaatimustenmukaisuuden arviointilaitokselta, eurooppalaisen kyberturvallisuussertifikaatin haltijalta ja EU-vaatimustenmukaisuusilmoitusten antajalta. Tiedot olisi luovutettava ilman aiheetonta viivytystä, viranomaisen pyytämässä muodossa ja maksutta.  

Ehdotus täydentäisi kyberturvallisuusasetuksen 58 artiklan 8 kohdan a alakohtaa, jonka mukaan viranomaisella on oltava valtuus pyytää vaatimustenmukaisuuden arviointilaitoksilta, eurooppalaisen kyberturvallisuussertifikaatin haltijoilta ja EU-vaatimustenmukaisuusilmoituksen antajilta kaikki tiedot, jotka se tarvitsee (eng. ”requires”) tehtävänsä suorittamiseksi. Ilmaisun voidaan katsoa sopivan yhteen ehdotetun välttämättömyysedellytyksen kanssa.  

Pykälässä säädettävissä toimivaltuuksissa ei edellytettäisi, että kyseessä olisi kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos, sillä tietojensaantioikeus koskisi myös tilannetta, jossa arviointilaitos on vasta hakenut ilmoittamista ja toisaalta myös tilanteita, joissa arviointilaitos olisi jäsenvaltion pyynnöstä jo poistettu komission ilmoituksista pitämästä luettelosta. 

Ehdotetun pykälän 2 momentissa säädettäisiin kyberturvallisuussertifioinnin viranomaisen tarkastusoikeudesta. Tarkastus voitaisiin kohdistaa kyberturvallisuusasetuksen 58 artiklan 7 kohdan b alakohdan mukaisesti vaatimustenmukaisuuden arviointilaitokseen, eurooppalaisen kyberturvallisuussertifikaatin haltijaan tai EU-vaatimustenmukaisuusilmoitusten antajaan. Tarkastuksen kohteena olisivat kyberturvallisuusasetuksen, sen nojalla annettujen säädösten ja ehdotetun lain noudattamisen valvontaan liittyvät seikat. Tarkastuksissa tulisi ehdotuksen mukaan noudattaa, mitä hallintolain (434/2003) 39 §:ssä säädetään.  

Pykälän 3 momentissa säädettäisiin kyberturvallisuussertifioinnin viranomaisen oikeudesta teettää tarkastus riippumattomalla asiantuntijalla. Tarkastuksen suorittajalla ja siihen osallistuvalla olisi oltava sellainen koulutus ja kokemus kuin tarkastuksen suorittamiseksi on tarpeen. Tarvittava kokemus on mahdollista hankkia esimerkiksi vaatimustenmukaisuuden arviointilaitoksen palveluksessa. Momentissa säädettäisiin rikosoikeudellisesta virkavastuusta, siinä olisi informatiivinen viittaus vahingonkorvauslakiin.  

Pykälän 4 momentissa ehdotetaan säädettäväksi, että tarkastusta suorittavalla kyberturvallisuussertifioinnin viranomaisella ja riippumattomalla asiantuntijalla olisi oikeus päästä kaikkiin tiloihin, joissa harjoitetaan kyberturvallisuusasetuksessa tarkoitettua toimintaa sekä kaikkiin tiloihin ja tietojärjestelmiin, joissa säilytetään tai käsitellään valvonnan kannalta merkityksellisiä tietoja. Tietojärjestelmissä käsiteltävillä tiedoilla tarkoitettaisiin esimerkiksi asianhallinta- ja arkistointijärjestelmiä, joissa säilytetään arviointilaitoksen arvioinnin kohteena olleen tuotteen tietoja, tai kyberturvallisuussertifikaatin haltijan järjestelmiä, joissa säilytetään tuotetta koskevia tietoja. Tarkastusta ei ole tarkoitettu ulotettavaksi esimerkiksi sähköpostijärjestelmiin tai muihin sen kaltaisiin yrityksen henkilöstön viestintään käyttämiin tietojärjestelmiin, sillä niissä käsiteltäviä tietoja ei yleisesti ottaen pidettäisi säännöksessä tarkoitetulla tavalla kyberturvallisuusasetuksen mukaisten velvoitteiden valvonnan kannalta merkityksellisinä.  

Momentissa säädettäisiin, ettei tarkastuksia saisi kuitenkaan ulottaa pysyväisluonteiseen asumiseen käytettäviin tiloihin. Vaikka myös kyberturvallisuusasetuksen alaan kuuluvaa toimintaa voidaan harjoittaa pysyväisluonteiseen asumiseen käytettävissä tiloissa ja kyberturvallisuussertifikaatin haltija voi olla luonnollinen henkilö, toisin kuin edellä 17 §:ssä ei esityksessä ehdoteta tältä osin säädettäväksi tarkastusten ulottamisesta kotirauhan piiriin. Kyberturvallisuusasetukseen katsotaan liittyvän tältä kansallista liikkumavaraa, minkä lisäksi sääntely mahdollistaisi sertifikaatin voimassaolon keskeyttämisen tai peruuttamisen siinä tapauksessa, ettei sertifikaatin haltija täyttäisi tiedonantovelvollisuuttaan. Näin ollen mahdollisuutta tarkastusten ulottamiseen kotirauhan piiriin ei pidetä välttämättömänä. 

26 §. Kyberturvallisuussertifioinnin viranomaisen oikeus luovuttaa salassa pidettäviä tietoja. Pykälässä säädettäisiin kyberturvallisuussertifioinnin viranomaisen oikeudesta luovuttaa salassa pidettäviä tietoja pyynnöstä tai omasta aloitteestaan. Pykälää sovellettaisiin julkisuuslaissa ja muualla laissa säädetyn lisäksi, minkä johdosta pykälään ei ehdoteta säännöksiä esimerkiksi esitutkintaa varten tapahtuvasta tiedonluovutuksesta. Tietotyyppejä ei yksilöitäisi, mutta pykälän kohdissa tietojen luovuttaminen olisi sidottu välttämättömyyteen tietyn tehtävän kannalta. Käytännössä tiedot voisivat koskea esimerkiksi yhteisön liikesalaisuuksia sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä.  

Pykälän 1 kohdassa säädettäisiin salassa pidettävien tietojen luovuttamisesta ensinnäkin markkinavalvontalain 4 §:ssä tarkoitetulle markkinavalvontaviranomaiselle. Ehdotus on tarpeen kyberturvallisuusasetuksen 58 artiklan 7 kohdan a alakohdan johdosta, sillä se edellyttää valvontayhteistyötä asiaankuuluvien markkinavalvontaviranomaisten kanssa. Myös EUCC-täytäntöönpanoasetuksen 28 artiklan 2 kohdassa edellytetään, että kyberturvallisuussertifioinnin viranomainen ilmoittaa vaatimustenvastaisuudesta markkinavalvontaviranomaiselle. Samoin kyseisen kohdan h alakohta edellyttää tiedonjakoa muiden viranomaisten kanssa mahdollisista tapauksista, joissa sertifioidut hyödykkeet eivät vastaa asetuksen tai yksittäisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien vaatimuksia. Toiseksi kohta mahdollistaisi tietojen luovuttamisen Turvallisuus- ja kemikaaliviraston akkreditointiyksikölle tai toisen jäsenvaltion kansalliselle akkreditointielimelle, jos tiedon luovuttaminen on välttämätöntä kyseisen viranomaisen tehtävien suorittamisen kannalta. Tämä ehdotus on tarpeen kyberturvallisuusasetuksen 58 artiklan 7 kohdan c alakohdan takia, sillä siinä edellytetään viranomaisen avustavan ja tukevan kansallisia akkreditointielimiä.  

Pykälän 2 kohdassa säädettäisiin puolestaan tietojen luovuttamisesta toiselle kansalliselle kyberturvallisuussertifioinnin viranomaiselle ja muulle Euroopan kyberturvallisuuden sertifiointiryhmän jäsenelle, Euroopan unionin kyberturvallisuusvirasto ENISA:lle sekä Euroopan komissiolle, jos se on välttämätöntä kyberturvallisuusasetuksessa tai sen nojalla säädetyn kyberturvallisuussertifioinnin viranomaisen velvoitteen toteuttamiseksi. Tältä osin ehdotettu säännös täydentää erityisesti kyberturvallisuusasetuksen 58 artiklan 7 kohdan g ja h alakohtia sekä 58 artiklan 9 kohtaa, jotka koskevat yhteistyötä ENISA:n, komission, Euroopan kyberturvallisuuden sertifiointiryhmän ja muiden kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten kanssa. Esimerkiksi EUCC-täytäntöönpanoasetuksen 38 artiklassa edellytetään kyberturvallisuussertifioinnin viranomaisen jakavan eräitä haavoittuvuuksiin liittyviä tietoja muiden kansallisten kyberturvallisuussertifioinnin viranomaisten ja ENISA:n kanssa. Lisäksi tietojen luovuttaminen voisi olla tarpeen kyberturvallisuusasetuksen 59 artiklan mukaisen vertaisarvioinnin yhteydessä.  

Pykälän 3 kohdassa taas säädettäisiin eräiden tietojen luovuttamisesta kyberturvallisuuslain 26 §:ssä ja julkisen hallinnon tiedonhallinnasta annetun lain 18 h §:ssä tarkoitetulle valvovalle viranomaiselle, Finanssivalvonnalle sekä CSIRT-yksikölle, jos se on tarpeen sen niille laissa säädettyjen tehtävien hoitamista varten. Finanssivalvonnan kyberturvallisuuteen liittyvästä tehtävistä säädetään Finanssivalvonnasta annetussa laissa ja ns. DORA-asetuksessa (Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta). Kohta täydentää kyberturvallisuusasetuksen 58 artiklan 7 kohdan h alakohtaa, jonka mukaan kyberturvallisuussertifioinnin viranomaisen on tehtävä yhteistyötä muiden viranomaisten kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit taikka tietoturvapalvelut eivät vastaa tämän asetuksen tai yksittäisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien vaatimuksia. Nämä tiedot samoin kuin tiedot niitä koskevista haavoittuvuuksista voisivat olla tarpeellisia esimerkiksi CSIRT-yksikön kyberturvallisuuslaissa säädetyn kyberuhkien seurantaa koskevan tehtävän kannalta. Tiedot sertifioidun tuotteen tai palvelun puutteista voisivat olla tarpeellisia myös niitä käyttävien toimijoiden kyberturvallisuuslain tai DORA-asetuksen mukaisten riskienhallintavelvoitteiden noudattamisen valvonnan kannalta.  

27 §.Valvontapäätös. Pykälän 1 momentissa säädettäisiin kansallisen kyberturvallisuussertifioinnin viranomaisen toimivallasta antaa velvoittava päätös ehdotetun lain tai kyberturvallisuusasetuksen tai sen nojalla säädettyjen velvollisuuksien, kuten soveltuvan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisten vaatimusten, vastaisen toiminnan korjaamiseksi. Viranomainen voisi päätöksellään velvoittaa vaatimustenmukaisuuden arviointilaitoksen, eurooppalaisen kyberturvallisuussertifikaatin haltijan tai EU-vaatimustenmukaisuusilmoitusten antajan määräajassa korjaamaan puutteen, jos valvonnassa havaittaisiin virheitä, laiminlyöntejä tai muita puutteita säädettyjen velvoitteiden noudattamisessa. Viranomainen voisi esimerkiksi velvoittaa toimijan korjaamaan havaitut puutteet tai laiminlyönnit, lopettamaan sääntelyn vastaisen toiminnan ja pidättäytymään tästä toiminnasta vastaisuudessa sekä määrätä toimijan täyttämään tietojenantovelvollisuutensa määrätyllä tavalla ja määrätyn ajan kuluessa.  

Pykälän 2 momentissa säädettäisiin kyberturvallisuussertifioinnin viranomaisen mahdollisuudesta asettaa antamansa päätöksen tehosteeksi uhkasakko, teettämisuhka tai keskeyttämisuhka. Hallinnollisen tehosteen asettamisesta ja täytäntöönpanosta säädetään uhkasakkolaissa.  

28 §.Kyberturvallisuussertifikaatin peruuttaminen . Pykälässä säädettäisiin kyberturvallisuussertifioinnin viranomaisen toimivallasta peruuttaa viranomaisen myöntämä tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen kyberturvallisuusasetuksen 56 artiklan 6 kohdan mukaisesti myöntämä eurooppalainen kyberturvallisuussertifikaatti ensinnäkin siinä tapauksessa, jos sertifikaatti ei täytä kyberturvallisuusasetuksessa säädettyjä tai kyseisen eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimuksia. Kyberturvallisuusasetuksen 58 artiklan 8 kohdan e alakohta edellyttää tällaisesta toimivallasta säätämisestä tarkemmin kansallisesti. Edellytyksenä olisi, että puutetta ei korjata kohtuullisessa määräajassa, jos puutteen korjaaminen on mahdollista. Määräaika voisi sisältyä 25 §:n mukaiseen valvontapäätökseen, jos päätös edeltäisi sertifikaatin peruuttamista. Vaihtoehtoisesti sertifikaatin peruuttamista voitaisiin käsitellä omana asianaan, jolloin ilmoitus puutteesta ja korjaamiselta edellytetty määräaika voitaisiin ilmoittaa viranomaisen muulla kuin valituskelpoisella asiakirjalla ennen valituskelpoisen ratkaisun tekemistä sertifikaatin peruuttamisesta.  

Kyberturvallisuusasetuksen 56 artiklan 6 kohdan mukaan kyberturvallisuussertifioinnin viranomainen lähtökohtaisesti myöntää korkean varmuustason sertifikaatit. Vaatimustenmukaisuuden arviointilaitos myöntää kuitenkin korkean varmuustason sertifikaatin silloin, jos viranomainen on ennalta delegoinut sille tämän tehtävän joko yleisesti tai yksittäisessä tapauksessa. Lisäksi kyberturvallisuussertifioinnin viranomainen voi poikkeuksellisesti myöntää myös perustason tai korotetun varmuustason sertifikaatin silloin, kun sertifiointijärjestelmässä määrätään niin (56 artiklan 5 kohta). Ehdotus mahdollistaisi sertifikaatin peruuttamisen edellä mainituissa tapauksissa. Sen sijaan tapauksissa, joissa perustason tai korotetun varmuustason sertifikaatin on myöntänyt vaatimustenmukaisuuden arviointilaitos, ei peruuttamistoimivallasta säädettäisi. Tämä ei olisi tarpeen, sillä tällöin sertifikaatin peruuttamisesta vastaisi sen myöntänyt vaatimustenmukaisuuden arviointilaitos soveltuvan sertifiointijärjestelmän määräysten mukaisesti. Lähtökohtaisesti sertifikaatin peruuttaminen kuuluu nimittäin sen myöntäneen vaatimustenmukaisuuden arviointilaitoksen tehtäviin, mikä ilmenee myös ns. EUCC-täytäntöönpanoasetuksen 14 artiklasta, minkä lisäksi arviointilaitos voi keskeyttää sertifikaatin voimassaolon sen 30 artiklan perusteella. Kansallisen kyberturvallisuussertifioinnin viranomaisen peruuttamistoimivalta täydentäisi arviointilaitoksen peruuttamistoimivaltaa yllä mainituissa tilanteissa.  

Toiseksi ehdotus mahdollistaisi sertifikaatin peruuttamisen siinä tapauksessa, ettei kyberturvallisuussertifikaatin haltija anna kyberturvallisuussertifioinnin viranomaiselle sen pyytämiä 26 §:n 1 momentissa tarkoitettuja tietoja eikä laiminlyöntiä korjata kohtuullisessa määräajassa. Tältä osin sääntely ei olisi välittömästi kyberturvallisuusasetuksen edellyttämää. EUCC-täytäntöönpanoasetus kuitenkin mahdollistaa samankaltaiset toimenpiteet eli sertifikaatin voimassaolon keskeyttämisen arviointilaitoksen toimesta siinä tapauksessa, että sertifikaatin haltija jatkuvasti tai toistuvasti rikkoo sitoumustaan antaa tietoja (29 artikla ja 9(2) artikla) tai ei tee yhteistyötä (28(4) artikla). Ehdotetun toimivaltuuden käyttö voisi tulla viime kädessä kyseeseen esimerkiksi tapauksissa, joissa välttämättömiä tietoja ei anneta vapaaehtoisesti eikä niitä voida hankkia myöskään 26 §:ssä tarkoitetulla tarkastuksella sen johdosta, että kyseiset tilat sijaitsevat kotirauhan piirissä tai ulkomailla.  

29 §. Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen valtuutuksen ja ilmoituksen keskeyttäminen, rajoittaminen tai peruuttaminen. Pykälän 1 momentissa säädettäisiin kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen ilmoituksen ja valtuutuksen peruuttamisesta, keskeyttämisestä tai rajoittamisesta sekä arviointilaitoksen poistamista ilmoitettujen vaatimustenmukaisuuden arviointilaitosten luettelosta koskevasta pyynnöstä. Kyberturvallisuussertifioinnin viranomaisen olisi tarvittaessa ryhdyttävä näihin toimenpiteisiin ensinnäkin, jos arviointilaitos ei ole korjannut toimintaansa valvontapäätöksessä edellytetyllä tavalla ja kyseessä on olennainen rikkomus tai laiminlyönti. Toiseksi toimenpiteisiin olisi tarvittaessa ryhdyttävä, jos vaatimustenmukaisuuden arviointilaitos ei täytä sille säädettyjä vaatimuksia tai sen akkreditointia rajoitetaan, akkreditointi peruutetaan tai se keskeytetään. Toimenpiteisiin olisi ryhdyttävä siinäkin tapauksessa, ettei päätös olisi vielä lainvoimainen, jos se olisi täytäntöönpanokelpoinen muutoksenhausta huolimatta. Rikkomuksen, puutteen tai laiminlyönnin luonne ja sen mahdollinen korjaaminen ennen päätöksen tekemistä tulisi ottaa huomioon arvioitaessa, minkä tyyppinen toimenpide olisi tarpeellinen.  

Ehdotus on tarpeellinen kyberturvallisuusasetuksen 58 artiklan 7 kohdan e alakohdan johdosta, jossa säädetään viranomaisen velvollisuudesta rajoittaa myönnettyjä valtuutuksia taikka keskeytettävä tai peruutettava ne, jos vaatimustenmukaisuuden arviointilaitokset eivät noudata kyberturvallisuusasetuksen vaatimuksia. Lisäksi se täydentää kyberturvallisuusasetuksen 61 artiklan 1 ja 4 kohtaa. Ensin mainitun johdosta kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten on ilman aiheetonta viivytystä ilmoitettava komissiolle kaikista muutoksista arviointilaitosten akkreditoinneissa ja valtuutuksissa. Jälkimmäisessä puolestaan säädetään, että kansallinen kyberturvallisuussertifioinnin myöntävä viranomainen voi esittää komissiolle pyynnön poistaa kyseisen viranomaisen ilmoittama vaatimustenmukaisuuden arviointilaitos artiklan 2 kohdassa tarkoitetusta sertifiointijärjestelmän mukaisesti ilmoitetuista vaatimustenmukaisuuden arviointilaitoksien luettelosta. Tällainen pyyntö olisi ehdotuksen mukaan tarvittaessa esitettävä, jos ilmoittamisen edellytykset eivät enää täyty. 

Momentissa säädettyä sovellettaisiin vain, jos kyberturvallisuusasetuksen nojalla annetusta säädöksestä ei muuta johtuisi. Komission täytäntöönpanoasetuksessa (EU) 2024/3143 säädetään kyberturvallisuusasetuksen 61 artiklan 5 kohdan mukaisiin ilmoituksiin liittyvien olosuhteiden, muotoseikkojen ja menettelyjen vahvistamisesta, ja sen 4 artiklan 2 kohdassa säädetään kyberturvallisuussertifioinnin viranomaisen velvollisuudesta tarvittaessa ryhtyä yllä mainittuihin toimenpiteisiin sen mukaan, miten vakava kyseisten vaatimusten tai velvoitteiden noudattamatta jättäminen on. Lisäksi komission täytäntöönpanoasetuksella annettava sertifiointijärjestelmä voi sisältää yksityiskohtaisempaa sääntelyä kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen valtuutuksen tai ilmoituksen peruuttamisesta. Tällaista sääntelyä sisältyy EUCC-täytäntöönpanoasetuksen 22 artiklan 6 kohtaan.  

Ehdotettu 2 momentti vastaisi osin eräitä tuoteryhmiä koskevista ilmoitetuista laitoksista annetun lain 6 §:n 4 momenttia. Siinä säädettäisiin tilanteesta, jossa kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos on lopettanut toimintansa tai se poistetaan komission luettelosta. Tällöin kyberturvallisuussertifioinnin viranomaisen olisi ryhdyttävä asianmukaisiin toimenpiteisiin sen varmistamiseksi, että kyseisen vaatimustenmukaisuuden arviointilaitoksen asiakirjat käsittelee toinen kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos tai että asiakirjat pidetään muutoin kyberturvallisuussertifioinnin viranomaisen ja markkinavalvonnasta vastaavien viranomaisten saatavilla. Viranomaisen olisi huolehdittava, että asiakirjojen luottamuksellisuus säilyy kyberturvallisuusasetuksen ja sen nojalla annettujen säädösten sekä julkisuuslain mukaisesti.  

30 §.Poliisin virka-apu. Ehdotetun pykälän mukaan kyberturvallisuussertifioinnin viranomaisella olisi oikeus saada poliisilta virka-apua ehdotetussa laissa tai kyberturvallisuusasetuksessa tai sen nojalla säädettyjen velvollisuuksien noudattamisen valvomiseksi ja täytäntöön panemiseksi. Virka-avun antaminen voisi tulla kyseeseen esimerkiksi, jos viranomaista estettäisiin käyttämästä tarkastustoimivaltuuksiaan. Pykälässä olisi informatiivinen viittaus poliisilakiin, jossa säädetään poliisin antamasta virka-avusta (872/2011).  

6 luku – Seuraamusmaksut 

31 §. Valmistajan seuraamusmaksu. Pykälässä säädettäisiin hallinnollisesta seuraamusmaksusta, joka voitaisiin määrätä valmistajalle kyberkestävyysasetuksen rikkomisen perusteella.  

Pykälän 1 momentissa säädettäisiin kyberkestävyysasetuksen 64 artiklan 2 kohdan edellyttämällä tavalla kyberkestävyysasetuksen liitteessä I vahvistettujen olennaisten kyberturvallisuusvaatimusten ja 13 ja 14 artiklassa säädettyjen velvoitteiden täyttämättä jättämisestä hallinnollisen seuraamusmaksun perusteena. Momentin säännökset kattaisivat myös 64 artiklan 3 kohdan edellyttämällä tavalla 31 artiklan 1–4 kohtien rikkomisen, 32 artiklan 1–3 kohtien rikkomisen ja 33 artiklan 5 kohdan rikkomisen.  

Pykälän 2 momentissa säädettäisiin kyberkestävyysasetuksen 64 artiklan 3 kohdan edellyttämällä tavalla valmistajalle säädetyn velvoitteen rikkomisesta hallinnollisen seuraamusmaksun perusteena silloin, kun valmistajien velvoitteita sovelletaan 21 artiklan nojalla maahantuojaan tai jakelijaan taikka 22 artiklan nojalla muuhun luonnolliseen henkilöön tai oikeushenkilöön kuin valmistajaan, maahantuojaan tai jakelijaan.  

32 §. Valtuutetun edustajan seuraamusmaksu. Pykälässä säädettäisiin hallinnollisesta seuraamusmaksusta, joka voitaisiin määrätä valtuutetulle edustajalle kyberkestävyysasetuksen rikkomisen perusteella. Pykälässä säädettäisiin kyberkestävyysasetuksen 64 artiklan 3 kohdan edellyttämällä tavalla asetuksen 18 artiklan rikkomisesta. Valtuutetulla edustajalla tarkoitettaisiin luonnollista henkilöä tai oikeushenkilöä, jolla on valmistajan antama kirjallinen toimeksianto hoitaa valmistajan puolesta tietyt, muutoin valmistajalle kuuluvat tehtävät. Valtuutetun edustajan velvollisuuksista säädetään kyberkestävyysasetuksen 18 artiklassa. Milloin valtuutettua edustajaa ei ole nimitetty valmistajan kirjallisella toimeksiannolla tai laiminlyönti ei kuulu toimeksiannon alaan, hallinnollista seuraamusmaksua ei voitaisi määrätä valtuutetun edustajan vastuun perusteella.  

33 §. Maahantuojan seuraamusmaksu. Pykälässä säädettäisiin hallinnollisesta seuraamusmaksusta, joka voitaisiin määrätä maahantuojalle kyberkestävyysasetuksen rikkomisen perusteella. Pykälässä säädettäisiin kyberkestävyysasetuksen 64 artiklan 3 kohdan edellyttämällä tavalla asetuksen 19 artiklan rikkomisesta.  

34 §. Jakelijan seuraamusmaksu. Pykälässä säädettäisiin hallinnollisesta seuraamusmaksusta, joka voitaisiin määrätä jakelijalle kyberkestävyysasetuksen rikkomisen perusteella. Pykälässä säädettäisiin kyberkestävyysasetuksen 64 artiklan 3 kohdan edellyttämällä tavalla asetuksen 20 artiklan rikkomisesta.  

35 §. Ilmoitetun laitoksen seuraamusmaksu. Pykälässä säädettäisiin hallinnollisesta seuraamusmaksusta, joka voitaisiin määrätä ilmoitetulle laitokselle kyberkestävyysasetuksen rikkomisen perusteella sen toimiessa tehtävässään kyberkestävyysasetuksen vastaisella tavalla. Pykälässä säädettäisiin kyberkestävyysasetuksen 64 artiklan 3 kohdan edellyttämällä tavalla asetuksen 39, 41, 47 tai 49 artiklan rikkomisesta määrättävästä hallinnollisesta seuraamusmaksusta.  

36 §. Muut kyberkestävyysasetukseen liittyvät seuraamusmaksut. Pykälässä säädettäisiin hallinnollisesta seuraamusmaksusta, joka voitaisiin määrätä talouden toimijalle kyberkestävyysasetuksen rikkomisen perusteella muissa kuin 31–35 §:ssä tarkoitetuissa tilanteissa. Pykälässä säädettäisiin kyberkestävyysasetuksen 64 artiklan 3 kohdan edellyttämällä tavalla asetuksen 23 artiklan, 30 artiklan ja 53 artiklan rikkomisesta määrättävästä hallinnollisesta seuraamusmaksusta. Pykälässä säädettäisiin myös kyberkestävyysasetuksen 64 artiklan 4 kohdan edellyttämällä tavalla hallinnollisesta seuraamusmaksusta talouden toimijalle virheellisten, puutteellisten tai harhaanjohtavien tietojen toimittamisesta vastauksena ilmoitettujen laitosten ja markkinavalvontaviranomaisten pyyntöön.   

37 §.Kyberturvallisuussertifiointia koskeva seuraamusmaksu . Pykälässä säädettäisiin kyberturvallisuusasetuksen rikkomiseen liittyvistä teoista, joista voitaisiin määrätä hallinnollinen seuraamusmaksu. Pykälässä säädettäisiin kyberturvallisuusasetuksen 65 artiklan täytäntöönpanemiseksi asetuksen kyseisen osaston ja eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien säännösten rikkomisen perusteella määrättävästä hallinnollisesta seuraamusmaksusta.  

Pykälän 1 kohdassa säädettäisiin seuraamusmaksulla sanktioitavien tekojen piiriin tilanne, jossa tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien taikka tietoturvapalvelujen valmistaja tai tarjoaja antaa kyberturvallisuusasetuksen 53 artiklan 2 kohdassa tarkoitetun EU-vaatimustenmukaisuusilmoituksen, vaikka kyseiset hyödykkeet eivät ole kyseisen eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia. EU-vaatimustenmukaisuusilmoituksen antamisen on tarkoitus osoittaa, että järjestelmässä määritellyt vaatimukset täyttyvät. Jos valmistaja tai tarjoaja on antanut EU-vaatimustenmukaisuusilmoituksen väärin perustein, voitaisiin tästä määrätä seuraamusmaksu. EU-vaatimustenmukaisuusilmoituksiin kohdistuvan luottamuksen varmistamiseksi on tärkeää, että niiden väärinkäyttö on sanktioitu siten, että toimijoilla on asianmukaiset kannustimet huolehtia kyberturvallisuusasetuksen asettamien vaatimusten täyttymisestä.  

Pykälän 2 kohdassa sanktioitaisiin laiminlyönti asettaa kyberturvallisuussertifioinnin viranomaisen saataville kyberturvallisuusasetuksen 53 artiklan 3 kohdassa tarkoitetut tiedot samoin kuin laiminlyönti toimittaa siinä tarkoitettu EU-vaatimustenmukaisuusilmoituksen jäljennös tuolle viranomaiselle ja Euroopan unionin kyberturvallisuusvirasto ENISA:lle.  

Kyseisen kyberturvallisuusasetuksen kohdan mukaan tieto- ja viestintätekniikan tuotteiden, palvelujen tai prosessien taikka tietoturvapalvelujen valmistaja tai tarjoajan tulee asettaa EU-vaatimustenmukaisuusilmoituksen, tekniset asiakirjat ja kaikki muut järjestelmässä määriteltyä tieto- ja viestintätekniikan tuotteiden ja palvelujen taikka tietoturvapalvelujen vaatimustenmukaisuutta koskevat asiaankuuluvat tiedot kansallisen kyberturvallisuussertifioinnin viranomaisen saataville asiaankuuluvassa eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä määrätyn ajanjakson ajaksi. Lisäksi jäljennös EU-vaatimustenmukaisuusilmoituksesta tulee toimittaa kansalliselle kyberturvallisuussertifioinnin myöntävälle viranomaiselle ja Euroopan unionin kyberturvallisuusvirasto ENISA:lle. Ensin mainittujen osalta sanktio voitaisiin määrätä, jos asianomaisia tietoja ei anneta kyberturvallisuussertifioinnin viranomaisen pyynnöstä, elleivät ne ole muuten saatavilla. Jälkimmäisen osalta seuraamusmaksu voitaisiin määrätä, jos valmistaja tai tarjoaja laiminlyö jäljennöksen oma-aloitteisen toimittamisen.  

Pykälän 3 kohdassa säädettäisiin seuraamusmaksun piiriin tilanteet, joissa sertifikaatin haltija rikkoo eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä asetettuja ehtoja kyberturvallisuussertifikaatille. Tällaisia ehtoja voidaan kyberturvallisuusasetuksen 54 artiklan 1 kohdan k alakohdan mukaan asettaa sertifikaatin antamiselle, voimassa pitämiselle, jatkamiselle ja uusimiselle sekä sertifioinnin soveltamisalan laajentamiselle tai supistamiselle. Ehtojen noudattamista voidaan pitää sertifikaattien luotettavuuden kannalta keskeisenä.  

Pykälän 4 kohdassa säädettäisiin seuraamusmaksun piiriin tilanteet, joissa tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien taikka tietoturvapalvelujen valmistaja tai tarjoaja laiminlyö saattaa kyberturvallisuusasetuksen 55 artiklan 1 kohdassa tarkoitetut tiedot julkisesti saataville artiklan 2 kohdassa säädetyllä tavalla. Kohta koskee tilanteita, joissa kyseiset tuotteet, palvelut tai prosessit on sertifioitu tai joista on annettu EU-vaatimustenmukaisuusilmoitus. Toimijan tulee tällöin julkaista kohdassa luetellut tiedot, jotka eri tavoin tukevat tarkoituksena tuotteen, prosessin tai palvelun kyberturvallisuuden ylläpitämistä. Artiklan 2 kohdan mukaan tiedot on annettava sähköisessä muodossa, ja ne on pidettävä saatavilla ja tarpeen mukaan ajan tasalla vähintään vastaavan eurooppalaisen kyberturvallisuussertifikaatin tai EU-vaatimustenmukaisuusilmoituksen voimassaolon päättymiseen asti.  

Ehdotuksessa ei rajattaisi tarkemmin sitä, minkä tietojen antamatta jättäminen voisi johtaa seuraamusmaksun määräämiseen. Rikkomuksen luonne otettaisiin kuitenkin huomioon ehdotetun 40 §:n puitteissa, jonka nojalla seuraamusmaksu jätetään määräämättä esimerkiksi sen ollessa vähäinen. 

Pykälän 5 kohdassa sanktioitaisiin väärien, harhaanjohtavien tai puutteellisten tietojen antaminen kyberturvallisuussertifioinnin viranomaiselle tai vaatimustenmukaisuuden arviointilaitokselle. Sanktiointi liittyy etenkin tilanteeseen, kun toimija jättää tieto- ja viestintätekniikan tuotteita, palveluja tai prosesseja taikka tietoturvapalveluita sertifioitavaksi. Kyberturvallisuusasetuksen 56 artiklan 7 kohdassa säädetään velvollisuudesta asettaa sertifiointia hakiessa viranomaisen tai arviointilaitoksen saataville kaikki sertifiointimenettelyn suorittamiseen tarvittavat tiedot. Ehdotetussa kohdassa edellytettäisiin, että tieto koskee ehdotetussa laissa tai kyberturvallisuusasetuksessa tarkoitetun tehtävän hoitamisen kannalta merkityksellisiä seikkoja, joten epäolennainen virhe ei johtaisi seuraamusmaksun määräämiseen. Sanktioinnilla on tarkoitus huolehtia siitä, ettei sertifikaatin myöntäminen tapahdu virheellisten tietojen perusteella. Vaatimusten täyttymättä jäämisellä voi olla vakavia vahingollisia vaikutuksia tuotteen, palvelun tai prosessin käyttäjiin.  

Tahallinen virheellisen tiedon antaminen voisi mahdollisesti tulla arvioitavaksi myös rikoslain 16 luvun 8 §:ssä rangaistavaksi säädettynä väärän todistuksen antamisena viranomaiselle. Tällöin olisi tarvittaessa otettava huomioon, mitä 40 §:n 3 momentissa säädettäisiin kaksoisrangaistavuuden kiellosta. 

Pykälän 6 kohdassa säädettäisiin seuraamusmaksusta tilanteissa, joissa eurooppalaisen kyberturvallisuussertifikaatin haltija jättää tekemättä kyberturvallisuusasetuksen 56 artiklan 8 kohdassa tarkoitetun ilmoituksen sertifioidun tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin taikka tietoturvapalvelun turvallisuutta koskevasta haavoittuvuudesta tai epäsäännönmukaisuudesta, jotka saattavat vaikuttaa sertifiointiin liittyvien vaatimusten mukaisuuteen. Ilmoitus tehdään kyberturvallisuussertifioinnin viranomaiselle tai vaatimustenmukaisuuden arviointilaitokselle sen mukaan, mikä taho on myöntänyt sertifikaatin.  

Pykälän 7 kohdassa sanktioitaisiin tilanne, jossa taho käyttää eurooppalaista kyberturvallisuussertifikaattia, joka on peruutettu tai jonka voimassaolo on päättynyt. Tällaisella sertifikaatin käytöllä tarkoitettaisiin tieto- ja viestintätekniikan tuotteen, palvelun tai prosessin taikka tietoturvapalvelun markkinoimista sertifioituna tai muuta senkaltaista menettelyä, jossa sertifikaatin entinen haltija viittaa sertifikaattiin hyödykkeen turvallisuuden takeena, vaikka kyseinen sertifikaatti olisi peruutettu tai sen voimassaolo olisi päättynyt.  

Kyberturvallisuussertifioinnin viranomainen voisi tietyissä tilanteissa peruuttaa sertifikaatin ehdotetun lain 28 §:n mukaisesti. Tällaisesta peruuttamismahdollisuudesta säädetään kyberturvallisuusasetuksen 58 artiklan 8 kohdan e alakohdassa. Muutoin kyberturvallisuussertifikaatin peruuttaa se vaatimustenmukaisuuden arviointilaitos, joka on myöntänyt kyseisen eurooppalaisen kyberturvallisuussertifikaatin. Peruuttamisen jälkeen sertifikaatti ei ole enää voimassa. Sertifikaateilla on lisäksi tietty, sertifiointijärjestelmän puitteissa määritetty voimassaoloaika, jonka päätyttyä sertifikaatti ei ole enää voimassa. Erityisesti turvallisuuskriittisissä yhteyksissä on tärkeää, ettei tuotteiden, palvelujen ja prosessien sertifiointistatuksesta anneta virheellistä tietoa. 

38 §. Seuraamusmaksun määrä. Pykälässä säädettäisiin 31–37 §:n nojalla määrättävän hallinnollisen seuraamusmaksun määrästä. Jotta seuraamuksella olisi riittävä ennalta estävä vaikutus, tulisi maksun suuruuden olla riittävä. Seuraamusta määräävän viranomaisen tulisi varmistaa, että sanktio ja sen määrä ovat suhteessa tekoon nähden ottaen huomioon kyberkestävyysasetuksen ja kyberturvallisuussertifioinnin ratio. Pykälällä pantaisiin täytäntöön kyberkestävyysasetuksen 64 artikla ja osaltaan kyberturvallisuusasetuksen 65 artikla.  

Pykälän 1 momentissa säädettäisiin valmistajalle 31 §:n 1 momentin eli pääasiassa kyberkestävyysasetuksen 13 tai 14 artiklan rikkomisesta määrättävän hallinnollisen seuraamusmaksun enimmäismäärästä. Enimmäismäärä olisi 15 000 000 euroa tai, milloin valmistaja on yritys, kaksi ja puoli prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Hallinnollisen seuraamusmaksun enimmäismäärä vastaisi kyberkestävyysasetuksen 64 artiklan 2 kohdassa edellytettyä tasoa.  

Pykälän 2 momentissa säädettäisiin kyberkestävyysasetuksen rikkomisesta 31 §:n 2 momentin, 32–35 §:n tai 36 §:n 1–3 kohdan nojalla määrättävän seuraamusmaksun enimmäismäärästä. Enimmäismäärä olisi 10 000 000 euroa tai, milloin valmistaja on yritys, kaksi prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Enimmäismäärä soveltuisi käytännössä kyberkestävyysasetuksen rikkomisiin muiden talouden toimijoiden kuin valmistajan toimesta sekä ilmoitettuihin laitoksiin. Hallinnollisen seuraamusmaksun enimmäismäärä vastaisi kyberkestävyysasetuksen 64 artiklan 3 kohdassa edellytettyä tasoa.  

Pykälän 3 momentissa säädettäisiin kyberkestävyysasetuksen rikkomisesta 36 §:n 4 kohdan nojalla määrättävän seuraamusmaksun enimmäismäärästä. Enimmäismäärä on 5 000 000 euroa tai, milloin valmistaja on yritys, yksi prosentti yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Enimmäismäärän alaan kuuluisi ilmoitetulle laitokselle tai markkinavalvontaviranomaiselle tahallisesti väärän, puutteellisen tai harhaanjohtavan tiedon antaminen tavalla, joka on merkityksellinen ilmoitetun laitoksen tai markkinavalvontaviranomaisen tehtävän hoitamiseksi. Hallinnollisen seuraamusmaksun enimmäismäärä vastaisi kyberkestävyysasetuksen 64 artiklan 4 kohdassa edellytettyä tasoa.  

Pykälän 4 momentissa säädettäisiin kyberturvallisuussertifiointia koskevan seuraamusmaksun enimmäismäärästä, joka olisi 100 000 euroa. Kyberturvallisuusasetuksen rikkomisen perusteella määrättävän hallinnollisen seuraamusmaksun määrä vastaisi tasoa, jossa seuraamuksella olisi riittävä, tehokas ja oikeasuhtainen ennalta estävä vaikutus. Seuraamusmaksun tasoa arvioidaan ja perustellaan jaksossa REF _Ref207810834 \r \h 5.1.3. Hallinnollisen seuraamusmaksun enimmäismäärä täyttäisi kyberturvallisuusasetuksen 65 artiklan edellytykset.  

Pykälän 5 momentissa säädettäisiin seuraamusmaksun kokonaisarvioinnista. Seuraamusmaksun suuruuden määrittäminen tulisi perustua kokonaisarviointiin rikkomuksen vakavuudesta ja menettelyn moitittavuudesta. Seuraamusmaksun määrää arvioitaessa olisi otettava huomioon menettelyn luonne, vakavuus ja kesto sekä sen toistuvuus, rikkomuksen aiheuttama vahinko ja toimijan koko sekä sen mahdolliset aiemmat ehdotetun lain alaan kuuluvat rikkomukset. Toimijan koko olisi otettava huomioon, koska lain soveltamisalaan kuuluvat velvoitteet voisivat kohdistua hyvin eri kokoisiin organisaatioihin.  

Myös kyberkestävyysasetuksen 64 artiklan 5 kohdassa säädetään hallinnollisen seuraamusmaksun määräämisessä huomioon otettavista seikoista. Näitä seikkoja olisi sovellettava hallinnollisen seuraamusmaksun määräämiseen 31–36 §:n nojalla. Kyberkestävyysasetuksen 64 artiklan 5 kohdan mukaan, kun päätetään hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon kaikki kyseisen tilanteen kannalta merkittävät olosuhteet sekä seuraavat seikat: 

rikkomisen ja sen seurausten luonne, vakavuus ja kesto; 

ovatko samat tai muut markkinavalvontaviranomaiset jo määränneet hallinnollisia sakkoja samalle talouden toimijalle samankaltaisesta rikkomisesta; 

rikkomiseen syyllistyneen talouden toimijan koko erityisesti mikroyritysten sekä pienten ja keskisuurten yritysten, myös startup-yritysten, osalta ja markkinaosuus. 

39 §. Seuraamusmaksun määrääminen. Pykälässä säädettäisiin luvussa tarkoitetun hallinnollisen seuraamusmaksun määräämisestä.  

Pykälän 1 momentin nojalla hallinnollisen seuraamusmaksun 31–34 §:n ja 36 §:n nojalla määräisi markkinavalvontaviranomainen. Markkinavalvontaviranomaisena toimisi 15 §:n nojalla Liikenne- ja viestintävirasto sekä 16 §:n nojalla suuririskiselle tekoälyjärjestelmälle, joka kuuluu kyberkestävyysasetuksen soveltamisalaan, eräiden tekoälyjärjestelmien valvonnasta annetun lain nojalla toimivaltainen valvova viranomainen. Milloin toimivaltainen markkinavalvontaviranomainen olisi eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:ssä tarkoitettu markkinavalvontaviranomainen, hallinnollinen seuraamusmaksu määrätään mainitun lain 13 §:ssä säädetyssä järjestyksessä. Tällöin eräiden tekoälyjärjestelmien valvonnasta annetun lain nojalla toimivaltainen taho määräisi siis ehdotetun lain mukaisen seuraamusmaksun. Teoissa olisi kysymys kyberkestävyysasetusta koskevista talouden toimijan rikkomuksista.  

Milloin Liikenne- ja viestintäviraston toimivaltaan kuuluvan hallinnollisen seuraamusmaksun määrä olisi yli 100 000 euroa, seuraamusmaksu olisi määrättävä Liikenne- ja viestintävirastosta annetun lain 7 a §:n mukaisessa menettelyssä eli seuraamuskollegiossa.  

Pykälän 2 momentin nojalla hallinnollisen seuraamusmaksun 35 §:ssä tarkoitetusta teosta määrää ilmoittava viranomainen eli Liikenne- ja viestintävirasto. Teoissa olisi kysymys kyberkestävyysasetusta koskevista ilmoitetun laitoksen rikkomuksista.  

Milloin Liikenne- ja viestintäviraston toimivaltaan kuuluvan hallinnollisen seuraamusmaksun määrä olisi yli 100 000 euroa, seuraamusmaksu olisi määrättävä Liikenne- ja viestintävirastosta annetun lain 7 a §:n mukaisessa menettelyssä eli seuraamuskollegiossa.  

Pykälän 3 momentin nojalla hallinnollisen seuraamusmaksun 37 §:ssä tarkoitetusta teosta määrää kyberturvallisuussertifioinnin viranomainen eli Liikenne- ja viestintävirasto. Teoissa olisi kysymys kyberturvallisuussertifiointia koskevista rikkomuksista.  

Pykälän 4 momentissa säädettäisiin seuraamusmaksun määräävän viranomaisen oikeudesta saada maksutta ja salassapitosäännösten estämättä talouden toimijalta tai muulta viranomaiselta tiedot, jotka ovat välttämättömiä seuraamusmaksun määräämiseksi tai sen määrän arvioimiseksi. Tietojensaantioikeus olisi välttämätön hallinnollista seuraamusmaksun määräämistä koskevan asian käsittelemiseksi ja ratkaisemiseksi. Tiedonsaantioikeus rajautuisi tietoihin, jotka ovat käsiteltävänä olevassa asiassa välttämättömiä seuraamusmaksun määräämiseksi eli sen perusteen tai määrän arvioimiseksi.  

40 §. Seuraamusmaksun määräämättä jättäminen. Pykälässä säädettäisiin seuraamusmaksun määräämättä jättämisestä.  

Pykälän 1 momentin mukaan seuraamusmaksu jätettäisiin määräämättä, jos:  

toimija on oma-aloitteisesti ryhtynyt riittäviin toimenpiteisiin rikkomuksen tai laimin-lyönnin korjaamiseksi välittömästi sen havaitsemisen jälkeen ja ilmoittanut siitä viivytyksettä valvovalle viranomaiselle sekä toiminut yhteistyössä valvovan viranomaisen kanssa eikä rikkomus tai laiminlyönti ole vakava tai toistuva; 

rikkomusta tai laiminlyöntiä on pidettävä vähäisenä; tai 

seuraamusmaksun määräämistä on pidettävä ilmeisen kohtuuttomana muutoin kuin 1 tai 2 kohdassa tarkoitetulla perusteella. 

Perustuslakivaliokunta on käytännössään edellyttänyt, että viranomaisen harkinnan sanktion määräämättä jättämisestä tulee olla sidottua harkintaa siten, että seuraamusmaksu on jätettävä määräämättä laissa säädettyjen edellytysten täyttyessä (PeVL 49/2017 vp ja PeVL 39/2017 vp). 

Säännöksen tarkoituksena olisi varmistaa, että seuraamusmaksua ei määrättäisi tilanteissa, joissa se olisi kohtuutonta joko 1 momentin 1 tai 2 kohdassa tarkoitettujen seikkojen perusteella tai muutoin jonkin vastaavan seikan tai seikkojen perusteella ilmeisen kohtuutonta. 

Pykälän  2 momentissa  säädettäisiin seuraamusmaksun määräämisoikeuden vanhentumisesta. Seuraamusmaksua ei saisi määrätä, jos on kulunut yli viisi vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt.  

Pykälän 3 momentissa säädettäisiin, että seuraamusmaksua ei voida määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei voitaisi määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. Lisäksi kyberturvallisuussertifiointia koskevaa seuraamusmaksua ei saisi määrätä sille, jolle on määrätty samasta teosta ankarampi seuraamusmaksu kyberkestävyysasetuksen rikkomisen perusteella. Säännökset vastaisivat niin sanottua ne bis in idem periaatetta eli kaksoisrangaistavuuden kieltoa.  

Pykälän 4 momentissa säädettäisiin kielto määrätä seuraamusmaksu valtion viranomaisille, valtion liikelaitoksille, hyvinvointialueille tai -yhtymille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle, Suomen evankelisluterilaiselle kirkolle tai Suomen ortodoksiselle kirkolle tai niiden seurakunnille, seurakuntayhtymille tai muille elimille.  

Pykälän 5 momentissa säädettäisiin kielto määrätä seuraamusmaksu mikro- tai pienyritykselle sillä perusteella, että yritys on ylittänyt 24 tunnin määräajan kyberkestävyysasetuksen 14(1) tai 14(3) artiklan mukaisesta tapahtumasta ilmoittamiselle. Kyberkestävyysasetuksen 14 artiklan velvollisuus ilmoittaa aktiivisesti hyödynnetystä haavoittuvuudesta tai tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta soveltuisi kohdasta huolimatta myös mikro- ja pienyrityksiin siten kuin kyberkestävyysasetuksen 14 artiklassa säädetään, ja seuraamusmaksu voitaisiin määrätä 14(2) artiklan tai 14(4) artiklan b ja c alakohdissa tarkoitettujen määräaikojen laiminlyönnin perusteella. Kohta vastaisi kyberkestävyysasetuksen 64 artiklan 10 kohdan a-luetelmakohtaa.  

Pykälän 6 momentissa säädettäisiin kielto määrätä seuraamusmaksu avoimen lähdekoodin ohjelmistovastaavalle. Avoimen lähdekoodin ohjelmistovastaavan määritelmästä säädettäisiin lain 2 §:n 8 kohdassa vastaten kyberkestävyysasetuksen 3 artiklan 14 kohdan määritelmää. Kohta vastaisi kyberkestävyysasetuksen 64 artiklan 10 kohdan b-luetelmakohtaa.  

41 §. Seuraamusmaksun täytäntöönpano. Pykälässä säädettäisiin seuraamusmaksun täytäntöönpanosta. Lain nojalla maksettavaksi määrätty seuraamusmaksu pannaan täytäntöön siinä järjestyksessä kuin sakon täytäntöönpanosta annetussa laissa (672/2002) säädetään. Seuraamusmaksun täytäntöönpanosta huolehtisi Oikeusrekisterikeskus. Seuraamusmaksu raukeaisi mainitun lain 4 b §:n (laissa 416/2025) nojalla viiden vuoden kuluttua lainvoiman saaneen ratkaisun antamispäivästä. Seuraamusmaksusta ei perittäisi viivästyskorkoa.  

7 luku – Erinäiset säännökset 

42 §. Oikaisuvaatimus. Pykälässä säädettäisiin päätöksistä, joihin saa vaatia hallintolaissa tarkoitettua oikaisua. Oikaisua saisi vaatia ilmoitetun laitoksen antamaan päätökseen, kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen antamaan päätökseen sekä päätökseen, joka koskee viranomaisen suoritteesta perittävää maksua.  

Oikaisuvaatimuksen kohteena voisi olla ilmoitetun laitoksen tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen antama hallintopäätös, jonka antaminen perustuu tähän lakiin, kyberkestävyysasetukseen tai kyberturvallisuusasetukseen. Oikaisuvaatimuksen kohteena voisi olla siten esimerkiksi vaatimustenmukaisuustodistuksen myöntämistä tai myöntämättä jättämistä koskeva ilmoitetun laitoksen päätös. Oikaisuvaatimuksen kohteena voisi olla myös viranomaisen päätös, joka koskee viranomaisen suoritteesta perittävää maksua. 

Oikaisuvaatimuksen käsittelyyn sovellettaisiin hallintolakia. Oikaisuvaatimukseen annetusta päätöksestä saisi valittaa hallinto-oikeuteen oikeudenkäynnistä hallintoasioissa annetussa laissa säädetyssä järjestyksessä. Jäljempänä 43 §:n 5 momenttiin sisältyisi erityissäännös oikaisuvaatimuksesta annetun päätöksen täytäntöönpanokelpoisuudesta.  

Säännös vastaisi kyberkestävyysasetuksen 48 artiklan edellytykseen ilmoitetun laitoksen päätöksiin käytettävissä olevasta muutoksenhakumenettelystä. 

43 §. Muutoksenhaku. Pykälän 1 momentissa olisi informatiivinen viittaus siihen, että muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa. Muutoksenhaun kohteena voisi olla esimerkiksi ilmoittavan viranomaisen, markkinavalvontaviranomaisen ja kyberturvallisuussertifioinnin viranomaisen päätös. Muutoksenhaun kohteena voisi olla myös tällaisen viranomaisen hallinnollista seuraamusmaksua koskeva päätös taikka oikaisuvaatimuksen johdosta annettu, viranomaisen suoritteen maksullisuutta koskeva päätös.  

Pykälän 2–5 momentissa säädettäisiin lain nojalla annetun hallintopäätöksen täytäntöönpanokelpoisuudesta lainvoimaa vailla olevana.  

Pykälän 2 momentissa säädettäisiin, että markkinavalvontaviranomaisen muu kuin seuraamusmaksun määräämistä koskeva päätös voidaan panna täytäntöön muutoksenhausta huolimatta. Päätöksen täytäntöönpanokelpoisuutta koskeva pääsääntö vastaisi markkinavalvontalain 29 §:ää. Hallinnollisten sanktioiden sääntelyperiaatteiden mukaisesti hallinnollista seuraamusmaksua koskeva päätös olisi kuitenkin täytäntöönpanokelpoinen vasta lainvoimaisen päätöksen perusteella. 

Pykälän 3–5 momentissa säädettäisiin tyhjentävästi päätöksistä, joissa voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta.  

Pykälän 3 momentissa säädettäisiin ilmoittavan viranomaisen päätöksen täytäntöönpanokelpoisuudesta. Ilmoittava viranomainen voisi määrätä ilmoitetun laitoksen nimeämistä taikka nimeämisen rajaamista tai peruuttamista koskevassa päätöksessään, että päätöstä on noudatettava muutoksenhausta huolimatta. Ehdotuksella varmistettaisiin, että jos ilmoitettu laitos ei enää täyttäisi nimeämisen edellytyksiä, voisi ilmoittava viranomainen ryhtyä kyberkestävyysasetuksen edellyttämällä tavalla tehokkaisiin toimenpiteisiin muutoksenhausta huolimatta.  

Pykälän 4 momentissa taas säädettäisiin kyberturvallisuussertifioinnin viranomaisen mahdollisuudesta määrätä, että sen päätöstä on noudatettava muutoksenhausta huolimatta.  

Pykälän 5 momentissa säädettäisiin ilmoitetun laitoksen tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen päätöksen täytäntöönpanokelpoisuudesta silloin, kun päätös koskee digitaalisen elementin sisältävän tuotteen valmistajalta tai eurooppalaisen kyberturvallisuussertifikaatin haltijalta vaadittavia korjaavia toimenpiteitä taikka digitaalisen elementin sisältävälle tuotteelle annetun vaatimustenmukaisuustodistuksen tai eurooppalaisen kyberturvallisuussertifikaatin peruuttamista. Muutoksenhaun kohteena voisi olla oikaisuvaatimuksesta annettu päätös. Ehdotuksen tarkoituksena on varmistaa näiden korjaavien toimenpiteiden tehokkuus, kun vakavia puutteita on todettu.  

Oikeudenkäynnistä hallintoasioissa annetun lain 123 §:n mukaan hallintotuomioistuin voi valituksen ollessa vireillä kieltää päätöksen täytäntöönpanon, määrätä täytäntöönpanon keskeytettäväksi tai antaa päätöksen täytäntöönpanoa koskevan muun määräyksen. Tämän johdosta pykälässä ei säädettäisi erikseen muutoksenhakuviranomaisen mahdollisuudesta kieltää sellaisen päätöksen täytäntöönpano, jonka päätöksen tehnyt viranomainen on määrännyt täytäntöönpantavaksi muutoksenhausta huolimatta. Mainittua säännöstä sovellettaisiin pykälän 2–5 momentin ohella. 

Pykälän 6 momentissa säädettäisiin informatiivisesta viittauksesta uhkasakkolakiin. Muutoksenhaussa uhkasakon asettamista ja maksettavaksi tuomitsemista sekä teettämis- tai keskeyttämisuhan asettamista ja täytäntöönpantavaksi määräämistä koskevaan päätökseen sovellettaisiin myös muutoksenhaun osalta, mitä uhkasakkolaissa (1113/1990) säädetään.  

44 §. Maksut. Pykälän mukaan viranomaisten suoritteiden maksullisuudesta ja suoritteista perittävien maksujen suuruuden yleisistä perusteista sekä maksujen muista perusteista säädetään valtion maksuperustelaissa (150/1992). Pykälä olisi luonteeltaan informatiivinen. Maksuperustelain nojalla maksuja voitaisiin periä ilmoittavan viranomaisen ja kyberturvallisuussertifioinnin viranomaisen suoritteista, millä tarkoitettaisiin erityisesti vaatimustenmukaisuuden arviointilaitosten ilmoittamista ja valvontaa sekä kyberturvallisuussertifikaattien myöntämistä. Lisäksi maksuja voitaisiin periä testiympäristön käytöstä maksuperustelain mukaisin perustein. Maksuperustelain 8 §:n perusteella toimivalta päättää muun muassa suoritteen maksullisuudesta olisi liikenne- ja viestintäministeriöllä Liikenne- ja viestintäviraston suoritteiden osalta.  

45 §. Voimaantulo. Pykälän 1 momentissa säädettäisiin lain voimaantulosta. Pykälän 2–4 momenttiin sisältyisi kyberkestävyysasetuksen soveltamisen alkamisajankohtia vastaavat porrastukset soveltamisen alkamiselle.  

Pykälän 2 momentin nojalla 3 luvun säännöksiä ilmoitetuista laitoksista, ilmoittavan viranomaisen tehtävistä ja 35 §:ää ilmoitettuja laitoksia koskevasta seuraamusmaksusta sovellettaisiin 11.6.2026. Soveltamisen alkaminen vastaisin kyberkestävyysasetuksen 71 artiklan 2 kohdan toista alakohtaa. 

Pykälän 3 momentin nojalla kyberkestävyysasetuksen 14 artiklassa tarkoitettua ilmoittamista ja valmistajan seuraamusmaksua ilmoittamista koskevalta osin sovellettaisiin 11.9.2026. Soveltamisen alkaminen vastaisi kyberkestävyysasetuksen 71 artiklan 2 kohdan toista alakohtaa. 

Pykälän 4 momentin nojalla kyberkestävyysasetuksen mukaisiin talouden toimijoiden velvollisuuksiin ja niiden rikkomiseen liittyviä säännöksiä sekä hallinnollisia seuraamusmaksuja sovellettaisiin 11.12.2027. Soveltamisen alkaminen vastaisi kyberkestävyysasetuksen 71 artiklan 2 kohdan ensimmäistä alakohtaa. 

7.2  Laki eräiden tuotteiden markkinavalvonnasta

1 §.Soveltamisala . Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että 1. lakiehdotus lisättäisiin uutena kohtana momentin listaan laeista, joiden soveltamisalaan kuuluvien tuotteiden markkinavalvontaan lakia sovelletaan. Lisäyksen johdosta edeltävään kohtaan tehtäisiin tekninen muutos.  

Eräiden tuotteiden markkinavalvonnasta annettua lakia sovellettaisiin myös kyberkestävyysasetuksen soveltamisalaan kuuluvien tuotteiden markkinavalvontaan siltä osin kuin eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista ehdotetussa laissa ei toisin säädetä. Eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista annettu laki olisi siten erityissäädös suhteessa markkinavalvontalakiin. Lain soveltamisalaan kuuluvalla tuotteella tarkoitettaisiin kyberkestävyysasetuksen soveltamisalaan kuuluvia tuotteita. Lain soveltamisalaan kuuluvalla tuotteella ei siten tarkoitettaisi tuotetta, jolle on myönnetty kyberturvallisuussertifiointi, jos tuote ei kuulu kyberkestävyysasetuksen soveltamisalaan.  

4 §.Valvontaviranomaiset . Pykälän 4 momenttia ehdotetaan muutettavaksi siten, että momenttiin lisättäisiin eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista ehdotetun lain soveltamisalaan kuuluvat tuotteet momentin listaan tuotteista, joiden markkinavalvontaviranomaisena toimii Liikenne- ja viestintävirasto. Momenttia ei tarkoiteta muutettavaksi muilta osin.  

Kyberkestävyysasetuksen soveltamisalaan kuuluvien tuotteiden markkinavalvontaviranomaisena toimisi siten Liikenne- ja viestintävirasto viitatun lain 15 §:n mukaisesti. Poikkeuksellisesti markkinavalvontaviranomaisena voisi toimia eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista annetun lain 16 §:n nojalla myös eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:n nojalla toimivaltainen valvova viranomainen silloin, kun markkinavalvonta kohdistuu tekoälyasetuksen 6 artiklan mukaiseen suuririskiseen tekoälyjärjestelmään, joka kuuluu myös kyberkestävyysasetuksen soveltamisalaan. Mainittu poikkeus perustuu kyberkestävyysasetuksen 52 artiklan 14 kohtaan.  

7.3  Kyberturvallisuuslaki

20 §. CSIRT-yksikön tehtävät. Pykälän 1 momentin listaukseen CSIRT-yksikön tehtävistä lisättäisiin uusi 10 kohta, joka koskisi kyberkestävyysasetuksessa sekä 1. lakiehdotuksessa CSIRT-yksikölle osoitettuja tehtäviä. CSIRT-yksikön keskeinen tehtävä olisi vastaanottaa ja käsitellä kyberkestävyysasetuksen 14 artiklassa tarkoitettuja ilmoituksia aktiivisesti hyödynnetystä haavoittuvuudesta ja digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista vakavista poikkeamista. Valmistajat ovat ilmoituksien tekemiseen velvollisia siten kuin kyberkestävyysasetuksessa säädetään. CSIRT-yksikön tehtävänä olisi lisäksi käsitellä kyberkestävyysasetuksen 15 artiklassa tarkoitettuja vapaaehtoisia ilmoituksia.  

Muita CSIRT-yksikölle osoitettuja tehtäviä on muun muassa markkinavalvontaviranomaisten avustaminen tarvittaessa. Kyberkestävyysasetuksen 52 artiklan 5 kohdassa säädetään, että markkinavalvontaviranomaiset voivat pyytää koordinaattoriksi nimettyä CSIRT-yksikköä tai ENISA:a antamaan teknistä neuvontaa asioissa, jotka liittyvät tämän asetuksen täytäntöönpanoon ja sen noudattamisen valvontaan. Markkinavalvontaviranomaiset voivat 54 artiklan mukaista tutkimusta suorittaessaan pyytää koordinaattoriksi nimettyä CSIRT-yksikköä tai ENISA:a esittämään analyysin digitaalisia elementtejä sisältävien tuotteiden vaatimustenmukaisuuden arviointien tueksi. Vastaavasti 54 artiklan 1 kohdassa säädetään, että jos jäsenvaltion markkinavalvontaviranomaisella on riittävä peruste katsoa, että digitaalisia elementtejä sisältävä tuote, mukaan lukien sen haavoittuvuuksien käsittely, aiheuttaa merkittävän kyberturvallisuusriskin, sen on arvioitava ilman aiheetonta viivytystä ja tarvittaessa yhteistyössä asiaankuuluvan CSIRT-yksikön kanssa, täyttääkö kyseinen digitaalisia elementtejä sisältävä tuote kaikki asetuksessa säädetyt vaatimukset. CSIRT-yksikön olisi toimittava tarvittaessa kyberkestävyysasetuksen mukaisissa tehtävissä yhteistyössä muiden viranomaisten kanssa. 

28 §.Tiedonsaantioikeus . Pykälää ehdotetaan muutettavaksi siten, että sen 4 momentissa säädettyä valvovan viranomaisen tiedonluovutusoikeutta voitaisiin soveltaa myös tietojen luovuttamiseen Finanssivalvonnalle sen Finanssivalvonnasta annetun lain 50 p §:n 1 ja 2 momentissa tarkoitettua toimivaltaisen viranomaisen tehtävää varten. Näiden säännösten mukaan Finanssivalvonta toimii EU:n DORA-asetuksen 46 artiklassa tarkoitettuna toimivaltaisena viranomaisena ja NIS 2 -direktiivin 8 artiklan 1 kohdassa tarkoitettuna toimivaltaisena viranomaisena mainitun direktiivin liitteen I toimialojen 3 ja 4 osalta. Tämä tarkoittaisi, että kyberturvallisuuslaissa tarkoitettu valvova viranomainen voisi luovuttaa salassapitosäännösten, 28 §:n 2 momentissa säädetyn salassapitovelvollisuuden ja muiden tietojen luovuttamista koskevien rajoitusten estämättä kyberturvallisuuslaissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirjan sekä ilmaista salassa pidettävän tiedon myös Finanssivalvonnalle, jos se on välttämätöntä Finanssivalvonnasta annetun lain 50 p §:n 1 ja 2 momentissa tarkoitettua toimivaltaisen viranomaisen tehtävää varten. Tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella ei saisi rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.  

Kyberturvallisuuslaissa ei säädetä Finanssivalvonnan tehtävistä tai tiedonvaihdosta sen ja kyberturvallisuuslain 26 §:ssä määriteltyjen valvovien viranomaisten välillä, sillä DORA-asetus on NIS 2 direktiivin 4 artiklassa tarkoitettu alakohtainen unionin säädös, eikä jäsenvaltioiden pitäisi soveltaa sen alalla NIS 2 direktiivin säännöksiä, jotka koskevat kyberturvallisuusriskien hallintaa ja raportointivelvoitteita sekä valvontaa ja täytäntöönpanoa (HE 57/2024 vp, s. 33). 

Finanssivalvonnasta annetun lain 50 p §:ssä säädetään kyberturvallisuuslain 26 §:ään verrattavalla tavalla siitä, että Finanssivalvonta toimii NIS 2 -direktiivin 8 artiklan 1 kohdassa tarkoitettuna toimivaltaisena viranomaisena mainitun direktiivin liitteen I toimialojen 3 ja 4 osalta. Mainitun lain 71 §:n 1 momentissa säädetään Finanssivalvonnan oikeudesta luovuttaa salassapitosäännösten estämättä tietoja tieto- ja viestintätekniikkaan liittyvistä häiriöistä ja uhkista Liikenne- ja viestintävirastolle 3 f §:n 3 momentissa tarkoitetun yhteistyön toteuttamista varten. Viimeksi mainitun säännöksen mukaan Finanssivalvonnan on tehtävä yhteistyötä NIS 2 -direktiivin mukaisten tehtävien hoitamisessa Liikenne- ja viestintäviraston kanssa. 

Kyberturvallisuuslain 28 §:ssä ei kuitenkaan säädetä tällä hetkellä valvovien viranomaisten oikeudesta luovuttaa tietoja Finanssivalvonnalle. Sähköisen viestinnän palveluista annetun lain 318 §:n 2 momentin (laissa 703/2025) nojalla Liikenne- ja viestintävirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Energiavirastolle, Finanssivalvonnalle, Lupa- ja valvontavirastolle sekä elinvoimakeskukselle, jos se on näille säädettyjen tietoturvallisuuteen liittyvien tehtävien hoitamiseksi välttämätöntä. Säännöksen taustalla on nyttemmin kumotun NIS-direktiivin täytäntöönpano, ja se mahdollistaa tietojen luovuttamisen Liikenne- ja viestintävirastosta Finanssivalvonnalle myös NIS 2 direktiivin alalla. Säännöstä ei 318 §:n 5 momentin nojalla kuitenkaan voida soveltaa tietoihin viesteistä, välitystiedoista, paikkatiedoista tai luottamuksellisen radiolähetyksen sisällöstä ja olemassaolosta, vaikka Liikenne- ja viestintävirasto voi valvovana viranomaisena saada näitäkin tietoja kyberturvallisuuslain 28 §:n 2 momentin nojalla. Näin ollen kyberturvallisuuslain 28 §:n 4 momentin sääntely tietojen luovuttamisesta on perusteltua laajentaa koskemaan myös Finanssivalvontaa, jotta kaikki NIS 2 direktiivin tarkoittamat toimivaltaiset viranomaiset olisivat tältä osin samassa asemassa.  

7.4  Laki sähköisen viestinnän palveluista

1 luku – Lain tavoitteet ja määritelmät 

3 §. Määritelmät. Pykälän 35 kohtaa muutettaisiin niin, että verkkotunnuksen määritelmästä poistettaisiin rajaus fi-maatunnuksen ja ax-maakuntatunnuksen alaisiin verkkotunnuksiin. Verkkotunnuksella tarkoitettaisiin jatkossa siis laissa internet-verkossa käytettävää nimimuotoista osoitetietoa riippumatta siitä, minkä aluetunnuksen (eng. top-level domain, TLD) alaisesta verkkotunnuksesta on kyse. Muutos on tarpeen uuden 21 a luvun lisäämiseksi, koska sen säännökset koskisivat muita kuin fi- tai ax-päätteisiä verkkotunnuksia. Lisäksi määritelmä vastaa paremmin termin yleiskielistä määritelmää.  

Muutoksesta huolimatta 21 lukua sovellettaisiin jatkossakin vain Suomen fi-maatunnuksen ja Ahvenanmaan ax-maakuntatunnuksen alaisiin nimimuotoisiin osoitetietoihin. Lain 21 luvun soveltamisalarajaus sisältyisi muuttamattomana 163 §:ään. Muutoksella ei olisi tarkoitus laajentaa lain nykyisten verkkotunnusta koskevien säännösten soveltamista muihin kuin fi-maatunnuksen ja ax-maakuntatunnuksen alaisiin verkkotunnuksiin.  

Verkkotunnuksen määritelmään tehtäisiin lisäksi tekninen, vallitsevan tulkintakäytännön mukainen täsmennys siitä, että verkkotunnuksella tarkoitettaisiin toisen asteen osoitetietoa muotoa domain.fi. Tämä vastaisi kumotussa verkkotunnuslaissa (228/2003) säädettyä. Muutoksella selvennettäisiin, että verkkotunnuksella ei tarkoiteta esimerkiksi osoitteen alasivu.domain.fi ensimmäistä pistettä edeltävää osaa, jonka toiseen asteen osoitetietoa hallitseva taho voi itse vapaasti määrittää. 

Pykälään lisättäisiin uusi 35 a kohta, jossa määriteltäisiin aluetunnusrekisterin ylläpitäjä samoin kuin kyberturvallisuuslain 2 §:ssä. Määritelmä vastaisi myös NIS 2 -direktiivin 6 artiklan 21 kohdan määritelmää aluetunnusrekisteristä. Aluetunnusrekisterin ylläpitäjällä tarkoitettaisiin siten tahoa, jolle on myönnetty oikeus hallinnoida tiettyä aluetunnusta ja joka kyseistä aluetunnusta hallinnoidessaan vastaa verkkotunnusten rekisteröinnistä kyseisen aluetunnuksen alle sekä kyseisen aluetunnuksen teknisestä toiminnasta, myös siihen liittyvien nimipalvelinten toiminnasta, sen tietokantojen ylläpidosta ja aluetunnuksen vyöhyketiedostojen jakelusta nimipalvelimille, riippumatta siitä, suorittaako toimija kyseiset toiminnot itse vai ulkoistaako se ne, ja lukuun ottamatta tilanteita, joissa rekisteri käyttää aluetunnuksia vain omiin tarkoituksiinsa. 

Aluetunnusrekisterin ylläpitäjällä tarkoitettaisiin siten ylimmän tason verkkotunnusrekisterin ylläpitäjää (Top-Level Domain Registry). Ylimmän tason verkkotunnukset jaetaan kahteen ryhmään, joita ovat ylimmän tason maatunnukset (ccTLD) sekä geneeriset ylimmän tason verkkotunnukset (gTLD). Määritelmän tarkoituksena ei olisi rajata sen soveltumista tiettyyn maantieteelliseen alueeseen.  

21 luku – Suomen ja Ahvenanmaan verkkotunnukset 

Luvun otsikkoa tarkistettaisiin, jotta siitä ilmenee säännösten soveltamisala suhteessa ehdotettuun uuteen 21 a lukuun. 

164 §. Liikenne- ja viestintäviraston verkkotunnustoiminta ja verkkotunnusten välittäminen. Pykälän 2 momenttiin tehtäisiin tekninen muutos, koska verkkotunnusvälittäjän käsitettä käytettäisiin jatkossa uudessa 21 a luvussa myös sellaisista verkkotunnusvälittäjistä, jotka eivät ole tehneet lain 165 §:ssä tarkoitettua ilmoitusta, joka liittyy fi- ja ax-päätteisten tunnusten välittämiseen. Jatkossakin merkintöjä verkkotunnusrekisteriin voisi siten tehdä vain 165 §:ssä tarkoitetun ilmoituksen tehnyt verkkotunnusvälittäjä. Se siis vastaisi merkinnöistä myös silloin, kun niitä tekisi lain 167 §:n 1 momentista mainitulla tavalla verkkotunnusvälittäjän puolesta toimiva taho.  

Pykälään lisättäisiin uusi 4 momentti , jossa säädettäisiin NIS 2 direktiivin täytäntöönpanon edellyttämällä tavalla eräiden 21 luvun velvoitteiden soveltamisesta myös verkkotunnusvälittäjän puolesta toimivaan verkkotunnusten rekisteröintipalveluja tarjoavaan tahoon. NIS 2 direktiivissä säädetyt velvoitteet koskevat verkkotunnusten rekisteröintipalveluja tarjoavia toimijoita, millä tarkoitetaan direktiivin 6 artiklan 22 kohdan mukaan paitsi verkkotunnusvälittäjää myös verkkotunnusvälittäjien puolesta toimivaa tahoa, kuten yksityisyys- tai välityspalvelujen tarjoajaa tai jälleenmyyjää. Koska verkkotunnus on lain 167 §:n mukaan merkittävä käyttäjän nimiin tämän oikeilla tiedoilla, ei kaikkien tällaisten palvelujen tarjoaminen tule kuitenkaan fi- ja ax-päätteisten tunnusten osalta kyseeseen.  

Ehdotetussa momentissa säädettäisiin ensinnäkin 165 §:ssä tarkoitetun ilmoitusvelvollisuuden soveltamisesta verkkotunnusvälittäjien puolesta toimiviin tahoihin. Tällä pantaisiin täytäntöön NIS 2 direktiivin 3 artiklan 3 ja 4 kohta sekä 27 artiklan 2–4 kohta näiden toimijoiden osalta. Toiseksi momentissa säädettäisiin lain 170 §:n mukaisten tietojen saatavuutta koskevien velvoitteiden soveltamisesta näihin toimijoihin siinä laajuudessa kuin direktiivin 28 artiklan 3–5 kohdan täytäntöönpano minimitasolla edellyttää. Pykälän 1 momentin 2 kohta panee osaltaan täytäntöön myös 28 artiklan 1 kohdan. Verkkotunnusvälittäjien puolesta toimiviin tahoihin ei kuitenkaan sovellettaisi esimerkiksi erityisiä kansallisia tietoturvavelvoitteita, jotka eivät perustu NIS 2 direktiiviin. Kolmanneksi lain 171 §:n soveltaminen merkitsisi, että Liikenne- ja viestintävirasto voisi lain rikkomistilanteissa käyttää siinä säädettyjä toimivaltuuksiaan myös verkkotunnusvälittäjien puolesta toimiviin tahoihin. Ehdotetusta seuraisi myös, että Liikenne- ja viestintäviraston lain 165 §:n 3 momentin ja 170 §:n 2 momentin nojalla antamia määräyksiä voitaisiin soveltaa myös näihin toimijoihin.  

21 a luku – Muut verkkotunnukset 

172 a §. Luvun soveltamisala. Pykälän 1 momentin nojalla uutta 21 a lukua sovellettaisiin muihin kuin 21 luvun soveltamisalaan kuuluviin verkkotunnuksiin ja niiden välittämiseen.  

Uusi 21 a luku olisi tarkoitettu koskemaan yleisesti aluetunnusrekistereitä ja verkkotunnusten välitystoimintaa Suomessa siltä osin kuin toiminta ei kuulu 21 luvun fi- ja ax-päätteisiä verkkotunnuksia koskevien erityissäännösten alaan. Lukua ei sovellettaisi 21 luvun soveltamisalaan kuuluviin verkkotunnuksiin taikka niihin liittyvään verkkotunnustoimintaan tai verkkotunnusten välittämiseen. Uutta 21 a lukua sovellettaisiin näin ollen muihin kuin fi- tai ax-päätteisiin verkkotunnuksiin ja niiden välittämiseen riippumatta verkkotunnuksen päätteestä.  

Pykälän 2 momenttiin sisältyisi säännös luvun alueellisesta soveltamisalasta. Lukua sovellettaisiin verkkotunnusvälittäjään, jonka päätoimipaikka tai Euroopan unioniin nimetty edustaja sijaitsee Suomessa. Jos Euroopan unionin ulkopuolelle sijoittautunut verkkotunnusvälittäjä ei ole nimennyt edustajaa unionissa mutta tarjoaa palvelua Suomessa, verkkotunnusvälittäjä kuuluisi myös luvun soveltamisalaan. Säännös vastaisi NIS 2 -direktiivin 26 artiklan 2 ja 3 kohtaa direktiivin velvoitteiden alueellisesta soveltamisalasta.  

Pykälän 3 momentin mukaan mitä tässä luvussa säädetään verkkotunnusvälittäjästä, sovelletaan myös verkkotunnusvälittäjien puolesta toimivaan verkkotunnusten rekisteröintipalveluja tarjoavaan tahoon. Maininta vastaa NIS 2 -direktiivin 28 artiklan edellyttämien velvoitteiden soveltamisalaa, sillä NIS 2 -direktiivin 6 artiklan 22 kohdassa verkkotunnusten rekisteröintipalveluja tarjoavaksi toimijaksi määritellään verkkotunnusvälittäjien lisäksi myös niiden puolesta toimivat tahot. Verkkotunnusvälittäjien puolesta toimivia tahoja voivat olla esimerkiksi yksityisyys- tai välityspalvelujen tarjoajat tai jälleenmyyjät. 

172 b §. Verkkotunnusvälittäjän ilmoitus . Pykälässä säädettäisiin tiedoista, jotka verkkotunnusvälittäjän on ilmoitettava Liikenne- ja viestintävirastolle. Pykälällä täydennettäisiin NIS 2 -direktiivin 3 artiklan 3 ja 4 kohdan sekä 27 artiklan täytäntöönpanoa sellaisten verkkotunnusvälittäjien osalta, jotka välittävät muita kuin 21 luvun soveltamisalaan kuuluvia verkkotunnuksia. Verkkotunnusvälittäjien tulisi ilmoittaa Liikenne- ja viestintävirastolle nimensä, osoitteensa, sähköpostiosoitteensa, puhelinnumeronsa ja muut ajantasaiset yhteystietonsa, IP-osoitealueensa sekä luettelo Euroopan unionin jäsenvaltioista, joissa se tarjoaa palvelujaan. Lisäksi sen tulisi ilmoittaa toimipaikkojensa tai edustajansa yhteystiedot Euroopan unionissa. Verkkotunnusvälittäjän olisi viipymättä ilmoitettava muutoksista 1 momentissa tarkoitettuihin tietoihin ja muutoksista niihin direktiivin edellyttämässä kahden viikon tai kolmen kuukauden määräajassa riippuen muuttuneesta tiedosta. Liikenne- ja viestintävirasto voisi antaa tarkempia määräyksiä tietojen ilmoittamisesta samoin kuin kyberturvallisuuslain 41 §:ssä säädetyn vastaavan ilmoitusvelvollisuudenkin osalta, joka koskee muun ohella aluetunnusrekisterin ylläpitäjiä. Kyberturvallisuuslain 18 §:ssä tarkoitettu keskitetty yhteyspiste vastaa NIS 2 direktiivin 27 artiklan 4 kohdan mukaisten ilmoituksien tekemisestä, minkä johdosta Liikenne- ja viestintäviraston olisi toimitettava ilmoituksen tekemiseksi tarpeelliset tiedot keskitetylle yhteyspisteelle. Keskitetty yhteyspiste sijaitsee Liikenne- ja viestintävirastossa.  

172 c §. Verkkotunnusten rekisteröintitiedot. Pykälässä säädettäisiin aluetunnusrekisterin ylläpitäjän ja verkkotunnusvälittäjän velvollisuudesta kerätä ja ylläpitää verkkotunnusten rekisteröintitietoja. Tietoja olisi kerättävä ja ylläpidettävä NIS 2 -direktiivin 28 artiklan edellyttämällä tavalla. NIS 2 -direktiivin 28 artiklan 2 kohdan mukaisiin tietoihin on sisällyttävä verkkotunnus, sen rekisteröintipäivä, verkkotunnuksen rekisteröijän nimi, yhteyssähköpostiosoite ja puhelinnumero sekä verkkotunnusta hallinnoivan yhteyspisteen yhteyssähköpostiosoite ja puhelinnumero, jos ne eivät ole samat kuin verkkotunnuksen rekisteröijän. Velvoite kohdistuisi molempiin toimijatyyppeihin, mutta sen toteuttamisessa olisi noudatettava 172 d §:ssä säädettävää yhteistyövelvollisuutta. Aluetunnusrekisterin ylläpitäjän ja verkkotunnusvälittäjän olisi lisäksi otettava käyttöön ja asetettava julkisesti saataville toimintaperiaatteet ja menettelyt, joilla ne varmistavat, että verkkotunnusten rekisteröintitiedot ovat tarkat ja oikeat. Pykälällä pantaisiin täytäntöön NIS 2 -direktiivin 28 artiklan 2 ja 3 kohdat muiden kuin 21 luvun soveltamisalaan kuuluvien verkkotunnusvälittäjien osalta.  

172 d §. Verkkotunnusten rekisteröintitietojen saatavuus. Pykälässä säädettäisiin pääsyn antamisesta verkkotunnusten rekisteröintitietoihin NIS 2 -direktiivin 28 artiklan 4 ja 5 kohdan edellyttämällä tavalla sekä 6 kohdan edellyttämästä yhteistyöstä.  

Pykälän 1 momentissa säädettäisiin verkkotunnusten rekisteröintitietojen julkisesta saatavuudesta siltä osin kuin tiedot eivät ole henkilötietoja. Momentin nojalla muut verkkotunnuksen rekisteröintitiedot kuin henkilötiedot olisi asetettava julkisesti saataville ilman aiheetonta viivytystä verkkotunnuksen rekisteröinnin jälkeen. Velvoite kohdistuisi molempiin toimijatyyppeihin, mutta sen toteuttamisessa olisi noudatettava 3 momenttiin ehdotettua yhteistyövelvollisuutta.  

Pykälän 2 momentissa säädettäisiin verkkotunnusten rekisteröintitietojen luovuttamisesta siltä osin kuin tiedot ovat henkilötietoja. Momentin nojalla verkkotunnusten rekisteröintitietoihin olisi annettava pääsy, jos tietoihin pääsyä oikeutetusti pyytävä esittää lainmukaisen ja asianmukaisesti perusteluun pyynnön. Pyyntöön olisi vastattava ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa pyynnön vastaanottamisesta. Velvoite ei mahdollistaisi maksun perimistä tietojen luovuttamisesta. Lisäksi aluetunnusrekisterin ja verkkotunnusvälittäjän on asetettava julkisesti saataville käytössään olevat toimintaperiaatteet ja menettelyt verkkotunnusten rekisteröintitietojen luovuttamisesta.  

Pykälän 3 momentissa säädettäisiin aluetunnusrekisterin ylläpitäjän ja verkkotunnusvälittäjän velvollisuudesta tehdä yhteistyötä 172 c ja 172 d §:ssä säädettyjen velvoitteiden toteuttamiseksi ja päällekkäisten rekisteröintitietojen keräämisen välttämiseksi. Momentilla pantaisiin täytäntöön NIS 2 direktiivin 28 artiklan 6 kohta, jonka mukaan artiklan 1–5 kohdan velvoitteiden noudattaminen ei saa johtaa päällekkäisyyksiin verkkotunnusten rekisteröintitietojen keruussa. Tätä varten jäsenvaltioiden on edellytettävä, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat tekevät yhteistyötä keskenään. Voidaan kuitenkin katsoa, ettei direktiivin edellyttämä yhteistyö rajoitu suppeasti tietojen keruuseen vaan on yleisemminkin tarpeen direktiivin edellyttämien velvoitteiden toteuttamiseksi.  

Verkkotunnusten rekisteröintiin ja rekisteröintitietojen julkaisuun on olemassa erilaisia toimintamalleja. Ehdotettujen 172 c ja 172 d §:n on tarkoitus mahdollistaa erilaiset perustellut toteutustavat tietojen keräämiselle, varmistamiselle, ylläpidolle ja niiden saatavuuden toteuttamiselle sekä tarkoituksenmukainen työnjako eri toimijoiden yhteistyönä mahdollisuuksien mukaan niissä puitteissa, jotka kansainvälisessä yhteistyössä syntyneet sopimusperusteiset parhaat käytännöt mahdollistavat, edellyttäen että NIS 2 direktiivin edellyttämä lopputulos toteutuu. Tapauksen mukaan verkkotunnuksen rekisteröijän tietojen saataville saattamisesta tämän pykälän 1 momentissa säädettävän velvoitteen mukaisesti voisi esimerkiksi käytännössä vastata verkkotunnusvälittäjä siltä osin kuin direktiivin edellyttämät tiedot eivät sisältyisi aluetunnusrekisterin ylläpitäjän saatavilla pitämiin tietoihin, kun taas aluetunnusrekisterin ylläpitäjä voisi vastata verkkotunnuksen perustustietojen ja kyseisen verkkotunnusvälittäjän tietojen saatavuudesta. Mikäli aluetunnusrekisteri taas saattaisi kaikki edellytetyt tiedot saataville, ei olisi aiheellista edellyttää verkkotunnusvälittäjän julkaisevan tietoja toistamiseen. Ei olisi myöskään tarkoituksenmukaista, että verkkotunnusvälittäjän puolesta toimivien tahojen, joihin velvoitteita myös sovellettaisiin, tulisi asettaa tiedot uudestaan itsenäisesti julkisesti saataville, jos ne olisi saatettu saataville aluetunnusrekisterin ylläpitäjän tai verkkotunnusvälittäjän toimesta. 

Pykälän 4 momentissa säädettäisiin informatiivinen viittaus henkilötietojen suojaa koskevaan yleiseen tietosuoja-asetukseen ja tietosuojalakiin.  

304 §. Sähköisen viestinnän palveluista annetusta laista ehdotetaan kumottavaksi 304 §:n 1 momentin 14 kohta, joka koskee kyberturvallisuusasetuksen täytäntöönpanoa ja Liikenne- ja viestintäviraston erityistä tehtävää kansallisena kyberturvallisuussertifioinnin viranomaisena. Liikenne- ja viestintäviraston tehtävästä kansallisena kyberturvallisuussertifioinnin viranomaisena säädettäisiin jatkossa eräiden tuotteiden kyberkestävyydestä ja kyberturvallisuussertifioinnista annetussa laissa. Näin ollen säännös ehdotetaan kumottavaksi päällekkäisenä suhteessa uuteen eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista ehdotettuun lakiin.  

7.5  Laki sakon täytäntöönpanosta

1 §. Lain soveltamisala . Eri lakien nojalla määrättävien laiminlyönti- ja seuraamusmaksujen täytäntöönpanosta huolehtii Oikeusrekisterikeskus sakon täytäntöönpanosta säädettyä menettelyä noudattaen. Pykälän  2 momenttiin  ehdotetaan lisättäväksi uusi 37 kohta, jonka nojalla eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista annetun lain 31–37 §:n §:ssä tarkoitettu seuraamusmaksu pannaan täytäntöön lain mukaisessa järjestyksessä. Muutoksen johdosta 36 kohtaan tehtäisiin tekninen muutos.    

12.1  Viranomaistehtävät

Kyberkestävyysasetuksessa velvoitetaan jäsenvaltiot nimeämään markkinavalvontaviranomainen ja ilmoittava viranomainen. Velvoite viranomaisen nimeämiseen tulee suoraan asetuksesta. Kansalliseen harkintavaltaan jää, nimetäänkö yksi vai useampi viranomainen ja mitä nämä viranomaiset ovat. 

Perustuslakivaliokunta on viranomaisten toimivaltuuksia koskevaa sääntelyä arvioidessaan pitänyt arvion lähtökohtana myös sitä, että viranomaisen toimivaltuuksien sääntely on merkityksellistä perustuslain 2 §:n 3 momentissa vahvistetun oikeusvaltioperiaatteen kannalta (PeVL 51/2006 vp, s. 2/I). Julkisen vallan käytön tulee perustuslain 2 §:n 3 momentin mukaan perustua lakiin, ja kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Lähtökohtana on, että julkisen vallan käytön tulee olla aina palautettavissa eduskunnan säätämässä laissa olevaan toimivaltaperusteeseen. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. (PeVL 19/2021 vp, 15 kohta viittauksineen.) Toimivaltaisen päätöksentekijän tulee käydä ilmi laista yksiselitteisesti (PeVL 18/2021 vp, 2 kohta). Toimivaltasääntely on valiokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta (ks. PeVL 10/2016 vp, s. 3). Kun viranomaiselle annetaan uusia tehtäviä, niiden tulisi sopia tälle viranomaiselle (ks. PeVL 32/2020 vp, s. 5).  

Kyberkestävyysasetuksen mukaiset tehtävät sopivat asiasisältönsä puolesta ehdotetulla tavalla Liikenne- ja viestintäviraston tehtäviin. Suuririskisiin tekoälyjärjestelmiin kohdistuvan kyberkestävyysasetuksen valvonnan osalta se, mille viranomaiselle valvontatehtävä kuuluisi, määräytyisi eräiden tekoälyjärjestelmien valvonnasta annetun lain ja EU:n tekoälyasetuksen perusteella, sillä tekoälyasetusta varten nimetyt markkinavalvontaviranomaiset vastaavat myös kyberkestävyysasetuksen nojalla vaadituista markkinavalvontatoimista, eikä markkinavalvonnan järjestämiseen liity tältä osin kansallista liikkumavaraa. Tehtävien sisältö määräytyisi pääasiassa kyberkestävyysasetuksen perusteella. Kyberkestävyysasetuksen sääntelyä täydentäisivät kansallisten hallinnon yleislakien säännökset, markkinavalvontalaki sekä eräiden tuotteiden kyberkestävyydestä ja kyberturvallisuussertifioinnista annetun lain säännökset muun muassa tietojenvaihdosta. Viranomaisten uudet tehtävät perustuisivat lakiin ja suoraan sovellettavaan EU:n asetukseen. Toimivaltaisen viranomaisen tehtävät on määritelty ehdotettavassa laissa tarkasti ja täsmällisesti. 

12.2  Julkisen hallintotehtävän antaminen muulle kuin viranomaiselle

Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai sen nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle.  

Perustuslakivaliokunnan tulkintakäytännön mukaan julkisen hallintotehtävän antaminen muulle kuin viranomaiselle edellyttää, että laissa määritellään ainakin yleisluonteisesti tehtävän hoitajalta edellytetty pätevyys tai kelpoisuus (muun muassa PeVL 28/2001 vp ja PeVL 48/2001 vp). Perustuslakivaliokunnan käytännössä on katsottu, että oikeusturvan ja hyvän hallinnon vaatimusten toteutumisen varmistaminen perustuslain 124 §:n tarkoittamassa merkityksessä edellyttää, että asian käsittelyssä noudatetaan hallinnon yleislakeja ja että asioita käsittelevät toimivat virkavastuulla (PeVL 33/2004 vp, s. 7/II, PeVL 46/2002 vp, s. 10). Hallinnon yleislakeja sovelletaan niiden sisältämien soveltamisalaa, viranomaisten määritelmää tai yksityisen kielellistä palveluvelvollisuutta koskevien säännösten nojalla myös yksityisiin niiden hoitaessa julkisia hallintotehtäviä (PeVL 42/2005 vp, s. 3/II). Myös yhtiön palveluksessa olevaan henkilöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan yhtiölle kuuluvia julkisia hallintotehtäviä (PeVL 26/2017 vp, s. 49–50, PeVL 16/2016 vp, s. 2–3, PeVL 8/2014 vp, s. 5/I).  

Kyberkestävyysasetuksen mukaiset ilmoitetut laitokset suorittaisivat vaatimustenmukaisuuden arviointitehtäviä, joissa olisi kysymys julkisesta hallintotehtävästä. Kyberkestävyysasetuksen 39 artiklan 2 kohdassa todetaan, että vaatimuksenmukaisuuden arviointilaitoksen on oltava jäsenvaltion kansallisen lainsäädännön mukaisesti perustettu ja että sen on oltava oikeushenkilö. Lisäksi 39 artiklassa säädetään yksityiskohtaisesti ja tarkasti vaatimuksenmukaisuuden arviointilaitoksen tehtävän hoidossa edellytetyistä vaatimuksista. Jos ilmoitettu vaatimuksenmukaisuuden arviointilaitos antaa alihankintaan tietyt vaatimuksenmukaisuuden arviointiin liittyvät tehtävät tai käyttää tytäryhtiötä, on ilmoitetun vaatimuksenmukaisuuden arviointilaitoksen varmistettava kyberkestävyysasetuksen 41 artiklan nojalla, että alihankkija tai tytäryhtiö täyttää myös kyberkestävyysasetuksen 39 artiklassa säädetyt vaatimukset sekä ilmoitettava siitä viranomaiselle. Myös tilanteet, joissa ilmoitetun vaatimuksenmukaisuuden arviointilaitoksen toimintaa on rajoitettava tai peruutettava, on säännelty mainitun asetuksen 45 artiklassa. Kyberkestävyysasetuksen suoraan sovellettavan yksityiskohtaisen sääntelyn voidaan katsoa muodostavan riittävän säädöspohjan tehtävän hoitajan pätevyydestä ja kelpoisuudesta perustuslain 124 §:n kannalta. Ilmoitetun laitoksen tehtävissä ei olisi kysymys merkittävän julkisen vallan käytöstä. 

Kyberturvallisuusasetuksen mukaisia tehtäviä hoitavien, kyberturvallisuussertifiointia varten ilmoitettuja vaatimuksenmukaisuuden arviointilaitoksia koskeviin vaatimuksiin sovelletaan puolestaan kyberturvallisuusasetuksen 60 artiklan 1 kohdan viittauksen johdosta asetuksen liitettä. Myös tässä tehtävässä olisi kysymys julkisesta hallintotehtävästä. Vaatimukset ovat kyberkestävyysasetuksen vastaavien vaatimuksien kaltaisia. Vaatimustenmukaisuuden arviointilaitoksen on oltava perustettu kansallisen lainsäädännön mukaisesti ja sen on oltava oikeushenkilö. Liite sisältää yksityiskohtaiset vaatimukset arviointien suorittamiselle, ja niillä varmistetaan riippumattomuus ja eturistiriitojen poissulkeminen. Vaatimustenmukaisuuden arviointilaitosten on varmistettava, että niiden tytäryhtiöiden ja alihankkijoiden toimet eivät vaikuta niiden suorittamien vaatimustenmukaisuuden arviointitoimien luottamuksellisuuteen, objektiivisuuteen tai puolueettomuuteen. Kyberturvallisuusasetuksen suoraan sovellettavan yksityiskohtaisen sääntelyn voidaan katsoa muodostavan riittävän säädöspohjan tehtävän hoitajan pätevyydestä ja kelpoisuudesta perustuslain 124 §:n kannalta. Tehtävässä ei olisi kysymys merkittävän julkisen vallan käytöstä. 

Lisäksi 1. lakiehdotus mahdollistaisi kyberturvallisuussertifioinnin viranomaiselle osoitettujen kyberturvallisuussertifiointiin liittyvien tehtävien delegoimisen kyberturvallisuusasetuksen sääntelyä vastaavasti vaatimustenmukaisuuden arviointilaitokselle. Tehtävät olisivat samankaltaisia kuin kyberturvallisuusasetuksen nojalla kyberturvallisuussertifiointia varten ilmoitettujen vaatimustenmukaisuuden arviointilaitosten tehtävät muutoinkin, ja niissä olisi kysymys julkisen vallan käytöstä, ei kuitenkaan merkittävän julkisen vallan käytöstä. Erotuksena on, että kyse on korkean varmuustason sertifikaattien myöntämisestä, joka on kyberturvallisuusasetuksessa lähtökohtaisesti viranomaiselle varattu tehtävä. Sertifioinnin korkea varmuustaso sellaisenaan ei kuitenkaan tee tehtävästä sellaista merkittävän julkisen vallan käyttöä, jota ei voitaisi osoittaa viranomaiskoneiston ulkopuolelle. Delegointi voisi olla tarpeen erityisesti tehtävässä edellytetyn korkeatasoisen erityisosaamisen vuoksi. Ehdotus mahdollistaisi tarkempien pätevyysvaatimusten asettamisen tehtävän delegointia koskevassa sopimuksessa, mikäli se olisi sovellettavan sertifiointijärjestelmän kannalta tarpeen. Laissa säädettäisiin vaatimustenmukaisuuden arviointilaitoksia koskevat yleiset vaatimukset akkreditointeineen ja mahdollisine valtuutuksineen, jotka varmistaisivat tehtävän hoitajan pätevyyden myös delegoidun tehtävän osalta perustuslain 124 §:n kannalta riittävällä tasolla.  

Ilmoitetun laitoksen ja kyberturvallisuussertifiointia varten ilmoitetun vaatimuksenmukaisuuden arviointilaitoksen katsottaisiin toimivan tehtävässään itsenäisenä rekisterinpitäjänä suhteessa sen ilmoittaneeseen viranomaiseen. 

Perusoikeuksien, oikeusturvan ja muiden hyvän hallinnon vaatimusten turvaaminen . Edellytyksenä julkisen hallintotehtävän antamiselle muulle kuin viranomaiselle on, ettei se saa vaarantaa perusoikeuksia, oikeusturvaa eikä muita hyvän hallinnon vaatimuksia. Perustuslain 118 §:ssä säädetään vastuusta virkatoimista. Virkavastuu sisältää sekä vahingonkorvausoikeudellisen että rikosoikeudellisen vastuun. Kun julkinen hallintotehtävä lailla annetaan hoidettavaksi muulle kuin viranomaiselle, tulee perustuslakivaliokunnan vakiintuneen tulkinnan mukaan säädösperusteisesti huolehtia siitä, että tehtävää hoitavaan sovelletaan tässä tehtävässä samoja säännöksiä kuin viranomaisvastuulla vastaavaa tehtävää hoitavaan (PeVL 5/2010 vp, PeVL 3/2009 vp, PeVL 1/2008 vp). Ehdotettu laki sisältäisi perustuslakivaliokunnan tulkintakäytännössään edellyttämän säännöksen virkavastuusta. Rikosoikeudellista virkavastuuta koskevia säännöksiä sovellettaisiin kyberkestävyysasetuksen mukaisen ilmoitetun laitokseen ja kyberturvallisuussertifiointia varten ilmoitettuun vaatimustenmukaisuuden arviointilaitoksen tai niiden käyttämän tytäryhtiön tai alihankkijan henkilöstöön niiden hoitaessa kyberkestävyysasetuksessa taikka kyberturvallisuusasetuksessa ja ehdotetussa laissa tarkoitettuja tehtäviä. Hallinnon yleislait tulisivat sovellettavaksi ilman eri viittaustakin. Ilmoitetun laitoksen tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen tekemään päätökseen olisi myös mahdollista hakea oikaisua ja muutosta, mikä varmistaisi perustuslain 21 §:ssä säädetyn oikeusturvan toteutumisen.  

Ilmoitetun laitoksen tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen tehtävien luvanvaraisuus ja tehtävien rajoittaminen ja peruuttaminen. Ehdotetun sääntelyn mukaan vaatimustenmukaisuuden arviointilaitoksen on haettava kyberkestävyysasetuksessa tarkoitetuksi ilmoitetuksi laitokseksi nimeämistä ja ilmoittamista Liikenne- ja viestintävirastosta. Ilmoitetuksi laitokseksi nimetään arviointilaitos, joka täyttää kyberkestävyysasetuksen 39 artiklassa asetetut vaatimukset niiden digitaalisen elementin sisältävien tuotteiden osalta, joiden osalta arviointilaitos on pätevä. Vastaavasti kyberturvallisuusasetuksen mukainen sertifiointitoiminta edellyttäisi vaatimustenmukaisuuden arviointilaitokselta, että Liikenne- ja viestintävirasto nimeäisi sen kyberturvallisuussertifiointia varten komissiolle. Ilmoittaminen edellyttäisi FINAS-akkreditointipalvelun akkreditointia ja kyberturvallisuusasetuksen liitteen sekä sovellettavan sertifiointijärjestelmän asettamien edellytysten täyttämistä.  

Kyberkestävyysasetuksen mukaiset ilmoitetut laitokset ja kyberturvallisuusasetuksen mukaiset kyberturvallisuussertifiointia varten ilmoitetut vaatimuksenmukaisuuden arviointilaitokset suorittaisivat vaatimustenmukaisuuden arviointitehtäviä, joissa olisi kysymys julkisesta hallintotehtävästä. Perustuslakivaliokunta on käytännössään katsonut, ettei viranomaiselle lähtökohtaisesti kuuluvien hallintotehtävien hoitaminen kuulu perustuslain 18 §:n 1 momentissa turvatun elinkeinovapauden piiriin (PeVL 23/2013 vp, PeVL 20/2006 vp , s. 3/I). Valiokunta on kuitenkin pitänyt viranomaisorganisaatioon kuulumattoman yksityisen toimijan oikeuksia ja velvollisuuksia koskevan sääntelyn oikeasuhtaisuuden kannalta välttämättömänä, että hyväksynnän peruuttamismahdollisuus sidotaan vakaviin tai olennaisiin rikkomuksiin tai laiminlyönteihin sekä siihen, että yksityiselle toimijalle annetut huomautukset ja varoitukset eivät ole johtaneet toiminnassa esiintyneiden puutteiden korjaamiseen (PeVL 23/2013 vp, PeVL 20/2006 vp , s. 3/I,  PeVL 27/2010 vp , s. 3/II).  

Kyberkestävyysasetuksessa säädetään nimeämisen rajaamisesta ja peruuttamisesta. Jos ilmoitettu laitos ei enää täytä säädettyjä vaatimuksia tai se ei noudata velvollisuuksiaan, ilmoittamisesta vastaavan viranomaisen on tarpeen mukaan rajoitettava ilmoitusta taikka peruutettava se toistaiseksi tai kokonaan sen mukaan, miten vakavaa vaatimusten täyttämättä jättäminen tai velvollisuuksien noudattamatta jättäminen on ollut. Tältä osin asiassa ei ole kansallista liikkumavaraa. Kyberturvallisuusasetuksen nojalla annetut täytäntöönpanosäädökset määrittävät osaltaan edellytykset, joiden nojalla viranomaisen olisi eri tavoin rajoitettava kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen oikeutta suorittaa kyseisten säädösten mukaisia tehtäviä. Siltä osin kuin EU-oikeudessa ei säädettäisi asiasta toisin, ehdotetussa laissa säädettäisiin viranomaisen toimivallasta viime kädessä peruuttaa nimeäminen, jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos ei ole korjannut toimintaansa määräajassa ja kyseessä on olennainen rikkomus tai laiminlyönti taikka jos se ei täytä sille säädettyjä vaatimuksia tai sen akkreditointia rajoitetaan, akkreditointi peruutetaan tai se keskeytetään. 

Lisäksi ehdotuksen mukaan kyberturvallisuuden sertifiointiviranomainen voisi irtisanoa tai purkaa korkean varmuustason kyberturvallisuussertifiointia koskevan sopimuksen vaatimustenmukaisuuden arviointilaitoksen kanssa, jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos ei enää täytä siihen kohdistuvia vaatimuksia tai jos se olennaisesti laiminlyö sopimuksessa sovittujen tehtävien suorittamisen tai muutoin rikkoo sopimusta tai toimii olennaisesti tai toistuvasti lainvastaisesti. 

Ehdotuksen arvioidaan täyttävän vaatimukset, jotka perustuslakivaliokunnan käytännössä on asetettu toiminnan hyväksynnän peruuttamiselle.  

Asiantuntijoiden käyttö tarkastuksessa. Ehdotus mahdollistaisi sen, että kyberturvallisuussertifioinnin viranomainen voisi teettää tarkastuksen riippumattomalla asiantuntijalla, jolla on tarvittava koulutus ja kokemus. Asiantuntijaan sovellettaisiin tällöin ehdotuksen mukaan rikosoikeudellista virkavastuuta koskevia säännöksiä, minkä lisäksi hallinnon yleislakeja sovellettaisiin ilman nimenomaista mainintaakin, mikä turvaisi hyvän hallinnon vaatimusten noudattamisen. Ulkopuolisten asiantuntijoiden rooli olisi täydentävä. Viranomaisen katsottaisiin toimivan tällöin rekisterinpitäjänä ja asiantuntijan henkilötietojen käsittelijänä. Tarkastusten havaintojen perusteella mahdollisesti tehtävät hallinnolliset päätökset tekisi sen sijaan viranomainen. Valvontaan liittyvän erityisen asiantuntemuksen tarpeen ja viranomaisen resurssien tehokkaan käytön turvaamisen johdosta ulkopuolisen asiantuntijan käytön mahdollisuutta on pidettävä tarkoituksenmukaisena. Ulkopuolisen asiantuntijan käyttäminen ei siten olisi ongelmallista perustuslain 124 §:n kannalta.  

12.3  Omaisuuden suoja

Ensimmäisen lakiehdotuksen 19 §:n 2 momentti, jonka mukaan ohjelmiston tutkittavaksi ottamisesta ei suoriteta talouden toimijalle korvausta, on merkityksellinen perustuslaissa turvatun omaisuudensuojan kannalta. Perustuslain 15 §:n mukaan jokaisen omaisuus on turvattu. Perustuslakivaliokunnan lausuntokäytännön mukaan omaisuudensuoja kattaa paitsi omistajalle lähtökohtaisesti kuuluvan vallan hallita, käyttää ja hyödyntää omaisuuttaan haluamallaan tavalla myös vallan määrätä siitä (PeVL 41/2006 vp, s. 2, PeVL 49/2005 vp, s. 2, PeVL 15/2005 vp, s. 2). Omistajan oikeuksia voidaan rajoittaa lailla, kunhan sääntely täyttää perusoikeuksien yleiset rajoitusedellytykset. 

Ehdotettu säännös kuuluu kansalliseen liikkumavaraan. Kyseessä olisi poikkeus markkinavalvontalain sääntelyyn, jonka mukaan markkinavalvontaviranomaisen on markkinavalvontalain 10 §:n 2 momentin mukaan talouden toimijan vaatimuksesta korvattava tutkittavaksi otettu tuote käyvän hinnan mukaan, jollei havaita, että tuote on vaatimustenvastainen. Perusteena poikkeukselle olisi se, että fyysisistä tuotteista poiketen digitaalisessa muodossa olevien ohjelmistojen tutkittavaksi ottamisesta eli käytännössä ohjelmiston sähköisen kopion luovuttamisesta ei aiheudu talouden toimijalle sellaista myynnin menetystä tai muutakaan korvattavaa vahinkoa, joka olisi korvattava ohjelmiston käyvän arvon mukaan. Koska tällainen tutkittavaksi ottaminen ei rajoita ohjelmiston valmistajan tai muun talouden toimijan mahdollisuutta käyttää omaisuuttaan tai valmistaa siitä uusia kopioita eikä aiheuttaisi vähäistä vaivaa merkittävämpää taloudellista vahinkoa, ei ehdotuksen arvioida olevan omaisuuden suojan kannalta ongelmallinen. 

12.4  Verkkotunnusvälittäjän ilmoitusvelvollisuus

Sähköisen viestinnän palveluista annetun lain uuden 21 a luvun 172 b §:ssä säädettäisiin verkkotunnusvälittäjiin ja niiden puolesta toimiviin kohdistuvasta ilmoitusvelvollisuudesta. Lisäksi 21 luvun mukainen ilmoitusvelvollisuus laajennettaisiin verkkotunnusvälittäjien puolesta toimiviin. Ehdotus tarkoittaisi käytännössä soveltamisalaan kuuluvan toimijan ilmoitusvelvollisuutta toiminnastaan Liikenne- ja viestintävirastolle ja olisi siten merkityksellinen perustuslain 18 §:ssä turvatun elinkeinovapauden kannalta. 

NIS 2 -direktiivin 27 artiklan täytäntöönpano edellyttää ilmoitusvelvollisuuden mukaisten tietojen keräämistä verkkotunnusvälittäjiltä. Lisäksi ilmoittautumisvelvollisuus toisi Liikenne- ja viestintäviraston tietoon ne verkkotunnusvälittäjät, jotka kuuluisivat vain uuden 21 a luvun soveltamisalaan, mikä on edellytys valvonnan kohdentamiselle verkkotunnusvälittäjiin. Ilmoitettavat tiedot olisivat toimijan yhteystietoja ja siten kohtuudella ilmoitettavissa ja päivitettävissä.  

Perustuslakivaliokunta ei ole pitänyt ilmoitusvelvollisuutta elinkeinovapauden kannalta ongelmallisena, kun ilmoituksen tekemättä jättäminen ei ole merkinnyt kieltoa harjoittaa toimintaa (PeVL 16/2009 vp, s. 3/I) tai kun viranomaisen ei edellytetä tekevän ilmoituksen johdosta päätöstä (PeVL 54/2002 vp, s. 3/I). Liikenne- ja viestintäviraston ei edellytettäisi tekevän päätöstä ilmoituksen johdosta. Ilmoituksen tekemättä jättäminen ei sinänsä merkitsisi kieltoa tarjota palvelua tai harjoittaa toimintaa. Ehdotuksen ei siten arvioida olevan elinkeinovapauden kannalta ongelmallinen. 

12.5  Kotirauhan suoja

Ehdotetun 19 §:n nojalla markkinavalvontaviranomainen voisi tietyin edellytyksin suorittaa tarkastuksen pysyväisluonteiseen asumiseen käytettävässä tilassa. Ehdotus on merkityksellinen perustuslain 10 §:ssä turvatun kotirauhan suojan kannalta.  

Perustuslain 10 §:n mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Perustuslain 10 §:n 3 momentin mukaan lailla voidaan säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä. Euroopan unionin perusoikeuskirjan 7 artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Perusoikeuskirjan 52 artiklan mukaan näiden oikeuksien käyttämistä voidaan rajoittaa ainoastaan lailla ja ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.  

Perustuslakivaliokunnan lausuntokäytännön mukaan perustuslain 10 §:ssä suojatun kotirauhan piiri kattaa lähtökohtaisesti kaikenlaiset pysyväisluonteiseen asumiseen käytetyt tilat eli myös sellaiset elinkeinonharjoittajan toimitilat, jotka sijaitsevat esimerkiksi elinkeinonharjoittajan asunnossa. Valiokunnan mukaan kotirauhan piiriin ulottuvat tarkastukset eivät kuitenkaan välttämättä vaaranna kotirauhan suojan varsinaista ydintä silloin, kun tarkastukset kohdistuvat tiloihin, joissa harjoitetaan elinkeino- tai ammattitoimintaa (ks. esim. PeVL 17/2018 vp, s. 5, PeVL 54/2014 vp, s. 2/II, PeVL 21/2010 vp ja PeVL 6/2019 vp).  

Perustuslakivaliokunta on EU-sääntelyn täytäntöönpanoon liittyneessä viranomaisten tarkastusoikeutta koskeneessa lausuntokäytännössään katsonut, että sillä ei ole valtiosääntöistä huomauttamista tarkastuksia koskevaan sääntelyyn, joka kuuluu EU-asetuksen soveltamisalaan ja on EU-sääntelyn edellyttämää (PeVL 12/2019 vp ja PeVL 6/2019 vp). Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että EU:n perusoikeuskirjassa turvattu kotirauhan suoja ei ole kaikilta osin yhteneväinen perustuslain 10 §:n 3 momentin kanssa. Perustuslakivaliokunnan lausunnoissa on kiinnitetty huomiota siihen, että perusoikeuskirja ei sisällä Suomen perustuslain kaltaista kvalifioitua lakivarausta, minkä vuoksi perusoikeuskirjan kanssa yhdenmukaistakin EU-sääntelyä on toisinaan vaikea ongelmitta sovittaa yhteen Suomen valtiosäännön kanssa (ks. esim. PeVL 6/2019 vp ja PeVL 39/2016 vp). Lisäksi perustuslakivaliokunta on pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 25/2005 vp). Perustuslakivaliokunta on tältä osin katsonut, että jos kotirauhan piiriin ulottuva tarkastustoimivaltuus ei ole kaikilta osin EU-asetuksen edellyttämä, tarkastustoimivaltuus tulee kotirauhan piiriin ulottuvilta osilta supistaa asetuksen kannalta välttämättömään (esim. PeVL 6/2019 vp). 

Ehdotettu tarkastuksia koskeva toimivaltasääntely on EU-sääntelyn edellyttämää, ja siinä on otettu huomioon perustuslakivaliokunnan käytännössä asetetut vaatimukset. 

Kyberkestävyysasetuksen 52 artiklan mukaan tuotteiden markkinavalvontaan sovelletaan asetuksen soveltamisalaan kuuluvien tuotteiden osalta lisäksi asetusta (EU) 2019/1020 (ns. markkinavalvonta-asetus). Markkinavalvonta-asetuksen 14 artiklan 4 kohdassa säädetään vähimmäistoimivaltuuksista, jotka jäsenvaltioissa tulee olla markkinavalvontaviranomaisten käytettävissä. Markkinavalvonta-asetuksen 14 artiklan 4 kohdan e alakohdan mukaan markkinavalvontaviranomaisilla tulee olla valtuudet päästä kaikkiin tiloihin, kaikille alueille tai kaikkiin kulkuneuvoihin, joita talouden toimija käyttää tarkoituksessa, joka liittyy talouden toimijan elinkeino- tai ammattitoimintaan, vaatimustenvastaisuuden havaitsemiseksi ja näytön hankkimiseksi. 

Markkinavalvonta-asetusta täydentää kansallisesti markkinavalvontalaki. Markkinavalvontalain 9 §:n 1 momentin mukaan markkinavalvontaviranomaisella on oikeus valvontaa varten päästä kaikkiin tiloihin, joissa harjoitetaan 1 §:n 1 momentissa mainituissa laeissa tarkoitettua toimintaa tai säilytetään valvonnan kannalta merkityksellisiä tietoja, ja tehdä valvonnassa tarvittavia tarkastuksia. Pysyväisluonteiseen asumiseen käytettäviin tiloihin tarkastuksia ei kuitenkaan saa ulottaa. Tarkastuksissa noudatetaan, mitä hallintolain (434/2003) 39 §:ssä säädetään. Pykälän 2 momentin mukaan markkinavalvontaviranomaisen oikeudesta ulottaa tarkastus pysyväisluonteiseen asumiseen käytettäviin tiloihin säädetään tarvittaessa erikseen 1 §:n 1 momentissa mainituissa laeissa. 

Markkinavalvonta-asetus edellyttää, että markkinavalvontaviranomaisen toimivaltuudet ovat käytettävissä kaikkien kyberkestävyysasetuksen soveltamisalaan kuuluvien tuotteiden valvonnassa. Markkinavalvonta-asetuksen mukaan tarkastuksia tulisi voida ulottaa kaikkiin tiloihin, joita talouden toimija käyttää elinkeino- tai ammattitoiminnassaan. Viranomaisen oikeudesta tehdä tarkastuksia pysyväisluonteiseen asumiseen tarkoitettuihin tiloihin ei kuitenkaan säädetä markkinavalvontalaissa vaan sektorilainsäädännössä. Markkinavalvontalain esitöissä arvioidaan, että milloin toimivaltuus tehdä tarkastuksia pysyväisluonteiseen asumiseen käytettäviin tiloihin olisi jollain tuotesektorilla sen erityispiirteistä takia tarpeen, tästä toimivaltuudesta olisi säädettävä erikseen sektorilaissa (HE 139/2021 vp, s. 12). Useissa tuotelaeissa onkin säädetty tarkastusoikeuden ulottamisesta myös pysyväisluonteiseen asumiseen käytettyihin tiloihin tietyin reunaehdoin (esim. laki kuluttajatuotteiden turvallisuudesta, sähköturvallisuuslaki, laki kosmeettisista valmisteista ja lannoitelaki). Kyberkestävyysasetuksen valvonnan kannalta käsillä olisi markkinavalvontalain esitöissä kuvattu tilanne. 

Kyberkestävyysasetuksen alaan kuuluvaa toimintaa kuten ohjelmistokehitystä on mahdollista ja tavanomaistakin harjoittaa myös kotirauhan piiriin kuuluvissa tiloissa. Tällainen toiminta voi olla henkilön pää- tai sivutoimista yritystoimintaa. Tällöin voi syntyä tilanteita, joissa ainoa mahdollisuus tehdä valmistajaan tai muuhun talouden toimijaan kohdistuva tarkastus on toteuttaa se kyseisissä elinkeinotoimintaan käytetyissä mutta sinänsä myös kotirauhan piiriin kuuluvissa tiloissa. On mahdollista, että myös laitteiden kokoonpano tapahtuisi asuintilojen yhteydessä. Näin ollen markkinavalvonta-asetuksen katsotaan edellyttävän, että kyberkestävyysasetuksen valvomiseksi tarkastus olisi tämänkaltaisissa tilanteissa voitava ulottaa rajoitetusti myös kotirauhan piiriin kuuluviin tiloihin. 

Perustuslakivaliokunta on vakiintuneesti painottanut, että perustuslain 10 §:n 3 momentin sanamuoto edellyttää, että kotirauhan piiriin ulottuva tarkastus sidotaan välttämättömyysvaatimukseen, ja edellyttänyt toimenpidevaltuuksia koskeviin säännöksiin kirjattavaksi, että esimerkiksi tarkastus asunnossa voidaan toimittaa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi (ks. esim. PeVL 54/2014 vp, s. 3 ja siinä viitatut lausunnot).  

Perustuslakivaliokunta on käytännössään katsonut kotirauhan piiriin ulottuvan toimen olevan hyväksyttävä ”rikosten selvittämiseksi”, jos toimi sidotaan siihen, että on olemassa konkreettinen ja yksilöity syy epäillä lakia rikotun tai rikottavan (PeVL 14/2013 vp, s. 3 ja PeVL 69/2002 vp, s. 2). Sääntelyn oikeasuhtaisuuden näkökulmasta valiokunnan lähtökohtana on ollut, ettei kotirauhan suojaan tule puuttua enimmillään sakolla rangaistavien, moitittavuudeltaan vähäisten rikkomusten selvittämiseksi. (PeVL 40/2002 vp, s. 2). Valiokunta on toisaalta pitänyt kotirauhan piiriin ulottuvaa tarkastusta julkisista varoista myönnettyjen tukien ja avustusten asianmukaisen käytön valvomiseksi hyväksyttävänä sellaisiakin rangaistaviksi säädettyjä rikkomuksia koskevien perusteltujen epäilyjen johdosta, joista voi enimmillään seurata sakkorangaistus (ks. PeVL 69/2002 vp, s. 2–3). Tarkastusoikeus on tavallisella lailla voitu kytkeä myös rangaistusluonteisella maksulla sanktioituun käyttäytymiseen (PeVL 7/2004 vp, PeVL 39/2005 vp ja PeVL 14/2013 vp). 

Markkinavalvontalain 9 §:ssä viitataan hallintolain 39 §:ään siten kuin perustuslakivaliokunta on edellyttänyt tehtävän valvontatyyppisten tarkastusten sääntelyssä (PeVL 11/2013 vp, s. 2). 

Tarkastusoikeus kotirauhan piirissä olisi rajattu tiloihin, joita talouden toimija käyttää elinkeino- tai ammattitoimintaansa liittyviin tarkoituksiin. Ehdotuksen mukaan pysyväisluonteiseen asumiseen käytetyssä tilassa tarkastuksen saisi tehdä vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi. Tämä merkitsee, että edellytyksenä olisi, että epäiltyä rikkomusta ei voida selvittää muilla keinoin, kuten tiedonsaantioikeuden avulla tai tekemällä tarkastus kohteessa, joka ei kuulu kotirauhan piiriin. Tarkastusoikeus kotirauhan piiriin kuuluvissa tiloissa kohdistuisi valvontatehtävien hoitamiseksi välttämättömiin tietoihin, jotka liittyvät kyberkestävyysasetuksen tai esityksen 1. lakiehdotukseen perustuvien velvoitteiden rikkomiseen. Ei ole kuitenkaan mahdollista tyhjentävästi luetella tietoja, joiden hankkimiseksi tarkastus olisi välttämätöntä suorittaa kotirauhan piiriin kuuluvissa tiloissa. 

Toimenpiteen oikeasuhtaisuus olisi varmistettu säännösperusteisesti. Edellytyksenä olisi ensinnäkin, että on perusteltu ja yksilöity syy epäillä kyberkestävyysasetusta rikotun tai rikottavan tavalla, josta voi olla seuraamuksena ehdotuksen mukainen hallinnollinen seuraamusmaksu. Kyberkestävyysasetuksen rikkomisesta säädettävän seuraamusmaksun enimmäismäärä on enimmäismäärältään huomattava, ja kyseessä on rangaistuksenluonteinen sanktio. Lisäksi edellytyksenä olisi se, että epäillyssä rikkomuksessa tulisi olla kyse digitaalisen elementin sisältävän tuotteen tai prosessin vaatimustenvastaisuudesta tai kyberkestävyysasetuksen 57 artiklassa tarkoitetusta muusta merkittävän kyberturvallisuusriskin tilanteesta, joka on kuvattu tarkemmin säännöksen perusteluissa. Kyberkestävyysasetuksen tarkoituksena parantaa digitaalisen elementin sisältävien tuotteiden kyberturvallisuutta sekä kuluttajien että yritysten kannalta. Tuotteet voivat aiheuttaa vakavia kyberturvallisuusriskejä ja riskin esimerkiksi ihmisten terveydelle tai turvallisuudelle. Tämän johdosta on oikeasuhtaista, että edellä mainituissa tilanteissa tarkastus voidaan suorittaa myös pysyväisluontoisen asumiseen käytettävissä tiloissa. Nämä edellytykset merkitsevät, että tarkastusta ei voitaisi suorittaa kotirauhan piirissä sellaisissa vähäisemmissä rikkomistapauksissa, joista seuraamusmaksua ei voitaisi määrätä tai joissa ei olisi kyse viimeksi mainituista seikoista. 

Oikeasuhtaisuutta varmistaisi myös hallintolain 39 §:n soveltaminen. Sen mukaan tarkastus on suoritettava aiheuttamatta tarkastuksen kohteelle tai sen haltijalle kohtuutonta haittaa. Oikeasuhteisuutta varmistaisi lisäksi muun muassa hallintolain 6 §, jonka mukaan viranomaisen on käytettävä toimivaltaansa yksinomaan lain mukaan hyväksyttäviin tarkoituksiin ja toimien on oltava oikeassa suhteessa tavoiteltuun päämäärään nähden. 

Ehdotettu sääntely täyttää siten perustuslakivaliokunnan käytännössä asetetut edellytykset, kun siinä edellytettäisiin välttämättömyyttä sekä konkreettista ja yksilöityä syytä ja tarkastusoikeus olisi kytketty toimintaan, josta voisi olla seuraamuksena rangaistusluontoinen hallinnollinen seuraamusmaksu, minkä lisäksi siinä varmistettaisiin toimenpiteen oikeasuhtaisuus.  

Markkinavalvontalain 14 §:n 2 momentin mukaan ulkopuoliset asiantuntijat voivat markkinavalvontaviranomaisen apuna osallistua tämän lain mukaisiin tarkastuksiin. Ulkopuolisella asiantuntijalla ei siten olisi itsenäistä roolia tarkastuksen suorittamisessa. Laissa säädetään myös asiantuntijan rikosoikeudellisesta virkavastuusta. Perustuslakivaliokunta ei ole nähnyt estettä sille, että laissa säädetään viranomaiskoneiston ulkopuolelta nimetyn toimielimen oikeudesta avustaa tarkastuksen toimittamisessa (PeVL 42/2005 vp ja PeVL 46/2001 vp).  

Edellä esitetty huomioon ottaen tarkastusoikeutta koskevien ehdotuksien arvioidaan täyttävän ne reunaehdot, joita perustuslakivaliokunnan käytännöstä aiheutuu kotirauhan piirissä tapahtuvan tarkastuksen suorittamiselle.  

12.6  Viranomaisen tiedonsaanti- ja tiedonluovutusoikeudet sekä yksityisyyden suoja

Viranomaisen tiedonsaanti- ja tiedonluovutusoikeudet. Perustuslakivaliokunta on arvioinut usein tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 89/2022 vp, kappale 12). Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat valiokunnan mukaan voineet liittyä jonkin tarkoituksen kannalta tarpeellisiin tietoihin, jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta (ks. esim. PeVL 8/2021 vp, kappale 24 ja siinä viitatut lausunnot).  

Perustuslakivaliokunta on painottanut toistuvasti, että erottelussa tietojen saamisen tai luovuttamisen tarpeellisuuden ja välttämättömyyden välillä on kyse tietosisältöjen laajuuden ohella myös siitä, että tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaanti-pyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (ks. esim. PeVL 7/2019 vp, s. 7, PeVL 48/2018 vp, s. 5 ja siinä viitatut lausunnot). 

Esityksen 1. ja 3. lakiehdotuksessa säädettäisiin viranomaisten tiedonsaanti- ja tiedonluovutusoikeuksia, jotka voivat koskea salassa pidettäviä tietoja, kuten liikesalaisuuksia tai tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevia tietoja. Tiedot voisivat poikkeuksellisesti koskea myös yksityiselämän suojan alaan kuuluvia seikkoja. Näin ollen esitystä on arvioitava perustuslain 15 §:ssä säädetyn omaisuuden suojan ja 10 §:ssä säädetyn yksityiselämän suoja kannalta. 

Ehdotetut tiedonsaanti- ja tiedonluovutusoikeudet olisivat pääosin kyberkestävyysasetuksen ja kyberturvallisuusasetuksen määrittelemien tehtävien edellyttämiä.  

Esityksen 1. lakiehdotuksen 9 §:ssä säädettäisiin CSIRT-yksikön oikeudesta luovuttaa sen tiettyjen kyberkestävyysasetuksen mukaisten tehtävien yhteydessä saamiaan salassa pidettäviä tietoja näiden tehtävien toteuttamiseksi. Tiedonluovutusoikeus olisi sidottu pääsääntöisesti tarpeellisuusedellytykseen niin, että tiedonluovutusoikeuden kattamat tietotyypit seuraisivat kyberkestävyysasetuksen 14 artiklan 2, 4 ja 6 kohdista. Muiden näiden tehtävien hoidossa mahdollisesti saatujen tietojen luovuttaminen olisi sidottu välttämättömyysedellytykseen. Lakiehdotuksen 14 §:ssä puolestaan säädettäisiin ilmoittavan viranomaisen ja ilmoitetun laitoksen oikeudesta luovuttaa salassa pidettävää tietoa. Ilmoittavan viranomaisen tiedonluovutusoikeus olisi sidottu välttämättömyyteen pykälässä määriteltyjen tehtävien hoitamisen kannalta. Ilmoitetun laitoksen tiedonluovutusoikeus olisi puolestaan sidottu tarpeellisuusedellytykseen siten, että luovutettavat tiedot olisi määritelty koskemaan vaatimustenmukaisuuden arviointia ja tarkastuksen tuloksia. Ehdotuksen 18 §:n 1 momentissa ulotettaisiin markkinavalvontaviranomaisen markkinavalvontalain 11 ja 13 §:n mukainen tiedonluovutusoikeus kattamaan myös digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuutta, turvajärjestelyjä sekä haavoittuvuutta ja tietoturvaan vaikuttavaa poikkeamaa koskeviin tietoihin. Markkinavalvontalaki on säädetty perustuslakivaliokunnan myötävaikutuksella (PeVL 36/2016 vp, TaVM 19/2016 vp). Ehdotettu laajennus tiedonluovutusoikeuden kattamiin tietotyyppeihin on välttämätön, koska kyberkestävyysasetuksen velvoitteet kohdistuvat niiden alaan. Ehdotuksen 18 §:n 2 momentissa säädettäisiin markkinavalvontaviranomaisen tiedonluovutusoikeudesta tietyille kotimaisille ja ulkomaisille viranomaisille niiden säädettyjä tehtäviä varten. Tiedonluovutusoikeus olisi sidottu välttämättömyyteen pykälässä määriteltyjen tehtävien hoitamisen kannalta. Ehdotuksen 26 §:ssä taas säädettäisiin kyberturvallisuuden sertifiointiviranomaisen oikeudesta luovuttaa salassa pidettäviä tietoja. Pykälän 1 ja 2 kohdan osalta tiedonluovutusoikeus olisi sidottu välttämättömyyteen kohdissa määriteltyjen tehtävien hoitamisen kannalta. Pykälän 3 kohdan osalta tiedonluovutusoikeus olisi puolestaan sidottu tarpeellisuusedellytykseen tiedot vastaanottavien viranomaisten tehtävien kannalta siten, että luovutettavat tietotyypit olisi lueteltu kohdassa. Ehdotukset tietojen luovuttamisesta CSIRT-yksikölle sen kyberturvallisuuslaissa säädettyjen tehtävien hoitamiseksi eivät ole suoraan kyberkestävyysasetuksen tai kyberturvallisuusasetuksen edellyttämiä, mutta CSIRT-yksikön tehtävien asianmukaisen hoitamisen voidaan katsoa edellyttävän mahdollisuutta näiden tietojen luovuttamiseen sille, sillä se edistää kyberturvallisuuden toteutumista.  

Esityksen 3. lakiehdotuksen mukaisesti kyberturvallisuuslain 28 §:ään tehtävän muutoksen johdosta syntyvä tiedonluovutusoikeus olisi niin ikään sidottu välttämättömyyteen Finanssivalvonnan eräiden sen laissa säädettyjen tehtävien kannalta. Tätä ehdotusta tarkastellaan lisäksi jäljempänä erikseen luottamuksellisen viestinnän suojan kannalta. 

Esityksen 1. lakiehdotuksen 25 §:ssä säädettäisiin kyberturvallisuussertifioinnin viranomaisen tiedonsaantioikeudesta, joka olisi rajattu sen ehdotetussa laissa tai kyberturvallisuusasetuksessa säädettyjen tehtävien hoitamiseksi ja kyberturvallisuusasetuksen, sen nojalla annettujen säädösten ja tämän lain noudattamisen valvomiseksi välttämättömiin tietoihin. Tiedonsaantioikeus kohdistuisi vaatimustenmukaisuuden arviointilaitoksiin, eurooppalaisen kyberturvallisuussertifikaatin haltijoihin ja EU-vaatimustenmukaisuusilmoitusten antajiin. Tietotyyppejä ei ole tarkoituksenmukaista luetella tyhjentävästi tai rajata tiettyihin tilanteisiin, koska viranomaisen tiedonsaantitarpeet voivat olla moninaisia. Lisäksi ehdotuksen 39 §:n 4 momentissa säädettäisiin seuraamusmaksun määräävän viranomaisen oikeudesta saada seuraamusmaksun määräämiseksi tai sen määrän arvioimiseksi välttämättömät tiedot.  

Näin ollen ehdotettavan sääntelyn voidaan katsoa täyttävän perustuslakivaliokunnan asettamat tiedonsaanti- ja tiedonluovutusoikeuksia koskevat sääntelyedellytykset tältä osin. 

Henkilötietojen suoja. Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (esim. PeVL 42/2016 vp, s. 2–3). Euroopan unionin perusoikeuskirjan 8 artiklan mukaan henkilötietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.  

Esityksen 1. ja 3. lakiehdotuksen mukaiset tiedonluovutus- ja tiedonsaantioikeuksia koskevat säännökset eivät sulkisi tiedonluovutuksen tai tiedonsaantioikeuden ulkopuolelle henkilötietoja, joskin tietojen luovutuksen kohteena olisivat henkilötietojen sijasta pääasiassa tekniset tiedot. Henkilötietoja voisi kuitenkin sisältyä esimerkiksi vaatimustenmukaisuuden arviointilaitokselta pyydettäviin selvityksiin, jotka voisivat koskea arviointilaitoksen henkilöstölle asetettujen vaatimusten täyttymistä. Siltä osin kuin ehdotettujen tiedonsaanti- ja tiedonluovutusoikeuksien käytön yhteydessä käsitellään henkilötietoja, tulee henkilötietojen käsittelyssä noudattaa tietosuojalainsäädäntöä, kuten yleistä tietosuoja-asetusta ja tietosuojalakia.  

Perustuslakivaliokunnan mukaan henkilötietojen suoja tulee turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp).  

Kyseisten tiedonsaanti- ja tiedonluovutusoikeuksien osalta henkilötietojen käsittelyn oikeusperusteena olisi lähtökohtaisesti tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa tarkoitettu rekisterinpitäjän lakisääteinen velvoite. Esitys sisältäisi täydentävää sääntelyä henkilötietojen käsittelystä yleiseen tietosuoja-asetukseen ja tietosuojalakiin nähden. Ehdotettavassa laissa käytettäisiin yleisen tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdan sallimaa kansallista liikkumavaraa määrittelemällä henkilötietojen käsittelyn oikeusperusta ja yhteisöt ja tarkoitukset, joita varten henkilötietoja voidaan luovuttaa. Henkilötietoja voitaisiin luovuttaa vain, kun se olisi tapauksen mukaan välttämätöntä tai määriteltyjen tietotyyppien osalta tarpeellista viranomaisen tai julkista hallintotehtävää hoitavan yksityisen laissa säädettyjen tehtävien hoitamisen kannalta. Kyseiset tehtävät perustuvat pääosin Euroopan unionin lainsäädäntöön. Näin ollen ehdotettu sääntely täyttäisi yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan edellytyksen siitä, että jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. 

Viestinnän luottamuksellisuus . Perustuslain 10 §:n 2 momentin nojalla kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Pykälän 4 momentin mukaan lailla voidaan säätää välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä, turvallisuustarkastuksessa ja vapaudenmenetyksen aikana sekä tiedon hankkimiseksi sotilaallisesta toiminnasta taikka sellaisesta muusta toiminnasta, joka vakavasti uhkaa kansallista turvallisuutta.  

Kolmannella lakiehdotuksella muutettaisiin kyberturvallisuuslain 28 §:n 4 momentissa säädettyä tiedonluovutusoikeutta koskemaan myös tiedon luovuttamista Finanssivalvonnalle kyberturvallisuuslain 26 §:ssä määriteltyjen valvovien viranomaisten lisäksi. Tiedonluovutusoikeus koskisi myös kyberturvallisuuslain 28 §:n 2 momentissa tarkoitettua välitystietoa, sijaintitietoa sekä tietoa haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä, johon valvovalla viranomaisella on ollut tiedonsaantioikeus siksi, että tieto on ollut välttämätön kyberturvallisuutta koskevan riskienhallintavelvoitteen noudattamisen tai merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvomista varten. Perustuslakivaliokunta on pitänyt kyseistä sääntelyä perustuslain 10 §:n asettamien reunaehtojen kannalta mahdollisena, sillä haitallisen tietokoneohjelman tai käskyn sisältämän viestin voidaan katsoa jäävän kokonaan perustuslain 10 §:n luottamuksellisen viestin salaisuuden soveltamisalan ulkopuolelle ja kyseistä välitystietoihin kohdistuvaa tiedonsaantioikeutta voidaan pitää suhteellisen vähäisenä puuttumisena luottamuksellisen viestin salaisuuden suojaan, eikä se muodostu ongelmalliseksi perusoikeuksien yleisten rajoitusedellytysten mukaan (PeVL 62/2024 vp).  

Ehdotus Finanssivalvonnan rinnastamisesta tässä suhteessa kyberturvallisuuslaissa määriteltyihin valvoviin viranomaisiin on perusteltu, jotta kaikki NIS 2 direktiivin tarkoittamat toimivaltaiset viranomaiset olisivat tältä osin samassa asemassa. Kyberturvallisuuslaissa ei tällä hetkellä säädetä Finanssivalvonnan tehtävistä tai tiedonvaihdosta sen ja kyberturvallisuuslain 26 §:ssä määriteltyjen valvovien viranomaisten välillä, sillä vaikka sen täytäntöön panema NIS 2 direktiivi sisältää Finanssivalvonnan valvomiin toimialoihin kohdistuvaa sääntelyä, EU:n DORA-asetus on toimijoiden velvoitteiden osalta erityissäädös suhteessa NIS 2 -direktiiviin. Finanssivalvonnasta annetun lain mukaisesti Finanssivalvonta kuitenkin toimii NIS 2 direktiivin mukaisena toimivaltaisena viranomaisena samoin kuin DORA-asetuksen mukaisena toimivaltaisena viranomaisena.  

Edellä esitetyn perusteella viranomaisten tiedonvaihtoa ja tiedonluovutusoikeuksia koskevien ehdotuksien arvioidaan täyttävän perustuslain asettamat reunaehdot. 

12.7  Seuraamussääntely

Ensimmäisen lakiehdotuksen 6 luvussa säädettäisiin kyberkestävyysasetuksen edellyttämällä tavalla hallinnollisen seuraamusmaksun määräämisestä toimijalle, joka rikkoo kyberkestävyysasetuksen asettamia velvoitteita. Lisäksi luku sisältäisi kyberturvallisuusasetuksen rikkomisesta määrättävän seuraamusmaksun, miltä osin esitys sisältää kansallista liikkumavaraa. Ehdotetuissa seuraamusmaksuissa olisi kysymys lainvastaisesta teosta määrättävästä sanktioluonteisesta hallinnollisesta seuraamuksesta, joka voisi olla määrällisesti huomattava.  

Perustuslakivaliokunnan lausuntokäytännön mukaan hallinnollisen seuraamuksen yleisistä perusteista on säädettävä perustuslain 2 §:n 3 momentin edellyttämällä tavalla lailla. Lisäksi kysymys on merkittävästä julkisen vallan käytöstä, jota voidaan osoittaa vain viranomaiselle. Laissa on täsmällisesti ja selkeästi säädettävä maksuvelvollisuuden ja maksun suuruuden perusteista sekä maksuvelvollisen oikeusturvasta samoin kuin lain täytäntöönpanon perusteista. Lisäksi valiokunta on katsonut, että vaikka perustuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen täsmällisyysvaatimus ei sellaisenaan kohdistu hallinnollisten seuraamusten sääntelyyn, ei tarkkuuden yleistä vaatimusta kuitenkaan voida tällaisen sääntelyn yhteydessä sivuuttaa (PeVL 43/2013 vp, PeVL 14/2013 vp, PeVL 32/2012 vp ja siinä viitatut lausunnot).  

Perustuslakivaliokunta on vakiintuneesti katsonut hallinnollisten seuraamusmaksujen olevan lainvastaisesta teosta määrättäviä sanktioluonteisia hallinnollisia seuraamuksia. Valiokunta on lausunnoissaan rinnastanut asiallisesti rangaistusluonteisen taloudellisen seuraamuksen rikosoikeudelliseen seuraamukseen (PeVL 17/2012 vp, s. 6, PeVL 9/2012 vp, s. 2). Hallinnollinen seuraamusmaksu on perustuslakivaliokunnan mukaan merkittävää julkisen vallan käyttöä (PeVL 34/2012 vp, s. 3, PeVL 17/2012 vp, s. 6 ja PeVL 9/2012 vp, s. 2). Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Perustuslain 124 §:n viimeisen virkkeen mukaan merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan antaa vain viranomaiselle. Seuraamusmaksun määräämistä koskevassa ehdotuksessa on otettu huomioon kuvattu perustuslakivaliokunnan lausuntokäytäntö. Laissa säädettäisiin täsmällisesti, tarkkarajaisesti ja tyhjentävästi teoista tai laiminlyönneistä, jotka voisivat olla toimijaan kohdistuvan seuraamusmaksun määräämisen perusteena.  

Perustuslakivaliokunta on lausunut yleistä tietosuoja-asetusta koskevassa arvioinnissaan, että oikeusturvaintressi hallinnollisissa seuraamusmaksuissa on voimakkaasti korostunut, kun otetaan huomioon seuraamusmaksun sanktioluonne ja ankaruus. Perustuslakivaliokunta on edellyttänyt, että menettelyn asianmukaisuuden, riippumattomuuden ja puolueettomuuden varmistamiseksi perustuslain 21 §:n edellyttämällä tavalla, seuraamismaksun päättämisen tulee kuulua monijäsenisen elimen toimivaltaan, jotta ehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä (PeVL 14/2018 vp).  

Hallintoviranomaisen toiminnassa on asian käsittelyssä noudatettava perustuslain 21 §:n 2 momentin mukaisia hyvän hallinnon takeita, joita ovat muun muassa käsittelyn julkisuus, oikeus tulla kuulluksi ja saada perusteltu päätös sekä oikeus hakea muutosta. Perustuslain mukaan hyvän hallinnon takeet turvataan lailla. 

Kyberkestävyysasetuksen rikkomisesta johtuvan seuraamusmaksun määräisi ehdotuksen mukaan pääsääntöisesti Liikenne- ja viestintävirasto. Liikenne- ja viestintävirastosta annetun lain 7 a §:n mukaan Liikenne- ja viestintävirastossa on seuraamuskollegio, jonka tehtävänä on määrätä viraston toimivaltaan kuuluva seuraamusmaksu silloin, kun se on suuruudeltaan yli 100 000 euroa. Seuraamuskollegio tekee päätöksensä esittelystä. Laissa on säännökset kollegion perehtyneisyyttä, asiantuntemusta, riippumattomuutta ja puolueettomuutta koskien. Lisäksi ehdotuksen mukaan silloin, kun markkinavalvontaviranomaisena toimii poikkeuksellisesti eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:ssä tarkoitettu markkinavalvontaviranomainen, hallinnollinen seuraamusmaksu määrättäisiin mainitun lain 13 §:ssä säädetyssä järjestyksessä. Tämä tarkoittaisi, että seuraamusmaksun määrääminen ohjautuisi kyseisessä laissa säädetyn euromäärän ylittävien seuraamusmaksujen osalta monijäseniselle tekoälyjärjestelmien valvonnan seuraamusmaksulautakunnalle taikka tietosuojalaissa tarkoitetulle seuraamuskollegiolle. Ehdotus täyttää tältä osin perustuslakivaliokunnan käytännössä asetetut menettelylle asetetut vaatimukset. 

Liikenne- ja viestintävirasto määräisi myös kyberturvallisuussertifiointia koskevan seuraamusmaksun kansallisen kyberturvallisuuden sertifiointiviranomaisen roolissa. Koska seuraamusmaksun enimmäismäärä olisi tällöin 100 000 euroa, ei tällainen seuraamusmaksu kuuluisi Liikenne- ja viestintävirastosta annetun lain 7 a §:n nojalla seuraamuskollegion ratkaisuvaltaan. Voidaan arvioida, että kyseinen seuraamusmaksu ei edellytä sen ohjaamista monijäsenisen toimielimen ratkaistavaksi, sillä sitä ei tule pitää enimmäismäärältään suurena ja huomattavan ankarana ottaen huomioon, että kyse on elinkeinotoiminnasta ja että sertifiointi on lähtökohtaisesti vapaaehtoista.  

Perustuslakivaliokunnan mukaan laissa on täsmällisesti ja selkeästi säädettävä maksuvelvollisuuden ja maksun suuruuden perusteista sekä maksuvelvollisen oikeusturvasta samoin kuin lain täytäntöönpanon perusteista (PeVL 14/2013 vp, s. 2, PeVL 34/2012 vp, s. 3 ja PeVL 17/2012 vp, s. 6). Ehdotuksessa arvioidaan säädettävän näistä seikoista riittävällä tasolla. 

Koska etenkin kyberkestävyysasetuksessa edellytetyt hallinnolliset seuraamusmaksut ovat enimmäismäärältään huomattavia, on erityistä huomiota perustuslakivaliokunnan käytännön mukaisesti kiinnitettävä oikeusturvalle asetettaviin vaatimuksiin (PeVL 14/2018 vp, s. 18). Seuraamusmaksun enimmäismäärä määriteltäisiin 1. lakiehdotuksen 38 §:ssä. Seuraamusmaksun määrä perustuisi 38 §:n mukaan kokonaisarviointiin, jossa olisi huomioitava pykälässä säädetyt seikat. Seuraamusmaksua koskevaan päätökseen haettaisiin muutosta valittamalla oikeudenkäynnistä hallintoasioissa säädetyssä järjestyksessä. Perustuslakivaliokunta on lisäksi käytännössään edellyttänyt, että viranomaisen harkinta sanktion määräämättä jättämisestä tulee olla sidottua harkintaa siten, että seuraamusmaksu on jätettävä määräämättä laissa säädettyjen edellytysten täyttyessä (PeVL 49/2017 vp, s. 5–6, PeVL 39/2017 vp, s. 4). Tämä on huomioitu ehdotuksen 40 §:ssä, jonka tarkoituksena on varmistaa, että seuraamusmaksua ei määrättäisi niissä tilanteissa, joissa se olisi ilmeisen kohtuutonta. Seuraamusmaksua koskevaa päätöstä ei voitaisi ehdotuksen 43 §:n nojalla määrätä noudatettavaksi muutoksenhausta huolimatta. Tämän voidaan arvioida turvaavan oikeusturvajärjestelyiden asianmukaisuutta (PeVL 4/2004 vp, s. 7–8). 

Kyberturvallisuusasetuksen 65 artiklan mukaan jäsenvaltioiden on annettava säännöt seuraamuksista, joita sovelletaan asetuksen kyseisen osaston ja eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien säännösten rikkomiseen, ja toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että ne pannaan täytäntöön. Säädettyjen seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. Muutoin seuraamussääntely jää jäsenvaltion kansalliseen liikkumavaraan, kunhan vilpittömän yhteistyön periaatteesta juontuvat unionioikeuden täytäntöönpanon yleiset vaatimukset täyttyvät (vastaavuus- ja tehokkuusperiaate). Tämä merkitsee muun muassa sitä, että jäsenvaltiot voivat lähtökohtaisesti päättää, toteutetaanko seuraamukset hallinnollisina seuraamuksina vai rikosoikeudellisina rangaistuksina. Ehdotuksessa säädettäisiin hallinnollisesta seuraamusmaksusta, joka voitaisiin määrätä kyberturvallisuussertifiointia koskevista rikkomuksista (1. lakiehdotuksen 37 §).  

Hyväksyttävyys ja viimesijaisuus. Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien tarkoituksena on lisätä kyberturvallisuuden tasoa unionissa. Niiden on tarkoitus vahvistaa, että arvioidut tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit ovat niille määritettyjen turvallisuusvaatimusten mukaisia, jotta voidaan suojella tietojen tai toimintojen tai palvelujen käytettävyyttä, aitoutta, eheyttä ja luottamuksellisuutta niiden koko elinkaaren ajan (kyberturvallisuusasetuksen johdanto-osan kappale 95 ja 46 artikla). Tuotteiden kyberturvallisuusriskit voivat muun muassa vaarantaa henkilötietojen ja viestinnän luottamuksellisuuden. Nämä tavoitteet kytkeytyvät perustuslain 10 §:ssä turvattuun yksityiselämän suojaan. Ne ovat hyväksyttäviä tavoitteita seuraamussääntelylle. Ne niin ikään puoltavat kansallisen liikkumavaran käyttämistä seuraamuksista säätämiseksi. Ehdotetun sääntelyn tarkoituksena on varmistaa, että säännöksiä noudatetaan ja toiminnan harjoittamiselle asetetut velvoitteet täytetään. Sääntely edesauttaisi erityis- ja yleispreventiota. Valvonnan tehokkuuden ja toimivuuden kannalta lievempiä seuraamuksia ei voida pitää riittävinä ottaen huomioon edellä mainitut hyväksyttävät tavoitteet sekä kyberturvallisuuden keskeinen merkitys yhteiskunnassa.  

Rikosoikeudellisen rangaistuksen käyttöön tulee ultima ratio -periaatteen mukaisesti turvautua vasta viimesijaisena keinona. Kansallista seuraamuslajia valittaessa on noudatettava niin kutsuttua vastaavuusperiaatetta. Periaatteen mukaan jäsenvaltioiden on huolehdittava siitä, että seuraamus EU-oikeuden rikkomisesta määritellään perusteiltaan ja menettelyiltään vastaavalla tavalla kuin kansallisen oikeuden samanlainen ja vakavuudeltaan rinnastettava rikkominen.  

Edellä luvussa REF _Ref207810864 \r \h 5.1.3 REF _Ref190276277 \r \h 5.1.2 on kuvattu ne perusteet, joihin ehdotettu kyberturvallisuussertifiointia koskevan rikkomuksen sanktioinnin enimmäismäärä perustuu. Valmistelussa on arvioitu, että hallinnollinen sanktio on vastaavuusperiaatteen mukainen ratkaisu ja rikosoikeudellista sanktiota soveliaampi seuraamus kyberturvallisuusasetuksen rikkomisesta.  

Itsekriminointisuoja . Euroopan ihmisoikeustuomioistuimen käytännön mukaan itsekriminointisuoja ei estä tai rajoita sellaisia lakiin perustuvia hallinnollisia valvontamenettelyjä, joissa henkilön edellytetään antavan tietoja tai selvityksiä esimerkiksi verotusta, elinkeinovalvontaa tai ympäristönsuojelua varten (PeVL 39/2014 vp).  

Syyttömyysolettama . Ehdotus ei olisi syyttömyysolettaman kannalta ongelmallinen, sillä se ei perustu tuottamuksesta riippumattomaan vastuuseen (ks. PeVL 9/2018 vp, s. 4). Seuraamusmaksun määräämisen edellytyksenä olisi kyberkestävyysasetusta tai kyberturvallisuusasetusta rikkovan teon tai laiminlyönnin johtuminen toimijan tahallisesta tai huolimattomasta menettelystä.  

Kaksoisrangaistavuuden kielto. Ehdotettu seuraamusmaksu ei olisi ongelmallinen kaksoisrangaistavuuden kiellon kannalta. Ne bis in dem periaatteen mukaan ketään ei saa saman valtion tuomiovallan nojalla tutkia uudelleen tai rangaista oikeudenkäynnissä rikoksesta, josta hänet on jo lopullisesti vapautettu tai tuomittu syylliseksi kyseisen valtion lakien ja oikeudenkäyntimenettelyn mukaisesti (PeVL 9/2012 vp, s. 3 ja PeVL 14/2013 vp, s. 2). Kiellon soveltamisala ulottuu Euroopan ihmisoikeustuomioistuimen ratkaisukäytännössä myös rangaistusluonteisiin hallinnollisiin seuraamuksiin (PeVL 9/2012 vp, s. 3). Kaksoisrangaistavuuden kielto on voimassa yleisenä oikeusperiaatteena, eikä siitä ole tarve säätää erikseen. Päällekkäisten menettelyjen mahdollisuutta eri säännöstöjen nojalla ei voida kuitenkaan täysin sulkea pois. Unionin tuomioistuimen mukaan menettelyjen ja seuraamusten päällekkäisyyden mahdollisuus on perusoikeuskirjan 50 artiklan olennaisen sisällön mukainen edellyttäen, ettei kansallisessa säännöstössä sallita menettelyjen aloittamista ja seuraamusten määräämistä samoista teoista saman rikkomisen perusteella tai saman tavoitteen saavuttamiseksi, vaan siinä säädetään yksinomaan, että päällekkäiset menettelyt ja seuraamukset ovat mahdollisia eri säännöstöjen nojalla (asia C-117/20 bpost, 43 kohta ja asia C‐ 412/21 Dual Prod SRL, 63 kohta). Lisäksi on oltava selkeitä ja täsmällisiä sääntöjä, joiden perusteella voidaan ennakoida, mitkä toimet ja laiminlyönnit voivat olla menettelyjen ja seuraamusten päällekkäisyyden kohteena (asia C-117/20 bpost, 51 kohta, asia C-412/21 Dual Prod SRL, 67 kohta ja asia C-205/23 Engie Romania, 66 kohta).  

Esityksen 1. lakiehdotuksessa periaate on huomioitu 40 §:n 3 momentissa, jonka mukaan seuraamusmaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio.  

Kyberturvallisuussertifiointia koskevaa seuraamusmaksua ei saisi ehdotuksen mukaan määrätä myöskään sille, jolle on samasta teosta määrätty kyberkestävyysasetuksen rikkomisesta seuraamusmaksu. Kyberturvallisuusasetus ei rajoita kyberkestävyysasetuksen tai esimerkiksi tietosuojasääntelyn soveltamista seuraamuksineen. Kyberkestävyysasetuksen ja kyberturvallisuusasetuksen tavoitteita voidaan pitää siinä määrin samanlaisina, että on perusteltua säätää ehdotetulla tavalla kansallisen liikkumavaran puitteissa siitä, ettei toista seuraamusmaksua voitaisi määrätä saman teon perusteella enää kyberturvallisuussertifiointia koskevasta rikkomuksesta. Ehdotettu säännös on selkeä ja täsmällinen, ja sen perusteella voidaan ennakoida, mitkä toimet ja laiminlyönnit voivat olla menettelyjen ja seuraamusten päällekkäisyyden kohteena.  

Yleisen tietosuoja-asetuksen tavoitteet voivat olla eräissä tilanteissa samansuuntaisia kyberturvallisuusasetuksen kanssa, sillä yleinen tietosuoja-asetus edellyttää rekisterinpitäjiä huolehtimaan henkilötietojen käsittelyn turvallisuudesta (32 artikla) sekä sisältää säännökset sertifiointimekanismeista sekä tietosuojasineteistä ja -merkeistä, joiden tarkoituksena on osoittaa, että rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat kyseistä asetusta käsittelytoimia suorittaessaan, kuten kyberturvallisuusasetuksen johdanto-osan kappaleessa 74 todetaan. Viimeksi mainitun mukaan kyberturvallisuusasetus ei rajoita tietojenkäsittelytoimintojen sertifiointia asetuksen (EU) 2016/679 mukaisesti, ei myöskään silloin, kun nämä toimet on sisällytetty tieto- ja viestintätekniikan tuotteisiin, palveluihin ja prosesseihin. Lähtökohtaisesti kyberturvallisuusasetuksen ja tietosuoja-asetuksen mukaisilla sertifiointimekanismeilla voidaan kuitenkin katsoa olevan omat erilliset tavoitteensa. Tapauskohtaisesti on kuitenkin varmistuttava, että viranomaisten vireille panemilla menettelyillä pyritään toisiaan täydentäviin päämääriin, jotka liittyvät kyseessä olevan saman rangaistavan teon eri ulottuvuuksiin (asia C-117/20 bpost, 50 kohta).  

Viranomaisia koskevat seuraamukset . Tietosuojalakia koskevan hallituksen esityksen mukaan viranomaiselle määrättävä hallinnollinen seuraamusmaksu on yleisen oikeusjärjestyksemme kannalta vieras menettely. Oikeusjärjestys kohdistaa julkishallintoon muita erityisvaatimuksia, jotka osaltaan perustelevat tätä sääntelyratkaisua (HE 14/2018 vp, s. 20). Perustuslakivaliokunta on katsonut, että seuraamusmaksusääntelyn ulottaminen viranomaistoimintaan ei ole valtiosääntöisesti ongelmatonta (ks. PeVL 14/2018 vp ja PeVL 13/2023 vp). Perustuslakivaliokunta on sittemmin arvioidessaan valtioneuvoston kirjelmää ehdotuksesta tekoälyasetukseksi painottanut sen merkitystä, että hallinnollisten sanktioiden osalta tulisi pyrkiä varmistamaan riittävä kansallinen liikkumavara erityisesti sen huomioimiseksi, että Suomessa ei voida määrätä hallinnollisia seuraamusmaksuja viranomaisille, sillä viranomaisille voidaan määrätä ainoastaan rikosoikeudellisia seuraamuksia (ks. PeVL 37/2021 vp, kappale 40). Näin ollen esityksen 40 §:n 4 momentissa säädettäisiin niistä julkisoikeudellisista toimijoista, joille ei voitaisi määrätä seuraamusmaksuja.  

Oikeasuhtaisuus . Perustuslakivaliokunta on pitänyt hallinnollisten sanktioiden oikeasuhtaisuuden kannalta merkittävinä paitsi säännöksiä sanktioiden euromääräisestä suuruudesta myös säännöksiä seuraamuksen suuruuden määräytymisessä huomioon otettavista seikoista ja seuraamusmaksun määräämättä jättämisestä. Valiokunta on myös käytännössään edellyttänyt, että viranomaisen harkinnan sanktion määräämättä jättämisestä tulee olla sidottua harkintaa siten, että seuraamusmaksu on jätettävä määräämättä laissa säädettyjen edellytysten täyttyessä. (PeVL 46/2021 vp, 17 kohta viittauksineen.) Ehdotettu pykälä kyberturvallisuussertifiointia koskevasta seuraamusmaksusta olisi oikeasuhtainen. Kyberkestävyysasetuksen osalta seuraamusmaksujen enimmäismäärät määritellään kyseissä säädöksessä.  

Ehdotus sisältäisi säännökset seuraamusmaksun enimmäismäärästä samoin kuin seuraamusharkinnassa huomioon otettavista seikoista. Kyberturvallisuussertifiointia koskevan seuraamusmaksun ankaruustaso on määritelty suhteessa sanktioitavien tekojen moitittavuuteen ja suojeltavaan oikeushyvään, ja seuraamusmaksu kohdistuu elinkeinonharjoittajiin, käytännössä oikeushenkilöihin. Seuraamusmaksun määrääminen olisi hallintoasian käsittelyä, johon sovelletaan hallintolakia (PeVL 32/2005 vp, s. 3/II). Ehdotetussa 40 §:ssä olisi myös säädetty, milloin seuraamusmaksua ei tulisi määrätä.  

Täsmällisyys. Perustuslakivaliokunta on katsonut, että vaikka perustuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen täsmällisyysvaatimus ei sellaisenaan kohdistu hallinnollisten sanktioiden sääntelyyn, ei tarkkuuden yleistä vaatimusta kuitenkaan voida tällaisen sääntelyn yhteydessä sivuuttaa (PeVL 9/2012 vp, PeVL 74/2002 vp ja PeVL 57/2010 vp). Ehdotetuissa seuraamusmaksuja koskevissa säännöksissä luonnehdittaisiin sanktioitavat teot ja laiminlyönnit, ja säännöksistä kävisi yksiselitteisesti ilmi, mistä lainsäädännön vastaisista teoista tai laiminlyönneistä voi olla seuraamuksena sanktio.  

Hallinnollisia seuraamusmaksuja koskevien ehdotuksien arvioidaan täyttävän perustuslakivaliokunnan lausuntokäytännössä sekä niistä johdetuissa hallinnollisten seuraamusmaksujen sääntelyperiaatteissa hallinnollisille seuraamuksille asetetut edellytykset. 

12.8  Ahvenanmaan asema ja suhde itsehallintoon

Esitys jakautuu osin valtakunnan ja osin maakunnan lainsäädäntövaltaan. Ahvenanmaan itsehallintolain (1144/1991) 18 ja 27 §:ssä säädetään valtakunnan ja Ahvenanmaan maakunnan välisestä toimivallan jaosta. Ahvenanmaan maakuntalakien esittelyssä 27.6.2025 tasavallan presidentille tapahtuneen lainsäädäntövalvonnan yhteydessä on korkeimmalta oikeudelta (13.6.2025 KKO-HD/442/2025) ja Ahvenanmaan valtuuskunnalta (26.5.2025 Nr 22/25) saaduissa lausunnoissa todettu, että kyberturvallisuutta tai vastaavaa käsitettä ei mainita maakunnan ja valtakunnan välisessä lainsäädäntövallan jaossa itsehallintolaissa. Lainsäädäntövaltaa tulisikin arvioida niiden oikeudenalojen näkökulmasta, joita maakuntalainsäädäntö koskee. Ahvenanmaan itsehallintolain 59 b §:ssä säädetään Euroopan unionissa tehtyjen päätösten täytäntöönpanosta. Vastuu Euroopan unionin lainsäädännön täytäntöönpanossa jakautuu itsehallintolaissa säädetyn toimivallanjaon mukaisesti. Maakunta vastaa Euroopan unionin säädösten täytäntöönpanosta siltä osin kuin asia itsehallintolain mukaan kuuluu sen toimivaltaan.  

Ahvenanmaan itsehallintolain 59 b §:n 3 momentin mukaan, jos jäsenvaltio yhteisön oikeuden mukaan voi nimetä vain yhden hallintoviranomaisen sellaisessa tilanteessa, jossa sekä maakunnalla että valtakunnalla olisi toimivaltaa, viranomaisen nimeäminen kuuluu valtakunnalle. Tämän viranomaisen sellainen päätös, joka muutoin kuuluisi maakunnan toimivaltaan, tulee tehdä maakunnan hallituksen esittämän kannan mukaisesti. Aiemmassa arviossa kansallisen kyberturvallisuussertifioinnin nimeämisen on katsottu kuuluneen valtakunnan toimivaltaan sillä perusteella, että kyberturvallisuusasetus olisi edellyttänyt yhden kansallisen viranomaisen nimeämistä (hallituksen esitys eduskunnalle laiksi sähköisen viestinnän palveluista annetun lain muuttamisesta ja eräiksi siihen liittyviksi laeiksi HE 98/2020 vp, s. 320). Koska kyberturvallisuusasetus samoin kuin kyberkestävyysasetus kuitenkin mahdollistavat useammankin kuin yhden viranomaisen nimeämisen, ei valtion ja maakunnan toimivallan jakautumista voida ratkaista itsehallintolain 59 b §:n 3 momentin perusteella. 

Standardisointi kuuluu valtakunnan lainsäädäntövaltaan (itsehallintolain 27 §:n 19 kohta). Tämän johdosta siltä osin kuin säädökset sisältävät standardisointiin liittyviä viranomaistehtäviä, kuuluvat ne valtakunnan lainsäädäntövaltaan. 

Itsehallintolain 18 §:n 22 kohdan maakunnan lainsäädäntövaltaan kuuluvat eräin rajoituksin elinkeinotoimintaa koskevat asiat samoin kuin 25 kohdan mukaan asiat, jotka koskevat teon rangaistavaksi säätämistä ja rangaistuksen määrää, kun on kysymys maakunnan lainsäädäntövaltaan kuuluvasta oikeudenalasta, ja 26 kohdan mukaan uhkasakon asettamista ja tuomitsemista sekä muiden pakkokeinojen käyttöä, kun on kysymys maakunnan lainsäädäntövaltaan kuuluvasta oikeudenalasta. Kyberturvallisuus ja tietoturvallisuus liittyvät siihen lainsäädäntövaltaan, mihin kutakin toimialaa koskeva lainsäädäntövalta kuuluu (vastaavasti HE 57/2024 vp, s. 271). Kyberkestävyysasetuksen ja kyberturvallisuusasetuksen valvontaan ja sertifiointeihin liittyvien viranomaistehtävien ja seuraamusten voidaan siten arvioida lähtökohtaisesti kuuluvan maakunnan toimivaltaan. Kyberkestävyysasetuksen ja kyberturvallisuusasetuksen horisontaaliset soveltamisalat ovat tässä suhteessa kuitenkin ongelmallisia valtakunnan ja maakunnan lainsäädäntötoimivallan alan määrittämisen suhteen.  

Kuluttajansuoja (itsehallintolain 27 §:n 10 kohta) kuuluu valtakunnan lainsäädäntövaltaan. Kuluttajansuojanäkökohdat eivät kuitenkaan ole määrääviä niin kyberkestävyysasetuksessa kuin kyberturvallisuusasetuksessakaan, eikä kumpikaan säädöksistä rajoitu kuluttajansuojan alaan. Kyberkestävyysasetuksessa säädetyillä olennaisilla kyberturvallisuusvaatimuksilla tosin suojataan kuluttajia ja organisaatioita kyberturvallisuusriskeiltä, ja siten niillä myös pyritään osaltaan parantamaan yksittäisten henkilöiden henkilötietojen ja yksityisyyden suojaa (johdanto-osa, kohta 32). Vastaavasti kyberturvallisuusasetuksessa esimerkiksi todetaan, että yrityksillä ja yksittäisillä kuluttajilla olisi oltava tarkat tiedot varmuustasosta, jolla tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien turvallisuus on sertifioitu (johdanto-osan kohta 10). Sertifiointijärjestelmät voivat periaatteessa kohdistua niin yritys- kuin kuluttajatuotteisiinkin.  

Kuluttajaturvallisuusasioiden on puolestaan katsottu kuuluvan maakunnan lainsäädäntövaltaan, kun on ollut kyse kuluttajatuotteiden tuoteturvallisuudesta (HE 195/2022 vp, s. 47). Kuluttajaturvallisuutta koskevassa sääntelyssä on katsottu olevan kyse asioista, jotka itsehallintolain 18 §:n 6 (yleinen järjestys ja turvallisuus), 12 (terveyden- ja sairaanhoito) ja 22 (elinkeinotoiminta) kohtien mukaan kuuluvat Ahvenanmaan maakunnan lainsäädäntövaltaan. Kyberkestävyysasetus on horisontaalisesta soveltamisalastaan ja markkinavalvontasäädöksille uudentyyppisestä sääntelykohteestaan huolimatta kuitenkin luonteeltaan tuoteturvallisuussäädös, joten ainakin sen voidaan tällä perusteella katsoa kuuluvan lähtökohtaisesti maakunnan lainsäädäntövaltaan. Kyberturvallisuusasetuksen mukaiset eurooppalaiset kyberturvallisuussertifikaatit ja vaatimustenmukaisuusilmoitukset tulevat arvion mukaan olemaan tärkeitä myös kyberkestävyysasetuksen vaatimusten täyttämisessä. Kyberturvallisuusasetuksessa on myös samankaltaisia piirteitä kuin markkinavalvontasääntelyssä, joten sen arvioidaan samoin kuuluvan lähtökohtaisesti maakunnan lainsäädäntövaltaan samoilla perusteluilla kuin tuoteturvallisuussääntelyn, sillä kyse voidaan katsoa olevan yleiseen järjestykseen ja turvallisuuteen sekä etenkin elinkeinotoimintaan liittyvistä seikoista.  

Poikkeuksena ovat kuitenkin tilanteet, joissa on kyse valtakunnan lainsäädäntövaltaan kuuluvasta elinkeinotoiminnan sääntelystä. Itsehallintolain 27 §:n 40 kohdan mukaan teletoimintaa koskevissa asioissa lainsäädäntövalta kuuluu valtakunnalle. Sähköisen viestinnän palveluista annetun lain 30 luvun (radiolaitteiden vaatimustenmukaisuus ja markkinavalvonta) osalta radiolaitteita koskevan sääntelyn on teletoimintana katsottu itsehallintolain 27 §:n 40 kohdan nojalla kuuluvan valtakunnan lainsäädäntövaltaan (HE 79/2023 vp, s. 30), vaikka radiolaitteiden markkinoille saattaminen tai asettaminen saataville markkinoilla eivät ole varsinaista teletoimintaa. Tämän johdosta on vastaavasti katsottava, että kyberkestävyysasetuksen ja kyberturvallisuusasetuksen täytäntöönpano Suomessa kuuluu radiolaitteiden samoin kuin muidenkin teletoimintaan liittyvien laitteiden osalta valtakunnan toimivaltaan. 

Myös verkkotunnuksia koskevien asioiden katsotaan kuuluvan valtakunnan lainsäädäntövaltaan (hallituksen esitys eduskunnalle laiksi verkkotunnuslain muuttamisesta HE 151/2005 vp, s. 2). 

12.9  Lainsäädäntövallan siirtäminen viranomaiselle

Perustuslain 80 §:n 2 momentin mukaan viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Valtuutuksen tulee olla soveltamisalaltaan täsmällisesti rajattu. Perustuslakivaliokunnan lausuntokäytännön mukaan erityinen syy säätää viranomaisen määräystenantovallasta on muun muassa tekninen ja vähäisiä yksityiskohtia koskeva sääntely (PeVL 52/2001 vp ja PeVL 46/2001 vp), joka ei sisällä merkittävää harkintavallan käyttöä (PeVL 43/2000 vp).  

Kyberkestävyysasetuksen 33 artiklan 2 kohdan mukaan jäsenvaltiot voivat tarvittaessa perustaa kyberkestävyyden sääntelyn testiympäristöjä. Kyberkestävyysasetuksen toimeenpanoa koskevan lakiehdotuksen 10 §:ssä säädetään Liikenne- ja viestintävirastolle asetettavasta testiympäristön perustamista koskevasta määräyksenantovaltuudesta. Ehdotetuissa määräyksenantovaltuuksissa on kyse teknisestä sääntelystä, joka ei sisällä merkittävää harkintavallan käyttöä. Testiympäristöjen perustaminen olisi viranomaisen harkinnassa, ja niihin osallistuminen olisi talouden toimijalle vapaaehtoista. Sääntelyn asiallinen merkitys ei muutoinkaan edellytä, että asiasta säädettäisiin lailla tai asetuksella.  

Sähköisen viestinnän palveluista annettuun lakiin ehdotettu uusi 21 a luku sisältäisi määräyksenantovaltuuden liittyen tietojen ilmoittamisesta verkkotunnusvälittäjien toimijaluetteloa varten. Ehdotus olisi samansisältöinen kuin kyberturvallisuuslain 41 §:n 4 momentin sisältämä määräyksenantovaltuus, jonka suhdetta perustuslakiin on arvioitu hallituksen esityksessä eduskunnalle kyberturvallisuusdirektiivin (NIS 2 -direktiivi) täytäntöönpanoa koskevaksi lainsäädännöksi (HE 57/2024 vp, s. 266–267) ja joka on säädetty perustuslakivaliokunnan myötävaikutuksella (PeVL 62/2024 vp). Voimassa olevan 21 luvun määräyksenantovaltuuksien alaan tulisivat muiden muutosten johdosta myös verkkotunnusvälittäjien puolesta toimivat tahot, millä ei arvioida olevan vaikutusta määräyksenantovaltuuden valtiosääntöiseen arviointiin. 

Esitetyt valtuutussäännökset ovat tarkkarajaisia, yksityiskohtaisia ja soveltamisalaltaan täsmällisesti rajattuja, ja ne täyttävät perustuslain 80 §:n 2 momentin edellytykset.  

Edellä mainituilla perusteilla ehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.