Viimeksi julkaistu 1.2.2023 16.12

Valiokunnan lausunto LiVL 39/2022 vp U 83/2022 vp Liikenne- ja viestintävaliokunta Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi horisontaalisista kyberturvallisuusvaatimuksista tuotteille, joissa on digitaalinen elementti (kyberkestävyyssäädös)

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi horisontaalisista kyberturvallisuusvaatimuksista tuotteille, joissa on digitaalinen elementti (kyberkestävyyssäädös) (U 83/2022 vp): Asia on saapunut liikenne- ja viestintävaliokuntaan lausunnon antamista varten. Lausunto on annettava suurelle valiokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

  • erityisasiantuntija Outi Slant 
    liikenne- ja viestintäministeriö
  • erityisasiantuntija Veikko Vauhkonen 
    liikenne- ja viestintäministeriö
  • erityisasiantuntija Saana Seppänen 
    Kyberturvallisuuskeskus
  • toimitusjohtaja Peter Sund 
    Finnish Information Security Cluster - Kyberala ry
  • lakiasioiden päällikkö Marko Lahtinen 
    Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry
  • toiminnanjohtaja Marko Forsblom 
    Älykkään liikenteen verkosto - ITS Finland ry

VALTIONEUVOSTON KIRJELMÄ

Ehdotus

Euroopan komissio antoi 15.9.2022 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi horisontaalisista kyberturvallisuusvaatimuksista tuotteille, joissa on digitaalinen elementti ja asetuksen (EU) 2019/1020 muuttamisesta (KOM (2022) 454 lopullinen) eli kyberkestävyyssäädökseksi.  

Ehdotuksessa asetetaan yleiset turvallisuusvaatimukset tuotteille, joissa on digitaalinen elementti. Ehdotus sisältää velvoitteet valmistajalle, maahantuojalle ja jakelijalle. Lisäksi ehdotus sisältää säännökset vaatimustenmukaisuuden arvioinnista, vaatimustenmukaisuuden arviointilaitoksista, markkinavalvonnasta ja täytäntöönpanosta sekä seuraamusmaksuista. 

Valtioneuvoston kanta

Valtioneuvosto kannattaa asetusehdotuksen tavoitetta saattaa markkinoille kyberympäristössä turvallisempia tuotteita, joiden turvallisuusominaisuuksilta vaaditaan hyvätasoisuutta sekä turvallisuusominaisuudet ja -vaatimukset ovat läpinäkyvämpiä niitä käyttäville kuluttajille ja yrityksille. Ehdotuksella on mahdollisuus horisontaalisena säädöksenä konkreettisesti parantaa kaikkien yhteiskunnan toimijoiden tietoturvaa. Valtioneuvosto pitää verkkoon kytkettyjen laitteiden ja ohjelmistojen turvallisuuden parantamista merkittävänä kehityskohteena kyberturvallisuussektorilla. Valtioneuvosto pitää kannatettavana, että vastuuta tuotteiden turvallisuudesta kyberympäristössä kohdistetaan nykyistä enemmän käyttäjältä valmistajalle riippumatta siitä, missä sisämarkkinoille asetettavat tuotteet valmistetaan. Verkkoon kytkettyjen laitteiden ja ohjelmistojen määrän kasvaessa ja niiden merkityksen korostuessa kasvaa myös tarve varmistua niiden turvallisuudesta ja mahdollisiin haavoittuvuuksiin reagoimisesta tuotteen elinkaaren aikana. 

Valtioneuvosto kannattaa asetusehdotuksen laajaa soveltamisalaa, jotta digitaalisen elementin sisältävien tuotteiden turvallisuusvaatimukset soveltuisivat mahdollisimman laajasti markkinoilla. Pilvipalveluita hyödyntävien tuotteiden osalta tulisi pyrkiä varmistumaan siitä, että ehdotus muodostaa selkeät rajat vastuiden ja velvoitteiden osalta ja on selkeä suhteessa muihin pilvipalveluihin liittyviin säädöksiin kuitenkaan heikentämättä ehdotuksen tavoitteita tai rajaamatta pilviteknologiaa hyödyntäviä tuotteita soveltamisalan ulkopuolelle. Valtioneuvosto katsoo, että neuvottelujen kuluessa asetuksen soveltamisalasta tulee pyrkiä saamaan mahdollisimman selkeä. Valtioneuvosto pitää tärkeänä, että nykyinen ja valmisteilla oleva EU-lainsäädäntö muodostaisi selkeän ja eheän kokonaisuuden siten, että eri toimijoille asetettavat vaatimukset ovat selkeitä ja oikeasuhtaisia, eivätkä muodosta ristiriitaa sovellettavien EU-oikeudesta johtuvien oikeudellisten vaatimusten kanssa. Päällekkäistä sääntelyä on vältettävä ja sääntelystä aiheutuvan taakan vähentämiseksi säädösten keskinäisten suhteiden on oltava selviä. Myös suhdetta esimerkiksi datasäädösehdotukseen, yleisen tietosuoja-asetuksen, NIS2-direktiiviin sekä CER-direktiiviin (Critical Entities Resilience Directive) sekä juuri annettuihin komission ehdotuksiin tuotevastuusta (COM (2022) 495 final) sekä tekoälyyn liittyvästä vastuusta (COM (2022) 496 final) on tarpeen arvioida neuvottelujen kuluessa tarkemmin siten, että säädökset muodostaisivat soveltamiseltaan mahdollisimman eheän kokonaisuuden. 

Valtioneuvosto pitää riskiperusteista lähestymistapaa vaatimuksien ja velvoitteiden asettamisessa lähtökohtaisesti kannatettavana. Valtioneuvosto katsoo, että yleisesti digitaalisen elementin sisältävistä tuotteista on hyvä riskiperusteisesti erottaa kriittisemmät tuotteet, joiden turvallisuusvaatimusten täyttymistä valvottaisiin vahvemmin ulkopuolisen ilmoitetun laitoksen toimesta. Valtioneuvosto kuitenkin pitää tärkeänä, että asetuksessa huomioidaan tuotteiden pääasiallinen käyttötarkoitus.  

Asetusehdotuksen liitteessä kuvatut vaatimukset ovat lähtökohtaisesti sellaisia, joiden huomioimista digitaalisen elementin sisältävissä tuotteissa voidaan pitää valtioneuvoston näkemyksen mukaan tärkeänä. Vaatimuksien kattavuutta ja asianmukaisuutta on arvioitava neuvotteluiden edetessä. Valtioneuvosto pitää kannatettavana myös ehdotettua vaatimusta hyväksikäytettyjen haavoittuvuuksien ilmoittamisesta, jotta tarvittaviin suojaaviin toimenpiteisiin voidaan ryhtyä tuotteen käyttäjien parissa ja tieto näiden toimien tarpeesta saatetaan tehokkaasti tarvittaville toimijoille. Valtioneuvosto pitää tarpeellisena vaatimuksia maahantuojille ja jakelijoille, joiden merkitys korostuu erityisesti silloin, kun tuotteita tuodaan EU:n ulkopuolelta sisämarkkinoille tai tuotteen valmistajan toiminta päättyy tuotteen elinkaaren aikana. Valtioneuvosto pitää kannatettavana lähtökohtaa, jossa vaatimukset asetetaan ensisijaisesti valmistajalle ja toissijaisesti jakelijalle tai maahantuojalle. Lisäksi jatkovalmistelussa on tarpeen arvioida etämyynnin sekä verkkomarkkinapaikkojen erityisvelvoitteita sekä ehdotuksen suhdetta kolmansissa valtioissa sijaitseviin valmistajiin. 

Valtioneuvosto pitää vaatimustenmukaisuuden arviointia olennaisena osana turvallisuusvaatimusten täyttymisen varmistamista. Valtioneuvosto kuitenkin katsoo, että vaatimustenmukaisuuden arvioinnissa tulee kiinnittää erityistä huomiota siihen, ettei eri säädösten mukaisista prosesseista, kuten sertifioinneista, synny keskenään päällekkäisiä ja olemassa olevia järjestelmiä hyödynnettäisiin mahdollisimman pitkälle. Valtioneuvosto katsoo, että vaatimustenmukaisuuden täyttymisen arvioinnissa on tarpeen hyödyntää mahdollisimman pitkälle hyväksi havaittuja, jo olemassa olevia menettelyjä ja asettaa uusia yhteisiä vaatimuksia vain silloin, kun niitä ei ole olemassa. Vaatimustenmukaisuuden arviointiprosessissa tulee pyrkiä läpinäkyvyyteen ja ennustettavuuteen, eikä siitä saa aiheutua tarpeetonta haittaa uusien teknologioiden markkinoille saattamiselle ja EU-alueen kilpailukyvylle. 

Vaatimustenmukaisuuden arviointivelvoitteiden osalta valtioneuvosto pitää tärkeänä, että ulkopuolista arviointia vaadittaisiin riskiperusteisesti vain sellaisilta tuotteilta, joilla on erityistä merkitystä kyberturvallisuuden kannalta ja lähtökohtaisesti muiden tuotteiden osalta riittäisi valmistajan itsearviointi. Ulkopuolisen arvioinnin tarpeen merkittävällä lisäämisellä voidaan pahimmillaan merkittävästi hidastaa tuotteiden markkinoille pääsyä, mikäli asiantuntevia arviointilaitoksia ei ole riittävästi tarjolla. Valtioneuvosto katsoo, että vaatimustenmukaisuuden arviointi tulee toteuttaa tavalla, jolla on tosiasiallista vaikutusta ja arviointia tuotteen turvallisuusominaisuuksien kannalta. Valtioneuvosto pitää myös kyberturvallisuutta koskevien vaatimusten osalta ehdotusta CE-merkinnästä yhtenä hyvänä tapana ilmaista vaatimustenmukaisuuden täyttyminen. Olennaista on, että tuotteiden kyberturvallisuuden vaatimustenmukaisuus kävisi tuotteesta selkeästi ilmi.  

Ilmoitettujen laitosten vaatimusten osalta valtioneuvosto pitää tärkeänä, että laitosten henkilöstön osaaminen ja tekniset valmiudet ovat korkealla tasolla, jotta arvioinnilla saatavat hyödyt voidaan saavuttaa. Valtioneuvosto pitää arviointitoiminnan luottamuksellisuutta tärkeänä niin liiketoiminnan kuin yleisestikin turvallisuuden kannalta. Valtioneuvosto pitää asianmukaisena, että ilmoitetut laitokset vastaisivat myös mahdollisesti käyttämiensä alihankkijoiden toiminnasta. Valtioneuvosto katsoo tärkeäksi, että arviointi toteutetaan tehokkaasti ja suhteellisuusperiaatetta noudattaen. Valtioneuvosto pitää tärkeänä kiinnittää neuvotteluissa huomioita siihen, että arvioinnista aiheutuvat kustannukset eivät muodostuisi korkeiksi tavalla, joka muodostaisi merkittäviä haasteita uusien tuotteiden tuomiseksi markkinoille erityisesti pienten ja keskisuurten yrityksien osalta. Valtioneuvosto pitää tärkeänä, että esityksen valmistelussa ja täytäntöönpanossa kiinnitetään huomiota pienille ja keskisuurille yrityksille aiheutuvaan sääntelytaakkaan ja kustannuksiin sekä neuvontaan vaatimuksien soveltamisessa. Kansallisesti on tarve kiinnittää huomiota arviointilaitosten riittävään määrään siten, että arviointimenettely ei tarpeettomasti viivästytä tuotteiden markkinoille saattamista. 

Markkinavalvonnan osalta valtioneuvosto kannattaa markkinavalvonta-asetuksen (EU) 2019/1020 soveltamista huomioiden, että jäsenvaltioille jätetään tarpeeksi liikkumavaraa kansallisten toimivaltaisten viranomaisten nimeämisessä ja markkinavalvonnan järjestämisessä käytännössä. Valtioneuvosto pitää tärkeänä, että valvontatoimenpiteisiin liittyy riittävät oikeussuojakeinot ja mahdollisista vaatimustenvastaisuuksista turvallisuuspuutteista aiheutuvat sanktiot ovat yhdenmukaisia ja oikeasuhtaisia unionin alueella. On myös tärkeää, että tietosuojaviranomaisille ehdotettuja tehtäviä ja toimivaltuuksia arvioidaan neuvottelujen aikana tarkemmin suhteessa niihin tehtäviin ja toimivaltuuksiin, joista säädetään EU:n yleisessä tietosuoja-asetuksessa. 

Komissiolle ehdotetun delegoidun säädösvallan osalta valtioneuvosto pitää tarpeellisena, että neuvottelujen edetessä arvioidaan delegoidun säädösvallan tarvetta ja laajuutta. Valtioneuvosto pitää välttämättömänä, että komissiolle delegoitavat toimivaltuudet ovat selkeitä, tarkkarajaisia, oikeasuhtaisia, tarkoituksenmukaisia ja hyvin perusteltuja. Ehdotuksella delegoidusta lainsäädäntövallasta olisi merkitystä erityisesti ulkopuoliseen arviointiin liittyvien vaatimusten suhteen, minkä vuoksi on tarpeellista kiinnittää huomiota siihen, kuinka delegoiduilla säädöksillä voitaisiin laajentaa ulkopuolista arviointia vaativien tuotteiden alaa.  

Valtioneuvosto pitää tarpeellisena asetuksessa ehdotettuja hallinnollisia sanktioita ottaen huomioon taloudellisen hyödyn, joka vilpillisestä tai vaatimusten vastaisesta toiminnasta voisi valmistajalle, jakelijalle tai maahantuojalle syntyä. Valtioneuvosto pitää tarpeellisena, että neuvotteluissa arvioidaan sanktioiden oikeasuhtaisuutta ja kohtuullisuutta, sekä jätetään jäsenvaltioille riittävä liikkumavara säätää sanktioiden kansallisesta täytäntöönpanosta kunkin jäsenvaltion oikeusjärjestelmän edellyttämällä tavalla.  

VALIOKUNNAN PERUSTELUT

(1) Valiokunta pitää hyvänä ehdotuksen tavoitetta luoda kyberturvallisuutta koskevat vähimmäisvaatimukset uusille tuotteille ja ohjelmistoille. Valiokunta katsoo, että ehdotus on omiaan parantamaan Euroopan unionin tietoturvallisuuden tasoa, lisäämään tietoisuutta tietoturvallisuuden merkityksestä ja edistämään eurooppalaisten digitaalisten ratkaisujen vientimahdollisuuksia. 

(2) Ehdotus siirtää vastuuta tuotteiden ja ohjelmistojen kyberturvallisuudesta loppukäyttäjiltä valmistajille ja jälleenmyyjille, mitä on laajasti kannatettu asiantuntijakuulemisessa. Valiokunta pitää kuitenkin tärkeänä, että sääntelystä ei aiheudu kohtuutonta taloudellista tai hallinnollista taakkaa alan toimijoille. 

(3) Asiantuntijakuulemisessa on painotettu arviointilaitostoiminnan tehokkaan toimivuuden merkitystä sekä yksityisen sektorin osaamisen hyödyntämisen ja yhteistyön tarvetta tässä työssä. Valiokunta pitää erittäin tärkeänä, että arviointimenettelystä ei saa muodostua arvioinnin liian hitaista aikatauluista tai korkeista kustannuksista johtuvaa kilpailukykyä heikentävää tekijää digitaalisten ratkaisujen tuottamiselle tai kehittämiselle tai esimerkiksi uusien ominaisuuksien sujuvalle lisäämiselle johonkin tuotteeseen. Valiokunta pitää valtioneuvoston tavoin tärkeänä, että sääntelyn vaatimukset ja arviointimenettely ovat riskiperusteisia ja että ulkopuolisen ilmoitetun laitoksen suorittamaa arviointia edellytetään vain kriittisimmiltä tuotteilta. 

(4) Asiantuntijakuulemisessa on painotettu sääntelyn ja sen soveltamisalan selkeyden tarvetta ja sitä, että jatkovalmistelussa tulee huolehtia, ettei ehdotuksen myötä luoda päällekkäistä sääntelyä. Lisäksi on katsottu, että komissiolle annettavan delegoidun sääntelyvallan tulee olla tarkkarajaista, oikeasuhtaista ja tarpeellista. Valiokunta yhtyy näihin näkemyksiin. 

(5) Valiokunta painottaa, että ehdotuksen myötä tietoturvallisuusalan osaamisen kysyntä tulee todennäköisesti kasvamaan, mikä on syytä huomioida kansallisen koulutuksen kehittämisessä. Samoin on tärkeää ottaa huomioon uudenlaisten valvonta-, hyväksyntä- yms. käytäntöjen luomisen vaikutukset viranomaisten resurssin tarpeisiin.  

VALIOKUNNAN LAUSUNTO

Liikenne- ja viestintävaliokunta ilmoittaa,

että se yhtyy asiassa valtioneuvoston kantaan edellä esitetyin painotuksin. 
Helsingissä 24.11.2022 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Suna Kymäläinen sd 
 varapuheenjohtaja 
Ari Torniainen kesk 
 jäsen 
Heikki Autto kok 
 jäsen 
Sandra Bergqvist 
 jäsen 
Seppo Eskelinen sd 
 jäsen 
Janne Heikkinen kok 
 jäsen 
Petri Huru ps 
 jäsen 
Juho Kautto vas 
 jäsen 
Jouni Kotiaho ps 
 jäsen 
Johan Kvarnström sd 
 jäsen 
Joonas Könttä kesk 
 jäsen 
Mirka Soinikoski vihr 
 jäsen 
Paula Werning sd 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Juha Perttula