I den aktuella propositionen är det fråga om godkännande av överenskommelsen mellan parterna i nordatlantiska fördraget om informationssäkerhet samt i de säkerhetsbestämmelser som antagits med stöd av avtalet samt om lagstiftningen om det nationella ikraftsättandet av dem. Samtidigt föreslås det att riksdagen godkänner uppsägningen av det administrativa arrangemanget för skydd av säkerhetsklassificerad information som utbyts mellan Finland och Nordatlantiska fördragsorganisationen samt av den bilaterala överenskommelsen om informationssäkerhet. Förvaltningsutskottet tillstyrker lagförslagen utan ändringar.
Riksdagen godkände nordatlantiska fördraget den 1 mars 2023 (RSv 327/2022 rd — RP 315/2022 rd). Finland blev part i nordatlantiska fördraget (FördrS 17 och 18/2023) och medlem i Nato den 4 april 2023 när Finlands anslutningsinstrument deponerades hos Förenta staternas regering. Avtalet om informationssäkerhet mellan Natos medlemsstater är ett av de sex avtal som Finland har förbundit sig att ansluta sig till inom 12 månader från deponeringen av det nämnda anslutningsinstrumentet.
Avtalet om informationssäkerhet som ingicks 1997 innehåller sådana bestämmelser om ömsesidigt skydd av säkerhetsskyddsklassificerad information som tillämpas mellan parterna i nordatlantiska fördraget. Avtalet tillämpas inte bara på säkerhetsskyddsklassificerad information som utbyts mellan Finland och Nato utan också på sådan säkerhetsskyddsklassificerad information som utbyts mellan medlemsstaterna och som lämnas till stöd för något av Natos program, projekt eller kontrakt. Förvaltningsutskottet anser det vara viktigt att informationssäkerhetsavtalet träder i kraft så snart som möjligt för att Finland fullt ut ska kunna ta emot säkerhetsklassificerad information från Nato och delta i det samarbete mellan medlemsstaterna som inbegriper informationsutbyte.
En central utgångspunkt för informationssäkerhetsavtalet är att avtalsparterna bibehåller säkerhetsskyddsklassificeringen av den information som lämnats ut till dem och gör sitt yttersta för att skydda informationen. Informationen ska inte lämnas ut till tredje parter utan samtycke från den part som informationen härrör från. Utskottet betonar vikten av att skydda och trygga säkerhetsklassificerad information i ett fungerande internationellt samarbete.
Avtalsparterna ska utarbeta och tillämpa säkerhetsstandarder som säkerställer en gemensam skyddsnivå för säkerhetsskyddsklassificerad information. Standarderna i Natos säkerhetsbestämmelser gäller personalsäkerhet, datamaterialsäkerhet, lokalsäkerhet, säkerhet i kommunikations- och informationssystem samt industrisäkerhet. Vid övervakningen av att kraven efterlevs är det väsentligt att eventuella säkerhetsincidenter eller förseelser upptäcks och utan dröjsmål rapporteras till den behöriga säkerhetsmyndigheten.
Finland har redan 1994 genom överenskommelsen om informationssäkerhet med Nato förbundit sig att klassificera och skydda det material som erhålls av Nato inom ramen för programmet för partnerskap för fred samt att göra säkerhetsutredningar om dem som har tillgång till skyddat material. Avtalet har kompletterats med ett administrativt arrangemang som undertecknades 2012. Avsikten är att dessa bilaterala arrangemang ska sägas upp när Finland ansluter sig till Natos multilaterala informationssäkerhetsavtal.
Anslutningen till informationssäkerhetsavtalet medför enligt uppgift inga betydande förändringar jämfört med nuläget, eftersom Finland skyddar och behandlar säkerhetsklassificerad information redan nu i enlighet med minimistandarderna och principerna i Natos säkerhetsbestämmelser. Anslutningen till avtalet gör det dock möjligt att till exempel få uppgifter som hör till Natos högsta säkerhetsskyddsklass (COSMIC TOP SECRET), som i regel inte lämnas ut till andra än medlemsstater. Medlemsstaterna har också ett visst nationellt spelrum när det gäller kraven på hantering av säkerhetsskyddsklassificerad information. Natos säkerhetsbyrå kommer i fortsättningen att regelbundet göra inspektioner i Finland av säkerhetsarrangemang för skydd av säkerhetsskyddsklassificerad information i stället för nuvarande inspektionsbesök. De finska myndigheternas förfaranden för skydd av säkerhetsskyddsklassificerad information har vid Natos regelbundna inspektionsbesök konstaterats fungera.
Av propositionsmotiven framgår att anslutningen till Nato medför tilläggskostnader av engångsnatur och bestående fasta kostnader som gäller informationssäkerhetslösningar och lokalsäkerhet samt arbetet med kontroller och godkännande av system. Kostnaderna för vidareutvecklingen av den informationsbehandlingsmiljö med höga säkerhetskrav som möjliggör behandling av information som gäller Nato bedöms uppgå till cirka 20 miljoner euro 2023—2025. Dessutom kommer de skyddsåtgärder som krävs i de lokaler där informationen behandlas att föranleda nya kostnader till ett belopp på cirka sex miljoner euro. Utskottet anser det vara viktigt att de behov av elektronisk behandling av säkerhetsskyddsklassificerad information som finns inom de olika förvaltningsområdena beaktas när den nationella informationsbehandlingsmiljön för information i höga säkerhetsklasser planeras och skapas. Utskottet anser att elektronisk informationsöverföring är nödvändig för att säkerställa att det operativa samarbetet och beslutsfattandet sker i rätt tid.
Medlemskapet i Nato kommer att öka mängden säkerhetsskyddsklassificerad information från Nato i Finland. Också behovet av behandling av uppgifter hos olika myndigheter, ministerier och företag ökar jämfört med nuläget. Utskottet betonar att man måste se till att myndigheterna har tillräckliga resurser när mängden säkerhetsskyddsklassificerad information och antalet myndigheter som behandlar den ökar. Ökningen av mängden säkerhetsklassificerad information syns särskilt inom Försvarsmakten, utrikesministeriet och försvarsministeriet. Distributionen av handlingar från Nato har dock ökat också till exempel inom polisen. Vid bedömningen av de kostnader som ett Natomedlemskap medför för Gränsbevakningsväsendet ska man ta hänsyn till att Gränsbevakningsväsendet också har uppgifter inom det militära försvaret. Gränsbevakningsväsendet bör ha möjlighet och förmåga att behandla säkerhetsskyddsklassificerad information från Nato eftersom lägesbilden av Finlands gränser kommer att vara en del av Natos lägesbild. Uppdateringen av informationssäkerhetsarrangemangen till den nivå som krävs medför behov av tilläggsresurser inom polisen och Gränsbevakningsväsendet, vars storlek ännu inte kan bedömas närmare.
På säkerhetsskyddsklassificerad information som avses i informationssäkerhetsavtalet tillämpas lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004). Enligt den lagen är utrikesministeriet Finlands nationella säkerhetsmyndighet (National Security Authority, NSA) vid uppfyllandet av internationella förpliktelser som gäller informationssäkerhet. Försvarsministeriet, Huvudstaben och Skyddspolisen är den nationella säkerhetsmyndighetens sakkunniga i ärenden som gäller personalsäkerhet, företagssäkerhet och lokalsäkerhet samt Transport- och kommunikationsverket i ärenden som gäller informationssäkerhet i fråga om informationssystem och datakommunikation. Skyddspolisens säkerhetsutredningar av personer och företag ligger i huvudsak till grund för de intyg över säkerhetsutredningar av personer och företag som beviljas av den nationella säkerhetsmyndigheten och som har ett centralt samband med skyddet av Natos säkerhetsskyddsklassificerade information. Stödet för planeringen av den nationella systemhelheten samt en effektiv bedömnings- och godkännandeprocess förutsätter att verket får ytterligare resurser vid Transport- och kommunikationsverket. Utskottet påpekar också till denna del att det är viktigt att säkerställa tillräckliga resurser för myndigheterna.
Utskottet konstaterar att informationssäkerhetsavtalet förbättrar finska företags möjligheter att delta i upphandlingar och anbudsförfaranden där det krävs att man behandlar Natos säkerhetsskyddsklassificerade information. Sådana projekt finns till exempel inom försvarsindustrin.
Informationssäkerhetsavtalet medför inga nödvändiga ändringsbehov i lagen om internationella förpliktelser som gäller informationssäkerhet eller i annan nationell lagstiftning. När det gäller bedömningen av den gällande lagstiftningen hänvisar utskottet till propositionsmotiven, där bestämmelserna i informationssäkerhetsavtalet behandlas bland annat med avseende på lagen om offentlighet i myndigheternas verksamhet (621/1999) och lagstiftningen om behandling av personuppgifter.