LIIKENNE- JA VIESTINTÄVALIOKUNNAN MIETINTÖ 9/2011 vp

LiVM 9/2011 vp - HE 45/2011 vp

Tarkistettu versio 2.0

Hallituksen esitys eduskunnalle laeiksi tietoturvallisuuden arviointilaitoksista, viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista sekä viestintähallinnosta annetun lain 2 §:n muuttamisesta

JOHDANTO

Vireilletulo

Eduskunta on 13 päivänä lokakuuta 2011 lähettänyt liikenne- ja viestintävaliokuntaan valmistelevasti käsiteltäväksi hallituksen esityksen eduskunnalle laeiksi tietoturvallisuuden arviointilaitoksista, viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista sekä viestintähallinnosta annetun lain 2 §:n muuttamisesta (HE 45/2011 vp).

Lausunto

Eduskunnan päätöksen mukaisesti hallintovaliokunta on antanut asiasta lausunnon (HaVL 20/2011 vp), joka on otettu tämän mietinnön liitteeksi.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

neuvotteleva virkamies Timo Kievari, liikenne- ja viestintäministeriö

valtion IT-johtaja Mikael Kiviniemi, valtiovarainministeriö

lainsäädäntöneuvos Anna-Riitta Wallin, oikeusministeriö

johtaja Timo Lehtimäki, Viestintävirasto

Lisäksi kirjallisen lausunnon ovat antaneet

  • Tietosuojavaltuutetun toimisto
  • Pääesikunta
  • Huoltovarmuuskeskus
  • Inspecta Oy
  • KPMG.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi laki tietoturvallisuuden arviointilaitoksista sekä laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista. Uudistuksesta johtuvat tehtävät annettaisiin Viestintävirastolle, minkä vuoksi viestintähallinnosta annettua lakia olisi muutettava.

Esityksellä pyritään edistämään yritysturvallisuutta luomalla valvonta yritysten tietoturvallisuutta arvioiville laitoksille. Arviointilaitosten hyväksyntä ja valvonta kuuluisi Viestintävirastolle.

Arviointilaitosten hyväksyntä antaisi yrityksille mahdollisuuden osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan arvioinnin avulla. Esityksen tarkoituksena on osaltaan yksinkertaistaa ja tehostaa viranomaisten menettelyjä myöhemmin toteutettavan yritysten ja henkilöiden taustojen selvittämistä koskevan lainsäädännön täytäntöönpanossa.

Viestintävirastolle annettaisiin tehtäväksi hoitaa myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arviointitehtäviä. Lakiehdotuksen tarkoituksena on kehittää valtionhallinnon tietoturvallisuutta.

Esitys liittyy valtion vuoden 2012 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä.

Ehdotetut lait on tarkoitettu tulemaan voimaan viimeistään 1 päivänä kesäkuuta 2012.

VALIOKUNNAN KANNANOTOT

Yleisperustelut

Hallituksen esityksen perusteluista ilmenevistä syistä ja saamansa selvityksen perusteella valiokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Valiokunta puoltaa lakiehdotusten hyväksymistä seuraavin huomautuksin ja muutosehdotuksin.

Esityksessä ehdotetaan säädettäväksi laki tietoturvallisuuden arviointilaitoksista ja laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista. Lisäksi Viestintähallinnosta annettuun lakiin (625/2001) tehtäisiin Viestintävirastolle ehdotetuista tehtävistä johtuvat tarkistukset.

Liikenne- ja viestintävaliokunta pitää ehdotuksia tarpeellisina. Tietoyhteiskunnassa sekä yritysten että viranomaisten menestyksellinen toiminta vaatii tietoturvan korkeaa tasoa. Esityksen perusteella sekä yrityksillä että julkishallinnon toimijoilla on mahdollisuus kehittää ja parantaa tietoturvallisuutensa tasoa hankkimalla riippumaton laissa määriteltyjen arviointiperusteiden mukainen arviointi.

Valiokunta katsoo, että esitys parantaa suomalaisten yritysten kilpailukykyä ja mahdollisuuksia menestyä kansainvälisissä tarjouskilpailuissa. Esitys luo viranomaisille mahdollisuuksia osoittaa oman tietoturvallisuutensa taso esimerkiksi viranomaisten välistä kansainvälistä yhteistyötä varten. Luotettavien arviointimenettelyjen luominen on omiaan lisäämään tietoturvan tasoa sekä yrityksissä että julkishallinnossa.

Liikenne- ja viestintävaliokunta yhtyy hallintovaliokunnan lausunnossa (HaVL 20/2011 vp) esitettyyn näkemykseen siitä, että ehdotetussa sääntelyssä on otettu asianmukaisesti huomioon myös korkeimpien tietoturvallisuusvaatimusten piiriin kuuluvien viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tarpeet.

Liikenne- ja viestintävaliokunta pitää esitystä asianmukaisena ja kannatettavana. Valiokunta ehdottaa kuitenkin esitykseen eräitä täsmentäviä muutoksia.

Yksityiskohtaiset perustelut

1. Lakiehdotus

9 §. Arviointilaitoksen tehtävät.

  Valiokunta kiinnittää huomiota siihen, että 1. lakiehdotuksen tarkoituksena on, että arviointi voidaan tehdä myös osittaisena siten, että arviointi koskee esim. ainoastaan jotain tiettyä toimintaa yrityksessä. Selvyyden vuoksi valiokunta ehdottaa, että esityksen 9 §:ään lisätään uusi 2 momentti, jossa tuodaan esille nimenomaisesti, että arviointi voidaan tehdä myös osittaisena, mikäli arvioinnin kohde niin haluaa. Ehdotuksen myötä esityksen 2 momentti siirtyy 3 momentiksi.

Liikenne- ja viestintävaliokunta pitää tärkeänä, että ehdotetun lain perusteella tehdyn arvioinnin tosiasiallinen merkitys tietoturvallisuuden kannalta on riittävän hyvin arvioitavissa myös ulkopuolisten ja erityisesti niiden tahojen toimesta, joille yritys esittää todistuksen tietoturvallisuutensa arvioinnista. Tästä syystä valiokunta ehdottaa esityksen 9 §:n 3 momenttia täydennettäväksi siten, että arvioinnista yritykselle annettavassa todistuksessa tulee yksilöidä tietoturvallisuuden arviointiperusteiden lisäksi myöskin tehdyn arvioinnin laajuus. Tämä on tärkeää sen varmistamiseksi, että todistus antaa oikean kuvan arvioinnista. Lisäksi mainittuun momenttiin ehdotetaan tehtäväksi teknisluonteinen korjaus, jossa tietoturvallisuustason arviointiperustetta koskeva maininta muutetaan tietoturvallisuuden arviointiperustetta koskevaksi maininnaksi.

10 §. Tietoturvallisuuden arviointiperusteet.

Yrityksen omassa harkinnassa on, haluaako se käyttää esityksen mukaisesti hyväksytyn arviointilaitoksen tarjoamia tietoturvallisuuden arviointipalveluja. Yritys myös itse maksaa arvioinnista aiheutuvat kustannukset. Tästä syystä on selvää, että yrityksen tai muun ulkopuolista luotettavaa arviointia haluavan tulee voida itse valita, mitä laissa säädettäviä tietoturvallisuuden arviointiperusteita sen arvioinnissa käytetään. Valiokunta katsoo, että tämä valinnanmahdollisuus on välttämätön yritysten hyvinkin erilaisten tarpeiden ja arviointitilanteiden moninaisuuden vuoksi.

Esityksessä ehdotetaan useita arviointiperusteiden valinnan asianmukaisuutta turvaavia säännöksiä. Esityksen mukaan hyväksytylle arviointilaitokselle säädettäisiin 9 §:n 1 momentissa velvollisuus noudattaa toiminnassaan huolellisuutta, minkä lisäksi arviointilaitoksen olisi ehdotetussa laissa tarkoitettuja tehtäviä hoitaessaan noudatettava tiettyjä viranomaisen toimintaa säännönmukaisesti koskevia säännöksiä, kuten mm. hallintolain (434/2003) palveluperiaatetta ja neuvontavelvoitetta. Hyväksytyn arviointilaitoksen on myös edistettävä toimintansa avoimuutta ja tässä tarkoituksessa tarvittaessa laadittava myös oppaita, tilastoja ja muita julkaisuja sekä tietoaineistoja palveluistaan. Vaikka hyväksyttyjen arviointilaitosten palveluja käyttävissä yrityksissä onkin säännönmukaisesti asiantuntemusta tietoturvallisuudesta, edellä mainitut lakiesityksen mukaiset vaatimukset ja menettelyt osaltaan varmistavat sen, että yritykset valitsevat niiden arvioinnissa käytettävät tietoturvallisuuden arviointiperusteet riittävän ja asianmukaisen tiedon ja osaamisen perusteella. Valiokunta pitää tärkeänä, että myös arviointilaitoksia valvova viranomainen huolehtii osaltaan siitä, että yritysten tietoturvallisuuden arviointiperusteita koskevasta valinnanvapaudesta ei aiheudu käytännössäkään ongelmia arviointitoiminnan ja sen luotettavuuden kannalta.

Selvyyden vuoksi valiokunta ehdottaa, että esityksen 10 §:n johdantolausetta muutetaan siten, että säännöksestä ilmenee selkeästi, että arvioinnin kohde valitsee itse arvioinnissa käytettävät arviointiperusteet.

Päätösehdotus

Edellä esitetyn perusteella liikenne- ja viestintävaliokunta ehdottaa,

että 2. ja 3. lakiehdotus hyväksytään muuttamattomina ja

että 1. lakiehdotus hyväksytään muutoin hallituksen esityksen mukaisena paitsi 9 ja 10 § muutettuina (Valiokunnan muutosehdotukset).

Valiokunnan muutosehdotukset
9 §

Arviointilaitoksen tehtävät

(1 mom. kuten HE)

Arviointi voidaan tehdä myös osittaisena. (Uusi  2 mom.)

Hyväksytty tietoturvallisuuden arviointilaitos antaa selvitysten ja tarkastuksen perusteella todistuksen, jos arvioitavan kohteen toimitilat ja toiminta on selvityksen perustana olleiden arviointiperusteiden mukainen. Todistuksessa tulee yksilöidä arvioinnissa käytetyt tietoturvallisuuden arviointiperusteet ja arvioinnin laajuus. (HE:n 2 mom.)

10 §

Tietoturvallisuuden arviointiperusteet

Tietoturvallisuuden arviointiperusteina voidaan tässä laissa tarkoitetussa arvioinnissa käyttää arvioinnin kohteen valinnan mukaan:

1) lailla tai asetuksella säädettyjä viranomaisten toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön tietoturvallisuutta koskevia ohjeita;

2) kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen antamia kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevia ohjeita;

3) Euroopan unionin tai muun kansainvälisen toimielimen antamia tietoturvallisuutta koskevia säännöksiä tai ohjeita;

4) julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita;

5) vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia.

_______________

Helsingissä 18 päivänä marraskuuta 2011

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Arto Satonen /kok
  • vpj. Osmo Kokko /ps
  • jäs. Mikko Alatalo /kesk
  • Thomas Blomqvist /r
  • Ari Jalonen /ps
  • Merja Kuusisto /sd
  • Suna Kymäläinen /sd
  • Johanna Ojala-Niemelä /sd
  • Raimo Piirainen /sd
  • Eila Tiainen /vas
  • Ari Torniainen /kesk
  • Oras Tynkkynen /vihr
  • Mirja Vehkaperä /kesk

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Juha Perttula