Viimeksi julkaistu 9.5.2021 21.50

Valiokunnan lausunto TaVL 26/2020 vp U 58/2020 vp Talousvaliokunta Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksista Euroopan parlamentin ja neuvoston asetukseksi digitaalisesta häiriönsietokyvystä rahoitusmarkkinoilla ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 muuttamisesta ja direktiiviksi direktiivien 2006/43/EY, 2009/65/EY, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 ja EU/2016/2341 muuttamisesta (Rahoitusmarkkinoiden digitaalinen häiriönsietokyky)

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksista Euroopan parlamentin ja neuvoston asetukseksi digitaalisesta häiriönsietokyvystä rahoitusmarkkinoilla ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 muuttamisesta ja direktiiviksi direktiivien 2006/43/EY, 2009/65/EY, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 ja EU/2016/2341 muuttamisesta (Rahoitusmarkkinoiden digitaalinen häiriönsietokyky) (U 58/2020 vp): Asia on saapunut talousvaliokuntaan lausunnon antamista varten. Lausunto on annettava suurelle valiokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

  • hallitussihteeri Jonna Kuparinen 
    valtiovarainministeriö
  • johtava riskiasiantuntija Pasi Korhonen 
    Finanssivalvonta (etäkuuleminen)
  • toimistopäällikkö Jussi Terho 
    Suomen Pankki (etäkuuleminen)
  • erityisasiantuntija, lakimies Sanna Sahlman 
    Liikenne- ja viestintävirasto (etäkuuleminen)
  • varautumispäällikkö Tehi Palletvuori 
    Huoltovarmuuskeskus (etäkuuleminen)
  • johtava asiantuntija Mika Linna 
    Finanssiala ry (etäkuuleminen)
  • hallituksen puheenjohtaja Kirsi Suopelto 
    Fintech Finland ry (etäkuuleminen)
  • professori Martti Lehto (etäkuuleminen) 

VALTIONEUVOSTON KIRJELMÄ

Ehdotus

Komissio antoi 24.9.2020 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi digitaalisesta häiriönsietokyvystä rahoitusmarkkinoilla ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 muuttamisesta (COM(2020) 595 final), jäljempänä asetusehdotus, ja ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi direktiivien 2006/43/EY, 2009/65/EY, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 ja EU/2016/2341 muuttamisesta (COM(2020) 596 final), jäljempänä direktiiviehdotus.  

Asetuksessa vahvistetaan yhtenäiset vaatimukset rahoitusmarkkinatoimijoiden liiketoimintaprosesseja tukevien ICT-järjestelmien turvallisuudesta, joka on välttämätöntä yhtenäisen digitaalisen toimintakyvyn saavuttamiseksi. Yhteiset vaatimukset koskevat ICT-riskienhallintaa, merkittävien ICT-liitännäisten tapahtumien ilmoittamista toimivaltaisille viranomaisille, digitaalisen toimintakyvyn testausta, tietojen ja tiedustelutietojen jakamista verkkouhista ja haavoittuvuuksista sekä toimenpiteistä ja ICT-riskien hallitsemisesta suhteessa kriittisiin kolmansiin osapuoliin.  

Direktiivin muutoksilla täsmennettäisiin direktiivien artikloita niin, että niistä poistettaisiin asetusehdotuksen kanssa olevat ristiriidat. Ehdotuksen tavoitteena olisi muun muassa selkeyttää ja yhdenmukaistaa ICT-riskienhallintaa ja riskien tunnistamista. Direktiiviehdotus sisältää myös kryptovaroja koskeviin asetusehdotuksiin liittyviä muutoksia, joita käsitellään tarkemmin erillisessä U-kirjelmässä.  

Valtioneuvoston kanta

Valtioneuvosto yhtyy komission näkemykseen siitä, että uusien innovatiivisten rahoituspalveluiden saatavuutta yrityksille ja kuluttajille on tarpeellista edistää. Kilpailuedellytysten laajentuminen edistää rahoituspalvelusektorin mahdollisuutta uudistua sekä tukee uusien liiketoimintamallien syntymistä. Samalla digitalisaation seurauksena syntyvät riskit on kyettävä tunnistamaan ja niihin on perusteltua puuttua osaltaan myös unionin yhtenäisen lainsäädännön tasolla. Rahoitusmarkkinoiden digitaalisen häiriönsietokyvyn vahvistaminen on suotuisaa palveluiden luotettavan toiminnan sekä rahoitusmarkkinoiden vakauden turvaamisen kannalta, ja siksi kaikkien toimijoiden kyberturvallisuusvalmiuksien tarkempi valvonta on tulevaisuudessa entistä tärkeämpää. 

Valtioneuvosto pitää tervetulleena asetus- ja direktiiviehdotuksissa esitettyjä tavoitteita ICT-riskienhallintaan ja kyberturvallisuuteen liittyvien säännösten yhtenäistämisestä ja virtaviivaistamisesta unionin sisämarkkinalainsäädännössä. Ehdotetulla sääntelyllä vahvistetaan yhdenmukaiset periaatteet rahoitusmarkkinatoimijoiden liiketoiminnan jatkuvuuden hallinnalle, edistetään rahoitussektorin ulkopuolisten kriittisten palveluntarjoajien valvontaa ja luodaan puitteita teknologisten innovaatioiden hyödyntämiselle. Unionin rahoitusmarkkinoita koskevaa sääntelykehystä vahvistettaessa on kuitenkin huomioitava kansallisen turvallisuuden kannalta kriittisten rahoitusmarkkinapalveluiden turvaamiseen liittyvät järjestelyt. Perussopimusten mukaan kansallinen turvallisuus säilyy kunkin jäsenvaltion vastuulla.  

Valtioneuvosto kannattaa esityksessä ehdotettua suhteellisuusperiaatteen soveltamista, joka mahdollistaa toimijoiden erityispiirteiden huomioimisen. Suhteellisuusperiaatteen käyttö on kuitenkin kyettävä punnitsemaan tarkasti olemassa olevien riskien näkökulmasta. Valtioneuvosto kannattaa ehdotusta yhteisön sisäisen riskienhallintakehikon luomisesta ja sen jatkuvasta kehittämisestä. Valtioneuvosto pitää lisäksi kannatettavana ehdotusten tavoitteita siitä, että ehdotuksilla yhdenmukaistettaisiin ja yksilöitäisiin vaatimukset, jotka finanssisektorin toimijoiden olisi ainakin otettava huomioon solmiessaan sopimuksia kriittisten kolmansien osapuolten kanssa. 

Valtioneuvosto pitää hyväksyttävänä asetusehdotuksessa perustettavaksi ehdotettua uutta ylätason valvontakehikkoa siltä osin kuin sillä on tarkoitus vankistaa kolmansiin osapuoliin kohdistuvaa valvontaa. Valtioneuvosto suhtautuu kuitenkin varauksellisesti kehikkoa koskevaan hallintorakenteeseen. Hallintorakenteessa tulisi huomioida selkeät toimivaltuudet ja vastuunjako sekä kansallisille toimivaltaisille viranomaisille että Euroopan rahoitusmarkkinaviranomaisille. Eurooppalaisen sääntelyn yhtenäistämishankkeiden toteuttamisen edellytyksenä on se, että viranomaisten toimivaltuudet ovat yksiselitteiset ja riittävät. 

Valtioneuvosto kiinnittää lisäksi huomiota ehdotuksissa viranomaisten keskinäisen tiedonkulun tarkoituksenmukaiseen toteuttamiseen. Ehdotusten tulisi vahvistaa eri viranomaisten välillä tapahtuvaa tiedonkulkua ja mahdollistaa se, että etenkin kriisitilanteessa tiedonkulkua ei estetä. 

Valtioneuvosto korostaa lisäksi, että rahoitusmarkkinoiden häiriönsietokyvyn turvaaminen systeemisen kokonaisturvallisuusajattelun mukaisten toimintamallien kehittämistä myös unionin toiminnassa on tärkeää. Keskeisessä asemassa on viranomaisten toimintakyvyn varmistaminen erityisesti laajamittaisissa häiriötilanteissa. Ehdotusten jatkokäsittelyssä on tämän vuoksi kiinnitettävä huomiota häiriöraportoinnin tarkoituksenmukaiseen toteuttamiseen ja viranomaisten keskinäisen tiedonkulun tarkoituksenmukaiseen varmistamiseen. 

Asetusehdotukseen sisältyy komissiolle valtuus antaa delegoituja säädöksiä. Valtioneuvosto katsoo, että delegoidut säännökset ovat pääosin luonteeltaan teknistä sääntelyä, jolloin valtuudet ovat valtioneuvoston arvion mukaan myös hyväksyttävissä.  

VALIOKUNNAN PERUSTELUT

Digitalisaatio ja sääntelyn tarve.

Yhteiskunnan digitalisoitumisen myötä monet palvelut taustainfrastruktuureineen ovat siirtyneet laaja-alaisesti tietoverkkoihin. Kriittisiin toimintoihin kohdistuu tämän myötä uudentyyppisiä uhkia, jotka voivat olla yhä enenevässä määrin myös digitaalisia. Kyberuhat eivät ole sidottuja paikkaan, aikaan tai valtioiden rajoihin, eivätkä väärinkäytökset tai vahingonteot aina täytä minkään voimassa olevan sääntelyn tunnistaman rikoksen tunnusmerkistöä. Myös omaisuuden tai oikeustoimien digitaaliset ilmenemismuodot voivat olla nykyisen lainsäädännön viitekehykseen osin vaikeasti sovitettavissa, kuten talousvaliokunta on aikaisemmassa lausunnossaan (TaVL 25/2020 vpU 56/2020 vp) huomauttanut. 

Nyt käsittelyssä oleva valtioneuvoston kirjelmä käsittelee rahoitusmarkkinoiden digitaalista häiriönsietokykyä. Ehdotetun sääntelyn (asetus ja direktiivi) tarkoitus on parantaa rahoitussektorin kestävyyttä ja palautumiskykyä kyberhyökkäyksiä vastaan. Tavoitteena on pystyä takaamaan markkinoiden vakaus ja parantaa rahoitusmarkkinatoimijoiden riippumattomuutta. Näihin päämääriin pyritään muun muassa Euroopan laajuisilla, yhtenäisillä vaatimuksilla riskienhallinnasta ja kolmansien osapuolien valvonnasta. Luomalla säädösviitekehys, joka tukee toimintavarmaa ja tietoturvallista infrastruktuuria, voidaan teknologian kehitys saada palvelemaan yritysten ja kansalaisten tarpeita. Talousvaliokunta toistaa aiemmassa lausunnossaan tekemänsä huomautuksen, jonka mukaan nopeasti kehittyvät tekniset ratkaisut voivat jäädä ainakin kehityksen alkuvaiheessa eri tavoin laillisuuden kannalta kyseenalaisen toiminnan välineiksi niin kauan kuin ei ole säädöskehystä, johon lainsäädännön velvoitteita noudattamaan pyrkivät tahot voisivat tukeutua.  

Yhteiseurooppalaisen sääntelyn edut.

Digitaalisten palveluiden tarjoajat ovat usein kansainvälisiä yhteisöjä. Pienenkin volyymin toiminnot voivat olla rajat ylittäviä. Tämän edut näyttäytyvät tarjonnan lisääntymisenä ja tehokkuushyötyinä. Haittapuolena voidaan tunnistaa esimerkiksi valvonnan hankaluus. Yksittäisen kansallisen valvojan voi olla vaikeaa havaita epäkohtia ja puuttua niihin, etenkin jos kansallisten säännöstöjen väliin jää katvealueita. Teknisistä kytkeytymisistä sekä sisällöllisistä ja toiminnallisista keskinäisriippuvuuksista johtuen yhteen toimijaan kohdistuneen kyberhyökkäyksen vaikutukset voivat heijastua nopeasti myös muihin.  

Talousvaliokunta yhtyy valtioneuvoston kirjelmässä esitettyyn kantaan, jonka mukaan rahoitusmarkkinoiden digitaalisten toimintojen vaatimuksista ja valvonnasta on tarkoituksenmukaista säätää EU-tasolla. Valiokunta pitää perusteltuna myös lähtökohtaa, että sääntely annettaisiin nimenomaan suoraan sovellettavana asetuksena, jolloin kansallisten eroavaisuuksien ala jää mahdollisimman pieneksi.  

Asetusehdotus ei poista mahdollisuutta ja tarvetta kansalliseen poikkeusoloihin varautumisen lainsäädäntöön. Kansallista turvallisuutta koskevat kysymykset ja niitä koskeva toimivalta kuuluvat edelleen jäsenvaltioille. Talousvaliokunta huomauttaa, että pitkälle harmonisoidun finanssialan Euroopan tasoisen sääntelyn kosketuspinta kansallisen turvallisuuden varmistamiseen tähtäävään sääntelyyn on kriittinen kohta lainsäädännön tavoitteiden toteutumisen kannalta. Talousvaliokunta viittaa esimerkinomaisesti kansallisen valmiuslakimme (1552/2011) säännöksiin (4 luku — Rahoitusmarkkinoiden ja vakuutusalan toiminnan turvaaminen), joiden mukaiset kansallisten viranomaisten toimet ovat osin alisteisia EKP:n lausuntomenettelylle. 

Suhteellisuusperiaate.

Talousvaliokunnan asiantuntijakuulemisessa on nostettu esiin kysymys velvoitteiden ja vaatimusten oikeasuhtaisuudesta. Jos toimijan vaikutukset markkinoihin ovat esimerkiksi toiminnan volyymin luonteen vuoksi hyvin pienet, voi olla perusteltua suhteuttaa hallinnollinen taakka tähän. Tässä yhteydessä on olennaista arvioida nimenomaan toimijan vaikutusta markkinaan, eikä yksinomaan sen kokoa. Laajavaikutteinen ongelma voi lähteä liikkeelle myös pienen toimijan riskienhallinnan laiminlyönnistä.  

Uuden sääntelyn reunaehtoja.

Digitalisaatiokehitystä edistettäessä tulee samalla pitää esillä eri tavoin toimintarajoitteiset finanssipalvelujen käyttäjät. Esimerkiksi vähittäismaksamisen digitaalinen murros asettaa kaikki toimijat uudenlaisten haasteiden eteen. Käteisen käyttö maksuvälineenä oli laskusuunnassa jo ennen pandemiaa, joka on edelleen kiihdyttänyt etämaksamisen muotoja ja siten myös kyberriskejä; transaktioiden sähköistyessä ja käteisen käytön vähentyessä maksujärjestelmän teknisten haavoittuvuuksien merkitys korostuu. Talousvaliokunta pitää hyvänä kehitystä, jossa toimintojen sähköistymisen myötä voidaan finanssialan asiakkaita palvella tehokkaammin ja asiakaslähtöisemmin, mutta tähdentää, että yhteiskuntaa ei voi kehittää ainoastaan teknologian kehityksessä helposti mukana pysyvien yritysten ja kotitalouksien ehdoilla. Fyysisen rahan käytön mahdollisuus on digitaalistumiskehityksen ulkopuolelle jääneiden kansalaisten kannalta kriittinen tekijä ja tosiasiallisesti ainoa varajärjestely kyberuhan riskien realisoituessa. 

Talousvaliokunta yhtyy eurooppalaisen pankkiviranomaisenkin esittämään huoleen siitä, jos pilvipalvelumarkkinat keskittyvät siten, että harvoille toimijoille keskittyy suuri osuus finanssitoimialan pilvipalveluista. Myös julkisen pilven käyttö voi altistaa riskeille, joiden hallinta ei ole täysin toimilupavalvottavan omassa määräysvallassa. Tätä kehityskulkua voisi osaltaan kääntää tai hidastaa sellainen sääntely, joka edesauttaisi pienten ja uusien toimijoiden markkinoille tuloa.  

VALIOKUNNAN LAUSUNTO

Talousvaliokunta ilmoittaa,

että se yhtyy asiassa valtioneuvoston kantaan korostaen edellä esitettyjä näkökohtia. 
Helsingissä 24.11.2020 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Juhana Vartiainen kok 
 varapuheenjohtaja 
Hanna Kosonen kesk 
 jäsen 
Atte Harjanne vihr 
 jäsen 
Mari Holopainen vihr 
 jäsen 
Hannu Hoskonen kesk 
 jäsen 
Pia Kauma kok 
 jäsen 
Riitta Mäkinen sd 
 jäsen 
Matias Mäkynen sd 
 jäsen 
Minna Reijonen ps 
 jäsen 
Hussein al-Taee sd 
 jäsen 
Veikko Vallin ps 
 jäsen 
Tuula Väätäinen sd 
 jäsen 
Johannes Yrttiaho vas 
 varajäsen 
Olli Immonen ps 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Teija Miller