Viimeksi julkaistu 4.5.2026 18.46

Valiokunnan lausunto PuVL 6/2026 vp U 17/2026 vp Puolustusvaliokunta Valtioneuvoston kirjelmä eduskunnalle ehdotuksista Euroopan parlamentin ja neuvoston kyberturvallisuusasetukseksi (CSA2) ja NIS 2-muutosdirektiiviksi

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Valtioneuvoston kirjelmä eduskunnalle ehdotuksista Euroopan parlamentin ja neuvoston kyberturvallisuusasetukseksi (CSA2) ja NIS 2-muutosdirektiiviksi (U 17/2026 vp): Asia on saapunut puolustusvaliokuntaan mahdollisia toimenpiteitä varten. 

Asiantuntijat

Valiokunta on kuullut: 

  • ylitarkastaja Eevi Vuorinen 
    liikenne- ja viestintäministeriö
  • neuvotteleva virkamies Emma Hokkanen 
    liikenne- ja viestintäministeriö
  • neuvotteleva virkamies Marième Korhonen-Cara 
    liikenne- ja viestintäministeriö
  • tietohallintojohtaja Mikko Soikkeli 
    puolustusministeriö
  • sotilaslakimies Katriina Härmä 
    Pääesikunta
  • lakimies Tatu Giordani 
    Liikenne- ja viestintävirasto, Kyberturvallisuuskeskus
  • johtava asiantuntija Markku Rajamäki 
    Elinkeinoelämän keskusliitto ry
  • toimitusjohtaja Peter Sund 
    Finnish Information Security Cluster - Kyberala ry

Valiokunta on saanut kirjallisen lausunnon: 

  • sisäministeriö
  • DNA Oy
  • Elisa Oyj
  • Telia Finland Oyj

VALTIONEUVOSTON KIRJELMÄ

Ehdotus

Valtioneuvoston kirjelmä koskee Euroopan komission 20.1.2026 antamia ehdotuksia niin sanotuksi CSA2-asetukseksi ((COM(2026) 11 final) Euroopan parlamentin ja neuvoston asetus Euroopan unionin kyberturvallisuusvirasto ENISA:sta, Euroopan kyberturvallisuuden sertifiointikehyksestä ja ICT-toimitusketjujen turvallisuudesta sekä asetuksen (EU) 2019/881 kumoamisesta) ja niin sanotun NIS 2 -direktiivin muuttamisesta (ehdotus Euroopan parlamentin ja neuvoston direktiiviksi direktiivin (EU) 2022/2055 (NIS 2) muuttamisesta sen yksinkertaistamiseksi ja yhdenmukaistamiseksi CSA2-ehdotuksen kanssa). 

Valtioneuvoston kanta

Kyberturvallisuusasetus (CSA2)

Valtioneuvosto katsoo kyberturvallisuuden olevan olennainen osa EU:n sisämarkkinoiden häiriöttömän toiminnan ja yhteiskuntavakauden sekä kansalaisten yksityisyyden turvaamista. Valtioneuvosto kannattaa EU:n lainsäädännön tavoitetta vahvistaa kyberturvallisuuden hallinnointia sekä sitä, että asiaankuuluvilla toimielimillä, viranomaisilla ja muilla sidosryhmillä olisivat paremmat edellytykset estää, havaita ja torjua kyberturvallisuusuhkia koordinoidulla ja tehokkaalla tavalla. 

Valtioneuvosto suhtautuu myönteisesti Euroopan kyberturvallisuusvirasto ENISA:n mandaatin kokonaisvaltaiseen uudelleentarkasteluun muuttunut uhkaympäristö sekä unionin kyberturvallisuuslainsäädäntö huomioiden. Valtioneuvosto katsoo, että ENISA:n toiminnan tulee olla tehokasta, priorisoitua ja läpinäkyvää. ENISA:n toiminnan ja tehtävien tulisi ensisijaisesti täydentää jäsenmaiden viranomaisten kyberturvallisuustehtäviä. 

Valtioneuvosto suhtautuu myönteisesti ENISA:n toiminnan laajentamiseen operatiivisen yhteistyön tukeen sekä tilannekuvan tuottamiseen huomioiden kuitenkin, että ensisijainen vastuu kyberturvan tasoa varmistavissa ja yhteiskunnan toimijoita tukevissa viranomaistehtävissä on jäsenmailla ja sen viranomaisilla. Tiedonvaihtoon, jolla voisi olla negatiivisia vaikutuksia kansalliseen turvallisuuteen, suhtaudutaan varauksellisesti. Valtioneuvosto suhtautuu kuitenkin myönteisesti ENISA:n yhteistyön tiivistämiseen kumppanimaiden ja kansainvälisten organisaatioiden, kuten NATO:n kanssa. 

Valtioneuvosto pitää ENISA:n tehtävien laajentamista tietojärjestelmähaavoittuvuuksien hallintaan liittyviin palveluihin erityisen tärkeänä. Unionin omien kyvykkyyksien vahvistaminen tietojärjestelmähaavoittuvuuksien hallinnassa vahvistaa unionin strategista autonomiaa. 

Valtioneuvosto pitää tärkeänä, että jäsenmaat ja komissio ovat jatkossakin tasa-arvoisessa asemassa ENISA:n toimintaan liittyvässä päätöksenteossa. Jäsenmaiden tulee itse voida päättää viraston toimielimiin nimitettävistä edustajista sekä virastoon lähetettävistä asiantuntijoista. 

Valtioneuvosto pitää tärkeänä, että tällä asetuksella ei ennakoida tulevan rahoituskehyksen (2028–2034) rahoitusta. Tulevan kauden rahoituksen mitoitukseen otetaan kantaa erikseen osana rahoituskehysneuvottelujen kokonaisuutta. 

Valtioneuvosto korostaa, että EU:n toimielinten ja virastojen hallintomenojen taso sekä henkilöstömäärä on pidettävä maltillisena. Valtioneuvosto pyytää jatkovalmistelussa tarkennuksia ENISA:n keräämiin maksuihin ja toiminnan rahoittamiseen liittyen. 

Valtioneuvosto suhtautuu kyberturvallisuuden osaamiseen liittyvän tarkemman sääntelyn kehittämiseen varauksellisesti. Valtioneuvosto pitää tärkeänä varmistaa, että osaamisen liittyvät toimenpiteet ovat jäsenvaltioille vapaaehtoisia ja resurssineutraaleja. 

Valtioneuvosto tukee yleisesti eurooppalaisen kyberturvallisuuden sertifiointikehyksen uudistamista, tehostamista ja selkeyttämistä. Valtioneuvosto suhtautuu lähtökohtaisesti myönteisesti kybertason ja EU:n lainsäädännön vaatimustenmukaisuusolettaman sisällyttämistä sertifiointijärjestelmien soveltamisalaan. Lisäksi valtioneuvosto kannattaa eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien ylläpitostrategian ja -toimien lisäämistä osaksi sertifiointikehystä. Valtioneuvosto pitää tärkeänä, että jäsenvaltioilla on mahdollisuus osallistua eurooppalaisen kyberturvallisuuden sertifiointikehyksen prosesseihin. Lisäksi valtioneuvosto katsoo, että sertifiointien tulee säilyä lähtökohtaisesti vapaaehtoisina. 

Valtioneuvosto pitää kannatettavana, että EU:ssa haetaan ehdotuksen pohjalta yhteisiä ICT-toimitusketjuja koskevia ratkaisuja, jotka vahvistavat näiden turvallisuutta, edistävät sisämarkkinoiden toimintaa ja EU:n teknologista suvereniteettia. Toimenpiteiden tulee olla ennakoitavia ja hallittuja sekä perustua asianmukaiseen kuulemiseen ja vaikutusarviointiin. Valtioneuvosto katsoo, että ehdotuksessa esitettyjen toimenpiteiden tulee olla myös oikeasuhtaisia ja riskiperustaisia. Valtioneuvosto pitää tärkeänä, että jäsenvaltiot voivat jatkossakin asettaa asetusehdotusta pidemmälle meneviä kansallisia velvoitteita ja toimenpiteitä, erityisesti viestintäverkkojen turvallisuuden varmistamiseksi. Valtioneuvosto tukee ehdotuksen tavoitetta ja pitää samalla tärkeänä, että unionin ja jäsenvaltioiden toimivallan rajat säilyvät selkeinä erityisesti kansallista turvallisuutta koskevissa asioissa. Valtioneuvosto myös korostaa jäsenvaltioiden keskeistä roolia ICT-toimitusketjujen riskien arvioinnissa. 

Valtioneuvosto edellyttää, että komissiolle delegoitavat toimivaltuudet ovat tarkkarajaisia, oikeasuhtaisia, tarkoituksenmukaisia ja perusteltuja. 

Suomen kantoja komission ja korkean edustajan tiedonantoon unionin taloudellisen turvallisuuden vahvistamiseksi on muodostettu selvityksessä E 3/2026 vp. Selvitys sisältää nyt kyseessä olevan ehdotuksen näkökulmasta olennaisen kirjauksen kansainvälisestä yhteistyöstä haitallisten riippuvuuksien vähentämiseksi: 

Haitallisten riippuvuuksien vähentämiseksi EU:n tulee edetä nopeasti kauppaneuvotteluissa sekä kumppanuuksissa esimerkiksi kriittisten raaka-aineiden, teollisuuden, energian ja kriittisten teknologioiden toimitus- ja arvoketjuissa. EU:n tulisi kartoittaa standardipohjaisten markkinoiden luomisen edut ja mahdollisuudet ja panostaa sääntely-yhteistyöhön kolmasmaakumppaneiden kanssa. EU:n tulee hyödyntää unionin olemassa olevia välineitä laajasti myös kolmasmaayhteistyössä haitallisten riippuvuuksien purkamiseksi. 

Lisäksi Suomen kantoja komission tiedonantoon osaamisunionista on muodostettu selvityksessä E 56/2025 vp, jonka osalta huomioidaan nyt kyseessä olevan ehdotuksen osalta seuraava kirjaus:  

Suomi pitää tärkeänä, että komission ehdotukset perustuvat riittävän kattaviin vaikutusarviointeihin. Suomi korostaa, että EU-tason toimenpiteet on tärkeää suunnitella siten, että ne ovat kustannustehokkaita, eivät lisää hallinnollista taakkaa, huomioivat jäsenmaiden erilaiset koulutusjärjestelmät sekä työvoimapoliittiset painotukset ja hyödyntävät mahdollisimman paljon olemassa olevia rakenteita. 

NIS 2 -muutosdirektiivi

Valtioneuvosto kannattaa muutosehdotuksien tavoitteita sääntelyn yksinkertaistamiseksi, sujuvoittamiseksi ja sääntelystä aiheutuvien hallinnollisten kustannuksien alentamiseksi. Valtioneuvosto suhtautuu myönteisesti muutosehdotuksiin, jotka edistävät näitä tavoitteita ja turvaavat samalla kyberturvallisuuden korkeaa tasoa. 

Valtioneuvosto pitää tarpeellisena, että osana neuvotteluita arvioidaan tarkemmin ehdotuksen vaikutuksia sääntelystä toimijoille aiheutuviin kustannuksiin ja ehdotuksen tavoitteisiin. 

Valtioneuvosto suhtautuu myönteisesti direktiivin soveltamisalaa koskeviin muutosehdotuksiin sekä ehdotukseen keskeisen toimijan kokorajan korottamisesta. Valtioneuvosto pitää tarpeellisena soveltamisalan tarkentamista erityisesti tuotantomäärältään vähäisten sähköntuottajien sekä kemianteollisuuden osalta. Valtioneuvosto pitää tarpeellisena, että neuvotteluissa arvioidaan yksityiskohtaisemmin komission ehdotusta strategisen kaksikäyttöinfrastruktuurin omistajien ja operaattoreiden sisällyttämisestä direktiivin soveltamisalaan erityisesti maanpuolustuksen ja kansallisen turvallisuuden kannalta. 

Valtioneuvosto pitää tärkeänä, että NIS 2 -direktiivin vaatimukset ovat oikeasuhtaisia ja riskiperusteisia. Valtioneuvosto suhtautuu alustavan varauksellisesti ehdotukseen komission toimivallasta täysharmonisoida riskienhallintatoimenpiteitä täytäntöönpanosäädöksillä. Valtioneuvosto pitää tarkoituksenmukaisena, että jäsenvaltioilla on riittävä kansallinen liikkumavara riskienhallintaa koskevien vaatimuksien asettamisessa. 

Valtioneuvosto pitää lähtökohtaisesti hyvänä, että eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien mukaisia sertifiointeja voitaisiin hyödyntää NIS 2 -direktiivin vaatimustenmukaisuuden osoittamisessa. 

Valtioneuvosto suhtautuu myönteisesti ehdotukseen ENISA:n tehtävästä laatia rajat ylittäviä kyberturvallisuusriskien arviointeja. Valtioneuvosto pitää kuitenkin tärkeänä, että ENISA:n toimivaltuus valvovien viranomaisten tukemisessa ja sitä koskevien tietojen saamisessa perustuu jäsenvaltion viranomaisen suostumukseen. 

Valtioneuvosto suhtautuu alustavan varauksellisesti ehdotukseen kiristyshaittaohjelmatietojen ilmoittamiseen liittyviin uusiin velvollisuuksiin sekä ehdotukseen komissiolle siirretyn säädösvallan laajennuksesta kiristyshaittaohjelmatietojen ilmoittamista koskien. Valtioneuvosto pitää tältä osin tarpeellisena, että neuvotteluissa arvioidaan tarkemmin, miten ehdotus vaikuttaa sääntelystä toimijoille aiheutuviin kustannuksiin ja hallinnolliseen taakkaan. 

VALIOKUNNAN PERUSTELUT

Yleistä

(1) Puolustusvaliokunta katsoo, että kyberturvallisuusasetuksen (CSA2) ja NIS 2 -muutosdirektiivin tavoitteet unionin jäsenvaltioiden kyberturvallisuuden parantamiseksi ja järjestelmien resilienssin vahvistamiseksi ovat lähtökohtaisesti kannatettavia. 

(2) Valiokunta kiinnittää kuitenkin huomiota NIS 2 -sääntelyn soveltamisalan laajentamisen vaikutuksiin maanpuolustukseen ja kansalliseen turvallisuuteen. Siviili- ja sotilaskäytön rajapinnassa olevien järjestelmien sääntelyä on arvioitava huolellisesti, jotta puolustuskykyä tukevien järjestelmien toimivuus ei vaarannu. Valiokunta korostaa myös laajennetun tiedonvaihdon vaikutusten huolellista arviointia kansallisen turvallisuuden näkökulmasta. 

(3) Valiokunta pitää keskeisen tärkeänä kansallisen turvallisuuden ja Euroopan unionin toimivallan välisen rajan selkeyttä. Lisäksi valiokunta korostaa, että jäsenvaltioille on turvattava riittävä päätösvalta kyberturvallisuutta koskevissa kansallisen turvallisuuden ratkaisuissa.  

(4) Valiokunta korostaa ICT-toimitusketjujen turvallisuuden merkitystä erityisesti kriittisten ICT-kokonaisuuksien, korkean riskin toimittajien sekä kolmansiin maihin liittyvien riskien osalta. Näitä kysymyksiä on tarkasteltava huoltovarmuuden, strategisten riippuvuuksien ja kriittisen infrastruktuurin toimintavarmuuden näkökulmasta. Samalla valiokunta painottaa, että ehdotetut toimenpiteet eivät saa hidastaa erityisesti 6G-verkkojen kehitystä ja käyttöönottoa Euroopassa. Valiokunta huomauttaa lisäksi, että ehdotukseen sisältyvät siirtymäajat ovat verkkojen pitkään elinkaareen nähden liian lyhyitä ja epärealistisia. 

(5) Valiokunta katsoo, että Euroopan unionin kyberturvallisuusviraston (ENISA) roolin tulee täydentää jäsenvaltioiden viranomaisten työtä siten, että päällekkäisiltä toimivaltuuksilta kansallisten viranomaisten kanssa vältytään. Valiokunta kiinnittää huomiota siihen, että viraston jo nykyisin laajaa ja epäselvää tehtäväkenttää - lakisääteisiä tehtäviä on noin 170 - on tarkoitus laajentaa entisestään. Samalla viraston henkilöstömäärä on tarkoitus kaksinkertaistaa vuodesta 2031 lähtien nykyisestä 131 henkilötyövuodesta. Jäsenmaiden tulisi tätä silmällä pitäen nimetä virastoon kaksi kansallista asiantuntijaa, joiden tulisi Suomesta tulla Kyberturvallisuuskeskuksesta. 

(6) Valiokunta suhtautuu kriittisesti siihen, että Kyberturvallisuuskeskuksen jo ennestään niukkoja resursseja heikennettäisiin tällä tavoin. Kyberturvallisuuskeskuksen rooli on keskeinen kansallisen kyberturvallisuuden vahvistamisessa, kun taas ENISA:n lisäarvo on valiokunnan kuulemien asiantuntijoiden mukaan varsin rajallinen. Valiokunta katsoo, että viraston tehtävät on arvioitava kriittisesti ja niitä on karsittava merkittävästi. Viraston tulee keskittyä unionimaiden ja unionissa toimivien yritysten toimintaa tukeviin sekä jäsenvaltioiden kansallisia toimia täydentäviin tehtäviin. 

(7) Yhteenvetona valiokunta toteaa, että toimivaa ja tehokasta kansallista kyberturvallisuuden järjestelmää ei tule heikentää epäselvällä tai päällekkäisellä unionitason sääntelyllä, vaan sääntelyn tulee tukea ja vahvistaa jäsenvaltioiden olemassa olevia, hyvin toimivia rakenteita. Valiokunta korostaa, että kaikkien unionimaiden on aktiivisesti vahvistettava omaa kyberturvallisuuttaan, eikä kehityksen tule perustua vain harvojen edelläkävijämaiden varaan. 

VALIOKUNNAN LAUSUNTO

Puolustusvaliokunta ilmoittaa,

että se yhtyy asiassa valtioneuvoston kantaan edellä esitetyin painotuksin. 
Helsingissä 24.4.2026 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Heikki Autto kok 
 varapuheenjohtaja 
Mikko Savola kesk 
 jäsen 
Otto Andersson 
 jäsen 
Miko Bergbom ps 
 jäsen 
Timo Furuholm vas 
 jäsen 
Timo Heinonen kok 
 jäsen 
Hanna Holopainen vihr 
 jäsen 
Tomi Immonen ps 
 jäsen 
Mika Kari sd 
 jäsen 
Pauli Kiuru kok 
 jäsen 
Jani Kokko sd 
 jäsen 
Jarno Limnell kok 
 jäsen 
Jari Ronkainen ps 
 jäsen 
Hanna Räsänen kesk 
 jäsen 
Paula Werning sd 
 varajäsen 
Sari Tanus kd 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Heikki Savola