Viimeksi julkaistu 8.5.2026 15.48

Valiokunnan lausunto SuVL 6/2026 vp U 17/2026 vp Suuri valiokunta Valtioneuvoston kirjelmä eduskunnalle ehdotuksista Euroopan parlamentin ja neuvoston kyberturvallisuusasetukseksi (CSA2) ja NIS 2-muutosdirektiiviksi

Valtioneuvostolle

JOHDANTO

Vireilletulo

Eduskuntaan on saapunut valtioneuvoston kirjelmä ehdotuksista Euroopan parlamentin ja neuvoston kyberturvallisuusasetukseksi (CSA2) ja NIS 2-muutosdirektiiviksi (U 17/2026 vp). 

Lausunnot

Asiasta on annettu seuraavat lausunnot: 

  • liikenne- ja viestintävaliokunta 
    LiVL 10/2026 vp
  • perustuslakivaliokunta 
    PeVL 21/2026 vp
  • hallintovaliokunta 
    HaVL 10/2026 vp
  • puolustusvaliokunta 
    PuVL 6/2026 vp

Asiantuntijat

Valiokunta on kuullut: 

  • kyberedustaja, johtava asiantuntija Stefan Lee 
    ulkoministeriö
  • johtava asiantuntija Johanna Puiro 
    sisäministeriö
  • neuvotteleva virkamies Marième Korhonen-Cara 
    liikenne- ja viestintäministeriö
  • ylitarkastaja Eevi Vuorinen 
    liikenne- ja viestintäministeriö
  • johtava asiantuntija Tomi Kinnari 
    Liikenne- ja viestintävirasto

Valiokunta on saanut kirjallisen lausunnon: 

  • puolustusministeriö
  • Euroopan hybridiuhkien torjunnan osaamiskeskus
  • suojelupoliisi
  • DNA Oy
  • Elisa Oyj
  • Nokia Oyj
  • Telia Finland Oyj
  • FiCom ry
  • Finnish Information Security Cluster - Kyberala ry

VALTIONEUVOSTON KIRJELMÄ

Ehdotus

Euroopan komissio antoi 20.1.2026 ehdotuksen niin sanotuksi CSA2-asetukseksi ((COM(2026) 11 final) Euroopan parlamentin ja neuvoston asetukseksi Euroopan unionin kyberturvallisuusvirasto ENISA:sta, Euroopan kyberturvallisuuden sertifiointikehyksestä ja ICT-toimitusketjujen turvallisuudesta sekä asetuksen (EU) 2019/881 kumoamisesta). 

Komissio antoi samanaikaisesti myös ehdotuksen niin sanotun NIS2-direktiivin muuttamisesta ((COM(2026) 13 final) Euroopan parlamentin ja neuvoston direktiiviksi direktiivin (EU) 2022/2055 (NIS2) muuttamisesta sen yksinkertaistamiseksi ja yhdenmukaistamiseksi CSA2-ehdotuksen kanssa).  

Ehdotuksen pääasiallinen sisältö on kuvattu valtioneuvoston kirjelmässä U 17/2026 vp

Valtioneuvoston kanta

Valtioneuvoston kanta on esitetty valtioneuvoston kirjelmässä U 17/2026 vp.  

VALIOKUNNAN PERUSTELUT

(1) Euroopan komissio antoi 20.1.2026 ehdotuksen kyberturvallisuusasetuksesta (CSA2) ja NIS2-direktiivin muuttamisesta. Ehdotuksella on kaksi keskeistä tavoitetta: kyberturvallisuuden kyvykkyyksien ja resilienssin lisääminen sekä sisämarkkinoiden pirstaloitumisen ehkäiseminen. Ehdotus on jatkumoa EU:n pitkäaikaiseen pyrkimykseen hallita haitallisia riippuvuuksia ja strategisia riskejä erityisesti viestintäverkoissa, mutta nyt laajemmin muillakin toimialoilla (NIS2-direktiivin mukaiset toimialat). 

(2) Suuri valiokunta pitää sisämarkkinoiden toiminnan ja kyberturvallisuuden edistämisen yleisiä tavoitteita hyvinä ja kannatettavina. Kyberturvallisuus on keskeinen osa kokonaisturvallisuutta ja sen merkitys korostuu nykyisessä turvallisuusympäristössä.  

(3) Suuri valiokunta suhtautuu kuitenkin komission ehdotukseen sen ehdotetussa muodossa osin varauksellisesti ja kiinnittää erikoisvaliokuntien lausuntojen (PeVL 21/2026 vp, LiVL 10/2026 vp, HaVL 10/2026 vp ja PuVL 6/2026 vp) pohjalta valtioneuvoston huomiota erityisesti seuraaviin kysymyksiin. 

Kyberturvallisuusvirasto ENISA:n tehtävät

(4) Euroopan unionin kyberturvallisuusvirasto ENISA:n mandaattia ehdotetaan uudistettavaksi. Ehdotuksen mukaan ENISA:n tehtävänä olisi tukea jäsenvaltioita ja EU-toimielimiä kyberturvallisuuteen liittyvän EU-lainsäädännön ja politiikkojen kehittämisessä ja toimeenpanossa, vahvistaa kyberturvallisuusvalmiuksia ja resilienssiä koko EU:ssa, edistää operatiivista yhteistyötä ja tiedonvaihtoa, osallistua EU:n kyberturvallisuussertifiointijärjestelmän kehittämiseen ja ylläpitoon sekä edistää kyberturvallisuusosaamista ja -koulutusta. 

(5) Ehdotus laajentaa merkittävästi ENISA:n jo nykyisin laajaa tehtäväkenttää ja ehdotuksen mukaan viraston henkilöstömäärä kaksinkertaistuisi vuoteen 2031 mennessä. Jäsenmaat velvoitettaisiin nimittämään virastoon kaksi jäsenmaiden maksamaa kansallista asiantuntijaa. 

(6) Suuri valiokunta kannattaa valtioneuvoston tavoin EU:n lainsäädännön tavoitetta vahvistaa kyberturvallisuuden hallinnointia sekä sitä, että asiaankuuluvilla toimielimillä, viranomaisilla ja muilla sidosryhmillä olisi paremmat edellytykset estää, havaita ja torjua kyberturvallisuusuhkia koordinoidulla ja tehokkaalla tavalla.  

(7) Suuri valiokunta kuitenkin katsoo muun muassa hallintovaliokunnan tavoin, että ENISA:n tehtävien ja toiminnan tulee tuottaa konkreettista lisäarvoa jäsenmaille ja EU:n muille toimielimille ja virastoille. Päällekkäisiä rakenteita ja toimintaa on syytä välttää ENISA:n ja jäsenvaltioiden kesken sekä esimerkiksi suhteessa EU:n tiedusteluanalyysikeskukseen (INTCEN). ENISA:n toiminnan tulee olla tehokasta, priorisoitua ja läpinäkyvää.  

(8) Suuri valiokunta pitää keskeisenä, että ENISA:n hallintomenojen taso ja henkilöstömäärä säilyvät maltillisina. Puolustusvaliokunta ja liikenne- ja viestintävaliokunta ovat lausunnoissaan kiinnittäneet huomiota myös siihen, kuinka ehdotukset, kuten kansallisten asiantuntijoiden nimittäminen, tulisi kuormittamaan kansallista Kyberturvallisuuskeskusta, jolla on jo ennestään niukat resurssit. 

(9) Valtioneuvoston tavoin suuri valiokunta korostaa jäsenmaiden ensisijaista vastuuta kyberturvan tasoa varmistavissa ja yhteiskunnan toimijoita tukevissa viranomaistehtävissä. EU-tason sääntelyn tulee tukea ja vahvistaa jäsenvaltioiden olemassa olevia rakenteita. Sen ei tule heikentää toimivaa ja tehokasta kansallista kyberturvallisuuden järjestelmää. 

(10) Ehdotus laajentaa myös tiedonluovutusvelvoitteita. Asiantuntijakuulemisessa suuren valiokunnan huomiota on kiinnitetty siihen, että näiden velvoitteiden osalta tulee varmistaa tietojenluovutuksen välttämättömyys ja luottamuksellisuus. Tiedonvaihtoon, jolla voisi olla negatiivisia vaikutuksia kansalliseen turvallisuuteen, suuri valiokunta suhtautuu valtioneuvoston tavoin varauksellisesti. 

ICT-toimitusketjujen turvallisuus

(11) Ehdotuksen tavoitteena on ICT-toimitusketjuihin liittyvien ei-teknisten kyberturvallisuusriskien hallintatoimien yhdenmukaistaminen EU:ssa. Näin varmistettaisiin sisämarkkinoiden toiminta, edistettäisiin teknologista suvereniteettia ja vahvistettaisiin EU:n yhteistä kyberturvallisuuden ja resilienssin tasoa.  

(12) Työ matkaviestinverkkojen turvallisuuden edistämiseksi erityisesti 5G-verkkojen osalta on käynnistynyt EU:ssa jo vuonna 2019. Komissio antoi 2020 suositukset 5G-verkkojen turvallisuuden varmistamiseksi ja muun muassa korkean riskin toimittajiin liittyvien riippuvuuksien vähentämiseksi (ns. 5G Toolbox). Suositusten toimeenpano on vaihdellut jäsenmaittain. Näin ollen komissio näkee tarpeen unioninlaajuisille velvoittavammille ratkaisuille. Ehdotuksessa kiinnitetään erityistä huomiota viestintäverkkoihin. Ehdotuksen mukaan korkean riskin laitetoimittajien ICT-komponentit tulisi vaihtaa viimeistään 36 kuukauden kuluessa siitä, kun komissio on julkaissut listan viestintäverkkotyyppien korkean riskin toimittajista. Suuren valiokunnan saaman selvityksen mukaan ehdotuksen tavoitteet ja ehdotuksessa esitetyt velvoitteet etenkin ICT-toimitusketjujen turvallisuudesta ovat olleet erityisesti telealalla pitkään tiedossa todennäköisenä kehityskulkuna. 

(13) Suomi on sitoutunut ICT-toimitusketjujen ja viestintäverkkojen turvallisuuden edistämiseen EU-tasolla. Lähtökohtaisesti suuri valiokunta pitää valtioneuvoston tavoin kannatettavana, että EU:ssa haetaan yhteisiä ICT-toimitusketjuja koskevia ratkaisuja, jotka vahvistavat turvallisuutta sekä edistävät sisämarkkinoiden toimintaa ja EU:n teknologista suvereniteettia.  

(14) Komission ehdotuksia on kuitenkin pidetty erikoisvaliokuntien lausunnoissa ja asiantuntijakuulemisessa osin ongelmallisina ja epärealistisina, esimerkiksi siirtymäaikojen osalta. Kuulemisessa on korostettu, että mahdollisten vaihtovelvoitteiden ja niiden toteutuksen tulee perustua uhkanäkymiin, tunnistetun riskin kriittisyyteen sekä läpinäkyviin teknisiin ja taloudellisiin vaikutusarviointeihin ottaen huomioon myös verkkolaitteiden elinkaaren. Mahdolliset vaihtovelvoitteet tulee toteuttaa hallittavasti siten, että ne eivät vaaranna viestintäpalvelujen kapasiteettia, laatua tai jatkuvuutta.  

(15) Edellä todettu huomioon ottaen suuri valiokunta yhtyy valtioneuvoston kantaan siitä, että toimenpiteiden tulee olla ennakoitavia ja hallittuja sekä perustua asianmukaiseen kuulemiseen ja vaikutusarviointiin. Toimenpiteiden tulee myös olla oikeasuhtaisia ja riskiperustaisia.  

(16) Liikenne- ja viestintävaliokunnan tavoin suuri valiokunta pitää riskiarviointia keskeisenä sekä sääntelyn toimivuuden että toimenpiteistä aiheutuvien kustannusten hallinnan kannalta. Toimenpiteiden ei tule lähtökohtaisesti kohdistua sellaisiin verkon osiin tai laitteisiin, joista ei todellisuudessa aiheudu sääntelyn perustana olevaa riskiä, ja toimien tulee pohjautua huolellisesti perusteltuun turvallisuusriskiin tai -uhkaan. Valtioneuvoston tavoin suuri valiokunta pitää myös tärkeänä, että jäsenvaltioilla on keskeinen rooli ICT-toimitusketjujen riskien arvioinnissa. 

(17) Puolustusvaliokunta korostaa lausunnossaan ICT-toimitusketjujen turvallisuuden merkitystä erityisesti kriittisten ICT-kokonaisuuksien, korkean riskin toimittajien sekä kolmansiin maihin liittyvien riskien osalta. Puolustusvaliokunnan mukaan näitä kysymyksiä on tarkasteltava huoltovarmuuden, strategisten riippuvuuksien ja kriittisen infrastruktuurin toimintavarmuuden näkökulmasta. Suuri valiokunta yhtyy puolustusvaliokunnan näkemykseen. 

(18) Liikenne- ja viestintävaliokunta painottaa lausunnossaan, että tulee myös huolehtia siitä, ettei ehdotettu sääntely heikennä Euroopan kilpailukykyä ja verkkojen kehittämistä sekä erityisesti 6G-verkkojen käyttöönottoa.  

Vaikutusarvioinnit ja omaisuuden suoja

(19) Suuri valiokunta kiinnittää valtioneuvoston huomiota ehdotuksen vaikutusarviointien puutteellisuuteen. Jatkoneuvotteluissa vaikutusten arviointiin on syytä kiinnittää erityistä huomiota.  

(20) Suuri valiokunta pitää liikenne- ja viestintävaliokunnan tavoin tärkeänä, että muun muassa ehdotusten kilpailukyky-, investointi- ja kustannusvaikutukset arvioidaan perusteellisesti. Valtioneuvoston kirjelmän mukaan komissio ei ole esimerkiksi arvioinut korvausjärjestelyjä, jotka liittyisivät korkean riskin toimittajien komponenttien vaihtamiseen. Myöskään mahdollisia kustannuksia muille NIS2-direktiivin toimialoille, joihin ICT-toimitusketjuja koskevat velvoitteet kohdistuisivat, ei ole arvioitu, vaikka kirjelmän mukaan näihin toimialoihin kuuluvia toimijoita voitaisiin kieltää käyttämästä, asentamasta ja integroimasta missään muodossa korkean riskin toimittajien ICT-komponentteja tunnistettuihin kriittisiin ICT-osiin tuotteidensa ja palvelujensa tarjoamiseksi unionissa.  

(21) Perustuslakivaliokunta on lausunnossaan kiinnittänyt huomiota Suomen perustuslain 15 §:ssä turvatun omaisuudensuojan näkökulmaan (PeVL 21/2026 vp, kappaleet 8-12). Se toteaa, että on tilanteita, jossa omaisuuden käyttörajoitus voi olla niin merkittävä, että se rinnastuu tosiasiallisilta vaikutuksiltaan pakkolunastukseen ja kiinnittää huomiota siihen, että perustuslain 15 §:n 2 momentti pitää sisällään paitsi edellytyksen yleisestä tarpeesta myös vaatimuksen täydestä korvauksesta. Suuri valiokunta yhtyy perustuslakivaliokunnan näkemykseen siitä, että ehdotusten jatkovalmistelussa on välttämätöntä selventää sääntelyn suhdetta perustuslain 15 §:ään. Perustuslakivaliokunta katsoo, että jos sääntelyssä on kyse perustuslain 15 §:n 2 momentissa tarkoitetusta pakkolunastuksesta, johon ei kuitenkaan kytkeydy asianmukaista korvaussääntelyä, ei valtioneuvoston tule hyväksyä ehdotusta. 

(22) Suuri valiokunta toteaa, että mahdollisten ICT-komponenttien ja -laitteiden vaihtamisen kokonaisuudesta tarvitaan jatkoneuvotteluissa vielä paljon lisätietoa niin riskiarvioista, vaihdettavien komponenttien ja laitteiden määrästä, vaihtamisesta aiheutuvista kustannuksista, tarkoituksenmukaisesta siirtymäaikataulusta kuin mahdollisista korvausvelvollisuuksista ja -järjestelyistä.  

Delegoitu säädös- ja täytäntöönpanovalta

(23) Ehdotus lisää merkittävästi komission delegoitua säädös- ja täytäntöönpanovaltaa, mikä voi heikentää sääntelyn vaikutusten ennakoitavuutta ja oikeusvarmuutta. Valtioneuvoston kirjelmän mukaan komissio voisi muun muassa antaa täytäntöönpanosäädöksiä, joilla se voisi riskiarvioinnin pohjalta nimetä kolmannen maan maaksi, joka aiheuttaa kyberturvallisuushuolia ICT-toimitusketjuille. Komissio voisi täytäntöönpanoasetuksella laatia listan korkean riskin toimittajista, joihin ehdotuksen rajoitukset kohdistuisivat ja täytäntöönpanoasetuksella määritellä tarkemmin ehdot, joilla korkean riskin toimittajalle voidaan myöntää poikkeus siihen kohdistuvista rajoituksista. Komissio voisi antaa täytäntöönpanoasetuksia, joilla se voisi määritellä kriittiset ICT-osat, joita NIS2-direktiivin liitteiden I ja II toimijat käyttävät tuotteidensa tai palvelujensa tarjoamiseen, ja täytäntöönpanoasetuksia, joilla se voisi kieltää NIS2-direktiivin liitteiden I ja II toimijoita käyttämästä, asentamasta tai integroimasta kriittisiin ICT-osiin korkean riskin toimittajien ICT-komponentteja tai komponentteja sisältäen ICT-komponentteja. 

(24) Valtioneuvosto edellyttää, että komissiolle delegoitavat toimivaltuudet ovat tarkkarajaisia, oikeasuhtaisia, tarkoituksenmukaisia ja perusteltuja. Suuri valiokunta yhtyy valtioneuvoston kantaan ja korostaa, että komissiolle delegoitavaan toimivaltaan tulee kiinnittää erityistä huomiota jatkoneuvotteluissa.  

(25) Myös perustuslakivaliokunta (PeVL 21/2026 vp, kappale 15) on tarkastellut lausunnossaan komissiolle delegoitavaa täytäntöönpanovaltaa määrittää NIS2-direktiivin toimialoihin kuuluvia toimijoita koskevaa kiellon alaa. Perustuslakivaliokunta toteaa, että sääntelyä toimenpiteistä, jotka voivat olla merkityksellisiä perustuslain 15 §:n 2 momentissa säädetyn pakkolunastuksen ja yleisemmin omaisuudensuojan sekä elinkeinovapauden kannalta, ei ole asianmukaista jättää olennaisessa määrin komission täytäntöönpanoasetuksen varaan. Perustuslakivaliokunta katsoo, että säännösehdotuksia on tältä osin muutettava jatkovalmistelussa. 

(26) NIS2-muutosdirektiivissä komissiolle ehdotetaan myös mahdollisuutta antaa täysharmonisoivia täytäntöönpanosäädöksiä, mikä poikkeaa NIS2-direktiivin luonteesta vähimmäisharmonisoivana säädöksenä ja kaventaa jäsenvaltioiden liikkumavaraa. Valtioneuvosto suhtautuu alustavan varauksellisesti ehdotukseen komission toimivallasta täysharmonisoida riskienhallintatoimenpiteitä täytäntöönpanosäädöksillä. Valtioneuvosto pitää tarkoituksenmukaisena, että jäsenvaltioilla on riittävä kansallinen liikkumavara riskienhallintaa koskevien vaatimuksien asettamisessa.  

(27) Suuri valiokunta korostaa liikenne- ja viestintävaliokunnan tavoin, että jatkossakin jäsenvaltioilla voi olla tarve asettaa tarvittaessa pidemmälle meneviä kansallisia velvoitteita ja toimenpiteitä, erityisesti viestintäverkkojen turvallisuuden varmistamiseksi. Suuri valiokunta painottaa yleisemminkin liikenne- ja viestintävaliokunnan, hallintovaliokunnan ja puolustusvaliokunnan tavoin kansallista toimivaltaa ja päätösvaltaa kansallista turvallisuutta koskevissa asioissa ja kiinnittää huomiota siihen, että Euroopan unionista tehdyn sopimuksen (SEU) 4(2) artiklan mukaisesti kansallinen turvallisuus on yksinomaan kunkin jäsenvaltion vastuulla. Suuri valiokunta suhtautuu varauksellisesti ehdotukseen siitä, että komissio voisi antaa asetuksen nojalla täysharmonisoivia riskienhallintatoimenpiteiden täytäntöönpanosäädöksiä.  

Lopuksi

(28) Suuri valiokunta katsoo, että hyväksyttävään lopputulokseen pääsemiseksi ehdotusta tulee arvioida jatkoneuvotteluissa huolellisesti. Suuri valiokunta kiinnittää valtioneuvoston erityistä huomiota perustuslakivaliokunnan asiasta antamiin valtiosääntöoikeudellisiin näkemyksiin. 

(29) Suuri valiokunta toteaa, että jatkoneuvotteluissa on myös syytä varmistua ehdotuksen oikeusperustan asianmukaisuudesta. On varmistuttava siitä, että ehdotetulla sääntelyllä on riittävä liityntä sisämarkkinoiden toimintaan Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 114 artiklassa tarkoitetulla tavalla.  

(30) Suuri valiokunta edellyttää, että valtioneuvosto pitää eduskunnan asianmukaisesti tietoisena asiaa koskevista jatkoneuvotteluista ja tuo tarvittaessa eduskunnan käsiteltäväksi asiaa koskevia jatkokirjelmiä. 

VALIOKUNNAN LAUSUNTO

Suuri valiokunta ilmoittaa,

että se yhtyy asiassa edellä esitetyin täsmennyksin valtioneuvoston kantaan. 
Helsingissä 8.5.2026 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Sinuhe Wallinheimo kok 
 1. varapuheenjohtaja 
Laura Huhtasaari ps 
 2. varapuheenjohtaja 
Miapetra Kumpula-Natri sd 
 jäsen 
Sanna Antikainen ps 
 jäsen 
Juho Eerola ps 
 jäsen 
Ritva Elomaa ps 
 jäsen 
Timo Harakka sd (osittain) 
 jäsen 
Teemu Keskisarja ps 
 jäsen 
Mai Kivelä vas 
 jäsen 
Terhi Koulumies kok 
 jäsen 
Mika Lintilä kesk (osittain) 
 jäsen 
Helena Marttila sd 
 jäsen 
Jouni Ovaska kesk 
 jäsen 
Susanne Päivärinta kok 
 jäsen 
Onni Rostila ps 
 jäsen 
Arto Satonen kok 
 jäsen 
Eerikki Viljanen kesk 
 varajäsen 
Inka Hopsu vihr 
 varajäsen 
Antti Kangas ps 
 varajäsen 
Ari Koponen ps (osittain) 
 varajäsen 
Pia Lohikoski vas 
 varajäsen 
Jani Mäkelä ps 
 varajäsen 
Anders Norrback 
 varajäsen 
Pinja Perholehto sd 
 varajäsen 
Mika Riipi kesk 
 varajäsen 
Ville Skinnari sd (osittain) 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Jonna Berghäll