7.1
Lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation
1 §Lagens tillämpningsområde.Lagens tillämpningsområde utvidgas så att det till 1 mom. i paragrafen fogas bedömning av beredskapen och bedömning av säkerhetskritiska lösningar och informationssäkerheten för tillverkningen av sådana.
Lagen innehåller framöver bestämmelser om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation och dessutom om bedömning av beredskapen hos myndigheternas informationssystem och datakommunikation. Därmed tillämpas bedömningsförfarandena, bedömningsgrunderna och övriga bestämmelser i bedömningslagen även på bedömning av beredskapen. En utvidgning av tillämpningsområdet främjar ett konsekvent beaktande av faktorer som påverkar kontinuitetshanteringen och beredskapsplaneringen för informationssystem och datakommunikation vid myndigheterna.
Dessutom innehåller lagen bestämmelser om bedömning av informationssäkerheten i säkerhetskritiska lösningar och vid tillverkningen av dem. Säkerhetskritiska lösningar behöver bedömas både som en del av myndigheternas informationssystem och datakommunikation och i situationer där tillverkaren självständigt skaffar godkännande för säkerhetskritiska lösningar för skydd av myndigheters säkerhetsklassificerade uppgifter. Bestämmelser om säkerhetskritiska lösningar utfärdas eftersom de utgör produkter och tjänster vars tillförlitlighet har en betydande roll vid skyddet av säkerhetsklassificerade uppgifter och vilka tillverkarna har möjlighet att tillhandahålla som en del av informationssystem och datakommunikation.
Till paragrafen fogas ett nytt 2 mom. med bestämmelser om att bestämmelserna i bedömningslagen tillämpas på bedömningsmyndigheternas förfarande även i säkerhetsmyndigheternas uppgifter som hänför sig till informationssäkerheten i sådana informationssystem och sådan datakommunikation som avses i de internationella förpliktelserna som gäller informationssäkerhet, såvida inget annat föreskrivs i lagen om internationella förpliktelser som gäller informationssäkerhet eller följer av de internationella förpliktelserna som gäller informationssäkerhet. Lagen om internationella förpliktelser som gäller informationssäkerhet innehåller bestämmelser om bland annat uppgiftsfördelningen mellan de utsedda säkerhetsmyndigheterna. Internationella förpliktelser som gäller informationssäkerhet finns även i EU:s eller Natos säkerhetsbestämmelser och bilaterala informationssäkerhetsavtal. De internationella förpliktelserna som gäller informationssäkerhet och som hänför sig till informationssäkerheten i informationssystem och datakommunikation innefattar uppgifter för bedömning och godkännande av krypteringslösningar och andra säkerhetskritiska lösningar samt skydd mot informationsläckage via diffus strålning, det vill säga TEMPEST. Även vid bedömningar för att uppfylla de internationella förpliktelserna som gäller informationssäkerhet tillämpas de bestämmelser i bedömningslagen som hänför sig till förfarandet för anhängiggörande av ansökningar, fastställande av bedömningsgrunder, utfärdande av bedömningsrapporter, utlåtanden eller beslut och ändringssökande till den del som inget annat föreskrivs i rättsakterna om de internationella förpliktelserna som gäller informationssäkerhet.
Paragrafens 3 mom. överensstämmer med det gällande 2 mom. med vissa ändringar. Namnet på den behöriga myndigheten ändras till Transport- och kommunikationsverket. Ändringen är av teknisk karaktär. I och med ämbetsverksreformen inom Transport- och kommunikationsverkets förvaltningsområde upphörde Kommunikationsverket att existera den 1 januari 2019, och den nya kommunikationsförvaltningsmyndigheten är Transport- och kommunikationsverket.
Momentet överensstämmer med det gällande momentet till den delen att det, när det gäller Transport- och kommunikationsverkets uppgifter, hänvisas till säkerhetsutredningslagen vid uppgörandet av säkerhetsutredningar av företag. Till momentet fogas en hänvisning till Transport- och kommunikationsverkets uppgifter som föreskrivs i lagen om internationella förpliktelser som gäller informationssäkerhet. Enligt 4 § i ovan nämnda lag verkar verket som en utsedd säkerhetsmyndighet i ärenden som gäller informationssäkerheten hos informationssystem och datakommunikation. En säkerhetsmyndighets uppgifter som föreskrivs i bedömningslagen påverkar inte de uppgifter för bedömning och godkännande som hänför sig till de internationella förpliktelserna som gäller informationssäkerhet.
2 §Definitioner.Paragrafen innehåller bestämmelser om de definitioner som används i lagen. Paragrafen ändras så att definitionerna i dess 2 och 3 punkt ändras och nya 5–10 punkten fogas till paragrafen.
Paragrafens 1 punkt överensstämmer med 1 punkten i den gällande lagen, det vill säga att man med informationssystem avser ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling.
Paragrafens 2 punkt ändras så att definitionen av datakommunikation preciseras. Definitionen av datakommunikation överensstämmer med den gällande definitionen med den skillnaden att ett helhetsarrangemang som består av dataöverföringsnät, dataöverföringsutrustning, programvara och annan databehandling samt förfarandena i anslutning till dem fogas till definitionen. Ändringen preciserar det faktum att system för databehandling kan omfatta såväl dataöverföringsnät, dataöverföringsutrustning, programvara och annan databehandling som sådana administrativa, funktionella och tekniska förfaranden som direkt hänför sig till dem som beskrivs i exempelvis organisationens principer, bestämmelser och anvisningar för informationssäkerhet.
Informationssystem och datakommunikation kan omfatta säkerhetskritiska lösningar. Databehandling i enlighet med definitionerna hänvisar till behandling av elektroniska data.
I paragrafens 3 punkt utvidgas definitionen av myndighet så att de myndigheter som avses i lagen utgörs av alla myndigheter som avses i 4 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen. Därmed omfattar definitionen av myndighet såväl definitionen i den gällande lagen som de arbetsgrupper och motsvarande samt välfärdsområdens, välfärdssammanslutningars, kommuners och samkommuners revisorer samt andra därmed jämförbara organ som har tillsatts för att självständigt utföra en uppgift i enlighet med 4 § 1 mom. 8 punkten i offentlighetslagen. Informationshanteringslagen gäller också dessa aktörer och de kan behandla uppgifter som tillhör de högsta säkerhetsklasserna i informationssystem och datakommunikation, varvid de också ska iaktta de skyldigheter i bedömningslagen som hänför sig till bedömning av system.
Paragrafens 4 punkt överensstämmer med den gällande lagen, det vill säga att man med statsförvaltningsmyndighet avser statliga förvaltningsmyndigheter och andra statliga ämbetsverk och inrättningar samt domstolar och andra rättskipningsmyndigheter.
Till paragrafen fogas en ny 5 punkt med en definition av informationssäkerhet. Med informationssäkerhet avses skyddande av uppgifternas tillgänglighet, integritet och konfidentialitet genom administrativa, funktionella och tekniska åtgärder. De administrativa, tekniska eller övriga åtgärderna som definitionen avser kan exempelvis vara sådana informationssäkerhetsåtgärder som avses i informationshanteringslagen.
Med informationssäkerhet avses allmänt förfaranden som bidrar till att trygga uppgifternas konfidentialitet vid behandling av uppgifter, det vill säga skydd av uppgiftsinnehållet från oberättigad användning, uppgifternas integritet, det vill säga oföränderlighet, och uppgifternas tillgänglighet med beaktande av eventuella begränsningar av tillgängligheten på grund av uppgifternas konfidentialitet. Med behandling av uppgifter avses åtgärder som gäller mottagning, upprättande, registrering, läsning, ändring, utlämnade, kopiering, överföring, förmedling, förstöring, förvaring och arkivering av uppgifter eller ett dokument samt andra åtgärder som hänför sig till uppgifter eller ett dokument. De förfaranden som används för att genomföra informationssäkerhet kan vara administrativa, funktionella, fysiska och tekniska. Sådana är exempelvis administrativa informationssäkerhetsprinciper, krav på administrativa tillvägagångssätt som hänför sig till behandling av uppgifter, utredning av säkerheten för företag och personer, säkerhetsavtal, lokalsäkerhet, informationstekniska implementeringar, säkerhetskontroller och säkerhetskritiska lösningar.
Till paragrafen fogas en ny 6 punkt med en definition av beredskap. Med beredskap avses åtgärder för att sörja för att utnyttjandet av informationssystem och datakommunikation samt den verksamhet som baserar sig på dem fortsätter så störningsfritt som möjligt vid störningar under normala förhållanden samt under sådana undantagsförhållanden som avses i beredskapslagen. Kontinuitet och beredskap för verksamhet kan omfatta många slags åtgärder, såsom identifiering av viktiga funktioner och informationssystem, bedömning och förvaltning av risker exempelvis genom att dubblera komponenter samt granskning och förvaltning av funktioner och leveranskedjor och reservsystem för verksamheten.
I 13 a § 3 mom. i informationshanteringslagen finns bestämmelser om informationshanteringsenhetens beredskapsskyldigheter, enligt vilka informationshanteringsenheten utifrån riskbedömningen genom beredskapsplaner och förberedelser för verksamhet i störningssituationer samt genom andra åtgärder ska se till att behandlingen av uppgiftsmaterial, utnyttjandet av informationssystem och verksamheten fortsätter så störningsfritt som möjligt i störningssituationer under normala förhållanden samt under sådana undantagsförhållanden som avses i beredskapslagen. I 3 kap. i beredskapslagen finns bestämmelser om myndigheternas beredskapsskyldigheter under undantagsförhållanden.
Till paragrafen fogas en ny 7 punkt med en definition av bedömningsorgan för informationssäkerhet. Med bedömningsorgan för informationssäkerhet avses sådana företag, sammanslutningar och myndigheter som avses i bedömningslagen och som Transport- och kommunikationsverket har godkänt i enlighet med lagen om bedömningsorgan. Definitionen överensstämmer med hänvisningen i 3 § i den gällande lagen till bedömningsorgan och lagen om bedömningsorgan.
Till paragrafen fogas en ny 8 punkt med en definition av säkerhetsklass. Med säkerhetsklass avses en sådan säkerhetsklass som avses i 18 § 1 mom. i informationshanteringslagen och i den statsrådsförordning som utfärdats med stöd av 4 mom. i den paragrafen. Enligt 3 § i den gällande förordningen om säkerhetsklassificering finns säkerhetsklasserna I, II, III och IV.
Till paragrafen fogas en ny 9 punkt med en definition av säkerhetskritiska lösningar. Med säkerhetskritiska lösningar avses krypteringslösningar, lösningar för skydd mot informationsläckage via diffus strålning och andra informations- och kommunikationstekniska lösningar som skyddar säkerhetsklassificerade uppgifter i informationssystem och datakommunikation. Med lösning avses produkter, tjänster eller implementeringar som används för skydd av uppgifter som behandlas i informationssystem och datakommunikation, inklusive lagring och överföring av uppgifter mellan informationssystem eller datakommunikation genom dataanslutning. Definitionen är oberoende av teknik. En krypteringslösning kan vara till exempel krypteringsutrustning eller krypteringsprogramvara. Skydd mot informationsläckage via diffus strålning kan genomföras genom exempelvis lokallösningar och skydd för utrustning. Säkerhetskritiska lösningar är också till exempel nätslussar.
Till paragrafen fogas en ny 10 punkt med en ny definition av tillverkare av en säkerhetskritisk lösning. Med tillverkare av en säkerhetskritisk lösning avses ett företag som ansvarar för en säkerhetskritisk lösning under hela dess livscykel, från utveckling till underhåll. Med andra ord ansvarar företaget för de åtgärder som har betydelse för lösningens tillförlitlighet vid skyddet av säkerhetsklassificerade uppgifter. En säkerhetskritisk lösning kan bestå av flera olika element eller komponenter och det typiska är att tillverkaren skaffar element, komponenter eller funktioner för lösningen av flera olika aktörer. Företaget ansvarar för tillförlitligheten för hela leveranskedjan, inklusive tillförlitligheten för delar som skaffas av underleverantörer.
Med företag avses en fysisk person eller en annan enhet som bedriver näringsverksamhet och som, enligt 3 § 1 mom. 1–3 punkten i företags- och organisationsdatalagen (244/2001) , ska registreras i företags- och organisationsdatasystemet. Det kan alltså vara fråga om 1) fysiska personer eller dödsbon som bedriver näringsverksamhet, 2) öppna bolag, kommanditbolag, aktiebolag, andelslag, föreningar, stiftelser och andra privaträttsliga juridiska personer eller 3) staten och statliga inrättningar, kommuner, samkommuner, församlingar och andra religionssamfund samt andra offentligrättsliga juridiska personer. Däremot blir sådana utländska organisationers eller stiftelsers filialer i Finland eller europabolag, europaandelslag eller europeiska ekonomiska intressegrupperingar som avses i 3 § 4–5 punkten i lagen i praktiken inte aktuella till följd av det krav på inhemskhet som avses i föreslagna 4 § 2 mom. 1 punkten och en eventuell uteslutning av utländsk påverkan i en sådan säkerhetsutredning för företag som ska sökas enligt föreslagna 7 a §.
3 §Förfaranden för bedömning av informationssäkerhet och beredskap.Paragrafens rubrik ändras från anlitande av tjänster för bedömning av informationssäkerheten till förfaranden för bedömning av informationssäkerhet och beredskap. Den ändrade paragrafen innehåller bestämmelser om bedömningsförfaranden och begränsningar av användningen av dem.
Paragrafens 1 mom. ändras så att det innehåller bestämmelser om bedömningsförfaranden som är tillgängliga för myndigheter. Det föreslås att det till de nuvarande bedömningsförfarandena fogas att självbedömning som en myndighet genomför och bedömningar som en tjänsteleverantör utför på uppdrag av en myndighet är bedömningsförfaranden utöver bedömningar som utförs av ett bedömningsorgan för informationssäkerhet och bedömningar som utförs av en bedömningsmyndighet enligt den gällande lagen.
Momentets 1 punkt innehåller bestämmelser om självbedömning som en myndighet genomför som ett av de bedömningsförfaranden som är tillgängliga för myndigheter. Med självbedömning avses bedömning som en myndighet genomför självständigt av sådana informationssystem eller datakommunikation som omfattas av myndighetens beslutanderätt eller som det finns planer på att skaffa. Självbedömning kan också utgöras av bedömning som genomförts av flera myndigheter tillsammans eller kollegial bedömning. En myndighet som genomför självbedömning ska se till att den har den kunskap inom genomförande av informationssäkerhet och beredskap som behövs vid självbedömning. En statsförvaltningsmyndighet kan genomföra självbedömning i enlighet med förslaget till exempel i samband med det utlåtandeförfarande för sådana förändringar i informationshanteringen som avses i 9 § i informationshanteringslagen. En myndighet som genomför självbedömning kan också använda sig av en sådan informationssäkerhetsrapport om informationssystem eller datakommunikation som ska bedömas och som den fått av Statens center för informations- och kommunikationsteknik Valtori.
Momentets 2 punkt innehåller bestämmelser om bedömningar som en tjänsteleverantör utför på uppdrag av en myndighet som ett av bedömningsförfarandena. Myndigheter har inte nödvändigtvis den kunskap och de resurser som behövs för en utförlig bedömning av i synnerhet informationssäkerheten i och beredskapen hos informationssystem och datakommunikation med hög risk. Då är det motiverat att möjliggöra bedömningar av informationssäkerhet och beredskap på uppdrag av myndigheten. Med bedömningar som en tjänsteleverantör utför på uppdrag av en myndighet avses bedömningar som utförs av någon annan än ett bedömningsorgan för informationssäkerhet eller en annan myndighet än en bedömningsmyndighet som avses i föreslagna 3 d §.
I 3 och 4 punkten i momentet föreskrivs att bedömningar som utförs av ett bedömningsorgan för informationssäkerhet och bedömningar som utförs av sådana bedömningsmyndigheter som avsis i föreslagna 3 d § är bedömningsförfaranden. Dessa bedömningsförfaranden motsvarar de tillåtna bedömningsförfaranden som föreskrivs i 3 § i den gällande lagen.
Till paragrafen fogas ett nytt 2 mom. med bestämmelser om att en myndighet i form av uppdrag kan anlita tjänsteleverantörer för att utföra en bedömning av sådana informationssystem eller sådan datakommunikation som behandlar uppgifter som är offentliga eller sekretessbelagda eller som högst hör till säkerhetsklass IV. Bedömning av informationssystem och datakommunikation som behandlar de högsta säkerhetsklasserna kräver omfattande kunskap och särskilda lokaler och verktyg. Om en tjänsteleverantör vill specialisera sig på bedömning av informationssystem och datakommunikation som behandlar uppgifter i säkerhetsklass III, kan den ansöka om att bli ett bedömningsorgan.
I 2 mom. i paragrafen föreskrivs också att en myndighet, när den använder sig av sådana bedömningstjänster som avses i 1 mom. 2 punkten, ska försäkra sig om tjänsteleverantörens tillförlitlighet i den omfattning som uppdraget förutsätter. Syftet med bestämmelsen är att säkerställa att endast tillförlitliga utomstående aktörer kan bedöma myndigheters informationssystem och datakommunikation.
Bedömningsuppdragen, de informationssystem och den datakommunikation som ska bedömas och de myndighetsuppgifter som en tjänsteleverantör fått i samband med ett uppdrag kan variera avsevärt, så metoderna för tillräckligt säkerställande av tillförlitligheten kan vara olika. Myndigheterna kan fastslå krav på skydd av uppgifter och leverantörernas lämplighet på det sätt som möjliggörs av upphandlingslagstiftningen. Dessutom kan myndigheterna försäkra sig om tjänsteleverantörernas tillförlitlighet genom att utreda tillgängliga uppgifter om tjänsteleverantörerna, deras ansvariga personal och deras ägare genom att använda sig av offentliga registeruppgifter, myndigheters registeruppgifter och tjänster för kredit- och företagsuppgifter.
Det är särskilt viktigt att försäkra sig om tjänsteleverantörernas tillförlitlighet vid uppdrag som innebär att tjänsteleverantörerna behandlar sekretessbelagda uppgifter, i synnerhet om uppgifterna som behandlas tillhör säkerhetsklass IV, vilken är den högsta möjliga klassen vid bedömning som utförs av tjänsteleverantörer. Därmed ska risker som hänför sig till den nationella säkerheten beaktas noggrant vid upphandling av bedömningstjänster och i avtal som gäller tjänsterna. Om villkoren uppfylls ska myndigheterna vid behov låta göra säkerhetsutredningar av de företag och personer som utför bedömningsuppgifter och som getts tillgång till myndigheternas säkerhetsklassificerade uppgifter under uppdraget. Bestämmelser om villkoren för utarbetande av säkerhetsutredningar av företag och personer finns i säkerhetsutredningslagen.
Myndigheterna ska också försäkra sig om skyddet för uppgifterna. I 26 § 3 mom. i offentlighetslagen finns bestämmelser om skyldigheten för en myndighet att på förhand försäkra sig om att uppgifterna kommer att hemlighållas och skyddas på behörigt sätt. Enligt 6 § 1 mom. i statsrådets förordning om säkerhetsklassificering av handlingar inom statsförvaltningen ska en statsförvaltningsmyndighet på förhand säkerställa att en säkerhetsklassificerad handling skyddas på behörigt sätt om myndigheten lämnar ut den till någon annan än en statsförvaltningsmyndighet. De informationssystem och lokaler i vilka tjänsteproducenten behandlar myndighetens sekretessbelagda eller säkerhetsklassificerade uppgifter ska särskilt uppmärksammas.
Dessutom ska myndigheten beakta sådana informationssäkerhetsavtal med andra stater som är baserade på ömsesidigt skydd. I Finland kan en annan stats uppgifter som är ”RESTRICTED” i regel behandlas i sådana nationella system som uppfyller kraven för säkerhetsklass IV och övriga krav för internationella uppgifter med särskilt skydd. Behandling av EU:s och Natos säkerhetsklassificerade uppgifter är däremot tillåten endast i informationssystem och datakommunikation som ackrediterats enligt EU:s eller Natos säkerhetsbestämmelser.
Vid utarbetandet av ett upphandlingsavtal med tjänsteleverantören kan myndigheten använda sig av rekommendationer, anvisningar, bestämmelser och verktyg för fastställande av informationssäkerhetskrav för upphandlingar samt system för gemensamma upphandlingar. Systemen för gemensamma upphandlingar kan omfatta säkerhetskrav för tjänsteleverantörer och säkerhetsavtal. I sådana situationer som avses i lagen om offentlig försvars- och säkerhetsupphandling (1531/2011) kan myndigheten genomföra bedömningstjänsten i form av en försvars- och säkerhetsupphandling.
Till paragrafen fogas ett nytt 3 mom. med bestämmelser om en ny begränsning jämfört med den gällande lagen. Enligt begränsningen kan en myndighet anlita ett bedömningsorgan för informationssäkerhet för att utföra en bedömning av informationssystem eller datakommunikation som behandlar offentliga eller sekretessbelagda uppgifter eller uppgifter i säkerhetsklass IV eller III. Bestämmelser om bedömningsorgan för informationssäkerhet och deras oberoende, tillförlitlighet och kompetens finns i lagen om bedömningsorgan. Bedömningsorgan för informationssäkerhet bedöms som säkra och kompetenta att bedöma informationssystem och datakommunikation som behandlar uppgifter i säkerhetsklass III.
3 a §Bedömningsskyldigheter för statsförvaltningsmyndigheter Till lagen fogas en ny 3 a § som innehåller bestämmelser om statsförvaltningsmyndigheters bedömningsskyldigheter. Paragrafen innehåller dessutom bestämmelser om vissa begränsningar av tillämpningsområdet för bedömningsskyldigheterna.
Paragrafens 1 mom. innehåller bestämmelser om statsförvaltningsmyndigheters skyldighet att bedöma informationssäkerheten i och beredskapen hos sina informationssystem och sin datakommunikation med hjälp av de förfaranden som avses i 3 §, med andra ord självbedömning, bedömning utförd av en tjänsteleverantör, bedömning utförd av ett bedömningsorgan för informationssäkerhet eller bedömning utförd av en bedömningsmyndighet
I 2 mom. i paragrafen finns bestämmelser om valet av bedömningsförfarande. Statsförvaltningsmyndigheter ska, på basis av en riskbedömning av informationssäkerheten i och beredskapen hos informationssystemet eller datakommunikationen, välja vem som utför bedömningen, vilka krav och kriterier som ska användas vid bedömningen och hur bedömningar ska sörjas för under informationssystemets och datakommunikationens livscykel. Olika bedömningsförfaranden kan väljas för olika delar eller delområden av informationssystemet eller datakommunikationen. Vid valet av bedömningsförfarande kan faktorer som ett ekonomiskt och effektivt genomförande av bedömningen, krav på tillförlitlighet, integritet, tillgänglighet och kontinuitetshantering för de uppgifter som behandlas i det informationssystem eller den datakommunikation som bedöms, sekretesskrav och säkerhetsklasser, krav på och teknisk omfattning för en lämplig metod för produktion av det system som ska bedömas, metoden för genomförande, anslutning till andra system och behovet av utomstående specialkunskap i förhållande till myndighetens tillgängliga resurser. Valet av bedömningsförfarande begränsas dock av de föreslagna begränsningarna i föreslagna 3 § 2 och 3 mom. och av de föreslagna bedömningsskyldigheterna i 1 och 2 punkten i momentet.
I momentets 1 punkt föreskrivs att statsförvaltningsmyndigheter är skyldiga att begära att en bedömningsmyndighet bedömer sådana informationssystem och sådan datakommunikation där uppgifter som hör till säkerhetsklass I eller II behandlas. Skyldigheten är motiverad eftersom bedömning av informationssystem och datakommunikation som behandlar uppgifter som tillhör de högsta säkerhetsklasserna kräver viss specialkunskap om de funktionella kraven, villkoren och säkerhetsarrangemangen för de högsta säkerhetsklasserna, inom vilket bedömningsmyndigheterna har gedigen kunskap.
I momentets 2 punkt finns bestämmelser om statsförvaltningsmyndigheters skyldighet att av en bedömningsmyndighet eller ett bedömningsorgan för informationssäkerhet begära eller skaffa en bedömning av informationssäkerheten i och beredskapen hos informationssystem eller datakommunikation där uppgifter som hör till säkerhetsklass III behandlas, om inte statsförvaltningsmyndigheten på basis av en riskbedömning beslutar att det är onödigt. I riskbedömningen ska samma faktorer beaktas som i riskbedömningar i enlighet med momentets inledningsstycke. Den tekniska omfattningen för systemet som ska bedömas kan variera och myndigheten kan själv ha de resurser som behövs för exempelvis bedömning av arbetsstationer eller bedömning av ändringar på användningsställen. Även för bedömning av åtgärder för beredskap kan myndigheten själv ha goda förutsättningar och den bästa sakkunskapen när det gäller betydelsen av beredskap hos de system som hänför sig till myndighetens verksamhet. Om en statsförvaltningsmyndighet utifrån en riskbedömning beslutar att inte begära en bedömning av en bedömningsmyndighet eller att inte skaffa en bedömning av ett bedömningsorgan för informationssäkerhet, ska beslutet fattas i enlighet med myndighetens interna beslutanderätt, vilket ofta förutsätter ledningens godkännande.
Momentets 3 punkt i innehåller bestämmelser om miniminivån för statsförvaltningsmyndigheters bedömningsskyldighet, det vill säga att statsförvaltningsmyndigheter alltid åtminstone ska utföra en självbedömning av informationssäkerheten i och beredskapen hos sina informationssystem och sin datakommunikation.
Enligt 13 § i informationshanteringslagen ska en informationshanteringsenhet följa upp informationsmaterialens och informationssystemens informationssäkerhet under hela deras livscykel samt identifiera relevanta risker som är förenade med informationsbehandlingen och dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen. Det är därmed inte nödvändigt att binda de föreslagna bedömningsskyldigheterna till endast användningen av informationssystem och datakommunikation, utan det är lämpligt att utföra bedömningar regelbundet under informationssystemens och datakommunikationens livscykel. Det är lämpligt att, baserat på en riskbedömning, överväga en förnyad bedömning av sådana informationssystem och sådan datakommunikation som behandlar uppgifter som tillhör säkerhetsklass I, II och III till exempel i samband med ändringar.
I 3 mom. i paragrafen finns bestämmelser om avgränsning av de skyldigheter som gäller val av bedömningsförfarande så att de inte omfattar vissa myndigheter.
För det första föreskrivs i momentet att de skyldigheter som gäller val av bedömningsförfarande i enlighet med föreslagna 2 mom. inte tillämpas på skyddspolisens verksamhet.Förslaget är motiverat eftersom skyddspolisens informationssystem innehåller mycket känsligt innehåll. Redan risken för att innehållet hamnar hos tredje part kan äventyra skyddspolisens inhämtande av information och därmed äventyra den nationella säkerheten. Enligt skyddspolisens bedömning innebär det konsekvenser som försämrar den nationella säkerheten om bedömningar utförs av ett organ som inte tillhör skyddspolisen.
Dessutom föreskrivs i momentet att de skyldigheter som gäller val av bedömningsförfarande i enlighet med föreslagna 2 mom. i paragrafen inte tillämpas på verksamhet som bedrivs av riksdagens justitieombudsman eller justitiekanslern i statsrådet eller på domstolar, nämnder som inrättats för att handlägga besvärsärenden, republikens presidents kansli eller riksdagens ämbetsverk.De föreslagna begränsningarna av tillämpningsområdet beror huvudsakligen på den ställning som organisationerna inom den offentliga sektorn enligt grundlagen har, baserat på vilken styrningsbehörigheten för myndigheter som tillhör statens centralförvaltning inte kan utvidgas till att omfatta styrning av den interna förvaltningen av dessa organisationer.
De myndigheter som inte omfattas av de föreslagna bedömningsskyldigheterna i 2 mom. väljer sina bedömningsförfaranden av de förfaranden som föreskrivs i 3 § baserat på egen prövning. Detta innebär att de också kan begära en bedömning av informationssäkerheten av Transport- och kommunikationsverket eller skaffa en bedömning av ett bedömningsorgan för informationssäkerhet. De myndigheter som inte omfattas av skyldigheterna i 2 mom. i paragrafen ansvarar själva för informationssäkerhetsåtgärderna för de informationssystem som de använder. Därmed beslutar de ovan nämnda myndigheterna även själva i vilken mån de beaktar en bedömningsrapport av Transport- och kommunikationsverket eller ett bedömningsorgan för informationssäkerhet när de fattar beslut om deras informationssystem.
3 b §Bedömningsskyldigheter för andra myndigheter än statsförvaltningsmyndigheter. Till lagen fogas en ny 3 b § med bestämmelser om bedömningsskyldigheter för andra myndigheter än statsförvaltningsmyndigheter, alltså bedömningsskyldigheter för andra myndigheter än de som avses i föreslagna 3 a §. Bedömningsskyldigheterna gäller bedömning av informationssäkerheten i och beredskapen för sådana informationssystem och sådan datakommunikation som behandlar säkerhetsklassificerade uppgifter.
I 1 mom. i paragrafen finns bestämmelser om en skyldighet för andra myndigheter än statsförvaltningsmyndigheter som motsvarar den som föreslås i 3 a § 2 mom. 1 punkten att av en bedömningsmyndighet begära bedömning av informationssäkerheten i och beredskapen hos deras informationssystem och datakommunikation som behandlar uppgifter som tillhör säkerhetsklass I eller II.
I 2 mom. i paragrafen föreskrivs för andra myndigheter än statsförvaltningsmyndigheter en skyldighet som motsvarar den som föreslås i 3 a § 2 mom. 2 punkten att av en bedömningsmyndighet begära eller av ett bedömningsorgan för informationssäkerhet skaffa en bedömning av informationssäkerheten i och beredskapen hos sådana informationssystem eller sådan datakommunikation som behandlar uppgifter som tillhör säkerhetsklass III, om inte myndigheten på basis av en riskbedömning beslutar att det är onödigt. Utarbetandet av en riskbedömning motsvarar också den riskbedömning som föreslås i 3 a §.
Trots att den skyldighet att säkerhetsklassificera dokument vilken föreskrivs i informationshanteringslagen och förordningen om säkerhetsklassificering inte gäller andra myndigheter än statliga myndigheter, är det möjligt att även andra myndigheter behandlar säkerhetsklassificerade uppgifter i sina informationssystem eller i sin datakommunikation, varvid bedömningsskyldigheterna i den föreslagna paragrafen tillämpas. Med behandling av uppgifter avses, i enlighet med vad som skrivits i motiveringen till 2 § 5 punkten, även lagring och arkivering av uppgifter, så skyldigheten gäller även myndigheter som lagrar eller arkiverar uppgifter som tillhör säkerhetsklass I, II eller III i informationssystem eller datakommunikation.
Utöver de föreslagna bedömningsskyldigheterna som gäller andra myndigheter än statliga myndigheter kan dessa myndigheter, exempelvis kommuner, även mer omfattande använda sig av sådana bedömningsförfaranden för informationssäkerheten i och beredskapen hos informationssystem och datakommunikation som avses i bedömningslagen som en del av det identifierande av risker som är förenade med informationsbehandlingen och det dimensionerande av informationssäkerhetsåtgärderna som avses i 13 § i informationshanteringslagen. Genomförande eller skaffande av bedömningar av informationssäkerheten och beredskapen stöder riskhanteringen som hänför sig till myndigheternas informationsbehandling. Vid genomförandet av bedömningar enligt bedömningslagen gäller även begränsningarna vid användning av bedömningsförfaranden i föreslagna 3 a § 2 och 3 mom. andra myndigheter än statliga myndigheter.
3 c §Påvisande av att kraven uppfylls. Till lagen fogas en ny 3 c § med bestämmelser om myndigheters möjlighet att begära godkännande av en bedömningsmyndighet för sitt informationssystem eller sin datakommunikation för att visa att kraven på informationssäkerhet uppfylls i de situationer som avses i paragrafen. Behovet av godkännande och rätten att ansöka om godkännande gäller den skyldighet som följer av internationella informationssäkerhetsvillkor eller internationellt samarbete eller som föreskrivs i lag att genom ett oberoende bedömningsorgan visa för tredje part att kraven på informationssäkerhet uppfylls. En bedömning med godkännande som mål innebär att bedömningsprocessen fortsätter tills de avvikelser som observerats vid bedömningen har korrigerats, varvid bedömningsmyndigheten utarbetar ett beslut eller utlåtande om godkännande i enlighet med föreslagna 8 § 2 mom. om att de krav som använts som bedömningsgrund uppfylls. Med det att kraven uppfylls och påvisande av att kraven uppfylls avses att en bedömningsmyndighet baserat på bedömningsprocessen har konstaterat att de avvikelser som observerats vid bedömningen har korrigerats så att den myndighet som begärt bedömningen har förutsättningar att besluta om hur den kvarstående risken ska hanteras utan att detta äventyrar en tredje parts förtroendebaserade system.
De internationella förpliktelser som gäller informationssäkerhet i enlighet med lagen om internationella förpliktelser som gäller informationssäkerhet som avses i 1 punkten i paragrafen kan till exempel vara baserade på EU:s eller Natos säkerhetsregler eller avtalsbestämmelserna i Finlands informationssäkerhetsavtal. Enligt 4 § i lagen om internationella förpliktelser som gäller informationssäkerhet är ärenden som gäller informationssäkerheten i informationssystem och datakommunikation uppgifter som tillfaller Transport- och kommunikationsverkets uppgifter i egenskap av den utsedda säkerhetsmyndigheten.
En sådan övrig slags situation av internationellt samarbete som avses i 2 punkten i paragrafen kan uppstå exempelvis om inga informationssäkerhetsavtal har ingåtts med den andra staten, varvid det inte uppstår några sådana internationella förpliktelser som gäller informationssäkerhet som avses i lagen om internationella förpliktelser som gäller informationssäkerhet och som är baserade på det statsavtal som avses i 1 punkten, men en oberoende bedömning och ett konstaterande att kraven på informationssäkerhet uppfylls är i praktiken nödvändigt för att det internationella samarbetet ska kunna genomföras. Därmed kan den utsedda säkerhetsmyndigheten vid Huvudstaben på begäran av Försvarsmakten och Transport- och kommunikationsverket på begäran av en annan myndighet vid behov utarbeta ett sådant godkännande som förutsätts vid internationellt samarbete.
De förutsättningar för en bedömningsmyndighets godkännande av att kraven uppfylls som avses i 3 punkten i paragrafen finns inte i den gällande lagstiftningen.
3 d §Bedömningsmyndigheter.Till lagen fogas en ny 3 d § med bestämmelser om bedömningsmyndigheter.
I 1 mom. i paragrafen finns bestämmelser om bedömningsmyndigheterna, som utgörs av Transport- och kommunikationsverket och den utsedda säkerhetsmyndigheten vid Huvudstaben (DSA Designated Security Authority) och som avses i 4 § 1 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet. Transport- och kommunikationsverket utför bedömningsuppgifter redan med stöd av den gällande lagen, men för den utsedda säkerhetsmyndigheten vid Huvudstaben är uppgiften ny. Försvarsmaktens bedömningsuppgift behöver föreskrivas uttryckligen till den utsedda säkerhetsmyndigheten vid Huvudstaben för att säkerställa att verksamheten är oberoende. I övrigt finns bestämmelser om uppgifterna för den utsedda säkerhetsmyndigheten vid Huvudstaben i lagen om internationella förpliktelser som gäller informationssäkerhet.
Utförandet av bedömningar omfattas i huvudsak av Transport- och kommunikationsverkets behörighet. Behörigheten för den utsedda säkerhetsmyndigheten vid Huvudstaben omfattar sådana bedömningar som gäller Försvarsmaktens egna system. Det är lämpligt att avgränsa behörigheten och uppgifterna för bedömnings- och godkännandemyndigheten för den utsedda säkerhetsmyndigheten vid Huvudstaben till Försvarsmaktens egna informationssystem, så att uppgiftsfördelningen mellan Transport- och kommunikationsverket och myndigheten förblir tydlig och så att överlappningar undviks. Den utsedda säkerhetsmyndigheten vid Huvudstaben utför bedömningar av informationssäkerheten i och beredskapen hos Försvarsmaktens egna informationssystem och egen datakommunikation som behandlar offentliga eller sekretessbelagda uppgifter eller uppgifter som tillhör någon säkerhetsklass samt bedömningar av de säkerhetskritiska lösningar som Försvarsmakten behöver i sin verksamhet.
I 2 mom. i paragrafen föreskrivs att de bedömningsuppgifter som hör till den utsedda säkerhetsmyndigheten vid Huvudstaben också kan skötas av en person som hör till Försvarsmaktens avlönade personal och som har utsetts till uppgiften av säkerhetsmyndigheten. Vid utförandet av sina uppgifter agerar de utsedda personerna under styrning och övervakning av den utsedda säkerhetsmyndigheten vid Huvudstaben. Syftet med bestämmelsen är att säkerställa att verksamheten är oberoende.
I 3 mom. i paragrafen föreskrivs att bedömningsmyndigheterna till sin organisation och sitt beslutsfattande ska vara oberoende vid skötseln av bedömningsuppgifterna. Bedömningsmyndigheterna ska kunna ta fram objektiv information om föremålen för bedömning baserat på utredningar de fått vid bedömningen eller information som de på annat sätt fått vid bedömningen. Bedömningsmyndigheterna ska därför i sina uppgifter vara oberoende av de beslut som föremålet för bedömningen fattar och föremålet för bedömningen ska inte kunna påverka bedömningsmyndigheternas observationer eller slutsatser. Oberoende kan säkerställas till exempel genom myndighetens arbetsordning.
Villkoret på oberoende gäller även en person som hör till Försvarsmaktens avlönade personal och som har utsetts till uppgiften av den utsedda säkerhetsmyndigheten vid Huvudstaben. Bedömningsuppgifterna för informationssäkerhet och beredskap kan därmed inte skötas av exempelvis samma personer som leder eller genomför planeringen, byggandet eller underhållet av de informationssystem eller den datakommunikation som ska bedömas.
I 3 mom. föreskrivs dessutom att bedömningsmyndigheterna ska säkerställa att dess anställda eller personer som agerar för dess räkning har tillräcklig utbildning och erfarenhet med tanke på bedömningsuppgiftens art och omfattning. Med personer som agerar för dess räkning avses en person som hör till Försvarsmaktens avlönade personal och som har utsetts till uppgiften av den utsedda säkerhetsmyndigheten vid Huvudstaben. Bedömningsmyndigheterna ska säkerställa att den som utför en bedömning har de kunskaper som krävs för att utföra uppgifterna och att granskningen utförs objektivt. Som en del av säkerställandet av tillräcklig utbildning och erfarenhet ska bedömningsmyndigheterna följa upp den tekniska utvecklingen och upprätthålla och utveckla sin kompetens fortlöpande på det sätt som krävs för föremålen för bedömning.
4 §Bedömningsmyndigheternas uppgifter.Paragrafen och dess rubrik ändras så att paragrafen innehåller bestämmelser om bedömningsmyndigheternas uppgifter i stället för Kommunikationsverkets uppgifter.
Paragrafens 1 mom. ändras så att det innehåller bestämmelser om den uppgift som innebär att bedömningsmyndigheterna, det vill säga Transport- och kommunikationsverket och den utsedda säkerhetsmyndigheten vid Huvudstaben, på begäran av en myndighet ska bedöma informationssäkerheten i och beredskapen hos informationssystemet eller datakommunikationen eller tillhörande säkerhetskritiska lösningar. Momentet överensstämmer med gällande 1 mom. 1 punkten med den skillnaden att bedömning av informationssäkerheten i säkerhetskritiska lösningar som en del av bedömningen av informationssystem och datakommunikation samt bedömning av beredskapen tillfogas som en ny bedömningsuppgift. Uppgiften omfattar även det godkännande på ansökan av en myndighet som avses i föreslagna 3 c § och det utfärdande av bedömningsrapporter samt beslut och utlåtanden om godkännande som avses i föreslagna 8 §.
Paragrafens 2 mom. ändras så att den innehåller bestämmelser om de uppgifter som endast tilldelas Transport- och kommunikationsverket. Enligt 1 punkten i momentet har myndigheten till uppgift att handlägga sådana begäranden om bedömning av överensstämmelse med kraven på informationssäkerhet för en säkerhetskritisk lösning och för dess tillverkning som lämnats in av tillverkare som är etablerade i Finland. Detta är en ny uppgift för Transport- och kommunikationsverket, och dess syfte är att göra det möjligt för tillverkare att begära godkännande för säkerhetskritiska lösningar och främja tillhandahållandet av och tillgången till finländska produkter för skydd av säkerhetsklassificerade uppgifter.
Syftet med en bedömning som utförts av Transport- och kommunikationsverket är att få Transport- och kommunikationsverkets godkännande om att den lösning som bedömts uppfyller kraven. Godkännandet offentliggörs i en förteckning i enlighet med föreslagna 8 c §. En bedömning av en säkerhetskritisk lösning ska omfatta en bedömning av alla sådana underleverantörer vars delar är avgörande vid bedömningen av lösningens tillförlitlighet. Vid handläggningen av en tillverkares ansökan med ett offentligt godkännande som mål är det viktigt att bedöma tillverkarens och dess underleverantörers ursprung, produktutveckling och beredskap samt själva lösningen. Bedömningen av tillverkaren och beredskapen är en viktig del av bedömningen av lösningen. Vid godkännande av en tillverkare av lösningar för skydd mot informationsläckage via diffus strålning, det vill säga TEMPEST-lösningar, är den en avgörande del av innehållet i godkännandet. En bedömning och ett godkännande av en tillverkare av lösningar för skydd mot informationsläckage via diffus strålning innebär att företaget har en konstaterad förmåga att upprätthålla kvaliteten på och förfarandena för tillverkningen utan att en bedömningsmyndighet bedömer varenda produkt, utrustning eller annan lösning.
Med etablerad i Finland avses företag som är etablerade i Finland, vars tillverkning sker i Finland och vilka inte omfattar en risk för utländsk påverkan. Syftet med att avgränsa handläggningen av ansökningar till lösningar som tillverkas i Finland av tillverkare som är etablerade i Finland är att avgränsa Transport- och kommunikationsverkets bedömningar med ett offentligt godkännande som mål till sådan inhemsk tillverkning som verket de facto kan bedöma och följa upp. Syftet med regleringen är att bidra till att främja en praxis i Finland vilken iakttas inom de internationella förpliktelserna som gäller informationssäkerhet och enligt vilken vardera staten ansvarar för att bedöma sådan tillverkning som sker inom området för dess behörighet. I synnerhet när det gäller krypteringslösningar utgörs grunden för praxisen av ett behov av att försäkra sig om att tillverkningen inte innebär eventuella risker orsakade av oönskad utländsk påverkan. Bedömningarna av andra lösningar än inhemska säkerhetskritiska lösningar är en del av bedömningarna av informationssystem och datakommunikation enligt vad som föreskrivs i 1 mom.
I 2 punkten i mom. finns bestämmelser om Transport- och kommunikationsverkets rådgivningsuppgift. Transport- och kommunikationsverket ska ge rådgivning om informationssäkerhetsåtgärder och bedömning av informationssäkerheten i fråga om informationssystem, datakommunikation och säkerhetskritiska lösningar. Det är fråga om en rådgivningsuppgift som är mer omfattande än sådan allmän myndighetsrådgivning som föreskrivs i 8 § i förvaltningslagen, vilken kräver djupt gående sakkunskap inom informationssäkerhet och hänför sig till identifierande av informationssäkerhetshot samt åtgärder, krav och praxis för informationssäkerhet och tillämpning av dem allmänt eller från fall till fall. Uppgiften stöder exempelvis utvecklingsprocesser för informationssystem, datakommunikation och säkerhetskritiska lösningar. Transport- och kommunikationsverket deltar i dessa processer från och med planeringsstadiet. Beräkningen och planeringen av en bedömning innebär dialog mellan den som ansökt om bedömningen och bedömningsmyndigheten. Genom dialogen utreds säkerhetsmålen för och de uppgifter som hänför sig till det tekniska genomförandet av föremålet för bedömningen samt den planerade tidsplanen för genomförandet av föremålet för bedömningen.
Transport- och kommunikationsverkets rådgivningsuppgift stöder även utnyttjandet av bedömningsorgan för informationssäkerhet vid bedömning av myndigheters informationssystem eller datakommunikation. Transport- och kommunikationsverket kan ge rådgivning i planeringsskedet för en bedömning av informationssystem eller datakommunikation, vid inriktningen av bedömningen och vid valet av bedömningsgrunder, varvid bedömningsuppgiften för bedömningsorganet för informationssäkerhet effektivt kan riktas till testning och bevisning.
Momentets 3 punkt innehåller bestämmelser om Transport- och kommunikationsverkets nya uppgift att styra och övervaka verksamheten hos tillverkare av säkerhetskritiska lösningar som tillverkar lösningar för skydd mot informationsläckage via diffus strålning och som har fått ett beslut om godkännande som avses i 8 § 3 mom. samt att vid behov meddela beslut om krav på tillverkningen eller lösningen. Syftet är att främja förutsättningarna för verksamheten för godkända TEMPEST-företag. Styrningsmodellen är förenlig med EU:s och Natos säkerhetsbestämmelser. Enligt dem krävs ständig övervakning och styrning av TEMPEST-företag som godkänts av en behörig myndighet. Styrningen och övervakningen skapar förutsättningar för företag att ge kunderna förtroende för deras verksamhet nationellt och internationellt. De allmänna villkoren för verksamheten ska utfärdas i ett beslut om godkännande om tillverkaren av skydd mot informationsläckage via diffus strålning i enlighet med det som föreskrivs i föreslagna 8 § 3 mom. Styrning av tolkningen av olika åtgärder och krav kan huvudsakligen ske genom rådgivning, men vid behov ska Transport- och kommunikationsverket meddela ett beslut. Åtgärderna kan gälla exempelvis stickprov för funktionskontroll som krävs vid tillverkningen av en viss produkttyp.
Paragrafens 3 mom. ändras så att lagen även omfattar faktorer som Transport- och kommunikationsverket ska beakta när det placerar sina uppgifter i viktighetsordning med beaktande av de tillgängliga resurserna, och när det fattar beslut om huruvida verket tar på sig att utföra en begärd bedömning. Verket kan också ta på sig att utföra en begärd bedömning endast delvis. Övriga bestämmelser om det tekniska fastställandet av föremålet för bedömningen finns i 7 §.
Enligt 1 punkten i momentet ska Transport- och kommunikationsverket även framöver i första hand sörja för de bedömningar som krävs enligt de internationella förpliktelserna som gäller informationssäkerhet. Enligt 2 punkten i momentet ska verket också beakta myndigheternas bedömningsskyldigheter enligt föreslagna 3 a och 3 b §, enligt 3 punkten informationens säkerhetsklass och enligt 4 punkten tillgången till annan oberoende bedömning. I praktiken ska Transport- och kommunikationsverket med andra ord åta sig att utföra bedömningar av system som behandlar uppgifter som tillhör säkerhetsklass I och II, såvida inte behörigheten för dem tillhör den utsedda säkerhetsmyndigheten vid Huvudstaben. Dessutom ska verket prioritera bedömningar av informationssystem och datakommunikation som behandlar säkerhetsklassificerade uppgifter med beaktande av huruvida andra oberoende bedömningsorgan är tillgängliga för att utföra bedömningsuppgiften, exempelvis sådana bedömningsorgan för informationssäkerhet som har kompetens att utföra bedömningar av informationssäkerheten i och beredskapen hos informationssystem och datakommunikation som behandlar uppgifter i säkerhetsklass III och IV.
Dessutom ska Transport- och kommunikationsverket enligt 5 punkten beakta främjande av utbudet av finländska säkerhetskritiska lösningar och enligt 6 punkten beakta likabehandling av dem som begär och ansöker om bedömning. Momentets 7 punkt överensstämmer med bestämmelserna i det gällande momentet om beaktande av vilken allmän betydelse de begärda åtgärderna har när det gäller allmänt förbättrande av informationssäkerheten i myndigheternas informationssystem och datakommunikation, med tillägget att även skydd för samhällets vitala funktioner ska beaktas.
Till paragrafen fogas ett nytt4 mom. som motsvarar 2 mom. i den gällande paragrafen. Momentet innehåller därmed bestämmelser om att en sådan begäran till Transport- och kommunikationsverket som avses i 1 mom. på uppdrag av en myndighet också får framställas av den som för myndighetens räkning sköter anskaffningar eller tillhandahåller databehandlings- eller datakommunikationstjänster eller sköter serviceuppgifter med anknytning till ordnandet av dem. Enligt förarbetet till den gällande lagen har man velat säkerställa att de som anlitar databehandlings- och datakommunikationstjänster kan förvissa sig om att de tjänster som de tillhandahåller olika statsförvaltningsmyndigheter uppfyller kraven på informationssäkerhet inom statsförvaltningen (RP 45/2011 rd s. 12).
4 a §Uppgifter för att bistå bedömningsmyndigheterna. Till lagen fogas en ny 4 a § med bestämmelser om uppgifter för att bistå bedömningsmyndigheterna.
Som en ny möjlighet i förhållande till den nuvarande lagen föreskrivs i 1 mom. i paragrafen att bedömningsmyndigheterna kan anlita fysiska eller juridiska personer, det vill säga företag eller sammanslutningar, som hjälp vid myndighetsbedömningar. Bedömningsmyndigheterna kan dock inte överföra bedömningsuppgiften i sin helhet till en utomstående fysisk eller juridisk person. För att säkerställa resurser för myndighetsbedömningarna ska personalresurser kunna anlitas på den privata marknaden. Det kan vara svårt för bedömningsmyndigheterna att rekrytera tillräckligt med personal för bedömningsuppgifterna eftersom mängden kompetent personal är liten. För de kostnader som uppstår av bedömningarna ansvarar samma organ som vid bedömningar som utförs av bedömningsmyndigheter. Därmed ska bedömningsmyndigheterna avtala om användningen av utomstående sakkunniga tillsammans med det organ som ansvarar för kostnaderna för bedömningarna.
De utomstående sakkunniga som deltar i bedömningarna ska ha tillräcklig utbildning och erfarenhet med tanke på bedömningsuppgiftens art och omfattning. Vid ett uppdrag som tilldelats en utomstående sakkunnig kan bedömningsmyndigheten bestämma vilken kompetens som förutsätts av den sakkunniga och vilka bedömningskriterierna den sakkunniga ska använda. När utredningsvillkoren uppfylls och vid behov om det krävs för den nationella säkerheten eller säkerhetsklassificeringen för de uppgifter som behandlas i föremålet för bedömningen eller ett annat skäl som hänför sig till den samhälleliga säkerheten, ska det övervägas huruvida en sådan säkerhetsutredning av företag eller person som avses i säkerhetsutredningslagen behöver göras för den som utför en bedömning eller deltar i den. Bestämmelser om villkoren för utarbetande av säkerhetsutredningar av företag och personer finns i säkerhetsutredningslagen.
När utomstående sakkunniga anlitas är det fråga om överförande av en offentlig förvaltningsuppgift till privata aktörer och på de sakkunniga som utför en uppgift tillämpas bestämmelserna om straffrättsligt tjänsteansvar. Till slutet av 1 mom. fogas dessutom en informativ bestämmelse om att bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).
I 2 mom. i paragrafen finns bestämmelser om att Teknologiska forskningscentralen VTT Ab (nedan Teknologiska forskningscentralen) har till uppgift att på uppdrag av en bedömningsmyndighet bedöma säkerhetskritiska lösningar. Uppgiften hänför sig till målen för cybersäkerheten, vilka har tagits upp i regeringsprogrammet för Petteri Orpos regering, statsrådets försvarsredogörelse 2024 och strategin för cybersäkerheten för åren 2024–2035. Enligt strategin för cybersäkerheten strävar Finland efter att vara självförsörjande i fråga om kritisk krypteringsteknik. Detta förutsätter att nationellt kritisk krypteringsteknik, såsom kvantsäkra krypteringslösningar, utvecklas i Finland och att den övergripande krypteringstekniska förmågan stärks bland annat inom delområdena produktion, forskning, kalkylering, dekompilering och organisering. I genomförandeplanen för strategin för cybersäkerhet av den 3 december 2024 presenteras byggande av ett nationellt krypteringstekniskt laboratorium som ett mål för att utveckla den nationella krypteringstekniska kompetensen. Samtidigt konstateras i statsrådets försvarsredogörelse att ett nationellt krypteringstekniskt laboratorium inrättas för att stödja forskning, kompetensutveckling, inhemsk produktionsförmåga och olika myndigheters uppgifter som hänför sig till krypteringsteknisk kompetens.
Den biträdande uppgift som föreslås för Teknologiska forskningscentralen och som innebär bedömande av säkerhetskritiska lösningar är motiverad eftersom det ovan nämnda krypteringstekniska laboratoriet kommer att byggas i anslutning till Teknologiska forskningscentralen.
Teknologiska forskningscentralens biträdande bedömningsuppgift möjliggör långsiktigt samarbete med bedömningsmyndigheterna. Teknologiska forskningscentralen utför inte bedömningar självständigt, utan på uppdrag och under ledning av en bedömningsmyndighet. För den uppgift som föreslås för Teknologiska forskningscentralen i momentet är det också fråga om en offentlig förvaltningsuppgift och på anställda vid Teknologiska forskningscentralen tillämpas det krav på utbildning och erfarenhet som föreskrivs om utomstående sakkunniga i 1 mom. samt bestämmelserna om straffrättsligt tjänsteansvar.
4 b §Informationsutbyte och samarbete mellan bedömningsmyndigheterna. Till lagen fogas en ny 4 b § med bestämmelser om informationsutbyte, samarbete och smidig användning av resurser mellan bedömningsmyndigheterna. Förslaget behövs för att säkerställa att bedömningsmyndigheternas verksamhet är effektiv och ändamålsenlig.
I 1 mom. i paragrafen finns bestämmelser om bedömningsmyndigheternas samarbete och rätt att få uppgifter för att sköta sina uppgifter. Bedömningsmyndigheterna ska lämna ut sådana uppgifter åt varandra som är nödvändiga för skötseln av uppgifterna trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av uppgifter. Utbyte av informationen är en avgörande del av samarbetet. Syftet med samarbetet och utbytet av information är att förebygga överlappande arbete, främja en gemensam lägesbild av bedömningsbehoven för den offentliga förvaltningen och delad kunskap samt beaktande av den tekniska utvecklingen och informationssäkerhetshot och en enhetlig tolkning av kraven vid bedömningsverksamhet.
Paragrafens 2 mom. innehåller bestämmelser om att bedömningsmyndigheterna, trots de befogenheter som föreskrivs i 3 d § 1 mom. och bedömningsmyndigheternas uppgifter som föreskrivs i 4 § 1 och 2 mom., kan avtala om att sköta enskilda uppgifter eller en del av uppgifterna för en annan bedömningsmyndighets räkning, om arrangemanget behövs för att uppgifterna ska kunna skötas på ett ändamålsenligt, ekonomiskt och snabbt sätt. Detta främjar en smidig användning av bedömningsresurser enligt den prioritering som avtalats gemensamt.
Bedömningsmyndigheterna kan avtala om att sköta uppgifter för en annan bedömningsmyndighets räkning till den del som det inte är fråga om ett ärende som ska avgöras med förvaltningsbeslut, såsom en uppgift för godkännande eller övervakning. När det gäller ärenden som ska avgöras med förvaltningsbeslut kan bedömningsmyndigheterna avtala om att för en annan bedömningsmyndighets räkning endast sköta sådana uppgifter som hänför sig till utredande av ärendet. Därmed är syftet med det föreslagna samarbetet inte att överföra en bedömningsmyndighets beslutanderätt och befogenheter till en annan bedömningsmyndighet, utan det är snarare fråga om en biträdande uppgift.
I 3 mom. i paragrafen åläggs Transport- och kommunikationsverket att styra och samordna samarbetet mellan bedömningsmyndigheterna med syfte att skapa en enhetlig tillämpningspraxis. Syftet är att säkerställa att samarbetet och informationsutbytet mellan bedömningsmyndigheterna sker smidigt. När det gäller bedömning av säkerhetskritiska lösningar är ett viktigt mål med samordnandet av samarbetet och tillämpningspraxisen när det gäller tillverkarnas och de olika myndighetsanvändarnas behov att de informationssäkerhetskrav som tillämpas på lösningarna och tillämpningen av dem hos olika bedömningsmyndigheter inte skiljer sig från varandra. Samordningen ska sörja för att tillverkarna blir medvetna om Försvarsmaktens funktionella krav.
5 §Utredningar på uppdrag av finansministeriet. Paragrafen ändras så att namnet på den behöriga myndigheten ändras till Transport- och kommunikationsverket i form av en teknisk ändring.
Paragrafens 1 mom. ändras så att det i enlighet med det utökade tillämpningsområdet för lagen omfattar såväl utredningar om nivån på informationssäkerheten och beredskapen som sådana objekt för eventuella utredningar som finansministeriet begär av Transport- och kommunikationsverket. I form av en teknisk ändring uppdateras momentet så att finansministeriet kan begära utredningar av Transport- och kommunikationsverket i stället för termen utredning som används inom den gällande enheten.
I 2 mom. i paragrafen uppdateras formuleringen av den rätt att få uppgifter oberoende av sekretessbestämmelserna som föreskrivs i den gällande lagen så att den gäller oberoende av sekretessbestämmelserna och andra begränsningar som gäller utlämnande av uppgifter. I stället för en bedömning som lämnats av Transport- och kommunikationsverket gäller bestämmelserna en utredning som lämnats av Transport- och kommunikationsverket. Det är fråga om en teknisk ändring för att terminologin ska överensstämma med de ändringar som föreslås i 1 mom.
6 §Bedömningsmyndigheternas rätt att få uppgifter, inspektionsrätt och rätt att få tillträde till lokaler och informationssystem. Paragrafens rubrik ändras så att Kommunikationsverket byts ut mot bedömningsmyndigheterna och inspektionsrätt tillfogas.
Paragrafens 1 mom. ändras så att rätten att få uppgifter och tillträde utvidgas till att även omfatta bedömningsmyndigheter, det vill säga både Transport- och kommunikationsverket och den utsedda säkerhetsmyndigheten vid Huvudstaben. Sakkunniga som handlar på uppdrag av bedömningsmyndigheter ersätts med sakkunniga som bistår bedömningsmyndigheterna i biträdande uppgifter i enlighet med det som föreskrivs i föreslagna 4 a §.
Rätten att få uppgifter binds till nödvändighet i stället för behövlighet, vilket föreskrivs i den gällande paragrafen. Bedömning av huruvida uppgifter är nödvändiga är bedömningsmyndigheternas uppgift, varvid de ska kunna motivera att uppgifterna är nödvändiga när de begär dem av myndigheter och företag för att utföra bedömningar, utredningar eller övervakning. Dessutom uppdateras formuleringen av den rätt att få uppgifter oberoende av bestämmelserna om sekretessbelagda uppgifter som föreskrivs i den gällande lagen så att den gäller trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av uppgifter. Andra begränsningar som gäller utlämnande av uppgifter kan vara exempelvis företags affärs- eller yrkeshemligheter.
Paragrafens 1 mom. ändras också så att rätten att få uppgifter gäller de uppgifter som föreskrivs i denna lag i stället för uppgifterna om de informationssystem och den datakommunikation som ska bedömas eller som är föremål för utredning. Ändringen är motiverad eftersom de föreslagna nya uppgifterna för bedömningsmyndigheterna omfattar såväl bedömning av informationssystem och datakommunikation som exempelvis bedömning, styrning och övervakning av säkerhetskritiska lösningar och tillverkningen av dem.
Bedömningsmyndigheternas rätt att få tillträde till lokaler och informationssystem, vilken föreskrivs i 1 mom. i paragrafen, preciseras så att rätten till tillträde även omfattar datakommunikation. Dessutom fogas handlingar, utrustning och program till objekten för rätten att få information. Vid bedömning av säkerhetskritiska lösningar kan exempelvis program och källkoder behöva bedömas och utrustning behöva testas. För tydlighetens skull fogas till momentet ett omnämnande om rätten att utföra administrativa och tekniska bedömningsåtgärder. Sådana är olika tekniska kontrollåtgärder, såsom sårbarhetsscanningar av och tester för informationssystem och datakommunikation. Teknisk testning är ett nödvändigt förfarande vid bedömningar av informationssäkerheten i både informationssystem och säkerhetskritiska lösningar. Genom teknisk testning kan utredningar baserade på dokument och intervjuer bestyrkas och förmågan för informationssystem eller säkerhetskritiska lösningar observeras vid pågående skydd från olika informationssäkerhetshot. Teknisk testning kan kräva tillträde till lokaler med utrustning som används för informationssystem eller datakommunikation.
Till paragrafen fogas ett nytt 2 mom. med bestämmelser om rätten för Transport- och kommunikationsverket och den utsedda säkerhetsmyndigheten vid Huvudstaben när den i enlighet med 4 b § 2 mom. i bedömningslagen sköter en uppgift för Transport- och kommunikationsverkets räkning att utföra inspektioner inom sådan tillsyn av tillverkare av lösningar för skydd mot informationsläckage via diffus strålning som avses i föreslagna 4 § 2 mom. 3 punkten. Vid inspektionerna kan Transport- och kommunikationsverket och den utsedda säkerhetsmyndigheten vid Huvudstaben biträdas av sådana biträdande sakkunniga som avses i 4 a §. Syftet med inspektionerna är att utreda om tillverkaren iakttar de beslut som fattats med stöd av denna lag. Med beslut som fattats med stöd av denna lag hänvisas det till sådana beslut om godkännande som avses i föreslagna 8 § 3 mom. och sådant beslutsfattande som avses i 4 § 2 mom. 3 punkten. Till skillnad från vid sådana bedömningar och utredningar som avses i 1 mom. är det vid inspektioner som hänför sig till tillsynen av bedömningsåtgärder för lösningar för skydd mot informationsläckage via diffus strålning fråga om sådana inspektioner som avses i 39 § i förvaltningslagen. Rätten att få information och tillträdet vid inspektioner överensstämmer med det som föreskrivs i 1 mom.
Till paragrafen fogas ett nytt 3 mom. som överensstämmer med 2 mom. i den gällande lagen, med den skillnaden att tryggandet av hemfriden utvidgas till att även omfatta de inspektioner som avses i föreslagna 2 mom.
7 §Bedömningsgrunder för informationssäkerhet och beredskap.Paragrafens rubrik ändras så att den beaktar det utvidgade tillämpningsområde som föreslås för lagen, varvid paragrafen innehåller bestämmelser om både bedömningsgrunderna för informationssäkerhet och bedömningsgrunderna för beredskap.
Inledningsstycket i paragrafens 1 mom. kompletteras så att paragrafens bedömningsgrunder tillämpas på såväl informationssäkerheten i myndigheters informationssystem och datakommunikation som beredskapen hos informationssystemen och datakommunikationen samt bedömning av informationssäkerheten i säkerhetskritiska lösningar och vid tillverkningen av dem.
Syftet med listningen av bedömningsgrunder i 1 mom. i paragrafen är att möjliggöra omfattande användning av olika bedömningsgrunder. Till 1 punkten i momentet fogas krav på cybersäkerhet och beredskap utöver kraven på informationssäkerhet. Vid sidan om kraven på informationssäkerhet för myndigheternas verksamhet utfärdas även krav på cybersäkerhet, vilka det är lämpligt att beakta som en del av bedömningar av informationssystem och datakommunikation.
I stället för att nämna anvisningar för särskilda myndigheter, såsom finansministeriet och den nationella säkerhetsmyndigheten, är allmänna anvisningar för myndigheter om tillämpningen av bestämmelserna en tillräcklig och allmängiltigare metod. Myndigheterna ska försäkra sig om att anvisningarna är enhetliga och likformiga. Därmed omfattar ändrade 1 punkten det som föreskrivs i gällande 1 mom. 2 punkten.
Momentets 2 punkt motsvarar den nuvarande 3 punkten, men i och med Finlands medlemskap i Nato tillfogas Nordatlantiska fördragsorganisationen som ett eventuellt organ som utfärdar bestämmelser, föreskrifter eller anvisningar. Till punkten fogas också myndigheternas anvisningar om tillämpningen av internationellt organs bestämmelser och anvisningar. I likhet med 1 mom. innehåller även 2 punkten såväl informationssäkerhet som cybersäkerhet och beredskap.
Momentets 3 punkt överensstämmer med den nuvarande 4 punkten och momentets 4 punkt överensstämmer med den nuvarande 5 punkten, med den skillnaden att båda punkterna omfattar såväl bestämmelser, föreskrifter och anvisningar om informationssäkerhet som bestämmelser, föreskrifter och anvisningar om samt krav om beredskap och cybersäkerhet.
Paragrafens 2 mom. ändras så att det innehåller bestämmelser om de faktorer som ska beaktas vid fastställandet av bedömningsgrunderna och föremålet för en bedömning.
Med fastställande av bedömningsgrunderna avses fastställande av krav som är lagstadgade och som valts ut baserat på en riskbedömning utifrån den helhet av bedömningsgrunder som föreskrivs i 1 mom. Med föreskrivna krav avses exempelvis bestämmelserna i offentlighetslagen, informationshanteringslagen och förordningen om säkerhetsklassificering. Utarbetandet av en riskbedömning baseras på identifiering av hot. Hoten är allmänt kända informationssäkerhetshot som gäller informationssystem och datakommunikation oavsett sektor. Hoten är också särskilda informationssäkerhetshot mot föremålet för bedömningen som kan hänföra sig till exempelvis den betydelse som det system som bedöms har för den samhälleliga säkerheten, för den nationella säkerheten, för myndighetens verksamhet, med tanke på illasinnade aktörer när det gäller intresset för verksamheten för föremålet för bedömningen, för tillgången till tjänster för sammanslutningar och medborgare eller vissa tekniska metoder för genomförande. Vid en riskbedömning för fastställande av bedömningsgrunder ska även kraven på tillförlitlighet, integritet, tillgänglighet och kontinuitetshantering för de uppgifter som behandlas i föremålet för bedömningen samt kraven på den tekniska metoden för genomförande beaktas. Vid identifieringen av kraven beaktas exempelvis den administrativa, funktionella, fysiska och tekniska säkerheten, kontinuitetshanteringen, beredskapen och dataskyddet. En bedömning kan även baseras på bedömningskriterier som är baserade på en mindre mängd krav.
Med fastställande av föremålet för bedömningen avses de avgränsningar som görs vid planeringen av en bedömning. Föremålet för bedömningen kan variera alltifrån en arbetsstation till ett nätverk av många verksamhetsställen eller exempelvis vara en multinationell leverantörs molntjänst som används i omfattande grad inom en organisation. Avgränsningen av föremålet för bedömningen omfattar sådana delar av informationssystem eller datakommunikation som har väsentliga konsekvenser för informationssäkerheten i och beredskapen hos de uppgifter som behandlas. Till exempel är det ofta motiverat att inkludera terminalutrustning för informationssystemet, användningsställena och de förvaltningslösningar som används för underhåll i bedömningen.
I momentet föreskrivs också att det vid bedömningar som begärs av bedömningsmyndigheter är på bedömningsmyndigheternas ansvar att fastställa bedömningsgrunderna. Enligt god förvaltning ska bedömningsmyndigheterna höra den som begär bedömningen innan bedömningsgrunderna fastställs. På så sätt säkerställs utnyttjandet av bedömningsmyndigheternas sakkunskap och ändamålsenligheten för bedömningarna som stöd för riskhanteringen för den myndighet som begär bedömningen. Vid behov ger bedömningsmyndigheten myndigheten råd under planeringen av bedömningen eller medan bedömningen framskrider, i och med att genomförandet preciseras eller ändras.
Vid självbedömningar som utförs av en myndighet och bedömningar som en tjänsteleverantör utför på uppdrag av en myndighet fastställer myndigheten bedömningsgrunderna, föremålet för bedömningen och inriktningen för den. Lagen om bedömningsorgan innehåller bestämmelser om bedömningsgrunderna vid ett uppdragsförhållande mellan ett bedömningsorgan för informationssäkerhet och dess kund.
Till paragrafen fogas ett nytt 3 mom. med bestämmelser om fastställande av bedömningsgrunderna för säkerhetskritiska lösningar och beredningen av sådana. Bedömningsmyndigheten fastställer lämpliga bedömningsgrunder för lösningen utifrån vad som föreskrivs om bedömningsgrunderna i 1 mom. efter att ha hört tillverkaren av den säkerhetskritiska lösningen i enlighet med god förvaltning. Fastställandet av bedömningsgrunder kan göras bäst i form av ett samarbete mellan bedömningsmyndigheten och tillverkaren. Det gäller i synnerhet vid sådana bedömningar där säkerheten kräver bedömning redan i utvecklingsstadiet. En bedömning stöder därmed även tillverkarens utvecklings- och planeringsarbete.
Vid fastställandet av bedömningsgrunderna beaktas sådana säkerhetshot som vanligen påverkar lösningen på det sätt som beskrivs i motiveringen till 2 mom. Dessutom beaktas säkerhetsklassen, säkerheten vid tillverkningen och beredskapen att uppfylla de internationella förpliktelserna som gäller informationssäkerhet. Med säkerheten vid tillverkningen avses faktorer som hänför sig till tillverkningsföretaget och leveranskedjan samt en säker produktutveckling, planering och tillverkning, säkert underhåll och andra åtgärder. Med beredskapen att uppfylla internationella förpliktelser avses att målet med bedömningen är att främja tillverkarens möjligheter att för sin lösning även få ett sådant godkännande som eventuellt krävs enligt de internationella förpliktelserna som gäller informationssäkerhet. I detta avseende kan olika källor till de internationella förpliktelserna som gäller informationssäkerhet direkt utnyttjas som en del av bedömningsgrunderna eller grunderna fastställas så att fortsatt utveckling för att uppfylla de internationella förpliktelserna som gäller informationssäkerhet är möjlig.
7 a §Utredningar som hänför sig till bedömningar av tillverkare av säkerhetskritiska lösningar.Till lagen fogas en ny 7 a § med bestämmelser om utredningar som hänför sig till bedömningar av tillverkare av säkerhetskritiska lösningar.
I 1 mom. i paragrafen föreskrivs Transport- och kommunikationsverket en ny skyldighet när det gäller förfarandet som innebär att verket vid en sådan bedömning av en säkerhetskritisk lösning och av dess tillverkning som avses i 4 § 2 mom. 1 punkten ska ansöka om en sådan säkerhetsutredning av företag som avses i säkerhetsutredningslagen i fråga om den tillverkare som ansöker om bedömningen. Dessutom föreskrivs att godkännandet av en säkerhetskritisk lösning förutsätter att det i den säkerhetsutredning av företag som gäller tillverkaren inte har framkommit något som utifrån en helhetsbedömning skulle äventyra tillverkningens säkerhet och tillförlitlighet i synnerhet med hänsyn till riskerna för utländsk påverkan. Med tillverkningens säkerhet och tillförlitlighet avses till exempel ägandet av företaget, de ansvariga personerna, den ekonomiska situationen, leveranskedjorna som hänför sig till tillverkningen av säkerhetskritiska lösningar samt informationssäkerheten för lokaler och sådana informationssystem och sådan datakommunikation som påverkar tillverkningen. Betydelsen av de faktorer som hänför sig till beredskap ska sättas i relation till säkerhetsklassen och karaktären för den säkerhetskritiska lösningen och hur utsatt den är för att dess tillförlitlighet ska äventyras.
Paragrafens 2 mom. innehåller bestämmelser om situationer där en internationell standard används som en del av bedömningsgrunderna och det är möjligt att ackreditera kompetensen enligt den med hjälp av FINAS ackrediteringsförfarande som föreskrivs i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven. Förfarandet är inte obligatoriskt, utan Transport- och kommunikationsverket kan överväga grunderna för godkännande. Grunderna för godkännande kan omfatta behandling av internationella uppgifter med särskilt skydd eller säkerhetsklassificerade uppgifter, vilket kan påverka möjligheten att använda ackrediteringstjänsten FINAS smidigt.
Förslaget möjliggör också att en ackreditering som tillverkaren eventuellt fått redan tidigare kan beaktas som en del av grunderna för godkännande. Vid bedömning av tillverkare av lösningar för skydd mot informationsläckage via diffus strålning kan ansökan gälla godkännande av själva tillverkaren som ett TEMPEST-företag. Skydd mot informationsläckage via diffus strålning är ett snävt tekniskt specialområde som omfattar de högsta säkerhetsklasserna. Som bedömningsgrunder används i första hand internationella källor som utarbetats för skydd av säkerhetsklassificerade uppgifter. Vid bedömning av tillverkningsförfaranden kan samma standarder användas som även används inom andra tillverkningssektorer, såsom ackrediteringar enligt ISO/IEC 17025 och ISO/IEC 9001. Därmed kan FINAS ackreditering användas vid bedömning av standardenligheten för tillverkarens kompetens. Vid ackreditering som beaktar godkännandet av ett TEMPEST-företag som en grund är det inte nödvändigt att beakta detaljerade säkerhetsklassificerade tekniska substansuppgifter, utan att processerna är enhetliga och jämförbara.
8 §Utfärdande av bedömningsrapport, beslut om godkännande och utlåtande om godkännande. Paragrafens rubrik ändras så att den gäller utfärdande av bedömningsrapporter, beslut om godkännande och utlåtande om godkännande i stället för utfärdande av intyg.
Paragrafens 1 mom. ändras så att det innehåller bestämmelser om bedömningsrapporter som ska utarbetas om bedömningar. Bedömningsrapporter ska utarbetas för alla bedömningar som utförs enligt det förfarande som avses i föreslagna 3 § 1 mom.
Utifrån resultatet av bedömningen utarbetar den som utför en bedömning en rapport över nivån för informationssäkerhet och beredskap och eventuella risker för föremålet för bedömningen. Rapporten ska innehålla uppgifter om föremålet för bedömningen, vilka bedömningsgrunder som använts, bedömningens omfattning och vilka observationer som gjorts. Med bedömningens omfattning avses till exempel de autentiseringsmetoder som använts, hur djupgående bedömningen är, såsom vilka penetrationstest som använts vid den tekniska bedömningen, eller granskning av koden samt bedömningens tidsmässiga och organisatoriska omfattning. I rapporten kan lindriga eller till och med kraftiga avvikelser vid genomförandet av bedömningsgrunderna tas upp. Myndigheter behöver bedömningsrapporter när de fattar beslut om kvarstående risker samt ibruktagning och användning av informationssystem eller datakommunikation.
Syftet med en bedömningsrapport är att förtydliga myndigheternas ansvar när det gäller informationssäkerheten i deras informationssystem och datakommunikation. Genom användningen av bedömningsrapporter förbättras och harmoniseras kvaliteten på de beslut som myndigheterna fattar när det gäller åtgärder för informationssäkerhet och beredskap samt kvarstående risker i informationssystem och datakommunikation, eftersom bedömningsrapporterna utökar myndigheternas kunskapsunderlag om riskerna när det gäller förutsättningarna, informationssystem och datakommunikation.
Paragrafens 2 mom. ändras så att det innehåller bestämmelser om bedömningsmyndigheternas uppgift att meddela beslut om godkännande och ge utlåtanden om godkännande, när en myndighet har ansökt om godkännande enligt föreslagna 3 c § och det informationssystem eller den datakommunikation som ska bedömas uppfyller de krav som ställs i bedömningen. Dessutom innehåller momentet bestämmelser om uppgifter som har betydelse för beslut om godkännande och utlåtanden om godkännande. I beslutet eller utlåtandet ska det antecknas uppgifter om det föremål för bedömningen som godkänts av bedömningsmyndigheten och dess tekniska avgränsning, vilka bedömningsgrunder som använts, bedömningens omfattning, resultatet av bedömningen och kvarstående risk samt vid behov uppgift om giltighetstiden.
För formen på och innehållet i ett godkännande av informationssystem som godkänts för behandling av EU:s eller Natos säkerhetsklassificerade uppgifter finns olika krav i olika situationer, och till formen kan de utgöra exempelvis utlåtanden om godkännande, tillfälliga utlåtanden eller beslut om godkännande. Konsekvenserna av dessa utlåtanden och beslut i bedömningsprocessen bestäms av de internationella förpliktelserna som gäller informationssäkerhet. Förfarandena varierar beroende på om det är fråga om ett system som EU eller Nato levererar till Finland eller ett internationellt uppbyggt system som är avsett för behandling av EU:s eller Natos säkerhetsklassificerade uppgifter. Vid bedömningen av ett internationellt system ansvarar systemets ansvarsmyndighet för godkännandet och i ett utlåtande om godkännande för godkännandet av den kvarstående risk som uppkommer. Ansvarsmyndigheten ska beakta resultatet av den oberoende bedömningen. Vid bedömningen av ett internationellt system ges ett utlåtande om godkännande genom ett beslut och i vissa situationer ges ett eventuellt tillfälligt utlåtande om godkännande genom ett tillfälligt beslut, vilket innehåller villkoren för att ett egentligt utlåtande om godkännande ska kunna ges. Vid bedömningen av ett levererat system ligger däremot fokus för den bedömning som görs internationellt vanligen på de skydd som omger det levererade informationssystemet, såsom den fysiska säkerheten, personalsäkerheten och skydden mot informationsläckage via diffus strålning. Baserat på dessa skydd utarbetas ett utlåtande om överensstämmelse med kraven och utlåtandet om godkännande ges vanligen av något av EU:s eller Natos organ.
Lagen om bedömningsorgan innehåller bestämmelser om intyg som beviljas av en bedömningsmyndighet för informationssäkerhet.
Till paragrafen fogas ett nytt 3 mom. med bestämmelser om Transport- och kommunikationsverkets nya uppgift att meddela finländska tillverkare ett sådant förvaltningsbeslut om godkännandet av tillverkarens ansökan om bedömning av en säkerhetskritisk lösning och dess tillverkning som kan överklagas och av vilket resultatet av bedömningen framgår. Om den säkerhetskritiska lösningen uppfyller bedömningskraven, är beslutet ett beslut om godkännande för lösningen, av vilket giltighetstiden för godkännandet och de villkor som behövs för en säker användning av lösningen ska framgå. Godkännandet är i regel tillfälligt, eftersom den teknologiska utvecklingen och hotmiljöns utveckling kräver att lösningarna utvecklas tekniskt och bedöms tidvis. Användning av lösningarna vid skydd för säkerhetsklassificerade uppgifter kräver vanligen vissa slags val eller definitioner vid användningen av en lösning eller när det gäller dess driftsmiljö. Sådana villkor för val och definitioner som hänför sig till säker användning kan anges i beslutet eller till exempel i en bruksanvisning, det vill säga en användarpolicy, som ges i en bilaga till beslutet. Ett beslut om godkännande som gäller en tillverkare av en lösning för skydd mot informationsläckage via diffus strålning, det vill säga TEMPEST-utrustning, kan innehålla sådana villkor som behövs för att säkerställa att tillverkningen är tillförlitlig.
Om kraven för en säkerhetskritisk lösning eller dess tillverkning inte uppfylls, kan tillverkaren använda sig av den bedömningsrapport och det beslut som den fått vid utvecklingen och tillhandahållandet av lösningen.
8 a §Förteckning över godkända säkerhetskritiska lösningar och tillverkare.Paragrafen ändras så att den, i stället för att innehålla bestämmelser om myndigheternas skyldighet att skaffa intyg, föreskriver en ny uppgift för Transport- och kommunikationsverket som innebär att det ska föra och offentliggöra en förteckning över godkända säkerhetskritiska lösningar och tillverkare.
I paragrafen föreskrivs att Transport- och kommunikationsverket, när det godkänner en säkerhetskritisk lösning enligt den uppgift som föreskrivs i föreslagna 4 § 2 mom. 1 punkten och när det lämnar sådana beslut om godkännande som avses i föreslagna 8 § 3 mom. om huruvida en säkerhetskritisk lösning och dess tillverkning överensstämmer med kraven, ska publicera uppgifter om lösningarna och dess tillverkare i en offentlig förteckning. Om det i ett beslut om överensstämmelse med kraven konstateras att den säkerhetskritiska lösning som bedömts inte uppfyller de fastställda kraven, publiceras inga uppgifter om beslutet. Syftet med förteckningen är att tillhandahålla information om utbudet för myndigheter och företag som behöver säkerhetskritiska lösningar. Förfarandet överensstämmer med de förteckningar som hänför sig till skydd av EU:s och Natos säkerhetsklassificerade uppgifter.
Dessutom innehåller paragrafen bestämmelser om de uppgifter som till tillämpliga delar åtminstone ska framgå av förteckningen, beroende på lösning eller tillverkare. Enligt 1 punkten i paragrafen ska namnet på den säkerhetskritiska lösningen, dess användningsändamål och dess version framgå av förteckningen. Med användningsändamål avses till exempel produktens eller tjänstens typ eller tekniska användningsändamål som godkännandet gäller. Till exempel kan användningsändamålet för en krypteringslösning vara kryptering av material eller kryptering av datakommunikation.
Enligt 2 punkten i paragrafen ska det av förteckningen framgå den säkerhetsklass för vilken lösningen har konstaterats ge ett tillräckligt skydd. I förteckningen anges uppgifter baserat på den nationella säkerhetsklassen och vid behov om bedömningar som gjorts av EU eller Nato baserat på säkerhetsklassen.
Enligt 3 punkten i paragrafen ska tillverkaren av den säkerhetskritiska lösningen framgå av förteckningen. Om godkännandet gäller en tillverkare av TEMPEST-utrustning, kan uppgifter om tillverkaren och området för godkännande vara tillräckligt, och inga lösningar, produkter eller versioner behöver nödvändigtvis preciseras.
Enligt 4 punkten i paragrafen ska godkännandets giltighet samt ändring eller upphörande av godkännandet framgå av förteckningen. Uppgifter om giltighet, ändringar eller upphörande är viktiga vid planering av upphandling av lösningar. Ändringar kan till exempel gälla höjande eller sänkande av säkerhetsklassen eller versionsändringar. Giltigheten kan upphöra på tillverkarens initiativ, om ingen fortsatt giltighet begärs. Giltigheten kan även upphöra genom ett beslut som Transport- och kommunikationsverket fattat enligt 10 §, om lösningen eller tillverkaren inte längre uppfyller kraven för godkännande.
Enligt 5 punkten i paragrafen ska de villkor och begränsningar för en säker användning som hänför sig till godkännandet framgå av förteckningen. Med villkor för en säker användning avses till exempel en användarpolicy (SecOps, det vill säga Security Operating Rules) där det på ett tekniskt sätt redogörs för de användningssätt som krävs för det skydd som behövs för säkerhetsklassen. En användarpolicy eller anvisningar för en lösning kan vara sekretessbelagda, men förteckningen kan innehålla de offentliga uppgifter om dess existens som behövs. Ett godkännande kan också innebära tekniska begränsningar och avgränsningar, vilka det är lämpligt att ange i förteckningen.
8 b §Införande av uppgifter i registret över säkerhetsutredningar och avförande av anteckning.Det föreslås att paragrafen upphävs eftersom registret över säkerhetsutredningar endast har använts i liten utsträckning för det syfte som föreskrivs i paragrafen.
9 §Upprätthållande och uppföljning av informationssäkerheten.Paragrafen ändras så att den nuvarande bestämmelsen som innebär att den som fått ett intyg förbinder sig att upprätthålla informationssäkerhetsnivån ersätts med en skyldighet för den som fått ett beslut eller utlåtande ska upprätthålla informationssäkerheten i enlighet med utlåtandet eller beslutet. En anmälan om ändring som gäller informationssäkerheten ska göras till den bedömningsmyndighet som lämnat beslutet eller gett utlåtandet. Tröskeln för anmälningar om ändring sänks från att vara ändringar som inverkar på informationssäkerhetsnivån till att vara ändringar som kan inverka på de krav som anges i beslutet eller utlåtandet.
Bestämmelser om bedömningsmyndighetens rätt att få information, utföra inspektioner och få tillträde till lokaler och system finns i 6 §.
10 §Återkallande av beslut om godkännande eller utlåtande om godkännande. Paragrafen och dess rubrik ändras så att de motsvarar den föreslagna ändringen av 8 § genom att paragrafens bestämmelser om återkallande av intyg ersätts med bestämmelser om återkallande av beslut om godkännande eller utlåtande om godkännande. Dessutom ersätts Kommunikationsverket med bedömningsmyndigheten, så att paragrafen gäller båda bedömningsmyndigheterna.
11 §Ändringssökande.Det föreslås att paragrafen ändras genom att Kommunikationsverket ersätts med bedömningsmyndigheten och hänvisningen till den upphävda förvaltningsprocesslagen (586/2966) ersätts med en hänvisning till den gällande lagen om rättegång i förvaltningsärenden (808/2019).
12 §Avgifter.Paragrafens ordalydelse och hänvisning till lagen om grunderna för avgifter till staten (150/1992) uppdateras, Kommunikationsverket ersätts med bedömningsmyndigheten och hänvisningen till intyg ersätts med en hänvisning till en bedömningsrapport, ett utlåtande eller ett beslut som avses i föreslagna 8 §. Dessutom fogas rådgivning av en bedömningsmyndighet till de avgiftsbelagda tjänsterna. Ändringen överensstämmer delvis med nuläget och är enhetlig med Transport- och kommunikationsverkets rådande avgiftsförordning.
7.2
Lag om bedömningsorgan för informationssäkerhet
1 §Lagens syfte.Paragrafen kompletteras så att lagens syfte, utöver de gällande bestämmelserna, är att utfärda bestämmelser om ett förfarande genom vilket myndigheter kan skaffa en oberoende bedömning av informationssäkerheten och beredskapen. Den föreslagna ändringen av paragrafen är enhetlig med föreslagna 3 § i bedömningslagen enligt vilken en bedömning som genomförts av ett godkänt bedömningsorgan för informationssäkerhet är ett av förfarandena för bedömning av informationssäkerheten i och beredskapen hos myndigheternas informationssystem och datakommunikation. Även till sin karaktär är den föreslagna ändringen av paragrafen förtydligande, i och med att myndigheterna redan med stöd av den gällande lagen har kunnat skaffa informationssäkerhetsbedömningar av godkända bedömningsorgan för informationssäkerhet.
2 §Lagens tillämpningsområde. Lagens tillämpningsområde preciseras och till 1 mom. i paragrafen fogas, i enlighet med vad som enligt förslaget fogas till bedömningslagen, att bedömningsorgan för informationssäkerhet framöver har till uppgift att på uppdrag bedöma nivån på såväl informationssäkerheten i som beredskapen hos informationssystem eller datakommunikation. I 1 mom. i paragrafen beaktas dessutom den ämbetsverksreform som utförts inom transport- och kommunaktionsministeriets förvaltningsområde, varvid Kommunikationsverket upphörde att existera den 1 januari 2019 och Transport- och kommunikationsverket utgör den nya myndigheten för kommunikationsförvaltning.
Paragrafens 2 mom. ändras så att det överensstämmer med de ändringar som föreslås för bedömningslagen. Paragrafens hänvisning till Kommunikationsverkets uppgifter som föreskrivs annanstans uppdateras till bedömningsmyndigheternas uppgifter som föreskrivs annanstans, och utöver bedömning av informationssäkerheten beaktas bedömning av beredskapen i momentet. Dessutom ändras momentets hänvisning till säkerhetsutredningar som gäller sammanslutningar så att den överensstämmer med den nuvarande benämningen säkerhetsutredning som gäller företag.
3 §Ansökan om godkännande av bedömningsorgan.Paragrafens 1 mom. förtydligas så att bedömningsorgan för informationssäkerhet kan ansöka hos Transport- och kommunikationsverket om godkännande både för sin verksamhet och för kompetensområdet för en bedömning. De kompetensområden som godkänts för ett bedömningsorgan för informationssäkerhet avgränsar vilka bedömningskriterier för informationssäkerhet och beredskap som verket kan använda vid sina bedömningsuppgifter. I samband med ansökan ska bedömningsorgan för informationssäkerhet ange vilket kompetensområde de ansöker om godkännande för. Ett godkänt bedömningsorgan för informationssäkerhet kan senare utvidga sitt verksamhetsfält och ansöka om godkännande för ytterligare kompetensområden. Möjligheten att ansöka om godkännande för ett nytt kompetensområde gäller sådana ytterligare kompetenser för godkända bedömningsorgan för informationssäkerhet som hänför sig till sådana kompetensområden som är förenliga med de bedömningsgrunder som föreskrivs i 10 § i lagen om bedömningsorgan och som organet inte ännu har. Enligt föreslagna 5 § 3 mim. krävs framöver inte längre alltid FINAS ackreditering för ytterligare kompetensområden. I stället krävs även framöver FINAS ackreditering för ett kompetensområde inom informationssäkerhet eller beredskap för att ett organ ska godkännas som bedömningsorgan för informationssäkerhet.
Dessutom ändras Kommunikationsverket i 1 mom. till Transport- och kommunikationsverket genom en teknisk ändring.
4 §Behandlingen av ansökan. Till 1 mom. i paragrafen fogas säkerhetsutredning av företag som en ny metod för att utreda tillförlitligheten hos ett bedömningsorgan. En säkerhetsutredning av företag möjliggör utredning och uppföljning av ägarförhållandena för ett bedömningsorgan för informationssäkerhet samt säkerhetsutredningar och uppföljningar av oförvitligheten hos de ansvariga personerna. Säkerhetsutredningar av företag omfattar även lokaler och informationssystem som ägs av bedömningsorganet för informationssäkerhet, varvid deras säkerhet inte behöver granskas separat. Transport- och kommunikationsverket ska ansöka om säkerhetsutredning av företag när bedömningsorgan för informationssäkerhet ansöker om kompetens som gäller bedömning av hanteringen av säkerhetsklassificerade uppgifter. Inom tillämpningsområdet för bedömningslagen utgörs sådan kompetens till exempel av användning av auditeringsverktyget Katakri som en bedömningsgrund i enlighet med instruktionerna av den nationella säkerhetsmyndigheten. I och med att Transport- och kommunikationsverket utgör ansökare av utredningen får det information om skyddspolisens eventuella observationer, vars betydelse för godkännandet av bedömningsorganet verket kan bedöma. Förslaget är motiverat eftersom skyddspolisen kan utnyttja en noga lagstadgad och standardiserad process för att utreda tillförlitligheten hos ett bedömningsorgan.
I situationer där ett bedömningsorgan ansöker om kompetens som gäller hanteringen av något annat än säkerhetsklassificerade uppgifter kan ett utredningsförfarande i enlighet med den gällande lagen fortfarande användas, enligt vilket skyddspolisen reserveras tillfälle att uttala sig om de ansvariga personerna och lokalerna hos ett bedömningsorgan för informationssäkerhet. Till 1 mom. fogas dessutom ordet utredning, så att det även gäller säkerhetsutredningar av företag.
Utförandet av säkerhetsutredningar av företag vid godkännandet av sådana bedömningsorgan för informationssäkerhet som ansöker om kompetens för bedömning av skyddandet av säkerhetsklassificerade uppgifter gör utredningen och uppföljningen av tillförlitligheten hos bedömningsorgan för informationssäkerhet effektivare och tydligare. Förfarandet för godkännande förtydligas när det gäller Transport- och kommunikationsverket, skyddspolisen och företag som ansöker om godkännande som bedömningsorgan. Ett intyg om säkerhetsutredning av företag bidrar till att öka myndighetskundernas förtroende för bedömningsorganen.
Dessutom ändras Kommunikationsverket i 1 mom. till Transport- och kommunikationsverket genom en teknisk ändring.
Verkets möjlighet enligt 2 mom. i paragrafen att ge utomstående sakkunniga uppgifter som utförs på uppdrag ändras så att den endast gäller biträdande uppgifter. Det är fråga om samma slags biträdande bedömningsuppgifter som ges till utomstående sakkunniga som de som föreskrivs i 4 a § i bedömningslagen. Paragrafens innehåll preciseras också så att de utlåtanden som avses i den upprättas av myndigheter. Transport- och kommunikationsverket kan begära utlåtanden av såväl skyddspolisen som exempelvis sådana myndigheter som har styrnings- och övervakningsbehörigheter för den reglering som utgör den ansökta kompetensgrunden. En sådan myndighet är exempelvis Institutet för hälsa och välfärd när det är fråga om sådan bedömning av hanteringen av kunduppgifter enligt bestämmelser som institutet utfärdat som föreskrivs som en uppgift för ett godkänt bedömningsorgan för informationssäkerhet i lagen om behandling av kunduppgifter inom social- och hälsovården (703/2023). Till 2 mom. fogas dessutom straffrättsligt tjänsteansvar för dem som utför biträdande uppgifter och en hänvisning till skadeståndslagen (412/1974).
I 2 mom. i paragrafen ändras Kommunikationsverket till Transport- och kommunikationsverket genom en teknisk ändring.
5 §Godkännande av bedömningsorgan. Paragrafens 1 mom. 1–3 och 5 punkten överensstämmer med den gällande regleringen.Till 4 punkten i momentet fogas, som ett villkor för att ett bedömningsorgan för informationssäkerhet ska bedömas, att det i den säkerhetsutredning av företag som gäller organet inte har framkommit någon sådan omständighet som hänför sig till ägarförhållandena för bedömningsorganet, underentreprenader, den ekonomiska situationen eller säkerheten för personal, lokaler och informationssystem som utifrån en helhetsbedömning skulle äventyra företagets och dess ansvariga personers tillförlitlighet och förmåga att sköta sina åtaganden, med beaktande av även risken för utländsk påverkan vid bedömningsuppgifter som hänför sig till bedömning av hanteringen av myndigheters säkerhetsklassificerade uppgifter. Till 1 mom. 4 punkten fogas dessutom ett villkor som innebär att organet ska ha en övervakad metod som bedömts som tillförlitlig med vars hjälp tillförlitligheten hos personalen säkerställs. Bedömningsorganet ska ha processer och anvisningar för att sörja för personalsäkerheten. Med personalsäkerheten avses metoder för att säkerställa personers informationssäkerhetsansvar och skyldigheter, informationssäkerhetskunskaper och bakgrundskontroller samt förvaltning av risker som hänför sig till nyckelpersoner. Dessutom omfattar dessa förfaranden förhindrande av missbruk, såsom identifierande och undvikande av farliga arbetskombinationer, rotation av arbetsuppgifter och upphörande av anställningsförhållanden eller avtal. När ett bedömningsorgan för informationssäkerhet ansöker om sådan kompetens som gäller bedömning av hanteringen av säkerhetsklassificerade uppgifter, är bedömning av tillförlitligheten en uppgift enligt föreslagna 4 § genom att ansöka om en säkerhetsutredning av företag. Som en del av säkerhetsutredningen av företag säkerställs även säkerheten för organets lokaler och databehandling. I sådana situationer där ingen säkerhetsutredning av företag görs ska Transport- och kommunikationsverket på andra sätt försäkra sig om att villkoren uppfylls.
Paragrafens 2 mom. överensstämmer med den gällande regleringen, det vill säga innehåller bestämmelser om att uppfyllandet av de krav som avses i 1 mom. 1–3 punkten ska visas genom det förfarande som föreskrivs i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005).
Paragrafens 3 mom. ändras så att det innehåller bestämmelser om Transport- och kommunikationsverkets möjlighet att, efter att ha hört de myndigheter som är centrala när det gäller godkännandet, fatta beslut om godkännande för ett nytt kompetensområde åt ett godkänt bedömningsorgan trots vad som föreskrivs i 2 mom. Enligt 2 mom. i den gällande paragrafen ska oberoendet och kompetensen hos ett bedömningsorgan för informationssäkerhet visas på det sätt som anges i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven, det vill säga genom en ackreditering av den nationella ackrediteringsenheten FINAS. Syftet med ändrade 3 mom. är att möjliggöra godkännande av ytterligare kompetenser på ansökan av ett bedömningsorgan för informationssäkerhet genom Transport- och kommunikationsverkets beslut i stället för att FINAS ansvarar för att utreda villkoren för kompetensen genom ackreditering. Därmed ansvarar FINAS inte heller för uppföljningen av dessa ytterligare kompetenser eller att de är uppdaterade, utan det ansvarar Transport- och kommunikationsverkets styrnings- och övervakningsfunktion för i sin helhet.
De behov som bedömningsorgan för informationssäkerhet har av (ytterligare) kompetenser hänför sig ofta till säkerhetslösningar för myndigheters informationssystem, de bestämmelser som gäller dem och de myndighetsanvisningar och myndighetsförfaranden som gäller tillämpningen av bestämmelserna och som även har koppling till den internationella säkerheten. Det är i det närmaste en liten grupp behöriga myndighetsaktörer, såsom Transport- och kommunikationsverket eller vissa myndigheter som ansvarar för att informationssystem inom social- och hälsovården uppfyller kraven, som har den sakkunskap som krävs för dessa kompetensbehov. FINAS ackrediteringsprocess baserar sig på internationella ackrediteringsstandarder som tillämpas på olika slags marknadsaktörers kompetens när det gäller enhetliga och jämförbara bedömningar, men som inte stöder de särdrag hos den nationella informationssäkerhetsregleringen som beskrivs ovan. Beviljande av godkännande för ett bedömningsorgan för informationssäkerhet och bevarande av den statusen kräver även framöver en giltig ackreditering av FINAS för något kompetensområde inom informationssäkerhet som är tillräckligt allmänt, eftersom ackrediteringsförfarandet bidrar till att säkerställa förmågan hos bedömningsorganet för informationssäkerhet att konsekvent iaktta de verksamhetsprocesser som tryggar enhetligheten och jämförbarheten. Därmed är det även framöver motiverat att vid godkännandet av ett bedömningsorgan för informationssäkerhet kräva exempelvis ackreditering för en kompetens i enlighet med den allmänna standardserien för informationssäkerhet, ISO/IEC 27000. Dock krävs ackrediteringsförfarandet alltså inte nödvändigtvis när ett redan godkänt bedömningsorgan för informationssäkerhet ansöker om ett nytt kompetensområde enligt de bedömningsgrunder som föreskrivs i 10 § i lagen. Även i EU-regleringen erkänns ett godkännande av kompetens som gjorts av en behörig myndighet i stället för ackreditering av en ackrediteringsenhet. Exempelvis i artikel 42 i cyberresiliensförordningen (EU) 2024/2847 (s.k. CRA) finns bestämmelser om ett sådant alternativ.
Vid övervägandet av godkännandeförfarandet för ytterligare kompetenser och utredandet av kompetenser ska Transport- och kommunikationsverket höra sådana myndigheter som är centrala för godkännandet. Beroende på fallet är dessa exempelvis FINAS för eventuellt tillämpliga standarder och de myndigheter som har sådana myndighetsuppgifter som den ansökta kompetensgrunden hänför sig till. Det föreslagna hörandet av centrala myndigheter baserar sig på det bistående av en annan myndighet som anges i 10 § i förvaltningslagen. Genom hörande och andra utredningar som behövs ska Transport- och kommunikationsverket säkerställa den ytterligare kompetensen och att uppfyllandet av kraven i 1 mom. 1–3 punkten inte äventyras när det gäller den ytterligare kompetensen. Enligt jämlikhetskravet för god förvaltning ska Transport- och kommunikationsverket säkerställa jämlik behandling av de ansökande. Därmed ska grunderna och förfarandet för beviljande av ytterligare kompetensområden vara de samma för alla ansökande. Syftet med det nya förfarandet är också att göra processen för godkännande av nya kompetensområden enklare och smidigare och minska de kostnader och den administrativa börda som de innebär för bedömningsorganen för informationssäkerhet.
Paragrafens 4 mom. överensstämmer med 3 mom. i den gällande lagen med den skillnaden att en teknisk ändring görs i momentet, vilket innebär att Kommunikationsverket uppdateras till Transport- och kommunikationsverket.
Till paragrafen fogas ett nytt 5 mom. som överensstämmer med 4 mom. i den gällande lagen. Momentet innehåller alltså bestämmelser om att ett godkännande är tillfälligt och om villkoren för godkännande.
6 §Återkallelse av godkännande av bedömningsorgan. Paragrafens 1 mom. ändras så att Transport- och kommunikationsverket har möjlighet att återkalla både hela godkännandet av ett bedömningsorgan och ett enskilt kompetensområde som godkänts för bedömningsorganet för informationssäkerhet. Försummelser och brister i verksamheten för ett bedömningsorgan för informationssäkerhet kan hänföra sig till det allmänna agerandet som bedömningsorgan för informationssäkerhet eller bara bedömningar inom ett visst kompetensområde, varför en återkallelse av godkännande vid behov ska kunna avgränsas till endast en del av bedömningsorganets verksamhet, exempelvis ett enskilt godkänt kompetensområde. En återkallelse av godkännandet för ett kompetensområde gör det möjligt att ingripa i verksamheten endast till den del som det behövs. Återkallelse av ett enskilt kompetensområde innebär att bedömningsorganet kan fortsätta sin bedömningsverksamhet inom de kompetensområden i vilka inga problem eller brister har observerats. Beslut om återkallelse av godkännande för ett kompetensområde fattas av Transport- och kommunikationsverket.
I 1 mom. i paragrafen görs dessutom en teknisk ändring som innebär att Kommunikationsverket uppdateras till Transport- och kommunikationsverket.
I 2 mom. i paragrafen görs samma tekniska ändring som i 1 mom., det vill säga Kommunikationsverket uppdateras till Transport- och kommunikationsverket.
7 §Transport- och kommunikationsverkets rätt att få information samt inspektionsrätt. Paragrafens rubrik ändras så att Kommunikationsverket ändras till Transport- och kommunikationsverket och ett omnämnande om Transport- och kommunikationsverkets rätt att få information tillfogas.
Paragrafens 1 mom. ändras så att den inspektionsrätt som föreskrivs i paragrafen utvidgas till att även omfatta lokalerna hos en underleverantör till ett bedömningsorgan för informationssäkerhet, och utöver Transport- och kommunikationsverket gäller detta de sakkunniga som biträder verket, i stället för de sakkunniga som handlar på uppdrag av verket. Dessutom preciseras paragrafens ordalydelse så att en sakkunnig kan biträda Transport- och kommunikationsverket i utförandet av inspektioner, men inspektionsrätten föreskrivs tillfalla Transport- och kommunikationsverket. Ändringen överensstämmer med den möjlighet att ge endast biträdande uppgifter till utomstående sakkunniga som föreslås för 4 § 2 mom. En utomstående expert som utför en biträdande uppgift kan användas för sådana inspektioner som gäller lokaler och metoder som används av ett bedömningsorgan för informationssäkerhet och dess underleverantör som avses i 9 a §. Dessutom görs en teknisk ändring i momentet vilken innebär att Kommunikationsverket uppdateras till Transport- och kommunikationsverket.
Till paragrafen fogas ett nytt 2 mom. med bestämmelser om Transport- och kommunikationsverkets rätt att få information, om vilken det föreskrivs tidigare i 8 § 2 mom. i den gällande lagen. Transport- och kommunikationsverkets behörigheter kompletteras så att Transport- och kommunikationsverket framöver har möjlighet att, trots sekretessbestämmelser eller andra begränsningar som gäller utlämnande av uppgifter, på begäran få de uppgifter som är nödvändiga för tillsynen över att ett bedömningsorgan för informationssäkerhet uppfyller de krav som ställs på dess verksamhet. Rätten att få information gäller sådana uppgifter som överlåts av skyddspolisen, den nationella ackrediteringsenheten, den myndighet som styr eller övervakar tillämpningen av bedömningsgrunden för kompetensområdet, bedömningsorganet samt dess underleverantörer och kunder och som kan vara sekretessbelagda exempelvis i form av företagshemligheter eller uppgifter om säkerhetsarrangemang eller beredskapen för myndigheter som utgör bedömningsorganets kunder.
8 § Bedömningsorganens anmälningsskyldighet. Omnämnandet av bedömningsorganens upplysningsskyldighet stryks ur paragrafens rubrik.
Paragrafen ändras så att den framöver endast innehåller ett moment som överensstämmer med 1 mom. i den gällande lagen, med den tekniska ändringen att Kommunikationsverket ändras till Transport- och kommunikationsverket.
De bestämmelser om Transport- och kommunikationsverket som finns i 2 mom. i den nuvarande paragrafen finns framöver i 7 § 2 mom. i lagen.
Rubriken på 3 kap. ändras så att den även omfattar beredskap. Framöver är rubriken Bedömning av informationssäkerhet och beredskap.
9 §Bedömningsorganens uppgifter.Till 1 mom. i paragrafen fogas, i enlighet med de föreslagna ändringarna i bedömningslagen, en uppgift att bedöma beredskapen. Dessutom ändras 1 mom. 1 punkten så att lokalerna ska inspekteras i situationer där det behövs. Inspektion av lokalerna är inte en bestämd del av varje bedömning. Den som begär en bedömning kan ha en utredning av säkerheten i lokalerna sedan tidigare som utförts av ett bedömningsorgan eller en myndighet. Den som begär en bedömning kan också ha ett annat skäl till att inte begära en bedömning av lokalerna. Framöver antas användningen av olika slags molnteknik och tjänster som tillhandahålls genom andra datanät öka, och det är inte i praktiken möjligt att i alla situationer inspektera lokalernas säkerhet i samma omfattning. Det är dock viktigt att bedömningsorganen sörjer för att eventuella begränsningar i omfattningen för en inspektion framgår tydligt av bedömningsrapporten eller intyget.
Paragrafens 3 mom. ändras så att det gäller utarbetandet av en bedömningsrapport i stället för ett intyg. Ett godkänt bedömningsorgan för informationssäkerhet ska utarbeta en bedömningsrapport om alla bedömningar som den utför och av rapporten ska det framgå uppgifter om bedömningsobjektet, vilka bedömningsgrunder som använts, bedömningens omfattning, det vill säga exempelvis tekniska begränsningar eller uppgifter om verifieringsförfaranden, och de observationer som gjorts. En bedömningsrapport kan även innehålla bedömningsorganets analys av de risker som de observerade avvikelserna kan innebära. Den föreslagna ändringen överensstämmer med den föreslagna ändringen i bedömningslagen, men bestämmelser om kraven på förfarandena för bedömningsorganens verksamhet finns även i detta fall i lagen om bedömningsorgan.
Till paragrafen fogas ett nytt 4 mom. som motsvarar 3 mom. i den gällande paragrafen med den skillnaden att ett godkänt bedömningsorgan för informationssäkerhet framöver kan utfärda intyg på begäran eller om det särskilt föreskrivs om det. Speciallagstiftning om intyg som utfärdats av ett godkänt bedömningsorgan för informationssäkerhet finns till exempel i regleringen av social- och hälsovårdssektorn. Om det inte finns någon speciallagstiftning om ett intyg kan den som begär en bedömning besluta om den ska begära både en bedömningsrapport och ett intyg. Ett intyg kan behöva begäras till exempel om den som begär bedömningen behöver kunna bevisa för en utomstående att dess verksamhet är informationssäker. Det nya 4 mom. skiljer sig från det gällande 3 mom. även på så sätt att det framöver hänvisas till lokalerna och verksamheten för bedömningsobjektet genom uttrycket bedömningsobjektet. Syftet med ändringen är att se till att förutsättningarna för utfärdande av intyg överensstämmer med den föreslagna ändringen i 1 mom. i paragrafen. Dessutom preciseras listan över innehållet i sådana intyg och giltighetstiden av intyget ska framöver framgå av intyget. En tredje part som förlitar sig på ett intyg på basis av giltighetstiden för intyget kan bedöma hur länge den information som fåtts genom bedömningen är tillförlitlig.
9 a §Underleverantörer. Till lagen fogas en ny 9 a § med bestämmelser om ramvillkoren för underleverantörer. Paragrafen förtydligar villkoren för verksamheten för ett godkänt bedömningsorgan för informationssäkerhet, gör regleringen lättare att förutse och minskar därmed tolkningsfrågor som hänför sig till planering av verksamheten samt främjar kundernas förtroende för organens verksamhet.
I 1 mom. i paragrafens föreskrivs att ett godkänt bedömningsorgan för informationssäkerhet får lägga ut en uppgift i anslutning till bedömningen på underentreprenad till ett annat bolag som hör till samma koncern eller till någon annan underleverantör endast om koncernbolaget eller underleverantören uppfyller förutsättningarna för godkännande av ett bedömningsorgan för informationssäkerhet. Med utläggande på underentreprenad avses användning av ett dotter-, syster- eller moderbolag som tillhör koncernen eller någon annan underleverantör. I 1 mom. föreskrivs dessutom att en utredning om underentreprenaden ska lämnas till Transport- och kommunikationsverket baserat på vilken verket bedömer huruvida förutsättningarna uppfylls.
Endast sådana funktioner som ett godkänt bedömningsorgan för informationssäkerhet själv har kompetens att utföra kan läggas ut på underentreprenad, och organet ska kunna kontrollera underleverantörens verksamhet i alla skeden. Det godkända bedömningsorganet för informationssäkerhet har fortfarande det fulla ansvaret för sina funktioner i situationer där utomstående aktörer används för vissa uppgifter.
Paragrafens 2 mom. innehåller bestämmelser om underleverantörernas villkor när det gäller uppgifter som hänför sig till bedömning av hanteringen av säkerhetsklassificerad information. Enligt förslaget är det möjligt att lägga ut sådana uppgifter på underentreprenad eller låta dem utföras av ett dotterbolag endast om det avtalas om det med kunden separat. Avtals- och informationsskyldighet när det gäller underleverantörer vid bedömning av hanteringen av säkerhetsklassificerad information gör bedömningsorganets verksamhet mer transparent för kundmyndigheter och företag.
10 §Bedömningsgrunder för informationssäkerhet och beredskap. Till paragrafens rubrik fogas beredskap i enlighet med den föreslagna ändringen av tillämpningsområdet.De bedömningsgrunder för informationssäkerhet och beredskap som föreskrivs i paragrafen ändras så att de är förenliga med de föreslagna ändringarna i 7 § i bedömningslagen.
Till den inledande meningen i 1 mom. i paragrafen fogas ett omnämnande av att de bedömningsgrunder som används för valet av bedömningsobjekt, det vill säga begäran, beror på vilka bedömningsgrunder som har godkänts som kompetensområden för bedömningsorganet för informationssäkerhet.
Momentets 1 punkt ändras så att i lag eller förordning föreskrivna krav på informationssäkerhet, cybersäkerhet eller beredskap som gäller myndigheternas verksamhet samt myndigheternas anvisningar om tillämpningen av kraven kan användas som bedömningsgrund.
I enlighet med det som föreslås för bedömningslagen föreslås att bestämmelserna om myndigheternas anvisningar tillämpas allmänt i stället för att anvisningar nämns för specifika myndigheter, såsom finansministeriet och den nationella säkerhetsmyndigheten. Detta är en tillräcklig och allmängiltigare definition. Därmed ingår nuvarande 1 mom. 2 punkten i den ändrade 1 punkten.
Momentets 2 punkt motsvarar den nuvarande 3 punkten, men i och med Finlands medlemskap i Nato tillfogas Nordatlantiska fördragsorganisationen som ett eventuellt organ som utfärdar bestämmelser, föreskrifter eller anvisningar. Till punkten fogas också myndigheternas anvisningar om tillämpningen av internationellt organs bestämmelser och anvisningar. I likhet med 1 mom. innehåller även 2 punkten såväl informationssäkerhet som cybersäkerhet och beredskap. Trots att bestämmelser utfärdas om internationella källor i form av bedömningsgrunder, inverkar regleringen av de internationella förpliktelserna som gäller informationssäkerhet på möjligheten för bedömningsorgan för informationssäkerhet att få sådan kompetens som hänför sig till förpliktelserna för informationssäkerhet för bedömning av hanteringen av säkerhetsklassificerade uppgifter.
Momentets 3 punkt överensstämmer med den nuvarande 4 punkten och momentets 4 punkt överensstämmer med den nuvarande 5 punkten, med den skillnaden att båda punkterna omfattar såväl bestämmelser, föreskrifter och anvisningar om informationssäkerhet som bestämmelser, föreskrifter och anvisningar om samt krav om beredskap och cybersäkerhet.
11 § Avgifter.Paragrafens ordalydelse och hänvisning till lagen om grunderna för avgifter till staten (150/1992) uppdateras i enlighet med det som föreslås för bedömningslagen. Dessutom ändras paragrafen så att Transport- och kommunikationsverket har möjlighet att ta ut en avgift för behandlingen av ärenden som gäller tillsyn över bedömningsorgan för informationssäkerhet. Ändringen överensstämmer delvis med nuläget och är enhetlig med Transport- och kommunikationsverkets rådande avgiftsförordning. I paragrafen görs dessutom en teknisk ändring som innebär att Kommunikationsverket ändras till Transport- och kommunikationsverket.
12 §Ändringssökande.Paragrafens hänvisning till den upphävda förvaltningsprocesslag (586/1996) stryks och till paragrafen fogas en hänvisning till lagen om rättegång i förvaltningsärenden (808/2019). I paragrafen görs dessutom en teknisk ändring som innebär att Kommunikationsverket ändras till Transport- och kommunikationsverket.
13 §Tillämpning av bestämmelser om tjänsteansvar och god förvaltning.Paragrafens rubrik kompletteras så att den även innehåller ett omnämnande av tillämpningen av bestämmelser om tjänsteansvar.
Listan över de allmänna lagarna om förvaltning som tillämpas kompletteras i 1 mom. i paragrafen, och till momentet fogas en hänvisning till samiska språklagen (1086/2003), dataskyddslagen (1050/2018) och lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003). Tillämpningen av de allmänna lagarna om förvaltning binds till skötseln av offentliga förvaltningsuppgifter som utförs av bedömningsorgan för informationssäkerhet. Offentliga förvaltningsuppgifter är sådana uppgifter för godkända bedömningsorgan för informationssäkerhet som föreskrivs i lagen om bedömningsorgan. Uppgifterna är likställda med de bedömningsuppgifter för bedömningsmyndigheter som föreskrivs i bedömningslagen. Dessutom innehåller exempelvis kunduppgiftslagen och lagen om sekundär användning bestämmelser om de krav som innebär att en bedömning som utförts av eller ett intyg som utfärdats av ett bedömningsorgan för informationssäkerhet behövs för aktörerna. Utförandet av en sådan bedömning eller utfärdandet av ett sådant intyg kan anses innebära utövning av offentlig makt. Vid utövning som utförs av bedömningsorgan för informationssäkerhet tillämpas inte de allmänna lagarna om förvaltning på annat än sådan verksamhet som är förenlig med lagen om bedömningsorgan.
Till paragrafen fogas ett nytt 2 mom. med bestämmelser om tjänsteansvaret för ansvarspersoner och personer som är anställda vid ett bedömningsorgan för informationssäkerhet samt personer som är anställda hos underleverantörer. Det straffrättsliga tjänsteansvaret baserar sig på att den verksamhet för ett godkänt bedömningsorgan för informationssäkerhet som är förenlig med lagen om bedömningsorgan anses vara en offentlig förvaltningsuppgift. Till slutet av 2 mom. fogas dessutom en informativ bestämmelse om att bestämmelser om skadeståndsansvar finns i skadeståndslagen.
13 a §Registrering av uppgifter i registret över säkerhetsutredningar I paragrafen görs tekniska ändringar som innebär att Kommunikationsverket ändras till Transport- och kommunikationsverket och termen godkända bedömningsorgan för informationssäkerhet används i paragrafen i stället för godkända bedömningsorgan.