7.1
Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista
1 § Soveltamisala. Lain soveltamisalaa laajennettaisiin siten, että pykälän 1 momenttiin lisättäisiin varautumisen arviointi sekä turvallisuuskriittisen ratkaisujen ja niiden valmistuksen tietoturvallisuuden arviointi.
Laissa säädettäisiin jatkossa viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioimisen lisäksi myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen varautumisen arvioinnista. Näin ollen arviointilain arviointimenettelyjä, arviointiperusteita ja muita säännöksiä sovellettaisiin myös varautumisen arviointiin. Soveltamisalan laajentaminen edistäisi tietojärjestelmien ja tietoliikennejärjestelyjen jatkuvuudenhallintaan ja valmissuunnitteluun vaikuttavien tekijöiden johdonmukaista huomioimista viranomaisissa.
Lisäksi laissa säädettäisiin turvallisuuskriittisten ratkaisujen ja niiden valmistuksen tietoturvallisuuden arvioinnista. Turvallisuuskriittisiä ratkaisuja olisi tarve arvioida sekä osana viranomaisen tietojärjestelmiä ja tietoliikennejärjestelyjä, että tilanteessa, jossa valmistaja hakee itsenäisesti hyväksyntää turvallisuuskriittiselle ratkaisulle viranomaisen turvallisuusluokiteltujen tietojen suojaamiseen. Turvallisuuskriittisistä ratkaisuista säädettäisiin, koska ne ovat tuotteita ja palveluja, joiden luotettavuudella on merkittävä rooli turvallisuusluokitellun tiedon suojaamisessa ja joita valmistajien on mahdollista tarjota osaksi tietojärjestelmiä ja tietoliikennejärjestelyjä.
Pykälään lisättäisiin uusi 2 momentti, jossa säädettäisiin, että arviointilain säännöksiä sovellettaisiin arviointiviranomaisten menettelyyn myös kansainvälisten tietoturvallisuusvelvoitteiden mukaisissa tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta koskevissa määrättyjen turvallisuusviranomaisten tehtävissä, ellei kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa toisin säädetä tai kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu. Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään muun muassa määrättyjen turvallisuusviranomaisten tehtäväjaosta. Kansainvälisiä tietoturvallisuusvelvoitteita sisältyy myös EU:n tai Naton turvallisuussääntöihin ja kahdenvälisiin tietoturvallisuussopimuksiin. Tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta koskeviin kansainvälisiin tietoturvallisuusvelvoitteisiin sisältyy salausratkaisujen ja muiden turvallisuuskriittisten ratkaisujen sekä hajasäteilysuojauksen eli TEMPEStin arviointi- ja hyväksyntätehtäviä. Myös kansainvälisten tietoturvallisuusvelvoitteiden täyttämiseksi tehtävissä arvioinneissa sovellettaisiin arviointilain menettelysäännöksiä hakemuksen vireillepanosta, arviointiperusteiden määrittämisestä ja arviointiraportin, lausunnon tai päätöksen antamisesta ja muutoksenhausta siltä osin, kun menettelystä ei säädetä toisin kansainvälisiä tietoturvallisuusvelvoitteita koskevissa säädöksissä.
Pykälän 3 momentti vastaisi voimassa olevaa 2 momenttia tietyin muutoksin. Toimivaltaisen viranomaisen nimeksi muutettaisiin Liikenne- ja viestintävirasto. Kyse on teknisluonteisesta muutoksesta. Liikenne- ja viestintäministeriön hallinnonalalla tehdyn virastouudistuksen myötä Viestintävirasto lakkasi olemasta 1.1.2019 alkaen, ja uutena viestintähallinnon viranomaisena toimii Liikenne- ja viestintävirasto.
Momentti vastaisi voimassa olevaa momenttia sen osalta, että siinä viitattaisiin turvallisuusselvityslakiin Liikenne- ja viestintäviraston tehtävien osalta yritysturvallisuusselvitystä laadittaessa. Momenttiin lisättäisiin viittaus Liikenne- ja viestintäviraston kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädettyihin tehtäviin. Edellä mainitun lain 4 §:n mukaan virasto toimii määrättynä turvallisuusviranomaisena tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta koskevissa asioissa. Arviointilaissa säädettävät arviointiviranomaisen tehtävät eivät vaikuttaisi kansainvälisiin tietoturvallisuusvelvoitteisiin liittyviin arviointi- ja hyväksyntätehtäviin.
2 § Määritelmät. Pykälässä säädetään laissa käytetyistä määritelmistä. Pykälää muutettaisiin siten, että sen 2 ja 3 kohdan määritelmät muutettaisiin ja pykälään lisättäisiin uudet kohdat 5–10.
Pykälän 1 kohta vastaisi voimassa olevan lain 1 kohtaa, eli tietojärjestelmällä tarkoitettaisiin tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä.
Pykälän 2 kohtaa muutettaisiin siten, että tietoliikennejärjestelyn määritelmää täsmennettäisiin. Tietoliikennejärjestely vastaisi voimassa olevaa määritelmää, sillä erotuksella, että määritelmään lisättäisiin tiedonsiirtoverkkoon, tiedonsiirtolaitteisiin, ohjelmistoihin ja muihin tietojenkäsittelyyn sekä niihin liittyviin menettelyihin koostuvat kokonaisjärjestelyt. Muutoksella täsmennettäisiin sitä, että tietojenkäsittelyn järjestelyihin voivat sisältyä tiedonsiirtoverkkojen ja -laitteiden sekä ohjelmistojen ja muun tietojenkäsittelyn lisäksi myös näihin välittömästi liittyvät hallinnolliset, toiminnalliset ja tekniset menettelyt, jotka on kuvattu esimerkiksi organisaation tietoturvallisuusperiaatteissa, -määräyksissä ja -ohjeissa.
Tietojärjestelmä ja tietoliikennejärjestely voivat sisältää turvallisuuskriittisiä ratkaisuja. Määritelmien mukaisella tietojen käsittelyllä viitattaisiin sähköiseen tietojen käsittelyyn.
Pykälän 3 kohdassa viranomaisen määritelmää laajennettaisiin siten, että laissa tarkoitettuja viranomaisia olisivat kaikki viranomaisten toiminnan julkisuudesta annetun lain (621/1999), jäljempänä julkisuuslaki, 4 §:n 1 momentissa tarkoitetut viranomaiset. Siten viranomaisen määritelmään sisältyisi voimassa olevan lain määritelmän lisäksi myös julkisuuslain 4 §:n 1 momentin 8 kohdan mukaiset tiettyä tehtävää itsenäisesti hoitamaan asetetut työryhmät ja vastaavat sekä hyvinvointialueen ja hyvinvointiyhtymän, kunnan ja kuntayhtymän tilintarkastajat sekä muut niihin verrattavat toimielimet. Tiedonhallintalaki koskee myös näitä toimijoita ja ne voivat käsitellä tietojärjestelmissä ja tietoliikennejärjestelyissä korkeimpiin turvallisuusluokkiin luokiteltuja tietoja, jolloin niiden tulisi myös noudattaa arviointilain velvoitteita kyseisten järjestelmien arvioinnista.
Pykälän 4 kohta vastaisi voimassa olevaa lakia, eli valtionhallinnon viranomaisella tarkoitettaisiin valtion hallintoviranomaisia ja muita valtion virastoja ja laitoksia sekä tuomioistuimia ja muita lainkäyttöviranomaisia.
Pykälään lisättäisiin uusi 5 kohta, jossa säädettäisiin tietoturvallisuuden määritelmästä. Tietoturvallisuudella tarkoitettaisiin tiedon saatavuuden, eheyden ja luottamuksellisuuden suojaamista hallinnollisilla, toiminnallisilla ja teknisillä toimenpiteillä. Määritelmän hallinnollisia, teknisiä ja muita toimenpiteitä voisivat esimerkiksi olla tiedonhallintalaissa tarkoitetut tietoturvallisuustoimenpiteet.
Tietoturvallisuudella tarkoitetaan yleisesti menettelyjä, joiden avulla tiedon käsittelyssä turvataan tiedon luottamuksellisuus eli tietosisällön suojaaminen oikeudettomalta käytöltä, tiedon eheys eli muuttumattomuus sekä tiedon saatavuus huomioiden mahdolliset tiedon luottamuksellisuudesta aiheutuvat saatavuuden rajoitukset. Tiedon käsittelyllä tarkoitetaan tiedon tai asiakirjan vastaanottamista, laatimista, tallentamista, katselua, muuttamista, luovuttamista, kopiointia, siirtoa, välittämistä, tuhoamista, säilyttämistä ja arkistointia sekä muuta tietoon tai asiakirjaan kohdistuvaa toimenpidettä. Tietoturvallisuuden toteuttamiseksi käytetyt menettelyt voivat olla hallinnollisia, toiminnallisia, fyysisiä ja teknisiä menettelyjä. Niitä ovat esimerkiksi hallinnolliset tietoturvallisuusperiaatteet ja tietojen käsittelyyn liittyvät hallinnolliset menettelytapavaatimukset, yritysten ja henkilöiden turvallisuuden selvittäminen, turvallisuussopimukset, tilaturvallisuus, tietotekniset toteutukset ja turvallisuuskontrollit sekä turvallisuuskriittiset ratkaisut.
Pykälään lisättäisiin uusi 6 kohta, jossa säädettäisiin varautumisen määritelmästä. Varautumisella tarkoitettaisiin toimia, joilla huolehditaan tietojärjestelmien ja tietoliikennejärjestelyjen hyödyntäminen ja niihin perustuvan toiminnan jatkuminen mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslain mukaisissa poikkeusoloissa. Toiminnan jatkuvuus ja varautuminen voivat kattaa monenlaisia toimenpiteitä kuten tärkeiden toimintojen ja tietojärjestelmien tunnistamista, riskien arviointia ja niiden hallintaa esimerkiksi teknisiä komponentteja kahdentamalla sekä resurssien ja toimintojen ja toimitusketjujen tarkastelua ja hallintaa ja toiminnan varajärjestelyjä.
Tiedonhallintayksikön varautumisvelvoitteesta säädetään tiedonhallintalain 13 a §:n 3 momentissa, jonka mukaan tiedonhallintayksikön on riskiarvioinnin perusteella valmiussuunnitelmin ja häiriötilanteissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä huolehdittava, että sen tietoaineistojen käsittely, tietojärjestelmien hyödyntäminen ja niihin perustuva toiminta jatkuvat mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslaissa tarkoitetuissa poikkeusoloissa. Valmiuslaissa viranomaisten varautumisvelvollisuudesta poikkeusoloissa säädetään luvussa 3.
Pykälään lisättäisiin uusi 7 kohta, jossa säädettäisiin tietoturvallisuuden arviointilaitoksen määritelmästä. Tietoturvallisuuden arviointilaitoksella tarkoitettaisiin arviointilaissa tarkoitettua yritystä, yhteisöä tai viranomaista, joka tarjoaa arviointipalveluita ja jonka Liikenne- ja viestintävirasto on arviointilaitoslain mukaisesti hyväksynyt. Määritelmä vastaisi voimassa olevan lain 3 §:n viittausta tietoturvallisuuden arviointilaitoksiin ja arviointilaitoslakiin.
Pykälään lisättäisiin uusi 8 kohta, jossa säädettäisiin turvallisuusluokan määritelmästä. Turvallisuusluokalla tarkoitettaisiin tiedonhallintalain 18 §:n 1 momentissa ja pykälän 4 momentin nojalla annetussa valtioneuvoston asetuksessa tarkoitettua turvallisuusluokkaa. Voimassa olevan turvallisuusluokitteluasetuksen 3 §:n mukaan turvallisuusluokkia ovat turvallisuusluokat I, II, III ja IV.
Pykälään lisättäisiin uusi 9 kohta, jossa säädettäisiin turvallisuuskriittisen ratkaisun määritelmästä. Turvallisuuskriittisellä ratkaisulla tarkoitettaisiin salaus-, hajasäteilysuojaus- ja muuta tieto- ja viestintäteknistä ratkaisua, jolla suojataan turvallisuusluokiteltua tietoa tietojärjestelmissä ja tietoliikennejärjestelyissä. Ratkaisulla tarkoitettaisiin tuotetta, palvelua tai toteutusta, jota käytetään tietojärjestelmässä tai tietoliikennejärjestelyssä käsiteltävän tiedon suojaamisessa mukaan lukien tietojen säilyttäminen ja siirtäminen tietoliikenneyhteydellä tietojärjestelmien tai tietoliikennejärjestelyjen välillä. Määritelmä olisi teknologiariippumaton. Salausratkaisu voi olla esimerkiksi salauslaite tai -ohjelmisto. Hajasäteilysuojaus voidaan toteuttaa esimerkiksi tilaratkaisuilla ja laitteiden suojaamisella. Turvallisuuskriittisiä ratkaisuja ovat myös esimerkiksi yhdyskäytävät.
Pykälään lisättäisiin uusi 10 kohta, jossasäädettäisiin uudesta turvallisuuskriittisen ratkaisun valmistajan määritelmästä. Turvallisuuskriittisen ratkaisun valmistajalla tarkoitettaisiin yritystä, joka vastaa turvallisuuskriittisestä ratkaisusta koko sen elinkaaren ajan kehittämisestä ylläpitoon. Toisin sanoen yritys vastaa niistä toimenpiteistä, joilla on merkitystä ratkaisun luotettavuudelle turvallisuusluokitellun tiedon suojaamisessa. Turvallisuuskriittinen ratkaisu voi koostua useista erilaisista elementeistä tai komponenteista ja on tyypillistä, että valmistaja hankkii ratkaisuun elementtejä, komponentteja tai toimintoja useilta toimijoilta. Yritys vastaa koko toimitusketjun luotettavuudesta mukaan lukien alihankittujen osien luotettavuudesta.
Yrityksellä tarkoitettaisiin elinkeinotoimintaa harjoittavaa luonnollista henkilöä tai muuta yksikköä, joka yritys- ja yhteisötietolain (244/2001) 3 §:n 1 momentin 1–3 kohdan mukaan on rekisteröitävä yritys- ja yhteisötietojärjestelmään. Kyseessä voisi siis olla 1) elinkeinotoimintaa harjoittava luonnollinen henkilö ja kuolinpesä, 2) avoin yhtiö, kommandiittiyhtiö, osakeyhtiö, osuuskunta, yhdistys, säätiö ja muu yksityisoikeudellinen oikeushenkilö tai 3) valtio ja sen laitos, kunta, kuntayhtymä, seurakunta ja muu uskonnollinen yhdyskunta sekä muu julkisoikeudellinen oikeushenkilö. Sen sijaan lain 3 §:n 4–5 kohtien mukaiset ulkomaisen yhteisön tai säätiön Suomessa oleva sivuliike tai eurooppayhtiö, eurooppaosuuskunta ja eurooppalainen taloudellinen etuyhtymä eivät käytännössä tulisi kysymykseen ehdotetun 4 §:n 2 momentin 1 kohdassa tarkoitetun valmistuksen kotimaisuusedellytyksen ja ehdotetun 7 a §:n mukaisesti haettavassa yritysturvallisuusselvityksessä tehtävän ulkomaisen vaikutuksen mahdollisuuden poissulkemisen johdosta.
3 §Tietoturvallisuuden ja varautumisen arviointimenettelyt. Pykälän otsikko muutettaisiin tietoturvallisuuden arviointipalvelujen käyttämisestä tietoturvallisuuden ja varautumisen arviointimenettelyksi. Muutettu pykälä sisältäisi säännökset arviointimenettelyistä ja niiden käyttöä koskevista rajoitteista.
Pykälän 1 momenttia muutettaisiin siten, että siinäsäädettäisiin viranomaisen käytettävissä olevista arviointimenettelyistä. Arviointimenettelyjä ehdotetaan lisättäväksi nykyisestä siten, että viranomaisen toteuttama itsearviointi ja palveluntarjoajan viranomaisen toimeksiannosta toteuttama arviointi olisivat arviointimenettelyjä voimassa olevan lain mukaisten tietoturvallisuuden arviointilaitoksen ja arviointiviranomaisen toteuttaman arvioinnin lisäksi.
Momentin 1 kohdassa säädettäisiinviranomaisen toteuttamasta itsearvioinnista yhtenä viranomaisen käytettävissä olevista arviointimenettelyistä. Itsearvioinnilla tarkoitettaisiin viranomaisen itsenäisesti toteuttamaa sen määräämisvallassa olevan tai hankittavaksi suunnitteleman tietojärjestelmän tai tietoliikennejärjestelyn arviointia. Itsearviointi voisi myös olla usean viranomaisen yhdessä toteuttama arviointi tai vertaisarviointi. Itsearviointeja toteuttavan viranomaisen tulisi huolehtia, että sillä on itsearvioinneissa tarvittava osaaminen tietoturvallisuuden ja varautumisen toteuttamisesta. Valtionhallinnon viranomainen voisi toteuttaa ehdotuksen mukaisen itsearvioinnin esimerkiksi tiedonhallintalain 9 § mukaisen tiedonhallinnan muutosta koskevan lausuntomenettelyn yhteydessä. Itsearvioinnin toteuttava viranomainen voisi myös hyödyntää Valtion tieto- ja viestintätekniikkakeskus Valtorilta saatua arvioitavaa tietojärjestelmää tai tietoliikennejärjestelyä koskevaa tietoturvallisuusraporttia.
Momentin 2 kohdassa säädettäisiin palveluntarjoajan viranomaisen toimeksiannosta toteuttamasta arvioinnista yhtenä arviointimenettelynä. Viranomaisilla ei välttämättä ole osaamista ja resursseja etenkään korkeampiriskisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen perusteelliseen arviointiin. Siten tietoturvallisuuden ja varautumisen arviointien toteuttamisen mahdollistaminen viranomaisen toimeksiannosta olisi perusteltua. Palveluntarjoajan viranomaisen toimeksiannosta toteuttamalla arvioinnilla tarkoitettaisiin muun kuin tietoturvallisuuden arviointilaitoksen tai muun viranomaisen kuin ehdotetussa 3 d §:ssä tarkoitetun arviointiviranomaisen toteuttamaa arviointia.
Momentin 3 ja 4 kohdassa säädettäisiin arviointimenettelyiksi tietoturvallisuuden arviointilaitoksen toteuttama arviointi sekä ehdotetussa 3 d §:ssä tarkoitettujen arviointiviranomaisen toteuttama arviointi. Nämä arviointimenettelyt vastaisivat voimassa olevan lain 3 §:ssä säädettyjä sallittuja arviointimenettelyjä
Pykälään lisättäisiin uusi 2 momentti, jossa säädettäisiin, että viranomainen voisi toimeksiannosta hankkia palvelutarjoajalta arvioinnin tietojärjestelmistä ja tietoliikennejärjestelyistä, joissa käsitellään julkisia, salassa pidettäviä tai korkeintaan turvallisuusluokan IV tietoja. Korkeimpia turvallisuusluokkia käsittelevien tietojärjestelmien ja tietoliikennejärjestelyjen arviointi vaatii syvällistä osaamista ja erityisiä tiloja ja välineitä. Jos palvelutarjoaja tahtoisi erikoistua turvallisuusluokkaa III käsittelevien tietojärjestelmien ja tietoliikennejärjestelyjen arviointiin, se voisi hakeutua tietoturvallisuuden arviointilaitokseksi.
Pykälän 2 momentissa säädettäisiin myös, että viranomaisen olisi varmistuttava 1 momentin 2 kohdassa tarkoitettuja arviointipalveluja hankkiessaan palveluntarjoajan luotettavuudesta toimeksiannon edellyttämässä laajuudessa. Säännöksellä pyrittäisiin varmistamaan, että viranomaisen tietojärjestelmiä ja tietoliikennejärjestelyjä voisivat arvioida ainoastaan luotettavat ulkopuoliset toimijat.
Arviointitoimeksiannot, arvioitavat tietojärjestelmät ja tietoliikennejärjestelyt sekä toimeksiannon yhteydessä palveluntarjoajan saamat viranomaisen tiedot voivat vaihdella merkittävästi, joten luotettavuuden varmistamiseen käytettävät riittävät keinot voisivat olla erilaisia. Viranomainen voisi hankintalainsäädännön mahdollistamalla tavalla asettaa tietojen suojaamiseen sekä tarjoajien soveltuvuuteen liittyviä vaatimuksia. Lisäksi viranomainen voisi varmistaa palveluntarjoajan luotettavuutta selvittämällä saatavilla olevia tietoja palveluntarjoajasta, sen vastuuhenkilöistä ja omistajista hyödyntämällä julkisia ja viranomaisten rekisteritietoja sekä luotto- ja yritystietopalveluja.
Palveluntarjoajan luotettavuuden varmistaminen on erityisen tärkeää toimeksiannoissa, joissa palveluntarjoaja käsittelee salassa pidettäviä tietoja, etenkin silloin, jos käsiteltävät tiedot ovat palvelutarjoajan arvioinneille korkeinta mahdollista turvallisuusluokkaa IV. Tällöin arviointipalvelujen hankinnassa ja palveluja koskevissa sopimuksissa olisi otettava huolellisesti huomioon kansalliseen turvallisuuteen liittyvät riskit. Viranomaisen tulisi edellytysten täyttyessä ja tarvittaessa teettää turvallisuusselvitykset arviointitehtäviä suorittavista yrityksistä ja henkilöistä, jotka saisivat pääsyn viranomaisen turvallisuusluokiteltuihin tietoihin toimeksiannon aikana. Yritysturvallisuusselvityksen ja henkilöturvallisuusselvityksen laatimisen edellytyksistä säädetään turvallisuusselvityslaissa.
Viranomaisen olisi huolehdittava myös tietojen suojaamisesta. Julkisuuslain 26 §:n 3 momentissa säädetään velvollisuudesta ennakolta varmistua, että tietojen salassapidosta ja suojaamisesta huolehditaan asianmukaisesti. Turvallisuusluokitteluasetuksen 6 §:n 1 momentin mukaisesti valtionhallinnon viranomaisen on ennakolta varmistuttava siitä, että turvallisuusluokitellun asiakirjan suojaamisesta huolehditaan asianmukaisesti, jos se antaa turvallisuusluokitellun asiakirjan muulle kuin valtionhallinnon viranomaiselle. Erityistä huomiota tulisi kiinnittää siihen, missä tietojärjestelmissä ja tiloissa palveluntarjoaja käsittelee viranomaisen salassa pidettäviä tai turvallisuusluokiteltuja tietoja.
Lisäksi viranomaisen tulisi huomioida toisten valtioiden kanssa tehdyt tietoturvallisuussopimukset, jotka perustuvat vastavuoroiseen suojaan. Toisen valtion ”RESTRICTED” tietoa voidaan pääsääntöisesti Suomessa käsitellä kansallisissa järjestelmissä, jotka täyttävät turvallisuusluokan IV vaatimukset ja muut kansainvälisen erityissuojattavan tiedon vaatimukset. Sen sijaan EU:n ja Naton turvallisuusluokiteltua tiedon käsittely on sallittua ainoastaan tietojärjestelmissä ja tietoliikennejärjestelyissä, jotka on akkreditoitu EU:n tai Naton turvallisuussääntöjen mukaisesti.
Viranomainen voisi hyödyntää palveluntarjoajan kanssa tehtävän hankintasopimuksen laatimisessa hankintojen tietoturvallisuusvaatimusten asettamista koskevia suosituksia, ohjeita, määräyksiä ja työkaluja sekä yhteishankintajärjestelyjä. Yhteishankintajärjestelyihin voitaisiin sisällyttää palveluntarjoajalle asetetut turvallisuusvaatimukset ja turvallisuussopimus. Lain julkisista puolustus- ja turvallisuushankinnoista (1531/2011) tarkoittamissa tilanteissa viranomainen voisi toteuttaa arviointipalvelun hankinnan puolustus- ja turvallisuushankintana.
Pykälään lisättäisiin uusi 3 momentti, jossa säädettäisiin voimassa olevaan lakiin verraten uutena rajoituksena, että viranomainen voisi hankkia tietoturvallisuuden arviointilaitokselta arvioinnin tietojärjestelmälle ja tietoliikennejärjestelylle, joissa käsitellään julkisia, salassa pidettäviä tai turvallisuusluokkaan IV tai III luokiteltuja tietoja. Tietoturvallisuuden arviointilaitoksista ja niiden riippumattomuudesta, luotettavuudesta ja pätevyydestä säädetään arviointilaitoslaissa. Tietoturvallisuuden arviointilaitokset on arvioitu turvallisiksi ja osaaviksi arvioida turvallisuusluokkaa III käsitteleviä tietojärjestelmiä ja tietoliikennejärjestelyitä.
3 a § Valtionhallinnon viranomaisen arviointivelvollisuudet. Lakiin lisättäisiin uusi 3 a §, jossa säädettäisiin valtionhallinnon viranomaisten arviointivelvollisuuksista. Lisäksi pykälässä säädettäisiin tietyistä arviointivelvollisuuksien soveltamisen rajauksista.
Pykälän 1 momentissa säädettäisiin valtionhallinnon viranomaisten arviointivelvollisuudesta arvioida tietojärjestelmiensä ja tietoliikennejärjestelyjensä tietoturvallisuutta ja varautumista käyttäen 3 §:ssä säädettyjä menettelyjä, toisin sanoen itsearviointia, palveluntarjoajan toteuttamaa arviointia, tietoturvallisuuden arviointilaitoksen toteuttamaa arviointia tai arviointiviranomaisen toteuttamaa arviointia.
Pykälän 2 momentissa säädettäisiin arviointimenettelyn valinnasta. Valtionhallinnon viranomainen valitsisi riskiarvioinnin perusteella millä menettelyllä tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta ja varautumista arvioidaan, kuka on arvioinnin toteuttaja, mitä vaatimuksia ja kriteerejä arvioinnissa käytetään, ja miten arvioinneista huolehditaan tietojärjestelmän ja tietoliikennejärjestelyn elinkaaren ajan. Tietojärjestelmän tai tietoliikennejärjestelyn eri osiin tai osa-alueisiin voitaisiin valita erilainen arviointimenettely. Arviointimenettelyä valittaessa voitaisiin huomioida arvioinnin taloudellinen ja tehokas toteuttaminen, arvioitavassa tietojärjestelmässä tai tietoliikennejärjestelyssä käsiteltävien tietojen luottamuksellisuus-, eheys-, saatavuus- ja jatkuvuudenhallintavaatimukset sekä salassapitovaatimukset ja turvallisuusluokat, arvioitavan järjestelmän tarkoituksenmukaiseen tuotantotapaan kohdistuvat vaatimukset ja tekninen laajuus, toteutustapa ja liitynnät muihin järjestelmiin sekä ulkopuolisen erityisosaamisen tarve suhteessa viranomaisen käytettävissä oleviin resursseihin. Arviointimenettelyn valintaa rajoittaisivat kuitenkin ehdotetun 3 §:n 2 ja 3 momenteissa säädettäväksi ehdotettujen rajoitteiden lisäksi momentin 1 ja 2 kohdassa ehdotetut arviointivelvollisuudet.
Momentin 1 kohdassa säädettäisiin valtionhallinnon viranomaisille velvollisuus pyytää turvallisuusluokkaan I tai II luokiteltuja tietoja käsittelevien tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointi arviointiviranomaiselta. Velvollisuus olisi perusteltu, koska korkeimpien turvallisuusluokkiin luokiteltuja tietoja käsittelevien tietojärjestelmien ja tietoliikennejärjestelyjen arviointi vaatii tiettyä erityisosaamisista korkeimpien turvallisuusluokkien toiminnallisista vaatimuksista, toimintaympäristöstä ja turvallisuusjärjestelystä, joista arviointiviranomaisilla on vankka osaaminen.
Momentin 2 kohdassa säädettäisiin valtionhallinnon viranomaisille velvollisuus pyytää tai hankkia turvallisuusluokkaan III luokiteltuja tietoja käsittelevien tietojärjestelmien tai tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointi arviointiviranomaiselta tai tietoturvallisuuden arviointilaitokselta, ellei se olisi valtionhallinnon viranomaisen riskiarvion perusteella tarpeetonta. Riskiarviossa tulisi huomioida samat seikat, kuin momentin johdantokappaleen mukaisessa riskiarviossa. Arvioitavan järjestelmän tekninen laajuus voi vaihdella ja viranomaisella voi itsellään olla tarvittavat resurssit esimerkiksi työaseman arviointiin tai käyttöpisteissä tehtävien muutosten arviointiin. Myös varautumisen toimenpiteiden arviointiin viranomaisella voi itsellään olla hyvät valmiudet ja paras asiantuntemus omaan toimintaansa liittyvien järjestelmien merkityksestä varautumisen kannalta. Jos valtionhallinnon viranomainen päättäisi riskiarvion perusteella olla pyytämättä arviointiviranomaisen tai hankkimatta tietoturvallisuuden arviointilaitoksen arviointia, tulisi päätös tehdä viranomaisen sisäisen ratkaisuvallan mukaisesti, mikä usein edellyttää johdon hyväksyntää.
Momentin 3 kohdassa säädettäisiin valtionhallinnon viranomaisten arviointivelvollisuuden minimitasosta, eli siitä, että valtionhallinnon viranomaisen tulisi toteuttaa aina vähintään tietojärjestelmiensä ja tietoliikennejärjestelyjensä tietoturvallisuuden ja varautumisen itsearviointi.
Tiedonhallintalain 13 §:n mukaisesti tiedonhallintayksikön on varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan sekä selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti. Ehdotettuja arviointivelvollisuuksia ei siten olisi välttämätöntä sitoa ainoastaan tietojärjestelmän ja tietoliikennejärjestelyn käyttöönottoon, vaan arviointeja olisi tarkoituksenmukaista toteuttaa säännöllisesti tietojärjestelmien ja tietoliikennejärjestelyjen elinkaaren ajan. Turvallisuusluokkaan I, II ja III luokiteltuja tietoja käsittelevien tietojärjestelmien ja tietoliikennejärjestelyjen arviointien uusiminen olisi tarkoituksenmukaista punnita riskiarvioinnin perusteella esimerkiksi muutosten yhteydessä.
Pykälän 3 momentissa säädettäisiin tiettyjen viranomaisten rajaamisesta arviointimenettelyn valintaa koskevien velvollisuuksien ulkopuolelle.
Ensinnäkin momentissa säädettäisiin, että ehdotetun 2 momentin mukaisia arviointimenettelyn valintaa koskevia velvollisuuksia ei sovellettaisi suojelupoliisin toimintaan.Ehdotus olisi perusteltu, sillä suojelupoliisin tietojärjestelmät sisältävät erittäin sensitiivistä ja arkaluonteista sisältöä, jonka potentiaalinenkin päätyminen kolmannelle osapuolelle voisi vaarantaa suojelupoliisin tiedonhankintaa ja siten kansallista turvallisuutta. Suojelupoliisin arvion mukaan sillä, että arvioinnin suorittaisi suojelupoliisista ulkopuolinen taho olisi kansallista turvallisuutta heikentävä vaikutus.
Lisäksi momentissa säädettäisiin, että pykälän 2 momentin mukaisia arviointimenettelyn valintaa koskevia velvollisuuksia ei sovellettaisi eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeuskanslerin toimintaan, tuomioistuimiin, valitusasioita käsittelemään perustettuihin lautakuntiin, tasavallan presidentin kansliaan eikä eduskunnan virastoihin.Ehdotetut soveltamisalan rajoitukset johtuvat pääosin näiden julkiseen sektoriin kuuluvien organisaatioiden perustuslaissa säädetystä asemasta, jonka perusteella valtion keskushallintoon kuuluvien viranomaisten ohjaustoimivaltaa ei voida ulottaa näiden organisaatioiden sisäisen hallinnon ohjaukseen.
Ehdotettujen pykälän 2 momentin mukaisten arviointivelvollisuuksien ulkopuolelle rajatut viranomaiset valitsisivat käyttämänsä arviointimenettelyt oman harkintansa perusteella 3 §:ssä säädetyistä menettelyistä. Tämä tarkoittaisi sitä, että ne voisivat myös pyytää tietoturvallisuuden arviointia Liikenne- ja viestintävirastolta tai hankkia arvioinnin tietoturvallisuuden arviointilaitokselta. Pykälän 2 momentin velvollisuuksien ulkopuolelle rajatut viranomaiset vastaavat itse käyttämiensä tietojärjestelmien tietoturvallisuustoimenpiteistä. Näin ollen edellä mainitut viranomaiset päättävät myös itse missä määrin ne huomioisivat Liikenne- ja viestintävirastolta tai tietoturvallisuuden arviointilaitokselta saadun arviointiraportin tehdessään tietojärjestelmiään koskevia päätöksiä.
3 b § Muiden kuin valtionhallinnon viranomaisten arviointivelvollisuudet. Lakiin lisättäisiin uusi 3 b §, jossa säädettäisiin muiden kuin valtionhallinnon viranomaisten, eli muiden kuin ehdotetussa 3 a §:ssä tarkoitettujen viranomaisten arviointivelvollisuuksista, jotka koskisivat turvallisuusluokiteltuja tietoja käsittelevien tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointia.
Pykälän 1 momentissa säädettäisiin muille kuin valtionhallinnon viranomaiselle ehdotetun 3 a §:n 2 momentin 1 kohtaa vastaava velvollisuus pyytää turvallisuusluokkaan I tai II luokiteltuja tietoja käsittelevien tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointi arviointiviranomaiselta.
Pykälän 2 momentissa säädettäisiin muille kuin valtionhallinnon viranomaiselle ehdotetun 3 a §:n 2 momentin 2 kohtaa vastaava velvollisuus pyytää tai hankkia turvallisuusluokkaan III luokiteltuja tietoja käsittelevien tietojärjestelmien tai tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointi arviointiviranomaiselta tai tietoturvallisuuden arviointilaitokselta, ellei se olisi viranomaisen riskiarvion perusteella tarpeetonta. Riskiarvion toteuttaminen vastaisi myös ehdotetun 3 a §:n mukaista riskiarvioita.
Vaikka tiedonhallintalaissa ja turvallisuusluokitteluasetuksessa säädetty velvollisuus turvallisuusluokitella asiakirjoja ei koske muita kuin valtion viranomaisia, on mahdollista, että muutkin viranomaiset käsittelevät turvallisuusluokiteltua tietoa tietojärjestelemässään tai tietoliikennejärjestelyssään, jolloin ehdotetun pykälän arviointivelvollisuudet tulisivat sovellettaviksi. Tietojen käsittelyllä tarkoitettaisiin 2 §:n 5 kohdan perusteluihin kirjatusti myös tietojen säilyttämistä ja arkistointia, joten velvoite koskisi myös viranomaisia, jotka säilyttäisivät tai arkistoisivat turvallisuusluokan I, II ja III tietoja tietojärjestelmissä tai tietoliikennejärjestelyissä.
Ehdotettujen muita kuin valtionhallinnon viranomaisia koskevien arviointivelvollisuuksien lisäksi nämä viranomaiset, esimerkiksi kunnat, voisivat hyödyntää arviointilain mukaisia tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointimenettelyjä laajemminkin osana tiedonhallintalain 13§:n mukaista tietojenkäsittelyn riskien selvittämistä ja tietoturvallisuustoimenpiteiden mitoittamista. Tietoturvallisuuden ja varautumisen arviointien toteuttaminen tai hankkiminen tukisi viranomaisten tietojenkäsittelyyn liittyvää riskienhallintaa. Arviointilain mukaisia arviointeja toteuttaessaan muita kuin valtionhallinnon viranomaisia koskisivat myös ehdotetun 3 a §:n 2 ja 3 momenttien rajoitukset arviointimenettelyjen käytössä.
3 c § Vaatimusten täyttymisen osoittaminen. Lakiin lisättäisiin uusi 3 c §, jossa säädettäisiin viranomaisen mahdollisuudesta pyytää arviointiviranomaisen hyväksyntää tietojärjestelmälleen tai tietoliikennejärjestelylleen osoittaakseen tietoturvallisuutta koskevien vaatimusten täyttyminen pykälän tarkoittamissa tilanteissa. Hyväksynnän tarve ja oikeus hakea hyväksyntää liittyisi kansainvälisistä tietoturvallisuusvelvoitteista tai kansainvälisestä yhteistyöstä johtuvaan tai säädettyyn velvollisuuteen osoittaa tietoturvallisuusvaatimusten täyttyminen riippumattoman arviointielimen toimesta kolmannelle tai kolmansille osapuolille. Hyväksyntään tähtäävä arviointi tarkoittaisi, että arviointiprosessia jatketaan, kunnes arvioinnissa havaittujen poikkeamien korjaamisesta on huolehdittu, jolloin arviointiviranomainen laatisi ehdotetun 8 §:n 2 momentin mukaisen hyväksyntäpäätöksen tai -lausunnon siitä, että arvioinnin kohden täyttää arviointiperusteina käytetyt vaatimukset. Vaatimusten täyttymisellä ja vaatimusten täyttymisen osoittamisella tarkoitettaisiin, että arviointiviranomainen on todennut arviointiprosessin perusteella, että arvioinnissa havaituista poikkeamista on huolehdittu siten, että arvioinnin pyytäneellä viranomaisella on edellytykset päättää jäännösriskin käsittelystä ilman, että tämä vaarantaa kolmannen osapuolen perustellun luottamuksen järjestelmään.
Pykälän 1 kohdassa tarkoitettu kansainvälisistä tietoturvavelvoitteista annetun lain mukainen kansainvälinen tietoturvallisuusvelvoite voisi perustua esimerkiksi EU:n tai Naton turvallisuussääntöihin taikka Suomen tietoturvallisuussopimusten sopimusmääräyksiin. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n mukaan tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta koskevat asiat ovat määrättynä turvallisuusviranomaisena Liikenne- ja viestintäviraston tehtäviä.
Pykälän 2 kohdassa tarkoitettu muun kansainvälisen yhteistyön tilanne voisi syntyä esimerkiksi, kun toisen valtion kanssa ei ole solmittu tietoturvallisuussopimusta, eikä siten synny 1 kohdassa tarkoitettua valtiosopimukseen perustuvaa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain tarkoittamaa kansainvälistä tietoturvallisuusvelvoitetta, mutta riippumaton arviointi ja tietoturvallisuusvaatimusten täyttymisen toteaminen on käytännössä välttämätöntä kansainvälisen yhteistyön toteutumiseksi. Tällöin pääesikunnan määrätty turvallisuusviranomainen Puolustusvoimien pyynnöstä ja Liikenne- ja viestintävirasto muun viranomaisen pyynnöstä voisi tarvittaessa laatia hyväksynnän, jota kansainvälisessä yhteistyössä edellytetään.
Pykälän 3 kohdassa tarkoitettuja säädettyjä edellytyksiä arviointiviranomaisen hyväksynnästä vaatimuksenmukaisuudelle ei voimassa olevassa sääntelyssä ole.
3 d § Arviointiviranomaiset. Lakiin lisättäisiin uusi 3 d §, jossa säädettäisiin arviointiviranomaisista.
Pykälän 1 momentissa säädettäisiin arviointiviranomaisista, joita olisivat Liikenne- ja viestintävirasto ja kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n 1 momentissa tarkoitettu Pääesikunnan määrätty turvallisuusviranomainen (DSA Designated Security Authority). Liikenne- ja viestintävirasto hoitaa arviointitehtäviä jo voimassa olevan lain nojalla, mutta Pääesikunnan määrätylle turvallisuusviranomaiselle tehtävä olisi uusi. Puolustusvoimien arviointitehtävä on tarpeen säätää nimenomaisesti Pääesikunnan määrätylle turvallisuusviranomaiselle toiminnan riippumattomuuden varmistamiseksi. Pääesikunnan määrätyn turvallisuusviranomaisen tehtävistä säädetään muutoin kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa.
Arviointien tekeminen kuuluisi pääsääntöisesti Liikenne- ja viestintäviraston toimivaltaan. Pääesikunnan määrätyn turvallisuusviranomaisen toimivaltaan kuuluisivat arvioinnit, jotka koskevat Puolustusvoimien omia järjestelmiä. Pääesikunnan määrätyn turvallisuusviranomaisen arviointi- ja hyväksyntäviranomaisen toimivalta ja tehtävät olisivat tarkoituksenmukaista rajata Puolustusvoimien omiin tietojärjestelmiin, jotta selkeä tehtävänjako säilyisi Liikenne- ja viestintäviraston kanssa ja vältettäisiin päällekkäisyyksiä. Pääesikunnan määrätty turvallisuusviranomainen toteuttaisi julkisia, salassa pidettäviä ja kaikkien turvallisuusluokkien tietoja käsittelevien Puolustusvoimien omien tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointeja sekä Puolustusvoimien omassa toiminnassa tarvitsemien turvallisuuskriittisten ratkaisujen arviointeja.
Pykälän 2 momentissa säädettäisiin, että Pääesikunnan määrätyn turvallisuusviranomaisen arviointitehtäviä voisi myös hoitaa sen nimeämä Puolustusvoimien palkattuun henkilöstöön kuuluvaa henkilö. Nimetyt henkilöt olisivat tehtäviä hoitaessaan Pääesikunnan määrätyn turvallisuusviranomaisen ohjauksessa ja valvonnassa. Säännöksen tarkoituksena olisi varmistaa toiminnan riippumattomuus.
Pykälän 3 momentissa säädettäisiin, että arviointiviranomaiselta edellytettäisiin organisatorista ja päätöksenteon riippumattomuutta sille kuuluvien arviointitehtävien hoitamisessa. Arviointiviranomaisen tulisi pystyä tuottamaan arvioinnin kohteesta objektiivista tietoa, joka perustuu sen arvioinnissa saamiin selvityksiin tai muuten arvioinnissa hankkimaan tietoon. Arviointiviranomaisen tulisi siten olla tehtävissään riippumaton arvioinnin kohteen päätöksenteosta eikä arvioinnin kohteen tulisi voida vaikuttaa arviointiviranomaisen havaintoihin tai päätelmiin. Riippumattomuus voitaisiin varmistaa esimerkiksi viranomaisen työjärjestyksessä.
Riippumattomuuden edellytys koskisi myös Pääesikunnan määrätyn turvallisuusviranomaisen nimeämää Puolustusvoimien palkattuun henkilöstöön kuuluvaa henkilöä. Tietoturvallisuuden ja varautumisen arviointitehtäviä eivät siten voisi hoitaa esimerkiksi samat henkilöt, jotka johtavat tai toteuttavat arvioitavan tietojärjestelmän tai tietoliikennejärjestelyn suunnittelua, rakentamista tai ylläpitoa.
Lisäksi 3 momentissa säädettäisiin, että arviointiviranomaisen olisi varmistettava, että sen palveluksessa olevilla tai lukuun toimivilla olisi oltava tarkastuksen laatuun ja laajuuteen nähden riittävä koulutus ja kokemus. Lukuun toimivalla viitattaisiin Pääesikunnan määrätyn turvallisuusviranomaisen nimeämään Puolustusvoimien palkattuun henkilöstöön kuuluvaan henkilöön. Arviointiviranomaisen olisi varmistettava, että arvioinnin suorittajalla on kyseisten tehtävien suorittamiseen vaadittavat taidot ja että tarkastus toteutetaan objektiivisesti. Osana riittävän koulutuksen ja kokemuksen varmistamista, arviointiviranomaisen tulisi seurata teknistä kehitystä ja ylläpitää ja kehittää osaamistaan jatkuvasti arvioinnin kohteiden edellyttämällä tavalla.
4 § Arviointiviranomaisen tehtävät. Pykälää ja sen otsikkoa muutettaisiin siten, että Viestintäviraston tehtävien sijaan pykälässä säädettäisiin arviointiviranomaisten tehtävistä.
Pykälän 1 momenttia muutettaisiin siten, että siinä säädettäisiin arviointiviranomaisten eli Liikenne- ja viestintäviraston sekä Pääesikunnan määrätyn turvallisuusviranomaisen tehtävästä arvioida viranomaisen pyynnöstä tietojärjestelmän tai tietoliikennejärjestelyn taikka niihin kuuluvan turvallisuuskriittisen ratkaisun tietoturvallisuutta ja varautumista. Momentti vastaisi voimassa olevan 1 momentin 1 kohtaa muutettuna siten, että siihen lisättäisiin turvallisuuskriittisten ratkaisujen tietoturvallisuuden arviointi osana tietojärjestelmien ja tietoliikennejärjestelyjen arviointia sekä varautumisen arviointi uutena arviointitehtävänä. Tehtävään sisältyisivät myös ehdotetussa 3 c §:ssä tarkoitetun hyväksynnän antaminen viranomaisen hakemuksesta sekä ehdotetussa 8 §:ssä tarkoitettujen arviointiraportin, hyväksyntäpäätöksen ja -lausunnon antaminen.
Pykälän 2 momenttia muutettaisiin siten, että siinäsäädettäisiin tehtävistä, jotka olisi osoitettu vain Liikenne- ja viestintävirastolle. Momentin 1 kohdan mukaan viraston tehtävänä olisi käsitellä Suomeen sijoittuneiden valmistajien arviointipyynnöt turvallisuuskriittisten ratkaisujen ja niiden valmistuksen tietoturvallisuuden vaatimuksenmukaisuudesta. Tämä olisi Liikenne- ja viestintävirastolle uusi tehtävä, jonka tarkoitus olisi mahdollistaa turvallisuuskriittisten ratkaisujen hyväksyntöjen pyytäminen valmistajille ja edistää suomalaisten tuotteiden tarjontaa ja saatavuutta turvallisuusluokitellun tiedon suojaamisessa.
Liikenne- ja viestintäviraston suorittaman arvioinnin tarkoituksena olisi saada Liikenne ja viestintäviraston hyväksyntä arvioitavan ratkaisun vaatimuksenmukaisuudesta. Hyväksyntä julkaistaisiin ehdotetun 8 c §:n mukaisessa luettelossa. Turvallisuuskriittisen ratkaisun arviointiin olisi sisällytettävä kaikkien sellaisten alihankkijoiden arviointi, joiden toimittamat osat ovat olennaisia ratkaisun luotettavuutta arvioitaessa. Valmistajan tekemän julkiseen hyväksyntään tähtäävän hakemuksen käsittelyssä olisi tarpeen arvioida valmistajan ja sen alihankkijoiden alkuperää, tuotekehitystä ja valmistusta ja itse ratkaisua. Valmistajan ja valmistuksen arviointi olisi tärkeä osa ratkaisun arviointia. Hajasäteily- eli TEMPEST-ratkaisujen valmistajan hyväksynnässä se olisi olennainen osa hyväksynnän sisältöä. Hajasäteilysuojauksen ratkaisujen valmistajan arviointi ja hyväksyntä tarkoittaisi sitä, että yrityksellä olisi todettu kyvykkyys ylläpitää valmistuksen laatua ja menettelyjä ilman, että arviointiviranomainen arvioi jokaisen tuotteen, laitteen tai muun ratkaisun.
Suomeen sijoittuneella tarkoitettaisiin Suomeen sijoittautunutta yritystä, jonka valmistus on Suomessa ja johon ei liity ulkomaisen vaikutuksen riskiä. Hakemusten käsittelyn rajaamisella Suomeen sijoittuneen valmistajan Suomessa valmistettavaan ratkaisuun olisi tarkoitus rajata Liikenne- ja viestintäviraston julkiseen hyväksyntään tähtäävät arvioinnit sellaiseen kotimaiseen valmistukseen, jonka toteuttamista virasto pystyisi tosiasiassa arvioimaan ja seuraamaan. Sääntelyn tarkoitus olisi osaltaan edistää Suomessa käytäntöä, jota noudatetaan kansainvälisissä tietoturvallisuusvelvoitteissa ja jonka mukaan kukin valtio vastaa toimivaltansa alueella tapahtuvan valmistuksen arvioinnista. Erityisesti salausratkaisujen kohdalla käytännön taustalla olisi tarve varmistua siitä, ettei valmistukseen liity ei-toivottua ulkomaisen vaikutusvallan mahdollisesti aiheuttamia riskejä. Muiden kuin kotimaisten turvallisuuskriittisten ratkaisujen arviointi olisi osa tietojärjestelmien ja tietoliikennejärjestelyjen arviointia 1 momentissa säädetyn mukaisesti.
Momentin 2 kohdassa säädettäisiin Liikenne- ja viestintäviraston neuvontatehtävästä. Liikenne- ja viestintävirasto antaisi tietojärjestelmien, tietoliikennejärjestelyjen ja turvallisuuskriittisten ratkaisujen tietoturvallisuustoimenpiteisiin ja tietoturvallisuuden arviointiin liittyvää neuvontaa. Kyseessä olisi hallintolain 8 §:ssä säädettyä yleistä viranomaisneuvontaa laajempi ja syvällistä tietoturvallisuuden asiantuntemusta edellyttävä neuvontatehtävä, joka liittyisi tietoturvallisuusuhkien tunnistamiseen, tietoturvallisuustoimenpiteisiin, -vaatimuksiin ja -käytäntöihin ja niiden soveltamiseen yleisesti tai tapauskohtaisesti. Tehtävä tukisi esimerkiksi tietojärjestelmien, tietoliikennejärjestelyjen ja turvallisuuskriittisten ratkaisujen kehitysprosesseja, joissa Liikenne- ja viestintävirasto on mukana suunnittelusta lähtien. Arvioinnin ennakointi ja suunnittelu on arvioinnin hakijan ja arviointiviranomaisen vuoropuhelua, jossa selvitetään arvioinnin kohteen turvallisuustavoitteet ja tekniseen toteutukseen liittyvät tiedot sekä arvioinnin kohteen toteutuksen suunnitellut aikataulut.
Liikenne- ja viestintäviraston neuvontatehtävä tukisi myös tietoturvallisuuden arviointilaitosten hyödyntämistä viranomaisen tietojärjestelmän tai tietoliikennejärjestelyn arvioinnissa. Liikenne- ja viestintävirasto voisi antaa neuvontaa tietojärjestelmän ja tietoliikennejärjestelyn suunnitteluvaiheessa, arvioinnin kohdentamisessa ja arviointiperusteiden valinnassa, jolloin tietoturvallisuuden arviointilaitoksen arviointitehtävä voitaisiin suunnata tehokkaasti testaamiseen ja todentamiseen.
Momentin 3 kohdassa säädettäisiin Liikenne- ja viestintäviraston uudesta tehtävästä ohjata ja valvoa 8 § 3 momentin mukaisen hyväksyntäpäätöksen saaneen hajasäteilysuojausratkaisuja valmistavan turvallisuuskriittisen ratkaisun valmistajan toimintaa ja antaa tarvittaessa päätös valmistuksen ja ratkaisun vaatimuksista. Tarkoituksena olisi edistää hyväksytyn TEMPEST-yrityksen toiminnan edellytyksiä. Ohjausmalli olisi yhdenmukainen EU:n ja Naton turvallisuussääntöjen kanssa. Niissä edellytetään toimivaltaiselta viranomaiselta hyväksyttyjen TEMPEST-yritysten jatkuvaa valvontaa ja ohjausta. Ohjaus- ja valvonta loisivat yrityksille edellytykset saavuttaa asiakkaiden luottamus toimintaan kansallisesti ja kansainvälisesti. Toiminnan yleiset ehdot tulisi asettaa ehdotetun 8 §:n 3 momentin mukaisessa hajasäteilysuojauksen valmistajaa koskevassa hyväksyntäpäätöksessä. Erilaisten toimenpiteiden ja vaatimusten tulkinnan ohjaus voisi pääsääntöisesti tapahtua neuvonnalla, mutta tarvittaessa Liikenne- ja viestintäviraston tulisi antaa päätös. Toimenpiteet voisivat koskea esimerkiksi jonkin tuotetyypin valmistuksessa edellytettävää tarkistusmittausten otosta.
Pykälän 3 momenttia muutettaisiin siten, että lakiin lisättäisiin seikkoja, jotka Liikenne- ja viestintäviraston tulisi ottaa huomioon asettaessaan tehtäviään tärkeysjärjestykseen huomioiden käytettävissä olevat voimavarat, ja tehdessään päätöksen siitä, ottaako virasto pyydetyn arvioinnin tehtäväksi. Virasto voisi myös ottaa haetun arvioinnin tehtäväksi vain osittain. Arvioinnin kohteen teknisestä määrittämisestä säädetään muutoin 7 §:ssä.
Momentin 1 kohdan mukaan Liikenne- ja viestintäviraston tulisi jatkossakin huolehtia ensisijaisesti kansainvälisten tietoturvallisuusvelvoitteiden edellyttämistä arvioinneista. Momentin 2 kohdan mukaan viraston tulisi myös huomioida ehdotettujen 3 a ja 3 b §:n mukaiset viranomaisten arviointivelvollisuudet, 3 kohdan mukaan tiedon turvallisuusluokka ja 4 kohdan mukaan muun riippumattoman arvioinnin saatavuus. Käytännössä Liikenne ja viestintäviraston tulisi siis ottaa turvallisuusluokkiin I ja II luokiteltua tietoa käsittelevien järjestelmien arviointi tehtäväkseen, ellei toimivalta ole Pääesikunnan määrätyllä turvallisuusviranomaisella. Sen lisäksi viraston tulisi priorisoida turvallisuusluokiteltua tietoa käsittelevien tietojärjestelmien ja tietoliikennejärjestelyjen arviointeja ottaen huomioon, onko arviointitehtävän toteuttamiseen saatavilla muita riippumattomia arviointitahoja kuten tietoturvallisuuden arviointilaitosta, jolla olisi pätevyys tehdä turvallisuusluokan III-IV tietoja käsittelevien tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointeja.
Lisäksi Liikenne- ja viestintäviraston tulisi huomioida 5 kohdan mukaan suomalaisten turvallisuuskriittisten ratkaisujen tarjonnan edistäminen ja 6 kohdan mukaan arvioinnin pyytäjien ja hakijoiden yhdenvertainen kohtelu. Momentin 7 kohta vastaisi voimassa olevan momentin säädöstä pyydettyjen toimenpiteiden yleisen merkityksen huomioimisesta viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden yleiseen parantamiseen, sillä lisäyksellä, että huomioon tulisi ottaa myös yhteiskunnan elintärkeiden toimintojen suojaaminen.
Pykälään lisättäisiin uusi 4 momentti, joka vastaisi voimassa olevan pykälän 2 momenttia. Momentissa säädettäisiin näin ollen siitä, että 1 momentin mukaisen arviointipyynnön Liikenne- ja viestinvirastolle voisi tehdä viranomaisen toimeksiannosta tehdä myös se, joka tekee viranomaisen lukuun hankintoja taikka tuottaa tietojenkäsittely- tai tietoliikennepalveluja taikka hoitaa niiden järjestämiseen liittyviä palvelutehtäviä. Voimassa olevan lain esitöiden mukaan säädöksellä on haluttu varmistaa se, että tietojenkäsittely- ja tietoliikennepalveluja käyttävät voisivat varmistua, että heidän valtionhallinnon eri viranomaisille tarjoamat palvelut täyttävät valtionhallinnon tietoturvallisuudelle asetettavat vaatimukset (HE 45/2011 vp s. 11).
4 a § Arviointiviranomaista avustava tehtävä. Lakiin lisättäisiin uusi 4 a §, jossa säädettäisiin arviointiviranomaista avustavista tehtävistä.
Pykälän 1 momentissa arviointiviranomaisille säädettäisiin nykyiseen lakiin nähden uudesta mahdollisuudesta käyttää yksityisiä luonnollisia tai oikeushenkilöitä eli yrityksiä tai yhteisöjä viranomaisarviointien tukena. Arviointiviranomainen ei kuitenkaan voisi siirtää arviointitehtävää kokonaisuudessaan ulkopuolisen luonnollisen tai oikeushenkilön suoritettavaksi. Henkilöresurssien hankkiminen yksityisilta markkinoilta tulisi mahdollistaa viranomaisarviointien resurssien varmistamiseksi. Arviointiviranomaisten voi olla vaikeaa saada rekrytoitua riittävästi henkilöstöä arviointitehtäviin, sillä osaavia henkilöresursseja on niukasti. Arvioinnista aiheutuvista kustannuksista vastaisi sama taho kuin arviointiviranomaisen tekemästä arvioinnista. Arviointiviranomaisen tulisi siten sopia ulkopuolisen asiantuntijan käytöstä arvioinnin kustannuksista vastaavan tahon kanssa.
Arviointiin osallistuvalla ulkopuolisella asiantuntijalla olisi oltava arviointitehtävän laatuun ja laajuuteen nähden riittävä koulutus ja kokemus. Arviointiviranomainen voisi ulkopuoliselle asiantuntijalle osoitetussa toimeksiannossa määritellä, millaista pätevyyttä asiantuntijalta edellytetään ja mitä arviointikriteeristöä asiantuntijan tulee käyttää. Selvityksen edellytysten täyttyessä ja tarvittaessa kansallisen turvallisuuden tai arvioinnin kohteessa käsiteltävien tietojen turvallisuusluokittelun tai muun yhteiskunnan turvallisuuteen liittyvän syyn sitä edellyttäessä, olisi harkittava turvallisuusselvityslaissa tarkoitetun yritysturvallisuusselvityksen tai henkilöturvallisuusselvityksen edellyttämistä arvioinnin suorittajalta tai siihen osallistuvalta. Yritysturvallisuusselvityksen ja henkilöturvallisuusselvityksen laatimisen edellytyksistä säädetään turvallisuusselvityslaissa.
Ulkopuolisen asiantuntijan käyttämisessä olisi kyse julkisen hallintotehtävän siirtämisestä yksityiselle ja tehtävää suorittavaan asiantuntijaan sovellettaisiin rikosoikeudellisia virkavastuuta koskevia säännöksiä. Lisäksi 1 momentin loppuun lisättäisiin informatiivinen säännös siitä, että vahingonkorvauksesta säädetään vahingonkorvauslaissa (412/1974).
Pykälän 2 momentissa säädettäisiin Teknologian tutkimuskeskus VTT Oy:n (jäljempänä VTT) tehtävästä arvioida turvallisuuskriittisiä ratkaisuja arviointiviranomaisen toimeksiannosta. Tehtävä liittyy kyberturvallisuuden tavoitteisiin, joita on kirjattu Petteri Orpon hallituksen hallitusohjelmaan, valtioneuvoston puolustusselontekoon 2024 ja kyberturvallisuusstrategiaan vuosille 2024–2035. Kyberturvallisuusstrategian mukaan Suomi pyrkii kriittisen salausteknologian osalta omavaraisuuteen. Tämä edellyttää, että kansallisesti kriittisiä salausteknologioita kuten kvantinkestäviä salausratkaisuja kehitetään kotimaassa ja kokonaisvaltaista salausteknologista kyvykkyyttä vahvistetaan muun muassa tuotannon, tutkimuksen, laskennan, testauksen, takaisinmallinnuksen sekä organisoitumisen osa-alueilla. Kyberturvallisuusstrategian toimeenpanosuunnitelmassa 3.12.2024 on esitetty kansallisen salausteknologian kyvykkyyden kehittämiseksi salausteknologisen laboratorion rakentamista. Samoin valtioneuvoston puolustusselonteossa todetaan, että salausteknologian kyvykkyyksiin liittyvän tutkimuksen, osaamisen kehittämisen, kotimaisen tuotantokyvyn ja eri viranomaisten tehtävien tukemiseksi perustetaan kansallinen salausteknologinen laboratorio.
VTT:lle ehdotettava arviointiviranomaista avustava tehtävä arvioida turvallisuuskriittisiä ratkaisuja on perusteltu, koska yllä mainittu salausteknologian laboratorio tulee VTT:n yhteyteen.
VTT:n avustava arviointitehtävä mahdollistaisi pitkäjänteisen yhteistyön arviointiviranomaisten kanssa. VTT ei tekisi arviointia itsenäisesti, vaan arviointiviranomaisen toimeksiannosta ja ohjauksessa. Momentin mukaisessa VTT:n tehtävässä olisi myös kyse julkisesta hallintotehtävästä ja VTT:n työntekijään sovellettaisiin 1 momentissa ulkopuoliselle asiantuntijalle säädettyä vaatimusta koulutuksesta ja kokemuksesta sekä rikosoikeudellista virkavastuuta koskevia säännöksiä.
4 b §Arviointiviranomaisten tiedonvaihto ja yhteistyö. Lakiin lisätäisiin uusi 4 b §, jossa säädettäisiin arviointiviranomaisten keskinäisestä yhteistyöstä, tiedonvaihdosta ja joustavasta resurssien käytöstä. Ehdotus on tarpeen arviointiviranomaisten tehokkaan ja tarkoituksenmukaisen toiminnan turvaamiseksi.
Pykälän 1 momentissa säädettäisiin arviointiviranomaisten yhteistyöstä ja tiedonsaantioikeuksista tehtävien hoitamiseksi. Arviointiviranomaisten olisi annettava toisilleen tehtävien hoitamiseksi välttämättömiä tietoja salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä. Tiedonvaihto olisi olennainen osa yhteistyötä. Yhteistyön ja tiedonvaihdon tarkoituksena olisi ehkäistä päällekkäistä työtä, edistää yhteistä tilannekuvaa julkisen hallinnon arviointitarpeista ja osaamisen jakamista sekä teknisen kehityksen ja tietoturvauhkien huomioimista ja yhdenmukaista vaatimusten tulkintaa arviointitoiminnassa.
Pykälän 2 momentissa säädettäisiin, että 3 d §:n 1 momentissa säädettyjen toimivaltuuksien ja 4 §:n 1 ja 2 momentissa säädettyjen arviointiviranomaisten tehtävien estämättä arviointiviranomaiset voisivat sopia tietyn tehtävän tai sen osan hoitamisesta toisen arviointiviranomaisen lukuun, jos järjestely on tarpeen tehtävien hoitamiseksi tarkoituksenmukaisesti, taloudellisesti ja joutuisasti. Tämä edistäisi arviointiresurssien joustavaa käyttöä yhdessä sovittujen priorisointien mukaisesti.
Arviointiviranomaiset voisivat sopia toisen arviointiviranomaisen lukuun hoidettavista tehtävistä siltä osin, kun kyse ei olisi hallintopäätöksellä ratkaistavasta asiasta, kuten hyväksyntä- tai valvontatehtävästä. Hallintopäätöksellä ratkaistavien asioiden osalta arviointiviranomaiset voisivat sopia vain asian selvittämiseen liittyvän tehtävän hoitamisesta toisen lukuun. Näin ollen ehdotetun yhteistyön tarkoituksena ei olisi siirtää arviointiviranomaisen päätös- ja toimivaltaa toiselle, vaan kyse olisi enemmänkin avustavasta tehtävästä.
Pykälän 3 momentissa velvoitettaisiin Liikenne- ja viestintävirasto ohjaamaan ja koordinoimaan arviointiviranomaisten yhteistyötä yhtenäisen soveltamiskäytännön luomiseksi arviointiviranomaisten toiminnassa. Tarkoitus olisi varmistaa, että arviointiviranomaisten yhteistyö ja tiedonvaihto on sujuvaa. Turvallisuuskriittisten ratkaisujen arvioinnin kannalta yhteistyön ja soveltamiskäytännön koordinoinnin tärkeänä tavoitteena olisi valmistajien ja eri viranomaiskäyttäjien tarpeiden kannalta, että ratkaisuihin sovellettavat tietoturvallisuusvaatimukset ja niiden soveltaminen arviointiviranomaisilla eivät eroa toisistaan. Koordinaation avulla tulisi huolehtia siitä, että Puolustusvoimien toiminnalliset vaatimukset saatettaisiin valmistajien tietoon.
5 § Selvitykset valtiovarainministeriön toimeksiannosta. Pykälää muutettaisiin siten, että toimivaltaisen viranomaisen nimeksi muutettaisiin teknisenä muutoksena Liikenne- ja viestintävirasto.
Pykälän 1 momenttiin lisättäisiin tietoturvallisuuden tason selvittämisen lisäksi lain soveltamisalan laajenemisen mukaisesti varautuminen mahdollisten valtionvarainministeriön Liikenne- ja viestintävirastolta pyytämien selvitysten kohteeksi. Teknisenä muutoksena momenttia päivitettäisiin siten, että valtiovarainministeriö voi pyytää Liikenne- ja viestintävirastolta selvityksiä voimassa olevan yksikössä olevan selvitys-termin sijaan.
Pykälän 2 momentissa voimassa olevan lain tiedonsaantioikeus sen estämättä mitä tietojen salassapidosta säädetään, päivitettäisiin muotoon salassapitosäännösten tai muiden tiedon luovuttamista koskevien rajoitusten estämättä. Liikenne- ja viestintäviraston antaman arvion sijaan säädettäisiin Liikenne- ja viestintäviraston antamasta selvityksestä. Kyse on teknisestä muutoksesta, jotta terminologia saadaan vastamaan 1 momenttiin ehdotettuja muutoksia.
6 § Arviointiviranomaisen tiedonsaantioikeus, tarkastusoikeus sekä oikeus päästä tiloihin ja tietojärjestelmiin. Pykälän otsikkoa muutettaisiin siten, että Viestintävirasto vaihdettaisiin arviointiviranomaiseksi ja siihen lisättäisiin tarkastusoikeudet.
Pykälän 1 momenttia muutettaisiin siten, että tiedonsaanti- ja pääsyoikeudet laajennettaisiin koskemaan arviointiviranomaisia eli Liikenne- ja viestintäviraston lisäksi Pääesikunnan määrättyä turvallisuusviranomaista. Arviointiviranomaisen toimeksiannosta toimiva asiantuntija korvattaisiin ehdotetun 4 a §:n mukaisella arviointiviranomaista avustavassa tehtävässä toimivalla avustavalla asiantuntijalla.
Tiedonsaantioikeudet sidottaisiin välttämättömyysperusteeseen voimassa olevassa pykälässä säädetyn tarpeellisuusperusteen sijaan. Tietojen välttämättömyyden arviointi olisi arviointiviranomaisen tehtävä, jolloin sen olisi perusteltava tietojen välttämättömyys pyytäessään niitä viranomaisilta ja yrityksiltä arviointien, selvitysten tai valvonnan suorittamiseksi. Lisäksi voimassa olevan lain tiedonsaantioikeus sen estämättä mitä tietojen salassapidosta säädetään, päivitettäisiin muotoon salassapitosäännösten tai muiden tiedon luovuttamista koskevien rajoitusten estämättä. Muita tiedon luovuttamista koskevia rajoituksia voivat olla esimerkiksi yrityksen liike- tai ammattisalaisuudet.
Pykälän 1 momenttia muutettaisiin myös siten, että arvioitavana tai selvityksen kohteena olevaa tietojärjestelmää tai tietoliikennejärjestelyjä koskevien tietojen sijaan tiedonsaantioikeudet koskisivat tässä laissa säädettyjä tehtäviä. Muutos olisi perusteltu, koska ehdotetut uudet arviointiviranomaistehtävät sisältävät tietojärjestelmän tai tietoliikennejärjestelyn arvioinnin lisäksi myös esimerkiksi turvallisuuskriittisten ratkaisujen ja niiden valmistuksen arvioinnin sekä ohjauksen ja valvonnan.
Pykälän 1 momentissa säädettyä arviointiviranomaisen oikeutta päästä tiloihin ja tietojärjestelmään tarkennettaisiin siten, että pääsyoikeuksiin lisättäisiin myös tietoliikennejärjestely. Lisäksi tiedonsaantioikeuden kohteiksi lisättäisiin asiakirjat, laitteet ja ohjelmistot. Turvallisuuskriittisten ratkaisujen arvioinnissa voisi olla tarpeen esimerkiksi arvioida ohjelmistoja ja lähdekoodia sekä testata laitteita. Momenttiin lisättäisiin selvyyden vuoksi maininta oikeudesta suorittaa tarvittavia hallinnollisia ja teknisiä arviointitoimenpiteitä. Näitä olisivat erilaiset tekniset tarkastustoimenpiteet, kuten tietojärjestelmään ja tietoliikenteeseen kohdistuvia haavoittuvuusskannauksia ja testejä. Tekninen testaus on välttämätön menettely sekä tietojärjestelmien että turvallisuuskriittisten ratkaisujen tietoturvallisuuden arvioinnissa. Teknisesti testaamalla voidaan todentaa asiakirjojen ja haastattelujen perusteella saatua selvitystä ja havainnoida tietojärjestelmän tai turvallisuuskriittisen ratkaisun kyvykkyyttä erilaisilta tietoturvallisuusuhkilta suojautumisessa. Tekninen testaus voi edellyttää pääsyä tilaan, jossa tietojärjestelmään tai tietoliikennejärjestelyyn kuuluvat laitteet ovat.
Pykälään lisättäisiin uusi 2 momentti, jossa säädettäisiin Liikenne- ja viestintäviraston ja Pääesikunnan määrätyn turvallisuusviranomaisen, sen hoitaessa tehtävää arviointilain 4 b §:n 2 momentissa tarkoitetulla tavalla Liikenne- ja viestintäviraston lukuun, tarkastusoikeudesta hajasäteilysuojausratkaisuja tarjoavan valmistajan ehdotetun 4 § 2 momentin 3 kohdassa tarkoitetussa valvonnassa. Liikenne- ja viestintävirastoa ja Pääesikunnan määrättyä turvallisuusviranomaista voisi tarkastuksessa avustaa 4 a §:ssa tarkoitettu avustava asiantuntija. Tarkastuksen tarkoituksena olisi selvittää, noudattaako valmistaja tämän lain nojalla annettuja päätöksiä. Tämän lain nojalla annetuilla päätöksillä viitattaisiin ehdotetun 8 §:n 3 momentin mukaiseen hyväksyntäpäätökseen sekä ehdotetun 4 §:n 2 momentin 3 kohdan mukaiseen päätöksentekoon. Erotuksena 1 momentissa tarkoitetuissa arvioinneissa ja selvityksissä tehtäviin arviointitoimenpiteisiin hajasäteilysuojaratkaisujen valvontaan liittyvissä tarkastuksissa olisi kysymys hallintolain 39 §:n mukaisesta tarkastuksesta. Tiedonsaantioikeudet ja pääsyoikeudet tarkastuksessa vastaisivat 1 momentissa säädettyä.
Pykälään lisättäisiin uusi 3 momentti, joka vastaisi voimassa olevan lain 2 momenttia sillä erotuksella, että kotirauhan piirin turvaaminen ulotettaisiin koskemaan myös ehdotetussa 2 momentissa tarkoitettua tarkastusta.
7 § Tietoturvallisuuden ja varautumisen arviointiperusteet. Pykälän otsikkoa muutettaisiin siten, että siinä huomioitaisiin ehdotettu lain soveltamisalan laajentaminen, jolloin tietoturvallisuuden arviointiperusteiden lisäksi pykälässä säädettäisiin varautumisen arviointiperusteista.
Pykälän 1 momentin johdantokappaletta täydennettäisiin siten, että viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden lisäksi pykälän arviointiperusteet soveltuisivat tietojärjestelmien ja tietoliikennejärjestelyjen varautumisen sekä turvallisuuskriittisten ratkaisujen ja niiden valmistuksen tietoturvallisuuden arviointiin.
Pykälän 1 momentinarviointiperusteiden luettelon tarkoituksena olisi mahdollistaa laajasti eri arviointiperusteiden käyttäminen. Momentin 1 kohtaan lisättäisiin kyberturvallisuus- ja varautumisvaatimukset tietoturvallisuusvaatimusten lisäksi. Viranomaisten toiminnalle on asetettu tietoturvallisuusvaatimusten rinnalle myös kyberturvallisuusvaatimuksia, jotka olisi tarkoituksenmukaista huomioida osana tietojärjestelmien ja tietoliikennejärjestelyjen arviointeja.
Tiettyjen viranomaisten, kuten valtiovarainministeriön ja kansallisen turvallisuusviranomaisen ohjeiden mainitsemisen sijaan yleisesti viranomaisen ohjeet säädösten soveltamisesta olisi riittävä ja yleispätevämpi määrittely. Viranomaisten tulisi varmistua ohjeistuksen yhdenmukaisuudesta ja yhtenäisyydestä. Näin ollen voimassa olevan 1 momentin 2 kohtasisältyisi muutettuun 1 kohtaan.
Momentin 2 kohta vastaisi nykyistä 3 kohtaa, mutta siihen lisättäisiin Suomen Nato-jäsenyyden myötä Euroopan unionin lisäksi Pohjois-Atlantin liitto säännösten, määräysten tai ohjeiden mahdollisena antajana. Kohtaan lisättäisiin myös viranomaisten ohjeet kansainvälisten toimielimien säännösten ja ohjeiden soveltamisesta. Momentin 1 kohdan tavoin myös 2 kohtaan lisättäisiin tietoturvallisuuden lisäksi kyberturvallisuus ja varautuminen.
Momentin 3 kohta vastaisi nykyistä 4 kohtaa ja momentin 4 kohta vastaisi nykyistä 5 kohtaa sillä erotuksella, että molempiin kohtiin lisättäisiin tietoturvallisuutta koskevien säännösten, määräysten tai ohjeiden sekä vaatimusten lisäksi varautumista ja kyberturvallisuutta koskevat säännökset, määräykset tai ohjeet sekä vaatimukset.
Pykälän 2 momenttia muutettaisiin siten, että siinä säädettäisiin arviointiperusteiden ja arvioinnin kohteen määrittämisessä huomioon otettavista seikoista.
Arviointiperusteiden määrittämisellä tarkoitettaisiin säädettyjen ja riskiarvioinnin perusteella valittujen vaatimusten määrittämistä 1 momentissa säädetyistä arviointiperusteiden kokonaisuudesta. Säädetyillä vaatimuksilla tarkoitettaisiin esimerkiksi julkisuuslain, tiedonhallintalain ja turvallisuusluokitteluasetuksen säännöksiä. Riskiarvion tekeminen perustuisi uhkien tunnistamiseen. Uhkia ovat yleisesti tunnetut tietoturvauhkat, jotka koskevat tietojärjestelmiä ja tietoliikennejärjestelyjä toimialasta riippumatta. Uhkia ovat myös arvioinnin kohteen erityiset tietoturvauhkat, jotka voivat liittyä esimerkiksi arvioitavan järjestelmän merkitykseen yhteiskunnan turvallisuudelle, kansalliselle turvallisuudelle, viranomaisen toiminnalle, arvioinnin kohteen toiminnan kiinnostavuuteen pahantahtoisten toimijoiden kannalta, yhteisöjen ja kansalaisten palvelujen saatavuudelle tai tiettyyn tekniseen toteutustapaan. Arviointiperusteiden määrittämisen riskiarviossa tulisi myös huomioida arvioinnin kohteessa käsiteltävien tietojen luottamuksellisuus-, eheys-, saatavuus- ja jatkuvuudenhallintavaatimukset sekä tekniseen tuotantotapaan liittyvät vaatimukset. Vaatimusten tunnistamisessa huomioidaan esimerkiksi hallinnollinen, toiminnallinen, fyysinen ja tekninen turvallisuus, jatkuvuudenhallinta ja varautuminen sekä tietosuoja. Arviointi voi perustua suppeaankin joukkoon vaatimuksiin perustuvia arviointikriteerejä.
Arvioinnin kohteen määrittämisellä tarkoitettaisiin niitä rajauksia, joita arvioinnin suunnittelussa tehdään. Arvioinnin kohde voi vaihdella aina yhdestä työasemasta monen toimipisteen verkkoon tai olla esimerkiksi organisaatiossa laajasti käytössä oleva monikansallisen toimittajan pilvipalvelu. Arvioinnin kohteen rajaukseen sisällytettäisiin sellaiset tietojärjestelmän tai tietoliikennejärjestelyn osat, jotka oleellisesti vaikuttavat käsiteltävien tietojen tietoturvallisuuteen ja varautumiseen. Esimerkiksi tietojärjestelmän päätelaitteet, käyttöpisteet sekä ylläpitoon käytettävät hallintaratkaisut on usein perusteltua sisällyttää arviointiin.
Momentissa säädettäisiin myös, että arviointiviranomaiselta pyydettävässä arvioinnissa arviointiperusteiden asettaminen olisi arviointiviranomaisen vastuulla. Hyvän hallintotavan mukaisesti arviointiviranomaisen tulisi kuulla arvioinnin pyytäjää ennen arviointiperusteista asettamista. Näin varmistettaisiin arviointiviranomaisen asiantuntemuksen hyödyntäminen ja arviointien tarkoituksenmukaisuus arviointia pyytävän viranomaisen riskinhallinnan tukena. Tarvittaessa arviointiviranomainen neuvoisi viranomaista arvioinnin suunnitteluvaiheessa tai sen edetessä, kun toteutus tarkentuu tai muuttuu.
Viranomaisen itsearvioinnissa ja palveluntarjoajan viranomaisen toimeksiannosta toteuttamassa arvioinnissa viranomainen asettaisi arviointiperusteet, arvioinnin kohteen ja sen kohdentamisen. Arviointiperusteista tietoturvallisuuden arviointilaitoksen ja sen asiakkaan toimeksiantosuhteessa säädetään arviointilaitoslaissa.
Pykälään lisättäisiin uusi 3 momentti, jossa säädettäisiin turvallisuuskriittisten ratkaisujen ja niiden valmistuksen arviointiperusteiden määrittämisestä. Arviointiviranomainen määrittäisi ratkaisuun ja valmistukseen soveltuvat arviointiperusteet 1 momentin arviointiperusteiden kokonaisuudesta hyvän hallintotavan mukaisesti valmistajaa kuultuaan. Arviointiperusteiden määrittäminen voitaisiin parhaiten tehdä arviointiviranomaisen ja valmistajan yhteistyössä. Näin olisi varsinkin sellaisissa arvioinneissa, joissa turvallisuus edellyttää arviointia jo kehitysvaiheessa. Arviointi tukisi tällöin myös valmistajan kehitys- ja suunnittelutyötä.
Arviointiperusteiden määrittämisessä otettaisiin huomioon ratkaisuun tyypillisesti vaikuttavat tietoturvauhkat 2 momentin perusteluissa kuvatulla tavalla. Lisäksi otettaisiin huomioon tavoiteltu turvallisuusluokka, valmistuksen turvallisuus ja valmiudet kansainvälisten tietoturvallisuusvelvoitteiden täyttämiseen. Valmistuksen turvallisuudella tarkoitettaisiin valmistusyritykseen ja toimitusketjuun liittyviä seikkoja ja turvallista tuotekehitystä, suunnittelua, valmistusta, ylläpitoa ja muita toimia. Valmiudella kansainvälisten tietoturvallisuusvelvoitteiden täyttämiseen tarkoitettaisiin sitä, että arvioinnissa tulisi pyrkiä edistämään valmistajan mahdollisuuksia saada ratkaisulle myös kansainvälisten tietoturvallisuusvaatimusten mahdollisesti edellyttämä hyväksyntä. Tässä tarkoituksessa voitaisiin hyödyntää suoraan erilaisia kansainvälisten tietoturvallisuusvaatimusten lähteitä osana arviointiperusteita tai määrittää perusteet siten, että jatkokehitys kansainvälisten tietoturvallisuusvaatimusten täyttämiseksi on mahdollista.
7 a § Turvallisuuskriittisen ratkaisun valmistajan arviointiin liittyvät selvitykset. Lakiin lisättäisiin uusi 7 a §, jossa säädettäisiin turvallisuuskriittisen ratkaisun valmistajan arviointiin liittyvistä selvityksistä.
Pykälän 1 momentissa säädettäisiin Liikenne- ja viestintävirastolle uusi menettelyyn liittyvä velvoite hakea turvallisuusselvityslaissa tarkoitettua yritysturvallisuusselvitystä arviointia hakevasta valmistajasta 4 §:n 2 momentin 1 kohdassa tarkoitetun turvallisuuskriittisen ratkaisun ja sen valmistuksen arvioinnissa. Lisäksi säädettäisiin, että turvallisuuskriittisen ratkaisun hyväksyntä edellyttää, että valmistajan yritysturvallisuusselvityksessä ei ole ilmennyt mitään, mikä kokonaisharkinnan perusteella vaarantaisi valmistuksen turvallisuuden ja luotettavuuden ottaen huomioon erityisesti ulkomaisen vaikutuksen riskit. Valmistuksen turvallisuus ja luotettavuus tarkoittaisi esimerkiksi yrityksen omistukseen, vastuuhenkilöihin, taloudelliseen tilanteeseen, turvallisuuskriittisten ratkaisujen valmistukseen kuuluvien toimitusketjujen sekä toimitilojen ja valmistukseen vaikuttavien tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta. Valmistukseen liittyvien seikkojen merkitystä tulisi punnita suhteessa turvallisuuskriittisen ratkaisun turvallisuusluokkaan ja luonteeseen ja alttiuteen luotettavuuden vaarantumiselle.
Pykälän 2 momentissa säädettäisiin tilanteista, joissa arviointiperusteena käytetään kansainvälistä standardia, jonka mukainen pätevyys on mahdollista akkreditoida vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetussa laissa säädetyn FINASin akkreditointimenettelyn avulla. Menettely ei olisi pakollinen, vaan Liikenne- ja viestintävirasto voisi harkita hyväksynnän perusteet. Hyväksynnän perusteisiin voisi liittyä kansainvälisen erityissuojattavan tiedon käsittelyä tai turvallisuusluokitellun tiedon käsittelyä, mikä voisi vaikuttaa mahdollisuuteen käyttää sujuvasti FINASin akkreditointipalvelua.
Ehdotus mahdollistaisi myös sen, että yhtenä osana hyväksynnän perusteita voitaisiin huomioida valmistajan mahdollisesti jo aikaisemmin saama akkreditointi. Hajasäteilysuojauksen ratkaisujen valmistajien arvioinnissa hakemus voisi koskea itse valmistajan hyväksyntää TEMPEST-yrityksenä. Hajasäteilysuojaus on kapea tekninen erityisalue, joka koskee korkeimpia turvallisuusluokkia. Arviointiperusteina käytetään ensisijaisesti kansainvälisiä turvallisuusluokitellun tiedon suojaamiseen laadittuja lähteitä. Valmistuksen menettelyjen arvioinnissa voidaan hyödyntää samoja standardeja, joita hyödynnetään muillakin valmistuksen aloilla, kuten ISO/IEC 17025 ja ISO/IEC 9001 mukaiset akkreditoinnit. Tällöin valmistajan pätevyyden standardinmukaisuuden arvioinnissa voitaisiin hyödyntää FINASin akkreditointia. TEMPEST-yrityksen hyväksynnän perusteena huomioitavassa akkreditoinnissa ei olisi välttämätöntä huomioida yksityiskohtaista turvallisuusluokiteltua teknistä substanssitietoa, vaan prosessien tasalaatuisuus ja vertailukelpoisuus.
8 § Arviointiraportin, hyväksyntäpäätöksen ja -lausunnon antaminen. Pykälän otsikkoa muutettaisiin siten, että todistuksen antamisen sijaan siinä säädettäisiin arviointiraportin ja hyväksyntäpäätöksen tai -lausunnon antamisesta.
Pykälän 1 momenttia muutettaisiin siten, että siinä säädettäisiin arvioinnista laadittavasta arviointiraportista. Arviointiraportti tulisi laatia kaikista ehdotetun 3 §:n 1 momentin mukaisilla menettelyillä toteutetuista arvioinneista.
Arvioinnin toteuttaja laatisi arvioinnin tuloksista raportin arvioinnin kohteen tietoturvallisuuden ja varautumisen tasosta ja mahdollisista riskeistä. Raportti sisältäisi tiedot arvioinnin kohteesta, käytetyistä arviointiperusteista, arvioinnin laajuudesta ja arvioinnin aikana tehdyistä havainnosta. Arvioinnin laajuudella tarkoitettaisiin esimerkiksi käytettyjä todentamismenetelmiä, arvioinnin syvyyttä kuten teknisessä arvioinnissa käytettyjä penetraatiotestauksia tai koodin tarkistusta sekä arvioinnin kattavuutta ajallisesti ja organisatorisesti. Raportissa voitaisiin todeta lieviä tai vakaviakin poikkeamia arviointiperusteiden toteutumisessa. Viranomainen tarvitsisi arviointiraporttia päättäessään jäännösriskeistä ja tehdessään tietojärjestelmän tai tietoliikennejärjestelyn käyttöönotto- ja käyttöpäätöksiä.
Arviointiraportilla olisi tarkoitus selkeyttää viranomaisen vastuuta tietojärjestelmiensä ja tietoliikennejärjestelyjensä tietoturvallisuudesta. Arviointiraportin käytöllä parannettaisiin ja yhdenmukaistettaisiin viranomaisen tietoturvallisuus- ja varautumistoimenpiteistä ja tietojärjestelmien ja tietoliikennejärjestelyjen jäännösriskeistä, käyttöönotosta ja käytöstä tekemien päätösten laatua, sillä arviointiraportti lisäisi viranomaisen tietopohjaa toimintaympäristön, tietojärjestelmien ja tietoliikennejärjestelyjen riskeistä.
Pykälän 2 momenttia muutettaisiin siten, että siinä säädettäisiin arviointiviranomaisen tehtävästä antaa hyväksyntäpäätös tai -lausunto, kun viranomainen on hakenut hyväksyntää ehdotetun 3 c §:n mukaisesti ja arvioitava tietojärjestelmä tai tietoliikennejärjestely täyttää sille arvioinnissa asetetut vaatimukset. Lisäksi momentissa säädettäisiin hyväksyntäpäätökseen tai -lausuntoon merkittävistä tiedoista. Päätökseen tai lausuntoon tulisi merkitä arviointiviranomaisen hyväksymät arvioinnin kohde ja sen tekninen rajaus, arviointiperusteet, arvioinnin laajuus, arvioinnin tulos ja jäännösriski sekä tarvittaessa voimassaoloaika.
EU:n ja Naton turvallisuusluokitellun tiedon käsittelyyn hyväksyttyjen tietojärjestelmien hyväksynnän muotoon ja sisältöön liittyy erilaisia vaatimuksia eri tilanteissa ja ne voivat olla muodoltaan esimerkiksi hyväksyntälausuntoja, väliaikaisia lausuntoja tai päätöksiä hyväksynnästä. Näiden lausuntojen ja päätösten vaikutukset arviointiprosessissa määritellään kansainvälisissä tietoturvallisuusvelvoitteissa. Menettelyt eroavat riippuen siitä, onko kysymyksessä EU:n tai Naton Suomeen toimittama järjestelmä vai kansallisesti toteutettu EU:n tai Naton turvallisuusluokitellun tiedon käsittelyyn tarkoitettu järjestelmä. Kansallisen järjestelmän arvioinnissa hyväksynnästä ja hyväksymislausunnossa ilmenevän jäännösriskin hyväksynnästä vastaa järjestelmän vastuuviranomainen, jonka on otettava huomioon riippumattoman arvioinnin tulos. Kansallisen järjestelmän arvioinnissa hyväksyntälausunto annetaan päätöksellä ja eräissä tilanteissa mahdollinen väliaikainen hyväksyntälausunto välipäätöksellä, jossa todetaan ehdot varsinaisen hyväksyntälausunnon saamiseksi. Toimitetun järjestelmän arvioinnissa puolestaan kansallisesti tehtävä arviointi painottuu tyypillisesti toimitettua tietojärjestelmää ympäröiviin suojauksiin kuten fyysiseen turvallisuuteen, henkilöstöturvallisuuteen sekä käyttöpisteen hajasäteilysuojaukseen, joista laaditaan vaatimuksenmukaisuuslausunto ja hyväksyntälausunnon antaa yleensä jokin EU:n tai Naton toimielin.
Tietoturvallisuuden arviointilaitoksen myöntämästä todistuksesta säädetään arviointilaitoslaissa.
Pykälään lisättäisiin uusi 3 momentti, jossa säädettäisiin Liikenne- ja viestintäviraston uudesta tehtävästä antaa suomalaisen valmistajan turvallisuuskriittisen ratkaisun ja sen valmistuksen arvioinnista tekemään hakemukseen ja hajasäteilysuojausratkaisujen valmistajan tekemään hakemukseen valmistajan hyväksymisestä valituskelpoinen hallintopäätös, josta ilmenee arvioinnin tulos. Jos turvallisuuskriittinen ratkaisu täyttää arvioinnille määritetyt vaatimukset, päätös olisi ratkaisun hyväksyntäpäätös, josta tulisi ilmetä hyväksynnän voimassaolo ja ehdot, jotka ovat tarpeen ratkaisun turvallisessa käytössä. Hyväksyntä olisi pääsääntöisesti määräaikainen, sillä teknologian kehittyminen ja uhkaympäristön kehitys edellyttävät ratkaisujen teknistä kehittämistä ja arviointia aika ajoin. Ratkaisujen käyttö turvallisuusluokitellun tiedon suojaamisessa edellyttää tyypillisesti tietynlaisia valintoja tai määrittelyjä ratkaisun hyödyntämisessä tai sen käyttöympäristöltä. Tällaiset turvalliseen käyttöön liittyvien valintojen ja määrittelyjen ehdot voitaisiin merkitä päätökseen tai esimerkiksi sen liitteenä annettavaan käyttöohjeeseen eli käyttöpolitiikkaan. Hajasäteilysuojaratkaisun eli TEMPEST-laitteiden valmistajaa koskevaan hyväksyntäpäätökseen voitaisiin merkitä valmistuksen luotettavuuteen liittyvä tarpeellisia ehtoja.
Jos turvallisuuskriittiselle ratkaisulle ja sen valmistukselle asetetut vaatimukset eivät täyttyisi, valmistaja voisi hyödyntää saamaansa arviointiraporttia ja päätöstä ratkaisun kehittämisessä ja tarjoamisessa.
8 a § Hyväksyttyjen turvallisuuskriittisten ratkaisujen ja valmistajien luettelo. Pykälää muutettaisiin siten, että sen sijaan, että siinä säädettäisiin viranomaisen velvollisuudesta hankkia todistus, pykälässäsäädettäisiin Liikenne- ja viestintävirastolle uusi tehtävä ylläpitää ja julkaista hyväksyttyjen turvallisuuskriittisten ratkaisujen ja valmistajien luetteloa.
Pykälässä säädettäisiin, että hyväksyttyään turvallisuuskriittisen ratkaisun ehdotetun 4 §:n 2 momentin 1 kohdassa säädetyn tehtävän mukaisesti ja annettuaan ehdotetussa 8 §:n 3 momentissa tarkoitetun hyväksyvän päätöksen turvallisuuskriittisen ratkaisun ja sen valmistuksen vaatimustenmukaisuudesta Liikenne- ja viestintävirasto julkaisisi tiedon ratkaisusta ja sen valmistajasta julkisessa luettelossa. Jos vaatimustenmukaisuudesta annetussa päätöksessä todettaisiin, että arvioitu turvallisuuskriittinen ratkaisu ei täytä määritettyjä vaatimuksia, tietoa päätöksestä ei julkaistaisi. Luettelon tarkoituksena olisi tarjota turvallisuuskriittisiä ratkaisuja tarvitseville viranomaisille ja yrityksille tietoja tarjonnasta. Menettely vastaisi EU:n ja Naton turvallisuusluokitellun tiedon suojaamiseen liittyviä luetteloita.
Lisäksi pykälässä säädettäisiin vähimmäistiedoista, jotka soveltuvin osin tulisi ilmetä luettelosta ratkaisusta tai valmistajasta riippuen. Pykälän 1 kohdan mukaan luettelosta tulisi ilmetä turvallisuuskriittisen ratkaisun nimi, käyttötarkoitus ja versio. Käyttötarkoituksella tarkoitettaisiin esimerkiksi tuotteen tai palvelun tyyppiä tai teknistä käyttötarkoitusta, jota hyväksyntä koskee. Esimerkiksi salausratkaisun käyttötarkoitus voi olla tiedostojen salaaminen tai tietoliikenteen salaaminen.
Pykälän 2 kohdan mukaan luettelosta tulisi ilmetä tiedon turvallisuusluokka, jonka suojaamiseen ratkaisu on todettu riittäväksi. Luetteloon merkittäisiin tieto kansallisen turvallisuusluokan perusteella ja tarvittaessa EU:n tai Naton turvallisuusluokan perusteella tehdystä arvioinnista.
Pykälän 3 kohdan mukaan luettelosta tulisi ilmetä tieto valmistajasta. Jos hyväksyntä koskisi TEMPEST-laitteiden valmistajaa, tieto valmistajasta ja hyväksynnän alueesta voisi olla riittävä, eikä ratkaisuja, tuotteita tai versioita välttämättä olisi tarpeellista yksilöidä.
Pykälän 4 kohdan mukaan luettelosta tulisi ilmetä hyväksynnän voimassaolo, muutos tai lakkaaminen. Tiedot voimassaolosta, muutoksista tai lakkaamisesta ovat tärkeitä ratkaisujen hankinnan suunnittelussa. Muutos voisi koskea esimerkiksi turvallisuusluokan nostamista tai alentamista tai versiomuutosta. Voimassaolo voisi lakata valmistajan aloitteesta, jos voimassaolon jatkoa ei pyydetä. Voimassaolo voisi lakata myös Liikenne- ja viestintäviraston 10 §:n mukaisesti tekemällä päätöksellä, jos ratkaisu tai valmistaja ei enää täytä hyväksynnän edellytyksiä.
Pykälän 5 kohdan mukaan luettelosta tulisi ilmetä hyväksyntään liittyvät turvallisen käytön ehdot ja rajoitukset. Turvallisen käytön ehdoilla tarkoitettaisiin esimerkiksi käyttöpolitiikkaa (SecOps eli Security Operating Rules), jossa selostetaan teknisesti käyttötavat, joita turvallisuusluokan mukainen suojaaminen edellyttää. Käyttöpolitiikka tai ratkaisuun liittyvä ohjeistus voi olla salassa pidettävä, mutta luetteloon voidaan merkitä tarvittavat julkiset tiedot sen olemassaolosta. Hyväksyntään voi liittyä myös teknisiä rajoituksia tai rajauksia, joiden olisi tarkoituksenmukaista ilmetä luettelosta.
8 b § Turvallisuusselvitysrekisteriin merkittävät tiedot ja merkinnän poistaminen. Pykälä ehdotetaan kumottavaksi, sillä turvallisuusrekisteriä on käytetty vain vähäisessä määrin pykälässä säädetyssä tarkoituksessa.
9 § Tietoturvallisuuden ylläpito ja seuranta. Pykälää muutettaisiin siten, että nykyinen todistuksen saaneen sitoumus ylläpitää tietoturvallisuuden tasoa, korvattaisiin päätöksen tai lausunnon saaneen velvollisuudella ylläpitää tietoturvallisuus päätöksen tai lausunnon mukaisena. Tietoturvallisuutta koskeva muutosilmoitus tulisi tehdä päätöksen tai lausunnon myöntäneelle arviointiviranomaiselle. Muutosilmoituksen kynnystä laskettaisiin tietoturvallisuustasoon vaikuttavista muutoksista sellaisiin muutoksiin, joilla voi olla vaikutusta päätöksen tai lausunnon mukaisiin vaatimuksiin.
Arviointiviranomaisen tiedonsaanti- ja tarkastusoikeuksista sekä oikeudesta päästä tiloihin ja järjestelmiin säädettään 6 §:ssä.
10 § Hyväksyntäpäätöksen kumoaminen tai -lausunnon peruuttaminen. Pykälä ja sen otsikko muutettaisiin vastaamaan ehdotetun 8 §:n muutosta siten, että todistuksen peruuttamisen sijaan pykälässä säädettäisiin hyväksyntäpäätöksen tai -lausunnon peruuttamisesta. Lisäksi Viestintävirasto korvattaisiin arviointiviranomaisella, jotta pykälä kattaisi molemmat arviointiviranomaiset.
11 § Muutoksenhaku. Pykälää ehdotetaan muutettavaksi siten, että Viestintävirasto korvattaisiin arviointiviranomaisella ja viittaus kumottuun hallintolainkäyttölakiin (586/2966) korvattaisiin viittauksella voimassa olevaan lakiin oikeudenkäynnistä hallintoasioissa (808/2019).
12 § Maksut. Pykälän sanamuotoa ja viittausta valtion maksuperustelakiin (150/1992) päivitettäisiin, Viestintävirasto korvattaisiin arviointiviranomaisella ja viittaus todistukseen korvattaisiin viittauksella ehdotetun 8 §:n mukaiseen arviointiraporttiin, lausuntoon tai päätökseen. Lisäksi arviointiviranomaisen antama neuvonta lisättäisiin maksullisiin palveluihin. Muutos vastaisi osittain nykytilaa ja se olisi yhtenevä vallitsevan Liikenne- ja viestintäviraston maksuasetuskäytännön kanssa.
7.2
Laki tietoturvallisuuden arviointilaitoksista
1 §Lain tarkoitus. Pykälää täydennettäisiin siten, että lain tarkoituksena olisi voimassa olevan säännöksen lisäksi säätää menettelystä, jonka avulla viranomaiset voivat hankkia riippumattoman tietoturvallisuuden ja varautumisen arvioinnin. Pykälään ehdotettava muutos olisi yhdenmukainen arviointilakiin ehdotettavan 3 §:n kanssa, jossa säädettäisiin, että hyväksytyn tietoturvallisuuden arviointilaitoksen toteuttama arviointi on yksi viranomaisen tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointimenettelyistä. Pykälään ehdottava muutos olisi myös luonteeltaan nykytilaa selkeyttävä, sillä viranomaiset ovat voineet jo voimassa olevan säännöksen nojalla hankkia tietoturvallisuuden arviointeja hyväksytyiltä tietoturvallisuuden arviointilaitoksilta.
2 §Lain soveltamisala. Lain soveltamisalaa täsmennettäisiin ja pykälän 1 momenttiin lisättäisiin yhdenmukaisesti arviointilakiin ehdotetun kanssa, että tietoturvallisuuden arviointilaitosten tehtävänä olisi jatkossa toimeksiannosta arvioida tietoturvallisuuden lisäksi myös tietojärjestelmän tai tietoliikennejärjestelyn varautumisen tasoa. Lisäksi pykälän 1 momentissa huomioitaisiin liikenne- ja viestintäministeriön hallinnonalalla tehty virastouudistus, jonka myötä Viestintävirasto lakkasi olemasta 1.1.2019 alkaen, ja uutena viestintähallinnon viranomaisena toimii Liikenne- ja viestintävirasto.
Pykälän 2 momentti muutettaisiin vastaamaan arviointilakiin ehdotettavia muutoksia. Pykälän viittaus muualla säädettävistä Viestintäviraston tehtävistä päivitettäisiin arviointiviranomaisen muualla säädettäviin tehtäviin ja tietoturvallisuuden arvioinnin lisäksi momentissa huomioitaisiin varautumisen arviointi. Lisäksi momentin viittaus yhteisöturvallisuusselvitykseen muutettaisiin vastaamaan selvityksen nykyistä nimitystä yritysturvallisuusselvitys.
3 §Arviointilaitoksen hyväksymistä koskeva hakemus. Pykälän 1 momenttia selkeytettäisiin siten,että tietoturvallisuuden arviointilaitos voisi toimintansa hyväksymisen hakemisen lisäksi hakea hyväksyntää arvioinnin pätevyysaluetta varten Liikenne- ja viestintävirastolta. Tietoturvallisuuden arviointilaitokselle hyväksytyt pätevyysalueet rajaavat mitä tietoturvallisuuden ja varautumisen arviointiperusteita laitos voi käyttää arviointitehtävissään. Tietoturvallisuuden arviointilaitoksen tulee hakemuksen yhteydessä ilmoittaa mille pätevyysalueelle se hakee hyväksyntää. Hyväksytty tietoturvallisuuden arviointilaitos voi myöhemmin laajentaa toimintakenttäänsä ja hakea hyväksyntää lisäpätevyysalueille. Mahdollisuus hakea hyväksyntää uudelle pätevyysalueelle koskisi hyväksyttyjen tietoturvallisuuden arviointilaitosten hakemuksia lisäpätevyyksistä, jotka liittyvät arviointilaitoslain 10 §:ssä säädettyjen arviointiperusteiden mukaisiin pätevyysalueisiin, joita laitoksella ei vielä ole. Ehdotetun 5 §:n 3 momentin mukaan lisäpätevyyksien osalta ei jatkossa aina edellytettäisi FINASin akkreditointia. Sen sijaan tietoturvallisuuden arviointilaitokseksi hyväksyminen edellyttäisi jatkossakin FINASin akkreditointia jollekin tietoturvallisuuden tai varautumisen pätevyysalueelle.
Lisäksi 1 momentissa Viestintävirasto muutettaisiin Liikenne- ja viestintävirastoksi teknisenä muutoksena.
4 §Hakemuksen käsittely. Pykälän 1 momenttiin lisättäisiin uutena tietoturvallisuuden arviointilaitoksen luotettavuuden selvitysmenettelynä yritysturvallisuusselvitys. Yritysturvallisuusselvitys mahdollistaisi tietoturvallisuuden arviointilaitoksen omistuspohjan selvittämisen ja seurannan sekä vastuuhenkilöiden turvallisuusselvitykset ja nuhteettomuusseurannan. Yritysturvallisuusselvitys kattaisi myös tietoturvallisuuden arviointilaitoksen toimitilat ja tietojärjestelmät, jolloin niiden turvallisuutta ei tarvitsisi tarkastaa erikseen. Liikenne- ja viestintäviraston olisi haettava yritysturvallisuusselvitystä silloin, kun tietoturvallisuuden arviointilaitos hakee pätevyyttä, joka koskee turvallisuusluokitellun tiedon käsittelyn arviointia. Tällainen pätevyys on arviointilaitoslain soveltamisalalla esimerkiksi kansallisen turvallisuusviranomaisen ohjeena antaman Katakri-auditointityökalun käyttäminen arviointiperusteena. Liikenne- ja viestintäviraston toimiessa selvityksen hakijana sen tietoon tulisivat suojelupoliisin tekemät mahdolliset havainnot, joiden merkitystä virasto voisi arvioida arviointilaitoshyväksynnän kannalta. Ehdotus on perusteltu, sillä suojelupoliisi voi käyttää hyväkseen tarkkaan säädeltyä ja vakiomuotoista prosessia arviointilaitoksen luotettavuuden selvittämiseksi.
Niissä tilanteissa, joissa arviointilaitos hakee pätevyyttä, joka koskee muun kuin turvallisuusluokitellun tiedon käsittelyä, voitaisiin edelleen käyttää voimassa olevan lain mukaista selvitysmenettelyä, jossa suojelupoliisille varataan tilaisuus lausua tietoturvallisuuden arviointilaitoksen vastuuhenkilöistä ja toimitiloista. Lisäksi 1 momenttiin lisättäisiin sana selvitys, jotta se kattaisi myös yritysturvallisuusselvitykset.
Yritysturvallisuusselvitysten tekeminen sellaisten tietoturvallisuuden arviointilaitosten hyväksynnässä, jotka hakevat pätevyyttä turvallisuusluokitellun tiedon suojaamisen arviointiin, tehostaisi ja selkeyttäisi tietoturvallisuuden arviointilaitoksen luotettavuuden selvittämistä ja seurantaa. Hyväksyntämenettely selkeytyisi Liikenne- ja viestintäviraston ja suojelupoliisin sekä arviointilaitoshyväksyntää hakevan yrityksen kannalta. Yritysturvallisuusselvitystodistus olisi omiaan lisäämään viranomaisasiakkaiden luottamusta arviointilaitoksiin.
Lisäksi 1 momentissa Viestintävirasto muutettaisiin Liikenne- ja viestintävirastoksi teknisenä muutoksena.
Pykälän 2 momentissa säädettyäviraston mahdollisuutta antaa toimeksiannosta suoritettavia tehtäviä ulkopuoliselle asiantuntijalle muutettaisiin siten, että se koskisi vain avustavia tehtäviä. Kyse olisi samankaltaisesta ulkopuoliselle asiantuntijalle annettavasta avustavasta arviointitehtävästä, josta säädettäisiin arviointilain 4 a §:ssä. Pykälän sisältöä täsmennettäisiin myös siten, että siinä tarkoitetut lausunnot hankittaisiin viranomaisilta. Liikenne- ja viestintävirasto voisi pyytää lausuntoja suojelupoliisin lisäksi esimerkiksi viranomaiselta, jolla on ohjaus- ja valvontatoimivalta haettuna pätevyysperusteena olevan sääntelyn osalta. Tällainen viranomainen olisi esimerkiksi Terveyden ja hyvinvoinnin laitos, kun kyse on sen antamien määräysten mukainen asiakastietojen käsittelyn arviointi, joka on säädetty hyväksytyn tietoturvallisuuden arviointilaitoksen tehtäväksi laissa sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023). Lisäksi 2 momenttiin lisättäisiin avustavaa tehtävää koskeva rikosoikeudellinen virkavastuu ja viittaus vahingonkorvauslakiin (412/1972).
Pykälän 2 momentissa Viestintävirasto muutettaisiin Liikenne- ja viestintävirastoksi teknisenä muutoksena.
5 §Arviointilaitoksen hyväksyminen. Pykälän 1 momentin 1–3 ja 5 kohta vastaisivat voimassa olevaa sääntelyä.Momentin 4 kohtaan lisättäisiin tietoturvallisuuden arviointilaitoksen hyväksymisen edellytykseksi se, että laitoksen yritysturvallisuusselvityksestä ei ole ilmennyt sellaista arviointilaitoksen omistuspohjaan, alihankintaan, taloudelliseen tilanteeseen tai henkilöstö-, toimitila- ja tietojärjestelmäturvallisuuteen liittyvää seikkaa, joka kokonaisharkinnan perusteella vaarantaisi yrityksen tai vastuuhenkilöiden luotettavuuden tai sitoumustenhoitokyvyn ottaen huomioon myös ulkomaisen vaikutuksen riskin viranomaisen turvallisuusluokitellun tiedon käsittelyn arviointiin liittyvässä arviointitehtävässä. Lisäksi 1 momentin 4 kohtaan lisättäisiin edellytys siitä, että laitoksella on luotettavaksi arvioitu ja valvottu menetelmä, jolla henkilökunnan luotettavuus varmistetaan. Arviointilaitoksella tulisi olla prosessit ja ohjeistus henkilöstöturvallisuudesta huolehtimiseksi. Henkilöstöturvallisuudella tarkoitetaan menettelyjä, joilla varmistetaan henkilöiden tietoturvavastuut ja velvollisuudet, tietoturvaosaaminen ja taustatarkastukset sekä avainhenkilöriskien hallinta. Lisäksi nämä menettelyt kattavat väärinkäytösten estämistä, kuten vaarallisten työyhdistelmien tunnistamista ja välttämistä, työtehtäväkiertoa, sekä työsuhteen tai sopimuksen päättymisen. Tietoturvallisuuden arviointilaitoksen hakiessa pätevyyttä, joka koskee turvallisuusluokitellun tiedon käsittelyn arviointia, olisi luotettavuuden arviointi tehtävä ehdotetun 4 §:n mukaisesti hakemalla yritysturvallisuusselvitys. Osana yritysturvallisuusselvitystä varmistetaan myös laitoksen toimitilojen ja tietojenkäsittelyn turvallisuus. Niissä tilanteissa kun, kun yritysturvallisuusselvitystä ei tehdä, tulee Liikenne- ja viestintäviraston muilla tavoin varmistua edellytysten täyttymisestä.
Pykälän 2 momentti vastaisi voimassa olevaa sääntelyä, eli siinä säädettäisiin, että 1 momentin 1–3 kohdassa tarkoitettujen vaatimusten täyttäminen on osoitettava vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetussa laissa (920/2005) säädetyn menettelyn avulla.
Pykälän 3 momenttia muutettaisiin siten, että siinä säädettäisiin Liikenne- ja viestintäviraston mahdollisuudesta päättää hyväksytyn tietoturvallisuuden arviointilaitoksen uuden pätevyysalueen hyväksynnästä kuultuaan hyväksymisen kannalta keskeisiä viranomaisia, sen estämättä mitä 2 momentissa säädetään. Voimassa olevan pykälän 2 momentin mukaan tietoturvallisuuden arviointilaitoksen riippumattomuus ja pätevyys osoitetaan vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetussa laissa säädetyn menettelyn avulla eli kansallisen akkreditointiyksikön FINASin tekemällä akkreditoinnilla. Muutetun 3 momentin tarkoituksena olisi mahdollistaa lisäpätevyyksien hyväksyntä tietoturvallisuuden arviointilaitoksen hakemuksesta Liikenne- ja viestintäviraston päätöksellä sen sijaan, että FINAS vastaisi pätevyyden edellytysten selvittämisestä akkreditoinnilla. FINAS ei siten vastaisi myöskään näiden lisäpätevyyksien tai niiden ajantasaisuuden seurannasta, vaan se olisi kokonaisuudessaan Liikenne- ja viestintäviraston ohjaus- ja valvontatoiminnan vastuulla.
Tietoturvallisuuden arviointilaitosten (lisä)pätevyystarpeet liittyvät usein viranomaisten tietojärjestelmien turvallisuusratkaisuihin ja niitä koskeviin säädöksiin ja säädösten soveltamista koskeviin viranomaisohjeisiin ja -menettelyihin, joilla on liityntä myös kansalliseen turvallisuuteen. Näiden pätevyystarpeiden erityisasiantuntemusta on lähinnä kapealla joukolla toimivaltaisia viranomaistoimijoita kuten Liikenne- ja viestintävirastolla tai tietyillä sosiaali- ja terveydenhuollon tietojärjestelmien vaatimuksenmukaisuudesta vastaavilla viranomaisilla. FINASin akkreditointiprosessi perustuu kansainvälisiin akkreditointistandardeihin, jotka soveltuvat erityyppisten markkinatoimijoiden tasalaatuisen ja vertailukelpoisen arvioinnin pätevyyksiin, mutta eivät tue kansallisen tietoturvallisuussääntelyn edellä kuvattuja erityispiirteitä. Hyväksytyksi tietoturvallisuuden arviointilaitokseksi hyväksyminen ja aseman säilyttäminen edellyttäisi jatkossakin voimassa olevaa FINASin akkreditointia jollekin riittävän yleiskäyttöiselle tietoturvallisuuden pätevyysalueelle, sillä akkreditointimenettely varmistaa osaltaan tietoturvallisuuden arviointilaitoksen kyvyn noudattaa johdonmukaisesti tasalaatuisuuden ja vertailukelpoisuuden turvaavia toimintaprosesseja. Siten jatkossakin olisi perusteltua edellyttää tietoturvallisuuden arviointilaitoksen hyväksynnässä esimerkiksi maailmanlaajuisesti yleisesti käytetyn tietoturvallisuuden ISO/IEC 27000 -standardisarjan pätevyyden akkreditointia. Akkreditointimenettelyä ei siis kuitenkaan välttämättä edellytettäisi, kun jo aiemmin hyväksytty tietoturvallisuuden arviointilaitos hakee jotakin lain 10 §:ssä säädetyn arviointiperusteen mukaista uutta pätevyysaluetta. Myös EU-sääntelyssä on tunnistettu toimivaltaisen viranomaisen tekemä pätevyyden hyväksyntä akkreditointiyksikön akkreditoinnin sijasta, esimerkiksi kyberkestävyyssäädöksen (EU) 2024/2847 (nk. CRA) 42 artiklassa säädetään tällaisesta vaihtoehdosta.
Liikenne- ja viestintäviraston olisi kuultava lisäpätevyyden hyväksyntämenettelyn harkinnassa ja pätevyyden selvittämisessä pätevyyden hyväksymisen kannalta keskeisiä viranomaisia, joita olisivat tapauskohtaisesti esimerkiksi FINAS mahdollisesti soveltuvien standardien osalta ja ne viranomaiset, joiden viranomaistehtäviin haettu pätevyysperuste liittyy. Ehdotettu keskeisten viranomaisten kuuleminen perustuisi hallintolain 10 §:n mukaiseen toisen viranomaisten avustamiseen. Liikenne- ja viestintäviraston olisi kuulemisella ja muilla tarvittavilla selvityksillä varmistettava lisäpätevyys, ja että 1 momentin 1–3 kohtien vaatimusten täyttyminen ei lisäpätevyyden osalta vaarannu. Liikenne- ja viestintäviraston on hyvän hallinnon tasapuolisuusvaatimuksen mukaisesti varmistettava hakijoiden yhdenmukainen kohtelu. Siten tietyn lisäpätevyysalueen myöntämisen perusteiden ja -menettelyn tulisi olla samanlaiset kaikille hakijoille. Uuden menettelyn tavoitteena olisi myös keventää ja joustavoittaa uusien pätevyysalueiden hyväksyntäprosessia sekä vähentää tietoturvallisuuden arviointilaitoksille niistä aiheutuvia kustannuksia ja hallinnollista taakkaa.
Pykälän 4 momentti vastaisi voimassa olevan lain 3 momenttia sillä erotuksella, että momenttiin tehtäisiin tekninen muutos, jossa Viestintävirasto päivitetään Liikenne- ja viestintävirastoksi.
Pykälään lisättäisiin uusi 5 momentti, joka vastaisi voimassa olevan lain 4 momenttia. Momentissa säädettäisiin siis hyväksymisen määräaikaisuudesta ja hyväksymisen ehdoista.
6 §Arviointilaitoksen hyväksymisen peruuttaminen. Pykälän 1 momenttia muutettaisiin siten, että Liikenne- ja viestintäviraston olisi mahdollista peruuttaa koko arviointilaitoshyväksynnän lisäksi yksittäinen tietoturvallisuuden arviointilaitokselle hyväksytty pätevyysalue. Tietoturvallisuuden arviointilaitoksen laiminlyönnit ja puutteet sen toiminnassa voivat liittyä tietoturvallisuuden arviointilaitoksena toimimiseen yleisemmin tai vain jonkin pätevyysalueen arviointeihin, minkä vuoksi hyväksynnän peruuttaminen tulisi voida rajata tarvittaessa vain osaan arviointilaitoksen toiminnasta, esimerkiksi yksittäisen hyväksytyn pätevyysalueen osalta. Pätevyysalueen hyväksynnän peruuttaminen mahdollistaisi toimintaan puuttumisen vain niiltä osin kuin se on tarpeen. Yksittäisen pätevyysalueen peruuttaminen tarkoittaisi sitä, että arviointilaitos voisi jatkaa arviointitoimintaansa niiden pätevyysalueiden osalta, joissa ei ole havaittu ongelmia tai puutteita. Pätevyysalueen hyväksynnän peruuttamisesta päättäisi Liikenne- ja viestintävirasto.
Lisäksi pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa Viestintävirasto päivitetään Liikenne- ja viestintävirastoksi.
Pykälän 2 momenttiin tehtäisiin 1 momenttia vastaavasti tekninen muutos, jossa Viestintävirasto päivitetään Liikenne- ja viestintävirastoksi.
7 §Liikenne- ja viestintäviraston tiedonsaanti- ja tarkastusoikeus. Pykälän otsikkoa muutettaisiin siten, että Viestintävirasto muutettaisiin Liikenne- ja viestintävirastoksi ja otsikkoon lisättäisiin maininta Liikenne- ja viestintäviraston tiedonsaantioikeudesta.
Pykälän 1 momenttia muutettaisiin siten, että pykälässä säädetty tarkastusoikeus ulotettaisiin koskemaan myös tietoturvallisuuden arviointilaitoksen alihankkijan tiloja ja se koskisi Liikenne- ja viestintäviraston lisäksi, sen toimeksiannosta toimivan asiantuntijan sijaan, sitä avustavaa asiantuntijaa. Pykälän sanamuotoa tarkennettaisiin lisäksi siten, että asiantuntija voisi avustaa Liikenne- ja viestintävirastoa tarkastuksen suorittamisessa, mutta tarkastusoikeus säädettäisiin olevan Liikenne- ja viestintävirastolla. Muutos vastaisi 4 §:n 2 momenttiin ehdotettavaa mahdollisuutta antaa vain avustavia tehtäviä ulkopuoliselle asiantuntijalle. Avustavassa tehtävässä toimivaa ulkopuolista asiantuntijaa voitaisiin käyttää tietoturvallisuuden arviointilaitoksen ja sen 9 a §:ssä tarkoitetun alihankkijan toimitiloja ja menetelmiä koskevassa tarkastuksessa. Lisäksi momenttiin tehtäisiin tekninen muutos, jossa Viestintävirasto päivitetään Liikenne- ja viestintävirastoksi.
Pykälään lisättäisiin uusi 2 momentti, jossa säädettäisiin Liikenne- ja viestintäviraston tiedonsaantioikeuksista, joista on aiemmin säädetty voimassa olevan lain 8 §:n 2 momentissa. Liikenne- ja viestintäviraston toimivaltuuksia täydennettäisiin siten, että Liikenne- ja viestintävirastolla olisi jatkossa mahdollisuus saada salassapitosäännösten tai muiden tiedon luovuttamista koskevien rajoitusten estämättä pyynnöstä tietoja, jotka ovat välttämättömiä sen valvomiseksi, että tietoturvallisuuden arviointilaitos täyttää toimintaansa koskevat vaatimukset. Tiedonsaantioikeus koskisi suojelupoliisilta, kansalliselta akkreditointiyksiköltä tai pätevyysalueen arviointiperusteen soveltamista ohjaavalta tai valvovalta viranomaiselta, arviointilaitokselta sekä sen alihankkijalta ja sen asiakkaalta saatavia tietoja, jotka voivat olla salassa pidettäviä esimerkiksi liikesalaisuutena tai arviointilaitoksen asiakkaana olevien viranomaisten turvallisuusjärjestelyjä tai varautumista koskevina tietoina.
8 §Arviointilaitoksen ilmoitusvelvollisuus. Pykälän otsikosta poistettaisiin maininta arviointilaitoksen tiedonantovelvollisuudesta.
Pykälää muutettaisiin siten, että siinä olisi jatkossa vain yksi momentti, joka vastaisi voimassa olevan lain 1 momenttia sillä teknisellä muutoksella, että Viestintävirasto muutettaisiin Liikenne- ja viestintävirastoksi.
Voimassa olevan pykälän 2 momentin mukaisista Liikenne- ja viestintäviraston tiedonsaantioikeuksista säädettäisiin jatkossa lain 7 §:n 2 momentissa.
3 luvun otsikkoa muutettaisiin siten, että siihen lisättäisiin varautuminen. Jatkossa luvun otsikko olisi Tietoturvallisuuden ja varautumisen arviointi.
9 § Arviointilaitoksen tehtävät.Pykälän 1 momenttiin lisättäisiin arviointilakiin ehdotettujen muutosten mukaisesti varautumisen arviointitehtävä. Pykälän 1 momentin 1 kohtaa muutettaisiin lisäksi siten, että toimitilat olisi tarkastettava niissä tilanteissa, kun se on tarpeen. Ehdotonta vaatimusta toimitilojen tarkastamisesta joka arvioinnin yhteydessä ei olisi. Arvioinnin pyytäjällä voi olla selvitys toimitilojen turvallisuudesta entuudestaan arviointilaitokselta tai viranomaiselta. Arvioinnin pyytäjällä voi olla myös jokin muu syy olla pyytämättä toimitilojen arviointia. Jatkossa erilaisten pilviteknologioiden ja muiden tietoverkkojen kautta tarjottavien palveluiden käytön oletetaan lisääntyvän entisestään, eikä käytännössä kaikissa tilanteissa ole mahdollista tarkastaa toimitilojen turvallisuutta samassa laajuudessa. On kuitenkin tärkeää, että arviointilaitokset huolehtivat, että mahdolliset rajaukset tarkastusten kattavuudessa käyvät selvästi ilmi arviointiraportista tai todistuksesta.
Pykälän 3 momenttia muutettaisiin siten, että todistuksen sijaan siinä säädettäisiin arviointiraportin laatimisesta. Hyväksytyn tietoturvallisuuden arviointilaitoksen olisi laadittava arviointiraportti kaikista suorittamistaan arvioinneista ja siitä tulisi käydä ilmi arvioinnin kohde, käytetyt arviointiperusteet, arvioinnin laajuus eli esimerkiksi tekniset rajaukset tai todentamismenettelyihin liittyvät tiedot sekä tiedot havainnoista. Arviointiraporttiin voisi sisältyä myös arviointilaitoksen analyysi riskeistä, joita havaittuihin poikkeamiin voi liittyä. Ehdotettu muutos vastaisi arviointilakiin ehdotettua muutosta, mutta arviointilaitosten toimintaa koskevat menettelyvaatimukset säädettäisiin tältäkin osin arviointilaitoslaissa.
Pykälään lisättäisiin uusi 4 momentti, joka vastaisi voimassa olevan pykälän 3 momenttia sillä erotuksella, että hyväksytty tietoturvallisuuden arviointilaitos voisi jatkossa antaa todistuksen pyynnöstä tai jos niin erikseen säädetään. Hyväksytyn tietoturvallisuuden arviointilaitoksen antamaa todistusta koskevaa erityissääntelyä sisältyy esimerkiksi sosiaali- ja terveydenhuollon alan sääntelyyn. Jos todistusta koskevaa erityissääntelyä ei ole, arvioinnin pyytäjä voisi päättää, pyytääkö arviointiraportin lisäksi todistuksen. Todistuksen pyytäminen voi olla tarpeen esimerkiksi silloin, kun arvioinnin pyytäjällä on tarve osoittaa toimintansa tietoturvallisuus jollekin ulkopuoliselle. Uusi 4 momentti eroaisi voimassa olevasta 3 momentista myös siten, että arvioitavan kohteen toimitiloihin ja toimintaan viitattaisiin jatkossa ilmauksella arvioitava kohde. Muutoksen tarkoituksena olisi saattaa todistuksen antamisen edellytykset vastaamaan pykälän 1 momenttiin ehdotettavaa muutosta. Lisäksi listaa todistuksen sisällöstä täydennettäisiin ja todistukseen olisi jatkossa merkittävä sen voimassaoloaika. Todistuksen voimassaoloajan perusteella todistukseen luottava kolmas osapuoli voi arvioida, kuinka kauan arvioinnissa saatuun tietoon voi luottaa.
9 a § Alihankinta. Lakiin lisättäisiin uusi 9 a §, jossa säädettäisiin alihankintaa koskevista reunaehdoista. Pykälä selkeyttäisi hyväksytyn tietoturvallisuuden arviointilaitoksen toiminnan edellytyksiä, parantaisi sääntelyn ennakoitavuutta ja vähentäisi siten toiminnan suunnitteluun liittyviä tulkintakysymyksiä sekä edistäisi asiakkaiden luottamusta laitosten toimintaan.
Pykälän 1 momentissa säädettäisiin siitä, että hyväksytty tietoturvallisuuden arviointilaitos voisi teettää arviointiin liittyvän tehtävän toisella samaan konserniin kuuluvalla yhtiöllä tai muun alihankintana vain, jos konserniyhtiö tai muu alihankkija täyttää tietoturvallisuuden arviointilaitoksen hyväksymisen edellytykset. Alihankintana pidettäisiin samaan konserniin kuuluvan tytär-, sisar- tai emoyhtiön käyttämistä tai muuta alihankkijaa. Lisäksi 1 momentissa säädettäisiin, että alihankinnasta tulisi antaa selvitys Liikenne- ja viestintävirastolle, jonka perusteella virasto arvioisi, täyttyvätkö alihankinnan edellytykset.
Alihankintana voitaisiin teettää vain sellaisia toimia, joissa hyväksytyllä tietoturvallisuuden arviointilaitoksella itsellään on pätevyys toimia ja sen tulee pystyä kontrolloimaan alihankkijan toimia kaikissa vaiheissa. Hyväksytyllä tietoturvallisuuden arviointilaitoksella säilyisi toimistaan kokonaisvastuu tilanteissa, joissa käytetään ulkopuolisia tahoja joissakin tehtävissä.
Pykälän 2 momentissa säädettäisiin alihankinnan edellytyksistä turvallisuusluokitellun tiedon käsittelyn arviointiin liittyvien tehtävien osalta. Ehdotuksen mukaan tehtävien teettäminen alihankintana tai tytäryhtiöllä olisi mahdollista vain, jos siitä on sovittu erikseen asiakkaan kanssa. Sopimis- ja informointivelvollisuus alihankinnasta turvallisuusluokitellun tiedon käsittelyn arvioinnissa lisäisi arviointilaitoksen toiminnan läpinäkyvyyttä asiakasviranomaisille ja yrityksille.
10 § Tietoturvallisuuden ja varautumisen arviointiperusteet. Pykälän otsikkoon lisättäisiin varautuminen ehdotetun soveltamisalan muutoksen mukaisesti.Pykälässä säädettyjä tietoturvallisuuden ja varautumisen arviointiperusteita muutettaisiin siten, että ne ovat yhdenmukaiset arviointilain 7 §:ään ehdotettavien muutosten kanssa.
Pykälän 1 momentin johtolauseeseen lisättäisiin maininta siitä, että arvioinnin kohteen valinnan eli pyynnön lisäksi käytettäviin arviointiperusteisiin vaikuttaa se, mitkä arviointiperusteet tietoturvallisuuden arviointilaitokselle on hyväksytty pätevyysalueina.
Momentin 1 kohtaa muutettaisiin siten, että arviointiperusteena voitaisiin käyttää lailla tai asetuksella säädettyjä viranomaisten toimintaa koskevia tietoturvallisuus-, kyberturvallisuus- ja varautumisvaatimuksia ja viranomaisten ohjeita niiden soveltamisesta.
Arviointilain ehdotusta vastaavasti ehdotettaisiin tiettyjen viranomaisten, kuten valtiovaranministeriön ja kansallisen turvallisuusviranomaisen ohjeiden mainitsemisen sijaan yleisesti viranomaisen ohjeet säädösten soveltamisesta. Tämä olisi riittävä ja yleispätevämpi määrittely. Näin ollen nykyinen 1 momentin 2 kohta sisältyisi muutettuun 1 kohtaan.
Momentin 2 kohta vastaisi nykyistä 3 kohtaa, mutta siihen lisättäisiin Suomen Nato-jäsenyyden myötä Euroopan unionin lisäksi Pohjois-Atlantin liitto säännösten, määräysten tai ohjeiden mahdollisena antajana. Kohtaan lisättäisiin myös viranomaisten ohjeet kansainvälisten toimielimien säännösten ja ohjeiden soveltamisesta. Momentin 1 kohdan tavoin myös 2 kohtaan lisättäisiin tietoturvallisuuden lisäksi kyberturvallisuus ja varautuminen. Vaikka arviointiperusteina säädetään kansainvälisistä lähteistä, tietoturvallisuuden arviointilaitosten mahdollisuuteen saada kansainvälisiin tietoturvallisuusvelvoitteisiin liittyviä pätevyyksiä turvallisuusluokitellun tiedon käsittelyn arviointiin vaikuttaa kansainvälisiä tietoturvallisuusvelvoitteita koskeva sääntely.
Momentin 3 kohta vastaisi nykyistä 4 kohtaa ja momentin 4 kohta vastaisi nykyistä 5 kohtaa sillä erotuksella, että molempiin kohtiin lisättäisiin tietoturvallisuutta koskevien säännösten määräysten tai ohjeiden sekä vaatimusten lisäksi varautumista ja kyberturvallisuutta koskevat säännökset, määräykset tai ohjeet sekä vaatimukset.
11 § Maksut. Pykälän sanamuotoa ja viittausta valtion maksuperustelakiin (150/1992) päivitettäisiin vastaavasti kuin mitä arviointilakiin ehdotetaan. Lisäksi pykälää muutettaisiin siten, että Liikenne- ja viestintävirastolla olisi mahdollisuus periä tietoturvallisuuden arviointilaitoksen valvontaa koskevan asian käsittelystä maksu. Muutos vastaisi osittain nykytilaa ja se olisi yhtenevä vallitsevan Liikenne- ja viestintäviraston maksuasetuskäytännön kanssa. Lisäksi pykälään tehtäisiin tekninen muutos, jossa Viestintävirasto muutettaisiin Liikenne- ja viestintävirastoksi.
12 § Muutoksenhaku. Pykälästä poistettaisiin viittaus kumottuun hallintolainkäyttölakiin (586/1996) ja lisättäisiin viittaus oikeudenkäynnistä hallintoasioissa annettuun lakiin (808/2019). Lisäksi pykälään tehtäisiin tekninen muutos, jossa Viestintävirasto muutettaisiin Liikenne- ja viestintävirastoksi.
13 § Virkavastuuta ja hyvää hallintoa koskevien säännösten soveltaminen. Pykälänotsikkoa täydennettäisiin, ja siihen lisättäisiin maininta virkavastuuta koskevien säännösten soveltamisesta.
Pykälän 1 momentin listaa sovellettavista hallinnon yleislaeista täydennettäisiin, ja momenttiin lisättäisiin viittaus saamen kielilakiin (1086/2003), tietosuojalakiin (1050/2019) sekä sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin (13/2003). Hallinnon yleislakien soveltaminen sidottaisiin tietoturvallisuuden arviointilaitosten julkisen hallintotehtävien hoitamiseen. Julkisia hallintotehtäviä olisivat arviointilaitoslaissa säädetyt hyväksyttyjen tietoturvallisuuden arviointilaitosten tehtävät. Tehtävät rinnastuvat arviointilaissa säädettyihin arviointiviranomaisen arviointitehtäviin. Lisäksi esimerkiksi asiakastietolaissa ja toisiolaissa säädetään vaatimuksista, jossa toimijalta edellytetään tietoturvallisuuden arviointilaitoksen arviointia tai sen antamaa todistusta, jonka antamiseen voidaan katsoa liittyvän julkisen vallan käyttöä. Hallinnon yleislakeja ei sovellettaisi tietoturvallisuuden arviointilaitosten harjoittaessa muuta, kuin arviointilaitoslain mukaista toimintaa.
Pykälään lisättäisiin uusi 2 momentti, jossa säädettäisiin tietoturvallisuuden arviointilaitosten vastuuhenkilöiden ja palveluksessa olevien henkilöiden sekä alihankkijoiden palveluksessa olevien henkilöiden virkavastuusta. Rikosoikeudellinen vastuu perustuisi siihen, että hyväksytyn tietoturvallisuuden arviointilaitoksen arviointilaitoslain mukainen toiminta katsottaisiin julkiseksi hallintotehtäväksi. Lisäksi 2 momentin loppuun lisättäisiin informatiivinen säännös siitä, että vahingonkorvauksesta säädetään vahingonkorvauslaissa.
13 a § Turvallisuusselvitysrekisteriin merkittävät tiedot Pykälään tehtäisiin tekniset muutokset, jossa Viestintävirasto muutettaisiin Liikenne- ja viestintävirastoksi ja hyväksyttyjen arviointilaitosten sijaan pykälässä käytettäisiin termiä hyväksytty tietoturvallisuuden arviointilaitos.