Esityksessä ehdotetaan kansainvälisistä tietoturvallisuusvelvoitteista annettua lakia muutettavaksi. Esityksen mukaan suojelupoliisille annettaisiin tehtäväksi huolehtia kansainvälisen tietoturvallisuusvelvoitteen perusteella tehtävästä elinkeinonharjoittajan luotettavuuden selvittämisestä sekä sen perusteella tehdyistä arvioista muissa kuin puolustushallinnon alaan kuuluvissa asioissa. Pääesikunta vastaa nykyisen lain mukaan selvitysten laadinnasta kaikilta osin. Käytännössä tehtävät niin sanotun siviilipuolen asioissa ovat siirtyneet laissa olevan valtuutuksen nojalla tehdyn pääesikunnan ja suojelupoliisin välisellä sopimuksella suojelupoliisille.

Esityksessä ehdotetaan lain salassapitosäännöksen muotoilua uudelleen. Ehdotuksen mukaan salassapitovelvollisuuden laajuus olisi riippuvainen siitä, mitä kansainvälinen tietoturvallisuusvelvoite kulloinkin edellyttää.

Tietojärjestelmien ja tietoliikennejärjestelyjen turvallisuuteen liittyvistä arviointitehtävistä vastaavaksi viranomaiseksi laissa säädettäisiin Viestintävirasto. Uuden tehtävän vuoksi muutettaisiin myös viestintähallinnosta annettua lakia.

Ehdotetut lait ovat tarkoitetut tulemaan voimaan mahdollisimman pian niiden tultua hyväksytyiksi ja vahvistetuiksi.

---

Laissa kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) säädetään viranomaisten toimenpiteistä kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi.

Lain 4 §:n mukaan ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena (National Security Authority, NSA). Ulkoasiainministeriössä tehtävää hoitaa valtiosihteerin alaisuudessa toimiva kansallisen turvallisuusviranomaisen yksikkö. Puolustusministeriö, pääesikunta ja suojelupoliisi voivat toimia kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina (Designated Security Authority, DSA).

Suojelupoliisi ja pääesikunta huolehtivat henkilöiden taustojen selvittämisestä turvallisuusselvityksistä annetun lain (177/2002) nojalla. Turvallisuusselvityksistä päättää mainitun lain 5 §:ssä olevan pääsäännön mukaan suojelupoliisi. Turvallisuusselvityksen tekemisestä päättää pääesikunta, jos hakija kuuluu puolustushallinnon alaan tai hoitaa puolustushallinnon antamaa tehtävää.

Yhteisöturvallisuusselvitysmenettelyä koskevat säännökset kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tulevat sovellettaviksi tilanteessa, jossa toinen sopimuspuoli tai siellä kotipaikkaansa pitävä yritys on toteuttamassa hankintaa, jos hankintakilpailuun osallistuminen tai sopimuksen toteuttaminen edellyttää pääsyä erityissuojattavaan tietoaineistoon. Tällaisia sopimuksia kutsutaan turvallisuusluokitelluiksi sopimuksiksi.

Yhteisöturvallisuusselvitykset hoitaa voimassa olevan kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 12 §:n mukaan pääesikunta riippumatta siitä, onko kysymys puolustukseen liittyvistä hankkeista tai niin sanotun siviilipuolen hankkeista. Ratkaisua pidettiin luontevana lakia valmisteltaessa, koska pääesikunnalla on laaja kokemus yritysten turvallisuusselvitysten laadinnassa ja koska lakia säädettäessä ei ollut vielä varmuutta siitä, kuinka kansainvälisten tietoturvallisuusvelvoitteiden hoitaminen järjestetään kokonaisuudessaan.

Suojelupoliisin henkilöstöä on koulutettu yhteistyössä pääesikunnan kanssa yhteisöturvallisuusselvitysten laadintaan. Turvallisuusselvityksistä annetun lain 5 §:n 2 momentin mukaan kansallinen turvallisuusviranomainen ja tehtävään määrätyt turvallisuusviranomaiset voivat sen estämättä, mitä muun muassa toimivallasta yhteisöturvallisuusselvitysten laadinnasta säädetään, sopia tietyn tehtävän tai tehtäväkokonaisuuden hoitamisesta toisen turvallisuusviranomaisen lukuun, jos järjestely on tarpeen tehtävien hoitamiseksi tarkoituksenmukaisesti, taloudellisesti ja joutuisasti. Pääesikunta ja suojelupoliisi ovatkin sopineet yhteisöturvallisuusselvitysten laadinnan siirtymisestä suojelupoliisille niin sanotuissa siviilihankkeissa. Suojelupoliisi on hoitanut näitä tehtäviä heinäkuusta 2009 alkaen.

Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa ei ole määritelty viranomaista, jonka tehtävänä olisi arvioida tietojärjestelmien ja tietoliikennejärjestelyjen turvallisuutta. Tietoliikenneturvallisuuteen liittyvistä tehtävistä vastaavaa viranomaista kutsutaan kansainvälisen terminologian mukaan tietoliikenneturvallisuusviranomaiseksi (National Communications Security Authority, NCSA).

Sen, että Suomesta puuttuu viranomainen, jonka tehtävänä on arvioida tietoliikennejärjestelyjen ja tietojärjestelmien turvallisuutta, on katsottu haittaavan Suomen osallistumista kansainväliseen yhteistyöhön. Toimivaltaisen viranomaisen puuttuminen voi vaikeuttaa myös suomalaisten tietotekniikka-alan toimijoiden osallistumista kansainvälisiin tarjouskilpailuihin. Ilman kansallisen tietoliikenneturvallisuusviranomaisen lausuntoa suomalaiset toimijat eivät voi osallistua kansainvälisiin tarjouskilpailuihin. Kansallisen tietoliikenteen ja tietojärjestelmien tietoturvallisuusviranomaisen antamat lausunnot voivat koskea esimerkiksi vientiin tarjottavien salausjärjestelmien ja salauslaitteiden turvallisuustasoa.

Voimassa olevassa laissa kansainvälisen tietoturvallisuussopimuksen tai Suomea sitovan säädöksen mukaisesti Suomeen toimitetut turvallisuusluokitellut tiedot ovat salassa pidettäviä (6 §). Velvoite on osoittautumassa liian kattavaksi sellaisissa tilanteissa, joissa toinen sopimuspuoli ei takaa vastaavantasoista suojaa.

Ehdotettujen säännösten tarkoituksena on kehittää kansainvälisten tietoturvallisuusvelvoitteiden hoitamista.

Esitykseen sisätyvien ehdotusten mukaan suojelupoliisin ja Viestintäviraston tehtävät laajenisivat nykyisestä.

Viestintäviraston uusissa tehtävissä on kysymys kansainvälisten luokiteltua tietoa käsittelevien tieto- ja tiedonvälitysjärjestelmien arvioinnista.

Esitettävissä ei ole tarkkoja arvioita siitä, kuinka suuri taloudellinen hyöty kansallisen tietoliikenneturvallisuusviranomaisen tehtävien järjestämisellä on sen vuoksi, että teollisuuden kilpailuasema turvataan ja mahdollistetaan yritysten osallistuminen kansainvälisiin tarjouskilpailuihin. Ulkoasiainministeriön asettaman kansallisen turvallisuusviranomaisen yhteistyöryhmän mukaan varovaisestikin arvioiden menetettyjen kauppojen kokonaisarvo liikkuu useissa kymmenissä miljoonissa euroissa. Kansallisen tietoliikenteen ja tietojärjestelmien tietoturvallisuusviranomaisen tehtävien järjestämisellä voidaan siten arvioida olevan merkittävä kaupallinen ja vientiteollinen intressi.

Toiminnan resurssien tarvetta on täysin uutena toimintana hyvin vaikeaa arvioida kokonaisuutena täsmällisesti. Jäljempänä esitetty resurssien tarve perustuu Viestintäviraston tähän mennessä toteutuneisiin tietoliikenteen ja tietojärjestelmien tietoturvallisuusviranomaisen tehtäviin sekä saatuihin tietoihin muiden pohjoismaisten tietoliikenneturvaviranomaisten toiminnasta.

Viestintäviraston arvion mukaan uusien tehtävien suorittaminen tulisi aloittaa porrastetusti. Toiminnan ollessa täysimääräisesti käynnissä kokonaiskustannusten on arvioitu olevan 1 650 000 euroa vuodessa. Valtion talousarviossa vuodelle 2010 Viestintävirastolle on varattu määräraha tietoliikenteen ja tietojärjestelmien tietoturvallisuusviranomaisen tehtävien hoitoon. Viestintävirasto toimii talousarvion, kehyspäätöksen ja tuottavuusohjelman mukaisesti tarvittaessa uudelleen kohdentaen määrärahoja ja henkilöstöä. Ehdotetuilla laeilla ei siten olisi välittömiä valtion talousarvioon kohdistuvia vaikutuksia.

Suojelupoliisi hoitaisi ehdotettujen säännösten mukaan vastaisuudessa yhteisöturvallisuusselvitysten laadinnan ja niihin liittyvät arvioinnit niin sanotuissa siviilipuolen hankinnoissa.

Suomi on solminut jatkuvasti uusia Suomen ulkomaan viennille tärkeitä kahdenvälisiä tietoturvallisuussopimuksia. Tekeillä on myös pohjoismainen tietoturvallisuussopimus. Sopimukset menettävät kuitenkin merkityksensä ellei niiden täytäntöönpano ole sujuvaa. Siksi kansainvälisten tietoturvallisuusvelvoitteiden määrän jatkuvasti kasvaessa on perusteltua, että pääesikunta jakaa osan toimintavastuistaan suojelupoliisille, jossa jo on asiaan liittyvää erityisosaamista sekä turvallisuusselvitysmenettelyn seurauksena hyvät ja toimivat suhteet Suomen keskeisiin vientiyrityksiin. Pääesikunta jatkaisi yhteisöturvallisuusselvitysten tekemistä omalla erityisosaamisalueellaan puolustusteollisuuden alalla.

Tehtävien hoitaminen suojelupoliisissa sitoo resursseja noin 550 000 euron verran vuodessa. Esitetty arvio perustuu tähän mennessä toteutuneiden yhteisöturvallisuusselvitysten määrään. Yhteisöturvallisuusselvityksistä on vastaisuudessa tarkoitus periä maksuperustelain mukainen maksu. Perittävien maksujen arvioidaan kattavan kustannukset kolmen vuoden kuluessa toiminnan aloittamisesta. Lakiehdotuksesta aiheutuvat kustannukset ovat katettavissa sisäasiainministeriön hallinnonalalle osoitettujen määrärahojen puitteissa. Ehdotetuilla laeilla ei siten olisi välittömiä valtion talousarvioon kohdistuvia vaikutuksia.

Ehdotuksen mukaan pääesikunta huolehtisi edelleenkin sellaisista yhteisöturvallisuusselvityksistä, jotka liittyvät puolustukseen. Suojelupoliisi hoitaisi tehtävät niin sanotuissa siviilipuolen hankinnoissa. Tehtävänjako on tarkoituksenmukainen ottaen huomioon, että pääesikunta jo omien hankintojensa vuoksi tuntee suomalaiset puolustushankintoihin osallistuvat yritykset. Suojelupoliisi ja pääesikunta voisivat yksittäistapauksissa vastaisuudessakinhoitaa tehtäviä toistensa lukuun kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 5 §:n mukaisesti.

Kuten aikaisemmin jo on todettu, suojelupoliisilla on hyvät valmiudet hoitaa yhteisöturvallisuusselvitysten laadinta niin sanotuissa siviilipuolen hankkeissa. Suojelupoliisi on jo käytännössä hoitanut tehtäviä heinäkuusta 2009 alkaen. Suojelupoliisi voi monin tavoin hyödyntää suojelupoliisissa jo muutoinkin olevaa kokemusta ja osaamista.

Kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseen liittyvät tietojärjestelmien ja tietoliikenteen turvallisuusasioiden asiantuntijatehtävät osoitettaisiin Viestintävirastolle. Tämä on luontevaa ottaen huomioon viraston nykyiset tehtävät.

Ehdotuksen mukaisen uudistuksen toteuttamisella ei ole merkittävää vaikutusta suojelupoliisin tai Viestintäviraston organisaatioon.

Kansallisen tietoliikenneturvallisuusviranomaisen nimeäminen parantaa suomalaisten yritysten mahdollisuuksia osallistua sellaisiin kansainvälisiin tarjouskilpailuihin, joissa edellytetään yrityksen sijaintimaan viranomaisen lausuntoa tai hyväksyntää tietoliikenteen järjestelmien turvallisuudesta. Kuten edellä on todettu, kysymys voi olla taloudellisesti merkittävistä hankkeista.

Esitys on valmisteltu oikeusministeriössä yhteistyössä asian kannalta keskeisten ministeriöiden ja muiden viranomaisten kanssa. Valmistelu perustuu osaltaan myös ulkoasiainministeriön asettaman kansallisen turvallisuusviranomaisen (NSA) yhteistyöryhmän selvityksiin ja esityksiin. Asiasta on pyydetty lausunnot sisäasiainministeriöltä, puolustusministeriöltä, ulkoasiainministeriöltä, liikenne- ja viestintäministeriöltä, suojelupoliisilta, pääesikunnalta, Viestintävirastolta ja Elinkeinoelämän keskusliitolta. Kaikissa lausunnoissa kannatettiin esityksen antamista eduskunnalle.

Esityksessä ehdotetaan Viestintäviraston tehtäväksi huolehtia kansainvälisistä tietoturvallisuusvelvoitteista tietoliikenteen ja tietojärjestelmien tietoturvallisuuteen liittyvissä asioissa. Oikeusministeriössä on valmisteilla turvallisuusselvityksiä koskevan lainsäädännön kokonaisuudistus. Ehdotettavaan yleislakiin on tarkoitus ottaa säännökset yhteisöturvallisuusselvityksen laadinnasta. Uudistus ei kuitenkaan vaikuta nyt esitettävän hallituksen esityksen käsittelyyn, vaan tarvittavat muutokset kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin toteutetaan turvallisuusselvityksiä koskevan lainsäädännön kokonaisuudistuksen osana. Esityksillä ei kuitenkaan ole sellaista yhteyttä toisiinsa, joka vaikuttaisi nyt ehdotetun lain käsittelyyn.

4 §. Turvallisuusviranomaiset ja niiden tehtävät. Pykälä ehdotetaan muutettavaksi kokonaisuudessaan. Pykälän nimikettä olisi ehdotetun muutoksen johdosta muutettava kattavampaan muotoon.

Ehdotetussa 1 momentissa määriteltäisiin voimassa olevaa lakia vastaavalla tavalla kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitetut kansallinen turvallisuusviranomainen ja määrätyt turvallisuusviranomaiset. Säännöstä täydennettäisiin siten, että Viestintävirasto mainittaisiin yhtenä määrättynä turvallisuusviranomaisena.

Euroopan unionin edustajat ovat arvioineet Suomessa toteutettuja toimenpiteitä unionin turvallisuusluokiteltujen tietoaineistojen suojaamiseksi huhtikuussa 2007 tekemänsä tarkastuksen yhteydessä.

Tarkastusraporttiin sisältyi kehotus antaa kansalliselle turvallisuusviranomaiselle vastuu unionin turvallisuusluokiteltujen tietoaineistojen suojaamisesta, mukaan lukien suojan toteuttamiseksi toteutettujen turvallisuusjärjestelyjen tarkastukset. Tämän johdosta ehdotetaan pykälän 2 momentissa säädettäväksi kansallisen turvallisuusviranomaisen tehtävistä. Ehdotuksen mukaan kansallisen turvallisuusviranomaisen tehtävänä on erityisesti ohjata ja valvoa, että tässä laissa tarkoitetut erityissuojattavat tietoaineistot suojataan ja niitä käsitellään asianmukaisesti.

Voimassa olevan lain 2 momentissa oleva asetuksenantovaltuutta koskeva säännös asiallisesti kumoutuisi. Valtuussäännökselle ei nyt ehdotettujen muutosten vuoksi ole tarvetta.

Ehdotettuun 3 momenttiin otettaisiin säännökset määrättyjen turvallisuusviranomaisten tehtävistä. Ehdotuksen mukaan määrättyjen turvallisuusviranomaisten yleisenä tehtävänä on huolehtia kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetyistä ja muista niille kansainvälisten tietoturvallisuusvelvoitteista johtuvista tehtävistä. Säännöksessä määriteltäisiin myös määrättyjen turvallisuusviranomaisten erityistehtävät. Ehdotuksen mukaan puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen asiantuntijoina henkilöstö-, yhteisö- ja toimitilaturvallisuuteen liittyvissä asioissa ja Viestintävirasto tietojärjestelmien ja tietoliikenteen turvallisuuteen liittyvissä asioissa.

Uusien tehtävien uskominen Viestintävirastolle on tarkoituksenmukaiseksi ottaen huomioon viraston nykyisin hoitamat tehtävät. Viestintävirasto hoitaa käytännössä jo tällä hetkellä useita tietoliikenteen ja tietojärjestelmien tietoturvallisuuteen kuuluvia tehtäviä. Viestintävirastossa toimii tietoturvallisuustoiminto, CERT-FI, jonka tehtävänä on tietoliikenteeseen kohdistuvien tietoturvallisuusloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoliikenteen turvallisuuteen kohdistuvista uhkista tiedottamine. Viestintävirasto toimii myös Pohjois-Atlantin puolustusliiton (NATO) kanssa toteutettavan rauhankumppanuus-ohjelman edellyttämänä tietoliikenteen tietoturvallisuudesta vastaavana yhteistyötahona. Virasto on mukana myös tietoturvallisuussertifiointia koskevassa kansainvälisessä yhteistyössä.

Viestintävirasto toimisi kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tietojärjestelmien ja tietoliikenteen tietoturvallisuudesta vastaavana viranomaisena. Viestintävirasto toimisi siten tehtävissä, jotka osaltaan vastaavat tietoliikenneturvallisuuteen liittyvistä tehtävistä vastaavan viranomaisen (National Communications Security Authority, NCSA) tehtäviä muissa maissa.

6 §. Salassapitovelvollisuus ja tietojen käyttö. Kansainvälisiin tietoturvallisuussopimuksiin sisältyy säännönmukaisesti määräys, joka kieltää toisten sopimuspuolten lähettämien turvallisuusluokiteltujen tietojen luovuttamisen kolmannelle osapuolelle ilman lähettävän sopimuspuolen suostumusta (niin sanottu orginator consent -periaate). Näiden velvoitteiden toteuttamiseksi pykälässä säädetään nykyisin ehdoton salassapitovelvollisuus.

Suomen käymissä sopimusneuvotteluissa on kuitenkin tullut esiin tilanteita, joissa toinen sopimuspuoli ei takaa sopimuksen perusteella ehdotonta salassapitoa, vaan joissa asia jää kansalliseen lainsäädäntöön perustuvan tapauskohtaisen vahinkoedellytysharkinnan varaan. Esimerkiksi käynnissä olevissa neuvotteluissa, joissa tähdätään Euroopan unionin jäsenvaltioiden väliseen turvallisuusluokiteltujen tietojen suojaa koskevaan sopimukseen, lähtökohtana on ollut muotoilu, joka mahdollistaa tapauskohtaisen harkinnan kuitenkin siten, että lähettävän sopimuspuolen suostumusta kunnioitetaan (E 69/2008 vp).

Tarkoituksenmukaista ei ole, että Suomi noudattaa laajempaa salassapitovelvollisuutta kuin toiset sopimuspuolet. Tästä syystä ehdotetaan, että pykälän 1 momenttiin otetaan lauseke, jonka mukaan salassapitovelvollisuus olisi riippuvainen kunkin sopimuksen tai muun kansainvälisen velvoitteen sisällöstä. Muutoksella varauduttaisiin myöhemmin käsittelyyn tuleviin kansainvälisiin sopimuksiin. Säännös voi osaltaan selkeyttää myös sitä, että salassapitosäännös ei estä tietojen luovuttamista silloin, kun se tapahtuu sopimuksen mukaisesti.

12 §. Yhteisöturvallisuusselvitykset ja arviot. Pykälän 1 momenttiin ehdotetaan otettavaksi säännös yhteisöturvallisuusselvitysten laadinnan ja siihen kuuluvan arviointitehtävän uudelleen järjestelystä. Ehdotuksen mukaan suojelupoliisi huolehtii kansainvälisen tietoturvallisuusvelvoitteen perusteella tehtävästä elinkeinonharjoittajan luotettavuuden selvittämisestä (yhteisöturvallisuusselvitys) sekä sen perusteella tehdystä arviosta. Pääesikunta huolehtisi tehtävästä kuitenkin silloin, kun kysymys on puolustukseen liittyvästä hankinnasta. Mainitut viranomaiset voivat hoitaa tehtäviä toisensa lukuun siten kuin lain 5 §:ssä säädetään.

Ehdotettu 2 momentti vastaisi nykyistä 2 momenttia. Säännökseen lisättäisiin kuitenkin maininta siitä, että myös suojelupoliisi voisi laatia yhteisöturvallisuusselvityksen elinkeinonharjoittajan pyynnöstä. Säännöstä sovelletaan silloin, kun Suomella ei ole kahdenkeskistä sopimusta sen maan kanssa, jossa hankintakilpailu järjestetään. Suojelupoliisin ja pääesikunnan toimivaltajako määräytyisi ehdotetun 1 momentin mukaisesti.

Ehdotettuun 3 momenttiin otettaisiin säännökset selvityksen ja arvion laatimisesta siitä, täyttävätkö elinkeinonharjoittajan tietojärjestelmät tai tietoliikenne kansainvälisistä tietoturvallisuusvelvoitteista johtuvat vaatimukset. Viestintävirasto voisi laatia tällaisen selvityksen tai arvion osana yhteisöturvallisuusselvitystä. Selityksessä ja arviossa on kysymys pykälän 1 momentin 1 kohdassa tarkoitetun velvoitteen toteutumisesta.

Ehdotetut säännökset merkitsevät, että nykyisin pykälän 3 momentissa oleva asetuksenantovaltuus kumoutuisi. Asetuksenantovaltuus ei ole osoittautunut välttämättömäksi ja yhteisöturvallisuusselvityksistä on tarkoitus säätää osana turvallisuusselvityksistä annetun lain kokonaistarkistusta.

Ehdotettu 4 momentti olisi asiasisällöltään uusi. Sen mukaan yhteisöturvallisuusselvitys voitaisiin tehdä myös osittaisena, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi. Jos selvitys ja arviointi koskisivat yksinomaan tietojärjestelmien ja tietoliikennejärjestelyjen turvallisuutta, selvityksen ja arvioinnin tekisi Viestintävirasto. Viestintävirasto antaisi tällöin myös lain 14 §:ssä tarkoitetun todistuksen.

13 §. Sitoumus turvallisuustoimenpiteiden suorittamisesta. Pykälän muotoilua ehdotetaan tarkistettavaksi yhteisöturvallisuusselvitysten laadintaan liittyvien tehtävien uudelleenjärjestelyjen vuoksi. Säännöstä ehdotetaan selvyyssyistä muutettavaksi myös siten, että siitä selvästi ilmenisi määrätyn turvallisuusviranomaisen oikeus edellyttää, että elinkeinonharjoittaja suorittaa kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarvittavat turvallisuustoimenpiteet. Säännöksen muotoilussa on otettu huomioon, että ehdotetun 12 §:n 4 momentissa tarkoitetuissa tilanteissa Viestintävirasto voisi laatia ja antaa yhteisöturvallisuusselvityksen.

2 §. Pykälän 1 kohdassa olevaan luetteloon Viestintävirastolle eri laeissa säädetyistä tehtävistä ehdotetaan otettavaksi viittaus kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin.

Ehdotettavalla lailla kansainvälisistä tietoturvallisuusvelvoitteista annetun lain muuttamisesta on liittymäkohtia perustuslain 12 §:n 2 momenttiin.

Kansainvälisissä sopimuksissa olevien salassapitomääräysten on katsottu muodostavan välttämättömän perusteen rajoittaa perustuslain 12 §:n 2 momentissa säädettyä julkisuusperiaatteen mukaista tiedonsaantioikeutta (PeVL 39/1997). Kansainvälisistä tietoturvallisuusvelvoitteista annettua lakia ehdotetaan muutettavaksi siten, että salassapitovelvollisuuden laajuus olisi riippuvainen kansainvälisessä sopimuksessa tai muussa kansainvälisessä velvoitteessa osoitetusta salassapitovelvollisuudesta. Siten ehdotus, ainakin teoriassa, laajentaa julkisuutta nykyisestä. Hallituksen käsityksen mukaan lakiehdotus ei merkitse sellaista puuttumista julkisuusperiaatteen mukaiseen tiedonsaantioikeuteen, joka loukkaisi perustuslain 12 §:n 2 momentissa säädettyä oikeutta.

Edellä olevan perusteella katsotaan, että lakiehdotus voitaisiin hyväksyä tavallisen lain säätämisjärjestyksessä.

Esitykseen sisältyvät lait ehdotetaan tulemaan voimaan mahdollisimman pian.

Edellä esitetyn perusteella annetaan Eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

Lakiehdotukset

1.

Eduskunnan päätöksen mukaisesti

muutetaan kansainvälisistä tietoturvallisuusvelvoitteista 24 päivänä kesäkuuta 2004 annetun lain (588/2004) 4 §, 6 §:n 1 momentti sekä 12 ja 13 § seuraavasti:

4 §
Turvallisuusviranomaiset ja niiden tehtävät

Ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena. Puolustusministeriö, pääesikunta, suojelupoliisi ja Viestintävirasto toimivat kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina.

Kansallisen turvallisuusviranomaisen tehtävänä on erityisesti ohjata ja valvoa, että tässä laissa tarkoitetut erityissuojattavat tietoaineistot suojataan ja niitä käsitellään asianmukaisesti.

Määrätyt turvallisuusviranomaiset huolehtivat niille tässä laissa säädetyistä ja muista niille kansainvälisistä tietoturvallisuusvelvoitteista johtuvista tehtävistä. Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen asiantuntijoina henkilöstö-, yhteisö- ja toimitilaturvallisuutta koskevissa asioissa sekä Viestintävirasto tietojärjestelmien ja tietoliikenteen tietoturvallisuutta koskevissa asioissa.

6 §
Salassapitovelvollisuus ja tietojen käyttö

Erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu.

---

12 §
Yhteisöturvallisuusselvitykset ja arviot

Suojelupoliisi huolehtii kansainvälisen tietoturvallisuusvelvoitteen perusteella tehtävästä 1 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan luotettavuuden selvittämisestä (yhteisöturvallisuusselvitys) sekä sen perusteella tehdystä arviosta. Pääesikunta huolehtii tehtävästä kuitenkin silloin, kun kysymys on puolustukseen liittyvästä hankinnasta. Selvitystä ja arviota laadittaessa on otettava huomioon, miten:

1) suojataan turvallisuusluokitellut tiedot oikeudettomalta ilmitulolta, muuttamiselta ja hävittämiseltä;

2) estetään asiaton pääsy tiloihin, joissa turvallisuusluokiteltuja tietoja käsitellään tai joissa harjoitetaan turvallisuusluokitellussa sopimuksessa tarkoitettua toimintaa;

3) henkilöstön ohjauksesta ja koulutuksesta huolehditaan.

Suojelupoliisi ja pääesikunta voivat toimialaansa kuuluvassa asiassa laatia yhteisöturvallisuusselvityksen ja arvion, jos elinkeinonharjoittaja on pyytänyt sitä voidakseen osallistua toisen valtion viranomaisen tai siinä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun.

Viestintävirasto laatii tarvittaessa osana yhteisöturvallisuusselvitystä selvityksen ja arvion siitä, täyttävätkö elinkeinonharjoittajan tietojärjestelmät ja tietoliikenteen järjestelyt kansainvälisistä tietoturvallisuusvelvoitteista johtuvat vaatimukset.

Yhteisöturvallisuusselvitys voidaan tehdä myös osittaisena, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi. Jos selvitys ja arviointi koskevat yksinomaan tietojärjestelmien tai tietoliikennejärjestelyjen turvallisuutta, selvityksen ja arvioinnin laatii sekä sen pohjalta annettavan 14 §:ssä tarkoitetun todistuksen antaa Viestintävirasto.

13 §
Sitoumus turvallisuustoimenpiteiden suorittamisesta

Määrätyt turvallisuusviranomaiset voivat toimialaansa kuuluvaa yhteisöturvallisuusselvitystä ja sen perusteella annettavaa arviota laatiessaan edellyttää, että elinkeinonharjoittaja sitoutuu huolehtimaan 12 §:n 1 momentissa tarkoitetuista ja muista kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisista toimenpiteistä.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

---

2.

Eduskunnan päätöksen mukaisesti

muutetaan viestintähallinnosta 29 päivänä kesäkuuta 2001 annetun lain (625/2001) 2 §:n 1 kohta, sellaisena kuin se on laissa 620/2009, seuraavasti:

2 §
Viestintäviraston tehtävät

Viestintäviraston tehtävänä on:

1) huolehtia viestintämarkkinalaissa (393/2003), radiotaajuuksista ja telelaitteista annetussa laissa (1015/2001), postipalvelulaissa (313/2001), televisio- ja radiotoiminnasta annetussa laissa (744/1998), valtion televisio- ja radiorahastosta annetussa laissa (745/1998), sähköisen viestinnän tietosuojalaissa (516/2004), eräiden suojauksen purkujärjestelmien kieltämisestä annetussa laissa (1117/2001), vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa (617/2009), kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) sekä verkkotunnuslaissa (228/2003) sille säädetyistä tehtävistä;

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

---

Helsingissä 30 päivänä huhtikuuta 2010

Tasavallan Presidentti
TARJA HALONEN

Oikeusministeri
Tuija Brax