Esityksessä ehdotetaan säädettäväksi laki tietoturvallisuuden arviointilaitoksista sekä laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista. Uudistuksesta johtuvat tehtävät annettaisiin Viestintävirastolle, minkä vuoksi viestintähallinnosta annettua lakia olisi muutettava.

Esityksellä pyritään edistämään yritysturvallisuutta luomalla valvonta yritysten tietoturvallisuutta arvioiville laitoksille. Arviointilaitosten hyväksyntä ja valvonta kuuluisi Viestintävirastolle.

Arviointilaitosten hyväksyntä antaisi yrityksille mahdollisuuden osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan arvioinnin avulla. Esityksen tarkoituksena on osaltaan yksinkertaistaa ja tehostaa viranomaisten menettelyjä myöhemmin toteutettavan yritysten ja henkilöiden taustojen selvittämistä koskevan lainsäädännön täytäntöönpanossa.

Viestintävirastolle annettaisiin tehtäväksi hoitaa myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arviointitehtäviä. Lakiehdotuksen tarkoituksena on kehittää valtionhallinnon tietoturvallisuutta.

Esitys liittyy valtion vuoden 2012 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä.

Ehdotetut lait on tarkoitettu tulemaan voimaan viimeistään 1 päivänä kesäkuuta 2012.

---

Lainsäädäntöön ei tällä hetkellä sisälly säännöksiä yritysten tietoturvallisuuden arviointia harjoittavien laitosten toiminnasta. Laissa vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta (920/2005) säädetään kansallisesta akkreditointijärjestelmästä, jonka tarkoituksena on varmistaa vaatimustenmukaisuuden arviointipalvelujen luotettavuus ja kansainvälinen hyväksyttävyys. Vaatimustenmukaisuuden arvioinnilla tarkoitetaan akkreditointia, testausta, kalibrointia, sertifiointia, tarkastusta ja niihin rinnastettavaa toimintaa. Säännöksillä on pyritty varmistamaan, että kansallinen akkreditointielin, mittatekniikan keskuksen akkreditointiyksikkö (FINAS-akkreditointipalvelu) täyttää akkreditointia koskevat kansainväliset ja eurooppalaiset arviointiperusteet.

Tietoturvallisuuden arviointilaitokset voivat käyttää hyväkseen FINAS-akkreditointipalvelua, mutta laitosten toiminta kokonaisuutena on vailla ulkopuolista valvontaa. Yritysturvallisuudella on kasvava merkitys muun ohella kansainvälisten hankintakilpailujen vuoksi sekä yritysten innovaatiotoiminnan ja muun toiminnan verkottuessa. Siten arviointilaitosten valvonta on myös yritysten intressissä.

Arviointilaitoksia, jotka voisivat hakea ehdotettua Viestintäviraston hyväksyntää, on tällä hetkellä puolisenkymmentä.

Lainsäädännössä ei myöskään ole osoitettu viranomaisille sopivaa menettelyä, jonka avulla ne voisivat saada luotettavan arvioinnin käyttämiensä tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden tasosta. Tätä on pidettävä puutteena valtionhallinnon tietoturvallisuusvaatimusten toteuttamisen ja kehittämisen kannalta.

Viestintävirasto suorittaa yritysten tietojärjestelmien ja tietoliikennejärjestelyjen arviointia jo osana kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) säädetyn yhteisöturvallisuusselvityksen laadintaa.

Esityksen yleisenä tavoitteena on osaltaan edistää yritysturvallisuutta ja kehittää tietoturvallisuutta viranomaisissa.

Ehdotettu laki tietoturvallisuuden arviointilaitoksista liittyy laajempaan yritysten ja henkilöiden taustojen selvittämistä koskevan lainsäädännön kokonaisuudistukseen. Arviointilaitosten hyväksymismenettely antaa yrityksille mahdollisuuden varautua nykyistä paremmin niitä koskeviin turvallisuusselvityksiin. Esityksen toiminnallisena tavoitteena onkin yksinkertaistaa ja tehostaa viranomaismenettelyjä taustaselvityksissä.

Esitykseen otetun lakiehdotuksen (lakiehdotus n:o 1) mukaisesti luotaisiin järjestelmä, jonka avulla yritykset voisivat kehittää tietoturvallisuutta yhteisten kriteerien ja viranomaisvalvonnassa olevien arviointilaitosten avulla. Vaikka yrityksiä koskevan turvallisuusselvityksen laatiminen kuuluukin viranomaiselle, yritykset voisivat nykyistä paremmin varautua osallistumaan esimerkiksi sellaisiin kansainvälisiin hankintakilpailuihin, joissa edellytetään viranomaisen laatimaa turvallisuusselvitystä ja sen perusteella annettavaa todistusta, mikä parantaisi suomalaisten yritysten kilpailukykyä kansainvälisissä hankinnoissa.

Esityksessä ehdotetaan, että Viestintävirasto voisi arvioida viranomaisten tietojärjestelmiä ja tietoliikennejärjestelyjä ja antaa vaatimukset täyttävistä järjestelmistä todistuksen (lakiehdotus n:o 2). Ehdotus liittyy osaltaan valtionhallinnon tietoturvallisuutta koskevien säännösten täytäntöönpanoon ja niiden kehittämiseen. Ehdotetulla lailla on yleisempääkin merkitystä, koska viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta arvioiva viranomainen kuuluu osana eri maissa noudatettuihin ja useissa kansainvälisissä sopimuksissa ja säädöksissä edellytettyihin järjestelyihin.

Yrityksiä koskevien turvallisuusselvitysten määrän odotetaan kasvavan lähivuosina. Yritysturvallisuusselvityksen laatiminen voi vaatia runsaasti työtä ja aikaa, etenkin jos selvityksen kohteena oleva yritys ei aikaisemmin ole itse selvittänyt tietoturvallisuustoimiensa tasoa. Selvitysmenettelyn nopeuttamista on tarkoitus palvella esitykseen sisältyvällä lakiehdotuksella (lakiehdotus n:o 1), jonka perusteella yritykset voisivat itse ennakolta varmistaa tietoturvallisuustoimiensa tason laadituttamalla viranomaisvalvonnassa toimivalla arviointilaitoksella tästä arvioinnin.

Viestintäviraston tehtäväksi tulisi tietoturvallisuuden arviointilaitosten hyväksyminen sekä niiden valvonta (lakiehdotus n:o 1). Sen lisäksi Viestintävirasto arvioisi vastaavia seikkoja viranomaisten toiminnassa (lakiehdotus n:o 2).

Toiminta edellyttää välttämättä suojatiloja ja muita teknisiä järjestelmiä. Viestintävirastolla on tarpeelliset tilat käytössään.

Viestintäviraston tehtävien suorittamisesta on tarkoitus periä maksu. Maksutulojen arvioidaan toiminnan ollessa täysimääräisesti käynnissä vastaavan toiminnasta aiheutuvia kustannuksia. Ensimmäisen viiden toimintavuoden aikana toimintaa varten tarvitaan kuitenkin noin 450 000 euron vuosittainen määräraha, jolla katetaan kolmea henkilötyövuotta vastaavat henkilöstökustannukset sekä toimintaan tarvittavien tilojen ylläpidosta, logistiikasta sekä tietoliikenne- ja ohjelmistojärjestelyistä aiheutuvat kustannukset. Kustannukset on otettu huomioon valtion vuoden 2012 talousarvioesityksessä Viestintäviraston toimintamenomomentin (31.40.01) määrärahan mitoituksessa. Uudet tehtävät arvioidaan voitavan toteuttaa Viestintävirastolle valtionhallinnon tuottavuusohjelmassa määritellyn henkilötyövuosikehyksen puitteissa.

Esitykseen sisältyvät säännökset yritysturvallisuuden kehittämisestä ovat omiaan helpottamaan yritysten yhteistyötä erilaisissa kehittämishankkeissa, jotka voivat johtaa innovaatioon ja uusien tuotteiden kehittämiseen. Tästä aiheutuvia hyötyjä on kuitenkin vaikea arvioida.

Esityksen mukaisten uudistusten toteuttamisella ei ole merkittävää vaikutusta Viestintäviraston organisaatioon.

Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annettavaksi ehdotetun lain mukaan arviointitehtävää hoitaisi Viestintävirasto. Ehdotettu menettely parantaa viranomaisten mahdollisuuksia varmistaa tietoturvallisuutensa taso. Esitystä valmisteltaessa on lähdetty siitä, että tällaiset arvioinnit tehtäisiin mahdollisuuksien mukaan keskitetysti ja siten, että niistä olisi yhtä viranomaista laajemminkin hyötyä hallinnossa.

Tarkoituksena on, että valtionhallinnon tietojärjestelmien ja tietoliikenteen tietoturvallisuuden mahdollisimman tehokkaaksi kehittämiseksi sekä niiden arviointimenettelyn tarkoituksenmukaiseksi toteuttamiseksi Viestintävirasto, valtiovarainministeriö, liikenne- ja viestintäministeriö sekä muut hallinnonalat ovat tiiviissä yhteistyössä. Tässä yhteistyössä voidaan käyttää ja edelleen kehittää jo nykyisin hyvin toimivaa ja kattavaa Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden kehittämis-, ohjaus- ja yhteistyötä. Lisäksi Viestintäviraston tulosohjausta lakiehdotuksen mukaisissa uusissa tehtävissä on tarkoitus toteuttaa valtiovarainministeriön ja liikenne- ja viestintäministeriön tiiviinä yhteistyönä.

Ehdotetuilla laeilla ei olisi välitöntä vaikutusta kansalaisten asemaan.

Ehdotettu laki tietoturvallisuuden arviointilaitoksista (lakiehdotus n:o 1) tarjoaa yrityksille mahdollisuuden saada luotettava arvio tietoturvallisuustoimiensa tasosta sekä siten varautua hankkeisiin, joissa tietoturvallisuusvaatimusten täyttäminen on edellytyksenä hankkeeseen osallistumiselle.

Arviointilaitokset voisivat hakea Viestintäviraston hyväksyntää. Tämä mahdollisuus koskenee puolenkymmentä nykyisin toimivaa yritystä. Koska kysymys on lisäksi vapaaehtoisesta hakeutumisesta hyväksyntämenettelyn piiriin, ehdotuksen ei voida katsoa merkitsevän merkittävää hallinnollista taakkaa yrityssektorille.

Oikeusministeriö asetti 1.10.2008 työryhmän, jonka tehtävänä oli valmistella hallituksen esityksen muotoon laadittu ehdotus turvallisuusselvityksistä annetun lain (177/2002) uudistamisesta. Työryhmässä olivat edustettuina valtioneuvoston kanslia, ulkoasiainministeriö, oikeusministeriö, sisäasiainministeriö, puolustusministeriö, valtiovarainministeriö, sosiaali- ja terveysministeriö, työ- ja elinkeinoministeriö, suojelupoliisi, pääesikunta, tietosuojavaltuutetun toimisto sekä työnantajaosapuolen yhteinen edustaja Elinkeinoelämän keskusliitosta ja palkansaajajärjestöjen yhteinen edustaja Akava ry:stä.

Työryhmään nimitettyinä asiantuntijoina toimivat edustajat liikenne- ja viestintäministeriöstä, Finanssialan keskusliitosta ja Suomen Kuntaliitosta sekä yritysturvallisuuden asiantuntija Elinkeinoelämän keskusliitosta. Työryhmä kuuli työnsä aikana eduskunnan keskuskanslian, Keskuskauppakamarin, Suomen Yrittäjien, Huoltovarmuuskeskuksen, Oikeusrekisterikeskuksen, Inspecta Sertifiointi Oy:n, Suomen Vartioliikkeitten Liitto ry:n sekä Suomen Turvaurakoitsijaliiton edustajia. Työryhmän työskentelyyn osallistui myös Viestintäviraston sekä kansallisen turvallisuusviranomaisen ja puolustusministeriön turvallisuusalan asiantuntijoita.

Työryhmä ehdotti mietinnössään (Oikeusministeriön mietintöjä ja lausuntoja 8/2011), että osana kokonaisuudistusta annettaisiin nyt ehdotettuun esitykseen sisältyvät lakiehdotukset. Ministeriöiden sekä Viestintäviraston välillä käytyjen keskustelujen perusteella päädyttiin kustannussäästöjen varmistamiseksi siihen, että mainitut lakiehdotukset annetaan ennen kokonaisuudistusta koskevan laajemman esityksen antamista.

Oikeusministeriön taustaselvityslainsäädännön kokonaisuudistusta valmistelleen työryhmän mietinnöstä pyydettiin lausunnot asian kannalta keskeisiltä viranomaisilta ja etutahoilta, yhteensä 32 eri taholta. Ministeriöitä pyydettiin hankkimaan tarpeelliseksi katsomansa lausunnot alaiseltaan hallinnolta.

Nyt ehdotetuista laeista esitettiin suhteellisen vähän kannanottoja. Ne lausunnonantajat, jotka esittivät yleisarvioita, pitivät lakiehdotuksia tarpeellisina. Huoltovarmuuskeskus tosin totesi, että nyt lakiehdotuksena n:o 1 oleva laki on tarpeellinen vain, jos tarkoituksena on estää epätoivottavia ilmiöitä alalla.

Yksityiskohtaisemmat kannanotot olivat pääosin luonteeltaan ensisijaisesti lakiteknisiä tai kysymyksen muotoon laadittuja. Joissakin lausunnoissa arvioitiin arviointilaitosten hyväksymismenettelyn luonnetta ja merkitystä. Valtiotalouden tarkastusviraston lausunnossa tarkasteltiin Viestintäviraston käyttämiin asiantuntijoihin liittyviä kysymyksiä. Eduskunnan oikeusasiamies katsoi, että arviointilaitosten tulisi noudattaa myös kielilakia (423/2003) julkisen hallintotehtävän hoitamisessa.

Pääesikunta piti Viestintäviraston tiedonsaantioikeutta koskevaa säännöstä (lakiehdotus n:o 2, 6 §) erittäin tärkeänä, jotta tietojärjestelmien ja tietoliikenteen tietoturvallisuuden arviointia koskevissa asioissa puolustusvoimien maanpuolustuksen etuun liittyvät erityistarpeet tulevat otetuiksi huomioon. Yleisten kansallisten järjestelyjen rinnalla puolustusvoimien tulee voida jatkossakin tarvittavilta osin auditoida omat kriittiset tietojärjestelmänsä. Sisäasiainministeriö toivoi säännöksiin kirjattavaksi, että jo valtionhallinnossa suoritettuja auditointeja ei olisi tarpeettomasti uusittava. Ministeriö kiinnitti myös yleistä huomiota tietoturvallisuuden kustannuksiin.

Lausunnoissa esitetyt näkökohdat on otettu asian jatkovalmistelussa huomioon.

Esitys liittyy valtion vuoden 2012 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä.

Ehdotetut lait palvelisivat valmisteilla olevan yritysten ja henkilöiden taustojen selvittämistä koskevan lainsäädännön kokonaisuudistuksen mahdollisimman kustannustehokasta täytäntöönpanoa.

1 luku Yleiset säännökset

1 §. Lain tarkoitus. Ehdotetussa laissa säädettäisiin menettelystä, jonka avulla yritys voi osoittaa luotettavasti ulkopuolisille, että sen toiminnassa on toteutettu määrätty tietoturvallisuuden taso.

Arviointilaitos arvioi yrityksen tietoturvallisuutta suhteessa ennalta määriteltyihin tietoturvallisuusvaatimuksiin. Nämä voivat olla laissa tai asetuksessa säädettyjä vaatimuksia taikka esimerkiksi standardissa määriteltyjä. Käytettävistä kriteereistä säädettäisiin lain 10 §:ssä.

Lain tarkoitusta toteutetaan antamalla arviointilaitoksille mahdollisuus hakea toimintaansa varten Viestintäviraston hyväksyntä. Arviointitoiminnasta ei ehdotuksen mukaan tulisi luvan- tai ilmoituksenvaraista toimintaa, vaan hyväksynnän hakeminen olisi arviointilaitoksille mahdollisuus, ei velvoite (2 § 1 mom., 3 § 1 mom.).

Arviointilaitokset ja niiden toiminnan luotettavuus on tärkeätä yrityksille niiden itse kehittäessä tietoturvallisuutta organisaatiossaan. Arviointilaitosten avulla yritykset voivat myös johdonmukaisesti varautua sellaisia tilanteita varten, joissa niiden tietoturvallisuuden taso on hankintakilpailussa menestymisen ehdoton edellytys, kuten puolustus- ja turvallisuusalan kansainvälisissä ja kansallisissa hankinnoissa tai yhteistyöhankkeissa.

2 §. Lain soveltamisala. Lakia sovellettaisiin 1 momentin mukaan elinkeinonharjoittajiin ja palvelutehtäviä julkishallinnolle tarjoaviin yksiköihin, jotka toimeksiannosta arvioivat tietoturvallisuustasoa (tietoturvallisuuden arviointilaitokset) ja jotka haluavat toiminnalleen Viestintäviraston hyväksynnän. Lisäksi lakia sovellettaisiin hyväksymismenettelyyn.

Tarkoituksena on ollut, ettei laissa rajattaisi, minkälaiset toimintayksiköt voisivat olla laissa tarkoitettuja arviointilaitoksia. Arviointilaitos voisi olla paitsi yksityinen elinkeinonharjoittaja, myös – organisaatiomuodosta riippumatta – sellainen toimintayksikkö, joka tarjoaa arviointipalveluja julkishallinnolle. Vaikka ehdotetun lain ensisijainen tarkoitus onkin edistää yritysturvallisuutta, siinä tarkoitettua hyväksyntää voisi siten hakea sellainenkin arviointilaitos, jonka asiakaskunta koostuu ensisijaisesti esimerkiksi viranomaisista ja muista julkisen hallinnon toimijoista.

Momentin sananmuodosta ilmenee, että laki ei vaikuttaisi niiden tietoturvallisuuden arviointilaitosten toimintaan, jotka eivät ole hakeneet Viestintäviraston hyväksyntää.

Viestintäviraston tehtävistä viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnissa sekä yhteisöturvallisuusselvityksiä laadittaessa säädettäisiin ehdotetun 2 momentin mukaan erikseen. Näillä tarkoitettaisiin esityksen lakiehdotuksessa n:o 2 tarkoitettua lakia sekä lakia kansainvälisistä tietoturvallisuusvelvoitteista.

2 luku Arviointilaitoksen hyväksyminen ja valvonta

3 §. Arviointilaitoksen hyväksymistä koskeva hakemus. Tietoturvallisuuden arviointilaitos voisi ehdotetun 1 momentin mukaan hakea Viestintäviraston hyväksyntää toimintaansa varten.

Säännöksen sananmuoto osoittaa, että hyväksynnän hakeminen ei ole pakollista. Viranomaiset voisivat viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annettavaksi ehdotetun lain mukaan kuitenkin käyttää Viestintäviraston lisäksi vain sen hyväksymiä arviointilaitoksia (lakiehdotus n:o 2, 3 §). Hyväksynnän puuttuminen voinee myös vaikuttaa arviointilaitoksen asemaan markkinoilla.

Hakemukseen olisi liitettävä tiedot, jotka ovat tarpeen asian käsittelyä varten.

4 §. Hakemuksen käsittely. Viestintäviraston olisi ehdotetun 1 momentin mukaan ennen tietoturvallisuuden arviointilaitoksen hyväksymistä varattava suojelupoliisille tilaisuus lausua arviointilaitoksen vastuuhenkilöiden luotettavuudesta ja sen toimitilojen turvallisuudesta. Tämä liittyy arviointilaitoksen hyväksymiselle ehdotettuihin edellytyksiin, joiden mukaan laitoksen vastuuhenkilöiden luotettavuus ja toimitilojen turvallisuus on varmistettu.

Suojelupoliisi noudattaisi lausuntoaan laatiessaan, mitä kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään. Tällä viitataan mainittuun lakiin sisältyviin yhteisöturvallisuusselvitystä ja henkilöturvallisuusselvitystä koskeviin säännöksiin. Yritysten ja henkilöiden taustojen selvittämistä koskevan lainsäädännön kokonaisuudistuksen yhteydessä yritysturvallisuusselvitystä koskeva sääntely siirtyy kokonaan kansallisesti sovellettavissa olevaan yleislakiin.

Viestintävirasto voisi hakemusta käsiteltäessä ehdotetun 2 momentin mukaan hankkia lausuntoja sekä antaa hakemuksen ja siinä esitettyjen tietojen arvioimiseksi toimeksiannostaan suoritettavia tehtäviä ulkopuolisille asiantuntijoille. Mainitut asiantuntijat eivät päättäisi arviointilaitosta koskevista asioista, vaan tuottaisivat Viestintäviraston ohjauksessa ja valvonnassa päätöksentekoa varten selvityksiä. Henkilöihin sovellettaisiin suoraan viranomaisten toiminnan julkisuudesta annetun lain (621/1999) salassapitosäännöksiä. Asiantuntijan edellä kuvattu asema huomioon ottaen heitä koskevaa erityissäännöstä viittauksin yleisiin hallinto-oikeudellisiin säännöksiin ei ole tarpeen ottaa lakiehdotukseen.

5 §. Arviointilaitoksen hyväksyminen. Pykälän 1 momentissa säädettäisiin edellytykset tietoturvallisuuden arviointilaitoksen hyväksymiselle. Laitoksen tulisi olla toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteena olevista yrityksistä (1 kohta). Tämä on olennaista sen vuoksi, että arviointiin ja sen puolueettomuuteen voidaan luottaa.

Laitoksen henkilökunnalla tulisi ehdotetun 2 kohdan mukaan olla hyvä tekninen ja ammatillinen koulutus sekä riittävän laaja-alainen kokemus toimintaan kuuluvissa tehtävissä ja laitoksella toiminnan edellyttämät laitteet, välineet ja järjestelmät (3 kohta). Laitoksen vastuuhenkilöiden luotettavuus tulisi olla varmistettu ja laitoksella tulisi lisäksi olla luotettavaksi arvioitu ja valvottu menetelmä, jonka avulla yhteisön toimitilojen ja tietojenkäsittelyn turvallisuus varmistetaan, sekä asianmukaiset ohjeet toimintaa ja sen seurantaa varten (4 ja 5 kohta).

Ehdotetussa 2 momentissa olisi erityissäännös, jonka mukaan 1 momentin 1—3 kohdassa tarkoitettujen vaatimusten täyttäminen olisi osoitettava vaatimuksenmukaisuuden arviointipalvelusta annetun lain mukaisen menettelyn avulla ja sen mahdollistamassa laajuudessa. Tämä tarkoittaa käytännössä sitä, että mainitut seikat olisi selvitetty FINAS-akkreditointipalvelun toimenpitein yhteistyössä Viestintäviraston kanssa.

Viestintäviraston tehtävänä olisi ehdotetun 3 momentin mukaan hyväksyä saamiensa ja laatimiensa selvitysten sekä suorittamiensa tarkastusten perusteella vaatimukset täyttävä laitos tässä laissa tarkoitetuksi hyväksytyksi arviointilaitokseksi. Tällainen laitos voisi markkinoinnissaan ja muussa viestinnässään käyttää hyväksymistä koskevaa ilmaisua, jollei hyväksymistä koskeva määräaika ole päättynyt tai Viestintävirasto ole päättänyt sen peruuttamisesta.

Hyväksyminen voitaisiin ehdotetun 4 momentin mukaan antaa määräajaksi, jos siihen on erityinen syy, ja siihen voitaisiin liittää laitoksen pätevyysaluetta, valvontaa sekä sellaisia toimintaa koskevia rajoituksia ja ehtoja, jotka ovat tarpeen tehtävien hoidon asianmukaiseksi varmistamiseksi. Erityinen syy voisi liittyä esimerkiksi arviointilaitoksen pätevyysalueen rajaamiseen, joka tulisi arviointilaitoksen toiminnan kehittämisen jälkeen tarpeettomaksi.

6 §. Arviointilaitoksen hyväksymisen peruuttaminen. Jos hyväksytty tietoturvallisuuden arviointilaitos toimisi säännösten vastaisesti taikka jos se ei enää täyttäisi hyväksymiselle asetettuja vaatimuksia, Viestintäviraston olisi kehotettava arviointilaitosta korjaamaan puute määräajassa. Jos puutetta ei korjattaisi määräajassa, toimivaltainen viranomainen voisi peruuttaa hyväksymisen.

Viestintävirasto voisi ehdotuksen mukaan päätöksessään määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää.

7 §. Viestintäviraston tarkastusoikeus. Viestintävirastolla ja sen toimeksiannosta toimivalla asiantuntijalla olisi 1 momentin mukaan oikeus päästä tarkastamaan tietoturvallisuuden arviointilaitoksen tilat sekä sen käytössä olevat menetelmät. Koska säännösehdotuksessa tarkoitettua tarkastusta ei ole tarpeen ulottaa kotirauhan piiriin kuuluviin tiloihin tai edellytykset tällaiselle tarkastukselle eivät täyty, on ehdotetussa säännöksessä katsottu olevan syytä nimenomaisesti rajata tällaiset tilat tarkastusoikeuden ulkopuolelle.

8 §. Arviointilaitoksen tiedonanto- ja ilmoitusvelvollisuus. Pykälän tarkoituksena on turvata Viestintäviraston mahdollisuus saada valvontatehtäviensä hoidossa tarpeelliset tiedot. Hakemuksen käsittelyä varten tarpeellisista tiedoista säädettäisiin ehdotetun 3 §:n 2 momentissa.

Ehdotetussa 1 momentissa olisi säännös hyväksytyn arviointilaitoksen velvollisuudesta ilmoittaa Viestintävirastolle toimintaansa koskevista muutoksista, joilla on vaikutusta laitokselle asetettujen vaatimusten täyttymiseen.

Pykälän 2 momentti velvoittaisi arviointilaitoksen antamaan Viestintävirastolle ne tiedot, jotka ovat tarpeen sen valvomiseksi, että laitos täyttää sen toimintaa koskevat vaatimukset.

3 luku Tietoturvallisuuden arviointi

9 §. Arviointilaitoksen tehtävät. Hyväksytyn tietoturvallisuuden arviointilaitoksen olisi 1 momentin mukaan arviointitehtävää suorittaessaan noudatettava huolellisuutta. Tällä halutaan korostaa laitoksen velvollisuutta asianmukaisiin menettelytapoihin sekä muutoinkin asialliseen toimintaan.

Hyväksytyn arviointilaitoksen olisi ehdotetun 1 kohdan mukaan pidettävä huolta siitä, että arvioinnin kohteen toimitilat tarkastetaan. Arvioinnin perusteella annettavaa todistusta ei voitaisi siten antaa ilman asianmukaista toimitilojen tarkastamista.

Ehdotetun 2 kohdan mukaan arvioinnissa tulisi selvittää, onko arvioinnin kohteen toiminnassa asianmukaisella tavalla toteutettu ne muut 10 §:ssä tarkoitetut tietoturvallisuutta koskevat vaatimukset, jotka on otettu selvityksen perustaksi (tietoturvallisuuden arviointiperusteet).

Hyväksytty arviointilaitos antaisi ehdotetun 2 momentin mukaan selvitysten ja tarkastuksen perusteella todistuksen, jos arvioinnin kohteen toiminta on arvioinnin perustana olleiden tietoturvallisuusvaatimusten mukainen. Todistuksessa tulisi yksilöidä arvioinnissa käytetyt arviointiperusteet. Tämä on tärkeätä sen varmistamiseksi, että todistus kuvaa asianmukaisella tavalla arvioinnin kohteen toiminnassa noudatettavaa tietoturvallisuuden tasoa.

10 §. Tietoturvallisuuden arviointiperusteet. Ehdotetun lain tarkoittamissa arvioinneissa voitaisiin ehdotuksen mukaan käyttää erilaisia tietoturvallisuutta koskevia vaatimuksia. Tarkoituksena on ollut, että kriteerit, joita vasten yrityksen tietoturvallisuustoimia arvioidaan, voivat olla erilaisia, koska myös yrityksen tarpeet voivat eri tilanteissa vaihdella.

Ehdotuksen mukaan voitaisiin ensinnäkin käyttää lailla tai asetuksella säädettyjä viranomaisen toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön antamia ohjeita (1 kohta). Tällä viitataan erityisesti valtionhallinnon tietoturvallisuudesta annettuun valtioneuvoston asetukseen (681/2010) ja valtiovarainministeriön sen täytäntöönpanosta antamiin ohjeisiin (Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010).

Perustana voitaisiin käyttää myös kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen (NSA) antamia kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevia ohjeita (2 kohta). Tämä merkitsisi käytännössä sitä, että vaatimustasona voitaisiin käyttää kansallista turvallisuusauditointikriteeristöä (KATAKRI), jota kansallisen turvallisuusviranomaisen antaman ohjeen mukaisesti sovelletaan kansainvälisten tietoturvallisuusvelvoitteiden hoitamisessa.

Arviointiperusteena voitaisiin käyttää Euroopan unionin tai muun kansainvälisen toimielimen antamia tietoturvallisuutta koskevia säännöksiä ja ohjeita (3 kohta). Unionin asettaman tietoturvallisuustason saavuttaminen voi olla merkityksellinen esimerkiksi unionin hankkeissa, joihin suomalainen yritys pyrkii osallistumaan.

Tietoturvallisuustasoa osoittavana perustana voitaisiin käyttää julkaistuja ja yleisesti tai alueellisesti sovellettuja tietototurvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita (4 kohta) taikka vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia (5 kohta).

4 luku Erinäiset säännökset

11 §. Maksut. Arviointilaitoksen hyväksymistä koskevan asian käsittelystä Viestintävirastossa perittävästä maksusta säädetään valtion maksuperustelaissa (150/1992) ja sen nojalla.

Valtion maksuperustelakia ei sovellettaisi hyväksyttyyn arviointilaitokseen, vaan se päättäisi itse arvioinnista perittävistä kustannuksista.

12 §. Muutoksenhaku. Muutoksenhausta Viestintäviraston ehdotetun lain nojalla tekemään päätökseen säädetään hallintolainkäyttölaissa (586/1996).

13 §. Hyvää hallintoa koskevien säännösten soveltaminen. Hyväksytyn tietoturvallisuuden arviointilaitoksen olisi ehdotetussa laissa tarkoitettuja tehtäviä hoitaessaan noudatettava hallintolakia (434/2003), viranomaisten toiminnan julkisuudesta annettua lakia sekä kielilakia (423/2003).

Tulkintaongelmien välttämiseksi mainittujen säädösten soveltamista ei ehdotuksen mukaan olisi sidottu julkisen hallintotehtävän hoitamiseen, vaan säädöksiä sovellettaisiin kaikkiin ehdotetun lain mukaisten tehtävien hoitamiseen. Rangaistus viranomaisten toiminnan julkisuudesta annetun lain mukaisen salassapitovelvollisuuden ja hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain 40 luvun 5 §:n mukaan, jollei teko ole rangaistava rikoslain 38 luvun 1 tai 2 §:n mukaan tai jollei siitä muualla laissa säädetä ankarampaa rangaistusta (laki viranomaisten toiminnan julkisuudesta, 35 §).

14 §. Voimaantulo. Tarkoituksena on, että laki voitaisiin saattaa voimaan viimeistään 1.6.2012. Ennen lain voimaantuloa voitaisiin ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

1 §. Lain soveltamisala. Ehdotetussa laissa säädettäisiin viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1 momentti). Lain avulla voitaisiin luoda viranomaisille mahdollisuus saada ulkopuoliselta erityisviranomaiselta arvio määräysvallassaan olevien tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden tasosta.

Laki olisi tarpeen sen varmistamiseksi, että viranomaiset voisivat saada ulkopuolisen arvion myös silloin, kun ne käsittelevät korkeimpien tietoturvallisuusvaatimusten piiriin kuuluvia tietoaineistoja, joiden käsittelyyn ja siirtoon liittyvää arviointia on ongelmallista antaa yksityisten arviointilaitosten tehtäväksi.

Lakiehdotuksessa tarkoitettuna erityisviranomaisena toimisi ehdotuksen mukaan Viestintävirasto. Viestintävirastolla on jo lakiehdotuksessa tarkoitettuja tehtäviä kansainvälisiin tietoturvallisuusvelvoitteisiin kuuluvissa asioissa. Ehdotetussa 2 momentissa viitattaisiin tätä koskevaan sääntelyyn.

2 §. Määritelmät. Pykälään ehdotetaan otettaviksi lain soveltamisen kannalta keskeiset määritelmät.

Ehdotetun 1 kohdan mukaan tietojärjestelmällä tarkoitettaisiin tietojärjestelmän tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä. Tarkoituksena on ollut, että määritelmä olisi mahdollisimman kattava.

Ehdotetun 2 kohdan mukaan tietoliikennejärjestelyllä tarkoitettaisiin tiedonsiirtoverkosta, tiedonsiirtolaitteista, ohjelmistoista ja muista tietojenkäsittelystä koostuvista järjestelyistä muodostuvaa järjestelmää. Tämänkin määritelmän on tarkoitus olla laaja, jotta se soveltuisi erilaisiin ja muuttuviin tilanteisiin.

Ehdotetussa 3 kohdassa on viranomaisen määritelmä. Sen mukaan viranomaisella tarkoitettaisiin viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 1 momentin 1—7 kohdassa tarkoitettuja toimielimiä. Siten viranomaisen käsitteen ulkopuolelle jäisivät tiettyä tehtävää itsenäisesti hoitamaan asetetut työryhmät ja vastaavat.

Valtionhallinnon viranomaisen määritelmä ehdotetussa 4 kohdassa vastaa tietoturvallisuudesta valtionhallinnossa annetun asetuksen säännöksiä. Tämä on tarkoituksenmukaista ottaen huomioon lain tavoite valtionhallinnon tietoturvallisuuden edistämiseksi. Määritelmä merkitsee myös sitä, ettei valtiovarainministeriön toimeksiannosta voida tehdä selvitystä esimerkiksi eduskunnan alaisten laitosten tietoturvallisuudesta. Sen sijaan tällainen laitos voisi itse pyytää arvioinnin tekemistä.

3 §. Tietoturvallisuuden arviointipalvelujen käyttäminen. Pykälään ehdotetaan otettavaksi säännös, jonka avulla varmistettaisiin, että valtionhallinnon viranomaiset käyttävät vain luotettavia ulkopuolisia tietoturvallisuuden arviointipalveluja. Säännös on tarpeen valtionhallinnon tietoturvallisuuden kehittämiseksi yhtenäisellä tavalla ja ilman perustaltaan epäasiallisia kustannuksia.

Valtionhallinnon viranomaiset saisivat ehdotuksen mukaan käyttää tietoturvallisuuden arvioinnissa vain joko ehdotetussa laissa tarkoitettua menettelyä taikka sellaista arviointilaitosta, jolle Viestintävirasto on antanut hyväksynnän ehdotetun tietoturvallisuuden arviointilaitoksia koskevan lain (lakiehdotus n:o 1) mukaan.

Säännös ehdotetaan rajattavaksi vain valtionhallinnon viranomaisiin, joihin sovelletaan myös tietoturvallisuudesta valtionhallinnossa annettua asetusta.

4 §. Viestintäviraston tehtävät. Viestintäviraston tehtävänä olisi ehdotetun 1 momentin mukaan viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden edistämiseksi ja varmistamiseksi suorittaa momentissa eritellyt tehtävät. On syytä huomata, että Viestintäviraston tehtäviin ei kuulu tietojärjestelmiin talletettavien tietojen lainmukaisuuden arviointi eivätkä muutkaan tietojärjestelmän sisällön arviointiin liittyvät kysymykset. Tehtävissä on kysymys yksinomaan sen arvioinnista, täyttävätkö tietojärjestelmät ja tietoliikennejärjestelyt ne tekniset ominaisuudet, joita niiltä edellytetään.

Viraston tulisi viranomaisen pyynnöstä arvioida tämän määräämisvallassa olevan tai hankittavaksi suunnitteleman tietojärjestelmän tai tietoliikennejärjestelyjen tietoturvallisuuden vaatimuksenmukaisuutta (1 kohta).

Tietojärjestelmän voi katsoa olevan viranomaisen määräämisvallassa, jos se on viranomaisen käytettävissä esimerkiksi käyttöoikeussopimuksen perusteella ja jos viranomainen säännösten perusteella on oikeutettu määräämään sen käytöstä, tietojen luovuttamisesta siitä ja muusta tietojenkäsittelystä. Arviointi voitaisiin kohdistaa myös sellaiseen tietojärjestelmään, jonka viranomainen suunnittelee hankkivansa.

Kohdassa tarkoitettu velvoite ei olisi ehdoton, kuten pykälän 3 momentista tarkemmin ilmenee. Ehdotus merkitsee myös sitä, että Viestintävirasto ei olisi valvontaviranomainen, vaan se tekisi arvioinnin viranomaisen pyynnöstä.

Kansainvälisessä käytännössä ja eri maiden lainsäädännössä voidaan edellyttää, että riippumaton taho on antanut todistuksen siitä, että tietojärjestelmä tai tietoliikennejärjestely täyttää tietyn tietoturvallisuuden vaatimustason. Ehdotetun 2 kohdan mukaan Viestinviraston tehtävänä olisi antaa pyynnöstä tietojärjestelmälle tai tietoliikennejärjestelylle sen hyväksymistä osoittava todistus.

Viestintäviraston tehtäviin kuuluisi tehdä valtiovarainministeriön pyynnöstä selvityksiä valtionhallinnon viranomaisen määräysvallassa olevien tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuustasosta (3 kohta). Tämä liittyy tarpeeseen saada yleistä tietoa tietoturvallisuuslainsäädännön täytäntöönpanosta.

Laissa on myös tehokkuus- ja tuottavuusvaatimusten vuoksi haluttu varmistaa se, että tietojenkäsittely- ja tietoliikennepalveluja käyttävät voisivat varmistua, että heidän valtionhallinnon eri viranomaisille tarjoamat palvelut täyttävät valtionhallinnon tietoturvallisuudelle asetettavat vaatimukset. Tämän vuoksi pyynnön tietojärjestelmän tai tietoliikennejärjestelyn tietoturvallisuuden arvioinnista tai pyynnön tietoturvallisuustodistuksen saamisesta voisi ehdotetun 2 momentin mukaan tehdä myös se, joka tarjoaa sellaisia tietojenkäsittely- tai tietoliikennepalveluja, joita käytetään yleisesti valtionhallinnon eri viranomaisissa. On luonnollista, että palvelujen tarjoaja hoitaa tätä tehtävää siten, että viranomainen tietää ja hyväksyy menettelyn käynnistämisen, minkä vuoksi säännöksessä arvioinnin laatiminen edellyttäisi asianomaisen viranomaisen toimeksiantoa.

Pykälän 3 momenttiin ehdotetaan otettavaksi säännös, jonka avulla Viestintäviraston tehtävien hoito voitaisiin suhteuttaa sen käytettävissä oleviin resursseihin. Ehdotuksen mukaan 1 momentissa tarkoitetun viranomaisen tai 2 momentissa tarkoitetun tietojenkäsittely- tai tietoliikennepalveluja tarjoavan pyytämä tietojärjestelmän tai tietoliikennejärjestelmän arviointi suoritetaan käytettävissä olevien voimavarojen mukaisesti.

5 §. Selvitykset valtiovarainministeriön toimeksiannosta. Pykälän 1 momenttiin ehdotetaan otettavaksi säännös menettelystä, jonka avulla valtiovarainministeriö voisi saada tietoja valtionhallinnon tietoturvallisuuden tasosta sitä koskevan sääntelyn täytäntöönpanon seuraamiseksi ja tietoturvallisuuden yleiseksi kehittämiseksi.

Ehdotuksen mukaan valtiovarainministeriö voisi antaa Viestintävirastolle toimeksiannon laatia valtiovarainministeriön pyynnöstä selvityksiä valtionhallinnon viranomaisen määräämisvallassa olevien tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuustasosta.

Selvityksen piiriin tulevat tietojärjestelmät voidaan määritellä tietojärjestelmien käyttötarkoituksen, niihin talletettavien tietojen laadun tai muun vastaavan yleisen tekijän mukaan. Kysymys ei siten olisi ennalta määritellyn tietyn viranomaisen ylläpitämän tietojärjestelmän tai viranomaisen toimien arvioimisesta tai valvonnasta. Arvioinnissa ei myöskään selvitettäisi tietojärjestelmään talletettuja tietoja tai niiden tallettamisen perusteita.

Ehdotetussa 2 momentissa on säännös, joka oikeuttaisi valtiovarainministeriön saamaan salassapitosäännösten estämättä tiedon pyytämänsä arvioinnin lopputuloksista. Tiedot tulisi kuitenkin rajoittaa vain välttämättömimpään arvioinnin tarkoituksen kannalta.

Säännös on selvyyssyistä tarpeen sen vuoksi, että julkisuuslain 24 §:n 1 momentin 7 kohdan mukaan tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat ovat salassa pidettäviä, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista. Tarkoituksena on, että tiedot annettaisiin yleensä sellaisella tarkkuustasolla, ettei tiedon antaminen vaaranna turvajärjestelyjen tarkoituksen toteutumista.

6 §. Viestintäviraston tiedonsaantioikeus ja oikeus päästä tiloihin ja tietojärjestelmiin. Viestintävirastolla olisi ehdotetun 1 momentin mukaan oikeus sen estämättä, mitä tietojen salassapidosta säädetään, saada käyttöönsä sen arvioitavana tai selvityksen kohteena olevaa tietojärjestelmää ja tietoliikennejärjestelyjä koskevat tiedot sekä oikeus siinä laajuudessa kuin on tarpeen arvioinnin suorittamiseksi, päästä tietojärjestelmään sekä tiloihin, joissa siihen kuuluvia tietoja käsitellään.

Säännösehdotuksessa tarkoitettua tarkastusta ei ole tarkoitus ulottaa kotirauhan piiriin kuuluviin tiloihin. Ehdotetussa säännöksessä on katsottu olevan syytä nimenomaisesti rajata tällaiset tilat tarkastusoikeuden ulkopuolelle.

Ehdotetut oikeudet koskisivat myös Viestintäviraston arviointitoiminnassa käyttämää asiantuntijaa.

7 §. Tietoturvallisuuden arviointiperusteet. Pykälän 1 momentissa määriteltäisiin, minkälaisia tietoturvallisuuden tasoa määritteleviä vaatimuksia voitaisiin käyttää arvioitaessa viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta. Arvioinnin perusteina käytettävät vaatimukset olisivat samoja, joita tietoturvallisuuden arviointia suorittavat arviointilaitokset voisivat käyttää lakiehdotuksen n:o 1 mukaisesti. Näiltä osin viitataan siihen, mitä mainitun lakiehdotuksen 10 §:n yksityiskohtaisissa perusteluissa todetaan.

Ehdotetun 2 momentin mukaan Viestintävirasto selvittäisi, täyttääkö tietojärjestelmä tai tietoliikennejärjestelyt ne tietoturvallisuutta koskevat vaatimukset, jotka on otettu arvioinnin perustaksi.

8 §. Todistuksen antaminen. Pykälän 1 momentin mukaan Viestintävirasto voisi antaa pyynnöstä arviointinsa perusteella todistuksen tietojärjestelmän tai tietoliikennejärjestelyn tietoturvallisuudesta.

Todistukseen merkittäisiin käytetyt arviointiperusteet sekä tiedot arvioinnin laajuudesta. Siihen voitaisiin tarvittaessa ottaa myös voimassaoloa koskeva maininta. Tällä viitataan ennen muuta määräajaksi annettuihin todistuksiin.

Todistus voitaisiin ehdotetun 2 momentin mukaan antaa määräajaksi, jos siihen on erityinen syy.

9 §. Tietoturvallisuuden tason ylläpito ja seuranta. Tietoturvallisuuden taso voi arvioinnin jälkeen muuttua. Tämän vuoksi on aiheellista, että se, jolle todistus annetaan, sitoutuu vastaisuudessa huolehtimaan tietoturvallisuuden tasosta. Todistuksen saaneen tulisi myös ilmoittaa Viestintävirastolle sellaisista muutoksista, joilla on vaikutusta tietoturvallisuustasoon. Samoin olisi sallittava Viestintävirastolle pääsy tietojärjestelmiin ja tietoliikennejärjestelyihin sen varmistamiseksi, että ne täyttävät todistuksen mukaiset vaatimukset.

10 §. Todistuksen peruuttaminen. Viestintävirasto voisi 1 momentissa ehdotettavalla tavalla peruuttaa antamansa todistuksen, jos arvioinnin kohteena ollut tietojärjestelmä tai tietoliikennejärjestely ei enää täytä niitä vaatimuksia, jotka ovat olleet edellytyksenä todistuksen antamiselle.

Viestintäviraston olisi 2 momentin mukaan ennen peruuttamista koskevan ratkaisun tekemistä kuultava todistuksen saanutta sekä varattava tälle tilaisuus korjata puute. Korjaamista varten olisi varattava riittävä määräaika.

Viestintävirasto voisi todistuksen peruuttamista koskevassa päätöksessään ehdotetun 3 momentin mukaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää.

11 §. Muutoksenhaku. Viestintäviraston tekemään päätökseen todistuksen peruuttamisesta saisi hakea valittamalla muutosta siten kuin hallintolainkäyttölaissa (586/1996) säädetään.

12 §. Maksut. Asian vireille saattajalta perittäisiin Viestintäviraston arvioinnista, todistuksen antamisesta ja selvityksestä maksu siten kuin valtion maksuperustelain ja sen nojalla säädetään.

13 §. Voimaantulo. Laki on tarkoitus saattaa voimaan viimeistään 1.6.2012. Ehdotetun lain 3 §:ssä oleva velvoite tietoturvallisuuden arviointipalvelujen käytöstä tulisi ehdotetun siirtymäsäännöksen mukaan olla toteutettuna kolmen vuoden kuluessa lain voimaantulosta.

Ennen lain voimaantuloa voitaisiin ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

2 §. Viestintäviraston tehtävät. Pykälän 1 kohdassa olevaan luetteloon Viestintävirastolle eri laeissa säädetyistä tehtävistä ehdotetaan sille esityksessä ehdotettujen uusien tehtävien vuoksi otettavaksi viittaus ehdotettuihin lakiin tietoturvallisuuden arviointilaitoksista sekä viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista.

Perustuslain 18 §:n mukaan jokaisella on oikeus lain mukaan hankkia toimeentulonsa valitsemallaan työllä, ammatilla tai elinkeinolla. Ehdotettu laki tietoturvallisuuden arviointilaitoksista antaa arviointitoimintaa harjoittavalle yritykselle mahdollisuuden hakea Viestintäviraston hyväksyntää. Laissa ei kuitenkaan säädettäisi arviointitoimintaa luvan- tai ilmoituksenvaraiseksi elinkeinoksi. Arviointitoimintaa voisi siten edelleenkin harjoittaa ilman Viestintäviraston hyväksyntää.

Viranomaisen hyväksynnän peruuttaminen saattaa edellä sanotusta huolimatta käytännössä johtaa tilanteeseen, jossa arviointilaitoksen toiminnan jatkamisen edellytykset voivat merkittävästi heiketä hyväksynnän peruuttamisen vuoksi. Siksi todistuksen peruuttaminen voi olla merkityksellistä perustuslain 18 §:ssä turvatun elinkeinovapauden kannalta. Perustuslakivaliokunta on elinkeinotoiminnan sääntelyn yhteydessä vakiintuneesti pitänyt luvan peruuttamista yksilön oikeusasemaan puuttuvana viranomaistoimena vaikutuksiltaan jyrkempänä kuin haetun luvan epäämistä. Sen vuoksi valiokunta on katsonut sääntelyn oikeasuhtaisuuden kannalta välttämättömäksi sitoa luvan peruuttamismahdollisuus vakaviin tai olennaisiin rikkomuksiin tai laiminlyönteihin sekä siihen, että luvanhaltijalle mahdollisesti annetut huomautukset tai varoitukset eivät ole johtaneet toiminnassa esiintyneiden puutteiden korjaamiseen (PeVL 8/2006 vp, s. 3/II ja siinä viitatut lausunnot).

Ehdotetut arviointilaitoksen hyväksynnän peruuttamista koskevat edellytykset on sisällytetty lakiehdotukseen (lakiehdotus n:o 1, 8 §) ja ne on laadittu ottamalla huomioon perustuslakivaliokunnan edellä kuvattu lausuntokäytäntö. Hyväksynnän peruuttamista koskevaan Viestintäviraston ratkaisuun voi hakea valittamalla muutosta.

Ehdotetuissa laeissa Viestintävirastolle annettaisiin oikeus päästä yrityksen toimitiloihin tai viranomaisen toimitiloihin. Säännösehdotuksissa tarkoitettua tarkastusta ei ole tarkoitus eikä tarpeen ulottaa kotirauhan piiriin kuuluviin tiloihin. Selvyyden vuoksi ja kotirauhaa koskevien perustuslain säännösten huomioon ottamiseksi on ehdotetuissa säännöksissä nimenomaisesti rajattu tällaiset tilat tarkastusoikeuden ulkopuolelle (PeVL 2/2002 vp, PeVL 18/2006 vp). Kotirauhan suojaama piiri määritellään eri tavoin perustuslaissa verrattuna esimerkiksi rikoslakiin (RL 24:11), minkä vuoksi rajaussäännökset on muotoiltu perustuslakivaliokunnan kannanottojen mukaisesti koskemaan pysyväisluonteiseen asumiseen käytettyjä tiloja.

Edellä esitetyn perusteella lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä.

Lait ehdotetaan tulemaan voimaan viimeistään 1 päivänä kesäkuuta 2012.

Edellä esitetyn perusteella annetaan Eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

Lakiehdotukset

1.

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Lain tarkoitus

Tässä laissa säädetään menettelystä, jonka avulla yritykset voivat osoittaa luotettavasti ulkopuolisille, että niiden toiminnassa on toteutettu määrätty tietoturvallisuuden taso.

2 §
Lain soveltamisala

Tätä lakia sovelletaan elinkeinonharjoittajiin ja palvelutehtäviä julkishallinnolle tarjoaviin yksiköihin, jotka toimeksiannosta arvioivat tietoturvallisuustason (tietoturvallisuuden arviointilaitos) ja jotka haluavat toiminnalleen Viestintäviraston hyväksynnän. Lisäksi tätä lakia sovelletaan hyväksymismenettelyyn.

Viestintäviraston tehtävistä viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnissa sekä yhteisöturvallisuusselvitysten laadinnassa säädetään erikseen.

2 luku

Arviointilaitoksen hyväksyminen ja valvonta

3 §
Arviointilaitoksen hyväksymistä koskeva hakemus

Tietoturvallisuuden arviointilaitos voi hakea Viestintäviraston hyväksyntää toimintaansa varten.

Hakemukseen on liitettävä tiedot, jotka ovat tarpeen asian käsittelyä varten.

4 §
Hakemuksen käsittely

Viestintäviraston on ennen tietoturvallisuuden arviointilaitoksen hyväksymistä varattava suojelupoliisille tilaisuus lausua arviointilaitoksen vastuuhenkilöiden luotettavuudesta ja sen toimitilojen turvallisuudesta. Suojelupoliisi noudattaa lausuntoaan laatiessaan, mitä kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) säädetään.

Viestintävirasto voi hakemusta käsiteltäessä hankkia lausuntoja sekä antaa hakemuksen ja siinä esitettyjen tietojen arvioimiseksi toimeksiannostaan suoritettavia tehtäviä ulkopuolisille asiantuntijoille.

5 §
Arviointilaitoksen hyväksyminen

Tietoturvallisuuden arviointilaitoksen hyväksymisen edellytyksenä on, että:

1) laitos on toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteesta;

2) laitoksen henkilökunnalla on hyvä tekninen ja ammatillinen koulutus sekä riittävän laaja-alainen kokemus toimintaan kuuluvissa tehtävissä;

3) laitoksella on toiminnan edellyttämät laitteet, välineet ja järjestelmät;

4) laitoksen vastuuhenkilöiden luotettavuus on varmistettu ja laitoksella on luotettavaksi arvioitu ja valvottu menetelmä, jonka avulla laitoksen toimitilojen ja tietojenkäsittelyn turvallisuus varmistetaan;

5) laitoksella on asianmukaiset ohjeet toimintaansa ja sen seurantaa varten.

Edellä 1 momentin 1—3 kohdassa tarkoitettujen vaatimusten täyttäminen on osoitettava vaatimuksenmukaisuuden arviointipalvelusta annetussa laissa (920/2005) säädetyn menettelyn avulla.

Viestintävirasto hyväksyy saamiensa ja laatimiensa selvitysten sekä suorittamiensa tarkastusten perusteella vaatimukset täyttävän laitoksen hyväksytyksi tietoturvallisuuden arviointilaitokseksi. Tällainen laitos voi markkinoinnissaan ja muussa viestinnässään käyttää Viestintäviraston hyväksymistä koskevaa ilmaisua edellyttäen, ettei hyväksymisen voimassaoloa koskeva määräaika ole päättynyt tai Viestintävirasto ole päättänyt peruuttaa hyväksynnän.

Arviointilaitos voidaan hyväksyä määräajaksi, jos siihen on erityinen syy. Hyväksymistä koskevaan päätökseen voidaan sisällyttää arviointilaitoksen pätevyysaluetta, valvontaa sekä sellaisia toimintaa koskevia rajoituksia ja ehtoja, jotka ovat tarpeen arviointilaitoksen tehtävien asianmukaisen hoidon varmistamiseksi.

6 §
Arviointilaitoksen hyväksymisen peruuttaminen

Jos hyväksytty tietoturvallisuuden arviointilaitos toimii olennaisesti tai jatkuvasti säännösten vastaisesti taikka jos se ei enää täytä hyväksymiselle asetettuja vaatimuksia, Viestintäviraston on kehotettava arviointilaitosta korjaamaan puute määräajassa. Jos puutetta ei korjata määräajassa, Viestintävirasto voi peruuttaa hyväksymisen.

Viestintävirasto voi päätöksessään määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää.

7 §
Viestintäviraston tarkastusoikeus

Viestintävirastolla ja sen toimeksiannosta toimivalla asiantuntijalla on oikeus tarkastaa hyväksyntää hakeneen tai hyväksytyn tietoturvallisuuden arviointilaitoksen tilat sekä sen käytössä olevat menetelmät. Tarkastusta ei saa suorittaa pysyväisluonteiseen asumiseen käytetyissä tiloissa.

8 §
Arviointilaitoksen tiedonanto- ja ilmoitusvelvollisuus

Hyväksytyn tietoturvallisuuden arviointilaitoksen on ilmoitettava Viestintävirastolle sellaisesta toimintaansa koskevasta muutoksesta, jolla on merkitystä laitosta koskevien velvoitteiden kannalta.

Viestintävirastolla on sen lisäksi, mitä 1 momentissa säädetään, oikeus pyynnöstä saada arviointilaitokselta ne tiedot, jotka ovat tarpeen sen valvomiseksi, että laitos täyttää toimintaansa koskevat vaatimukset.

3 luku

Tietoturvallisuuden arviointi

9 §
Arviointilaitoksen tehtävät

Hyväksytyn tietoturvallisuuden arviointilaitoksen on saamaansa tietoturvallisuuden arviointitehtävää suorittaessaan noudatettava huolellisuutta ja pidettävä huolta siitä, että arvioinnin aikana:

1) tarkastetaan arvioinnin kohteen toimitilat;

2) selvitetään, onko arvioinnin kohteen toiminnassa asianmukaisella tavalla toteutettu 10 §:ssä tarkoitetut tietoturvallisuutta koskevat vaatimukset, jotka on otettu selvityksen perustaksi (tietoturvallisuuden arviointiperusteet).

Hyväksytty tietoturvallisuuden arviointilaitos antaa selvitysten ja tarkastuksen perusteella todistuksen, jos arvioitavan kohteen toimitilat ja toiminta on selvityksen perustana olleiden arviointiperusteiden mukainen. Todistuksessa tulee yksilöidä arvioinnissa käytetyt tietoturvallisuustason arviointiperusteet.

10 §
Tietoturvallisuuden arviointiperusteet

Tietoturvallisuuden arviointiperusteina voidaan tässä laissa tarkoitetussa arvioinnissa käyttää:

1) lailla tai asetuksella säädettyjä viranomaisten toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön tietoturvallisuutta koskevia ohjeita;

2) kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen antamia kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevia ohjeita;

3) Euroopan unionin tai muun kansainvälisen toimielimen antamia tietoturvallisuutta koskevia säännöksiä tai ohjeita;

4) julkaistuja ja yleisesti tai alueellisesti sovellettuja tietototurvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita;

5) vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia.

4 luku

Erinäiset säännökset

11 §
Maksut

Tietoturvallisuuden arviointilaitoksen hyväksymistä koskevan asian käsittelystä Viestintävirastossa perittävästä maksusta säädetään valtion maksuperustelaissa (150/1992) ja sen nojalla.

12 §
Muutoksenhaku

Muutoksenhausta Viestintäviraston tämän lain nojalla tekemään päätökseen säädetään hallintolainkäyttölaissa (586/1996).

13 §
Hyvää hallintoa koskevien säännösten soveltaminen

Hyväksytyn tietoturvallisuuden arviointilaitoksen on tässä laissa tarkoitettuja tehtäviä hoitaessaan noudatettava hallintolakia (434/2003), viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) sekä kielilakia (423/2003).

14 §
Voimaantulo

Tämä laki tulee voimaan päivänä kuuta 20 .

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

---

2.

Eduskunnan päätöksen mukaisesti säädetään:

1 §
Lain soveltamisala

Tässä laissa säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista.

Viestintäviraston tehtävistä yhteisöturvallisuusselvityksiä laadittaessa säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004).

2 §
Määritelmät

Tässä laissa tarkoitetaan:

1) tietojärjestelmällä tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä;

2) tietoliikennejärjestelyllä tiedonsiirtoverkosta, tiedonsiirtolaitteista, ohjelmistoista ja muista tietojenkäsittelystä koostuvista järjestelyistä muodostuvaa järjestelmää;

3) viranomaisella viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentin 1—7 kohdassa tarkoitettuja toimielimiä;

4) valtionhallinnon viranomaisella valtion hallintoviranomaisia ja muita valtion virastoja ja laitoksia sekä tuomioistuimia ja muita lainkäyttöviranomaisia.

3 §
Tietoturvallisuuden arviointipalvelujen käyttäminen

Valtionhallinnon viranomaiset saavat käyttää tietojärjestelmiensä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnissa vain tässä laissa tarkoitettua menettelyä taikka sellaista arviointilaitosta, joka on saanut Viestintäviraston hyväksynnän tietoturvallisuuden arviointilaitoksista annetun lain ( /20 ) mukaan.

4 §
Viestintäviraston tehtävät

Viestintäviraston tehtävänä on viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden edistämiseksi ja varmistamiseksi:

1) arvioida viranomaisen pyynnöstä tämän määräämisvallassa olevan tai hankittavaksi suunnitteleman tietojärjestelmän tai tietoliikennejärjestelyjen tietoturvallisuuden vaatimuksenmukaisuutta;

2) antaa tietojärjestelmälle tai tietoliikennejärjestelylle sen hyväksymistä osoittava todistus 8 §:ssä säädetyllä tavalla;

3) tehdä valtiovarainministeriön pyynnöstä selvityksiä valtionhallinnon viranomaisen määräämisvallassa olevien tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta.

Edellä 1 momentin 1 ja 2 kohdassa tarkoitetun pyynnön voi viranomaisen toimeksiannosta tehdä myös se, joka tekee viranomaisen lukuun hankintoja taikka tuottaa tietojenkäsittely- tai tietoliikennepalveluja taikka hoitaa niiden järjestämiseen liittyviä palvelutehtäviä.

Viestintävirasto suorittaa tässä laissa tarkoitetut tehtävät käytettävissään olevien voimavarojen mukaisesti ottaen huomioon kansainvälisten tietoturvallisuusvelvoitteiden noudattaminen sekä pyydettyjen toimenpiteiden merkitys viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden yleiseen parantamiseen.

5 §
Selvitykset valtiovarainministeriön toimeksiannosta

Valtiovarainministeriö voi pyytää valtionhallinnon tietoturvallisuudesta annettujen säännösten täytäntöönpanon seuraamiseksi sekä niiden kehittämiseksi Viestintävirastoa laatimaan selvityksen valtionhallinnon viranomaisten tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta. Selvityksen piiriin tulevat tietojärjestelmät voidaan määritellä tietojärjestelmien käyttötarkoituksen, niihin talletettavien tietojen laadun tai muun vastaavan yleisen tekijän mukaan.

Viestintävirasto voi salassapitosäännösten estämättä sisällyttää valtiovarainministeriölle antamaansa arvioon sellaisia tietoja, jotka ovat välttämättömiä arvioinnin tarkoituksen toteuttamiseksi.

6 §
Viestintäviraston tiedonsaantioikeus ja oikeus päästä tiloihin ja tietojärjestelmiin

Viestintävirastolla ja sen toimeksiannosta toimivalla asiantuntijalla on oikeus sen estämättä, mitä tietojen salassapidosta säädetään, saada käyttöönsä Viestintäviraston arvioitavana tai selvityksen kohteena olevaa tietojärjestelmää tai tietoliikennejärjestelyjä koskevat tiedot sekä oikeus siinä laajuudessa kuin se on tarpeen arvioinnin suorittamiseksi päästä tietojärjestelmään tai tiloihin, joissa siihen kuuluvia tietoja käsitellään.

Edellä 1 momentissa tarkoitettua tarkastusta ei saa suorittaa pysyväisluonteiseen asumiseen käytetyissä tiloissa.

7 §
Tietoturvallisuuden arviointiperusteet

Viestintävirasto voi käyttää viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arviointiperusteina:

1) lailla tai asetuksella säädettyjä viranomaisten toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön tietoturvallisuutta koskevia ohjeita;

2) kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen antamia kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevia ohjeita;

3) Euroopan unionin tai muun kansainvälisen toimielimen antamia tietoturvallisuutta koskevia säännöksiä ja ohjeita;

4) julkaistuja ja yleisesti tai alueellisesti sovellettuja tietototurvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita;

5) vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia.

Viestintävirasto selvittää, täyttääkö tietojärjestelmä tai tietoliikennejärjestely ne tietoturvallisuutta koskevat vaatimukset, jotka on otettu arviointiperusteeksi. Arviointi voidaan tehdä myös osittaisena.

8 §
Todistuksen antaminen

Viestintävirasto voi pyydettäessä antaa todistuksen tietoturvallisuutta koskevat vaatimukset täyttävästä tietojärjestelmästä tai tietoliikennejärjestelystä. Todistukseen merkitään käytetyt arviointiperusteet sekä tiedot arvioinnin laajuudesta sekä tarvittaessa todistuksen voimassaoloajasta.

Todistus voidaan antaa määräajaksi, jos siihen on erityinen syy.

9 §
Tietoturvallisuuden tason ylläpito ja seuranta

Sen, joka haluaa 8 §:ssä tarkoitetun todistuksen, on annettava sitoumus tietoturvallisuustason säilyttämisestä. Todistuksen saaneen on ilmoitettava Viestintävirastolle sellaisista muutoksista, joilla on vaikutusta tietoturvallisuustasoon, sekä sallittava Viestintävirastolle pääsy tietojärjestelmiin ja tietoliikennejärjestelyihin sen selvittämiseksi, täyttävätkö ne edelleen todistuksen mukaiset vaatimukset.

10 §
Todistuksen peruuttaminen

Viestintävirasto voi peruuttaa tämän lain nojalla annetun todistuksen, jos arvioinnin kohteena ollut tietojärjestelmä tai tietoliikennejärjestely ei enää täytä niitä vaatimuksia, jotka ovat olleet edellytyksenä todistuksen antamiselle.

Viestintäviraston on ennen 1 momentissa tarkoitetun ratkaisun tekemistä kuultava todistuksen saanutta sekä varattava tälle tilaisuus korjata puute.

Viestintävirasto voi 1 momentissa tarkoitetussa päätöksessään määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää.

11 §
Muutoksenhaku

Muutoksenhausta Viestintäviraston tämän lain nojalla tekemään päätökseen säädetään hallintolainkäyttölaissa (586/1996).

12 §
Maksut

Asian vireille saattajalta Viestintäviraston arvioinnista, todistuksen antamisesta ja selvityksestä perittävistä maksuista säädetään valtion maksuperustelaissa (150/1992) ja sen nojalla.

13 §
Voimaantulo

Tämä laki tulee voimaan päivänä kuuta 20 .

Valtionhallinnon viranomaisten on saatettava ulkopuolisten arviointipalvelujen käyttö vastaamaan 3 §:n velvoitteita kolmen vuoden kuluessa lain voimaantulosta.

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

---

3.

Eduskunnan päätöksen mukaisesti

muutetaan viestintähallinnosta annetun lain (625/2001) 2 §:n 1 kohta, sellaisena kuin se on laissa 886/2010, seuraavasti:

2 §
Viestintäviraston tehtävät

Viestintäviraston tehtävänä on:

1) huolehtia viestintämarkkinalaissa (393/2003), radiotaajuuksista ja telelaitteista annetussa laissa (1015/2001), postilaissa (415/2011), televisio- ja radiotoiminnasta annetussa laissa (744/1998), valtion televisio- ja radiorahastosta annetussa laissa (745/1998), sähköisen viestinnän tietosuojalaissa (516/2004), eräiden suojauksen purkujärjestelmien kieltämisestä annetussa laissa (1117/2001), vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa (617/2009), kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004), tietoturvallisuuden arviointilaitoksissa annetussa laissa ( /20 ) viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa ( /20 ) sekä verkkotunnuslaissa (228/2003) sille säädetyistä tehtävistä;

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

---

Helsingissä 5 päivänä lokakuuta 2011

Tasavallan Presidentti
TARJA HALONEN

Oikeusministeri
Anna-Maja Henriksson