Hallituksen esitys eduskunnalle laeiksi Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta ( HE 192/2017 vp ): Asia on saapunut liikenne- ja viestintävaliokuntaan mietinnön antamista varten. 

Valiokunta on kuullut: 

• ylitarkastaja Maija Rönkä - liikenne- ja viestintäministeriö
• ylitarkastaja Jyrki Pohjolainen - työ- ja elinkeinoministeriö
• erityisasiantuntija Jari Porrasmaa - sosiaali- ja terveysministeriö
• johtaja Jarkko Saarimäki - Viestintävirasto
• ITC-johtaja Heikki Linnanen - Caruna Oy
• lakiasiainjohtaja Seija Virkajärvi - Caruna Oy
• turvallisuusjohtaja Jaakko Wallenius - Elisa Oyj
• Cyber Security Advisor Erka Koivunen - F-Secure Oy
• varapuheenjohtaja Leena Romppainen - Electronic Frontier Finland - Effi ry
• lakiasianjohtaja Marko Vuorinen - Finnet-liitto ry
• apulaisjohtaja Kirsti Tarnanen-Sariola - Suomen Satamaliitto
• lakimies Jussi Mäkinen - Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry

Valiokunta on saanut kirjallisen lausunnon: 

• valtiovarainministeriö
• Liikennevirasto
• Energiavirasto
• Finanssivalvonta
• Helsingin seudun ympäristöpalvelut -kuntayhtymä
• Air Navigation Services Finland Oy (ANS Finland)
• DNA Oy
• Google Finland Oy
• Telia Finland Oyj
• UpCloud Oy
• Älykkään liikenteen verkosto - ITS Finland ry

Esityksessä ehdotetaan tietyille yhteiskunnan toiminnan kannalta keskeisten palveluiden tarjoajille sekä eräiden digitaalisten palveluiden tarjoajille tietoturvallisuuteen liittyvää riskienhallintaa ja häiriöiden raportointia koskevia velvoitteita. Lisäksi säädettäisiin näiden velvoitteiden valvonnasta, viranomaisten välisestä tietojen vaihdosta sekä yleisestä tietoturvallisuuteen liittyvästä viranomaistoiminnasta. Ehdotetulla lainsäädännöllä saatettaisiin osaksi kansallista lainsäädäntöä toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annettu Euroopan parlamentin ja neuvoston direktiivi. 

Esityksellä toteutetaan osaltaan hallitusohjelman tavoitetta digitalisaation edistämisestä ja digitaalisen turvallisuuden varmistamisesta parantamalla yhteiskunnan ja kansalaisten kannalta keskeisten palveluiden tietoturvallisuuden tasoa. Esityksellä kasvatetaan kansalaisten ja yritysten luottamusta digitalisaatioon ja edistetään siten myös digitaalisen liiketoiminnan kasvua ja kilpailukykyä.  

Yhteiskunnan toiminnan kannalta keskeisten palvelujen tietoturvallisuuden parantamiseksi tietoyhteiskuntakaareen, ilmailulakiin, rautatielakiin, alusliikennepalvelulakiin, eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettuun lakiin, liikenteen palveluista annettuun lakiin, sähkömarkkinalakiin, maakaasumarkkinalakiin sekä vesihuoltolakiin lisättäisiin säännökset keskeisten palveluntarjoajien velvollisuudesta huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta sekä ilmoittaa merkittävästä tietoturvallisuuteen liittyvästä häiriöstä valvovalle viranomaiselle ja yleisölle. Tietoyhteiskuntakaaren velvoitteet koskisivat verkossa toimivan markkinapaikan tarjoajaa, hakukonepalvelun tarjoajaa sekä pilvipalvelun tarjoajaa. Ilmailulain velvoitteet koskisivat lennonvarmistuspalvelun tarjoajaa sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjää. Rautatielain velvoitteet koskisivat valtion rataverkon haltijaa sekä liikenteenohjauspalveluita tarjoavaa yhtiötä. Alusliikennepalvelulain velvoitteet koskisivat alusliikennepalvelun tarjoajaa. Eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain velvoitteet koskisivat yhteiskunnan toiminnan kannalta merkittävän sataman pitäjää. Liikenteen palveluista annetun lain velvoitteet koskisivat älykkään liikennejärjestelmän ylläpitäjää. Sähkömarkkinalain velvoitteet koskisivat verkonhaltijaa. Maakaasumarkkinalain velvoitteet koskisivat siirtoverkonhaltijaa ja vesihuoltolain velvoitteet vesihuoltolaitosta, joka toimittaa vettä vähintään tai ottaa vastaan jätevettä 5 000 kuutiometriä vuorokaudessa. 

Toimivalta valvoa riskienhallinta- ja häiriöraportointivelvoitteita olisi sektorikohtaisilla valvontaviranomaisilla. Tämä tarkoittaisi Viestintävirastoa, Liikenteen turvallisuusvirastoa, Energiavirastoa, Finanssivalvontaa, sekä elinkeino-, liikenne- ja ympäristökeskusta. Viranomaisten välisen yhteistyön turvaamiseksi ehdotetaan viranomaisten toimivaltuuksia koskevan lainsäädännön yhteyteen lisättäväksi säännökset valvovien viranomaisten yhteistyöstä sekä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi tarvittavien salassa pidettävien tietojen vaihdosta. 

Lisäksi Viestintävirastolle säädettäisiin velvoite toimia yhteistyössä verkko- ja tietoturvadirektiivin tarkoittamien tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden, valvontaviranomaisten sekä jäsenvaltioiden yhteistyöryhmän kanssa.  

Ehdotetut lait on tarkoitettu tulemaan voimaan 1 päivänä toukokuuta 2018.  

Valiokunta pitää esityksen ja esityksellä toimeenpantavan verkko- ja tietoturvadirektiivin (EU) 2016/1148 tavoitetta edistää tietoturvallisuutta ja sitä kautta yhteiskunnan kokonaisturvallisuutta kannatettavana. Yhteiskunnan toiminnan kannalta keskeiset palvelut ovat yhä enemmän riippuvaisia viestintäverkkojen ja tietojärjestelmien toimivuudesta. Näihin palveluihin kohdistuvilla tietoturvaongelmilla ja häiriöillä voi olla pahimmillaan laajoja vaikutuksia yhteiskunnan eri sektoreille. Asettamalla tietyille liikenteen, energianjakelun, vesihuollon, terveydenhuollon ja digitaalisten palveluiden tarjoajille tietoturvallisuuteen liittyvää riskienhallintaa sekä palvelujen häiriöistä ilmoittamista koskevia velvoitteita voidaan edistää yhteiskunnan kokonaisturvallisuutta ja pyrkiä lisäämään digitaalisia palveluja ja toimintatapoja kohtaan tunnettavaa luottamusta. Tavoitteena tulee olla, että tietoturvasta huolehtiminen ja mahdollisista häiriöistä ilmoittaminen on osa näiden palveluntarjoajien normaalia toimintaa.  

Asiantuntijakuulemisessa on osin kritisoitu velvoitteiden kohteena olevien digitaalisten palvelujen tarjoajien määrittelyn epätäsmällisyyttä esityksessä. Saadun selvityksen mukaan kyse on kuitenkin toimeenpantavassa direktiivissä määritellyistä käsitteistä, joita ei ole tarkoituksenmukaista tai osin edes mahdollista määritellä kansallisella lailla. Lain toimeenpanossa ja direktiivin tulkinnassa on keskeistä varmistaa, etteivät velvoitteet heikennä uusien palvelujen kehittämismahdollisuuksia tai kotimaisten toimijoiden kilpailun edellytyksiä. Sääntelyn voimaantulosta ja vaatimuksista on myös tärkeää tiedottaa erityisesti digitaalisten palvelujen tarjoajille. 

Asian käsittelyn yhteydessä on myös tuotu esille näkemyksiä, joiden mukaan vastaavia tietoturvaa koskevia velvoitteita voisi olla tarkoituksenmukaista kohdentaa myös joihinkin muihin yhteiskunnan toiminnan kannalta keskeisiin toimijoihin. Esimerkkinä on tuotu esille muun muassa älykkäästä liikenteen ohjauksesta vastaavat palveluntarjoajat. Valiokunta pitää tärkeänä, että sääntelyn vaikutuksia arvioidaan jatkossa kattavasti ja samalla arvioidaan, tulisiko velvoitteita joiltain osin laajentaa myös uusiin toimijoihin tai sektoreihin direktiivin soveltamisalan ulkopuolelta. Valiokunta toteaa, että tietoturvallisuuden toteutumisella on jatkossa yhä suurempi merkitys myös liikenteen turvallisuuden kannalta ajoneuvojen ja liikennettä koskevien palvelujen kytkeytyessä jatkossa yhä enemmän viestintäverkkoihin. Valiokunnan saaman selvityksen mukaan tieliikenteen ohjaus- ja hallintapalvelun osalta tätä arviointia on jo käynnistetty. 

Valiokunta pitää Viestintäviraston kyberturvallisuuskeskuksen toimintaa yhteiskunnan kokonaisturvallisuuden kannalta erittäin keskeisenä. Valiokunta katsoo, että ehdotus vahvistaa keskuksen mahdollisuuksia edistää tietoturvallisuuden toteutumista ja huolehtia osaltaan yhteiskunnan keskeisten toimintojen jatkuvuudesta. Jatkossa tulee huolehtia, että Viestintävirastolle varmistetaan myös riittävät resurssit näiden kaikkia yhteiskunnan sektoreita hyödyttävien tehtävien hoitamiseen ja kehittämiseen.  

1. Lakiehdotus

Lain nimike.

Valiokunta on muuttanut mietinnössään LiVM 21/2017 vp — HE 82/2017 vp tietoyhteiskuntakaaren nimikkeen muotoon laki sähköisen viestinnän palveluista. Kyseinen nimikkeen muutos tulee voimaan 1.6.2018. Nyt käsittelyssä olevan esityksen lain vielä voimassa olevan nimikkeen mukainen muutosehdotus tulee liikenne- ja viestintäministeriön antaman selvityksen mukaan kuitenkin voimaan ennen mainittua nimikkeen muutosta. Valiokunta painottaa, että nyt käsittelyssä oleva lakiehdotus on syytä saattaa sekä nimikkeen muutoksesta että direktiivissä asetetuista velvoitteista johtuen voimaan viimeistään toukokuun 2018 aikana.  

10. Lakiehdotus

15 b §. Vesihuollon häiriötilanteista ilmoittaminen.

Valiokunta on muuttanut pykälän 1 momenttia säännöksen yhtenäistämiseksi muiden esityksessä olevien saman sisältöisten säännösten kanssa. Muutoksen myötä myös vesihuollon häiriöstä tiedottamista koskevan velvoitteen tai säännöksessä tarkoitetun valvontaviranomaisen toteuttaman tiedottamisen edellytyksenä on, että häiriöstä ilmoittaminen on yleisen edun mukaista. 

12. Lakiehdotus

6 §. Tietojen antaminen.

Liikenne- ja viestintäministeriö on esittänyt, että sosiaali- ja terveysalan lupa- ja valvontaviranomaisen (VALVIRA) oikeudesta luovuttaa salassa pidettävää tietoa Viestintävirastolle olisi tarpeen säätää vastaavasti kuin muidenkin valvontaviranomaisten osalta. Saamansa selvityksen perusteella valiokunta on lisännyt uuden 12. lakiehdotuksen, jossa sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain ( 669/2008 ) 6 §:ään lisätään uusi 4 momentti. Uuden momentin mukaan sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus luovuttaa salassapitosäännösten estämättä tietoja Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. Valiokunta toteaa, että viranomaisia koskevat salassapitovelvoitteet ja virkavastuulla toimiminen varmistavat, ettei viranomaisten välisestä tietojen vaihdosta aiheudu tietosuojaa koskevia ongelmia. Uuden momentin lisäämisen myötä pykälän 4 momentti siirtyy 5 momentiksi. 

Liikenne- ja viestintävaliokunnan päätösehdotus:

Eduskunta hyväksyy muuttamattomana hallituksen esitykseen HE 192/2017 vp sisältyvät 1.—9. ja 11. lakiehdotuksen. 

Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 192/2017 vp sisältyvän 10. lakiehdotuksen. (Valiokunnan muutosehdotukset) 

Eduskunta hyväksyy uuden 12. lakiehdotuksen. (Valiokunnan uusi lakiehdotus) 

1. 

Laki 

tietoyhteiskuntakaaren muuttamisesta 

Eduskunnan päätöksen mukaisesti  

muutetaan tietoyhteiskuntakaaren (917/2014) 275 §, 304 §:n 1 momentin 7 ja 10 kohta sekä 313 §:n 2 momentin 2 kohta sekä  

lisätään lakiin uusi 247 a §, 308 §:ään, sellaisena kuin se on osaksi laissa 456/2016, uusi 3 momentti sekä 318 §:ään, sellaisena kuin se on osaksi laissa 456/2016, uusi 2 momentti, jolloin nykyinen 2—4 momentti siirtyvät 3—5 momentiksi, seuraavasti: 

247 a § 

Verkossa toimivan markkinapaikan, hakukonepalvelun ja pilvipalvelun tarjoajan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta 

Verkossa toimivan markkinapaikan, hakukonepalvelun ja pilvipalvelun tarjoajan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. Riskienhallinnassa on huomioitava:  

1) järjestelmien ja tilojen turvallisuus; 

2) tietoturvauhkien ja häiriöiden käsittely; 

3) liiketoiminnan jatkuvuuden hallinta; 

4) seuranta, tarkastukset ja testaukset; 

5) kansainvälisten standardien noudattaminen. 

Edellä 1 momentissa tarkoitettu riskienhallintavelvoite ei koske toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148, jäljempänä verkko- ja tietoturvadirektiivi, 16 artiklan 11 kohdassa tarkoitettuja mikroyrityksiä tai pieniä yrityksiä. 

275 §  

Häiriöilmoitukset Viestintävirastolle 

Teleyrityksen on ilmoitettava viipymättä Viestintävirastolle, jos sen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää viestintäpalvelun toimivuuden tai häiritsee sitä olennaisesti. Teleyrityksen on ilmoitettava myös ilman aiheetonta viivästystä häiriön tai sen uhan arvioitu kesto ja vaikutukset, korjaustoimenpiteet sekä ne toimenpiteet, joilla häiriön toistuminen pyritään estämään. Viestintävirasto toimittaa komissiolle ja Euroopan unionin verkko- ja tietoturvavirastolle vuosittain tiivistelmäraportin ilmoituksista. 

Edellä 247 a §:ssä tarkoitetun verkossa toimivan markkinapaikan tarjoajan, hakukonepalvelun tarjoajan sekä pilvipalvelun tarjoajan on ilmoitettava viipymättä Viestintävirastolle sen palveluun kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä.  

Jos häiriöistä ilmoittaminen on yleisen edun mukaista, Viestintävirasto voi velvoittaa teleyrityksen tai palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  

Viestintävirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä 1 ja 2 momentissa tarkoitettujen ilmoitusten sisällöstä, muodosta ja toimittamisesta. 

Viestintäviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille.  

304 § 

Viestintäviraston erityiset tehtävät 

Sen lisäksi, mitä muualla tässä laissa säädetään, Viestintäviraston tehtävänä on: 

7) kerätä tietoa verkkopalveluihin, viestintäpalveluihin, lisäarvopalveluihin sekä tietojärjestelmiin kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekä viestintäverkkojen ja viestintäpalvelujen vika- ja häiriötilanteista; 

10) selvittää verkkopalveluihin, viestintäpalveluihin, lisäarvopalveluihin sekä tietojärjestelmiin kohdistuvia tietoturvaloukkauksia ja niiden uhkia; 

308 §  

Yhteistyö eri viranomaisten kanssa 

Viestintäviraston on toimittava yhteistyössä muiden Euroopan unionin jäsenvaltioiden verkko- ja tietoturvallisuutta valvovien viranomaisten, tietoturvaloukkauksiin reagoivien yksiköiden sekä verkko- ja tietoturvadirektiivin 11 artiklassa tarkoitetun yhteistyöryhmän kanssa. Viestintävirasto toimittaa yhteistyöryhmälle vuosittain verkko- ja tietoturvadirektiivin 10 artiklan 3 kohdan mukaisen tiivistelmäraportin. 

313 § 

Valvonta-asioiden käsittely Viestintävirastossa 

Viestintävirasto voi asettaa tässä laissa säädetyt valvontatehtävänsä tärkeysjärjestykseen. Viestintävirasto voi jättää asian tutkimatta, jos: 

2) asialla on epäillystä virheestä tai laiminlyönnistä huolimatta viestintämarkkinoiden toimivuuden, viestintäpalvelujen luotettavuuden tai sähköisen viestinnän häiriöttömyyden turvaamisen ja palveluja käyttävien edun taikka 247 a §:ssä tarkoitettujen palveluiden riskinhallinnan kannalta vain vähäinen merkitys; tai 

318 §  

Tietojen luovuttaminen viranomaisesta 

Viestintävirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Liikenteen turvallisuusvirastolle, Energiavirastolle, Finanssivalvonnalle, Sosiaali- ja terveysalan lupa- ja valvontavirastolle sekä elinkeino-, liikenne- ja ympäristökeskukselle, jos se on näille säädettyjen tietoturvallisuuteen liittyvien tehtävien hoitamiseksi välttämätöntä. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

2. 

Laki  

ilmailulain muuttamisesta 

Eduskunnan päätöksen mukaisesti  

lisätään ilmailulakiin (864/2014) uusi 128 a ja 128 b § seuraavasti: 

11 luku 

Ilmailuonnettomuudet, ilmailun etsintä- ja pelastuspalvelu, vaaratilanteet ja poikkeamat 

128 a §  

Velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta  

Lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 

Liikenteen turvallisuusviraston on arvioitava 1 momentissa tarkoitetun riskienhallinnan vaikutuksia ilmailun turvallisuuteen. Lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän on annettava Liikenteen turvallisuusvirastolle arvioinnin kannalta tarpeelliset tiedot. Virasto voi velvoittaa lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän ryhtymään korjaaviin toimenpiteisiin ilmailun turvallisuuteen kohdistuvan merkittävän riskin poistamiseksi. 

Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa 2 momentissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 

Valtioneuvoston asetuksella säädetään, milloin lentoasemaa on pidettävä yhteiskunnan toiminnan kannalta merkittävänä.  

128 b §  

Tietoturvapoikkeamista ilmoittaminen 

Lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä poikkeamasta. 

Jos poikkeamasta ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  

Liikenteen turvallisuusviraston on arvioitava koskeeko 1 momentissa tarkoitettu poikkeama muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 

Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu poikkeama on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

3. 

Laki 

rautatielain muuttamisesta 

Eduskunnan päätöksen mukaisesti  

lisätään rautatielakiin (304/2011) uusi 41 a § seuraavasti: 

6 luku 

Turvallisuus 

41 a § 

Velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen  

Valtion rataverkon haltijan sekä liikenteenohjauspalvelun tarjoajan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 

Valtion rataverkon haltijan sekä liikenteenohjauspalvelun tarjoajan on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. 

Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  

Liikenteen turvallisuusviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 

Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä pykälässä säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 

Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 2 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

4. 

Laki 

alusliikennepalvelulain muuttamisesta 

Eduskunnan päätöksen mukaisesti  

lisätään alusliikennepalvelulain (623/2005) 16 §:ään uusi 5 momentti, lakiin uusi 18 a § sekä 28 §:ään, sellaisena kuin se on osaksi laissa (1307/2009), uusi 4 momentti seuraavasti: 

16 § 

Alusliikennepalvelun ylläpito 

VTS-viranomaisen on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.  

18 a §  

Tietoturvaan liittyvistä häiriöistä ilmoittaminen 

VTS-viranomaisen on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä.  

Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  

Liikenteen turvallisuusviraston on arvioitava, koskeeko 1 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 

Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 

Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä pykälässä säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 

28 § 

Valvonta 

Liikenteen turvallisuusviraston on arvioitava 16 §:n 5 momentissa tarkoitetun riskienhallinnan vaikutuksia merenkulun turvallisuuteen. Liikenteen turvallisuusvirasto voi velvoittaa ryhtymään korjaaviin toimenpiteisiin merenkulun turvallisuuteen kohdistuvan merkittävän riskin poistamiseksi. Velvoitteen tehosteeksi voidaan asettaa uhkasakko. Uhkasakosta säädetään uhkasakkolaissa (1113/1190). 

Tämä laki tulee voimaan päivänä kuuta 20 . 

5. 

Laki 

eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti  

lisätään eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettuun lakiin (485/2004) uusi 7 e ja 7 f § seuraavasti: 

2 a luku 

Satamien turvatoimet 

7 e § 

Satamanpitäjän velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta  

Yhteiskunnan toiminnan kannalta merkittävän satamanpitäjä on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 

Liikenteen turvallisuusviraston on arvioitava 1 momentissa tarkoitetun riskienhallinnan vaikutuksia merenkulun turvallisuuteen. Virasto voi velvoittaa 1 momentissa tarkoitetun satamanpitäjän ryhtymään korjaaviin toimenpiteisiin merenkulun turvallisuuteen kohdistuvan merkittävän riskin poistamiseksi. Velvoitteen tehosteeksi voidaan asettaa uhkasakko. Uhkasakosta säädetään uhkasakkolaissa (1113/1190). 

Liikenteen turvallisuusvirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa 2 momentissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 

Valtioneuvoston asetuksella säädetään, milloin 1 momentissa tarkoitettua satamaa on pidettävä yhteiskunnan toiminnan kannalta merkittävänä. 

7 f § 

Tietoturvallisuuteen liittyvistä häiriöistä ilmoittaminen 

Yhteiskunnan toiminnan kannalta merkittävän satamanpitäjän on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. 

Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  

Liikenteen turvallisuusviraston on arvioitava, koskeeko 1 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 

Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

6. 

Laki 

liikenteen palveluista annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti  

lisätään liikenteen palveluista annetun lain (320/2017) III osan 2 lukuun uusi 7 § seuraavasti: 

7 § 

Älykkään liikennejärjestelmän ylläpitäjän velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen  

Älykkään liikennejärjestelmän ylläpitäjän on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta. 

Älykkään liikennejärjestelmän ylläpitäjän on ilmoitettava viipymättä Liikenteen turvallisuusvirastolle sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. 

Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Liikenteen turvallisuusvirasto voi velvoittaa palvelun tarjoajan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  

Liikenteen turvallisuusviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille asiaan liittyville jäsenvaltioille. 

Liikenteen turvallisuusvirastolla on salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä pykälässä säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 

Liikenteen turvallisuusvirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

7. 

Laki 

sähkömarkkinalain muuttamisesta 

Eduskunnan päätöksen mukaisesti  

muutetaan sähkömarkkinalain (588/2013) 62 §:n 1 momentti, sellaisena kuin se on laissa 590/2017, sekä 

lisätään lakiin uusi 29 a § seuraavasti: 

29 a § 

Verkonhaltijan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen  

Verkonhaltijan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.  

Verkonhaltijan on ilmoitettava viipymättä Energiavirastolle sellaisesta sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena sähkönjakelu voi keskeytyä jakeluverkossa merkittävässä laajuudessa.  

Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Energiavirasto voi velvoittaa palvelun tarjoajan tiedottamaan yleisölle asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  

Energiaviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille jäsenvaltioille. 

Energiavirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 

62 § 

Suljettua jakeluverkkoa koskevat erityissäännökset 

Suljettuun jakeluverkkoon ja suljetun jakeluverkonhaltijaan ei sovelleta 23 eikä 26 a §:ää, 27 §:n 3 momenttia, 28, 29, 29 a, 50—53, 53 a, 54—57, 57 a, 58 eikä 59 §:ää. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

8. 

Laki 

maakaasumarkkinalain muuttamisesta 

Eduskunnan päätöksen mukaisesti  

lisätään maakaasumarkkinalakiin (587/2017) uusi 34 a § seuraavasti: 

34 a § 

Siirtoverkonhaltijan velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja tietoturvallisuuteen liittyvästä häiriöstä ilmoittaminen 

Siirtoverkonhaltijan on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta.  

Siirtoverkonhaltijan on ilmoitettava viipymättä Energiavirastolle sellaisesta sen käyttämiin viestintäverkkoihin tai tietojärjestelmiin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena maakaasun siirto voi keskeytyä siirtoverkossa merkittävässä laajuudessa.  

Jos häiriöstä ilmoittaminen on yleisen edun mukaista, Energiavirasto voi velvoittaa siirtoverkonhaltijan tiedottamaan asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.  

Energiaviraston on arvioitava, koskeeko 2 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille jäsenvaltioille. 

Energiavirasto voi antaa tarkempia määräyksiä siitä, milloin 1 momentissa tarkoitettu häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

9. 

Laki 

sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain 27 ja 28 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  

muutetaan sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain (590/2013) 27 § sekä 28 §:n otsikko, 1 momentin johdantokappale ja 1 kohta sekä 2 ja 3 momentti seuraavasti: 

27 § 

Viranomaisten valvontayhteistyö 

Energiavirastolla on oikeus toimivaltaansa kuuluvissa asioissa tehdä valvontayhteistyötä Finanssivalvonnan, Kilpailu- ja kuluttajaviraston, Viestintäviraston, kuluttaja-asiamiehen, energia-alan sääntelyviranomaisten yhteistyöviraston, toisen ETA-valtion sääntelyviranomaisen ja Euroopan komission kanssa sekä antaa pyynnöstä virka-apua näiden suorittaessa sähkö- tai maakaasualan yritykseen liittyvää valvonta- tai tarkastustehtävää. 

28 § 

Energiaviraston oikeus luovuttaa tietoja toiselle viranomaiselle 

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään, Energiavirastolla on oikeus luovuttaa salassapitosäännösten estämättä tietoja: 

1) Finanssivalvonnalle, Kilpailu- ja kuluttajavirastolle ja kuluttaja-asiamiehelle niiden tehtävien hoitamista varten sekä Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi; 

Energiavirastolla on oikeus luovuttaa vain sellaisia tietoja, jotka ovat tarpeen asianomaisen viranomaisen tehtävien suorittamiseksi, ja jos tietoja luovutetaan ulkomaan viranomaiselle tai kansainväliselle toimielimelle, edellyttäen, että niitä koskee kyseisten tietojen osalta vastaava salassapitovelvollisuus kuin Energiavirastoa. 

Energiavirasto ei saa luovuttaa toisen valtion viranomaiselta tai kansainväliseltä toimielimeltä saatuja salassa pidettäviä tietoja edelleen, ellei tiedon antanut viranomainen ole antanut siihen nimenomaista suostumusta. Näitä tietoja voidaan käyttää ainoastaan tämän lain mukaisten tehtävien hoitamiseen tai niihin tarkoituksiin, joita varten suostumus on annettu. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

10. 

Laki 

vesihuoltolain muuttamisesta 

Eduskunnan päätöksen mukaisesti  

muutetaan vesihuoltolain (119/2001) 35 §:n 2 momentti ja 

lisätään lakiin uusi 15 b § seuraavasti: 

15 b § 

Vesihuollon häiriötilanteista ilmoittaminen 

Vesihuoltolaitoksen, joka toimittaa vettä tai ottaa vastaan jätevettä vähintään 5 000 kuutiometriä vuorokaudessa, on ilmoitettava viipymättä elinkeino-, liikenne- ja ympäristökeskukselle merkittävästä häiriöstä vesihuollossa. Jos häiriöstä ilmoittaminen on yleisen edun mukaista, elinkeino-, liikenne- ja ympäristökeskus voi velvoittaa vesihuoltolaitoksen tiedottamaan asiasta tai vesihuoltolaitosta kuultuaan tiedottaa asiasta itse. 

Mitä 1 momentissa säädetään vesihuoltolaitoksesta, koskee myös laitosta, joka toimittaa vettä vesihuoltolaitokselle tai ottaa vastaan jätevettä vesihuoltolaitokselta. 

Elinkeino-, liikenne- ja ympäristökeskus toimittaa 1 momentissa tarkoitetun ilmoituksen tiedoksi maa- ja metsätalousministeriölle. Elinkeino-, liikenne- ja ympäristökeskuksen on lisäksi arvioitava, koskeeko 1 momentissa tarkoitettu häiriö muita Euroopan unionin jäsenvaltiota, ja ilmoitettava häiriöstä tarvittaessa jäsenvaltion asianomaiselle viranomaiselle.  

Maa- ja metsätalousministeriö voi antaa asetuksella tarkempia säännöksiä siitä, milloin 1 momentissa tarkoitettua vesihuollon häiriötä on pidettävä merkittävänä, sekä momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta. 

35 § 

Salassapitovelvollisuus 

Viranomaisten toiminnan julkisuudesta annetussa laissa säädetyn salassapitovelvollisuuden estämättä saa tämän lain mukaisia tehtäviä suoritettaessa saatuja tietoja yksityisen tai yhteisön taloudellisesta asemasta, liike- tai ammattisalaisuudesta taikka yksityisen henkilökohtaisista oloista luovuttaa: 

1) valvontaviranomaiselle tämän lain mukaisten tehtävien suorittamista varten; 

2) rikoksen selvittämiseksi syyttäjä- ja poliisiviranomaiselle; 

3) Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

11. 

Laki 

Finanssivalvonnasta annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti  

lisätään finanssivalvonnasta annettuun lakiin (878/2008) uusi 50 n ja 52 a § seuraavasti: 

50 n § 

Toiminta verkko- ja tietoturvadirektiivissä tarkoitettuna toimivaltaisena viranomaisena 

Finanssivalvonta toimii yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148, jäljempänä verkko- ja tietoturvadirektiivi, 8 artiklan 1 kohdassa tarkoitettuna toimivaltaisena viranomaisena direktiivin liitteen II toimialojen 3 ja 4 osalta. 

52 a § 

Yhteistyö ja tietojenvaihto verkko- ja tietoturvadirektiivin mukaisten tehtävien hoitamisessa 

Finanssivalvonnan on tehtävä yhteistyötä verkko- ja tietoturvadirektiivin mukaisten tehtävien hoitamisessa Viestintäviraston ja muiden tarpeellisten viranomaisten kanssa. Finanssivalvonnalla on tätä tarkoitusta varten oikeus salassapitosäännösten estämättä vaihtaa tietoja Viestintäviraston ja muiden tarpeellisten viranomaisten kanssa. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

12. 

Laki 

Sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain 6 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 

muutetaan sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain (669/2008) 6 § sellaisena kuin se on osaksi laeissa 1068/2009, 1569/2009 ja 818/2015 seuraavasti:  

6 § 

Tietojen antaminen 

Valtion ja kunnan viranomainen sekä muu julkisoikeudellinen yhteisö, Kansaneläkelaitos, Eläketurvakeskus, potilasvahinkolautakunta, eläkesäätiö ja muu eläkelaitos, vakuutuslaitos, huoltotoimintaa tai sairaanhoitotoimintaa harjoittava yhteisö tai laitos, yksityisten sosiaalipalvelujen tuottaja sekä apteekki ovat velvollisia pyynnöstä antamaan maksutta virastolle 2 §:ssä tarkoitettujen tehtävien suorittamiseksi välttämättömät tiedot ja selvitykset sen estämättä, mitä salassapitovelvollisuudesta säädetään.  

Edellä 1 momentissa tarkoitetulla viranomaisella, yhteisöllä ja laitoksella sekä apteekilla on salassapitosäännösten estämättä oikeus ilman viraston pyyntöäkin ilmoittaa sille seikasta, joka voi vaarantaa asiakas- tai potilasturvallisuutta, elinympäristön tai väestön terveellisyyttä tai turvallisuutta taikka joka voi vaikuttaa valvottavan toiminnanharjoittajan luotettavuusarviointiin. 

Virastolla ja aluehallintovirastoilla on salassapitosäännösten estämättä oikeus luovuttaa toisilleen 2 §:ssä tarkoitettujen tehtävien suorittamisessa tarvittavat tiedot ja selvitykset.  

Virastolla on oikeus luovuttaa salassapitosäännösten estämättä tietoja Viestintävirastolle, jos se on välttämätöntä tietoturvallisuuteen liittyvien tehtävien hoitamiseksi. (Uusi) 

Edellä 3 momentissa tarkoitetut tiedot ja selvitykset voidaan luovuttaa myös teknisen käyttöyhteyden avulla. Ennen teknisen käyttöyhteyden avaamista on varmistuttava tietojen asianmukaisesta suojaamisesta.  

Tämä laki tulee voimaan päivänä kuuta 20 . 

Helsingissä 22.3.2018 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja Ari Jalonen /sin

varapuheenjohtaja Mirja Vehkaperä /kesk

jäsen Mikko Alatalo /kesk

jäsen Jyrki Kasvi /vihr

jäsen Jukka Kopra /kok

jäsen Mia Laiho /kok

jäsen Mats Löfström /r

jäsen Eeva-Maria Maijala /kesk

jäsen Jani Mäkelä /ps

jäsen Markku Pakkanen /kesk

jäsen Jari Ronkainen /ps

jäsen Satu Taavitsainen /sd

jäsen Katja Taimela /sd

jäsen Ari Torniainen /kesk

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Juha Perttula