FiComin lausunto valmiuslain muuttamisesta

Liikenne- ja viestintävaliokunnalle

Valmistelun kiireellisyys valitettavaa

Valmiuslain muutokset on valmisteltu virkatyönä oikeusministeriössä yhteistyössä muiden ministeriöiden kanssa. Kiireellisen valmisteluaikataulun vuoksi esityksestä ei ole järjestetty lausuntokierrosta. FiCom ry ymmärtää Venäjän hyökkäyssodan aiheuttaman kiireen korjata valmiuslakia vastaamaan paremmin tämän hetken haasteisiin. On silti varsin huolta herättävää, ettei esimerkiksi teleyrityksiä koskevien pykälien osalta toimialaa ehditty kuulemaan valmistelussa lainkaan. Kyse on kuitenkin erittäin merkittävistä tavoista, joilla yritysten toimintaa poikkeusoloissa säännellään.

Hybridivaikuttaminen lisääntynee

Kuten hallituksen esityksessäkin todetaan, Suomessa lähtökohtana on, että erilaisiin häiriötilanteisiin varaudutaan ja niihin vastataan niin pitkälle kuin mahdollista normaaliolojen lainsäädännön keinoin. Hybridivaikuttaminen lisääntynee tulevaisuudessa, ja siihen varautuminen on tarpeen myös lainsäädännön tasolla. Onko mahdollista, että valmiuslain käyttöönoton raja tätä kautta madaltuu?

Sähköisen viestinnän palvelulaki antaa tehokkaat raamit

Suomessa viestintäverkkojen kattavalla turvallisuus- ja varautumissääntelyllä on pitkät perinteet. Sähköisen viestinnän palvelulaissa on omat lukunsa, jotka sisältävät useita pykäliä sekä viestintäverkkojen ja -palveluiden laatuvaatimuksille että varautumiselle. Pelkästään yksi lain pykälä sisältää 16-kohtaisen luettelon siitä, mitä on huomioitava suunniteltaessa, rakennettaessa ja ylläpidettäessä yleisiä viestintäverkkoja ja -palveluita. Säännös kattaa tietoturvavaatimukset verkkojen ja palvelujen koko elinkaaren ajalta, myös suunnittelu- ja rakennusvaiheissa.

Lisäksi Traficom on lain nojalla antanut puolenkymmentä määräystä ja suositusta viestintäverkkojen tietoturvasta. Nämä muodostavat säädöskehikon, joka teleyrityksen on huomioitava verkkoja rakentaessaan. On esimerkiksi huolehdittava siitä että, verkkoliikenteelle on olemassa varareittejä ja laitteille on määräysten mukaisesti varmistettu riittävä tehonsyöttö sähkökatkosten ajaksi.

Sähköisen viestinnän palvelulain uudistuksen yhteydessä säädettiin uusi pykälä, joka koskee viestintäverkon kriittisissä osissa käytettäviä laitteita. Lisäksi annettiin sitä koskeva määräys. Sääntelyä valmisteltiin laajassa yhteistyössä viranomaisten ja teleoperaattorien kanssa. Vaikka sääntely koskee sekä kiinteää että mobiiliverkkoa, sen pääpaino on mobiiliverkoissa, etenkin 5G-verkon kriittisissä osissa. Säännös ja sitä koskeva määräys ovat dynaamisia ja hyvin aikaa kestäviä. Niissä on huomioitu pragmaattisella ja yhteensovitetulla tavalla kansallinen ja verkkojen turvallisuus sekä verkkotekniikka ja toimintaympäristö palveluiden jatkuvuuden kannalta.

Teleyrityksen määritelmä

Valmiuslain osalta moni yritys pohti jo vuonna 2020 COVID-19-pandemiatoimien yhteydessä esimerkiksi teleyrityksen määritelmää. Koska lain teleyrityksiä koskevia pykäliä ei tuolloin aktivoitu, jäi asia syvemmin pohtimatta. Pitääkö teleyrityksen määritelmä sisällään kansainvälisen pilvipalvelun tuottajan, jolla on konesali myös Suomessa? Rajoitukset eivät tältä osin vaikuta pelkästään suomalaisiin asiakkaisiin, vaan myös muissa maissa sijaitseviin toimijoihin, jotka ovat tallentaneet dataansa Suomeen.

Valmiuslain läpikäynti yhdessä on tarpeen

Kansalaisten luottamus viestintäverkkojen ja digipalveluiden tietoturvaan on yritysten liiketoiminnan ydin, ja yritykset huolehtivat tarkkaan palveluidensa tietoturvasta sekä varautuvat erilaisiin häiriötilanteisiin, vikatilanteisiin ja tietoturvaloukkauksiin.

Valmiuslain haasteet eivät FiComin jäsenyritysten mukaan liity tehtäviin muutoksiin. Olisi kuitenkin järkevää ennakointia ja hyvää varautumista, että viranomaiset ja toimialan yritykset kävisivät yhdessä läpi valmiuslain säännökset. Samalla voisi tarkastella erityislainsäädännön, erityisesti sähköisen viestinnän palvelulain, mahdolliset muutostarpeet. On tarpeen huomioida, että esimerkiksi kansallinen roaming tai verkkoliikenteen priorisointi vaativat merkittäviä toimia operaattoreilta.

Edellä mainitun teleyrityksen määritelmän lisäksi on muitakin kohtia, joiden tulkinta yhteneväisellä tavalla olisi hyödyllistä jo normaalitilanteessa, jossa lakia ei sovelleta. Lain eri pykälien käsitteet pitäisi uuden esityksen myötä tarkentaa. Nykyisellään epätarkkoja kohtia ovat esimerkiksi seuraavat:

  • §60 3) velvoite luovuttaa käyttöoikeus
    • mitä käytännössä omaisuuden käyttöoikeuden luovuttaminen voisi tarkoittaa tietojärjestelmien osalta
  • §60 6) velvoitteet liittää viestintäverkko yhteen toisen viestintäverkon kanssa
    • millaisia tilanteita ja viestintäverkkoja tarkoitetaan; tiedusteluviranomaisen rooli
  • §60 7) verkko- tai viestintäpalveluyhteyksien katkaiseminen
    • jätetäänkö huomioimatta Suomen ulkopuolella olevat asiakkaat ja organisaatiot
  • §60 8) järjestelmien ylläpitäminen tietyistä paikoista
    • hyperskaalatun pilven osalta teknisesti haastava vaatimus
  • §62 2) verkko- ja viestintäpalvelujen salaaminen
    • liittyykö kohtaan tiedusteluviranomaisten tarpeet
sääntelyvarautuminenviestintäverkot

Elina Ussa, toimitusjohtaja, FiCom ry