Viranomaisten tietojenvaihtoa ja toimivaltuuksia kehitetään lähivuosina

Erilaisiin kyber- ja tietoturvallisuutta vaarantaviin tilanteisiin pyritään varautumaan yhä paremmin. Lukuisten vireillä olevien hankkeiden tarkoitus on kehittää viranomaisten toimintaedellytyksiä ja keskinäistä tiedonvaihtoa erityisesti vakavissa kyberturvallisuutta vaarantavissa tilanteissa ja niitä koskevissa uhkissa. Tällaisia hankkeita ovat muun muassa valmiuslain kokonaisuudistus, ns. kyber-PTR-esitys sekä valtioneuvoston julkaisema selvityshanke viranomaisten toimintaedellytyksistä kyberturvallisuudessa

Valmiuslain kokonaisuudistusta varten on asetettu sekä työryhmä että parlamentaarinen seurantaryhmä, jonka tehtävänä on arvioida, tukea ja seurata lain uudistamistyötä. Hallituksen esitys on tarkoitus antaa eduskunnalle viimeistään syysistuntokaudella 2025. Kokonaisuudistuksen tavoitteena on saattaa valmiuslaki vastaamaan nykyaikaista käsitystä yhteiskunnan kokonaisturvallisuudesta ja sitä uhkaavista tekijöistä sekä erilaisten vaikutuksiltaan vakavien uhka- ja häiriötilanteiden tunnistamisesta. Samalla tarkastellaan viranomaisten toimivaltuuksien asianmukaisuutta ja riittävyyttä.

Sisäministeriö ja puolustusministeriö puolestaan asettivat helmikuussa 2022 selvityshankkeen viranomaisten toimintaedellytysten arvioimiseksi muun muassa kansallisen kyberturvallisuuden varmistamisessa, kyberrikollisuuden torjunnassa ja kyberpuolustuksessa. Selvityksen mukaan viranomaisilla ei nykytilassa ole riittäviä toimintaedellytyksiä tehokkaasti varautua ja torjua vakavimpia, kansallista kyberturvallisuutta ja maanpuolustusta vaarantavia kyberuhkia. Raportti sisältää työryhmän ehdotukset seitsemältä keskeiseltä osa-alueelta: kyberturvallisuuden strateginen tavoitetila, yhteistoiminta ja viranomaisprosessit, tilannekuva, tiedonvaihto, vaikuttaminen ja vastatoimet, tiedonhankinta ja viranomaisverkkojen suojaus.

Kyber-PTR:ää koskeneessa hallituksen esityksessä ehdotettiin, että viranomaisten tiedonvaihto-oikeuksia laajennetaan vakavissa tietoturvaloukkaustilanteissa tai uhkissa. Lain oli tarkoitus tulla voimaan 1.2.2023, mutta sen käsittely raukesi eduskuntavaalien aiheuttaman ajan puutteen vuoksi. Esitys on kuitenkin tarkoitus antaa hieman muokattuna uudelleen eduskunnalle.

Hankkeet ovat kannatettavia ja tärkeitä, määritelmät ja soveltamisalat tarvitsevat täsmentämistä

On yhteinen etu, että mahdollisen kriisin keskellä tai niiden uhatessa kaikki tietävät, miten asiat hoidetaan. Tästäkin syystä hankkeet ja niiden jatkotyöt ovat erittäin tarpeellisia ja kannatettavia.

Kun hankkeita työstetään, olisi kuitenkin hyvä selventää eräitä määritelmiä ja käsitteitä, jotka ovat tärkeitä muun muassa sääntelyn soveltamisen ja selkeyden vuoksi. Esimerkiksi valmiuslain velvoitteet koskevat teleyrityksiä, mutta ei ole täysin selvää, mitkä kaikki tahot ovat lain soveltamisalan piirissä. Pitääkö teleyrityksen määritelmä sisällään esimerkiksi kansainvälisen pilvipalvelun tuottajan, jolla on konesali myös Suomessa? Rajoitukset eivät tältä osin vaikuta pelkästään suomalaisiin asiakkaisiin, vaan myös muissa maissa sijaitseviin toimijoihin, jotka ovat tallentaneet dataansa Suomeen.

Epäselvää on myös se, mitä omaisuuden käyttöoikeuden luovuttaminen viranomaiselle voisi käytännössä tietojärjestelmien osalta tarkoittaa tai mikä on verkko- tai viestintäpalveluyhteyksien katkaisemisen merkitys Suomen ulkopuolella oleville asiakkaille ja organisaatioille.

Yritykset vastaavat kyberturvallisuudesta – niitä ei saa unohtaa valmistelussa

Hankkeiden jatkovalmisteluissa tulee ottaa huomioon julkisen ja yksityisen sektorin välinen yhteistyö. Valtaosa yhteiskunnan kriittisitä toiminnoista – verkot, palvelut, järjestelmät ja ohjelmistot – ovat pääasiassa yksityisten yritysten omistamia ja hallinnoimia ja myös viranomaisten käyttämiä.

Suomessa viranomaisten ja yritysmaailman yhteistyö ja luottamuksellinen suhde on keskeistä, sillä maamme kyberturvallisuuden takaavat yritykset. Siksi ne tulee ottaa mukaan hankkeiden jatkotyöhön mahdollisimman varhaisessa vaiheessa.

Yrityksille on asetettu laajoja velvollisuuksia antaa tietoja viranomaisille. Jatkossa viranomaiset voisivat myös helpommin luovuttaa tietoja toisilleen tai ulkomaisille kollegoilleen. Olisi yhteiskunnan etu, että vastavuoroisuuden nimissä myös viranomaiset kertoisivat yrityksille, mitä niiden tietoja on luovutettu ja kenelle. Jos tietoja annetaan ulkomaisille viranomaisille, luovutuksen edellytysten on oltava samat kuin kotimaassa.

Yrityksiä kiinnostaa myös viranomaisille luovuttamiensa tietojen turvallisuus ja niistä mahdolliset aiheutuvat uhat. Onko esimerkiksi kaikki kansallista kriittistä verkkoinfraa koskeva data kerättävä ja keskitettävä yhteen valtiolliseen tietojärjestelmään, tai tuleeko vesistöissä olevien tietoliikennekaapeleiden olla internetissä vapaasti kaikkien saatavilla?

Sääntelyn jatkuva lisääntyminen ei saa johtaa regulaatiosotkuun

Jos tietojen luovutusvelvollisuuksia säädetään lisää, lisääntyy myös sääntelyn epäselvyys sekä yritysten hallinnollinen taakka. Pelkästään sähköisen viestinnän palvelulaissa on useita velvollisuuksia, jotka koskevat tietojen luovutusta eri viranomaisille. Lisäksi laissa on runsaasti tietojen käsittelyä eri viranomaisissa koskevia säännöksiä.

Luovutus- ja käsittelysäännösten edellytykset poikkeavat toisistaan useissa kohdin, sillä säännöksiä on lisätty ja muutettu vuosien saatossa, eikä kokonaisuus ole enää selkeä. Hankkeiden jatkovalmistelujen yhteydessä tulisi tehdä kokonaisarviointi käsittely- ja luovutusedellytyksistä.