STUKlex

Sisällysluettelo

Tulosta

LiVM 12/2025 vp HE 27/2025 vp
Hallituksen esitys eduskunnalle laeiksi kyberturvallisuuslain ja julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laeiksi kyberturvallisuuslain ja julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta. ( HE 27/2025 vp ): Asia on saapunut liikenne- ja viestintävaliokuntaan mietinnön antamista varten.

Asiantuntijat

Valiokunta on kuullut:

  • hallitussihteeri Veikko Vauhkonen - liikenne- ja viestintäministeriö
  • lainsäädäntöneuvos Eeva Lantto - valtiovarainministeriö
  • NIS-koordinaattori, erityisasiantuntija Kalle Varjola - Liikenne- ja viestintävirasto, Kyberturvallisuuskeskus
  • Vice President, Partner Success Artturi Lehtiö - WithSecure Oyj
  • johtava asiantuntija Markku Rajamäki - Elinkeinoelämän keskusliitto EK ry
  • johtava riskiasiantuntija Pasi Korhonen - Finanssivalvonta
  • toimitusjohtaja Peter Sund - Finnish Information Security Cluster - Kyberala ry edustaen myös Teknologiateollisuus ry:tä
  • erityisasiantuntija Martti Setälä - Suomen Kuntaliitto

Valiokunta on saanut kirjallisen lausunnon:

  • tietosuojavaltuutetun toimisto
  • Yleisradio Oy

Valiokunta on saanut ilmoituksen, ei lausuttavaa:

  • oikeusministeriö
  • FiCom ry

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi kyberturvallisuuslakia ja julkisen hallinnon tiedonhallinnasta annettua lakia.

Esityksellä saatettaisiin kyberturvallisuuslain sekä julkisen hallinnon tiedonhallinnasta annetun lain 4 a luvun soveltamisala koskemaan sellaisia yhteisöjä, jotka määritetään yhteiskunnan toiminnan kannalta kriittisiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ehdotetun lain nojalla. Esityksellä täydennettäisiin kriittisten toimijoiden häiriönsietokykyä koskevan Euroopan parlamentin ja neuvoston direktiivin sekä kyberturvallisuutta koskevan Euroopan parlamentin ja neuvoston direktiivin kansallista täytäntöönpanoa.

Pääministeri Petteri Orpon hallituksen hallitusohjelman mukaan kyberturvallisuutta ja sitä koskevaa yhteistyötä viranomaisten ja elinkeinoelämän välillä vahvistetaan, hallitus parantaa tietoturvaa kriittisillä toimialoilla ja EU-lainsäädännön toimeenpanon yhteydessä vältetään kansallista lisäsääntelyä.

Lait on tarkoitettu tulemaan voimaan samanaikaisesti yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ehdotetun lain kanssa.

VALIOKUNNAN YLEISPERUSTELUT

(1)
Valiokunta pitää esityksen tavoitteita sekä tarpeellisina että tarkoituksenmukaisina ja pitää hyvänä, että niiden kautta vahvistetaan kyberturvallisuutta ja tietoturvaa kriittisillä toimialoilla.

(2)
Suomen Kuntaliitto on kiinnittänyt huomiota siihen, että esityksessä on täsmennetty NIS-toimeenpanolakien soveltamisaloja, jotta CER-toimeenpanolain perusteella määritetyt kriittiset toimijat saadaan sujuvasti mukaan NIS 2 -toimeenpanolakien soveltamisalaan. CER-toimeenpanolain soveltamisala koskee julkisen hallinnon osalta vain keskushallintoa eikä sen perusteella määriteltyihin kriittisiin toimijoihin sisälly kuntia.

(3)
Kyberturvallisuuslain soveltamisalaan voi toisaalta kuulua kunnan yksittäisiä kriittiseen infrastruktuuriin kuuluvia toimintoja, kuten vesilaitos tai lämpölaitos. Sääntelyn soveltamisala kattaa siten yksittäisen toiminnon kunnan sisällä, muttei koko kuntaa. CER-toimeenpanolaissa on vastaava mahdollisuus määrittää kunnan kriittisen infrastruktuurin toiminto kriittiseksi toimijaksi. Suomen Kuntaliitto on kiinnittänyt huomiota siihen, että tällaiselle toimijalle syntyy kustannuksia, mikäli ne määritellään kriittiseksi toimijaksi.

(4)
Valiokunta kiinnittää huomiota Liikenne- ja viestintävirastolle uusista tehtävistä aiheutuviin määrärahatarpeisiin. Valiokunta korostaa aikaisemmin lausumansa mukaisesti riittävien resurssien osoittamisen tärkeyttä kansallisen kokonaisturvallisuuden kannalta keskeisten tehtävien turvaamiseksi. Valiokunta katsoo, että nykyisessä taloustilanteessa viranomaistoimintojen priorisointi on tärkeää. Valiokunta pitää kuitenkin tärkeänä, että viranomaisresurssien riittävyyttä tarkkaillaan kansallisen kokonaisturvallisuuden turvaamiseksi.

VALIOKUNNAN YKSITYISKOHTAISET PERUSTELUT

1. Laki kyberturvallisuuslain muuttamisesta

Voimaantulosäännös.

Asiantuntijakuulemisessa on esitetty huomioita 1. lakiehdotuksen 10—18 §:n ja 41 §:n soveltamista koskevan kuukauden siirtymäajan pidentämiseksi. Valiokunnalle osoitetuissa lausunnoissa perustellaan huomioita sillä, että siirtymäaika on lyhyt erityisesti kriittiseksi määritettävien pien- tai mikroyritysten kannalta sekä merkittävien poikkeamien ilmoittamista koskevien järjestelyiden perustamiseksi. Liikenne- ja viestintäministeriö on katsonut, että lakien säännösten voimaantulo kriittiseksi määritettäviin toimijoihin olisi asianmukainen myös, mikäli siirtymäaikaa pidennettäisiin kolmeen kuukauteen. Valiokunta on pidentänyt kyseistä siirtymäaikaa kolmeen kuukauteen.

2. Laki julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta

Voimaantulosäännös.

Ensimmäisen lakiehdotuksen voimaantulosäännöksen siirtymäaikaa vastaava siirtymäaika sisältyy myös 2. lakiehdotuksen voimaantulosäännökseen. Edellä mainituin perusteluin valiokunta on pidentänyt siirtymäaikaa kolmeen kuukauteen.

Yhdeksän kuukauden siirtymäaikaa koskevan viittauksen osalta voimaantulosäännöksessä viitataan 18 a ja 18 b §:ään, kun viittauksen tulee saadun selvityksen mukaan asiallisesti olla 18 b ja 18 c §:ään. Viittaus 18 b ja 18 c §:ään vastaa 1. lakiehdotusta vastaavaa yhdeksän kuukauden siirtymäaikaa ja 18 a §:n on tarkoitettu jäävän lyhyemmän siirtymäajan varaan. Valiokunta on tehnyt kyseisen korjauksen voimaantulosäännöksen muotoiluihin.

VALIOKUNNAN PÄÄTÖSEHDOTUS

Liikenne- ja viestintävaliokunnan päätösehdotus:

Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 27/2025 vp sisältyvät 1. ja 2. lakiehdotuksen. (Valiokunnan muutosehdotukset)

Valiokunnan muutosehdotukset

1. Laki kyberturvallisuuslain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan kyberturvallisuuslain ( 124/2025 ) 3 §:n 2 momentti, 4 §:n 6 momentti, 27 §:n 2 momentti, 28 §:n 4 momentti ja 45 §:n 2 momentti sekä

lisätään 17 §:ään uusi 6 momentti, 26 §:ään uusi 3 momentti ja 45 §:ään uusi 5 momentti seuraavasti:

3 §

Toimijat

Tätä lakia sovelletaan myös toimijaan, joka koostaan riippumatta on:

1) yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja;

2) luottamuspalvelun tarjoaja;

3) aluetunnusrekisterin ylläpitäjä;

4) DNS-palveluntarjoaja; tai

5) yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain ( / ) nojalla määritetty kriittinen toimija muulla kuin julkishallinnon toimialalla ( kriittinen toimija ).

4 §

Soveltamisalan rajaukset

Tätä lakia sovelletaan kuntalaissa ( 410/2015 ) tarkoitettuun kuntaan vain liitteessä I tai II tarkoitetun toiminnan osalta sekä siltä osin, kun kunta on kriittinen toimija.

17 §

Poikkeamailmoituksen käsittely

Jos 11—13 tai 15 §:ssä tarkoitetun ilmoituksen tai raportin tekee kriittinen toimija, valvovan viranomaisen on toimitettava ilmoituksesta tai raportista tieto viranomaiselle, joka on yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltainen valvomaan kriittistä toimijaa.

26 §

Valvovat viranomaiset

Jos kriittinen toimija ei harjoita liitteessä I tai II tarkoitettua toimintaa, valvova viranomainen määräytyy yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla.

27 §

Valvonnan kohdistaminen

Keskeisellä toimijalla tarkoitetaan:

1) liitteessä I tarkoitettua toimijaa, joka ylittää mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset;

2) hyväksyttyjä luottamuspalvelun tarjoajia, aluetunnusrekisterin ylläpitäjiä sekä DNS-palveluntarjoajia;

3) yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajia, jotka täyttävät tai ylittävät mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset;

4) 3 §:n 3 momentissa tarkoitettua toimijaa; sekä

5) kriittistä toimijaa.

28 §

Tiedonsaantioikeus

Valvovalla viranomaisella on salassapitosäännösten, 2 momentissa säädetyn salassapitovelvollisuuden ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toiselle valvovalle viranomaiselle, CSIRT-yksikölle ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitetulle valvovalle viranomaiselle, jos se on välttämätöntä tässä laissa tai yhteiskunnan kriittisen infrastruktuurin suojaamisesta annetussa laissa viranomaiselle säädettyä tehtävää varten. Tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.

45 §

Viranomaisten yhteistyö

Valvovien viranomaisten, CSIRT-yksikön ja keskitetyn yhteyspisteen on toimittava tarvittaessa yhteistyössä poliisin tai muun esitutkintaviranomaisen, tietosuojavaltuutetun, Finanssivalvonnan ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitetun valvovan viranomaisen kanssa sekä Liikenne- ja viestintäviraston sille ilmailulaissa ( 864/2014 ), sähköisen viestinnän palveluista annetussa laissa ja eIDAS-asetuksessa säädettyjen tehtävien osalta

Valvovien viranomaisten ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitettujen valvovien viranomaisten on vaihdettava keskenään säännöllisesti tietoja kriittisten toimijoiden määrittämisestä sekä riskeistä, kyberuhkista ja poikkeamista ja muista kuin kyberturvallisuuteen liittyvistä riskeistä, uhkista ja poikkeamista, jotka vaikuttavat kriittisiksi toimijoiksi määritettyihin toimijoihin, sekä näiden riskien, uhkien ja poikkeamien hallintatoimenpiteistä. Valvovan viranomaisen on ilmoitettava yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltaiselle valvovalle viranomaiselle, kun kriittiseen toimijaan kohdistetaan tämän lain 4 luvussa säädettyjä toimivaltuuksia. Valvova viranomainen voi kohdistaa kriittiseen toimijaan valvontaa yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltaisen valvovan viranomaisen pyynnöstä.

Tämä laki tulee voimaan päivänä kuuta 20.

Tätä lakia ja tällä lailla muutettavan lain 10—18 ja 41 §:ää sovelletaan kriittiseen toimijaan kolmen kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. Tällä lailla muutettavan lain 7—9 §:ää sovelletaan kriittiseen toimijaan kuitenkin vasta yhdeksän kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi.

2. Laki julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

lisätään julkisen hallinnon tiedonhallinnasta annetun lain ( 906/2019 ) 3 §:ään, sellaisena kuin se on laissa 125/2025 , uusi 7 momentti seuraavasti:

3 §

Lain soveltamisala ja sen rajoitukset

Poiketen siitä, mitä 3 momentissa säädetään, 4 a lukua sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 1 momentin 1 kohdassa tarkoitettuun viranomaiseen, jos se on yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (/) nojalla määritetty kriittinen toimija julkishallinnon toimialalla.

Tämä laki tulee voimaan päivänä kuuta 20.

Tällä lailla muutettavan lain 4 a lukua sovelletaan kriittiseen toimijaan kolmen kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. Kriittisen toimijan on saatettava toimintansa tällä lailla muutettavan lain 18 b ja 18 c §:n mukaiseksi yhdeksän kuukauden kuluessa siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi.

Helsingissä 5.6.2025

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

varapuheenjohtaja Timo Furuholm /vas

jäsen Pekka Aittakumpu /ps

jäsen Marko Asell /sd

jäsen Seppo Eskelinen /sd

jäsen Atte Harjanne /vihr

jäsen Petri Huru /ps

jäsen Aleksi Jäntti /kok

jäsen Marko Kilpi /kok

jäsen Sheikki Laakso /ps

jäsen Mats Löfström /r

jäsen Jani Mäkelä /ps (osittain)

jäsen Pinja Perholehto /sd

varajäsen Teemu Kinnari /kok

varajäsen Johan Kvarnström /sd

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Mika Boedeker