Viimeksi julkaistu 13.3.2025 13.54

Valiokunnan lausunto TaVL 5/2025 vp HE 205/2024 vp Talousvaliokunta Hallituksen esitys eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi

Hallintovaliokunnalle

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi (HE 205/2024 vp): Asia on saapunut talousvaliokuntaan lausunnon antamista varten. Lausunto on annettava hallintovaliokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

  • hallitusneuvos Johanna Hakala 
    sisäministeriö
  • valtioneuvoston tilannekeskuksen päällikkö Sampo Kemppainen 
    valtioneuvoston kanslia
  • johtava asiantuntija Timo Nyyssönen 
    työ- ja elinkeinoministeriö
  • erityisasiantuntija Unto Usvasalo 
    työ- ja elinkeinoministeriö
  • toimistopäällikkö Jussi Terho 
    Finanssivalvonta
  • NIS-koordinaattori, erityisasiantuntija Kalle Varjola 
    Liikenne- ja viestintävirasto, Kyberturvallisuuskeskus
  • johtava asiantuntija Tarvo Siukola 
    Energiavirasto
  • johtava asiantuntija Katri Liekkilä 
    Huoltovarmuuskeskus
  • yksikönjohtaja Heli Tammivuori 
    Huoltovarmuuskeskus
  • johtava asiantuntija Markku Rajamäki 
    Elinkeinoelämän keskusliitto EK ry
  • valmiuspäällikkö Antti Nyqvist 
    Teknologiateollisuus ry

Valiokunta on saanut kirjallisen lausunnon: 

  • oikeusministeriö
  • liikenne- ja viestintäministeriö
  • Euroopan hybridiuhkien torjunnan osaamiskeskus
  • Turvallisuus- ja kemikaalivirasto (Tukes)
  • Fingrid Oyj
  • Finanssiala ry

Valiokunta on saanut ilmoituksen, ei lausuttavaa: 

  • Suomen Yrittäjät ry

VALIOKUNNAN PERUSTELUT

Ehdotuksen tausta ja tavoitteet

Ehdotetun sääntelyn tarkoituksena on panna täytäntöön kriittisten toimijoiden häiriönsietokykyä koskeva CER-direktiivi (Critical Entities Resilience Directive), jonka tavoitteena on parantaa kriittisten toimijoiden häiriönsietokykyä sisämarkkinoilla. Direktiivissä ja sen nojalla annettavassa kansallisessa sääntelyssä EU:n jäsenmaiden kriittisille toimijoille asetetaan yhdenmukaiset vähimmäisvelvoitteet niiden häiriönsietokyvyn parantamiseksi sekä säädetään jäsenvaltioiden velvollisuudesta tukea kriittisiä toimijoita näiden velvoitteiden täyttämisessä. 

Direktiivi perustuu komission turvallisuusstrategiaan, jossa pyritään huomioimaan kokonaisvaltaisesti sekä fyysiseen että digitaaliseen infrastruktuuriin liittyvät nykyiset ja tulevaisuuden riskit sekä keskinäisriippuvuudet. CER-direktiivi on osa laajempaa lainsäädäntökokonaisuutta, johon kuuluvat myös EU:n kyberturvallisuusdirektiivi (NIS2-direktiivi) sekä direktiivi ja asetus finanssialan digitaalisesta häiriönsietokyvystä (DORA-sääntely). Direktiivi tuli voimaan 16.1.2023, ja sen soveltaminen alkoi 18.10.2024. 

Lisäksi hallituksen esityksessä ehdotetaan muutettavaksi eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettua lakia (485/2004). Lakiin ehdotetaan lisättäväksi säännökset, joiden mukaan ulkomaanliikenteen satamien satamanpitäjillä olisi velvollisuus varmistaa henkilöturvallisuusselvityksellä tiettyjen työntekijäryhmien nuhteettomuus ja luotettavuus. 

Keskeisten ehdotusten arviointia

Yleistä

CER-direktiivi koskee 11 sektoria, jotka ovat energia, liikenne, pankkiala, rahoitusmarkkinoiden infrastruktuuri, terveys, juomavesi, jätevesihuolto, digitaalinen infrastruktuuri, julkishallinto, avaruus sekä elintarvikkeiden tuotanto, jalostus ja jakelu. Direktiivin mukaiset säännökset ja velvoitteet häiriönsietokyvyn parantamiseksi koskevat näillä sektoreilla toimivia yrityksiä ja organisaatioita, joiden palvelut ovat välttämättömiä yhteiskunnan toiminnalle. Kunkin jäsenvaltion tulee tunnistaa näillä sektoreilla toimivat kriittiset toimijat omalla alueellaan.  

Talousvaliokunta pitää CER-direktiivin mukaista sääntelyä tärkeänä jäsenmaiden varautumisen sekä häiriön- ja kriisinsietokyvyn vahvistamisen näkökulmasta. CER-direktiivin edellyttämillä toimilla on kiinteä yhteys valtioneuvoston periaatepäätökseen perustuvaan yhteiskunnan turvallisuusstrategian mukaiseen kokonaisturvallisuuden toimintamalliin, jonka keskeinen osa on huoltovarmuus. Huoltovarmuuden tavoitteista annetussa valtioneuvoston päätöksessä määritellään huoltovarmuuden ja häiriönsietokyvyn kannalta kriittiset sektorit. Ne vastaavat pitkälti CER-direktiivin soveltamisalaan kuuluvia sektoreita. Valiokunta toteaa, että CER-sääntelyn edellyttämä kansallinen toiminta tulee järjestää niin, että se muodostaa EU:n kyberturvallisuussääntelyn (NIS2), finanssialan digitaalista häiriönsietokykyä koskevan EU-sääntelyn (DORA), valmisteilla olevan uuden huoltovarmuuslainsäädännön sekä sektorikohtaisen sääntelyn kanssa toimivan ja johdonmukaisen kokonaisuuden.  

Ehdotuksen suhde huoltovarmuussääntelyyn ja huoltovarmuusorganisaation toimintaan

Talousvaliokunta huomauttaa, että hallituksen esityksestä eivät käy ilmi ehdotuksen vaikutukset valmisteltavana olevaan huoltovarmuussääntelyyn tai huoltovarmuusorganisaation toimintaan. Hallituksen esityksen yleisperusteluissa todetaan, että huoltovarmuusorganisaation ja Huoltovarmuuskeskuksen tehtävät CER-sääntelyn tarkoittamina toimijoina täsmennetään huoltovarmuuslainsäädännön uudistamisen yhteydessä. 

Valtioneuvoston 12.2.2025 päivätyn lainsäädäntösuunnitelman mukaan hallituksen esitys uudeksi huoltovarmuuslainsäädäntöä koskevaksi lainsäädännöksi annetaan eduskunnalle syyskuussa 2025. Valiokunta toteaa, että CER-direktiivin täytäntöönpanoa koskevalla sääntelyllä ja valmisteilla olevalla huoltovarmuuslainsäädännöllä on pääosin sama tavoite, joten CER-direktiivin täytäntöönpanoa koskevat linjaukset vaikuttavat väistämättä myös tulevan huoltovarmuussääntelyn sisältöön. Valiokunta pitää säännöskokonaisuuden hahmottamisen ja sen vaikutusten ymmärtämisen näkökulmasta valitettavana, että uudelle huoltovarmuuslainsäädännölle asetettuja keskeisiä tavoitteita ja niiden vaikutuksia nyt käsiteltävänä olevaan ehdotukseen ei ole hallituksen esityksessä juuri lainkaan avattu.  

Valiokunta viittaa 23.2.2023 päivättyyn huoltovarmuusselonteosta antamaansa mietintöön (TaVM 51/2022 vpVNS 8/2022 vp), jonka mukaan CER-direktiivin soveltamisessa tulee määrittää huoltovarmuusorganisaation ja Huoltovarmuuskeskuksen roolit. Talousvaliokunnan näkemyksen mukaan CER-direktiivin täytäntöönpanossa tulee hyödyntää tehokkaasti Suomen hyvin toimivaa ja myös kansainvälistä tunnustusta nauttivaa huoltovarmuusjärjestelmää, joka perustuu kriittisten toimialojen keskinäisriippuvuuksien ja synergioiden osaavaan hyödyntämiseen sekä julkisen, yksityisen ja kolmannen sektorin toimijoiden tiiviiseen yhteistyöhön. Valiokunta pitää myös tärkeänä, että ehdotettu sääntely ei vaikeuta hyvin toimivan huoltovarmuusorganisaation markkinaehtoisuuteen ja vapaaehtoisuuteen perustuvaa toimintaa tai sen kehittämismahdollisuuksia.  

Keskitetty yhteyspiste

CER-direktiivin 9 artiklan 2 kohdan mukaan kunkin jäsenvaltion on nimettävä tai perustettava yksi keskitetty yhteyspiste, jotta rajat ylittävä yhteistyö muiden jäsenvaltioiden keskitettyjen yhteyspisteiden kanssa voidaan järjestää. Talousvaliokunta kiinnittää huomiota siihen, että esityksessä ei nimetä yhtä keskitettyä yhteyspistettä, vaan direktiivin mukaisia yhteyspisteen tehtäviä ehdotetaan jaettavaksi usealle taholle, kuten valtioneuvoston tilannekeskukselle, sisäministeriölle ja Huoltovarmuuskeskukselle.  

Talousvaliokunta pitää valittua ratkaisua ongelmallisena direktiivin huolellisen täytäntöönpanon näkökulmasta ja pyytää, että hallintovaliokunta arvioisi mietinnössään, vastaako ehdotettu sääntely tältä osin direktiivin täytäntöönpanolle asetettuja vaatimuksia. Valiokunta on todennut huoltovarmuusselonteosta antamassaan mietinnössä, että Huoltovarmuuskeskus alan huoltovarmuuskysymysten käytännön järjestäjänä olisi luonteva taho CER-direktiivin mukaiseksi kansalliseksi yhteyspisteeksi. 

Toimivaltaiset viranomaiset

CER-direktiivin 9 artiklan 1 kohdan mukaan jäsenvaltioiden on nimettävä tai perustettava yksi tai useampi toimivaltainen viranomainen, joka vastaa direktiivin asianmukaisesta soveltamisesta kansallisella tasolla. Hallituksen esityksessä ehdotetaan, että toimivaltaisten viranomaisten valvontatehtävät ja muut tehtävät hajautetaan sektoriviranomaisille. Talousvaliokunta pitää valittua ratkaisua perusteltuna, koska sektoriviranomaiset tuntevat parhaiten oman toimialansa erityispiirteet.  

Valiokunta huomauttaa, että avaruussektorin osalta toimivaltainen viranomainen on jäänyt kokonaan nimeämättä, ja katsoo, että avaruussektorin toimivaltainen viranomainen tulee nimetä vastaavalla tavalla kuin muilla kriittisillä sektoreilla.  

Talousvaliokunnan saamissa asiantuntijalausunnoissa kiinnitetään huomiota siihen, että eri viranomaisille kuuluvat tehtävät ja vastuut jäävät ehdotuksessa joiltain osin täsmentämättä, eikä toimivaltaisia viranomaisia koskeva terminologia kaikin osin vastaa direktiivissä käytettyä terminologiaa. Muutamassa asiantuntijalausunnossa tuodaan myös esiin, että toimivaltaisille viranomaisille ei esitetä lisäresursseja uusiin tehtäviin. Valiokunta korostaa, että kunkin viranomaisen tehtävien sekä viranomaisten välisen toimivallanjaon tulisi käydä selkeästi ilmi ehdotetusta laista sekä toimivaltaisia viranomaisia koskevasta sektorikohtaisesta sääntelystä. Esimerkiksi Energiavirastosta annetun lain 1 §:ään tulisi lisätä ehdotuksen mukaiset Energiaviraston uudet tehtävät. Näin voidaan varmistaa sääntelyn tehokas toimeenpano sekä välttää päällekkäisyydet, joista voi aiheutua epäselvyyttä sääntelyn soveltamisessa. Talousvaliokunta pyytää hallintovaliokuntaa harkitsemaan 1. lakiesityksen säännösten täsmentämistä tältä osin.  

Valiokunta viittaa vielä asiantuntijalausuntoihin, joiden mukaan 1. lakiesityksen 16 §:n mukaiset poikkeamailmoitusten käsittelyyn liittyvät tiedonsaantioikeuksia ja tietojenvaihtoa koskevat säännökset ovat tarpeettoman monimutkaiset. Ehdotuksen mukaan kriittisen toimijan on toimitettava poikkeamailmoitus usealle eri viranomaiselle, ja lisäksi poikkeamaa koskeva ensi-ilmoitus tulee toimittaa eri viranomaisille kuin myöhemmin tarvittaessa toimitettava yksityiskohtainen raportti. Talousvaliokunta katsoo, että poikkeamista ilmoittamisen ja niistä raportoinnin tulisi olla mahdollisimman selkeää ja yksinkertaista sekä kriittisten toimijoiden että toimivaltaisten viranomaisten näkökulmasta. 

Kriittisten toimijoiden rooli ehdotetun sääntelyn toimeenpanossa

Talousvaliokunta korostaa kriittisten toimijoiden ja erityisesti yritysten keskeistä roolia varautumisessa sekä häiriö- ja kriisitilanteisiin vastaamisessa. Ne tuottavat suurimman osan kriittisistä palveluista, ja myös merkittävä osa kriittisestä infrastruktuurista on yksityisten yritysten omistuksessa tai hallinnassa. Yritysten varautumisen ja kriisinhallinnan lähtökohtana ovat liiketaloudelliset perusteet. CER-direktiivin kriittisille toimijoille asettamat velvoitteet tulisi pyrkiä kansallisessa lainsäädännössä toteuttamaan huolella mutta niin, että ne eivät kohtuuttomasti häiritse markkinoiden toimintaa tai vaaranna tasapuolisia kilpailunedellytyksiä. 

Talousvaliokunta toteaa, että jäsenmaiden velvollisuus antaa tukea kriittisille toimijoille niiden häiriönsietokyvyn parantamiseksi on yksi CER-direktiivin mukaisista keskeisistä tehtäväkokonaisuuksista ja edellytys sille, että direktiivin tavoitteet voivat käytännössä toteutua. Valiokunta pitää myös tärkeänä, että tietojenvaihto viranomaisten ja kriittisten toimijoiden välillä on kaksisuuntaista niin, että myös kriittisillä toimijoilla on käytettävissään kattavat ja ajantasaiset tiedot esimerkiksi turvallisuusviranomaisten tilannekuvasta, uhka-arvioista, tapahtuma- sekä riskianalyyseistä sekä tiedot suunnitelluista tai toteutettavista viranomaistoimista. 

Muuta

Talousvaliokunta pyytää hallintovaliokuntaa harkitsemaan seuraavia täsmennyksiä 1. lakiesitykseen:  

CER-direktiivin soveltaminen digitaalisen infrastruktuurin toimialalla.

CER-direktiivin 8 artiklan mukaan direktiiviä sovelletaan digitaalisen infrastruktuurin toimialalla vain rajoitetusti, koska digitaalisen infrastruktuurin toimijoihin sovelletaan vastaavia NIS2-direktiivin mukaisia velvoitteita. Tämä periaate on asiamukaisesti huomioitu hallituksen esityksessä. Valiokunta kuitenkin kiinnittää asiantuntijalausuntojen tavoin huomiota siihen, että 1. lakiesityksen 2 §:n 3 momentin mukaiset digitaalisen infrastruktuurin toimialaa koskevat soveltamisalarajaukset eivät kaikin osin vastaa CER-direktiivin mukaisia soveltamisalarajoituksia. Valiokunta esittää, että digitaalisen infrastruktuurin toimialalla toimivien kriittisten toimijoiden osalta 1. lakiesityksen 2 §:n 3 momenttiin lisätään viittaukset 7 §:n 4 momenttiin ja 13 §:n 3 momenttiin. Lisäksi valiokunta esittää 2 §:n 3 momenttia täsmennettäväksi niin, että soveltamisalan rajaus koskisi vain 7 §:n 3 momentin 3 —5 kohtaa, eikä 3 momenttia kokonaisuudessaan. 

Poikkeamia koskeva ilmoitusvelvollisuus.

CER-direktiivin suomenkielinen versio poikkeaa muista kieliversioista 15 artiklan 1 kohdan osalta. Muiden kieliversioiden mukaan kriittisten toimijoiden on ilmoitettava poikkeamista, jotka merkittävästi häiritsevät tai voivat merkittävästi häiritä keskeisten palvelujen tarjoamista. Suomenkielisestä versiosta ja 1. lakiehdotuksesta on jäänyt pois edellytys poikkeaman merkittävyydestä. Valiokunta esittää, että 1. lakiesityksen 16 §:n 1 momenttia muutetaan niin, että kriittisten toimijoiden on ilmoitettava poikkeamista, jotka merkittävästi häiritsevät tai voivat merkittävästi häiritä keskeisten palvelujen tarjoamista.  

Ulkomaanliikenteen satamien turvallisuusselvitykset

Hallituksen esitykseen sisältyy myös esitys eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain muuttamisesta. Lakiin ehdotetaan lisättäväksi turvallisuusselvityksiä koskeva uusi 7 g §, jonka mukaan velvollisuus hakea turvallisuusselvitystä olisi aina ulkomaanliikenteen sataman satamanpitäjällä. Talousvaliokunta suhtautuu ehdotukseen kriittisesti ja toteaa, että se poikkeaa olennaisesti turvallisuusselvityslain mukaisesta menettelystä, jota noudatetaan kaikissa muissa tilanteissa. Turvallisuusselvityslain mukaan selvityksen hakee se taho, jonka intressiä suojataan eli turvallisuusselvityksen kohteena olevan henkilön työnantaja.  

Kokoavia huomioita

Talousvaliokunta pitää tärkeänä, että nyt käsiteltävänä oleva ehdotus, NIS2- direktiiviin ja DORA-direktiiviin perustuva kansallinen sääntely, valmisteilla oleva huoltovarmuuslainsäädännön kokonaisuudistus sekä kriittisiä toimijoita koskeva sektorikohtainen sääntely muodostavat yhdessä toimivan ja johdonmukaisen kokonaisuuden. Uusi sääntely ei myöskään saa vaikeuttaa hyvin toimivan ja kustannustehokkaan huoltovarmuusorganisaation toimintaa tai kehittämismahdollisuuksia. Tämä on olennaista myös siitä syystä, että unionin tason yhteinen varautuminen kriiseihin ei korvaa tai rajoita jäsenvaltioiden vastuuta kansallisesta varautumisestaan. CER-sääntelyn täytäntöönpanolla ei saa rajoittaa kansallisia varautumistoimia.  

Talousvaliokunta kiinnittää huomiota siihen, että CER-direktiivin sääntelystä poiketen ehdotuksessa ei nimetä yhtä keskitettyä yhteyspistettä, vaan direktiivin edellyttämiä yhteyspisteen tehtäviä ehdotetaan jaettavaksi usealle taholle. Lisäksi joitain direktiivin mukaisia yhteyspisteen tehtäviä ei ole osoitettu millekään toimijalle. Talousvaliokunta pitää tätä ongelmallisena direktiivin huolellisen täytäntöönpanon näkökulmasta. 

Valiokunta pitää perusteltuna ehdotusta toimivaltaisten viranomaisten tehtävien hajauttamisesta sektoriviranomaisille, koska sektoriviranomaiset tuntevat parhaiten kunkin toimialan erityispiirteet. Eri viranomaisten tehtävien sekä viranomaisten välisen toimivallanjaon tulee olla laissa selkeästi määritelty, jotta voidaan välttää päällekkäisyydet sääntelyn soveltamisessa.  

Ehdotetun sääntelyn toimivuus käytännössä edellyttää, että kriittisiksi toimijoiksi valikoidut yritykset ovat tiiviisti mukana kriiseihin ja häiriötilanteisiin varautumisessa ja toiminnan suunnittelussa. Valiokunta korostaa kriittisille toimijoille annettavan tuen sekä viranomaisten ja yritysten välisen vuoropuhelun keskeistä merkitystä. Näin kyetään myös parhaiten löytämään oikea tasapaino häiriönsieto- ja kilpailukykyä vahvistavien toimien välillä sekä huomioimaan näiden toimien vaikutukset talouskasvuun ja yritysten innovaatiotoimintaan.  

VALIOKUNNAN PÄÄTÖSESITYS

Talousvaliokunta esittää,

että hallintovaliokunta ottaa edellä olevan huomioon
Helsingissä 13.3.2025 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Sakari Puisto ps 
 varapuheenjohtaja 
Ville Kaunisto kok 
 jäsen 
Kaisa Garedew ps 
 jäsen 
Lotta Hamari sd 
 jäsen 
Miapetra Kumpula-Natri sd 
 jäsen 
Timo Mehtälä kesk 
 jäsen 
Mikko Ollikainen 
 jäsen 
Oras Tynkkynen vihr 
 jäsen 
Juha Viitala sd 
 jäsen 
Sinuhe Wallinheimo kok 
 jäsen 
Johannes Yrttiaho vas 
 varajäsen 
Aleksi Jäntti kok 
 varajäsen 
Juha Mäenpää ps 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Johanna Rihto-Kekkonen