Lausuntopalvelu.fi

Utlåtande - Förslag till lagar om ändring av lagar som har samband med genomförandet av Europeiska unionens direktiv om nät- och informationssäkerhet

Förslag till lagar om ändring av lagar som har samband med genomförandet av Europeiska unionens direktiv om nät- och informationssäkerhet

Diarienummer för begäran om utlåtande: LVM/1616/03/2016

Svarstiden gick ut: 31.10.2017

Uppgifter om begäran om utlåtande
Språket i begäran om utlåtande:
Inledning

Ett viktigt mål i regeringsprogrammet för statsminister Juha Sipiläs regering är att främja digitaliseringen. För digitala tjänster och nya affärsmodeller ska det enligt regeringsprogrammet byggas en gynnsam miljö. Som en del av byggandet av denna digitala tillväxtmiljö för affärsverksamheten främjas ibruktagandet av ny teknik, digitalisering och nya affärskoncept genom lagstiftningsåtgärder samt säkerställs informationssäkerheten och de möjligheter som ökar dess konkurrensfördelar. Enligt regeringens handlingsplan är regeringens mål dessutom att förbättra den kapacitet som den inre säkerheten kräver också inom området för digital säkerhet.

 

I enlighet med målen i regeringsprogrammet har kommunikationsministeriet berett ett utkast till regeringens proposition med förslag till lagar om ändring av lagar som har samband med genomförandet av Europeiska unionens direktiv om nät- och informationssäkerhet. Regeringspropositionen bidrar till att genomföra målen i regeringsprogrammet om att främja digitaliseringen och säkerställa den digitala säkerheten genom en förbättrad nivå på informationssäkerheten för de tjänster som är viktiga för samhället och medborgarna. Genom propositionen ökas medborgarnas och företagens förtroende för digitalisering och främjas därmed också tillväxten av och konkurrensen för den digitala affärsverksamheten.

Bakgrund
Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (direktivet om nät- och informationssäkerhet) trädde i kraft i augusti 2016. Enligt direktivet ska medlemsstaterna
  • identifiera myndighetsverksamhet som har samband med informationssäkerheten,
  • fastställa på vissa branscher som anges i direktivet (energi, transport, banksektorn, infrastrukturen på finansmarknaden, hälso- och sjukvårdssektorn, leverans och distribution av dricksvatten samt digital infrastruktur) leverantörer av tjänster som är viktiga med tanke på ett fungerande samhälle samt
  • fastställa skyldighet för leverantörer av samhällsviktiga tjänster och de leverantörer av digitala tjänster som fastställs i direktivet (molntjänster, en internetbaserad marknadsplats och en internetbaserad sökmotor) att sörja för hanteringen av säkerhetrisker i nätverks- och informationssystem och att rapportera allvarliga avvikelser till tillsynsmyndigheterna.
 
I Finland är det kommunikationsministeriet som svarar för det nationella genomförandet av direktivet. Den förvaltningsövergripande arbetsgrupp som ministeriet tillsatte i oktober 2016 som stöd för genomförandet av direktivet offentliggjorde den 20 april 2017 sitt förslag till riktlinjer för genomförande av direktivet.
Målsättningar

Ett viktigt mål i regeringsprogrammet för statsminister Juha Sipiläs regering är att främja digitaliseringen. Enligt regeringsprogrammet är det ett av Finlands mål att ta ett produktivitetssprång inom den offentliga servicen och den privata sektorn genom att utnyttja digitaliseringens möjligheter. För digitala tjänster och nya affärsmodeller ska det enligt regeringsprogrammet byggas en gynnsam miljö. Som en del av byggandet av denna digitala tillväxtmiljö för affärsverksamheten främjas ibruktagandet av ny teknik, digitalisering och nya affärskoncept genom lagstiftningsåtgärder samt säkerställs informationssäkerheten och möjligheter som ökar dess konkurrensfördelar. 
Enligt regeringens handlingsplan är regeringens mål att förbättra den kapacitet som den inre säkerheten kräver också inom området för digital säkerhet, eftersom det i ett digitalt samhälle förutsätts att även säkerhetens digitala dimension är på en hög nivå.

Regeringspropositionen bidrar till att genomföra målen i regeringsprogrammet att främja digitaliseringen och säkerställa den digitala säkerheten genom en förbättring av informationssäkerhetsnivån för de tjänster som är viktiga för samhället och medborgarna. Genom propositionen ökas medborgarnas och företagens förtroende för digitalisering och främjas därmed också tillväxten av och konkurrensen för den digitala affärsverksamheten. 

För vissa aktörer som tillhandahåller samhällsviktiga tjänster samt vissa leverantörer av digitala tjänster föreslås i propositionen vissa skyldigheter i anknytning till hanteringen av informationssäkerhetsrisker och rapporteringen av informationssäkerhetsincidenter. Dessutom införs bestämmelser om tillsyn av dessa skyldigheter, informationsutbyte mellan myndigheter samt på allmän nivå om myndigheternas verksamhet i anknytning till informationssäkerhet.

För en förbättring av informationssäkerheten för samhällsviktiga tjänster införs i informationssamhällsbalken (917/2014), luftfartslagen (864/2014), järnvägslagen (304/2011), lagen om fartygstrafikservice (623/2005), lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004), lagen om transportservice (320/2017), elmarknadslagen (588/2013), naturgasmarknadslagen (xx) och lagen om vattentjänster (119/2001) bestämmelser om skyldighet för viktiga tillhandahållare av tjänster i fråga om hantering av riskerna i fråga om kommunikationsnät och informationssystem samt rapportering av störningar, som är betydande med tanke på informationssäkerheten, till en myndighet som utövar tillsyn och till allmänheten. Skyldigheterna enligt informationssamhällsbalken gäller aktörer som tillhandahåller internetbaserade marknadsplatser, aktörer som tillhandahåller sökmotortjänster och aktörer som tillhandahåller molntjänster. Skyldigheterna enligt luftfartslagen gäller leverantörer av flygtrafiktjänster samt samhällsviktiga flygplatsoperatörer. Skyldigheterna enligt järnvägslagen gäller förvaltaren av statens bannät samt bolag som tillhandahåller trafikledningstjänster. Skyldigheterna enligt lagen om fartygstrafikservice gäller den som tillhandahåller fartygstrafikservice. Skyldigheten enligt lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet gäller samhällsviktiga hamninnehavare. Skyldigheten enligt elmarknadslagen gäller nätinnehavare. Skyldigheterna enligt naturgasmarknadslagen gäller överföringsnätsinnehavare och skyldigheterna enligt lagen om vattentjänster vattentjänstverk som levererar minst 5 000 kubikmeter vatten per dygn.

För att trygga den övergripande styrningen och tillsynen av skyldigheterna i anknytning till säkerheten i verksamheten inom olika branscher samt för att undvika överlappande tillsynsåtgärder och administrativ börda har de sektorsvisa tillsynsmyndigheterna behörighet att utöva tillsyn över genomförandet av skyldigheterna i fråga om riskhantering och rapportering om incidenter. Dessa är Kommunikationsverket, Trafiksäkerhetsverket, Energimyndigheten, Finansinspektionen samt Tillstånds- och tillsynsverket för social- och hälsovården.  För tryggande av samarbetet mellan myndigheterna föreslås att det i samband med myndigheternas bestämmelser om behörighet införs bestämmelser om tillsynsmyndigheternas samarbete samt om utbytet av betydande sekretessbelagd information i anknytning till skötseln av uppgifter inom informationssäkerheten.

Dessutom införs bestämmelser om Kommunikationsverkets skyldighet att samarbeta med de enheter för hantering av it-säkerhetsincidenter, tillsynsmyndigheter och den samarbetsgrupp som avses i direktivet om nät- och informationssäkerhet.

Genom den föreslagna lagstiftningen genomförs Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen som en del av den nationella lagstiftningen.
 

Bilagor:

Luonnos_hallituksen_esitys.docx - Hallituksen esitys eduskunnalle laeiksi Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta (luonnos)

Utkast_regeringens_proposition.docx - Regeringens proposition till riksdagen med förslag till lagar om ändring av lagar som har samband med genomförandet av direktivet om nät- och informationssäkerhet (utkast)

Tidtabell

Vi ber er lämna ett yttrande om de föreslagna lagarna till kommunikationsministeriet senast den 20 oktober 2017.

Svarsanvisningar för mottagare
Kommunikationsministeriet ber er ge ett yttrande om utkastet till regeringens proposition till riksdagen med förslag till lagar om ändring av lagar som har samband med genomförandet av Europeiska unionens direktiv om nät- och informationssäkerhet. Vi ber er lämna ert yttrande genom att svara på den begäran om yttrande som har publicerats på webbplatsen www.lausuntopalvelu.fi/SV. Yttrandet behöver inte sändas separat per e-post eller post.
 
För att underlätta behandlingen av svaren ber kommunikationsministeriet att yttrandet så långt som möjligt delas in enligt de mellanrubriker som finns i denna begäran om yttrande.
 
Kommunikationsministeriet ber ministerierna utvärdera förslagen och motiveringarna till dem med fokus enligt följande:
  • finansministeriet: banksektorn och finansmarknadens infrastruktur
  • social- och hälsovårdsministeriet: hälso- och sjukvårdssektorn samt leverans och distribution av dricksvatten
  • arbets- och näringsministeriet: energisektorn
  • jord- och skogsbruksministeriet: leverans och distribution av dricksvatten
Kommunikationsministeriet ber ministerierna bedöma särskilt följande helheter:
  • definitionen av tjänster som är viktiga för att upprätthålla samhällelig verksamhet (dvs. samhällsviktiga tjänster)
  • skyldigheter för verksamhetsutövare att hantera risker som avser informationssäkerheten
  • effektiva och tillräckliga behörigheter åt tillsynsmyndigheten
Beredare

Ytterligare information om beredningen ges av Timo Kievari, enhetsdirektör, 0295 342 620, [email protected] och Maija Rönkä, överinspektör, 0295 342 039, [email protected].

Sändlista:
Aalto yliopisto    
Air Navigation Services Finland Oy    
Aktia Pankki Oyj    
Caruna Oy    
CGI Suomi Oy    
Cinia    
Danske Bank Oyj    
DNA Oyj    
Elenia Oy    
Elinkeinoelämän keskusliitto EK    
Elisa Oyj    
ELY, Etelä-Pohjanmaa    
Energiateollisuus ry    
Energiavirasto    
Euroclear Finland Oy    
Finanssiala ry    
Finanssivalvonta    
Finavia Oyj    
Fingrid Oyj    
Finnair Oyj    
Finnish Communication And Internet Exchange - Ficix ry    
Finrail Oy    
Fortum Oyj    
F-Secure Oyj    
Fujitsu Finland Oy    
Gasum Oy    
Helen Sähköverkko Oy    
Helsingin yliopisto    
HSL Helsingin seudun liikenne -kuntayhtymä    
Huoltovarmuuskeskus    
Insta Group Oy    
Itä-Suomen Yliopisto    
Jyväskylän yliopisto    
Keskuskauppakamari    
Kuntaliitto    
Lapin yliopisto    
Lappeenrannan yliopisto    
Liikennevirasto    
Liikenteenturvallisuusvirasto    
Logistiikkayritysten liitto ry    
Microsoft Oy    
MMM    
Nasdaq Helsinki Oy    
Nixu Oyj    
Nokia Oyj    
Nordea AB (publ), Suomen sivuliike    
OKM    
OM    
Oma Säästöpankki Oy    
Onnettomuustutkintakeskus    
OP osuuskunta    
Oulun yliopisto    
Oy IBM Finland Ab    
Poliisihallitus    
POP Pankkiliitto osuuskunta    
Puolustusvoimat    
Satamaoperaattorit ry    
SKAL Suomen Kuljetus ja Logistiikka ry    
SM    
Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys ry    
Sosiaali- ja terveysalan lupa- ja valvontavirasto    
S-Pankki Oy    
SSH Communications Security Oyj    
STM    
Suojelupoliisi    
Suomen Huolinta- ja Logistiikkaliitto ry    
Suomen Kaasuyhdistys ry    
Suomen Kuntaliitto ry    
Suomen Merimies-Unioni SMU ry    
Suomen Standardoimisliitto ry    
Suomen Varustamot ry    
Suomen vesihuolto-osuuskunnat ry    
Suomen Vesilaitosyhdistys ry    
Svenska Handelsbanken AB (publ), filialverksamheten i Finland    
Säästöpankkiliitto osuuskunta    
Tampereen yliopisto    
Teknologiateollisuus ry    
Telia Finland Oyj    
TEM    
Terveyden ja hyvinvoinnilaitos    
Tieto Oyj    
Tietoliikenteen ja Tietotekniikan Keskusliitto, Ficom ry    
Tietosuojavaltuutetun toimisto    
Tietoturva ry    
TTY    
Turun yliopisto    
Turvallisuuskomitea    
UM    
UPM-Kymmene Oyj    
Viestintävirasto    
VM    
VNK    
VR-Yhtymä Oy    
Ålandsbanken Abp    
Älykkään liikenteen verkosto - ITS Finland ry    
Öljy- ja biopolttoaineala ry    
Ämnesord

tietoturva

digitaalinen turvallisuus

kyberturvallisuus

Digitaalinen liiketoiminta