Förslag till lagar om ändring av lagar som har samband med genomförandet av Europeiska unionens direktiv om nät- och informationssäkerhet
Svarstiden gick ut: 31.10.2017
Uppgifter om begäran om utlåtande
Inledning
Ett viktigt mål i regeringsprogrammet för statsminister Juha Sipiläs regering är att främja digitaliseringen. För digitala tjänster och nya affärsmodeller ska det enligt regeringsprogrammet byggas en gynnsam miljö. Som en del av byggandet av denna digitala tillväxtmiljö för affärsverksamheten främjas ibruktagandet av ny teknik, digitalisering och nya affärskoncept genom lagstiftningsåtgärder samt säkerställs informationssäkerheten och de möjligheter som ökar dess konkurrensfördelar. Enligt regeringens handlingsplan är regeringens mål dessutom att förbättra den kapacitet som den inre säkerheten kräver också inom området för digital säkerhet.
I enlighet med målen i regeringsprogrammet har kommunikationsministeriet berett ett utkast till regeringens proposition med förslag till lagar om ändring av lagar som har samband med genomförandet av Europeiska unionens direktiv om nät- och informationssäkerhet. Regeringspropositionen bidrar till att genomföra målen i regeringsprogrammet om att främja digitaliseringen och säkerställa den digitala säkerheten genom en förbättrad nivå på informationssäkerheten för de tjänster som är viktiga för samhället och medborgarna. Genom propositionen ökas medborgarnas och företagens förtroende för digitalisering och främjas därmed också tillväxten av och konkurrensen för den digitala affärsverksamheten.
Bakgrund
- identifiera myndighetsverksamhet som har samband med informationssäkerheten,
- fastställa på vissa branscher som anges i direktivet (energi, transport, banksektorn, infrastrukturen på finansmarknaden, hälso- och sjukvårdssektorn, leverans och distribution av dricksvatten samt digital infrastruktur) leverantörer av tjänster som är viktiga med tanke på ett fungerande samhälle samt
- fastställa skyldighet för leverantörer av samhällsviktiga tjänster och de leverantörer av digitala tjänster som fastställs i direktivet (molntjänster, en internetbaserad marknadsplats och en internetbaserad sökmotor) att sörja för hanteringen av säkerhetrisker i nätverks- och informationssystem och att rapportera allvarliga avvikelser till tillsynsmyndigheterna.
I Finland är det kommunikationsministeriet som svarar för det nationella genomförandet av direktivet. Den förvaltningsövergripande arbetsgrupp som ministeriet tillsatte i oktober 2016 som stöd för genomförandet av direktivet offentliggjorde den 20 april 2017 sitt förslag till riktlinjer för genomförande av direktivet.
Målsättningar
Ett viktigt mål i regeringsprogrammet för statsminister Juha Sipiläs regering är att främja digitaliseringen. Enligt regeringsprogrammet är det ett av Finlands mål att ta ett produktivitetssprång inom den offentliga servicen och den privata sektorn genom att utnyttja digitaliseringens möjligheter. För digitala tjänster och nya affärsmodeller ska det enligt regeringsprogrammet byggas en gynnsam miljö. Som en del av byggandet av denna digitala tillväxtmiljö för affärsverksamheten främjas ibruktagandet av ny teknik, digitalisering och nya affärskoncept genom lagstiftningsåtgärder samt säkerställs informationssäkerheten och möjligheter som ökar dess konkurrensfördelar.
Enligt regeringens handlingsplan är regeringens mål att förbättra den kapacitet som den inre säkerheten kräver också inom området för digital säkerhet, eftersom det i ett digitalt samhälle förutsätts att även säkerhetens digitala dimension är på en hög nivå.
Regeringspropositionen bidrar till att genomföra målen i regeringsprogrammet att främja digitaliseringen och säkerställa den digitala säkerheten genom en förbättring av informationssäkerhetsnivån för de tjänster som är viktiga för samhället och medborgarna. Genom propositionen ökas medborgarnas och företagens förtroende för digitalisering och främjas därmed också tillväxten av och konkurrensen för den digitala affärsverksamheten.
För vissa aktörer som tillhandahåller samhällsviktiga tjänster samt vissa leverantörer av digitala tjänster föreslås i propositionen vissa skyldigheter i anknytning till hanteringen av informationssäkerhetsrisker och rapporteringen av informationssäkerhetsincidenter. Dessutom införs bestämmelser om tillsyn av dessa skyldigheter, informationsutbyte mellan myndigheter samt på allmän nivå om myndigheternas verksamhet i anknytning till informationssäkerhet.
För en förbättring av informationssäkerheten för samhällsviktiga tjänster införs i informationssamhällsbalken (917/2014), luftfartslagen (864/2014), järnvägslagen (304/2011), lagen om fartygstrafikservice (623/2005), lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004), lagen om transportservice (320/2017), elmarknadslagen (588/2013), naturgasmarknadslagen (xx) och lagen om vattentjänster (119/2001) bestämmelser om skyldighet för viktiga tillhandahållare av tjänster i fråga om hantering av riskerna i fråga om kommunikationsnät och informationssystem samt rapportering av störningar, som är betydande med tanke på informationssäkerheten, till en myndighet som utövar tillsyn och till allmänheten. Skyldigheterna enligt informationssamhällsbalken gäller aktörer som tillhandahåller internetbaserade marknadsplatser, aktörer som tillhandahåller sökmotortjänster och aktörer som tillhandahåller molntjänster. Skyldigheterna enligt luftfartslagen gäller leverantörer av flygtrafiktjänster samt samhällsviktiga flygplatsoperatörer. Skyldigheterna enligt järnvägslagen gäller förvaltaren av statens bannät samt bolag som tillhandahåller trafikledningstjänster. Skyldigheterna enligt lagen om fartygstrafikservice gäller den som tillhandahåller fartygstrafikservice. Skyldigheten enligt lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet gäller samhällsviktiga hamninnehavare. Skyldigheten enligt elmarknadslagen gäller nätinnehavare. Skyldigheterna enligt naturgasmarknadslagen gäller överföringsnätsinnehavare och skyldigheterna enligt lagen om vattentjänster vattentjänstverk som levererar minst 5 000 kubikmeter vatten per dygn.
För att trygga den övergripande styrningen och tillsynen av skyldigheterna i anknytning till säkerheten i verksamheten inom olika branscher samt för att undvika överlappande tillsynsåtgärder och administrativ börda har de sektorsvisa tillsynsmyndigheterna behörighet att utöva tillsyn över genomförandet av skyldigheterna i fråga om riskhantering och rapportering om incidenter. Dessa är Kommunikationsverket, Trafiksäkerhetsverket, Energimyndigheten, Finansinspektionen samt Tillstånds- och tillsynsverket för social- och hälsovården. För tryggande av samarbetet mellan myndigheterna föreslås att det i samband med myndigheternas bestämmelser om behörighet införs bestämmelser om tillsynsmyndigheternas samarbete samt om utbytet av betydande sekretessbelagd information i anknytning till skötseln av uppgifter inom informationssäkerheten.
Dessutom införs bestämmelser om Kommunikationsverkets skyldighet att samarbeta med de enheter för hantering av it-säkerhetsincidenter, tillsynsmyndigheter och den samarbetsgrupp som avses i direktivet om nät- och informationssäkerhet.
Genom den föreslagna lagstiftningen genomförs Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen som en del av den nationella lagstiftningen.
Bilagor:
Luonnos_hallituksen_esitys.docx - Hallituksen esitys eduskunnalle laeiksi Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta (luonnos)
Utkast_regeringens_proposition.docx - Regeringens proposition till riksdagen med förslag till lagar om ändring av lagar som har samband med genomförandet av direktivet om nät- och informationssäkerhet (utkast)
Tidtabell
Vi ber er lämna ett yttrande om de föreslagna lagarna till kommunikationsministeriet senast den 20 oktober 2017.
Svarsanvisningar för mottagare
För att underlätta behandlingen av svaren ber kommunikationsministeriet att yttrandet så långt som möjligt delas in enligt de mellanrubriker som finns i denna begäran om yttrande.
Kommunikationsministeriet ber ministerierna utvärdera förslagen och motiveringarna till dem med fokus enligt följande:
- finansministeriet: banksektorn och finansmarknadens infrastruktur
- social- och hälsovårdsministeriet: hälso- och sjukvårdssektorn samt leverans och distribution av dricksvatten
- arbets- och näringsministeriet: energisektorn
- jord- och skogsbruksministeriet: leverans och distribution av dricksvatten
- definitionen av tjänster som är viktiga för att upprätthålla samhällelig verksamhet (dvs. samhällsviktiga tjänster)
- skyldigheter för verksamhetsutövare att hantera risker som avser informationssäkerheten
- effektiva och tillräckliga behörigheter åt tillsynsmyndigheten
Beredare
Ytterligare information om beredningen ges av Timo Kievari, enhetsdirektör, 0295 342 620, [email protected] och Maija Rönkä, överinspektör, 0295 342 039, [email protected].
Sändlista:
| Aalto yliopisto | ||
| Air Navigation Services Finland Oy | ||
| Aktia Pankki Oyj | ||
| Caruna Oy | ||
| CGI Suomi Oy | ||
| Cinia | ||
| Danske Bank Oyj | ||
| DNA Oyj | ||
| Elenia Oy | ||
| Elinkeinoelämän keskusliitto EK | ||
| Elisa Oyj | ||
| ELY, Etelä-Pohjanmaa | ||
| Energiateollisuus ry | ||
| Energiavirasto | ||
| Euroclear Finland Oy | ||
| Finanssiala ry | ||
| Finanssivalvonta | ||
| Finavia Oyj | ||
| Fingrid Oyj | ||
| Finnair Oyj | ||
| Finnish Communication And Internet Exchange - Ficix ry | ||
| Finrail Oy | ||
| Fortum Oyj | ||
| F-Secure Oyj | ||
| Fujitsu Finland Oy | ||
| Gasum Oy | ||
| Helen Sähköverkko Oy | ||
| Helsingin yliopisto | ||
| HSL Helsingin seudun liikenne -kuntayhtymä | ||
| Huoltovarmuuskeskus | ||
| Insta Group Oy | ||
| Itä-Suomen Yliopisto | ||
| Jyväskylän yliopisto | ||
| Keskuskauppakamari | ||
| Kuntaliitto | ||
| Lapin yliopisto | ||
| Lappeenrannan yliopisto | ||
| Liikennevirasto | ||
| Liikenteenturvallisuusvirasto | ||
| Logistiikkayritysten liitto ry | ||
| Microsoft Oy | ||
| MMM | ||
| Nasdaq Helsinki Oy | ||
| Nixu Oyj | ||
| Nokia Oyj | ||
| Nordea AB (publ), Suomen sivuliike | ||
| OKM | ||
| OM | ||
| Oma Säästöpankki Oy | ||
| Onnettomuustutkintakeskus | ||
| OP osuuskunta | ||
| Oulun yliopisto | ||
| Oy IBM Finland Ab | ||
| Poliisihallitus | ||
| POP Pankkiliitto osuuskunta | ||
| Puolustusvoimat | ||
| Satamaoperaattorit ry | ||
| SKAL Suomen Kuljetus ja Logistiikka ry | ||
| SM | ||
| Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys ry | ||
| Sosiaali- ja terveysalan lupa- ja valvontavirasto | ||
| S-Pankki Oy | ||
| SSH Communications Security Oyj | ||
| STM | ||
| Suojelupoliisi | ||
| Suomen Huolinta- ja Logistiikkaliitto ry | ||
| Suomen Kaasuyhdistys ry | ||
| Suomen Kuntaliitto ry | ||
| Suomen Merimies-Unioni SMU ry | ||
| Suomen Standardoimisliitto ry | ||
| Suomen Varustamot ry | ||
| Suomen vesihuolto-osuuskunnat ry | ||
| Suomen Vesilaitosyhdistys ry | ||
| Svenska Handelsbanken AB (publ), filialverksamheten i Finland | ||
| Säästöpankkiliitto osuuskunta | ||
| Tampereen yliopisto | ||
| Teknologiateollisuus ry | ||
| Telia Finland Oyj | ||
| TEM | ||
| Terveyden ja hyvinvoinnilaitos | ||
| Tieto Oyj | ||
| Tietoliikenteen ja Tietotekniikan Keskusliitto, Ficom ry | ||
| Tietosuojavaltuutetun toimisto | ||
| Tietoturva ry | ||
| TTY | ||
| Turun yliopisto | ||
| Turvallisuuskomitea | ||
| UM | ||
| UPM-Kymmene Oyj | ||
| Viestintävirasto | ||
| VM | ||
| VNK | ||
| VR-Yhtymä Oy | ||
| Ålandsbanken Abp | ||
| Älykkään liikenteen verkosto - ITS Finland ry | ||
| Öljy- ja biopolttoaineala ry |
Ämnesord
tietoturva
digitaalinen turvallisuus
kyberturvallisuus
Digitaalinen liiketoiminta