Lausunto
Kyberturvallisuus ja tietosuoja Petokset DIGI- JA MAKSUPALVELUT EU TURVALLISUUS

Hallituksen esitys sähköisen viestinnän palveluista annetun lain, henkilötietojen käsittelystä Puolustusvoimissa annetun lain ja henkilötietojen käsittelystä poliisitoimessa annetun lain muuttamisesta

Eduskunnan liikenne- ja viestintavaliokunta (LiV)

  • FA katsoo, että toimijoiden välinen tietojenvaihto ja yhteistyö on yksi tärkeimmistä ja tehokkaimmista tavoista torjua, havaita ja selvittää tietoturvaloukkauksia, ja pitää esitystä pääosin kannatettavana.
  • Viranomaisten ja yksityisen sektorin välisen tietojenvaihdon esteet ja keinot niiden poistamiseksi tulisi selvittää sekä laatia tarvittavat säädösehdotukset tilanteen korjaamiseksi.
  • Virka-apuun turvautumisen tulisi olla poikkeuksellista, mutta suunnitelmallista, eli viranomaisten tulisi tunnistaa etukäteen tilanteita ja olosuhteita, joissa virka-avun saaminen olisi tarpeen esim. tarvittavan erityisosaamisen ja -asiantuntemuksen varmistamiseksi.
  • Viranomaisten välisen tiedonvaihdon on kaikissa tilanteissa tapahduttava soveltuvien säädösvaatimusten, yleisten tietosuojaperiaatteiden ja hyvien tietojenkäsittelykäytäntöjen mukaisesti.
  • Jos tietoja viesteistä tai välitystiedoista edelleen luovutetaan ulkomaisille viranomaisille, on varmistettava, että tietojenluovutus kaikissa tilanteissa tapahtuu soveltuvien säädösvaatimusten ja käytäntöjen mukaisesti.

HE 243/2022 vp

Liikenne- ja viestintävaliokunta on 19.12.2022 pyytänyt Finanssiala ry:n (FA) lausuntoa otsikossa mainitusta hallituksen esityksestä.

1.     Yleiset kommentit viranomaisten toimintamahdollisuuksista tietoturvaloukkauksien selvittämiseksi

FA katsoo, että toimijoiden välinen tietojenvaihto ja yhteistyö on yksi tärkeimmistä ja tehokkaimmista tavoista torjua, havaita ja selvittää tietoturvaloukkauksia, ja pitää hallituksen esitystä pääosin kannatettavana.

FA muistuttaa, että valtaosa yhteiskunnan toiminnan kannalta elintärkeiden tieto- ja viestintäteknisten infrastruktuureiden toiminnasta sekä niihin liittyvien ja niitä hyödyntävien palveluiden tarjonnasta on yksityisen sektorin vastuulla. FA pitää selvänä, että ilman yksityisen sektorin toimijoiden aktiivista mukanaoloa tietoturvaloukkausten selvittämistä koskevat tavoitteet jäävät vajaiksi.

Hallituksen esityksen mukaan yksityisille toimijoille voidaan luovuttaa tietoa sähköisen viestinnän palvelusta annetun lain nojalla laajasti silloin, kun tietoturvaloukkaus koskee heitä itseään. Yhteiskunnan digitalisoitumisen myötä kriittisten toimialojen sähkö- ja tietoliikenneriippuvuus sekä teknologiset ja toiminnalliset keskinäisriippuvuudet ovat lisääntyneet räjähdysmäisesti, minkä vuoksi FA pitää vain tietoturvaloukkauksen kohteena olevaan yritykseen rajoittuvaa tietojen luovuttamista riittämättömänä finanssisektorin ja koko kansalaisyhteiskunnan nykyisiin ja näköpiirissä oleviin tarpeisiin nähden. FA katsookin, että tietojenvaihtoa ja luovuttamista koskevia säännöksiä tulisi tarkentaa niin, että tietoja käynnissä olevista tai uhkaavista tietoturvaloukkauksista ja -uhkista voitaisiin jakaa elinkeinoelämän ja viranomaisten kesken nykyistä selvästi laajemmin.

Kansallisen turvallisuuden käsitteen osalta FA kiinnittää huomiota siihen, ettei hallituksen esityksessä tai perustuslain 10 §:n muuttamisen yhteydessä käytetty käsite välttämättä vastaa EU:n perussopimuksissa tai niiden nojalla annetuissa oikeudellisesti sitovissa säädöksissä (asetukset, direktiivit ja päätökset) käytettyä ja EU-tuomioistuimen vakiintuneeseen käytäntöön perustuvaa kansallisen turvallisuuden käsitettä. FA korostaa asian tärkeyttä, koska sillä on merkitystä arvioitaessa ehdotusten yhteensopivuutta mm. EU:n tietosuojasääntelyn, verkko- ja tietoturvadirektiivin päivityksen (NIS2D) sekä rahoitusmarkkinoiden digitaalista häiriönsietokykyä koskevan asetuksen (DORA) kanssa.

2.     Virka-apua koskevat ehdotukset

FA pitää tärkeänä, että erityisesti laajoissa ja edistyneissä tietoturvaloukkauksissa viranomaisille turvataan riittävät mahdollisuudet hyödyntää toistensa osaamista ja resursseja. Vaikka virka-apuun turvautumisen tuleekin olla poikkeuksellista, sen tulisi samalla olla suunnitelmallista, eli viranomaisten tulisi tunnistaa ne tilanteet ja olosuhteet, joissa virka-avun saaminen olisi tarpeen esim. tarvittavan erityisosaamisen ja -asiantuntemuksen varmistamiseksi. Suunnittelun avulla tulisi myös varmistaa, että tällaisissa tilanteissa virka-apua on myös saatavilla, jottei esim. tietoturvaloukkauksen selvittäminen kariudu virka-apua antavan viranomaisen resurssipulaan.

3.     Viranomaisten välinen tiedonvaihto

FA kannattaa viranomaisten välisen tiedonvaihdon parantamista, mutta katsoo edellä yleisissä kommenteissa todetun mukaisesti, että se tulisi ulottaa myös keskeisiä tieto- ja viestintäteknisten infrastruktuureiden toiminnasta sekä niihin liittyvien ja niitä hyödyntävien palveluiden tarjonnasta vastaaviin yksityisen sektorin toimijoihin. Ajatus siitä, että viranomaiset vaihtaisivat keskenään tietoa tai ryhtyisivät muihin toimenpiteisiin esim. tietoturvaloukkauksen johdosta ilman, että sen kohteeksi joutunut yritys saisi asiasta tietoa tai olisi mukana sen selvittämisessä, tuntuisi oudolta.

FA pitää myös selvänä, että tiedonvaihtoa koskevat menettelyt on laadittava niin, että ne täyttävät soveltuvat tietoturvallisuus-, tietosuoja- ja dokumentointivaatimukset, minkä lisäksi jatkuvalla seurannalla varmistetaan, että tietopyynnöt ja niihin annettavat vastaukset ovat muodollisesti ja sisällöllisesti asianmukaisia.

Sikäli kuin tietoa vaihdetaan ulkomaisten viranomaisten kanssa, on varmistettava, että tiedonvaihto kaikissa tilanteissa tapahtuu soveltuvien säädösvaatimusten, yleisten tietosuojaperiaatteiden ja hyvien tietojenkäsittelykäytäntöjen mukaisesti.

4.     Viestinnän välittäjän oikeus luovuttaa tietoja viesteistä ja välitystiedoista

Viestien välitystietojen ja muun ns. metadatan merkitys ja hyödyntäminen esim. tiedustelutoiminnassa kasvaa jatkuvasti. FA pitää tärkeänä, että ehdotetun 316 a §:n sisältö ja tarkkarajaisuus arvioidaan huolellisesti ja mahdolliset lisärajaukset sisällytetään perustelujen sijaan itse pykälään. Selvää luonnollisesti on, että viestien ja välitystietojen luovuttamisen ja muun käsittelyn tulee tapahtua tiukasti kulloinkin sovellettavien tietosuojasäännösten puitteissa.

Mikäli tietoja viesteistä ja välitystiedoista edelleen luovutetaan ulkomaisille viranomaisille tai muille tahoille, on varmistettava, että tietojenluovutus kaikissa tilanteissa tapahtuu soveltuvien säädösvaatimusten, yleisten tietosuojaperiaatteiden ja hyvien tietojenkäsittelykäytäntöjen mukaisesti.

5.     Vaikutukset

Finanssitoimialan palvelut ovat yhteiskunnan toiminnalle kriittisiä ja erityisesti pankkisektori ja sen asiakkaat on aivan viime vuosiin asti ollut verkkorikollisten ykköskohde. Toimialalla on pitkät perinteet yhteistyöstä ja tiedonvaihdosta sekä toimialan sisällä että viranomaisten kanssa.

Toimiala on vahvasti säännelty ja valvottu sekä kansallisella että EU:n tasolla. FA:n käsityksenä on, että tiedonvaihto ja yhteistyö myös toimivaltaisten viranomaisten kesken toimii varsin hyvin. FA pitää kuitenkin tärkeänä, että viranomaisten ja yksityisen sektorin toimijoiden välisen, keskinäisen ja sisäisen tiedonvaihdon säännöt on määritelty selkeästi ja sen vuoksi katsoo, että lainsäädäntöhankkeen todelliset hyödyt toteutuvat vasta, kun yksityisen sektorin toimijat kytketään tiiviimmin mukaan tietojenvaihtoon ja viranomaisyhteistyöhön.

FINANSSIALA RY

Taina Ahvenjärvi



FA_Lausunto_19012023_LiV_he_laeiksi_sahkoisen_viestinnan_palveluista_annetun_lain_ym_muuttamisestaLataa

Jäikö kysyttävää?

|

Ota yhteyttä aiheen asiantuntijaan

Infra ja turvallisuus

Mika Linna

Johtava asiantuntija

+358 20 793 4269
Rahanpesun, terrorismin rahoittamisen ja tietoverkkorikosten torjunta, kyberturvallisuus, finanssialan varautuminen