Lausunto
Poikkeusoloihin varautuminen Yhtenäinen euromaksualue SEPA Maksaminen ja maksujärjestelmät Kyberturvallisuus ja tietosuoja DIGI- JA MAKSUPALVELUT EU TURVALLISUUS

Luonnos hallituksen esitykseksi laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi

SM - sisäasiainministeriö

  • Lain välittömät vaikutukset finanssialaan näyttäisivät jäävän vähäisiksi, mutta FA pitää välttämättömänä, ettei direktiivin kansallisella toimeenpanolla luoda rakenteita tai velvoitteita, jotka ovat päällekkäisiä tai ristiriidassa alaan sovellettavien EU:n tai kansallisten säädösvaatimusten kanssa, tai jotka vaikeuttaisivat useammassa jäsenvaltiossa toimivien yritysten toimintaa
  • Direktiivin toimeenpanoa ei tule rakentaa huoltovarmuusjärjestelmästä erilliseksi järjestelmäksi. FA pitää luontevana, että työ- ja elinkeinoministeriö toimisi toimivaltaisena viranomaisena / yhteensovittavana ministeriönä ja Huoltovarmuuskeskus kansallisena keskitettynä yhteyspisteenä
  • FA pitää tärkeänä, että kansalliset viranomaiset säädetään lain soveltamisalan piiriin kokonaisturvallisuuden toimintamallin edellyttämässä laajuudessa
  • Uusien menettelytapavaatimusten sijaan painopisteen tulee olla nykyisten riskienhallintakehysten ja -menetelmien kehittämisessä direktiivin vaatimuksia vastaaviksi.
  • Esitettyjen muutosten hallinnollisia ja taloudellisia vaikutuksia tulee arvioida jatkovalmistelussa tarkemmin, jotta valvontaviranomaisille voidaan osoittaa määrältään ja laadultaan riittävät resurssit laajentuvia valvontatehtäviä varten.


VN/18947/2022-SM-46

Sisäministeriö on pyytänyt Finanssiala ry:n (FA) lausuntoa luonnoksesta hallituksen esitykseksi laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi. 

1 FA pitää kriittisen infrastruktuuriin suojaamiseen tähtäävää CER-direktiiviä ((EU) 2022/2557) tarpeellisena. FA pitää myös tärkeänä, että hallituksen esityksen luonnokseen sisältyvä laki kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta saadaan voimaan direktiivissä säädetyn määräajan puitteissa.  

2 Lakia kriittisen infrastruktuurin suojaamisesta sovellettaisiin 1 §:n 1 momentin 1 kohdan perusteella mm. pankkialaan ja rahoitusmarkkinoiden infrastruktuurin eli käytännössä luottolaitoksiin, kauppapaikkojen ylläpitäjiin ja keskusvastapuoliin. Lain välittömät vaikutukset mainittuihin toimijoihin näyttäisivät 2 §:n 3 momentin perusteella jäävän melko vähäisiksi. 

3 Finanssitoimialaa säädellään jo nykyisin kattavasti ja yksityiskohtaisesti myös CER-direktiivin alaan kuuluvien kysymysten osalta. EU:ssa ja kansallisesti on lisäksi vireillä useita kriittisen infrastruktuurin suojaamiseen ja häiriönsietokyvyn turvaamiseen tähtääviä säädöshankkeita. FA pitää välttämättömänä, ettei CER-direktiivin kansallisen toimeenpanon kautta luoda rakenteita tai velvoitteita, jotka ovat päällekkäisiä tai ristiriidassa toimijoihin sovellettavien EU:n tai kansallisten säädösvaatimusten kanssa. FA pitää myös tärkeänä, että kansallisessa toimeenpanossa pidättäydytään sellaisesta lisäsääntelystä, joka voisi vaikeuttaa useammassa EU:n jäsenvaltiossa toimivien yritysten toimintaa tai aiheuttaa niille merkittäviä ylimääräisiä kustannuksia. 

4 CER-direktiivi poikkeaa lähtökohdiltaan ja periaatteiltaan huoltovarmuusjärjestelmästä, joka on keskeinen osa kokonaisturvallisuuden toimintamalliamme. FA pitääkin tärkeänä, ettei direktiivin toimeenpanoa rakenneta erilliseksi järjestelmäksi huoltovarmuusjärjestelmän rinnalle, vaan sen osaksi. 

5 FA pitää luontevana, että työ- ja elinkeinoministeriö toimisi CER-direktiivin 9 artiklassa tarkoitettuna toimivaltaisena viranomaisena (yhteensovittavana ministeriönä) ja Huoltovarmuuskeskus kansallisena keskitettynä yhteyspisteenä. FA:n näkemyksen mukaan ratkaisu olisi selkeä, johdonmukainen sekä toiminnallisesti ja taloudellisesti tehokas. Jos uudet tehtävät edellyttävät muutoksia Huoltovarmuuskeskusta koskevaan lainsäädäntöön, ne voidaan käsitellä huoltovarmuuslain päivityksen yhteydessä. 

6 Ehdotetun 2 §:n 1 momentin mukaan lakia kriittisen infrastruktuurin suojaamisesta ei lainkaan sovellettaisi eduskuntaan, Suomen Pankkiin, tuomioistuimiin tai viranomaistoimintaan maanpuolustuksen, kansallisen turvallisuuden, yleisen järjestyksen ja turvallisuuden aloilla. FA pitää tärkeänä, että ehdotetun säännöksen yhteensopivuus kokonaisturvallisuuden toimintamallin kanssa arvioidaan ja varmistetaan hallituksen esityksen jatkovalmistelussa. 

7 Lakiehdotukseen kriittisen infrastruktuurin suojaamisesta sisältyy useita säännöksiä, jotka liittyvät riskien arviointiin sekä niiden hallintaan liittyvien strategioiden, toimintasuunnitelmien ja toimenpiteiden laadintaan. FA pitää tärkeänä, että hallituksen esityksen jatkovalmistelussa huolehditaan siitä, että näistä tehtävistä aiheutuvat ylimääräiset taloudelliset ja hallinnolliset kustannukset sekä yrityksille että hallinnon eri tasoille minimoidaan. Kokonaan uusien prosessien luomisen sijaan painopisteen tulee olla nykyisten riskienhallintakehysten ja -menetelmien kehittämisessä niin, että ne vastaavat CER-direktiivin vaatimuksia. Esimerkiksi lakiehdotuksen 6 §:ssä tarkoitettu kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarviointi tulisi toteuttaa nykyistä kansallista riskiarviota kehittämällä. 

8 FA tukee vahvasti sitä, että CER-, NIS2- ja mahdollisesti myös DORA-poikkeamailmoituksille rakennettaisiin yhteinen sähköinen ilmoituskanava. Se helpottaisi, nopeuttaisi ja yhdenmukaistaisi poikkeamien raportointia sekä todennäköisesti selvästi alentaisi raportoinnista aiheutuvia kustannuksia ja taakkaa. Jos tällainen kanava rakennetaan, FA ehdottaa, että poikkeamat voitaisiin ilmoittaa kotimaisten kielten ohella myös englanniksi. 

9 FA pitää myös tärkeänä, että jatkovalmistelun yhteydessä pyrittäisiin edelleen tarkentamaan esitettyjen säännösmuutosten hallinnollisia ja taloudellisia vaikutuksia sekä yrityksille että viranomaisille. Tämä on välttämätöntä, jotta toimivaltaiset valvontaviranomaisille voidaan osoittaa määrältään ja laadultaan riittävät resurssit laajentuvien valvontatehtävien asianmukaista hoitamista varten. 

10 FA arvioi turvallisuusselvityslain 19 §:n 1 momentin 4 kohtaan esitetyn muutoksen tarpeelliseksi ja perustelluksi. Tuemme myös säännösehdotuksia, jotka koskevat muiden EU-jäsenvaltioiden rikosrekisteritietojen käyttämistä kriittisen toimijan työntekijästä tehtävässä turvallisuusselvityksessä. 

FINANSSIALA RY 
Taina Ahvenjärvi 

FA_Lausunto_03042024_SM_HE_Luonnos_kriittisen_infrastruktuurin_suojaamisestaLataa

Jäikö kysyttävää?

|

Ota yhteyttä aiheen asiantuntijaan

Infra ja turvallisuus

Mika Linna

Johtava asiantuntija

+358 20 793 4269
Rahanpesun, terrorismin rahoittamisen ja tietoverkkorikosten torjunta, kyberturvallisuus, finanssialan varautuminen