- FA katsoo, että toimijoiden välinen tietojenvaihto ja yhteistyö on yksi tärkeimmistä ja tehokkaimmista tavoista torjua, havaita ja selvittää tietoturvaloukkauksia, ja pitää esitystä pääosin kannatettavana.
- Jatkovalmistelussa tulisi kartoittaa myös viranomaisten ja yksityisen sektorin välisen tietojenvaihdon esteet, selvittää keinot niiden poistamiseksi ja laatia tarvittavat säädösehdotukset tilanteen korjaamiseksi.
- Virka-apuun turvautumisen tulisi olla poikkeuksellista, mutta suunnitelmallista, eli viranomaisten tulisi tunnistaa etukäteen tilanteita ja olosuhteita, joissa virka-avun saaminen olisi tarpeen esim. tarvittavan erityisosaamisen ja -asiantuntemuksen varmistamiseksi.
- Viranomaisten välisen tiedonvaihdon on kaikissa tilanteissa tapahduttava soveltuvien säädösvaatimusten, yleisten tietosuojaperiaatteiden ja hyvien tietojenkäsittelykäytäntöjen mukaisesti.
- Jos tietoja viesteistä ja välitystiedoista edelleen luovutetaan ulkomaisille viranomaisille, on varmistettava, että tietojenluovutus kaikissa tilanteissa tapahtuu soveltuvien säädösvaatimusten ja käytäntöjen mukaisesti.
VN/30823/2021-LVM-15
Liikenne- ja viestintäministeriö on 7.6.2022 pyytänyt Finanssiala ry:n (FA) lausuntoa otsikossa mainitusta luonnoksesta hallituksen esitykseksi (HE-luonnos).
1. Yleiset kommentit viranomaisten toimintamahdollisuuksista tietoturvaloukkauksien selvittämiseksi
FA katsoo, että toimijoiden välinen tietojenvaihto ja yhteistyö on yksi tärkeimmistä ja tehokkaimmista tavoista torjua, havaita ja selvittää tietoturvaloukkauksia, ja pitää esitystä pääosin kannatettavana.
FA muistuttaa, että valtaosa yhteiskunnan toiminnan kannalta elintärkeiden tieto- ja viestintäteknisten infrastruktuureiden toiminnasta sekä niihin liittyvien ja niitä hyödyntävien palveluiden tarjonnasta on yksityisen sektorin vastuulla. FA pitää selvänä, että ilman yksityisen sektorin toimijoiden aktiivista mukanaoloa tietoturvaloukkausten selvittämistä koskevat tavoitteet jäävät vajaiksi. FA ehdottaakin, että hallituksen esitysluonnoksen (HE-luonnos) jatkovalmistelussa kartoitettaisiin viranomaisten ja yksityisen sektorin välisen tietojenvaihdon esteet, selvitettäisiin keinot niiden poistamiseksi ja laadittaisiin tarvittavat säädösehdotukset tilanteen korjaamiseksi.
Kansallisen turvallisuuden käsitteen osalta FA kiinnittää huomiota siihen, ettei HE-luonnoksessa tai perustuslain 10 §:n muuttamisen yhteydessä käytetty käsite välttämättä vastaa EU:n perussopimuksissa tai niiden nojalla annetuissa oikeudellisesti sitovissa säädöksissä (asetukset, direktiivit ja päätökset) käytettyä ja EU-tuomioistuimen vakiintuneeseen käytäntöön perustuvaa kansallisen turvallisuuden käsitettä. FA korostaa asian tärkeyttä, koska sillä on merkitystä arvioitaessa ehdotusten yhteensopivuutta mm. EU:n tietosuojasääntelyn, verkko- ja tietoturvadirektiivin (NISD) ja sen päivityksen (NIS2D) sekä valmisteilla olevan rahoitusmarkkinoiden digitaalista häiriönsietokykyä koskevan asetuksen (DORA) kanssa.
2. Virka-apua koskevat ehdotukset
FA pitää tärkeänä, että erityisesti laajoissa ja edistyneissä tietoturvaloukkauksissa viranomaisille turvataan riittävät mahdollisuudet hyödyntää toistensa osaamista ja resursseja. Vaikka virka-apuun turvautumisen tuleekin olla poikkeuksellista, sen tulisi samalla olla suunnitelmallista, eli viranomaisten tulisi tunnistaa ne tilanteet ja olosuhteet, joissa virka-avun saaminen olisi tarpeen esim. tarvittavan erityisosaamisen ja -asiantuntemuksen varmistamiseksi. Suunnittelun avulla tulisi myös varmistaa, että tällaisissa tilanteissa virka-apua on myös saatavilla, jottei esim. tietoturvaloukkauksen selvittäminen kariudu virka-apua antavan viranomaisen resurssipulaan.
3. Viranomaisten välinen tiedonvaihto
FA kannattaa viranomaisten välisen tiedonvaihdon parantamista, mutta katsoo edellä yleisissä kommenteissa todetun mukaisesti, että se tulisi ulottaa myös keskeisiä tieto- ja viestintäteknisten infrastruktuureiden toiminnasta sekä niihin liittyvien ja niitä hyödyntävien palveluiden tarjonnasta vastaaviin yksityisen sektorin toimijoihin. Ajatus siitä, että viranomaiset vaihtaisivat keskenään tietoa tai ryhtyisivät muihin toimenpiteisiin esim. tietoturvaloukkauksen johdosta ilman, että sen kohteeksi joutunut yritys saisi asiasta tietoa tai olisi mukana sen selvittämisessä, tuntuisi oudolta.
FA pitää myös selvänä, että tiedonvaihtoa koskevat menettelyt on laadittava niin, että ne täyttävät soveltuvat tietoturvallisuus-, tietosuoja- ja dokumentointivaatimukset, minkä lisäksi jatkuvalla seurannalla varmistetaan, että tietopyynnöt ja niihin annettavat vastaukset ovat muodollisesti ja sisällöllisesti asianmukaisia.
Sikäli kuin tietoa vaihdetaan ulkomaisten viranomaisten kanssa, on varmistettava, että tiedonvaihto kaikissa tilanteissa tapahtuu soveltuvien säädösvaatimusten, yleisten tietosuojaperiaatteiden ja hyvien tietojenkäsittelykäytäntöjen mukaisesti.
4. Viestinnän välittäjän oikeus luovuttaa tietoja viesteistä ja välitystiedoista
Ehdotettu uusi 316 a § on säännöksenä lyhyt, mutta siihen liittyvät perustelut venyvät lähes kahden sivun mittaisiksi. FA kannattaa ehdotusta sellaisen kuin se perustelujen valossa näyttäytyy, mutta esittää, että keskeiset rajaukset sisällytettäisiin perustelujen sijaan itse pykälään. Selvää luonnollisesti on, että viestien ja välitystietojen luovuttamisen ja muun käsittelyn tulee tapahtua tiukasti kulloinkin sovellettavien tietosuojasäännösten puitteissa.
Mikäli tietoja viesteistä ja välitystiedoista edelleen luovutetaan ulkomaisille viranomaisille tai muille tahoille, on varmistettava, että tietojenluovutus kaikissa tilanteissa tapahtuu soveltuvien säädösvaatimusten, yleisten tietosuojaperiaatteiden ja hyvien tietojenkäsittelykäytäntöjen mukaisesti.
5. Muita havaintoja
Edellä todetusti FA pitää tärkeänä, että HE-luonnoksen jatkovalmistelussa kartoitettaisiin viranomaisten ja yksityisen sektorin välisen tietojenvaihdon esteet, selvitettäisiin keinot niiden poistamiseksi ja laadittaisiin tarvittavat säädösehdotukset tilanteen korjaamiseksi.
6. Vaikutukset
Finanssitoimialan palvelut ovat yhteiskunnan toiminnalle kriittisiä ja erityisesti pankkisektori ja sen asiakkaat on aivan viime vuosiin asti ollut verkkorikollisten ykköskohde. Toimialalla on pitkät perinteet yhteistyöstä ja tiedonvaihdosta sekä toimialan sisällä että viranomaisten kanssa.
Toimiala on vahvasti säännelty ja valvottu sekä kansallisella että EU:n tasolla. FA:n käsityksenä on, että tiedonvaihto ja yhteistyö myös toimivaltaisten viranomaisten kesken toimii varsin hyvin. FA pitää kuitenkin tärkeänä, että viranomaisten ja yksityisen sektorin toimijoiden välisen, keskinäisen ja sisäisen tiedonvaihdon säännöt on määritelty selkeästi ja sen vuoksi katsoo, että lainsäädäntöhankkeen todelliset hyödyt toteutuvat vasta, kun yksityisen sektorin toimijat kytketään tiiviimmin mukaan tietojenvaihtoon ja viranomaisyhteistyöhön.
FINANSSIALA RY
Taina Ahvenjärvi
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan