VALTIOVARAINMINISTERIÖ MUISTIO LIITE 2 Lainsäädäntöneuvos Eeva Lantto VALTIONEUVOSTON ASETUS JULKISEN HALLINNON TURVALLISUUSVERKKO- TOIMINNASTA



Samankaltaiset tiedostot
VALTIOVARAINMINISTERIÖ Muistio Liite 1 Lainsäädäntöneuvos Eeva Lantto

Luonnos LIITE 1

Valtioneuvoston asetus

Lausunto PELASTUSLAITOSTEN KUMPPANUUSVERKOSTO Lausunto PelJ/96/01.00/2018

-luonnos VALTIONEUVOSTON ASETUS VALTION YHTEISTEN TIETO- JA VIESTINTÄTEK- NISTEN PALVELUJEN JÄRJESTÄMISESTÄ

Antti-Jussi Lankinen, Mira Karppanen Liikenne- ja viestintävaliokunta

VALTIOVARAINMINISTERIÖ Lainsäädäntöneuvos Hannele Kerola

Asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

Valtioneuvoston asetus

MAANMITTAUSLAITOKSEN LAUSUNTO HALLITUKSEN ESITYKSESTÄ LAIKSI HALLINNON YHTEISISTÄ SÄHKÖISEN ASIOINNIN TUKIPALVELUISTA

Valtioneuvoston asetus

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Julkaistu Helsingissä 15 päivänä kesäkuuta /2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

MAA- JA METSÄTALOUSMINISTERIÖ Muistio Liite 1 Vanhempi hallitussihteeri Jukka Ränkimies

-luonnos- VALTIONEUVOSTON ASETUS VALTION YHTEISTEN TIETO- JA VIESTINTÄTEK- NISTEN PALVELUJEN JÄRJESTÄMISESTÄ

JUHTA asetus ja asettaminen. JUHTA Sami Kivivasara, VM JulkICT

Kertomusluonnoksesta annetut lausunnot Hallinnon turvallisuusverkkotoiminnan ohjaus (14/2016) 172/54/2015

PIRKANMAAN SAIRAANHOITOPIIRIN KUNTAYHTYMÄN TARKASTUSSÄÄNTÖ LUKIEN

Laki. EDUSKUNNAN VASTAUS 191/2013 vp

Valtorin strategia. Hyväksytty Valtorin hallituksen kokouksessa

Pelastuslaitosten kumppanuusverkoston lausunto valtioneuvoston asetuksesta julkisen hallinnon turvallisuusverkkotoiminnasta

TALPOL linjaukset TORI-toimenpiteet

Lausunto luonnoksesta valtioneuvoston asetukseksi valtion yhteisen tieto- ja viestintäteknisten palvelujen järjestämisestä

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

Valtorin strategia Töissä valtiolla sujuvasti ja turvatusti

Hallituksen esitys Kevasta annetun lain muuttamiseksi

Julkaistu Helsingissä 31 päivänä joulukuuta /2013 Laki. valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

Pirkkalan kunta Tarkastussääntö 1

Laki. Eduskunnan päätöksen mukaisesti säädetään: 1 luku. Yleiset säännökset. Jollei tässä laissa toisin säädetä, turvallisuusverkkotoimintaan

JOKILATVOJEN TILAPALVELUIDEN KUNTAYHTYMÄN TARKASTUSSÄÄNTÖ

Selvitys hallintovaliokunnan HaVM 35/2014 mietinnössä ilmenevistä eri seikoista

Laki. julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta

Kansallinen palveluarkkitehtuuri Mistä laissa on tarkoitus säätää?

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

HE 87/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Espoon kaupunki Tietoturvapolitiikka

2 (5) Tarkastussääntö Hyväksytty: yhtymäkokous xx.xx.xxxx xx Tilintarkastajan tehtävät

Varautuminen sotelainsäädännössä

saman lain 5 :n mukaan yleisenä syyttäjänä raastuvanoikeudessa ja maistraatissa. Nimismies tai apulaisnimismies toimii kihlakunnanoikeudessa

VALTIOVARAINMINISTERIÖ Muistio Liite 1 Lainsäädäntöneuvos VM/1959/ /2017

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Muistio EHDOTUS VALTIONEUVOSTON ASETUKSEKSI VAPAASTA SIVISTYSTYÖSTÄ AN NETUN ASETUKSEN MUUTTAMISESTA

TARKASTUSSÄÄNTÖ JOKIOISTEN KUNTA. Hyväksytty Jokioisten kunnan valtuusto Muutos Jokioisten kunnan valtuusto (muutettu 2 )

SISÄMINISTERIÖ Muistio Liite 1 Hallitusneuvos Henri Helo

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Toimialariippumattomien tieto- ja viestintäteknisten tehtävien kokoamishankkeen asettaminen

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014

1. Luku VALVONTAJÄRJESTELMÄ 1. 1 Ulkoinen ja sisäinen valvonta Luku TARKASTUSLAUTAKUNTA 1

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

TERVEYSMINISTERIÖ

HE 66/2007 vp. on tarkoitus siirtää vuoden 2008 alusta lukien arkistolaitoksen yhteyteen. Lakiin ehdotetaan tehtäväksi lisäksi tekninen muutos,

Hallituksen esitys Eduskunnalle laeiksi merityöaikalain, työajasta kotimaanliikenteen aluksissa annetun lain ja merimieslain muuttamisesta

Suurten muutosten vuosi 2014

Tarkastussääntö. Yhtymähallitus Yhtymävaltuusto

Ehdotus laiksi digitaalisten palvelujen tarjoamisesta. Erityisasiantuntija Markus Rahkola Valtiovarainministeriö, JulkICT-osasto

Suunnitellut alueellisen varautumisen rakenteet - katsaus valmistelutilanteeseen. Vesa-Pekka Tervo

TARKASTUSSÄÄNTÖ. Hyväksytty yv

Lausunto laajakaistadirektiivin arviointimuistiosta

Hallituksen esitys. Finrail Oy. Lausunto Asia: LVM/2394/03/2017. Yleiset kommentit hallituksen esityksestä

HE 71/2016 vp. Esityksessä ehdotetaan muutettavaksi Kansaneläkelaitoksesta annettua lakia.

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Tietoturvapolitiikka

1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

SISÄMINISTERIÖ Muistio Liite Lainsäädäntöneuvos SM066:00/2011. Asetusehdotus on valmisteltu sisäministeriössä virkatyönä.

Valtorin strategia Strategian painopisteet ja tavoitteet

Turvallisuus ja varautuminen. Vesa-Pekka Tervo Pelastustoimen kehittämispäällikkö Kanta-Hämeen maakuntatilaisuus Hämeenlinna

LUONNOS HE laiksi terveydenhuoltolain 61 ja 79 :n muuttamisesta. Esityksen pääasiallinen sisältö

Tulevat säädösmuutokset ja tietosuoja

AKAAN KAUPUNGIN SÄÄNTÖKOKOELMA TARKASTUSSÄÄNTÖ

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Ehdotus hallituksen esitykseksi eduskunnalle laiksi kielilain 5 :n muuttamisesta

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

MAA- JA METSÄTALOUSMINISTERIÖ Muistio Liite 1 Vanhempi hallitussihteeri Suvi Ruuska

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

YMPÄRISTÖTERVEYDENHUOLLON VARAUTUMINEN JA VALMIUSSUUNNITTELU

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

SÄÄDÖSKOKOELMA Julkaistu Helsingissä 8 päivänä kesäkuuta 2009 N:o Laki. N:o 391

Suomen Erillisverkot 10/2015

LUONNOS HALLITUKSEN ESITYKSEKSI LAIKSI SÄHKÖMARKKINALAIN MUUTTAMISESTA JA ERÄIKSI SIIHEN LIITTYVIKSI LAEIKSI (NS

TYÖ- JA ELINKEINOMINISTERIÖN EHDOTUS TOIMENPITEISTÄ SÄHKÖNJAKELUN VARMUUDEN PARANTAMISEKSI SEKÄ SÄHKÖKATKOJEN VAIKUTUSTEN LIEVITTÄMISEKSI

ORIVEDEN KAUPUNKI TARKASTUSSÄÄNTÖ. Hyväksytty

7 Poliisin henkilötietolaki 50

YMPÄRISTÖMINISTERIÖ Muistio Luonnos EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

l luku. Pelastustoimen järjestäminen ja palveluiden tuottaminen 3. Palvelujen kokoaminen suurempiin kokonaisuuksiin

Laki. kirkkolain muuttamisesta

Kommenttipuheenvuoro Järjestämisen valmistelun esittely Päjät-Hämeessä Maakuntauudistuksen poliittisen ohjausryhmän kokous ma 7.1.

HE 69/2009 vp. säätää neuvontatehtävien hoidosta aiheutuvien kustannusten korvaamisesta maakunnalle.

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

PÄÄASIALLINEN SISÄLTÖ

HE 95/2016 vp. Hallituksen esitys eduskunnalle laiksi valtion taiteilija-apurahoista annetun lain muuttamisesta

Palvelukeskusvalmistelun tilanne

Laki on tarkoitettu tulemaan voimaan mahdollisimman pian.

Valtorin hallituksen tehtävät. Valtorin asiakaspäivä Timo Valli, hallituksen puheenjohtaja

TYÖ- JA ELINKEINOMINISTERIÖ vanhempi hallitussihteeri Luonnos Tiina Korhonen

Transkriptio:

VALTIOVARAINMINISTERIÖ MUISTIO LIITE 2 Lainsäädäntöneuvos Eeva Lantto LUONNOS 15.4.2015 VALTIONEUVOSTON ASETUS JULKISEN HALLINNON TURVALLISUUSVERKKO- TOIMINNASTA 1 Johdanto Ehdotetulla valtioneuvoston asetuksella on tarkoitus säätää julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015), jäljempänä turvallisuusverkkolaki, säännöksiä tarkentavasti. Turvallisuusverkkolain 1 :n 2 momentin mukaan turvallisuusverkko on valtion omistuksessa ja hallinnassa oleva tietoyhteiskuntakaaressa (917/2014) tarkoitettu viranomaisverkko, joka täyttä korkean varautumisen ja turvallisuuden vaatimukset siten kuin siitä mainitussa laissa erikseen säädetään tai lain nojalla määrätään. Turvallisuusverkkoon kuuluu viestintäverkko ja siihen välittömästi liittyvät laitetilat laitteet, muu infrastruktuuri sekä turvallisuusverkon yhteiset palvelut. Turvallisuusverkon palvelutuotanto on turvallisuusverkkolain 2 luvussa jaoteltu kolmeen palveluryhmään: 1) verkko- ja infrastruktuuripalvelut, 2) tieto- ja viestintätekniset palvelut ja 3) integraatiopalvelut. Mainittuja palveluja tuottavat Suomen Erillisverkot Oy ja sen tytäryhtiö, Suomen Turvallisuusverkko Oy (verkko- ja infrastruktuuripalvelut) ja Valtion tieto- ja viestintätekniikkakeskus Valtori (tieto- ja viestintätekniset palvelut sekä integraatiopalvelut). Siirtymäajan, enintään 31.12.2016 saakka, tieto- ja viestintäteknisten palvelujen sekä integraatiopalvelujen tuottajana toimii Hallinnon tietotekniikkakeskus HALTIK. Valtori voi turvallisuusverkkolain 25 :n nojalla toimia verkko- ja infrastruktuuripalvelujen tuottajana 31.12.2016 saakka. Käytännössä tämä tarkoittaa valtioneuvoston verkon runkoverkkoon liittyvien palvelujen tuottamista. Turvallisuusverkon käyttövelvoite edellyttää turvallisuusverkkolain 2 :n 2 momentin mukaan lain 2 luvussa tarkoitettujen ja tällä asetuksella tarkemmin määriteltävien yhteisten palvelujen sekä laitetilojen, laitteiden ja muun infrastruktuurin käyttöä. Turvallisuusverkkolain 2 :n 1 momentissa määritellään turvallisuusverkon käyttövelvoitteen toiminnallinen laajuus ja aineellinen ulottuvuus siten, että käyttövelvoite koskee sellaista valtion johtamiseen ja turvallisuuteen, maanpuolustukseen, yleiseen järjestykseen ja turvallisuuteen, rajaturvallisuuteen, pelastustoimintaan, meripelastustoi-

2 mintaan, hätäkeskustoimintaan, maahanmuuttoon ja ensihoitopalveluun liittyvää viranomaisten sisäistä, välistä ja ulkoista yhteistoimintaa ja viestintää, joissa noudatetaan korkean varautumisen tai turvallisuuden vaatimuksia. Lain 3 :ssä säädetään turvallisuusverkon käyttövelvoitteen organisatorisesta laajuudesta siten, että säännöksessä mainittuihin käyttäjäryhmiin kuuluvilla on velvollisuus käyttää turvallisuusverkkoa silloin, kun ne hoitavat lain 2 :n 1 momentissa tarkoitettuun toimintaan liittyviä tehtäviä. Turvallisuusverkkolain 4 :n mukaan turvallisuusverkkoa voi käyttää myös muu kuin lain 3 :ssä käyttöön velvoitettu käyttäjä, jos se hoitaa lain 2 :n 1 momentissa tarkoitettuja tehtäviä ja kuuluu tietoyhteiskuntakaaren 250 :n mukaan määräytyvään viranomaisverkon käyttäjäryhmään ja liikenne- ja viestintäministeriön lisäksi myös valtiovarainministeriö on hyväksynyt käyttäjän turvallisuusverkon käyttäjäksi. Lisäksi turvallisuusverkkoa saavat lain 4 :n 2 momentin ja 11 :n 2 momentin mukaan käyttää Suomen Erillisverkot Oy ja sen viranomaisradioverkkotoiminnan palveluja tuottavat tytäryhtiöt niille kuuluvien viranomaisradioverkkotoimintaan liittyvien tehtävien hoitamisessa sekä integraatiopalvelujen tuottaja ja sen alihankkijat siinä määrin kun se on näille kuuluvien tehtävien suorittamiseksi välttämätöntä. Turvallisuusverkko on viranomaisverkko, joka täyttää korkean varautumisen ja turvallisuuden vaatimukset siten kuin siitä turvallisuusverkkolaissa erikseen säädetään tai lain nojalla määrätään. Asetuksenantovaltuuksia koskevassa seuraavassa jaksossa on kuvattu myös turvallisuus- ja varautumisvaatimuksia koskevat asetuksenantovaltuudet. Lisäksi valtiovarainministeriö voi turvallisuusverkkolain 14 :n 4 momentin mukaan antaa palvelutuottajille määräyksiä. Määräykset voivat koskea turvallisuusverkkolain 7, 9, 11 ja 12 :ssä tarkoitettuja turvallisuutta, varautumista, valmiutta ja jatkuvuutta koskevia vaatimuksia sekä turvallisuusverkon palvelutuotannon ja käytön ensisijaisuus-, kiireellisyys- ja muuta tärkeysmäärittelyä tai muita turvallisuusverkkotoiminnan ohjauksen kannalta välttämättömiä toimenpiteitä. Valtioneuvosto on turvallisuusverkkolain 17 :n nojalla 22.1.2015 asettanut turvallisuusverkkotoimikunnan neuvottelukunnan toimikaudeksi 22.1.2015-31.12.2016 ja nimennyt neuvottelukunnan jäsenet ja henkilökohtaiset varajäsenet sekä puheenjohtajan ja varapuheenjohtajan. Neuvottelukunnan tehtävänä on lain 17 :n nojalla osallistua turvallisuusverkkolain nojalla annettavien asetusten, määräysten ja tehtävien päätösten sekä muiden turvallisuusverkkotoiminnan lain 14 :ssä tarkoitettua ohjausta ja valvontaa koskevien asioiden valmisteluun. Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä neuvottelukunnan kokoonpanosta ja toimikaudesta sekä tehtävistä. 2 Asetuksenantovaltuudet Turvallisuusverkkolain 7 :n 4 momentin mukaan valtioneuvoston asetuksella annetaan tarkempia säännöksiä verkko- ja infrastruktuuripalvelujen tuottajan tehtävistä, palveluista ja niiden käytöstä, laitetiloista ja laitteista sekä niiden tuottamista tukevista menettelytavoista ja tietojärjestelmistä.

3 3 Keskeiset ehdotukset Lain 9 :n 2 momentin mukaan valtioneuvoston asetuksella annetaan tarkempia säännöksiä tieto- ja viestintäteknisten palvelujen tuottajan tehtävistä, palveluista ja niiden käytöstä sekä niiden tuottamista tukevista menettelytavoista ja tietojärjestelmistä. Lain 11 :n 3 momentin mukaan valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä integraatiopalvelujen tuottajan tehtävistä, palveluista ja niiden käytöstä sekä niiden tuottamista tukevista menettelytavoista ja tietojärjestelmistä. Lain 14 :n 3 momentin mukaan valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä 7, 9, 11 ja 12 :ssä tarkoitetuista turvallisuutta, varautumista, valmiutta ja jatkuvuutta koskevista vaatimuksista sekä turvallisuusverkon palvelutuotannon ja käytön ensisijaisuus-, kiireellisyys- ja tärkeysmäärittelystä sekä turvallisuusverkkotoiminnan ohjauksen ja valvonnan menettelyistä. Säännökset voivat koskea myös turvallisuusverkkotoiminnan järjestelyjä sekä toimintaa koskevia teknisiä vaatimuksia ja menettelytapoja. Lain 17 :n mukaan valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä turvallisuusverkkotoiminnan neuvottelukunnan kokoonpanosta ja toimikaudesta sekä tehtävistä. Ehdotettu valtioneuvoston asetus sisältäisi turvallisuusverkkolakia täsmentäviä säännöksiä turvallisuusverkon palveluista ja palvelutuottajien tehtävistä. Lisäksi asetuksessa säädettäisiin turvallisuusverkon laitetilojen käytöstä. Turvallisuusverkon käyttöön velvoitetuilla on turvallisuusverkkolain 3 :n nojalla velvollisuus käyttää laissa ja tässä asetuksessa määriteltyjä palveluja silloin kun ne hoitavat lain 2 :n 1 momentissa tarkoitettuun toimintaan liittyviä tehtäviä. Asetuksen 11 :ssä säädettäisiin turvallisuusverkon palvelujen käyttöönottoon hyväksymisestä sekä käyttäjän tietojärjestelmän tai tieto- ja viestintäteknisen järjestelmän liittämisen vaatimuksista sekä liittämisen hyväksymisestä. Asetuksella säädettäisiin myös yleisellä tasolla palveluja koskevista korkean varautumisen ja turvallisuuden vaatimuksista, niiden arviointiperusteista sekä vaatimusten täyttymisen toteamisesta. Tarkempia säännöksiä näistä vaatimuksista tultaisiin antamaan turvallisuusverkkolain 14 :n 4 momentin mukaisesti valtiovarainministeriön määräyksillä. Turvallisuusverkkotoiminnan neuvottelukunnan tehtävistä ehdotetaan säädettäväksi siten, että valtiovarainministeriön olisi kuultava turvallisuusverkon käyttäjistä koostuvaa neuvottelukuntaa ainakin ennen turvallisuusverkkotoimintaa koskevien määräysten, päätösten, suositusten tai lausuntojen antamista. 4 Yksityiskohtaiset perustelut 4.1 Asetus julkisen hallinnon turvallisuusverkkotoiminnasta Asetuksen 1 :n mukaan palvelutuottajalla tarkoitettaisiin turvallisuusverkkolain 6, 8 ja 10 :ssä tarkoitettujen palvelujen (verkko- ja infrastruktuuripalvelut, tieto- ja vies-

4 tintätekniset palvelut ja integraatiopalvelut) tuottajia. Mainittuja palveluja tuottavat Suomen Erillisverkot Oy ja sen tytäryhtiö, Suomen turvallisuusverkko Oy (verkko- ja infrastruktuuripalvelut) ja Valtion tieto- ja viestintätekniikkakeskus Valtori (tieto- ja viestintätekniset palvelut sekä integraatiopalvelut). Siirtymäajan, enintään 31.12.2016 saakka, tieto- ja viestintäteknisten palvelujen sekä integraatiopalvelujen tuottajana toimii Hallinnon tietotekniikkakeskus HALTIK. Valtori voi turvallisuusverkkolain 25 :n nojalla toimia verkko- ja infrastruktuuripalvelujen tuottajana 31.12.2016 saakka. Käytännössä tämä tarkoittaa valtioneuvoston verkon runkoverkkoon liittyvien palvelujen tuottamista. Turvallisuusverkon palveluilla tarkoitettaisiin palvelutuottajien asetuksen 2, 3 ja 5 :ssä tarkemmin määriteltyjä palveluja, joita palvelutuottaja tuottaa käyttäjille. Asetuksen 6 :n 2 momentin mukaan palvelutuottajalla olisi velvollisuus laatia ja ylläpitää palveluistaan palveluluetteloa, palvelukuvauksia sekä hinnastoa. Palveluihin voi sisältyä sellaisia taustapalveluja, jotka ovat välttämättömiä varsinaisen palvelun tuottamiseksi. Esimerkiksi verkkopalvelun ja viestintäteknisten palvelujen tuottaminen edellyttää aika- ja synkronointipalvelun olemassaoloa, vaikka sellaista ei erikseen tarjota asiakkaille eikä merkitä palveluluetteloon tai hinnastoon. Käyttäjällä tarkoitettaisiin turvallisuusverkkolain 3 ja 4 :ssä tarkoitettuun käyttäjäryhmään kuuluvaa viranomaista tai muuta yhteisöä kuten poliisin hallinnosta annetussa laissa tarkoitettua keskusrikospoliisia. Käyttäjä olisi aina yhteisö. Käyttäjällä ei siis tarkoitettaisi luonnollista henkilöä/loppukäyttäjää, joka käyttää palvelua. Asetuksen 2 :ssä säädettäisiin verkko- ja infrastruktuuripalvelun tuottajan tehtävistä. Verkkopalvelulla tarkoitetaan tietoyhteiskuntakaaren 3 :n 34 kohdan mukaan palvelua, jossa teleyritys (verkkoyritys) tarjoaa omistamaansa tai muulla perusteella hallussaan olevaa viestintäverkkoa käytettäväksi viestien siirtoon tai jakeluun. Asetuksen 2 :n 1 momentissa määritellyt verkkopalvelut sisältyvät myös tietoyhteiskuntakaaren verkkopalvelun määritelmään. Infrastruktuuripalveluja olisivat asetuksen 2 :n 2 momentin 1 kohdan mukaan laitetilojen sekä laite- ja antennipaikkojen vuokraus ja 2 kohdan mukaan kuitukapasiteetin vuokraus. Käyttöoikeuksia voitaisiin vuokrata Suomessa toimivan teleyrityksen kanssa. Käyttöoikeuksien vuokrausta saisi tehdä vain siinä laajuudessa kuin se on tarpeen 1 momentin mukaisten tehtävien hoitamiseksi. Säännöksen tarkoituksena olisi osaltaan varmistaa toiminnan kustannustehokkuus. Kuitukapasiteetin tai mastopaikan luovuttaminen tai hankkiminen ei saisi vaarantaa turvallisuusverkon käytettävyyttä ja turvallisuudelle ja varautumiselle asetettuja vaatimuksia. Asetuksen 3 :ssä säädettäisiin tieto- ja viestintäteknisten palvelujen tuottajan tehtävistä ja palveluista. Mainittuja palveluja tuottaa siirtymäajan jälkeen yksinoikeudella Valtori, joka tuottaa myös valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain (1226/2013), jäljempänä TORI-laki, 2 :n 2 momentissa tarkoitettuja palveluja siten kuin niistä valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun asetuksessa (132/2014), jäljempänä TORI-asetus, tarkemmin säädetään. Turvallisuusverkon tieto- ja viestintätekniset palvelut olisivat pääosin samoja perustietotekniikka- ja tietojärjestelmäpalveluja kuin TORI-lain 2 :n 2 momentin 1 ja 2 kohdassa säädetyt ja TORI-asetuksen 1, 2 ja 5 :ssä tarkennetut palvelut. Asetuksen 3 :n 1 momentissa määritellyt turvallisuusverkon tieto- ja viestin-

5 tätekniset palvelut on kuitenkin katsottu tarpeelliseksi määritellä itsenäisesti, koska TORI-lakiin ja -asetukseen viittaaminen olisi saattanut johtaa epävarmuuteen turvallisuusverkon palveluista. Itsenäinen määrittely myös helpottaa turvallisuusverkon palvelutuotannon erottamista hallinnollisesti, toiminnallisesti ja taloudellisesti palvelutuottajan muusta toiminnasta. Turvallisuusverkon palvelut eivät kaikilta osin ole samoja ja palvelut saattavat myös eriytyä TORI-palveluista jatkossa, mikä johtaisi tarpeeseen muuttaa molempia lakeja tai asetuksia silloin kun toista muutetaan. Omaisuudenhallintapalveluilla tarkoitettaisiin, että palvelukeskus pääsääntöisesti omistaisi palveluihinsa sisältyvät laitteet ja lisenssit. Perustietotekniikkapalvelujen yhteydessä palvelukeskus voisi tarjota myös niihin kuuluvia laitteita sekä lisenssienhallintapalveluja. Asetuksen 3 :n 1 momentin 5 kodassa tarkennetaan tietojärjestelmäpalvelujen sisältöä koskemaan turvallisuusverkon käyttäjien ja palveluntuottajien johtamistoimintaa, tilannekuvan muodostamista sekä viestinnän turvaavista ja tietoturvauhkien valvontaa ja niiltä suojautumista koskevat viranomaisten yhteiskäyttöiset tietojärjestelmäpalvelut. Tämä lisäys suhteessa TORI-lakiin ja -asetukseen on tarpeellinen sen takia, että turvallisuusverkkolain tarkoituksen toteutumisen kannalta olennainen käyttäjien ja palvelutuottajien tilannetietoisuuden tieto- ja viestintätekninen toteuttaminen tai viestinnän häiriöttömyyden ja jatkuvuuden varmistaminen taikka johtamisessa tarvittavan tiedon tietoturvallisuudesta huolehtiminen edellyttää mainittua toimintaa palvelevien yhteisten tietojärjestelmäpalvelujen tarjoamista. Turvallisuusverkon palvelujen tulee täyttää turvallisuusverkkolaissa, tässä asetuksessa ja valtiovarainministeriön määräyksissä säädetyt korkean turvallisuuden ja varautumisen vaatimukset. Turvallisuusverkon palvelut hyväksyisi käyttöönotettaviksi valtiovarainministeriö siten kuin asetuksen 11 :n 1 momentissa säädettäisiin. Asetuksen 3 :n 2 momentissa säädettäisiin tarpeellinen lisäys, jolla velvoitettaisiin tieto- ja viestintäteknisten palvelujen tuottaja järjestämään myös turvallisuusverkkoon integroitujen toimialasidonnaisten tietojärjestelmäpalveluiden perustietotekniikan tuki- ja käyttäjätukipalveluita jatkossakin nykyisen käytännön mukaisesti. Asetuksen 4 :ssä säädettäisiin integraatiopalvelujen tuottajan tehtävistä, joilla huolehdittaisiin siitä, että käyttäjien toiminnassaan tarvitsemat turvallisuusverkon palvelut ja niihin liittyvät tai niitä käyttävät toimialasidonnaiset palvelut yhdistettäisiin teknisesti ja toiminnallisesti siten, että käyttäjät saisivat käyttöönsä niiden tarpeita palvelevia palvelukokonaisuuksia. Integraatiopalvelujen tuottaja suunnittelisi palveluihin liittyvät sopimuskokonaisuudet, sisällyttäen niihin tarvittavat korkeaan turvallisuuteen ja varautumiseen liittyvät sopimukset, sekä vastaisi käyttäjille yhdenmukaisesta ja läpinäkyvästä hinnoittelusta. Integraatiopalvelujen tuottajalla tulisi olla riittävä tekninen ja palvelujen toimittamiseen ja hallintaan liittyvä toiminnallinen osaaminen, jotta turvallisuusverkon käyttöön velvoitetut käyttäjät voisivat tilata siltä omiin tietojärjestelmähankkeisiinsa turvallisuusverkon perustietotekniikkaan, käyttäjien tukipalveluihin sekä palveluiden yhteensovittamiseen tarvittavaa tukea. Integraatiopalvelujen tuottajan tulisi järjestää ICT-alan parhaita käytäntöjä vastaavasti palvelusuunnitteluun ja palvelujen tuotantoon siirtoon liittyvien tehtävien koordinointi ja varmistaa muutoksenhallintaan, häiriötilannehallintaan ja tietoturvauhkilta suojautumiseen liittyvä yhteistyö palvelutuottajien ja palveluiden käyttäjien ja toimintaa ohjaavien tahojen välille. Tarkoituksena olisi varmistaa, että turvallisuusverkossa tehtävät välttämättömät tekniset muutostyöt ja uusien palvelujen käyttöönotto saadaan so-

6 vitettua yhteen siten, että muutoksista mahdollisesti aiheutuvat vaikutukset käyttäjien operatiiviseen toimintaan saadaan hallittua ja uusien palvelujen käyttöönotot onnistuvat suunnitelmien mukaisesti. Integraatiopalvelujen tuottaja sovittaisi yhteen eri palvelutuottajien muutossuunnitelmat ja tiedottaisi muutostöiden mahdollisesti aiheuttamista vaikutuksista käyttäjille. Integraatiopalvelujen tuottajan tehtävänä olisi myös varmistaa, että suunnittelemattomissa palveluhäiriöissä palvelujen käyttäjät ja turvallisuusverkkotoimintaa ohjaavat tahot saisivat tietoonsa palvelupoikkeaman vaikutukset omaan toimintaansa sekä tiedot palvelujen palauttamisen etenemisestä. Tämän toiminnan mahdollistamiseksi tulisi integraatiopalvelujen tuottajan järjestää tarvittava ympärivuorokautinen johtamiskyvykkyys sekä yhteydenpito muihin palvelutuottajiin sekä koota ja muodostaa turvallisuusverkon palvelutuotannon kokonaistilannekuva ja välittää sitä eri käyttäjien ja toimintaa ohjaavien tahojen tarpeita vastaavasti. Asetuksen 5 :ssä säädettäisiin kaikkien turvallisuusverkon palvelujen osalta palvelutuottajille mahdollisuus tuottaa myös niihin liittyviä asennuspalveluja sekä projekti- ja asiantuntijapalveluja turvallisuusverkon käyttäjille sekä muille palvelutuottajille. Asetuksen 6 :ssä säädettäisiin turvallisuusverkon palvelujen laatu-, toimivuus-, tietoturvallisuus- ja kustannustehokkuusvaatimuksista TORI-asetuksen 14 :ää vastaavasti turvallisuusverkon käyttötarkoituksen erityistarpeet huomioon ottaen. Säännöksessä säädettäisiin myös palvelutuottajien yhteistyövelvollisuudesta sekä velvollisuudesta muodostaa palvelunsa tilannekuva ja välittää se osaksi integraatiopalvelujen tarjoajan ylläpitämää kokonaistilannekuvaa. Turvallisuusverkko on tarkoitettu käytettäväksi kaikissa olosuhteissa, joten sen tulee toimia luotettavasti päivittäisen käytön lisäksi myös normaaliolojen häiriötilanteissa ja poikkeusoloissa. Verkon tulee säilyä toimintakykyisenä muun muassa luonnonilmiöiden, sähkökatkosten ja tietoverkkohyökkäysten sattuessa. Tästä johtuen palvelujen ja järjestelmien käytettävyyden seurannalle, tietoturvavalvonnalle, laitteiden elinkaarien hallinnalle, varaosien ja varalaitteiden saatavuudelle, alihankkijoiden hallinnalle, sopimushallinnalle ja henkilöstön osaamisen seurannalle sekä tilannekuvan kokoamiselle, palvelutuottajakohtaisesti sekä koko turvallisuusverkkotoiminnan osalta, asetetaan erityisiä vaatimuksia. Tilannekuva mahdollistaisi turvallisuusverkkotoiminnan johtamisen kaikissa tilanteissa sekä muodostaisi perustan turvallisuusverkon tekniselle ja toiminnalliselle kehittämiselle. Asetuksen 7 :ssä säädettäisiin turvallisuusverkkolain 5 :ää täydentävästi turvallisuusverkon laitetilojen käytöstä. Säännöksessä mahdollistettaisiin se, että palvelutuottaja voisi käyttää hallussaan olevia laitetiloja kustannustehokkaasti ja sijoittaa niihin myös muita kuin turvallisuusverkon laitteita. Sijoittaminen olisi mahdollista, jos näillä laitteilla tuotettaisiin muita tieto- ja viestintäteknisten palvelujen tuottajan vastuulla olevia korkean varautumisen tai turvallisuuden palveluja ja valtiovarainministeriö hyväksyisi sijoittamisen. Asetuksen 8 :ssä säädettäisiin yleisellä tasolla turvallisuusverkon korkean varautumisen vaatimuksista, joita tarkennettaisiin valtiovarainministeriön turvallisuusverkkolain 14 :n 4 momentin mukaisella määräyksellä, mistä sisältyisi informatiivinen viittaus säännöksen 2 momenttiin. Korkean varautumisen yleiset vaatimukset kohdistuisivat kaikkiin turvallisuusverkon palvelutuottajiin sekä niiden alihankkijoihin. Yleisen tason vaatimuksilla olisi erityinen merkitys kaupallisille toimijoille niiden kehittäessä omaa kykyään osallistua turvallisuusverkkopalveluihin liittyviin kilpailutuksiin.

7 Asetuksen 9 :ssä säädettäisiin turvallisuusverkon palveluja koskevista tietoturvallisuusvaatimuksista, joita tarkennettaisiin valtiovarainministeriön turvallisuusverkkolain 14 :n 4 momentin mukaisella määräyksellä, mistä sisältyisi informatiivinen viittaus säännöksen 2 momenttiin. Turvallisuusverkon palvelujen tulisi olla siten skaalautuvia, että niiden avulla voitaisiin palvelukohtaisesti toteuttaa tietojen suojaamistarvetta ja palvelujen käyttötarkoitusta vastaavan suojaustason (II-IV) vaatimukset. Asetuksen 10 :ssä säädettäisiin asetuksen 8 ja 9 :ssä säädettyjen varautumis- ja tietoturvavaatimusten täyttymisen toteamisessa käytettävistä arviointiperusteista, joita olisivat asetuksen lisäksi valtiovarainministeriön määräykset. Määräyksissä voitaisiin tarkoituksenmukaisilta osin viitata muihin arviointikriteeristöihin. Asetuksen 10 :n 2 momentti sisältäisi viittaussäännöksen viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annettuun lakiin (1406/2011) sekä kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin (588/2004), joissa säädetään vaatimusten mukaisuuden täyttymisen toteamisesta ja arvioinnista. Asetuksen 10 :n 3 momentin mukaan palvelutuottaja vastaisi siitä, että sen palvelutuotannossa olevat palvelut, tietojärjestelmät ja laitteet täyttävät varautumista ja tietoturvallisuutta koskevat vaatimukset koko niiden elinkaaren ajan myös silloin kun palvelutuottaja käyttää turvallisuusverkon palvelun tuottamiseen alihankkijaa. Käytännössä tämä tarkoittaa, että palvelujen tietoturvallisuuden tasoa on ylläpidettävä ja seurattava siten kuin esimerkiksi viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) 9 :ssä edellytetään. Alihankkijaa koskevalla erityisellä maininnalla asetuksen 10 :n 3 momentissa on haluttu selventää sitä, että esimerkiksi palvelua tai sen osaa koskevien vaatimusten täyttymisen toteamisesta 10 :ssä säädetty koskee myös alihankkijan tuottamaa turvallisuusverkon palvelun osaa. Turvallisuusverkkolain 13 :n 3 momentin nojalla palvelutuottaja vastaa muutoinkin alihankkijan työstä kuin omastaan. Valtiovarainministeriö ohjaisi alihankinnan laajuutta ja hyväksyisi turvallisuusverkon palvelujen alihankkijat siten kuin turvallisuusverkkolain 13 :ssä ja 14 :ssä säädetään. Alihankkijoiksi, joihin sovellettaisiin palvelutuottajaan ja turvallisuusverkon palveluihin kohdistuvia korkean turvallisuuden ja varautumisen vaatimuksia, hyväksyttäisiin vai sellaisia yrityksiä ja palvelutuottajia, joille muodostuisi merkittävä rooli palvelun toimivuuden tai jatkuvuuden varmistamisessa. Muiden sopimustoimittajien osalta sovellettaisiin palvelukohtaisesti tarvittavia turvallisuus-, turvallisuusselvitys-, salassapito- sekä varautumisvaatimuksia. Tällaisia sopimustoimittajia olisivat varsinaisia palveluihin liittyvät yksittäisten laitteiden tai ohjelmistojen toimittajat tai palvelutuottajille tukipalveluita, kuten siivous-, kirjanpito- ja ajoneuvon vuokrauspalveluja, tuottavat sopimuskumppanit. Asetuksen 11 :n 1 momentissa säädettäisiin turvallisuusverkon palvelujen käyttöön hyväksymisestä. Valtiovarainministeriö hyväksyisi palvelut käyttöön sen jälkeen kun olisi ensin 10 :n mukaisesti selvitetty, että ne täyttävät asetuksen 8 ja 9 :n mukaiset sekä valtiovarainministeriön määräyksissä asetetut vaatimukset. Mikäli palvelun arvioinnissa esimerkiksi tiettyä suojaustasoa vasten olisi ilmennyt puutteita, palvelu voitaisiin hyväksyä käyttöön alemmalle suojaustasolle, kunnes kaikkien ylemmän suojaustason vaatimusten on riittävällä tavalla osoitettu täyttyvän. Asetuksen 11 :n 2 momentissa säädettäisiin käyttäjän tietojärjestelmän tai tieto- ja viestintäteknisen pal-

8 5 Vaikutukset 6 Asetuksen valmistelu 7 Riippuvuudet velun turvallisuusverkkoon liittämisen edellytyksistä. Palvelutuottajan olisi varmistettava, että liitettävän tietojärjestelmän ja tieto- ja viestintäteknisen palvelun liityntäratkaisu täyttää turvallisuusverkon turvallisuustason ylläpitämisen kannalta riittävät tietoturvallisuutta koskevat vaatimukset. Palvelutuottajan tulisi myös hankkia liittämiselle valtiovarainministeriön hyväksyntä. Asetuksen 11 :n 3 momentti sisältäisi informatiivisen viittauksen koskien sitä, että hyväksymis- ja käyttöönottomenettelyitä tarkennettaisiin valtiovarainministeriön määräyksellä. Asetuksen 12 :ssä säädettäisiin turvallisuusverkkotoiminnan neuvottelukunnasta. Asetuksen 1 momentilla joustavoitettaisiin neuvottelukunnan kokoonpanon muuttamista tarkoituksenmukaisella tavalla siten, että valtiovarainministeriön päätöksellä voitaisiin täydentää kokoonpanoa palvelutuottajien ja käyttäjien edustajilla sekä vaihtaa henkilöjäsen tämän edustaman tahon pyynnöstä ilman erillistä valtioneuvoston turvallisuusverkkolain 17 :n mukaista asettamispäätöstä. Asiantuntijoiden kuulemismahdollisuus ja alatyöryhmien perustamismahdollisuus todettaisiin 2 momentissa. Neuvottelukunnan tehtävistä säädettäisiin 12 :n 3 momentissa siten, että valtiovarainministeriöllä olisi velvollisuus kuulla neuvottelukuntaa ainakin ennen säännöksessä lueteltuja asioita koskevien määräysten, päätösten, suositusten tai lausuntojen antamista. Neuvottelukuntaa voitaisiin kuulla muissakin asioissa tarpeen mukaan. Ehdotetun asetuksen vaikutuksia on arvioitu hallituksen esityksessä laiksi julkisen hallinnon turvallisuusverkkotoiminnasta (HE 54/2013). Asetuksen taloudelliset vaikutukset tulevat turvallisuusverkkolaista. Asetuksella sinänsä ei ole taloudellisia vaikutuksia ja se voidaan toimeenpanna valtiontalouden kehyspäätöksen määrärahojen puitteissa. Asetusehdotus on valmisteltu valtiovarainministeriössä yhteistyössä palvelutuottajien ja osallistuvien ministeriöiden kanssa. Asetusluonnoksesta on pyydetty lausuntoa seuraavilta tahoilta[ ] Asetusehdotus on tarkastettu oikeusministeriön lainvalmisteluosaston laintarkastusyksikössä. Asetuksella on liityntä valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annettuun asetukseen (TORI-asetus), jossa säädetään Valtorin osalta sen tuottamista toimialariippumattomista tieto- ja viestintäteknisistä palveluista ja niiden tuottamiseen liittyvistä tehtävistä. Tämän asetuksen mukaan Valtorin tuottamat palvelut ja sille kuuluvat tehtävät olisivat pitkälti samoja. Valtorin TORI-asetuksen mukaisista palveluista tämän asetuksen palvelut eroaisivat siinä, että valtiovarainministeriön tulee hyväksyä palvelut käyttöönotettaviksi ja niiden tulee täyttää turvallisuusverkkotoiminnalle asetetut korkean varautumisen ja turvallisuuden vaatimukset. Turvallisuusverkkolain ja tämän asetuksen mukaisia korkean varautumisen ja turvallisuuden palveluiden käyttövelvollisuus määräytyisi turvallisuusverkkolain mukaisesti.

9 8 Voimaantulo Asetus ehdotetaan tulemaan voimaan mahdollisimman pian sen hyväksymisen jälkeen.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute