VALTIOVARAINMINISTERIÖ Muistio Liite 1 Lainsäädäntöneuvos 27.8.2015 Eeva Lantto



Samankaltaiset tiedostot
VALTIOVARAINMINISTERIÖ MUISTIO LIITE 2 Lainsäädäntöneuvos Eeva Lantto VALTIONEUVOSTON ASETUS JULKISEN HALLINNON TURVALLISUUSVERKKO- TOIMINNASTA

Valtioneuvoston asetus

Luonnos LIITE 1

Lausunto PELASTUSLAITOSTEN KUMPPANUUSVERKOSTO Lausunto PelJ/96/01.00/2018

-luonnos VALTIONEUVOSTON ASETUS VALTION YHTEISTEN TIETO- JA VIESTINTÄTEK- NISTEN PALVELUJEN JÄRJESTÄMISESTÄ

VALTIOVARAINMINISTERIÖ Lainsäädäntöneuvos Hannele Kerola

Antti-Jussi Lankinen, Mira Karppanen Liikenne- ja viestintävaliokunta

Julkaistu Helsingissä 15 päivänä kesäkuuta /2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Kertomusluonnoksesta annetut lausunnot Hallinnon turvallisuusverkkotoiminnan ohjaus (14/2016) 172/54/2015

MAANMITTAUSLAITOKSEN LAUSUNTO HALLITUKSEN ESITYKSESTÄ LAIKSI HALLINNON YHTEISISTÄ SÄHKÖISEN ASIOINNIN TUKIPALVELUISTA

JUHTA asetus ja asettaminen. JUHTA Sami Kivivasara, VM JulkICT

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

Asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

TALPOL linjaukset TORI-toimenpiteet

PIRKANMAAN SAIRAANHOITOPIIRIN KUNTAYHTYMÄN TARKASTUSSÄÄNTÖ LUKIEN

Valtioneuvoston asetus

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014

Laki. EDUSKUNNAN VASTAUS 191/2013 vp

Pirkkalan kunta Tarkastussääntö 1

Laki. Eduskunnan päätöksen mukaisesti säädetään: 1 luku. Yleiset säännökset. Jollei tässä laissa toisin säädetä, turvallisuusverkkotoimintaan

Valtioneuvoston asetus

JOKILATVOJEN TILAPALVELUIDEN KUNTAYHTYMÄN TARKASTUSSÄÄNTÖ

Pelastuslaitosten kumppanuusverkoston lausunto valtioneuvoston asetuksesta julkisen hallinnon turvallisuusverkkotoiminnasta

-luonnos- VALTIONEUVOSTON ASETUS VALTION YHTEISTEN TIETO- JA VIESTINTÄTEK- NISTEN PALVELUJEN JÄRJESTÄMISESTÄ

Julkaistu Helsingissä 31 päivänä joulukuuta /2013 Laki. valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

Kansallinen palveluarkkitehtuuri Mistä laissa on tarkoitus säätää?

Laki. julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta

MAA- JA METSÄTALOUSMINISTERIÖ Muistio Liite 1 Vanhempi hallitussihteeri Jukka Ränkimies

Valtorin strategia. Hyväksytty Valtorin hallituksen kokouksessa

HE 108/2015 vp. Hallituksen esitys eduskunnalle laiksi Suomen metsäkeskuksesta annetun lain 39 :n muuttamisesta

TERVEYSMINISTERIÖ

Valtorin strategia Töissä valtiolla sujuvasti ja turvatusti

ORIVEDEN KAUPUNKI TARKASTUSSÄÄNTÖ. Hyväksytty

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

TARKASTUSSÄÄNTÖ JOKIOISTEN KUNTA. Hyväksytty Jokioisten kunnan valtuusto Muutos Jokioisten kunnan valtuusto (muutettu 2 )

Varautuminen sotelainsäädännössä

HE 66/2007 vp. on tarkoitus siirtää vuoden 2008 alusta lukien arkistolaitoksen yhteyteen. Lakiin ehdotetaan tehtäväksi lisäksi tekninen muutos,

Hallituksen esitys Eduskunnalle laeiksi merityöaikalain, työajasta kotimaanliikenteen aluksissa annetun lain ja merimieslain muuttamisesta

Hallituksen esitys Kevasta annetun lain muuttamiseksi

1. Luku VALVONTAJÄRJESTELMÄ 1. 1 Ulkoinen ja sisäinen valvonta Luku TARKASTUSLAUTAKUNTA 1

Aluehallintovirastot ja kuntien varautuminen

VALTIOVARAINMINISTERIÖ Muistio Liite 1 Lainsäädäntöneuvos VM/1959/ /2017

Espoon kaupunki Tietoturvapolitiikka

Suunnitellut alueellisen varautumisen rakenteet - katsaus valmistelutilanteeseen. Vesa-Pekka Tervo

HE 87/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

Tarkastussääntö. Yhtymähallitus Yhtymävaltuusto

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASETTAMINEN

TARKASTUSSÄÄNTÖ. Hyväksytty yv

Selvitys hallintovaliokunnan HaVM 35/2014 mietinnössä ilmenevistä eri seikoista

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

Toimialariippumattomien tieto- ja viestintäteknisten tehtävien kokoamishankkeen asettaminen

l luku. Pelastustoimen järjestäminen ja palveluiden tuottaminen 3. Palvelujen kokoaminen suurempiin kokonaisuuksiin

AKAAN KAUPUNGIN SÄÄNTÖKOKOELMA TARKASTUSSÄÄNTÖ

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Laki. kirkkolain muuttamisesta

Tietoyhteiskuntakaaren käsitteistöä

Maakunnan järjestäjän rooli valinnanvapauspalveluissa. Kirsi Paasovaara Erityisasiantuntija, STM

HE 33/2010 vp. siirrettäisiin asetuksesta lakiin. Esityksen tarkoituksena on saattaa keskusta koskevat säännökset vastaamaan perustuslain vaatimuksia

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Lausunto luonnoksesta valtioneuvoston asetukseksi valtion yhteisen tieto- ja viestintäteknisten palvelujen järjestämisestä

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

KAJAANIN KAUPUNGIN TARKASTUSSÄÄNTÖ

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

2 (5) Tarkastussääntö Hyväksytty: yhtymäkokous xx.xx.xxxx xx Tilintarkastajan tehtävät

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Seinäjoen koulutuskuntayhtymän. Tarkastussääntö. Hyväksytty yhtymävaltuustossa , 26

YMPÄRISTÖMINISTERIÖ Muistio Luonnos EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

Lausunto laajakaistadirektiivin arviointimuistiosta

Kunnan hallinnon ja talouden valvonta järjestetään niin, että ulkoinen ja sisäinen valvonta yhdessä muodostavat kattavan valvontajärjestelmän.

Muistio EHDOTUS VALTIONEUVOSTON ASETUKSEKSI TEURASRUHOJEN LUOKITTE LUSTA

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Kajaanin Ammattikorkeakoulu Oy JOHTOSÄÄNTÖ (1/6) Hyväksytty Kajaanin Ammattikorkeakoulu Oy:n hallituksessa YLEISTÄ.

LIIKENNE- JA VIESTINTÄMINISTERIÖ Palveluosasto VALTIONEUVOSTON ASETUS TASAPAINOISESTA LÄHESTYMISTAVASTA LENTOASEMAN MELUN HALLINNASSA

HÄMEENLINNAN KAUPUNGIN S Ä Ä D Ö S K O K O E L M A HÄMEENLINNAN KAUPUNGIN LASTEN, NUORTEN JA ELÄMÄNLAATUPALVELUJEN TOIMINTASÄÄNTÖ

laeiksi julkisen hallinnon tietohallinnon ohjauksesta

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

KAINUUN PELASTUSLAITOS

Valvontajärjestelmä. Tarkastuslautakunta

TIETOTURVAPOLITIIKKA

Henkilöstön työturvallisuuden ja työkyvyn edistäminen ammatillisissa oppilaitoksissa - tutkimushankkeen tulosseminaari

Pelastustoimen uudistushanke

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Tietohallinnon kansallinen ohjaus

EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

SOTE uudistus Kunnan asukasluvun sekä muiden kantokykyperusteiden mukaan järjestämisvastuu määräytyy seuraavasti;

Luonnos Perustelumuistio

Valtakunnallista kehittämistehtävää hoitavan yleisen kirjaston toimialueena

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Työneuvoston lausunto TN (24/97)

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE 135/2018 vp. Hallituksen esitys eduskunnalle laiksi Ahvenanmaan itsehallintolain 30 :n muuttamisesta

SISÄMINISTERIÖ Muistio Liite 1 Hallitusneuvos Henri Helo

Eduskunnan hallintovaliokunnan kannanotto tietohallintolain vaikutuksiin. JUHTA Sami Kivivasara

OIKEUSMINISTERIÖ Muistio Liite 1 Lainsäädäntöneuvos Salla Silvola

Transkriptio:

VALTIOVARAINMINISTERIÖ Muistio Liite 1 Lainsäädäntöneuvos 27.8.2015 Eeva Lantto VALTIONEUVOSTON ASETUS JULKISEN HALLINNON TURVALLISUUSVERKKO- TOIMINNASTA 1 Johdanto Ehdotetulla valtioneuvoston asetuksella on tarkoitus säätää julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015), jäljempänä turvallisuusverkkolaki, säännöksiä tarkentavasti. Turvallisuusverkkolain 1 :n 2 momentin mukaan turvallisuusverkko on valtion omistuksessa ja hallinnassa oleva tietoyhteiskuntakaaressa (917/2014) tarkoitettu viranomaisverkko, joka täyttä korkean varautumisen ja turvallisuuden vaatimukset siten kuin siitä mainitussa laissa erikseen säädetään tai lain nojalla määrätään. Turvallisuusverkkoon kuuluu viestintäverkko ja siihen välittömästi liittyvät laitetilat laitteet, muu infrastruktuuri sekä turvallisuusverkon yhteiset palvelut. Turvallisuusverkon palvelutuotanto on turvallisuusverkkolain 2 luvussa jaoteltu kolmeen palveluryhmään: 1. verkko- ja infrastruktuuripalvelut, 2. tieto- ja viestintätekniset palvelut ja 3. integraatiopalvelut. Mainittuja palveluja tuottavat Suomen Erillisverkot Oy ja sen tytäryhtiö, Suomen Turvallisuusverkko Oy (verkko- ja infrastruktuuripalvelut) ja Valtion tieto- ja viestintätekniikkakeskus Valtori (tieto- ja viestintätekniset palvelut sekä integraatiopalvelut). Siirtymäajan, enintään 31.12.2016 saakka, tieto- ja viestintäteknisten palvelujen sekä integraatiopalvelujen tuottajana toimii Hallinnon tietotekniikkakeskus HALTIK. Valtori voi turvallisuusverkkolain 25 :n nojalla toimia verkko- ja infrastruktuuripalvelujen tuottajana 31.12.2016 saakka. Turvallisuusverkon käyttövelvoite edellyttää turvallisuusverkkolain 2 :n 2 momentin mukaan lain 2 luvussa tarkoitettujen ja tällä asetuksella tarkemmin määriteltävien yhteisten palvelujen sekä laitetilojen, laitteiden ja muun infrastruktuurin käyttöä. Turvallisuusverkkolain 2 :n 1 momentissa määritellään turvallisuusverkon käyttövelvoitteen toiminnallinen laajuus ja aineellinen ulottuvuus siten, että käyttövelvoite koskee sellaista valtion johtamiseen ja turvallisuuteen, maanpuolustukseen, yleiseen järjestykseen ja turvallisuuteen, rajaturvallisuuteen, pelastustoimintaan, meripelastustoimintaan, hätäkeskustoimintaan, maahanmuuttoon ja ensihoitopalveluun liittyvää viranomaisten sisäistä, välistä ja ulkoista yhteistoimintaa ja viestintää, joissa noudatetaan korkean varautumisen tai turvallisuuden vaatimuksia. Lain 3 :ssä säädetään turvallisuusverkon käyttövelvoitteen organisatorisesta laajuudesta siten, että säännöksessä mainittuihin käyttäjäryhmiin kuuluvilla on velvollisuus käyttää turvallisuusverkkoa silloin, kun ne hoitavat lain 2 :n 1 momentissa tarkoitettuun toimintaan liittyviä tehtäviä.

2 Turvallisuusverkon käyttövelvoitteesta voidaan poiketa lain 5 :n 3 momentin mukaan mikäli lain 2 :n 1 momentissa tarkoitetussa toiminnassa käytettävien laitteiden ja tietojärjestelmien sijoittaminen turvallisuusverkon laitetiloihin ei ole teknisistä tai toiminnallisista syistä välttämätöntä. Lain 2 :n 1 momentin mukaan käyttövelvoite koskee yhteisten palveluiden käyttöä sellaisessa viranomaisten sisäisessä, välisessä ja ulkoisessa yhteistoiminnassa ja viestinnässä, joissa noudatetaan korkean varautumisen tai turvallisuuden vaatimuksia. Turvallisuusverkkolain 4 :n mukaan turvallisuusverkkoa voi käyttää myös muu kuin lain 3 :ssä käyttöön velvoitettu käyttäjä, jos se hoitaa lain 2 :n 1 momentissa tarkoitettuja tehtäviä ja kuuluu tietoyhteiskuntakaaren 250 :n mukaan määräytyvään viranomaisverkon käyttäjäryhmään ja liikenne- ja viestintäministeriön lisäksi myös valtiovarainministeriö on hyväksynyt käyttäjän turvallisuusverkon käyttäjäksi. Lisäksi turvallisuusverkkoa saavat lain 4 :n 2 momentin ja 11 :n 2 momentin mukaan käyttää Suomen Erillisverkot Oy ja sen viranomaisradioverkkotoiminnan palveluja tuottavat tytäryhtiöt niille kuuluvien viranomaisradioverkkotoimintaan liittyvien tehtävien hoitamisessa sekä integraatiopalvelujen tuottaja ja sen alihankkijat siinä määrin kun se on näille kuuluvien tehtävien suorittamiseksi välttämätöntä. Turvallisuusverkko on viranomaisverkko, joka täyttää korkean varautumisen ja turvallisuuden vaatimukset siten kuin siitä turvallisuusverkkolaissa erikseen säädetään tai lain nojalla määrätään. Asetuksenantovaltuuksia koskevassa seuraavassa jaksossa on kuvattu myös turvallisuus- ja varautumisvaatimuksia koskevat asetuksenantovaltuudet. Lisäksi valtiovarainministeriö voi turvallisuusverkkolain 14 :n 4 momentin mukaan antaa palvelutuottajille määräyksiä. Määräykset voivat koskea turvallisuusverkkolain 7, 9, 11 ja 12 :ssä tarkoitettuja turvallisuutta, varautumista, valmiutta ja jatkuvuutta koskevia vaatimuksia sekä turvallisuusverkon palvelutuotannon ja käytön ensisijaisuus-, kiireellisyys- ja muuta tärkeysmäärittelyä tai muita turvallisuusverkkotoiminnan ohjauksen kannalta välttämättömiä toimenpiteitä. Valtioneuvosto on turvallisuusverkkolain 17 :n nojalla 22.1.2015 asettanut turvallisuusverkkotoimikunnan neuvottelukunnan toimikaudeksi 22.1.2015-31.12.2016 ja nimennyt neuvottelukunnan jäsenet ja henkilökohtaiset varajäsenet sekä puheenjohtajan ja varapuheenjohtajan. Neuvottelukunnan tehtävänä on lain 17 :n nojalla osallistua turvallisuusverkkolain nojalla annettavien asetusten, määräysten ja tehtävien päätösten sekä muiden turvallisuusverkkotoiminnan lain 14 :ssä tarkoitettua ohjausta ja valvontaa koskevien asioiden valmisteluun. Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä neuvottelukunnan kokoonpanosta ja toimikaudesta sekä tehtävistä. Asetuksella on liityntä valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annettuun asetukseen (132/2014), jäljempänä TORI-asetus, jossa säädetään Valtorin osalta sen tuottamista toimialariippumattomista tieto- ja viestintäteknisistä palveluista ja niiden tuottamiseen liittyvistä tehtävistä. Ehdotetun turvallisuusverkkotoimintaa koskevan asetuksen mukaan Valtorin tuottamat palvelut ja sille kuuluvat tehtävät olisivat pitkälti samoja kuin TORI-asetuksessa tietyin poikkeuksin. Valtorin TORI-asetuksen mukaisista palveluista tämän asetuksen palvelut eroaisivat olennaisesti siinä, että valtiovarainministeriön tulee hyväksyä turvallisuusverkon palvelut käyttöönotettaviksi ja niiden tulee täyttää turvallisuusverkkotoiminnalle asetetut korkean varautumisen ja turvallisuuden vaatimukset. Turvallisuusverkkolain ja tämän

3 asetuksen mukaisten korkean varautumisen ja turvallisuuden palveluiden käyttövelvollisuus määräytyisi turvallisuusverkkolain mukaisesti. 2 Asetuksenantovaltuudet 3 Keskeiset ehdotukset Turvallisuusverkkolain 7 :n 4 momentin mukaan valtioneuvoston asetuksella annetaan tarkempia säännöksiä verkko- ja infrastruktuuripalvelujen tuottajan tehtävistä, palveluista ja niiden käytöstä, laitetiloista ja laitteista sekä niiden tuottamista tukevista menettelytavoista ja tietojärjestelmistä. Lain 9 :n 2 momentin mukaan valtioneuvoston asetuksella annetaan tarkempia säännöksiä tieto- ja viestintäteknisten palvelujen tuottajan tehtävistä, palveluista ja niiden käytöstä sekä niiden tuottamista tukevista menettelytavoista ja tietojärjestelmistä. Lain 11 :n 3 momentin mukaan valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä integraatiopalvelujen tuottajan tehtävistä, palveluista ja niiden käytöstä sekä niiden tuottamista tukevista menettelytavoista ja tietojärjestelmistä. Lain 14 :n 3 momentin mukaan valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä 7, 9, 11 ja 12 :ssä tarkoitetuista turvallisuutta, varautumista, valmiutta ja jatkuvuutta koskevista vaatimuksista sekä turvallisuusverkon palvelutuotannon ja käytön ensisijaisuus-, kiireellisyys- ja tärkeysmäärittelystä sekä turvallisuusverkkotoiminnan ohjauksen ja valvonnan menettelyistä. Säännökset voivat koskea myös turvallisuusverkkotoiminnan järjestelyjä sekä toimintaa koskevia teknisiä vaatimuksia ja menettelytapoja. Lain 17 :n mukaan valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä turvallisuusverkkotoiminnan neuvottelukunnan kokoonpanosta ja toimikaudesta sekä tehtävistä. Ehdotettu valtioneuvoston asetus sisältäisi turvallisuusverkkolakia täsmentäviä säännöksiä turvallisuusverkon palveluista ja palvelutuottajien tehtävistä. Lisäksi asetuksessa säädettäisiin turvallisuusverkon laitetilojen käytöstä. Turvallisuusverkon käyttöön velvoitetuilla on turvallisuusverkkolain 3 :n nojalla velvollisuus käyttää laissa ja tässä asetuksessa määriteltyjä palveluja silloin kun ne hoitavat lain 2 :n 1 momentissa tarkoitettuun toimintaan liittyviä tehtäviä. Asetuksen 11 :ssä säädettäisiin turvallisuusverkon palvelujen käyttöönottoon hyväksymisestä sekä käyttäjän tietojärjestelmän tai tieto- ja viestintäteknisen järjestelmän liittämisen vaatimuksista sekä liittämisen hyväksymisestä. Asetuksella säädettäisiin myös yleisellä tasolla palveluja koskevista korkean varautumisen ja turvallisuuden vaatimuksista, niiden arviointiperusteista sekä vaatimusten täyttymisen toteamisesta. Tarkempia säännöksiä näistä vaatimuksista tultaisiin antamaan turvallisuusverkkolain 14 :n 4 momentin mukaisesti valtiovarainministeriön määräyksillä. Turvallisuusverkkotoiminnan neuvottelukunnan tehtävistä ehdotetaan säädettäväksi siten, että valtiovarainministeriön olisi kuultava turvallisuusverkon käyttäjistä koos-

4 tuvaa neuvottelukuntaa ainakin ennen turvallisuusverkkotoimintaa koskevien määräysten, päätösten tai suositusten antamista. 4 Yksityiskohtaiset perustelut 4.1 Asetus julkisen hallinnon turvallisuusverkkotoiminnasta Asetuksen 1 :n mukaan palvelutuottajalla tarkoitettaisiin turvallisuusverkkolain 6, 8 ja 10 :ssä tarkoitettujen palvelujen (verkko- ja infrastruktuuripalvelut, tieto- ja viestintätekniset palvelut ja integraatiopalvelut) tuottajia. Mainittuja palveluja tuottavat Suomen Erillisverkot Oy ja sen tytäryhtiö, Suomen turvallisuusverkko Oy (verkkoja infrastruktuuripalvelut) ja Valtion tieto- ja viestintätekniikkakeskus Valtori (tietoja viestintätekniset palvelut sekä integraatiopalvelut). Siirtymäajan, enintään 31.12.2016 saakka, tieto- ja viestintäteknisten palvelujen sekä integraatiopalvelujen tuottajana toimii Hallinnon tietotekniikkakeskus HALTIK. Valtori voi turvallisuusverkkolain 25 :n nojalla toimia verkko- ja infrastruktuuripalvelujen tuottajana 31.12.2016 saakka. Turvallisuusverkon palveluilla tarkoitettaisiin palvelutuottajien asetuksen 2, 3 ja 5 :ssä tarkemmin määriteltyjä palveluja, joita palvelutuottaja tuottaa käyttäjille. Asetuksen 6 :n 2 momentin mukaan palvelutuottajalla olisi velvollisuus laatia ja ylläpitää palveluistaan palveluluetteloa, palvelukuvauksia sekä hinnastoa. Palveluihin voi sisältyä sellaisia taustapalveluja, jotka ovat välttämättömiä varsinaisen palvelun tuottamiseksi. Esimerkiksi verkkopalvelun ja viestintäteknisten palvelujen tuottaminen edellyttää aika- ja synkronointipalvelun olemassaoloa, vaikka sellaista ei erikseen tarjota asiakkaille eikä merkitä palveluluetteloon tai hinnastoon. Käyttäjällä tarkoitettaisiin turvallisuusverkkolain 3 ja 4 :ssä tarkoitettuun käyttäjäryhmään kuuluvaa viranomaista tai muuta yhteisöä kuten poliisin hallinnosta annetussa laissa tarkoitettua Keskusrikospoliisia. Käyttäjän määritelmä sisältää vastaavan rajauksen kuin turvallisuusverkkolaissa. Turvallisuusverkon palvelujen käyttövelvollisuus on ainoastaan turvallisuusverkkolain 2 :n 1 momenttiin tarkoitettuun toimintaan liittyviä tehtäviä hoidettaessa. Käyttäjä olisi aina yhteisö. Käyttäjällä ei siis tarkoitettaisi luonnollista henkilöä eli loppukäyttäjää, joka käyttää palvelua. Asetuksen 2 :ssä säädettäisiin verkko- ja infrastruktuuripalvelun tuottajan tehtävistä. Verkkopalvelulla tarkoitetaan tietoyhteiskuntakaaren 3 :n 34 kohdan mukaan palvelua, jossa teleyritys (verkkoyritys) tarjoaa omistamaansa tai muulla perusteella hallussaan olevaa viestintäverkkoa käytettäväksi viestien siirtoon tai jakeluun. Asetuksen 2 :n 1 momentissa määritellyt verkkopalvelut sisältyvät myös tietoyhteiskuntakaaren verkkopalvelun määritelmään. On huomattava, että tietoyhteiskuntakaaren teleyrityksiä ja yleisten viestintäpalvelujen tarjoamiseen käytettäviä verkkoja koskevat säännökset eivät koske ennalta rajatulle käyttäjäpiirille tarjottuja verkkoja tai palveluja, kuten turvallisuusverkon palvelut. Verkko- ja infrastruktuuripalvelujen tuottajan infrastruktuuripalveluihin liittyvistä tehtävistä säädetään turvallisuusverkkolain 7 :n 1 momentin 2 kohdassa, jonka mukaan palvelutuottajan tehtävänä on yksinoikeudella hallinnoida turvallisuusverkon laitetiloja ja laitteita sekä tuottaa, ylläpitää ja kehittää turvallisuusverkon muita yhteisiä infrastruktuuripalveluja. Lain 7 :n 3 momentin mukaan palvelutuottaja voi verkko- ja infrastruktuuripalveluihin liittyvien tehtävien hoitamiseksi sopia Suomessa toimivan teleyrityksen kanssa turvallisuus-

5 verkon kuitukapasiteetin, siirtoyhteyksien ja antenni- ja laitepaikan käyttöoikeuksien hankkimisesta tai luovuttamisesta. Infrastruktuuripalvelujen osalta käyttäjille ja muille palvelutuottajille voidaan asetuksen 2 :n 2 mukaan tarjota laitetiloja sekä laite- ja antennipaikkoja. Asetuksen 3 :ssä säädettäisiin tieto- ja viestintäteknisten palvelujen tuottajan tehtävistä ja palveluista. Mainittuja palveluja tuottaa siirtymäajan jälkeen yksinoikeudella Valtori, joka tuottaa myös valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain (1226/2013), jäljempänä TORI-laki, 2 :n 2 momentissa tarkoitettuja palveluja siten kuin TORI-asetuksessa tarkemmin säädetään. Turvallisuusverkon tieto- ja viestintätekniset palvelut olisivat pääosin samoja perustietotekniikka- ja tietojärjestelmäpalveluja kuin TORI-lain 2 :n 2 momentin 1 ja 2 kohdassa säädetyt ja TORI-asetuksen 1, 2 ja 5 :ssä tarkennetut palvelut. Turvallisuusverkkotoimintaa koskevan asetuksen 3 :n 1 momentissa määritellyt turvallisuusverkon tieto- ja viestintätekniset palvelut on kuitenkin katsottu tarpeelliseksi määritellä itsenäisesti, koska TORI-lakiin ja -asetukseen viittaaminen olisi saattanut johtaa siihen, etteivät turvallisuusverkon palvelut olisi riittävän täsmällisesti määritelty. Itsenäinen turvallisuusverkon palvelujen määrittely myös helpottaa turvallisuusverkon palvelutuotannon erottamista hallinnollisesti, toiminnallisesti ja taloudellisesti palvelutuottajan muusta toiminnasta. Turvallisuusverkon palvelut eivät kaikilta osin ole samoja ja palvelut saattavat tulevaisuudessa myös eriytyä entisestään TORI-asetuksessa tarkoitetuista palveluista, mikä johtaisi tarpeeseen muuttaa molempia lakeja tai asetuksia silloin kun toista muutetaan. Asetuksen 3 :n 1 momentin 6 kohdassa tarkennetaan tietojärjestelmäpalvelujen sisältöä koskemaan turvallisuusverkon käyttäjien ja palveluntuottajien tilannetietoisuutta, johtamista tai viestinnän häiriöttömyyttä ja jatkuvuutta sekä tietoturvallisuudesta huolehtimista tukevien viranomaisten yhteiskäyttöisten tietojärjestelmäpalvelujen tuottamista. Mainitut tietojärjestelmäpalvelut eivät esimerkiksi sisälly TORIlakiin ja -asetukseen, mutta ne ovat turvallisuusverkkotoiminnassa tärkeitä. Turvallisuusverkkolain tarkoituksen toteutumisen kannalta olennainen käyttäjien ja palvelutuottajien tilannetietoisuuden tieto- ja viestintätekninen toteuttaminen tai viestinnän häiriöttömyyden ja jatkuvuuden varmistaminen taikka johtamisessa tarvittavan tiedon tietoturvallisuudesta huolehtiminen edellyttää mainittua toimintaa palvelevien yhteisten tietojärjestelmäpalvelujen tarjoamista. Turvallisuusverkon palvelujen tulee täyttää turvallisuusverkkolaissa, tässä asetuksessa ja valtiovarainministeriön määräyksissä säädetyt korkean turvallisuuden ja varautumisen vaatimukset. Turvallisuusverkon palvelut hyväksyisi käyttöönotettaviksi valtiovarainministeriö siten kuin asetuksen 11 :n 1 momentissa säädettäisiin. Asetuksen 3 :n 2 momentissa säädettäisiin tieto- ja viestintäteknisten palvelujen tuottajalle mahdollisuus tuottaa myös turvallisuusverkkoon integroitujen toimialasidonnaisten tietojärjestelmäpalvelujen käyttöä tukevia palveluja nykyisen käytännön mukaisesti. Asetuksen 4 :ssä säädettäisiin integraatiopalvelujen tuottajan tehtävistä, joilla huolehdittaisiin siitä, että käyttäjien toiminnassaan tarvitsemat turvallisuusverkon palvelut ja niihin liittyvät tai niitä käyttävät toimialasidonnaiset palvelut yhdistettäisiin teknisesti ja toiminnallisesti siten, että käyttäjät saisivat käyttöönsä niiden tarpeita palvelevia palvelukokonaisuuksia. Integraatiopalvelujen tuottaja suunnittelisi palveluihin liittyvät sopimuskokonaisuudet, sisällyttäen niihin tarvittavat korkeaan turval-

6 lisuuteen ja varautumiseen liittyvät sopimukset, sekä vastaisi käyttäjille yhdenmukaisesta ja läpinäkyvästä hinnoittelusta. Integraatiopalvelujen tuottajalla tulisi olla riittävä tekninen ja palvelujen toimittamiseen ja hallintaan liittyvä toiminnallinen osaaminen, jotta turvallisuusverkon käyttöön velvoitetut käyttäjät voisivat tilata siltä omiin tietojärjestelmähankkeisiinsa turvallisuusverkon perustietotekniikkaan, käyttäjien tukipalveluihin sekä palveluiden yhteensovittamiseen tarvittavaa tukea. Integraatiopalvelujen tuottajan tulisi asetuksen 4 :n 4 kohdan mukaan järjestää palvelusuunnitteluun ja palvelujen tuotantoon siirtoon liittyvien tehtävien koordinointi ja varmistaa muutoksenhallintaan, häiriötilannehallintaan ja tietoturvauhkilta suojautumiseen liittyvä yhteistyö palvelutuottajien ja palveluiden käyttäjien ja toimintaa ohjaavien tahojen välille. Tarkoituksena olisi varmistaa, että turvallisuusverkossa tehtävät välttämättömät tekniset muutostyöt ja uusien palvelujen käyttöönotto saadaan sovitettua yhteen siten, että muutoksista mahdollisesti aiheutuvat vaikutukset käyttäjien operatiiviseen toimintaan saadaan hallittua ja uusien palvelujen käyttöönotot onnistuvat suunnitelmien mukaisesti. Integraatiopalvelujen tuottaja sovittaisi yhteen eri palvelutuottajien muutossuunnitelmat ja tiedottaisi muutostöiden mahdollisesti aiheuttamista vaikutuksista käyttäjille. Integraatiopalvelujen tuottajan tehtävänä olisi 4 :n 5 kohdan mukaan myös varmistaa, että suunnittelemattomissa palveluhäiriöissä palvelujen käyttäjät ja turvallisuusverkkotoimintaa ohjaavat tahot saisivat tietoonsa palvelupoikkeaman vaikutukset omaan toimintaansa sekä tiedot palvelujen palauttamisen etenemisestä. Tämän toiminnan mahdollistamiseksi tulisi integraatiopalvelujen tuottajan järjestää tarvittava ympärivuorokautinen johtamiskyvykkyys sekä yhteydenpito muihin palvelutuottajiin sekä koota turvallisuusverkon palvelukokonaisuuksien ohjaamisessa, ylläpitämisessä ja kehittämisessä tarvittavia tilannetietoja ja välittää niitä valtiovarainministeriölle. Valtiovarainministeriö voisi lain 14 :n mukaisella ohjauksella määrätä tarkemmin tietojen kokoamisesta ja välittämisestä. Tietojen välittämisestä käyttäjille voitaisiin lisäksi sopia käyttäjäkohtaisesti palvelutuottajan ja käyttäjän välisellä sopimuksella. Asetuksen 5 :ssä säädettäisiin kaikkien turvallisuusverkon palvelujen osalta palvelutuottajille mahdollisuus tuottaa myös niihin liittyviä asennuspalveluja sekä projekti- ja asiantuntijapalveluja turvallisuusverkon käyttäjille sekä muille palvelutuottajille. Asetuksen 6 :ssä säädettäisiin turvallisuusverkon palvelujen laatu-, toimivuus-, tietoturvallisuus- ja kustannustehokkuusvaatimuksista TORI-asetuksen 14 :ää vastaavasti turvallisuusverkon käyttötarkoituksen erityistarpeet huomioon ottaen. Laatua koskeva vaatimus pitää sisällään palvelun toimivuuden ja tietoturvallisuuden. Säännöksessä säädettäisiin myös palvelutuottajien yhteistyövelvollisuudesta sekä velvollisuudesta ylläpitää palvelujen toimivuuden sekä tietoturvallisuuden tilannetietoisuutta ja sekä velvollisuudesta välittää tilannetietoja integraatiopalvelujen tarjoajalle, joka kokoaisi turvallisuusverkon tilannetietoja toimintaa ohjaavalle valtiovarainministeriölle ja käyttäjille. Turvallisuusverkko on tarkoitettu käytettäväksi kaikissa olosuhteissa, joten sen tulee toimia luotettavasti päivittäisen käytön lisäksi myös normaaliolojen häiriötilanteissa ja poikkeusoloissa. Verkon tulee säilyä toimintakykyisenä muun muassa luonnonilmiöiden, sähkökatkosten ja tietoverkkohyökkäysten sattuessa. Tästä johtuen palvelujen ja järjestelmien käytettävyyden seurannalle, tietoturvavalvonnalle, laitteiden elinkaarien hallinnalle, varaosien ja varalaitteiden saatavuu-

7 delle, alihankkijoiden hallinnalle, sopimushallinnalle ja henkilöstön osaamisen seurannalle sekä tilannetietojen kokoamiselle, palvelutuottajakohtaisesti sekä koko turvallisuusverkkotoiminnan osalta, asetetaan erityisiä vaatimuksia. Tilannetietoisuuden ylläpito ja tilannetiedon välittäminen integraatiopalvelutuottajan kautta valtiovarainministeriölle mahdollistaisi turvallisuusverkkotoiminnan ohjaamisen ja päätöksenteon kaikissa tilanteissa sekä muodostaisi perustan turvallisuusverkon toiminnalliselle ja tekniselle kehittämiselle. Asetuksen 7 :ssä säädettäisiin turvallisuusverkkolain 5 :ää täydentävästi turvallisuusverkon laitetilojen käytöstä. Säännöksessä mahdollistettaisiin se, että palvelutuottaja voisi käyttää hallussaan olevia laitetiloja kustannustehokkaasti ja sijoittaa niihin myös muita kuin turvallisuusverkon laitteita. Sijoittaminen olisi mahdollista, jos näillä laitteilla tuotettaisiin muita tieto- ja viestintäteknisten palvelujen tuottajan vastuulla olevia korkean varautumisen tai turvallisuuden palveluja ja valtiovarainministeriö hyväksyisi sijoittamisen. Asetuksen 8 :ssä säädettäisiin yleisellä tasolla turvallisuusverkon korkean varautumisen vaatimuksista, joita tullaan tarkentamaan valtiovarainministeriön turvallisuusverkkolain 14 :n 4 momentin mukaisella määräyksellä. Korkean varautumisen yleiset vaatimukset kohdistuisivat kaikkiin turvallisuusverkon palvelutuottajiin sekä niiden alihankkijoihin. Yleisen tason vaatimuksilla olisi erityinen merkitys kaupallisille toimijoille niiden kehittäessä omaa kykyään osallistua turvallisuusverkkopalveluihin liittyviin kilpailutuksiin. Asetuksen 9 :ssä säädettäisiin turvallisuusverkon palveluja koskevista tietoturvallisuusvaatimuksista, joita tullaan tarkentamaan valtiovarainministeriön turvallisuusverkkolain 14 :n 4 momentin mukaisella määräyksellä. Turvallisuusverkon palvelujen tulisi olla siten skaalautuvia, että niiden avulla voitaisiin palvelukohtaisesti toteuttaa tietojen suojaamistarvetta ja palvelujen käyttötarkoitusta vastaavan suojaustason vaatimukset. Asetuksen 10 :ssä säädettäisiin asetuksen 8 ja 9 :ssä säädettyjen varautumis- ja tietoturvavaatimusten täyttymisen toteamisessa käytettävistä arviointiperusteista, joita olisivat asetuksen lisäksi valtiovarainministeriön määräykset. Määräyksissä voitaisiin tarkoituksenmukaisilta osin viitata muihin yleisesti hyväksyttyihin arviointikriteeristöihin. Asetuksen 10 :n 2 momentti sisältäisi viittaussäännöksen viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annettuun lakiin (1406/2011) sekä kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin (588/2004), joissa säädetään vaatimusten mukaisuuden täyttymisen toteamisesta ja arvioinnista. Asetuksen 10 :n 3 momentin mukaan palvelutuottaja vastaisi siitä, että sen palvelutuotannossa olevat palvelut sekä niiden tuottamiseen käytettävät tietojärjestelmät ja laitteet täyttävät varautumista ja tietoturvallisuutta koskevat vaatimukset koko niiden elinkaaren ajan myös silloin kun palvelutuottaja käyttää turvallisuusverkon palvelun tuottamiseen alihankkijaa. Käytännössä tämä tarkoittaa, että palvelutuottaja vastaa palvelujen tietoturvallisuuden tason ylläpitämisestä ja seuraamisesta siten kuin esimerkiksi viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain 9 :ssä edellytetään. Turvallisuusverkon palveluja koskevien vaatimusten on täytyttävä myös käytettäessä alihankkijaa. Jatkossa onkin tärkeää pyrkiä sovittamaan yhteen esimerkiksi turvalli-

8 suusverkkotoiminnan varautumista koskevien määräysten sisältöä tietoyhteiskuntakaaren 282 ja 283 :ssä ja niiden nojalla säädettyjen yleistä teletoimintaa koskevien vaatimusten kanssa, mikäli se on mahdollista korkean varautumisen tai turvallisuuden vaarantumatta. Vaatimusten yhdenmukaistaminen edistäisi osaltaan teleyritysten mahdollisuutta toimia turvallisuusverkon palvelujen alihankkijoina. Alihankkijaa koskevalla erityisellä maininnalla asetuksen 10 :n 3 momentissa selvennetään sitä, että esimerkiksi palvelua tai sen osaa koskevien vaatimusten täyttymisen toteamisesta 10 :ssä säädetty koskee myös alihankkijan tuottamaa turvallisuusverkon palvelun osaa. Palvelutuottajan on valmistellessaan alihankintaa ja sitä koskevaa tarjouspyyntöä otettava huomioon korkean turvallisuuden ja varautumisen vaatimukset ja sisällytettävä ne riittävällä tavalla painotettuina tarjouspyyntöön. Lisäksi alihankkijan toimintaan kohdistuvien vaatimusten ja velvollisuuksien tulee käydä ilmi alihankkijan kanssa tehtävästä sopimuksesta. Turvallisuusverkkolain 13 :n 3 momentin nojalla palvelutuottaja vastaa alihankkijan työstä kuin omastaan ja alihankintaa voidaan käyttää vain siinä laajuudessa, että palvelutuotannon hallinta, ohjaus ja valvonta säilyvät palvelutuottajalla eikä turvallisuusverkon turvallisuus tai palvelutuotannon jatkuvuus vaarannu. Valtiovarainministeriö ohjaisi alihankinnan laajuutta ja hyväksyisi turvallisuusverkon palvelujen alihankkijat siten kuin turvallisuusverkkolain 13 :ssä ja 14 :ssä säädetään. Asetuksen 11 :n 1 momentissa säädettäisiin turvallisuusverkon palvelujen käyttöön hyväksymisestä. Valtiovarainministeriö hyväksyisi palvelut käyttöön sen jälkeen kun olisi ensin 10 :n mukaisesti selvitetty, että ne täyttävät asetuksen 8 ja 9 :n mukaiset sekä 10 :ssä arviointiperusteina mainituissa valtiovarainministeriön määräyksissä asetetut vaatimukset siinä määrin, ettei käyttöönottamisella vaaranneta turvallisuusverkkolain tarkoituksen toteutumista. Tarkoitus on, että hyväksymisen yhteydessä asetetaan velvollisuus saattaa palvelu vastaamaan kaikkia vaatimuksia. Hyväksyminen ei olisi mahdollista, mikäli palvelussa olisi olennaisia puutteita varautumisen tai turvallisuuden osalta. Mikäli palvelun arvioinnissa esimerkiksi tiettyä suojaustasoa vasten olisi ilmennyt puutteita, palvelu voitaisiin hyväksyä käyttöön alemmalle suojaustasolle, kunnes kaikkien ylemmän suojaustason vaatimusten on riittävällä tavalla osoitettu täyttyvän. Asetuksen 11 :n 2 momentissa säädettäisiin käyttäjän tietojärjestelmän tai tieto- ja viestintäteknisen palvelun turvallisuusverkkoon liittämisen edellytyksistä. Palvelutuottajan olisi varmistettava, että liitettävän tietojärjestelmän ja tieto- ja viestintäteknisen palvelun liityntäratkaisu täyttää turvallisuusverkon turvallisuustason ylläpitämisen kannalta riittävät tietoturvallisuutta koskevat vaatimukset. Palvelutuottajan tulisi myös hankkia liittämiselle valtiovarainministeriön hyväksyntä. Valtiovarainministeriön päätöksenteon tueksi on perustettu turvallisuusverkkotoiminnan arkkitehtuuriryhmä, jossa ovat edustettuna sekä palvelutuottajat että käyttäjät. Arkkitehtuuriryhmän tehtävänä on valmistella uusien palvelujen käyttöönottoon sekä liittämiseen liittyvät kysymykset. Arkkitehtuuriryhmä esittää turvallisuusverkon arkkitehtuurin mukaisia ja käyttäjien tarpeita palvelevia ratkaisuja neuvottelukunnalle puollettavaksi ja valtiovarainministeriölle päätettäväksi. Hyväksymis- ja käyttöönottomenettelyitä tarkennettaisiin myös valtiovarainministeriön turvallisuusverkkolain 14 :n 4 momentin nojalla annettavalla määräyksellä.

9 5 Vaikutukset 6 Asetuksen valmistelu Asetuksen 12 :ssä säädettäisiin turvallisuusverkkotoiminnan neuvottelukunnan tehtävistä siten, että valtiovarainministeriöllä olisi velvollisuus kuulla neuvottelukuntaa ainakin ennen säännöksessä lueteltuja asioita koskevien määräysten, päätösten tai suositusten antamista. Neuvottelukuntaa voitaisiin kuulla muissakin asioissa tarpeen mukaan. Neuvottelukunnalla olisi merkittävä rooli esimerkiksi turvallisuusverkkotoiminnan kustannustenhallintaan liittyvissä kysymyksissä, Neuvottelukuntaa kuultaisiin esimerkiksi valtiovarainministeriön määräyksistä, päätöksistä ja suosituksista koskien turvallisuusverkkotoiminnan strategisia tavoitteita ja rahoitusta sekä palvelutuottajien maksuja. Lisäksi neuvottelukuntaa kuultaisiin palveluille asetettavia vaatimuksia koskevista määräyksistä, päätöksistä ja suosituksista. Ehdotetun asetuksen vaikutuksia on arvioitu hallituksen esityksessä laiksi julkisen hallinnon turvallisuusverkkotoiminnasta (HE 54/2013). Ehdotetulla asetuksella ei ole turvallisuusverkkolaista eriäviä taloudellisia vaikutuksia. Turvallisuusverkkotoiminnan määrärahatarpeet on huomioitu valtion vuoden 2015 talousarviossa ja julkisen talouden suunnitelmassa 2016-2019. Asetusehdotus on valmisteltu valtiovarainministeriössä yhteistyössä palvelutuottajien ja osallistuvien ministeriöiden kanssa. Asetus toimitettiin lausunnoille 15.4.-15.5.2015. Lausuntoja saatiin yhteensä 24. Niiden johdosta mm: täsmennettiin käyttäjän määritelmää viittauksella turvallisuusverkkolain 2 :n 1 momenttiin; muutettiin infrastruktuuripalveluja koskevaa 2 :n 2 momenttia; muutettiin tieto- ja viestintäteknisten palvelujen tuottajan tehtäviä (3 ) yleisemmälle tasolle; muokattiin integraatiopalvelujen tuottajan tehtäviä (4 ) etenkin tilannetietojen tuottamisen osalta; muokattiin palvelujen tuottamista koskevaa säännöstä (6 ) tilannetietoisuuden ja yhteistyövelvoitteen osalta; täsmennettiin tietoturvallisuusvaatimuksia (9 ); tarkennettiin turvallisuusverkon palvelujen käyttöönottamista koskevaa hyväksymismenettelyä (11 ); täsmennettiin alihankintaa koskevia perusteluja muistiossa pykälätasolla ei tehty muutoksia. Asetusehdotus on tarkastettu oikeusministeriön lainvalmisteluosaston laintarkastusyksikössä.

10 7 Voimaantulo Asetus ehdotetaan tulemaan voimaan 15 päivänä syyskuuta 2015.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute