Liikenne ja viestintäministeriö PERUSMUISTIO LVM201600245 TTU Rönkä Maija(LVM) 07.09.2016 Asia Komission tiedonanto Euroopan kyberresilienssijärjestelmän vahvistamiseksi Kokous U/E/UTPtunnus Käsittelyvaihe ja jatkokäsittelyn aikataulu Suomen kanta Komissio on antanut 5.7.2016 tiedonannon Euroopan parlamentille, neuvostolle, Euroopan talous ja sosiaalikomitealle ja alueiden komitealle Euroopan kyberresilienssijärjestelmän vahvistamisesta sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukemisesta. Aloitteen käsittely neuvostossa aloitetaan neuvoston kyberpolitiikan puheenjohtajan tukiryhmässä (FoP on Cyber Issues) syyskuussa, alustavan tiedon mukaan 16.9.2016. Puheenjohtajamaa Slovakian on tarkoitus esittää tiedonannosta neuvoston päätelmät, jotka viedään hyväksyttäväksi neuvostoon alustavan arvion mukaan joulukuussa 2016. Suomi tukee tiedonannon tavoitteita EU:n digitaalisten sisämarkkinoiden sekä talous ja yhteiskuntaelämän luotettavamman toiminnan turvaamiseksi. Suomi jakaa tiedonannossa esitetyt huolet siitä, että kyberturvallisuuspoikkeamat aiheuttavat suurta taloudellista vahinkoa eurooppalaisille yrityksille ja laajemmin yhteiskunnalle, sekä siitä, että ne vaarantavat kansalaisten perusoikeuksien toteutumisen ja heikentävät siten kansalaisten sekä yritysten luottamusta sekä täysipainoista toimimista digitaaliyhteiskunnassa. Suomi katsoo, että unionin toimilla on tuettava turvallisuuden kehittämistä ja EU:n sisämarkkinoiden toimivuutta siten, että kansalaisten perusoikeudet toteutuvat, jotta kansalaisten sekä yritysten edellytykset luottaa digitaalisiin toimintatapoihin ja turvalliseen yhteiskuntaan vahvistuvat. Suomi pitää tärkeinä komission pyrkimyksiä tukea kyberturvallisuuden alan yhteistyötä, kehittää osaamista ja valmiuksia, vastata sisämarkkinoilla esiintyviin haasteisiin sekä edistää innovaatioiden syntyä tukevaa toimintaa. Nämä keinot ovat linjassa hallitusohjelman toimeenpanosuunnitelman mukaisesti hyväksytyn kansallisen tietoturvallisuusstrategian sekä edellisen hallituksen hyväksymän kyberturvallisuusstrategian kanssa. Liikenne ja viestintäministerin maaliskuussa 2016 hyväksymän Suomen tietoturvallisuusstrategian keskeisinä tavoitteina on muun muassa, että EU:n digitaaliset sisämarkkinat toimivat nykyistä luotettavammin, markkinoilla on saatavilla digitaalisia hyödykkeitä, joiden tietoturva on sisäänrakennettua sekä se, että
2(6) tietoturvaa ja siihen liittyvää osaamista tutkitaan, mitataan, seurataan ja kehitetään. Suomi pitää tärkeänä, että hallitusohjelman toimeenpanosuunnitelman ja sitä toteuttavan tietoturvallisuusstrategian tavoitteet sekä toimenpiteet huomioidaan huolellisesti komission tiedonannon mukaisten toimenpiteiden jatkovalmistelussa. Suomi katsoo eduskunnan aiemmin esittämän ponnen mukaisesti, että palvelujen käyttäjien oikeuksien, kuten yksityisyyden suojan ja luottamuksellisen viestin suojan säilymisestä sähköisissä palveluissa ja verkkoympäristössä huolehditaan kaikin keinoin ja mm. kyberturvallisuuden kehittämistyössä pyritään erityisesti ottamaan näiden oikeuksien toteutuminen huomioon (EV 106/2014 vp HE 221/2013 vp). Suomi pitää hallituksen eduskunnalle antaman selvityksen mukaisesti tärkeänä, että EU:n digitaalisten sisämarkkinoiden toteutumisen edistämiseksi EU:ssa etsittäisiin yhteisiä pelisääntöjä sille, missä määrin viestinnän luottamuksellisuutta voidaan rajoittaa toisen jäsenvaltion toimin (E 21/2015 vp). Lisäksi Suomi pitää tärkeänä yhtäältä sitä, että tiedonannossa kuvatut Unionin toimet tietoturvallisten tuotteiden standardointi ja sertifiointitoiminnan kehittämiseksi muodostavat hyötyä suomalaisille yrityksille mutteivät toisaalta aiheuta niille ylimääräistä kilpailukykyä haittaavaa hallinnollista taakkaa. EUsääntelystä johtuvat velvoitteet tietoturvariskien hallitsemiseksi tulee voida jatkossakin sovittaa osaksi muiden liiketoiminnan riskien hallintaa. Komission toimet tukevat kyberturvallisuuden sisällyttämistä toimialakohtaisiin toimintapolitiikkoihin ja kansalliseen yhteistoimintamalliin. Toimet parantavat tilanneymmärrystä tieto ja kyberturvallisuudesta sekä kyberuhkien ja häiriötilanteiden hallinnasta. Komission toimien tulisi tukea viranomaisten mahdollisuuksia auttaa yhteisöjä ja kansalaisia tietoturvan parantamisessa sekä tietoverkkorikoksien torjumisessa. Suomen kyberturvallisuusstrategian mukaan kyberturvallisuus ei ole tarkoitettu oikeudelliseksi käsitteeksi, joka perustaisi uusia toimivaltuuksia viranomaisille tai muille toimielimille. Suomi korostaa, että yhteistyötä pitäisikin pyrkiä ensisijaisesti tehostamaan olemassa olevien toimijoiden ja yhteistyömekanismien puitteissa sekä niitä kehittämällä. Mahdollisten uusien elinten tai yhteistyöfoorumien tarpeellisuutta arvioitaessa olisi erityisesti huomioitava, ettei niiden tehtävät tai toimivalta olisi päällekkäisiä olemassa olevien toimijoiden tai yhteistyöelinten kanssa. Suomi pitää tärkeänä hankkia kokemuksia vastikään voimaanastuneiden EU:n verkko ja tietoturvadirektiivin sekä tietosuojaasetuksen mukaisesti käynnistyvien uusien yhteistyöelinten ja muotojen toiminnasta ja tehokkuudesta, ennen kuin uusien elinten tarpeellisuutta on tarkoituksenmukaista arvioida. EU:n verkko ja tietoturvaviraston kykyä turvata tietoturvallisten tuotteiden ja palveluiden tarjontaa ja käyttöä EU:n sisämarkkinoilla tulee vahvistaa viraston mandaattia uusittaessa. Komission tiedonannon yhtenä toimenpiteenä on, että komissio aikoo lisätä EU:n rahoitusvälineiden käyttöä innovatiivisten yritysten tukemiseksi niiden tavoitellessa synergiaa siviili ja puolustusalan kyberturvallisuusmarkkinoiden välillä. Suomi katsoo kuitenkin, että myös puhtaasti siviilialojen markkinoilla tarjottavien hyödykkeiden tietoturvallisuutta parantavaa innovaatiotoimintaa tulisi samoin ehdoin tukea. Näin voidaan turvata turvallisten ja luotettavien digitaalisten hyödykkeiden kehittyminen mm. älykkään liikenteen, terveydenhuollon, energiaalan, finanssialan sekä muiden tietoyhteiskunnan kehittyvien toimialojen piirissä. Komission tiedonannon mukaisten toimenpiteiden jatkovalmistelussa pitäisi huolellisesti arvioida toimien rahoitus ja resursointi niin EUtasolla kuin kansallisesti. Suomi
Pääasiallinen sisältö 3(6) katsookin, että jatkovalmistelussa komission on selvittävä toimenpiteiden mahdolliset kustannukset sekä millä tavoin niiden toteuttaminen rahoitetaan tai muuten resursoidaan. Komission tiedonannossa todetaan, että hyvistä saavutuksista huolimatta EU on vieläkin altis kyberturvallisuuspoikkeamille, mikä voi vaarantaa digitaaliset sisämarkkinat ja koko talous ja yhteiskuntaelämän. Hybridiuhkissa kyberhyökkäyksiä voidaan käyttää koordinoidusti muiden toimien ohella maan vakauden horjuttamiseksi tai poliittisia instituutioita vastaan. Komissio näkee erityisen huolestuttavana, että EU:lle voi olla haastavaa käsitellä useisiin jäsenvaltioihin samanaikaisesti kohdistuvaa laajaa kyberturvallisuuspoikkeamaa. Komission tiedonannossa esitetään muuttuvan kybertodellisuuden käsittelemiseksi toimenpiteitä, joiden tarkoituksena on parantaa Euroopan sisämarkkinoiden toimivuutta kehittämällä EU:ssa sietokykyä kyberturvallisuutta vaarantaviin poikkeamiin (ns. kyberresilienssijärjestelmä). Toimenpiteillä on määrä edistää Euroopan kyberturvallisuustoimialan kilpailu ja innovointikykyä EU:n kyberturvallisuusstrategian ja digitaalisten sisämarkkinoiden strategian tavoitteiden mukaisesti. Komissio pyytää Euroopan parlamenttia ja neuvostoa tukemaan tiedonannon mukaista lähestymistapaa. Komission antama tiedonannon taustalla on EU:n kyberturvallisuusstrategia sekä unionin kyberturvallisuuteen liittyvä lainsäädäntö, erityisesti elokuussa 2016 voimaan tuleva verkko ja tietoturvallisuusdirektiivi. Kyberresilienssijärjestelmän parantamiseksi ja Euroopan kyberturvallisuustoimialan kilpailu ja innovointikyvyn edistämiseksi komissio on nimennyt joukon toimenpiteitä, joiden tavoitteina on i) Lisätä yhteistyötä kyberturvallisuuspoikkeamiin varautumisen ja niihin puuttumisen tehostamiseksi Komission tavoitteena on esittää yhteistyösuunnitelma laajamittaisten kyberturvallisuuspoikkeamien käsittelemiseksi EU:n tasolla, helpottaa tietokeskuksen luomista tukemaan kansallisten tietoturvaviranomaisten yhteistyöverkoston työtä kyberturvallisuusuhkien torjumiseksi, perustaa kyberturvallisuutta käsittelevän korkean tason neuvoaantavan ryhmän sekä arvioida EU:n verkko ja tietoturvavirasto ENISAn toimeksiantoa uudelleen. Tämän lisäksi tavoitteena on edistää tietojen jakamista markkinatoimijoiden välillä ja perustaa luotettavia kanavia liikesalaisuuksien kybervarkauksien vapaaehtoista ilmoittamista varten. Komission aikoo myös arvioida, tarvitaanko kriittisen infrastruktuurin kyberturvallisuusriskeihin varautumisesta uusia sääntöjä ja/tai ohjeistusta jäsenmaiden tietoturvaviranomaisten säännöllisesti toteuttaman kriittisen infrastruktuurin teknisen tietoturvatilanteen selvittämiseen. Komission tarkoituksena on perustaa kyberturvallisuuden koulutusta ja harjoituksia varten foorumin, joka edistää yhteistyötä rikostorjunta, siviili ja sotilasviranomaisten kanssa. ii) Tehostaa Euroopan kyberturvallisuuden sisämarkkinoiden toimintaa
4(6) Komission tavoitteena on edistää sisämarkkinoiden toimintaa erityisesti tarkastelemalla mahdollisuutta luoda eurooppalaiset puitteet tieto ja viestintäteknologian turvallisuussertifioinnille. Tämän lisäksi komissio tarkastelee mahdollisuutta luoda sertifiointia täydentävä kevyempi merkintäjärjestelmä parantamaan eurooppalaisten tuotteiden kilpailukykyä. Tämän lisäksi komission tavoitteena on lisätä investointeja kyberturvallisuuteen Euroopassa ja tukea pkyrityksille helpottamalla rahoituksen saamista. iii) Parantaa tuotantovalmiuksia kyberturvallisuuden alalla julkisen ja yksityisen sektorin kyberturvallisuuskumppanuuden avulla Komission tavoitteena on kumppanuuden avulla lisätä luottamusta jäsenvaltioiden keskuudessa ja toimialalla edistämällä yhteistyötä tutkimus ja innovointiprosessin varhaisessa vaiheessa. Tarkoituksena on käynnistää kumppanuuteen liittyviä Horisontti 2020 ehdotuspyyntöjä vuoden 2017 aikana. EU:n oikeuden mukainen oikeusperusta/päätöksentekomenettely Käsittely Euroopan parlamentissa Kansallinen valmistelu Eduskuntakäsittely Kirjallinen menettely 20.24.8.2016 seuraavissa jaostoissa: Oikeus ja sisäasioiden jaosto (EU7), sisämarkkinat jaosto (EU8), rahoituspalvelut ja pääomaliikkeet jaosto (EU10), elinkeinopolitiikkajaosto (EU13), viestintäjaosto (EU19), energia ja Euratom jaosto (EU21), liikennejaosto (EU22), terveysjaosto (EU33). Lausunnon antoivat oikeusministeriö, puolustusministeriö, sisäministeriö, työ ja elinkeinoministeriö, valtiovarainministeriö, ulkoasiainministeriö, Viestintävirasto, Elinkeinoelämän Keskusliitto, Finanssialan Keskusliitto, OPyhtymä sekä Teknologiateollisuus ry. Tarkentavia keskusteluja on käyty lisäksi sekä puolustusministeriön että ulkoasiainministeriön kanssa. Kansallinen lainsäädäntö, ml. Ahvenanmaan asema Ei suoria vaikutuksia kansalliseen lainsäädäntöön. Taloudelliset vaikutukset
Taloudelliset vaikutukset voidaan arvioida tarkemmin, kun tiedonannon mukaisten toimenpiteiden valmistelussa edetään pidemmälle. 5(6) Muut asian käsittelyyn vaikuttavat tekijät Asiakirjat Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous ja sosiaalikomitealle ja alueiden komitealle: Euroopan kyberresilienssijärjestelmän vahvistaminen sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukeminen (COM(2016)410 final) Laatijan ja muiden käsittelijöiden yhteystiedot LVM/Maija Rönkä, maija.ronka@lvm.fi, 050 4689 839 EUTORItunnus EU/2016/1226 Liitteet Komission tiedonanto kyberresilienssijärjestelmän vahvistamiseksi COM(2016) 410 final Viite
6(6) Asiasanat Hoitaa Tiedoksi Euroopan digitaalistrategia, kyberstrategia, tietoturva, viestintäpolitiikka LVM, OM, PLM, SM, UM, VNK EUE, MAVI, MMM, OKM, STM, TEM, TULLI, VM