Ulkoasiainministeriö E-KIRJE UM2013-00654 NSA-00 Erkkilä Johanna(UM) 23.05.2013 Eduskunta Suuri valiokunta Viite Asia EU; neuvoston päätös turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi; turvallisuussääntöjen tekninen ajantasaistaminen U/ E-tunnus: EUTORI-numero: Ohessa lähetetään perustuslain 97 :n mukaisesti selvitys koskien neuvoston turvallisuussääntöjen teknistä ajantasaistamista. Tarja Laitiainen Kansallisen turvallisuusviranomaisen päällikkö LIITTEET
2(2) Asiasanat Hoitaa Tiedoksi kansallinen turvallisuusviranomainen UM EUE, LVM, OM, PE, PLM, SM, TEM, VM, VNK, YM
Ulkoasiainministeriö PERUSMUISTIO UM2013-00618 NSA-00 Erkkilä Johanna(UM) 23.05.2013 Asia EU; neuvoston päätös turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi; turvallisuussääntöjen tekninen ajantasaistaminen Kokous Liitteet Viite EUTORI/Eurodoc nro: EU/2008/1477 U-tunnus / E-tunnus: Käsittelyn tarkoitus ja käsittelyvaihe: Neuvoston päätös turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi (2011/292/EU, neuvoston turvallisuussäännöt) tuli voimaan 27.5.2011. Turvallisuussäännöissä säädetään EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista perusperiaatteista ja vähimmäisvaatimuksista. Näitä perusperiaatteita ja vähimmäisvaatimuksia sovelletaan neuvostoon ja neuvoston pääsihteeristöön ja jäsenvaltioiden on noudatettava niitä kansallisten lakiensa ja asetustensa mukaisesti. Neuvoston turvallisuussääntöihin on tarkoitus tehdä Lissabonin sopimuksesta ja Kroatian liittymisestä johtuvat tekniset muutokset sekä muut vähäiset muutokset, joista vallitsee laaja yhteisymmärrys. Neuvoston turvallisuuskomitea (Council Security Committee, CSC) on käsitellyt turvallisuussääntöjen teknistä ajantasaistamista kokouksessaan 21.2.2013 ja 30.4.2013. Komitean on tarkoitus saada työnsä päätökseen seuraavassa kokouksessaan 6.6.2013. Neuvoston on tarkoitus hyväksyä muutokset ennen Kroatian liittymistä kesällä 2013. Asiakirjat: Asiakirja 8661/13, jonka liitteenä ehdotus turvallisuussääntöjen muutoksiksi. EU:n oikeuden mukainen oikeusperusta/päätöksentekomenettely: Turvallisuuskomitea antaa neuvostolle suosituksen turvallisuussääntöjen teknisistä muutoksista ja neuvosto hyväksyy lopulliset turvallisuussäännöt SEUT 240 artiklan 3
kohdan ja neuvoston työjärjestystä koskevan neuvoston päätöksen 2009/937/EU 24 artiklan perusteella. Neuvosto tekee päätöksen yksinkertaisella enemmistöllä. 2(6) Käsittelijä(t): UM, Johanna Erkkilä, p. 160 55882, Kaija Suvanto, p. 160 55711 OM, Liisa Leppävirta, p. 02 95150478 PLM, Juha Pekkola, p. 02 95140230 Kai Knape, p. 0295140231 Suomen kanta/ohje: Suomi pitää turvallisuussääntöjen teknistä ajantasaistamista tarpeellisena ja kannattaa ehdotettujen teknisten muutosten tekemistä. Suomi pitää nykyisten turvallisuussääntöjen perusperiaatteita ja vähimmäisvaatimuksia asianmukaisina ja katsoo, että päätökseen ei tule tehdä muita kuin teknisiä tai turvallisuussääntöjen sisältöä selkeyttäviä muutoksia. Pääasiallinen sisältö: Päätökseen on ehdotettu muutoksia, jotka johtuvat Lissabonin sopimuksesta sekä Kroatian liittymisestä Euroopan unioniin. Päätökseen on ehdotettu myös muita muutoksia, jotka ovat luonteeltaan teknisiä ja joista vallitsee laaja yhteisymmärrys. Johdanto: Päätöksen johdantoon on Lissabonin sopimuksen johdosta ehdotettu lisättäväksi neuvoston ja komission lisäksi viittaus Euroopan ulkosuhdehallintoon turvallisuussääntöjen soveltajana. Ehdotus on Lissabonin sopimuksesta johtuvana muutoksena Suomen hyväksyttävissä. 4 artikla Turvallisuusluokiteltujen tietojen suojaamista koskevan 4 artiklan 4 kohdan sanamuotoa on ehdotettu selkeytettäväksi siten, että tekstistä käy selvästi ilmi, että EU:n turvallisuusluokiteltujen tietojen kokonaisuus saattaa edellyttää korkeamman turvallisuusluokan mukaista suojaa kuin turvallisuusluokiteltujen tietojen yksittäiset komponentit. Voimassa olevista turvallisuussäännöistä viittaus turvallisuusluokiteltujen tietojen yksittäisiin komponentteihin puuttuu ja se ehdotetaan lisättäväksi teknisenä korjauksena. Ehdotus on Suomen hyväksyttävissä. 9 artikla Päätöksen 9 artiklan 1 kohdassa luetellaan johdantona ne turvallisuusluokitellun tiedon käsittelymuodot, joihin sovelletaan turvallisuustoimenpiteitä. Artiklan 1 kohdan luetteloon on teknisenä korjauksena ehdotettu lisättäväksi turvallisuusluokan alentaminen ja poistaminen, joista on määräyksiä artiklassa ja sitä täydentävissä päätöksen III ja IV liitteissä, mutta jotka puuttuvat 1 kohdan luettelosta. Turvallisuusluokiteltujen tietojen hallintaa koskevaan III liitteeseen on ehdotettu lisättäväksi tarkentava määräys, joka
3(6) koskee turvallisuusluokiteltujen tietojen tuhoamista poikkeustilanteissa. Ehdotukset ovat Suomen hyväksyttävissä. 10 artikla Voimassa olevissa turvallisuussäännöissä TEMPEST-turvatoimia koskeva 10 artiklan 5 kohdan vaatimus on kirjoitettu turvallisuussääntöjen yleisestä riskienhallintanäkökulmasta poiketen ehdottomaan muotoon. Artiklan 5 kohtaa on ehdotettu tarkennettavaksi siten, että TEMPEST-turvatoimet tulee suhteuttaa turvallisuusluokiteltuun tietoon kohdistuvaan riskiin ja tietojen turvallisuusluokkaan, mikä vastaa riskienhallintanäkökulmaa ja jo aiemmin hyväksyttyjen ohjeasiakirjojen vaatimuksia. Päätöksen viestintä- ja tietojärjestelmien turvallisuutta koskevaan IV liitteeseen on ehdotettu lisättäväksi 27 A kohta, jonka mukaan neuvosto voi turvallisuuskomitean suosituksesta hyväksyä kolmannen maan tai kansainvälisen järjestön salaustuotteen EUCI:n suojaamiseksi ja vastaavasti sallia EU:n salaustuotteen käytön kolmannessa maassa tai kansainvälisessä järjestössä. Kysymyksessä on nykyisen käytännön kirjaaminen turvallisuussääntöön. IV liitteen 30 kohtaa on ehdotettu tarkennettavaksi siten, että salaamaton tiedonsiirto olisi mahdollista turva-alueen lisäksi myös hallinnollisella alueella nykyisen policy asiakirjan mukaisesti. IV liitteen 17 kohdan CERT-valmiuksia koskeva kohta on ehdotettu jaettavaksi selvyyden vuoksi a- ja b -alakohtiin. Päätöksen 10 artiklan ja IV liitteen muutosehdotukset ovat Suomen hyväksyttävissä. 12 artikla Turvallisuusluokiteltujen tietojen vaihtamista kolmansien maiden ja kansainvälisten järjestöjen kanssa koskevaan 12 artiklaan on ehdotettu teknistä korjausta siten, että nk. tietoturvallisuussopimusten osapuolena on toimivaltasääntöjen mukaisesti EU eikä neuvosto. Päätöksen 12 artiklan täytäntöönpanoa koskevaan VI liitteeseen on ehdotettu tehtäväksi täsmennyksiä, jotka johtuvat Lissabonin sopimuksen voimaantulosta. Ehdotukset ovat Suomen hyväksyttävissä. 15 artikla Turvallisuusluokiteltujen tietojen luovuttamista koskevaa 15 artiklan 1 b kohtaa on ehdotettu muutettavaksi siten, että luovuttajan suostumuksen periaate käy tekstistä selkeämmin ilmi. Tietoturvallisuustarkastuksesta käytetty nimitys on ehdotettu muutettavaksi arviointivierailuksi. Päätöksen III liitteessä vierailuja koskevia kohdat on ehdotettu kirjoitettavaksi yleisempään muotoon, jotta käytännön järjestelyistä voidaan sopia EU:n toimielinten välillä joustavammin. Voimassa olevin turvallisuussääntöjen 15 artiklan 2c kohdan mukaan neuvoston sihteeristö voi myöntää nk. EU PSC:n (EU Personnel Security Clearance) niille pääsihteeristön virkamiehille ja muulle henkilöstölle, jotka tarvitsevat pääsyn EU CONFIDENTIAL tai sitä korkeamman turvallisuusluokan tietoon. EU PSC -nimitys on osittain harhaanjohtava, sillä PSC:n voi myöntää vain kansallinen turvallisuusviranomainen turvallisuusselvityksen perusteella. Artiklan 2c on ehdotettu muutettavaksi siten, että neuvoston sihteeristö myöntää EU PSC:n sijasta pääsyoikeuden
authorisation to access. Lisäksi artiklaan on ehdotettu lisättäväksi pääsihteeristön virkamiesten ja muun henkilöstön lisäksi kansalliset asiantuntijat. Vastaavat PSC:tä koskevat muutokset ja joitakin muita vähäisiä tarkennuksia on ehdotettu tehtäväksi päätöksen henkilöstöturvallisuutta koskevaan I liitteeseen. Päätöksen 15 artiklan muutosehdotukset ovat Suomen hyväksyttävissä. 4(6) 16 artikla Päätöksen 16 artiklan viittausta EU:n virastoihin ja toimielimiin on ehdotettu yksinkertaistettavaksi siten, että viittauksessa ei mainita EU:n perussopimuksen osastoa ja lukua, vaan viitataan yleisesti niihin virastoihin ja laitoksiin, jotka perustamiskirjansa perusteella noudattavat neuvoston turvallisuussääntöjä. Lisäykset Määritelmiin on ehdotettu tehtäväksi tarvittavat tekstimuutoksia vastaavat korjaukset. Turvallisuusluokkien vastaavuustaulukkoon ja toimivaltaisten turvallisuusviranomaisten yhteystietoluetteloon on ehdotettu lisättäväksi Kroatian tiedot. Kansallinen käsittely: Asiaa on käsitelty oikeudellisen jaoston kirjallisessa menettelyssä 20.-22.5.2013. Eduskuntakäsittely: Voimassa olevista neuvoston turvallisuussäännöistä (2011/292/EU) on tehty U-kirjelmä U 68/2008 vp. Käsittely Euroopan parlamentissa: - Kansallinen lainsäädäntö, ml. Ahvenanmaan asema: Lakia kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) sovelletaan erityissuojattaviin tietoaineistoihin. Lakia voidaan soveltaa vain, jos kansainvälinen sopimus on saatettu Suomessa voimaan perustuslaissa säädetyllä tavalla tai jos kysymys on Suomea muutoin sitovasta kansainvälisestä velvoitteesta, joka koskee erityissuojattavan aineiston suojaamiseksi tarvittavia toimenpiteitä. Muulla Suomea sitovalla velvoitteella tarkoitetaan sellaista kansainvälistä velvoitetta, joka on Suomea sitova ilman erillistä voimaansaattamissäädöstä. Tällainen on perustelujen mukaan neuvoston päätös neuvoston turvallisuussääntöjen vahvistamisesta (2001/264/EY). EU:n turvallisuusluokiteltuihin tietoihin sovelletaan lakia kansainvälisistä tietoturvallisuusvelvoitteista. Muita sovellettavaksi tulevia säädöksiä ovat mm. laki turvallisuusselvityksistä (177/2002) ja valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010).
Taloudelliset vaikutukset: 5(6) - Muut mahdolliset asiaan vaikuttavat tekijät: -
6(6) Asiasanat Hoitaa Tiedoksi kansallinen turvallisuusviranomainen UM EUE, LVM, OM, PE, PLM, SM, TEM, VM, VNK, YM