Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM2015-00087 VTI Simola Kreetta(LVM) 10.04.2015 JULKINEN Eduskunta Suuri valiokunta Asia U-jatkokirje eduskunnalle sähköisen tunnistusmenetelmän varmuustasoja koskevasta komission täytäntöönpanosäädöksestä U/E/UTP-tunnus U 48/2012 vp EUTORI-tunnus EU/2012/1079 Ohessa lähetetään perustuslain 96 :n mukaisesti 16 päivänä elokuuta 2012 annettua valtioneuvoston kirjelmää täydentävä selvitys sähköisen tunnistusmenetelmän varmuustasoja koskevasta komission täytäntöönpanosäädöksestä. Osastopäällikkö, ylijohtaja Juhapekka Ristola Viestintäneuvos Kreetta Simola LIITTEET LVM2015-00090 Viite
2(2) Asiasanat Hoitaa Tiedoksi sähköinen viestintä, viestintäpolitiikka, sähköinen tunnistaminen LVM EUE, OKM, OM, SM, STM, TEM, UM, VM, VNK
Liikenne- ja viestintäministeriö PERUSMUISTIO LVM2015-00090 VTI Simola Kreetta(LVM) 10.04.2015 JULKINEN Asia U-jatkokirje sähköisen tunnistusmenetelmän varmuustasoja koskevasta komission täytäntöönpanosäädöksestä Kokous U/E/UTP-tunnus U 48/2012 vp Käsittelyvaihe ja jatkokäsittelyn aikataulu Taustaa Sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annettiin 23 päivänä heinäkuuta 2014 Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014 (jäljempänä eidas-asetus). Asetuksen myötä EU:ssa on päätetty luoda vuoteen 2018 mennessä luotettava jäsenvaltioiden rajat ylittävä sähköisen tunnistamisen järjestelmä, jossa muun muassa jäsenvaltioiden viranomaisten on tunnustettava toisen jäsenvaltion komissiolle ilmoittamat sähköisen tunnistamisen menetelmät. EIDAS-asetuksessa säännellään myös sähköisiä luottamuspalveluja kuten sähköistä allekirjoitusta. EIDAS-asetusta sovelletaan vain jäsenvaltioiden komissiolle ilmoittamiin rajat ylittäviin sähköisiin tunnistusmenetelmiin ja se sääntelee kansallisten sähköisten tunnistamisjärjestelmien vastavuoroista tunnistamista. Vain Suomessa käytettäviä tunnistusmenetelmiä ei tarvitse ilmoittaa komissiolle. EIDAS-asetus jättää jäsenvaltioille mahdollisuuden kansalliseen lainsäädäntöön, jolla säädellään kansallisia sähköisiä tunnistusmenetelmiä. Tarkoitus on, että Suomessa olisi jatkossakin kansallista lainsäädäntöä kansallisesti käytettävistä tunnistusmenetelmistä. Tarkoituksenmukaisinta olisi kuitenkin, että Suomen kansallisen lainsäädännön vaatimukset kansallisille sähköisille tunnistusmenetelmille olisivat mahdollisimman lähellä eidas-asetuksen ja sen nojalla parhaillaan valmisteltavien eidas-täytäntöönpanosäädöksien vaatimusten kanssa. Valmisteilla olevat komission täytäntöönpanosäädökset Komissio on antanut jo yhden täytäntöönpanopäätöksen (EU) 2015/296 eidasasetuksessa säädetystä jäsenvaltioiden yhteistyön yksityiskohdista, jotka eivät kuulu lainsäädännön alaan. Tällä hetkellä komission teknisessä työryhmässä valmistellaan eidas-asetuksen teknisluonteisia täytäntöönpanosäädöksiä (yhteensä 7 täytäntöönpanosäädöstä) seuraavista aiheista:
2(6) a) liittyen sähköiseen tunnistamiseen: 1. Sähköisen tunnistusmenetelmän luotettavuuden (varmuustasot matala, korotettu ja korkea) tekniset vähimmäiseritelmät, -standardit ja -menettelyt (eidas-asetuksen 8 artikla 3 kohta). Käytännössä määritellään EU:n tasolla sähköisen tunnistamisen korotetun ja korkean varmuustason tunnistusvälineet, joiden mukaisen sähköisen tunnistamisvälineen käyttö kansallisten viranomaisten on hyväksyttävä sähköisessä tunnistamisessa palveluihinsa, silloin kun viranomaisenverkkopalvelun käyttäminen edellyttää sähköistä tunnistamista. 2. Yksityiskohdat menettelystä, kun jäsenvaltio ilmoittaa komissiolle sähköisen tunnistamisen järjestelmän (eidas-asetuksen 9 artikla 5 kohta) 3. Komissiolle ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuus sekä luottamuksen ja tietoturvan edistäminen yhteistyössä (eidas-asetuksen 12 artikla 7 ja 8 kohdat) b) liittyen luottamuspalveluihin: 4. Hyväksyttyjä luottamuspalveluja koskevan EU:n luotettavuusmerkin tekniset eritelmät (eidas-asetuksen artikla 23) 5. Hyväksytyistä luottamuspalvelun tarjoajista pidettävän julkisen luettelon tekniset eritelmät (eidas-asetuksen 22 artikla) 6. Julkisissa palveluissa käytettävistä sähköisistä allekirjoituksista ja leimoista (eidasasetuksen 27 ja 37 artiklat) 7. Sähköisten allekirjoitusten (ja leimojen) luontivälineiden sertifioinnista (eidasasetuksen 30 artikla) Suomen kanta Komission täytäntöönpanosäädös sähköisten tunnistamismenetelmien varmuustasoista Edellä mainituista valmisteilla olevista täytäntöönpanosäädöksistä vaikuttaa suomalaisiin tunnistuspalveluiden tarjoajiin ja Suomen lainsäädäntöön kansallisista tunnistusmenetelmistä keskeisimmin komission täytäntöönpanosäädös sähköisen tunnistamismenetelmien varmuustasoista. Komission työryhmässä käsiteltävässä säädösluonnoksessa on tarkoitus säännellä tunnistusjärjestelmien eri varmuustasoilla edellyttäviä teknisiä ja toiminnallisia vaatimuksia. Ehdotetun sääntelyn kohteena ovat varmuustasot korotettu ja korkea. Varmuustasoa matala ei ole tarkoitus säädellä. Suomen lainsäädännössä on tällä hetkellä käytössä yksi varmuustaso, joka on vahva sähköinen tunnistaminen. Tämän hetkisen arvion mukaan Suomessa säännellyn vahvan sähköisen tunnistamisen vaatimukset vastaavat vähintään ehdotetun sääntelyn alempaa varmuustasoa ( korotettu varmuustaso). EU-valmistelussa pyritään varmistamaan, että käytännössä ehdotetuilla EU:n varmuustasoilla ei olisi vaikutuksia esimerkiksi nykyisiin Suomessa käytettäviin pankkitunnisteisiin tai mobiilitunnisteisiin, vaikka kansallisen sääntelyn lähtökohdaksi otettaisiin ehdotetut EU:n varmuustasot. Jäsenvaltioiden edustajista koostuva eidas-komitea antaa täytäntöönpanosäädöksestä lausuntonsa kesäkuun lopulla pidettävässä kokouksessa. Lopullisen täytäntöönpanosäädöksen antaa komissio 18.9.2015 mennessä. Suomen tavoitteena komission työryhmässä on vaikuttaa erityisesti tunnistusjärjestelmien eri varmuustasojen teknisiä vaatimuksia koskevaan
Pääasiallinen sisältö 3(6) täytäntöönpanoasetukseen niin, että kyseiset vaatimukset vastaisivat sitä, mitä olisi tarkoituksenmukaista vaatia myös Suomessa tulevaisuudessa kansallisilta tunnistamisjärjestelmiltä. Tavoitteena on myös, että Suomessa käyttöönotettava tunnistusjärjestelmien luottamusverkosto on yhteen sovitettavissa komissiossa valmisteltaviin täytäntöönpanosäädöksiin. Tämän hetkinen luonnos täytäntöönpanosäädökseksi näyttää täyttävän edellä mainitut tavoitteet. Muiden täytäntöönpanosäädösten osalta työtä seurataan tiiviisti. Niiden osalta kyse on lähinnä rajata ylittävien tunnistusjärjestelmien yhteentoimivuudesta ja hallinnollisista järjestelyistä. Komission täytäntöönpanosäädös sähköisten tunnistamismenetelmien varmuustasoista Suomessa sähköisestä tunnistamisesta on säädetty vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa (617/2009, jäljempänä tunnistuslaki). EIDAS-asetuksen ohella Suomessa voi olla edelleen kansallisia säännöksiä, joita sovelletaan kansallisesti käytettäviin sähköisiin tunnistamismenetelmiin. Olisi tarkoituksenmukaista, että kansalliset säännökset sähköisen tunnistamisjärjestelmien varmuustasoista vastaisivat myös eidas-asetuksessa säädettyjä rajat ylittävien tunnistamisjärjestelmien varmuustasoja. Tämän vuoksi arvioidaan käytännössä Suomen lainsäädäntöön vaikutuksia olevan sähköisten tunnistamismenetelmien varmuustasoista annettavalla komission täytäntöönpanosäännöksellä, josta valmisteluvaiheessa ei ole saatavissa suomen- tai ruotsinkielistä versiota (Liite: Non-paper on determining levels of assurance for electronic identification schemes being notified to the Commission pursuant to Articles 8 and 9(1)). Edellä mainitussa täytäntöönpanosäädöksen luonnoksessa on kuvattu sähköiselle tunnistusvälineelle asetettavia vaatimuksia eri varmuustasoissa (matala varmuustaso, korotettu varmuustaso ja korkea varmuustaso). Suomen tunnistuslaki koskee vain tämän lain 2 :ssä on määriteltyä vahvaa sähköistä tunnistamista. Vaikuttaa siltä, että Suomen laissa vahvalle sähköiselle tunnistamiselle asetetut vaatimukset eivät täytä täytäntöönpanosäädösluonnoksessa korkean varmuustason tunnistamismenetelmälle asetettavia vaatimuksia. Suomen tunnistuslain varmuustaso näyttäisi vastaavaan ehdotettua korotettua varmuustasoa. Tarkoituksenmukaista olisi muuttaa Suomen tunnistuslakia niin, että siinä määriteltäisiin kaksi varmuustasoa kansallisille tunnistusmenetelmille ( korotettu varmuustaso ja korkea varmuustaso ). Täytäntöönpanosäädöksen luonnoksessa on tarkoitus asettaa vaatimuksia sähköisen tunnistusvälineen hakijan tunnistamiselle sekä tunnistusvälineen hakemismenettelylle (liitteen kohta 2.1. Enrolment). Luonnoksen sanamuodot edellyttävät ilmeisesti tarkennuksia Suomen tunnistuslain 17 :ään, jossa säädetään tunnistusvälineen hakijan tunnistamisesta. Täytäntöönpanosäädös merkitsisi myös muutosta tunnistuslain 20 :ään siten, että myös oikeushenkilöllä olisi tunnistuslain mukaan oikeus hankkia tunnistusväline. Täytäntöönpanosäädöksen luonnoksessa on tarkoitus asettaa vaatimuksia sähköisen tunnistusvälineen hallinnolle (liitteen kohta 2.2. Electronic identification means management) sekä todentamismekanismille, jolla henkilö käyttää sähköisen tunnistamisen menetelmää vahvistaakseen henkilöllisyytensä (eli autentikoinnille liitteen kohta 2.3. authentication). Luonnoksen sanamuodot tulee ottaa huomioon määriteltäessä uudelleen tunnistuslain 2 :ssä tunnistamisen varmuusluokkia. Lisäksi luonnos näyttää
4(6) edellyttävän muutoksia tunnistuslain 8 :ään, jossa säännellään tunnistusmenetelmälle asetettavia vaatimuksia. Suomen Tunnistuslain 8 :n vaatimuksia pitäisi tiukentaa ainakin korkean varmuustason tunnistusmenetelmille. EU:n oikeuden mukainen oikeusperusta/päätöksentekomenettely Komission toimivalta antaa täytäntöönpanosäädös perustuu komissiolle eidas-asetuksen 8 artiklassa annettuun täytäntöönpanotoimivaltaan. Komissio hyväksyy täytäntöönpanosäädöksen asetuksen (EU) N:o 182/2011 5 artiklan mukaista tarkastusmenettelyä noudattaen. Tällöin eidas-asetetuksessa perustettu komitea, jossa jäsenvaltiot ovat edustettuina, antaa lausunnon komission esittämästä ehdotuksesta. Jos eidas-komitea antaa puoltavan lausunnon, komissio hyväksyy ehdotuksen täytäntöönpanosäädökseksi. Käsittely Euroopan parlamentissa Kansallinen valmistelu Eduskuntakäsittely Asiaa ei käsitellä Euroopan parlamentissa. Valtiovarainministeriö on yhteistyössä liikenne- ja viestintäministeriön kanssa asettanut työryhmät valmistelemaan sekä hallinnollisia että teknisiä edellytyksiä sähköisen tunnistamisen luottamusverkoston luomiseen Suomessa. Tunnistuslain asiaa koskevat muutokset eduskunta hyväksyi tämän vuoden alussa ja muutokset tulevat voimaan asteittain vuoden 2016 alusta alkaen. Asetetuissa asiantuntijaryhmissä seurataan myös eidas-asetuksen toimeenpanoa ja ryhmien avulla muodostetaan Suomen kantoja. Ryhmissä on edustettuna kaikki keskeiset yksityiset toimijat sekä viranomaiset. Koko valmistelun ajan on versioita esitelty myös niin sanotussa referenssiryhmässä, jossa on edellä mainittuja työryhmiä laajempi edustus aihetta sivuavista toimijoista. Referenssiryhmässä on edustettuina myös useita viranomaisia. Tätä kuulemista on tarkoitus jatkaa. U-jatkokirjeluonnos on käsitelty viestintäjaoston (EU19) kirjallisessa menettelyssä 1.- 8.4.2015 sekä myös kommentoitavana edellä mainitussa sähköisen tunnistamisen luottamusverkostoa koskevassa työryhmässä. Nyt käsiteltävänä olevan komission täytäntöönpanosäädöksen perustana olevaa eidasasetusta eduskunta on käsitellyt ensimmäisen kerran vuonna 2012. Eduskunnassa on annettu aiemmin asiasta aiemmin lausunnot LiVL 12/2012 vp, TaVL 35/2012 vp, LiVL 29/2013 vp sekä TaVL 34/2013 vp. Kansallinen lainsäädäntö, ml. Ahvenanmaan asema Suomessa sähköisestä tunnistamisesta on säädetty vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa (617/2009, tunnistuslaki). Ehdotuksen vaikutuksia Suomen lainsäädäntöön on käsitelty edellä.
5(6) Komission täytäntöönpanosäädöksen perustana oleva eidas-asetus ei kuulu Ahvenanmaan itsehallintolain (1144/1991) mukaan Ahvenanmaan lainsäädäntövaltaan. Taloudelliset vaikutukset Ehdotetulla komission täytäntöönpanosäädöksellä ei ole budjettivaikutuksia. Muut asian käsittelyyn vaikuttavat tekijät Asiakirjat - Non-paper on determining levels of assurance for electronic identification schemes being notified to the Commission pursuant to Articles 8 and 9(1) Laatijan ja muiden käsittelijöiden yhteystiedot Kreetta Simola, liikenne- ja viestintäministeriö, kreetta.simola@lvm.fi; 0505687155 Olli-Pekka Rissanen, valtiovarainministeriö, olli-pekka.rissanen@vm.fi; 0408610060 EUTORI-tunnus EU/2012/1079 Liitteet Ehdotus täytäntöönpanosäädökseksi Viite
6(6) Asiasanat Hoitaa Tiedoksi sähköinen tunnistaminen, sähköinen viestintä, viestintäpolitiikka LVM EUE, OKM, OM, SM, STM, TEM, UM, VM, VNK