Etusivu/Ajankohtaista/Lakiesitys kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (CER) ei nykymuodossaan vastaa tarkoitustaan
Julkaistu 05.03.2024
Lakiesitys kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (CER) ei nykymuodossaan vastaa tarkoitustaan
Huoltovarmuuskeskus (HVK) esittää useita muutoksia hallituksen esitykseen kriittisen infrastruktuurin suojaamista ja häiriönsietokyvyn parantamista koskevaksi laiksi. HVK toteaa lausunnossaan, ettei lakiesitys vastaa eduskunnan aiempia kantoja ja jättää myös useita direktiivin asettamia velvoitteita täyttämättä.
Esitetyllä lailla pannaan täytäntöön Euroopan parlamentin ja neuvoston direktiivi kriittisten toimijoiden häiriönsietokyvystä (Critical Entities Resilience directive, CER). CER-direktiivi tavoittelee sisämarkkinoiden toimintavarmuutta ja häiriönsietokyvyn vahvistamista tunnistamalla yhteiskunnan elintärkeitä ja taloudellisia toimintoja ylläpitävät palvelut sektoreineen. CER-direktiivin rinnalla toimeenpannaan NIS2-direktiivi toimenpiteistä kyberturvallisuuden korkean tason varmistamiseksi läpi unionin. Nämä direktiivit yhdessä muodostavat vahvan vastauksen verkottuneiden yhteiskuntien sekä poikkisektoraalisten että rajat ylittävien riskien tunnistamiselle ja hallitsemiselle. HVK on pitää tervetulleena direktiivien myötä edistyvää EU-jäsenmaiden varautumisen tasonnostoa.
HVK katsoo vaikeaksi tukea lakiluonnoksessa ehdotettua toimeenpanomallia. Lakiesitys ei vastaa eduskunnan aiempia kantoja ja jättää myös useita direktiivin asettamia velvoitteita täyttämättä. Näiden lisäksi esitetty toimeenpanomalli hajottaisi olemassa olevan poikkihallinnollisen koordinaation ja kriittisten toimijoiden kanssa tehtävän varautumisyhteistyön ilman varsinaisia takeita häiriönsietokyvyn vahvistumisesta. Lisäarvoa direktiivin toimeenpanosta kansalliselle varautumiselle ei tämän esityksen pohjalta voida arvioida syntyvän.
Huoltovarmuuskeskus nimettävä kansalliseksi yhteyspisteeksi
Kansallisen lain keskiössä tulisi olla kriittisten toimintojen häiriönsietokyvyn ja jatkuvuuden varmistaminen yhdessä toimijoiden kanssa, ei pelkästään kriittisten toimijoiden valvominen. CER-direktiivin velvoitteita ei toimeenpanna kansallisesti puhtaalta pöydältä, vaan ne asettuvat luontevasti osaksi olemassa olevaa huoltovarmuusjärjestelmää sekä kokonaisturvallisuuden periaatteita.
Suomalaiselle nykyjärjestelmälle on luonteenomaista laaja-alainen ja tiivis julkisen ja yksityisen sektorin yhteistyö yli toimiala- ja sektorirajojen. Yhteiskunnan kokonaisvarautumisen muodostavat ministeriöiden johtama velvoittava sektorilainsäädäntö, sopimukselliset varautumisjärjestelyt ja kriittisten yritysten omat varautumistoimet. Näiden tasapainoinen yhdistelmä perustuu vuosikymmenten aikana rakennettuun keskinäiseen luottamukseen ja se varmistaa Huoltovarmuusorganisaation yhteistoimintakyvyn, mutta myös mahdollisuudet kehittää kokonaisuutta siten, että varautumisen järjestelyt vastaavat muuttuneen turvallisuusympäristön vaatimuksia.
Nykyisessä turvallisuustilanteessa onkin tärkeää suunnata yhteisesti huomiota nimenomaan huoltovarmuusjärjestelyjen kehittämiseen siten, että yhteiskunnan kyky selvitä erityisesti vakavista kriisi- ja häiriötilanteista vahvistuu.
HVK erittelee kattavasti osana lausuntoaan perusteet, joihin nojaten hallituksen esityksen huoltovarmuutta koskeva osuus tulisi korjata. HVK tulisi myös nimetä selkeästi direktiivin mukaiseksi kansalliseksi yhteyspisteeksi ja säätää laissa sille direktiivin mukaiset kansallisen yhteyspisteen tehtävät.
Yhteiskunnan kannalta kriittisistä toiminnoista ja infrastruktuurista vastaavat pääsääntöisesti yritykset. Uuden sääntelyn kautta tulevien velvoitteiden yritysvaikutukset olisi tullut arvioida valmisteluprosessin aikana riittävän tarkkaan ja kattavasti. Lakiluonnos jättää täsmentämättömiksi toimeenpanon avainprosessit: kriittisten toimijoiden määrittämisen, varautumisvelvoitteiden minimitasot, poikkeamista ilmoittamisen ja toimivaltaisten viranomaisten kanssa käytävän vuoropuhelun.
Luonnoksessa tulisi myös vahvistaa kriittisiksi määritettäville toimijoille osoitettavaa tukea uusien CER-velvoitteiden täyttämisessä. Direktiivin toimeenpanosta yrityksille johtuvien uusien velvoitteiden tulisi tukea ja vain tarpeellisilta osin täydentää yritysten jo olemassa olevaa jatkuvuussuunnittelua, varautumisjärjestelyitä ja riskienhallintaa.
Jotta lakiesitys kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn vahvistamisesta pääsisi sille asetettuun tavoitteeseen, tulee toimeenpanossa hyödyntää olemassa oleva huoltovarmuusjärjestelmä sekä luottamuspääoma, joilla kriittisten toimintojen häiriönsietokykyä on turvattu tähänkin asti. HVK haluaa kulkea yhteiskuntamme toimintavarmuuden kannalta kriittisten toimijoiden rinnalla myös tulevaisuudessa.