Lausunto ehdotuksesta viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointia koskevan lainsäädännön muuttamisesta

Diaarinumero/KKV/1392/03.02/2025

Lausunto ehdotuksesta viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointia koskevan lainsäädännön muuttamisesta (VN/36127/2023)

Valtiovarainministeriö on pyytänyt lausuntoa ehdotuksesta viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden ja varautumisen arviointia koskevan lainsäädännön muuttamisesta. Kilpailu- ja kuluttajavirasto (KKV) esittää lausuntonaan seuraavaa:

Huomiot ehdotetuista arviointimenettelyjä koskevista muutoksista sekä uusista viranomaisia koskevista arviointivelvollisuuksista ja niiden vaikutuksista organisaatiomme toimintaan (3–3 c §)

Kilpailu- ja kuluttajavirasto pitää lähtökohtaisesti perusteltuna, että viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta ja varautumista arvioidaan riskiperusteisesti ja että arviointimenettelyjä koskevaa sääntelyä selkeytetään.

KKV:n näkökulmasta keskeinen huomio kohdistuu kuitenkin 3 a §:ssä säädettyyn valtionhallinnon viranomaisen arviointivelvollisuuden vähimmäistasoon, jonka mukaan viranomaisen tulee toteuttaa aina vähintään tietojärjestelmiensä ja tietoliikennejärjestelyjensä itsearviointi. Lakiteksti ja sen perustelut eivät nykyisellään riittävästi täsmennä, millä laajuudella ja tarkkuudella itsearviointi erityyppisissä tietojärjestelmissä edellytetään tehtäväksi.

Lain määritelmissä tietojärjestelmä kattaa hyvin laajan joukon erilaisia järjestelmiä, eikä sääntelyssä ole rajattu arviointivelvollisuutta järjestelmän käsittelemän tiedon luonteen, viranomaistehtävän kriittisyyden tai toiminnallisen merkittävyyden perusteella. KKV:llä on tunnistettavissa yli sata erilaista tietojärjestelmää tai ohjelmistoa, joista osa on toiminnan kannalta keskeisiä ja osa selvästi tukiluonteisia tai vähäriskisiä. Kaikkien näiden järjestelmien kattava ja yhdenmukaisen laajuinen itsearviointi ei olisi tarkoituksenmukaista eikä kustannustehokasta.

Esityksen perusteluissa viitataan Suomen Erillisverkot Oy:n itsearviointeihin ja niiden kustannustasoon. Tällainen esimerkki ei kuitenkaan ole suoraan vertailukelpoinen KKV:n kaltaisen viraston toimintaympäristöön ja resursseihin. Mikäli itsearviointi ymmärretään vastaavanlaajuiseksi kuin esimerkeissä kuvattu arviointi, muodostuisi velvoite KKV:n tietohallinnon resursseihin nähden kohtuuttomaksi ja voisi pahimmillaan johtaa siihen, että rajallisia resursseja joudutaan siirtämään konkreettisista tietoturvaa parantavista toimenpiteistä arviointiprosesseihin.

KKV katsoo, että lain tavoitteiden toteutumisen kannalta olisi tärkeää täsmentää lain perusteluissa selkeämmin, että 3 a §:n mukainen itsearviointi on luonteeltaan riskiperusteinen ja suhteutettavissa tietojärjestelmän merkitykseen, kriittisyyteen ja riskeihin. Lisäksi olisi perusteltua todeta nimenomaisesti, että tiedonhallintayksikön olemassa olevat riskienhallintamenettelyt voivat muodostaa tarkoituksenmukaisen perustan itsearvioinnille erityisesti vähäriskisten ja tukiluonteisten järjestelmien osalta. Tällainen täsmennys parantaisi sääntelyn ennakoitavuutta, tukisi viranomaisten yhdenmukaista tulkintaa ja varmistaisi, että arviointivelvoitteet edistävät tehokkaasti tietoturvaa ilman suhteettomia hallinnollisia tai taloudellisia vaikutuksia.