Hallitus esittää uutta mallia viranomaisten kyberturvallisuusarviointeihin

Valtioneuvosto hyväksyi torstaina 7. toukokuuta hallituksen esityksen, joka uudistaisi viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arviointia. Esitys HE 85/2026 vp on annettu eduskunnalle.

Valtiovarainministeriön mukaan esityksen tavoitteena on parantaa viranomaisten tietoturvallisuusarviointien saatavuutta, sujuvoittaa arviointimenettelyä, selkeyttää arviointiperusteita ja tehostaa viranomaisyhteistyötä.

Esityksessä ehdotetaan muutoksia kolmeen säädökseen: viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annettuun lakiin, tietoturvallisuuden arviointilaitoksista annettuun lakiin sekä turvallisuusselvityslain 18:aan ja 48:aan.

Valtiovarainministeriön mukaan keskeisiä muutoksia olisivat uusien arviointimenettelyjen ja viranomaisten arviointivelvollisuuksien lisääminen lakiin. Lisäksi Pääesikunnan määrätylle turvallisuusviranomaiselle säädettäisiin uusi arviointitehtävä.

Valtiovarainministeriön päätössivulla ei yksilöidä uuden arviointitehtävän sisältöä. Liikenne- ja viestintävirasto Traficomin vuosiraportin mukaan hallituksen esityksen luonnoksessa Pääesikunnan määrätylle turvallisuusviranomaiselle ehdotettiin riippumatonta arviointitehtävää Puolustusvoimien omien järjestelmien arvioinnissa silloin, kun kyse on kansallisen tiedon käsittelystä.

Traficomin vuosiraportin mukaan arviointilainsäädännön uudistusta valmisteltiin valtiovarainministeriön hankkeessa, joka koski julkisen hallinnon tietojärjestelmien vaatimustenmukaisuuden arvioinnin ajantasaistamista ja tehostamista. Raportin mukaan esitysluonnoksessa ehdotettiin, että valtionhallinnon viranomaisten pitäisi arvioida tietojärjestelmänsä ja tietoliikennejärjestelynsä vähintään itsearvioinnilla. Luonnoksessa ehdotettiin raportin mukaan myös, että tietoturvallisuuden arviointilaitoksen tai arviointiviranomaisen arviointi olisi hankittava, jos riskiarviointi ja turvallisuusluokka sitä edellyttäisivät.

Uudistuksella on myös elinkeinopoliittinen tavoite. Valtiovarainministeriön mukaan turvallisuuskriittisten ratkaisujen arvioinnin ja hyväksynnän on tarkoitus parantaa yritysten mahdollisuuksia tarjota ratkaisujaan. Ministeriön mukaan esitys edistää hallitusohjelman mukaista salaustuotteiden hyväksyntäprosessia, jotta kotimainen kyberteknologia saataisiin nopeammin markkinoille.

Valtiovarainministeriön mukaan esitys edistää myös valtioneuvoston vuoden 2024 puolustusselonteon tavoitetta, joka koskee Puolustusvoimien itsenäistä tietojärjestelmien ja salaustuotteiden arviointi- ja hyväksyntätoimintakykyä.

Traficomin vuosiraportin mukaan esitysluonnoksessa ehdotettiin, että suomalaiset salaus-, hajasäteilysuojaus- ja muiden turvallisuuskriittisten ratkaisujen valmistajat voisivat hakea itsenäisesti hyväksyntää Liikenne- ja viestintävirastolta. Raportin mukaan hyväksyntämahdollisuuden arvioitiin tukevan valmistajien kilpailuasemaa EU:n ja Naton markkinoilla.

Kyse on hallituksen esityksestä, eikä lainsäädäntö ole vielä voimassa. Ehdotettujen lakien on tarkoitus tulla voimaan syksyllä 2026.