OTKESille esitetään toimivaltaa tutkia erittäin vakavia kyberturvallisuuspoikkeamia

Hallitus esittää Onnettomuustutkintakeskukselle toimivaltaa tutkia erittäin vakavia kyberturvallisuuspoikkeamia. Muutos sisältyy hallituksen esitykseen HE 71/2026, jossa ehdotetaan muutoksia turvallisuustutkintalakiin ja kyberturvallisuuslain 17 §:ään.

Esityksen mukaan Onnettomuustutkintakeskus voisi ottaa erittäin vakavan kyberturvallisuuspoikkeaman tutkittavakseen harkintansa mukaan. Esitys ei loisi keskukselle velvollisuutta tutkia kaikkia tällaisia poikkeamia.

Erittäin vakavalla kyberturvallisuuspoikkeamalla tarkoitettaisiin kyberturvallisuuslain 11 §:ssä tarkoitettua merkittävää poikkeamaa, jolla on poikkeuksellisen vakavia tai laajamittaisia haitallisia vaikutuksia. Esityksessä mainitaan esimerkkeinä vaikutukset julkisen vallan päätöksentekokykyyn, kansalliseen turvallisuuteen tai maanpuolustukseen, välttämättömiin sosiaali- ja terveydenhuollon tai pelastustoimen palveluihin, energia-, vesi-, elintarvike- tai lääkehuoltoon, maksu- ja arvopaperipalveluihin, kriittisiin liikenne- ja viestintäpalveluihin, kriittisiin toimijoihin tai henkilötietojen suojaan.

Turvallisuustutkintalain 5 §:ää muutettaisiin niin, että tutkinnassa selvitettäisiin erityisesti, onko turvallisuus otettu riittävästi huomioon erittäin vakavaan kyberturvallisuuspoikkeamaan johtaneessa toiminnassa. Lisäksi tutkinnassa tarkasteltaisiin poikkeaman aiheuttajina tai kohteina olleiden laitteiden, järjestelmien, ohjelmistojen ja rakenteiden suunnittelua, valmistusta, rakentamista ja käyttöä.

Esitys loisi uuden ilmoitusvelvollisuuden. Turvallisuustutkintalakiin ehdotetaan uutta 16 a §:ää, jonka mukaan kyberturvallisuuslain 26 §:ssä tarkoitetun valvovan viranomaisen olisi salassapitosäännösten estämättä ilmoitettava Onnettomuustutkintakeskukselle tiedossaan olevasta erittäin vakavasta kyberturvallisuuspoikkeamasta.

Ilmoitusvelvollisuus koskisi esityksen mukaan myös Liikenne- ja viestintävirastoa silloin, kun se toimii julkisen hallinnon tiedonhallintalaissa tarkoitettuna valvovana viranomaisena. Lisäksi velvollisuus koskisi Finanssivalvontaa, jos sille ilmoitettu DORA-asetuksen mukainen laajavaikutteinen poikkeama olisi pidettävä erittäin vakavana kyberturvallisuuspoikkeamana.

Kyberturvallisuuslain 17 §:ään ehdotetaan uutta momenttia, jossa viitattaisiin turvallisuustutkintalain 16 a §:ssä säädettävään valvovan viranomaisen ilmoitusvelvollisuuteen.

Erittäin vakavien kyberturvallisuuspoikkeamien tutkintaa varten ehdotetaan erillistä tiedonsaantioikeutta. Tutkintaa tekevällä olisi oikeus saada salassapitosäännösten estämättä ja maksutta tutkinnassa välttämättömiä tietoja valvovalta viranomaiselta, tietyltä toimijalta tai sen lukuun toimivalta taholta sekä poliisin poliisi- ja esitutkinta-asiakirjoista.

Turvallisuustutkinnasta laadittaisiin julkinen tutkintaselostus poikkeaman vakavuuteen nähden sopivassa laajuudessa. Selostus sisältäisi kuvauksen tapahtumien kulusta, tekijöistä ja seurauksista sekä turvallisuussuositukset asianomaisille viranomaisille ja muille toimijoille.

Esityksessä muutettaisiin turvallisuustutkintalakia myös EU:n merionnettomuustutkintadirektiiviin tehtyjen muutosten kansalliseksi täytäntöönpanemiseksi siltä osin kuin täytäntöönpano edellyttää lailla säätämistä. Esityksen mukaan muutokset koskevat muun muassa tutkinnan piirissä olevia aluksia, tutkinnan aloittamisen aikarajaa, tutkinnan raportointia ja tutkintaan liittyvän tiedon luottamuksellisuutta.

Direktiivi (EU) 2024/3017 tuli voimaan 26. joulukuuta 2024, ja sen kansallisen täytäntöönpanon määräpäivä on 27. kesäkuuta 2027. Ehdotettujen lakien on tarkoitus tulla voimaan 1. tammikuuta 2027.

Hallituksen esityksen mukaan esityksellä ei ole vaikutusta valtion talousarvioon. Esityksen mukaan ehdotetut muutokset eivät myöskään vaatisi lisäresursointia Onnettomuustutkintakeskukselle.