Soveltamisala ja toimijaluettelo
Vaikka energia-alalle on suurelta osin selvää kuuluminen soveltamisalaan, voi erityisesti uusien liiketoimintojen osalta tilanne olla varsin epäselvä. Viittaamme tässä myös Elinkeinoelämän keskusliitto EK:n seikkaperäisiin lausuntoihin asiasta.
Olennainen kysymys on keskeisen toimijan määrittely 1 luku 3 §:n 3 momentin mukaisesti. On ehdottoman tärkeää, että viranomainen olisi tässä oma-aloitteinen ja neuvoisi aktiivisesti toimijoita, jotta puutteet toimijaluettelossa voitaisiin havaita hyvissä ajoin. Tämä edellyttää myös riittäviä resursseja viranomaisten käyttöön.
Sillä, kuuluuko soveltamisalaan, on ratkaiseva merkitys mm. toimijan johdon henkilökohtaisen vastuun kannalta. Mahdolliset ankarat seuraamukset huomioiden, on kohtuutonta edellyttää, että jokainen toimija kykenisi oma-aloitteisesti tulkitsemaan toimijaluetteloon kuulumisen kriteerejä samalla tavoin kuin viranomainen. Toisaalta ymmärrämme, että esimerkiksi monimutkaiset konsernirakenteet voidaan huomioida täsmällisemmin, kun arviointi jätetään toimijalle.
Kannatamme esityksen perusteluissa (s. 153–154) mainittua näkemystä, että soveltamisalaan kuulumisen kriteerejä tulisi vielä tarkentaa antamalla asiasta valtioneuvoston asetus. Ehdotamme myös, että valvoville viranomaisille asetettaisiin velvollisuus olla yhteydessä soveltamisalaan kuuluviin toimijoihin ja kertoa soveltamisalaan kuulumisesta.
Valvottavien toimijoiden omat resurssit
Tämä huomio koskee ensi kädessä toimeenpanon jälkeistä käytännön toimintaa vahvasti säännellyllä sähköverkkoalalla. Kuten kyberturvallisuuden verkkosäännössä (EU) 2024/1366 todetaan kulujen korvaamisesta (11 artikla), uudesta sääntelystä johtuvat kulut täytyy voida kattaa verkkotariffeilla tai muilla asianmukaisilla mekanismeilla. Tämä on ensiarvoisen tärkeää huomioida vastaavasti myös NIS2-direktiivin täytäntöönpanossa, jotta ei tosiasiallisesti ajauduta kyberturvallisuuden heikentymiseen.
Viimeksi mainittu voisi käytännössä toteutua siten, että viranomaisten määräämistä toimenpiteistä aiheutuvat kulut haittaisivat suoraan toimijoiden omaehtoisen toiminnan taloudellisia edellytyksiä. Omaehtoiseen toimintaan luetaan ne kyber- ja fyysistä turvallisuutta parantavat toimenpiteet, joita sääntely ei edellytä, vaan jotka ovat toimijoiden oman innovoinnin ja vastuullisuuden tulosta. Tästä löytyy myös näyttöjä, sillä Suomen energia-alalla ei suuria kyberturvapoikkeamia ole tapahtunut. Tämä ei ole siitä kiinni, etteikö yrityksiä olisi ollut.
Yllä mainitun myötä, kaikissa viranomaisvaatimuksissa on ehdottoman tärkeää edellyttää viranomaiselta käsitystä toimijan mahdollisuuksista kattaa vaatimusten kulut. On myös varmistuttava siitä, että vaatimukset eivät ohjaa toimijoiden resursseja vähämerkityksellisiin tehtäviin. Konkreettisena parannusehdotuksena edelliseen mainittakoon toimijakohtaisesti esitäytetyt sähköiset ilmoitukset ja lomakkeet. Tämä on liian harvoin käytetty toimintatapa, ottaen huomioon vahvan tunnistautumisen tuomat mahdollisuudet, sekä viranomaisilta jo entuudestaan löytyvät kattavat tiedot toimijoista.
Seuraamusmaksu
38 §:ssä seuraamusmaksu on sidottu ”toimijan” maailmanlaajuiseen liikevaihtoon, mikä voi johtaa merkittävään vaihteluun seuraamusmaksun suuruudessa riippuen siitä, tulkitaanko ”toimijaksi” koko konserni vai esimerkiksi yksittäinen tytäryhtiö. Viranomaisen on syytä varautua soveltamisalaa koskevien sitovien tulkintojen tekemiseen jo toimijaluetteloa laadittaessa.
Korostamme, että hallituksen esitys voi johtaa tilanteeseen, jossa esimerkiksi konsernin tytäryhtiöt katsotaan vaihtelevassa määrin itsenäisiksi toimijoiksi. Seuraamusmaksun määräytymisen epäselvyyksien lisäksi myös johdon vastuukysymykset voivat aiheuttaa epäselvyyttä tällaisissa tilanteissa. Korostamme aiemmin mainittua näkemystä siitä, että soveltamisalaan kuulumisen kriteerejä tulisi vielä tarkentaa antamalla asiasta valtioneuvoston asetus.
Viranomaisresurssit ja toimijoiden tukeminen
On ehdottoman tärkeää, että viranomaisilla on käytettävissään riittävät ja asiantuntevat resurssit toimijoiden tukemiseen. Tätä ei voi mitata henkilömäärällä, vaan konkreettisella osaamisella kyber- turvallisuudesta ja valvottavan toimialan erityispiirteistä. Tarjoamme myös energia-alan osaamista asiaan ja kannustammekin viranomaisia tiiviiseen vuoropuheluun alan toimijoiden kanssa. Hyviä käytäntöjä vuoropuheluun löytyy myös esimerkiksi Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskukselta.
Luotamme siihen, että vuoropuhelu toteutuu viranomaista ohjeistamalla, mutta tarvittaessa asia on kirjattava myös säädöstekstiin, joka toisaalta on myös peruste viranomaisen resurssien tarkastelulle.
Asiantuntijamme tällä aihealueella
Sähkötutkimuspoolin asiamies, verkkosäännöt, kyberturvallisuus, sähkön pientuotannon liittäminen, sähköinen liikenne