Energiateollisuus ry kiittää mahdollisuudesta lausua otsikossa mainitusta esityksestä. Toteamme lausuntonamme seuraavaa:
Yleiset huomiot CER-direktiivin kansallisesta toteuttamistavasta, kuten esimerkiksi viranomaistoiminnan järjestämisestä ja valvontamallista
Energia-ala on sitoutunut toimimaan vastuullisesti keskeisenä osana yhteiskunnan kriittistä infraa. CER-direktiivi sekä muut viimeaikaiset kyber- ja fyysistä turvallisuutta koskevat lainsäädäntöhankkeet ovat perusteltuja EU:n ja Suomen turvallisuusympäristön muututtua merkittävästi.
Olemme tunnistaneet ainakin seitsemän energia-alan kyber- ja fyysistä turvallisuutta koskevaa direktiiviä tai asetusta, joita ollaan valmistelemassa tai toimeenpanemassa vuoden 2023 lopussa ja sen jälkeen. On ehdottoman tärkeää, että näiden lainsäädäntöhankkeiden välinen yhteensopivuus varmistetaan niin sisältöjen kuin aikataulujenkin suhteen.
Ehdotamme, että CER-direktiivin kansallisen täytäntöönpanon yhteydessä käytetään hyväksi nykyisiä, toimiviksi todettuja varautumisjärjestelyitä mahdollisimman tehokkaasti. Nykymuodossaan luonnos hallituksen esitykseksi kuitenkin perustuu oletukselle, että nykyisen mallin ohelle luodaan uusi toimintakehys ja siihen liittyvä ohjausjärjestelmä. Tämä merkitsee käytännössä, että soveltamisalaan kuuluvat yritykset saavat jatkossa ohjeistusta samasta aiheesta useista eri lähteistä, useiden eri viranomaisten toimesta. Tämä ei ole toivottava kehityssuunta. Vaikka onkin tärkeää kehittää nykyistä järjestelmää ja Huoltovarmuuskeskuksen toimintaa, olisi silti järkevää hyödyntää olemassa olevaa järjestelmää laajemmin. Huomioiden erityisesti, että energia-alalla on vahva halu ja kannustimet parantaa omaa riskienhallintaansa ja resilienssiään jatkuvasti, ilman lainsäädännöllistä pakkoa.
Haluamme lisäksi kiinnittää huomiota Liikenne- ja viestintävirasto Traficomin määräykseen M71, joka velvoittaa lataamaan kriittisen infrastruktuurin tarkat paikkatiedot keskitettyyn palveluun nimeltä Sijaintitietopalvelu. Kaiken kriittisen infrastruktuurin lataamisella uuden palvelun taakse on ilmeisiä turvallisuus-, mutta myös käytettävyysriskejä, jotka liittyvät tietojen manuaaliseen monistamiseen useaan eri järjestelmään. Ehdotamme, että CER-direktiivin täytäntöönpanemisen yhteydessä tehdään selväksi, että kriittisen infran paikkatietoja ei ole velvollisuutta ladata Sijaintitietopalveluun, vaan palvelun toteutustapa tulisi arvioida uudelleen.
Tuemme pääpiirteittäin myös Elinkeinoelämän Keskusliiton lausuntoa. Erityisesti korostamme ja toistamme kohdan yritysten tukemisesta, jonka täytyy CER-direktiivin mukaan toteutua. Lainaus EK:n lausunnosta:
”Koska kriittinen infrastruktuuri Suomessa on ennen kaikkea yksityisten toimijoiden omistuksessa ja hallinnassa, tulisi huomattavasti enemmän keskittyä siihen, minkä lisäarvon esitetyn lain velvoitteiden toteuttaminen soveltamisalan yritykselle tuottaa. Nyt direktiivin edellyttämä viranomaisten tuki soveltamisalan yrityksille ei ole esityksessä millään tavoin keskeisessä roolissa. Tämä näkyy useissa kohdin, mm. kriittisten toimijoiden tukeminen, poikkeamailmoitusmenettelyyn liittyvä viranomaisten palaute ja tuki yrityksille, jäljempänä tässä lausunnossa todettu riittämätön vaikutustenarviointi sekä edellä kuvattu Huoltovarmuuskeskuksen ja huoltovarmuusorganisaation rooli. Yritykset raportoivat laajasti, että viranomaiset tiedustelevat niiltä jo nykyisin paljon turvallisuuteen liittyviä tietoja, mutta niillä on vaikeuksia saada toimintaa ja päätöksentekoa tukevia tietoja viranomaisilta edes kysyttäessä. Tämän on muututtava.
Ainoat säännökset esityksessä, joissa puhutaan välittömästi yrityksen tukemisesta sen esitettyyn lakiin liittyvissä tehtävissä ovat 8 §:n f) -kohta (…”antaa tarvittaessa tukea”…) sekä 19 § 1 momentti (…”ilmoitettava kriittiselle toimijalle poikkeamailmoituksen vastaanottamisesta ja mahdollisista tukitoimista.”), eikä niissäkään tukeminen ole viranomaista kaikissa tapauksissa velvoittavaa. Jälkimmäisen kohdan osalta on selvää, ettei yritys aina tarvitsekaan viranomaisen tukitoimia, mutta säännöksen voisi hyvin kirjoittaa velvoittavaksi niin, että siinä edellytettäisiin viranomaisen aina viipymättä poikkeamailmoituksen vastaanottamisen jälkeen tiedustelevan yritykseltä, tarvitseeko se tukea ja jos näin on, velvoittaa viranomainen sitä myös toimittamaan.
Painotamme, että direktiivin 10 artiklassa kuvattu toimivaltaisten viranomaisten tuki yrityksille on kuvattu velvoittavasti. Artiklan mukaan ”jäsenvaltioiden on tuettava…” ja ”Kunkin jäsenvaltion on varmistettava, että sen toimivaltaiset viranomaiset tekevät yhteistyötä ja vaihtavat tietoja ja hyviä käytäntöjä liitteessä esitettyjen toimialojen kriittisten toimijoiden kanssa.” Sama velvoittavuus olisi perusteltua säilyttää myös kansallisessa laissa. Nyt ehdotetun 7 §:n mukaan edes toimivaltaisen viranomaisen, sisäministeriön, tehtäviin ei kuuluisi yrityksille tarjottavasta tuesta huolehtiminen. Tuen velvoittavuuden ja sisällön puutteellista käsittelyä luonnoksessa voidaan perustellusti pitää yhtenä sen keskeisimmistä puutteista.”
Soveltamisalaa koskevat huomiot, kuten esimerkiksi kriittisen toimijan määrittäminen ja kriteeristön kattavuus
Lakiluonnoksen perusteella yritysten on haastavaa etukäteen arvioida, mitä toimijoita se tarkalleen ottaen tulee koskemaan. Määrittelyä tulisi tarkentaa niin, että jo lain perusteella on selvää, mitkä rajaukset ovat. Lisäksi tulee varmistaa, että kriittisten toimijoiden määrittelyajankohdan jälkeen kriittisiksi määritellyillä yrityksillä on riittävä siirtymäaika tuleviin vaatimuksiin varautumiseen.
Kriittisen toimijoiden määrittämisen osalta esitämme, että toimijoille järjestetään mahdollisuus keskustella kansallisen riskiarvion sisällöstä ja toimijan kriittisestä määrittelystä ennen nimeämistä tällaiseksi toimijaksi. Toimijalla on kaikissa tapauksissa paras käsitys oman toimintansa luonteesta, jolloin mahdollisuus keskustella ja kommentoida asiaa etukäteen vahvistaa myös viranomaista työtä kriittisten alueiden suojaamisessa. Vaikka hallintopäätös antaa toimijalle oikeuden valittaa päätöksestä, mielestämme ei ole tarkoituksenmukaista käyttää tätä ainoana keinona vaikuttaa toimijamäärittelyn laajuuteen.
Lakiluonnoksen säännöskohtaisten perustelujen pykälän 11 koskevassa osiossa todetaan: ”Toimijaksi voidaan tunnistaa esimerkiksi yrityksen toiminnallinen osa, jos liiketoimintaa harjoitetaan konsernirakenteessa.” Esitämme, että laissa tai vähintään sen perusteluosuudessa tarkennetaan, miten toimijan konsernin tulee huomioida lain velvoitteet, jos vain osa sen toiminnasta kuuluu lain soveltamisalan piiriin. Yritysten kannalta on tärkeää, että lain piiriin kuuluminen ja sen vaikutukset toimintaan olisivat mahdollisimman selkeät. Lisäksi on huomioitava, että erityisesti energiatoimialalla toimittajalla saattaa olla useita eri kapasiteetin laitoksia, joista osa saattaa tuottaa pienen ja vähämerkityksellisen määrän sähkön kokonaiskapasiteetista.
Kaukolämpöyhtiöitä koskien tarkennus olisi erityisen tärkeä, sillä kaukolämpöalaa koskevia varautumisvelvoitteita ei aiemmin ole ollut missään laissa. Toimijan toiminnallisen osa määrittelyssä tämä tulisi ottaa huomioon, jotta velvoitteet kohdistuvat tarkoituksenmukaisiin laitoksiin. Tämä olisi myös linjassa kriittisten toimijoiden riskiperusteisin lähestymistavan kanssa. Emme näe tarkoituksenmukaiseksi myöskään tilannetta, jossa toimijan kaikki toiminnat ja laitokset automaattisesti asetettaisiin lain soveltamisalan piiriin vain kokonaiskapasiteetin perusteella.
Velvoitteiden osalta kiinnitämme huomiota myös pykälän 14 perusteluosioon: ”Kriittiseksi toimijaksi määrittäminen tehtäisiin hallintopäätöksenä. Päätöksellä on oikeusvaikutuksia suhteessa kriittiseen toimijaan. Päätöksellä on vaikutusta toimijan asemaan suhteessa samalla markkinalla toimiviin yrityksiin, toimijan hallinnon järjestämisen, hallintorakenteiden ja investointien kannalta…”. Ymmärryksemme mukaan itse laki ei suoraan aseta vaatimuksia hallinnon tai hallintorakenteiden järjestämiselle. Mielestämme perusteluosiossa tulisi selventää, mitä tarkoitetaan viittauksella hallintovaikutuksista.
Vaikutustenarviointia koskevat huomiot, kuten esimerkiksi yhteiskunnalliset vaikutukset, taloudelliset vaikutukset yrityksille, hallinnollinen taakka ja muut kustannukset sekä vaikutukset yritysten toimintaan
Vaikutustenarviointi on keskeinen osa jokaisen lain suhteellisuusperiaatteen mukaista toimintaa. Tässä nimenomaisessa lainsäädäntöhankkeessa herää kysymys, miten vaikutusarviointia voi tehdä, jos ei ole tiedossa listaa toimijoista, joita laki koskee?
Haluamme korostaa CER-direktiivin 13 artiklassa mainittua kriittisten toimijoiden toimintaa häiriötilanteista palautumisen osalta, jota hallituksen luonnosehdotuksessa ei ole käsitelty yksityiskohtaisesti. Erityisesti poikkeustilanteissa sähkönjakelun palauttaminen edellyttää riittävän määrän varaosia ja päteviä korjaustyöntekijöitä. Ammattitaitoisen henkilöstön ja tarvittavien materiaalien saatavuus on elintärkeää toiminnan jatkuvuuden ja häiriönsietokyvyn kannalta. Nykyinen tilanne ei välttämättä mahdollista tehokasta korjaustoimintaa laajamittaisissa, ulkoisista syistä johtuvissa häiriötilanteissa, ja näin ollen lainsäädännöllisin toimin tulisi varmistaa yritysten kyky selviytyä tällaisista tilanteista.
Toinen huomio koskee toimeenpanon jälkeistä käytännön toimintaa. Kuten lausunnolla olleessa kyberturvallisuuden verkkosäännön luonnoksessa [Ares(2023)7142081] todetaan, uudesta sääntelystä johtuvat kustannukset täytyy voida kattaa tulonlähteiltä täysimääräisesti. Muu olemassa oleva sääntely ei saa estää kustannusten kattamista. Esimerkiksi sähköverkkoyhtiöillä täytyy olla mahdollisuus sisällyttää nämä valvontamallin mukaisiin kustannuksiin verkkopalvelujen hinnoittelussa, sillä kyseessä on lainmuutos kesken valvontajakson.
Mikäli edellä mainitussa epäonnistutaan, uuden sääntelyn kustannukset haittaisivat suoraan toimijoiden muun toiminnan taloudellisia edellytyksiä. Mukaan lukien ne kyber- ja fyysistä turvallisuutta parantavat toimenpiteet, joita sääntely ei ole edellyttänyt, vaan jotka ovat toimijoiden oman innovoinnin ja vastuullisuuden tulosta. Tästä löytyy myös näyttöjä, sillä Suomen energia-alalla ei suuria kyber- tai fyysisen turvallisuuden poikkeamia ole tapahtunut. Tämä ei ole siitä kiinni, etteikö yrityksiä olisi ollut, varsinkin viimeisen kahden vuoden aikana.
Valvontaa koskevat huomiot
On olennaista varmistaa CER- ja NIS2 -direktiivien soveltamisen yhtenäisyys, mukaan lukien erojen huomioiminen esimerkiksi viranomaisten raportointivelvoitteiden kynnysarvoissa ja raportoinnin menetelmissä. Tämä seikka on keskeinen osa lainsäädännön ja sääntelyn valmisteluprosessia, jotta voidaan taata selkeät ja tehokkaat tiedonvaihdon käytännöt kriittisten toimijoiden ja kansallisten sekä EU-tason viranomaisten välillä. On tärkeää ottaa huomioon eri toimialojen erityispiirteet tarkemmissa soveltavissa säädöksissä, ja varmistaa, että raportointimenettelyt ovat selkeitä ja riittävän yksiselitteisiä kaikille osapuolille. Esitys yhteisestä ilmoitusjärjestelmästä on kannatettava, sillä se helpottaa ilmoitusten yhdenmukaisuutta ja vähentää tarpeetonta hallinnollista taakkaa.
Valvonnassa tulee myös ottaa huomioon olemassa olevat, toimiviksi todetut menettelyt, kuten sähköverkkoyhtiöiden varautumis- ja kehittämissuunnitelmien säännölliset päivitykset. Direktiivin mukaan kansallisella tasolla toimivaltaisella viranomaisella on mahdollisuus ohjeistaa käyttämään jo olemassa olevia suunnitelmia ja raportteja myös CER-direktiivin edellyttämiin tarkoituksiin. Tämä lähestymistapa on ehdottoman kannatettava, sillä alalla on jo käytössä varautumis- ja valmiussuunnitelmia sekä toimenpiteitä, jotka ovat soveltuvia käytettäviksi lain ja viranomaistoiminnan vaatimusten täyttämiseksi.
Lisäksi huomautamme, että nykyinen suunnitelmien päivitystiheys on sähköverkkojen osalta linjassa CER-direktiivin vaatimusten kanssa. CER-direktiivin mukaan kriittisten toimijoiden tulee tehdä riskinarviointi vähintään joka neljäs vuosi, kun taas kansallisella tasolla sähköverkkoja koskeva varautumissuunnitelmat päivitetään kolmen vuoden välein.
Laiminlyöntimaksua koskevat huomiot
23. pykälässä esitetään tilanteet, joissa valvontaviranomainen voi tehdä päätöksen kriittisen toimijan maksamasta laiminlyöntimaksusta. Kuitenkin sen suhde 22. pykälässä määriteltyihin toimenpiteisiin jää avoimeksi. On välttämätöntä selventää, käytetäänkö laiminlyöntimaksua vain silloin, kun 22. pykälän mukaiset toimet eivät ole tuottaneet toivottua tulosta. Näkemyksemme mukaan näin pitäisi toimia, sillä ohjauksen tulisi aina olla ensisijainen toimi ennen mahdollisten sanktioiden käyttöönottoa. Tämän asian selkeyttäminen on ehdottoman tärkeää jatkovalmistelussa, jotta voidaan varmistua viranomaistoiminnan lainmukaisuudesta.
Miten arvioitte turvallisuusselvityslakia koskevan esityksen tarpeellisuutta ja muotoilua? Millaisia turvallisuusvaikutuksia esityksellä olisi?
Pidämme keskeisenä, että yritykset, jotka toimivat kriittisen infrastruktuurin alalla, saavat tarpeeksi laajat valtuudet henkilöturvallisuusselvitysten tekemiseen. Tämänhetkisen määritelmän lisäksi olisi tärkeää, että henkilöt, joilla on käyttöoikeus sellaiseen tietoon, joka mahdollistaa kriittisen infrastruktuurin toimintakyvyn heikentämisen, sisällytetään perusmuotoisten henkilöturvallisuusselvitysten soveltamisalaan.
Miten arvioitte satamien turvallisuusselvityksiä koskevan esityksen tarpeellisuutta ja muotoilua? Millaisia toiminnallisia ja taloudellisia vaikutuksia esityksellä olisi? Millaisia turvallisuusvaikutuksia esityksellä olisi?
(Ei lausuttavaa tähän kohtaan)
CER-yleislain 28 §:ään liittyen, miten arvioitte säännösehdotuksia, jotka koskevat muiden EU-jäsenvaltioiden rikosrekisteritietojen käyttämistä kriittisen toimijan työntekijästä tehtävässä turvallisuusselvityksessä (1. lakiesityksen 28§ sekä 3. ja 4. lakiesitys)?
On kannatettavaa, että työntekijöiden turvallisuusselvitysten yhteydessä voidaan hyödyntää EU-jäsenmaiden viranomaisten ylläpitämien turvallisuusrekisterien tietoja. Näin toimimalla voidaan parantaa turvallisuusselvitysten kattavuutta.
Laissa tulisi kuitenkin ottaa kantaa myös tilanteisiin, joissa turvallisuusselvitettävä henkilö tulee EU:n ulkopuolelta. Lain ja turvallisuusselvitysten vaatimuksen ei tulisi johtaa tilanteeseen, jossa toimija ei voisi käyttää parhaita mahdollisia asiantuntijoita, joista osa saattaa tulla myös EU-alueen ulkopuolelta.
Muut huomiot
Energiateollisuus ry osallistuu mielellään kuulemisiin sekä muuhun yhteistyöhön, joka liittyy CER-direktiivin kansalliseen implementointiin energia-alan osalta.
Asiantuntijamme tällä aihealueella
Sähkötutkimuspoolin asiamies, verkkosäännöt, kyberturvallisuus, sähkön pientuotannon liittäminen, sähköinen liikenne
