Lausunto Liikenne- ja viestintäministeriölle arviomuistiosta sijaintiselvityspyyntöihin vastaamiseksi toteutettavan järjestelmän ratkaisu- ja sääntelyvaihtoehdoista
Pidämme hyvänä, että Sijaintitietopalvelun käyttöönotto keskeytettiin syksyllä 2024. Syksyllä 2024 sekä Venäjän hyökkäyssodan helmikuussa 2022 jälkeen alkaneet tapatumasarjat niin tele- kuin sähkökaapeleiden osalta ovat osoittaneet, että turvallisuustilanne on totaalisesti muuttunut ympärillämme. Paikallisvoima katsoo yleisesti, että kaikki kriittinen infrastruktuuri tulee suojata vahvasti, eikä sen keskitettyä sijaintitietoratkaisua tule avata lainkaan.
Yhteisrakentamislain 5§ on nähdäksemme vanhentunut ja ongelmallinen, kun sitä tulkitaan niin, että kaikkien toimijoiden on toimitettava sijaintitiedot keskitettyyn palveluun, josta niiden luovuttamista edelleen voidaan rajoittaa vain laissa luetelluin perustelluin poikkeuksin. Liikenne- ja viestintäministeriön tulisi viipymättä korjata tällainen lainsäädäntö nykypäivän turvallisuustilannetta vastaavaksi.
Näkemyksemme mukaan yksi tehokkaimmista hybridivaikuttamiselta suojautumisen keinoista on em. verkkojen sijaintien suojaaminen niin, että tiedot verkkojen tarkoista sijainneista eivät voi päätyä missään olosuhteissa vääriin käsiin. Kriittisenä infrastruktuurina tulee NIS- ja CER-direktiivienkin hengen mukaisesti pitää kaikkea sähkö- ja kaukolämpöverkkojen infrastruktuuria.
Nähdäksemme arviomuistiossa ei ole tunnistettu olemassa olevia sähköverkkoyhtiöihin kohdistuvia vaatimuksia, kuten varautumis- ja valmiussuunnitelmia. Suunnitelmissa toimijoiden täytyy huomioida myös tietoturvan vaatimukset. EU:n verkko- ja tietoturvadirektiivissä (NIS-direktiivi) säädetään yhteiskunnan kriittisen infrastruktuurin tarjoajien ja toimijoiden tietoturvavelvollisuuksista sekä tietoturvahäiriöistä ilmoittamisesta. Suomessa velvoitteet säädetään kyseisten sektoreiden omassa lainsäädännössä ja niitä valvovat sektorikohtaiset valvontaviranomaiset. Huoltovarmuuskriittisten toimijoiden on huolehdittava palvelujensa ja infrastruktuurinsa tietoturvasta sekä raportoitava havaitsemansa tietoturvauhat ja -loukkaukset viranomaiselle. Tämä toimintamalli on hajautetussa järjestelmässä ollut käytössä jo useita vuosia.
Lausuntopyynnössä pyydetään ottamaan kantaa neljään eri vaihtoehtoon.
1) Paikallisvoiman näkemyksen mukaan turvallisin vaihtoehto on hajautettu malli B. Käsityksemme mukaan se on nykyisin voimassa olevan lainsäädännön ja määräysten näkökulmasta kustannustehokkain, selkein ja ennen kaikkea turvallisin (henkilö- ja kyberturvallisuus) vaihtoehto.
2) Keskitetty malli on vaihtoehdoista haastavin. Järjestely olisi raskain, kallein, enemmän riskejä sisältävä ja käytännössä eniten aikaa vievin vaihtoehto kaikkien osapuolien kannalta. On huomioitava, että kiristyvä EU-lainsäädäntö velvoittaa kriittisen infrastruktuurin toimijoita entistä tarkempaan tietojen suojaamiseen, eikä ylimääräisiä viranomaisten kustannuksia pienemmille toimijoille ole perusteltua aiheuttaa. On huomattava, että joka tapauksessa kustannukset valuvat loppukäyttäjien maksettavaksi eli tavallisille kuluttajille ja kansalaisille.
3) Keskusteltaessa eri järjestelmämalleista unohtuu monesti muut kustannukset. On huomioitava, että suuri osa sijaintitietoihin liittyvistä kustannuksista verkonhaltijoille syntyy näyttöpalvelusta, eikä mikään esitetty malli näkemyksemme mukaan vähennä näyttöjen tarvetta ja kustannuksia. Keskitetty palvelu olisi kallein ratkaisu, koska verkonhaltijalle jäisi joka tapauksessa omat karttatietopalvelut ja keskitetty palvelu tulisi sen päälle. Hajautettu malli B on kustannustehokkain vaihtoehto myös tässä mielessä.
4) Terminä ”monijohtokartta” on uusi ja vaatii tarkempaa pohdintaa. Turvallisuustilanteen näkökulmasta tällainen kartta on erittäin suuri riski. On hyvä havaita, kuinka myös viranomainen on nähnyt arviomuistossa asian negatiivisena, koska yhden kartan kokonaistietoa muodostaisi suurimman riskin päätyessään vääriin käsiin.
Yleisesti toteamme vielä, kuinka EU lainsäädäntö on juuri muuttunut ja muuttumassa. EU:n verkko- ja tietoturvadirektiivi (NIS-direktiivi) on juuri päivittynyt ja tullut voimaan lokakuussa 2024. Yhteisrakentamisdirektiivi korvattiin toukokuussa 2024 voimaantulleella Gigabit Infrastructure Actilla (GIA), jolla on vaikutuksia sekä yhteisrakentamiseen että mahdollisiin palveluihin. GIA:ssa on mahdollista rajata kriittisen infrastruktuurin rakenteet ulkopuolelle yhteisestä keskitetystä tietopalvelusta. Paikallisvoima vahvasti kannattaa, että kriittisen infrastruktuurin rajaaminen keskitettyjen tietopalvelujen ulkopuolelle tullaan kansallisesti säätämään tässä yhteydessä.
NIS 2 tulee hyvin ohjaamaan kriittisen infrastruktuurin toimijoiden tietojen suojaamista. Olisi kustannustehotonta nyt valita sijaintitietoihin toimintamalleja, jotka olisivat mahdollisesti ongelmallisia EU-säädösten valossa.
Paikallisvoiman näkemyksen mukaan nykyisessä turvallisuusympäristössä kaikki kriittisen infrastruktuurin, kuten sähkö- ja kaukolämpöverkkojen, toiminnot tulee jättää kaikkien mahdollisten sijaintitietoa keskittävien palvelujen ulkopuolelle.