YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.

JÄSEN, oletko jo ladannut Yrittäjät-sovelluksen puhelimeesi? Lataa sovellus Androidille tai Applelle.

26.8.2019 klo 11:23
Lausunto

Lausunto luonnoksesta valtioneuvoston asetukseksi asiakirjojen turvallisuusluokittelusta

Valtiovarainministeriö

Valtiovarainministeriö on laatinut valtioneuvoston asetusluonnoksen, jolla on tarkoitus säätää turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja turvallisuusluokiteltujen asiakirjojen käsittelyyn liittyvistä tietoturvallisuustoimenpiteistä. Lisäksi lausuntopyynnön kohteena olevassa muistiossa kuvataan asetuksen perustelut.

Asetusluonnoksen 11 §:ssä säädetään vähimmäisvaatimukset, jotka tietojärjestelmien ja tietoliikennejärjestelyiden on täytettävä turvallisuusluokiteltuja asiakirjoja käsiteltäessä tai tallennettaessa. Esimerkiksi kohdan 8 mukaan tietojärjestelmän ja tietoliikennejärjestelyn salausratkaisujen tulisi olla kyseiselle turvallisuusluokalle riittävän turvallisia.

Perustelumuistion kohdassa 5 vaikutukset todetaan, että velvoitteita ei ole tarkoitus olennaisesti tiukentaa nyt lausuttavana olevalla asetusluonnoksella. Suomen Yrittäjät haluaa kiinnittää huomiota erityisesti edellä mainittuihin 11 §:n vähimmäisvaatimuksiin ja niiden edellyttämiseen julkisissa hankinnoissa.

Hankintayksiköillä on laaja harkintavalta määritellessään hankintaa koskevia kriteerejä. Hankintayksikköjen ei tule kuitenkaan vastaisuudessakaan asettaa asetukseen vedoten liiallisia tietoturvavaatimuksia suhteessa asiakirjan turvallisuusluokittelun tasoon ja hankittavan tietojärjestelmän, tietoliikennejärjestelyn tai muun palveluratkaisun luonteeseen.

Perustelumuistion kohdassa 5 lisäksi todetaan, että valtaosalla viranomaisia ei ole kuin enintään turvallisuusluokan IV asiakirjoja, joiden käsittelyn tietoturvallisuustoimenpiteiden toteuttaminen ei edellytä merkittävästi pidemmälle meneviä toimenpiteitä kuin salassa pidettävän tiedon tai henkilötietojen suojaaminen. Tästä syystä esimerkiksi salausratkaisujen tulee olla asetuksen vaatimusten täyttämiseksi riittäviä, mutta niitä ei ole syytä asettaa ”varmuuden vuoksi” liiallisiksi suhteessa salaustasoon esimerkiksi, jos hankinnan kohteena on ainoastaan turvallisuusluokan IV alaisten asiakirjojen sekä viranomaisen tavanomaisten muiden asiakirjojen käsittely.

Koska velvoitteita ei ole tarkoitus olennaisesti tiukentaa asetuksella, perustelumuistiossa olisi painotettava suhteellisuusperiaatteen noudattamisen tärkeyttä myös tietoturvavaatimusten osalta.

Kunnioittavasti

Suomen Yrittäjät

Janne Makkula Marjut Viding
työmarkkinajohtaja asiantuntija