EK:n lausunto asiassa Katakri 2020 / Liite IV: Naton turvallisuusluokitellun tiedon suojaaminen
Ulkoministeriö | 19.1.2023 | Liite IV
Kiitämme lausuntomahdollisuudesta. Viittaamme lausuttavana olevan liitteen yksityiskohtaisten havaintojen osalta Finnish Information Security Cluster (FISC) – Kyberala ry:n ja Puolustus- ja Ilmailuteollisuus PIA ry:n asiassa jo antamiin lausuntoihin. Haluamme lisäksi kiinnittää huomiota kahteen asiaan liittyvään yleisempään asiaan:
1. Näemme Ilmailu- ja Puolustusteollisuus PIA ry:n tavoin, että Katakrin keskeisin haaste on, että se käsittää kansainvälisesti vertaillen melko kovia vaatimuksia kohdeyritysten kannalta. Vaatimukset eivät kaikilta osin ole tarkoituksenmukaisia ja niiden täyttäminen edellyttää monesti mittavaa taloudellista resurssointia. Käytännössä Katakrin vaatimustasoa edellyttävät viranomaiset eivät kaikissa tapauksissa itsekään täytä kaikkia vaatimuksia. Erityisesti, kun puhutaan kansainvälisestä liiketoiminnasta, Katakria käytetään toisinaan kriteerinä suomalaisten yritysten turvallisuustason arvioinnissa ja tällöin suomalaiset yritykset eivät ole kilpailullisesti samassa asemassa ulkomaisten kilpailijoidensa kanssa. On toivottavaa, että NATO-jäsenyys tulee jossain määrin helpottamaan tilannetta, mutta vielä parempi olisi, jos saataisiin aikaan kansainvälinen, kaikkialla mahdollisimman samalla tavalla tulkittava turvallisuuskriteeristö, jota sovellettaisiin myös puolustusyhteistyöhön liittyvien käyttötapausten ulkopuolella.
Myös asiaan liittyvä viranomaistuki on tärkeää, tässä yhteydessä esimerkiksi auditoinnit ja turvallisuusselvitykset; niiden on oltava saatavilla riittävän nopeasti silloin, kun niille on tarve. Kun yritysten hallinnollista taakkaa kasvatetaan velvoitteilla, tulee samalla huolehtia tähän liittyvän viranomaistoiminnan resurssoinnista ja tehokkuudesta niin, että koko lainsäädännön yhteiskunnallisiin tavoitteisiin päästään, eikä kasvanut panostus toimintaan näyttäydy ennen kaikkea yritysten hallinnollisen taakan lisääntymisenä.
2. Lausuttavana olevan liitteen valossa näyttää siltä, että suuria vaatimustasoeroja Katakrin ja NATO:n turvallisuusvaatimusten välillä ei ole. Tämä ei sulje pois sitä, että yksityiskohtien osalta jatkossa voi tulla käytännön tulkintaristiriitatilanteita. Toivomme, että näissä voitaisiin olla joustavia ja keskittyä siihen, että vaadittu turvallisuuden taso täyttyy, mutta ymmärrettäisiin se, että useimmissa tapauksissa taso voidaan saavuttaa eri keinoilla, joiden pitäisi olla toimijan valittavissa. Vaativalle osapuolelle olennaista tulee olla tietyn turvallisuustason saavuttaminen, ei se, millä keinoilla se on saavutettu.