EK:n lausunto luonnoksesta​ hallituksen esitykseksi kyberkestävyyssäädöksen toimeenpanoa koskevaksi lainsäädännöksi

Markku Rajamäki
11.08.2025

Liikenne- ja viestintäministeriö | 17.6.2025 | VN/11905/2024

Kannatamme Liikenne- ja viestintäviraston nimeämistä kyberkestävyyssäädöksen 36 artiklassa tarkoitetuksi ilmoittamisesta vastaavaksi viranomaiseksi. 

Kansallinen toimeenpano luo onnistuessaan myös kilpailuedellytyksiä suomalaisyrityksille. Tämä edellyttää, että liikenne- ja viestintäministeriö yhteistyössä Liikenne- ja viestintäviraston kanssa luo säädöksen myötävaikutuksella aiempaa selkeämpiä kannustimia kolmannen osapuolen hyväksyntää edellyttävien tuotteiden vaatimustenmukaisuuden arvioinnista vastaaviksi ilmoitetuiksi laitoksiksi soveltuville yrityksille ja hyväksyy niitä 12 §:ään liittyen ennakoivasti riittävässä määrin.  

Mikäli tässä onnistutaan, siitä hyötyvät erityisesti suomalaiset vientiyritykset, koska ne saisivat soveltamisalaan kuuluvat tuotteensa EU:n sisämarkkinoille luotettavasti ja nopeasti. Viivytyksetön ja laajamittainen laitosten hyväksyntä tarjoaisi myös arviointipalveluyrityksille mahdollisuuden tarjota palveluita koko EU-alueella toimiville laite- ja ohjelmistovalmistajille sekä maahantuojille. 

On erittäin tärkeää varmistaa se, että riskiperusteisen vaatimustenmukaisuuden arvioinnista ei muodostu hidastetta kotimaisten tuotteiden markkinoillepääsylle. Sidosryhmien osallistaminen ja tarpeiden huomioiminen toimeenpanon eri osa-alueilla on jatkossakin tärkeää. Julkisen talouden sopeutustarpeiden paineessakin on keskeistä arvioida ja tarkentaa sekä tarvittaessa priorisoida Liikenne- ja viestintäviraston tehtävissä yritysten kasvua tukevia tehtäviä, kuten kyberkestävyyssäädöksen ja muun EU-sääntelyn toimeenpanoon liittyviä tehtäviä.  

Arviointilaitoksiksi haluavien yritysten kannalta on tärkeää, että prosessi on selkeä, nopea ja mahdollisimman helppo.  

Lausuntomme koskien lakiehdotuksen mukaista kyberturvallisuussertifiointia 

On tärkeää, että esitysluonnos mahdollistaa korkean tason kyberturvallisuussertifikaattien myöntämisen delegoinnin vaatimustenmukaisuuden arviointilaitokselle. Esitysluonnoksessa tunnistetaan myös, että vaatimustenmukaisuuden arviointilaitokset voivat toimia samaan aikaan myös ilmoitetun laitoksen roolissa, ja että roolit voivat tukea toisiaan. Riittävän arviointikapasiteetin ja sujuvien arviointiprosessien varmistamiseksi on välttämätöntä, että arviointitoimintaa harjoittavien yritysten liiketoiminnan edellytyksistä huolehditaan. Liikenne- ja viestintäviraston ja arviointilaitosten yhteistyön tulee perustua luottamukseen toimijoiden kontrolloinnin sijaan, minkä lisäksi viranomaisten on pidättäydyttävä tuottamasta arviointipalveluita, joita voidaan tarjota markkinatoimin. 

Esityksen jatkovalmistelussa tulisi käsitellä luonnosta kattavammin kyberturvallisuusasetuksen kyberturvallisuussertifioinnissa ilmenneitä merkittäviä haasteita. Luonnoksesta saa osin vaikutelman, että kyberturvallisuusasetuksen mukainen eurooppalainen kyberturvallisuussertifiointijärjestelmä olisi talouden toimijoille merkityksellinen tai hyödyllinen mekanismi. Tämä ei pidä paikkaansa. Viimeisen neljän vuoden aikana ei ole saatu voimaan yhtäkään tuote- tai palvelusertifiointikehystä eikä sellaisia ole näköpiirissä lyhyellä aikavälillä. Asialla on merkitystä sen vuoksi, että sertifiointijärjestelmän hyötyjen saavuttaminen on huomattavan epävarmaa ja tämä vaikuttaa myös Liikenne- ja viestintäviraston työn määrän ja laadun suunnitteluun. On tärkeää, että virasto kohdentaa työresursseja vain sellaiseen toimintaan, joka aidosti tuottaa tavoiteltuja hyötyjä sertifiointijärjestelmän avulla. Pelkkä järjestelmän ylläpito ja muu hallinnointityö ei sitä tee.  

Pidämme 24 §:ssä ehdotettua kyberturvallisuussertifikaatin myöntämiseen liittyvien tehtävien siirtämistä erittäin kannatettavana. Tehtävien hoitaminen ei sisällä merkittävää julkisen vallan käyttöä ja tehtävä on toteutettavissa tehokkaammin ja joustavammin markkinatoimin.   

Lausuntomme koskien sähköisen viestinnän palveluista annetun lain muuttamista 

Meillä ei ole lausuttavaa asiasta. 

Muut huomiomme HE-luonnoksesta 

Suomen yritysrakenne on hyvin pk-yritysvoittoinen. On tärkeää, että Liikenne- ja viestintävirasto ja sen CSIRT-yksikkö huomioivat tämän ja kykenevät tarjoamaan kyberkestävyyssäädöksen velvoitteiden mukaisesti tukea pienemmille organisaatioille haavoittuvuuksien ja poikkeamien selvittämiseen. Toivomme, että tässä hyödynnetään mahdollisuuksien mukaan EU-rahoitusta ja tarvittaessa myös kansallista vastinrahoitusta. 

Eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista ehdotetun lain 9 §:ään liittyvän salassa pidettäviä tietoja koskevan luovuttamisoikeuden osalta katsomme, että CSIRT-yksiköllä tulisi olla velvollisuus ilmoittaa tiedonhaltijalle saamansa asiakirjan tai tiedon edelleen luovuttamisesta. Luonnoksenkin mukaan kyse on yksityisestä liike- tai elinkeinosalaisuudesta tai tieto- ja viestintäjärjestelmien turvajärjestelyitä koskevasta tiedosta, joiden liiketaloudellinen merkitys on usein huomattava. Toimijalla tulee sen vuoksi olla mahdollisuus tietää yksityiskohtaisesti mitä tietoa ja kenelle viranomainen on luovuttanut. Ehdotamme, että säännöstä muutetaan seuraavasti (2. mom):   

  ”… ilmaista salassa pidettävä tieto, jos se on välttämätöntä  

kyseisten tehtävien toteuttamiseksi:  

1) tämän lain 15 ja 16 §:ssä tarkoitetulle markkinavalvontaviranomaiselle;  

2) Euroopan unionin kyberturvallisuusvirasto ENISA:lle;  

3) toisessa jäsenvaltiossa koordinaattoriksi nimetylle CSIRT-yksikölle.”  

Taloudelliselta toimijalta saadun asiakirjan tai tiedon edelleen luovuttamisesta on ilmoitettava luovuttajalle.” 

On kannatettavaa, että Liikenne- ja viestintävirastolle varattaisiin ehdotuksen 10 §:n ja kyberkestävyyssäädöksen mukaisesti mahdollisuus testiympäristöjen perustamiselle esimerkiksi erilaisten tuotteiden tai olosuhteiden testaamista varten. Tarve testiympäristöille tulisi kuitenkin aina selvittää käymällä aktiivista vuoropuhelua elinkeinoelämän kanssa. Tällöin tulisi myös huomioida testiympäristön mahdollinen perustaminen tekoälyasetuksen mukaisen testiympäristön yhteyteen. Pääsy kyseiseen testiympäristöön tulee tekoälyasetuksen mukaan tarjota pk-yrityksille maksutta.   

Viittaamme lisäksi jäsenyhdistyksemme Teknologiateollisuus ry:n ja sen toimialayhdistys Kyberala ry:n yhteiseen lausuntoon.  

Lausuntopalvelu
Tuoreimmat
09.01.2026

EK:n kysely ennustaa kesätyöpaikkojen määrän pysyvän ennallaan

09.01.2026

Elinkeinoelämä: Mercosur-kauppasopimus on Euroopalle historiallinen läpimurto

09.01.2026

EK:n Yrittäjävaltuuskunta nimitetty vuodelle 2026; puheenjohtajana jatkaa Anne Kangas

08.01.2026

Työ antaa tulevaisuuden -kampanja tarttuu nuorisotyöttömyyden haasteeseen Suomessa

05.01.2026

Uusiutuva talous tarvitsee lisää ikädiversiteettiä päätöksentekoon

Lue seuraavaksi

EK:n lausunto ehdotuksesta poliisin tietojenvaihtoa koskevan lainsäädännön muuttamisesta​

Sisäministeriö | 4.7.2025 | VN/27065/2023 Yleistä  Meiltä ei ole pyydetty lausuntoa, mutta haluamme lausua esityksestä...
14.08.2025

EK:n lausunto jakeluasemien turvallisuus- ja valvontasääntelyn uudistamista koskevasta ehdotusluonnoksesta​

Työ- ja elinkeinoministeriö | 6.6.2025 | VN/12126/2020   Kiitämme lausuntomahdollisuudesta.  Viittaamme tarkemmin lausuttavan asian kannalta...
14.08.2025

EK:n lausunto luonnoksesta hallituksen esitykseksi laeiksi huoltovarmuuden turvaamisesta ja Huoltovarmuuskeskuksesta sekä turvavarastolain muuttamisesta

Työ- ja elinkeinoministeriö |  24.6.2025 | VN/25055/2023 Kiitämme lausuntomahdollisuudesta ja toteamme seuraavaa:   1 § Lain...
08.08.2025