EK:n lausunto luonnoksesta suositukseksi tietoturvallisuudesta hankinnoissa​

Markku Rajamäki
17.03.2023

Tiedonhallintalautakunta | 21.2.2023 | VN/5408/2023

Meiltä ei ole pyydetty lausuntoa, mutta koska suosituksen tarkoittamien vaatimusten kohteina ovat tuotteita ja palveluita toimittavat yritykset, koemme tarpeelliseksi esittää näkemyksemme. Kiinnitämme huomiota siihen, että tällaisessa asiassa olisi tärkeää kuulla sidosryhmiä ja niiden edustajia laajapohjaisesti. Lausuntopyynnön jakelussa ei ole kuitenkaan yhtään elinkeinoelämän edustajaa.  

Otamme seuraavassa kantaa joihinkin keskeisiin suositusluonnoksen kohtiin:  

Luonnos suositukseksi tietoturvallisuudesta hankinnoissa 

 1.1 Lainsäädännölliset perusteet ja 2.1 Hankinnan lähtökohtien tunnistaminen 

Luvuissa on aivan oikein todettu, että tietoturvallisuustoimenpiteet on määriteltävä jo tietojärjestelmien ja muiden ICT-palveluiden hankintojen valmisteluvaiheessa, jotta viranomaisessa voidaan varmistua tietoturvallisuustoimenpiteiden asianmukaisuudesta. Painottaisimme tässä yhteydessä myös sitä, että määrittely jo valmisteluvaiheessa on tärkeää siitäkin syystä, että myös tietoturvallisuudella on aina hinta, joka tulee voida huomioida tarjouspyynnössä ja tarjouksissa. Siksi on erittäin tärkeää sekä hankintojen lainmukaisuuden että tarkoituksenmukaisuuden kannalta, että vaatimukset on määritelty ajoissa ja ne kyetään hankintaprosessin myöhemmissä vaiheissa huomioimaan asianmukaisesti.  

Toinen tärkeä asia, jota haluamme painottaa on riskiperusteisuus. Julkisten varojen käytön kannalta on ensiarvoisen tärkeää, että vaatimusten asettaminen perustuu asianmukaiselle riskiarvioinnille ja sen tuella vaatimukset on mitoitettu oikein, riittäviksi, mutta ei liian korkeiksi. Julkisia hankintoja tutkittaessa on huomattu mm. se, että Suomessa kilpailu julkisissa hankinnoissa on riittämätöntä. Jos tietoturvallisuusvaatimukset tai mitkä tahansa muutkin vaatimukset asetetaan perusteettomasti tarpeettoman korkealle, se on omiaan karsimaan myös potentiaalisia tarjoajia. Luonnollisesti tässä sanottu pätee myös tietosuojavaatimuksiin, jotka tyypillisesti toteutetaan tietoturvallisuuden toimenpitein.  

 2.2 Hankinnan resurssointi 

Varsinkin aiemmin vaatimusten ylimitoittamista on varmasti toteutunut siitäkin syystä, että hankintayksikön tietoturvaosaaminen on ollut tarpeeseen nähden riittämätöntä. On ollut helpompi vaatia koko ”vaatimuskirjasto” tai pääosa siitä kuin pyrkiä ymmärtämään, mitkä riskit oikeasti ovat, mitä ja miten pitää suojata ja mitkä oikeasuhtaiset vaatimukset tämän pohjalta olisivat. On erittäin tärkeää, että hankintaosaamiseen myös turvallisuusvaatimusten osalta kiinnitetään nyt ja jatkossa enenevässä määrin huomiota. Asiantuntijan käytön, silloin kun osaamista ei hankintayksikön edustajalla itsellään ole riittävästi, tulisi olla pakollista.  

 2.4 Vaatimusten määrittely 

Kannatamme luvussa todettua. Luvussa painotetaan myös sitä, että joissakin tapauksissa voi olla myös perusteltua tehdä tietopyyntöjä sekä käydä vuoropuhelua toimittajien kanssa lisäymmärryksen saamiseksi vaatimusten pohjaksi. Tämä on erittäin kannatettavaa. Erityisesti tässä yhteydessä on painotettava sitä, että turvallisuusvaatimusten tulisi olla mahdollisimman pitkälle teknologianeutraaleja ja niiden tulisi olla luonteeltaan ennemmin vaadittuun turvallisuuden tasoon kuin keinoihin liittyviä vaatimuksia. Hyvin usein sama turvallisuuden taso voidaan saavuttaa usealla eri keinolla (ml. teknologiat) tai niiden yhdistelmällä. Tietyn keinon edellyttäminen saattaisi karsia tarjontaa, eikä siksi useinkaan ole järkevää. Vuoropuhelun kautta paremman ymmärryksen saavuttaminen varmistaa paremman, tasapainoisemme ja oikeasuhtaisemman lopputuloksen erityisesti kun kyseessä ovat uudet teknologiat, mutta usein myös muulloin.  

 3.3.2 Fyysisen turvallisuuden vaatimukset 

Luvun lopussa todetaan: ”Hankintayksikkö voi lisäksi rajata vaatimukset koskemaan esimerkiksi vain turvallisuusluokiteltavia tietoja ja tarvittaessa täsmentää tietoaineistoon perustuen, mitä vaatimuksia sovelletaan.” Lainatusta virkkeestä voi saada kuvan, että korkeamman suojausluokan tietoon liittyvät turvallisuusvaatimukset voitaisiin laajentaa koskemaan myös matalamman suojausluokan tietoja. Näin ei saisi menetellä, koska se johtaisi juuri edellä kuvatulla tavalla tarvittavaa korkeampiin vaatimuksiin ja niiden myötä korkeampiin kustannuksiin sekä toimittajan kannalta painavampaan hallinnolliseen taakkaan. Korkeampia vaatimuksia tulisi edellyttää aina vain niiltä osin kuin se on perusteltua. Muiden tietojen osalta tulisi edellyttää matalamman tason vaatimuksia. Jos hankinnan kohteena on eri turvallisuusluokkien tietoja, niille kullekin tulisi määritellä vaatimukset erikseen, eikä kattaa kaikkia tietoja korkeimman sovellettavan vaatimustason vaatimuksilla. Tämä tulisi tehdä suosituksessa selväksi.  

Myös luvun ”4.7 Toimittajan ohjeistaminen” alaluvussa ”Vaatimusten soveltamisen ohjeistaminen” todetaan: ”Toisaalta joissakin hankinnoissa voi olla tarkoituksenmukaista edellyttää kaikkien vaatimusten soveltamista kaikkien tilaajan tietojen käsittelyyn”. Tässä tulisi edellä lausuttuun viitaten olla erittäin pidättyväinen. Olisi oikeasuhtaisempaa edellyttää luvun lopussa todetuista vaihtoehtoisista keinoista jälkimmäistä, jolloin vaatimuksia sovelletaan eri tietoihin vaatimusten luokittelun mukaisesti. Jos toimittaja katsoo oman toimintansa tuntien olevan tällöin tarkoituksenmukaisempaa soveltaa kaikkiin tietoihin korkeampia vaatimuksia prosessiekonomisuussyistä, se olisi luonnollisesti tällöin mahdollista, mutta ei sitoisi toimittajaa, mikä johtaisi kaikkien osapuolten kannalta oikeasuhtaisempaan ja joustavampaan, mutta samalla tietoturvallisuuden hyvin huomioivaan toteutustapaan.  

 4 Hankintaehtotyökalun käyttöohje 

Työkalu ja käyttöohje vaikuttavat muuten järkeviltä, mutta nähdäksemme edellä lukujen 3.3.2 ja 4.7 osalta lausumamme kannalta liian jäykältä lähtien hankinnan esiehtojen määrittelystä: työkalu mahdollistaa vain yhdentasoisen tiedon valinnan tietojen luottamuksellisuuden, eheyden ja/tai saatavuuden näkökulmasta. Se ei näin huomioi sitä, että samaan hankintaan voi liittyä suojaustarpeeltaan eri tasoisia tietoja, joihin tulisi soveltaa eri tasoisia turvallisuusvaatimuksia. Mielestämme työkalua tulisi kehittää vielä niin, että se tukisi turvallisuusvaatimusten määrittelyn oikeasuhtaisuutta. 

Lausuntopalvelu
Tuoreimmat
21.11.2024

”Kasvuhakuisuus on yrityksen kehittymiselle ydinkysymys” – rahoittajan vinkit kasvuun tähtääville yrityksille

20.11.2024

Työmarkkinakeskusjärjestöt: Työ- ja osaamisperusteinen maahanmuutto on mahdollisuus, jota ei saa ohittaa

19.11.2024

Ulla Heinonen: Taas se nähtiin – suomalaisyritykset EU:n vihreän siirtymän etulinjassa

18.11.2024

Vientiyritys, hyödynnä EU:n Global Gateway -ohjelman kehitysrahoitusta

18.11.2024

Yrittäjä Sanna Karhu: Kotimainen vaihtoehto pärjää laadulla ja vastuullisuudella

Lue seuraavaksi

EK:n lausunto luonnoksesta Yhteiskunnan turvallisuusstrategiaksi 2024 (YTS2024)​

Turvallisuuskomitea | 13.6.2024 | VN/12457/2021​ Kiitämme lausuntomahdollisuudesta.   Yleiset kommentit   Yhteiskunnan turvallisuusstrategia päivitetään nyt viidettä kertaa....
05.09.2024

EK:n lausunto uudistetun kyberturvallisuusstrategian luonnoksesta​

Liikenne- ja viestintäministeriö | VN/36693/2023 | 12.6.2024 Kiitämme lausuntomahdollisuudesta ja toteamme luonnoksesta seuraavaa:   Lausuttava kyberturvallisuusstrategian...
08.08.2024

EK:n lausunto Liikenne- ja viestintävirasto Traficomin suositusluonnoksesta NIS-valvoville viranomaisille

Traficom/18410/09.00.02/2023 Kiitämme lausuntomahdollisuudesta. Suositusluonnoksen tarkoitus on hyvä ja kannatettava: avata kyberturvallisuuslakiin liittyviä vaatimuksia ja yhdenmukaistaa...
31.05.2024