Lausunto liikenne- ja viestintäministeriölle 24.1.2025 (25/03.01.00/2025) Paavo Taipale, Ari Korhonen, Päivi Tiihonen

Liikenne- ja viestintäviraston laatima arviomuistio sijaintiselvityspyyntöihin vastaamiseksi toteutettavan järjestelmän ratkaisu- ja sääntelyvaihtoehdoista

Liikenne- ja viestintäministeriö pyytää lausuntoa yhteistyössä liikenne- ja viestintävirasto Traficomin kanssa laatimastaan arviomuistiosta verkkoinfrastruktuurin sijaintiselvityspyyntöihin vastaamiseksi toteutettavan järjestelmän ratkaisu- ja sääntelyvaihtoehdoista. Arviomuistio on laadittu sen vuoksi, että jo viime vuosikymmeneltä lähtien liikenne- ja viestintävirastossa ns. keskitettyyn malliin perustuvan järjestelmän valmistelu keskeytettiin lokakuussa 2024 erityisesti muuttuneen geopoliittisen tilanteen aiheuttaman lisääntyneen tietoturvariskin vuoksi. Maamme verkkotoimijat ja kuntasektori ovat aiemman valmistelun aikana tuoneet laajasti, pitkäjänteisesti ja johdonmukaisesti esille keskitetyn mallin haasteita niin tietoturvan kuin toimivan tiedonhallinnankin osalta.

Kuntaliitto kiittää mahdollisuudesta lausua arviomuistiosta ja esittää näkemyksinään seuraavaa:

Näkemyksiä lausuntopyynnössä esitettyihin erityisiin sijaintitietopalvelun ratkaisuvaihtoehtoja koskeviin kysymyksiin

Minkä arviomuistiossa esitetyistä vaihtoehdoista näette parhaaksi organisaatiollenne tai edustamallenne taholle ja toimialalle ja miksi?
Pidämme vaihtoehtoa ”hajautettu B” ehdotetuista vaihtoehdoista kuntien kannalta ja tietoturvallisuuden kannalta parhaana. Siinä verkkotietoa ei siirretä verkkotoimijan järjestelmästä ja ”valta ja vastuu” verkkotiedosta ja sen siirtämisestä pysyy siellä missä verkkotoimintakin on. Jokseenkin vastaava toimintamalli on Ruotsissa ollut käytössä jo vuosia ja se on saatujen kokemusten mukaan kaikkien osapuolten kannalta kohtuullisen hyvin toimiva ja tietoturvallinen.
Malli ”hajautettu B” ei edellytä verkkotietomuodon konvertointia, mutta voi vaatia erityisesti pienemmiltä kunnilta ja verkkotoimijoilta investointeja verkkotietojärjestelmäkehitykseen ja tiedonsiirtorajapintaan sijaintiselvityspyyntöihin vastaamiseksi sekä sijaintiselvitysten ja johtonäyttöjen toteumatietojen välittämiseksi keskitettyyn tietopisteeseen.
Mitkä vaihtoehdot näette toteuttamisen kannalta erityisen haastaviksi ja miksi?
Keskitetty malli on aiempienkin kannanottojemme ja eri verkkotoimijoiden yhdenmukaisten näkemysten mukaisesti erityisesti sijaintitiedon kasautumisen muodostaman suuren tietoturvariskin, kustannusten sekä eri verkkotoimijoiden ja kuntien toimivan tiedonhallinnan järjestämisen kannalta haastavin. Myös muissa vaihtoehdoissa vähintään osa verkkotiedoista siirtyy keskitettyyn järjestelmään, hybridimallissa siihen liittyvien toimijoiden osalta kaikki verkkotieto. Niin keskitetyssä kuin hybridimallissakin (siihen liittyneiden osalta) päätökset sijaintiselvityksestä ja näytöistä tehdään keskitetyssä palvelussa ilman verkkotoimijaa.
Miten näette eri vaihtoehtojen kustannukset organisaatiollenne tai edustamallenne taholle ja toimialalle?
Ratkaisuvaihtoehtojen yleispiirteisyyden vuoksi tarkkoja arvioita kustannuksista on mahdotonta antaa lausuntoajalla. On kuitenkin huomattava, että kunnissa verkkoinfran sijaintitietoa sekä tuotetaan että käytetään yksittäiseen verkkotoimijaan verrattuna hyvin monimuotoisesti eri prosesseissa. Valittavan toimintatavan tulisi olla sellainen, että se mahdollisimman vähän haittaa näitä kunnan monilta osin lakisääteisiäkin prosesseja tai aiheuttaa niihin lisäkustannuksia.
Tunnistatteko vaihtoehdoissa muita hyötyjä tai haasteita, joita arviomuistiossa ei ole arvioitu?
Arviomuistiossa on jätetty tunnistamatta keskitettyyn malliin sisältyvä palvelunestohyökkäysriski, joka toteutuessaan voisi lamauttaa sijaintiselvitysten tekemisen koko valtakunnassa. Myös tietomurtotapauksessa keskitetyn järjestelmän riski on huomattavasti suurempi kuin hajautetussa mallissa, jossa tieto sijaitsee useissa toisistaan erillään olevissa tietovarannoissa ja toiminnot on jaettu useisiin itsenäisesti toimiviin kokonaisuuksiin.

Huomioita arviomuistiossa esitetyistä lainsäädännön uudistamiseen liittyvistä näkökulmista

8.2.1 Tietojen luovuttamisvelvoitteen määrittävän sääntelyn uudelleenarviointi

Ehdotetut sääntelyn tarkistukset ovat pääpiirteissään hyväksyttävissä. Kuntaliitto huomauttaa, että muistion säädösmuutostarpeita kuvaavassa luvussa 8 viitataan useissa kohdissa ”viranomaisen palveluun” puhuttaessa sijaintiselvityksiin vastaamisessa. Tällä viitattaneen keskitetyssä mallissa valtion viranomaiseen, Traficomiin. Muissa malleissa sijaintiselvityksiin vastaava taho ei kuitenkaan kuntaa lukuun ottamatta ole viranomainen, vaan yksityisoikeudellinen yhteisö, ja siltä osin teksti on epätäsmällinen.

8.2.2 Verkkotiedoilta edellytetyn laatutason määrittäminen sekä asetetun velvoitteen laiminlyönnin vaikutus vahingonkorvausvastuuseen

Käsityksemme mukaan viranomaisen määräys riittää riitatilanteissa osoittamaan laiminlyönnin tiedon laatutason osalta. Lakitasolla ei tulisi mennä teknisten yksityiskohtien sääntelyyn. Vahingonkorvausvastuun kohdentumista koskevan sääntelyn tarvetta ja mahdollisuuksia tulee vielä pohtia: millä perusteilla vastuullinen osoitettaisiin, milloin kaivajan toiminta olisi ilmeisen huolimatonta jne.

8.2.3 Palvelusta luovutettavien verkkotietojen käsittely ja sijaintiselvitysvastausten julkisuus

Kuten edellä kohdassa 8.2.1 on todettu, eri malleissa tietoja luovuttavat muutkin kuin viranomaiset ja siten sääntelypohjakin vaihtelee. Erityisesti yhteiskunnan toiminnan kannalta kriittisiin paikkatietoihin liittyvien tietopyyntöjen salaamista julkisuuslaissa tai erityislaeissa tulisi pohtia laajana kokonaisuutena, jotta säädöspohja em. tietojen julkisuuteen olisi mahdollisimman yhtenevää. Kansallisen turvallisuuden näkökulmasta on tärkeää, että toimijat noudattavat samoja periaatteita kriittistä infraa koskevien tietojen luovutuksissa.

8.2.4 Tietojen päivittämisvelvoitteen arviointi

Arviomuistiossa esitetty kuvaus tietojen päivittämisvelvoitteesta vastaa tilannetta lähinnä keskitetyssä mallissa, jota Kuntaliitto ei kannata. Omaa verkkotietojärjestelmäänsä verkonhaltija päivittää verkonhallinnan kannalta tarkoituksenmukaisella tavalla. Se riittänee myös sijaintiselvitysten tarpeisiin.

8.2.5 Verkkotoimijan tietojen toimittamista koskevan kieltäytymisperusteen muuttaminen

Ehdotettu sääntelyn tarkistus on hyväksyttävissä.

8.2.6 Verkkotietojärjestelmien tietoturvavaatimusten määrittäminen

Vähimmäistaso verkkotietojärjestelmien tietoturvavaatimuksille on vallitsevassa tilanteessa tarpeellinen.

8.2.7 Viranomaisen palvelun kautta tehtävistä sijaintitietopyynnöistä perittävät maksut

Arviomuistion esityksessä jää epäselväksi, onko kustannusten perimisen mahdollisuus palvelun asiakkailta huomioitu vain valtion viranomaisen tietopisteen osalta. Mikäli tällaista harkitaan, tulisi harkita maksun perimisoikeutta asiakkailta vastaavasti myös kunnille ja verkkotoimijoille, jotka hajautetussa mallissa vastaavat osasta uuden sääntelyn tiedonvälitys- ja raportointivelvoitteita.

8.2.8 Palvelua ylläpitävän viranomaisen toimivaltuudet

Ehdotetut toimivaltuudet lienevät vallitsevassa tilanteessa tarpeellisia.

8.2.9 Sijaintiselvityspyyntöjen rajaaminen sekä sijaintiselvitysvastauksen käsittelyaikojen määrittäminen

Nykytasoinen sääntely riittänee. Sijaintiselvityspyynnöille voidaan asettaa enimmäisaika, kunhan otetaan huomioon, että pyynnössä tulee olla vaatimusten mukaiset tiedot ja pyynnön laajuus otetaan enimmäisajan määrittelyssä huomioon.

Huomioita palvelun kehittämisestä aiheutuvista kustannuksista

Useita toimijoita koskevien valtakunnallisten palvelujen järjestäminen laadukkaalla ja turvallisella tavalla on valtava hanke, jonka toteutus tulee suunnitella ja budjetoida asianmukaisella tavalla huomioiden hankkeen merkitys toimivan ja turvallisen tiedonhallinnan kannalta. Kuntaliiton kokemuksen mukaan vain ne valtakunnalliset digikehityshankkeet, joissa toteutuksia on tuettu avustuksin ja näin mahdollistettu kuntien yhteishankkeet, ovat toteutuneet laadukkaasti. Kuntaliitto ehdottaa hankkeen merkittävyyden vuoksi tarkemman toteutussuunnitelman laatimista toimijoiden välisessä yhteistyössä sekä kunnille ja muille toimijoille suunnatun avustusmomentin perustamista laadukkaiden toteutusten ja käyttöönottojen mahdollistamiseksi.

Huomioita lausuntomenettelystä

Kuntaliitto kiinnittää lopuksi huomiota arviomuistion lausuntomenettelyn puutteisiin. Lausuntoaika on vain kaksi viikkoa, mikä on ehdottomasti liian lyhyt edes kohtuullisen tasapuolisten lausumismahdollisuuksien tarjoamiseksi erilaisille valmisteltavan palvelun tiedontuottajille ja käyttäjille. Vaikka kyse ei ole säädösluonnoksesta, on kyse kuitenkin verkkotoimijoiden ja kuntien käytänteisiin laajasti vaikuttavasta sekä turvallisuuden kannalta valtakunnallisesti erittäin kriittisestä hankkeesta.

SUOMEN KUNTALIITTO

Paavo Taipale
yhdyskuntatekniikan päällikkö

Kuntaliiton asiantuntijat, jotka voivat kertoa lisää

Paavo Taipale

Yhdyskuntatekniikan päällikkö

Yhdyskunta ja ympäristö -yksikkö, Tekniikka ja turvallisuustiimi TT

+358 9 771 2559, +358 50 380 8368

Paavo.Taipale@kuntaliitto.fi

Vastuualueet

yhdyskuntatekniikan edunvalvonta ja kehittäminen
vesihuolto

Löydä lisää sisältöä samoista teemoista

Yhdyskunnat ja ympäristö

Onneksi on kunnat!

Jokainen meistä käyttää joka päivä kuntapalveluja, vaikka ei ehkä sitä tule edes ajatelleeksi.

Tutustu kuntien tehtäviin vaalisivustollamme!

Ratkaisut teknisen toimen osaajapulaan

Teknisen alan työvoimapula on pahenemassa. Kunnista puuttuu lukuisia ammattilaisia.

Tutustu Kuntaliiton ratkaisuihin!