Lainsäädännön arviointineuvosto
Arviointineuvosto kyberturvallisuusdirektiivin täytäntöönpanosta: yrityksille aiheutuvia kustannuksia arvioitava tarkemmin

Lainsäädännön arviointineuvosto on antanut lausunnon liikenne- ja viestintäministeriölle lakiehdotuksista kyberturvallisuusdirektiivin täytäntöönpanemiseksi. Esityksen vaikutusten arvioinnissa on olennaisia puutteita. Esityksen ymmärrettävyyttä vaikeuttaa esityksen laajuus ja monimutkaisuus.

Kyberturvallisuusdirektiivin (NIS 2) täytäntöönpanoa koskevan esityksen tavoitteena on vahvistaa kyberturvallisuuden tasoa asettamalla laajalle joukolle yksityisiä ja julkisia toimijoita riskienhallinta- ja raportointivelvoitteita. Direktiivi pantaisiin täytäntöön säätämällä uusi laki kyberturvallisuuden riskienhallinnasta. Julkisen sektorin osalta velvoitteista säädettäisiin myös tiedonhallintalaissa. Valvonta järjestettäisiin sektorikohtaisesti. Esityksessä säädettäisiin myös tietoturvaloukkauksia tutkivasta ja niihin reagoivasta yksiköstä, kansallisesta kyberturvallisuusstrategiasta ja kyberkriisinhallintakehyksestä. 

Esityksessä on arvioitu elintarvike- ja valmistussektoreille uusista riskienhallintavelvoitteista aiheutuvia kustannusvaikutuksia erillisselvityksen ja sääntelytaakkalaskurin avulla. Esityksessä on kuvattu laajasti täytäntöönpantavaa direktiiviä ja siitä käy hyvin ilmi kansallinen liikkumavara ja miten sitä ehdotetaan käytettäväksi. 

Sääntelykokonaisuus on mutkikas ja laaja, minkä vuoksi sen ymmärrettävyyteen tulisi kiinnittää huomiota. Sääntelyn piiriin tulevien toimijoiden kokonaismäärästä ei saa käsitystä. Esityksessä tulisi arvioida suuntaa-antavasti toimijoiden kokonaismäärää ja havainnollistaa sääntelyn eroja erilaisten toimijoiden välillä. 

Esityksessä tulisi käsitellä yrityksille velvoitteista aiheutuvia kustannuksia esimerkiksi arvioimalla tarkemmin kustannuksia suhteessa liikevaihtoon ja IT-kustannuksiin. Esityksessä tulisi myös arvioida kustannuksia eri kokoisille yrityksille. Lisäksi tulisi kuvata raportointivelvollisuuksia sekä niistä aiheutuvia kustannuksia ja hallinnollista taakkaa. 

Sääntelyyn liittyviä riskejä ja epävarmuuksia voisi käsitellä laajemmin vaikutusarvioiden yhteydessä. Jos esityksellä on yhteiskunnan häiriöttömän toiminnan kautta olennaisia vaikutuksia kansalaisille, niitä tulisi käsitellä esityksessä.

Lainsäädännön arviointineuvoston lausunto on annettu kyberturvallisuusdirektiivin täytäntöönpanoa koskevasta hallituksen esityksestä (hankenumero: LVM027:00/2023), jonka liikenne- ja viestintäministeriö toimitti arviointineuvoston käyttöön sähköpostitse 13.2.2024. Lausunto on julkinen.

Arviointineuvosto katsoo, että hallituksen esitysluonnos noudattaa välttävästi lainvalmistelun vaikutusarviointiohjetta. Hallituksen esitysluonnoksessa on olennaisia puutteita ja esitysluonnosta tulee korjata neuvoston lausunnon mukaisesti ennen hallituksen esityksen antamista. 

Lisätietoja: Erityisasiantuntija Birgitta Hämäläinen, arviointineuvoston sihteeri p. 0295 160 676, arviointineuvos Meri Virolainen, lainsäädännön arviointineuvoston pääsihteeri p. 0295 160 202

Lainsäädännön arviointineuvosto on itsenäinen ja riippumaton toimielin, jonka tehtävänä on antaa lausuntoja hallituksen esitysten luonnoksista ja niiden vaikutusarvioinneista.