885/2010

Annettu Helsingissä 22 päivänä lokakuuta 2010

Laki kansainvälisistä tietoturvallisuusvelvoitteista annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 4 §, 6 §:n 1 momentti sekä 12 ja 13 § seuraavasti:

4 §
Turvallisuusviranomaiset ja niiden tehtävät

Ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena. Puolustusministeriö, pääesikunta, suojelupoliisi ja Viestintävirasto toimivat kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina.

Kansallisen turvallisuusviranomaisen tehtävänä on erityisesti ohjata ja valvoa, että tässä laissa tarkoitetut erityissuojattavat tietoaineistot suojataan ja niitä käsitellään asianmukaisesti.

Määrätyt turvallisuusviranomaiset huolehtivat niille tässä laissa säädetyistä ja muista niille kansainvälisistä tietoturvallisuusvelvoitteista johtuvista tehtävistä. Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen asiantuntijoina henkilöstö-, yhteisö- ja toimitilaturvallisuutta koskevissa asioissa sekä Viestintävirasto tietojärjestelmien ja tietoliikenteen tietoturvallisuutta koskevissa asioissa.

6 §
Salassapitovelvollisuus ja tietojen käyttö

Erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu.


12 §
Yhteisöturvallisuusselvitykset ja arviot

Suojelupoliisi huolehtii kansainvälisen tietoturvallisuusvelvoitteen perusteella tehtävästä 1 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan luotettavuuden selvittämisestä (yhteisöturvallisuusselvitys) sekä sen perusteella tehdystä arviosta. Pääesikunta huolehtii tehtävästä kuitenkin silloin, kun kysymys on puolustukseen liittyvästä hankinnasta. Selvitystä ja arviota laadittaessa on otettava huomioon, miten:

1) suojataan turvallisuusluokitellut tiedot oikeudettomalta ilmitulolta, muuttamiselta ja hävittämiseltä;

2) estetään asiaton pääsy tiloihin, joissa turvallisuusluokiteltuja tietoja käsitellään tai joissa harjoitetaan turvallisuusluokitellussa sopimuksessa tarkoitettua toimintaa;

3) henkilöstön ohjauksesta ja koulutuksesta huolehditaan.

Suojelupoliisi ja pääesikunta voivat toimialaansa kuuluvassa asiassa laatia yhteisöturvallisuusselvityksen ja arvion, jos elinkeinonharjoittaja on pyytänyt sitä voidakseen osallistua toisen valtion viranomaisen tai siinä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun.

Viestintävirasto laatii tarvittaessa osana yhteisöturvallisuusselvitystä selvityksen ja arvion siitä, täyttävätkö elinkeinonharjoittajan tietojärjestelmät ja tietoliikenteen järjestelyt kansainvälisistä tietoturvallisuusvelvoitteista johtuvat vaatimukset.

Yhteisöturvallisuusselvitys voidaan tehdä myös osittaisena, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi. Jos selvitys ja arviointi koskevat yksinomaan tietojärjestelmien tai tietoliikennejärjestelyjen turvallisuutta, selvityksen ja arvioinnin laatii sekä sen pohjalta annettavan 14 §:ssä tarkoitetun todistuksen antaa Viestintävirasto.

13 §
Sitoumus turvallisuustoimenpiteiden suorittamisesta

Määrätyt turvallisuusviranomaiset voivat toimialaansa kuuluvaa yhteisöturvallisuusselvitystä ja sen perusteella annettavaa arviota laatiessaan edellyttää, että elinkeinonharjoittaja sitoutuu huolehtimaan 12 §:n 1 momentissa tarkoitetuista ja muista kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisista toimenpiteistä.


Tämä laki tulee voimaan 1 päivänä marraskuuta 2010.

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

HE 53/2010
HaVM 13/2010
EV 135/2010

Helsingissä 22 päivänä lokakuuta 2010

Tasavallan Presidentti
TARJA HALONEN

Oikeusministeri
Tuija Brax

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.