Perustelut
Valtiovarainministeriö pyytää Laitilan kaupungin lausuntoa aiheesta Selvitys digitaalisen turvallisuuden arvioinnin kehitystarpeista.
Johdanto
Valtioneuvosto teki 8.4.2020 periaatepäätöksen julkisen hallinnon digitaalisesta turvallisuudesta (VM 2020:33). Valtioneuvoston periaatepäätöksen 8.4.2020 linjauksia toteuttaa Julkisen hallinnon digitaalisen turvallisuuden toimeenpanosuunnitelma 2020-2023 (Haukka) (VM 2020:33). Sen yhtenä tehtävänä on julkishallinnon palveluiden ja palvelutuotannon digitaalisen turvallisuuden arviointi. Tehtävässä selvitetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1046/2011) sekä tietoturvallisuuden arviointilaitoksista annetun lain (1045/2011) mahdolliset uudistamistarpeet ja johtopäätösten perusteella toteutetaan mahdollinen säädösvalmistelu. Lisäksi arvioidaan digitaalisten palveluiden ja infrastruktuurin varautumisen ja valmiuden vaatimuksiin ja niiden arviointimenettelyyn liittyvät sääntelytarpeet ja toteutetaan mahdollinen säädösvalmistelu. Tehtävän toteuttaa valtiovarainministeriön Haukka-hankkeessa toimiva valmisteluryhmä. Tehtävää tukemaan valtiovarainministeriö on asettanut digitaalisen turvallisuuden säädösvalmistelun koordinaatioryhmän kaudelle 1.9.2020 – 31.12.2021.
Tausta
Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa (1046/2011, arviointilaki) säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista. Valtionhallinnon viranomaiset saavat käyttää tietojärjestelmiensä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnissa vain mainitussa laissa tarkoitettua menettelyä taikka sellaista arviointilaitosta, joka on saanut Viestintäviraston hyväksynnän tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011, arviointilaitoslaki) mukaan. Arviointiperusteina voidaan käyttää mm. lailla tai asetuksella säädettyjä viranomaisten toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön tietoturvallisuutta koskevia ohjeita.
Tavoitteet
Valtiovarainministeriössä on valmisteltu selvitys digitaalisen turvallisuuden arvioinnin kehitystarpeista. Siinä kuvataan julkisen hallinnon digitaalisen turvallisuuden arvioinnin tunnistettuja haasteita ja ehdotetaan näitä korjaavia kehitystoimenpiteitä. Julkisen hallinnon digitaalisten palvelujen turvallisuus edellyttää nykyistä kattavampaa turvallisuusajattelua. Tietoteknisten järjestelmien hyväksymisen sijaan digitaalisen turvallisuuden lähtökohtana tulisi olla palvelujen toiminnan jatkuvuuden varmistaminen, jonka avulla voidaan vastata kattavammin kysymykseen siitä, milloin jokin palvelu on toteutettu niin, että se on riittävän turvallinen käyttötarkoitukseensa nähden. Kaikille digitaalisen turvallisuuden osa-alueille ei ole säännöksissä asetettuja arviointiperusteita. Turvallisuuden riittävän tason määrittely kuitenkin edellyttää, että kaikille digitaalisen turvallisuuden osa-alueille määritellään arviointiperusteet, joiden avulla vaatimustenmukaisuus voidaan todeta luotettavasti.
Ehdotus
Esittelijä
-
Lauri Kattelus, Kaupunginjohtaja, lauri.kattelus@laitila.fi
Laitilan kaupunki kannattaa selvityksessä kerrottujen ISO 27701- ja ISO 27001-standardien asettamista keskeiseen asemaan, eikä sillä ole esitykseen huomautettavaa tai lisättävää.