Ads 468x60px

keskiviikko 28. toukokuuta 2014

Turvasuojauksen ja turvallisuuskonsultoinnin luvanvaraisuus



Turvasuojauksen ja turvallisuuskonsultoinnin luvanvaraisuus

Hallituksen esityksessä uudeksi laiksi yksityisistä turvallisuuspalveluista (HE 22/2014 vp.) ehdotetaan, että laissa erikseen määriteltävä hyväksymistä edellyttävien turvasuojaustehtävien (mm. turvalaiteasennus) hoitaminen edellyttäisi kyseistä toimintaa harjoittavalta yhteisöltä tai toiminimeltä elinkeinoluvan (Poliisihallituksen myöntämä turvallisuusalan elinkeinolupa). Lisäksi työntekijöiltä edellytettäisiin yrityskohtaista henkilökohtaista hyväksymistä turvasuojaajaksi (poliisihallinnon yksikön myöntämä turvasuojaajakortti). Turvasuojausliikkeiden tulisi hakea turvallisuusalan elinkeinolupaa Poliisihallitukselta ehdotetun voimaantulosäännöksen perusteella kahden vuoden siirtymäajan jälkeen. Jos laki astuisi suunnitellulla tavalla voimaan 1.1.2015, tulisi luvat hakea vuoden 2016 loppuun mennessä.

Elinkeinolupavaatimus sisällytettiin lopulliseen hallituksen esitykseen alan toimijoiden omasta toivomuksesta. Huomioiden esimerkiksi viimeaikaiset kansainväliset ja kotimaatammekin kohdanneet tapahtumat muun muassa tietoturvallisuuden rintamalla, olisi viranomaisvalvonnan tiivistäminen perusteltua. Varsinaiset tietoturvallisuuteen liittyvät palvelut olisivat kuitenkin jäämässä jäljempänä kerrotuista syistä elinkeinolupavaatimuksen ulkopuolelle.

Vaikka asiaa ei hallituksen esityksessä suoranaisesti mainita, lupaedellytyksen taustalla voi olla myös EU-oikeudellinen näkökulma. Vuoden 2009 laissa palvelujen tarjoamisesta 2 §:n 1 momentin 10 kohdassa säädettiin pitkällisen väännön jälkeen myös turvasuojaustehtävät poikkeukseksi Euroopan Unionin palvelujen vapaan liikkuvuuden periaatteesta. Ilman lupaedellytystä sisäiselle turvallisuudellemme turvallisuustekniikan voimakkaan kehityksen ja käytön lisääntymisen vuoksi yhä tärkeämpiä hyväksymistä edellyttäviä turvasuojaustehtäviä ei ehkä voitaisi jatkossa yhtä hyvin suojella, kun EU harmonisoi yksityistä turvallisuusalaa koskevaa sääntelyään.

Muita kuin hyväksymistä edellyttäviä turvasuojaustehtäviä saataisiin nykyiseen tapaan harjoittaa ilman elinkeinolupaa ja ilman turvasuojaajaksi hyväksymisiä. Hyväksymistä edellyttävän turvasuojaustehtävän määritelmä muodostuukin jatkossa alalla vähintään Salpausselän veroiseksi vedenjakajaksi turvasuojauksen ammattilaisten ja lähinnä turvallisuusalan laitemyyntiin osallistuvien yritysten ("tavaratalot") sekä esimerkiksi "puhtaiden" sähköasennusliikkeiden välille.

Miten turvasuojaustehtävät ja hyväksymistä edellyttävät turvasuojaustehtävät eroavat toisistaan, eli mihin HE:ssa on vedetty elinkeinoluvanvaraisuuden raja? Hallituksen esityksen 2 §:n 1 momentin 14 kohdan perusteella turvasuojaustehtävällä tarkoitettaisiin yhtenevästi voimassa olevan lain kanssa rakenteellisen suojauksen tai sähköisten valvontajärjestelmien suunnittelemista, asentamista, korjaamista tai muuttamista sekä muiden turvallisuusjärjestelyjen suunnittelemista. Saman momentin 15 kohdan perusteella hyväksymistä edellyttävällä turvasuojaustehtävä määriteltäisiin sähköisten ja mekaanisten lukitusjärjestelmien, murtohälytysjärjestelmien ja kulunvalvontajärjestelmien asentamiseksi, korjaamiseksi tai muuttamiseksi. Hyväksymistä edellyttävän turvasuojaustehtävän määritelmä poikkeaisi nykyisestä määritelmästä. Muutos tehtiin siksi, että määritelmässä mainittujen toimintojen suorittamisen yhteydessä saaduilla tiedoilla voitaisiin tyypillisesti vähintään helpottaa tunkeutumista toimeksiantajan tiloihin.

HE:n perustelujen perusteella hyväksymistä edellyttävän turvasuojaustehtävän määritelmäsäännöksen tarkoitus ei muuttuisi nykyisestä, mutta muutoksella pyrittäisiin selkeyttämään rajanvetoa hyväksymistä edellyttävän ja muun turvasuojaustehtävän välillä. Huolimatta määritelmässä mainittujen toimintojen yksityiskohtaisesta kuvauksesta esimerkein HE:ssa, ei sillä käsityksemme mukaan kyetä rajaamaan elinkeinoluvan tarvetta kokonaan pois muilta turvasuojaustoimintaa harjoittavilta yrityksiltä. Tämä johtuisi siitä luonnollisesta lähtökohdasta, että ennalta arvaamattomat asiakkaiden tarpeet määrittävät kummasta tehtävälajista on kysymys. Lähtökohtana voitaneen myös pitää sitä, että alan yrityksillä tuskin olisi varaa kieltäytyä hyväksymistä edellyttävistä turvasuojaustehtävistä, mikäli asiakas toivoisi niitä sisällytettäväksi toimeksiantoonsa ja vaikka turvasuojausyrityksellä ei olisi niihin vaadittavaa lupaa. Monessa tapauksessa lainsäädännön noudattamisen valvonta jäisikin asiakkaiden tietämyksen ja aktiivisuuden varaan.

Lainsäätäjä toteaa itsekin muutoksen johtavan nykyiseen tilanteeseen verrattuna "jonkin verran jäykempään tulkintaan turvasuojaustehtävän luonteen suhteen". Esimerkkinä tästä tiukennuksesta mainitaan lukkoliikkeille tyypillinen tilanne: "Kun esimerkiksi nykyisin on yhtenä rajanvetona hyväksymistä edellyttävien ja muiden turvasuojaustehtävien suhteen pidetty sitä, suorittaako lukkoseppä pelkästään sarjoittamattomia avainpesiä vai myös lukkojen sarjoitusta, vastaisuudessa erolla ei enää olisi merkitystä, koska kaikki mekaanisten lukitusjärjestelmien asennustyö olisi määritelty hyväksymistä edellyttäväksi turvasuojaustehtäväksi."

Turvallisuuskonsultoinnin edellytykset väitetään hallituksen esityksen yleisperustelussa säilytettävän nykyisellään. Turvallisuuskonsultointi määriteltäisiin turvasuojaustehtäväksi (”muiden turvallisuusjärjestelyjen suunnittelemista”), ei hyväksymistä edellyttäväksi turvasuojaustehtäväksi. Turvallisuusalan elinkeinolupaa eikä turvasuojaajakorttia tarvitsisi hankkia. Konsulttien luotettavuus valvottaisiin viranomaistoimin siten jatkossakin lähinnä turvallisuusselvitysmenettelyssä. Myös tietoturvakonsultointi määriteltäisiin ilmeisesti kuuluvaksi turvallisuuskonsultoinnin piiriin. Asiasta ei ole nimenomaista mainintaa hallituksen esityksessä. Linjaus nykytilanteen jatkumisesta pitänee kuitenkin paikkansa vain hetken. Tämä johtuu siitä, että myös turvallisuusselvityksistä annettua lakia ollaan parhaillaan uudistamassa (HE 57/2013 vp.).

Turvallisuusselvityslakia koskevan Hallituksen esityksen käsitteleminen on Eduskunnassa edennyt lähelle päätepistettään. Tavoiteaikatauluna on saattaa esityksen lait voimaan kuluvan vuoden 2014 alkupuolen aikana. Vaikuttaisi vahvasti siltä, että turvallisuuskonsultit tulisivat nykyiseen tapaan, mutta laajemmin käytettynä ainakin henkilöturvallisuusselvityksen piiriin. Itse kohdehenkilö ei voi kuitenkaan poliisilaitokselta selvitystä hakea. Selvitystä voidaan pyytää turvallisuuskonsulttien asiakkaiden toimesta lähinnä viranomaisten turvaluokiteltujen tietojen salaamiseksi. Lisäksi selvityksiä olisi mahdollisuus saada rajoitetusti esimerkiksi yritysten T&K:n suojaamiseksi.

Uudistettavan turvallisuusselvityslain uutuus olisi myös kotimaiseen liiketoimintaan ulotettavat yritysturvallisuusselvitykset. Ne ovat aikaisemmin tuttuja lähinnä puolustushallinnon alan kansainvälisestä kaupasta. Tulevaisuudessa yritysturvallisuusselvitysten perusteella annettavia todistuksia (vrt. nykyinen FSC) laissa rajoitetuista syistä voisivat hakea tai joutuvat hakemaan myös esimerkiksi yritykset, jotka saavat haltuunsa viranomaisten salassa pidettäviä tietoja. Myös esimerkiksi kansallisen huoltovarmuusketjumme (mm. energiayhtiöt, julkisen infrastruktuurin ylläpitämiseen liittyvät yritykset) kuuluvat yhtiöt ja yhteiskunnallistesti merkittävää T&K:ta tuottavat yritykset voisivat pyrkiä suojautumaan muun ohessa kybersodan uhilta vaatimalla alihankkijoiltaan yritysturvallisuustodistuksia.

Sekä turvasuojaustoiminnassa että turvallisuuskonsultoinnissa olisi huomioitava sekä lakiin yksityisistä turvallisuuspalveluista että turvallisuusselvityslakiin ehdotetut muutokset. Voidakseen tarjota compliance huomioiden kattavasti palveluita, olisi tilanteesta riippuen hankittava:

  1. todistus henkilöturvallisuusselvityksen suorittamisesta (poliisihallinnon yksiköltä) 
  2. yritysturvallissuuselvitystodistus (Suojelupoliisilta tai puolustusvoimien pääesikunnalta) 
  3. turvallisuusalan elinkeinolupa turvasuojaustoiminnan osalta (Poliisihallitukselta) ja 
  4. turvasuojaajaksi hyväksyminen (poliisihallinnon yksiköltä). Tietoturvan tasoa koskevan selvityksen tekisi aina Liikenne- ja viestintäministeriön alainen Viestintävirasto (tai hyväksytty tietoturvallisuudenarviointilaitos).


Minkään edellä mainituista neljästä luvasta, hyväksymisestä tai todistuksesta saaminen ei kaikki edellytykset kirkkaasti täyttäville yrityksillekään olisi varmaa, vaan kaikki ne olisivat voimakkaasti tarveharkintaisia. Kuten edellä todettiin, henkilöturvallisuusselvitystä (kohta 1) kohdehenkilö eikä hänen työnantajansa voi hakea. Koska elävässä elämässä tilanteet vaihtuvat nopeasti ja asiakkaiden tarpeet harvoin odottavat viranomaisten lupamenettelyjä, olisi useiden turvasuojausyritysten perusteltua hakea turvallisuusalan elinkeinolupa "varmuuden vuoksi". Lisäksi on huomattava, että lainsäädännön muutosvaiheessa viranomaisten lupakäytännöt ja mahdollinen tuleva oikeuskäytäntö on vielä muovautumatta. Varovainen voi siis menettää vähän euroja ja työllistää viranomaista, mutta ei menetä yhteiskunnan luottamusta ja mainettaan.

Samat sanat pätevät turvallisuuskonsultteihin, koska hyväksymistä edellyttäviä turvasuojaustehtäviä ja turvallisuuskonsultointia voi sisältyä samoihin toimeksiantoihin. Turvallisuusalan elinkeinolupa ei kummankaan hallituksen esityksen perusteella korvaa yritysturvallisuusselvitystodistusta. Siksi myös se olisi hankittava useissa turvallisuusselvityslaissa määritellyissä tilanteissa, vaikka molempien lakien lainsäätäjien tarkoituksena onkin varmasti ollut välttää päällekkäisiä viranomaisvalvontamenettelyitä.

Ehdotetun turvallisuusselvityslain tullessa voimaan turvasuojaajien ja turvallisuuskonsulttien yritysturvallisuusmenettelyn piirissä olevat asiakkaat joutuisivat todistamaan viranomaisille ja liikekumppaneilleen omien turvallisuusjärjestelyjensä lisäksi myös käyttämiensä alihankkijoiden turvallisuustason. Turvasuojausyritykset ja turvallisuuskonsultit voivat itse hakeutua tai ne voisivat joutua yritysturvallisuusselvitysmenettelyyn juuri valtionhallinnon tai yritysten alihankkijoina.

Toisaalta Hallituksen esityksessä turvallisuusselvityslaiksi pyritään voimakkaasti rajoittamaan yritysturvallisuusselvitysmenettelyyn osallistuvia yrityksiä ilmeisesti viranomaisten arvioidun resurssipulan johdosta. Sen vuoksi yrityksille ei esimerkiksi tarjota mahdollisuutta vapaasti selvityttää toistensa turvallisuustasoa viranomaisvoimin tässä menettelyssä. Myös henkilöturvallisuusselvitysten saaminen maksua vastaan poliisilta edellyttäisi jatkossa myös hakijoina olevilta yrityksiltä panostamista yritysturvallisuuteen kansallisessa turvallisuuskriteeristössä (KATAKRI) osoitetulla tavalla.

Yritysturvallisuuden tason kehittämiseksi ja ylläpitämiseksi sekä saavuttaakseen parhaat mahdollisen markkina aseman lakimuutosten jälkeen, suosittelee KPMG yrityksiä aloittamaan turvallisuusjärjestelyjen suunnittelun ja toteuttamisen KATAKRI:n mukaisesti heti. Todistus yritysturvallisuusmenettelystä edellyttäisi, että joko selvityksen tekevä viranomainen tai erityinen yksityinen tietoturvallisuuden arviointilaitos voisi todeta turvallisuustason riittäväksi. Esimerkiksi tietoturvallisuuden osa-alueella vaadittu taso ei ole useinkaan saavutettavissa nopeasti. Turvallisuusselvityslain muutokset voivat sen sijaan tulla voimaan pian.

Turvasuojaajat voivat aloittaa turvallisuusalan elinkeinolupansa hakemisen todennäköisesti jo kuluvan vuoden viimeisinä kuukausina, jos laki astuu voimaan ehdotetusti vuoden 2015 alusta alkaen. Vaikka laissa olisi voimaantulosäännösluonnoksen perusteella kahden vuoden siirtymäaika, lainsäädännön muutostilanteissa hyödyn saavat ne yritykset, joilla lakisääteiset viranomaishyväksymiset ovat ensimmäisenä hallussa. Lupa luo luotettavuuden olettaman. Esimerkiksi julkishallinnon kilpailutuksissa turvallisuusalan elinkeinolupa voisi olla kilpailuun osallistumisen edellytyksenä siitä huolimatta, että lain määrittelemä siirtymäaika on vasta kulumassa.

KPMG voi avustaa asiakkaitaan erityisesti tietoturvallisuuden kehittämisessä. KPMG on ensimmäisenä yrityksenä Suomessa hakenut tietoturvallisuuden arviointilaitoksen statusta. Prosessi on kuitenkin vielä kesken. Lähitulevaisuudessa tekemämme auditoinnin ja sen perusteella antamamme todistuksen perusteella Suojelupoliisi tai puolustushallinnon pääesikunta voi myöntää yritysturvallisuustodistuksen ilman, että viranomainen enää itse suorittaa auditointia.

Yhteistyö kanssamme voi siis sekä mahdollistaa että nopeuttaa yritysturvallisuustodistuksen hankkimisessa, edellyttäen luonnollisesti, että kohdeyrityksen turvallisuusjärjestelyt ovat riittävällä tasolla. Auditoinnin perusteella antamallamme todistuksella voi olla merkitystä myös yritysten keskinäisissä suhteissa, sillä ehdotetun sääntelyn perusteella viranomaisten auditointia ei ole saatavissa useilla toimialoilla.

Avustamme mielellämme myös aiheen lakiasioissa. Huomioiden hyväksymistä edellyttävän turvasuojaustehtävän määritelmän tulkinnanvaraisuus ja lupaviranomaisen käytäntöjen puuttuminen lainsäädännön ollessa tuoretta, oikeudellisesti laadukkaalla hakemuksella voidaan auttaa ja nopeuttaa turvallisuusalan elinkeinoluvan saamista. Myös yritysturvallisuusmenettelyyn pääsemiseksi sitä koskeva hakemus olisi perusteltava hyvin. Teemme hakemukset, niiden liitteet ja muut mahdollisesti tarvittavat selvitykset avaimet käteen -periaatteella.

Lisätietoja:

Vesa Ellonen
p. 020 760 3125

Ei kommentteja:

Lähetä kommentti