Ads 468x60px

keskiviikko 8. lokakuuta 2014

Uudistettu turvallisuusselvityslaki hyväksyttiin Eduskunnassa



Ilman suurempaa meteliä Eduskunta hyväksyi kesäkuussa pitkään valmistellun uuden turvallisuusselvityksistä annetun lain. Koko lakipaketti hyväksyttiin lopulta lähes hallituksen esityksen sisältöisenä. Oikeusministeriö on julkaisut lakimuutoksesta tiedotteen http://oikeusministerio.fi/fi/index/ajankohtaista/tiedotteet/2014/09/uusiturvallisuusselvityslakivoimaanensivuodenalusta.html, jonka mukaan laki astuu voimaan 1.1.2015. Uusi laki on kokonaisuudessaan luettavissa Finlexistä: http://www.finlex.fi/fi/laki/smur/2014/20140726.

Lakimuutosten eräänä perusteena on valtion pyrkimys tiivistää erityisesti tietoturvallisuuteen liittyviä turvallisuusjärjestelyjään. Tavoite konkretisoituu muun muassa yritysturvallisuusselvityksen käyttöalan laajentamisena kotimaassa. Myös henkilöturvallisuusselvitysten hakeminen edellyttää jatkossa sitoutumista turvallisuusjärjestelyjen ylläpitämiseen riittävällä tasolla. Mittapuuna molemmissa käytetään KATAKRI:a (kansallinen turvallisuusauditointikriteeristö). 

Lain uutuutta, yritysturvallisuusselvitystä, luonnehditaan Oikeusministeriön tiedotteessa lyhyesti seuraavasti: ”Yritysturvallisuusselvitysten avulla voidaan selvittää yrityksen vastuuhenkilöiden taustoja sekä yrityksen tietoturvallisuuden tasoa ja sitoumusten hoitokykyä. Yritysturvallisuusselvitys voidaan laatia yrityksestä, joka toimii viranomaisen sopimuskumppanina ja saa luokiteltuja salassa pidettäviä tietoja”. Eli tarkentaen yritysturvallisuusselvitys voitaisiin laatia lain perusteella (esimerkiksi puolustusvoimien hankinnat), tai viranomaisten mahdollisille sopimuskumppaneille (voi jatkossa olla jo kilpailutukseen osallistumisen edellytys) tilanteissa, jossa yritys saisi haltuunsa viranomaisten luokiteltuja, salassa pidettäviä asiakirjoja. Yritysturvallisuustodistuksen esittämiseen kilpailutuksessa kannattaisi varautua myös niiden yrityksien, joidenka työntekijät voivat saada pysyväisluonteisen oikeuden päästä viranomaisen yleisöltä suljettuun toimitilaan tai alueelle ja hoitaa siellä itsenäisesti esimerkiksi rakennus-, asennus-, huolto- tai vartiointitehtäviä tai muita niihin rinnastettavia tehtäviä. Kyseisissä tehtävissä yritysturvallisuustodistus vaadittaisiin kuitenkin vain, jos toimitilasta tai alueesta saatavien tietojen oikeudettomalla käytöllä tai niissä tapahtuvalla lainvastaisella teolla voisi vaarantaa yleistä turvallisuutta, valtion turvallisuutta tai muuta merkittävää yleistä etua. Todistus läpäistystä yritysturvallisuusselvityksestä saattaa edelleen olla myös kansainväliseen kilpailutukseen tai toiseen valtioon etabloitumisen edellytyksenä.

Viranomaisten resurssit tehdä aika ja osaamista vaativia yritysturvallissuuselvityksiä ovat rajalliset. Sen vuoksi yritysten mahdollisuus selvityttää toisien yritysten turvallisuusjärjestelyjä kyseisessä menettelyssä säädettiin optioksi; asiasta voidaan antaa myöhemmin tarvittaessa valtioneuvoston asetus. KPMG hyväksyttynä tietoturvallisuuden arviointilaitoksena voi kuitenkin tehdä selvityksen myös yritysten keskinäiseen sopimukseen perustuen tai viranomaisen pyynnöstä.

Parhaaksi keinoksi kehittää yrityksen yritysturvallisuutta, reagoida lakimuutokseen ja hankkia mahdollisesti ratkaisevaa kilpailuetua suhteessa kilpailijoihin on hankkia auditointi tai neuvontaa KPMG:ltä, koska

  1. KPMG tarjoaa selkokielisesti ratkaisut, joilla turvallisuustasoa voidaan korottaa yritykselle järkevällä tavalla muun muassa KATAKRI:n edellyttämälle tasolle
  2. Lakisääteisten vaatimusten lisäksi samalla voidaan saavuttaa ja todeta erilaisten kansainvälisten kriteeristöjen (esim. ISAE-varmennuslausunnot, ISO 27001 sertifikaatti) toteutuminen, joilla voi olla merkitystä yritysten välisissä sopimusneuvotteluissa ja palveluiden myynnissä
  3. Vasta kilpailutuskäytäntö tulee osoittamaan laajuuden, jossa turvallisuusselvityksiä valtion sopimuskumppaneilta ja näiden alihankkijoilta vaaditaan; jos yrityksen turvallisuusjärjestelyt eivät ole KATAKRI:n osoittamalla tasolla, voi kilpailutukseen osallistuminen jäädä haaveeksi tai yrityksen turvallisuusjärjestelyjen parantamiselle tulla suunnittelematon kiire
  4. Viranomaisten (SUPO, Pääesikunta, Viestintävirasto) yritysturvallisuusselvitysmenettelyyn on rajoitettu pääsy
  5. Viranomaisten tekemiä yritysturvallissuuselvityksiä ei ole heti saatavissa yritysten väliseen toimintaan lainkaan


KPMG on saanut ensimmäisenä yrityksenä hyväksymisen tietoturvallisuuden arviointilaitokseksi ( https://www.viestintavirasto.fi/viestintavirasto/ajankohtaista/2014/kyberturvallisuuskeskushyvaksyisuomenensimmaisentietoturvallisuudenarviointilaitoksen.html). KPMG:n suorittaman auditoinnin perusteella Viestintävirasto voi osaltaan hyväksyä yritysturvallisuustodistuksen annettavaksi. Juuri yksityisten tietoturvallisuuden arviointilaitosten tekemä auditointityö on uudistuvan turvallisuusselvityslain taustalla oleva ratkaisu, jolla viranomaisten ja yritysten rajalliset turvallisuusjärjestelyihin liittyvät resurssit voitaisiin tarkoituksenmukaisimmin hyödyntää. Teknisen osaamisen ja tarkastuspalvelujen lisäksi tarjoamme myös yrityksen turvallisuusasioissa (sopimukset, ohjeet, hakemukset viranomaisille) kattavat oikeudelliset palvelut.


Lisätietoja antavat:

Juridiikka:                                                                                                 Auditoinnit:

Vesa Ellonen                                                                                           Mika Laaksonen

Ei kommentteja:

Lähetä kommentti