Turvasuojauksen ja turvallisuuskonsultoinnin luvanvaraisuus
Hallituksen esityksessä uudeksi
laiksi yksityisistä turvallisuuspalveluista (HE 22/2014 vp.) ehdotetaan, että
laissa erikseen määriteltävä hyväksymistä
edellyttävien turvasuojaustehtävien (mm. turvalaiteasennus) hoitaminen
edellyttäisi kyseistä toimintaa harjoittavalta yhteisöltä tai toiminimeltä
elinkeinoluvan (Poliisihallituksen myöntämä turvallisuusalan elinkeinolupa).
Lisäksi työntekijöiltä edellytettäisiin yrityskohtaista henkilökohtaista hyväksymistä
turvasuojaajaksi (poliisihallinnon yksikön myöntämä turvasuojaajakortti).
Turvasuojausliikkeiden tulisi hakea turvallisuusalan elinkeinolupaa
Poliisihallitukselta ehdotetun voimaantulosäännöksen perusteella kahden vuoden
siirtymäajan jälkeen. Jos laki astuisi suunnitellulla tavalla voimaan 1.1.2015,
tulisi luvat hakea vuoden 2016 loppuun mennessä.
Elinkeinolupavaatimus sisällytettiin
lopulliseen hallituksen esitykseen alan toimijoiden omasta toivomuksesta.
Huomioiden esimerkiksi viimeaikaiset kansainväliset ja kotimaatammekin
kohdanneet tapahtumat muun muassa tietoturvallisuuden rintamalla, olisi viranomaisvalvonnan tiivistäminen perusteltua.
Varsinaiset tietoturvallisuuteen liittyvät palvelut olisivat kuitenkin jäämässä
jäljempänä kerrotuista syistä elinkeinolupavaatimuksen ulkopuolelle.
Vaikka asiaa ei hallituksen
esityksessä suoranaisesti mainita, lupaedellytyksen taustalla voi olla myös
EU-oikeudellinen näkökulma. Vuoden 2009 laissa palvelujen tarjoamisesta 2 §:n 1
momentin 10 kohdassa säädettiin pitkällisen väännön jälkeen myös
turvasuojaustehtävät poikkeukseksi Euroopan Unionin palvelujen vapaan
liikkuvuuden periaatteesta. Ilman lupaedellytystä sisäiselle
turvallisuudellemme turvallisuustekniikan voimakkaan kehityksen ja käytön
lisääntymisen vuoksi yhä tärkeämpiä hyväksymistä edellyttäviä
turvasuojaustehtäviä ei ehkä voitaisi jatkossa yhtä hyvin suojella, kun EU
harmonisoi yksityistä turvallisuusalaa koskevaa sääntelyään.
Muita kuin hyväksymistä edellyttäviä turvasuojaustehtäviä saataisiin nykyiseen tapaan harjoittaa ilman
elinkeinolupaa ja ilman turvasuojaajaksi hyväksymisiä. Hyväksymistä
edellyttävän turvasuojaustehtävän määritelmä muodostuukin jatkossa alalla
vähintään Salpausselän veroiseksi vedenjakajaksi turvasuojauksen ammattilaisten
ja lähinnä turvallisuusalan laitemyyntiin osallistuvien yritysten
("tavaratalot") sekä esimerkiksi "puhtaiden"
sähköasennusliikkeiden välille.
Miten
turvasuojaustehtävät ja hyväksymistä edellyttävät turvasuojaustehtävät eroavat
toisistaan, eli mihin HE:ssa on vedetty elinkeinoluvanvaraisuuden raja?
Hallituksen esityksen 2 §:n 1 momentin 14 kohdan perusteella turvasuojaustehtävällä tarkoitettaisiin yhtenevästi voimassa
olevan lain kanssa rakenteellisen suojauksen tai sähköisten
valvontajärjestelmien suunnittelemista, asentamista, korjaamista tai
muuttamista sekä muiden turvallisuusjärjestelyjen suunnittelemista. Saman
momentin 15 kohdan perusteella hyväksymistä edellyttävällä
turvasuojaustehtävä määriteltäisiin
sähköisten ja mekaanisten lukitusjärjestelmien,
murtohälytysjärjestelmien ja kulunvalvontajärjestelmien asentamiseksi,
korjaamiseksi tai muuttamiseksi. Hyväksymistä
edellyttävän turvasuojaustehtävän määritelmä poikkeaisi nykyisestä määritelmästä.
Muutos tehtiin siksi, että määritelmässä mainittujen toimintojen suorittamisen
yhteydessä saaduilla tiedoilla voitaisiin tyypillisesti vähintään helpottaa
tunkeutumista toimeksiantajan tiloihin.
HE:n
perustelujen perusteella hyväksymistä edellyttävän turvasuojaustehtävän
määritelmäsäännöksen tarkoitus ei muuttuisi nykyisestä, mutta muutoksella
pyrittäisiin selkeyttämään rajanvetoa hyväksymistä edellyttävän ja muun
turvasuojaustehtävän välillä. Huolimatta määritelmässä mainittujen toimintojen
yksityiskohtaisesta kuvauksesta esimerkein HE:ssa, ei sillä käsityksemme mukaan
kyetä rajaamaan elinkeinoluvan tarvetta kokonaan pois muilta
turvasuojaustoimintaa harjoittavilta yrityksiltä. Tämä johtuisi siitä
luonnollisesta lähtökohdasta, että ennalta arvaamattomat asiakkaiden tarpeet
määrittävät kummasta tehtävälajista on kysymys. Lähtökohtana voitaneen myös
pitää sitä, että alan yrityksillä tuskin olisi varaa kieltäytyä hyväksymistä
edellyttävistä turvasuojaustehtävistä, mikäli asiakas toivoisi niitä sisällytettäväksi
toimeksiantoonsa ja vaikka turvasuojausyrityksellä ei olisi niihin vaadittavaa
lupaa. Monessa tapauksessa lainsäädännön noudattamisen valvonta jäisikin
asiakkaiden tietämyksen ja aktiivisuuden varaan.
Lainsäätäjä
toteaa itsekin muutoksen johtavan nykyiseen tilanteeseen verrattuna
"jonkin verran jäykempään tulkintaan turvasuojaustehtävän luonteen
suhteen". Esimerkkinä tästä tiukennuksesta mainitaan lukkoliikkeille
tyypillinen tilanne: "Kun esimerkiksi nykyisin on yhtenä rajanvetona
hyväksymistä edellyttävien ja muiden turvasuojaustehtävien suhteen pidetty
sitä, suorittaako lukkoseppä pelkästään sarjoittamattomia avainpesiä vai myös
lukkojen sarjoitusta, vastaisuudessa erolla ei enää olisi merkitystä, koska
kaikki mekaanisten lukitusjärjestelmien asennustyö olisi määritelty
hyväksymistä edellyttäväksi turvasuojaustehtäväksi."
Turvallisuuskonsultoinnin edellytykset väitetään hallituksen esityksen
yleisperustelussa säilytettävän nykyisellään. Turvallisuuskonsultointi
määriteltäisiin turvasuojaustehtäväksi (”muiden turvallisuusjärjestelyjen
suunnittelemista”), ei hyväksymistä edellyttäväksi turvasuojaustehtäväksi.
Turvallisuusalan elinkeinolupaa eikä turvasuojaajakorttia tarvitsisi hankkia.
Konsulttien luotettavuus valvottaisiin viranomaistoimin siten jatkossakin
lähinnä turvallisuusselvitysmenettelyssä.
Myös tietoturvakonsultointi
määriteltäisiin ilmeisesti kuuluvaksi turvallisuuskonsultoinnin piiriin.
Asiasta ei ole nimenomaista mainintaa hallituksen esityksessä. Linjaus
nykytilanteen jatkumisesta pitänee kuitenkin paikkansa vain hetken. Tämä johtuu
siitä, että myös turvallisuusselvityksistä
annettua lakia ollaan parhaillaan uudistamassa (HE 57/2013 vp.).
Turvallisuusselvityslakia koskevan
Hallituksen esityksen käsitteleminen on Eduskunnassa edennyt lähelle
päätepistettään. Tavoiteaikatauluna on saattaa esityksen lait voimaan kuluvan
vuoden 2014 alkupuolen aikana. Vaikuttaisi vahvasti siltä, että
turvallisuuskonsultit tulisivat nykyiseen tapaan, mutta laajemmin käytettynä
ainakin henkilöturvallisuusselvityksen
piiriin. Itse kohdehenkilö ei voi kuitenkaan poliisilaitokselta selvitystä
hakea. Selvitystä voidaan pyytää turvallisuuskonsulttien asiakkaiden toimesta
lähinnä viranomaisten turvaluokiteltujen tietojen salaamiseksi. Lisäksi
selvityksiä olisi mahdollisuus saada rajoitetusti esimerkiksi yritysten
T&K:n suojaamiseksi.
Uudistettavan
turvallisuusselvityslain uutuus olisi myös kotimaiseen liiketoimintaan
ulotettavat yritysturvallisuusselvitykset.
Ne ovat aikaisemmin tuttuja lähinnä puolustushallinnon alan kansainvälisestä
kaupasta. Tulevaisuudessa yritysturvallisuusselvitysten perusteella annettavia
todistuksia (vrt. nykyinen FSC) laissa rajoitetuista syistä voisivat hakea tai
joutuvat hakemaan myös esimerkiksi yritykset, jotka saavat haltuunsa viranomaisten
salassa pidettäviä tietoja. Myös esimerkiksi kansallisen huoltovarmuusketjumme
(mm. energiayhtiöt, julkisen infrastruktuurin ylläpitämiseen liittyvät
yritykset) kuuluvat yhtiöt ja yhteiskunnallistesti merkittävää T&K:ta
tuottavat yritykset voisivat pyrkiä suojautumaan muun ohessa kybersodan uhilta
vaatimalla alihankkijoiltaan yritysturvallisuustodistuksia.
Sekä turvasuojaustoiminnassa että
turvallisuuskonsultoinnissa olisi huomioitava sekä lakiin yksityisistä
turvallisuuspalveluista että turvallisuusselvityslakiin ehdotetut muutokset.
Voidakseen tarjota compliance huomioiden kattavasti palveluita, olisi
tilanteesta riippuen hankittava:
- todistus henkilöturvallisuusselvityksen suorittamisesta (poliisihallinnon yksiköltä)
- yritysturvallissuuselvitystodistus (Suojelupoliisilta tai puolustusvoimien pääesikunnalta)
- turvallisuusalan elinkeinolupa turvasuojaustoiminnan osalta (Poliisihallitukselta) ja
- turvasuojaajaksi hyväksyminen (poliisihallinnon yksiköltä). Tietoturvan tasoa koskevan selvityksen tekisi aina Liikenne- ja viestintäministeriön alainen Viestintävirasto (tai hyväksytty tietoturvallisuudenarviointilaitos).
Minkään edellä mainituista neljästä
luvasta, hyväksymisestä tai todistuksesta saaminen ei kaikki edellytykset
kirkkaasti täyttäville yrityksillekään olisi varmaa, vaan kaikki ne olisivat
voimakkaasti tarveharkintaisia. Kuten
edellä todettiin, henkilöturvallisuusselvitystä (kohta 1) kohdehenkilö eikä
hänen työnantajansa voi hakea. Koska
elävässä elämässä tilanteet vaihtuvat nopeasti ja asiakkaiden tarpeet harvoin
odottavat viranomaisten lupamenettelyjä, olisi useiden turvasuojausyritysten
perusteltua hakea turvallisuusalan elinkeinolupa "varmuuden vuoksi".
Lisäksi on huomattava, että lainsäädännön muutosvaiheessa viranomaisten
lupakäytännöt ja mahdollinen tuleva oikeuskäytäntö on vielä muovautumatta.
Varovainen voi siis menettää vähän euroja ja työllistää viranomaista, mutta ei
menetä yhteiskunnan luottamusta ja mainettaan.
Samat
sanat pätevät turvallisuuskonsultteihin, koska hyväksymistä edellyttäviä
turvasuojaustehtäviä ja turvallisuuskonsultointia voi sisältyä samoihin
toimeksiantoihin. Turvallisuusalan elinkeinolupa ei kummankaan hallituksen
esityksen perusteella korvaa yritysturvallisuusselvitystodistusta. Siksi myös
se olisi hankittava useissa turvallisuusselvityslaissa määritellyissä
tilanteissa, vaikka molempien lakien lainsäätäjien tarkoituksena onkin varmasti
ollut välttää päällekkäisiä viranomaisvalvontamenettelyitä.
Ehdotetun turvallisuusselvityslain
tullessa voimaan turvasuojaajien ja turvallisuuskonsulttien yritysturvallisuusmenettelyn
piirissä olevat asiakkaat joutuisivat todistamaan viranomaisille ja
liikekumppaneilleen omien turvallisuusjärjestelyjensä lisäksi myös käyttämiensä
alihankkijoiden turvallisuustason.
Turvasuojausyritykset ja turvallisuuskonsultit voivat itse hakeutua tai ne
voisivat joutua yritysturvallisuusselvitysmenettelyyn juuri valtionhallinnon
tai yritysten alihankkijoina.
Toisaalta Hallituksen esityksessä
turvallisuusselvityslaiksi pyritään voimakkaasti rajoittamaan
yritysturvallisuusselvitysmenettelyyn osallistuvia yrityksiä ilmeisesti
viranomaisten arvioidun resurssipulan johdosta. Sen vuoksi yrityksille ei
esimerkiksi tarjota mahdollisuutta vapaasti selvityttää toistensa
turvallisuustasoa viranomaisvoimin tässä menettelyssä. Myös henkilöturvallisuusselvitysten
saaminen maksua vastaan poliisilta edellyttäisi jatkossa myös hakijoina
olevilta yrityksiltä panostamista yritysturvallisuuteen kansallisessa
turvallisuuskriteeristössä (KATAKRI) osoitetulla tavalla.
Yritysturvallisuuden tason
kehittämiseksi ja ylläpitämiseksi sekä saavuttaakseen parhaat mahdollisen
markkina aseman lakimuutosten jälkeen, suosittelee KPMG yrityksiä aloittamaan
turvallisuusjärjestelyjen suunnittelun ja toteuttamisen KATAKRI:n mukaisesti
heti. Todistus yritysturvallisuusmenettelystä edellyttäisi, että joko
selvityksen tekevä viranomainen tai erityinen yksityinen tietoturvallisuuden arviointilaitos voisi todeta turvallisuustason
riittäväksi. Esimerkiksi tietoturvallisuuden osa-alueella vaadittu taso ei ole
useinkaan saavutettavissa nopeasti. Turvallisuusselvityslain muutokset voivat
sen sijaan tulla voimaan pian.
Turvasuojaajat voivat aloittaa
turvallisuusalan elinkeinolupansa hakemisen todennäköisesti jo kuluvan vuoden
viimeisinä kuukausina, jos laki astuu voimaan ehdotetusti vuoden 2015 alusta
alkaen. Vaikka laissa olisi voimaantulosäännösluonnoksen perusteella kahden
vuoden siirtymäaika, lainsäädännön muutostilanteissa hyödyn saavat ne
yritykset, joilla lakisääteiset viranomaishyväksymiset ovat ensimmäisenä
hallussa. Lupa luo luotettavuuden olettaman. Esimerkiksi julkishallinnon
kilpailutuksissa turvallisuusalan elinkeinolupa voisi olla kilpailuun
osallistumisen edellytyksenä siitä huolimatta, että lain määrittelemä
siirtymäaika on vasta kulumassa.
KPMG voi avustaa asiakkaitaan
erityisesti tietoturvallisuuden kehittämisessä. KPMG on ensimmäisenä yrityksenä Suomessa hakenut tietoturvallisuuden arviointilaitoksen
statusta. Prosessi on kuitenkin vielä kesken. Lähitulevaisuudessa
tekemämme auditoinnin ja sen
perusteella antamamme todistuksen perusteella Suojelupoliisi tai
puolustushallinnon pääesikunta voi myöntää yritysturvallisuustodistuksen ilman,
että viranomainen enää itse suorittaa auditointia.
Yhteistyö kanssamme voi siis sekä
mahdollistaa että nopeuttaa yritysturvallisuustodistuksen hankkimisessa,
edellyttäen luonnollisesti, että kohdeyrityksen turvallisuusjärjestelyt ovat
riittävällä tasolla. Auditoinnin perusteella antamallamme todistuksella voi
olla merkitystä myös yritysten keskinäisissä suhteissa, sillä ehdotetun
sääntelyn perusteella viranomaisten auditointia ei ole saatavissa useilla
toimialoilla.
Avustamme mielellämme myös aiheen
lakiasioissa. Huomioiden hyväksymistä edellyttävän turvasuojaustehtävän
määritelmän tulkinnanvaraisuus ja lupaviranomaisen käytäntöjen puuttuminen
lainsäädännön ollessa tuoretta, oikeudellisesti laadukkaalla hakemuksella
voidaan auttaa ja nopeuttaa turvallisuusalan elinkeinoluvan saamista. Myös
yritysturvallisuusmenettelyyn pääsemiseksi sitä koskeva hakemus olisi
perusteltava hyvin. Teemme hakemukset, niiden liitteet ja muut mahdollisesti
tarvittavat selvitykset avaimet käteen -periaatteella.
Lisätietoja:
Vesa
Ellonen
p. 020 760 3125
Tekstit
