Turvallisuusselvitykset satamissa osa CER-direktiivipaketin toimeenpanoa
Suomen Satamat ry (info
Suomen Satamat ry lausunto: Luonnos hallituksen esitykseksi laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi
Asia:
VN/18947/2022-SM-46
Luonnos hallituksen esitykseksi
laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja
häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi
1. Yleiset huomiot CER-direktiivin kansallisesta toteuttamistavasta, kuten esimerkiksi viranomaistoiminnan järjestämisestä ja valvontamallista
Suomen Satamat ry (jatkossa SSRY) kiittää lausuntopyynnöstä CER-direktiivin toimeenpanon valmisteluun.
Satamatoimialan sektorisääntely liittyy pääosin liikenteen turva- ja turvallisuuskysymyksiin sekä toiminnan ympäristövaikutusten ehkäisyyn, jotka aiheina kuuluvat yhteisölainsäädännön alaisuuteen. Niiden pohjalta ulkomaan liikennettä palvelevat satamat pitävät yllä erilaisia viranomaisten valvomia liikenteen ja ympäristövaikutusten hallinnan toimintajärjestelmiä. Vuoden 2015 alusta lähtien kilpaillulla markkinoilla tapahtuva satamatoiminta on ollut yhtiöitettyä. Sen jälkeen alkaneessa poolitoiminnassa valtakunnallisesti keskeiset satama- ja satamaoperaattoriyritykset ovat kehittävät varautumistaan ja toiminnan jatkuvuudenhallinnan menettelyitä osana HVK:n alaista huoltovarmuusorganisaatiota.
Käytössä oleva toimintamalli sektorilainsäädännön toimeenpanossa yhteistyössä vastuuviranomaisten kanssa ja niiden valvonnan alaisuudessa on ollut pääsääntöisesti käytännöllistä ja toimivaa. SSRY ei näe ristiriitaa lainsäädännön vaatiman ja sopimuspohjaisen varautumisen yhdistämisessä CER-direktiivin tavoitteiden täyttämiseksi. Yhdistelmä tarjoaa sekä kattavuutta että joustavuutta ja reaktionopeutta tarpeiden muuttuessa. Riskinä sen sijaan näemme ylimääräisen hallinnollista työtä lisäävän toimintatason perustamisen.
Vielä on tehtävääkin. Häiriönsietokykyä vahvistamiseen tarvitaan eri sektorien välistä yhteistyötä ja yhteensovittamista, minkä esimerkiksi Covid19 -pandemian hallinnan haasteet todensivat hyvin. Sitä tekevät parhaiten ne toimialat yhteistyössä, joiden välisistä asioista on kysymys. Yhteensovittaminen tarvitsee oman tilansa viranomaistoiminnan rakenteissa sekä yhteistyötä toimijoiden kanssa tuottaakseen kestäviä tuloksia.
CER-direktiivin vaiheittaisesta toimeenpanosta useamman vuoden aikana johtuu, että osa keskeisistä valmisteluasiakirjoista, kansallinen strategia ja kansallinen riskiarvio, laaditaan vasta käsillä olevan yleislain tultua voimaan. Koska ne ovat keskeistä materiaalia kansalliselle jatkotyölle niin vähintäänkin strategian laadinnassa käytettävää arvoperustaa tulisi avata jo tässä vaiheessa siten, että päämäärien ja riskien keskinäisen merkittävyyden tai arvottamisen lähtökohdat olisivat tiedossa. Jo yleisen kestävyyden määritelmän soveltaminen sosiaalisten, taloudellisten ja ympäristönäkökulmien tasapainosta olisi yksi tapa ennakoida tulevia keskeisten asiakirjojen laatimisen lähtökohtia.
2. Soveltamisalaa koskevat huomiot, kuten esimerkiksi kriittisen toimijan määrittäminen ja kriteeristön kattavuus
Satama-alalla on kolme keskeisiä soveltamisalakysymystä. Ensimmäisessä satamanpito sisältyy direktiivin soveltamisalaan nimettyihin liikennetoimialalla sektoreihin. Satamatoimialalla CER-direktiivin mukaista työtä tehdään vakiintuneesti huoltovarmuusorganisaation satamapoolissa, jonka jatkamista ja ensisijaisuutta kokonaisvaltaisen varautumisen kehittämisessä SSRY tukee vahvasti.
Toinen kysymys liittyy kriittisyyden tuntomerkkeihin ja rajaan, joka yksittäisen satamanpidon yhtiön on ylitettävä ollakseen kriittinen toimija. Kriittisen toimijan määrittely on oltava toimijan kannalta ennakoitavaa ja läpinäkyvää. Luonnoksen 11 – 13 §:t kuvaavat askel askeleelta etenevän valinnan osatekijöitä, mutta ilman kansallista strategiaa ja riskienarvioinnin tuloksia ennakoitavuus toimijatasolla jää pieneksi.
SSRY kannattaa toimeenpanon liikkeellelähtöä satamasektorilla suppeammalla toimijoiden määrällä. Myöhemmillä tarkastelukierroksilla, lainsäädännön toimeenpanon myös kypsyttyä arvioinneissa on tarvittaessa mahdollista laajentaa soveltamisalaan tulevia yrityksiä. Kriittisen toimijan määritelmän sitominen 4 vuoden määräajaksi on perusteltua, koska uudet teemat, kansalliset painotukset sekä esim. yritysten oman toiminnan muuttuminen voivat ajoittain edellyttää muutoksia.
Kolmas kysymys liittyy satamanpidon yhtiöiden hyväksi luettavan sektorilainsäädännön määrittelyyn. CER-direktiivin tavoitteita samalla vaatimustasolla toteuttava sektorilainsäädäntö supistaa direktiivin puitteissa vaadittavien tekemisen laajuutta. Hallituksen esitysluonnos ei sisällä konkretiaa tästä aiheesta, joka on tärkeä mm. päällekkäisen työn ja hallinnoinnin välttämiseksi. SSRY pitää tarpeellisena, että esityksen jatkovalmistelussa määritellään, miten toimijan hyväksi luettavan sektorilainsäädännön listaus muodostetaan.
Toimijoiden valinnan vahvistamiseen esitetty prosessi (14 § 2 momentti) kaipaa metodin kehittämistä. Toimialojen kriittisyyden tunnusmerkit pystytään kuvaamaan parhaiten vastuuministeriöissä. Kuvaus kriittisen toimijan sektorikohtaisista tunnusmerkeistä ja näkemys valintojen hallinnonalojen välisestä tasapainosta tulisi olla käsitelty ja sovittu ennen kansallista päätöksentekoa. Tavoitteen tulisi olla se, että hallinnonalojen välistä konsultointia tarvitaan ainoastaan aivan poikkeuksellisissa tapauksissa.
3. Vaikutustenarviointia koskevat huomiot, kuten esimerkiksi yhteiskunnalliset vaikutukset, taloudelliset vaikutukset yrityksille, hallinnollinen taakka ja muut kustannukset sekä vaikutukset yritysten toimintaan
Hallituksen esitysluonnoksesta puuttuu kuva kansallisella tasolla kriittistä infrastruktuuria hallitsevan tai muutoin kriittiseksi toimijaksi nimeämisen tuottamasta lisäarvosta. SSRY olisi myös toivonut näkevänsä myös vähintäänkin vertailtavaksi esityksen, joka olisi perustunut nykyisen kokonaisturvallisuusmallin täysimääräiselle hyödyntämiselle ja edelleen kehittämiselle. Lisäksi viittaamme ja tuemme Elinkeinoelämän keskusliiton lausunnon kohdassa 1, alaotsikossa ”Viranomaisten tuki soveltamisalan yrityksille ja yritysten saama lisäarvo” ilmaistuja näkemyksiä.
Yksi ilmeisimmistä CER-direktiivin toimeenpanon riskeistä on hallinnollisen taakan kasvu kaikille osapuolille mahdollisista uusista suunnittelu- ja raportointivelvoitteista, jotka tulisivat jo olemassa olevien velvoitteiden päälle. Satamanpidon yhtiöille erilaiset turva- ja turvallisuusaiheiset säädökset edellyttävät säännöllisesti päivitettäviä arviointeja ja suunnitelmia, joita viranomaiset hyväksyvät ja auditoivat. Kriittisen toimijan tekemän riskienarvioinnin (15 §) ja häiriönsietokyvyn varmistaminen ja häiriönsietokykyä koskevan suunnitelman (16 §) on siksi voitava keskeisesti perustua toimijan voimassa olevaan riskiarvioperusteiseen toiminnan johtamis- ja hallintajärjestelmään/järjestelmiin, joka/jotka on valvovan viranomaisen arvioitavissa.
Poikkeamia koskevan ilmoitusvelvollisuuden ja raportoinnin (17-18 §) menettelyiden on oltava yksinkertaisia. Jo käytössä olevia sähköisiä ilmoituskanavia, kuten kyberturvallisuussäädöksen NIS2:n ilmoituskanavaa olisi käytännöllistä käyttää myös CER-direktiivin edellyttämiin ilmoituksiin.
4.Valvontaa koskevat huomiot: -
5.Laiminlyöntimaksua koskevat huomiot: -
6. Miten arvioitte turvallisuusselvityslakia koskevan esityksen tarpeellisuutta ja muotoilua? Millaisia turvallisuusvaikutuksia esityksellä olisi?
SSRY kannattaa Lakiluonnos 2:n, Turvallisuusselvityslain 19 §:n 4) -kohdan muutosta esitetyllä tavalla.
CER-direktiivin toimeenpanon myötä on oletettavaa, että turvallisuusselvitysten määrä nousee, mikä merkitsee yrityksille myös lisäkustannuksina. Nopeamman kaistan turvallisuusselvitysmenettely voisi olla CER-toimijalle tarjottu etu sille määrätystä vastuusta. Suojelupoliisin resurssien tasosta selvitysten tekemiseksi on huolehdittava, sillä pitkät selvitysajat vaikeuttavat sekä työnantajan että työntekijän tilannetta.
7. Miten arvioitte satamien turvallisuusselvityksiä koskevan esityksen tarpeellisuutta ja muotoilua? Millaisia toiminnallisia ja taloudellisia vaikutuksia esityksellä olisi? Millaisia turvallisuusvaikutuksia esityksellä olisi?
SSRY kannattaa mahdollisuutta teettää henkilöstölleen tarvittaessa perusmuotoisia turvallisuusselvityksiä, mutta esittää jäljempänä muutoksia niiden muotoiluun.
Sataman toiminnallinen kokonaisuus muodostuu keskeisesti alusliikenteelle tarjottavista satamainfrastruktuuri- ja lastinkäsittelypalveluista, joista ensin mainittuja tarjoavat Suomessa pääasiallisesti yhtiömuotoiset satamanpitäjät ja jälkimmäisiä ahtaus- ja logistiikkayritykset. Edellä mainittujen palveluiden tuottaminen ei edellytä satamassa toimivilta yrityksiltä alihankkija-asemaa satamanpitäjään nähden ja on siksi tyypillisimmin samalla satama-alueella toimivien itsenäisten yritysten yhteistyötä.
Ulkomaan liikenteen satamassa turvatoimia toteuttavat ja niistä vastaavat niin satamanpitäjä kuin alueella toimivat ahtaus- ja logistiikka-alan yritykset itselleen vuokraamillaan alueilla. Samoin kulunvalvontajärjestelmiä voi olla sekä satamanpitäjillä että alueella operoivilla muilla yrityksillä.
Ulkomaanliikenteen satamien satamanpitäjillä ei ole pääsyä lastin käsittelyä koskeviin tietojärjestelmiin, eikä siten niiden lastitietoihin. Niihin pääsevät vain lasteja satama-alueella käsittelevät ahtaus- ja logistiikka-alan yritykset, kukin omien asiakkuuksiensa ja toimeksiantojensa mukaan.
Turvatoimilain 7 g §:n muuttaminen
Lakiluonnos 5 sisältää esityksen ns. satamien turvatoimilakiin (485/2004) uutta 7 g §:ää perusmuotoisten turvallisuusselvitysten teettämisestä, ja siinä vastuuta satamanpitäjälle.
SSRY esittää pykälän muotoilua tavalla, joka vastuuttaa niiden teettämisen kullekin yritykselle oman henkilöstönsä osalta, eikä silloin ole ristiriidassa turvallisuusselvityslain vakiintuneen tulkinnan kanssa. Ainoastaan henkilön työnantaja pystyy määrittelemään työnjohtonsa alaisuuteen kuuluvien työntekijöidensä tehtävänkuvan ja vastuut, ja tekemään niihin tarvittaessa muutoksia.
Esitämme 7 g §:n uudeksi muotoiluksi seuraavaa: ”Ulkomaanliikenteen satamassa satamanpitäjän ja satamassa toimivien ahtaus- ja logistiikka-alan yritysten on varmistettava, että sataman alueen valvonnan ja lastien käsittelyn järjestelmien hallintaan on pääsy vain henkilöillä, joiden nuhteettomuus ja luotettavuus on varmistettu turvallisuusselvityslain mukaisella perusmuotoisella turvallisuusselvityksellä. Turvallisuusselvitys on uusittava sen voimassaolon päättyessä.”
Perusmuotoisella turvallisuusselvityksellä suojataan tietoa. Lakiluonnos 2:ssa, turvallisuusselvityslain muutosesityksessä suojaustarpeen rima nostetaan korkeaksi: salassa pidettävien tietojen oikeudettomalla käytöllä aiheutettavaksi valtion tai muun merkittävän yleisen edun vaarantamiseksi. Katsomme sen tarkoittavan käyttäjän oikeuksia tietojärjestelmän ominaisuuksien ja toiminnan muokkaamiseen, ei pelkkään järjestelmän käyttöön. Viittaamme perusteluissa myös Elinkeinoelämän keskusliiton lausuntoon, turvallisuusselvityksiä koskevaan kohtaan.
Satamanpidon yrityksissä kriittisiä tietoja käsittelevien työntekijöiden suppeat turvallisuusselvitykset ovat lisääntyneet vuodesta 2022 lähtien toiminnan jatkuvuudenhallinnan varmistamiseksi ja toimialalla suunnan arvioidaan jatkuvan edelleen. Vilkkaimmissa yksikkö- ja matkustajaliikenteen satamissa alueen turva- ja valvontajärjestelmiin liittyvät satamanpidon turvallisuusselvityshakemusten kokonaismäärä voi silti nousta tuntuvasti, mikä merkitsee sekä kasvavia henkilöstö- että tietojärjestelmähallinnon kustannuksia. Suurin ja haitallisin vaikutus voi tulla turvallisuusselvityspyyntöjen kokonaiskasvun aiheuttamasta ruuhkautumisesta ja selvitysten tekoon tarvittavan ajan venymisestä jo nykyisistä. Se venyttää työntekijöiden rekrytointia, tehtävien ja hankkeiden aloittamista ja yrityksen toiminnan ripeyttä.
Uuteen 7g §:n hyväksymiseen ja käyttöönottoon liittyvä vaikutus koskee turvallisuusselvitysten tekemiseen tarvittavia henkilöresursseja suojelupoliisissa. Turvallisuusselvityslain muutos epäilemättä kasvattaa selvitysten määriä Suomessa kokonaisuudessaan, ei ainoastaan satamasektorilla. Työtehtävien vastaanottamiseen tarvittavan selvityksen saamisen venyminen pidentää yritysten rekrytointiaikoja ja edelleen niistä riippuvia erilaisten hankkeiden tai tehtävien käynnistymistä.
Turvatoimilain (485/2004) 4 §:n muutos
4 §:n muutosesitys koskee Liikenne- ja viestintäviraston satamien turvatoimiin liittyviä erityistehtäviä. Niihin lisätään niiden henkilöiden hyväksyminen, joille haetaan 7 g §:n tarkoittamia perusmuotoisia turvallisuusselvityksiä. Muutoksen tulee olla siksi linjassa 7 g §:n periaatteiden kanssa. Esitämme siksi pykälälle seuraavaa muotoilua, jossa 4 §:n teksti hyväksymisistä jaetaan kahteen osaan.
Liikenne- ja viestintäviraston …. tehtävänä on:
”a) hyväksyä turva-arvioinnin perusteella ja satamanpitäjän esityksestä sataman turvatoimialueen rajat ja huolehtia satamien turvasuunnitelmien tarkistamisesta tämän lain mukaisesti.
b): ”hyväksyä keille satamanpitäjän ja satamassa toimivien ahtaus- ja logistiikka-alan yritysten henkilöille tai 7 g §:ssä tarkoitetuille henkilöille tehdään turvallisuusselvityslaissa (726/2014) tarkoitettu turvallisuusselvitys;”
Muokattu a) -kohta liittyy perinteisiin ISPS-turvasäännöstön vaatimuksiin ja pysyy sisällöltään muuttumattomana. Uusi b) -kohta määrittelee minkä yritysten työntekijöitä hyväksymisen koskee, ja täsmentää muotoilullaan, että kukin yritys hakee ne omille työntekijöilleen.
8. CER-yleislain 28 §:ään liittyen, miten arvioitte säännösehdotuksia, jotka koskevat muiden EU-jäsenvaltioiden rikosrekisteritietojen käyttämistä kriittisen toimijan työntekijästä tehtävässä turvallisuusselvityksessä (1. lakiesityksen 28§ sekä 3. ja 4. lakiesitys)?: -
8. Muut huomiot: -
Tarnanen-Sariola Kirsti
Suomen Satamat ry