<akomaNtoso xmlns="http://docs.oasis-open.org/legaldocml/ns/akn/3.0" xmlns:finlex="http://data.finlex.fi/schema/finlex" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <act contains="originalVersion" name="main">
        <meta>
            <identification source="#organization_fi.finlex">
                <FRBRWork>
                    <FRBRthis value="/akn/fi/act/statute/2025/125/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/125"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/125/alkup"/>
                    <FRBRdate date="2025-04-04" name="dateIssued"/>
                    <FRBRdate date="2025-04-07" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRcountry value="fi"/>
                    <FRBRsubtype value="statute"/>
                    <FRBRnumber value="125"/>
                    <FRBRprescriptive value="true"/>
                    <FRBRauthoritative value="true"/>
                </FRBRWork>
                <FRBRExpression>
                    <FRBRthis value="/akn/fi/act/statute/2025/125/fin@/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/125/fin@"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/125/alkup/fin"/>
                    <FRBRdate date="2025-04-04" name="dateIssued"/>
                    <FRBRdate date="2025-04-07" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRlanguage language="fin"/>
                </FRBRExpression>
                <FRBRManifestation>
                    <FRBRthis value="/akn/fi/act/statute/2025/125/fin@/!main.xml"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/125/fin@.akn"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/125/alkup/fin/xml"/>
                    <FRBRdate date="2025-12-09" name="dateProduced"/>
                    <FRBRdate date="2025-04-07" name="datePublished"/>
                    <FRBRauthor as="#role_editor" href="#organization_fi.finlex"/>
                    <FRBRformat value="xml"/>
                </FRBRManifestation>
            </identification>
            <references source="#organization_fi.finlex">
                <TLCOrganization eId="organization_fi.finlex" href="/akn/ontology/organization/fi.finlex" showAs="Finlex"/>
                <TLCRole eId="role_author" href="/akn/ontology/role/author" showAs="Tekijä"/>
                <TLCRole eId="role_editor" href="/akn/ontology/role/editor" showAs="Toimittaja"/>
                <TLCConcept eId="act" href="/akn/ontology/concept/statute/type-statute.act" showAs="Laki"/>
                <TLCConcept eId="amending-statute" href="/akn/ontology/concept/statute/category-statute.amending-statute" showAs="Muutossäädös"/>
            </references>
            <proprietary source="#organization_fi.finlex">
                <finlex:typeStatute refersTo="#act"/>
                <finlex:categoryStatute refersTo="#amending-statute"/>
                <finlex:documentYear>2025</finlex:documentYear>
            </proprietary>
        </meta>
        <preface>
            <p>
                <docNumber>125/2025</docNumber>
                <docTitle>Laki julkisen hallinnon tiedonhallinnasta annetun lain muuttamisesta</docTitle>
            </p>
        </preface>
        <preamble>
            <formula name="enactingClause">
                <p>Eduskunnan päätöksen mukaisesti </p>
                <blockContainer>
                    <block name="substitutions">
                        <i>muutetaan</i>
                         julkisen hallinnon tiedonhallinnasta annetun lain (<affectedDocument href="/akn/fi/act/statute/2019/906">906/2019</affectedDocument>) 2 §:n 16 kohta, 3 § ja 10 §:n 1 momentin 2 kohta, sellaisina kuin niistä ovat 2 §:n 16 kohta laissa 488/2023 ja 3 § osaksi laeissa 653/2021 ja 488/2023, sekä 
                    </block>
                </blockContainer>
                <blockContainer>
                    <block name="insertions">
                        <i>lisätään</i>
                         1 §:ään siitä lailla 710/2021 kumotun 2 momentin tilalle uusi 2 momentti ja 2 §:ään, sellaisena kuin se on osaksi laissa 488/2023, uusi 17–25 kohta sekä lakiin uusi 4 a luku seuraavasti:
                    </block>
                </blockContainer>
            </formula>
        </preamble>
        <body>
            <hcontainer finlex:outline="Säädöksen teksti" name="statuteProvisionsWrapper">
                <section eId="sec_1">
                    <num>1 §</num>
                    <heading>Lain tarkoitus</heading>
                    <hcontainer name="omission"/>
                    <subsection>
                        <content>
                            <p>
                                Tällä lailla pannaan täytäntöön toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 (<i>NIS 2 -direktiivi</i>) toimijaa koskevia velvoitteita, niiden noudattamisen valvontaa ja seuraamuksia koskevat säännökset NIS 2 -direktiivin liitteen I kohdassa 10 tarkoitetulla julkishallinnon toimialalla (<i>julkishallinnon toimiala</i>). NIS 2 -direktiivin täytäntöönpanosta muilta osin säädetään kyberturvallisuuslaissa (124/2025).
                            </p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_2">
                    <num>2 §</num>
                    <heading>Määritelmät</heading>
                    <subsection eId="sec_2__subsec_1">
                        <intro eId="sec_2__subsec_1__intro">
                            <p>Tässä laissa tarkoitetaan:</p>
                        </intro>
                        <hcontainer name="omission"/>
                        <paragraph>
                            <num>16) </num>
                            <content>
                                <p>
                                    <i>käsittelysäännöillä</i>
                                     luonnollisen henkilön ennalta laatimia automaattisen tietojenkäsittelyn ohjaamiseen tarkoitettuja sääntöjä;
                                </p>
                            </content>
                        </paragraph>
                        <paragraph>
                            <num>17)</num>
                            <intro>
                                <p>
                                    <i>viestintäverkolla ja tietojärjestelmällä</i>
                                </p>
                            </intro>
                            <subparagraph>
                                <num>a)</num>
                                <content>
                                    <p>eurooppalaisesta sähköisen viestinnän säännöstöstä annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2018/1972 2 artiklan 1 kohdassa tarkoitettua sähköistä viestintäverkkoa;</p>
                                </content>
                            </subparagraph>
                            <subparagraph>
                                <num>b)</num>
                                <content>
                                    <p>laitetta taikka yhteen kytkettyjen tai toisiinsa yhteydessä olevien laitteiden ryhmää, joista yksi tai useampi suorittaa ohjelman avulla digitaalisten tietojen automaattista käsittelyä; ja</p>
                                </content>
                            </subparagraph>
                            <subparagraph>
                                <num>c)</num>
                                <content>
                                    <p>digitaalisia tietoja, joita a ja b alakohdassa tarkoitetuissa järjestelmissä säilytetään, käsitellään, haetaan tai siirretään näiden järjestelmien toimintaa, käyttöä, suojausta tai ylläpitoa varten;</p>
                                </content>
                            </subparagraph>
                        </paragraph>
                        <paragraph>
                            <num>18) </num>
                            <content>
                                <p>
                                    <i>viestintäverkon ja tietojärjestelmän turvallisuudella</i>
                                     viestintäverkon ja tietojärjestelmien kykyä suojautua tietyllä varmuudella tapahtumilta, jotka saattavat vaarantaa niissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden;
                                </p>
                            </content>
                        </paragraph>
                        <paragraph>
                            <num>19) </num>
                            <content>
                                <p>
                                    <i>kyberturvallisuudella</i>
                                     toimia, joita tarvitaan viestintäverkkojen ja tietojärjestelmien, niiden käyttäjien ja muiden asianosaisten henkilöiden suojaamiseksi kyberuhilta;
                                </p>
                            </content>
                        </paragraph>
                        <paragraph>
                            <num>20) </num>
                            <content>
                                <p>
                                    <i>kyberuhkalla</i>
                                     tilannetta, tapahtumaa tai toimintaa, joka toteutuessaan voi vahingoittaa tai häiritä viestintäverkkoja ja tietojärjestelmiä, tällaisten järjestelmien käyttäjiä ja muita henkilöitä tai muulla tavoin vaikuttaa näihin haitallisesti;
                                </p>
                            </content>
                        </paragraph>
                        <paragraph>
                            <num>21) </num>
                            <content>
                                <p>
                                    <i>merkittävällä kyberuhkalla</i>
                                     kyberuhkaa, jonka voidaan sen teknisten ominaisuuksien perusteella olettaa vaikuttavan mahdollisesti vakavasti viranomaisen verkko- ja tietojärjestelmiin tai sen palvelujen käyttäjiin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa;
                                </p>
                            </content>
                        </paragraph>
                        <paragraph>
                            <num>22) </num>
                            <content>
                                <p>
                                    <i>kyberriskillä</i>
                                     poikkeaman aiheuttamien menetysten tai häiriön mahdollisuutta, joka ilmaistaan menetyksen tai häiriön suuruuden ja poikkeaman toteutumisen todennäköisyyden yhdistelmänä;
                                </p>
                            </content>
                        </paragraph>
                        <paragraph>
                            <num>23)</num>
                            <content>
                                <p>
                                    <i>poikkeamalla</i>
                                     tapahtumaa, joka vaarantaa viestintäverkoissa ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden;
                                </p>
                            </content>
                        </paragraph>
                        <paragraph>
                            <num>24)</num>
                            <intro>
                                <p>
                                    <i>merkittävällä poikkeamalla</i>
                                     poikkeamaa, joka:
                                </p>
                            </intro>
                            <subparagraph>
                                <num>a)</num>
                                <content>
                                    <p>on aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön tai viranomaiselle huomattavia taloudellisia tappioita; tai</p>
                                </content>
                            </subparagraph>
                            <subparagraph>
                                <num>b)</num>
                                <content>
                                    <p>on vaikuttanut tai voi vaikuttaa luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa;</p>
                                </content>
                            </subparagraph>
                        </paragraph>
                        <paragraph>
                            <num>25) </num>
                            <content>
                                <p>
                                    <i>poikkeaman käsittelyllä</i>
                                     toimia ja menettelyjä, joilla pyritään ehkäisemään ja havaitsemaan poikkeama, analysoimaan, rajoittamaan tai hallitsemaan sitä ja palautumaan siitä.
                                </p>
                            </content>
                        </paragraph>
                    </subsection>
                </section>
                <section eId="sec_3">
                    <num>3 §</num>
                    <heading>Lain soveltamisala ja sen rajaukset</heading>
                    <subsection eId="sec_3__subsec_1">
                        <content>
                            <p>
                                Tätä lakia sovelletaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomaiset käsittelevät tietoaineistoja, jollei muualla laissa toisin säädetä. Tämän lain 6 a lukua sovelletaan 
                                <i>automaattisen ratkaisumenettelyn</i>
                                 käyttöönottoon ja käyttöön. Mitä tässä laissa säädetään viranomaisesta, sovelletaan myös yliopistolaissa (558/2009) tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa (932/2014) tarkoitettuihin ammattikorkeakouluihin.
                            </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_3__subsec_2">
                        <content>
                            <p>Asiankäsittelyssä ja palvelujen tuottamisessa noudatettavista menettelyistä, salassapidosta ja tiedonsaantioikeudesta viranomaisten asiakirjoihin sekä asiakirjojen arkistoinnista säädetään erikseen. Tiedonhallinnasta ja tietojärjestelmien käytöstä Suomen evankelis-luterilaisessa kirkossa säädetään kirkkolaissa (652/2023).</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_3__subsec_3">
                        <intro eId="sec_3__subsec_3__intro">
                            <p>Tämän lain 4 a lukua ei sovelleta seuraaviin viranomaisiin ja viranomaisen toimintaan:</p>
                        </intro>
                        <paragraph eId="sec_3__subsec_3__para_1">
                            <num>1) </num>
                            <content>
                                <p>tasavallan presidentin kanslia, eduskunnan virastot, Puolustusvoimat, poliisin hallinnosta annetussa laissa (110/1992) tarkoitetut poliisiyksiköt, Rajavartiolaitos, Syyttäjälaitos ja Tullin rikostorjunta;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_3__subsec_3__para_2">
                            <num>2) </num>
                            <content>
                                <p>tuomioistuimet ja valitusasioita käsittelemään perustetut lautakunnat;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_3__subsec_3__para_3">
                            <num>3) </num>
                            <content>
                                <p>Puolustuskiinteistöt;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_3__subsec_3__para_4">
                            <num>4) </num>
                            <content>
                                <p>kunnalliset viranomaiset lukuun ottamatta Helsingin kaupunkia, johon sovelletaan 4 a lukua sen hoitaessa hyvinvointialueiden järjestämisvastuulle lailla säädettyjä tehtäviä;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_3__subsec_3__para_5">
                            <num>5) </num>
                            <content>
                                <p>Suomen Pankki;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_3__subsec_3__para_6">
                            <num>6) </num>
                            <content>
                                <p>yliopistolaissa tarkoitetut yliopistot, ammattikorkeakoululaissa tarkoitetut ammattikorkeakoulut, Pelastusopisto sekä muut valtion opetus- ja koulutusalan laitokset;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_3__subsec_3__para_7">
                            <num>7) </num>
                            <content>
                                <p>julkisen hallinnon turvallisuusverkkotoiminnasta annetussa laissa (10/2015) tarkoitettu turvallisuusverkon palvelutuotanto ja turvallisuusverkon palvelujen käyttö;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_3__subsec_3__para_8">
                            <num>8) </num>
                            <content>
                                <p>viranomaiset, jotka on perustettu yhdessä Euroopan talousalueeseen kuulumattoman maan kanssa kansainvälisen sopimuksen mukaisesti ja näissä maissa sijaitsevat diplomaattiset edustustot ja konsuliedustustot sekä näiden verkko- ja tietojärjestelmät, siltä osin kuin tällaiset järjestelmät sijaitsevat edustuston tiloissa tai niitä ylläpidetään näissä maissa olevia käyttäjiä varten.</p>
                            </content>
                        </paragraph>
                    </subsection>
                    <subsection eId="sec_3__subsec_4">
                        <content>
                            <p>Tämän lain 19, 20, 26 ja 27 §:ää ei sovelleta tuomioistuimien eikä valitusasioita käsittelemään perustettujen lautakuntien lainkäyttöön. Tämän lain 3 lukua ei sovelleta eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeuskanslerin toimintaan, tuomioistuimien eikä valitusasioita käsittelemään perustettujen lautakuntien toimintaan, tasavallan presidentin kansliaan, eduskunnan virastoihin, Kansaneläkelaitokseen, Suomen Pankkiin, muihin itsenäisiin julkisoikeudellisiin laitoksiin, yliopistolaissa tarkoitettuihin yliopistoihin eikä ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin. Tämän lain 3 lukua sovelletaan hyvinvointialueisiin, hyvinvointiyhtymiin, kuntiin ja kuntayhtymiin niiden hoitaessa laissa säädettyjä tehtäviä. Tämän lain 18 g §:n 3 momenttia ja 18 h–18 l §:ää ei sovelleta eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeuskanslerin toimintaan. </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_3__subsec_5">
                        <content>
                            <p>Mitä 4 luvussa, 22–24 ja 25–27 §:ssä sekä 6 a luvussa säädetään tiedonhallintayksiköstä ja viranomaisesta, sovelletaan yksityisiin henkilöihin ja yhteisöihin sekä muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne hoitavat julkista hallintotehtävää. Yksityisiin henkilöihin ja yhteisöihin sekä muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin sovelletaan lisäksi, mitä 4 ja 28 §:ssä säädetään tiedonhallintayksiköstä, niiden käyttäessä julkista valtaa viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 2 momentissa tarkoitetulla tavalla tai kun mainittu laki on säädetty erikseen sovellettavaksi niiden toiminnassa. Edelleen yksityisiin yhteisöihin ja muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin sovelletaan, mitä 19 §:n 2 momentissa sekä 24 a ja 24 b §:ssä säädetään viranomaisesta niiden käyttäessä julkista valtaa viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 2 momentissa
tarkoitetulla tavalla. </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_3__subsec_6">
                        <content>
                            <p>Tätä lakia ei sovelleta Ahvenanmaan maakunnassa toimiviin valtion viranomaisiin. Tämän lain 13 a §:ää ja 6 a lukua sovelletaan kuitenkin Ahvenanmaalla toimiviin valtion viranomaisiin niiden hoitaessa sellaisia valtakunnan lainsäädäntövaltaan kuuluvia viranomaistehtäviä, joissa tehdään hallintolain 53 e §:ssä tarkoitettuja asian automaattisia ratkaisuja. Myös 4 a lukua sovelletaan Ahvenanmaan maakunnassa toimiviin valtion viranomaisiin, jollei 3 momentista muuta johdu. </p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_10">
                    <num>10 §</num>
                    <heading>Julkisen hallinnon tiedonhallintalautakunta</heading>
                    <subsection eId="sec_10__subsec_1">
                        <intro eId="sec_10__subsec_1__intro">
                            <p>
                                Valtiovarainministeriön yhteydessä toimii julkisen hallinnon tiedonhallintalautakunta (<i>tiedonhallintalautakunta</i>), jonka tehtävänä on:
                            </p>
                        </intro>
                        <hcontainer name="omission"/>
                        <paragraph>
                            <num>2) </num>
                            <content>
                                <p>edistää tässä laissa säädettyjen tiedonhallinnan ja tietoturvallisuuden menettelytapojen ja tämän lain vaatimusten toteuttamista, lukuun ottamatta 4 a luvussa säädettyä.</p>
                            </content>
                        </paragraph>
                        <hcontainer name="omission"/>
                    </subsection>
                </section>
                <chapter eId="chp_4a">
                    <num>4 a luku</num>
                    <heading>Kyberturvallisuutta koskevat velvollisuudet ja niiden noudattamisen valvonta</heading>
                    <section eId="chp_4a__sec_18a">
                        <num>18 a §</num>
                        <heading>Toimijajaottelu ja toimintaa koskeva ilmoitus</heading>
                        <subsection eId="chp_4a__sec_18a__subsec_1">
                            <content>
                                <p>Tämän luvun soveltamisalaan kuuluvat tiedonhallintayksiköt ovat julkishallinnon toimialan keskeisiä toimijoita. Hyvinvointialueet ja hyvinvointiyhtymät sekä Helsingin kaupunki ovat kuitenkin tärkeitä toimijoita. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18a__subsec_2">
                            <intro eId="chp_4a__sec_18a__subsec_2__intro">
                                <p>Tiedonhallintayksikön on ilmoitettava valvovalle viranomaiselle: </p>
                            </intro>
                            <paragraph eId="chp_4a__sec_18a__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>nimensä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18a__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>osoitteensa, sähköpostiosoitteensa, puhelinnumeronsa ja muut ajantasaiset yhteystietonsa;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18a__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>IP-osoitealueensa;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18a__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>tieto siitä, onko se julkishallinnon toimialan keskeinen vai tärkeä toimija;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18a__subsec_2__para_5">
                                <num>5) </num>
                                <content>
                                    <p>luettelo muista Euroopan unionin jäsenvaltioista, joissa se tarjoaa palvelujaan;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18a__subsec_2__para_6">
                                <num>6) </num>
                                <content>
                                    <p>osallistumisestaan kyberturvallisuuslain 23 §:ssä tarkoitettuun kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4a__sec_18a__subsec_3">
                            <content>
                                <p>Tiedonhallintayksikön on ilmoitettava kaikista 2 momentissa tarkoitettujen tietojen muutoksista viipymättä, viimeistään kahden viikon kuluttua muutoksesta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18b">
                        <num>18 b §</num>
                        <heading>Velvollisuus hallita kyberturvallisuusriskejä ja riskienhallinnan toimintamalli </heading>
                        <subsection eId="chp_4a__sec_18b__subsec_1">
                            <content>
                                <p>Tiedonhallintayksikön on tunnistettava, arvioitava ja hallittava kyberriskejä, joita kohdistuu sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Kyberturvallisuutta koskevalla riskienhallinnalla tulee estää tai minimoida poikkeamien vaikutus toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin. Tiedonhallintayksikön on toteutettava 18 c §:ssä tarkoitetut kyberturvallisuutta koskevat riskienhallintatoimenpiteet. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18b__subsec_2">
                            <content>
                                <p>Tiedonhallintayksiköllä on oltava käytössä ajantasainen kyberturvallisuutta koskeva riskienhallinnan toimintamalli viestintäverkkojen ja tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta. Kyberturvallisuutta koskevassa riskienhallinnan toimintamallissa on tunnistettava viestintäverkkoihin ja tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvat riskit ottaen huomioon kaikki vaaratekijät huomioiva lähestymistapa. Toimintamallissa on määritettävä ja kuvattava kyberturvallisuutta koskevan riskienhallinnan tavoitteet, menettelyt ja vastuut sekä 18 c §:n mukaiset toimenpiteet, joilla viestintäverkkoja ja tietojärjestelmiä ja niiden fyysistä ympäristöä suojataan kyberuhkilta ja poikkeamilta. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18b__subsec_3">
                            <content>
                                <p>Tiedonhallintayksikön johto vastaa kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Tiedonhallintayksikön johdolla tulee olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18c">
                        <num>18 c §</num>
                        <heading>Toimenpiteet kyberturvallisuutta koskevien riskien hallinnassa</heading>
                        <subsection eId="chp_4a__sec_18c__subsec_1">
                            <intro eId="chp_4a__sec_18c__subsec_1__intro">
                                <p>Tiedonhallintayksikön on toteuttava oikeasuhtaiset tekniset, operatiiviset ja organisatoriset kyberturvallisuutta koskevat riskienhallintatoimenpiteet käyttämiensä viestintäverkkojen ja tietojärjestelmien turvallisuuteen kohdistuvien kyberriskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi. Kyberturvallisuutta koskevassa riskienhallinnan toimintamallissa ja siihen perustuvissa kyberturvallisuuden riskienhallintatoimenpiteissä on otettava huomioon ja pidettävä yllä ajantasaisesti ainakin:</p>
                            </intro>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>kyberturvallisuutta koskevan riskienhallinnan toimintaperiaatteet ja kyberturvallisuuden riskienhallintatoimenpiteiden vaikuttavuuden arviointi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelemiseksi ja julkistamiseksi; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>toimitusketjun välittömien toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, niihin sisällytetyt kyberturvallisuutta koskevat riskienhallintatoimenpiteet ja välittömien toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt sekä NIS 2 -direktiivin 22 artiklan 1 kohdassa tarkoitetut kriittisiä toimitusketjuja koskevien koordinoitujen riskinarviointien tulokset;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_6">
                                <num>6) </num>
                                <content>
                                    <p>henkilöstöturvallisuus ja kyberturvallisuuskoulutus;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_7">
                                <num>7) </num>
                                <content>
                                    <p>pääsynhallinnan ja todentamisen menettelyt;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_8">
                                <num>8) </num>
                                <content>
                                    <p>salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttämiseksi; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_9">
                                <num>9) </num>
                                <content>
                                    <p>poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden ylläpitämiseksi ja palauttamiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_10">
                                <num>10) </num>
                                <content>
                                    <p>varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta sekä tarvittaessa suojattujen varaviestintäjärjestelmien käyttö;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_11">
                                <num>11) </num>
                                <content>
                                    <p>perustason tietoturvakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18c__subsec_1__para_12">
                                <num>12) </num>
                                <content>
                                    <p>toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön suojaamiseksi sekä tilaturvallisuuden ja välttämättömien resurssien varmistamiseksi.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4a__sec_18c__subsec_2">
                            <content>
                                <p>Toimenpiteiden on oltava ajantasaiset, asianmukaiset ja oikeasuhtaiset suhteessa tiedonhallintayksikön käyttämien viestintäverkkojen ja tietojärjestelmien riskialttiuteen, viestintäverkon tai tietojärjestelmän merkitykseen tiedonhallintayksikön toiminnalle sekä niissä ilmenevän poikkeaman kohtuudella ennakoitavissa oleviin välittömiin vaikutuksiin. Lisäksi toimenpiteiden mitoittamisessa on otettava huomioon tiedonhallintayksikön koko, sen toiminnan laatu, poikkeaman todennäköisyys ja vakavuus, toimenpiteistä aiheutuvat kustannukset sekä ajantasainen kehitys huomioon ottaen käytettävissä olevat tekniset mahdollisuudet torjua kyberuhka. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18c__subsec_3">
                            <content>
                                <p> Riskienhallinnassa, riskienhallinnan toimintamallissa ja riskienhallintatoimenpiteitä toteutettaessa on noudatettava lisäksi NIS 2 -direktiivin 21 artiklan 5 kohdan nojalla mahdollisesti annettavia Euroopan komission täytäntöönpanosäädöksiä. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18d">
                        <num>18 d §</num>
                        <heading>Ilmoitusvelvollisuus merkittävästä poikkeamasta </heading>
                        <subsection eId="chp_4a__sec_18d__subsec_1">
                            <content>
                                <p>Viranomaisen on viipymättä, viimeistään 24 tunnin kuluttua merkittävän poikkeaman havaitsemisesta, toimitettava valvovalle viranomaiselle poikkeamaa koskeva ensi-ilmoitus, jossa on ilmoitettava, epäilläänkö poikkeaman johtuvan rikoksesta taikka muusta lainvastaisesta tai vihamielisestä teosta ja voiko poikkeamalla olla rajat ylittäviä vaikutuksia sekä näiden vaikutusten todennäköisyys.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18d__subsec_2">
                            <content>
                                <p>Viranomaisen on viipymättä, viimeistään 72 tunnin kuluttua merkittävän poikkeaman havaitsemisesta, toimitettava valvovalle viranomaiselle poikkeamaa koskeva jatkoilmoitus, jossa on saatettava ajan tasalle 1 momentissa tarkoitetut tiedot ja esitettävä ensimmäinen arvio merkittävän poikkeaman laadusta, vakavuudesta ja vaikutuksista sekä vaarantumisindikaattorit, jos sellaisia on saatavilla. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18d__subsec_3">
                            <intro eId="chp_4a__sec_18d__subsec_3__intro">
                                <p>Viranomaisen on annettava valvovalle viranomaiselle merkittävää poikkeamaa koskeva loppuraportti kuukauden kuluessa jatkoilmoituksen toimittamisesta. Loppuraportin on sisällettävä:</p>
                            </intro>
                            <paragraph eId="chp_4a__sec_18d__subsec_3__para_1">
                                <num>1) </num>
                                <content>
                                    <p>yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18d__subsec_3__para_2">
                                <num>2) </num>
                                <content>
                                    <p>selvitys poikkeaman todennäköisesti aiheuttaneen uhkan tai juurisyyn tyypistä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18d__subsec_3__para_3">
                                <num>3) </num>
                                <content>
                                    <p>selvitys toteutetuista ja meneillään olevista toimenpiteistä poikkeaman vaikutusten lieventämiseksi; ja</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18d__subsec_3__para_4">
                                <num>4) </num>
                                <content>
                                    <p>selvitys mahdollisista rajat ylittävistä vaikutuksista.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4a__sec_18d__subsec_4">
                            <content>
                                <p>Jos poikkeama edelleen jatkuu, kun 3 momentissa tarkoitettu loppuraportti pitäisi toimittaa, on loppuraportin sijaan toimitettava väliraportti poikkeaman käsittelyn edistymisestä. Loppuraportti on tällöin toimitettava kuukauden kuluessa siitä, kun viranomainen on käsitellyt poikkeaman. Valvovalla viranomaisella on oikeus poikkeaman kestäessä saada viranomaiselta lisätietoja tai väliraportti.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18d__subsec_5">
                            <content>
                                <p>Merkittävän poikkeaman ilmoittamisessa on noudatettava lisäksi NIS 2 -direktiivin 23 artiklan 11 kohdan nojalla mahdollisesti annettavia Euroopan komission täytäntöönpanosäädöksiä ilmoituksen tietosisällöstä, muodosta ja ilmoitusmenettelystä sekä merkittävän poikkeaman tarkemmasta määrittelystä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18e">
                        <num>18 e §</num>
                        <heading>Poikkeamailmoituksen vastaanottaminen</heading>
                        <subsection eId="chp_4a__sec_18e__subsec_1">
                            <content>
                                <p>Valvovan viranomaisen on viipymättä, mahdollisuuksien mukaan 24 tunnin kuluessa 18 d §:n 1 momentissa tarkoitetun ensi-ilmoituksen vastaanottamisesta annettava viranomaiselle vastaus. Vastauksessa on oltava alustava palaute merkittävästä poikkeamasta, viranomaisen pyynnöstä poikkeaman käsittelyä koskevia ohjeita tai operatiivisia neuvoja sekä ohjeet merkittävän poikkeaman ilmoittamisesta esitutkintaviranomaiselle, jos asiassa epäillään rikosta. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18e__subsec_2">
                            <content>
                                <p>Valvova viranomainen tekee 1 momentissa tarkoitettujen ohjeiden ja operatiivisten neuvojen antamisessa yhteistyötä kyberturvallisuuslaissa tarkoitetun CSIRT-yksikön kanssa. Ohjeet ja operatiiviset neuvot voi valvovan viranomaisen sijaan antaa CSIRT-yksikkö.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18f">
                        <num>18 f §</num>
                        <heading>Vapaaehtoinen ilmoittaminen</heading>
                        <subsection eId="chp_4a__sec_18f__subsec_1">
                            <content>
                                <p>Viranomainen voi ilmoittaa valvovalle viranomaiselle myös muista kuin merkittävistä poikkeamista sekä kyberuhkista ja läheltä piti -tilanteista. Myös ne 3 §:ssä tarkoitetut, joihin tätä lukua ei sovelleta, voivat tehdä tällaisen ilmoituksen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18f__subsec_2">
                            <content>
                                <p>Valvovan viranomaisen on käsiteltävä 1 momentissa tarkoitetut vapaaehtoiset ilmoitukset 18 e §:ssä säädettyä menettelyä noudattaen. Valvova viranomainen voi asettaa 18 d §:ssä tarkoitettujen ilmoitusten käsittelyn etusijalle vapaaehtoisten ilmoitusten käsittelyyn nähden.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18f__subsec_3">
                            <content>
                                <p>Viranomainen ja muut 3 §:ssä tarkoitetut voivat vapaaehtoisen ilmoituksen yhteydessä luovuttaa valvovalle viranomaiselle tietoja, jotka valvovalla viranomaisella on oikeus saada 18 i §:n nojalla.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18f__subsec_4">
                            <content>
                                <p>Vapaaehtoisessa ilmoittamisessa on noudatettava lisäksi NIS 2 -direktiivin 23 artiklan 11 kohdan nojalla mahdollisesti annettavia Euroopan komission täytäntöönpanosäädöksiä ilmoituksen tietosisällöstä, muodosta ja ilmoitusmenettelystä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18g">
                        <num>18 g §</num>
                        <heading>Tiedotusvelvollisuus merkittävästä kyberuhkasta ja poikkeamasta</heading>
                        <subsection eId="chp_4a__sec_18g__subsec_1">
                            <content>
                                <p>Viranomaisen on viipymättä ilmoitettava merkittävästä poikkeamasta palvelujensa vastaanottajille, jos merkittävä poikkeama todennäköisesti haittaa sen palvelujen tarjoamista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18g__subsec_2">
                            <content>
                                <p>Viranomaisen on viipymättä ilmoitettava merkittävästä kyberuhkasta sekä kyberuhkan hallitsemiseksi käytettävissä olevista toimenpiteistä niille palvelujensa vastaanottajille, joihin merkittävä kyberuhka saattaa vaikuttaa. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18g__subsec_3">
                            <content>
                                <p>Jos merkittävästä poikkeamasta tiedottaminen on yleisen edun mukaista, valvova viranomainen voi velvoittaa viranomaisen tiedottamaan merkittävästä poikkeamasta tai tiedottaa asiasta itse. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18g__subsec_4">
                            <content>
                                <p>Edellä 1 ja 2 momentissa tarkoitetussa tiedottamisessa on noudatettava lisäksi NIS 2 -direktiivin 23 artiklan 11 kohdan nojalla mahdollisesti annettavia Euroopan komission täytäntöönpanosäädöksiä ilmoituksen tietosisällöstä, muodosta ja ilmoitusmenettelystä sekä merkittävän poikkeaman tarkemmasta määrittelystä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18h">
                        <num>18 h §</num>
                        <heading>Valvova viranomainen</heading>
                        <subsection eId="chp_4a__sec_18h__subsec_1">
                            <content>
                                <p>Tässä luvussa tarkoitettu valvova viranomainen ja NIS 2 -direktiivin 8 artiklan 1 kohdassa tarkoitettu toimivaltainen viranomainen julkishallinnon toimialalla on Liikenne- ja viestintävirasto. Valvovan viranomaisen tehtävänä on sen lisäksi mitä tässä luvussa säädetään, valvoa tässä luvussa ja NIS 2 -direktiivin nojalla annetuissa säännöksissä säädettyjen velvollisuuksien noudattamista julkishallinnon toimialalla sekä ylläpitää julkishallinnon toimialan toimijaluetteloa 18 a §:n nojalla toimitetuista tiedoista. Liikenne- ja viestintävirasto on valvovan viranomaisen toiminnassaan itsenäinen ja riippumaton.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18h__subsec_2">
                            <content>
                                <p>Valvova viranomainen voi asettaa tässä laissa säädetyt valvontatehtävänsä tärkeysjärjestykseen riskiperusteisesti. Valvovan viranomaisen on valvonnan kohdistamisessa ja 18 l §:ssä tarkoitettua valvontapäätöstä tehdessään otettava huomioon kyberturvallisuuslain 27 §:n 3 momentissa ja 37 §:ssä tarkoitetut seikat. Valvova viranomainen voi kohdistaa valvontaa hyvinvointialueeseen, hyvinvointiyhtymään tai Helsingin kaupunkiin vain, jos on perusteltu syy epäillä, että mainittu ei ole noudattanut tässä luvussa tai NIS 2 -direktiivin nojalla annetuissa säädöksissä säädettyä. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18h__subsec_3">
                            <content>
                                <p>Ellei tässä luvussa toisin säädetä, valvovan viranomaisen on 18 a §:ssä tarkoitettujen toimintaa koskevien ilmoitusten, 18 d ja 18 f §:ssä tarkoitettujen poikkeamailmoitusten ja muiden valvontatehtävässä saatujen tietojen käsittelyssä sekä yhteistyössä muiden viranomaisten, Euroopan unionin toimielinten, erillisvirastojen ja yhteistyöelinten kanssa sekä tietojen luovuttamisessa niille noudatettava mitä kyberturvallisuuslain 6 §:n 4 momentissa, 15 §:n 3 momentissa, 17 §:ssä, 18 §:n 3 momentissa, 26 §:n 2 momentissa, 28 §:n 4 ja 5 momentissa, 33 §:ssä, 41 §:n 5 momentissa sekä 45 §:ssä säädetään tietojen käsittelystä valvovassa viranomaisessa sekä valvovan viranomaisen yhteistyöstä muiden viranomaisten, Euroopan unionin toimielinten, erillisvirastojen ja yhteistyöelinten kanssa sekä tietojen luovuttamisesta niille.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18h__subsec_4">
                            <content>
                                <p>Liikenne- ja viestintäviraston tehtävistä NIS 2 -direktiivissä tarkoitettuna keskitettynä yhteyspisteenä ja CSIRT-yksikkönä säädetään kyberturvallisuuslaissa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18i">
                        <num>18 i §</num>
                        <heading>Valvovan viranomaisen tiedonsaantioikeus </heading>
                        <subsection eId="chp_4a__sec_18i__subsec_1">
                            <content>
                                <p>Valvovalla viranomaisella on tämän luvun mukaisia tehtäviä suorittaessaan salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada kyberturvallisuutta koskevien riskien hallintaa, riskienhallinnan toimintamallia, hallintatoimenpiteitä ja merkittävää poikkeamaa koskevat tiedot sekä muut edellä mainittuihin tietoihin välittömästi liittyvät tiedot, jotka ovat välttämättömiä kyberturvallisuutta koskevan riskienhallintavelvoitteen noudattamisen ja merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvontaa varten. Viranomaisen on luovutettava tiedot viipymättä ja maksutta. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18i__subsec_2">
                            <content>
                                <p>Valvovalla viranomaisella on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada viranomaiselta välitystieto, sijaintitieto sekä tieto haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä, jos se on välttämätöntä kyberturvallisuutta koskevan riskienhallintavelvoitteen noudattamisen tai merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvomista varten. Valvovan viranomaisen tämän momentin nojalla saamat tiedot on pidettävä salassa. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18i__subsec_3">
                            <content>
                                <p>Tässä pykälässä tarkoitettu tiedonsaantioikeus ei koske salassa pidettäviä tietoja julkisen hallinnon turvallisuusverkkotoiminnasta annetussa laissa tarkoitetusta turvallisuusverkon palvelutuotannosta tai palvelujen käytöstä eikä tietoja, joiden luovuttaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta taikka olisi vastoin niihin liittyvää tärkeää etua.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18i__subsec_4">
                            <content>
                                <p>Erityissuojattavan tietoaineiston käsittelyä koskevista velvollisuuksista säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18j">
                        <num>18 j §</num>
                        <heading>Valvovan viranomaisen oikeus tehdä tarkastuksia</heading>
                        <subsection eId="chp_4a__sec_18j__subsec_1">
                            <content>
                                <p>Valvovalla viranomaisella on siinä laajuudessa kuin se on tarpeen, oikeus tehdä tässä luvussa tai NIS 2 -direktiivin nojalla annetuissa säännöksissä säädettyjen velvollisuuksien noudattamisen valvomiseksi viranomaiseen kohdistuva tarkastus.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18j__subsec_2">
                            <content>
                                <p>Tarkastuksen suorittajalla on oltava tarkastuksen laatuun ja laajuuteen nähden riittävä koulutus ja kokemus. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18j__subsec_3">
                            <content>
                                <p>Viranomaisen on tarkastusta varten päästettävä tarkastuksen suorittaja tarkastuksen edellyttämässä laajuudessa tarkastuksen kohteena olevaan viestintäverkkoon tai tietojärjestelmään ja muihin kuin pysyväisluonteiseen asumiseen tarkoitettuihin tiloihin. Tarkastuksen suorittamiseksi tarkastuksen suorittajalla on salassapitosäännösten tai muiden tiedon luovuttamista koskevien rajoitusten estämättä oikeus saada tutkittavakseen valvontatehtävän kannalta välttämättömät tiedot, asiakirjat, laitteet ja ohjelmistot, suorittaa tarvittavia testejä ja mittauksia sekä tarkastaa viranomaisen toteuttamat turvallisuusjärjestelyt. Tarkastuksen suorittajan tarkastus- ja tiedonsaantioikeuteen sovelletaan mitä 18 i §:n 3 momentissa säädetään tiedonsaantioikeuden rajoituksista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18j__subsec_4">
                            <content>
                                <p>Tarkastuksessa noudatettavaan menettelyyn sovelletaan, mitä hallintolain 39 §:ssä säädetään tarkastuksesta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18k">
                        <num>18 k § </num>
                        <heading>Avustavan tehtävän antaminen tietoturvallisuuden arviointilaitokselle ja arvioinnin teettäminen</heading>
                        <subsection eId="chp_4a__sec_18k__subsec_1">
                            <content>
                                <p>Valvova viranomainen voi antaa 18 j §:ssä tarkoitettuun tarkastustehtävään liittyvän avustavan tehtävän tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitetulle hyväksytylle tietoturvallisuuden arviointilaitokselle. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18k__subsec_2">
                            <intro eId="chp_4a__sec_18k__subsec_2__intro">
                                <p>Valvova viranomainen voi valvonnan toteuttamiseksi velvoittaa viranomaisen teettämään tietoturvallisuuden arviointilaitoksella kyberturvallisuuteen kohdistuvan riskienhallinnan arvioinnin, jos: </p>
                            </intro>
                            <paragraph eId="chp_4a__sec_18k__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>viranomaiseen on kohdistunut merkittävä poikkeama, joka on aiheuttanut palvelujen vakavan toimintahäiriön tai huomattavaa aineellista tai aineetonta vahinkoa; tai</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4a__sec_18k__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>viranomainen on olennaisesti ja vakavasti laiminlyönyt 18 b tai 18 c §:ssä tarkoitettujen kyberturvallisuuteen kohdistuvien riskienhallintavelvollisuuksien noudattamisen.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4a__sec_18k__subsec_3">
                            <content>
                                <p>Tietoturvallisuuden arviointilaitoksen palveluksessa olevaan tarkastuksessa avustavaan henkilöön ja arvioinnin suorittajaan sovelletaan, mitä 18 j §:n 2–4 momentissa säädetään tarkastuksen suorittajan kokemuksesta ja koulutuksesta sekä tarkastuksen suorittajan oikeuksista. Ellei tässä luvussa toisin säädetä, tietoturvallisuuden arviointilaitokseen sovelletaan tietoturvallisuuden arviointilaitoksista annettua lakia. Tietoturvallisuuden arviointilaitoksen palveluksessa olevaan henkilöön sovelletaan hänen tässä pykälässä tarkoitettuja tehtäviä hoitaessaan virkamiehen rikosoikeudellista virkavastuuta koskevia säännöksiä, viraltapanoseuraamusta lukuun ottamatta. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18l">
                        <num>18 l §</num>
                        <heading>Seuraamukset </heading>
                        <subsection eId="chp_4a__sec_18l__subsec_1">
                            <content>
                                <p>Valvova viranomainen voi velvoittaa viranomaisen määräajassa korjaamaan puutteet tässä luvussa tai NIS 2 -direktiivin nojalla annetuissa säännöksissä säädettyjen velvollisuuksien noudattamisessa. Valvova viranomainen voi velvoittaa viranomaisen julkistamaan kyseiset puutteet tai muut seikat, jotka liittyvät mainittujen velvollisuuksien rikkomiseen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18l__subsec_2">
                            <content>
                                <p>Valvova viranomainen voi antaa viranomaiselle varoituksen, jos tämä ei ole noudattanut tässä luvussa tai NIS 2 -direktiivin nojalla annetuissa säännöksissä säädettyjä velvollisuuksia. Varoituksessa on yksilöitävä puute tai laiminlyönti, jota varoitus koskee. Varoitus on annettava kirjallisena.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18l__subsec_3">
                            <content>
                                <p>Valvova viranomainen voi asettaa uhkasakon 1 momentissa tarkoitetun päätöksen noudattamisen tehosteeksi. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4a__sec_18m">
                        <num>18 m § </num>
                        <heading>Muutoksenhaku</heading>
                        <subsection eId="chp_4a__sec_18m__subsec_1">
                            <content>
                                <p>Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4a__sec_18m__subsec_2">
                            <content>
                                <p>Muutoksenhausta uhkasakon asettamista ja maksettavaksi tuomitsemista koskevaan päätökseen säädetään uhkasakkolaissa (1113/1990).</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
            </hcontainer>
            <hcontainer name="entryIntoForceStart"/>
            <hcontainer eId="entryIntoForce" name="entryIntoForce">
                <content>
                    <p>Tämä laki tulee voimaan 8 päivänä huhtikuuta 2025.</p>
                    <p>Tämän lain 18 a §:n 2 momentissa tarkoitettu ilmoitus on tehtävä viimeistään kuukauden kuluessa lain voimaantulosta.</p>
                </content>
            </hcontainer>
            <hcontainer finlex:outline="Esityöt ja allekirjoitukset" name="conclusions">
                <hcontainer finlex:outline="Esityöt" name="preliminaryWork">
                    <content>
                        <p>
                            <ref href="/akn/fi/doc/government-proposal/2024/57">HE 57/2024</ref>
                        </p>
                        <p>LiVM 1/2025 </p>
                        <p>EV 15/2025 </p>
                        <p>Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 (32022L2555), EUVL L 333, 27.12.2022, s. 80</p>
                    </content>
                </hcontainer>
                <hcontainer finlex:outline="Allekirjoitukset" name="signatures">
                    <content>
                        <p>Helsingissä 4.4.2025</p>
                        <p>
                            <signature>
                                <role refersTo="">Tasavallan Presidentti</role>
                                <person refersTo="">Alexander Stubb</person>
                            </signature>
                            <signature>
                                <role refersTo="">Liikenne- ja viestintäministeri</role>
                                <person refersTo="">Lulu Ranne</person>
                            </signature>
                        </p>
                    </content>
                </hcontainer>
            </hcontainer>
        </body>
    </act>
</akomaNtoso>
