Finlex - Etusivulle
Lainsäädäntö

1109/2015

Ajantasaistettu lainsäädäntö

Päivitetyt säädöstekstit, joissa lakiin tai asetukseen tehdyt muutokset sisältyvät säädöstekstiin.

Säädöksiä seurattu SDK 59/2025 saakka.

Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta

Ajantasainen
Säädöksen tyyppi
Asetus
Hallinnonala
Valtiovarainministeriö
Antopäivä
Julkaisupäivä
Voimaantulo
ELI-tunnus
http://data.finlex.fi/eli/sd/2015/1109/ajantasa/2020-06-11/fin

Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) nojalla:

1 §Määritelmät

Tässä asetuksessa tarkoitetaan:

1) palvelutuottajalla julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) , jäljempänä turvallisuusverkkolaki , 6, 8 ja 10 §:ssä tarkoitettuja palvelujen tuottajia niiden tuottaessa turvallisuusverkon palveluja;

2) turvallisuusverkon palvelulla palvelutuottajan tuottamaa, 2, 3 ja 5 §:ssä tarkoitettua palvelua;

3) käyttäjällä turvallisuusverkkolain 3 ja 4 §:ssä tarkoitettuun käyttäjäryhmään kuuluvaa viranomaista tai muuta yhteisöä silloin kun se hoitaa turvallisuusverkkolain 2 §:n 1 momentissa tarkoitettuun toimintaan liittyviä tehtäviä.

2 §Verkko- ja infrastruktuuripalvelujen tuottajan palvelut

Turvallisuusverkkolain 7 §:n 1 momentin 1 kohdassa tarkoitettuja verkkopalveluja ovat:

1)

turvallisuusverkon runkoverkkopalvelu;

2)

fyysisen liityntäpalvelun tarjoaminen turvallisuusverkon runkoverkkoon.

Turvallisuusverkkolain 7 §:n 1 momentin 2 kohdassa tarkoitettuja infrastruktuuripalveluja ovat laitetilojen sekä laite- ja antennipaikkojen tarjoaminen käyttäjille ja palvelutuottajille.

3 § (11.6.2020/442)Tieto- ja viestintäteknisten palvelujen tuottajan tehtävät ja palvelut

Turvallisuusverkkolain 9 §:n 1 momentin 1 kohdassa tarkoitettuja yhteisiä tieto- ja viestintäteknisiä palveluja ovat:

1)

päätelaitepalvelut;

2)

käyttäjätukipalvelut;

3)

viestintätekniset palvelut;

4)

muut kuin tämän asetuksen 2 §:ssä tarkoitetut tietoliikennepalvelut;

5)

käyttöpalvelut;

6)

tietokanta- ja sovellusalustapalvelut;

7)

integraatio- ja sanomanvälityspalvelut;

8)

1–7 kohdassa tarkoitettuihin palveluihin liittyvät tietoturvapalvelut;

9)

1–8 kohdassa tarkoitettuihin palveluihin liittyvät omaisuudenhallintapalvelut.

Lisäksi turvallisuusverkkolain 8 §:n 1 momentissa tarkoitettu palvelujen tuottaja voi tuottaa mainitun lain 5 §:n 3 momentissa tarkoitettujen, turvallisuusverkon laitetiloihin sijoitettujen laitteiden ja tietojärjestelmien käyttöä tukevia palveluja.

Turvallisuusverkkolain 9 §:n 2 momentin 1 kohdassa tarkoitettuja viranomaisradioverkon sekä viranomaisten aikakriittisen laajakaistaisen matkaviestinnän yhteisiä tieto- ja viestintäteknisiä palveluja ovat:

1)

päätelaitepalvelut;

2)

käyttäjätukipalvelut;

3)

viranomaisradioverkon liittymäpalvelut;

4)

viranomaisradioverkon viestintätekniset palvelut;

5)

viranomaisten aikakriittisen laajakaistaisen matkaviestinnän liittymäpalvelut;

6)

viranomaisten aikakriittisen laajakaistaisen matkaviestinnän viestintätekniset palvelut;

7)

1–6 kohdassa tarkoitettuihin palveluihin liittyvät tietoturvapalvelut;

8)

1–7 kohdassa tarkoitettuihin palveluihin liittyvät omaisuudenhallintapalvelut.

Lisäksi tieto- ja viestintäteknisten palvelujen palvelutuottajat voivat tuottaa käyttäjien ja palvelutuottajien tilannetietoisuutta, johtamista tai viestinnän häiriöttömyyttä ja jatkuvuutta sekä tietoturvallisuudesta huolehtimista tukevia yhteisiä palveluja.

4 § (11.6.2020/442)Integraatiopalvelujen tuottajan tehtävät

Integraatiopalvelujen tuottajan tehtävänä on yhteistyössä muiden palvelutuottajien kanssa:

1)

muodostaa turvallisuusverkon palvelukokonaisuudet;

2)

vastata turvallisuusverkon palvelukokonaisuuksien tarjoamiseen liittyvän sopimus- ja asiakkuudenhallinnan yhteensovittamisesta;

3)

järjestää turvallisuusverkon palvelujen yhdistäminen käyttäjien tieto- ja viestintäteknisiin palveluihin;

4)

koordinoida turvallisuusverkon palvelukokonaisuuksien muutoksenhallintaa, häiriötilannehallintaa ja tietoturvauhkilta suojautumista palvelutuottajien välillä ja tiedottaa niistä käyttäjiä;

5)

koota turvallisuusverkon palvelukokonaisuuksien ohjaamiseen, kehittämiseen ja ylläpitämiseen tarvittavia tilannetietoja ja välittää niitä valtiovarainministeriölle ja käyttäjille.

5 §Muut palvelutuottajien tehtävät ja palvelut

Palvelutuottaja voi tuottaa 2–4 §:ssä tarkoitettuihin palveluihin ja tehtäviin liittyviä asennuspalveluja sekä projekti- ja asiantuntijapalveluja turvallisuusverkon käyttäjille ja muille palvelutuottajille.

6 § Turvallisuusverkon palvelujen laatu, toimivuus, tietoturvallisuus, kustannustehokkuus ja tilannekuva

Palvelutuottajan on huolehdittava tuottamansa turvallisuusverkon palvelun sekä hoitamiensa turvallisuusverkkoon liittyvien tehtävien laadusta ja kustannustehokkuudesta. Palvelutuottajan on erityisesti huolehdittava:

1)

palvelujensa toimivuuden ja tietoturvallisuuden ympärivuorokautisesta valvonnasta;

2)

palvelun toimivuutta tai tietoturvallisuutta häiritsevien tai uhkaavien tilanteiden havaitsemisesta, selvittämisestä ja raportoinnista.

Palvelutuottajan on laadittava palveluistaan palveluluettelo, palvelukuvaukset ja hinnasto sekä ylläpidettävä niitä.

Palvelutuottajan on laadittava normaalioloihin, niiden häiriötilanteisiin ja poikkeusoloihin menettelyohjeet ja ylläpidettävä niitä palvelujen toimivuutta ja turvallisuutta häiritsevien tai uhkaavien tilanteiden selvittämiseksi sekä niiden vaikutusten minimoimiseksi ja poistamiseksi ilman aiheetonta viivytystä.

Palvelutuottajan on ylläpidettävä 1 momentissa säädettyihin tehtäviin liittyvää tilannetietoisuutta ja välitettävä tilannetietoja integraatiopalvelujen tuottajalle ja erikseen sovitulla tavalla käyttäjälle.

Palvelutuottajien on turvallisuusverkon palveluja tuottaessaan ja tässä pykälässä tarkoitettuja tehtäviä hoitaessaan tehtävä yhteistyötä keskenään ja käyttäjien kanssa sekä sovittava palvelutuotantonsa yhteensovittamisesta normaalioloissa, niiden häiriötilanteissa sekä poikkeusoloissa.

Palvelutuottajan on pidettävä yllä tietoja turvallisuusverkon palvelujen tuottamiseen liittyvistä sopimuksista ja alihankkijoista.

7 §Laitetilojen käyttö

Sen lisäksi, mitä turvallisuusverkkolain 5 §:n 3 momentissa säädetään, palvelutuottajan turvallisuusverkon palvelujen tuottamiseen käyttämiin laitetiloihin voidaan valtiovarainministeriön päätöksellä sijoittaa valtion ylimmän johdon ja yhteiskunnan turvallisuuden kannalta tärkeiden viranomaisten ja muiden toimijoiden yhteistoiminnassa käytettäviä laitteita ja tietojärjestelmiä, jos toiminnassa on noudatettava korkean varautumisen tai turvallisuuden vaatimuksia.

8 §Varautuminen

Turvallisuusverkon palvelujen jatkuvuuden turvaamiseksi normaalioloissa, niiden häiriötilanteissa sekä poikkeusoloissa, palvelutuottajan on palvelukohtaisten varautumista koskevien vaatimusten edellyttämässä laajuudessa, tarvittaessa yhteistyössä muiden palvelutuottajien ja käyttäjien kanssa: (11.6.2020/442)

1)

vastuutettava johtaminen organisaation eri tasoilla ja varmistettava palvelutuotannon jatkuva johtamisvalmius;

2)

suunniteltava ja järjestettävä palvelutuotanto ottaen huomioon erityisesti päivittäisen operatiivisen toiminnan jatkuvuus ja häiriöttömyys sekä normaali- ja poikkeusolojen uhkatekijät;

3)

varmistettava yhteistyön jatkuminen alihankkijoiden kanssa;

4)

varmistettava erityisesti tietoliikenteen toimivuus, tiedon, palvelujen, ylläpidon ja osaamisen saatavuus ja toiminta Suomen lainsäädännön alaisuudessa poikkeusolot huomioon ottaen;

5)

varmistettava tehtäviensä hoitamisen kannalta tarvittavat resurssit;

6)

huolehdittava henkilöstön koulutuksesta sekä häiriötilanneharjoittelusta.

9 § (11.6.2020/442)Tietoturvallisuusvaatimukset

Turvallisuusverkon palvelut on tuotettava ja kehitettävä siten, että on palvelukohtaisesti mahdollista täyttää salassa pidettävien asiakirjojen käsittelyä koskevat tietoturvallisuusvaatimukset, asiakirjojen turvallisuusluokittelusta valtionhallinnossa annetussa valtioneuvoston asetuksessa (1101/2019) säädetyt turvallisuusluokkien II, III tai IV asiakirjojen käsittelyä koskevat tietoturvallisuusvaatimukset sekä kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitetut erityissuojattaville tietoaineistoille asetetut tietoturvallisuusvaatimukset.

Palvelutuottajan on ylläpidettävä käyttäjien saatavilla palvelukohtaista luetteloa 1 momentissa tarkoitettujen vaatimusten täyttymisestä sekä 10 §:ssä tarkoitettujen tietoturvallisuusvaatimusten täyttymistä koskevien arviointien tuloksista.

10 §Tietoturvallisuus- ja varautumisvaatimusten arviointiperusteet ja niiden täyttymisen toteaminen

Turvallisuusverkon palveluja koskevien tietoturvallisuus- ja varautumisvaatimusten täyttymisen toteamisessa käytetään arviointiperusteina tätä asetusta ja valtiovarainministeriön turvallisuusverkkolain 14 §:n 4 momentin nojalla antamia määräyksiä.

Turvallisuusverkon palvelujen tietoturvallisuus- ja varautumisvaatimusten täyttyminen on arvioitava ja todettava noudattaen viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annettua lakia (1406/2011) ja kansainvälisistä tietoturvallisuusvelvoitteista annettua lakia.

Palvelutuottaja vastaa, että sen palvelutuotannossa olevat turvallisuusverkon palvelut sekä niiden tuottamiseen käytettävät tietojärjestelmät ja laitteet täyttävät 8 ja 9 §:ssä asetut vaatimukset koko niiden elinkaaren ajan myös silloin kun se käyttää turvallisuusverkon palvelun tuottamiseen alihankkijaa.

11 § (11.6.2020/442)Turvallisuusverkon palvelujen käyttö

Valtiovarainministeriö hyväksyy 2, 3 ja 5 §:ssä tarkoitetut turvallisuusverkon palvelut käyttöönotettavaksi. Hyväksymisen edellytyksenä on, että palvelujen voidaan 10 §:n mukaisesti todeta täyttävän 8 ja 9 §:n mukaiset vaatimukset siinä määrin, ettei käyttöönottamisella vaaranneta turvallisuusverkkolain tarkoituksen toteutumista ja on ilmeistä, että vaatimukset tulevat täyttymään hyväksymisen yhteydessä määriteltyyn ajankohtaan mennessä.

Käyttäjän on ennen turvallisuusverkon palvelujen käyttöönottoa annettava palvelutuottajalle selvitys siitä, että se täyttää valtiovarainministeriön turvallisuusverkkolain 14 §:n 4 momentin nojalla antamassa määräyksessä kuvatut tai valtiovarainministeriön muutoin hyväksymät käyttöä koskevat tietoturvallisuusvaatimukset.

Käyttäjän on ennen sen tietojärjestelmän tai tieto- ja viestintäteknisen palvelun liittämistä turvallisuusverkkoon annettava palvelutuottajalle selvitys siitä, että liitettävä tietojärjestelmä tai tieto- ja viestintätekninen palvelu täyttää valtiovarainministeriön turvallisuusverkkolain 14 §:n 4 momentin nojalla antamassa määräyksessä kuvatut tai valtiovarainministeriön muutoin hyväksymät liittämisen edellytyksenä olevat tietoturvallisuusvaatimukset.

Palvelutuottaja voi antaa turvallisuusverkon palvelut käytettäväksi varmistuttuaan 2 momentissa tarkoitettujen vaatimusten täyttymisestä. Palvelutuottaja voi liittää käyttäjän tietojärjestelmän tai tieto- ja viestintäteknisen palvelun turvallisuusverkkoon varmistuttuaan 2 ja 3 momentissa tarkoitettujen vaatimusten täyttymisestä. Palvelutuottajan on lisäksi varmistuttava siitä, että käyttäjän tietojärjestelmän tai tieto- ja viestintäteknisen palvelun liityntäratkaisu täyttää valtiovarainministeriön turvallisuusverkkolain 14 §:n 4 momentin nojalla antamassa määräyksessä kuvatut tai valtiovarainministeriön muutoin hyväksymät liityntäratkaisun tietoturvallisuutta koskevat vaatimukset. Jos palvelutuottaja ei pysty varmistumaan vaatimusten täyttymisestä tai sen arvion mukaan käytöllä tai liittämisellä voi olla haitallinen vaikutus turvallisuusverkon tietoturvallisuudelle, sen on siirrettävä käyttöä tai liittämistä koskeva asia valtiovarainministeriön käsiteltäväksi.

12 § (11.6.2020/442)Turvallisuusverkkotoiminnan neuvottelukunnan tehtävät

Valtiovarainministeriön on kuultava turvallisuusverkkotoiminnan neuvottelukuntaa ainakin ennen seuraavia asioita koskevien määräysten, päätösten ja suositusten antamista:

1)

turvallisuusverkkotoiminnan strategiset tavoitteet ja rahoitus sekä palvelutuottajien perimät maksut;

2)

palvelutuottajia koskevat palvelun laatu-, turvallisuus-, valmius-, varautumis- ja jatkuvuusvaatimukset;

3)

turvallisuusverkon palvelutuotannon järjestäminen ja sen kehittäminen;

4)

turvallisuusverkon palvelujen varautumisen ja turvallisuuden järjestäminen ja ylläpito;

5)

uuden turvallisuusverkkolain 4 §:n 1 momentissa tarkoitetun turvallisuusverkon käyttäjän hyväksyminen;

6)

11 §:n 1 momentissa tarkoitettu turvallisuusverkon palvelun käyttöönottoon hyväksyminen;

7)

11 §:n 2–4 momentissa tarkoitettujen turvallisuusverkon käyttöä sekä turvallisuusverkkoon liittämistä koskevien vaatimusten täyttyminen, jos asia on siirretty valtiovarainministeriön käsiteltäväksi;

8)

palvelutuottajan alihankinnan laajuus ja alihankinnan käytön edellytykset;

9)

turvallisuusverkon palvelujen tuotannon ja käytön ensisijaisuus-, kiireellisyys- ja muu tärkeysmäärittely, jollei asian kiireellisyys edellytä välittömiä toimenpiteitä.

13 §Voimaantulo

Tämä asetus tulee voimaan 15 päivänä syyskuuta 2015.

Muutossäädösten voimaantulo ja soveltaminen

11.6.2020/442:

Tämä asetus tulee voimaan 1 päivänä heinäkuuta 2020.

Sivun alkuun