Ut­lå­tan­de gäl­lan­de Ålands lag­tings bes­lut 17.3.2025 om an­ta­gan­de av lands­kaps­lag om cy­ber­sä­ker­het och mot­stånds­kraft

Till republikens president

Hänvisning: Justitieministeriets brev 15.4.2025 gällande ärendet nr VN/11095/2025

Ärende: Ålands lagtings beslut 17.3.2025 om antagande av landskapslag om cybersäkerhet och motståndskraft

Utlåtande

Högsta domstolen har granskat lagtingsbeslutet i det syfte som stadgas i 19 § 2 mom. självstyrelselagen för Åland och anför som sitt utlåtande följande.

Allmänt

Lagtinget har genom sitt beslut antagit en landskapslag om cybersäkerhet och motståndskraft.

Enligt 1 § landskapslagen är syftet med landskapslagen att uppnå en hög cybersäkerhetsnivå samt att uppnå en hög grad av motståndskraft och säkerställa tillhandahållandet av samhällsviktiga tjänster.

Med landskapslagen genomförs inom landskapet Åland Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (cybersäkerhetsdirektivet) samt Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (motståndskraftsdirektivet) .

Syftet med cybersäkerhetsdirektivet är att genom fastställande av åtgärder för att uppnå en hög gemensam cybersäkerhetsnivå inom unionen förbättra den inre marknadens funktion. Syftet med motståndskraftsdirektivet är att bidra till säkerställandet av motståndskraften hos samhällskritiska verksamhetsutövare i fråga om ömsesidigt beroende tjänster, vilka är kritiska med tanke på samhällets funktionsförmåga, samt att upprätthålla samhällets ekonomiska funktioner.

Lagstiftningsbehörigheten

Ärendet avser en landskapslag genom vilken genomförs Europeiska unionens direktiv. Enligt 59 b § 1 mom. självstyrelselagen är lagstiftningsbehörigheten och behörigheten i förvaltningsärenden fördelad mellan landskapet och riket på det sätt som följer av självstyrelselagen när åtgärder vidtas i Finland med anledning av beslut som har fattats inom Europeiska unionen. Således påverkar inte medlemskapet i Europeiska unionen behörighetsfördelningen mellan landskapet och riket när unionsrätten genomförs på nationell nivå (RP 18/2002 rd s. 18).

Landskapslagen innehåller bestämmelser om cybersäkerhet, med vilket enligt den definition som hänvisas till i lagens 2 § 6 punkt avses all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot. Enligt definitionen i lagens 2 § 4 punkt avses med nätverks- och informationssystem i lagen (a) ett elektroniskt kommunikationsnät, i betydelsen ett system för överföring, oberoende av om det bygger på en permanent infrastruktur eller en centralt administrerad kapacitet eller inte, och i tillämpliga fall utrustning för koppling eller dirigering samt andra resurser, inbegripet nätelement vilka inte är aktiva, vilket medger överföring av signaler via tråd, via radio, på optisk väg eller via andra elektromagnetiska överföringsmedier, däribland satellitnät, fasta nät, kretskopplade och paketkopplade, inbegripet internet, och mobilnät, elnätssystem i den utsträckning dessa används för signalöverföring, nät för radio- och tv-utsändning samt kabel-tv-nät, oberoende av vilken typ av information som överförs, (b) en enhet eller en grupp enheter vilka är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller (c) digitala uppgifter vilka lagras, behandlas, hämtas eller överförs med sådana hjälpmedel vilka omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.

Cybersäkerhet eller något motsvarade begrepp omnämns inte vid fördelningen av lagstiftningsbehörigheten mellan landskapet och riket i självstyrelselagen. Lagstiftningsbehörigheten bör därför bedömas utgående från de rättsområden landskapslagstiftningen berör. Cybersäkerheten är ett område som har likheter och beröringspunkter med informationssäkerhet och även dataskydd. Högsta domstolen har tidigare ansett att landskapet har lagstiftningsbehörighet i fråga om informationssäkerhet och dataskydd inom den offentliga förvaltningen på Åland (se högsta domstolens utlåtande 7.4.2025, KKO-HD/258/2025, samt högsta domstolens utlåtande 5.3.2019, OH2019/11). Landskapslagstiftning beträffande dataskydd har ansetts falla inom landskapets lagstiftningsbehörighet även till den del som den reglerar dataskydd inom den privata sektorn när det är fråga om verksamhet som hör till landskapets lagstiftningskompetens enligt självstyrelselagen (se högsta domstolens utlåtande 1.8.2019, OH2019/130).

Enligt 18 § 6 punkten självstyrelselagen hör allmän ordning och säkerhet med de undantag som nämns i 27 § 27, 34 och 35 punkten självstyrelselagen till landskapets lagstiftningsbehörighet. Enligt 27 § 34 punkten hör ordningsmaktens verksamhet för tryggande av statens säkerhet, försvarstillstånd och beredskap inför undantagsförhållanden till rikets lagstiftningsbehörighet. Högsta domstolen konstaterar att 4 § landskapslagen innehåller en avgränsning av tillämpningsområdet som tar denna fördelning av lagstiftningsbehörigheten i beaktande. Därtill konstaterar högsta domstolen att landskapslagen enligt dess 5 § 1 mom. enbart är tillämplig på verksamhetsutövare vilka omfattas av bestämmelserna i lagens tillämpningsområde till den del dessa bedriver verksamhet eller tillhandahåller tjänster inom ramen för Ålands lagstiftningsbehörighet.

Högsta domstolen anser att landskapslagen tar hänsyn till fördelningen av lagstiftningskompetensen mellan landskapet och riket genom ovannämnda bestämmelser.

Enligt 18 § 22 punkten självstyrelselagen har landskapet lagstiftningsbehörighet i fråga om näringsverksamhet med beaktande av vad som stadgas bl.a. i 27 § 40 punkten självstyrelselagen. Enligt 27 § 40 punkten självstyrelselagen har riket lagstiftningsbehörighet i fråga om televäsendet, dock så att tillstånd att utöva allmän televerksamhet i landskapet får beviljas av en riksmyndighet endast med landskapsregeringens samtycke.

Det framgår av förarbetena till självstyrelselagen (RP 73/1990 rd s. 78) att begreppet ”televäsendet” är avsett att ha samma innebörd som begreppet ”telegraf- och telefonväsendet” som användes i den tidigare självstyrelselagen (670/1951). Bestämmelsen har således ursprungligen avsett sådana verksamheter som på grund av sin natur har krävt en centraliserad organisering. Eftersom elektronisk kommunikation har utvecklats och diversifierats sedan självstyrelselagen antogs finns det inte skäl att tolka bestämmelsen på ett sådant sätt att dess innebörd blir mer omfattande än dess ursprungliga syfte.

På grund av den ovan nämnda bestämmelsen i 5 § 1 mom. landskapslagen lämnas den närmare gränsdragningen mellan 18 § 22 punkten och 27 § 40 punkten självstyrelselagen i detta sammanhang i huvudsak att avgöras vid tillämpningen av lagen. I 6 § 2 och 3 mom. landskapslagen finns dock noggrannare bestämmelser enligt vilka landskapslagen ska tillämpas på vissa gräns­överskridande verksamhetsutövare som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster eller är leverantörer av molntjänster, datacentraltjänster, nätverk för leverans av innehåll, betrodda tjänster, utlokaliserade drifts- eller säkerhetstjänster, internetbaserade marknadsplatser, sökmotorer eller plattformar för sociala nätverkstjänster. Enligt 2 § 34 punkten landskapslagen avses med allmänt tillgänglig elektronisk kommunikationstjänst i lagen en tjänst vilken vanligen tillhandahålls mot ersättning via elektroniska kommunikationsnät och, med undantag för vissa tjänster, omfattar nummer­-oberoende interpersonella kommunikationstjänster, vilka tillhandahålls till en grupp användare vilken inte har definierats på förhand. Högsta domstolen anser att bestämmelserna i 6 § 2 och 3 mom. landskapslagen inte reglerar sådant televäsende som avses i 27 § 40 självstyrelselagen.

Med beaktande av det ovan sagda är utgångspunkten således att den nu föreliggande landskapslagen gäller angelägenheter som hör till landskapets lagstiftningskompetens.

Vid lagstiftningsgranskningen bör dock tas ställning även till förhållandet mellan den nu ifrågavarande lagstiftningen och Finlands grundlag, eftersom stiftande, ändring och upphävande av grundlag samt avvikelse från grundlag utgör riksbehörighet enligt 27 § 1 punkten självstyrelselagen.

Förhållandet mellan landskapslagstiftning och grundlag

Enligt 36 § 1 mom. 2 punkten landskapslagen kan landskapsregeringen vid tillsyn av en kritisk verksamhetsutövare beställa säkerhetsrevisioner. Vid tillsyn och efterlevnadskontroll av väsentliga verksamhetsutövare kan landskapsregeringen enligt 38 § 1 mom. 2 punkten landskapslagen beställa regelbundna och riktade säkerhetsrevisioner. Därtill kan landskapsregeringen enligt 38 § 2 mom. 8 punkten utse en övervakningsansvarig, med väl definierade uppgifter och under en fastställd tidsperiod, i syfte att övervaka verksamhetsutövarens efterlevnad. I lagförslaget har dessa bestämmelser motiverats främst med hänvisningar till de bestämmelser i direktiven som de är avsedda att genomföra. Bestämmelserna innebär att vissa kontrolluppgifter kan anvisas även andra än myndigheter. Därför måste bestämmelserna bedömas mot 124 § grundlagen.

Enligt 124 § grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. Riksdagens grundlagsutskott har omfattande praxis gällande när andra än myndigheter kan anvisas kontrollbefogenheter eller anlitas som biträdande sakkunniga (se t.ex. GrUU 44/2016 rd). Överlag förutsätter 124 § grundlagen att befogenheterna som anvisas andra än myndigheter är exakt reglerade och i övrigt tillbörliga. Det ska även genom lagstiftning säkerställas att de involverade är lämpliga och behöriga för sin uppgift. Därtill har grundlagsutskottet t.ex. förutsatt att vissa bestämmelser gällande tjänsteansvar tillämpas på privata aktörer när de fullgör offentliga förvaltningsuppgifter (se t.ex. GrUU 8/2014 rd).

Eftersom det inte tydligt framgår av landskapslagen vad säkerhetsrevisioner gäller eller vilka befogenheter den övervakningsansvarige i fråga har, anser högsta domstolen med beaktande av 124 grundlagen att 36 § 1 mom. 2 punkten, 38 § 1 mom. 2 punkten och 38 § 2 mom. 8 punkten landskapslagen utgör en behörighetsöverskridning. Således ska lagrummen förordnas att förfalla.

Enligt 40 § 1 mom. landskapslagen har landskapsregeringen trots sekretessbestämmelser och andra begränsningar vilka gäller utlämnande av information rätt att av en verksamhetsutövare få den information vilken är nödvändig för att landskapsregeringen ska kunna utföra sina tillsynsuppgifter och övriga uppgifter enligt denna lag. Enligt paragrafens 2 mom. ska landskapsregeringen i begäran om information ange syftet med begäran och precisera den begärda informationen. Informationen ska lämnas ut utan dröjsmål, i den form vilken landskapsregeringen har begärt och avgiftsfritt.

Enligt 10 § 1 mom. grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Enligt 10 § 2 mom. grundlagen är brev- och telefonhemligheten samt hemligheten i fråga om andra förtroliga meddelanden okränkbar.

Rätten att få uppgifter enligt 40 § 1 mom. landskapslagen i fråga är i och för sig på lämpligt sätt knuten till ett krav på nödvändighet. I övrigt är bestämmelsen beträffande landskapsregeringens rätt att få information ändå alldeles för vag och ospecificerad i ljuset av riksdagens grundlagsutskotts praxis (se t.ex. GrUU 59/2010 rd). Eftersom rätten att få information inte avgränsas tydligt i landskapslagen är det inte heller möjligt att försäkra sig om att rätten inte inkräktar på skyddet för hemligheten i fråga om förtroliga meddelanden enligt 10 § 2 mom. grundlagen (se GrUU 62/2024 rd). Därför anser högsta domstolen med beaktande av 10 § 1 och 2 mom. grundlagen att 40 § 1 mom. landskapslagen utgör en behörighetsöverskridning. Således ska lagrummet förordnas att förfalla. Bestämmelsen i paragrafens 2 mom. har ett nära samband med paragrafens 1 mom., varmed även den ska förordnas att förfalla.

Enligt 45 § 1 mom. landskapslagen kan landskapsregeringen genom beslut ålägga en enskild verksamhetsutövare, vilken uppsåtligen eller av grov oaktsamhet bryter mot dess skyldigheter enligt denna lag, att erlägga en administrativ påföljdssavgift. Närmare bestämmelser om administrativa påföljdsavgifter finns i 45 § 2–5 mom. landskapslagen. Om verkställighet av påföljdsavgiften föreskrivs i 46 § landskapslagen. Även i 38 § 2 mom. 9 punkten landskapslagen finns en bestämmelse om att landskapsregeringen kan påföra verksamhetsutövaren en administrativ påföljdssavgift.

Enligt 21 § grundlagen har var och en rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag. När det är fråga om en förvaltningsmyndighets verksamhet ska garantierna för god förvaltning uppfyllas vid behandlingen av ärendet. Till dessa garantier hör bl.a. offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring. Garantierna för god förvaltning ska tryggas genom lag.

Riksdagens grundlagsutskott har i ett utlåtande som gällde motsvarande administrativa påföljdsavgifter som de som avses i den ifrågavarande landskapslagen påpekat att rättssäkerhetsintresset i fråga om dylika administrativa påföljdsavgifter är starkt accentuerat med hänsyn till att påföljdsavgiften är sträng och har karaktär av sanktion. Enligt utskottet var garantierna för rättssäkerhet och framför allt för behörigt förfarande enligt 21 § grundlagen och syftena med dem särskilt accentuerade i den här situationen. Att förfarandet för att påföra sådana påföljdsavgifter är behörigt, oavhängigt och rättvist på det sätt som krävs i 21 § grundlagen säkerställs genom lagstiftning om att ett kollegialt organ är behörigt att fatta beslut om att påföra påföljdsavgift. (Se GrUU 14/2018 rd.)

Därför anser högsta domstolen med beaktande av 21 § grundlagen och grundlagsutskottets praxis att även 45 § landskapslagen utgör en behörighetsöverskridning. Således bör också detta lagrum förordnas att förfalla. Eftersom 38 § 2 mom. 9 punkten samt 46 § landskapslagen sammanhänger med 45 § landskapslagen ska även dessa lagrum förordnas att förfalla.

Andra frågor

Enligt 17 § landskapslagen ska en kritisk verksamhetsutövare sträva efter att i förekommande fall använda tillämpliga europeiska och internationellt erkända standarder och tekniska specifikationer vilka är relevanta för åtgärder för säkerhet och motståndskraft. Motsvarande bestämmelser finns även i 24 § och 27 § 6 mom. landskapslagen. Dessutom ska en väsentlig eller viktig verksamhetsutövare enligt 23 § 1 mom. landskapslagen sträva efter att använda vissa certifierade produkter, tjänster och processer. Enligt 27 § 19 punkten självstyrelselagen hör standardisering till rikets lagstiftningsbehörighet. Högsta domstolen anser att landskapslagens bestämmelser som syftar till att främja användningen av befintliga standarder och certifierade nyttigheter inte reglerar standardisering i den mening som avses i självstyrelselagen.

Till övriga delar anser högsta domstolen att det med beaktande även av Ålandsdelegationens utlåtande inte föreligger skäl till ytterligare anmärkningar.

Slutsats

På dessa grunder anser högsta domstolen att 36 § 1 mom. 2 punkten, 38 § 1 mom. 2 punkten, 38 § 2 mom. 8 och 9 punkten, 40 § 1 och 2 mom., 45 § samt 46 § landskapslagen om cybersäkerhet och motståndskraft ska förordnas att förfalla.

Högsta domstolen anser att den granskade landskapslagen till övriga delar faller inom landskapets behörighet och att det inte torde finnas hinder för att landskapslagen till övriga delar träder i kraft.

Enligt 20 § självstyrelselagen ankommer det på landskapsregeringen att göra en bedömning av situationen, om en landskapslag till en viss del förordnas att förfalla.