Remissdebatt

Talmannens förslag är att ärendet remitteras till lag- och kulturutskottet.

Diskussion.

Tack, talman!

Då var det dags för en presentation av lagförslaget om cybersäkerhet och motståndskraft på Åland.

Det är en viktig del av vårt arbete med att skydda våra digitala system och kritisk infrastruktur mot cyberhot, hybridhot och andra störningar. Man skulle kunna jämföra det med att skaffa sig en försäkring, där viktiga och kritiska verksamheter, både offentliga och privata, ökar sin motståndskraft, sin resiliens och därmed sin förmåga till återhämtning.

Syftet med lagförslaget är att genomföra dessa EU-direktiv på Åland för att förbättra cybersäkerheten och motståndskraften mot olika störningar.

År 2022 antog Europaparlamentet och rådet två nya EU-direktiv. Det ena kallas NIS 2-direktivet, som syftar till att förbättra åtgärder för en hög gemensam cybersäkerhetsnivå inom EU. Det ersätter det tidigare NIS 1-direktivet och vidgar tillämpningsområdet samt kravställningen på de berörda verksamhetsutövarna.

CER-direktivet handlar om att stärka motståndskraften hos kritiska entiteter, vilket innebär att skydda samhällsviktiga tjänster och infrastruktur mot olika typer av hot och störningar. NIS 2-direktivet är kopplat till cybersäkerhet och CER mot motståndskraft. NIS 2 direktivet ställer högre krav på säkerhet och incidentrapportering och främjar tydligt samarbete och informationsdelning mellan olika aktörer, både inom medlemsstaterna och mellan dem. CER-direktivet fokuserar på att stärka motståndskraften hos kritiska entiteter genom att införa krav på riskhantering och kontinuitetsplanering.

Generellt kan man säga att cybersäkerhetsfrågorna berör betydligt fler aktörer i vårt samhälle, medan CER-direktivet träffade en betydligt mindre grupp. Kraven är mer omfattande, och omfattas man av kraven från CER-direktivet, så omfattas man per automatik också av alla krav från NIS-direktivet, medan det omvända inte gäller.

I landskapsregeringens förslag inför vi paragrafer som säkerställer att vi får en gemensam hög cybersäkerhetsnivå och krav på säkerhetsåtgärder samt incidentrapportering från de berörda verksamhetsutövarna. Incidentrapportering kan för många låta som ett stort byråkratiskt monster, men det är viktigt att komma ihåg att sådana incidenter händer ganska sällan. Den enda störning vi har kommit fram till som skulle omfattas av incidenthantering, enligt direktivet, är Alfrida-stormen under de senaste tio åren.

Samma sak gäller cybersäkerhetshoten och den typen av incidenter. Det handlar inte om att ett system ligger nere i 20 minuter, utan om större insatser. Här ska man förstås sprida informationen både inom landet och mellan EU-staterna. Det handlar om att snabbt kunna få en samlad bild av om det pågår en viss typ av attacker över ett större geografiskt område, så att man kan vidta proportionerliga och tillräckliga åtgärder.

När det gäller de olika delarna av vårt samhälle som vi påverkas av, är ekonomin en viktig aspekt. Det är väldigt svårt att uppskatta de ekonomiska konsekvenserna, och jag ska återkomma till den delen. Men generellt kan man säga att, på tal om försäkringstemat, så ger dessa två lagstiftningar, vid ett gott genomförande, förbättrad säkerhet och tillit till digitala tjänster. Framför allt kan det bidra till ökad användning av digitala lösningar. Om man kan känna sig trygg med de digitala lösningarna, är sannolikheten större att man också använder dem.

Några av de saker som har diskuterats, både vid det stora informationstillfälle vi höll för allmänheten, myndigheter och företag, samt allmänna frågor som har kommit upp under arbetets gång, är följande: För det första är det viktigt att komma ihåg att alla åtgärder som ska vidtas utgår från riskbedömning. Det är därför omöjligt att på förhand säga hur stora kostnader detta föranleder för varje aktör. Varje aktör har olika risknivåer, och åtgärderna ska förstås vara proportionerliga mot de risker som bedöms finnas.

Vi vet också att många organisationer har arbetat med dessa frågor under lång tid, redan via det offentliga bolaget ÅDA. Där har man jobbat med informationssäkerhetsprogram en längre tid, och det finns många investeringar i den här riktningen. Det är inte första gången Ålands samhälle har ett behov av beredskap, planering och kontinuitet.

En annan aspekt är att kostnaderna för haverier och produktionsstopp, särskilt om det gäller en offentlig myndighet, kan leda till att organisationens trovärdighet minskar rejält. Dessa kostnader är stora och påverkar varje verksamhetsutövare. För de entiteter som uppfattas som kritiska blir kostnaderna också stora för andra aktörer. Om vi tänker oss ett Åland utan fungerande vatten, så drabbas inte bara Ålands Vatten, utan varje hushåll och varje produktionsbolag som behöver vattentillgång. Det handlar inte bara om kostnader, utan också om att minimera risken för att kostnader ska uppstå.

Vi anser att vi har lagt oss på en miniminivå när det gäller genomförandet av detta direktiv i implementeringen av Ålands lagstiftning.

För myndigheterna, särskilt kommunerna, har det diskuterats en hel del om huruvida de ska omfattas av direktivet eller inte. I det här förslaget omfattas de större kommunerna, och man kan konstatera att dessa kommuner har väldigt omfattande verksamhetsområden. I vissa kommuner hanteras avloppsfrågor, äldreomsorg, barnomsorg och andra verksamheter med känslig data. Dessa verksamheter kräver redan idag en viss grad av cybersäkerhet för att skydda patient- och klientuppgifter, vilket har varit ett krav länge. Paragrafen om hur cybersäkerheten ska hanteras är viktig.

Landskapsregeringen avser inte att tilldela ekonomiskt stöd till de aktörer som omfattas av direktivet. Det har funnits diskussioner om att kommunerna skulle få stöd, men vi anser att det inte är rättvist. Om kommunerna ska få stöd, så bör även näringslivet få det. Det beror förstås på kostnadsstorleken och vilka åtgärder som redan har vidtagits.

Landskapet har ett särskilt ansvar, både i allmänhet och i denna lagstiftning, framför allt som tillsynsmyndighet. En viktig del av tillsynen är den proaktiva tillsynen, som handlar om kunskapsdelning och kunskapsförmedling för att hjälpa olika organisationer, både privata och offentliga, att göra rätt.

Talman, några ord om självstyrelsepolitiken. Det har varit många vändor kring detta i arbetet. När den gällande självstyrelselagen skrevs var digitaliseringen inte en så stor fråga som den är idag. Det finns alltså inte fördelat i behörighetskataloger. Praxis har varit att om man har behörighet över ett visst område, så har man också ansvar för digitaliseringen kring det. Precis som vi har gått in för att upphandla ett vårdinformationssystem, så hanterar vi också de åländska studerandes studerandesystem. Denna lag utgår från samma logik.

Det kommer att bli intressant att se Ålandsdelegationens yttrande kring denna lagstiftning, eftersom en hel del behörigheter kommer att klareras i och med den här lagstiftning. En annan sak ur ett politiskt perspektiv är att denna lag kräver en gemensam punkt, en gemensam plan för hela landet. Det vet vi, att det brukar ställa till med praktiska bekymmer. Det är ofta svårt att bli hörd och få tillgång till fullödigt material på svenska.

Det ska också sägas att om Åland var tvunget att bygga upp all den kompetens som krävs av den nationella kontaktpunkten, skulle det bli en betydligt mer kostsam historia än vad det är idag. Det är bra att vi har samma lagfästa samarbetspartners som vi kan få hjälp och stöd av.

Sammanfattningsvis, talman, är detta lagförslag ett viktigt steg för att stärka Ålands cybersäkerhet och motståndskraft. I regeringen Sjögrens regeringsprogram står det att vi ska arbeta för en stärkt beredskap. Detta är en del av det arbetet, en del i att skydda våra digitala system och kritisk infrastruktur mot de hot som finns idag i Östersjöområdet, men också mot framtida hot. Så även om detta är ett EU-direktiv i botten, anser landskapsregeringen och jag att det är viktig lagstiftning också för Åland.

Tack, talman!

Talman,

Min fråga gäller de ekonomiska konsekvenserna, alltså de ekonomiska kostnaderna. I samband med att landskapsregeringen kommer till lagtinget med en sådan här lag brukar det normala vara att man har överläggningar i landskapsregeringen där man bekantar sig med den lagstiftning som man senare i plenum i landskapsregeringen ska klubba och föra vidare.

Jag är helt övertygad om att man måste ha haft en diskussion om vilka ungefärliga ekonomiska konsekvenser ett lagförslag har innan man kommer till lagtinget med det. Det är ju ändå så att diskussionen under tidigare mandatperioder har handlat om att landskapsregeringen kommer med olika lagförslag, vilket får ekonomiska konsekvenser för våra kommuner, till exempel.

Jag är förvånad om man inte har några siffror överhuvudtaget, åtminstone uppskattningsvis.

Talman! Låt mig precisera mig. När jag pratade om att kostnaden är väldigt svår att uppskatta så finns det också angivet i lagframställningen ungefär vilka kostnadsnivåer det rör sig om. Där talar de om de externa parterna.

För landskapsregeringen själv finns det tydligt angivet bland de ekonomiska verkningarna vad effekterna blir. Vi kommer ihåg att det för budgeten 2025 tillsattes tjänster på digitaliseringsenheten, där det både budgeterades och tjänsterna finns färdigt för den delen.

När det gäller CER-direktivet fanns det 2025 ett utredningsuppdrag för att utröna var den här personen, som skulle jobba med tillsynen, skulle placeras i landskapsförvaltningen. Det kan vi gå närmare in på i utskottets behandling. Det är landskapsregeringen som bär de absolut största kostnaderna här, eftersom man också har det största ansvaret. Så där är det helt klarerat i lagstiftningen vad det innebär.

Talman!

Jag skulle behöva bli upplyst och påmind om vilka ungefärliga belopp det i så fall handlar om. Om man tar en fyraårsperiod, ungefär som en mandatperiod, vilka summor pratar vi om? Är det 1 miljon, 5 miljoner eller kanske 50 miljoner?

Vi vet att hela digitaliseringen i Finland har kostat enorma summor, och jag är lite orolig för att, precis som det har sagts, så ligger vi efter på Åland. Om vi ska bygga upp allt från grunden kan det handla om astronomiska belopp. Därför skulle jag gärna vilja veta ett ungefärligt belopp.

Talman! För verksamhetsutövarna som omfattas av detta handlar det om mellan 30 000 och 100 000 euro per år. Det jag försökte framhålla är att många av dessa verksamhetsutövare redan idag har planerade investeringar, så det handlar inte om jättestora belopp, särskilt med tanke på att man ska ha 50 miljoner i omsättning.

För landskapsregeringen handlar det framför allt om de här tillsynspersonerna, som också är angivna. Som tidigare meddelats i budgeten för 2025 hanteras den här frågan inom det befintliga taket för kostnaderna när det gäller digitaliseringsenheterna i rambudgeteringen. När det gäller personen som ska ha tillsyn för CER handlar det om en kostnad av 115 000 euro. Där ser vi att det finns omstruktureringar att göra inom hela politikområdet som möjliggör den tjänsten.

Tack, herr talman! Jag vill prata om kostnaderna. Det är lite svårt att få ett grepp om vad kostnaderna egentligen blir, även om det står angivet i lagförslaget. Informationen finns på olika platser, och de totala kostnaderna som jag har förstått det handlar om ungefär 400 000 kronor på årlig basis. Det står så i lagförslaget jag har läst.

Det är ganska stora summor pengar, och jag undrar över detta. Det handlar om två tjänstemän, som jag förstår det. Skulle det inte vara bättre att börja på en lite lägre nivå för att sedan se vart det tar vägen? Särskilt när ministern pratar om att det handlar om två tillsynspersoner. Om jag förstår det rätt, ska de övervaka det privata näringslivet för att säkerställa att de uppfyller de här kraven för annars blir det vite.

Talman! Att börja i liten skala, men ledamot Wikström var ju själv med i den förra landskapsregeringen som satte igång informationssäkerhetsprogrammet vid det offentligt ägda ÅDA Ab. Detta är en åtgärd som helt och hållet syftar i den här riktningen, och man har haft verksamhet hela tiden inom detta område inom landskapsregeringen.

Nu har vi tagit informationshanteringslagen och nu kommer cybersäkerhetslagstiftningen. Vardera av dem kräver varsin tillsynsperson för varje område, vilket innebär två tillsynsroller inom landskapsförvaltningen. Men uppgifterna har ju redan utförts idag. Man arbetar med cybersäkerhet och har gjort det i flera år på digitaliseringsenheten. Man har också försökt arbeta proaktivt med tillsyn, även om det inte har varit formellt, genom att aktivt involvera andra myndigheter för att höja deras säkerhetsnivå.

Tack, talman!

Det här är nu landskapsregeringens lagförslag. Det är inte ett lagförslag som togs fram tidigare. Men vi har andra tjänstemän som arbetar med detta, framför allt när det gäller ombudsmän, som ofta påpekar att vi behöver mer resurser.

Om vi pratar om närtid kan vi nämna dataskyddsombudsmannen har uttryckt att vi inte klarar av att uppfylla EU-direktiven om vi inte får mer resurser. Detta har varit känt i medierna och det finns tydliga brister i vårt arbete. Åland är ett litet samhälle, och jag tror att vi behöver förhålla oss pragmatiskt till den här typen av EU-direktiv som kommer till oss, om vi ska ha råd att anställa någon och ha resurser för att hantera alla frågor. Det här är ju knappast det sista direktivet som kommer. Skillnaden nu är att vi har en dataskyddsombud som har för lite resurser. Nu har vi också ett nytt direktiv som ska hantera datasäkerhetsfrågor, vilket kommer att kosta mycket.

Talman! Vi ska inte gå in på andra myndigheter alltför mycket. Men även den myndigheten har under en tid irriterat sig och haft möjlighet att anställa personer tidigare, vilket utskotten har informerats om.

När det gäller den här lagstiftningen så har vi redan personer inom landskapsförvaltningen som har arbetat med den här typen av frågor under en längre tid. De har tidigare varit anställda på konsultbasis, men nu blir de i tjänsteförhållande så att de också kan utföra arbetsuppgifter enligt lag.

Talman,

Det är bra att vi stärker vår cybersäkerhet, och det här är något som är på allas läppar, även om man inte arbetar med det dagligdags. Vi påverkas av och följer vad som sker runt omkring oss. Vi vore naiva om vi trodde att vi är en fredad zon; detta är en aktuell fråga överallt.

Senast i morse deltog jag i ett möte med Nordiska rådet, där vi hade en arbetsgrupp som diskuterade ordförandeskapets program för 2026. En av de frågor vi tog upp var den övergripande säkerheten, och det hänger helt ihop med det vi diskuterar här.

En sak som jag funderar över är tillsynen. Kan ministern berätta lite mer om hur tillsynen ska genomföras?

När man går in på det första, så är det som ledamoten Holmberg Jansson säger. Jag vet att ledamoten också är mycket intresserad av digitala tjänster inom vård och omsorg. En grundläggande cybersäkerhet är helt grundläggande för att kunna genomföra dessa initiativ.

Vill man ha verksamhetsutveckling där digitalisering kan vara en möjlig väg framåt, särskilt inom verksamheter som hanterar känsliga personuppgifter, måste man ha sin funktionssäkerhet och cybersäkerhet på plats.

Precis som ledamoten påpekar, lever vi i en annan tid nu. Det finns dels privata hackergrupper som försöker få tag på ekonomiska medel, och dels andra typer av attacker som man behöver vara förberedd på för att kunna skänka trygghet till medborgarna.

Tillsynen kommer förstås att vara både proaktiv och reaktiv, och jag utgår från att vi (… taltiden slut).

Talman,

Ministern kanske inte riktigt hann med frågan om tillsynen.

När man läser här finns det en enorm mängd information att ta in, och det är svårt att förstå alla olika direktiv och få grepp om helheten.

Jag funderar lite grann på vem som granskar landskapsregeringen. Jag kan förstå att landskapsregeringen har verktygen för att kunna se till att våra företag, myndigheter och kommuner gör rätt.

En annan sak jag funderar på är att ministern säger att vi inte bara kan ge kommunerna ersättning för att företagen också har det här. Jag förstår det, men samtidigt förstår jag det inte, eftersom det handlar om samhällsservice och samhällsviktig infrastruktur. Det behöver vi väl värna om allra först, även om jag har företagarna varmt om hjärtat.

Jag vill börja med att nämna denna tjocka lunta med ganska svårbegriplig text, men jag hoppas att ni alla i lagtinget har fått information från era gruppledare om den informationsfilm som jag har skickat ut. Där finns en sammanfattning för dem som är intresserade.

Tillsynsfrågan har varit en liten huvudvärk, vilket ledamoten säkert förstår. Tillsynen kommer nu att ligga på regeringskansliet, vilket förstås inte är optimalt. Alternativet skulle vara att börja bygga upp nya tillsynsmyndigheter, vilket medför kostnader. Vi uppfattar att detta är en tillräckligt god väg framåt.

Det är också värt att nämna att de verksamheter som faller under rikets behörighet kommer att omfattas av tillsynen från riket. När det gäller samhällsviktig verksamhet finns det även privata företag som bedriver verksamhet som är mycket viktig, kanske till och med viktigare än kommunerna själva.

Tack, talman! Tack, ministern, för ett intressant anförande.

Ministern lyfter i sitt anförande också fram lite självstyrelsepolitik, vilket jag tycker är väldigt intressant i just det här digitaliseringssammanhanget. Vi har flera påbörjade, ganska misslyckade och kostsamma stora projekt inom digitaliseringen på Åland som inte har gått särskilt bra. Dessa projekt har blivit väldigt dåliga, särskilt med tanke på de språkproblematik, behörighetsproblematik och annat.

Jag är genuint intresserad av om landskapsregeringen har någon plan eller någon slags färdplan för detta. Ja, vi har faktiskt något på gång som vi vill berätta för lagtinget och för ålänningarna. Det handlar om att vi kan delta i diskussioner för att hjälpa Finland att säkerställa det svenska språket, som egentligen är tryggat enligt lag osv.

Jag fortsätter i nästa replik.

Talman! Till den sista delen så har det funnits en problematik kring finska system. Idag, när man programmerar, arbetar man enligt min uppfattning på lite andra sätt. Man automatiserar möjligheten att läsa in färdiga språkfiler, vilket öppnar upp för helt nya möjligheter.

I mina diskussioner med Ålandsministern och IKT minister Ikonen har vi pratat om att detta är en fråga man arbetar med. Det handlar också om integration i samhället; man vill kunna erbjuda vissa system på fler språk faktiskt än svenska, finska, samiska och engelska. Målet är att sträva efter en språklig diversitet i systemen, särskilt de som riktar sig till medborgarna.

I övrigt har vi, både på tjänstemannanivå och politisk nivå, mycket goda relationer med de finländska myndigheterna. Vi har också ett bra samarbete på nordisk nivå, vilket känns hoppfullt, eftersom vi är för små för att klara oss själva.

Det var goda och glada nyheter. Det är just sådana här frågor som är viktiga att få fram på bordet, så att allmänheten lagtingsledamöterna och alla som tittar på det här förstår att det finns en ganska grundläggande komplexitet. Men som tur är går tekniken framåt, precis som ministern säger. Det är inte längre så att man programmerar på ett språk och sedan är det kört, som det kanske var för tio år sedan.

Det här gläder mig jättemycket, för jag tror att många av de knutar vi har kämpat med i 15-20 år kommer att lösas upp ganska snabbt. Jag hoppas och tror att detta kommer att bli jättebra i framtiden.

Talman,

Det hoppas jag också. Personligen får jag allt fler kommentarer från medborgare om att statens service är mycket bättre digitalt än vad den är från de åländska myndigheterna. För att vi ska kunna vara en relevant partner i människors vardag måste vi också leverera tjänster digitalt.

Jag tror att ledamoten har helt rätt, och jag känner mig optimistisk när det gäller just användargränssnitten och de sidor man möter när man går in på skattemyndighetens hemsida, och så vidare.

Det man sedan måste komma ihåg är att tillämpningsanvisningar och annat som är integrerat för att man ska kunna arbeta i systemen, där kan det vara betydligt svårare och det finns nog en väg kvar att vandra.

Värderade herr talman, lagtingsledamöter och åhörare!

Minister Ingrid Zetterman har på ett bra och så uttömmande sätt som möjligt beskrivit det aktuella lagförslaget om cybersäkerhet och motståndskraft.

Oberoende av vad vi vill, står vi inför en ny era av digitalisering och teknologisk utveckling, och med den kommer nya utmaningar, särskilt när det gäller cybersäkerhet och motståndskraft.

EU:s nya direktiv om cybersäkerhet och motståndskraft syftar till att stärka säkerheten för digitala produkter och tjänster. Även Åland, som i sammanhanget räknas som ett litet samhälle, berörs i hög grad. Genom att implementera direktiven om cybersäkerhet på det föreslagna sättet kan vi säkerställa att även Åland, med i huvudsak småföretag, kommer att ha tillgång till säkra digitala produkter och tjänster. Detta förväntas främja en tryggare digital miljö även för oss som bor och verkar på Åland.

En av de stora fördelarna med reformen är skapandet av en rättvis "spelplan". Direktiven kräver att alla produkter med digitala komponenter uppfyller vissa säkerhetsstandarder, vilket innebär att små företag inte behöver konkurrera med större företag som kan ha råd att, åtminstone teoretiskt, ignorera säkerhetsfrågor. Alla aktörer måste följa samma regler, vilket skapar en mer rättvis marknad.

Men det finns förstås flera utmaningar. För små företag kan det vara en särskild utmaning att uppfylla de nya säkerhetskraven. Den föreslagna landskapslagstiftningen kommer att förutsätta märkbara investeringar i tid och resurser, vilket kan vara svårt för företag med begränsade ekonomiska resurser. Dessutom medför de nya reglerna en ökad administrativ börda. En del av de mindre åländska företagen kan behöva anställa utomstående expertis eller konsulthjälp för att säkerställa att de följer de nya reglerna, vilket är både kostsamt och tidskrävande.

Till den del direktivet om motståndskraft nu föreslås bli implementerat, via den aktuella landskapslagen, är det primära syftet att säkerställa att tjänster ska kunna motstå och återhämta sig från olika störningar. Detta är särskilt viktigt i en tid då hybridhoten blir alltmer sofistikerade och omfattande. Genom att ställa krav på säkerhet och motståndskraft kan vi främja utvecklingen av nya säkra produkter och tjänster som uppfyller de förutsatta säkerhetsstandarderna. Detta förväntas leda till ekonomisk tillväxt och nya affärsmöjligheter även för våra små och medelstora företag.

Men i sammanhanget får man inte förbise utmaningarna, framför allt risken att en överreglering kan hämma önskad innovation och flexibilitet. Små företag behöver ofta vara snabba och anpassningsbara, och för mycket regler kan göra det svårt att reagera snabbt på marknadsförändringar. Det är viktigt att hitta en balans mellan att skydda medborgarnas säkerhet och att främja innovation och ekonomisk tillväxt.

Vad gäller de samhälleliga konsekvenserna kommer den nu föreslagna landskapslagstiftningen att förutsätta att våra åländska myndigheter investerar i utbildningar och satsar resurser för att säkerställa att de kan övervaka och stöda efterlevnaden av de nya reglerna. Detta innebär förstås ökade kostnader och med all sannolikhet ett behov av att anställa fler experter inom området för cybersäkerhet och motståndskraft.

Det positiva i sammanhanget är att sådana investeringar rimligtvis leder till en ökad medvetenhet om cybersäkerhet bland medborgarna och en starkare digital infrastruktur på Åland. Våra myndigheter kan dra nytta av förbättrad samordning och informationsdelning, vilket gör att de kan förebygga och bättre hantera cyberhot på ett mer effektivt sätt.

På den negativa sidan kan man inte blunda för risken att ökade regleringar tenderar att leda till byråkratisering, byråkratiska hinder, förseningar och oväntade kostnader. Det är troligt att ansvariga myndigheter på Åland kommer att ställas inför olika utmaningar, då våra, framför allt småföretag, kan känna sig överväldigade av de nya kraven.

Gällande den enskilda människan är det ur ett liberalt perspektiv viktigt att betona individens frihet och rättigheter. Den föreslagna landskapslagen förväntas ha flera positiva effekter för den enskilda medborgaren genom att stärka cybersäkerheten och skydda medborgarnas personliga data och integritet. Detta är en grundläggande rättighet och ett viktigt sätt att säkra individens frihet och trygghet i det digitala samhället.

Genom att främja en rättvis marknad där alla företag, stora som små, måste följa samma säkerhetsstandarder, säkerställs medborgarnas tillgång till säkra och pålitliga produkter och tjänster. Detta ökar konsumenternas valfrihet och möjliggör informerade beslut baserade på kvalitet och säkerhet.

Men på den negativa sidan kan man inte förbise de ökade kostnaderna som den föreslagna lagstiftningen förväntas medföra. Dessa kostnader kommer i slutändan att överföras på konsumenterna, vilket kan leda till högre priser på bland annat digitala produkter och tjänster. Dessutom kan en ökad administrativ börda för företag leda till långsammare innovation och färre nya produkter på marknaden.

Sammanfattningsvis erbjuder EU:s direktiv om cybersäkerhet och motståndskraft, som nu föreslås implementeras via den föreliggande landskapslagen, både möjligheter och utmaningar för det åländska samhället och våra åländska företag. Sett ur ett liberalt perspektiv är det viktigt att hitta en balans mellan att skydda medborgarnas säkerhet och att samtidigt främja innovation och ekonomisk tillväxt. Genom att noggrant överväga både för- och nackdelar kan vi förhoppningsvis skapa en säker och dynamisk digital framtid för alla.

Den liberala lagtingsgruppen stöder det föreliggande lagförslaget som ett måste, trots de förväntade utmaningarna och kostnaderna för det åländska samhället som helhet. Tack för ordet!

Talman! Ur moderat synvinkel var detta dagens mest imponerande anförande. Man kunde nästan tro att ledamoten Lindbäck har lyssnat på Moderaternas gruppmöte idag på morgonen.

Vi kan ta check på allt; problematisk överreglering som kan hämma innovation, det riskerar att hämma företagandet och även den mycket välformulerad kritiken att en småföretagare kan bli överväldigad av byråkrati.

Dessutom var resonemanget om hur ökade kostnader driver fram ett behov av att anställa fler intressant. Det kommer ledamoten Lindbäck att märka att återspeglas i Moderaternas gruppanförande.

Jag vill bara säga tack för denna överraskande ärliga analys.

Jag ber att få tacka.

Talman! Jag får väl säga som ledamoten Valve angående diskussioner i grupprummen. Det är ju ingen hemlighet att Europakommissionen har kritiserats för just den här delen, alltså att man reglerar den digitala utvecklingen och AI så mycket att det blir svårt att göra innovationer och få ut ekonomisk vinst ur det hela.

När man lyssnar på den nytillträdda kommissionären, den finländska kommissionären Henna Virkkunen, så är detta en av de delar som kommer att belysas under de kommande åren. Däremot finns det inte något som tyder på att cybersäkerheten som sådan kommer att bli nedprioriterat inom EU-sfären, utan snarare tvärtom.

Nu har man först haft NIS 1, nu är det NIS 2 och folk talar redan om att det kommer att komma NIS 3 som gör det ytterligare striktare. Men det är oerhört viktigt att lyfta fram även de här delarna som ledamoten Lindbäck nämner, alltså att det ska finnas möjlighet till innovation och företagande.

Jag tackar för repliken.

Talman,

Just gällande de här små företagen, så ska man komma ihåg att man måste ha 50 miljoner i omsättning, om man inte sysslar med något väldigt särskilt, för att omfattas av det här. De allra minsta företagen kommer inte att omfattas, men det är förstås relativt, i alla fall när det gäller antalet anställda. Småföretag kan komma att omfattas av de här direktiven, och det är just därför jag tidigare talade om vikten av en proaktiv tillsyn som handlar om information för att minska den här risken att bli överväldigad.

Det är något som vi tar på allvar från landskapsregeringens sida. Vi har redan tagit tag i den frågan och kommer fortsatt att arbeta med den. Vi diskuterar gärna den här frågan med utskottet. Jag uppfattar den som politiskt intressant, särskilt när det gäller samhällets digitala kompetens i allmänhet. Det är en helt central fråga.

Tack för den repliken och det tar vi förstås med oss till utskottet.

Talman!

Med tanke på alla hybridhot som sker i vårt närområde är detta lagförslag som baseras på EU-direktiv helt rätt i tiden. Oberoende av direktiven hade vi troligtvis ändå behövt göra förändringar för att bättre klara oss mot eventuella framtida hybridhot eller motsvarande.

Europaparlamentet och rådet antog 2022 två nya EU-direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen. Cybersäkerhetsdirektivet ersätter det gamla cybersäkerhetsdirektivet från 2016. Målsättningen med direktivet är att inom unionen få en hög gemensam cybersäkerhetsnivå för att förbättra den inre marknadens funktion.

Motståndskraftsdirektivet är helt nytt och där är målsättningen att säkerställa motståndskraften hos samhällskritiska verksamhetsutövare när det gäller ömsesidigt beroende tjänster, vilka är kritiska när det gäller samhällets funktionsförmåga samt upprätthålla samhällets ekonomiska funktioner.

Både cybersäkerhets- och motståndskraftsdirektivet utgör minimidirektiv, vilket detta lagförslag baseras på. Det är bra att lagförslaget är lagt på miniminivå för näringslivet och verksamhetsutövare, det innebär en viss ökad byråkrati för dem, men inte mer än direktiven kräver. Som sagt det är mycket bra att lagförslaget läggs på direktivens mininivå, vilket vi bör eftersträva framöver även i annan lagstiftning, med tanke på att EU redan är överreglerat och då är det onödigt och dumt att Åland reglerar ännu mer.

Målsättningen med lagförslaget förväntas leda till en ökad nivå av cybersäkerhet och motståndskraft hos berörda och enskilda verksamhetsutövare samt därigenom i landskapet i stort. Eftersom det är EU-direktiv och målsättningen är att det ska genomföras i hela unionen kan lagförslaget, tillsammans med övriga nationella genomförande, förväntas leda till att relevanta myndigheter i högre grad samordnar och samarbetar i cybersäkerhet och motståndskraft på såväl åländsk som nationell och internationell nivå. Även ett ökat kunskaps- och erfarenhetsutbyte inom området är möjligt mellan Åland, riket och övriga unions nationer.

Lagförslaget innebär att nya uppgifter och skyldigheter påförs såväl myndigheter som offentliga och enskilda verksamhetsutövare, vilket högst troligt leder till ökad administration och strukturella förändringsarbeten hos enskilda verksamhetsutövare. Ökad administration och strukturella förändringsarbeten innebär samtidigt ökade kostnader för myndigheter och verksamhetsutövare som påverkas att lagförslaget. Lagförslaget förväntas samtidigt leda till att de samlade samhällskostnaderna för negativa konsekvenser av cybersäkerhets- eller andra incidenter hos verksamhetsutövare minskar.

Tillämpningsområdet för lagen kommer åtminstone att omfatta landskapsregeringens underlydande myndigheter, i egenskap av att de definieras som offentliga verksamhetsutövare. Inom landskapet återfinns därutöver ungefär 40 medelstora företag och stora företag enligt kommissionens definition vilka därtill är verksamma inom ramen för uppräknade sektorer i cybersäkerhetsdirektivets bilagor. Dessa enskilda verksamhetsutövare kommer därmed att klassificeras som antingen väsentliga eller viktiga verksamhetsutövare och därmed omfattas av antingen rikets eller landskapets cybersäkerhetsdirektivsgenomförande, beroende på lagstiftningsbehörigheten. Till detta kan även andra landskaps- eller kommunala myndigheter samt offentliga som enskilda verksamhetsutövare tillkomma, oavsett storlek, genom att de av landskapsregeringen identifieras som kritiska, väsentliga eller viktiga utövare.

Det är i dagsläget svårt att uppskatta hur många verksamhetsutövare på Åland som omfattas av regleringen och i vilka ytterligare riskhanteringsåtgärder för ökad cybersäkerhet och motståndskraft dessa verksamhetsutövare måste göra för att följa lagförslaget.

De ekonomiska verkningarna av detta lagförslag är svåra att förutspå, men skulle behöva klarläggas. Utskottet behöver fördjupa sig i hur detta lagförslag påverkar näringslivet och verksamhetsutövare ekonomiskt, samt de ekonomiska verkningarna för landskapsregeringen, kommunerna och dess myndigheter.

Eftersom detta lagförslag baseras på EU-direktiv torde det finnas möjlighet att få ekonomisk ersättning från EU. För att implementera denna lag inom näringslivet, bland verksamhetsutövarna och i förvaltningen behövs EU-pengar för att på ett samordnat och kostnadseffektivt sätt få det genomfört. Det är bra om landskapsregeringen ser över möjligen om att få EU-medel. Vi behöver bli bättre att söka ekonomiskt stöd och inte bara följa kraven från EU.

Centerns lagtingsgrupp stöder detta lagförslag, med uppmaning till utskottet att fördjupa sig i de ekonomiska verkningarna. Tack, talman!

Talman,

Man brukar säga att varje lands regering har som främsta uppgift att skydda liv. Ledamoten inledde med att påpeka det säkerhetspolitiska läge vi har idag, och hur viktigt det är att kunna stå emot exempelvis cyberattacker mot sjukvårdssystem eller andra kritiska funktioner. Detta kan de facto rädda liv och underlätta vardagen, samt skänka generell trygghet, förutsatt att allt fungerar som det ska.

Den omfattande beredskap som lagstiftningen syftar till är avgörande för att kunna upprätthålla de basala funktionerna även under exceptionella förhållanden.

Den sista delen som ledamoten Gustafsson tar upp handlar om att söka EU-stöd. Detta är något vi arbetar med via digitaliseringsenheten i samarbete med Ålands högskola. Vi strävar efter att hitta möjligheter att genomföra större EU-projekt inom detta område, där det finns mycket pengar att hämta.

Talman,

Tack för det, minister Zetterman. Det låter bra att ansökan om EU-pengar är på gång. Som sagt, jag tror många gånger att det är möjligt att få stöd därifrån, bara vi lägger ner energi på det.

Talman, precis så är det. Det har funnits pengar för digitalisering inom EU-fonderna under en längre tid. Både i de stora projekten, som förstås är något mer svåråtkomliga och förknippade med mer byråkrati, och i de mer lättadministrerade fonderna. Det är synd att vi inte har utnyttjat den här möjligheten tidigare.

Vi försöker nu ta krafttag kring detta. Vi har ombildat en tjänst vid digitaliseringsenheten så att den också ska hantera dessa arbetsuppgifter. Det finns faktiskt en arbetsbeskrivning just för den enheten, eftersom det finns mycket pengar att tillgå.

Landskapsregeringen är dock en relativt ovan organisation att söka medel, men vi kommer verkligen att göra allt som står i vår makt för att söka både små och stora medel inom det här området.

Talman! Tummen upp för det.

Talman!

Om informationshanteringslagen var omfattande, så är detta lagförslag om cybersäkerhet och samhällsmotståndskraft ännu mer komplext. Vi har redan inlett arbetet i utskottet, och det känns tryggt att vi har flera erfarna ledamöter med i detta digra arbete.

Jag vill också tacka ledamot Peter Lindbäck för hans upplyftande och bra anförande i det här ämnet.

Vi har framför oss ett viktigt lagförslag som syftar till att implementera EU:s NIS 2- och CER-direktiv. Det råder ingen tvekan om att vi måste agera för att skydda våra samhällsviktiga funktioner och digitala system, även på Åland, mot de växande hoten från cyberattacker. Konsekvenserna av en framgångsrik attack kan vara förödande, både för vår infrastruktur och för våra invånare.

Samtidigt behöver vi diskutera de betydande utmaningarna och frågetecknen kring detta lagförslag. Det här blir ett gediget arbete i utskottet.

Hur kompatibel är denna lag med motsvarande lagar i Finland, Sverige och resten av EU? Direktiven sätter miniminivåer, men många länder lägger till egna krav. Om vår åländska lag blir för avvikande riskerar vi att försvåra gränsöverskridande verksamhet, vilket kan påverka våra företags konkurrensmöjligheter negativt. Åländska företag brottas redan idag med skattegränshinder och en högre kostnadsnivå än många grannregioner. Det här behöver utskottet se vidare på.

I lagförslagets femte kapitel om väsentliga och viktiga verksamhetsutövares skyldigheter framkommer flera frågor, särskilt kring ledningens ansvar och styrning. Om styrelsemedlemmar och ledningspersoner kan hållas personligen ansvariga för överträdelser av lagen, vem kommer då att vilja ta plats i dessa styrelser i framtiden?

Vi behöver också fråga oss: Vem ska utbilda den personal och styrelsemedlemmar som krävs för att möta dessa nya krav? Denna lag kommer att kräva omfattande utbildningsinsatser, vi saknar idag kanske en del av den specialistkompetens som behövs på Åland. Det blir en utmaning.

Vi moderater befarar att detta lagförslag kommer att kosta det offentliga Åland mycket stora pengar, framför allt för de mindre kommunerna som redan kämpar med ekonomin. Dessa kommuner kommer att drabbas både av ökade administrativa kostnader och dyra investeringar i infrastruktur, exempelvis för vattenförsörjning och andra kritiska tjänster. Vad är landskapsregeringens plan för att kompensera dessa kommuner?

Moderat Samling har tidigare lyft frågan om att vi kunde avsatt en del pengar och stärkt digitaliseringen i kommunerna. Det kanske vi behöver se på även i framtiden. Det är en viktig åtgärd.

Men vi bör också prata om konsekvenserna för våra privata företag. De kommer att behöva stå för betydande kostnader, vilket kan leda till konkurs, företagsflykt eller minskat intresse för nyetableringar. Företagsmiljön på Åland är redan idag dyr i jämförelse med våra grannar, och ytterligare ekonomiska bördor kan bli tunga.

Vi vet inte ens vad prislappen för denna lag är. Det är tydligt att säkerhet är dyrare än man först tror, framför allt på lång sikt. Det är oroande att lagförslaget inte tydligare redogör för de inledande kostnaderna och hur de ska hanteras, även om vi i minister Zetterman presentation fick höra en del siffror. Kostnadssidan behöver vi i utskottet titta på och i våra höranden.

Talman! Trots dessa farhågor är det ett visst fog för lagförslaget. Vårt arbete i utskottet kommer att bli omfattande, men jag är säker på att vi tillsammans kan skapa en lösning som är både hållbar och rättvis för hela Åland i ett viktigt arbete för ett säkrare Åland.

Därför känns det också viktigt att vi i utskottet får den tid vi behöver, att vi inte stressa fram det här lagförslaget. Jag tror att vi kommer att få höra lite andra anföranden idag också som påvisar att vi behöver ha tid för det här arbetet. Tack!

Talman,

Vi ska se om jag hinner med allt jag hade tänkt säga. Först och främst vill jag ta upp kompatibiliteten mellan de nordiska länderna. Genomförandet i Sverige och Finland ser diametralt olika ut. Finland har en mycket omfattande informationshanteringslag som täcker stora delar av detta, men genomförandet av lagstiftningen är ganska begränsat. De hanterar vissa aspekter av lagen, medan Sverige har en stark och tydlig struktur genom implementeringen av cybersäkerhetsdirektivet.

Det är också värt att nämna att de gränsöverskridande samarbetena är tydligt angivna i direktivet, så jag delar inte den oron. När det gäller styrelser och utbildningsbehovet för dem inser vi förstås att detta är en viktig fråga. Min bedömning är att det finns kompetens inom landskapsregeringen, och det finns även andra aktörer som besitter den nödvändiga kompetensen.

Varför tar man inte tillvara på detta?

Talman! Minister Zetterman lyfter det första ärendet, och jag delar det. Vi behöver inte diskutera detta mera.

Utbildning och relaterade frågor är nog viktiga aspekter att ta hänsyn till. Vi vet redan idag att det kan vara tufft att få styrelsemedlemmar att ställa upp, och det ställs allt fler krav, inklusive hot om viten. Därför tror jag att det är viktigt att ha en tydlig struktur på plats och att styrelserna är medvetna om vilka regler och förpliktelser som gäller.

Talman! Den där repliken förvånar mig något. Vi som sitter i olika styrelser besitter ju redan ett personligt ansvar. Om vi nu talar om offentliga styrelser, så har vi redan idag ett personligt ansvar i de politiska styrelserna och nämnderna. I bolagsstyrelser kräver aktiebolagslagen också ett personligt ansvar, med regressrätt för beslutsfattarna som redan finns.

Att sitta i en styrelse är inget man ska ta lättvindigt. Det finns en hel del krav, och därför har vissa bolag specifika krav på sina styrelser. Styrelserna måste genomföra ett omfattande compliance-arbete, och man behöver själv fundera över sin egen kapacitet att hantera alla de juridiska krav som åligger styrelseledamöterna, särskilt i mer komplexa bolag, till exempel bankindustrin som ett exempel.

Talman! Minister Zetterman har helt rätt i det. Nu har vi en ny lag på gång som ska implementeras i det andra arbetet, så att säga.

Sitter du i en styrelse idag så har du inte den här lagen klar än. Den ska implementeras, vilket innebär att det kommer nya regler och direktiv för styrelsemedlemmar som är omfattande. Det är något vi redan känner till i vårt arbete i utskottet, och vi kommer att titta närmare på det, eftersom det är väldigt viktigt.

Tack, talman! Jag förstår inte riktigt ledamot Holmbergs resonemang om kostnader för företagare och att företagare skulle flytta från Åland på grund av detta. Skulle ledamoten kunna utveckla sin ståndpunkt lite mer?

Talman! Vad jag menar är att om det blir för byråkratiskt och komplicerat för företag att verka på Åland, och om det uppstår gränshinder, så kan det bli nödvändigt för dem att se över sina möjligheter för var de ska etablera sig. Men det här är ju ingenting vi har svar på idag; det är något som vi i utskottet måste arbeta med.

Ja, nu diskuterar vi faktiskt stora direktiv och sådant som implementeras överallt. Det här är ju inte en åländsk angelägenhet eller en åländsk behörighet.

Jag undrar om vi på Åland bara ska vänta och se oss stå stilla, utan att ta ett kliv framåt. Vilka moderna företag skulle vilja komma hit och etablera sig på den nivå vi står idag? Det är så jag ser det.

Talman! Som sagt, vi kommer att titta på detta i vårt utskottsarbete. Det kan innebära att det blir högre kostnader för företag att verka på Åland. Självklart ska man inte måla upp en bild av att alla kommer att flytta härifrån, men det är viktigt att ha en sådan beräkning. Precis som ledamoten nämner kan det bli svårt att få nya etableringar när vi ställer tuffa krav. Vi verkar ju faktiskt på en ö.

Talman, lagting och åhörare!

Lagförslaget om cybersäkerhet och motståndskraft är nu på vårt bord. Som ett av regeringspartierna är vi Socialdemokrater övertygade om att detta lagförslag är avgörande för att stärka vår gemensamma säkerhet och motståndskraft mot de allt större cyberhot som vi står inför i och med Rysslands krig mot Ukraina och alltmer oroligheter i världen.

Syftet med lagen är att genomföra EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå och om kritiska entiteters motståndskraft. Detta innebär att vi inte bara skyddar våra digitala infrastrukturer utan också säkerställer att samhällsviktiga tjänster kan fortsätta att fungera även under svåra förhållanden.

I en tid där digitaliseringen genomsyrar alla delar av samhället är det av yttersta vikt att vi har robusta system på plats för att skydda våra medborgare och vår infrastruktur.

Remissvaren har varit många och lyfter fram viktiga aspekter som landskapsregeringen till viss del beaktat. Traficom och landskapsregeringens enhet för rättsliga och internationella frågor har ifrågasatt lagstiftningsbehörigheten, särskilt Traficom i förhållande till verksamhetsutövare som driver flygplatser, hamnar osv.

Landskapsregeringen har noggrant övervägt deras synpunkter och säkerställt att lagförslaget är välgrundat inom ramen för vår lagstiftningsbehörighet. Vi i lag- och kulturutskottet kommer att fortsätta dialogen med dessa instanser för att klargöra eventuella oklarheter.

Tillämpningsområdet har också diskuterats av en del av remissinstanserna, som önskar undantag för sina verksamheter. Landskapsregeringen har strävat efter att genomföra direktiven på miniminivå och lag- och kulturutskottet kommer att överväga deras synpunkter för att säkerställa att lagen är rättvis och proportionerlig. Det är viktigt att vi hittar en balans mellan att uppfylla direktivens krav och att inte överbelasta mindre verksamheter med orimliga krav.

Flera remissinstanser har ifrågasatt ändamålsenligheten med att landskapsregeringen ges en dubbel roll som stöd- och tillsynsfunktion. Traficom har framhållit att en operativ separation av dessa roller skulle stärka förtroendet mellan berörda verksamhetsutövare och myndigheter. Minister Zetterman förklarade i ett tidigare replikskifte hur situationen ser ut och varför. Jag lovar att vi ska titta vidare på frågan i lag- och kulturutskottet.

Lagförslaget förväntas leda till en ökad nivå av cybersäkerhet och motståndskraft hos berörda offentliga och enskilda verksamhetsutövare samt därigenom i landskapet i stort. Det kan vidare förväntas leda till att relevanta myndigheter i högre grad samordnar och samarbetar inom cybersäkerhet och motståndskraft på såväl åländsk som nationell och internationell nivå. Lagförslaget förväntas även höja säkerheten avseende hanteringen av personuppgifter och minska risken för personuppgiftsincidenter.

Lagförslaget kan förväntas leda till ökade ekonomiska kostnader för berörda verksamhetsutövare, till följd av krav på utbildning, riskhanteringsåtgärder och rapporteringsskyldigheter. Det är svårt att uppskatta hur många verksamhetsutövare på Åland som kommer att omfattas av regleringen och i vilken mån dessa behöver vidta ytterligare åtgärder. Lagförslagets införande av rapporteringsskyldighet vid incidenter kan dock förväntas leda till ökad administration och kostnader för landskapsregeringen.

Landskapsregeringen kommer, i egenskap av tillsynsmyndighet, cyberkrishanteringsmyndighet och enhet för hantering av cybersäkerhetsincidenter, att behöva tillföras ytterligare kompetens och resurser. Detta inkluderar behovet av specialistkompetens inom cybersäkerhet, motståndskraft och allmän säkerhet, samt ändamålsenliga arbetsmetoder och tekniska hjälpmedel.

Lagförslaget kan förväntas leda till att samhällskostnaderna för negativa effekter av incidenter minskar, till följd av en förhöjd cybersäkerhets- och motståndskraftsnivå i det åländska samhället. En ökad motståndskraft och säkerhet för kritiska verksamhetsutövare kan också minska risken för miljöskador och utsläpp. Dessa saker kan också på sikt minska de olika entiteternas kostnader.

Den socialdemokraternas lagtingsgrupp stöder detta lagförslag och den fortsatta behandlingen i lag- och kulturutskottet. Tack!

Tack, talman! Landskapslagen om cybersäkerhet och motståndskraft är tätt sammanflätad med arbetet för resiliens och upprätthållande av vår demokrati. Därför utgör detta lagförslag ett viktigt led i det arbetet, tillsammans med resten av Europa, där frågor om cybersäkerhet och motståndskraft har reglerats i det nyligen reviderade cybersäkerhetsdirektivet, även kallat NIS 2-direktivet samt Europaparlamentets och rådets direktiv om kritiska entiteter, även kallat CER-direktivet.

Den 4 oktober 2024 hölls EU:s och NATOs första gemensamma strukturerade dialog om cybersäkerhet och cyberförsvar. Det aktuella lagförslaget har en viktig sammanlänkande funktion mellan EU och NATO-allierade, eftersom det tangerar ett enhetligt system för förebyggande och hantering av hybridhot och andra störningar på både nationellt och internationellt plan.

Lagen är skriven i syfte att skydda kritisk infrastruktur och samhällskritiska verksamhetsutövare. Dess syfte är vidare att säkerställa att samhället kan fortsätta fungera under olika förhållanden, från vardagen till störningssituationer och undantagsförhållanden, dels genom åtgärder och dels genom att upprätthålla en gemensam lägesbild.

Lagen stipulerar hur Åland, tillsammans med övriga Europa och dess myndigheter, ska förebygga och hantera cyberkriser samt säkerställa ändamålsenlig och enhetlig utbildning, informationsutbyte, riskbedömning, riskhantering samt övervakning och upprätthållande av beredskap. Centralt för lagen är att risker ska förebyggas, men det ska även finnas ett gemensamt tillvägagångssätt för hur realiserade hot hanteras inom unionen, samt hur aktörer på olika nivåer ska återhämta sig från dylika kriser. Vidare reglerar lagen hur efterlevnaden av direktivet ska bevakas.

Åland behöver ha ett bättre skydd mot befintliga och framtida hot, inte minst från cyberrymden. Cyberhot är osynliga, men de kan snabbt påverka infrastruktur, myndigheter, ekonomiska aktörer och hela samhället på ett förödande sätt. Det digitala utgör en ny front där de dåligt rustade länderna och regionerna riskerar allt större störningar från påverkan av främmande statsmakter, bedrägerier och lamslående buggar samt kritiska informationsläckor från offentliga system.

I en tid då våra liv och samhällsprocesser är knutna till digitala tjänster i allt högre grad, från vaggan till graven, och där allt från energiförsörjning, vattenförsörjning, sjukvård och logistik är kopplade till digitala system, krävs det att demokratins och rättssamhällets upprätthållande prioriteras. Det är kritiskt att vi får ett eget, tidsenligt och omfattande lagpaket på plats. Detta ska ses som en investering i vår framtid, trots dess kostnader.

Det aktuella lagförslaget sänder signaler utåt om det resilienta, trygga och moderna ö-samhälle som Åland är och vill fortsätta vara.

Med det sagt står det klart att lagen och processerna ska utvecklas kontinuerligt för att bemöta nya säkerhetshot och krav, samt kartlägga och hantera kommande och befintliga kostnader.

Hållbart Initiativ välkomnar den nya lagen som lägger grunden för cybersäkerhet på Åland i en alltmer riskfylld tid och säkerställer Ålands plats i Europa, bland länder och regioner som visar handlingskraft, förstånd och resiliens, men även efterlevnadsvilja, samarbetsförmåga och solidaritet.

Vi ser fram emot ett fortsatt arbete med utvecklingen av lagen samt en plan för hur landskapsregeringen kan stöda dess implementering på olika nivåer. Tack!

Tack, talman!

Lagförslaget om cybersäkerhet och motståndskraft som vi nu har på våra bord är, ärligt talat, ett av de mest intressanta lagförslagen som vi har haft sedan vi tillträdde i november 2023. Man kan säkert undra vad som är så intressant med just detta lagförslag. Det kan kännas ganska krångligt när man lyssnar, men om vi börjar med att titta på självstyrelsepolitiken, så är det inte första gången som EU kommer med ett direktiv om cybersäkerhet.

Redan 2016 kom det första direktivet, som kallades NIS-direktivet. Det intressanta är att landskapsregeringen då bedömde att detta var rikets lagstiftningsbehörighet, och därför skulle vi inte befatta oss med det. Man genomförde det inte på Åland, utan lät det vila lite försiktigt. Vissa verksamhetsutövare försökte göra något, men i övrigt fick det vara.

Några år senare kom ett annat direktiv som rörde kritisk infrastruktur. Vid den tiden gjorde landskapsregeringen samma bedömning: detta är inte åländsk behörighet, utan rikets behörighet, så vi ska inte befatta oss med det.

Nu gör den här landskapsregeringen en helt annan bedömning och anser att detta är åländsk behörighet. I kapitel fyra, om ni vill fördjupa er, finns ett djupt och brett resonemang kring varför det är åländsk behörighet.

Bästa ledamöter, om vi hade fått detta lagförslag på våra bord för några år sedan, tror jag inte att det skulle ha väckt så stort intresse. Men med vår nuvarande närmiljö och det säkerhetspolitiska läget, samt de svårigheter som drabbar både privatföretag och kommuner, sjukhus och annat, förstår jag att var och en inser att vi måste se om vårt eget hus.

Det är just det som dessa två direktiv syftar till. Man ska säkerställa att infrastrukturen fungerar även under kris och skapa en robust resiliens för att stå emot de attacker som kommer. Samtidigt ska man värna om den personliga friheten så att personuppgifter kan hanteras på ett säkert sätt mellan olika enheter. För att detta ska fungera är det självklart att vi på Åland inte är en isolerad enhet; vi är kopplade till resten av världen. Därför är det viktigt att alla åtminstone har lagt sig på en miniminivå, vilket man har valt att göra i Finland. Här på Åland har vi i det förslag som landskapsregeringen har gett valt att lägga oss på den lägsta möjliga säkra nivån.

Det som jag tycker är intressant med detta förslag är att Finland och Sverige har valt helt olika inriktningar för hur man ska implementera lagförslaget i verkligheten. I Finland har man valt att plocka in vissa delar i olika speciallagar, så att olika myndigheter, till exempel Traficom, kan övervaka vissa aspekter. Detta har man gjort efter en lång beredning i en arbetsgrupp på den finska sidan. I Sverige, som har exakt samma direktiv som grund, har man också haft arbetsgrupper, men där har man kommit fram till att detta behöver centraliseras och att en myndighet ska ha hand om det.

På Åland har man den här gången, något förvånande men glädjande, valt att följa den svenska modellen. Det blir landskapsregeringens digitaliseringsenhet som får ett stort ansvar för detta. Det är en utmaning, men också riktigt spännande att fördjupa sig i.

Det som jag kan tycka är lite bekymmersamt är att det fortfarande finns många oklara faktorer. Alla vet att detta ska leda till en ökad nivå av cybersäkerhet och motståndskraft hos både offentliga och enskilda verksamhetsutövare. Fördjupar man sig i direktivet ser man att det finns 18 olika grupperingar som rör allt från vatten och avlopp till trafikfrågor.

Lagförslaget innebär nya uppgifter och skyldigheter som påförs både myndigheter och offentliga och enskilda verksamhetsutövare. Här har landskapsregeringen varit tydlig: "Landskapsregeringen avser inte att landskapet ska ersätta offentliga och enskilda verksamhetsutövare för förväntade kostnadsökningar inom dessa områden." Man kan tycka vad man vill om detta, men det är åtminstone ett klart budskap.

Detta lagförslag leder också till ökad administration, vilket man nämner, och det förväntas leda till ökade kostnader för landskapsregeringen, samt merarbete för tillsyn av verksamhetsutövare. Man uppskattar kostnaderna till mellan 30 000 och 100 000 per år, men osäkerhetsfaktorn verkar stor. Jag har noterat att flera talare före mig har varit inne på samma sak och sagt att utskottet behöver fördjupa sig i ekonomin och hur utfallet blir där. Det ska vi göra i lag- och kulturutskottet, så det är viktigt.

Vi har redan försiktigt börjat med detta och vi ska fortsätta. Tittar man hastigt på remissvaren kan man konstatera att det blir krav på riskanalyser, nätverk och informationssystem, rapportering och utbildning för personalen. Jag tror att många mindre enheter är lite oroliga över detta, både över ekonomin och var man ska få tag i den kompetens som faktiskt kan hantera det. Tack!

Talman! Det var roligt att ledamoten Thörnroos har samma glädje inför den här lagstiftningen som jag kände inför informationshanteringslagen. Jag hade lite svårt att uppbåda exakt den här glädjen inför den här lagen av lite olika skäl, bland annat bottnar det i att det handlar om ett EU-direktiv som egentligen kräver mycket större samhällsstrukturer.

Det är helt självklart att för ett litet land, som Åland och landskapsförvaltningen, är det här ganska svårt att implementera inom de givna ramarna. Jag är jätteglad över att vi inför lagstiftning om cybersäkerhet, men om man hade gjort det helt själv utan direktivet som grund, så kanske man hade lagt upp det lite annorlunda.

Jag vill bara kort kommentera den här kostnadsökningen. Det är så att landskapsregeringen tar den absolut största kostnaden av alla aktörer med anledning av den här lagstiftningen. Det är inte på något sätt så att landskapsregeringen kan svära sig fri från detta. Tillsynsarbetet, som också bör vara proaktivt, ingår ju också i detta.

Talman,

Nej, jag har inte heller sagt att landskapsregeringen svär sig helt fri. Landskapsregeringen har ledartröjan på sig i det aktuella fallet. Samtidigt finns det inom landskapet 17 underlydande myndigheter som också ska leva upp till dessa krav.

Vi vet ju att en kedja är lika stark som dess svagaste länk, så det finns ett enormt arbete att göra här. Vi har konstaterat tidigare i den här debatten idag att vi har myndigheter som inte bara ligger efter, utan som ligger väldigt, väldigt långt "baketter" till och med.

Talman! Så är det. Just det här med tillsynen och utbildningsbehovet så min uppfattning är att det är svårt att locka alla relevanta aktörer till den här typen av informationstillfällen. Därför tycker jag att det är viktigt att vi också debatterar dessa frågor i Ålands lagting.

Det finns en utbredd uppfattning, som jag vill påpeka, att det kanske inte berör saken överhuvudtaget. Men om det berör min organisation, så berör det IT-avdelningen och inte på högsta nivå. Därför är jag också glad att tidigare replikskiften handlar om exempelvis styrelsens ansvar och annat.

Det här är en fråga om strategisk digitalisering och utveckling, som framför allt berör ledarskiktet i alla myndigheter och förstås även i alla privata organisationer. Jag tror att man överlag har tagit till sig detta i större utsträckning redan.

Talman! Så kan det säkert vara, men jag tycker att det är ganska intressant självstyrelsepolitiskt; 2016 ansågs detta inte vara vår behörighet, medan man nu, 2024, anser att det är det. Alla vi som sitter här i Ålands lagting vet att vi har lika mycket värde i det arbete vi gör.

Jag kan erkänna här och nu att det känns väldigt bra att jag både har ledamoten Harry Jansson med mig i lag- och kulturutskottet samt ledamoten Peter Lindbäck. Där har vi en otrolig kapacitet. Det är möjligt att jag kommer att föreslå i utskottet att vi begär ett extra utlåtande från självstyrelsepolitiska nämnden. Men vi får se hur det här går framåt.

Diskussionen är avslutad. Kan förslaget att ärendet remitteras till lag- och kulturutskottet omfattas?

Ärendet remitteras till lag- och kulturutskottet.