Första behandling

Först tillåts diskussion och efter det börjar detaljbehandlingen av de lagförslag som ingår i betänkandet. Diskussion.

Tack så mycket, talman!

I egenskap av viceordförande i lag- och kulturutskottet så får jag äran att presentera vårt betänkande, då ordföranden tyvärr inte kan närvara.

Det här ärendet är en påminnelse om den nya, otrevliga, verklighet som vi även Åland redan nu påverkas av, då flera skurkaktiga aktörer i omvärlden vänder sina blickar mot vårt örike i syfte att skada och destabilisera samhället.

Vi kunde se och uppleva det senast förra veckan då flera åländska företag utsattes för cyberattacker. Åland är på inga sätt undantagna denna nya utveckling. Idag kunde vi dessutom läsa i svensk media att man identifierat 60 hybridattacker i Europa senaste året. Det här är alltså högaktuellt redan!

Syftet med NIS-direktiven är att implementera ett enhetligt regelverk som inte bara stärker cybersäkerheten och motståndskraften hos kritisk infrastruktur, utan även ökar tilliten till digitala tjänster i takt med den fortsatta digitaliseringen.

Motståndskraftsdirektivet som vi förkortar (CER) syftar till att säkerställa att samhällsviktiga tjänster kan tillhandahållas oavbrutet inom EU:s inre marknad. Direktivets syfte är att stärka kritiska verksamhetsutövares förmåga att förebygga, skydda, reagera på, stå emot, begränsa, anpassa sig till och återhämta sig från incidenter.

Lagförslaget och de bakomliggande direktiven bildar en rätt så komplicerad helhet och en viktig aspekt är att om en organisation omfattas av motståndskraftsdirektivet, så måste den även följa de krav som ställs enligt cybersäkerhetsdirektivet, vilket innebär ett dubbelt ansvar för både cybersäkerhet och övergripande motståndskraft.

Direktiven innehåller bestämmelser om att även mindre verksamhetsutövare kan omfattas om de exempelvis är den enda leverantören av en kritisk tjänst eller om en störning kan få betydande konsekvenser för människors säkerhet och den ekonomiska funktionen. Det sistnämnda har till följd av Ålands insulära läge en extra dimension inför den kommande analysen av samhällsviktiga aktörer.

Talman! Lag- och kulturutskottet har för första gången under denna mandatperiod inte lyckats nå fram till ett enhälligt betänkande. Resultatet av detta blev att en majoritet om fyra ledamöter föreslår att lagtinget antar lagförslag nr 13/2024-2025 medan minoriteten i sin reservation argumenterar för ett förkastande.

Den förestående presentationen av reservationen och åtföljande debatt kommer troligen att ge det lagtinget en tillräcklig insikt i varför våra åsikter inte är samstämmiga i detta ärende.

Redan i detta skede finns det orsak att konstatera att komplexiteten denna gång förstärks av att den åländska regeringen ligger långt fram i sin hantering av de två berörda EU-direktiven. Långt fram till den del att vi denna gång är längre komna med lagstiftningen än Helsingfors. Givetvis är det berömvärt med denna ambitionsnivå och förmåga samtidigt som konsekvenserna av att ligga före Helsingfors försvårar vad gäller möjligheterna att utgående från självstyrelselagen inta likalydande stadganden som annars återfinns i motsvarande finska kontext. Det behöver dock sägas att EU-kommissionens tidsram för att genomföra direktiven förföll i oktober 2024, så till den delen är vi inte särskilt snabbfotade.

En annan försvårande aspekt är att vi nu rör oss inom rättsområden som till vissa delar inte var aktuella när grunderna för gällande självstyrelselagen lades för drygt 40 år sedan. Digitaliseringen rör här inte ett enda rättsområde, utan ska prägla områden där behörigheten är delad.

En ytterligare komplexitet som utmanat utskottet är att lagförslaget täcker in de båda aktuella EU-direktiven i samma lag. Genom en åländsk fulltextlag implementeras bägge EU-direktiv på en gång. Med den föreslagna lagen sker en övergång från en tidigare, sektorsspecifik modell till en sammanhållen horisontell lagstiftning.

Talman! Ibland hamnar vi som åländska parlamentariker i en situation där vi, trots att vi vet att ett visst rättsområde kan bli tungt att hantera i framtiden, ändå måste argumentera för att Ålands parlament ska ha full lagstiftningsbehörighet utifrån åländska förhållanden. Det handlar om att, inte bara bevara utan att organiskt, utöka den åländska autonomin.

Detta ärende är ett typiskt sådant fall och vi inom majoriteten har därför valt att ansluta oss till regeringen Sjögrens linje om att lagstiftningen till väsentliga delar torde ligga inom lagtingets behörighet.

Från majoritetens sida kan vi inte heller se några risker med att lagförslaget antas och förs till den sedvanliga lagkontrollen. Resultatet av kontrollen kommer i händelse av att Ålandsdelegationen och Högsta domstolen finner brister i förslaget att ge landskapsregeringen värdefull vägledning i den fortsatta hanteringen av de två EU-direktiven. Dessutom kommer denna kontroll att visa var behörighetsgränsen verkligen går.

Avslutningsvis är det angeläget att framhålla att det i dagsläget är svårt att överblicka de finansiella effekterna av lagförslaget. För de samhällskritiska aktörerna ligger det i högsta grad i deras eget intresse att fortsätta arbetet med att motverka alla former av risker.

Vad gäller landskapsregeringens dubbla roller som både rådgivande instans och tillsynsmyndighet kan konstateras att upplägget än en gång ställer krav på en noggrann avgränsning i det interna arbetet. Här kommer åter systemet med överenskommelseförordningar att förhoppningsvis underlätta den fortsatta processen.

Men talman, allt det sistnämnda är helt beroende av utfallet av den kommande lagstiftningskontrollen Ålandsdelegationen. Tack!

Talman!

Ledamoten Listherby talade om den nya otrevliga verklighet som vi lever i. Den som har läst betänkandet kan konstatera att det här betänkandet inte skapar någon god stämning. Vi kan läsa att kraven blir betungande för mindre verksamhetsutövare, vi försämrar åländska aktörers konkurrenskraft och ökade kostnader, både för aktörer och för landskapsregeringen, vilket nämns i betänkandet. Nota bene, inte i reservationen.

Jag hickar särskilt till när jag noterar att detta tydligen är en självstyrelsepolitisk testballong för regeringsblocket.

Jag har två frågor. Den första frågan: Är cybersäkerhet rätt ämne att testa behörigheter?

Den andra frågan är: Är ledamoten Listherby trygg i att detta blir bra? Ser ledamoten Listherby några risker att Ålandsdelegationen kan underkänna vissa bestämmelser i lagförslaget?

Tack så mycket, talman!

Det är synd att ledamot Valve inte blev upplyft av betänkandet till den delen. Det ska sägas att även om verkligheten beskrivs som dyster, så är det faktiskt det som verkligen sker och händer. Det är något som alla aktörer, både privata och offentliga, behöver förhålla sig till.

Att arbeta med att skydda sig mot cyberattacker och hybridhot är en nödvändig uppgift. Vi kan inte riskera att de åländska aktörerna, som identifieras som kritiska för vårt samhälle, inte kan uppfylla dessa krav. Denna nivå av skydd är avgörande för att säkerställa både deras och vår befolknings säkerhet.

Talman! Ja, lagförslaget väcker många frågor. Ledamoten Listherby berörde detta både i sitt anförande och i sina repliker. Hade vi kunnat säkerställa detta på ett annat sätt? Ledamoten nämnde att vi bör skydda vissa aktörer. Jag kan inte specificera vilka, men jag konstaterar att bedömningen av vilka aktörer som är skyddsvärda varierar betänkligt beroende på vilken approach man väljer i den här lagen.

Jag återkommer till min grundfråga: Är cybersäkerhet rätt ämne att testa?

Tack så mycket, talman!

Som vi kan konstatera så beaktar inte självstyrelselagens nuvarande form digitaliseringar överhuvudtaget. Digitaliseringen är inget eget ämne; den ska genomsyra alla verksamheter. Därför är det oerhört viktigt att testa den här behörighetsgränsen på det här sättet. Det kommer ytterligare att bli aktuellt med den här typen av lagframställningar och lagförslag framöver, och vi behöver få tydligt klargjort var gränserna går för framtiden.

Tack, herr talman!

Det är alltid intressant med självstyrelsepolitik, men i likhet med föregående talare kan man inte låta bli att fundera: Är det verkligen inom området cybersäkerhet som vi ska testa var behörighetsgräns går? Hur mycket unika särarter kommer vi att bevara genom att pröva vår behörighet på det här området?

Cybersäkerhet är något som är viktigt, men det är också en fråga som kräver spetskompetens. Jag tror att ett fortsatt samarbete med Finland i det här fallet skulle gynna Åland som helhet. När man gör sådana här testballonger på så komplexa områden som vi har väldigt svårt att hantera, riskerar det att få negativa konsekvenser om det inte faller väl ut.

Det står också i betänkandet att detta kommer att få ganska stora konsekvenser för det åländska samhället när vi agerar på det här viset. Det riskerar dessutom att skada förtroendet för självstyrelsen. Jag tror att vi är inne på helt fel väg nu när vi väljer att gå den här vägen. Jag förstår inte varför det är så bråttom med detta.

Tack, talman!

Med tanke på att tidsperioden för att implementera dessa direktiv löpte ut redan i oktober 2024, och att vi riskerar att få ganska saftiga böter om vi inte lyckas uppfylla kraven, så ställer jag mig inte bakom uttalanden om att detta inte är så bråttom. Vi måste gå vidare på det här sättet, för vi ser att det brinner, så att säga.

Jag vidhåller mitt tidigare svar. Det är viktigt att testa behörighetsgränserna gällande digitaliseringen, eftersom detta inte är det enda digitaliseringsärende vi kommer att handha under denna mandatperiod.

De enda som kan avgöra om det handlar om åländsk behörighet eller om behörigheten faller under Finland, är lagstiftningskontrollen. Vi behöver gå dit och utveckla vår självstyrelse även inom digitaliseringen.

Tack, herr talman!

Att det här skulle vara bråttom är det nog en väldig överdrift som man kommer med. Här är 23 stater som inte har implementerat det här, inklusive Finland. Så att vi skulle råka ut för några böter för att vi inte är först på bollen eller är först på planhalvan i EU, så det måste man ändå säga att det inte finns någon risk för att vi skulle råka ut för böter på det viset. Då skulle ju halva EU drabbas av böter för att de inte implementerar det här. Så det kan jag inte alls hålla med om.

Jag tror att det här handlar mycket om att man har lagt fram ett förslag. Det har kommit till utskottet där man märker att det här kanske blir lite svårt att hantera. Hur ska vi göra det här? Men på grund av att man inte vill skada regeringens prestige, så fortsätter man nog att fullfölja det här oavsett konsekvenserna. Ja, vi får se vad det blir. Jag tror inte att det här kommer att sluta bra.

Tack så mycket, talman!

Som konstateras i betänkandet är behörighetsfrågan till vissa delar fortfarande oklar. Den kommer att förbli så tills vi får ett avgörande från Ålandsdelegationen.

Gällande de grunder som utskottet har baserat sina beslut på i betänkandet så känner mig mer trygg med att lita på de sakkunniga, som har hörts, framom på ledamot Wikström.

Talman!

Ledamoten Listherby belyser punkter som jag skulle ha tagit upp i Socialdemokraternas anförande. För att inte förlänga debatten vill jag passa på att säga att även Socialdemokraterna stöder den här lagen.

Tack, talman!

Jo, det mesta av det jag hade tänkt säga har redan sagts här. Men jag vill också påpeka att det finns 27 medlemsstater i EU, och 23 av dem har ännu inte implementerat detta. Så den där brådskan känner jag mig inte så entusiastisk över.

Det fanns också ett EU-direktiv om korttidsanställningar som vi struntade i under 20 år, så nog borde vi kunna vänta åtminstone tills Finland har kommit med sin cybersäkerhetslag. Kommer vi inte att stöta på vissa problem nu när vi går före Finland?

Tack, talman!

Vi är redan fullt medvetna om att behörighetsfrågan till vissa delar kan vara delad. Riskerna med att vi skulle dela behörighet med Finland ser vi som fullt hanterbara. Det är inte det enda rättsområdet där vi skulle ha någon typ av delad behörighet.

Som sagt, vi får se hur lagstiftningskontrollen faller ut och inom vilka delar som den här lagen kommer att falla under åländsk behörighet, och eventuellt är det vissa delar som inte kommer att göra det.

Tack, talman!

Ledamoten säger att man anser att riskerna inte är så stora, så det kommer säkert att gå bra. Men det man använder självstyrelsen till nu är att göra det dyrare och krångligare för åländska företagare, just för att man vill köra den här testballongen och se om man kan få den här behörigheten. Känns det faktiskt som rätt ärende att göra detta på?

Tack, talman!

När det gäller cybersäkerhet och motståndskraft så kommer de åländska företagen ändå att behöva leva upp till dessa krav för att kunna skydda sig själva, sin verksamhet, sin serviceproduktion och sin produktion av exempelvis livsmedel. Det är just den typen av verksamheter som omfattas av dessa direktiv.

Så nej, jag anser inte att den här lagen påför de åländska aktörerna merkostnader. Det är något som vi har fått klarlagt i utskottet. Så till den delen, nej.

Talman!

Jag vill tacka utskottet för ett väl genomfört arbete med en ganska komplex lagstiftning. Viceordförande inledde sitt anförande med att sätta in frågan i en kontext där vi betonar att detta inte bara är ett hot, utan en reell verklighet för alla samhällen. I Norden uppfattas vi i vissa sammanhang som en av de mer drabbade regionerna av till exempel cybersäkerhet, cyberattacker och andra hybridhot. Detta är en verklighet vi lever i, där vi som lagstiftare är skyldiga att utföra det viktigaste uppdraget för alla lagstiftare, nämligen att skydda befolkningen.

Jag förstår också de utmaningar som utskottet står inför när det gäller att hantera behörighetsfrågan. Landskapsregeringen var transparent i sitt lagförslag och påpekade att det kan finnas gränser för behörighet. Det viktiga nu är att vi får behörigheten deklarerad så att vi kan utföra vårt arbete gentemot befolkningen.

Tack, talman!

Jag kan väldigt långt identifiera mig med det ministern säger om att detta är oerhört komplext och har varit en utmaning för utskottet att sätta sig in i detaljerna. Det framgår också tydligt genom den långa hörandelistan som presenteras i slutet av betänkandet.

Vi har verkligen genomlyst det här ärendet från alla håll och kanter, och vi har vänt på varenda sten. Vi har landat i att detta är vägen framåt, för att, som ministern så tydligt uttryckte, kunna skydda de åländska medborgarna genom att skydda dessa kritiska verksamhetsutövare.

Talman!

Jag uppfattar att utskottet har agerat mycket ansvarsfullt genom att nu föra vidare den här lagstiftningen. Alternativet att förkasta lagen innebär givetvis att vi fortsatt lever i ett limbo i denna fråga. Vid en bred hybridattack eller cyberattack vet vi helt enkelt inte vilken myndighet som är ansvarig. Det här behöver klargöras snarast, och det är viktigt.

Jag vill också understryka att jag tycker att utskottet har gjort bra överväganden. Till exempel skriver man att landskapsregeringen i sin utformning av det praktiska måste se till att man inte snedvrider konkurrensen. Det är förstås en skrivning som även landskapsregeringen anser vara viktig, och detta kommer att bli en balansgång. Vi vet att man nu i riket är på väg att ta sin lagstiftning inom dessa områden inom kort, och vi hoppas kunna samarbeta kring best practice i dessa sammanhang, så att vi inte förvrider konkurrensen för de åländska (… taltiden slut).

Tack så mycket, talman!

Som ministern återigen påpekar så är det här lagförslaget till för att skydda oss mot yttre hot. Hotbilden har faktiskt blivit alltmer förstärkt, vilket också har synliggjorts under de senaste veckorna.

Det är lite trist att utskottet inte kunde vara eniga, men reservisterna får redogöra för sin reservation i sina egna anföranden. Jag hoppas att lagtinget kan bilda sig en uppfattning kring varför dessa olika uppfattningar ändå kvarstår.

Talman!

Jag har tillsammans med två kolleger i lag- och kulturutskottet, ledamot Anders Holmberg och ledamot Johan Lindström, lämnat in en reservation till lag- och kulturutskottets betänkande gällande cybersäkerhet och motståndskraft.

Låt mig börja med att kort presentera reservationen i fyra punkter:

1. Behörighetsfrågan
2. Miniminivån på åtgärder
3. Ekonomi och kompetens
4. Den tvåhuvade myndigheten

Först vill jag säga att vi förstår alla att Åland, med sitt isolerade läge, har en särskilt kritisk fråga när det kommer till cybersäkerhet. Vi är beroende av stabila digitala förbindelser för transporter, handel, administration, sjukvård med mera. En allvarlig cyberattack mot vår infrastruktur kan isolera oss från omvärlden och orsaka långtgående konsekvenser, både praktiskt och ekonomiskt, för både offentlig och privat sektor. Därför är det av yttersta vikt att vi tar dessa hot på allvar och vidtar åtgärder för att skydda vårt digitala samhälle. Det är en investering i vår framtid.

När det gäller behörighetsfrågan vill jag betona att vi reservanter inte är rädda för att testa den åländska behörigheten. Det är nämligen det enda sättet om vi vill utveckla vår självstyrelse. Ingen annan kommer att göra det. Striden som vi just förlorade i Högsta domstolen angående inteckning i bil var ett medvetet aktivt beslut från utskottets sida att testa behörigheten i just den frågan. Det vill jag vara tydlig med.

En liten historisk tillbakablick visar att det här inte är det första direktiv som implementeras som rör cybersäkerhet och motståndskraft. Det första cybersäkerhetsdirektivet kom redan 2018 och motståndskraftsdirektivet, som förkortas CER, kom 2022. Här, bästa ledamöter, är det viktigt att notera att Sverige och Finland valde helt olika sätt att implementera det direktivet. I Finland valde man sektorsspecifika myndigheter som tog ansvar för olika områden, medan Sverige valde en mer rak linje med en myndighet som fick ansvaret för implementeringen. Denna skillnad är väsentlig.

När NIS-direktivet införlivades 2018 gjorde landskapsregeringen då bedömningen att det inte var vår behörighet, utan rikets behörighet. Nu vet vi att man gör en annan tolkning.

Ett av problemen med dessa direktiv är, precis som viceordförande nämnde tidigare, att det inte finns några skrivningar i självstyrelselagen. Det är ett område som är odefinierbart. Men vi vet redan nu, i samband med hörande och den information vi har fått, att man från rikssidan anser att NIS-direktivet är delad behörighet, medan motståndsdirektivet är rikets behörighet. Det finns också frågetecken kring bolag och vilken lagstiftning som kommer att ha företräde, är det bolagslagstiftningen, är det delar av självstyrelselagen eller är det näringslagstiftningen som kommer att gälla?

Jag inledde med att säga att Sverige har valt en väg med en myndighet, medan Finland har valt sektorsspecifika olika myndigheter. Ålands landskapsregering har nu valt den svenska modellen och det gör det väldigt svårt med överenskommelseförordningar, eftersom ett land, i detta fall Åland, kanske har lagstiftningsbehörighet, men vill att förvaltningsbehörigheten ska överföras till andra. Jag stoppar här med behörighetsfrågan, men sammantaget anser vi att den inte är tillräckligt utredd i det föreliggande förslaget.

När det gäller miniminivån är det tydligt att Ålands landskapsregering har skruvat till det mera än vad man har gjort i omkringliggande regioner. Det framgår av framställningen och det står även i lag- och kulturutskottets betänkande där majoriteten skriver. " Utskottet har erfarit att det föreslagna lagförslaget vid tillfälle inför strängare regler än vad som är nödvändigt." Det är direkt citerat.

Man ska dela in olika verksamheter i högkritiska sektorer och andra i kritiska sektorer. När man gör denna uppdelning finns det en viss grad av tyckande. I riket har man varit försiktig med att införliva alltför många företag, medan vi har fått indikationer på att landskapsregeringen möjligen tänker sig en annan linje.

Motståndsdirektivet leder automatiskt till att cybersäkerhetsdirektivet aktiveras, både för privata och offentliga aktörer. Här är vi från reservanternas sida oroliga för att detta kan skapa en sämre konkurrenssituation för åländska företag.

Vi är också tveksamma kring utbildningsaspekten eftersom vi har erfarit att varken högskolor eller universitet, som vår högskola och vårt gymnasium, har täta diskussioner och intentioner att samarbeta med rikssidan. De är helt exkluderade. Här ser vi en skillnad.

Punkt tre, ekonomi och kompetens, detta innebär betydande kostnader. Det är osäkert vad dessa kostnader kommer att bli, men i den allmänna motiveringen i landskapsregeringens lagförslag framgår det tydligt att man inte avser att ersätta kostnaderna, utan att det är upp till var och en att hantera det på eget vis. Digitaliseringen kan ses som ett ekonomiskt slukhål, och det finns inga gränser för hur mycket pengar detta kan kosta innan det är färdigt. Tyvärr är digitaliseringen ett hot mot vår självstyrelse, eftersom vi inte längre har råd att ha system framtagna för 30 000 personer när summan för 5,5 miljoner är ungefär densamma.
I lagförslaget är det oklart vem som ska stå för notan. Hörandena och remissvaren visar att det finns stor oro både från privata och offentliga bolag samt från kommunerna.

Det som också är ett bekymmer är kompetensen. Det finns ett fåtal experter på Åland. Vi reservanter har svårt att tro att just de få experter som finns är intresserade av en offentlig anställning, med den lönenivå som finns i offentlig sektor jämfört med det privata.

Vi är också tveksamma, liksom majoriteten i utskottet, till en myndighet med dubbla funktioner, både rådgivande och övervakande. Det känns inte riktigt okej, och det framgår av remissvaren att många delar denna oro. Vi är tveksamma till hur man praktiskt, ekonomiskt och kompetensmässigt ska försvara det. Traficom till exempel, som är en övervakande myndigheten på den finska sidan, har jour dygnet runt, 50 anställda och en verksamhet som rullar på med 10 miljoner. Det var bara ett exempel på en myndighet.

Sammanfattningsvis har vi erfarit att det finns mycket goda utvecklade samarbeten mellan riksmyndigheter, åländska myndigheter och företag, och vi tycker att man ska förstärka detta.

Vi tror att de flesta, i princip alla, både företag och myndigheter, har ett eget intresse och ansvar för att utveckla sin cybersäkerhet. Det finns ingen anledning att komma med pekpinnar härifrån om det inte finns ett lagkrav från EU.

Med begränsade ekonomiska resurser behöver man fundera på vad man vill satsa på. Vi har nyligen i media förstått att den socialdemokratiska styrelseordföranden i ÅHS inte är nöjd med de sparbeting som kommer från den liberala finansministern. Man kan fråga ålänningarna var pengarna ska satsas, ska de sättas på cybersäkerhet - ett slukhål, eller på något som kanske betyder mer för respektive ålänning i vardagen?

Avslutningsvis, vi måste stärka vårt digitala skydd genom att använda vår självstyrelse på ett strategiskt och proaktivt sätt. Kan vi skapa en cybersäkerhetsmodell som fungerar för just oss, samtidigt som vi har tillgång till Finlands expertis och externa tjänster? Ett utvecklat samarbete möjliggör även fördelaktiga kostnadslösningar och en högre nivå av cybersäkerhet än om vi skulle agera ensamma.

Tack för att ni har lyssnat! Jag vill också lägga till att vi kommer att ta reservationen till omröstning när vi når andra behandling. Tack!

Tack så mycket, talman!

Uttalandet att cybersäkerhet är lika med ett slukhål vet jag inte riktigt vad jag ska säga om. Det får stå för ledamoten själv, kanske med övriga reservationer.

När det gäller cybersäkerheten och de krav som ställs på oss från EU handlar det om att skydda oss medborgare. Vi måste se till att vi inte utsätts för hybridhot och cyberattacker, som kan omkullkasta för Åland. Vi har livsmedelsförsörjning och elförsörjning – alla de verksamheter som får vår vardag att rulla på.

Jag anser att det är lite förenklat. Jag saknar också i reservationen och från anförandet: Hur ska vi säkerställa vår cybersäkerhet och motståndskraft om vi inte antar den här lagen?

Talman!

Tack för påpekandet från viceordförande. Jag vill säga att både landskapsregeringen i framställningen och utskottet uttrycker tveksamheter kring den ekonomiska ramen och vad det kommer att kosta. Vi vet att det kommer att kosta ett antal miljoner. Om vi tittar på de remissutlåtanden som har kommit in så gör man åtminstone där en bedömning att det handlar om många miljoner för att vi ska nå upp till den cybersäkerhet som vi absolut behöver.

Vi från reservantens sida ifrågasätter inte att vi behöver höja säkerheten. Men vi tror att det i det här fallet hade varit förnuftigare att söka ett utökat samarbete med rikets olika myndigheter, istället för att gå in för den svenska modellen med en kontrollmyndighet. Vi borde ha använt samma system som man gör i Finland.

Ja, det kan komma att kosta mycket. Det kan också bli mindre kostnader beroende på hur den här lagkontrollen faller ut gällande behörigheterna och så vidare.

När det gäller landskapets egna eventuella tillkommande kostnader har vi fått det tydligt förklarat att dessa ska säkras inom ramen.

När vi pratar om att ställa högre krav i vår egen lagstiftning så handlar det om att skydda de kritiska verksamhetsutövarna, givet vårt insulära läge. Det är därför vi ställer högre krav.

Våra kommuner har en annan serviceproduktion än Finlands kommuner, eftersom de har infört sina välfärdsområden. Där har vi också en skillnad i varför våra verksamheter omfattas på ett annat sätt.

Talman!

Med all respekt för dem som har arbetat fram det här lagförslaget och för de tjänstemän som verkar här i självstyrelsegården, vill jag ändå påpeka att det material och de analyser som har gjorts på rikshåll inte bör sopas under mattan i det här fallet.

Vi måste också komma ihåg att de har betydligt större och starkare muskler när det gäller att undersöka, prognostisera och ta reda på fakta än vad vi har här. I den bästa av världar har jag själv sagt att vi bör testa behörigheten. Men med tanke på det ekonomiska läget vi har och de diskussioner som förs i samhället, är det viktigt att vi noggrant överväger var vi vill sätta våra pengar.

Vår bedömning är att genom blankettlagstiftning och ett utökat samarbete med rikssidan kan vi nå en hög cybersäkerhetsnivå till en lägre kostnad.

Tack, herr talman!

Jag förväntade mig faktiskt en mer detaljerad reservation från reservanterna. Nu är det bara en slutkläm. Att förslaget förkastas känns lite oansvarigt med tanke på det läge vi befinner oss i, om man ska vara helt ärlig. Det känns det otillräckligt. Vad är det man vill göra istället?

Jag tycker att vi behöver gå framåt med det här, inte för att någon annan säger att vi ska göra det, utan för att vi måste stärka vår egen motståndskraft. Det handlar inte om att följa andra; vi gör det av en anledning.

Tycker reservanterna att vi ska vänta och se hur situationen utvecklar sig framöver? Reservanternas partier har uttryckt att vi ska vänta och se tills majoriteten av EU:s länder har implementerat sina lösningar.

Vi har en tvåstegsraket här. Först måste vi säkerställa behörighetsfrågan och sen kan vi börja hantera det på riktigt.

Det här känns helt ärligt som oansvarigt.

Talman!

Jag tycker att vi i den presentation jag gjorde verkligen bör vidareutveckla de ståndpunkter vi har när det gäller behörigheten och miniminivån. Landskapsregeringen skriver själv att vi har lagt oss på en högre nivå, eftersom vi bedömer att vi kan och vet hur vi gör denna analys bättre än vad man gör i Sverige och Finland. Det är ju det man indirekt säger.

När det gäller ekonomin och kompetensen har vi varit tydliga med att vi saknar siffermaterial. Det finns inga uträkningar, och vi är också tveksamma till den här myndigheten. Men vi är inte ensamma om detta; utskottets majoritet uttrycker samma tveksamhet. Man ifrågasätter en myndighet som är både rådgivande och övervakande, och man är tveksam på det ekonomiska utfallet. Så vi är inte helt ute och cyklar här. Vårt förslag har varit en blankettlagstiftning rakt av.

Tack, herr talman!

Något som övergår mitt förstånd är hur man kan vara säker på att en blankettlagstiftning på något sätt skulle bli billigare för skattebetalarna. Det är det som inte har klarlagts från reservanternas sida, och hur det blir i slutändan. Syftet med detta är att vi ska få bättre kontroll och förståelse för hur det fungerar, och att det ska fungera för Ålands insulära läget och de förutsättningar vi har.

Nu har landskapsregeringen gjort en bedömning och kommit fram till att detta är det sätt man behöver gå framåt med, givet de förutsättningar som råder. Vi från Liberalerna står bakom detta, eftersom vi anser att den information vi har fått från landskapsregeringen är tillräcklig. I det förslag som ligger på bordet anser vi att det är tillräckligt för att gå vidare med frågan.

Vi anser också att behörigheterna bör testas så att vi kan gå framåt på riktigt, på samma sätt som andra områden och regioner inom EU kan göra utan att behöva börja testa behörighetsfrågor.

Talman!

Jag uppfattar kanske inte riktigt någon ytterligare frågeställning där, men kanske ett litet kritiskt tänkande från ledamotens sida. Och det är ju rätt och riktigt. Det är här vi ska debattera och diskutera, och jag har inga bekymmer med det.

Men vi, reservanter, tror inte att det här är det bästa för Åland i dagsläget. Vi anser inte att de här pengarna, det här slukhålet som jag talade om – för det är miljoner det handlar om – är det bästa sättet att utveckla självstyrelsen och att skapa världens bästa vardag för ålänningarna och för våra företag.

När det sedan gäller ekonomiska incitament och kalkyler, så tycker jag att det är lite magstarkt av ledamoten att efterfråga reservanternas ekonomiska kalkyl, när den samlade landskapsregeringen inte kan presentera någon. Man kanske skulle börja där.

Värderade herr talman!

Ledamoten Thörnroos, låt mig inledningsvis beröra elementär självstyrelsejuridik. Om lagförslaget förkastas och vi istället inväntar rikslagstiftningen, för att sedan anta den som en blankettlag, hur kan vi då veta vad vi får? Vi kan ju inte göra undantag i förhållande till rikslagstiftningen när vi inte vet vad som i så fall är vår delbehörighet i frågan.

Med andra ord, vi kommer i så fall att ställas inför det fullbordade faktum att vi tvingas leva upp till de krav och ekonomiska utmaningar som rikslagstiftningen ställer.

Talman!

Jag delar inte den analysen. Anledningen till detta är att om vi skulle ta en blankettlag, så är det självklart att vi avvaktar hur rikets lagstiftning är formulerad.

Det är också så att i blankettlagstiftning så har vi möjlighet till undantag. Vi kan säga att vissa paragrafer inte gäller för oss. Det är så vi oftast utformar blankettlagar. I vissa fall gäller hela lagstiftningen, men ofta finns det några undantagsregler. Jag anser att det är rimligt att göra så i just det här fallet, om man gör en in casu bedömning av det här fallet. Jag kan inte komma ifrån det.

För mig handlar det inte om att vara emot bara för att jag sitter i opposition. Jag säger det ärligt: jag tror inte på det här förslaget som landskapsregeringen har lagt fram och därför kan jag inte omfatta det.

Värderade herr talman!

Ledamoten Törnros, om man gör som ledamoten föreslår, det vill säga avvaktar rikslagstiftningen och gör den gällande på Åland via en blankettlag och sedan gör undantag för de delar som man anser vara specifikt viktiga för självstyrelsen, hur vet vi då att vi har behörighet beträffande dessa delar?

Genom att följa det förslag som nu läggs fram får vi klarhet i vilka behörigheter som tillhör oss och vilka som tillhör riket. Den insikten får vi inte om vi väljer den andra vägen.

Talman!

Jag förstår resonemanget, men låt mig vända på det så här. Det vi som nu skickar, som troligtvis kommer att gå för lagstiftningskontroll, kan ju komma tillbaka inte bara sågat, som vi brukar säga om vissa lagförslag, utan det kan vara flisat. Är detta lagförslag flisat, när det kommer tillbaka, vilket har inträffat tidigare, så blir det väldigt svårt att få ihop någon form av helhet här. Då hamnar vi ju ändå på en ny lagstiftningsrunda.

När det gäller blankettlagstiftning så inte är det så att man bara tar en blankettlagstiftning och sedan efteråt börjar ändra den med eventuella åländska undantag. Det är något man resonerar kring i samband med framtagande av ett lagstiftnings-PM.

Den här paniken som verkar finnas hos vissa ledamöter ser jag inte heller, med tanke på att 23 av 27 länder inte har godkänt lagförslaget.

Talman!

Ledamot Thörnroos talar om kostnaderna för de åländska företagen och de åländska myndigheterna. Det blir ju rent spekulativt innan vi ser utgången av behörighetsfrågan. Just nu vet vi inte vilka entiteter som kommer att påverkas med all säkerhet.

Därför tycker jag att den här frågan borde testas. Hur tänker sig ledamoten gällande den här frågan?

Talman!

När det gäller det ekonomiska utfallet skriver landskapsregeringen i sin egen framställning att man är osäker på vad slutnotan kommer att bli. Utskottets majoritet uttrycker samma osäkerhet när det gäller den ekonomiska delen.

Om vi tar tanken vidare: Vi har ett regelverk vars kostnader är okända, som är rikets, samtidigt har vi ett annat regelverk här där vi har skruvat det. Vi har alltså lagt miniminivån högre än vad som egentligen krävs. Detta leder automatiskt till att det blir dyrare. Det är sällan något blir billigare när man börjar detaljreglera alltför mycket.

Talman!

Ledamot Thörnroos och jag har inte riktigt samma syn på den här frågan, vilket är förståeligt.

Under de hörande vi hade i utskottet framkom det att flera av de som deltog nämnde det arbete som behöver göras i samband med denna lagstiftning. Mycket av detta arbete har redan påbörjats, åtminstone inom de större bolagen och myndigheterna. Det verkar därför inte bli särskilt mycket extra arbete för deras del. Men bevisligen har ni en annan syn på denna fråga än vad majoriteten har. Kan ni utveckla ert resonemang?

Talman!

Om jag går på de indikationer som vi har fått i samband med hörandet så kan vi förvänta oss att antalet som kommer att följa den här lagstiftningen kommer att vara betydligt fler här än vad det till exempel är på rikssidan. Det betyder per automatik att kostnaderna kommer att öka.

Landskapsregeringen skriver ju själv att lagförslaget kan förväntas leda till ökade ekonomiska kostnader för berörda verksamhetsutövare, till följd av lagens krav på utbildning, riskhanteringsåtgärder och rapporteringsskyldighet.

Men vi ska också komma ihåg att det finns företag på Åland, både privata och offentliga, som redan har en väldigt hög nivå av cybersäkerhet och som kanske inte berörs av det här. Jag kan garantera att t.ex. alla åländska kommuner inte har det, och många andra mindre företag som kan komma att beröras.

Talman!

Hela Europa rustar sig för en betydligt mer osäker tid. På Åland har vi förstås ingen behörighet över försvaret, men vi har ansvaret gentemot ålänningarna när det gäller civil beredskap under normala förhållanden. Det här är ett EU-direktiv som syftar till att stärka samhällenas motståndskraft i just dessa lägen.

Detta viktiga arbete har hela Europa insett behöver prioriteras. Jag blir därför förvånad när ledamoten Thörnroos talar om det i termer av ett ekonomiskt slukhål, särskilt med tanke på ledamotens bakgrund.

Det här är ett arbete som måste göras, oavsett om vi tycker om det eller inte. Det är en uppgift som behöver utföras, oavsett om det handlar om åländsk behörighet eller inte. Att bara föreslå att lagen ska förkastas utan att ha ett alternativ är, enligt min mening, direkt samhällsfarligt.

Talman!

Jag tror att under landskapsregeringens vingar finns det en myndighet som både är övervakande och rådgivande. Denna myndighet bör ha experter på Åland tillgängliga dygnet runt, istället för att anlita den expertis som redan finns på rikssidan och då tror jag att landskapsregeringen håller på att skapa ett ekonomiskt slukhål.

Det finns inga indikationer i det vi har hört eller läst som tyder på att det skulle vara dyrare att använda den expertkunskap som redan finns på rikssidan.

Talman!

Ledamoten Thörnroos har framfört detta flera gånger, trots att hon är mycket väl medveten om att det vi pratar om nu är en lokalt rådgivande organisation. Hon vet att det finns jour krävs inom flera myndighetsområden och att det redan idag sköts på det sätt som det görs och kanske det inte är optimalt, men det är inte bara cybersäkerhet som kräver 24/7-jour.

Ledamoten är också medveten om att det i lagförslaget uttryckligen står att man ska vara knuten till det finländska cybersäkerhetscentret, och att man kommer att delta i europeiska samarbeten kring cybersäkerhet. Den oro som uttrycks om att det skulle sitta två personer i landskapsregeringen som ska behärska hela detta område är missvisande. Här handlar det istället om att sköta den lokala tillsynen och den lokala rådgivningen, vilket faktiskt är en direkt hjälp för de aktörer som omfattas.

Talman!

Jag tycker det är bra att ministern försvarar sitt lagförslag. Det ska man göra när man är minister, absolut. Men vi reservanter tror att det skulle vara mer rationellt och ekonomiskt mindre betungande om man i det här fallet hade en blankettlagstiftning.

Så som läget nu är uppställt från landskapsregeringens sida blir det i princip nästan omöjligt, eftersom riket Finland har valt en organisationsmodell. Sverige har valt en helt annan organisations- och övervakningsmodell, och landskapsregeringen har i det här fallet valt att anamma den svenska modellen. Man bedömer väl att det ska gå att skriva överenskommelseförordningar, trots att lagförslagen inte ens är i närheten av varandra.

I andra fall där jag har varit med brukar man försöka samordna lagförslagen från rikets sida, särskilt när man vet att det kan röra sig om delade behörigheter.

Tack, talman!

Jag förstår att reservanten oroar sig för att kostnaderna ska dra iväg. Det är klart att flera har uttryckt samma farhåga; det är ingen underdrift att säga att detta kommer att kosta något. Men det är väldigt svårt att bedöma exakt vad det kommer att kosta. Vi får inte glömma bort den alternativa kostnaden när det gäller cybersäkerhet och motståndskraft. Om man råkar ut för en hackerattack och får sitt företags IT-system hackat och nedstängt, kan det innebära en ofantlig kostnad. I många fall kan det leda till att företag i princip upphör att existera. Så stor är den risken. Det är viktigt att komma ihåg denna relation i diskussionen.

Utskottet skriver också tydligt att det finns ett behov av en pragmatisk tillämpning av lagen. Därför är det lite förvånande för mig att det finns tveksamhet kring detta resonemang. Kanske hade det varit bättre att ha en åländsk behörighet. Jag förstår inte riktigt varför man är tveksam till att testa den behörigheten.

Tack, talman!

Tack för det inspelat. Det blir lite problematiskt nu eftersom man inte kan säga allt som man har erfarit i utskotten här i talarstolen. Men vi kan säga så här: vår bedömning är att konkurrenssituationen för åländska företag som verkar både mot Finland och Sverige kan komma att försämras med en strängare reglering här än vad som gäller för likartade verksamheter på andra sidan.

Jag vill också vara tydlig med att vi inte är emot cybersäkerhet. Vi har full respekt för att det måste göras, men vi anser att det ska göras på det billigaste möjliga sättet, med tillgång till den expertis som finns i större utsträckning än vad landskapsregeringen föreslår.

Dessutom är vi tveksamma till möjligheten till en överenskommelseförordning när grundsystemen avviker från varandra.

Jag håller inte med om den bedömningen. Jag tycker att det är viktigt att vi får möjlighet att testa det här. Jag tror att det vore bättre om vi får ordning på detta här på Åland, så att vi kan göra en mer pragmatisk tillämpning.

Ta till exempel jourverksamheten, som det finns en del oro kring i reservationen. Vi har ju en mängd jourverksamhet på Åland, både privat och offentlig. Jag förstår inte varför det skulle saknas kompetens här för att upprätthålla en sådan verksamhet. Det är väldigt viktigt för oss att vi får möjlighet att testa detta.

Om vi bara ser på kostnaden för att utföra det här, tror reservanten att vi ska invänta den rikslagstiftning som inte är riktigt klar just nu och så ska vi testa om det blir billigare att köpa den här tjänsten av riksmyndigheterna?

Talman!

Det brukar sällan vara fruktbart att bygga upp små egna myndigheter. Vi har tvingats till det ett antal gånger på grund av olika EU-direktiv, men i just det här fallet som rör cybersäkerhet så är det inte riktigt en inre åländsk angelägenhet. Det här är ett världsproblem. Vi befinner oss alla i samma cyberspace, om man säger så.

Vi anser inte att det är rimligt att sätta tid, kraft och resurser här på Åland på just den här frågan. Det finns många andra politiska frågor där vi hellre skulle se att resurserna satsades. Det handlar om alltifrån våra skolor till ungdomar som mår psykiskt dåligt. Det finns en hel uppsjö av alternativ där vi skulle föredra att pengarna investerades istället för att experimentera med en egen myndighet här.

Tack, talman!

Ledamoten och reservanten Thörnroos säger i sitt anförande att digitaliseringen är ett hot mot vår självstyrelse. Jag anser att digitaliseringen är en utmaning, men också en möjlighet. Istället för att se den som ett hot bör vi använda den för att stärka vår självstyrelse genom egna lösningar och anpassad lagstiftning.

Hur föreslår ledamoten i det här sammanhanget att vi ska skydda självstyrelsen utan att bromsa utvecklingen?

Talman!

Jag blev lite förvånad över att ingen annan har tagit fasta på detta. Jag har nämnt det många gånger tidigare, och det handlar egentligen inte bara om att digitaliseringen kräver fler system och digitala lösningar. Vi har inte möjlighet att bygga dessa system själva, eftersom de är för kostnadsdrivande.

Därför är det otroligt viktigt att vi är med i ett så tidigt skede som möjligt när det handlar om att köpa tjänster, vanligtvis från rikssidan. När vi är med tidigt har vi också möjlighet att få in svenska som kodspråk, eller åtminstone få det på underliggande menyer. Digitaliseringen innebär att vi inte längre kan verka på svenska. Varken polisen eller andra myndigheter har alla sina system på svenska. Det är den verklighet vi står inför, och jag menar att detta utarmar vårt språk.

Tack, talman!

Jo, jag håller med i mångt och mycket det som ledamoten framför. Att anpassa oss till digitaliseringens krav är avgörande för att vara konkurrenskraftiga och effektiva. Genom att aktivt delta i utvecklingen av digitala lösningar kan vi också säkerställa att våra egna intressen och vår autonomi bevaras.

Talman!

Min bedömning är att vi alla som sitter här har samma målbild. Vi vill skapa ett så cybersäkert samhälle som bara är möjligt. Vi är alla medvetna om vårt insulära läge, vi känner till de svårigheter som andra orter och företag har stött på, även fast man har haft en landväg till grannen, om man säger så. Vår målbild är gemensam, det är min övertygelse i alla fall. Men vägen dit, hur vi ska nå den, där gör vi ett annat vägval och tror i det här fallet att vi borde nyttja den expertis som finns på rikssidan. De har möjligheter till köptjänster i större utsträckning än vad landskapsregeringen har.

Sedan finns det en annan aspekt som vi åtminstone inte har diskuterat så mycket, men som jag personligen är lite förvånad över. Det handlar om hur vi ska få till stånd de här överenskommelseförordningarna, eftersom grundsystemen, den svenska och den finska modellen, är helt olika. Men det är upp till landskapsregeringen att arbeta vidare med detta.

Tack för intresset!

Talman! Ärade ledamöter!

Vi står inför ett lagförslag om cybersäkerhet och motståndskraft som syftar till att implementera EU:s NIS 2-direktiv och CER-direktiv på Åland. Syftet med lagen är att förbättra cybersäkerheten och skydda samhällsviktig infrastruktur, men vi måste också beakta de konsekvenser detta får för vår självstyrda region.

Trots goda intentioner finns det flera problem med detta lagförslag som kan skapa svårigheter vid implementering och troligen innebär stora ekonomiska och administrativa bördor för både offentliga och privata aktörer på Åland.

En central fråga i detta lagförslag är den juridiska behörigheten. Landskapsregeringen anser att cybersäkerhet faller inom Ålands lagstiftningsbehörighet, medan Finlands inrikesministerium menar att det är en riksangelägenhet.

Historiskt har cybersäkerhet hanterats inom sektorsspecifik lagstiftning på riksnivå. Nu vill landskapsregeringen göra ett helhetsgrepp genom en samlad lag, vilket skapar en juridisk gråzon som riskerar att leda till utdragna juridiska tvister speciellt när det kommer till överenskommelseförordningar.

I dagsläget har 23 EU-medlemsstater ännu inte implementerat direktivet, vilket väcker frågan om Åland verkligen borde skynda före Finland och andra medlemsstater.

Dessa osäkerheter gör att vi bör ifrågasätta om Åland bör ta på sig denna lagstiftning eller om det är mer effektivt att samarbeta med Finland för att uppfylla EU-kraven.

Lagförslaget innebär betydande ekonomiska och administrativa påfrestningar för både privata och offentliga verksamheter.
Små företag riskerar att få orimliga kostnader för att implementera de nya kraven. Näringslivet har varnat för att de omfattande rapporterings- och säkerhetskraven kan bli en tung börda för små och medelstora företag som saknar resurser att hantera dem.

Organisationer inom offentliga sektorn kommer att behöva utöka sin cybersäkerhetskapacitet, men det finns ingen tydlig finansiering för att täcka dessa kostnader.

Lagförslaget preciserar inte heller hur myndigheter som ska ansvara för tillsyn och implementering ska finansieras.

För att kunna genomföra lagen krävs betydande investeringar i utbildning, teknik och kompetent personal – något som varken offentlig sektor eller privata aktörer på Åland är rustade för utan extern finansiering.

Landskapsregeringen har valt att implementera NIS 2-direktivet genom en strängare reglering än vad EU-direktivet kräver. Detta betyder att åländska företag och myndigheter riskerar att omfattas av högre krav än motsvarande verksamheter i Finland och Sverige. Om exempelvis Ålands hamnar måste uppfylla hårdare cybersäkerhetskrav än hamnar i riket, kan det leda till konkurrensnackdelar för sjötransporter och logistikverksamheter. Det finns också en risk att Åland isoleras från cybersäkerhetssamarbeten som riket har med EU:s cybersäkerhetsmyndigheter och andra medlemsstater. Ett mer flexibelt genomförande av direktivet, i samarbete med Finland, skulle kunna minimera dessa risker.

Detta lagförslag har goda intentioner och cybersäkerhet är en mycket viktig fråga för samhällets funktion, men den nuvarande utformningen skapar kanske fler problem än den löser.

Osäkerheten kring behörigheten gör att vi riskerar en utdragen juridisk process som försenar implementeringen. Den ekonomiska och administrativa bördan är oproportionerligt stor för åländska företag och myndigheter och det riskerar att snedvrida konkurrensen och isolera Åland från Finlands cybersäkerhetssystem.

Med detta i åtanke anser vi att lagförslaget bör förkastas i sin nuvarande form. Åland bör i stället söka en lösning där vi samarbetar med Finlands myndigheter för att uppfylla EU-kraven på ett kostnadseffektivt och administrativt hållbart sätt. Tack!

Talman!

Ledamot Lindström nämner ord som osäkerhet och diskuterar behörighetsfrågan. Finns det något intresse av att säkerställa dessa behörighetsgränser gällande digitalisering? Ser ledamoten något negativt med att dessa behörighetsfrågor skulle klarläggas? Hur ska man klargöra dessa behörighetsfrågor om man inte gör det inom ramen för lagstiftningskontrollen?

Till att börja med skulle jag rekommendera att vi inväntar Finlands lagstiftning och hur de utformar den i sin helhet, samt vad som kommer att implementeras där.

I nuvarande form är det mycket troligt att den här lagstiftningen kommer att bli strimlad eller skjuten med hagelgevär under lagstiftningskontrollen. Jag ser ingen mening med det.

Man skulle kunna ta tillbaka detta och göra det på ett annat sätt och absolut sänka implementeringskraven, särskilt för företagen. Det finns ingen möjlighet att införa en lag på Åland som försvårar för företagen och samtidigt kalla det god självstyrelsepolitik.

Tack, talman!

När det gäller behörigheten för Åland, så om Finland antar den här lagen, som snart kommer att landa på riksdagens bord, så kommer den inte att beakta någon typ av behörighet för Åland. Vad händer sen? Jo, vi får börja om från början igen för att täppa till de luckor som inte beaktas av den finska lagen. Jag tycker att detta är något ansvarslöst, eftersom det inte finns någon egentlig konsekvensanalys av vad detta verkligen innebär.

Vidare, jag noterade att det eventuellt skulle ställas högre krav på hamnarna, men jag skulle gärna vilja veta mer om vad det skulle innebära.

Tror ledamoten Lindström verkligen att det skulle bli billigare, sämre eller bättre för de åländska aktörerna om vi inte går vidare? De måste ju ändå uppfylla kraven på cybersäkerhet för att skydda sig själva, sin verksamhet och sin serviceproduktion.

Ja, om tillsyn, övervakning och implementering skulle skötas från rikets sida, så skulle det ju definitivt bli mindre kostsamt för Åland. Vi skulle ha mindre administration, vilket skulle göra det betydligt billigare.

Jag ser därför inte ett problem med att vi skulle föra över detta och se till att behörigheten i grunden ligger hos Finland. Finland har den nationella behörigheten i huvudsak, eftersom cybersäkerhet inte är ett eget rättsområde.

Så som jag ser det så finns det egentligen ingen problematik i det som Listherby lyfter upp här.

Tack, talman!

Den här lagen är ännu inte antagen i riket. Den här lagstiftningen är på gång. Om vi nu tänker vidare på tanken att införa en blankettlagstiftning, så innebär det tre saker i min värld.

För det första så tror jag att när det gäller myndighetsansvaret så kommer landskapsregeringen i förlängningen att behöva betala ganska dyrt för det. Vi har sett vad det gör med skatterna. Skillnaderna i kostnader är ganska små, så jag känner att det kan bli mycket dyrare än man tror.

För det andra, vad jag förstår, så kommer det i en sådan situation att krävas att Åland har en nära nog exakt kopia av den finska lagen, med vissa variationer kanske, men på det stora hela behöver den likna väldigt mycket.

För det tredje så kan inte Åland göra en mer pragmatisk tillämpning av lagen eftersom vi måste följa den finska.

Hur ser reservanterna att detta skulle vara bättre för självstyrelsen och för åländska institutioner?

Ja, när det kommer till den kompetens som krävs för att upprätthålla de krav som EU ställer, så saknas cybersäkerhetskompetensen på Åland. Under arbetets gång med utskottet har vi hört att det finns kanske två personer med relevant kompetens, men de rör på sig och de är otroligt kostsamma.

Detta kommer att bli ett stort problem när vi ska implementera direktivet och utan cybersäkerhetskonsulter och experter så kommer det att bli väldigt svårt. Hur ska vi kunna attrahera den kompetensen och få den att stanna kvar på Åland?

Ja, det finns kompetens på Åland. Det är ett ganska brett område, så inom vissa delar har vi säkert mer kunskap än andra, medan vi i andra aspekter har nästan ingenting. Det lägger ansvaret på att man behöver ta frågan på allvar.

Det är inte landskapet som kommer att tillhandahålla lösningarna; det är upp till organisationerna att ta reda på det själva.

Jag tänker på lagstiftningskontrollen, som ofta påpekas. Det sägs att lagen kommer att trasas sönder, och det påstås ganska självklart att det kommer att hända.

Jag är lite nyfiken på vad man grundar det på. När det gäller delar av detta, t.ex. myndighetskontrollen så är det väl tydligt att det bör vara åländsk behörighet, men det finns andra aspekter där vi behöver testa om åländsk behörighet verkligen gäller.

Men var får man det tvärsäkra påståendet att detta kommer att falla?

Jag är, som sagt, väldigt skeptisk till att det här är ett bra ämne att testa behörigheten på. Jag ställer mig mycket tvivelaktig till det.

Ett annat problem med lagstiftningen är att om vi ska godkänna ett lagförslag nu, som också hänvisar till finsk lagstiftning som inte ens existerar, så uppstår ett juridiskt problem. Det har vi faktiskt erfarit under arbetets gång och detta kan bli ett problem, och det är något jag också vill lyfta.

Talman!

I vissa fall kanske det från åländsk sida har skickats ut så kallade testballonger för att det är intressant att pröva behörigheten. I det här fallet handlar det om att skydda både företag och människor från ett reellt hot som finns, och därför är det viktigt att klargöra behörigheten. Det enda sättet att göra detta på är att föra frågan vidare till lagstiftningskontrollen.

Ledamoten talade om att vi borde koordinera oss med riket som har ett förfarande där olika uppgifter placeras ut på olika myndigheter och ministerier. På Åland har vi Ålands landskapsregering. Det vore intressant att höra ledamot Lindströms resonemang kring hur man skulle kunna skapa kongruens mellan den åländska förvaltningsstrukturen och rikets förvaltningsstruktur, med tanke på att hela grundförvaltningen ser olika ut.

Ja, jag har svårt att tro, om vi skulle göra det här helt och hållet själva, att det skulle öka säkerheten för de åländska organisationerna och företagen.

Som jag har sagt tidigare, den kunskap och kompetens som krävs på det här specifika området existerar mer eller mindre inte. Därför kan jag inte stöda detta och påstå att det skulle bli bättre och säkrare för de åländska företagen om vi sköter det.

Jag förstår inte vitsen med det.

Det jag vill säga är att det är viktigt att klargöra behörigheten. I de fall där det handlar om rikets behörighet, vi vet att lagen anger att vissa områden faller under rikets behörighet, och i de fall åländsk behörighet deklareras så innebär att det tydligt finns en ansvarig myndighet. Detta är det centrala här, så att vi inte hamnar ut för större hybridhot där vi står handfallna mellan riket och Åland, och det uppstår en tvist om vems behörighet det är att reda upp en situation. Det är därför denna lag är viktig att driva framåt, så att vi får behörigheten klargjord.

Som tidigare har nämnts i debatten så genomförs denna lagstiftning baserad på den finska ministerindelningen och det finska cybersäkerhetscentret och den organisationsformen har vi inte på Åland.

Ja, det stämmer. Jag tycker att vi också bör lyfta fram olika entiteter och hur ska vi avgöra vilka som är kritiska och vilka som är viktiga. Det är också värt att notera att resonemangen skiljer sig avsevärt mellan landskapsregeringen och riket. Riket resonerar på ett helt annat sätt, där handlar det om betydligt färre entiteter som berörs av direktivet. Detta skulle i sin tur kunna minska problematiken för de åländska företagen.

Tack, herr talman!

Jag vill ställa frågan: Vad är det för typ av självstyrelsepolitik vi vill driva i dessa frågor? Det är lite knepigt när det handlar om frågor som är relativt moderna, särskilt i jämförelse med självstyrelselagen i dess nuvarande form.

Vi i lagtinget är ett parlament som kan liknas vid ett nationellt parlament, fast i mindre skala och det närmaste man kommer istället för ett kommunfullmäktige. Vi behöver vara proaktiva. Vi måste analysera vilken typ av lagstiftning som behöver göras proaktivt, istället för att vara reaktiva och vänta på att andra ska agera.

Detta är en fråga som anses vara mycket brådskande, med tanke på det läge som världen befinner sig i just nu, och det läge som vi själva är i. Vad händer sedan? Man kan se att om man ger allt och säger att "nu ska Finland sköta detta", så konstateras det ändå att vissa delar är åländsk behörighet och den process som sen följer riskerar att bli försenad.

Om Finland implementerar och Åland ligger vi efter, riskerar vi bötesbelopp? Det är dumt att bara dra på dessa frågor.

Ja, som jag sa tidigare så handlar det om vilken form av självstyrelsepolitik man vill bedriva. Jag vill förespråka en självstyrelsepolitik som jag tror är bättre för de åländska företagen, framför allt för organisationerna.

Det är viktigt att vi på ett så säkert sätt som möjligt kan införa de här säkerhetsdirektiven. Vi måste alla helt och hållet instämma i att detta är av stor betydelse, särskilt med tanke på det rådande säkerhetsläget. Jag tror att kompetensen finns i Finland när det kommer till dessa frågor, och jag är övertygad om att Finland faktiskt har Ålands bästa för ögonen.

Vi är viktiga ur ett säkerhetsstrategiskt perspektiv, både på grund av vårt insulära läge och vår egen holme. Därför tror jag att detta kommer att tas på allvar.

Jag vill återigen betona på proaktivitet som ett parlament och en regering bör ha, även i ett självstyrande område. Det finns en risk att dessa frågor kommer att dyka upp i ett senare skede. Därför bör vi ta itu med detta innan Finland har lagstiftningen på riksdagens bord.

Vi i Liberalerna anser att detta är ett bra sätt att vara proaktiva och se till att vi hanterar de frågor som kanske ändå behöver klargöras. Det är inte alls säkert att det blir billigare och bättre för våra företag om allt hanteras helt och hållet från finskt håll. Det kan leda till lagstiftning som inte alls kan påverka situationen.

Vi gör helt olika slutsatser. Jag tycker att detta är en bra metod. Det är viktigt att vi på Åland visar att vi vill ha kontroll över dessa frågor. Det är vi som har behörighet över dessa områden, och det är vi som kommer att ha nytta av detta. Vi vill skydda vårt samhälle, och jag tror att detta är det bästa sättet att gå framåt. Vi måste agera i god tid för att undvika förseningar.

Ja, man kan ju bara konstatera att vi vill ju egentligen samma sak fast på olika sätt. På det viset så får vi väl säga att vi är mera överens än vad vi inte är överens.

Talman!

Ledamot Lindström använder ursäkten att många europeiska länder ännu inte har ratificerat direktiven, och menar att Åland därför inte behöver göra det än. Men det faktum att andra aktörer inte följer tidsramen eller reglerna kan inte rättfärdiga att vi struntar i tidsramen. Om någon annan gör fel, gör inte det saken mer rätt enligt mig.

Hur ser ledamoten på frågan?

Nej, som sagt, det är egentligen ingen ursäkt. Det visar på hur komplext det här ärendet är. Många medlemsstater verkar, vad jag förstått, vänta på hur de andra ska implementera det här, på grund av hur otroligt komplext det är.

Och det vet ju ledamot Löthman eftersom vi har suttit i utskottet tillsammans och jobbat med de här frågorna; det här är mycket mer komplext än vad vi någonsin trodde när vi började med arbetet. Så det är ingen ursäkt, men det är ett konstaterande att så är fallet. Kanske är det lite bättre att låta någon annan göra misstag än att göra det själv först.

Talman!

Ledamot Lindström, jag instämmer. Jag har varit med där. Det kan ha en viss orsak till att vi är lite snabbare, kanske på grund av storleken på vårt land. Men det är fortfarande så att om någon annan gör fel, eller om någon i den här lokalen kör för fort, så misstänker jag att jag inte kan använda det som ursäkt om polisen stoppar mig för fortkörning.

Det är fel att inte vara i tid, men det är också onödigt att upprepa misstag som andra har gjort. Om någon annan har gjort fel kan vi lära oss av det och göra rätt istället.

Det är viktigare att vi får den här lagen riktigt bra, än att vi bara lyckas komma i tid till EU. Jag anser att det känns mer betydelsefullt att vi får lagen så bra som möjligt.

Talman!

Tillsammans med ledamot Thörnroos och Lindström har jag valt att reservera mig mot betänkandet från lag- och kulturutskottet gällande lagförslaget om cybersäkerhet och motståndskraft.

Det finns frågetecken ur ett självstyrelsepolitiskt perspektiv. Jag ställer mig frågande om detta är rätt tillfälle och rätt lagstiftningsområde att testa behörighetsgränserna, särskilt eftersom landskapsregeringen själva uttryckt tvivel om lagområdet verkligen faller under vår behörighet. Det här har ledamot Thörnroos på ett utomordentligt sätt förklarat, så jag går inte in på det.

Jag går in på de ekonomiska konsekvenserna. Det står i betänkandet: "Ett enigt utskott instämmer i landskapsregeringens bedömning att lagförslaget kommer leda till ökade kostnader både för berörda verksamhetsutövare och för landskapsregeringen själv."

När det gäller kostnader, så som företagare blir man orolig när kostnaderna ska öka. Det är mycket sådant.

Utskottet konstaterar vidare, "att det föreslagna regelverket innebär ett stort ansvar för landskapsregeringen att ombesörja riskhantering, säkerhetsåtgärder och incidentrapportering för att hantera de alltmera omfattande och sofistikerade cyberattackerna, samt en ökad administrationsbörda genom kravet på tillsyn som leder till kostnader."

Vi som reserverat oss ser tydliga indikationer på att kostnaderna kan bli betydande, lagförslaget ger inte heller några riktigt bra svar på vem som ska betala eller hur detta ska finansieras. Och det är kanske är en av orsakerna till att jag står bakom reservationen.

Det kommer att krävas både resurser och kompetens som idag saknas, vilket även bekräftades redan av flera remissinstanser. Det här är även någonting som har framkommit under våra höranden i utskottet.

Hur ska vi på Åland hitta experter inom t.ex. området cybersäkerhet, det är hård konkurrens om dessa personer. Hur ska vi kunna attrahera dem att komma till Åland och jobba? Det är utmaningar. Det är viktigt att vi har tillgång till expertis och externa tjänster.

I utskottets behandling hörde vi att det finns mycket samarbeten med både Traficom och andra parter i Finland. Därför tror jag, efter att ha tagit intryck från hörandena, att ett utvecklat samarbete i dessa viktiga frågor med Finland är att föredra.

I utskottsbehandlingen har vi flera höranden. Så återigen, min klara uppfattning är att det här kan bli dyrt för Åland. Mer byråkrati, högre kostnader för ålänningarna och de åländska företagarna.

Sen kommer vi även in på tillsynsansvaret. Det är otydligt hur det ska skötas i praktiken. Landskapsregeringen föreslås vara både rådgivande och övervakande myndighet och det här har vi diskuterat i utskottet att kan bli problematiskt.

Då kommer vi in på jourtjänst dygnet runt. Det innebär praktiska och ekonomiska utmaningar. Det fick vi också höra i hörandena att många som var oroliga kring den här jourtjänsten, att det inte fanns något sådant idag etcetera.

Den åländska självstyrelsen ger oss möjlighet att anpassa lagstiftningen efter våra egna förutsättningar, men det innebär också ett ansvar att balansera regleringar med rimliga ekonomiska och administrativa bördor. Och det är väl det som är självstyrelsens dilemma ibland.

I detta fall väljer landskapsregeringen en ganska hög kontrollnivå. Är det nödvändigt eller skapar vi en onödig byråkrati och kostnader som kan försätta åländska företag och verksamheter i en svagare konkurrenssituation på Åland? Jag vet inte. Det är många saker här som är rätt otydliga från min sida i alla fall.

Jag har inte så mycket mer att säga, utan slutligen ber jag att få understöda ledamot Thörnroos förslag om omröstning. Tack!

Tack så mycket, talman!

Jag blir lite nyfiken på hur ledamot Holmberg är så säker på att de åländska företagen skulle få en bättre vardag med finsk myndighetsutövning, förmodligen på finska. Hur kan ledamoten vara så säker på att denna variant skulle vara mer förankrad med en lägre kostnad för företagen? Kraven kommer ju fortfarande att vara desamma när det gäller vilken nivå av säkerhet som måste uppfyllas exempelvis gällande cybersäkerhet.

Jag undrar om ledamoten skulle kunna dela med sig av sina tankar kring hur han har kommit fram till att det skulle bli en så mycket bättre vardag för företagarna med finsk myndighetsutövning.

Tack, talman!

I utskottets behandling fick jag erfara det, och jag går på den känslan att de har redan ett samarbete med Finland idag, och det är inte så mycket stora språkproblem som jag uppfattar det.

Tack, talman!

Vi ska vara återhållsamma med att nämna vem som har sagt vad i utskottet. Jag kan kanske inte helt dela den upplevelsen fullt ut att företagarna som helhet har sagt att de idag har ett befintligt samarbete, eftersom de idag inte omfattas av det här kravet. Så till den delen är jag inte helt enig med ledamoten om den bedömningen.

Ledamoten säger också att han brukar stå upp för självstyrelsen, men inte just den här gången. Jag menar att när det gäller behörighetsfrågan, specifikt gällande digitalisering, så är den i särklass den viktigaste behörighetsfrågan att få rätsida på i de tider vi lever.

Tack, talman!

Jag vill gärna spinna vidare på det här. Jag förstår inte riktigt hur man resonerar när man påstår att det skulle bli bättre och billigare om man backar bort från självstyrelsen. Tror faktiskt reservanterna att man i Helsingfors tar bättre hänsyn till den åländska småskaligheten än vad lagtinget kan göra?

Talman!

Jag kan tyvärr inte svara på det, eftersom jag inte vet. I utskottets höranden har jag inte haft möjlighet att få en klar uppfattning om detta, och därför har jag valt att inte stöda det här förslaget där man ska testa det.

Det som blir lite oansvarigt är när man inte har ett eget förslag, utan bara förkastar det som presenteras. Jag förstår om det finns delar av förslaget som man vill ändra på, men att helt förkasta det utan att komma med något eget känns inte konstruktivt.

Jag anser att den bästa garantin för att förhindra att kostnaderna skenar iväg alltför mycket, särskilt med tanke på den småskalighet vi har här på Åland, är att självstyrelsen ska ha möjlighet att påverka situationen. Det handlar om att vi behöver ta hänsyn till det behov av pragmatisk tillämpning som nämns i utskottsbetänkandet till exempel.

Jag har svårt att förstå varför man skulle ge bort möjligheten för självstyrelsen att anpassa lagar och istället enbart förlita sig på vad Helsingfors beslutar. Jag vill också påpeka att jag har svårt att acceptera tanken att vi inte skulle kunna samarbeta. Bara för att vi har en egen lag gör ju inte att vi kommer att sakna samarbete; vi har alla möjligheter till det.

Talman!

Just den här självstyrelsepolitiska frågan, samt hur hanteringen i utskottet har gått till, väcker en del funderingar. Jag fick en känsla av att man inte vände kappan efter vinden, men i ett ganska tidigt skede, och även i ett sent skede, var flera regeringspartier inne på att man skulle förkasta det här förslaget. Man ansåg att man skulle ta tillbaka det. Det är något som gjorde mig fundersam kring hur man ska gå vidare.

Utskottet beslutade sig sedan för att gå vidare med frågan, och det respekterar jag. Men jag har inte samma åsikt i den frågan.

Talman!

Ledamot Holmberg för företagarnas talan. Och det är bra så.

Vi har nyligen kunnat läsa i media att åländska företag har drabbats av cyberattacker. Jag är ganska övertygad om att det har funnits incidenter som inte har rapporterats i media, av ganska lätt förståeliga skäl.

Ledamoten förde ett resonemang om ökade kostnader för företagarna. Kostnaderna kommer att finnas även om det finns en lag eller inte, eftersom företagarna måste skydda sig oavsett. Kan ledamot Holmberg utvecklar detta med kostnaderna kanske?

Talman!

Som jag nämnde tidigare har vi haft flera höranden, och under dessa har det framkommit att många är mycket oroliga för de ökade kostnaderna. De påpekar tydligt att det finns administrativa kostnader och regelverk som kommer att göra det dyrare för deras verksamheter.

I utskottets betänkande skrivs också att detta kommer att leda till ökade kostnader. Jag har en lång lista med anteckningar från alla höranden, där företag och olika instanser uttrycker sin oro kring de ökade kostnaderna. Det är värt att notera att vi själva i utskottet har konstaterat att detta kommer att leda till högre kostnader.

Därför kan man ställa frågan till ledamot Pettersson: Vem ska betala alla dessa kostnader?

Jag vill återigen betona vikten av att skydda sig mot cyberattacker och det medför alltid en kostnad. Det är hög tid att vi hanterar detta nu.

En fråga som har ställts är hur vi ska få reda på vem som ska stå för kostnaderna, Åland eller riket. Men om vi inte testar lagstiftningsbehörigheten och helt enkelt förkastar lagförslaget, då kommer vi aldrig att få svar på den frågan.

Talman!

Först och främst vill jag ta upp kompetensnivån gällande cybersäkerhet. Lagen är tydlig i detta avseende. Direktivet klargör att vi måste samarbeta, inte bara nationellt utan också inom Europa. Det bygger på att vi ska dela med oss av våra kompetenser. Åland kommer inte att bli en isolerad ö i detta sammanhang, utan vi har ett cybersäkerhetscenter som ska verka för hela landet, för att ge ett exempel.

Den andra delen, ledamoten Holmberg påstår att vi inte har någon kompetens på Åland. Kanske har vi få personer med djup cybersäkerhetskompetens, men min uppfattning är att de flesta företag inom IT och digitalisering i branschen faktiskt har cybersäkerhetskompetens. Det förväntas av dagens leverantörer. Därför kan jag inte förstå varför ledamoten Holmberg helt avfärdar kompetensen hos alla de åländska bolagen, samtidigt som han säger sig värna om näringslivet.

Talman!

Minister Zetterman har tolkat mig fel, jag har nog inte sagt något sådant. Jag sade så här: Hur ska vi på Åland hitta experter inom till exempel området cybersäkerhet? Det är hård konkurrens om dessa personer. Idag finns det kanske 1 till 2 personer, som vi har fått erfara i utskottet, som har dessa kompetenser.

Så det stämmer ju inte, det som minister säger.

Jag tycker att den bild som ledamoten Holmberg lyfte fram är förenklad. När det gäller cybersäkerhet och de grundläggande hygienkraven som ställs så är det något som många har stor kunskap om.

Däremot är den djupa expertisen inom cybersäkerhet en annan fråga. Det handlar inte alltid om den djupaste kompetensen; det räcker väl med personer som är införstådda med vad olika standarder kräver för nivåer.

Jag vill också påpeka att den jourtjänst som ledamoten Holmberg talade om kan ge intrycket av att den är avsedd för just detta ärende. Så är det dock inte. Från förvaltningarna efterfrågas en jourtjänst i allmänhet, inte en cybersäkerhetsexpert. Det tycker jag är viktigt att understryka. Likaså vill jag påpeka att detta lagförslag inte gäller allt (… taltiden slut).

Talman!

Gällande jourtjänsten så finns det ingen sådan tjänst idag. I det här lagförslaget ser vi att det kommer att införas flera tjänster, vilket innebär kostnader, eller hur? Det framkom även under hörandet gällande jourerna en viss oro. Det är också värt att nämna att flera redan samarbetar med Traficoms jourtjänster som finns på plats.

Tack, talman!

Som jag har förstått så är det troligt att om Finland skulle hantera detta så skulle det innebära att betydligt färre aktörer skulle behöva uppfylla de krav som ställs, jämfört med vad man nu har kommit fram till. Jag har tolkat debatten som att dessa företag och aktörer inte kommer att drabbas ekonomiskt, åtminstone inte i större utsträckning, eftersom de själva är intresserade av sin cybersäkerhet.

Jag känner mig alltid osäker när vi pratar om digitalisering och cybersäkerhet, men om vi ser på områden som jag behärskar, så är det ofta så att man kan få en betydligt bättre produkt till ett lägre pris, än om man måste följa en lagstiftning. Ibland kan lagstiftningen sätta käppar i hjulet. Jag vet inte om det är fallet här. Är det något som ni har diskuterat i utskottet?

Talman!

Jag delar delvis ditt tankesätt. Det är tydligt att det finns många frågor kring dessa kostnader. Visst har vi diskuterat detta i utskottet, men jag har tyvärr inget bra svar på det.

Tack, talman!

Med lagstiftning kan man ibland skjuta över mål, när det blir väldigt många aktörer som ska följa samma lagstiftning. Det kan ofta vara bättre om företagen själva får göra bedömningen av vilken typ av cybersäkerhet de behöver, istället för att tvingas följa en lagstiftning.

Talman!

Tack för förtydligandet. Det blev lättare att förstå när man hörde företagares perspektiv. Jag upplevde att flera företag redan har implementerat de åtgärder som diskuterats. De arbetar redan aktivt med frågorna och ser inte behovet av mer lagstiftning och byråkrati, eftersom de redan jobbar med många saker. Cybersäkerhet är en naturlig del av deras verksamhet. Idag är det inte något man bara sopar under mattan; det handlar om viktiga frågor.

Värderade fru talman!

Föreliggande landskapslag om cybersäkerhet och motståndskraft tar avstamp i tvingande EU-direktiv som borde ha varit genomförda nationellt redan i oktober förra året också på Åland. Till den del Åland nu fullföljer implementeringen har man denna gång inte kunnat snegla på det sätt som riket fullgör sin skyldighet, eftersom man där ligger än mer efter förutsatt tidtabell.

Lagförslaget är synnerligen väl genomarbetat och har eftersträvat, där det har varit möjligt, att i förhållande till de bakomliggande direktiven, lägga sig på möjligast rationella och kostnadseffektiva nivå.

Redan i lagförslaget görs bedömningen att behörighetsfrågan – åtminstone till vissa delar – är oklar. Den aktuella lagstiftningen reglerar inte utpekade behörighetsområden utan är en lagstiftning som ”genomsyrar” och påverka ett antal olika sakområden, varav en del med säkerhet faller under landskapets behörighet och en del rikets behörighet. Denna omständighet framtvingar i sig att föreliggande landskapslag måste genomgå den så kallade lagstiftningskontrollen, så att vi sedan med säkerhet vet vilken part – riket eller landskapet Åland - som bär ansvar för vad, och vad det i sin tur ska föranleda, bland annat vad gäller eventuella behov att ingå en överenskommelseförordning för att hitta det mest ändamålsenliga sättet att handha och förvalta berörd lagstiftning.

Utskottets betänkande är synnerligen uttömmande och välformulerat, och tydliggör att det finns endast en väg framåt; att anta föreliggande lagförslag bland att för att bringa klarhet i behörighetsfördelningen, vilket i sin tur sedan påvisar hur fortsättningen bäst ska hanteras för att uppnå de mest kostnadseffektiva och ändamålsenliga lösningarna för de åländska aktörer inom den privata och den offentliga sektorn som berörs av lagen, samt hur landskapsmyndigheterna förutsätts axla sitt förvaltningsansvar på bästa sätt.

Utskottets minoritet har i sin reservation bland annat lyft fram att de ekonomiska konsekvenserna av lagförslaget inte är klarlagda och inte heller vem det är som ska betala. Det är säkert så, men detta klarnar när behörighetsfrågan är avgjord via den kommande lagstiftningskontrollen, som är ägnad att tydliggöra vad som är självstyrelsens och vad som är rikets ansvar vid verkställighet av det aktuella lagstiftningsområdet.

Avslutningsvis finns det skäl att omnämna att det vid utskottets omfattande hörande bland annat har framkommit att de viktiga och i sammanhanget stora aktörerna inom den privata sektorn på Åland redan sedan en längre tid har byggt upp välfungerande system för att motstå oönskade cyberattacker och därigenom också skapat sig en möjligast effektiv motståndskraft mot de kriminella element som hänger sig åt olagliga attacker, främst i utpressningssyfte.

Den liberala lagtingsgruppen stöder det föreliggande lagförslaget och anser med eftertryck att den valda lagstiftningsvägen är den enda rätta. De bakomliggande EU-direktiven måste implementeras i vår lagstiftning. Vi är redan sent ute. Och behörighetsfrågan måste snarast klarläggas via den så kallade lagstiftningskontrollen. När det är gjort vet vi vilken grad av ansvar och kostnader som sist och slutligen faller på självstyrelsens axlar. Tack för ordet!

Tack, fru talman!

Pratet om att det är bråttom och att vi är sent ute, men majoriteten av EU:s medlemsländer har inte genomfört den här lagstiftningen och att stå här och hänvisa till brådska när man diskuterar denna lagstiftning så det håller inte riktigt ihop.

Det finns en tidsgräns, men allt är relativt. Vad är konsekvenserna av att vi inväntar Finlands lagstiftning? Det hade varit det vettiga att göra i det här fallet.

Nu har man ju tagit en svensk lagstiftning, mer eller mindre. Om vi hade inväntat finsk lagstiftning, då hade vi haft två stycken lagstiftningar att kunna titta på och sedan göra den bedömning som nu görs förhastad, som jag anser.

Varför skulle det inte vara bättre att vänta på den finska lagstiftningen, så att man hade flera att titta på? Det här med brådska är inte ett hållbart argument.

Vad gäller brådskan, jag är ledamot av ett parlament som har givit sitt bifall till Ålands anslutning till den Europeiska unionen. Vi har också förbundit oss att implementera EU-direktiv inom den tid som förutsätts. Vi kan inte ursäkta oss med att andra länder släpar efter; det är vårt ansvar att, om möjligt, följa tidsgränserna för implementering.

När det kommer till behörigheten inom det här området finns det endast en väg att gå, och det är genom lagstiftningskontrollen. När vi har den klar för oss vet vi också vad det i sin tur föranleder. Som jag nämnde tidigare, handlar det om att invänta rikets lagstiftning för att sedan anta den via en blankettlag, (… taltiden slut).

Tack, fru talman!

Som jag förstår ledamoten så handlar det om principen att vi har ingått avtal om att uppfylla dessa åtaganden inom utsatt tidsgräns, trots att majoriteten av EU inte har gjort det. Det verkar vara viktigare för ledamoten än att vi får en bra lag som inte är förhastad. Det är i alla fall inte min bedömning. Men jag förstår hur ledamoten resonerar; det handlar mer om principiella frågor än om vad som faktiskt blir bra för Åland.

Ledamoten får gärna upplysa mig, eftersom han är kunnig inom självstyrelsefrågor. Jag förstår inte riktigt. Vi skulle kunna ha gjort samma bedömning som man nu gör, trots att vi hade väntat på rikets lagstiftning och sett hur den blev. Ska vi ta en blankettlagstiftning, eller ska vi gå den här vägen? Eller har jag missförstått något? Det kan hända att jag har det.

För mig är det en självklarhet att, som ledamot av ett parlament som har förbundit sig till EU-rätten, följa implementeringstiden om man har förutsättningarna för det. Detta gäller oavsett om andra inte gör det.

Om vi skulle ha väntat på rikets lagstiftning på området och sedan antagit den via en blankettlag, så skulle vi ha varit totalt ofullständigt ovetande om vilka delar vi skulle kunna ha hanterat i förhållande till eventuella undantag. Vi har nämligen inte full insikt i behörighetsfördelningen.

Tack, talman!

När det gäller EU-förordningar och direktiv har vi inte så många alternativ här i Ålands lagting, annat än att anpassa oss och anta dem. Vi har dock alltid möjlighet att utforma lagstiftningen och definiera i vilken omfattning vi inför den, samt vem som berörs av den.

I det här fallet har vi fått kännedom om den åländska definitionen av vem som berörs. Det visar sig att flera företag kommer att påverkas jämfört med den tolkning som har gjorts i Finland, där det är betydligt färre som skulle beröras av detta. Vi har alltså valt en bredare tolkning här på Åland. Är det rätt väg att gå?

Ja, det är lite av en nyhet för mig att vi har skapat en lagstiftning som på något sätt utvidgar området för vilka som kommer att beröras, jämfört med vad som är på gång i rikets kommande lagstiftning.

Talman!

Jag har fått den kännedomen under resans gång att den finska tolkningen tyder på att det handlar om en organisation eller ett företag på Åland som skulle beröras av den här förordningen. Om vi istället ser på den åländska tolkningen, så är det ett trettiotal.

I min värld väcker detta frågan om vi har varit för stränga i det åländska förslaget till lagstiftning, jämfört med den finska tolkningen. Jag är mycket medveten om att den finska lagstiftningen fortfarande inte är helt klar. Vi har ju inte facit, som har nämnts tidigare. Men åtminstone de utlåtanden som har kommit in pekar på att allt färre, sett med finska ögon, skulle omfattas av denna förordning.

Jag förmodar att ledamoten Nordberg, när han nämner förordning, menar direktiv.

Om hörsägen säger att det i rikslagstiftningen skulle finnas en snävare tolkning av vilka typer av företag eller vilken storlek på företag som skulle beröras, jämfört med vad som gäller i den åländska lagstiftningen, så det är för mig okänt. Den frågan kan jag besvara den dagen då det finns ett antagen rikslag, huruvida det stämmer eller inte.

Talman!

Tack för anförandet ledamot Lindbäck. Jag vill fortsätta på den frågeställning som tidigare togs upp av ledamot Mika Nordberg.

Utskottsmajoriteten, som ledamot Lindbäck ingår i, har skrivit att "utskottet har dock erfarit att det föreslagna lagförslaget vid vissa tillfällen inför strängare regler än vad som är nödvändigt." Vi har fått tydliga indikationer på att man, både från rikssidan och från den svenska sidan, lägger sig på en miniminivå. Samtidigt har landskapsregeringen valt en högre nivå.

Man skriver: "Utskottet noterar att landskapsregeringen framhåller att lagförslaget anpassar implementeringen av EU-direktivet till de lokala förutsättningarna på Åland, samt att det håller sig nära reglernas minimikrav." Men man ligger ändå över dessa minimikrav.

Hur ser ledamoten på detta?

Ledamoten Lindbäck, hur ser han på detta? Som ledamot i lag- och kulturutskottet förlitar han sig på att landskapsregeringen, vid framtagandet av den aktuella lagstiftningen, har gjort en korrekt och skälig bedömning av hur man ska förhålla sig utgående från de åländska förhållandena och hur de olika aktörer som finns på Åland borde beröras eller inte beröras, till den del man har haft tolkningsmöjligheter eller svängrum i den frågan.

Talman!

Vi har en samsyn i den frågan, det vill säga att landskapsregeringen har ställt högre krav än minimikraven från EU.

Jag skulle också vilja ställa en fråga till ledamoten, som har lång erfarenhet av lagstiftning. Hur ser ledamoten på det faktum att vi nu har valt ett helt annat förhållningssätt när det gäller organisationen och övervakningen av dessa direktiv, jämfört med vad som görs på rikssidan?

Vi har valt den svenska modellen med en horisontell allmän lag som styr allting annat, medan man på rikssidan har sektorsspecifika myndigheter som kontrollerar vissa aspekter. Ser ledamoten något problem i samband med de överenskommelseförordningar som landskapsregeringen vill få till stånd, med tanke på att den organisatoriska modellen avviker avsevärt mellan Åland och riket?

Jag förstår inte riktigt. På något sätt tycker jag att den här frågan har ställts och att den har besvarats.

Om det visar sig att åtminstone delar, eller kanske väsentliga delar, av den här lagstiftningen av landskapets behörighet, så ligger under myndighetsansvaret på självstyrelsen. Hur skulle självstyrelsen skulle kunna till de delarna fördela sig på ett annat sätt än man har gjort, det är för mig svårbegripligt.

Talman! Ledamöter!

Jag har följt debatten med intresse. När jag kom in här var jag ganska dåligt insatt. Jag hade ögnat igenom lagen, och nu har jag kommit fram till min ståndpunkt. Jag anser att det är viktigt i en debatt att ta intryck av varandra.

Häromdagen satt jag i social- och miljöutskottet och jämförde Finlands och Ålands lagar. Jag noterade att böckerna var lika tjocka. Jag hörde att Ålands lagsamling var ungefär så här tjock år 2019, och på sex år har den ökat med 30 procent. Om tio år kanske den har ökat ännu mer. Jag skulle vilja kalla det självstyrelsens dilemma och de goda intentionernas paradox. Man vill gärna lyfta fram det viktiga självstyrelseperspektivet, men jag anser att man alltid måste göra en noggrann konsekvensanalys när man ska överta något lokalt.

Framför allt måste man beakta kostnaderna för att efterleva en specifik lagstiftning. Jag har inte sett några siffror på hur landskapsförvaltningens tjänsteinnehavarstab har utökats, men jag befarar att den ständigt ökar, vilket är en logisk konsekvens.

I det här fallet har jag uppfattat att en del lyfter frågan om det finns lokal kompetens. Ibland hör man elaka röster som säger att Åland är amatörernas paradis. Vi är trots allt bara 30 000 invånare, och det finns en begränsad kompetens. Det är en grundfråga.

Det verkar också oklart vem som har behörigheten. Som ledamot Lindbäck konstaterade så får man reda på det genom lagstiftningskontrollen.

Men den viktigaste frågan, mot bakgrund av sekreterarfrågan, handlar om kostnaderna. Om vi övertar lagar som kanske lika gärna kunde skötas som blankettlagar, vad händer då med andra verksamheter, som till exempel sjukvården?

I det här skedet, med min måttliga kunskap inom det här området, vill jag tydliggöra att jag i detta skede inte kan ställa mig bakom lagförslaget. Tack.

Talman!

Jag tror inte att ledamoten Lindén var så skarp i sitt ställningstagande. Han sade att vi skulle överta behörigheten, men det handlar inte om det i det här fallet.

Digitalisering och därmed cybersäkerhet finns inte med i katalogerna för behörighetsförändringen mellan riket och Åland. Det här är alltså en icke klarerad fråga. Det är inte en testballong som vi skickar ut för skojs skull, utan det handlar om att klargöra vem som har behörigheten för att kunna skydda befolkningen.

När det gäller den andra delen om begränsade kompetenser, så brukar jag ofta säga att vi ska vara försiktiga i den här salen när vi talar om digitalisering på det sättet. På Åland har vi stora IT-bolag med väldigt god renommé. Vi har en av Finlands största leverantörer av medborgartjänster på svenska här på Åland. Vi har också stora bolag som Crosskey som arbetar med banksekretess. Därför vill jag inte skriva under på att Åland skulle vara ett U-land till den delen.

Tack, minister Zetterman. Man får ju inte nämna olika företag vid namn, men jag kan konstatera att vissa mycket välrenommerade IT-företag var väldigt kritiska, till exempel när det gäller upphandlingen av VIS-systemet där man bara talade med en samtalspartner.

I den debatten bland sakkunniga, som jag med min måttliga kunskap har kunnat följa med, så visade det sig att kompetensen kanske är på lite varierande nivå. Jag kan dock inte döma den lokala kompetensen. Däremot kan jag säga att om det inte är bråttom, och det är något på gång i riket, så kan man ändå se tiden an. I princip kan jag väl säga att om något är kostnadsdrivande och vi kan ta en blankettlag (… taltiden slut).

Ja, som jag sa, så behandlas lagstiftningen den här veckan i riksdagen. Propositionen har vi haft tillgång till under utskottsbehandlingen, och vi har också tittat på den under lagstiftningsprocessen. Det är alltså inte så att vi har saknat information om hur riket arbetar, särskilt när det gäller cybersäkerhetsdirektivet.

CER-direktivet hade en senare process i riket, men även det närmar sig sitt slut.

När det gäller kostnaderna så har vi mest pratat om cybersäkerhet idag. Det är oklart varför vi pratar så lite om CER-direktivet, men den delen finansieras inom ramen och tjänsterna är färdigt tillsatta i och med budget 2025.
Att det kan hanteras inom ramen beror på att Ålands landskapsregering redan har arbetat med dessa frågor. De har samarbetat med andra myndigheter och står redan till förfogande för att hjälpa kommuner och andra aktörer.

Tack minister Zetterman. När jag kom in i den här salen och vi diskuterade den här kunskapen, blev min ståndpunkt tydligare under resans gång. Jag tycker kort och gott att man kan sitta still i båten och avvakta. Det är ingenting man behöver ha bråttom med.

Det som alltid borde åtföljas av en ny lagstiftning är just konsekvensanalysen i förhållande till kostnaderna, och den har jag inte sett när jag läste igenom hur mycket det skulle kosta i tilläggstjänster i landskapsförvaltningen. Men jag kanske har missat det. Det är mycket möjligt. Jag ser att minister Zetterman uppgivet skakar på huvudet. Vi får ta det vid ett annat tillfälle.

Tack, talman! Bästa lagting och övriga åhörare!

Jag börjar där ledamoten Lindén slutade, för jag anser att ledamoten Lindén hade rätt. Vi har ingen kostnadsbild på det här. Jag förstår inte varför civilminister Zetterman säger att det finns en tydlig kostnadsbild. Jag delar också ledamoten Thörnroos uppfattning att detta kan likna ett slukhål; vi har ingen koll alls på kostnaderna. Det kan bli väldigt dyrt att få ordning på det här.

Jag vill säga några ord om cybersäkerhet. Vi väljer nu att göra en fulltextlagstiftning som på något sätt ska implementera två direktiv samtidigt: ett som handlar om fysisk säkerhet och ett som handlar om cybersäkerhet. Detta gör vi i en situation där det verkar som att endast fyra medlemsländer, bland annat Belgien, Kroatien och Italien som har infört regler om detta. Övriga medlemsländer, inklusive Sverige och Finland, har inte gjort det. Alla dessa 23 medlemsländer som inte har infört regler har fått en så kallad formell underrättelse om detta och detta borde ha gjorts senast i oktober 2024. Ändå står det personer här i talarstolen och säger att vi behöver vara rädda för EU-böter om vi inte fixar det här. Det uttalandet visar att man överhuvudtaget inte vet vad man talar om.

EU-böter kommer efter ett förfarande som börjar med den formella underrättelsen. Om vi inte åtgärdar det får vi ett så kallat motiverat yttrande från EU som säger att vi har detta ogjort. Efter det kan det bli talan och fällande dom i EU-domstolen. De flesta av oss borde känna till sjöfågeljakten och vargjakten, där Åland blev fälld i EU-domstolen. Någon som minns hur länge det tog? Om vi nu skulle bestämma oss för att införa detta, riskerar vi böter om vi blir fällda i EU-domstolen igen, efter ett antal år.

Lissabonfördraget, som trädde i kraft 2018, införde faktiskt en möjlighet att redan i den första EU-processen, alltså EU-domstolsprocessen, yrka på böter som antingen är ett fast belopp eller ett vite, eller en kombination av båda. Faktum är att Sverige 2023 fick betala 8,5 miljoner euro för ett direktiv som gäller vapenhantering. Det kan ni förstå, Sverige har haft problem med vapenhanteringen. De blev fällda av EU-domstolen för att de inte infört ett direktiv från 2017, vilket innebär en sexårig process. EU-domstolen ansåg att detta var extra allvarligt eftersom det handlar om allmän ordning och säkerhet, och de har säkert också noterat utvecklingen i Sverige, där det verkar finnas ett vapenproblem.

Frågan är nu om vi ska vänta och se hur Finland gör, eller om vi ska rusa iväg med en egen lagstiftning och implementera den på ett sätt som inget EU-land hittills har gjort. Belgien, Kroatien och Italien har i varje fall inte infört en lagstiftning som omfattar båda direktiven i samma lag, utan de har separata bestämmelser.

Under perioden 1993 till 2023, alltså på 30 år, finns det 50 exempel på EU-fall där ni kan tänka er hur många direktiv som har kommit under denna tid. Ändå finns det bara 50 exempel där Grekland, Spanien, Frankrike och även Sverige figurerar, men Finland har inte ett enda.

Jag måste berömma utskottet för att de säger att självstyrelselagen ålägger myndigheterna att säkerställa att medborgarna får information på svenska. Det är trevligt att höra. Tänk om man skulle tillämpa samma princip när man industrialiserar Norrhavet och skapa rapporter på engelska som beskriver projektet. Tänk om man skulle ha samma inställning som utskottet poängterar, att det är viktigt att informera våra medborgare på svenska.

Det är jättebra om vi fortsätter med en blankettlag eller en fulltextlag. Vad ska vi välja? Är det någon som har koll på hur många blankettlagar vi har? Nej, inte jag heller. Men det är många, och vi har blankettlagar beträffande avfallshantering, polisen, elmarknaden, offentlig upphandling, barnskydd, socialförsäkring och så vidare. Bredbandsutbyggnad, kemikalier – ja, det finns hur lång lista som helst med otroligt viktiga områden där man behöver skydda medborgarna.

Det som talas om nu är att det är så bråttom. Jag hakar också på det jag hörde i en replikväxling om att vi har stora, fina IT-bolag på Åland. Det stämmer, även om "stort" kanske är att ta i. Vi har imponerande IT-bolag som är i framkant, men jag är övertygad om att de inte står och hoppar jämfota och frågar när vi ska komma med den här lagstiftningen. De har det ganska bra på det torra redan.

Det handlar inte om en akut insats, utan om att vi på lång sikt skapar ett system och rutiner för cybersäkerhet och fysisk säkerhet. Allt detta talar för att det inte är så bråttom att vi inte kan ha en blankettlag den här gången. Det är otroligt viktigt att reglera just detta område på vårt eget sätt.

Det stämmer inte att vi ska sitta lugnt i båten, som ledamot Lindén nyligen sade. Jag håller med om att vi skulle kunna sitta lugnt i båten en liten stund till och se hur detta utvecklar sig. Kanske vi skulle se att tio medlemsländer, inklusive Finland, har implementerat detta, så vet vi lite mer. Eftersom vi vet att Italien och Belgien åtminstone har infört det här, kan vi titta på hur de har gjort. Tack, talman!

Talman!

Först och främst angående kostnaderna. Jag har i tidigare repliker uppfattat att ledamoten Måtar lyfte fram frågan om landskapets egna kostnader. Dessa är väl presenterade i lagförslaget och det handlar om två tjänster på digitaliseringsenheten samt en person som skulle arbeta med motståndskraftsdirektivet. Det finns medel avsatta och tjänster tillsatta för de två första. När det gäller den andra tjänsten avvaktar vi hela laggranskningen, och ser när den är färdig och tillsättandet av den tjänsten. Som sagt, den stora delen hanterades i budgeten för 2025.

När det gäller verksamheternas kostnader så är det för landskapsregeringen omöjligt att uppskatta dem, eftersom de är helt beroende av vilken mognad varje organisation har och vilka system de använder. De mest kritiska företagen arbetar med kontinuitetsplanering och riskanalyser. Det är ingenting nytt för dem, men exakt var mognadsnivån ligger känner vi tyvärr inte till.

Tack, talman!

Jag är övertygad om att det var de här omständigheterna som både såväl lagtingsledamot Lindén som jag själv avsåg när vi efterlyste kostnader.

Det har framkommit i beredningen att landskapsregeringen har en helt annan syn på hur många som borde tillämpa dessa regler, jämfört med hur man ser på det från Finlands sida. Det finns också en kostnadsskillnad i detta.

Frågan är om det bara är en aktör på Åland som ska tillämpa detta eller om det handlar om 60 aktörer. Det blir en enorm kostnadsskillnad. När man talar om kostnader så är det totalkostnaden för att ha detta lagförslag, eller att inte ha det, det är detta som det handlar om.

Vi vet att förr eller senare behöver vi någon typ av regler, eftersom ett EU-direktiv kräver det. Men den här brådskan är inte rätt. Som sagt, vi har ingen kostnadsbild.

Talman!

En total kostnadsuppfattning hade krävt att vi först hade inlett en ganska omfattande utredning kring hur dagsläget ser ut, vilket också förändras i rask takt. Jag förstår att detta är frustrerande, och även för mig. Men det är den situation vi har. Vi vet också att många av de kritiska aktörerna har accelererat sitt arbete under det senaste halvåret och de skulle ha gjort det oavsett lagstiftning eller inte. Det är så det allmänna läget ser ut.

När det gäller antalet aktörer så har jag noterat att det finns en stor missuppfattning här i salen. Jag har begärt ett anförande just av den anledningen. Det verkar som om det har gått troll i diskussionerna här i lagtinget gällande skillnaden mellan de åländska och finländska analyserna.

Tack, talman!

Det är bra om minister Zetterman kunde förtydliga vad som har sagts. Det verkar som om det finns olika uppfattningar om vilka verksamheter på Åland som skulle omfattas av CER-direktiv. Vi har en mycket mer omfattande bedömning från landskapsregeringens sida jämfört med vad som har presenterats från Finlands sida.

Ledamoten Måtar är liksom jag jurist. Men det är uppenbart att vi har olika uppfattningar om huruvida man bör efterleva en bestämmelse om när något ska sättas i kraft eller inte. Min personliga åsikt är att om man kan, så ska man. Endast om man inte kan, kan man ligga och släpa.

När det gäller den andra frågan, alltså blankettlagar och det oändliga antalet blankettlagar, stämmer det. Men ledamoten Måtar vet lika väl som jag hur dessa blankettlagar är utformade, de mest vanliga. Där står nämligen att rikets lag ska vara gällande på Åland. Det finns också en följande paragraf som säger: "Till den del denna lagstiftning rör områden som är av åländsk behörighet, ska de i riksdagen utpekade myndigheterna ersätts på Åland av landskapsregeringen." (… taltiden slut).

Tack, talman!

Jo, ledamot Lindbäck, brukar jag säga att så länge det finns två jurister kvar på jorden, så kommer det att finnas två olika uppfattningar i en juridisk fråga. Så är det ju.

Jag börjar från slutet när det gäller blankettlag. Det är alldeles korrekt att en åländsk myndighet måste pekas ut för att hantera dessa frågor. Men jag är också orolig för de materiella bestämmelserna i det här lagförslaget som vi nu behandlar här i lagtinget. Jag hade hoppats att vi skulle kunna se lindrigare införanden, exempelvis från andra länder, främst från Finland.

Jag tänker inte bara på problematiken med myndigheter, utan också på frågan om vi ska släppa eller inte. Jag ser väldigt praktiskt på sådana här regler. Om vi kan släppa dem för att vi ska bli lite klokare, och om vi kan låta den här inlärningskurvan få fortsätta stiga, då ska vi göra det.

Jag fortsätter där tiden tog slut.

I dessa blankettlagar där man väljer den enkla modellen, och det gör man som regel, så säger man att det är landskapsregeringen som ska sköta de myndighetsuppgifter som enligt denna rikslag, som man gjort gällande på Åland, utpekar riksmyndigheterna. Men om vi inte vet vilken som är den åländska behörigheten i det här sammanhanget, hur ska vi då kunna veta vilka uppgifter landskapsregeringen ska sköta om inte den i lagstiftningen utpekade riksmyndigheten? Så vi står ju ändå där med byxorna i knävecken.

Tack, talman!

Jo, lagtingsledamot Lindbäck, det är helt korrekt det som lagtingsledamoten säger. Skillnaden mellan lagtingsledamot Lindbäcks och min syn på den här saken är att Lindbäck har mer bråttom att komma till lagstiftningskontrollen än vad jag har.

Jag är mycket väl medveten om att vi måste stifta en lag förr eller senare i denna fråga. Vi kan börja med en blankettlag om vi ser att den finska lagen faller oss i smaken. Även i samband med att vi stiftar en blankettlag kan behörighetsfrågor ställas på sin spets.

Så fort vi skapar en lag här blir den föremål för lagstiftningskontroll, och det kan handla om en eventuell budgetlag. Men oavsett vad, så kommer vi förr eller senare att hamna i lagstiftningskontrollen; det är bara en fråga om när.

Talman!

Det finns mycket som skulle kunna sägas efter den här intressanta diskussionen, men med hänsyn till det kommande ärendet på listan så håller jag mig kort och fokuserar på en enda sak.

Det handlar om frågan kring huruvida vi har gjort det mycket strängare på Åland än vad man har gjort annanstans, särskilt när det gäller företagen som flera gånger har varit uppe på tapeten. Min uppfattning är att den tolkningen inte stämmer.

Jag förstår inte riktigt varför den här diskussionen har uppkommit, men ledamoten Mika Nordberg gav mig en ledtråd när han i en replik sade att riket gör bedömningen att det bara finns en instans som skulle omfattas.

För det första, jag vet att det finns en sådan urban myt som cirkulerar, och den gäller enbart CER-direktivet, motståndskraftsdirektivet, inte cybersäkerhetsdirektivet. Jag har försökt utröna mer specifika uppgifter kring varifrån detta kommer och om det är ett officiellt uttalande eller inte, och så är heller inte fallet. Att påstå i sten att riket skulle utse en CER-aktör på Åland har jag inte hittat något strikt fog för. Därtill ska vi komma ihåg att direktivet kräver en annan bedömning när det gäller platser med insulära lägen.

Riket tar sin lagstiftning nu denna vecka, jag tror att de har andra behandling idag när det gäller NIS2-direktivet. Hur riket sedan gör sin bedömning är ingenting som finns fastslaget, så det kan vi inte jämföra oss med.

Tack, talman!

Minister Zetterman, för det första så står det i det här betänkandet som vi behandlar här idag att det verkar som att man inför strängare regler än vad som skulle vara miniminivå. Det sägs bara rent abstrakt och inte vad som avses. Min uppfattning är att man avser de åländska kommunerna som nu igen ska utsättas för hårdare krav än vad som skulle vara nödvändigt. Men där kan väl ministern rätta mig om jag har fel.

Talman!

Så uppfattar jag även den skrivningen att det handlar om kommunerna.

Åland har egentligen ställt sig mittemellan Sverige och Finland. Sverige har en mycket striktare implementering när det gäller kommunerna än vad vi har på Åland, medan Finland har en mindre strikt hållning, mycket med hänvisning till de känsliga uppgifter och det arbete som utförs inom välfärdsområdena.

Ja, det skulle vara intressant att få en närmare beskrivning av hur man resonerar när de här små åländska kommunerna ska utsättas för regler som känns oproportionerliga i förhållande till den verksamhet som bedrivs hos åländska kommuner.

Talman!

Med vår lagstiftning blir de minsta kommunerna uteslutna från detta. Jag vill också påpeka att detta är en fråga som berör människorna. Våra kommuner har mycket breda uppgiftsområden, och precis som vi har sagt i lagstiftningen, så går inga direkta medel ut.

Landskapsregeringen planerar redan nu hur vi på andra sätt, till exempel genom förebyggande tillsyn och informationsinsatser, kan hjälpa kommunerna. Jag vet att kommunerna också tillsammans tittar på gemensamma lösningar när det gäller IT-system och digitalisering i stort. Alla inser att var och en av oss, även den allmänna förvaltningen här, är för liten för att sköta dessa uppgifter.

Tack, talman!

Jag tror att vi har en samsyn, minister Zetterman och jag, kring att det här är ett väldigt viktigt ärende och att vi behöver processa det vidare.

Men som jag tidigare har sagt, så är vi inte riktigt överens om vägen, vilken väg som är den lämpligast i det här fallet.

Att lagförslaget kommer att leda till ökade kostnader för både berörda verksamhetsutövare och för landskapsregeringen själv, så det skriver ju utskottets majoritet i sitt eget betänkande. Man skriver också att man kommer att införa strängare regler än vad som är nödvändigt. Observera detta, utskottets majoritet skriver: "Utskottet har dock erfarit att det föreslagna lagförslaget vid tillfällen inför strängare regler än vad som är nödvändigt."

Detta visar också på svårigheterna och komplexiteten i lagförslaget, och att försöka hitta en gemensam samsyn på detaljnivå.

Talman!

Det är tydligt att detta kommer att kosta. Det råder inget tvivel om det. Det nya säkerhetspolitiska läget kommer att medföra kostnader, både för länder och kommuner och även för Ålands landskapsregering. Det handlar om att stärka vår motståndskraft oavsett om det gäller fysisk motståndskraft, samhällens självförsörjning eller hotet från cyberattacker.

Det kommer att kosta, oavsett om det är åländsk lagstiftningsbehörighet, finsk lagstiftningsbehörighet eller om det inte finns någon lag alls. Var och en bör inse att vi av ren självbevarelsedrift behöver vidta åtgärder.

Talman!

Ingen har sagt att det inte ska vidtas åtgärder. Det där är bara dumheter. Ingen från oppositionsbänken har påstått att åtgärder inte ska vidtas. Däremot har vi tveksamheter kring vem som ska omfattas av detta, eftersom vi får olika information om vad som egentligen gäller.

Vi tror också att större ekonomiska organisationer, som ofta har expertkunskap, vanligtvis är lite billigare i drift än mindre verksamheter. I det här fallet anser vi att man bör vara rädd om skattemedlen som flyter in till landskapet och istället ta in en utvecklad köptjänst från rikssidan, istället för att skapa någon sorts egen myndighet, tvehuvud drake med både rådgivning och övervakning inom samma myndighet.

Talman!

Även om jag motsätter mig uttryck som att man pratar dumheter i den här talarstolen, kan jag konstatera att jag flera gånger idag har hört att man är oroad över kostnaderna för aktörerna. Dessa kostnader för aktörerna är oberoende av hur vi organiserar det här.

Jag vill igen understryka något som oppositionen, medvetet eller omedvetet, hela tiden kopplar bort i den här diskussionen. Det handlar om att det via EU-direktivet finns krav på en kontaktpunkt, och den ska alla myndigheter inom medlemsstaterna samarbeta med. Vi har redan etablerade samarbeten med cybersäkerhetscentret. Vi har kontakter med dem och deltar i utbildningar via dem.

Ledamoten eller ålänningarna behöver inte vara oroade över att vi tror att vi vet och kan allt bäst vid Ålands landskapsregering.

Värderade herr talman, ledamöter!

När man begär en replik får man aldrig sista ordet. Det är som sagt två jurister här i salen, och den andra fick avsluta replikskiftet på ett för mig lite obegripligt sätt.

Jag har under 24 år som ordförande för Ålandsdelegationen varit med och producerat delegationens utlåtanden över landskapslagstiftning, inklusive i princip samtliga blankettlagar där rikslagen har gjorts gällande på Åland.

Man inför en andra paragraf där det anges att till den del det i rikslagen utpekas myndigheter och rikslagen reglerar något som faller under landskapets behörighet, ska man istället för att vända sig till rikets myndighet, vända sig till landskapsregeringens myndighet. Det är alltså landskapsregeringen som är den ansvariga myndigheten.

Om man nu skulle invänta rikets lag och göra den gällande på Åland i form av en blankettlag, skulle det innebära att man på Åland ska vända sig till landskapsregeringen om det som regleras i rikslagen faller under landskapets behörighet.

Varje gång har vi i Ålandsdelegationen, och även Högsta domstolen om ärendet har gått dit, uttryckt oro över det sätt på vilket man i landskapslagen försätter tillämparen av denna lagstiftning i en synnerligen osäker situation.

Hur ska en person, oavsett om det är en fysisk eller juridisk person, veta när man ska vända sig till den i rikslagen utpekade myndigheten och när man ska vända sig till landskapsregeringen? Det förutsätter att personen, den juridiska eller fysiska, faktiskt vet att det som regleras av rikslagen faller under åländsk behörighet.

Vi har till och med i några utlåtanden, både från Ålandsdelegationen och Högsta domstolen, varit fem före att fälla en sådan lag med hänvisning till denna synnerliga oklarhet som denna formulering skapar. Men man har alltid, varje gång, ondgjort sig över det och ansett att detta inte är bra lagstiftning. Det försätter tillämparen i en osäker situation, men det utgör inte en tillräcklig grund för att anse att lagstiftningen strider mot behörigheten.

Vill vi verkligen leva med en sådan osäkerhet? Att man antar rikslagen, gör den gällande på Åland och därmed skapar osäkerhet om huruvida det är rikets myndighet eller landskapets myndighet som är den ansvariga myndigheten? Tack!

Talman!

Utifrån det resonemang som ledamoten Lindbäck för kring paragraferna, om det är helt oklart vems behörighet det handlar om, alltså om det inte finns upptaget i behörighetskatalogen och ingen praxis kring behörighetsfördelningen mellan riket och Åland, hur skulle det då påverka den enskilda enligt ledamotens bedömning?

Ja, det är väl inte svårt att förstå hur det skulle bli. Det skulle bli en synnerligen oklar situation för dem som berörs av lagstiftningen. Är det rikets myndighet eller landskapsregeringen som är den ansvariga myndigheten som jag ska förhålla mig till?

Det blir förmodligen också väldigt oklart för landskapsregeringen att veta. Är vi den rätta myndigheten eller är vi inte?

Talman!

I vår värld har vi också tjänsteansvaret, vilket inkluderar ett straffrättsligt ansvar.

Jag för resonemanget vidare. Utifrån den enskilda tjänstemannen som ska avgöra huruvida det finns ett juridiskt ansvar att vidta åtgärder i de fall där behörigheten inte är klarerad, vilken situation kan man då försättas i?

Ja, jag är glad att jag inte längre är tjänsteman.

Diskussionen är avslutad. Detaljbehandlingen börjar. I detaljbehandlingen föreläggs lagförslaget i sin helhet.

Föreläggs förslaget till L A N D S K A P S L A G om cybersäkerhet och motståndskraft för godkännande. Lagförslaget är godkänt.

Lagförslagens första behandling är avslutad. Ärendets första behandling är avslutad.