124/2025

Denna lag innehåller bestämmelser om hantering av cybersäkerhetsrisker.

Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 ( NIS 2-direktivet ).

Bestämmelser om genomförande av NIS 2-direktivet inom den i punkt 10 i bilaga I till det direktivet avsedda sektorn för offentlig förvaltning finns i lagen om informationshantering inom den offentliga förvaltningen (906/2019).

I denna lag avses med

Denna lag tillämpas på juridiska och fysiska personer ( aktörer ) som

Denna lag tillämpas också på en aktör som oavsett storlek är

Denna lag tillämpas dessutom på en sådan aktör, oavsett storlek, som bedriver verksamhet enligt bilaga I eller II eller som är en sådan aktör som avses i nämnda bilagor, om

Bestämmelserna i 2 kap. tillämpas inte på verksamhet eller tjänster som tillhandahålls för tryggande av försvaret, den nationella säkerheten, allmän ordning och säkerhet eller förebyggande av brott, brottsutredning och väckande av åtal.

Denna lag tillämpas inte på aktörer som tillhandahåller endast sådan verksamhet eller sådana tjänster som avses i 1 mom.

Med avvikelse från 1 och 2 mom. tillämpas lagen på aktörer som är tillhandahållare av betrodda tjänster.

Denna lag tillämpas inte på aktörer på vilka Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, nedan DORA-förordningen , inte tillämpas med stöd av artikel 2.4 i den förordningen.

Denna lag tillämpas inte på aktörer vars verksamhet enligt bilaga I eller II är sporadisk och ringa.

Denna lag tillämpas på en i kommunallagen (410/2015) avsedd kommun endast i fråga om verksamhet enligt bilaga I eller II.

De bestämmelser i denna lag som förpliktar att lämna ut information tillämpas inte om utlämnandet av informationen skulle äventyra försvaret eller den nationella säkerheten, eller strida mot ett viktigt intresse i samband därmed.

Om det i någon annan lag eller i bestämmelser eller föreskrifter som utfärdats med stöd av någon annan lag finns krav som avviker från denna lag och som gäller hantering av cybersäkerhetsrisker eller anmälan av betydande incidenter, och kraven har minst samma verkan som motsvarande skyldigheter som fastställs i denna lag, ska de tillämpas i stället för motsvarande bestämmelser i denna lag.

Om det i en EU-förordning eller i en förordning av kommissionen som antagits med stöd av NIS 2-direktivet förutsätts att en aktör inför åtgärder för hantering av cybersäkerhetsrisker eller anmäler betydande incidenter, och kraven har minst samma verkan som motsvarande skyldigheter som fastställs i denna lag, ska dessa bestämmelser tillämpas i stället för 2, 4 och 5 kap. samt 41 § i denna lag.

Bestämmelser om datasäkerhet vid behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan den allmänna dataskyddsförordningen och i dataskyddslagen (1050/2018).

Utöver vad som i denna lag föreskrivs om tillsynsmyndighetens befogenheter tillämpas bestämmelserna i 23 § 6 punkten i lagen om tillsyn över el- och naturgasmarknaden (590/2013), 109 a § i lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor (390/2005) och 8 § 1 mom. 3 punkten i lagen om markstationer och vissa radaranläggningar (96/2023) på återkallande av tillstånd.

Denna lag tillämpas på aktörer som är etablerade i Finland, om inte något annat föreskrivs i lag eller följer av Europeiska unionens lagstiftning eller internationella förpliktelser som är bindande för Finland.

Oberoende av i vilken stat aktören är etablerad tillämpas denna lag på tillhandahållare av allmänna elektroniska kommunikationsnät och tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster när de tillhandahåller sina tjänster i Finland.

Leverantörer av DNS-tjänster, de som förvaltar ett toppdomänregister, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av utlokaliserade driftstjänster och leverantörer av utlokaliserade säkerhetstjänster, tillhandahållare av internetbaserade marknadsplatser, leverantörer av sökmotorer och leverantörer av plattformar för sociala nätverkstjänster omfattas av tillämpningsområdet för denna lag om deras huvudsakliga etableringsställe enligt artikel 26.2 i NIS 2-direktivet eller deras utsedda företrädare i Europeiska unionen enligt artikel 26.3 finns i Finland. Om en sådan aktör inte är etablerad i en medlemsstat i Europeiska unionen och aktören tillhandahåller sina tjänster i Finland eller inom en annan medlemsstat i Europeiska unionen, ska den utse en i artikel 26.3 i NIS 2-direktivet avsedd företrädare för Europeiska unionens medlemsstater. Om en aktör inte är etablerad i en medlemsstat i Europeiska unionen eller inte har utsett en i artikel 26.3 i NIS 2-direktivet avsedd utsedd företrädare och aktören tillhandahåller tjänster i Finland, omfattas aktören av tillämpningsområdet för denna lag.

Tillsynsmyndigheten kan vidta tillsyns- och efterlevnadskontrollåtgärder som riktar sig mot en aktör som är etablerad i en annan medlemsstat i Europeiska unionen på det sätt som föreskrivs i denna lag, om den behöriga myndigheten i en annan medlemsstat begär det och aktören tillhandahåller tjänster i Finland eller har ett kommunikationsnät eller informationssystem inom finskt territorium. En förutsättning är dessutom att tillsynsmyndigheten med stöd av denna lag skulle ha rätt att vidta motsvarande tillsyns- och efterlevnadskontrollåtgärder om aktören hade varit etablerad i Finland. Tillsynsmyndigheten kan avslå begäran om den inte med stöd av lag är behörig att tillhandahålla det begärda biståndet, det begärda biståndet inte står i proportion till tillsynsuppgifterna eller begäran avser information eller omfattar verksamhet som, om den lämnas ut eller utförs, skulle strida mot Finlands intressen som gäller försvaret eller den nationella säkerheten. Innan tillsynsmyndigheten avslår en sådan begäran ska den samråda med övriga berörda behöriga myndigheter samt, på begäran av en medlemsstat i Europeiska unionen, med Europeiska kommissionen och Europeiska unionens cybersäkerhetsbyrå.

En aktör ska identifiera, utvärdera och hantera de risker som hänför sig till säkerheten i de kommunikationsnät och informationssystem som den använder i sin verksamhet eller för att tillhandahålla sina tjänster. Hanteringen av cybersäkerhetsrisker ska förhindra eller minimera incidenternas inverkan på verksamheten, driftskontinuiteten, tjänstemottagarna och andra tjänster.

Aktören ska vidta sådana riskhanteringsåtgärder som är aktuella, proportionella och tillräckliga i förhållande till riskerna för de kommunikationsnät och informationssystem som används i verksamheten och kommunikationsnätets eller informationssystemets betydelse med tanke på aktörens verksamhet och tillhandahållande av tjänster.

Aktören ska ha en uppdaterad handlingsmodell för hantering av cybersäkerhetsrisker för att skydda kommunikationsnät och informationssystem och deras fysiska miljö mot incidenter och deras verkningar.

I handlingsmodellen för hantering av cybersäkerhetsrisker ska de risker som hänför sig till kommunikationsnät och informationssystem och deras fysiska miljö identifieras med beaktande av ett tillvägagångssätt som beaktar alla riskfaktorer. I handlingsmodellen ska målen, förfarandena och ansvaren för hanteringen av cybersäkerhetsrisker samt de åtgärder enligt 9 § genom vilka kommunikationsnät och informationssystem och deras fysiska miljö skyddas mot cyberhot och incidenter ( hanteringsåtgärder ) fastställas och beskrivas.

Aktörerna ska vidta proportionella tekniska, driftsrelaterade eller organisatoriska hanteringsåtgärder i enlighet med handlingsmodellen för hantering av cybersäkerhetsrisker för att hantera sådana risker som hänför sig till säkerheten i kommunikationsnät och informationssystem samt förhindra eller minimera skadliga verkningar.

I handlingsmodellen och de hanteringsåtgärder som baserar sig på den ska åtminstone följande beaktas och hållas uppdaterat:

Åtgärderna ska ställas i relation till verksamhetens art och omfattning, de direkta konsekvenser som incidenten rimligtvis kan förutses ha, riskexponeringen i fråga om aktörens kommunikationsnät och informationssystem, sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, kostnaderna för åtgärderna samt de tekniska medel för att avvärja hot som med beaktande av den aktuella utvecklingen är tillgängliga.

Tillsynsmyndigheten kan inom sitt ansvarsområde meddela tekniska föreskrifter som preciserar riskhanteringsskyldigheterna om

I riskhanteringen, handlingsmodellen för hantering av risker och hanteringsåtgärderna ska Europeiska kommissionens genomförandeakter som antas med stöd av artikel 21.5 i NIS 2-direktivet dessutom iakttas.

Aktörens ledning svarar för genomförandet av och tillsynen över hanteringen av cybersäkerhetsrisker samt godkänner handlingsmodellen för hantering av cybersäkerhetsrisker och utövar tillsyn över genomförandet av den. Aktörens ledning ska ha tillräcklig förtrogenhet med hantering av cybersäkerhetsrisker.

Med ledning avses aktörens styrelse, förvaltningsråd och verkställande direktör samt någon annan i därmed jämförbar ställning som de facto leder dess verksamhet.

En aktör ska utan dröjsmål underrätta tillsynsmyndigheten om en betydande incident. Med en betydande incident avses en incident som har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller betydande ekonomiska förluster för den berörda aktören, samt en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada.

En första anmälan ska göras inom 24 timmar från det att den betydande incidenten upptäcktes och en uppföljande anmälan inom 72 timmar från det att den betydande incidenten upptäcktes.

I den första anmälan ska uppges

I den uppföljande anmälan ska uppges

Tillsynsmyndigheten kan inom sitt ansvarsområde meddela närmare tekniska föreskrifter för att precisera typen av information i och det tekniska formatet och förfarandet för anmälningar, underrättelser, information eller rapporter som lämnas med stöd av 11–15 §.

Med avvikelse från 2 mom. ska en tillhandahållare av betrodda tjänster göra en uppföljande anmälan inom 24 timmar från det att den betydande incidenten upptäcktes, om den betydande incidenten påverkar tillhandahållandet av de betrodda tjänsterna.

Utöver vad som avses i 1 mom. avses med betydande incident en situation som specificeras i en genomförandeakt som antagits av Europeiska kommissionen med stöd av artikel 23.11 i NIS 2-direktivet och i vilken incidenten anses vara betydande.

Aktören ska på begäran av tillsynsmyndigheten lämna ytterligare information eller en delrapport om statusuppdateringar som gäller den betydande incidenten och om hur hanteringen framskrider.

Om den betydande incidenten är långvarig, ska aktören lämna in en delrapport senast en månad efter lämnandet av den uppföljande anmälan.

Aktören ska lämna tillsynsmyndigheten en slutrapport om en betydande incident inom en månad från det att den uppföljande anmälan lämnades in eller, om det är fråga om en långvarig incident, inom en månad från det att hanteringen av den avslutades.

Slutrapporten ska innehålla

En aktör ska utan dröjsmål underrätta mottagarna av sina tjänster om en betydande incident, om den betydande incidenten sannolikt inverkar negativt på tillhandahållandet av aktörens tjänster.

En aktör ska utan dröjsmål underrätta de mottagare av sina tjänster som kan påverkas av ett betydande cyberhot om ett betydande cyberhot och om de åtgärder som står till buds för att hantera cyberhotet.

Om det ligger i allmänt intresse att det informeras om en betydande incident, kan tillsynsmyndigheten ålägga aktören att informera om saken eller själv informera om saken.

Aktörer kan på frivillig basis underrätta tillsynsmyndigheten om andra än i 11 § avsedda incidenter, cyberhot och tillbud.

Tillsynsmyndigheten ska inom sitt ansvarsområde ta emot frivilliga underrättelser om betydande incidenter, incidenter, cyberhot och tillbud också av andra än de aktörer som avses i denna lag.

Tillsynsmyndigheten ska informera den i 18 § avsedda gemensamma kontaktpunkten om underrättelser enligt denna paragraf.

Tillsynsmyndigheten ska utan dröjsmål svara den part som gjort en incidentanmälan. Svaret ska innehålla initial återkoppling om den betydande incidenten samt vägledning om hur den ska anmälas till förundersökningsmyndigheten, om brott misstänks i ärendet.

Tillsynsmyndigheten får prioritera besvarandet av anmälningar som avses i 11 § och hanteringen av dem enligt 17 § i förhållande till frivilliga underrättelser.

Tillsynsmyndigheten ska omedelbart lämna de anmälningar, underrättelser och rapporter som avses i 11–13 och 15 § till CSIRT-enheten. CSIRT-enheten ger på begäran av en aktör vägledning och operativa råd om begränsande åtgärder.

Om en betydande incident har lett till en sådan i artikel 33 i den allmänna dataskyddsförordningen avsedd personuppgiftsincident som ska anmälas, ska tillsynsmyndigheten anmäla upptäckten av incidenten till dataombudsmannen.

Om det i samband med en betydande incident på grundval av aktörens anmälan kan antas att det har begåtts ett brott för vilket det föreskrivna maximistraffet är fängelse i minst tre år, ska tillsynsmyndigheten underrätta polisen om upptäckten av den betydande incidenten.

Om en betydande incident påverkar andra medlemsstater i Europeiska unionen eller andra sektorer, ska tillsynsmyndigheten informera den i 18 § avsedda gemensamma kontaktpunkten om incidenten och sända anmälningar, rapporter och övriga uppgifter om den till kontaktpunkten.

Om en betydande incident påverkar en annan medlemsstat i Europeiska unionen ska den gemensamma kontaktpunkten utan onödigt dröjsmål underrätta Europeiska unionens cybersäkerhetsbyrå och de medlemsstater som berörs av incidenten. Den gemensamma kontaktpunkten ska på begäran också sända de anmälningar och rapporter som avses i 11–13 § till den gemensamma kontaktpunkten i den medlemsstat som berörs av incidenten. Den gemensamma kontaktpunkten får i detta syfte lämna ut information om betydande incidenter till Europeiska unionens cybersäkerhetsbyrå och till de gemensamma kontaktpunkterna i andra medlemsstater i Europeiska unionen.

Cybersäkerhetscentret vid Transport- och kommunikationsverket är den gemensamma kontaktpunkt som avses i artikel 8.3 i NIS 2-direktivet.

Den gemensamma kontaktpunkten har till uppgift att främja samarbetet och samordningen mellan tillsynsmyndigheterna vid fullgörandet av uppgifter enligt denna lag.

Den gemensamma kontaktpunkten ska var tredje månad lämna in en sammanfattande rapport till Europeiska unionens cybersäkerhetsbyrå med anonymiserade och aggregerade uppgifter om betydande incidenter, incidenter, cyberhot och tillbud om vilka det har underrättats med stöd av 11–13 och 15 §. Den gemensamma kontaktpunkten har rätt att för detta ändamål få anonymiserade och aggregerade uppgifter av tillsynsmyndigheten.

Vid Transport- och kommunikationsverket finns en i artikel 1.2 a i NIS 2-direktivet avsedd  CSIRT-enhet för hantering av it-säkerhetsincidenter. Dess verksamhet ska ordnas separat från den tillsyn som utförs med stöd av 26 §.

CSIRT-enheten ska uppfylla följande krav:

CSIRT-enheten har till uppgift att

CSIRT-enheten kan prioritera sina uppgifter på ett riskbaserat sätt i enlighet med tillgängliga resurser.

CSIRT-enheten samordnar de i 23 § avsedda frivilliga arrangemangen för informationsutbyte om cybersäkerhet mellan enheten själv, aktörer som omfattas av tillämpningsområdet för denna lag och andra sammanslutningar.

CSIRT-enheten kan producera i 1 mom. 2 punkten avsedda tjänster för realtidsövervakning eller nära realtidsövervakning av informationssäkerheten i kommunikationsnät och informationssystem för att säkerställa informationssäkerheten i kommunikationsnät och informationssystem, upptäcka och utreda incidenter samt förebygga cyberhot ( tjänst för upptäckande av kränkningar av informationssäkerheten ). CSIRT-enheten kan tillhandahålla tjänsten för upptäckande av kränkningar av informationssäkerheten direkt till de aktörer och andra sammanslutningar som begär den samt till sådana leverantörer av utlokaliserade säkerhetstjänster som tillhandahåller aktörer eller andra sammanslutningar en tjänst för upptäckande av kränkningar av informationssäkerheten ( servicecenter ).

För CSIRT-enhetens tjänster enligt 1 mom. 1 och 2 punkten samt 21 § 4 mom. kan en avgift tas ut av den som begär tjänsten. Bestämmelser om de allmänna grunderna för när myndigheters prestationer ska vara avgiftsbelagda och för storleken av de avgifter som uppbärs för prestationerna och om övriga grunder för avgifterna finns i lagen om grunderna för avgifter till staten (150/1992).

CSIRT-enheten har rätt att på ett proaktivt, annat än inkräktande sätt observera och kartlägga information i kommunikationsnät och informationssystem som är anslutna till ett allmänt kommunikationsnät för att upptäcka sårbarheter, cyberhot och osäkert konfigurerade kommunikationsnät eller informationssystem ( kartläggning av sårbarheter ). Kartläggningen av sårbarheter görs för att upptäcka sårbara eller osäkert konfigurerade kommunikationsnät och informationssystem och för att informera de berörda parterna om iakttagelserna.

Vid genomförandet av kartläggningen av sårbarheter har CSIRT-enheten rätt att via ett allmänt kommunikationsnät inhämta information om identifieringsuppgifter om nätverksutrustning, teleterminalutrustning och andra informationssystem som är kopplade till det och om deras datakommunikationsarrangemang, de programvaror som används och deras funktion och tekniska genomförande och de tjänster som tillhandahållits med hjälp av dem. Kartläggningen av sårbarheter får inte medföra negativa effekter för funktionen hos det system eller den tjänst som är föremål för kartläggningen. Genom kartläggningen av sårbarheter får information inte inhämtas om kommunikation som förmedlas i ett allmänt kommunikationsnät eller i allmänt tillgängliga kommunikationstjänster.

Sådan information som upptäckts vid kartläggningen av sårbarheter och som kan kopplas till föremålet för kartläggningen får användas endast för att informera föremålet för kartläggningen om sårbarheter och risker som hänför sig till kommunikationsnätet eller informationssystemet. CSIRT-enheten kan dessutom använda information som inhämtats genom en kartläggning av sårbarheter för skötseln av de uppgifter som avses i 20 § 1 mom. 1, 4 och 5 punkten. Onödig information ska utplånas utan dröjsmål.

CSIRT-enheten har rätt att på begäran av den som är föremål för kartläggningen utföra kartläggningen av sårbarheter i kommunikationsnätet eller informationssystemet hos den som är föremål för kartläggningen på ett sätt som avviker från vad som föreskrivs i 1–3 mom. för att upptäcka en sådan sårbarhet, ett sådant cyberhot eller sådana osäkra konfigurationer som kan ha en betydande inverkan på kommunikationsnätet eller informationssystemet eller de tjänster som tillhandahålls med hjälp av dem ( riktad kartläggning av sårbarheter ).

I en kartläggning av sårbarheter och i en riktad kartläggning av sårbarheter får inte innehållet i eller förmedlingsuppgifter om elektroniska meddelanden behandlas. CSIRT-enheten ska utplåna den information som den fått vid en kartläggning av sårbarheter eller vid en riktad kartläggning av sårbarheter när informationen inte längre behövs för skötseln av de uppgifter som avses i denna paragraf.

CSIRT-enheten är den samordnare för den samordnade delgivningen av informationen om sårbarheter som avses i artikel 12 i NIS 2-direktivet. I detta uppdrag tar CSIRT-enheten emot rapporter om sårbarheter och ser till att behövliga uppföljningsåtgärder vidtas med anledning av dem. Rapporter får lämnas anonymt.

I egenskap av samordnare kontaktar CSIRT-enheten den som rapporterar en sårbarhet och tillverkaren eller leverantören av IKT-produkten eller IKT-tjänsten och fungerar vid behov som mellanhand mellan dem, stödjer dem som rapporterar sårbarheter, förhandlar om tidsramar för delgivning av information om sårbarheter och samordnar hanteringen av sårbarheter som påverkar flera aktörer. Därtill ger CSIRT-enheten vägledning och råd om hur information rapporteras till och söks i den europeiska sårbarhetsdatabasen.

CSIRT-enheten har rätt att om sårbarheter till den europeiska sårbarhetsdatabasen rapportera information

Om CSIRT-enheten får kännedom om en sådan sårbarhet som kan ha en betydande påverkan på andra medlemsstater i Europeiska unionen ska den samarbeta med CSIRT-enheterna i dessa stater inom CSIRT-nätverket.

Mellan CSIRT-enheten, aktörer och andra sammanslutningar än sådana som omfattas av tillämpningsområdet för denna lag kan frivilliga arrangemang för informationsutbyte om cybersäkerhet som samordnas av CSIRT-enheten upprättas, i syfte att förebygga och upptäcka cyberhot som riktas mot deltagande sammanslutningars och deras kunders kommunikationsnät, informationssystem eller tjänster samt i syfte att reagera på och återhämta sig från incidenter och begränsa deras inverkan.

Mellan dem som deltar i frivilliga arrangemang för informationsutbyte om cybersäkerhet kan lämnas ut information om

Utöver vad som i 319 § i lagen om tjänster inom elektronisk kommunikation föreskrivs om utlämnande av information får CSIRT-enheten till den som deltar i arrangemang för informationsutbyte lämna ut information om förmedlingsuppgifter som har samband med ett cyberhot eller en incident eller om ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando och som enheten fått vid utförandet uppgifter enligt denna lag.

En aktör eller annan sammanslutning som deltar i arrangemang för informationsutbyte får trots 136 § 4 mom. i lagen om tjänster inom elektronisk kommunikation på eget initiativ till CSIRT-enheten och någon annan som deltar i frivilliga arrangemang för informationsutbyte enligt denna lag lämna ut information om förmedlingsuppgifter som har samband med ett cyberhot eller en incident eller om ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando.

Den som deltar i arrangemang för informationsutbyte får behandla information om förmedlingsuppgifter som har samband med ett cyberhot eller en incident eller om ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando och som erhållits med stöd av denna paragraf endast för de ändamål som avses i 1 mom. CSIRT-enheten får dessutom behandla information som den fått med stöd av denna paragraf för skötseln av en uppgift som anges i 20 § 1 mom. Utlämnandet av information får inte begränsa skyddet för konfidentiella meddelanden och integritetsskyddet mer än vad som är nödvändigt för det syfte som anges i 1 mom.

Aktörer och andra sammanslutningar som använder tjänsten för upptäckande av kränkningar av informationssäkerheten, servicecentret och CSIRT-enheten får till varandra lämna ut information som behövs för att övervaka informationssäkerheten i kommunikationsnät och informationssystem i syfte att förebygga och upptäcka cyberhot, reagera på och återhämta sig från incidenter samt begränsa deras inverkan. I den mån det är nödvändigt för genomförande av tjänsten för upptäckande av kränkningar av informationssäkerheten får den information som lämnas ut innehålla sådana elektroniska meddelanden eller förmedlingsuppgifter om dem som den aktör eller någon annan sammanslutning som använder tjänsten har begärt att ska behandlas i tjänsten och som den har rätt att behandla med stöd av 272 § i lagen om tjänster inom elektronisk kommunikation.

På behandling av förmedlingsuppgifter och elektroniska meddelanden i tjänsten för upptäckande av kränkningar av informationssäkerheten vid CSIRT-enheten och i servicecentret tillämpas bestämmelserna i 136–138, 145 och 272 § i lagen om tjänster inom elektronisk kommunikation. CSIRT-enheten får dessutom använda förmedlingsuppgifter och andra uppgifter som den fått i samband med tillhandahållandet av tjänsten till stöd för upprätthållandet av en lägesbild över den nationella cybersäkerheten.

Vad som i 316 § 4 mom. i lagen om tjänster inom elektronisk kommunikation föreskrivs om utplåning av uppgifter som gäller utredning av betydande kränkningar av eller hot mot informationssäkerheten och i 319 § 1 mom. i den lagen om sekretess gäller också meddelanden och förmedlingsuppgifter som lämnats ut till CSIRT-enheten för genomförande av tjänsten för upptäckande av kränkningar av informationssäkerheten.

Oberoende av vad som någon annanstans i lag föreskrivs om myndigheternas rätt att få information, får information som på frivillig basis lämnats ut till CSIRT-enheten för skötseln av uppgifter enligt denna lag inte utan samtycke av den som lämnat ut informationen användas i brottsutredningar eller vid administrativt eller annat beslutsfattande som gäller den som lämnat ut informationen.

Tillsyn över efterlevnaden av denna lag, föreskrifter som utfärdats med stöd av den och bestämmelser som antagits med stöd av NIS 2-direktivet utövas av

Tillsynen ska inriktas på de väsentliga aktörerna. Tillsynsmyndigheten kan dock inrikta tillsynen också gentemot andra än väsentliga aktörer om det finns grundad anledning att misstänka att aktören inte har iakttagit denna lag, föreskrifter som utfärdats med stöd av den eller bestämmelser som antagits med stöd av NIS 2-direktivet.

Med väsentlig aktör avses

Tillsynsmyndigheten kan ställa de uppgifter som föreskrivs för den i denna lag i prioritetsordning enligt en riskbaserad bedömning. Tillsynsmyndigheten ska vid inriktning av tillsynen och vid beslut om användning av åtgärder enligt 29–34 § beakta

Tillsynsmyndigheten har trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att av en aktör få information om hanteringen av cybersäkerhetsrisker, handlingsmodellen för riskhantering, hanteringsåtgärderna och betydande incidenter samt annan information som direkt anknyter till ovannämnda information och som är nödvändig för tillsynen över fullgörandet av den skyldighet som gäller hantering av cybersäkerhetsrisker och över anmälan och rapporteringen av betydande incidenter.

Tillsynsmyndigheten har trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att av en aktör få förmedlingsuppgifter, lokaliseringsuppgifter och information om meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando, om det är nödvändigt för tillsynen över fullgörandet av den skyldighet som gäller hantering av cybersäkerhetsrisker eller över anmälan och rapporteringen av betydande incidenter. Den information som tillsynsmyndigheten fått med stöd av detta moment är sekretessbelagd.

Tillsynsmyndigheten ska i begäran om information ange syftet med begäran och precisera den begärda informationen. Informationen ska lämnas ut utan dröjsmål, i den form som myndigheten begärt och avgiftsfritt.

Tillsynsmyndigheten har trots sekretessbestämmelserna, skyldigheten att iaktta sekretess enligt 2 mom. och andra begränsningar som gäller utlämnande av information rätt att lämna ut handlingar som den fått eller utarbetat i samband med skötseln av sina uppgifter enligt denna lag samt att röja sekretessbelagd information för en annan tillsynsmyndighet samt en CSIRT-enhet, om det är nödvändigt för en uppgift som i denna lag föreskrivits för myndigheten. Utnyttjandet av rätten att få information eller utlämnandet av information får inte begränsa skyddet av konfidentiella meddelanden eller integritetsskyddet mer än vad som är nödvändigt.

Tillsynsmyndighetens rätt att få information gäller inte tjänster eller information som CSIRT-enheten med stöd av denna lag producerat hos en aktör.

Rätten till information enligt denna paragraf gäller inte sekretessbelagd information om sådan tjänsteproduktion eller användning av tjänster i säkerhetsnätet som avses i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (10/2015) eller information vars utlämnande skulle äventyra försvaret eller den nationella säkerheten eller strida mot ett viktigt intresse i samband därmed.

Tillsynsmyndigheten har rätt att förrätta inspektioner av aktörer. Inspektionen förrättas för tillsynen över att skyldigheterna enligt denna lag eller föreskrifter som utfärdats med stöd av den eller bestämmelser som antagits med stöd av NIS 2-direktivet fullgörs, i den omfattning det behövs.

Om det är nödvändigt på grund av inspektionens art eller av tekniska orsaker som har samband med den, kan tillsynsmyndigheten begära att en annan tillsynsmyndighet förrättar inspektionen eller vid inspektionen anlita en annan tillsynsmyndighet, ett bedömningsorgan för informationssäkerhet och en utomstående expert i informationsteknik. Den som förrättar inspektionen och den som deltar i inspektionen ska ha sådan utbildning och erfarenhet som behövs för inspektionen. På utomstående experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter enligt denna paragraf. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).

Aktörer ska i den omfattning som inspektionen förutsätter ge den som förrättar inspektion tillträde till det kommunikationsnät eller informationssystem som inspektionen gäller och till andra utrymmen än sådana som är avsedda för boende av permanent natur. Tillsynsmyndigheten, andra myndigheter som förrättar inspektion, ett bedömningsorgan för informationssäkerhet och utomstående experter har för förrättande av inspektionen trots sekretessbestämmelserna eller andra begränsningar som gäller utlämnande av information rätt att få granska den information och de handlingar, maskinvaror och programvaror som är nödvändiga för tillsynsuppgiften, utföra behövliga tester och mätningar samt granska de säkerhetsarrangemang som aktören har genomfört. På inspektionsförrättarens rätt att förrätta inspektion och få information tillämpas vad som i 28 § 6 mom. föreskrivs om begränsningar i rätten att få information.

På förfarandet vid inspektionen tillämpas vad som i 39 § i förvaltningslagen (434/2003) föreskrivs om inspektion.

Tillsynsmyndigheten har rätt att ålägga en aktör att låta utföra en säkerhetsrevision som gäller hanteringen av cybersäkerhetsrisker, om

Tillsynsmyndigheten har rätt att få information om resultaten av den utförda säkerhetsrevisionen samt att ålägga aktören att vidta sådana skäliga och proportionella åtgärder för att utveckla hanteringen av cybersäkerhetsrisker som säkerhetsrevisionen rekommenderar.

Tillsynsmyndigheten kan ålägga aktören att inom utsatt tid avhjälpa bristerna i fullgörandet av skyldigheterna enligt denna lag eller föreskrifter som utfärdats med stöd av den eller bestämmelser som antagits med stöd av NIS 2-direktivet. Tillsynsmyndigheten kan genom ett beslut ålägga aktören att offentliggöra dessa brister eller andra omständigheter som har samband med överträdelser av denna lag, föreskrifter som utfärdats med stöd av den eller bestämmelser som antagits med stöd av NIS 2-direktivet.

Tillsynsmyndigheten kan ge en aktör en varning, om aktören inte har iakttagit denna lag, föreskrifter som utfärdats med stöd av den eller bestämmelser som antagits med stöd av NIS 2-direktivet. I varningen ska den brist eller försummelse som varningen gäller specificeras. Varningen ska ges skriftligen.

Tillsynsmyndigheten kan för viss tid förbjuda en person att vara ledamot eller ersättare i styrelsen, ledamot eller ersättare i förvaltningsrådet, verkställande direktör eller i annan därmed jämförbar ställning hos en väsentlig aktör, om denne upprepade gånger och allvarligt har brutit mot skyldigheterna i 10 §. Tillsynsmyndigheten ska innan den fattar ett beslut ge den väsentliga aktören en varning, i vilken den brist eller försummelse specificeras som, om den inte avhjälps, kan leda till ett beslut om begränsning av ledningens verksamhet samt reservera en skälig tid för aktören att avhjälpa bristen eller försummelsen. Beslutet får vara i kraft högst så länge som den brist eller försummelse som ligger till grund för beslutet inte har avhjälpts, dock högst fem år.

Med avvikelse från 1 mom. får ledningens verksamhet inte begränsas om det är fråga om en enskild näringsidkare, ett öppet bolag, ett kommanditbolag, en statlig myndighet, ett statligt affärsverk, ett välfärdsområde eller en välfärdssammanslutning, en kommunal myndighet, en självständig offentligrättslig inrättning, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland, ortodoxa kyrkan i Finland eller de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ.

Om tillsynsmyndigheten i samband med skötseln av de uppgifter som anges i denna lag får kännedom om att en försummelse av skyldigheterna enligt 2 kap. kan leda till eller har lett till en sådan personuppgiftsincident som avses i den allmänna dataskyddsförordningen, som i enlighet med artikel 33 i förordningen ska anmälas till den tillsynsmyndighet som avses i den förordningen, ska tillsynsmyndigheten anmäla saken till dataombudsmannen.

Tillsynsmyndigheten ska göra en i 1 mom. avsedd anmälan till dataombudsmannen även om den tillsynsmyndighet som är behörig enligt den allmänna dataskyddsförordningen är etablerad i en annan medlemsstat.

Tillsynsmyndigheten kan förena ett beslut som den har fattat med stöd av denna lag med vite, hot om tvångsutförande eller hot om avbrytande.

En aktör kan påföras en administrativ påföljdsavgift om denne uppsåtligen eller av grov oaktsamhet försummar

Statliga myndigheter, statliga affärsverk, välfärdsområden eller välfärdssammanslutningar, kommunala myndigheter, självständiga offentligrättsliga inrättningar, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland, ortodoxa kyrkan i Finland och de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ får inte påföras påföljdsavgift.

I anslutning till Transport- och kommunikationsverket finns en påföljdsavgiftsnämnd. Nämnden påför en administrativ påföljdsavgift på framställning av tillsynsmyndigheten. Den administrativa påföljdsavgiften ska betalas till staten.

Transport- och kommunikationsverket utser nämndens ordförande och vice ordförande. Varje tillsynsmyndighet utser en ledamot i nämnden och en personlig ersättare för denne. Av nämndens ledamöter och ersättare förutsätts förtrogenhet med hantering av cybersäkerhetsrisker och NIS 2-direktivet samt de skyldigheter som ställs i den reglering som genomför direktivet inom den utseende myndighetens tillsynsområde. Ordföranden och vice ordföranden för nämnden ska ha sådan tillräcklig juridisk sakkunskap som uppdraget förutsätter. Nämndens ledamöter utses för en period på tre år. Nämndens ledamöter ska agera oberoende och opartiskt i sitt uppdrag.

Påföljdsavgiftsnämnden ska fatta sitt beslut efter föredragning. Föredragande är en tjänsteman vid den tillsynsmyndighet vars tillsynsbehörighet det ärende som ska avgöras gäller. Nämnden är beslutför när ordföranden eller vice ordföranden och minst två andra ledamöter eller ersättare är närvarande. Som beslut gäller den mening som flertalet har understött. Vid lika röstetal gäller som beslut den mening som är lindrigare för den som påföljden riktas mot.

Påföljdsavgiftsnämnden har trots sekretessbestämmelserna rätt att avgiftsfritt få den i 28 § avsedda information som är nödvändig för påförande av påföljdsavgiften samt övrig information som är nödvändig för påförande av påföljdsavgiften eller för beräkning av dess belopp.

Den administrativa påföljdsavgiftens belopp ska basera sig på en helhetsbedömning där omständigheterna i fallet och åtminstone följande omständigheter beaktas:

En administrativ påföljdsavgift som påförs en väsentlig aktör är högst 10 000 000 euro eller två procent av aktörens totala globala årsomsättning under det föregående räkenskapsåret, beroende på vilken siffra som är högst.

En administrativ påföljdsavgift som påförs andra än väsentliga aktörer är högst 7 000 000 euro eller 1,4 procent av aktörens totala globala årsomsättning under det föregående räkenskapsåret, beroende på vilken siffra som är högst.

Påföljdsavgift påförs inte om

Påföljdsavgift får inte påföras, om det har förflutit mer än fem år sedan överträdelsen eller försummelsen har skett. Om överträdelsen eller försummelsen har varit fortlöpande räknas tiden från det att överträdelsen eller försummelsen har upphört.

Påföljdsavgift får inte påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom.

Påföljdsavgift får inte påföras den som för samma gärning har påförts en påföljdsavgift enligt artikel 83 i den allmänna dataskyddsförordningen.

Bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (672/2002). En påföljdsavgift preskriberas när fem år har förflutit från den dag då ett lagakraftvunnet beslut om avgift meddelades. Påföljdsavgiften avskrivs när den betalningsskyldiga fysiska personen avlider.

Tillsynsmyndigheten för i fråga om sitt tillsynsområde en förteckning över aktörerna.

Aktörer ska lämna tillsynsmyndigheten följande uppgifter:

Leverantörer av DNS-tjänster, de som förvaltar ett toppdomänregister, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av utlokaliserade driftstjänster, leverantörer av utlokaliserade säkerhetstjänster, tillhandahållare av internetbaserade marknadsplatser, leverantörer av sökmotorer och leverantörer av plattformar för sociala nätverkstjänster ska utöver de uppgifter som anges i 2 mom. lämna tillsynsmyndigheten följande uppgifter:

Tillsynsmyndigheten ska till den gemensamma kontaktpunkten lämna de uppgifter ur förteckningen över aktörer som behövs för att göra de anmälningar som avses i artiklarna 3.5 och 27.4 i NIS 2-direktivet. Den gemensamma kontaktpunkten svarar för att de anmälningar som avses i artiklarna 3.5 och 27.4 görs till Europeiska kommissionen, NIS-samarbetsgruppen och Europeiska unionens cybersäkerhetsbyrå. CSIRT-enheten har rätt att få uppgifter ur förteckningen över aktörer av tillsynsmyndigheten.

Statsrådet antar en nationell strategi för cybersäkerhet och svarar för att den uppdateras regelbundet minst vart femte år.

Den nationella strategin för cybersäkerhet ska åtminstone omfatta de delområden som avses i artikel 7.1 och de riktlinjer som avses i artikel 7.2 i NIS 2-direktivet.

Statsrådet delger Europeiska kommissionen den nationella strategin för cybersäkerhet inom tre månader från det att den har antagits. Sådan information om strategin för cybersäkerhet kan undantas, vars utlämnande skulle äventyra försvaret eller den nationella säkerheten eller strida mot ett viktigt intresse i samband därmed.

För att specificera vilka kapaciteter, tillgångar och förfaranden som står till förfogande i händelse av en kris som avser cybersäkerhet utarbetas en plan för hantering av storskaliga cybersäkerhetsincidenter och cybersäkerhetskriser. Transport- och kommunikationsverket svarar för utarbetandet av planen i samarbete med de tillsynsmyndigheter som avses i 26 §, polisen, skyddspolisen, Försvarsmakten och Försörjningsberedskapscentralen.

Planen ska med avseende på hantering av storskaliga cybersäkerhetsincidenter och cybersäkerhetskriser innehålla behövliga uppgifter om

De uppgifter som avses i 2 mom. ska delges Europeiska kommissionen och det europeiska kontaktnätverk för cyberkriser som avses i artikel 16 i NIS 2-direktivet inom tre månader från det att planen antagits. Uppgifter kan undantas till den del som utlämnandet av dem skulle äventyra försvaret eller den nationella säkerheten eller strida mot ett viktigt intresse i samband därmed.

Var och en av de myndigheter som avses i 43 § 1 mom. är i enlighet med sina lagstadgade uppgifter en sådan cyberkrishanteringsmyndighet som avses i artikel 9.1 i NIS 2-direktivet. Cybersäkerhetscentret vid Transport- och kommunikationsverket är samordnare vid hantering av storskaliga cybersäkerhetsincidenter och cybersäkerhetskriser.

Tillsynsmyndigheterna, CSIRT-enheten och den gemensamma kontaktpunkten ska samarbeta för skötseln av de uppgifter som föreskrivs i denna lag och med stöd NIS 2-direktivet.

Tillsynsmyndigheterna, CSIRT-enheten och den gemensamma kontaktpunkten ska vid behov samarbeta med polisen eller någon annan förundersökningsmyndighet, dataombudsmannen, Transport- och kommunikationsverket i fråga om de uppgifter verket har enligt luftfartslagen (864/2014), lagen om tjänster inom elektronisk kommunikation och eIDAS-förordningen samt med Finansinspektionen.

Tillsynsmyndigheterna ska informera det tillsynsforum som inrättats med stöd av artikel 32.1 i DORA-förordningen när de utövar sina befogenheter med avseende på tillsyn och efterlevnadskontroll gentemot en aktör som har identifierats som en kritisk tredjepartsleverantör av IKT-tjänster enligt artikel 31 i DORA-förordningen.

Tillsynsmyndigheterna, Transport- och kommunikationsverket och Finansinspektionen ska regelbundet utbyta information om betydande incidenter och cyberhot.

Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019).

Tillsynsmyndighetens beslut ska iakttas trots ändringssökande, om inte den myndighet där ändring sökts bestämmer något annat. Vid sökande av ändring i beslut som gäller föreläggande och utdömande av vite samt föreläggande och verkställighet av hot om tvångsutförande eller hot om avbrytande tillämpas dock viteslagen (1113/1990).

Denna lag träder i kraft den 8 april 2025.

Den anmälan som avses i 41 § ska göras senast inom en månad från det att denna lag trätt i kraft eller det att de kriterier som i 3 § anges för en aktör uppfylls.

Den handlingsmodell för hantering av cybersäkerhetsrisker som avses i 8 § ska upprättas senast inom tre månader från det att denna lag trätt i kraft eller det att de kriterier som i 3 § fastställts för en aktör uppfylls.