310/2025

Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG, nedan CER-direktivet .

Denna lag tillämpas

Med de kategorier av aktörer inom sektorn offentlig förvaltning som anges i punkt 9 i tabellen i den bilaga till CER-direktivet som avses i 2 mom. 1 punkten avses i denna lag de myndigheter som anges i 4 § 1 mom. 1 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999).

I fråga om aktörskategorin vårdgivare inom sektorn för hälso- och sjukvård enligt punkt 5 i tabellen i den bilaga till CER-direktivet som avses i 2 mom. 1 punkten tillämpas denna lag på sådana i 4 § i lagen om tillsynen över social- och hälsovården (741/2023) avsedda tjänsteanordnare och tjänsteproducenter som ordnar eller producerar hälso- och sjukvårdstjänster, med undantag av Folkpensionsanstalten, och på inrättningar för blodtjänst enligt blodtjänstlagen (197/2005), apotek samt sådana aktörer som lämnar ut och tillhandahåller läkemedel och medicinska hjälpmedel som avses i Europaparlamentets och rådets direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård, nedan patientdirektivet . Denna lag tillämpas dessutom på sådana i 4 § i lagen om tillsynen över social- och hälsovården avsedda tjänsteanordnare och tjänsteproducenter som ordnar eller producerar socialservice. På välfärdsområdena tillämpas lagen i fråga om den social- och hälsovård som de ordnar och producerar.

Denna lag tillämpas inte på republikens presidents kansli, riksdagen, riksdagens justitieombudsman, justitiekanslern i statsrådet, Finlands Bank eller domstolarna. Denna lag tillämpas inte heller på myndighetsverksamhet inom området för försvaret, den nationella säkerheten och den allmänna ordningen och säkerheten eller på förebyggande av brott, brottsutredning, förande av brott till åtalsprövning eller väckande av åtal.

Bestämmelserna i 7 § 3 mom., 14–16 §, 5 kap. och 29 § tillämpas inte på en sådan kritisk aktör som är verksam inom området för den nationella säkerheten, den allmänna säkerheten, försvaret eller brottsbekämpningen eller som tillhandahåller tjänster till en myndighet som avses i 1 mom. Vad som föreskrivs ovan i detta moment gäller dock inte en sådan kritisk aktör som i liten utsträckning tillhandahåller tjänster inom området för den nationella säkerheten, den allmänna säkerheten, försvaret eller brottsbekämpningen.

Bestämmelserna i 7 § 3 mom. 3–5 punkten och 4 mom, 13 § 3 mom., 14–16 §, 5 kap. och 29 § tillämpas inte på en kritisk aktör som är verksam inom sektorn bankverksamhet enligt punkt 3 i tabellen i bilagan till CER-direktivet, inom sektorn finansmarknadsinfrastruktur enligt punkt 4 i den tabellen eller inom sektorn digital infrastruktur enligt punkt 8 i den tabellen.

Denna lag tillämpas inte på utlämnande av sådan information vars röjande eller utlämnande äventyrar försvaret, den nationella säkerheten eller den allmänna ordningen och säkerheten.

Om det i Europeiska unionens rättsakter sektorsspecifikt krävs att kritiska aktörer vidtar åtgärder för att stärka sin motståndskraft och kraven åtminstone är likvärdiga med motsvarande skyldigheter enligt denna lag, ska dessa tillämpas på den kritiska aktören i stället för denna lag.

Om det i någon annan lag eller i bestämmelser som utfärdats med stöd av den finns krav som avviker från denna lag i fråga om den riskbedömning eller den anmälan av incidenter som görs av en kritisk aktör, och kraven har åtminstone samma verkan som motsvarande skyldigheter enligt denna lag, ska de tillämpas i stället för motsvarande bestämmelser i denna lag.

Bestämmelser om behandlingen av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen (1050/2018).

Bestämmelser om skyldigheten för en kritisk aktör som identifierats enligt denna lag att hantera cybersäkerhetsrelaterade risker finns i cybersäkerhetslagen (124/2025).

I denna lag avses med

För att stärka kritiska aktörers motståndskraft och uppnå de allmänna målen för verksamheten ska statsrådet minst vart fjärde år anta en riksomfattande plan som fungerar som nationell strategi för kritiska aktörers motståndskraft ( riksomfattande plan ).

Vid beredningen av den riksomfattande planen ska hänsyn tas till principbeslut och andra beslut av statsrådet som meddelats för motsvarande ändamål.

Den riksomfattande planen ska innehålla åtminstone

Statsrådet ska minst vart fjärde år godkänna en nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft.

Den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft ska innehålla en redogörelse för relevanta

I riskbedömningen ska hänsyn åtminstone tas till

Det ministerium som sköter samordningsuppgiften svarar för den allmänna styrningen, uppföljningen, samordningen och utvecklingen av verksamhet enligt denna lag.

Det ministerium som sköter samordningsuppgiften är behörig myndighet enligt artikel 9.1 i CER-direktivet och svarar för att det organ som sköter den nationella kontaktpunktens uppgifter anmäls till kommissionen. Inrikesministeriet är det ministerium som sköter samordningsuppgiften.

Inrikesministeriet har till uppgift att

Det ministerium som sköter samordningsuppgiften ska i syfte att säkerställa att CER-direktivet tillämpas på ett konsekvent sätt samråda med Europeiska unionens medlemsstater i fråga om sådana kritiska aktörer som

De myndigheter som avses i 7, 13 och 19 § ska i samarbete med Försörjningsberedskapscentralen på ett övergripande plan främja helheter som hänför sig till kritiska aktörers motståndskraft.

I detta syfte ska

Den tillsynsmyndighet som avses i 19 § ska i samarbete med Försörjningsberedskapscentralen ge kritiska aktörer sådant stöd som avses i artikel 10.1 i CER-direktivet. I detta syfte kan vägledningsmaterial och metoder utarbetas, anordnandet av övningar för att testa motståndskraften stödjas samt rådgivning och utbildning tillhandahållas.

Statsrådets lägescentral som avses i lagen om statsrådets lägescentral (300/2017) ska

En enskild eller offentlig sammanslutning eller en funktionell del av en sådan kan identifieras som en kritisk aktör om

Vid identifieringen av kritiska aktörer beaktas den riksomfattande planen för kritiska aktörers motståndskraft och den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft samt den gränsöverskridande verksamheten och den europeiska samstämmigheten.

Vid bedömningen av huruvida en i 10 § 1 mom. 3 punkten avsedd störande effekt är betydande ska hänsyn tas till

Vid bedömningen av den betydelse en i 11 § avsedd betydande störande effekt har för en tjänst som är viktig med tanke på samhällets funktionsförmåga ska hänsyn tas till de särskilda uppgifter som är av relevans med tanke på samhällets funktionsförmåga samt dessutom kriterier som gäller följande sektorer:

Ett ärende som gäller identifiering av en kritisk aktör ska avgöras av det ministerium till vars ansvarsområde den aktuella aktören hör. Beslutet är i kraft högst fyra år.

Innan ett ärende som avses i 1 mom. avgörs ska utlåtande begäras av det ministerium som avses i 7 § och i behövlig omfattning av andra ministerier och myndigheter samt Försörjningsberedskapscentralen.

En kritisk aktör som identifierats genom ett beslut enligt denna paragraf betraktas som en kritisk aktör av särskild europeisk betydelse, om den tillhandahåller samma eller liknande samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen, och har underrättats om att den betraktas som en kritisk aktör av särskild europeisk betydelse. När kommissionen har lämnat en underrättelse om att en kritisk aktör betraktas som en kritisk aktör av särskild europeisk betydelse, ska det ministerium som avses i 7 § utan dröjsmål vidarebefordra informationen om kommissionens underrättelse och de tillhörande skyldigheterna till den kritiska aktören.

Ministeriet kan återkalla ett beslut som avses i 1 mom. om den kritiska aktören inte längre uppfyller förutsättningarna för beslutet eller om den kritiska aktören har upphört med sin verksamhet.

En kritisk aktör ska göra en riskbedömning vid behov och minst vart fjärde år. När riskbedömningen görs ska hänsyn tas till den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft samt till andra informationskällor som är relevanta med tanke på riskbedömningen.

I den riskbedömning som den kritiska aktören gör ska hänsyn tas till alla sådana relevanta risker för naturolyckor och risker orsakade av människan som kan leda till en incident. Hänsyn ska då tas till risker av sektorsövergripande eller gränsöverskridande slag, olyckor, naturkatastrofer, hot mot folkhälsan, hybridhot och övriga hot samt andra hot som det behöriga ministeriet fastställer.

I riskbedömningen ska hänsyn tas till den utsträckning i vilken andra sektorer är beroende av den samhällsviktiga tjänst som den kritiska aktören tillhandahåller.

Om en annan riskbedömning eller ett annat dokument utarbetas för motsvarande ändamål med stöd av någon annan lag än denna, får den kritiska aktören använda den bedömningen eller det dokumentet. Detta ska nämnas i riskbedömningen eller dokumentet i fråga.

En kritisk aktör ska för att säkerställa sin motståndskraft vidta lämpliga och proportionella tekniska, säkerhetsmässiga och organisatoriska åtgärder på grundval av den riskbedömning som avses i 14 § och annan relevant information. I detta syfte ska den kritiska aktören utarbeta en plan som innehåller lämpliga och proportionella tekniska, säkerhetsmässiga och organisatoriska åtgärder för att säkerställa motståndskraften.

Planen ska innehålla en redogörelse för

Om ett annat dokument eller en annan plan utarbetas för motsvarande ändamål med stöd av någon annan lag än denna, behöver en separat plan enligt denna paragraf inte utarbetas, utan den kritiska aktören kan använda sig av dokumentet eller planen i fråga. Detta ska nämnas i planen eller dokumentet.

Den kritiska aktören ska utse en kontaktpunkt genom vilken informationsgången ordnas och i detta syfte meddela namn och kontaktuppgifter för den kontaktperson som sköter uppgiften eller en annan motsvarande kontaktpunkt där information kan fås.

En kritisk aktör ska utan obefogat dröjsmål lämna in en anmälan till den behöriga tillsynsmyndigheten och Statsrådets lägescentral om varje incident som medför eller kan medföra en betydande störning i tillhandahållandet av samhällsviktiga tjänster.

Den kritiska aktören ska lämna in en första anmälan till tillsynsmyndigheten och Statsrådets lägescentral inom 24 timmar från det att den har fått kännedom om en incident, om inte något annat följer av ett nödvändigt operativt skäl. Den kritiska aktören lämnar vid behov en detaljerad rapport till det ministerium som sköter samordningsuppgiften, det ministerium som ansvarar för sektorn och den behöriga tillsynsmyndigheten senast inom en månad från det att incidenten har kommit till kännedom.

Vid fastställandet av huruvida störningen är betydande ska i synnerhet beaktas antal och andel användare som berörs av störningen, störningens varaktighet och det geografiska området samt huruvida området är geografiskt isolerat.

Försörjningsberedskapscentralen har trots sekretessbestämmelserna rätt att få den information om den i 2 mom. avsedda första anmälan och detaljerade rapporten som bedöms vara nödvändig för utförande av centralens uppgifter och för stödjande av de ministerier som saken gäller och de behöriga tillsynsmyndigheterna.

En första anmälan om en incident ska innehålla

Den detaljerade rapporten ska innehålla

Den kritiska aktören ska på tillsynsmyndighetens begäran lämna ytterligare upplysningar som har samband med den upptäckta incidenten.

Den behöriga tillsynsmyndigheten ska underrätta den kritiska aktören om mottagandet av incidentanmälan och om eventuella stödåtgärder.

Den behöriga tillsynsmyndigheten ska utan dröjsmål informera den kritiska aktören om fortsatta åtgärder. Om det ligger i allmänt intresse att det underrättas om en störning, kan tillsynsmyndigheten dessutom ålägga den kritiska aktören att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken.

Om en incident har eller kan ha en betydande påverkan på kritiska aktörer och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster i en eller flera medlemsstater i Europeiska unionen, eller om en incident har eller kan ha en betydande påverkan på kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen, ska detta på basis av erhållen information anmälas i enlighet med 9 §.

Den behöriga tillsynsmyndigheten övervakar att de skyldigheter som föreskrivs och bestäms för kritiska aktörer med stöd av denna lag fullgörs. Tillsynsmyndigheter enligt denna lag är

Tillsynen ska inriktas på kritiska aktörer för övervakning av att skyldigheterna enligt denna lag fullgörs, i den omfattning som det behövs. Tillsynsmyndigheten har rätt att utföra inspektioner på plats av den kritiska infrastruktur, de byggnader och de lokaler som den kritiska aktören använder för att tillhandahålla sina samhällsviktiga tjänster.

I samband med en inspektion har myndigheten rätt att i tillsynsobjektet få tillträde till alla byggnader och lokaler samt datasystem och andra system som är nödvändiga för inspektionen samt rätt att trots sekretessbestämmelserna eller andra begränsningar få redogörelser om de planer och andra arrangemang som krävs enligt denna lag. Inspektion får dock inte förrättas i utrymmen som används för boende av permanent natur. Tillsynsmyndigheten kan dessutom utanför byggnaderna och lokalerna övervaka en kritisk aktörs åtgärder, för säkerställande av den kritiska aktörens motståndskraft.

Tillsynsmyndigheten kan höra utomstående experter och begära utlåtanden av dem. Tillsynsmyndigheten kan i samband med inspektionen anlita en utomstående expert. Den som förrättar inspektionen och den utomstående expert som deltar i inspektionen ska ha sådan utbildning och erfarenhet som behövs för inspektionen. På experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de utför biträdande uppgifter enligt denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).

På förfarandet vid inspektionen tillämpas 39 § i förvaltningslagen (434/2003).

Tillsynsmyndigheten kan ge en kritisk aktör som bryter mot denna lag en anmärkning eller varning. En varning kan ges om en anmärkning inte kan anses tillräcklig med beaktande av omständigheterna i ärendet som helhet. En varning ska ges skriftligen och i den ska den brist eller försummelse som varningen gäller specificeras.

Tillsynsmyndigheten kan genom sitt beslut ålägga aktören att inom en skälig tid avhjälpa upptäckta brister eller försummelser. Tillsynsmyndigheten kan förena beslutet med vite eller hot om tvångsutförande.

Tillsynsmyndigheten kan genom sitt beslut ålägga en kritisk aktör att betala en försummelseavgift, om den kritiska aktören uppsåtligen eller av grov oaktsamhet försummar att göra en riskbedömning enligt 14 §, vidta åtgärder enligt 15 § eller göra en anmälan om en incident enligt 16 § och den upptäckta bristen eller försummelsen har en betydande påverkan på tillhandahållandet av samhällsviktiga tjänster. Försummelseavgiften ska betalas till staten. Försummelseavgift kan inte påföras en kritisk aktör som är en statlig myndighet, ett statligt affärsverk, en kommunal myndighet, ett välfärdsområde eller en självständig offentligrättslig inrättning. Försummelseavgiften uppgår till minst 2 000 och högst 20 000 euro.

Vid bedömningen av försummelseavgiftens storlek ska hänsyn tas till omständigheterna i fallet och förfarandets art och i detta syfte åtminstone följande omständigheter:

Försummelseavgift påförs inte om

Försummelseavgift får inte påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Försummelseavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom.

Bestämmelser om verkställigheten av försummelseavgifter finns i lagen om verkställighet av böter (672/2002). En försummelseavgift preskriberas när fem år har förflutit från den dag då det lagakraftvunna beslutet om avgiften meddelades.

I beslut som avses i denna lag får omprövning begäras. Bestämmelser om begäran om omprövning finns i förvaltningslagen.

I beslut av statsrådets allmänna sammanträde får omprövning inte begäras.

Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019).

Vid sökande av ändring i beslut som gäller föreläggande och utdömande av vite samt föreläggande och verkställighet av hot om tvångsutförande tillämpas dock viteslagen (1113/1990).

Tillsynsmyndigheten har trots sekretessbestämmelserna rätt att av myndigheter och sådana aktörer som identifierats som kritiska avgiftsfritt få den information som är nödvändig för att den ska kunna utföra sina uppgifter enligt denna lag. Tillsynsmyndigheten har trots sekretessbestämmelserna rätt att till en annan tillsynsmyndighet och en tillsynsmyndighet enligt 26 § i cybersäkerhetslagen samt det ministerium som avses i 7 § i denna lag och det ministerium till vars ansvarsområde det ärende som behandlas hör lämna ut den information som är nödvändig för att de ska kunna utföra sina uppgifter. Tillsynsmyndigheten har trots sekretessbestämmelserna rätt att lämna ut nödvändig information också till Försörjningsberedskapscentralen för utförande av dess uppgifter.

Den rätt att få information som avses i denna paragraf gäller inte information som behandlas av den CSIRT-enhet som avses i 19 § i cybersäkerhetslagen.

De myndigheter som avses 26 § i cybersäkerhetslagen ska underrättas om ett beslut om identifiering av en kritisk aktör enligt 13 § i denna lag inom en månad från beslutet.

De myndigheter som avses i 13 § 1 och 2 mom. och 19 § i denna lag och myndigheten enligt 26 § i cybersäkerhetslagen ska sinsemellan utbyta information om identifiering av kritiska aktörer och om cybersäkerhetsrisker, cyberhot och cyberincidenter och icke-cyberrelaterade risker, hot och incidenter som påverkar kritiska aktörer samt om relevanta åtgärder och hanteringsåtgärder som vidtagits av de nämnda myndigheterna.

Om en i säkerhetsutredningslagen (726/2014) avsedd säkerhetsutredning av person görs om en person som ska utses till eller arbetar i ett anställningsförhållande eller uppdrag hos en sådan kritisk aktör som avses i 13 § i denna lag, och det behövs på grund av att den som utredningen gäller har vistats utomlands eller av någon annan särskild orsak, kan skyddspolisen för utredningen göra en begäran enligt 20 c § i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012). Registeruppgifter som erhållits på grundval av en begäran får utöver vad som i övrigt föreskrivs i säkerhetsutredningslagen användas vid säkerhetsutredning av person.

Denna lag träder i kraft den 1 juli 2025.

Efter ikraftträdandet av denna lag ska en i 5 § avsedd riksomfattande plan för kritiska aktörers motståndskraft och en i 6 § avsedd nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft för första gången antas senast den 17 januari 2026. Beslut enligt 13 § om identifiering av en kritisk aktör ska fattas för första gången senast den 17 juli 2026.

Efter ikraftträdandet av denna lag ska den som identifierats som en kritisk aktör göra en första sådan i 14 § avsedd riskbedömning som görs av en kritisk aktör inom nio månader från det att aktören har underrättats om ett i 13 § avsett beslut. En plan enligt 15 § ska utarbetas för första gången inom ett år från det att den riskbedömning som avses i 14 § har gjorts.

Senast den 17 juli 2028 ska en första sammanfattande rapport om inkomna incidentanmälningar enligt 16 § lämnas till kommissionen och till den grupp för kritiska aktörers motståndskraft som avses i artikel 19 i CER-direktivet.