906/2019

Syftet med denna lag är att

Genom denna lag genomförs bestämmelserna om skyldigheter för aktörer, om tillsynen över fullgörandet av dem och om påföljder i Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) inom sektorn för offentlig förvaltning som avses i punkt 10 i bilaga I till NIS 2-direktivet ( den offentliga förvaltningen ). Bestämmelser om genomförande av NIS 2-direktivet till övriga delar finns i cybersäkerhetslagen (124/2025) . (4.4.2025/125)

I denna lag avses med

Denna lag ska tillämpas på informationshantering och på användning av informationssystem, då myndigheter behandlar informationsmaterial, om inte något annat föreskrivs någon annanstans i lag. Bestämmelserna i 6 a kap. i denna lag ska tillämpas på införande och användning av automatiserat beslutsförfarande . Vad som i denna lag föreskrivs om myndigheter ska också tillämpas på universitet som avses i universitetslagen (558/2009) och på yrkeshögskolor som avses i yrkeshögskolelagen (932/2014) .

Det föreskrivs särskilt om förfaranden som ska iakttas vid ärendehantering och tjänsteproduktion, om sekretessbeläggning och om rätten till information om myndighetshandlingar samt om arkivering av handlingar. I kyrkolagen (652/2023) föreskrivs om informationshantering och användning av informationssystem inom Finlands evangelisk-lutherska kyrka.

Bestämmelserna i 4 a kap. tillämpas inte på följande myndigheter och myndighetsverksamheter:

Bestämmelserna i 19, 20, 26 och 27 § ska inte tillämpas på rättskipningen vid domstolar eller nämnder som har inrättats för att behandla besvärsärenden. Bestämmelserna i 3 kap. ska inte tillämpas på riksdagens justitieombudsmans, justitiekanslerns i statsrådet eller domstolarnas verksamhet eller verksamheten vid nämnder som har inrättats för att behandla besvärsärenden och inte heller på republikens presidents kansli, riksdagens ämbetsverk, Folkpensionsanstalten, Finlands Bank, övriga självständiga offentligrättsliga inrättningar, universitet som avses i universitetslagen eller på yrkeshögskolor som avses i yrkeshögskolelagen. Bestämmelserna i 3 kap. ska tillämpas på välfärdsområden, välfärdssammanslutningar, kommuner och samkommuner då de sköter lagstadgade uppgifter. Bestämmelserna i 18 g § 3 mom. och 18 h–18 l § ska inte tillämpas på riksdagens justitieombudsmans eller justitiekanslerns i statsrådet verksamhet.

Vad som i 4 kap., 22–24 och 25–27 § samt 6 a kap. föreskrivs om informationshanteringsenheter och myndigheter ska tillämpas på privatpersoner och privaträttsliga sammanslutningar samt sådana offentligrättsliga samfund som inte är myndigheter till den del dessa sköter offentliga förvaltningsuppgifter. På privatpersoner, privaträttsliga sammanslutningar och sådana offentligrättsliga samfund som inte är myndigheter tillämpas dessutom vad som i 4 och 28 § föreskrivs om informationshanteringsenheter när de utövar offentlig makt på det sätt som avses i 4 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet eller när det särskilt föreskrivs att den lagen ska tillämpas på deras verksamhet. Vidare tillämpas vad som i 19 § 2 mom. samt i 24 a och 24 b § föreskrivs om myndigheter på privaträttsliga sammanslutningar och sådana offentligrättsliga samfund som inte är myndigheter när de utövar offentlig makt på det sätt som avses i 4 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet.

Denna lag ska inte tillämpas på statliga myndigheter i landskapet Åland. Lagens 13 a § och 6 a kap. ska dock tillämpas på statliga myndigheter på Åland när de sköter sådana myndighetsuppgifter som hör till rikets lagstiftningsbehörighet och som innebär automatiserat avgörande av ärenden enligt 53 e § i förvaltningslagen. Även 4 a kap. ska tillämpas på statliga myndigheter i landskapet Åland, om inte något annat följer av 3 mom.

Informationshanteringsenheter enligt denna lag är

(29.6.2021/653)

En informationshanteringsenhets ledning ska ombesörja att det vid enheten

En informationshanteringsenhet ska upprätthålla en informationshanteringsmodell som definierar och beskriver informationshanteringen i dess verksamhetsmiljö. Informationshanteringsmodellen ska upprätthållas för planering och genomförande av tjänster, ärendebehandling och hantering av informationsmaterial, för genomförande av rättigheter och begränsningar i fråga om tillgången till information, för att minska överlappande insamling av information, för genomförande av interoperabilitet mellan informationssystem och informationslager samt för upprätthållande av informationssäkerhet.

Av informationshanteringsmodellen ska framgå åtminstone uppgifter om

Vid planeringen av väsentliga administrativa reformer som har konsekvenser för innehållet i informationshanteringsmodellen och i samband med att informationssystem tas i bruk ska informationshanteringsenheten bedöma de förändringar som hänför sig till åtgärderna och deras konsekvenser i förhållande till ansvaren för informationshanteringen, informationssäkerhetskraven och informationssäkerhetsåtgärderna enligt 4 kap., kraven på skapande och sättet för utlämnande av informationsmaterial enligt 5 kap., kraven på ärendehantering och informationshantering i samband med tjänsteproduktion enligt 6 kap. och, enligt vad som föreskrivs någon annanstans i lag om handlingsoffentlighet, sekretessbeläggning, skyddande av information samt informationsrättigheter. Informationshanteringsenheten ska i sin bedömning av förändringar som avser informationshantering beakta interoperabiliteten mellan informationslager samt möjligheterna att utnyttja informationslager för skapande och utnyttjande av informationsmaterial. På basis av bedömningen ska informationshanteringsenheten vidta de åtgärder som behövs för att ändra informationshanteringsmodellen och genomföra ändringarna. Det föreskrivs särskilt om konsekvensbedömning i fråga om dataskydd och om förhandssamråd i samband därmed.

Finansministeriet svarar för den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens gemensamma informationslager. I detta syfte ska finansministeriet

Varje ministerium ska inom sitt eget ansvarsområde sköta uppdateringen av innehållet i den offentliga förvaltningens informationshanteringskarta och upprätthålla de allmänna riktlinjerna i syfte att främja interoperabiliteten mellan ansvarsområdets gemensamma informationslager och informationssystem. Genom förordning av statsrådet kan det föreskrivas närmare om innehållet i och upprätthållandet av den offentliga förvaltningens informationshanteringskarta.

Finansministeriet ska ombesörja att det för koordineringen av samarbetet mellan den offentliga förvaltningens informationshantering och produktionen av informations- och kommunikationstekniska tjänster har ordnats samarbetsmetoder och samarbetsförfaranden för myndigheter vid statliga ämbetsverk och inrättningar, för välfärdsområdens och välfärdssammanslutningars myndigheter samt för kommunala myndigheter. Syftet med samarbetet är att främja genomförandet av de syften som avses i denna lag samt att utveckla den offentliga förvaltningens förfaranden och metoder för tjänsteproduktion genom utnyttjande av informationslager samt informations- och kommunikationsteknik. Inom samarbetet ska utvecklingen, förändringarna i och konsekvenserna av den offentliga förvaltningens informationshantering samt de informations- och kommunikationstekniska tjänsterna följas upp. (29.6.2021/653)

För samarbetet enligt 1 mom. kan statsrådet tillsätta delegationer eller andra samarbetsorgan.

De statliga ämbetsverken och inrättningarna ska i sin bedömning enligt 5 § 3 mom. utvärdera de ekonomiska konsekvenserna av förändringar som är relevanta för informationshanteringen.

Det ministerium som ansvarar för verksamhetsområdet ska göra en bedömning enligt 5 § 3 mom. då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Dessutom ska ministeriet bedöma planerade bestämmelsers konsekvenser för handlingsoffentligheten och handlingssekretessen.

De statliga ämbetsverken och inrättningarna ska tillställa finansministeriet en på basis av 5 § 3 mom. och 8 § 1 mom. gjord bedömning för utlåtande om utnyttjandet av informationslager och informationssystem samt om interoperabiliteten och informationssäkerheten, då en förändring bedöms få betydande ekonomiska eller funktionella konsekvenser för informationshanteringen eller verksamheten eller då det är fråga om väsentliga förändringar i strukturella gränssnitt för gemensamma informationslager inom den offentliga förvaltningen. Finansministeriet har för avgivande av utlåtande rätt att trots sekretessbestämmelserna få nödvändig information från statliga myndigheter.

Närmare bestämmelser om förändringar i informationshanteringen som förutsätter utlåtande, om innehållet i begäran om utlåtande och om förfarandet i ett ärende som gäller utlåtande utfärdas genom förordning av statsrådet.

I anslutning till finansministeriet finns en informationshanteringsnämnd för den offentliga förvaltningen ( informationshanteringsnämnden ) med uppgift att

Statsrådet utser informationshanteringsnämnden för fyra år i sänder. Nämnden har en ordförande, en vice ordförande samt ledamöter med sakkunskap när det gäller informationssäkerhet inom den offentliga förvaltningen, interoperabilitet mellan informationssystem och informationslager, statistik eller hantering av informationsmaterial. Genom förordning av statsrådet föreskrivs det närmare om informationshanteringsnämndens sammansättning, organiseringen av dess verksamhet och beslutsförfarande samt behörighetskraven för ledamöterna.

Finansministeriet utser bland sina tjänstemän sekreterare i bisyssla för nämndens mandatperiod. Genom förordning av statsrådet föreskrivs närmare om sekreterarnas uppgifter.

På ledamöterna och ersättarna tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter som hör till nämnden. I skadeståndslagen (412/1974) föreskrivs om skadeståndsansvar. Till ledamöterna och ersättarna betalas ersättning för skötsel av uppgifterna. Finansministeriet fastställer ersättningsbeloppen.

Informationshanteringsnämnden kan tillsätta tillfälliga sektioner för utveckling av informationshanteringsförfarandena. Till sektionerna kan höra sakkunniga vid informationshanteringsenheter. Nämndens sekreterare är ordförande för sektionerna. Befolkningsregistercentralen har i uppgift att för informationshanteringsnämnden producera sakkunnigtjänster i syfte att utveckla förfarandena för informationshantering och informationssäkerhet.

Genomförandet av informationshanteringsnämndens bedömningsuppgift baserar sig på en bedömningsplan som nämnden godkänt.

Informationshanteringsnämnden har trots sekretessbestämmelserna rätt att för skötseln av en bedömningsuppgift, från de myndigheter som är föremål för bedömning kostnadsfritt få sådana utredningar som är nödvändiga för skötseln av bedömningsuppgiften samt behövliga uppgifter om informationshanteringsmodellen, om bedömningen av förändringar i informationshanteringen, om hur tillgången till information som avses i 24 a och 24 b § förverkligas, om den beskrivning som avses i 28 §, om de förfaranden som används för ärendehanteringen och informationshanteringen i samband med tjänsteproduktion, om tekniken för omvandling av handlingar till elektroniskt format, om upprättande av elektroniska förbindelser och om beskrivningar av tekniska gränssnitt, om användning och administrering av tekniska gränssnitt samt om förfarandena för användning av gränssnitt, med undantag för säkerhetsklassificerade handlingar. Myndigheten ska inom utsatt tid lämna informationshanteringsnämnden begärd information. (15.7.2021/710)

Om informationshanteringsnämnden konstaterar brister i fråga om iakttagandet av de bestämmelser som i enlighet med 10 § 1 mom. 1 punkten är föremål för bedömning, kan nämnden uppmärksamgöra myndigheten på genomförandet av de till informationshanteringen anslutna förfarandena enligt denna lag och uppfyllandet av kraven.

Informationshanteringsnämnden ska vartannat år utarbeta en berättelse över bedömningsresultaten och överlämna den till finansministeriet.

En informationshanteringsenhet ska identifiera uppgifter som förutsätter särskild tillförlitlighet hos anställda eller personer som handlar för enhetens räkning. I säkerhetsutredningslagen (726/2014) föreskrivs om förutsättningar för säkerhetsutredning av person. I lagen om integritetsskydd i arbetslivet (759/2004) föreskrivs om arbetsgivarens rätt att för utredning av arbetstagarens tillförlitlighet utreda kreditupplysningar om denne och behandla uppgifter om narkotikatest.

En informationshanteringsenhet ska följa upp informationssäkerhetens tillstånd i sin verksamhetsmiljö och säkerställa informationsmaterialens och informationssystemens informationssäkerhet under hela deras livscykel. Informationshanteringsenheten ska identifiera relevanta risker som är förenade med informationsbehandlingen och dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen.

De med tanke på skötseln av en myndighets uppgifter relevanta informationssystemens feltolerans och funktionella användbarhet ska regelbundet säkerställas genom tillräcklig testning.

Myndigheten ska planera informationssystemen, informationslagrens strukturer och informationsbehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten utan svårighet kan genomföras.

Myndigheten ska vid sina upphandlingar säkerställa att de aktuella informationssystemen har lämpliga säkerhetsåtgärder.

Angående bedömning av informationssäkerheten i myndigheters informationssystem och datakommunikation föreskrivs särskilt.

En myndighet ska utan dröjsmål informera dem som utnyttjar dess informationsmaterial om sådana störningar i myndighetens informationshantering som utgör ett hinder, eller hotar utgöra ett hinder, för informationsmaterialens tillgänglighet. Myndigheten ska meddela hur länge störningen eller hotet om störning beräknas pågå och, i den mån det är möjligt, ange ersättande sätt att utnyttja myndighetens informationsmaterial samt meddela att störningen eller hotet om störning har upphört.

Bestämmelser om information till allmänheten som myndigheter ska ge om avbrott i de digitala tjänsterna och i andra elektroniska dataöverföringsmetoder finns i 4 § 2 mom. i lagen om tillhandahållande av digitala tjänster (306/2019) .

En informationshanteringsenhet ska utreda väsentliga risker som hänför sig till behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamhetens kontinuitet. Informationshanteringsenheten ska utifrån riskbedömningen genom beredskapsplaner och förberedelser för verksamhet i störningssituationer samt genom andra åtgärder se till att behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamheten fortsätter så störningsfritt som möjligt i störningssituationer under normala förhållanden samt under sådana undantagsförhållanden som avses i beredskapslagen (1552/2011) .

Bestämmelser om myndigheternas allmänna skyldighet att vidta förberedelser för undantagsförhållanden samt om ordnande av statens informationsförvaltning, databehandling, elektroniska tjänster, telekommunikation och informationssäkerhet under undantagsförhållanden finns i beredskapslagen.

Om en myndighet överför sekretessbelagd information i det allmänna datanätet ska informationen överföras i ett krypterat eller på annat sätt skyddat format. Dessutom ska överföringen ordnas så att mottagaren verifieras eller identifieras på ett tillräckligt informationssäkert sätt, innan mottagaren kommer åt att behandla den överförda sekretessbelagda informationen.

I lagen om tillhandahållande av digitala tjänster föreskrivs om identifiering av användaren i samband med digitala tjänster som tillhandahålls allmänheten. (23.3.2023/488)

Myndigheterna ska genom adekvata säkerhetsåtgärder i fråga om sina informationsmaterial säkerställa att

Informationsmaterial ska behandlas och förvaras i verksamhetslokaler som är tillräckligt säkra enligt kraven på tillförlitlighet, integritet och tillgänglighet.

Den systemansvariga myndigheten ska definiera användarrättigheterna för informationssystem. Användarrättigheterna ska definieras och uppdateras utifrån användarens uppgiftsrelaterade användningsbehov.

En myndighet ska ombesörja att logginformation insamlas om användning av dess informationssystem och om utlämnande av information från dem, om användningen förutsätter identifiering eller annan registrering. Syftet med logginformationen är uppföljning av användningen och utlämnandet av information från informationssystem samt utredning av tekniska systemfel.

Myndigheter vid statliga ämbetsverk, inrättningar och affärsverk samt domstolar och nämnder som har inrättats för att behandla besvärsärenden ska säkerhetsklassificera handlingar och förse dem med anteckning om säkerhetsklass som visar vilket slag av informationssäkerhetsåtgärder som ska vidtas vid behandlingen av dem. Anteckning om säkerhetsklass ska göras, om en handling eller informationen i den är sekretessbelagd enligt 24 § 1 mom. 2, 5 eller 7–11 punkten i lagen om offentlighet i myndigheternas verksamhet och om obehörigt avslöjande eller obehörig användning av handlingen kan orsaka skada för försvaret, för förberedelser inför undantagsförhållanden, för internationella relationer, för brottsbekämpningen, för den allmänna säkerheten eller för stats- och samhällsekonomins funktion, eller på något annat jämförbart sätt för Finlands säkerhet. (17.12.2020/1022)

En handling får inte förses med en anteckning om säkerhetsklass i andra fall än sådana som avses i 1 mom., om anteckningen inte behövs för att fullgöra en internationell förpliktelse som gäller informationssäkerhet eller om handlingen annars har samband med internationellt samarbete.

Sådana handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) ska förses med anteckning om säkerhetsklass så som föreskrivs i den lagen.

Genom förordning av statsrådet föreskrivs närmare om säkerhetsklassificering, anteckningar i säkerhetsklassificerade handlingar och informationssäkerhetsåtgärder som anknyter till behandlingen av säkerhetsklassificerade handlingar. I 25 § i lagen om offentlighet i myndigheternas verksamhet föreskrivs om anteckning om sekretess.

De informationshanteringsenheter som omfattas av tillämpningsområdet för detta kapitel är väsentliga aktörer inom den offentliga förvaltningen. Välfärdsområdena och välfärdssammanslutningarna samt Helsingfors stad är dock viktiga aktörer.

En informationshanteringsenhet ska till tillsynsmyndigheten anmäla

En informationshanteringsenhet ska identifiera, utvärdera och hantera cyberrisker som hänför sig till säkerheten i de kommunikationsnät och informationssystem som den använder i sina funktioner eller för att tillhandahålla sina tjänster. Hanteringen av cybersäkerhetsrisker ska förhindra eller minimera incidenters inverkan på verksamheten, driftskontinuiteten, tjänstemottagarna och andra tjänster. Informationshanteringsenheten ska vidta de åtgärder för hantering av cybersäkerhetsrisker som avses i 18 c §.

Informationshanteringsenheten ska ha en uppdaterad handlingsmodell för hantering av cybersäkerhetsrisker för att skydda kommunikationsnät och informationssystem och deras fysiska miljö mot incidenter och deras verkningar. I handlingsmodellen för hantering av cybersäkerhetsrisker ska de risker som hänför sig till kommunikationsnät och informationssystem och deras fysiska miljö identifieras med beaktande av ett tillvägagångssätt som beaktar alla riskfaktorer. I handlingsmodellen ska målen, förfarandena och ansvaren för hanteringen av cybersäkerhetsrisker samt de åtgärder enligt 18 c § genom vilka kommunikationsnät och informationssystem och deras fysiska miljö skyddas mot cyberhot och incidenter fastställas och beskrivas.

Informationshanteringsenhetens ledning svarar för genomförandet av och tillsynen över hanteringen av cybersäkerhetsrisker samt godkänner handlingsmodellen för hantering av risker och utövar tillsyn över genomförandet av den. Informationshanteringsenhetens ledning ska ha tillräcklig förtrogenhet med hantering av cybersäkerhetsrisker.

En informationshanteringsenhet ska vidta proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för hantering av cybersäkerhetsrisker för att hantera sådana cyberrisker hänför sig till säkerheten i de kommunikationsnät och informationssystem som enheten använder och för att förhindra eller minimera skadliga verkningar. I handlingsmodellen för hantering av cybersäkerhetsrisker och de åtgärder för hantering av cybersäkerhetsrisker som baserar sig på den ska åtminstone följande beaktas och hållas uppdaterat:

Åtgärderna ska vara aktuella, lämpliga och proportionella i förhållande till riskexponeringen när det gäller de kommunikationsnät och informationssystem som informationshanteringsenheten använder, kommunikationsnätets eller informationssystemets betydelse för informationshanteringsenhetens verksamhet samt de direkta konsekvenser som en incident i dessa rimligtvis kan förutses ha. Vid dimensioneringen av åtgärderna ska informationshanteringsenhetens storlek, arten av dess verksamhet, sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, kostnaderna för åtgärderna samt de tekniska medel för att avvärja cyberhot som med beaktande av den aktuella utvecklingen är tillgängliga dessutom beaktas.

I riskhanteringen, i handlingsmodellen för hantering av risker och vid genomförandet av riskhanteringsåtgärder ska dessutom Europeiska kommissionens genomförandeakter som eventuellt antas med stöd av artikel 21.5 i NIS 2-direktivet iakttas.

Myndigheten ska utan dröjsmål, senast inom 24 timmar från upptäckten av en betydande incident lämna tillsynsmyndigheten en första anmälan om incidenten, i vilken det ska anges om incidenten misstänks ha orsakats av ett brott eller av andra olagliga eller avsiktligt skadliga handlingar och om incidenten kan ha gränsöverskridande verkningar samt sannolikheten för sådana verkningar.

Myndigheten ska utan dröjsmål, senast inom 72 timmar från upptäckten av en betydande incident lämna tillsynsmyndigheten en uppföljande anmälan om incidenten, i vilken den information som avses i 1 mom. ska uppdateras och det ska anges en inledande bedömning av den betydande incidentens art, allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer.

Myndigheten ska inom en månad från det att den uppföljande anmälan lämnades in lämna tillsynsmyndigheten en slutrapport om den betydande incidenten. Slutrapporten ska innehålla

Vid anmälan av en betydande incident ska dessutom iakttas Europeiska kommissionens genomförandeakter som eventuellt antas med stöd av artikel 23.11 i NIS 2-direktivet och som gäller typen av information i och formatet och förfarandet för anmälan samt en närmare definition av betydande incidenter.

Tillsynsmyndigheten ska utan dröjsmål, om möjligt inom 24 timmar från mottagandet av den första anmälan som avses i 18 d § 1 mom., lämna ett svar till myndigheten. Svaret ska innehålla initial återkoppling om den betydande incidenten och, på myndighetens begäran, vägledning eller operativa råd om hanteringen av incidenten samt vägledning om hur den betydande incidenten ska anmälas till förundersökningsmyndigheten, om brott misstänks i ärendet.

Tillsynsmyndigheten ska när den ger vägledning och operativa råd som avses i 1 mom. samarbeta med den CSIRT-enhet som avses i cybersäkerhetslagen. Vägledning och operativa råd kan ges av CSIRT-enheten i stället för av tillsynsmyndigheten.

En myndighet kan underrätta tillsynsmyndigheten också om andra än betydande incidenter samt om cyberhot och tillbud. Även de som avses i 3 §, på vilka detta kapitel inte tillämpas, kan göra en sådan underrättelse.

Tillsynsmyndigheten ska behandla frivilliga underrättelser som avses i 1 mom. med iakttagande av det förfarande som anges i 18 e §. Tillsynsmyndigheten får prioritera behandlingen av anmälningar som avses i 18 d § i förhållande till behandlingen av frivilliga underrättelser.

Myndigheter och andra som avses i 3 § kan i samband med en frivillig underrättelse lämna ut sådan information till tillsynsmyndigheten som tillsynsmyndigheten har rätt att få med stöd av 18 i §.

I samband med en frivillig underrättelse ska dessutom Europeiska kommissionens genomförandeakter som eventuellt antas med stöd av artikel 23.11 i NIS 2-direktivet och som gäller typen av information i och formatet och förfarandet för underrättelser iakttas.

En myndighet ska utan dröjsmål underrätta mottagarna av sina tjänster om en betydande incident, om den betydande incidenten sannolikt inverkar negativt på tillhandahållandet av dess tjänster.

En myndighet ska utan dröjsmål underrätta de mottagare av sina tjänster som kan påverkas av ett betydande cyberhot om ett betydande cyberhot och om de åtgärder som står till buds för att hantera cyberhotet.

Om det ligger i allmänt intresse att det informeras om en betydande incident, kan tillsynsmyndigheten ålägga myndigheten att informera om den betydande incidenten eller själv informera om saken.

I den informering som avses i 1 och 2 mom. ska dessutom Europeiska kommissionens genomförandeakter som eventuellt antas med stöd av artikel 23.11 i NIS 2-direktivet och som gäller typen av information i och formatet och förfarandet för underrättelser samt en närmare definition av betydande incidenter iakttas.

Transport- och kommunikationsverket är den tillsynsmyndighet som avses i detta kapitel och den behöriga myndigheten inom den offentliga förvaltningen som avses i artikel 8.1 i NIS 2-direktivet. Utöver vad som föreskrivs i detta kapitel ska tillsynsmyndigheten utöva tillsyn över att de skyldigheter som föreskrivs i detta kapitel och i bestämmelser som antagits med stöd av NIS 2-direktivet fullgörs inom den offentliga förvaltningen samt föra en förteckning över aktörerna inom den offentliga förvaltningen med de uppgifter som lämnats med stöd av 18 a §. Transport- och kommunikationsverket är självständigt och oberoende i sin verksamhet som tillsynsmyndighet.

Tillsynsmyndigheten kan ställa de tillsynsuppgifter som anges i denna lag i prioritetsordning enligt en riskbaserad bedömning. Tillsynsmyndigheten ska när den inriktar tillsynen och fattar ett tillsynsbeslut enligt 18 l § beakta de omständigheter som avses i 27 § 3 mom. och 37 § i cybersäkerhetslagen. Tillsynsmyndigheten kan inrikta tillsynen gentemot ett välfärdsområde, en välfärdssammanslutning eller Helsingfors stad endast om det finns en grundad anledning att misstänka att området, sammanslutningen eller staden inte har iakttagit bestämmelserna i detta kapitel eller i rättsakter som antagits med stöd av NIS 2-direktivet.

Om inte något annat föreskrivs i detta kapitel ska tillsynsmyndigheten vid behandlingen av sådana anmälningar om verksamhet som avses i 18 a §, av sådana anmälningar och underrättelser om incidenter som avses i 18 d och 18 f § och av annan information som erhållits i samband med tillsynsuppgiften samt i samarbetet med andra myndigheter och Europeiska unionens institutioner, decentraliserade byråer och samarbetsorgan samt vid utlämnandet av information till dem iaktta vad som i 6 § 4 mom., 15 § 3 mom., 17 §, 18 § 3 mom., 26 § 2 mom., 28 § 4 och 5 mom., 33 §, 41 § 5 mom. och 45 § i cybersäkerhetslagen föreskrivs om behandling av information vid tillsynsmyndigheten, om tillsynsmyndighetens samarbete med andra myndigheter och Europeiska unionens institutioner, decentraliserade byråer och samarbetsorgan samt om utlämnandet av information till dem.

Bestämmelser om Transport- och kommunikationsverkets uppgifter som gemensam kontaktpunkt och CSIRT-enhet enligt NIS 2-direktivet finns i cybersäkerhetslagen.

Tillsynsmyndigheten har när den utför uppgifter enligt detta kapitel trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att få information om hanteringen av cybersäkerhetsrisker, handlingsmodellen för riskhantering, hanteringsåtgärderna och betydande incidenter samt annan information som direkt anknyter till ovannämnda information och som är nödvändig för tillsynen över fullgörandet av den skyldighet som gäller hantering av cybersäkerhetsrisker och över anmälan och rapporteringen av betydande incidenter. Myndigheten ska lämna ut informationen utan dröjsmål och avgiftsfritt.

Tillsynsmyndigheten har trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att av en myndighet få förmedlingsuppgifter, lokaliseringsuppgifter och information om meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando, om det är nödvändigt för tillsynen över fullgörandet av den skyldighet som gäller hantering av cybersäkerhetsrisker eller över anmälan och rapporteringen av betydande incidenter. Den information som tillsynsmyndigheten fått med stöd av detta moment är sekretessbelagd.

Rätten till information enligt denna paragraf gäller inte sekretessbelagd information om sådan tjänsteproduktion eller användning av tjänster i säkerhetsnätet som avses i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät eller information vars utlämnande skulle äventyra försvaret eller den nationella säkerheten eller strida mot ett viktigt intresse i samband därmed.

Bestämmelser om de förpliktelser som gäller hantering av särskilt känsligt informationsmaterial finns i lagen om internationella förpliktelser som gäller informationssäkerhet.

Tillsynsmyndigheten har rätt att i den omfattning som det behövs förrätta inspektion av en myndighet för tillsynen över att de skyldigheter som föreskrivs i detta kapitel eller i bestämmelser som antagits med stöd av NIS 2-direktivet fullgörs.

Den som förrättar inspektionen ska ha tillräcklig utbildning och erfarenhet med hänsyn till inspektionens art och omfattning.

Myndigheten ska i den omfattning som inspektionen förutsätter ge den som förrättar inspektion tillträde till det kommunikationsnät eller informationssystem som inspektionen gäller och till andra utrymmen än sådana som är avsedda för boende av permanent natur. För förrättande av inspektionen har den som förrättar inspektionen trots sekretessbestämmelserna eller andra begränsningar som gäller utlämnande av information rätt att få granska den information och de handlingar, maskinvaror och programvaror som är nödvändiga för tillsynsuppgiften, utföra behövliga tester och mätningar samt granska de säkerhetsarrangemang som myndigheten har genomfört. På inspektionsförrättarens rätt att förrätta inspektion och få information tillämpas vad som i 18 i § 3 mom. föreskrivs om begränsningar i rätten att få information.

På förfarandet vid inspektionen tillämpas vad som i 39 § i förvaltningslagen föreskrivs om inspektion.

Tillsynsmyndigheten kan tilldela ett godkänt bedömningsorgan för informationssäkerhet som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011) en biträdande uppgift i anslutning till ett inspektionsuppdrag enligt 18 j §.

Tillsynsmyndigheten kan för tillsynen ålägga en myndighet att låta ett bedömningsorgan för informationssäkerhet utföra en bedömning av hanteringen av cybersäkerhetsrisker, om

På den som är anställd vid ett bedömningsorgan för informationssäkerhet och som bistår vid en inspektion och på en person som utför en bedömning tillämpas vad som i 18 j § 2–4 mom. föreskrivs om inspektionsförrättares erfarenhet och utbildning samt inspektionsförrättares rättigheter. Om inte något annat föreskrivs i detta kapitel, tillämpas lagen om bedömningsorgan för informationssäkerhet på bedömningsorganet för informationssäkerhet. På den som är anställd vid ett bedömningsorgan för informationssäkerhet tillämpas bestämmelserna om straffrättsligt tjänsteansvar för tjänstemän, med undantag för bestämmelserna om avsättningspåföljd, när han eller hon sköter uppgifter som avses i denna paragraf. Bestämmelser om skadeståndsansvar finns i skadeståndslagen.

Tillsynsmyndigheten kan ålägga en myndighet att inom utsatt tid avhjälpa bristerna i fullgörandet av skyldigheterna enligt detta kapitel eller bestämmelser som antagits med stöd av NIS 2-direktivet. Tillsynsmyndigheten kan ålägga myndigheten att offentliggöra dessa brister eller andra omständigheter som har samband med överträdelser av de nämnda skyldigheterna.

Tillsynsmyndigheten kan ge myndigheten en varning, om den inte har fullgjort de skyldigheter som föreskrivs i detta kapitel eller i bestämmelser som antagits med stöd av NIS 2-direktivet. I varningen ska den brist eller försummelse som varningen gäller specificeras. Varningen ska ges skriftligen.

Tillsynsmyndigheten kan förena ett beslut som avses i 1 mom. med vite.

Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019) .

Bestämmelser om sökande av ändring i beslut som gäller föreläggande och utdömande av vite finns i viteslagen (1113/1990) .

Om en handling inkommer till en myndighet i annat än elektroniskt format ska den omvandlas till elektroniskt format, om det i eller med stöd av lag föreskrivs att handlingen ska förvaras varaktigt eller arkiveras. Myndigheten ansvarar för att en till elektroniskt format omvandlad handlings tillförlitlighet och integritet säkerställs. Handlingar som utarbetats av en myndighet ska förvaras elektroniskt. Undantag får göras från kravet på omvandling till elektroniskt format och elektronisk förvaring om det är nödvändigt på grund av behandlingskraven för säkerhetsklassificerade handlingar, övriga informationssäkerhetskrav eller av någon annan nödvändig orsak som har samband med handlingens karaktär.

Med beaktande av vad som särskilt föreskrivs om rätten till information och om skydd för personuppgifter, ska myndigheten se till att informationsmaterialet är tillgängligt och att materialet med tillhörande metadata kan utnyttjas i ett allmänt maskinläsbart format, om materialet kan omvandlas direkt från originalformatet till maskinläsbart format. Värdefulla datamängder som avses i 24 b § 1 mom. ska finnas tillgängliga i maskinläsbart format. (15.7.2021/710)

Myndigheten får för omvandlingen till elektroniskt format anlita en privat aktör med tillräckliga tekniska förutsättningar och kunskaper för att sköta en sådan uppgift. På den aktör som utför uppgiften ska tillämpas bestämmelserna om straffrättsligt tjänsteansvar. I skadeståndslagen föreskrivs om skadeståndsskyldighet.

En myndighet ska sträva efter att utnyttja en annan myndighets informationsmaterial, om den första myndigheten har rätt att via ett tekniskt gränssnitt eller en elektronisk förbindelse få den behövliga informationen från den andra myndigheten. Vid utnyttjandet av informationen ska parters och andra förvaltningskunders rättssäkerhet tillgodoses.

Om en myndighet har rätt att från en annan myndighets informationslager via ett tekniskt gränssnitt eller en elektronisk förbindelse få tillförlitlig och uppdaterad information för skötseln av sina uppgifter, får den inte kräva att dess kunder visar upp eller lämnar in intyg eller utdrag, om det inte är nödvändigt för utredning av ärendet.

Om det inte i lag föreskrivs om förvaringstiderna för informationsmaterial eller handlingar ska förvaringstiderna bestämmas med beaktande av

Efter det att förvaringstiden gått ut ska informationsmaterialen utan dröjsmål arkiveras eller förstöras på ett informationssäkert sätt.

Det föreskrivs särskilt om ansvaren för bestämmande av förvaringstiderna, om arkivering och om arkivverkets uppgifter.

Myndigheterna ska genomföra regelbundet återkommande och standardiserad elektronisk överföring av information mellan informationssystem via tekniska gränssnitt, om den mottagande myndigheten enligt lag har rätt till informationen. Regelbundet återkommande och standardiserad elektronisk överföring av information kan genomföras på något annat sätt, om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. En myndighet kan också i andra situationer öppna ett tekniskt gränssnitt för en myndighet som har rätt till information. Det föreskrivs särskilt om överföring av handlingar och information på annat sätt.

Utöver vad som föreskrivs i 4 kap. ska överföring av information mellan informationssystem via tekniska gränssnitt genomföras så att det tekniskt säkerställs att den information som ska överföras behövs i det enskilda fallet eller är nödvändig för att den mottagande myndigheten ska kunna sköta sina uppgifter, ifall överföringen avser personuppgifter eller sekretessbelagd information.

Beskrivningen av strukturen för information som överförs via ett tekniskt gränssnitt ska definieras och uppdateras av den myndighet som lämnar ut informationen. Vid planeringen av informationsöverföring mellan flera myndigheter via tekniska gränssnitt ska beskrivningen av informationsstrukturen definieras och uppdateras under ledning av det ministerium som ansvarar för verksamhetsområdet.

En myndighet kan öppna en elektronisk förbindelse till en annan myndighet till sådan information i ett informationslager som den mottagande myndigheten har rätt att få tillgång till. Utöver vad som föreskrivs i 4 kap. är en förutsättning för öppnande av en elektronisk förbindelse att

Myndigheten ska upprätta en elektronisk förbindelse så att det informationssystem som möjliggör förbindelsen automatiskt identifierar avvikande informationssökningar.

En myndighet kan via ett tekniskt gränssnitt överföra information till en aktör som inte är en annan myndighet, om mottagaren uttryckligen enligt lag har rätt att få informationen och behandla den. Ett tekniskt gränssnitt kan under de förutsättningar som anges i 22 § öppnas så som föreskrivs i den paragrafen. Den utlämnande myndigheten ska vid behov säkerställa att mottagaren vid hanteringen av informationen iakttar de skyldigheter som föreskrivs i denna lag.

Det föreskrivs särskilt om utlämnande av information i annat elektroniskt format och som informationstjänst till allmänheten via en elektronisk förbindelse.

I 16 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet avsedd information som ska lämnas ut ur sådana offentliga handlingar i elektronisk form som uppdateras ofta eller i realtid ska på begäran finnas tillgänglig med hjälp av tekniska gränssnitt genast efter att informationen har samlats in och vid behov som en bulknedladdning.

Om det av ekonomiska eller tekniska orsaker medför oskäligt besvär för myndigheten att iaktta 1 mom., ska informationen finnas tillgänglig inom en sådan tidsfrist eller med sådana temporära tekniska begränsningar som inte i onödan försvårar utnyttjandet av den.

Med värdefulla datamängder avses datamängder om vars tillgänglighet det på grund av deras ekonomiska eller sociala betydelse föreskrivs i de genomförandeakter som avses i artikel 14.1 i Europaparlamentets och rådets direktiv (EU) 2019/1024 om öppna data och vidareutnyttjande av information från den offentliga sektorn.

Värdefulla datamängder, som den som får informationen enligt vad som särskilt föreskrivs i lag har rätt att få och rätt att behandla, ska på begäran finnas tillgängliga med hjälp av tekniska gränssnitt. Informationen ska vid behov även finnas tillgänglig som en bulknedladdning.

Närmare bestämmelser om förteckningen över värdefulla datamängder och tillgången till dessa datamängder utfärdas enligt vad som föreskrivs om dem i Europeiska unionens lagstiftning genom förordning av statsrådet, om inte något annat föreskrivs någon annanstans i lag.

En informationshanteringsenhet ska över ärenden som behandlas eller har behandlats hos en myndighet upprätthålla ett ärenderegister för information om ärenden, ärendebehandling och handlingar. Myndigheten ska utan dröjsmål i ärenderegistret registrera handlingar som har inkommit till myndigheten eller som den upprättat. Utöver vad som föreskrivs i 26 § ska också handlingens ankomsttidpunkt framgå av registreringen.

Informationshanteringsenheten ska ombesörja att offentliga anteckningar i ett ärenderegister eller i en del av det kan användas för att producera information som gör det möjligt att specificera informationsbegäranden.

En informationshanteringsenhet ska förse de ärenden som myndigheten ska behandla eller som tilldelats myndigheten med en ärendekod som gör det möjligt att identifiera de uppgifter som rör ärendet.

Myndigheten ska för varje ärende registrera åtminstone följande identifieringsuppgifter:

I fråga om en handling som inkommit till en myndighet ska registreras åtminstone

I fråga om en handling som upprättats av en myndighet ska registreras åtminstone

I ärenderegistret ska om ett ärende dessutom registreras åtminstone

En informationshanteringsenhet ska ordna hanteringen av informationsmaterial som uppkommer i andra sammanhang än ärendebehandling så att handlingar som har samband med informationsmaterialet kan sökas med hjälp av en kod som anger informationsmängden, så att informationen utan svårighet kan ges till behöriga personer. Myndigheten ska utan dröjsmål registrera handlingar och övrig information som uppkommer i samband med tjänsteproduktion så att det i efterhand är möjligt att konstatera att de uppkommit i samband med produktion av tjänster.

En informationshanteringsenhet ska för genomförande av offentlighetsprincipen upprätthålla en beskrivning av de informationslager och ärenderegister som den förvaltar. Av beskrivningen ska framgå

Informationshanteringsenheten ska i ett allmänt datanät offentliggöra en sådan beskrivning som avses i 1 mom. till den del uppgifterna i beskrivningen inte är sekretessbelagda.

En myndighet ska dokumentera uppgiftsfördelningen mellan de personer som ansvarar för fullgörandet av de skyldigheter som föreskrivs i detta kapitel.

Myndigheten ska säkerställa att behandlingsreglerna för ett automatiserat beslutsförfarande dokumenteras så tydligt och heltäckande att deras lagenlighet kan påvisas. Det ska av behandlingsreglerna särskilt framgå

I de handlingar som utgör dokumentationen ska myndigheten ange datum för godkännandet och den som godkänt handlingen, vars uppgift det är att granska att innehållet i handlingen är lagenligt. Myndigheten ska bevara de godkända handlingarna i minst fem år från ingången av det kalenderår som följer på det år då det automatiserade beslutsförfarandet togs ur bruk.

Myndigheten ska säkerställa att det i minst fem år från det att ett ärende har avgjorts kan påvisas vilka behandlingsregler som tillämpats vid det automatiserade avgörandet av ärendet och i vilka faser av behandlingen av ärendet en fysisk person deltagit.

En myndighet ska innan ett automatiserat beslutsförfarande införs och när förfarandet ändras under användningstiden säkerställa att förfarandet motsvarar den dokumentation som avses i 28 a § 2 mom.

Myndigheten ska säkerställa ett gott språkbruk i automatiserat upprättade handlingar som ges till en part.

De centrala åtgärderna inom kvalitetssäkringen ska dokumenteras.

Myndigheten ska utse en person som ansvarar för kvalitetssäkringen av det automatiserade beslutsförfarandet.

En myndighet ska övervaka kvaliteten och innehållets felfrihet i ärenden som avgörs automatiserat och efter införandet hantera de risker som är förknippade med det automatiserade beslutsförfarandet.

Myndigheten ska utan dröjsmål vidta korrigeringsåtgärder, om det i ett automatiserat beslutsförfarande upptäcks ett fel som kan inverka på innehållet i avgörandet. Ett fel som upptäckts, felets konsekvenser och åtgärderna för korrigering av felet ska dokumenteras. Särskilda bestämmelser gäller för korrigering av fel i myndighetens avgöranden.

Myndigheten ska utse en person som ansvarar för kvalitetskontrollen av det automatiserade beslutsförfarandet och för hanteringen av felsituationer.

Innan ett automatiserat beslutsförfarande införs ska den myndighet som ansvarar för verksamhetsprocessen fatta ett beslut ( beslut om införande ). Beslutet om införande ska innehålla åtminstone

Beslut om införande ska dessutom fattas i fråga om sådana ändringar som förutsätter en ny bedömning av förutsättningarna för införandet.

Myndigheten ska bevara beslutet om införande i minst fem år från ingången av det kalenderår som följer på det år då det automatiserade beslutsförfarandet togs ur bruk.

En myndighet ska offentliggöra gällande beslut om införande på sin webbplats i det allmänna datanätet.

Myndigheten ska utifrån den dokumentation som avses i 28 a § 2 mom. och beslutet om införande informera om automatiserat avgörande av ärenden inom sitt verksamhetsområde, grunderna för att använda det automatiserade beslutsförfarandet och andra uppgifter som är centrala med avseende på kundens rättigheter. Uppgifterna ska offentliggöras på myndighetens webbplats i det allmänna datanätet.

En myndighet ska på grundval av en riskbedömning se till att det genom lämpliga tekniska åtgärder säkerställs att de uppgifter som används vid automatiserat avgörande är uppdaterade och felfria.

På offentligt anställda arbetstagare hos en myndighet tillämpas bestämmelserna om straffrättsligt tjänsteansvar för tjänstemän när de sköter uppgifter som avses i detta kapitel, frånsett bestämmelserna om avsättningspåföljd.

Denna lag träder i kraft den 1 januari 2020.

Genom denna lag upphävs lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011) .

Informationshanteringsenheterna ska inom 12 månader efter det att denna lag trätt i kraft utarbeta en sådan informationshanteringsmodell som avses i 5 §.

Myndigheter som inte verkar i samband med statliga ämbetsverk och inrättningar ska uppfylla de krav som föreskrivs i 12–16 § inom 36 månader efter det att denna lag trätt i kraft.

Denna lags 19 § 1 mom. ska 24 månader efter det att lagen trätt i kraft tillämpas på sådana nya handlingar som inkommer till en myndighet och som myndigheten upprättar. Informationsmaterial som uppkommit innan lagen har trätt i kraft ska förvaras så som de uppkommit före övergångstidens utgång. Informationsmaterialens tillgänglighet enligt 19 § 2 mom. ska genomföras inom 24 månader efter det att denna lag trätt i kraft. Denna lags 20 § ska börja tillämpas 12 månader efter det att lagen trätt i kraft.

Ministerierna ska inom 12 månader efter det att denna lag trätt i kraft utreda vilka informationssystem som förutsätts för definition och upprätthållande av de gränssnitt som avses i 22 § 3 mom.

Bestämmelserna i 17 och 22–24 § ska tillämpas på informationssystem som anskaffas efter det att lagen trätt i kraft. På informationssystem som anskaffats innan denna lag trätt i kraft ska tillämpas de krav på elektroniskt utlämnande av information som föreskrivs i 22–24 § vid uppdatering av informationssystemens tekniska gränssnitt och elektroniska förbindelser, dock senast 48 månader efter det att lagen trätt i kraft, och de krav på insamling av logginformation som förutsätts i 17 § ska tillämpas 24 månader efter det att lagen trätt i kraft.

Ärendehantering samt informationshantering i samband med tjänsteproduktion ska i enlighet med de krav som föreskrivs i 26 och 27 § ordnas inom 24 månader efter det att denna lag trätt i kraft. De beskrivningar som avses i 28 § ska uppdateras inom 12 månader efter det att denna lag trätt i kraft.