Kompletteringarna av cybersäkerhetslagen i kraft vid ingången av juli

Republikens president stadfäste den 27 juni 2025 ändringar i cybersäkerhetslagen. Genom lagändringarna kompletteras det nationella genomförandet av direktivet om kritiska entiteters motståndskraft (CER) och cybersäkerhetsdirektivet (NIS 2). Ändringarna träder i kraft den 1 juli 2025.

I och med lagändringarna tillämpas cybersäkerhetslagen också på sammanslutningar som i framtiden identifieras som kritiska aktörer med stöd av den föreslagna lagen skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. När det gäller den offentliga förvaltningen görs motsvarande ändringar i lagen om informationshantering inom den offentliga förvaltningen.

I och med ändringarna kommer skyldigheterna enligt cybersäkerhetslagen att gälla företag som identifieras som kritiska också om företaget innan det identifierades som kritiskt inte omfattats av cybersäkerhetslagens tillämpningsområde. Sådana företag kan vara till exempel små företag eller mikroföretag som definieras som kritiska oberoende av bransch samt utövare av kollektivtrafik eller läkemedelspartiaffärer.

Lagändringarna träder i kraft samtidigt som den nya lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. I lagen finns bestämmelser om identifiering av kritiska aktörer och skyldigheter för kritiska aktörer enligt CER-direktivet. Kritiska aktörer enligt CER-direktivet ska fastställas för första gången i juli 2026.

Vad händer nu?

Lagändringarna träder i kraft den 1 juli 2025. 

Ytterligare information:

Marko Priiki, specialsakkunnig, tfn 0295 342 187, [email protected]