Regeringen föreslår att den nya cybersäkerhetslagen ska fastställas

Regeringen föreslår att republikens president stadfäster cybersäkerhetslagen så att den träder i kraft den 8 april 2025. Avsikten är att republikens president ska stadfästa lagen fredagen den 4 april 2025.

Genom cybersäkerhetslagen genomförs EU:s cybersäkerhetsdirektiv (NIS 2). Syftet med direktivet är att stärka cybersäkerheten inom kritiska sektorer i EU och medlemsstaterna. De aktörer som omfattas av tillämpningsområdet ska i fortsättningen bedöma och hantera riskerna som rör säkerheten i de kommunikationsnät och informationssystem som de använder. Aktörerna ska också rapportera allvarliga incidenter i kommunikationsnäten och informationssystemen. När det gäller den offentliga förvaltningen genomförs direktivet genom ändringar i lagen om informationshantering inom den offentliga förvaltningen.

Cybersäkerhetslagens tillämpningsområde omfattar till exempel aktörer inom trafik-, energi- och hälsovårdsbranschen samt tillhandahållare av digital infrastruktur. Lagen gäller också till exempel livsmedelsbranschen, industrin som tillverkar vissa produkter, den kemiska industrin, avfallshanteringen och posttjänsterna. Lagen gäller i regel medelstora och större aktörer som bedriver verksamhet som framgår av bilagorna till lagen.

Bestämmelser om tillsynsmyndigheter utfärdas nationellt

I cybersäkerhetslagen föreskrivs det om de skyldigheter enligt cybersäkerhetsdirektivet som gäller organisationers riskhantering och rapportering av allvarliga incidenter. Dessutom föreskrivs det i lagen om tillsynen över skyldigheterna och om andra myndighetsuppgifter som genomförandet förutsätter. De aktörer som omfattas av tillämpningsområdet förutsätts också, när tillämpningen inleds, uppge sina kontaktuppgifter till tillsynsmyndigheten. Tidsfristerna för ordnandet av riskhanteringen och rapporteringen av uppgifter enligt cybersäkerhetslagen inleds vid lagens ikraftträdande.

Tillsynsmyndigheter enligt cybersäkerhetslagen är per verksamhetsområde Transport- och kommunikationsverket (Traficom), Energimyndigheten, Säkerhets- och kemikalieverket, NTM-centralen i Södra Savolax, Livsmedelsverket, Tillstånds- och tillsynsverket för social- och hälsovården Valvira och Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea. Samarbetet mellan tillsynsmyndigheterna ska samordnas av Transport- och kommunikationsverket. Administrativa påföljdsavgifter ska påföras av en påföljdsavgiftsnämnd som inrättas separat och som består av medlemmar som utses av tillsynsmyndigheterna.

Vid Transport- och kommunikationsverkets Cybersäkerhetscenter utplaceras uppgifterna för den enhet som ska utreda och reagera på informationssäkerhetsöverträdelser, det vill säga CSIRT-enheten. Uppgifterna motsvarar i stor utsträckning Cybersäkerhetscentrets nuvarande uppgifter till exempel när det gäller uppföljning och analys av cyberhot. Enheten ska också samordna offentliggörandet av sårbarheter för EU. Enheten kan också vara samordnare för frivilliga arrangemang kring delning av information om cybersäkerhet.

Vad händer nu?

Lagarna avses träda kraft den 8 april 2025. Cybersäkerhetscentret och tillsynsmyndigheterna informerar om genomförandet av cybersäkerhetslagen.

Mer information:

Veikko Vauhkonen, regeringssekreterare, veikko.vauhkonen@gov.fi, tfn 0295 342 168