Utkast till proposition om genomförande av cyberresiliensförordningen på remiss

Kommunikationsministeriet ber om utlåtanden om utkastet till regeringens proposition om genomförandet av EU:s cyberresiliensförordning (Cyber Resilience Act, CRA) i Finland. Utlåtanden kan lämnas till och med den 12 augusti 2025.

I utkastet till proposition föreslås det att det stiftas en ny lag om vissa produkters cyberresiliens och cybersäkerhetscertifiering. Dessutom föreslås ändringar i lagen om tjänster inom elektronisk kommunikation och cybersäkerhetslagen.

I utkastet föreslås det att de uppgifter som gäller marknadskontrollen av cyberresiliensförordningen samt utseendet av och tillsynen över anmälda organ koncentreras till Transport- och kommunikationsverket Traficom. För AI-system med hög risk ska dock de myndigheter som övervakar EU:s förordning om artificiell intelligens övervaka cyberresiliensen. Organ som bedömer utrustnings och programvarors kravöverensstämmelse kan ansöka om att Transport- och kommunikationsverket anmäler dem till bedömningsuppgifter enligt CRA. Dessutom ska Transport- och kommunikationsverket övervaka att cyberresiliensförordningen överensstämmer med kraven.

I utkastet föreslås det också att EU:s cyberresiliensförordning kompletteras genom närmare bestämmelser än hittills om befogenheterna för den nationella myndigheten för cybersäkerhetscertifiering. Transport- och kommunikationsverket ska även i fortsättningen vara nationell myndighet för cybersäkerhetscertifiering.

I propositionen föreslås det även ny reglering till lagen om tjänster inom elektronisk kommunikation. Regleringen ska gälla andra domännamn än .fi eller .ax och förmedlingen av dem, om domännamnsförmedlaren eller toppdomänregistret är etablerade i Finland. Genom regleringen kompletteras tillämpningen av de skyldigheter enligt cybersäkerhetsdirektivet (NIS 2-direktivet) som gäller insamling och utlämnande av uppgifter om domännamn. Regleringen kommer att främja tillgången till uppgifter om registrering av domännamn, vilket förbättrar möjligheterna att ingripa i olaglig verksamhet på nätet.

Cyberresiliensförordningen gäller apparater och programvara som kan kopplas upp till internet eller en annan enhet

EU:s rättsakt om cyberresiliens fastställer minimikrav på cybersäkerheten för produkter och programvara som kan kopplas upp till internet eller en annan enhet. Sådana är till exempel övervakningskameror som ansluts till internet, kylskåp, smartklockor, tv-apparater, datorer, telefoner, applikationer och leksaker. Förordningen ska också gälla programvara, såsom applikationer och spel, samt produkter som är avsedda för annat än konsumentbruk, såsom operativsystem och programvara som ingår i apparater och maskiner, fjärravläsbara sensorer och fjärrstyrningssystem. Genom förordningen åläggs tillverkare av apparater och programvara att iaktta de väsentliga cybersäkerhetskraven samt att rapportera om och hantera produkters sårbarheter.

Rättsakten bedöms förbättra samhällets övergripande säkerhet när det finns mer informationssäkra apparater i bruk och på marknaden än tidigare.

Vad händer nu?

Utlåtanden om regeringens utkast till proposition kan lämnas i tjänsten utlåtande.fi. Remisstiden för respons på finska löper ut den 12 augusti 2025. Den svenska översättningen av regeringspropositionen fogas till utlåtandetjänsten när översättningen är klar och remisstiden på svenska meddelas separat i utlåtandetjänsten. Responsen från remissbehandlingen beaktas när beredningen av lagen vid kommunikationsministeriet fortsätter.

Förordningen börjar tillämpas efter en övergångsperiod den 11 december 2027. Anmälan om sårbarheter som utnyttjats aktivt tillämpas dock redan från och med den 11 september 2026 och bestämmelserna om anmälda organ från och med den 11 juni 2026.

Mer information:

Marko Priiki, specialsakkunnig, tfn 0295 342 187, [email protected]

Timo Kievari, enhetsdirektör, tfn 0295 342 620, [email protected]