1.1  Bakgrund

Informations- och kommunikationsteknik och de tjänster som hör samman med den är en viktig del av det moderna samhället och dess kritiska infrastruktur. Utvecklade informations- och kommunikationstekniska lösningar möjliggör nya innovationer, verksamhetssätt och tjänster i samhället. Samtidigt blir allt fler tjänster och funktioner beroende av att kommunikationsnäten och informationssystemen fungerar på ett pålitligt sätt. Cybersäkerheten i kommunikationsnät och informationssystem kan vara föremål för många olika risker som kan orsaka många olika former av störningar och skador som en följd av olika orsakssammanhang. När risker för cybersäkerheten realiseras kan det vara en följd av en ouppsåtlig skada eller en uppsåtlig, olaglig gärning med varierande bakgrundsmotiv. Finland är som ett informationssamhälle beroende av fungerande kommunikationsnät och informationssystem och således också sårbart för störningar i dem. Med tanke på den övergripande säkerheten i samhället är det viktigt att öka graden av cybersäkerhet i kommunikationsnät och informationssystem.  

Störningar förknippade med cybersäkerhet kan dessutom få betydande ekonomiska följder för såväl samhället som enskilda medborgare, företag och andra grupper. Av särskild betydelse för enskilda medborgare och företag är sådana störningar som får till följd att någon utomstående, t.ex. cyberkriminella, får åtkomst till konfidentiella uppgifter, såsom personuppgifter, kommunikation eller lösenord för nättjänster. Med tanke på tjänsternas funktion kan sådana störningar vara särskilt skadliga som får som följd att tjänsterna eller de uppgifter som bevaras genom dem inte står till användarnas förfogande. Den ekonomiska skada som störningen orsakar kan bero på skadad egendom, avbrott i företags affärsverksamhet eller utgifter för skydd mot skador. Med tanke på samhällsfunktionerna är det viktigt att sörja för cybersäkerheten i sådana informationssystem och kommunikationsnät som används för att producera tjänster och bedriva verksamhet som är en del av samhällets kritiska infrastruktur.  

Det centrala syftet med denna proposition är att stärka och utveckla nivån på cybersäkerheten inom sektorer som är viktiga med tanke på samhällsfunktionerna. Beredningen av propositionen har föranletts av Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet), nedan NIS 2-direktivet . De lagstiftningsändringar som krävs för det nationella genomförandet av NIS 2-direktivet som ingår i denna proposition har beretts under ett förvaltningsövergripande beredningsprojekt som inrättats av kommunikationsministeriet.  

NIS 2-direktivet ersätter EU:s direktiv om nät- och informationssäkerhet, Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (nedan NIS 1-direktivet). Vid en översyn av NIS 1-direktivet framkom de aspekter som presenteras nedan och med anledning av dem har man kommit fram till att ersätta direktivet med det nya NIS 2-direktivet. NIS 1-direktivet genomfördes nationellt i huvudsak genom lagändringar (RP 192/2017 rd, KoUB 6/2018 rd och RSv 25/2018 rd) som trädde i kraft den 9 maj 2018. Dessutom har tillämpningsområdet för skyldigheterna utökats nationellt genom ändringar (RP 34/2018 rd, GrUU 16/2018 rd, KoUB 14/2018 rd och RSv 68/2018 rd) som trädde i kraft den 1 januari 2019.  

NIS 2-direktivet publicerades den 14 december 2022 och trädde i kraft den 16 januari 2023. Bestämmelserna i direktivet ska genomföras i den nationella lagstiftningen senast den 17 oktober 2024 och de skyldigheter som gäller aktörer som omfattas av tillämpningsområdet ska tillämpas nationellt senast från och med den 18 oktober 2024. 

Genom propositionen förverkligas också skrivningarna i regeringsprogrammet för statsminister Petteri Orpos regering om stärkande av cybersäkerheten och samarbetet kring cybersäkerheten mellan myndigheterna och näringslivet. Enligt regeringsprogrammet förbättrar regeringen informationssäkerheten inom kritiska sektorer och genomför programmet för utveckling av cybersäkerheten (6.4). Regeringen ser över den nationella cybersäkerhetsstrategin så att den motsvarar vår förändrade omvärld (8.5). Dessutom ska cybersäkerheten stärkas i nära samarbete med företag, näringslivet och civilsamhället, med beaktande av att en stor del av den kritiska infrastrukturen är i privat ägo (8.5). Dimensioneringen av kommunernas verksamhet och uppgifter reduceras och den detaljerade regleringen av genomförandet minskas (3.1). I samband med genomförandet av EU-lagstiftningen undviks dessutom ytterligare nationell reglering (6.1).  

Genom propositionen uppnås mål och vidtas åtgärder i statsrådets principbeslut om en förbättring av informationssäkerheten och dataskyddet inom kritiska samhällssektorer. Principbeslutet fattades den 10 juni 2021 och fastställdes med riktlinjerna den 21 mars 2024. I enlighet med riktlinjerna för principbeslutet måste lagstiftningen innehålla tillräckliga krav och skyldigheter i fråga om informationssäkerhet, aktörerna ha tillräckliga kunskaper och färdigheter för att kunna fullgöra skyldigheterna och myndigheterna ha tillräckliga befogenheter och resurser att övervaka informationssäkerheten och dataskyddet samt samarbeta över sektorsgränserna. Målet med principbeslutet är att nivån på informationssäkerheten och dataskyddet utvecklas inom alla kritiska samhällssektorer. 

1.2  Beredning

2.1  Målsättning

Målet med NIS 2-direktivet är att stärka EU:s gemensamma och medlemsstaternas nationella cybersäkerhetsnivå med avseende på för samhällsverksamheten väsentliga och viktiga sektorer och typer av entiteter. Medlemsstaterna åläggs att införa skyldigheter för de entiteter som omfattas av direktivets tillämpningsområde gällande riskhanteringsåtgärder vid cybersäkerhetsstörningar och att ordna myndighetsfunktioner som hör samman med hanteringen av cybersäkerhetsstörningar på nationell nivå. I direktivet finns också bestämmelser om internationellt samarbete och samarbete på unionsnivå med målet att upprätthålla en hög nivå på cybersäkerheten.  

Genom NIS 2-direktivet försöker man undanröja de skillnader i genomförandet av NIS 1-direktivet som observerats mellan medlemsstaterna särskilt genom att föreskriva minimiregler för ett fungerande samordnat regelverk, genom att fastställa mekanismer för effektivt samarbete mellan de ansvariga myndigheterna i varje medlemsstat, genom att uppdatera förteckningen över sektorer och verksamheter som omfattas av skyldigheter vad gäller cybersäkerhet och genom att föreskriva effektiva rättsmedel och efterlevnadskontrollåtgärder, vilket är centralt för att upprätthålla en effektiv kontroll av att dessa skyldigheter efterlevs.  

I NIS 2-direktivet fastställs åtgärder för att uppnå en hög gemensam cybersäkerhetsnivå i Europeiska unionens medlemsstater. Direktivet innehåller skyldigheter som ålägger medlemsstaterna att anta nationella strategier för cybersäkerhet och att inrätta behöriga myndigheter, myndigheter för hantering av cyberkriser, gemensamma kontaktpunkter för cybersäkerhet och enheter för hantering av it-säkerhetsincidenter (Computer security incident response teams, nedan CSIRT-enheter ). Dessutom innehåller direktivet regler och skyldigheter när det gäller informationsutbyte om cybersäkerhet.  

Översynen av NIS 1-direktivet har visat att det har fungerat som katalysator för den institutionella och lagstiftningsmässiga strategin för cybersäkerhet inom EU. Vid översynen framkom dock direktivets brister i förhållande till aktuella cybersäkerhetsutmaningar. Betydande skillnader i genomförandet av NIS 1-direktivet och i definitionen av entiteter som hör till dess tillämpningsområde upptäcktes mellan medlemsstaterna vid översynen. Dessutom visade sig den åtskillnad som gjordes mellan tjänsteleverantörerna i NIS 1-direktivet vara föråldrad. För att målen med direktivet skulle nås, borde dess tillämpningsområde utvidgas. Målet med NIS 2-direktivet är att svara på den förändrade cybersäkerhetsmiljön och de utmaningar som upptäcktes vid revideringen av NIS 1-direktivet. 

Genomförandet av NIS 2-direktivet kräver att det fastställs riskhanterings- och rapporteringsskyldigheter för de entiteter som omfattas av dess tillämpningsområde. Dessutom förutsätter genomförandet bestämmelser om de myndighetsuppgifter som avses i direktivet och om tillsynen över skyldigheterna. Genomförandet av artikel 28 som gäller domännamnsregistreringsuppgifter förutsätter ändringar i lagen om tjänster inom elektronisk kommunikation.  

2.2  Tillämpningsområde

Det allmänna tillämpningsområdet för NIS 2-direktivet anges i artikel 2 i direktivet. Rapporterings- och riskhanteringsskyldigheterna i NIS 2-direktivet gäller de väsentliga och viktiga entiteter som anges i artikel 3 i direktivet.  

Med stöd av artikel 2 är direktivet tillämpligt på offentliga eller privata entiteter av den typ som avses i bilaga I eller II som tillhandahåller sina tjänster eller bedriver sin verksamhet i Europeiska unionen. Dessutom är en förutsättning att entiteten betecknas som medelstort företag enligt kommissionens rekommendation 2003/361/EG eller överstiger trösklarna för medelstora företag. I bilaga I listas närmare de typer av entiteter som omfattas av direktivets tillämpningsområde och bedriver verksamhet inom följande sektorer: energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvårdssektorn, dricksvatten, avloppsvatten, digital infrastruktur, förvaltning av IKT-tjänster, offentlig förvaltning och rymden. I bilaga II listas närmare de typer av entiteter som hör till direktivets tillämpningsområde och bedriver verksamhet inom följande sektorer: post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier, industriell produktion och bearbetning av livsmedel och grossisthandel med livsmedel, tillverkning, digitala leverantörer och forskning. 

Med stöd av artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG är medelstora företag, det vill säga andra än mikro- och småföretag, företag som sysselsätter minst 50 personer eller vars årsomsättning och vars balansomslutning överstiger 10 miljoner euro per år. Företag som överstiger trösklarna för definitionen av ett medelstort företag är företag som sysselsätter minst 250 personer eller vars årsomsättning överstiger 50 miljoner euro och vars balansomslutning överstiger 43 miljoner euro per år. Artikel 3.4 i bilagan till kommissionens rekommendation om ett offentligt organs kontroll över entitetens kapital eller röstandel är inte tillämplig vid bedömningen av om en entitet omfattas av NIS 2-direktivets tillämpningsområde.  

Små- och mikroföretag faller i princip utanför direktivets tillämpningsområde, om de inte berörs av ett undantag som gör att de hör till NIS 2-direktivets tillämpningsområde oavsett storlek. Oavsett entiteternas storlek är NIS 2-direktivet också tillämpligt på entiteter av en typ som avses i bilaga I eller II, om tjänster tillhandahålls av 

tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster, 

tillhandahållare av betrodda tjänster, eller 

registreringsenheter för toppdomäner och leverantörer av domännamnssystemtjänster. 

NIS 2-direktivet är dessutom tillämpligt oavsett entiteternas storlek på entiteter som definieras som kritiska entiteter enligt Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (nedan CER-direktivet ) och på entiteter som tillhandahåller domännamnsregistreringstjänster. CER-direktivet gäller motståndskraften hos aktörer som är kritiska med tanke på samhällets funktion. CER-direktivet innehåller andra riskhanteringsskyldigheter och skyldigheter att rappor-tera incidenter än sådana som gäller cybersäkerhet. Skyldigheterna gäller aktörer som i enlighet med direktivet har identifierats som kritiska. När det gäller riskhantering och incidentrapportering avseende cybersäkerhet ska dessa aktörer omfattas av skyldigheterna enligt NIS 2-direktivet. De aktörer som är kritiska enligt CER-direktivet ska fastställas för första gången 2026.  

Oavsett entiteternas storlek är NIS 2-direktivet dessutom tillämpligt på entiteter av en typ som avses i bilaga I eller II, om  

entiteten är den enda leverantören i en medlemsstat av en tjänst som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, 

en störning av den tjänst som entiteten tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa, 

en störning av den tjänst som entiteten tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser, 

entiteten är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i medlemsstaten som är beroende av denna entitet. 

I NIS 2-direktivet finns skyldigheter för den offentliga förvaltningens entiteter främst inom central- och regionförvaltningen oavsett deras storlek. För offentliga förvaltningsentiteter på regional nivå är en ytterligare förutsättning för att höra till NIS 2-direktivets minimitillämpningsområde att entiteten enligt en riskbaserad bedömning tillhandahåller tjänster vars störning kan ha en betydande effekt på kritisk samhällelig eller ekonomisk verksamhet. Direktivet gäller dock inte offentliga förvaltningsentiteter som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott. Direktivet gäller inte heller rättsväsendet, parlamenten eller centralbankerna. Det finns nationellt handlingsutrymme när det gäller huruvida bestämmelserna i direktivet ska vara tillämpliga på offentliga förvaltningsentiteter på lokal nivå och utbildningsinstitut.  

Dessutom har medlemsstaterna nationellt handlingsutrymme att från riskhanterings- och rapporteringsskyldigheterna undanta entiteter som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott, eller som tillhandahåller tjänster uteslutande till en offentlig förvaltningsentitet som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott. Undantaget gäller nämnda verksamheter eller tjänster. Om den särskilda entiteten bedriver en sådan verksamhet eller tillhandahåller sådana tjänster som nämns ovan, omfattar det nationella handlingsutrymmet att också de registreringsskyldiga som avses i avsnitt 2.4 får undantas. Som ett undantag till detta ska bestämmelserna i direktivet tillämpas på både särskilda entiteter och offentliga förvaltningsentiteter, om entiteten är en tillhandahållare av betrodda tjänster. Enligt skäl 8 i ingressen till direktivet är offentliga förvaltningsentiteter som inrättats gemensamt med ett tredjeland i enlighet med ett internationellt avtal undantagna från direktivets tillämpningsområde och direktivet är inte tillämpligt på diplomatiska och konsulära beskickningar i tredjeländer såvida deras nätverks- och informationssystem är belägna inom beskickningen eller drivs för användare i ett tredjeland.  

NIS 2-direktivet är inte tillämpligt på entiteter som medlemsstaterna har undantagit från tillämpningsområdet för förordning (EU) 2022/2554 (Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, nedan DORA-förordningen ) i enlighet med artikel 2.4 i den förordningen. Hur NIS 2-direktivet tillämpas på de entiteter som omfattas av DORA-förordningens tillämpningsområde behandlas i avsnittet Nuläge.  

2.3  Väsentliga och viktiga entiteter

Skyldigheterna i NIS 2-direktivet gäller de väsentliga och viktiga entiteter som definieras i artikel 3. Den viktigaste skillnaden mellan väsentliga och viktiga entiteter är beroende av vilka tillsynsbefogenheter som inriktas på dem i direktivet. I fråga om väsentliga entiteter ska tillsynen omfatta förhandstillsyn och efterhandstillsyn, medan det för viktiga entiteter enligt direktivet räcker med endast efterhandstillsyn. 

Väsentliga entiteter är de entiteter som avses i artikel 3.1 a–g. Väsentliga entiteter är de entiteter i bilaga I till direktivet som avses i artikel 3.1 a och som överstiger de trösklar för medelstora företag som anges i definitionen (artikel 2.1 i bilagan till rekommendation 2003/361/EG). Företag som överstiger tröskeln för definitionen av medelstora företag är företag som sysselsätter minst 250 personer och vars årsomsättning överstiger 50 miljoner euro eller vars balansomslutning överstiger 43 miljoner euro. Väsentliga entiteter är dessutom enligt artikel 3.1 b kvalificerade tillhandahållare av betrodda tjänster och registreringsenheter för toppdomäner samt leverantörer av DNS-tjänster, oavsett storlek. Med stöd av artikel 3.1 c är väsentliga entiteter tillhandahållare av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster som betraktas som medelstora företag enligt artikel 2 i bilagan till rekommendation 2003/361/EG, det vill säga de är något annat än mikro- och småföretag. Dessutom är offentliga förvaltningsentiteter på statlig nivå med stöd av artikel 3.1 d och entiteter som med stöd av artikel 3.1 f identifierats som kritiska entiteter enligt CER-direktivet väsentliga entiteter.  

När det gäller definitionen av väsentliga entiteter finns nationellt handlingsutrymme i artikel 3.1 e och g. Med stöd av artikel 3.1 e är väsentliga entiteter också sådana som av en medlemsstat identifierats som väsentliga entiteter i enlighet med artikel 2.2 b–e. Enligt artikel 3.1 g får en medlemsstat med stöd av NIS 2-direktivet föreskriva att identifierade leverantörer av samhällsviktiga tjänster är väsentliga entiteter.  

Som viktiga entiteter betraktas med stöd av artikel 3.2 de entiteter som inte uppfyller definitionen av en väsentlig entitet, men som omfattas av direktivets tillämpningsområde och är av en typ som avses i bilaga I eller II. Viktiga entiteter är också sådana entiteter som av en medlemsstat identifierats som viktiga entiteter i enlighet med artikel 2.2 b–e. Således är alla entiteter som omfattas av tillämpningsområdet för riskhanterings- och rapporteringsskyldigheter antingen väsentliga eller viktiga entiteter.  

2.4  Förteckning och register över entiteter

Enligt artikel 3.3 i NIS 2-direktivet ska medlemsstaterna upprätta en förteckning över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster. Förteckningen ska upprättas senast den 17 april 2025. Vid upprättandet av förteckningen ska medlemsstaterna ålägga väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster att lämna den information som anges i artikel 3.4 till de behöriga myndigheterna samt meddela ändringar i uppgifterna utan dröjsmål och inom två veckor från datumet för ändringen. Medlemsstaterna får inrätta mekanismer som gör det möjligt för entiteterna att registrera sig själva. Medlemsstaterna ska regelbundet och minst vartannat år därefter se över förteckningen och när det är lämpligt uppdatera den. Senast den 17 april 2025 och därefter vartannat år ska de behöriga myndigheterna underrätta kommissionen och NIS-samarbetsgruppen om antalet väsentliga och viktiga entiteter som förtecknats för varje sektor och delsektor som avses i bilagorna till direktivet, och lämna den information som avses i artikel 3.5 b till kommissionen om entiteter som identifierats i enlighet med artikel 2.2 b–e.  

Dessutom bestäms i artikel 27 i NIS 2-direktivet att Europeiska unionens cybersäkerhetsbyrå Enisa ska skapa ett register över leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av utlokaliserade driftstjänster, leverantörer av utlokaliserade säkerhetstjänster samt leverantörer av internetbaserade marknadsplatser online, internetbaserade sökmotorer och plattformar för sociala nätverkstjänster. Enisa ska på begäran ge de behöriga myndigheterna tillgång till detta register, samtidigt som skydd av informationens konfidentialitet säkerställs i tillämpliga fall. För detta register ska medlemsstaterna ålägga dessa entiteter att meddela de uppgifter som avses i artikel 27.2 i NIS 2-direktivet till de behöriga myndigheterna senast den 17 januari 2025 och meddela ändringar av uppgifterna utan dröjsmål och inom tre månader från dagen för ändringen. Den nationella gemensamma kontaktpunkten ska utan dröjsmål lämna den informationen till Enisa, med undantag av entitetens IP-adressintervall. 

2.5  Riskhanteringsskyldigheter

Riskhanteringsskyldigheterna i NIS 2-direktivet är skyldigheter på miniminivå och avsikten har varit att formulera dem så teknologineutralt som möjligt, för att de ska hålla under tid och vara tillämpliga på en stor grupp olika entiteter. Entiteterna kan om de vill ta i bruk mer långtgående riskhanteringsåtgärder och på nationell nivå är det i fortsättningen också möjligt att införa bestämmelser om strängare riskhanteringsskyldigheter. Riskhanteringsskyldigheterna finns i artikel 20 och 21.  

Enligt artikel 20 ska väsentliga och viktiga entiteters ledningsorgan godkänna de riskhanteringsåtgärder för cybersäkerhet som dessa entiteter vidtar för att följa artikel 21 och övervaka genomförandet av dem. Ledningsorganen ska kunna ställas till svars för entiteternas överträdelser av artikel 21. Medlemmarna i ledningsorganen är skyldiga att genomgå utbildning och medlemsländerna ska uppmuntra dem att erbjuda utbildning också till sina anställda. 

Med stöd av artikel 21 ska medlemsstaterna säkerställa att väsentliga och viktiga entiteter vidtar lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och för att förhindra eller minimera incidenters påverkan på mottagarna av deras tjänster och på andra tjänster. Genom riskhanteringsåtgärder ska man säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken. 

I artikel 21 anges de delområden som de väsentliga och viktiga entiteterna ska beakta inom riskhanteringen och riskhanteringsåtgärderna. Dessa är  

a) strategier för riskanalys och informationssystemens säkerhet,  

b) incidenthantering,  

c) driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering, och krishantering,  

d) säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelserna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer,  

e) säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet hantering av sårbarheter och sårbarhetsinformation,  

f) strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet,  

g) grundläggande praxis för cyberhygien och utbildning i cybersäkerhet,  

h) strategier och förfaranden för användning av kryptografi och, när så är lämpligt, kryptering,  

i) personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning,  

j) användning inom entiteten, när så är lämpligt, av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem. 

Enligt direktivet ska entiteterna utan dröjsmål genomföra riskhanteringsåtgärderna så att nivån på säkerheten är lämplig i förhållande till den föreliggande risken. Vid bedömningen ska hänsyn tas till entitetens grad av riskexponering, entitetens storlek samt sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, inbegripet deras samhälleliga och ekonomiska konsekvenser. Medlemsstaterna ska säkerställa att entiteter, när de överväger lämpliga åtgärder, beaktar de sårbarheter som är specifika för den verksamhet som entiteten bedriver. 

Med stöd av artikel 22 i NIS 2-direktivet får man på EU-nivå utföra samordnade säkerhetsriskbedömningar av specifika kritiska leveranskedjor för IKT-tjänster, IKT-system eller IKT-produkter, med beaktande av tekniska och, i relevanta fall, icke-tekniska riskfaktorer. Medlemsstaterna ska säkerställa att resultatet av dessa säkerhetsriskbedömningar beaktas i riskhanteringen i fråga om säkerheten i leveranskedjor med stöd av artikel 21.3.  

Med stöd av artikel 21.5 ska kommissionen senast den 17 oktober 2024 anta genomförandeakter för att fastställa de tekniska och metodologiska specifikationerna för de åtgärder som avses i artikel 21.2 med avseende på leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av utlokaliserade driftstjänster, leverantörer av utlokaliserade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer och för plattformar för sociala nätverkstjänster samt kvalificerade tillhandahållare av betrodda tjänster. 

Med stöd av artikeln får kommissionen anta genomförandeakter för att fastställa tekniska och metodologiska krav samt, vid behov, sektorskrav för de åtgärder som avses i artikel 21.2 med avseende på andra entiteter än de som avses ovan. 

För att visa att kraven på riskhanteringsåtgärderna är uppfyllda får medlemsstaterna enligt artikel 24.1 kräva att de väsentliga och viktiga entiteterna använder IKT-produkter, IKT-tjänster och IKT-processer, som är certifierade enligt europeiska ordningar för cybersäkerhetscertifiering som antagits i enlighet med artikel 49 i EU:s cybersäkerhetsakt (EU) 2019/881 Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten). . Medlemsstaterna ska dessutom uppmuntra väsentliga och viktiga entiteter att använda kvalificerade betrodda tjänster. Kravet på de väsentliga och viktiga entiteterna att de visar att de följer riskhanteringsåtgärderna genom att använda IKT-produkter, IKT-tjänster och IKT-processer, som är certifierade enligt cybersäkerhetsakten, faller i regel helt inom det nationella handlingsutrymmet.  

Med stöd av artikel 24.2 i NIS 2-direktivet har kommissionen befogenhet att anta delegerade akter för att komplettera NIS 2-direktivet genom att ange vilka kategorier av väsentliga eller viktiga entiteter som ska vara skyldiga att använda vissa certifierade IKT-produkter, IKT-tjänster och IKT-processer eller erhålla ett certifikat enligt en europeisk ordning för cybersäkerhetscertifiering som har antagits enligt artikel 49 i förordning (EU) 2019/881. Till den del som sådana delegerade akter antas finns inget nationellt handlingsutrymme i frågan. 

Enligt artikel 25 ska medlemsstaterna för att främja en enhetlig tillämpning av riskhanteringsåtgärderna, utan att föreskriva eller gynna användning av en viss typ av teknik, uppmuntra användningen av europeiska och internationella standarder och tekniska specifikationer av relevans för säkerheten i nätverks- och informationssystem. 

2.6  Rapporteringsskyldigheter

Det föreskrivs om rapporteringsskyldigheter för entiteterna i artikel 23 och om frivillig underrättelse i artikel 30 i NIS 2-direktivet.  

Med stöd av artikel 23.1 ska väsentliga och viktiga entiteter underrätta sin CSIRT-enhet eller sin behöriga tillsynsmyndighet om betydande incidenter. Om rapporten lämnas till den behöriga myndigheten, ska medlemsstaten säkerställa att den behöriga myndigheten vidarebefordrar underrättelsen till CSIRT-enheten vid mottagandet. 

Med betydande incidenter avses enligt artikel 23.1 incidenter som har en betydande inverkan på tillhandahållandet av tjänster enligt artikel 23.3. Med stöd av artikel 23.3 ska en incident anses vara betydande om  

den har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten eller  

den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada. 

Skyldigheten att rapportera betydande incidenter är uppdelad i tre steg (artikel 23.4). En tidig varning ska lämnas utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att man fått kännedom om den betydande incidenten. Varningen ska i tillämpliga fall ange om den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller kan ha gränsöverskridande verkningar. När en incident har gränsöverskridande verkningar ska den rapporteras till de övriga medlemsstaterna som påverkas av incidenten och till Enisa. 

Incidentanmälan ska lämnas utan onödigt dröjsmål och under alla omständigheter inom 72 timmar efter att man har fått kännedom om den betydande incidenten. I anmälan ska i tillämpliga fall informationen i den tidiga varningen uppdateras och en inledande bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer anges. Som ett undantag till detta ska tillhandahållare av betrodda tjänster rapportera om betydande incidenter som påverkar tillhandahållandet av de betrodda tjänsterna inom 24 timmar.  

En slutrapport ska utarbetas senast en månad efter inlämningen av incidentanmälan och den ska innehålla en detaljerad beskrivning av incidenten, inbegripet dess allvarlighetsgrad och konsekvenser, den typ av hot eller grundorsak som sannolikt har utlöst incidenten, tillämpade och pågående begränsande åtgärder samt i tillämpliga fall, incidentens gränsöverskridande verkningar. I händelse av en pågående incident vid tidpunkten för inlämnandet av slutrapporten, ska entiteten tillhandahålla en lägesrapport. Slutrapporten ska lämnas in en månad efter det att hanteringen av incidenten avslutats. 

En delrapport eller statusuppdatering om hur saken framskrider ska lämnas på begäran av en CSIRT-enhet eller av den behöriga myndigheten. I händelse av en pågående incident vid tidpunkten för inlämnandet av slutrapporten ska medlemsstaterna säkerställa att de berörda entiteterna tillhandahåller en lägesrapport vid den tidpunkten och en slutrapport inom en månad efter det att de hanterat incidenten. 

CSIRT-enheten eller den behöriga myndigheten ska utan onödigt dröjsmål och om möjligt inom 24 timmar från mottagandet av den tidiga varningen lämna ett svar till den underrättande entiteten. I svaret ingår initial återkoppling om den betydande incidenten och på entitetens begäran vägledning eller operativa råd om genomförandet av möjliga begränsande åtgärder. Om CSIRT-enheten inte är den ursprungliga mottagaren av underrättelsen ska vägledningen tillhandahållas av den behöriga myndigheten i samarbete med CSIRT-enheten. CSIRT-enheten ska tillhandahålla ytterligare tekniskt stöd om den berörda entiteten begär det. Om den betydande incidenten misstänks vara av brottslig art ska CSIRT-enheten eller den behöriga myndigheten också tillhandahålla vägledning om rapporteringen av den betydande incidenten till de brottsbekämpande myndigheterna.  

I artikel 30 i direktivet föreskrivs det om frivillig underrättelse av CSIRT-enheterna eller tillsynsmyndigheterna. Frivillig underrättelse betyder andra underrättelser än de om betydande incidenter som hör till underrättelseskyldigheten för de entiteter som omfattas av tillämpningsområdet. Med stöd av artikel 30 ska tillsynsmyndigheten inom sitt ansvarsområde ta emot underrättelser om incidenter, cyberhot och tillbud både från entiteter som omfattas av tillämpningsområdet för direktivet och från andra entiteter. De frivilliga underrättelserna ska behandlas på samma sätt som de underrättelser som bygger på rapporteringsskyldighet och tillsynsmyndigheten har rätt att vid behov ge behandling av obligatoriska underrättelser företräde. I Finland har de myndigheter som är behöriga enligt NIS 1-direktivet samt Transport- och kommunikationsverkets Cybersäkerhetscenter tagit emot också andra underrättelser än de som de är förpliktade till enligt direktivet, även om det inte funnits några separata bestämmelser om frivilliga underrättelser.  

Utöver att underrätta myndigheterna ska väsentliga och viktiga entiteter när så är lämpligt utan onödigt dröjsmål underrätta mottagarna av deras tjänster om betydande incidenter som sannolikt inverkar negativt på tillhandahållandet av de tjänsterna (artikel 23.1 i NIS 2-direktivet). Med stöd av artikel 23.2 ska medlemsstaterna i tillämpliga fall säkerställa att väsentliga och viktiga entiteter utan onödigt dröjsmål underrättar de mottagare av deras tjänster som kan påverkas av ett betydande cyberhot om eventuella åtgärder eller avhjälpande arrangemang som dessa mottagare kan vidta som svar på hotet. När så är lämpligt ska entiteterna också informera dessa mottagare om själva det betydande cyberhotet. Om allmänhetens medvetenhet är nödvändig för att förhindra en betydande incident eller för att hantera en pågående betydande incident, eller om information om den betydande incidenten på annat sätt ligger i allmänhetens intresse, får med stöd av artikel 23.7 en medlemsstats CSIRT-enhet eller, i tillämpliga fall, dess behöriga myndighet och, om det är lämpligt, CSIRT-enheterna eller de behöriga myndigheterna i andra berörda medlemsstater, efter samråd med den berörda entiteten, informera allmänheten om den betydande incidenten eller ålägga entiteten att göra detta.  

När så är lämpligt, och särskilt om den betydande incidenten berör två eller flera medlemsstater, ska CSIRT-enheten, den behöriga myndigheten eller den gemensamma kontaktpunkten med stöd av artikel 23.6 utan onödigt dröjsmål informera andra berörda medlemsstater och Enisa om den betydande incidenten. Sådan information ska åtminstone inbegripa den typ av information som mottagits i enlighet med punkt 4. Därvid ska CSIRT-enheten, den behöriga myndigheten eller den gemensamma kontaktpunkten, i enlighet med unionsrätten eller nationell rätt, bevara entitetens säkerhets- och affärsintressen samt den tillhandahållna informationens konfidentialitet.  

På begäran av CSIRT-enheten eller den behöriga myndigheten ska den gemensamma kontaktpunkten vidarebefordra underrättelser som mottagits till de gemensamma kontaktpunkterna i andra berörda medlemsstater (artikel 23.8). Dessutom ska den gemensamma kontaktpunkten var tredje månad lämna in en sammanfattande rapport till Enisa med anonymiserade och aggregerade uppgifter om betydande incidenter, incidenter, cyberhot och tillbud om vilket underrättats. 

Med stöd av artikel 23.10 ska CSIRT-enheterna eller, i tillämpliga fall, de behöriga myndigheterna förse de behöriga myndigheterna enligt CER-direktivet med information om betydande incidenter, incidenter, cyberhot och tillbud om vilket underrättats av entiteter som identifierats som kritiska i enlighet med CER-direktivet. 

Med stöd av artikel 23.11 får kommissionen anta genomförandeakter som närmare anger typen av information i och formatet och förfarandet för obligatoriska eller frivilliga underrättelser och underrättelser för mottagare av tjänster. 

Med stöd av artikel 23.11 ska kommissionen senast den 17 oktober 2024, med avseende på leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av utlokaliserade driftstjänster, leverantörer av utlokaliserade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer eller av plattformar för sociala nätverkstjänster, anta genomförandeakter som närmare anger i vilka fall en incident ska anses vara betydande enligt punkt 3.  

Med stöd av artikel 23.11 får kommissionen anta genomförandeakter som gäller andra entiteter än de som nämns ovan och som närmare anger i vilka fall en incident ska anses vara betydande. 

2.7  Tillsyn och administrativa sanktioner

I NIS 2-direktivet föreskrivs det om de minimikrav för tillsynsåtgärderna och tillsynsmedlen som tillsynsmyndigheterna ska kunna rikta in på väsentliga och viktiga entiteter. I artikel 31 i NIS 2-direktivet föreskrivs det om allmänna aspekter på tillsyn och efterlevnadskontroll, i artikel 32 om minimiåtgärder i fråga om väsentliga entiteter och i artikel 33 om minimiåtgärder i fråga om viktiga entiteter. I artikel 31 får medlemsstaterna möjlighet att tillåta att tillsynsåtgärderna prioriteras enligt en riskbaserad metod. I artikeln förutsätts dessutom att medlemsstaterna ska säkerställa att de behöriga myndigheterna är operativt oberoende i förhållande till de offentliga förvaltningsentiteter som övervakas.  

Syftet med NIS 2-direktivet är enligt skäl 122 i ingressen att fastställa en differentiering av tillsynssystemet mellan väsentliga och viktiga entiteter i syfte att säkerställa en rättvis balans vad gäller skyldigheterna för dessa entiteter och de behöriga myndigheterna. Väsentliga entiteter bör omfattas av ett heltäckande tillsynssystem med förhandstillsyn och efterhandstillsyn, medan viktiga entiteter bör omfattas av enklare tillsyn, endast i efterhand. Med stöd av NIS 2-direktivet krävs det inte att viktiga entiteter rapporterar systematiskt till tillsynsmyndigheten om att de handlar i enlighet med riskhanteringsåtgärderna för cybersäkerhet, utan i fråga om de viktiga entiteterna ska tillsynsmyndigheten utöva efterhandstillsyn i stället för allmän tillsyn. Det föreslås falla på det nationella övervägandet om de viktiga entiteterna ska övervakas mer eller omfattas av förhandstillsyn. 

I fråga om de väsentliga entiteterna ska medlemsstaterna säkerställa att myndigheterna har befogenheter att utföra de åtgärder som listas i artikel 32.2 a–g. I de här åtgärderna ingår bland annat att utföra olika inspektioner och revisioner samt begäranden om tillgång till uppgifter, handlingar och information som behövs för att myndigheterna ska kunna utföra sina tillsynsuppgifter. Enligt artikel 32.4 ska dessutom medlemsstaterna säkerställa att tillsynsmyndigheten har de befogenheter som anges i led a–i, såsom att utfärda varningar, anta bindande instruktioner eller ålägga entiteter att upphöra med beteenden som utgör en överträdelse av direktivet. Dessutom bör tillsynsmyndigheten ha möjlighet att påföra eller begära att relevanta organ eller domstolar påför administrativa sanktionsavgifter. I artikel 34 finns minimivillkor om påförande av administrativa sanktionsavgifter för försummelse av den riskhanteringsskyldighet som avses i artikel 21 och den rapporteringsskyldighet som avses i artikel 23 och om ett fastställt minimikrav på det högsta beloppet av administrativa sanktionsavgifter som påförs nationellt. Det högsta beloppet för en administrativ sanktionsavgift som väsentliga entiteter kan påföras är minst 10 000 000 euro eller 2 % av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den väsentliga entiteten tillhör, beroende på vilken siffra som är högst. Det högsta beloppet för en administrativ sanktionsavgift som viktiga entiteter kan påföras är minst 7 000 000 euro eller 1,4 % av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den viktiga entiteten tillhör, beroende på vilken siffra som är högst. Enligt artikel 34.7 får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga förvaltningsentiteter. 

Dessutom bör tillsynsmyndigheterna ha de på väsentliga entiteter inriktade befogenheter som avses i artikel 32.5 a–b i NIS 2-direktivet, om de andra efterlevnadskontrollerna är ineffektiva. Medlemsstaterna ska säkerställa att om entiteten oavsett uppmaning inte avhjälper de brister som upptäckts i verksamheten inom den fastställda tidsfristen, får den behöriga myndigheten bland annat tillfälligt upphäva en certifiering eller auktorisation för tjänster som tillhandahålls eller verksamheter som utövas av den väsentliga entiteten samt begära att relevanta organ eller domstolar inför ett tillfälligt förbud för en fysisk person att utöva ledningsfunktioner i den entiteten. Enligt artikel 32.5 tredje stycket är följderna i punkt 5 inte tillämpliga på sådana offentliga förvaltningsentiteter som omfattas av direktivet. 

Enligt artikel 33 ska medlemsstaterna föreskriva för tillsynsmyndigheterna om nästan motsvarande befogenheter att rikta in olika tillsynsåtgärder på de viktiga entiteterna som på de väsentliga entiteterna. Den viktigaste skillnaden är att det i direktivet i fråga om de viktiga entiteterna inte förutsätts på samma sätt som för de väsentliga entiteterna att tillsynsmyndigheten kan rikta informationssäkerhetsrevisioner, upphäva auktorisation och certifiering som gäller verksamheten eller förbjuda en person i en entitets ledning att utöva ledningsfunktioner. I direktivet förutsätts att sådana tillsynsåtgärder inriktas på viktiga entiteter endast, när medlemsstaterna får bevis, indikationer på eller information om att en viktig entitet påstås underlåta att fullgöra direktivet, särskilt artiklarna 21 och 23, alltså de omfattas så att säga av efterhandstillsyn. 

2.8  Samarbete mellan myndigheter

2.9  Strategi för cybersäkerhet och nationella ramar för hantering av cybersäkerhetskriser

I artikel 7 i NIS 2-direktivet åläggs medlemsstaterna att anta en nationell strategi för cybersäkerhet i syfte att uppnå och upprätthålla en hög cybersäkerhetsnivå. I artikeln föreskrivs också om minimiinnehållet i de nationella strategierna för cybersäkerhet. Kommissionen ska meddelas om nationella strategier för cybersäkerhet inom tre månader från det att de antagits. Medlemsstaterna ska regelbundet och minst vart femte år bedöma sina strategier för cybersäkerhet. 

Den nationella ramen för hantering av cybersäkerhetskriser enligt NIS 2-direktivet består av en cyberkrishanteringsmyndighet och en plan för hanteringen av cyberkriser och dessa finns det bestämmelser om i artikel 9. Varje medlemsstat ska utse eller inrätta en eller flera cyberkrishanteringsmyndigheter som har till uppgift att hantera storskaliga cybersäkerhetsincidenter och kriser. I en plan för hanteringen av storskaliga cybersäkerhetsincidenter och kriser fastställs mål och villkor för hanteringen av storskaliga cybersäkerhetsincidenter och kriser. Vissa uppgifter om cyberkrishanteringsmyndigheten och om krishanteringsplanen ska rapporteras också till kommissionen. 

2.10  Databas över domännamnsregistreringsuppgifter

I artikel 28 i NIS 2-direktivet finns bestämmelser om en databas över domännamnsregistreringsuppgifter. I artikel 28.1 föreskrivs att medlemsstaterna, för att bidra till domännamnssystemets säkerhet, stabilitet och motståndskraft ska ålägga registreringsenheter för toppdomäner och de enheter som tillhandahåller domännamnsregistreringstjänster att samla in och upprätthålla korrekta och fullständiga registreringsuppgifter för domännamn i en särskild databas med tillbörlig aktsamhet i enlighet med unionens dataskyddslagstiftning när det gäller personuppgifter. 

Med stöd av artikel 28.2 ska medlemsstaterna föreskriva att databasen med registreringsuppgifter för domännamn innehåller nödvändig information för att identifiera och kontakta innehavarna av domännamnen och de kontaktpunkter som administrerar domännamnen under toppdomänerna. Denna information ska omfatta följande: domännamn, registreringsdatum, registrantens namn, e-postadress och telefonnummer och e-postadress och telefonnummer till den kontaktpunkt som administrerar domännamnet om dessa inte är desamma som för registranten.  

Med stöd av artikel 28.3 ska medlemsstaterna ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att ha strategier och förfaranden, inbegripet kontrollförfaranden, för att säkerställa att databaserna innehåller korrekt och fullständig information. Medlemsstaterna ska föreskriva att sådana strategier och förfaranden offentliggörs. 

Enligt artikel 28.4 och 28.5 ska medlemsstaterna ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att utan onödigt dröjsmål efter registreringen av ett domännamn offentliggöra registreringsuppgifter för domännamn som inte är personuppgifter. Medlemsstaterna ska ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att ge åtkomst till specifika registreringsuppgifter för domännamn på lagliga och vederbörligen motiverade begäranden från legitima åtkomstsökande, i enlighet med unionens dataskyddslagstiftning. Medlemsstaterna ska ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att utan onödigt dröjsmål och under alla omständigheter inom 72 timmar från mottagandet besvara en begäran om åtkomst. Medlemsstaterna ska föreskriva att strategier och förfaranden för utlämning av sådana uppgifter offentliggörs. 

2.11  Arrangemang för informationsutbyte om cybersäkerhet

I artikel 29 i NIS 2-direktivet förutsätts att medlemsstaterna säkerställer att entiteter som omfattas av tillämpningsområdet för NIS 2-direktivet och, i relevanta fall, andra relevanta entiteter som inte omfattas av detta direktivs tillämpningsområde har möjlighet att utbyta relevant information om cybersäkerhet sinsemellan, inbegripet information om cyberhot, tillbud, sårbarheter, tekniker och förfaranden, angreppsindikatorer, fientlig taktik, specifik information om fientliga aktörer, cybersäkerhetsvarningar och rekommendationer avseende konfigurationsverktyg för cybersäkerhet för att upptäcka cyberattacker, om sådant informationsutbyte 

syftar till att förebygga, upptäcka, reagera på eller återhämta sig från incidenter eller begränsa deras inverkan, eller 

höjer cybersäkerhetsnivån, särskilt genom att öka medvetenheten om cyberhot, begränsa eller hindra sådana hots förmåga att sprida sig, stödja en rad defensiva förmågor, avhjälpande av sårbarheter och delgivning av information om sårbarheter, metoder för att upptäcka och förebygga hot, strategier för begränsning av hot eller reaktions- och återhämtningsfaser, eller genom att främja forskningssamverkan om cyberhot bland offentliga och privata entiteter. 

Med stöd av artikel 29 i NIS 2-direktivet ska medlemsstaterna underlätta och främja inrättandet av arrangemang för informationsutbyte om cybersäkerhet. I samband med arrangemangen får villkor för den information som tillgängliggörs av myndigheterna införas. Enligt artikel 29.4 ska medlemsstaterna säkerställa att väsentliga och viktiga entiteter underrättar de behöriga myndigheterna om sitt deltagande i de arrangemang för informationsutbyte om cybersäkerhet som avses i punkt 2, när de ingår sådana arrangemang eller, om de utträder ur sådana arrangemang, när utträdet får verkan. 

2.12  Nationellt handlingsutrymme

NIS 2-direktivet är minimiharmoniserande till sin karaktär. I regel finns inget nationellt handlingsutrymme när det gäller miniminivån på innehållet och de åtgärder som förutsätts i NIS 2-direktivet. Det viktigaste nationella handlingsutrymmet har dock att göra med att NIS 2-direktivet inte hindrar medlemsstaterna från att anta eller behålla bestämmelser som säkerställer en högre cybersäkerhetsnivå, förutsatt att sådana bestämmelser står i överensstämmelse med medlemsstaternas förpliktelser enligt unionsrätten (artikel 5). Dessutom har medlemsstaterna nationellt handlingsutrymme när det gäller att utvidga tillämpningsområdet och de riskhanterings- och rapporteringsskyldigheter i fråga om en högre cybersäkerhetsnivå som ett sådant utvidgande kräver. 

Det handlingsutrymme som finns i fråga om direktivets minimitillämpningsområde beskrivs i avsnitt 2.2. Dessutom får det nationellt föreskrivas att skyldigheterna i NIS 2-direktivet också inriktas på sådana entiteter som inte i övrigt omfattas av direktivet, förutsatt att sådana bestämmelser står i överensstämmelse med medlemsstaternas förpliktelser enligt unionsrätten. 

I fråga om definitionen av väsentliga entiteter förekommer nationellt handlingsutrymme på så sätt att en medlemsstat till definitionen av väsentliga entiteter i NIS 2-direktivet också kan foga sådana entiteter som före den 16 januari 2023 har identifierats som leverantörer av samhällsviktiga tjänster i enlighet med NIS 1-direktivet eller nationell rätt (artikel 3.1 g). Dessutom kan en medlemsstat fastställa att de entiteter som avses i artikel 2.2 b-e är väsentliga eller viktiga entiteter (artikel 3.1 e och 3.2). 

NIS 2-direktivet ger nationellt handlingsutrymme för hur tillsynen över direktivet ska ordnas i medlemsstaterna. I direktivet förutsätts att det utses eller inrättas minst en eller flera behöriga myndigheter som övervakar genomförandet av direktivet på nationell nivå. Dessutom förutsätter NIS 2-direktivet att det utses eller inrättas en eller flera gemensamma kontaktpunkter för samarbete på EU-nivå. I NIS 2-direktivet förutsätts också att det nationellt utses eller inrättas minst en eller flera CSIRT-enheter för hantering av it-säkerhetsincidenter. 

I artikel 9 som gäller nationella ramar för hantering av cybersäkerhetskriser lämnar direktivet nationellt handlingsutrymme på så sätt att en eller flera behöriga myndigheter med ansvar för hanteringen av storskaliga cybersäkerhetsincidenter och kriser, så kallade cyberkrishanteringsmyndigheter, kan utses eller inrättas. Om fler än en myndighet utses eller inrättas, ska medlemsstaten utse en av dessa till att samordna hanteringen av storskaliga cybersäkerhetsincidenter och kriser.  

I NIS 2-direktivet krävs inte att de entiteter som omfattas av dess tillämpningsområde använder EU-certifierade IKT-produkter, IKT-tjänster och IKT-processer, men medlemsstaterna får enligt artikel 24.1 kräva att väsentliga eller viktiga entiteter använder sådana certifierade IKT-produkter, IKT-tjänster och IKT-processer som är certifierade enligt europeiska ordningar för cybersäkerhetscertifiering som antagits i enlighet med artikel 49 i Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (nedan cybersäkerhetsakten ). Utöver det nationella handlingsutrymmet har kommissionen med stöd av artikel 24.2 befogenhet att anta delegerade akter för att komplettera vilka kategorier av väsentliga eller viktiga entiteter som ska vara skyldiga att använda vissa certifierade IKT-produkter, IKT-tjänster och IKT-processer eller erhålla ett certifikat enligt en europeisk ordning för cybersäkerhetscertifiering som har antagits enligt artikel 49 i cybersäkerhetsakten.  

När det gäller tillsynen finns det i NIS 2-direktivet bestämmelser om miniminivån för de behöriga myndigheternas åtgärder för tillsyn och efterlevnadskontroll och där finns inget nationellt handlingsutrymme. Enligt NIS 2-direktivet får medlemsstaterna dock tillåta sina behöriga myndigheter att prioritera tillsyn (artikel 31.2). Denna prioritering ska baseras på en riskbaserad metod.  

NIS 2-direktivet förutsätter möjligheten till påförande av administrativa sanktionsavgifter för väsentliga och viktiga entiteter för verksamhet som strider mot de riskhanteringsskyldigheter som avses i artikel 21 och de rapporteringsskyldigheter som avses i artikel 23. Det nationella handlingsutrymmet gäller nivån på de administrativa sanktionsavgifterna, dock så att det i direktivet finns bestämmelser om den lägsta tillåtna nivån, som det högsta beloppet av den administrativa sanktionsavgiften som ska påföras väsentliga och viktiga entiteter åtminstone ska uppgå till. Nationellt handlingsutrymme finns dock i fråga om huruvida administrativa sanktionsavgifter kan påföras offentliga förvaltningsentiteter och huruvida väsentliga och viktiga entiteter kan föreläggas viten (artikel 34.6 och 34.7). De efterlevnadskontrollåtgärder (upphävande av certifiering eller auktorisation samt förbud mot att utöva ledningsfunktioner i en entitet) som föreskrivs i artikel 32.5 är dessutom inte tillämpliga på sådana offentliga förvaltningsentiteter som omfattas av direktivet.  

3.1  Genomförandet av NIS 1-direktivet

EU:s direktiv om nät- och informationssäkerhet som var föregångare till NIS 2-direktivet, alltså NIS 1-direktivet, genomfördes nationellt i huvudsak genom sektorsspecifika lagändringar (RP 192/2017 rd) som trädde i kraft den 9 maj 2018. Målet med NIS 1-direktivet var att förbättra cybersäkerhetsberedskapen på unionens territorium och införa rapporteringsskyldighet för väsentliga entiteter i fråga om informationssäkerhetsincidenter. Det har inte stiftats någon nationell, horisontell allmän lag om informations- och nätverkssäkerheten, utan NIS 1-direktivet har genomförts genom att skyldigheterna införlivats i den sektorsspecifika speciallagstiftningen. Övervakningen av att skyldigheterna kring informationssäkerheten fullgörs har splittrats mellan flera sektorsspecifika myndigheter. 

Bestämmelser för att genomföra NIS 1-direktivet finns i lagen om tjänster inom elektronisk kommunikation (917/2014), luftfartslagen (864/2014), spårtrafiklagen (1302/2018), lagen om fartygstrafikservice (623/2005), lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004, nedan lagen om sjöfartsskydd ), lagen om transportservice (320/2017), elmarknadslagen (588/2013), naturgasmarknadslagen (587/2017) och lagen om vattentjänster (119/2001). I den sektorsspecifika lagstiftningen finns bestämmelser om de viktigaste tjänsteleverantörernas skyldighet att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem och att anmäla informationssäkerhetsincidenter till tillsynsmyndigheten och informera allmänheten.  

Tillsynen i enlighet med NIS 1-direktivet har ordnats sektorsspecifikt, det vill säga sektorsspecifika tillsynsmyndigheter övervakar enheterna inom sin egen sektor när det gäller kraven i NIS 1-direktivet. Energimyndigheten, Transport- och kommunikationsverket, Finansinspektionen, Tillstånds- och tillsynsverket för social- och hälsovården Valvira samt Närings-, trafik- och miljöcentralen i Södra Savolax har varit tillsynsmyndigheter. 

Eftersom NIS 2-direktivet upphäver skyldigheterna i NIS 1-direktivet och det föreskrivs om nya skyldigheter för att nå ett motsvarande mål även för de entiteter som hört till NIS 1-direktivets tillämpningsområde, behöver den nationella genomförandelagstiftningen för NIS 1-direktivet ses över i samband med genomförandet av NIS 2-direktivet för att undvika obehövliga och överlappande bestämmelser samt för att utarbeta en ändamålsenlig lagstiftningshelhet.  

3.2  Energi

I fråga om energisektorn hör sektorerna el, olja, gas, fjärrvärme och fjärrkylning samt vätgas till NIS 2-direktivets tillämpningsområde. Av dessa sektorer har el, olja och gas redan tidigare ingått i NIS 1-direktivet och enligt den nationella bedömningen hörde elnätsinnehavare och innehavare av överföringsnät för naturgas till leverantörerna av samhällsviktiga tjänster. Tillämpningsområdet för NIS 2-direktivet är betydligt större än tillämpningsområdet för NIS 1-direktivet. Hittills har Energimyndigheten varit tillsynsmyndighet för energisektorn.  

3.3  Transporter

Till tillämpningsområdet för NIS 2-direktivet hör vissa entiteter inom sektorerna lufttransport, järnvägstransport, vägtransport och sjöfart. I samband med det nationella genomförandet av NIS 1-direktivet infördes nätverks- och informationssäkerhetsskyldigheter för den som tillhandahåller trafikledningstjänster, flygtrafiktjänster, fartygstrafikservice och intelligenta trafiksystem, förvaltare av statens bannät samt innehavare av samhällsviktiga flygplatser och hamnar. Det finns väldigt få nationella bestämmelser om informations- och cybersäkerhet inom transportsektorn utöver det nationella genomförandet av NIS 1-direktivet. Inom transportsektorn har Transport- och kommunikationsverket varit tillsynsmyndighet för alla undersektorer. I spårtrafiklagen finns ingen separat bestämmelse om tillsynsansvar med tanke på spårtrafiksektorn.  

3.4  Bankverksamhet och finansmarknadsinfrastruktur

3.5  Hälso- och sjukvårdssektorn

Till tillämpningsområdet för NIS 2-direktivet hör vårdgivare, EU-referenslaboratorier, entiteter som bedriver forskning och utveckling avseende läkemedel, entiteter som tillverkar vissa farmaceutiska basprodukter och läkemedel och entiteter som tillverkar medicintekniska produkter som anses vara kritiska vid ett hot mot folkhälsan. Tillämpningsområdet är betydligt större än i NIS 1-direktivet, till vilket endast hörde hälso- och sjukvårdsmiljöer för hälso- och sjukvårdssektorns del. I samband med att NIS 1-direktivet genomfördes ansågs den gällande lagstiftningen uppfylla kraven i direktivet, varför det inte gjordes några ändringar i den nationella lagstiftningen. 

3.6  Dricksvatten och avloppsvatten

Både dricksvatten och avloppsvatten har hört till det nationella tillämpningsområdet för NIS 1-direktivet vars krav i Finland genomfördes genom en ändring av lagen om vattentjänster. Lagen om vattentjänster tillämpas både på hanteringen av dricksvatten och på hanteringen av avloppsvatten. Inom vattenförsörjningssektorn finns ingen annan sektorsspecifik cybersäkerhetsreglering, men av ett vattentjänstverk som levererar hushållsvatten krävs redan nu riskbedömning och riskhantering i fråga om vattenkvaliteten i samarbete med den som utövar verksamheten, myndigheterna och övriga intressentgrupper.  

Enligt 15 b § i lagen om vattentjänster ska ett vattentjänstverk som levererar eller tar emot avloppsvatten till en volym om minst 5 000 kubikmeter vatten per dygn anmäla betydande störningar till närings-, trafik- och miljöcentralen. I 35 § 2 mom. finns bestämmelser om rätten att lämna ut informationssäkerhetsrelaterade uppgifter till Transport- och kommunikationsverket trots tystnadsplikten enligt lagen om offentlighet i myndigheternas verksamhet. I lagen om vattentjänster finns också bestämmelser om vattentjänstverks skyldighet att trygga sina tjänster i störningssituationer (15 a §) och om att utan dröjsmål anmäla betydande störningar i vattentjänsterna till närings-, trafik- och miljöcentralen (15 b §). Bestämmelser om behandling av kommunalt avloppsvatten finns i miljöskyddslagen (527/2014), statsrådets förordning om miljöskydd (713/2014) och statsrådets förordning om avloppsvatten från tätbebyggelse (888/2006). Behandlingen av avloppsvatten är enligt miljöskyddslagen miljötillståndspliktig verksamhet och de beredskaps-och riskhanteringsskyldigheter som gäller reningsverk anges i reningsverkens miljötillståndsbeslut. Dessa skyldigheter är inte särskilt förknippade med informations- och cybersäkerhetsfrågor. 

I 5 kap. i hälsoskyddslagen (763/1994) finns bestämmelser om riskhanteringsskyldigheter för anläggningar som levererar hushållsvatten. Genom lagen har riskhanteringsskyldigheterna i Europaparlamentets och rådets direktiv (EU) 2020/2184 om kvaliteten på dricksvatten genomförts. Enligt lagen ska anläggningen utöva riskbedömning och riskhantering i anslutning till egenkontrollen i samarbete med den som utövar verksamheten, myndigheterna och övriga intressentgrupper. Enligt 19 a § ska en aktör utarbeta en riskhanteringsplan för att hantera och förebygga risker. Med riskbedömning avses i huvudsak risker som påverkar vattenkvaliteten. De här skyldigheterna har preciserats i statsrådets förordning om riskhantering och egenkontroll inom produktionskedjan för hushållsvatten (7/2023). Förordningen har utfärdats med stöd av 19 a § 5 mom. i hälsoskyddslagen och 15 § 5 mom. i lagen om vattentjänster.  

I fråga om vattenförsörjningen kräver NIS 2-direktivets tillämpningsområde att den nationella definitionen på 5000 kubikmeter slopas. I fortsättningen ska tillämpningsområdet bestämmas enligt typen av entitet och storleken på entiteten. Dessutom ska NIS 2-direktivet tillämpas oavsett entitetens storlek när en störning av den tjänst som entiteten tillhandahåller kan ha en betydande påverkan på den allmänna ordningen, den allmänna säkerheten eller folkhälsan. Detta kan utöka tillämpningsområdet för vattenförsörjningens del. När det gäller skyldigheten att anmäla störningar i 15 b § i lagen om vattentjänster bedöms det inte som nödvändigt att införa ändringar med anledning av genomförandet av NIS 2-direktivet, eftersom bestämmelsen ska tillämpas också på andra störningar än sådana som är inriktade på kommunikationsnät och informationssystem. De ändringar som behöver göras i 15 b § bedöms i samband med genomförandet av CER-direktivet. Det föreslås att 35 § 2 mom. 3 punkten upphävs med anledning av genomförandet av NIS 2-direktivet för att undvika överlappande bestämmelser. 

3.7  Digital infrastruktur och digitala leverantörer

Digitala leverantörer har i huvudsak omfattats av tillämpningsområdet i NIS 1-direktivet, men särskilt den digitala infrastrukturens entiteter blir nya entiteter att omfattas av tillämpningsområdet i NIS 2-direktivet. Nya entiteter att omfattas av NIS 2-direktivet är tillhandahållare av kommunikationsnät och kommunikationstjänster, tillhandahållare av betrodda elektroniska tjänster, leverantörer av nätverk för leverans av innehåll samt leverantörer av datacentraltjänster. Transport- och kommunikationsverkets Cybersäkerhetscenter har varit tillsynsmyndighet för sektorn under NIS 1-direktivet. Cybersäkerhetscentret övervakar redan nu tillhandahållandet av kommunikationsnät och kommunikationstjänster samt betrodda elektroniska tjänster. I den gällande lagstiftningen finns inga uttryckliga bestämmelser om leverantörer av nätverk för leverans av innehåll och leverantörer av datacentraltjänster, såvida inte verksamheten utifrån en bedömning från fall till fall uppfyller definitionen av förmedling av kommunikation. 

3.8  Förvaltning av tjänster inom informations- och kommunikationsteknik (IKT-tjänster)

Leverantörerna av tjänster inom informations- och kommunikationsteknik, alltså leverantörer av IKT-tjänster, har inte hört till NIS 1-direktivets tillämpningsområde, utan blir en ny sektor inom tillämpningsområdet för NIS 2-direktivet. De leverantörer av IKT-tjänster som omfattas av NIS 2-direktivet är leverantörer av utlokaliserade driftstjänster och leverantörer av utlokaliserade säkerhetstjänster mellan företag, som är medelstora eller stora företag. I NIS 2-direktivet avses med leverantörer av utlokaliserade driftstjänster en entitet som tillhandahåller tjänster som rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKT-infrastruktur, IKT-tillämpningar eller andra nätverks- och informationssystem, via bistånd eller aktiv administration antingen i kundernas lokaler eller på distans. Med leverantör av utlokaliserade säkerhetstjänster avses en leverantör av utlokaliserade driftstjänster som utför eller tillhandahåller stöd för verksamhet som rör hantering av cybersäkerhetsrisker. Med IKT-tjänst avses enligt artikel 2.13 i cybersäkerhetsakten en tjänst som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem.  

Tillhandahållandet av IKT-tjänster är för närvarande inte tillräckligt reglerat i lagstiftningen. Sett till lagen om tjänster inom elektronisk kommunikation kan det handla om en underleverantör till en kommunikationsförmedlare och denne har inga direkta egna skyldigheter enligt lagen. I vissa fall kan en leverantör av en utlokaliserad säkerhetstjänst vara en sådan leverantör av mervärdestjänster som avses i den lagen och då omfattas denne av skyldigheten att sörja för informationssäkerheten för sina tjänster enligt 247 § 2 mom. i den lagen. 

3.9  Rymden

Rymdsektorn har inte hört till tillämpningsområdet för NIS 1-direktivet, utan den fogas som ny sektor till tillämpningsområdet för NIS 2-direktivet. I Finland regleras rymdverksamheten nationellt i lagen om markstationer och vissa radaranläggningar (96/2023) och i lagen om rymdverksamhet (63/2018). Till tillämpningsområdet för NIS 2-direktivet hör operatörer av markbaserad infrastruktur som stöder tillhandahållandet av rymdbaserade tjänster.  

I lagen om markstationer och vissa radaranläggningar finns bestämmelser om anläggande av markstationer och radaranläggningar och om tillståndsplikt och tillsyn i fråga om markstations- och radarverksamhet. Anläggande av markstationer och radaranläggningar och bedrivande av markstations- och radarverksamhet är tillståndspliktig verksamhet med undantag av sedvanlig användning av satellittjänster. Tillstånds- och tillsynsmyndighet för fullgörandet av skyldigheterna i lagen är Transport- och kommunikationsverket.  

Enligt 2 § 5 punkten i lagen om markstationer och vissa radaranläggningar avses med verksamhetsutövare i fråga om markstationer och radaranläggningar fysiska eller juridiska personer som bedriver eller har för avsikt att bedriva markstations- eller radarverksamhet eller som faktiskt ansvarar för sådan verksamhet. Ovannämnda operatörer av markbaserad infrastruktur som stöder tillhandahållandet av rymdbaserade tjänster är sådana verksamhetsutövare som avses i lagen om markstationer och vissa radaranläggningar. Alla nuvarande verksamhetsutövare omfattas dock inte av tillämpningsområdet för NIS 2-direktivet. 

Verksamheten och verksamhetsutövarna måste uppfylla vissa krav på riskhantering, inklusive skyddande av verksamheten mot yttre störningar och hot mot informationssäkerheten, säkerställande av informationssäkerheten och den fysiska säkerheten, förmåga att upptäcka kränkningar av och hot mot informationssäkerheten, hantering av kontinuiteten i verksamheten och krissituationer, säkerheten i leveranskedjorna, dokumentering av praxis som gäller riskhanteringsförfarandet och säkerställandet av säkerheten i informationssystemen (6 §). Transport- och kommunikationsverket har rätt att få uppgifter för utredning av kränkningar av informationssäkerheten (14 §) och rätt att utföra inspektioner av verksamheten (13 §). En verksamhetsutövare är skyldig att anmäla om informationssäkerhetsrelaterade störningar till Transport- och kommunikationsverket (11 §). 

Vid beredningen av lagen om markstationer och vissa radaranläggningar (RP 113/2022 rd) försökte man beakta en del av kraven i de dåvarande förslagen till NIS 2-direktivet och CER-direktivet som var under beredning. Då lagen om markstationer och vissa radaranläggningar bereddes fanns det ingen information om hur NIS 2-direktivet skulle genomföras nationellt. Under beredningen av lagen strävade man efter att förslaget inte skulle stå i strid med det dåvarande förslaget till NIS 2-direktiv och man försökte beakta i synnerhet skyldigheterna kring hanteringen av informationssäkerhetsrisker och anmälningar om störningssituationer för att minimera senare ändringsbehov i lagstiftningen. Dessa skyldigheter i fråga om riskhantering, informationssäkerhet och störningsanmälningar gäller alla verksamhetsutövare när det gäller markstationer och radaranläggningar oavsett storlek förutom vissa undantag som gäller myndigheter. Det förutsätts att dessa skyldigheter uppfylls för att tillstånd ska beviljas och verksamheten få bedrivas. 

3.10  Post- och budtjänster

Post- och budtjänsterna är en ny sektor som fogats till NIS 2-direktivets tillämpningsområde. På nationell nivå regleras postens samhällsomfattande tjänster och vissa andra posttjänster genom postlagen (415/2011). Den nationella regleringen av posttjänsterna har traditionellt fokuserat på att öppna postmarknaden och på öppna data och inte på säkerhetsaspekter. Dessutom regleras posttjänsterna i Europaparlamentets och rådets direktiv 97/67/EG om gemensamma regler för utvecklingen av gemenskapens inre marknad för posttjänster och för förbättring av kvaliteten på tjänsterna (sådant direktivet lyder ändrat genom direktiven 2002/39/EU och 2008/6/EU, nedan postdirektivet ) och Europaparlamentets och rådets förordning (EU) 2018/644 om gränsöverskridande paketleveranstjänster. Regleringen i postdirektivet är föråldrad och medlemsländerna har önskat att det ska uppdateras snarast. För närvarande finns det få bestämmelser om cybersäkerhet i fråga om posttjänsterna. I 64–66 § i postlagen finns bestämmelser om beredskapsskyldighet för postföretag när det gäller undantagsförhållanden. I Finland finns det ingen speciallagstiftning om tillhandahållande av budtjänster och verksamheten faller under de allmänna civilrättsliga bestämmelserna.  

När det gäller postlagen har man inte fastställt något behov av att införa ändringar med anledning av genomförandet av NIS 2-direktivet. 

3.11  Avfallshantering

Avfallshanteringen har inte hört till NIS 1-direktivets tillämpningsområde, utan den har införts som ny sektor först i och med NIS 2-direktivet. Avfallshanteringssektorn är bred och i den ingår ett stort antal olika entiteter i olika storleksklasser, men i praktiken hör endast något tiotal entiteter till NIS 2-direktivet på grund av antalet anställda eller omsättningen. På nationell nivå regleras avfallshanteringen och beredskapsbestämmelserna om den i avfallslagen (646/2011), statsrådets förordning om avfall (978/2021), miljöskyddslagen (527/2014) och statsrådets förordning om miljöskydd (713/2014). 

I 6 § 16 punkten i avfallslagen definieras avfallshantering som insamling, transport, återvinning och bortskaffande av avfall, inbegripet kontroll och uppföljning av sådan verksamhet och efterbehandling av platser för bortskaffande av avfall samt verksamhet som mäklare. I 120 § åläggs verksamhetsutövarna att följa och kontrollera den avfallshantering som de ordnar för att säkerställa att verksamheten uppfyller de krav som anges i lagar och förordningar. Enligt 120 § 2 mom. i avfallslagen ska den som bedriver miljötillståndspliktig avfallsbehandlingsverksamhet utarbeta en plan för uppföljningen och kontrollen av avfallsbehandlingen och den ska läggas fram för tillståndsmyndigheten. I 41 § i statsrådets förordning om avfall preciseras de uppgifter som ska ingå i planen.  

Miljöskyddslagens 15 § ålägger den som utövar tillståndspliktig eller anmälningspliktig verksamhet att ha beredskap att hindra olyckor eller andra exceptionella situationer och att begränsa de skadliga konsekvenserna av dem. I 6 kap. som gäller tillståndsprövning och tillståndsvillkor anges dessutom till exempel förutsättningarna för beviljande av tillstånd (49 §), tillståndsvillkor om hindrande av förorening (52 §) och uppföljnings- och kontrollvillkor (62 §). I 3, 6 och 16 § i statsrådets förordning om miljöskydd preciseras innehållet i tillståndsansökan och anmälan. 

I fråga om avfallshanteringsskyldigheterna behandlar den nationella regleringen inte särskilt frågor kring informations- och cybersäkerhet, och det finns ingen nationell reglering som följer kraven i NIS 2-direktivet. 

3.12  Tillverkning, produktion och distribution av kemikalier

Tillverkning, produktion och distribution av kemikalier hörde inte till tillämpningsområdet för NIS 1-direktivet. Nationellt finns de centrala bestämmelserna om kemikaliers säkerhet i kemikaliesäkerhetslagen och de förordningar som utfärdats med stöd av den. Kemikaliesektorn regleras dessutom nationellt i kemikalielagen, vars syfte är att skydda människor och miljö mot faror och olägenheter orsakade av kemikalier. EU-lagstiftning om kemikaliesäkerhet finns i Europaparlamentets och rådets förordning (EG) nr 1907/2006 om registrering, utvärdering, godkännande och begränsning av kemikalier (Reach), inrättande av en europeisk kemikaliemyndighet, ändring av direktiv 1999/45/EG och upphävande av rådets förordning (EEG) nr 793/93 och kommissionens förordning (EG) nr 1488/94 samt rådets direktiv 76/769/EEG och kommissionens direktiv 91/155/EEG, 93/67/EEG, 93/105/EG och 2000/21/EG (nedan Reach-förordningen ) och Europaparlamentets och rådets förordning (EG) nr 1272/2008 om klassificering, märkning och förpackning av ämnen och blandningar, ändring och upphävande av direktiven 67/548/EEG och 1999/45/EG samt ändring av förordning (EG) nr 1907/2006 (nedan CLP-förordningen ). Syftet med Reach-förordningen är att garantera en hög skyddsnivå för människors hälsa och miljön, inbegripet främjande av alternativa metoder för att bedöma hur farliga ämnen är, samt att ämnen fritt kan cirkulera på den inre marknaden samtidigt som konkurrenskraft och innovation förbättras. Syftet med CLP-förordningen är att harmonisera kriterierna för klassificering av ämnen och blandningar samt märknings- och förpackningsregler.  

3.13  Industriell produktion och bearbetning av livsmedel samt grossisthandel med livsmedel

Industriell produktion och bearbetning av livsmedel samt grossisthandel med livsmedel har inte hört till tillämpningsområdet för NIS 1-direktivet. Nationellt regleras livsmedelssektorn i livsmedelslagen (297/2021) genom vilken Europaparlamentets och rådets förordning (EG) nr 178/2002 om allmänna principer och krav för livsmedelslagstiftning, om inrättande av Europeiska myndigheten för livsmedelssäkerhet och om förfaranden i frågor som gäller livsmedelssäkerhet (nedan allmänna livsmedelsförordningen ) har genomförts. Nationella sektorsspecifika bestämmelser finns dessutom i foderlagen (1263/2020), lagen om djursjukdomar (76/2021), beredskapslagen (1522/2011) och växtskyddslagen (1110/2019).  

Livsmedelslagstiftningen omfattar utöver livsmedel också material som kommer i kontakt med livsmedel. Det finns nationella bestämmelser om kraven och skyldigheterna i fråga om dessa material i livsmedelslagen. I foderlagen finns dessutom bestämmelser om allmänna principer för fodersäkerhet och om skyldigheter för foderföretagare och tillsynsmyndigheter inom foderbranschen. Det primära ansvaret för livsmedels- och fodersäkerheten innehas av livsmedels- och foderföretagarna enligt den allmänna livsmedelsförordningen. Myndigheterna är skyldiga att genom sin egen verksamhet säkerställa att livsmedels- och foderföretagarna uppfyller de krav som gäller dem. I livsmedelslagstiftningen finns dock inga bestämmelser som gäller företagarnas informations- och cybersäkerhet, utan de ålägganden som gäller riskhantering och beredskap rör andra risker, såsom förhindrande av matförgiftningar, zoonoser och djursjukdomar.  

Syftet med livsmedelslagen är att skydda konsumentens hälsa och ekonomiska intressen genom att garantera livsmedlens och livsmedelskontaktmaterialens säkerhet, trygga en god hälsomässig livsmedelskvalitet och övrig kvalitet enligt livsmedelsbestämmelserna och säkerställa att informationen om livsmedlen och livsmedelskontaktmaterialen är tillräcklig och korrekt. Lagens tillämpningsområde innefattar livsmedel, djur som används för livsmedelsproduktion, livsmedelskontaktmaterial, livsmedels- och kontaktmaterialverksamhet, livsmedels- och kontaktmaterialföretagare samt livsmedelstillsynen i alla stadier av produktions-, bearbetnings- och distributionskedjan för livsmedel och livsmedelskontaktmaterial (2 §). 

Enligt 14 § i livsmedelslagen ska den spårbarhetsinformation som krävs enligt livsmedelsbestämmelserna lämnas till mottagaren i fråga om livsmedel, djur som används för livsmedelsproduktion och livsmedelskontaktmaterial. De djur som används för livsmedelsproduktion och andra eventuella ämnen som är avsedda för eller kan antas tillsättas till livsmedel måste gå att spåra. För detta ska företagaren ha ett system genom vilket de behöriga myndigheterna får tillgång till uppgifterna. I 15 § som gäller egenkontroll åläggs företagare att förvalta ett system för att identifiera och hantera faror i samband med sin verksamhet och säkerställa att verksamheten uppfyller de krav som ställs i livsmedelsbestämmelserna. I 15 § 2 mom. föreskrivs att företagaren ska göra upp en plan för provtagning och undersökning med tanke på eventuell upptäckt av salmonella, om denne för in livsmedel som omfattas av särskilda salmonellagarantier från en medlemsstat till en annan. Resultaten av egenkontrollen ska dokumenteras med tillräcklig precision och företagarna ska visa att de iakttar kraven på det sätt som myndigheten förutsätter. 

Enligt 17 § i livsmedelslagen ska företagare omedelbart underrätta den behöriga tillsynsmyndigheten om sådana allvarliga faror för människors hälsa som uppdagats i egenkontrollen eller på annat sätt samt om åtgärder som vidtagits för att rätta till dessa missförhållanden. I 17 § 2 mom. finns dessutom bestämmelser om företagares skyldighet att underrätta tillsynsmyndigheten om ett livsmedel har orsakat matförgiftning eller det finns misstanke om matförgiftning. Tillsynsmyndigheten kan förelägga att en produkt ska dras tillbaka från marknaden, om företagaren inte självmant vidtar åtgärder och den information som ges väsentligen strider mot bestämmelserna (57 §). Paragrafen ger också tillsynsmyndigheten en allmän rätt att informera om saken. 

Bestämmelser om myndigheternas skyldigheter inom livsmedelssektorn finns bland annat i 24, 47, 48, och 82 § i livsmedelslagen. Livsmedelsverkets uppgifter anges i 24 § och enligt den ska Livsmedelsverket planera, styra och utveckla livsmedelstillsynen och utföra livsmedelstillsyn på riksnivå. Dessutom är Livsmedelsverket nationell myndighet eller nationell kontaktpunkt för livsmedelstillsyn enligt Europeiska unionens lagstiftning och internationella avtal (t.ex. den nationella kontaktpunkt för systemet för snabb varning (RASFF) som avses i artikel 50 i allmänna livsmedelsförordningen, kontaktpunkt EFSA Focal Point samt kontaktpunkt i informationsförmedlingsnätverket i anslutning till livsmedelsbedrägerier). Livsmedelsverket utarbetar också en nationell beredskapsplan för livsmedel med specificerade åtgärder som vidtas om livsmedlen har konstaterats utgöra en allvarlig risk för människors hälsa. 

Enligt 48 § i livsmedelslagen ska Livsmedelsverket göra upp de provtagningsplaner som behövs för uppföljning och kontroll av zoonoser och göra behövliga anmälningar om resultaten av zoonosundersökningarna till livsmedelsföretagare och myndigheter. Även kommunen åläggs skyldighet att vidta åtgärder, om det på en anläggning för djur återkommande förekommer zoonoser eller om anläggningen misstänks vara smittkälla för en zoonos som konstaterats hos en människa. Enligt 47 § är kommunen skyldig att göra utredningar kring matförgiftningar. I 82 § föreskrivs om sekretess för uppgifter som erhållits vid tillsynen. 

Också lagen om djursjukdomar (76/2021) behandlar livsmedelssäkerheten och den har som syfte att bekämpa djursjukdomar. Enligt 18 § ska ett slakteri enligt livsmedelslagen, en djurpark enligt djurskyddslagen (247/1996) samt en anläggning för avelsmaterial som förutsätter godkännande enligt EU:s djurhälsoförordning eller lagen om djursjukdomar utarbeta en beredskapsplan med tanke på sjukdomar i kategori a, om där hanteras djur som tillhör förtecknade arter. Genom förordning av jord- och skogsbruksministeriet bestäms vilka djursjukdomar som kräver en beredskapsplan och innehållet i beredskapsplanen preciseras. Enligt lagen om djursjukdomar är aktörer (19 §) och veterinärer samt laboratorier (20 §) skyldiga att anmäla om djursjukdomar till kommunalveterinären eller regionförvaltningsverket. Med stöd av 22 § är kommunalveterinären skyldig att anmäla till regionförvaltningsverket om en djursjukdom som anmälts till veterinären i enlighet med 19 och 20 §. 

Bestämmelser om beredskapsplanering finns också i Europaparlamentets och rådets förordning (EU) 2016/429 om överförbara djursjukdomar och om ändring och upphävande av vissa akter med avseende på djurhälsa och i Europaparlamentets och rådets förordning (EU) 2017/625 om offentlig kontroll och annan offentlig verksamhet för att säkerställa tillämpningen av livsmedels- och foderlagstiftningen och av bestämmelser om djurs hälsa och djurskydd, växtskydd och växtskyddsmedel samt om ändring av Europaparlamentets och rådets förordningar (EG) nr 999/2001, (EG) nr 396/2005, (EG) nr 1069/2009, (EG) nr 1107/2009, (EU) nr 1151/2012, (EU) nr 652/2014, (EU) 2016/429 och (EU) 2016/2031, rådets förordningar (EG) nr 1/2005 och (EG) nr 1099/2009 och rådets direktiv 98/58/EG, 1999/74/EG, 2007/43/EG, 2008/119/EG och 2008/120/EG och om upphävande av Europaparlamentets och rådets förordningar (EG) nr 854/2004 och (EG) nr 882/2004, rådets direktiv 89/608/EEG, 89/662/EEG, 90/425/EEG, 91/496/EEG, 96/23/EG, 96/93/EG och 97/78/EG samt rådets beslut 92/438/EEG.  

Bestämmelser om beredskaps- och riskhanteringsskyldigheter för livsmedelssektorn finns också i växtskyddslagen och delvis i författningar som gäller produktionsinsatser, såsom foder, gödselmedel och växtskyddsmedel. Dessutom bedöms det nationella genomförandet av CER-direktivet kräva förändringar och preciseringar i lagstiftningen om livsmedelssektorn.  

Anvisningar och planer för livsmedelstillsynen utgörs till exempel av anvisningen Riskklassificering av en livsmedelslokal och kontaktmaterialverksamhet och fastställande av tillsynbehov, Fleråriga nationella tillsynsplanen för livsmedelskedjan 2021–2024 och fleråriga nationella tillsynsplanen (VASU). 

I livsmedelslagen och de andra lagarna om livsmedelssektorn har man inte upptäckt överlappningar eller motstridigheter med NIS-regleringen och därför har man inte fastställt något ändringsbehov i den sektorsspecifika lagstiftningen. 

3.14  Tillverkningssektorn

Tillverkningssektorn har inte hört till tillämpningsområdet för NIS 1-direktivet. De viktigaste säkerhetsskyldigheterna inom tillverkningssektorn ingår i lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor (390/2005), elsäkerhetslagen (1135/2016) och lagen om medicintekniska produkter. I strålsäkerhetslagen (859/2018) finns bestämmelser om strålsäkerhet. I bilaga II till NIS 2-direktivet är tillverkningssektorn indelad i delsektorerna tillverkning av medicintekniska produkter, tillverkning av datorer, elektronikvaror och optik, tillverkning av elapparatur, tillverkning av övriga maskiner, tillverkning av motorfordon, släpfordon och påhängsvagnar samt tillverkning av andra transportmedel. Inom sektorn består bestämmelser som gäller normala förhållanden av säkerhetsbestämmelser som fokuserar på produkternas kvalitet eller säkerhet eller på hanteringen av maskiner, anläggningar eller kemikalier som används under tillverkningen.  

3.15  Forskningsorganisationer

Forskningsorganisationer hörde inte till tillämpningsområdet för NIS 1-direktivet. Enligt artikel 6.41 i NIS 1-direktivet avses med forskningsorganisation en entitet vars främsta mål är att bedriva tillämpad forskning eller experimentell utveckling i syfte att utnyttja resultaten av denna forskning i kommersiellt syfte, men som inte inbegriper utbildningsinstitutioner. Nationellt sett har Teknologiska Forskningscentralen VTT Ab (VTT) fastställts höra till tillämpningsområdet enligt definitionen.  

Bestämmelser om Teknologiska Forskningscentralen VTT Ab finns i lagen om Teknologiska forskningscentralen VTT Ab (761/2014, nedan VTT-lagen ). Enligt 2 § i den lagen är bolagets uppgift att i egenskap av oberoende och objektivt forskningsinstitut främja det att forskningen och teknologin tillgodogörs på ett mångsidigt sätt och kommersialiseras inom näringslivet och i samhället. I 6 § i lagen föreskrivs om skyldighet att vidta förberedelser och om bolagets skyldighet att säkerställa att dess uppgifter kan skötas så bra som möjligt också under exceptionella förhållanden med hjälp av en beredskapsplan och förberedelser för verksamhet under exceptionella förhållanden och genom andra åtgärder.  

I VTT-lagen föreskrivs inte om krav på cybersäkerhet som ställs på bolaget. 

3.16  Sektorn offentlig förvaltning

Sektorn offentlig förvaltning har inte hört till tillämpningsområdet för NIS 1-direktivet. Den har lagts till som högkritisk sektor först i NIS 2-direktivet. Reglering på nivån allmän lag som gäller nät- och informationssäkerhet inom sektorn offentlig förvaltning ingår i lagen om informationshantering inom den offentliga förvaltningen (906/2019). Offentliga aktörer har också omfattats av NIS 1-direktivet till exempel på sektorn hälso- och sjukvård.  

3.17  Strategi för cybersäkerheten

Den gällande nationella strategin för cybersäkerheten har godkänts genom principbeslut av statsrådet den 3 oktober 2019. Strategin grundar sig på de allmänna principer som fastställts i Strategi för cybersäkerheten i Finland 2013. Förnyandet och verkställandet av Strategin för cybersäkerheten 2019 uppgjordes utifrån en skrivning i regeringsprogrammet, och det var även en del av verkställandet av EU:s strategi för cybersäkerhet. Skäl för reformen 2019 var dessutom ändringar som skett i verksamhetsbetingelser samt utvecklingsobjekt som upptäckts nationellt.  

Strategin för cybersäkerhet ställer upp centrala nationella mål genom vilka man strävar efter att utveckla cyberomgivningen och trygga funktioner som är viktiga för samhället. Dess tre strategiska riktlinjer är utveckling av internationellt samarbete, bättre koordinering av ledning, planering och beredskap som gäller cybersäkerheten, samt utveckling av kunnande som gäller cybersäkerhet. 

Enligt cybersäkerhetsstrategin har en uppgift som statens cybersäkerhetsdirektör inrättats hos statsrådet 2020. Ett utvecklingsprogram för cybersäkerhet har utarbetats under ledning av statens cybersäkerhetsdirektör. Statsrådets principbeslut för utvecklingsprogrammet av cybersäkerheten har likaså utarbetats utgående från strategin för cybersäkerhet 2019 under ledning av statens cybersäkerhetsdirektör. Utvecklingsprogrammet är en konkret verkställighetsplan med målet att på lång sikt förbättra cybersäkerheten i hela samhället. Verkställigheten av Finlands strategi för cybersäkerheten följs av Säkerhetskommittén som finns i samband med försvarsministeriet.  

Strategin för cybersäkerhet behöver uppdateras under den kommande regeringsperioden på grund av ändrade verksamhetsbetingelser och nya skyldigheter i fråga om lagstiftning. Den nuvarande cybersäkerhetsstrategin och utvecklingsprogrammet för cybersäkerhet uppfyller inte till innehållet de krav som NIS 2-direktivet ställer på en cybersäkerhetsstrategi.  

Enligt regeringsprogrammet för statsminister Orpos regering revideras ledningsstrukturen för helhets- och cybersäkerheten under regeringsperioden under ledning av statsministern (8 kap.) och ”regeringen ser över den nationella cybersäkerhetsstrategin så att den motsvarar vår förändrade omvärld” (8.5 kap.). 

3.18  Bestämmelser om koncession, tillstånd och certifiering

I artikel 32.5 första stycket led a förutsätts att de behöriga myndigheterna har befogenhet att tillfälligt upphäva eller begära att en annan instans, i enlighet med nationell rätt, tillfälligt upphäver en certifiering eller auktorisation för en del av eller alla relevanta tjänster som tillhandahålls eller verksamheter som utövas av en väsentlig entitet. Upphävande av koncession, tillstånd eller certifiering kommer dock på fråga först om mildare metoder för ingripande har varit resultatlösa och om den behöriga myndigheten först har fastställt en tidsfrist inom vilken de konstaterade bristerna ska vara avhjälpta, men entiteterna inte har avhjälpt de konstaterade bristerna inom tidsfristen. Sådana upphävanden ska tillämpas till dess att entiteten vidtar nödvändiga åtgärder för att avhjälpa bristerna eller uppfylla de krav från den behöriga myndigheten som gav upphov till sådana efterlevnadskontrollåtgärder. Bestämmelsen om återkallande av koncession eller tillstånd ska inte tillämpas på aktörer inom offentlig förvaltning.  

Bestämmelsen i NIS 2-direktivet inriktas bara på väsentliga entiteter, alltså behöver det inte föreskrivas om motsvarande befogenhet för andra än de väsentliga entiteterna. Bestämmelsen gäller dessutom endast tillståndspliktig eller certifierad verksamhet, varför motsvarande befogenhet inte behöver föreskrivas till exempel för verksamhet med rapporterings- eller registreringsskyldighet. Bestämmelsen kommer vidare att inriktas på upphävande av certifiering eller auktorisation i enlighet med nationell lagstiftning, det vill säga den gäller inte sådana koncessioner, tillstånd eller certifieringar som det föreskrivs om i direkt tillämplig EU-lagstiftning. 

Nationella bestämmelser om koncession, tillstånd eller certifiering i fråga om sådana väsentliga aktörer som omfattas av NIS 2-direktivets tillämpningsområde har identifierats för aktörer som bedriver markstations- och radarverksamhet, teleföretag, elnäts- och naturgasnätsinnehavare, aktörer som bedriver bearbetning och lagring av olja eller vätgas samt tillverkare av läkemedel eller läkemedelssubstanser.  

Av aktörer som bedriver markstations- och radarverksamhet krävs ett tillstånd enligt 4 § i lagen om markstationer och vissa radaranläggningar. Tillståndet beviljas av Transport- och kommunikationsverket, förutom om beviljandet av tillstånd uppenbart påverkar den nationella säkerheten. Då beviljas tillståndet av statsrådet. Bestämmelser om förutsättningarna för beviljande av tillstånd finns i 4 § i den lagen, och om ändring och återkallelse av tillstånd i 8 § i samma lag. Den myndighet som beviljat tillstånd får ändra eller återkalla ett tillstånd till bedrivande av markstations- eller radarverksamhet, om t.ex. verksamhetsutövaren eller markstations- eller radarverksamheten inte längre uppfyller förutsättningarna för beviljande av tillstånd, eller om verksamhetsutövaren på ett väsentligt sätt har försummat eller brutit mot en skyldighet eller begränsning i lagen om markstationer och vissa radaranläggningar eller mot tillståndsvillkoren. En ytterligare förutsättning för återkallelse av tillstånd är att tillståndshavaren trots uppmaning från myndigheten inte inom en skälig tid har avhjälpt bristen, felet, överträdelsen eller försummelsen. Ett tillstånd kan dessutom återkallas endast av särskilt vägande skäl i situationer där det inte är möjligt att ändra tillståndet. Det verkar som att det inte är möjligt att återkalla ett tillstånd baserat på att verksamhetsutövaren har försummat andra skyldigheter än de som föreskrivs i lagen om markstationer och vissa radaranläggningar. Man har ansett att det i 8 § i lagen om markstationer och vissa radaranläggningar behöver nämnas att ett tillstånd kan återkallas om verksamhetsutövaren på ett väsentligt sätt har brutit mot en skyldighet i cybersäkerhetslagen. 

Verksamheten hos tillhandahållare av allmänna elektroniska kommunikationsnät och tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster, det vill säga teleföretags verksamhet förutsätter nätkoncession enligt 3 kap. i lagen om tjänster inom elektronisk kommunikation. Statsrådet beviljar nätkoncessioner för televerksamhet. När det gäller televerksamheten kommer Transport- och kommunikationsverket att vara den myndighet som övervakar bestämmelserna i NIS 2-direktivet. Man har inte fastställt något behov av ändringar i lagen om tjänster inom elektronisk kommunikation i fråga om bestämmelserna om koncession, eftersom det inte handlar om återkallelse av ett tillstånd som beviljats av tillsynsmyndigheten.  

I elnät i Finland får elnätsverksamhet med vissa undantag utövas endast med Energimyndighetens elnätstillstånd. Bestämmelser om beviljande av elnätstillstånd finns i 5 § i elmarknadslagen. Av de väsentliga aktörer som omfattas av tillämpningsområdet för NIS 2-direktivet bör åtminstone stamnätsinnehavare och distributionsnätsinnehavare ha ett elnätstillstånd enligt elmarknadslagen. I naturgasnät i Finland får naturgasnätsverksamhet på samma sätt med vissa undantag utövas endast med Energimyndighetens naturgasnätstillstånd. Bestämmelser om beviljande av naturgasnätstillstånd finns i 5 § i naturgasmarknadslagen. Av de väsentliga aktörer som omfattas av tillämpningsområdet för NIS 2-direktivet bör åtminstone överföringsnätsinnehavare och distributionsnätsinnehavare ha ett naturgasnätstillstånd enligt naturgasmarknadslagen. Bestämmelser om återkallande av elnätstillstånd och naturgasnätstillstånd finns i 23 § i lagen om tillsyn över el- och naturgasmarknaden (590/2013). Enligt den kan Energimyndigheten återkalla ett elnäts- eller naturgasnätstillstånd, om tillståndshavaren upphör med verksamheten, inte längre uppfyller förutsättningarna för beviljande av tillstånd eller upprepade gånger och i väsentlig grad bryter mot tillståndsvillkoren, eller vissa författningar som gäller elnäts- eller naturgasnätsverksamhet, och den varning som i förväg getts tillståndshavaren om att tillståndet kommer att återkallas inte har lett till att bristerna i verksamheten har rättats till. Det verkar som att det inte är möjligt att återkalla ett tillstånd på grund av att tillståndshavaren har försummat sina skyldigheter enligt den föreslagna cybersäkerhetslagen. Man har ansett att det i 23 § i lagen om tillsyn över el- och naturgasmarknaden behöver nämnas att ett tillstånd kan återkallas om tillståndshavaren upprepade gånger och i väsentlig grad bryter mot cybersäkerhetslagen. 

Enligt 23 § i kemikaliesäkerhetslagen får omfattande industriell hantering och upplagring av en farlig kemikalie endast utövas med Säkerhets- och kemikalieverkets tillstånd. Detta krav på tillstånd kan omfatta väsentliga aktörer som omfattas av tillämpningsområdet för NIS 2-direktivet, i synnerhet aktörer inom olje- och vätgassektorn. Bestämmelser om beviljande av tillstånd finns i 23 a § och om återkallande av tillstånd i 109 § i kemikaliesäkerhetslagen. Tillsynsmyndigheten ska helt eller delvis återkalla tillståndet att bedriva verksamhet, om det har konstaterats allvarliga brister i de åtgärder som verksamhetsutövaren har vidtagit för att förebygga och begränsa olyckor. Detsamma gäller också för överföring av farliga kemikalier. Dessutom kan tillsynsmyndigheten återkalla tillståndet att bedriva verksamhet, om verksamhetsutövaren inte inom föreskriven tid har lämnat in den anmälan eller de utredningar som krävs eller andra sådana uppgifter om sina åtgärder för att förebygga eller begränsa olyckor som förutsätts enligt bestämmelser som har utfärdats med stöd av kemikaliesäkerhetslagen eller om verksamheten annars har konstaterats förorsaka mindre fara än den som avses i 109 § 1 mom. i den lagen. Det verkar som att det inte är möjligt att återkalla ett tillstånd på grund av att verksamhetsutövaren har försummat sina skyldigheter enligt den föreslagna cybersäkerhetslagen. Man har ansett att det i 109 § i kemikaliesäkerhetslagen behöver nämnas att ett tillstånd kan återkallas, om verksamhetsutövaren väsentligt och allvarligt försummar skyldigheterna enligt cybersäkerhetslagen. 

Tillverkning av läkemedel förutsätter tillstånd enligt 8 § i läkemedelslagen (så kallat tillstånd för läkemedelsfabrik). Ett tillstånd enligt 8 § i läkemedelslagen beviljas av Säkerhets- och utvecklingscentret för läkemedelsområdet. I 101 a § i den lagen finns bestämmelser om situationer där Säkerhets- och utvecklingscentret för läkemedelsområdet helt och hållet eller temporärt kan återkalla ett tillstånd att tillverka läkemedel. Tillståndet kan återkallas om något krav som hänför sig till tillståndet inte längre uppfylls eller någon för säkerheten eller kvaliteten väsentlig förpliktelse inte har uppfyllts. Förpliktelserna i förslaget till cybersäkerhetslag har bedömts vara sådana för säkerheten väsentliga krav att försummelse av dem kan uppfylla förutsättningarna för återkallande av tillstånd. Man har inte fastställt något behov av ändringar i läkemedelslagen i fråga om bestämmelserna om tillstånd. 

Genomförandet av artikel 32.5 första stycket led a i NIS 2-direktivet förutsätter ovannämnda ändringar i de nationella bestämmelserna om tillstånd. 

4.1  De viktigaste förslagen

I denna proposition föreslås det att det stiftas en ny cybersäkerhetslag. Lagen innehåller i samlad form de minimiskyldigheter som NIS 2-direktivet kräver i fråga om hantering av cybersäkerhetsrisker och rapportering av incidenter när det gäller de aktörer som omfattas av dess tillämpningsområde. I lagen iakttas miniminivån enligt NIS 2-direktivet när det gäller tillämpningsområdet för skyldigheterna, deras omfattning och tillsynen över dem. I överensstämmelse med direktivet innehåller lagen också bestämmelser om myndighetsuppgifter, dvs. om tillsynsmyndigheter, tillsyn över att skyldigheterna fullgörs och tillsynsbehörigheter samt om en administrativ påföljdsavgift som påförs av den nya påföljdsavgiftsnämnd som ska inrättas i anslutning till Transport- och kommunikationsverket. Lagen innehåller också bestämmelser om en enhet för hantering av it-säkerhetsincidenter (CSIRT-enhet) och dess uppgifter. CSIRT-enheten placeras i Cybersäkerhetscentret vid Transport- och kommunikationsverket. Den huvudsakliga metoden för genomförande av direktivet är omskrivning. Direktivets skyldigheter och krav skrivs om i den nationella lagstiftningen, särskilt till den del de gäller aktörerna. Genomförandet sker i enlighet med direktivets minimikrav och så att man utnyttjar det nationella handlingsutrymmet.  

I fråga om de skyldigheter som gäller enbart sektorn för offentlig förvaltning och tillsynen över att dessa fullgörs föreskrivs det separat i informationshanteringslagen. Bestämmelserna om CSIRT-enheten samt bestämmelserna om informationsutbyte och myndighetssamarbete tillämpas också inom sektorn offentlig förvaltning, till den del det inte föreskrivs om detta i informationshanteringslagen. Om en offentlig aktör är verksam inom någon annan sektor som omfattas av NIS 2-direktivet, kan den omfattas av NIS 2-bestämmelserna även eller enbart med stöd av cybersäkerhetslagen. Detta gäller exempelvis välfärdsområden och välfärdssammanslutningar, Helsingfors stad och de kommuner som bedriver sådan verksamhet som beskrivs i de olika punkterna i bilaga I och II till NIS 2-direktivet, med undantag för punkt 10 i bilaga I. Även om det inte föreslås att de skyldigheter som följer av NIS 2-direktivet och som föreslås i informationshanteringslagen ska tillämpas på den verksamhet som bedrivs i några andra kommuner än Helsingfors stad (till den del staden sköter sådana uppgifter som enligt lag omfattas av välfärdsområdets organiseringsansvar), kan även andra kommuner med stöd av cybersäkerhetslagen omfattas av NIS 2-bestämmelserna, om de bedriver sådan verksamhet som avses i bilaga I eller II till lagen eller sådan verksamhet som har identifierats som kritisk med stöd av CER-direktivet och de i fråga om den verksamheten motsvarar definitionen av aktör. I överensstämmelse med det nationella handlingsutrymmet i fråga om offentlig förvaltning på lokal nivå kommer skyldigheterna inte att tillämpas på kommunerna i övrigt.  

Det föreslås inte att aktörer inom finansbranschen ska omfattas av tillämpningsområdet för cybersäkerhetslagen, eftersom dessa omfattas av DORA-förordningen och de bestämmelser som kompletterar den. I DORA-förordningen åläggs aktörerna inom finansbranschen sådana skyldigheter i fråga om beredskap inför cyberhot som är mera långtgående än de skyldigheter som ingår i NIS 2-direktivet. 

Genom lagen om tjänster inom elektronisk kommunikation genomförs det som krävs enligt artikarna 27 och 28 i NIS 2-direktivet, vilka gäller databaser över domännamnsregistreringsuppgifter, när det gäller dem som förvaltar ett toppdomänregister och registrarer. 

Skyldigheterna att hantera cybersäkerhetsrisker och rapportera om dem gäller privata eller offentliga aktörer som bedriver sådan verksamhet som avses i bilaga I eller II och som storleksmässigt är medelstora eller större enligt kommissionens definition av storleken på små och medelstora företag. Med vissa undantag kan skyldigheterna gälla även mindre företag än så. Lagen innehåller även en bestämmelse om att det genom förordning av statsrådet under vissa förutsättningar får föreskrivas att en aktör ska omfattas av lagens tillämpningsområde oavsett storlek. Lagen innehåller också bestämmelser om tillsyn över de riskhanterings- och rapporteringsskyldigheter som gäller dessa aktörer. 

Tillsynsmyndigheterna utses sektorsvist utifrån den tillsynsmodell som följer NIS 1-direktivet. Tillsynsmyndigheten bestäms på basis av aktörens sektor. Tillsynsmyndigheterna är, enligt sektor, Transport- och kommunikationsverket, Energimyndigheten, Säkerhets- och kemikalieverket, Tillstånds- och tillsynsverket för social- och hälsovården, NTM-centralen i Södra Savolax, Livsmedelsverket, Säkerhets- och utvecklingscentret för läkemedelsområdet och Finansinspektionen. Tillsynsansvaret fördelar sig enligt sektor på följande sätt: 

Tabell 7: 

I propositionen föreslås det att man utnyttjar det nationella handlingsutrymme som innebär att tillsynsmyndigheten får rikta in tillsynen enligt en riskbaserad bedömning och i första hand på de väsentliga aktörerna.  

Även framöver är det Cybersäkerhetscentret vid Transport- och kommunikationsverket som är CSIRT-enhet för hantering av it-säkerhetsincidenter samt gemensam kontaktpunkt.  

Maximibeloppen av de administrativa sanktioner som NIS 2-direktivet kräver fastställs till den nivå som är det lägsta maximibeloppet som direktivet tillåter. Administrativa sanktioner påförs av påföljdsavgiftsnämnden på framställning av tillsynsmyndigheten. Påföljdsavgiftsnämnden är ett nytt organ, vars ledamöter har uppdraget som bisyssla, och den består av ledamöter som har utsetts av tillsynsmyndigheterna. Med stöd av det nationella handlingsutrymmet föreslås det en bestämmelse om att administrativa påföljdsavgifter enligt NIS 2-direktivet inte får påföras aktörer inom den offentliga förvaltningen. 

Genom denna proposition åläggs statsrådet skyldighet att godkänna en cybersäkerhetsstrategi med det innehåll som är minimum enligt NIS 2-direktivet. Varje myndighet ska fungera som cyberkrishanteringsmyndighet enligt NIS 2-direktivet i enlighet med de uppgifter som föreskrivits för den i lagen. Cybersäkerhetscentret vid Transport- och kommunikationsverket fungerar som koordinator mellan cyberkrishanteringsmyndigheterna och svarar i samarbete med de andra myndigheterna även för upprättandet av den nationella ram för hantering av cybersäkerhetskriser som NIS 2-direktivet kräver för hanteringen av storskaliga cybersäkerhetsincidenter och kriser. Propositionen innehåller inget förslag om ändringar i säkerhetsmyndigheternas nuvarande befogenheter eller uppgiftsfördelning vad gäller hanteringen av storskaliga cybersäkerhetsincidenter och kriser. 

Genom denna proposition upphävs i den sektorsvisa lagstiftningen de bestämmelser som har utfärdats i syfte att genomföra NIS 1-direktivet, eftersom dessa i fortsättningen skulle vara överlappande i förhållande till den nya lag som utfärdas i syfte att genomföra NIS 2-direktivet. NIS 1-direktivet har för övrigt också upphävts genom NIS 2-direktivet. Det föreslås att bestämmelser upphävs eller ändras i följande lagar: lagen om tjänster inom elektronisk kommunikation, luftfartslagen, spårtrafiklagen, lagen om transportservice, lagen om fartygstrafikservice, lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet, lagen om behandling av kunduppgifter inom social- och hälsovården, elmarknadslagen, naturgasmarknadslagen och lagen om tillsyn över el- och naturgasmarknaden. Dessutom görs det i lagen om Energimyndigheten vissa tekniska ändringar som följer av genomförandet av NIS 2-direktivet. 

I förslaget utnyttjas inte det nationella handlingsutrymme som NIS 2-direktivet medger när det gäller en utvidgning av definitionen av väsentliga aktörer så att definitionen separat även skulle omfatta sådana väsentliga tjänsteleverantörer som har identifierats med stöd av NIS 1-direktivet i situationer där de annars inte skulle betraktas som väsentliga aktörer med stöd av NIS 2-direktivet. 

I propositionen föreslås det inte heller att det nationella handlingsutrymmet utnyttjas i fråga om att tillämpa NIS 2-direktivet på aktörer inom sektorn offentlig förvaltning på lokal nivå eller inrättningar inom undervisnings- och utbildningssektorn. Som ett undantag tillämpas skyldigheterna på Helsingfors stad, till den del staden sköter sådana uppgifter som enligt lag omfattas av välfärdsområdets organiseringsansvar.  

I överensstämmelse med det nationella handlingsutrymmet föreslås det i propositionen bestämmelser om undantag i fråga om tillämpningen av de skyldigheter som följer av NIS 2-direktivet på vissa aktörer som tillhandahåller tjänster till sådana aktörer inom den offentliga förvaltningen som bedriver verksamhet inom den nationella säkerheten, allmän säkerhet, försvaret eller brottsbekämpning, inbegripet förebyggande, utredning och avslöjande av brott samt lagföring av brott, eller som själva bedriver sådan verksamhet. Det nationella handlingsutrymmet utnyttjas fullt ut i överensstämmelse med NIS 2-direktivet när det gäller skyldigheterna för dessa aktörer. 

I propositionen föreslås det inga ytterligare nationella krav för användningen av europeiska ordningar för cybersäkerhetscertifiering. 

4.2  De huvudsakliga konsekvenserna

4.3  Ekonomiska konsekvenser

4.4  Konsekvenser för myndigheternas verksamhet

4.5  Andra konsekvenser som gäller människor och samhället

5.1  Handlingsalternativen och deras konsekvenser

5.2  Handlingsmodeller som används eller planeras i andra medlemsstater

6.1  Remissbehandling

Den finskspråkiga versionen av propositionen var ute på remiss i åtta veckor mellan den 3 oktober och 29 november 2023. Den svenskspråkiga versionen av propositionen var ute på remiss i sammanlagt åtta veckor mellan den 6 oktober och 1 november (paragraferna och en del av motiveringen) och mellan den 1 november och 4 december 2023 (hela propositionen). Propositionen var på remiss till Ålands landskapsregering i åtta veckor mellan den 2 november och 29 december 2023. 

Det kom in totalt 131 yttranden om propositionen.  

Det har gjorts ett sammandrag av remissvaren, där den viktigaste responsen och de mest relevanta synpunkterna i yttrandena beskrivs. Remissvaren och sammandraget av yttrandena är tillgängliga i statsrådets tjänst för projektinformation (Hankeikkuna) under projektnummer LVM027:00/2023 (länk: https://valtioneuvosto.fi/sv/projektet?tunnus=LVM044:00/2022 ).  

I remissvaren ansågs det allmänt att propositionens mål i fråga om att stärka cybersäkerheten i samhället var viktiga och värda att understödja. Det ansågs värt att understödja att det i lag åläggs skyldigheter att hantera cybersäkerhetsrisker och rapportera om dem. Det ansågs även värt att understödja att det på ett samlat sätt föreskrivs om skyldigheterna genom en ny sektorsövergripande lag. I yttrandena understöddes också ett genomförande av NIS 2-direktivet i enlighet med den miniminivå som anges för skyldigheterna och så att man utnyttjar det nationella handlingsutrymmet på det sätt som föreslås. I yttrandena framfördes det många detaljerade och tekniska observationer om den föreslagna lagstiftningen. 

En modell där tillsynen är uppdelad enligt sektor och att tillsynen kombineras med annan tillsyn som utövas över aktörerna understöddes i huvudsak i remissvaren. Justitieministeriet bedömde i sitt yttrande att en uppdelning enligt sektor var ett mera motiverat sätt att ordna tillsynen på än en centraliserad tillsynsmodell. Vissa aktörer, exempelvis välfärdsområdena, som kommer att uppfylla definitionerna i fråga om både sektorn offentlig förvaltning och hälso- och sjukvårdssektorn, kommer att övervakas av flera myndigheter.  

Ålands landskapsregering konstaterade att när det gäller tillämpningsområdet för NIS 2-direktivet är lagstiftningsbehörigheten uppdelad mellan landskapet och riket. Landskapsregeringen har berett lagstiftning om den offentliga förvaltningens informationshantering och har preliminärt bedömt att bestämmelser som motsvarar dem som föreslås i 4 a kap. i informationshanteringslagen kunde tas med även i den lagstiftning som är under beredning i landskapet. I den fortsatta beredningen av landskapets lagstiftning bör det ännu klarläggas vad som skulle vara det mest ändamålsenliga och enklaste sättet att genomföra NIS 2-direktivet i fråga om de delar som omfattas av landskapets lagstiftningsbehörighet. Eftersom den lagstiftning som har föreslagits för riket bildar en integrerad och komplicerad helhet, måste man i den fortsatta beredningen närmare utreda om det mellan landskapet och riket behövs en sammanjämkning i fråga om landskapets genomförande av NIS 2-direktivet och skötsel av förvaltningsuppgifter, och i så fall hur. 

Enligt de yttranden som gällde informationsförvaltningslagen borde de myndigheter och andra aktörer som omfattas av säkerhetsklassificeringsskyldigheten utredas ur ett större perspektiv så att inte bara en aktör punktmässigt fogas till tillämpningsområdet för bestämmelserna. Med anledning av remissvaren har 18 § 1 mom. i informationshanteringslagen slopats, dvs. det ändringsförslag som gällde säkerhetsklassificeringsskyldigheten. 

Med anledning av remissvaren har det gjorts ändringar, preciseringar och kompletteringar i propositionen. Propositionens viktigaste förslag om regleringssättet, regleringsnivån och myndighetsuppgifterna har inte ändrats på grund av remissvaren. Med anledning av remissvaren har propositionen ändrats på nedanstående sätt.  

När det gäller tillämpningsområdet har man i propositionen försökt precisera definitionen av aktör och storlekskriteriet i anslutning till den. I motiveringarna har man preciserat storlekskriteriets tillämplighet och hur definitionen av aktör ska uppfattas i fråga om olika juridiska personer. I motiveringarna har man förtydligat lagens tillämplighet i fråga om en juridisk person som helhet, även om endast en del av verksamheten är sådan verksamhet som avses i bilaga I eller II, samt att en juridisk persons hela verksamhet ska beaktas vid bedömningen av om storleksvillkoret uppfylls. Det bemyndigande för statsrådet att utfärda förordningar som gäller undantag från storleksvillkoret i definitionen av aktör har preciserats så att det i stället för att gälla aktören gäller en precisering av de kriterier som anges i lagen. Dessutom har tillämpningsområdet försetts med en nationell avgränsning enligt vilken lagen är tillämplig på kommuner enligt kommunallagen endast till den del en kommun bedriver sådan verksamhet som avses i bilaga I eller II eller som har definierats som kritisk med stöd av CER-direktivet. Vidare har tillämpningsområdet försetts med en förtydligande avgränsning om att lagen inte ska tillämpas på verksamhet enligt bilaga I eller II som är ringa och sporadisk.  

Tillämpningsområdet har sektorvist preciserats när det gäller posttjänster, vägtransporter och hälso- och sjukvårdssektorn. När det gäller posttjänster omfattar tillämpningsområdet sådana tillhandahållare av posttjänster som avses i postdirektivet. När det gäller vägtransporter omfattar tillämpningsområdet sådana leverantörer av vägtrafikstyrnings- och vägtrafikledningstjänster som avses i 15 kap. i lagen om transportservice.  

I fråga om hälso- och sjukvårdssektorn har definitionen av vårdgivare preciserats så att tillämpningsområdet omfattar sådana tjänsteproducenter enligt lagen om tillsynen över social- och hälsovården som producerar hälso- och sjukvårdstjänster samt inrättningar för blodtjänst enligt blodtjänstlagen, apotek och annan hälso- och sjukvårdspersonal enligt patientrörlighetsdirektivet som lämnar ut eller tillhandahåller läkemedel och medicintekniska produkter. Inom hälso- och sjukvårdssektorn motsvarar tillämpningsområdet det tillämpningsområde i överensstämmelse patientrörlighetsdirektivet som är minimum enligt NIS 2-direktivet, tillsammans med tillämpningsområdet för informationshanteringslagen. 

I informationshanteringslagen har 3 §, som gäller tillämpningsområdet för det nya 4 a kap., till följd av remissbehandlingen omformulerats och ändrats innehållsmässigt så att republikens presidents kansli och beskickningar i tredjeländer inte omfattas av tillämpningsområdet för bestämmelserna. I fråga om några offentliga aktörer har deras ställning förtydligats i motiveringarna. När det gäller riksdagens ämbetsverk ändrades bestämmelserna så att ämbetsverken omfattas av tillämpningsområdet. Tillämpningsområdet har också preciserats på så sätt att en aktör inom sektorn offentlig förvaltning som har definierats som en kritisk aktör med stöd av CER-direktivet ska omfattas av 4 a kap. oberoende av de avgränsningar som anges i 3 §. Lagförslaget utökades även med en definition av kritisk aktör. Tillämpningen preciserades också i fråga om de myndigheter som inte ska omfattas av bestämmelserna om tillsynsmyndighetens befogenheter. 

Förhållandet mellan cybersäkerhetslagen och informationshanteringslagen förtydligades genom att man på ett tydligare sätt i lagarna (1 § 2 mom. i informationshanteringslagen och 1 § i cybersäkerhetslagen) definierade till vilka delar NIS 2-direktivet genomförs genom informationshanteringslagen och till vilka delar det görs genom cybersäkerhetslagen. Hänvisningsbestämmelserna i 18 h § i informationshanteringslagen och paragraferna om tillsynsmyndighetens behörighet formulerades så att förhållandet mellan lagarna skulle bli tydligare. 

När det gäller aktörernas riskhanterings- och rapporteringsskyldigheter har definitionen av betydande incident preciserats i både cybersäkerhetslagen och informationshanteringslagen. För att betraktas som en betydande incident krävs det vad gäller den ekonomiska skadan att den är betydande. Omfånget av bemyndigandet för tillsynsmyndigheten att utfärda föreskrifter i anslutning till riskhanterings- och rapporteringsskyldigheterna har begränsats. Tillsynsmyndigheten får genom förordning precisera sektorsspecifika omständigheter i riskhanteringen, beaktandet av de riskbedömningar av leveranskedjorna som görs på unionsnivå samt de tekniska förfarandena för och typen av information i anmälningar och rapporter om incidenter. Transport- och kommunikationsverket får ge anvisningar om sådant som ansluter sig till riskhanteringsskyldigheten och riskhanteringsåtgärder. Lagen har utökats med hänvisningsbestämmelser om att Europeiska kommissionens genomförandeakter ska tillämpas i fråga om riskhantering och definitionen av betydande incident. Vidare har de motiveringar som gäller riskhanteringsskyldigheten preciserats, särskilt i fråga om det delområde som gäller beaktandet av leveranskedjan och som omfattar aktörens direkta leveranskedjor. När det gäller rapporteringen av betydande incidenter har det till lagen fogats en bestämmelse om tillsynsmyndighetens skyldighet att underrätta polisen om en betydande incident, om det misstänks att orsaken till den betydande incidenten är ett brott för vilket det föreskrivna maximistraffet är fängelse i minst tre år. 

Även till informationshanteringslagen fogades det behövliga hänvisningar till kommissionens genomförandeakter och delegerade akter. 

De skyldigheter i anslutning till riskhantering som anges i 4 a kap. i informationshanteringslagen harmoniserades med motsvarande skyldigheter i cybersäkerhetslagen. I informationshanteringslagen ändrades emellertid definitionen av risk till cyberrisk, eftersom informationshanteringslagen innehåller även andra riskhanteringsskyldigheter, i fråga om vilka NIS 2-direktivets definition av risk inte är helt tillämplig. 

När det gäller CSIRT-enheten tas det in närmare bestämmelser i lagen om de krav som ska ställas på enheten. När det gäller förslaget om kartläggning av sårbarheter har det preciserats att man vid kartläggningen inte hanterar sådan information som omfattas av skyddet för konfidentiell kommunikation. När det gäller frivilliga arrangemang för informationsutbyte om cybersäkerhet har det gjorts preciseringar i lagen i fråga om informationsutbytet inom ett sådant arrangemang. Det har gjorts en precisering av brandväggsbestämmelsen för de uppgifter som finns hos CSIRT-enheten i förhållande till tillsynen enligt lagen.  

När det gäller tillsynsansvaret har fördelningen av tillsynsuppgifterna mellan Energimyndigheten och Säkerhets- och kemikalieverket preciserats i fråga om aktörerna inom vätgas- och naturgassektorn. Inom hälso- och sjukvårdssektorn har man preciserat den föreslagna fördelningen av tillsynsuppgifterna mellan Tillstånds- och tillsynsverket för social- och hälsovården Valvira och Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea. När det gäller tillsynsbehörigheterna har man i propositionen slopat bestämmelsen om anmärkningar och preciserat att varningar ska ges skriftligen. Bestämmelserna om tillsynsmyndighetens rätt att få information har preciserats och slagits ihop. Inspektionsbefogenheterna har preciserats så att tillsynsmyndigheten endast får ta hjälp av en utomstående vid en inspektion, men inte utkontraktera inspektionen. I bestämmelserna om ledningens ansvar och förbud mot ledningens verksamhet har man slopat hänvisningen till personer som lyder direkt under ledningen och preciserat att ett förbud mot ledningens verksamhet ska ansluta sig till att den brist eller försummelse som förbudet grundar sig på har fortsatt.  

I stället för omprövningsförfarande söks ändring i tillsynsmyndighetens beslut direkt på det sätt som före-skrivs i lagen om rättegång i förvaltningsärenden. Utifrån remissvaren skulle omprövningsförfarandet utgöra en oändamålsenlig del av förfarandet för ändringssökande, eftersom tillsynsmyndighetens tillsynsbeslut grundar sig på prövning från fall till fall. 

Bestämmelsen om befogenhet att återkalla ett tillstånd eller en certifiering eller att begränsa en aktörs verksamhet har slopats i cybersäkerhetslagen. I stället har det till förslaget fogats bestämmelser om att brott mot skyldigheterna enligt cybersäkerhetslagen ska utgöra ytterligare en grund för återkallande av tillstånd när det gäller vissa tillstånd. Ändringarna i fråga har fogats som anknytande lagförslag till lagen om markstationer, lagen om tillsyn över el- och naturgasmarknaden och kemikaliesäkerhetslagen. 

De konsekvensbedömningar som ingår i propositionen samt konsekvenserna för myndigheternas verksamhet och den offentliga ekonomin har kompletterats och uppdaterats medan remissbehandlingen pågick och som resultat av de bedömningar som framfördes under remissbehandlingen. Konsekvensbedömningen har utökats med en bedömning som gäller förändringseffekterna för informationshanteringen.  

Vidare har propositionens motiveringar i fråga om lagstiftningsordningen preciserats och utökats som resultat av remissbehandlingen. Till de motiveringar som gäller lagstiftningsordningen har det fogats en bedömning av propositionens förhållande till egendomsskyddet, regleringen av de allmänna grunderna för statliga organ, ställningen för vissa statliga organ och myndigheter samt Ålands självstyrelse.  

När det gäller registreringen av domännamn har det till lagen om tjänster inom elektronisk kommunikation fogats en bestämmelse som gäller begäran om omprövning som rättsmedel i fråga om sådana myndighetsbeslut som gäller förhindrande av registrering av domännamn eller avregistrering av domännamn.  

Med anledning av remissvaren har det även gjorts andra mindre och lagstiftningstekniska ändringar, preciseringar och kompletteringar i propositionen.  

6.2  Annat samråd

Intressentgrupperna har aktivt informerats om beredningen av propositionen och intressentgrupperna har under beredningens gång hörts även vid andra tillfällen än i samband med remissbehandlingen.  

Under beredningen av propositionen har det den 30 mars 2023 och den 9 oktober 2023 ordnats öppna informationsmöten om det nationella genomförandet av NIS 2-direktivet i Finland. Dessutom ordnades det den 4 maj 2023 ett öppet webbinarium om det nationella genomförandet av NIS 2-direktivet inom sektorn offentlig förvaltning. Det material som gäller informationsmötena är tillgängligt i statsrådets tjänst för projektinformation (Hankeikkuna) under projektnummer LVM044:00/2022 (länk: https://valtioneuvosto.fi/sv/projektet?tunnus=LVM044:00/2022 ).  

Den huvudarbetsgrupp som stöder genomförandet av NIS 2-direktivet kallade företrädare för de viktigaste intressentgrupperna till samråd vid sina möten den 18 april 2023 och 25 maj 2023. De intressentgrupper som hördes vid mötena var Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry, Finnish Information Security Cluster - Kyberala ry, Finanssiala ry, Finlands näringsliv rf, Finsk Energiindustri rf, Teknologiateollisuus ry, Kemiindustrin KI rf, Livsmedelsindustriförbundet rf och Finlands Dagligvaruhandel rf. 

Beredningen av propositionen har föregåtts av en översyn av direktivet om säkerhet i nätverk och informationssystem (NIS-direktivet) och hur det tillämpas i de olika medlemsstaterna, vilken gjordes av Europeiska kommissionen år 2020. Kommissionen ordnade under år 2020 offentligt samråd om direktivet. Även Finland svarade för egen del på det offentliga samrådet utifrån riktlinjerna för föregripande inflytande (E 107/2020 rd).  

Nationellt har intressentgrupper hörts i samband med det föregripande inflytandet och EU-förhandlingarna i anslutning till NIS 2-direktivet, bland annat via de framställningar som har gjorts i EU-sektionerna, via ett flertal framställningar som har gjorts separat för intressentgrupperna och via den inofficiella nationella uppföljningsgruppsutsändningen. Under beredningen av regeringens proposition har det vidare gjorts flera framställningar om NIS 2-direktivet och det nationella genomförandet av det för intressentgrupperna, och i samband med dessa möten har man fört diskussioner och hört olika ståndpunkter.  

6.3  Utlåtande av rådet för bedömning av lagstiftningen

Rådet för bedömning av lagstiftningen gav den 29 februari 2024 ett utlåtande om utkastet till regeringsproposition, med ärendenummer VN/5157/2024-VNK-2. I sitt utlåtande ansåg rådet att utkastet till regeringsproposition följer anvisningarna om konsekvensbedömning vid lagberedning på ett försvarligt sätt. Utkastet till regeringsproposition innehåller väsentliga brister och utkastet bör ändras i enlighet med rådets utlåtande innan regeringens proposition överlämnas. Konsekvensbedömningen i propositionen har kompletterats med anledning av utlåtandet av rådet för bedömning av lagstiftningen.  

Rådet ansåg att utkastet till proposition innehåller en omfattande beskrivning av det direktiv som ska genomföras, men att utkastet är osammanhängande och svårläst. Rådet ansåg att det behövs en sammanfattning av de viktigaste konsekvenserna för att man ska få en helhetsbild av konsekvenserna. Som de största bristerna och viktigaste utvecklingspunkterna ansåg rådet att det i propositionen bör ges en riktgivande bedömning av det totala antalet aktörer som börjar omfattas av tillämpningsområdet, ges en närmare bedömning av företagens kostnader i förhållande till omsättningen, it-kostnaderna och företagens storlek, förtydligas genom exempel vilka situationer som omfattas av rapporteringsskyldigheten och vilka kostnader som rapporteringen ger upphov till för företagen samt ägnas större uppmärksamhet åt regelverkets begriplighet, exempelvis genom att åskådliggöra skillnaden mellan väsentliga aktörer och andra aktörer och skillnader i lagstiftningen dem emellan genom ett diagram eller en tabell. Dessutom ansåg rådet att om propositionen via störningsfri verksamhet i samhället beräknas ha väsentliga konsekvenser för medborgarna, bör dessa behandlas i propositionen. Rådet anser att det i syfte att förbättra konsekvensernas begriplighet behöver göras en sammanfattning som ger en helhetsbild av de väsentliga kvantitativa och kvalitativa konsekvenserna. Dessutom ansåg rådet att propositionen även i övrigt bör komprimeras. Rådet ansåg också att det i propositionen bör finnas en tydligare beskrivning av målen med det direktiv som ska genomföras och de regleringsskyldigheter som följer av det, och hur direktivet är kopplat till annan EU-lagstiftning, samt en beskrivning av de problemen som finns i nuläget och de som förutspås när det gäller cybersäkerhet. Rådet ansåg också att risker och osäkerhet i anslutning till genomförandet av lagstiftningen kunde behandlas mera ingående i samband med konsekvensbedömningarna. Vidare ansåg rådet att kostnaderna för att fullgöra de skyldigheter som åläggs den offentliga förvaltningen även bör uppskattas i euro, om möjligt.  

Rådet såg det som positivt att det nationella handlingsutrymmet och förslagen om hur det ska utnyttjas tydligt framgår av propositionen. Rådet såg det även som positivt att beredningen har gjorts som ett förvaltningsövergripande arbetsgruppsarbete och att man i arbetet har inhämtat information om intressentgruppernas ståndpunkter och intryck, bland annat genom att låta göra en separat utredning och genom att intervjua sådana aktörer som börjar omfattas av den föreslagna lagstiftningen. Rådet ser det som positivt att man vid utarbetandet av de konsekvensbedömningar som finns i utkastet till proposition har använt sig av räknaren för regleringsbördan och att uträkningarna har åskådliggjorts med hjälp av en tabell. 

Med anledning av rådets utlåtande har propositionen utökats med en riktgivande bedömning av det totala antalet aktörer som börjar omfattas av lagstiftningen samt en bedömning av andelen aktörer som börjar omfattas av lagstiftningen som en ny grupp. Dessutom har propositionen utökats med en riktgivande bedömning av det totala antalet väsentliga aktörer. I propositionen har man också kompletterat bedömningen av de kostnader som riskhanteringsskyldigheten medför i förhållande till företagens omsättning eller it-kostnader. Dessa bedömningar är förenade med sådana betydande osäkerhetsfaktorer som beskrivs i avsnitt 4, i och med att skillnaderna mellan olika företag och verksamheter gör, med beaktande av tillämpningsområdet omfattning, det mycket svårt att presentera generaliserbara bedömningar. Kostnaderna för riskhanteringen står i princip i relation till verksamhetens art och omfattning, men har en viktig koppling till företagsspecifika individuella lösningar och verksamhetens natur. När det gäller antalet aktörer och väsentliga aktörer som omfattas av tillämpningsområdet är det, efter att lagen har trätt i kraft, möjligt att sammanställa exakt information utifrån de anmälningar som de aktörer som omfattas av lagstiftningen gör till tillsynsmyndigheterna.  

Man har försökt förtydliga propositionen genom att utöka konsekvensbedömningarna med en sammanfattning av konsekvenserna för företagen och en sammanfattning av tillämpningsområdet för skyldigheterna. Den riskhanteringsskyldighet, skyldighet att rapportera om betydande incidenter och anmälan till förteckningen över aktörer som det föreskrivs om i cybersäkerhetslagen har konsekvenser för företagen. Vid en bedömning av de kostnader som skyldigheten att hantera cybersäkerhetsrisker medför för företag av olika storlekar bör det beaktas att skillnaderna mellan olika företag när det gäller it-kostnader och kostnader i anslutning till hanteringen av cybersäkerhetsrisker är mycket stora, såsom beskrivs ovan. Vidare har det till propositionen fogats en tabell med kriterierna för vad som är en väsentlig aktör samt en tabell över hur bestämmelserna skiljer sig mellan väsentliga aktörer och sådana aktörer som inte är väsentliga aktörer. Propositionen har utökats med en komprimerad bedömning av riskerna i anslutning till genomförandet av lagstiftningen.  

På grund av tidsplanen för den fortsatta beredningen och genomförandet av NIS 2-direktivet och med beaktande av propositionens omfattning har det inte funnits möjlighet att mera än så här komprimera, komplettera eller strukturera lagstiftningen på det sätt som rådet för bedömning av lagstiftningen föreslår. Konsekvensbedömningen har kompletterats och preciserats i fråga om de viktigaste bristerna och utvecklingspunkterna som rådet lyfte fram. 

7.1  Cybersäkerhetslag

1 §.Tillämpningsområde . I lagen föreskrivs det om hantering av cybersäkerhetsrisker och om rapportering av incidenter. Bestämmelser om skyldigheterna ska på det sätt som förutsätts i NIS 2-direktivet utfärdas för de aktörer som omfattas av direktivets tillämpningsområde. De aktörer som omfattas av lagens tillämpningsområde definieras i 3 §. I lagen föreskrivs det också om tillsynen över att skyldigheterna fullgörs samt om de myndighetsuppgifter och det myndighetssamarbete som genomförandet av NIS 2-direktivet förutsätter.  

I paragrafens 2 mom. finns en informativ hänvisningsbestämmelse om att lagen genomför Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 ( NIS 2-direktivet ).  

I 3 mom. finns en informativ hänvisningsbestämmelse till lagen om informationshantering inom den offentliga förvaltningen (informationshanteringslagen), genom vilken NIS 2-direktivet genomförs inom den offentliga förvaltningen enligt punkt 10 i bilaga I till direktivet.  

I informationshanteringslagen föreskrivs om de skyldigheter som NIS 2-direktivet förutsätter för de offentliga förvaltningsaktörer som avses i punkt 10 i bilaga I till direktivet. Verksamhet inom den offentliga förvaltningen omfattas inte av bilagorna I eller II till cybersäkerhetslagen, och de offentliga förvaltningsaktörerna omfattas alltså inte av de skyldigheter som föreskrivs i cybersäkerhetslagen.  

En myndighet som omfattas av informationshanteringslagens tillämpningsområde kan dock också omfattas av cybersäkerhetslagens tillämpningsområde, om myndigheten bedriver verksamhet inom en sektor som avses i NIS 2-direktivet och i en bilaga till cybersäkerhetslagen. En organisation inom den offentliga förvaltningen omfattas också av cybersäkerhetslagens tillämpningsområde om den bedriver sådan verksamhet som avses i bilaga I eller II till lagen eller är en sådan typ av aktör som avses i dem och således uppfyller definitionen av aktör i 3 § (t.ex. ett välfärdsområde i egenskap av producent av hälso- och sjukvårdstjänster). En myndighet eller en del av dess verksamhet (till exempel en del av kommunens verksamhet) kan också omfattas endast av tillämpningsområdet för cybersäkerhetslagen, om NIS 2-bestämmelserna om den offentliga förvaltningens ansvarsområde i 4 a kap. i informationshanteringslagen inte tillämpas på myndigheten (till exempel en kommunal myndighet) med stöd av 3 § 3 mom. i informationshanteringslagen. 

Om den offentliga förvaltningsorganisationen samtidigt omfattas av både informationshanteringslagen och cybersäkerhetslagen, ska den följa både 4 a kap. i informationshanteringslagen och de skyldigheter som åläggs aktören i cybersäkerhetslagen, vilka till centrala delar motsvarar varandra. En sådan administrativ påföljdsavgift som avses i cybersäkerhetslagen kan inte påföras en offentlig förvaltningsorganisation som avses i 35 §, även om organisationen annars skulle omfattas av lagens tillämpningsområde. 

2 §.Definitioner. I paragrafen föreskrivs det om de definitioner som används i lagen. Definitionerna motsvarar i huvudsak definitionerna i NIS 2-direktivet.  

I 1 punkten definieras den som förvaltar ett toppdomänregister. Definitionen motsvarar definitionen i artikel 6.21 i NIS 2-direktivet. Med den som förvaltar ett toppdomänregister avses en part som har delegerats en specifik toppdomän och som ansvarar för administrationen av toppdomänen, inbegripet registreringen av domännamn under toppdomänen och den tekniska driften av toppdomänen, inbegripet drift av dess namnservrar, underhåll av dess databaser och distribution av zonfiler för toppdomänen mellan namnservrar, oberoende av huruvida någon aspekt av denna drift utförs av parten själv eller har utkontrakterats, dock inte situationer där toppdomäner används av parten endast för dess eget bruk. Den som förvaltar ett toppdomänregister är till exempel den myndighet som administrerar domännamnsregistret enligt 21 kap. i lagen om tjänster inom elektronisk kommunikation.  

I 2 punkten definieras datacentraltjänst. Definitionen motsvarar till sitt innehåll artikel 6.31 i NIS 2-direktivet. Med datacentraltjänst avses en tjänst som omfattar strukturer, eller grupper av strukturer, avsedda för centraliserad inkvartering, sammankoppling och drift av it-utrustning och nätutrustning som tillhandahåller datalagrings-, databehandlings- och dataöverföringstjänster samt alla anläggningar och infrastrukturer för kraftdistribution och miljökontroll. Definitionen i artikel 6.31 kompletteras i skäl 35 i NIS 2-direktivet. Enligt det skälet omfattar begreppet sådana leverantörer av datacentraltjänster som inte ingår i en molninfrastruktur för molntjänster, och termen datacentraltjänst bör inte vara tillämplig på interna datacentraler som ägs och drivs av den berörda entiteten för egen räkning.  

I 3 punkten definieras leverantör av DNS-tjänster. Definitionen motsvarar till sitt innehåll artikel 6.20 i NIS 2-direktivet. Med leverantör av DNS-tjänster avses en aktör som tillhandahåller allmänna rekursiva tjänster för att lösa domännamnsfrågor till internetslutanvändare, eller| auktoritativa tjänster för att lösa domännamnsfrågor för användning av tredje part, med undantag för rotnamnsservrar.  

I 4 punkten definieras sårbarhet. Med sårbarhet avses att en produkt eller tjänst har en svaghet, känslighet eller brist som kan orsaka ett cyberhot eller en incident. Definitionen av sårbarhet motsvarar till sitt innehålls artikel 6.15 i NIS 2-direktivet, enligt vilken sårbarhet avser en svaghet, känslighet eller brist hos en IKT-produkt enligt definitionen i artikel 2.12 i cybersäkerhetsförordningen (EU) 2019/881 eller en IKT-tjänst enligt definitionen i artikel 2.13 i cybersäkerhetsförordningen som kan utnyttjas genom ett cyberhot.  

I 5 punkten definieras leverantör av utlokaliserade driftstjänster. Definitionen motsvarar till sitt innehåll artikel 6.39 i NIS 2-direktivet. Med leverantör av utlokaliserade driftstjänster avses en aktör som tillhandahåller tjänster som rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKT-infrastruktur, IKT-tillämpningar eller andra kommunikationsnät och informationssystem, via bistånd eller aktiv administration antingen i kundernas lokaler eller på distans.  

I 6 punkten definieras kvalificerad tillhandahållare av betrodda tjänster. Med kvalificerad tillhandahållare av betrodda tjänster avses en kvalificerad tillhandahållare av betrodda tjänster enligt definitionen i artikel 3.20 i eIDAS-förordningen, dvs. en tillhandahållare av betrodda tjänster som tillhandahåller en eller flera kvalificerade betrodda tjänster och som beviljats status som kvalificerad av tillsynsorganet.  

I 7 punkten föreskrivs det på motsvarande sätt som i artikel 6.3 i NIS 2-direktivet om begreppet cybersäkerhet. Med cybersäkerhet avses cybersäkerhet enligt definitionen i artikel 2.1 i Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (nedan cybersäkerhetsakten ). Med cybersäkerhet avses således åtgärder som behövs för att skydda kommunikationsnät och informationssystem, användare av dessa nät och system och andra berörda personer mot cyberhot. Definitionen begränsar inte dessa åtgärders form eller art, utan det kan vara fråga om såväl tekniska som andra skyddsåtgärder oberoende av deras form och art. Vid sidan av användare av kommunikationsnät och informationssystem inbegriper definitionen till exempel personer som har anknytning till eller äger information som behandlas i kommunikationsnätet eller informationssystemet.  

I 8 punkten definieras på motsvarande sätt som i artikel 6.10 i NIS 2-direktivet begreppet cyberhot. Med cyberhot avses cyberhot enligt definitionen i artikel 2.8 i cybersäkerhetsakten. Med cyberhot avses därmed en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka kommunikationsnät och informationssystem, användare av dessa nät och system och andra personer. Ett cyberhot kan till exempel orsakas av en sårbarhet eller av att ett informationssystem eller kommunikationsnät är bristfälligt skyddat. För att ett cyberhot ska föreligga räcker det att det finns ett hot, dvs. definitionen förutsätter inte att omständigheten, händelsen eller handlingen realiseras.  

I 9 punkten definieras tillhandahållare av betrodda tjänster. Med tillhandahållare av betrodda tjänster avses tillhandahållare av betrodda tjänster enligt definitionen i artikel 3.19 i eIDAS-förordningen. Enligt den definitionen avses med tillhandahållare av betrodda tjänster en fysisk eller juridisk person som tillhandahåller en eller flera betrodda tjänster, antingen i egenskap av kvalificerad eller icke kvalificerad tillhandahållare av betrodda tjänster. Med betrodd tjänst avses enligt artikel 3.16 i eIDAS-förordningen en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av antingen skapande, kontroll och validering av elektroniska underskrifter, elektroniska stämplar eller elektroniska tidsstämplingar, elektroniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller skapande, kontroll och validering av certifikat för autentisering av webbplatser, eller bevarande av elektroniska underskrifter, stämplar eller certifikat med anknytning till dessa tjänster.  

I 10 punkten definieras molntjänst på motsvarande sätt som i artikel 6.30 och skäl 33 och 34 i NIS 2-direktivet. Med molntjänst avses en digital tjänst som möjliggör administration på begäran och bred fjärråtkomst till en skalbar och elastisk pool av gemensamma beräkningstjänster, inbegripet när sådana resurser är distribuerade på flera platser.  

Definitionen av molntjänst i NIS 2-direktivet preciseras i direktivets skäl 33 och 34. Definitionen av molntjänst ska tolkas i enlighet med definitionen av molntjänst i NIS 2-direktivet. Beräkningstjänster kan därmed betyda t.ex. nätverk, servrar eller annan datateknisk infrastruktur, operativsystem, programvara, lagringsutrymme, applikationer och tjänster. Med beställtjänster avses att molnanvändaren har kapacitet att ensidigt, självständigt tillhandahålla datorkapacitet, såsom servertid eller nätlagring, utan någon mänsklig medverkan från leverantören av molntjänster. Med bred fjärråtkomst avses att resurserna tillhandahålls över nätet och nås genom mekanismer som främjar användning av olika klientplattformar. Skalbarhet avser beräkningsresurser som leverantören av molntjänster kan fördela på ett flexibelt sätt, oberoende av resursernas geografiska läge, för att hantera fluktuationer i efterfrågan. Med elastisk pool avses beräkningsresurser som tillhandahålls och utnyttjas beroende på efterfrågan för att tillgängliga resurser snabbt ska kunna utökas och minskas i takt med arbetsbördan. Termen delbar används för att beskriva beräkningsresurser som tillhandahålls flera användare som delar en gemensam åtkomst till tjänsten där behandlingen genomförs separat för varje användare, även om tjänsten tillhandahålls från samma elektroniska utrustning. Termen distribuerad används för att beskriva beräkningsresurser som finns på olika nätverksanslutna datorer eller enheter och som kommunicerar och samordnar sig sinsemellan genom meddelandepassning. Tjänste- och distribueringsmodeller för molntjänster har liksom i skäl 33 i NIS 2-direktivet samma innebörd som termerna tjänste- och distribueringsmodeller sådana de definieras i standarden ISO/IEC 17788:2014. Standarden har ersatts med standarderna ISO/IEC 22123–1:2023 och 22123–2:2023. 

I 11 punkten definieras incident. Definitionen motsvarar till sitt innehåll artikel 6.6 i NIS 2-direktivet. Med incident avses en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem.  

I 12 punkten definieras incidenthantering. Definitionen motsvarar till sitt innehåll artikel 6.8 i NIS 2-direktivet. Med incidenthantering avses alla åtgärder och förfaranden som syftar till att förebygga, upptäcka, analysera, begränsa eller reagera på och återhämta sig från en incident.  

I 13 punkten definieras risk. Med risk avses i lagen i likhet med definitionen i artikel 6.9 i NIS 2-direktivet dels sannolikheten för en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos uppgifter som lagras, överförs eller behandlas i eller hos tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem, dels arten av den störning som en sådan händelse orsakar. Vid bedömningen av hur allvarlig risken är ska hänsyn tas till sannolikheten för att risken realiseras samt omfattningen och betydelsen av den störning eller förlust som orsakas av att risken realiseras. Betydelsen av den förlust risken kan leda till ska bedömas i förhållande till samma omständigheter som är av betydelse med tanke på en betydande incident eller tröskeln för en incidentanmälan och konsekvenserna för dessa omständigheter. Sådana omständigheter är störningar i tjänsternas funktion, den berörda aktörens ekonomiska förluster samt materiell eller immateriell skada som påverkar andra fysiska eller juridiska personer. Till dessa omständigheter ska också räknas mängden och arten av de uppgifter som behandlas i kommunikationsnätet eller informationssystemet samt de negativa konsekvenser som en realisering av risken har för uppgifternas konfidentialitet och skyddet av personuppgifter.  

I 14 punkten definieras nätverk för leverans av innehåll. Definitionen motsvarar till sitt innehåll artikel 6.32 i NIS 2-direktivet. Med nätverk för leverans av innehåll avses ett nätverk av geografiskt spridda servrar vars syfte är att säkerställa hög tillgänglighet för, tillgång till eller snabb leverans av digitalt innehåll och digitala tjänster till internetanvändare för innehålls- och tjänsteleverantörers räkning.  

I 15 punkten definieras på motsvarande sätt som i artikel 6.40 i NIS 2-direktivet leverantör av utlokaliserade säkerhetstjänster. Med leverantör av utlokaliserade säkerhetstjänster avses en i 5 punkten avsedd leverantör av utlokaliserade driftstjänster som utför eller tillhandahåller stöd för verksamhet som rör hantering av cybersäkerhetsrisker.  

I 16 punkten definieras IKT-tjänst. Definitionen av IKT-tjänst motsvarar innehållsmässigt definitionen av informations- och kommunikationsteknisk tjänst i artikel 2.13 i cybersäkerhetsakten (EU) 2019/881. Med IKT-tjänst avses en tjänst som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via kommunikationsnät och informationssystem.  

I 17 punkten definieras IKT-produkt. Definitionen av IKT-produkt motsvarar innehållsmässigt definitionen av informations- och kommunikationsteknisk produkt i artikel 2.12 i cybersäkerhetsakten (EU) 2019/881. Med IKT-produkt avses en del, eller en grupp av delar, i kommunikationsnät och informationssystem.  

I 18 punkten definieras tillsynsmyndighet. Med tillsynsmyndighet avses en med stöd av 26 § i den föreslagna lagen behörig tillsynsmyndighet som har till uppgift att inom ansvarsområdet ordna tillsynen över efterlevnaden av den föreslagna lagen, de föreskrifter som meddelas med stöd av den och de författningar som utfärdats med stöd av NIS 2-direktivet. Med tillsynsmyndighet avses den behöriga myndigheten enligt artikel 8.1 i NIS 2-direktivet.  

I 19 punkten definieras på motsvarande sätt som i artikel 6.33 i NIS 2-direktivet plattform för sociala nätverkstjänster. Med plattform för sociala nätverkstjänster avses en plattform som gör det möjligt för slutanvändare att interagera, dela och upptäcka innehåll, finna andra användare och kommunicera med andra via flera enheter, särskilt genom chattar, inlägg, videor och rekommendationer.  

I 20 punkten definieras sökmotor. Definitionen motsvarar till sitt innehåll artikel 2.5 i Europaparlamentets och rådets förordning (EU) 2019/1150 om främjande av rättvisa villkor och transparens för företagsanvändare av onlinebaserade förmedlingstjänster. Med sökmotor avses en digital tjänst som gör det möjligt för användare att mata in sökfraser för att göra sökningar på i princip alla webbplatser eller alla webbplatser på ett visst språk på grundval av en fråga om vilket ämne som helst i form av ett nyckelord, en röstbegäran, en fras eller någon annan inmatning och som returnerar resultat i vilket format som helst som innehåller information om det begärda innehållet. Definitionen motsvarar definitionen i artikel 6.29 i NIS 2-direktivet. Med en sådan leverantör av sökmotorer som avses i bilaga till lagen avses en aktör som tillhandahåller tjänster enligt definitionen.  

I 21 punkten definieras internetbaserad marknadsplats. Med internetbaserad marknadsplats avses i likhet med definitionen i 6 kap. 8 § 4 punkten i konsumentskyddslagen (38/1978) en tjänst som erbjuder konsumenten möjlighet att ingå distansavtal med andra näringsidkare än den som tillhandahåller marknadsplatsen eller med privatpersoner och som utnyttjar den webbplats, applikation eller annat program eller en del av det som används av den som tillhandahåller marknadsplatsen eller på dennes vägnar. Definitionen motsvarar definitionen i artikel 6.28 i NIS 2-direktivet. Med en sådan tillhandahållare av internetbaserad marknadsplatser som avses i bilaga till lagen avses en aktör som tillhandahåller tjänster enligt definitionen.  

I 22 punkten definieras kommunikationsnät och informationssystem. Definitionen motsvarar till sitt innehåll artikel 6.1 i NIS 2-direktivet. I stället för begreppet ”nätverks- och informationssystem” som används i översättningarna av NIS 1- och NIS 2-direktiven används i den nationella lagen ”kommunikationsnät och informationssystem”, som är vedertaget i den nationella genomförandelagstiftningen för NIS 1-direktivet och i lagen om tjänster inom elektronisk kommunikation. I lagen föreskrivs det om begreppet kommunikationsnät och informationssystem på samma sätt som det i NIS 2-direktivet föreskrivs om nätverks- och informationssystem.  

Med kommunikationsnät och informationssystem avses ett elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972 (teledirektivet), en enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter eller digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av ovannämnda system för att de ska kunna drivas, användas, skyddas och underhållas. Begreppet kommunikationsnät och informationssystem ska tolkas på samma sätt som nätverks- och informationssystem definieras i teledirektivet och NIS 2-direktivet.  

I 23 punkten definieras på motsvarande sätt som i artikel 6.2 i NIS 2-direktivet säkerhet i kommunikationsnät och informationssystem. Med säkerhet i kommunikationsnät och informationssystem avses kommunikationsnät och informationssystems förmåga att motstå händelser som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos uppgifter i dessa kommunikationsnät och informationssystem och att uppgifterna och tjänsterna kan utnyttjas av dem som har rätt att använda dem. Definitionen omfattar således informationssäkerhetens element, det vill säga att informationen i ett informationssäkert system är tillgänglig endast för dem som har rätt att använda den, att informationen inte kan ändras av andra än dem som har rätt till detta samt att informationen och informationssystemen kan utnyttjas av dem som har rätt att använda informationen och systemen.  

I 24 punkten definieras tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster. Med tillhandahållare avses här den som tillhandahåller sådana kommunikationstjänster som avses i 3 § 1 mom. 37 punkten i lagen om tjänster inom elektronisk kommunikation (917/2014). Enligt 3 § 1 mom. 37 punkten i den lagen avses med kommunikationstjänst en tjänst som helt eller huvudsakligen utgörs av överföring av meddelanden i kommunikationsnät samt överförings- och sändningstjänster i masskommunikationsnät och interpersonella kommunikationstjänster.  

I 25 punkten definieras tillhandahållare av allmänt tillgängliga elektroniska kommunikationsnät. Med tillhandahållare avses här den som tillhandahåller sådana kommunikationsnät som avses i 3 § 1 mom. 34 punkten i lagen om tjänster inom elektronisk kommunikation (917/2014). Enligt 3 § 1 mom. 34 punkten i den lagen avses med nättjänst en tjänst som tillhandahålls av ett teleföretag (nätföretag) för att ett kommunikationsnät som det äger eller på någon annan grund förfogar över ska kunna användas för överföring och distribution av meddelanden.  

3 §.Aktörer . I paragrafen föreskrivs det om definitionen av aktör (motsvarar entitet i NIS 2-direktivet), dvs. vilka som är aktörer som omfattas av lagens tillämpningsområde. I 1 mom. ges en allmän definition av aktör. Definitionen är tvådelad och utgår dels från arten eller typen av aktörens verksamhet, dels från aktörens storlek. I 2 och 3 mom. föreskrivs det om specialfall där aktören omfattas av lagens tillämpningsområde oberoende av storlek. I fråga om vissa aktörer föreskrivs det i 4 § om avgränsningar till lagens tillämpningsområde. I fråga om internationella aktörer föreskrivs det om jurisdiktion och territorialism i 6 §.  

Lagens tillämpningsområde och definitionen av aktör avses motsvara artiklarna 2.1–2.4, 3.1 och 3.2 i NIS 2-direktivet så att det omfattar alla väsentliga och viktiga aktörer som omfattas av NIS 2-direktivets minimitillämpningsområde, med undantag av den offentliga förvaltningen, för vilken bestämmelser om genomförandet av skyldigheterna enligt NIS 2-direktivet ska ingå i informationshanteringslagen. 

I det föreslagna 1 mom. föreskrivs det om en allmän definition av aktör. Med aktör avses en juridisk eller fysisk person som bedriver verksamhet enligt bilaga I eller II eller är en typ av aktör som avses i dessa bilagor. En ytterligare förutsättning är att aktören uppfyller eller överskrider villkoren för medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG och tillhandahåller sina tjänster eller bedriver sin verksamhet i Europeiska unionen. Med stöd av 5 mom. ska artikel 3.4 i bilagan till rekommendationen inte tillämpas vid definieringen av en aktör.  

Med tanke på definitionen av aktör är det inte av betydelse vilken juridisk form aktören har, utan endast huruvida aktören bedriver sådan verksamhet som avses i paragrafen eller är en sådan typ av aktör som avses i paragrafen samt uppfyller storleksvillkoret enligt 1 mom. eller omfattas av undantaget från tillämpningen enligt 2 eller 3 mom. oberoende av aktörens storlek. En ytterligare förutsättning är att aktören tillhandahåller tjänster eller bedriver verksamhet inom Europeiska unionen. 

I kommissionens rekommendation 2003/361/EG fastställs den maximala storleken på mikroföretag, små företag och medelstora företag. En aktör uppfyller definitionen av medelstort företag när den överskrider ramvillkoren för definitionen av ett litet företag, men inte de övre gränserna för små och medelstora företag. En aktör uppfyller alltså definitionen av medelstor aktör om den har minst 50 anställda eller om dess årsomsättning och balansräkning överstiger 10 miljoner euro. Om en aktör har färre än 50 anställda, men både omsättningen och balansräkningen överstiger 10 miljoner, uppfylls definitionen av medelstor aktör. Om en aktör har färre än 50 anställda och antingen omsättningen eller balansräkningen, men inte båda, överskrider 10 miljoner euro, uppfylls inte definitionen av medelstor aktör. En aktör överskrider definitionen av medelstor aktör när den överskrider de trösklar för små och medelstora företag som anges i kommissionens rekommendation. 

Enligt kommissionens rekommendationen kan tröskeln för en medelstor aktör överskridas av en offentlig eller en privat organisation som uppfyller villkoren för medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG. Tröskeln följer i övrigt definitionen av medelstort företag i kommissionens rekommendation 2003/361/EG, men dock så att artikel 3.4 i bilagan till rekommendationen, dvs. begränsningarna av ägande- eller rösträtten för offentliga organ, inte tillämpas i detta sammanhang. Huruvida definitionen av medelstor aktör uppfylls eller överskrids ska bedömas i förhållande till trösklarna i kommissionens rekommendation och tolkningen av dem. 

Vid bedömningen av huruvida villkoren för medelstora företag uppfylls ska aktörens samlade verksamhet beaktas. Om en aktör bedriver verksamhet inom flera olika näringsgrenar och endast en del av verksamheten utgörs av sådan verksamhet som avses i bilaga I eller II, ska aktörens verksamhet som helhet beaktas vid bedömningen av storleken. Bedömningen av huruvida gränsen överskrids bör alltså inte begränsas till den verksamhet som avses i bilaga I eller II. Följaktligen ska omsättningen, balansräkningen och antalet anställda bedömas för hela aktören, vilket omfattar också annan verksamhet än sådan som avses i bilaga I eller II. Bedömningen görs separat för varje aktör. Ett undantag från detta är dock den begränsning som föreskrivs i 4 §, i det fall att verksamhet som avses i bilaga I eller II bedrivs av en kommun. 

Definitionen av en aktör ska tolkas separat för varje rättssubjekt. För en juridisk person bör uppfyllandet av kriterierna bedömas utifrån en helhetsbedömning av dess verksamhet. En juridisk person uppfyller paragrafens definition av aktör även om endast en del av dess verksamhet är sådan som avses i bilaga I eller II eller en del av den är sådan typ av aktör som avses i bilaga I eller II, i det fall att den juridiska personens verksamhet uppfyller eller överskrider storlekskriteriet enligt 1 mom. eller omfattas av ett undantag enligt 2 eller 3 mom. med stöd av vilket den juridiska personen omfattas av tillämpningsområdet oberoende av dess storlek. Bedömningen av huruvida kriterierna uppfylls ska dock göras separat för varje rättssubjekt. För tydlighetens skull konstateras det att till exempel i en koncernstruktur, där moderbolaget och dotterbolaget är separata juridiska personer, är dessa också separata aktörer. Att dotterbolaget i ett sådant fall omfattas av tillämpningsområdet innebär därför inte automatiskt att också moderbolaget gör det, om moderbolaget inte självständigt uppfyller definitionen av aktör enligt av 1–3 mom.  

När det gäller företag som ingår i koncernstrukturen ska särskild uppmärksamhet fästas vid huruvida förutsättningarna för ett medelstort företag enligt kommissionens rekommendation uppfylls eller överskrids till följd av bindningar mellan bolag. I artikel 6 i bilagan till kommissionens rekommendation föreskrivs det om fastställande av uppgifter om företag som har partnerföretag eller anknutna företag. I artikel 3 i bilagan till kommissionens rekommendation föreskrivs om partnerföretag och andra förbindelser mellan företag som påverkar vad som ska beaktas vid avgörandet av huruvida tröskeln för medelstora aktörer överskrids. Undantag från detta är dock de avgränsningar av lagens tillämpningsområde som anges i 4 §. De bolag som hör till koncernstrukturen och omfattas av tillämpningsområdet kan samarbeta med andra bolag inom samma koncern vid fullgörandet av riskhanterings- och rapporteringsskyldigheterna. Om en del av bolagen i koncernstrukturen eller i något annat arrangemang som gäller bolagens inbördes ägande omfattas av tillämpningsområdet och andra bolag inte gör det, ska de beakta till exempel beroendet av tjänster som andra bolag tillhandahåller som en del av fullgörandet av riskhanterings- och rapporteringsskyldigheterna enligt 2 kap. 

För tydlighetens skull konstateras det att när verksamhet som avses i bilaga I eller II till lagen bedrivs av en juridisk person, omfattar definitionen av aktör enligt den föreslagna lagen då den juridiska personen i dess helhet. Liksom i de fall som nämnts ovan bör definitionen av aktör tolkas separat för varje rättssubjekt. Avsikten är alltså inte att tillämpningen av lagen och de skyldigheter som föreskrivs i den ska begränsas till en enhet eller funktion inom en juridisk person som bedriver sådan verksamhet som avses i bilagorna, utan skyldigheterna ska gälla hela den juridiska personen, det vill säga aktören i dess helhet. Till exempel en juridisk person som är verksam inom flera branscher, av vilka endast en del nämns i bilagorna till lagen, omfattas därmed av regleringen också i fråga om verksamheter som inte nämns i bilagorna till lagen. Undantag från detta är dock de avgränsningar av lagens tillämpningsområde som anges i 4 §.  

I punkterna 1–4 i bilaga I definieras de aktörer inom transportsektorn som omfattas av lagens tillämpningsområde. När det gäller lufttransport föreslås tillämpningsområdet omfatta kommersiella lufttrafikföretag, vissa flygplatsoperatörer och leverantörer av flygkontrolltjänster. I fråga om spårtrafik föreslås tillämpningsområdet omfatta bannätsförvaltare och bolag som tillhandahåller trafikledningstjänster, järnvägsföretag samt tjänsteleverantörer. När det gäller sjöfart föreslås tillämpningsområdet omfatta transportföretag som bedriverpersontrafik och godstrafik, hamninnehavare och aktörer som sköter anläggningar och utrustning i hamnar samt VTS-tjänsteleverantörer. Aktörer som sköter anläggningar och utrustning i hamnar kan vara ovan nämnda hamninnehavare eller andra aktörer som hamninnehavaren, dvs. den som sköter hamnen, enligt avtal har bemyndigat att verka på området och tillhandahålla tjänster. Tidigare ägde hamnbolagen, dvs. hamninnehavarna, lager och andra konstruktioner samt olika lasthanteringsanordningar i hamnområdet. Numera är det vanligt att hamninnehavaren endast förvaltar området, medan en eller flera andra aktörer avtalsbaserat svarar för en del av eller alla funktioner som anknyter till tillhandahållande av hamntjänster. Sådana hamntjänster kan vara till exempel förtöjnings- och lösgöringstjänster för fartyg, bogsertjänster, lasthantering, leverans av anordningar och personal för lasthantering, skötsel av åtgärder i anslutning till hantering av lastdata, bevakningstjänster i hamnen samt tjänster i anslutning till passerkontroll och passerkort, om tjänsterna är av betydelse för hamnverksamheten. När det gäller vägtrafiken ska tillämpningsområdet omfatta sådana leverantörer av vägtrafikstyrnings- och vägtrafikledningstjänster samt operatörer av intelligenta trafiksystem som avses i lagen om transportservice. Tillämpningsområdet i fråga om transportsektorn motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 2 i bilaga I till NIS 2-direktivet.  

I punkt 5 i bilaga I definieras de aktörer inom rymdsektorn som omfattas av lagens tillämpningsområde. Tillämpningsområdet för NIS 2-direktivet föreslås i enlighet med punkt 11 i bilaga I omfatta operatörer av markbaserad infrastruktur som ägs, förvaltas och drivs av medlemsstater eller privata parter och som stöder tillhandahållandet av rymdbaserade tjänster, undantaget tillhandahållare av allmänna elektroniska kommunikationsnät. Definitionen har ansetts omfatta de verksamhetsutövare som avses i 2 § 1 mom. 5 punkten i markstationslagen (96/2023). Lagens tillämpningsområde föreslås alltså omfatta åtminstone verksamhetsutövare som bedriver eller har för avsikt att bedriva markstations- eller radarverksamhet eller som faktiskt ansvarar för sådan verksamhet. Också andra aktörer inom rymdsektorn än verksamhetsutövare enligt markstationslagen som uppfyller definitionen i punkt 11 i bilaga I till NIS 2-direktivet ska omfattas av lagens tillämpningsområde. Tillämpningsområdet i fråga om rymdsektorn motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 11 i bilaga I till NIS 2-direktivet.  

I punkt 6 i bilaga I definieras de aktörer inom den digitala infrastrukturen som omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar leverantörer av internetknutpunkter, leverantörer av DNS-tjänster, den som förvaltar ett toppdomänregister, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, tillhandahållare av betrodda tjänster, tillhandahållare av allmänt tillgängliga elektroniska kommunikationsnät och leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster. De olika typerna av aktörer definieras närmare i 2 §. Tillämpningsområdet i fråga om digital infrastruktur motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 8 i bilaga I till NIS 2-direktivet.  

I 7 punkten i bilaga I definieras de aktörer inom förvaltning av IKT-tjänster som omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar leverantörer av utlokaliserade driftstjänster och leverantörer av utlokaliserade säkerhetstjänster. De olika typerna av aktörer definieras närmare i 2 §. Tillämpningsområdet i fråga om förvaltning av IKT-tjänster motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 9 i bilaga I till NIS 2-direktivet.  

I punkterna 8–12 i bilaga I definieras de aktörer inom energisektorn som omfattas av lagens tillämpningsområde. När det gäller elbranschen ska tillämpningsområdet omfatta elleverantörer, distributionsnätsinnehavare, stamnätsinnehavare, elproducenter, elmarknadsoperatörer, tillhandahållare av aggregering, efterfrågeflexibilitet eller energilagring samt laddningsoperatörer. Tillämpningsområdet omfattar dessutom operatörer av fjärrvärme eller fjärrkyla, det vill säga distributörer av fjärrvärme och fjärrkyla. Operatörer av fjärrvärme eller fjärrkyla som inte alls bedriver distribution skulle uteslutas från tillämpningsområdet. I fråga om gassektorn ska lagens tillämpningsområde omfatta naturgasleverantörer, distributionsnätsinnehavare, överföringsnätsinnehavare, innehavare av en lagringsanläggning, innehavare av en behandlingsanläggning för kondenserad naturgas, vissa naturgasföretag samt innehavare av raffinaderier och bearbetningsanläggningar för naturgas. När det gäller oljebranschen omfattar tillämpningsområdet operatörer av oljeledningar, operatörer av anläggningar för oljeproduktion, raffinaderier, bearbetningsanläggningar och anläggningar för lagring och överföring av olja samt centrala lagringsenheter. I fråga om vätgassektorn ska tillämpningsområdet omfatta aktörer som producerar, lagrar och transporterar vätgas. Tillämpningsområdet i fråga om energisektorn motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 1 i bilaga I till NIS 2-direktivet.  

I 13 punkten i bilaga I definieras de aktörer inom hälso- och sjukvårdssektorn som omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar de tjänsteproducenter som avses i lagen om tillsyn över social- och hälsovården (741/2023) och som producerar hälso- och sjukvårdstjänster. Tillämpningsområdet omfattar dessutom EU-referenslaboratorier, aktörer som bedriver forskning och utveckling avseende läkemedel, aktörer som tillverkar farmaceutiska basprodukter och läkemedel samt aktörer som tillverkar vissa medicintekniska produkter. Vidare omfattar tillämpningsområdet inrättningar för blodtjänst enligt blodtjänstlagen, apotek samt aktörer som avses i Europaparlamentets och rådets direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvårdaktörer och som lämnar ut och tillhandahåller läkemedel och medicintekniska produkter Med apotek avses också apotek inom öppenvården samt sjukhusapotek och läkemedelscentraler. Tillämpningsområdet i fråga om hälso- och sjukvårdssektorn motsvarar minimitillämpningsområdet enligt punkt 5 i bilaga I till NIS 2-direktivet.  

I 14 punkten i bilaga I definieras de aktörer som i fråga om dricksvatten omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar både leverantörer och distributörer av dricksvatten. Tillämpningsområdet i fråga om dricksvatten motsvarar minimitillämpningsområdet enligt punkt 6 i bilaga I till NIS 2-direktivet.  

I 15 punkten i bilaga I definieras de aktörer som i fråga om spillvatten omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar företag som samlar in, bortskaffar eller behandlar avloppsvatten från tätbebyggelse, hushållsspillvatten eller industrispillvatten. Tillämpningsområdet i fråga om spillvatten motsvarar minimitillämpningsområdet enligt punkt 7 i bilaga I till NIS 2-direktivet.  

I 1 punkten i bilaga II definieras de aktörer som i fråga om post- och budtjänster omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar både tillhandahållare av budtjänster och tillhandahållare av posttjänster. Med leverantörer av posttjänster avses sådana tillhandahållare av posttjänster som avses i artikel 2.1 a i postdirektivet. Med paketleveranstjänster avses enligt postdirektivet tjänster som innefattar insamling, sortering, transport och utdelning av paket. Transporttjänster som inte utförs i samband med något av dessa led är undantagna från tillämpningsområdet för posttjänster. I postdirektivet avses med postförsändelse en adresserad försändelse i den slutliga form i vilken den ska transporteras av en tillhandahållare av posttjänster. Sådana försändelser omfattar, förutom brevförsändelser, till exempel böcker, kataloger, tidningar och tidskrifter samt postpaket som innehåller varor med eller utan kommersiellt värde. Leverantörer av budtjänster är till exempel sådana tjänsteleverantörer som tillhandahåller åtminstone ett steg i postkedjan, särskilt insamling, sortering, transport eller utdelning av postförsändelser, inklusive avhämtningstjänster. Tillämpningsområdet i fråga om post- och budtjänster motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 1 i bilaga II till NIS 2-direktivet.  

I 2 punkten i bilaga II definieras de aktörer inom digitala tjänster som omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar tillhandahållare av en internetbaserad marknadsplats, leverantörer av sökmotorer och leverantörer av plattformar för sociala nätverkstjänster. De olika typerna av aktörer definieras närmare i 2 §. Tillämpningsområdet i fråga om digitala leverantörer motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 6 i bilaga II till NIS 2-direktivet.  

I 3 punkten i bilaga II definieras de aktörer som i fråga om tillverkning av motorfordon, släpfordon och påhängsvagnar omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar företag som bedriver tillverkning som avses i avsnitt C huvudgrupp 29 i Nace Rev. 2. Tillämpningsområdet i fråga om tillverkning av motorfordon, släpfordon och påhängsvagnar motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 5 e i bilaga II till NIS 2-direktivet.  

Företag som bedriver ekonomisk verksamhet enligt avsnitt C huvudgrupp 29 i Nace Rev. 2: 

Tillverkning av motorfordon, släpfordon och påhängsvagnar 

Motorfordonstillverkning 

Motorfordonstillverkning 

Tillverkning av karosserier för motorfordon; tillverkning av släpfordon och påhängsvagnar 

Tillverkning av karosserier för motorfordon; tillverkning av släpfordon och påhängsvagnar 

Tillverkning av delar och tillbehör till motorfordon och motorer 

Tillverkning av elektrisk och elektronisk utrustning för motorfordon och motorer 

Tillverkning av andra delar och tillbehör till motorfordon och motorer 

I 4 punkten i bilaga II definieras de aktörer som omfattas av lagens tillämpningsområde i fråga om tillverkning av andra fordon. Tillämpningsområdet omfattar företag som bedriver tillverkning som avses i avsnitt C huvudgrupp 30 i Nace Rev. 2. Tillämpningsområdet i fråga om tillverkning av andra fordon motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 5 f i bilaga II till NIS 2-direktivet.  

Företag som bedriver ekonomisk verksamhet enligt avsnitt C huvudgrupp 30 i Nace Rev. 2: 

Tillverkning av andra transportmedel 

Skepps- och båtbyggeri 

Byggande av fartyg och flytande materiel 

Byggande av fritidsbåtar 

Tillverkning av rälsfordon 

Tillverkning av rälsfordon 

Tillverkning av luftfartyg, rymdfarkoster o.d. 

Tillverkning av luftfartyg, rymdfarkoster o.d. 

Tillverkning av militära stridsfordon 

Tillverkning av militära stridsfordon 

Övrig tillverkning av transportmedel 

Tillverkning av motorcyklar 

Tillverkning av cyklar och invalidfordon 

Övrig tillverkning av transportmedel 

I 5 punkten i bilaga II definieras de forskningsorganisationer som omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar forskningsorganisationer vars främsta mål är att bedriva tillämpad forskning eller experimentell utveckling i syfte att utnyttja resultaten av denna forskning i kommersiellt syfte. Lagen tillämpas dock inte på högskolor eller andra utbildningsinstitutioner. Universitet och andra högskolor samt institutioner för undervisning och utbildning ska inte betraktas som sådana forskningsorganisationer som avses i denna punkt, såvida inte huvudsyftet med deras verksamhet är att bedriva tillämpad forskning eller experimentell utveckling i syfte att dra nytta av forskningsresultaten för kommersiella ändamål.  

Forskningsorganisationer ska anses inbegripa aktörer som riktar in större delen av sin verksamhet på tillämpad forskning eller experimentell utveckling i den mening som avses i ”Frascatimanualen 2015: Riktlinjer för insamling och rapportering av uppgifter om forskning och experimentell utveckling” från Organisationen för ekonomiskt samarbete och utveckling, i syfte att utnyttja sina resultat i kommersiella syften, såsom tillverkning eller utveckling av en produkt eller process, tillhandahållande av en tjänst, eller marknadsföring därav. Forskningsorganisationer som delar och utnyttjar forskningsresultat för kommersiella syften kan spela en viktig roll i värdekedjor, vilket gör säkerheten i deras kommunikationsnät och informationssystem till en viktig del av den övergripande cybersäkerheten på den inre marknaden. Definitionen av forskningsorganisation motsvarar definitionen i artikel 6.41 och skäl 36 i NIS 2-direktivet. Tillämpningsområdet i fråga om forskningsorganisationer motsvarar minimitillämpningsområdet enligt punkt 7 i bilaga II till NIS 2-direktivet. 

I 6 punkten i bilaga II definieras de aktörer inom kemikaliesektorn som omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar tillverkning, produktion och distribution av kemikalier. Tillämpningsområdet i fråga om kemikaliesektorn motsvarar minimitillämpningsområdet enligt punkt 3 i bilaga II till NIS 2-direktivet.  

I 7 punkten i bilaga I definieras de aktörer inom livsmedelssektorn som omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar livsmedelsföretag som bedriver grossisthandel, industriell produktion eller bearbetning. Företaget behöver inte vara verksamt inom alla nämnda verksamheter, utan det räcker att det bedriver någon av dem. Tillämpningsområdet i fråga om livsmedelssektorn motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 4 i bilaga II till NIS 2-direktivet.  

I 8 punkten i bilaga II definieras de aktörer inom avfallshantering som omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar företag som bedriver avfallshantering. Tillämpningsområdet i fråga om avfallshantering motsvarar minimitillämpningsområdet enligt punkt 2 i bilaga II till NIS 2-direktivet.  

I 9 och 10 punkten i bilaga II definieras de aktörer som omfattas av lagens tillämpningsområde i fråga om tillverkning av medicintekniska produkter. Tillämpningsområdet omfattar tillverkare av medicintekniska produkter som omfattas av tillämpningsområdet för den s.k. MD-förordningen samt tillverkare av medicintekniska produkter för in vitro-diagnostik. Aktörer som tillverkar medicintekniska produkter som anses kritiska vid ett hot mot folkhälsan hör dock på det sätt som beskrivs ovan till de aktörer inom hälsosektorn som avses i punkt 13 i bilaga I. Tillämpningsområdet i fråga om tillverkning av medicintekniska produkter motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 5 a i bilaga II till NIS 2-direktivet.  

I 11 punkten i bilaga II definieras de aktörer som i fråga om tillverkning av datorer, elektronikvaror och optik omfattas av lagens tillämpningsområde. Tillämpningsområdet omfattar företag som bedriver tillverkning som avses i avsnitt C huvudgrupp 26 i Nace Rev. 2. Tillämpningsområdet i fråga om tillverkning av datorer, elektronikvaror och optik motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 5 b i bilaga II till NIS 2-direktivet.  

Företag som bedriver ekonomisk verksamhet enligt avsnitt C huvudgrupp 26 i Nace Rev. 2: 

Tillverkning av datorer, elektronikvaror och optik 

Tillverkning av elektroniska komponenter och kretskort 

Tillverkning av elektroniska komponenter 

Tillverkning av kretskort 

Tillverkning av datorer och kringutrustning 

Tillverkning av datorer och kringutrustning 

Tillverkning av kommunikationsutrustning 

Tillverkning av kommunikationsutrustning 

Tillverkning av hemelektronik 

Tillverkning av hemelektronik 

Tillverkning av instrument och apparater för mätning, provning, navigering och styrning samt ur 

Tillverkning av instrument och apparater för mätning, provning, navigering och styrning 

Urtillverkning 

Tillverkning av strålningsutrustning samt elektromedicinsk och elektroterapeutisk utrustning 

Tillverkning av strålningsutrustning samt elektromedicinsk och elektroterapeutisk utrustning 

Tillverkning av optiska instrument och fotoutrustning 

Tillverkning av optiska instrument och fotoutrustning 

Tillverkning av magnetiska och optiska medier 

Tillverkning av magnetiska och optiska medier 

I 12 punkten i bilaga II definieras de aktörer som omfattas av lagens tillämpningsområde i fråga om tillverkning av elapparatur. Tillämpningsområdet omfattar företag som bedriver tillverkning som avses i avsnitt C huvudgrupp 27 i Nace Rev. 2. Tillämpningsområdet i fråga om tillverkning av elapparatur motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 5 c i bilaga II till NIS 2-direktivet.  

Företag som bedriver ekonomisk verksamhet enligt avsnitt C huvudgrupp 27 i Nace Rev. 2: 

Tillverkning av elapparatur 

Tillverkning av elmotorer, generatorer och transformatorer samt eldistributions- och elkontrollapparater 

Tillverkning av elmotorer, generatorer och transformatorer 

Tillverkning av eldistributions- och elkontrollapparater 

Batteri- och ackumulatortillverkning 

Batteri- och ackumulatortillverkning 

Tillverkning av ledningar och kablar och kabeltillbehör 

Tillverkning av optiska fiberkablar 

Tillverkning av andra elektroniska och elektriska ledningar och kablar 

Tillverkning av kabeltillbehör 

Tillverkning av belysningsarmatur 

Tillverkning av belysningsarmatur 

Tillverkning av hushållsmaskiner och hushållsapparater 

Tillverkning av elektriska hushållsmaskiner och hushållsapparater 

Tillverkning av icke-elektriska hushållsmaskiner och hushållsapparater 

Tillverkning av annan elapparatur 

Tillverkning av annan elapparatur 

I 13 punkten i bilaga II definieras de aktörer som omfattas av lagens tillämpningsområde i fråga om tillverkning av övriga maskiner. Tillämpningsområdet omfattar företag som bedriver tillverkning som avses i avsnitt C huvudgrupp 28 i Nace Rev. 2. Tillämpningsområdet i fråga om tillverkning av övriga maskiner motsvarar innehållsmässigt minimitillämpningsområdet enligt punkt 5 d i bilaga II till NIS 2-direktivet.  

Företag som bedriver ekonomisk verksamhet enligt avsnitt C huvudgrupp 28 i Nace Rev. 2: 

Tillverkning av övriga maskiner 

Tillverkning av maskiner för allmänt ändamål 

Tillverkning av motorer och turbiner utom för luftfartyg och fordon 

Tillverkning av fluidteknisk utrustning 

Tillverkning av andra pumpar och kompressorer 

Tillverkning av andra kranar och ventiler 

Tillverkning av lager, kugghjul och andra delar för kraftöverföring 

Tillverkning av andra maskiner för allmänt ändamål 

Tillverkning av ugnar och brännare 

Tillverkning av lyft- och godshanteringsanordningar 

Tillverkning av kontorsmaskiner och kontorsutrustning (utom datorer och kringutrustning) 

Tillverkning av motordrivna handverktyg 

Tillverkning av maskiner och apparater för kyla och ventilation utom för hushåll 

Övrig tillverkning av maskiner för allmänt ändamål 

Tillverkning av jord- och skogsbruksmaskiner 

Tillverkning av jord- och skogsbruksmaskiner 

Tillverkning av verktygsmaskiner för metallbearbetning 

Tillverkning av maskiner för metallbearbetning 

Tillverkning av övriga verktygsmaskiner 

Tillverkning av andra specialmaskiner 

Tillverkning av maskiner för metallurgi 

Tillverkning av gruv-, bergbrytnings- och byggmaskiner 

Tillverkning av maskiner för framställning av livsmedel, drycker och tobaksvaror 

Tillverkning av maskiner för produktion av textil-, beklädnads- och lädervaror 

Tillverkning av maskiner för produktion av massa, papper och papp 

Tillverkning av maskiner för gummi och plast 

Tillverkning av diverse övriga specialmaskiner 

Genom förslaget genomförs artiklarna 2.1–2.4, 3.1, 3.2 och 6.38 i NIS 2-direktivet, med undantag av artikel 2.2 b–e och artikel 2.3. 

I 2 mom. föreskrivs det att vissa aktörer omfattas av den föreslagna lagens definition av aktör oberoende av storlek, det vill säga också när aktören inte uppfyller det storlekskrav som avses i 1 mom. b-punkten. Sådana aktörer är leverantörer av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster, tillhandahållare av betrodda tjänster, den som förvaltar ett toppdomänregister, leverantörer av DNS-tjänster och kritiska aktörer som definierats med stöd av CER-direktivet, dvs. kritiska aktörer som identifierats med stöd av lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft ( / ).  

Genom momentet genomförs bestämmelserna i artikel 2.2 a och artikel 2.3 i NIS 2-direktivet. 

I 3 mom. föreskrivs det att vissa aktörer omfattas av den föreslagna lagens definition av aktör oberoende av storlek, det vill säga också när aktören inte uppfyller det storlekskrav som avses i 1 mom. b-punkten. Hit hör aktörer som bedriver sådan verksamhet eller är en sådan typ av aktör som avses i bilaga I eller II och som uppfyller kriterierna ett eller flera i 1–4 punkten i momentet.  

Enligt artikel 2.2 b–e i NIS 2-direktivet ska tillämpningsområdet oavsett storlek omfatta aktörer inom de branscher som avses i bilaga I och II i de situationer som avses i artikel 2.2 b–e. De föreslagna 1–4 punkterna motsvarar artikel 2.2 b–e i NIS 2-direktivet och förteckningen är uttömmande. Förteckningen bör tolkas restriktivt. 

Med stöd av 4 mom. kan det genom förordning av statsrådet utfärdas närmare bestämmelser om de kriterier som avses i 3 mom. 1–4 punkten. Det kan vara lagtekniskt nödvändigt att precisera kriterierna med tanke på tillämpningen av lagen. De aktörer som kriterierna gäller bedriver verksamhet av särskilt slag och skulle på grund av verksamhetens särskilda art undantagsvis omfattas av lagens skyldigheter oberoende av deras storlek. Med beaktande av de kriterier som avses i 3 mom. 1–4 punkten och arten av artikel 2.2 b-e i NIS2-direktivet, kan det utifrån de uppgifter som ett enskilt företag har tillgång till visa sig vara osäkert om företaget uppfyller kriterierna i 1–4 punkten. Det är därför nödvändigt att precisera kriterierna genom förordning av statsrådet för att förtydliga rättsläget i fråga om när en enskild aktör uppfyller det kriterium som avses i 3 mom. 1–4 punkten. Härigenom preciseras unionsrättsaktens förpliktande tillämpningsområde.  

Genom förordning av statsrådet förtydligar en precisering av de kriterier som avses i 3 mom. också rättsläget för de företag som bedriver sådan verksamhet som avses i bilaga I eller II eller är av den typ av aktörer som avses i dem, men som underskrider definitionen av medelstort företag. Det kan för sådana företag vara juridiskt svårt, med de uppgifter som företaget har tillgång till och med beaktande av kriterierna, att bedöma om det är frågan om en sådan situation som avses i 3 mom. 1–4 punkten. Dessutom gäller denna osäkerhet en mycket stor grupp finländska små företag och mikroföretag. Om de kriterier som avses i 3 mom. inte preciseras genom förordning av statsrådet skulle det osäkra läget leda till onödig administrativ börda för små företag och mikroföretag.  

Genom förordning av statsrådet får det föreskrivas endast om en precisering av de kriterier som avses i 3 mom. Kriterierna kan således inte utvidgas genom förordning av statsrådet. I det föreslagna 3 mom. finns det på lagnivå grundläggande bestämmelser om när en aktör som kriterierna gäller ska omfattas av lagens tillämpningsområde. För att en aktör som uppfyller kriterierna ska omfattas av lagens tillämpningsområde ska aktören också på det sätt som förutsätts i 3 mom. bedriva sådan verksamhet som avses i bilaga I eller II eller vara en sådan aktör som avses i bilaga I eller II. Grunden för bemyndigandet att utfärda förordning föreskrivs i lag och bemyndigandet är tydligt och uppfyller kraven på exakthet och noggrann avgränsning. 

Enligt skäl 20 i NIS 2-direktivet bör kommissionen tillhandahålla riktlinjer om genomförandet av de kriterier som ska tillämpas på mikroföretag och små företag för att bedöma om de omfattas av direktivet. Om sådana riktlinjer har getts, ska de beaktas vid tillämpningen av 4 mom.  

Föreslagna 3 och 4 mom. genomför NIS 2-direktivets artikel 2.2 b–e om tillämpningsområde. 

Med stöd av 5 mom. ska artikel 3.4 i bilagan till kommissionens rekommendation inte tillämpas på aktören. Avgränsningen motsvarar till sitt innehåll artikel 2.1 i NIS 2-direktivet. Eftersom den punkten i artikeln inte ska tillämpas, kan också offentligt ägda företag betraktas som företag som inte uppfyller eller överskrider den tröskel som avses i 1 mom. 2 punkten. Med stöd av momentet ska artikel 3.4 i bilagan till kommissionens rekommendation inte heller tillämpas vid bedömningen av huruvida en aktör är väsentlig enligt 27 § 2 mom.  

4 §. Avgränsning av tillämpningsområdet. I paragrafen föreskrivs det om vissa undantag från lagens tillämpningsområde.  

Genom 1–3 mom. utnyttjas det nationella handlingsutrymme för tillämpningsområdet som artikel 2.7–2.9 i NIS 2-direktivet tillåter.  

I 1 mom. föreslås ett undantag från tillämpningen av riskhanterings- och rapporteringsskyldigheterna i fråga om verksamhet eller tjänster som tillhandahålls för tryggande av försvaret, den nationella säkerheten, allmän ordning och säkerhet eller förebyggande av brott, brottsutredning och lagföring. Skyldigheten enligt 41 § att anmäla sig till förteckningen över aktörer ska fortfarande gälla för aktören.  

I 2 mom. föreskrivs det att lagen inte tillämpas på aktörer som endast tillhandahåller verksamhet eller tjänster som avses i 1 mom.  

Med stöd av 3 mom. omfattas med avvikelse från 1 och 2 mom. en aktör av lagens tillämpningsområde om aktören är en tillhandahållare av betrodda tjänster.  

I 4 mom. föreskrivs det att lagen inte tillämpas på aktörer på vilka DORA-förordningen inte tillämpas med stöd av artikel 2.4 i den förordningen. Genom det föreslagna 4 mom. avgränsas lagens tillämpningsområde i enlighet med artikel 2.10 i NIS 2-direktivet.  

I 5 mom. föreskrivs det om undantag från tillämpningen av lagen när den verksamhet som avses i bilaga I eller II är sporadisk och ringa. Huruvida verksamheten är sporadisk och ringa ska bedömas i förhållande till verksamhetens varaktighet, huvudsakliga syfte och omfattning samt till antalet personer eller kunder som är beroende av verksamheten. Som sporadisk och ringa verksamhet bör till exempel anses produktion av el huvudsakligen för eget bruk med hjälp av en solpanel eller vindgenerator, där en kvantitativt liten överproduktion tidvis matas in i elnätet. Undantaget behövs för att lagens tillämpningsområde inte i strid med lagens syfte ska utvidgas till att på grund av ringa eller tillfällig verksamhet som avses i bilaga I eller II i sin helhet omfatta en juridisk eller fysisk person vars verksamhet annars uppfyller eller överskrider definitionen av en medelstor aktör, men som i övrigt inte skulle omfattas av lagens tillämpningsområde.  

I 6 mom. föreslås ett undantag från tillämpningen av lagen på kommuner som avses i kommunallagen. Enligt momentet ska lagen i fråga om kommuner som bedriver sådan verksamhet som avses i bilaga I eller II endast tillämpas på verksamhet som avses i dessa bilagor. När det bedöms om kommunens verksamhet omfattas av tillämpningsområdet, ska vid fastställandet av storlekskriteriet endast den verksamhet som avses i bilaga I eller II beaktas, men inte kommunens personal, balansräkning eller omsättning i övrigt. På motsvarande sätt ska aktörens riskhanterings-, rapporterings- och anmälningsskyldigheten inte tolkas så att den är förpliktande för kommunen i fråga om annan verksamhet än sådan som avses i bilaga I eller II.  

Med stöd av artikel 2.5 a i NIS 2-direktivet och på det sätt som beskrivs i avsnitt 2.10 omfattas aktörerna inom den offentliga förvaltningen på lokal nivå, det vill säga kommunerna i Finland, av medlemsstatens nationella handlingsutrymme. Med stöd av det nationella handlingsutrymmet är avsikten inte att kommunerna genom propositionen ska omfattas av skyldigheterna enligt NIS 2-direktivet som en helhet. Kommunerna kan dock för närvarande sköta vissa uppgifter som avses i bilaga I eller II till lagen. Sådana uppgifter kan till exempel anknyta till avfallshantering eller vattenförsörjning på det sätt som föreskrivs i avfallslagen (646/2011) och lagen om vattentjänster (119/2001). Syftet med 6 mom. är att avgränsa lagens tillämpningsområde så att småskalig verksamhet enligt bilaga I eller II inte leder till att skyldigheterna enligt lagen tillämpas på kommunen som helhet. Om en kommun bedriver verksamhet enligt bilaga I eller II i en omfattning som motsvarar eller överskrider definitionen av en medelstor aktör, ska lagen tillämpas på denna verksamhet i enlighet med 5 mom.  

I 7 mom. föreskrivs det om avgränsning av lagens tillämpning så att lagen inte förpliktar att lämna ut information vars utlämnande skulle äventyra försvaret eller den nationella säkerheten eller strida mot ett viktigt intresse i samband därmed. Lagen ska inte tolkas så att den förpliktar till utlämnande av information om utlämnandet gäller en situation som avses i 7 mom. Momentet kan bli tillämpligt på utlämnande av information mellan en aktör och en myndighet, mellan nationella myndigheter och i fråga om information som en nationell myndighet lämnar ut till Europeiska unionen. Genom bestämmelsen avgränsas inte de parter mellan vilka ett sådant utlämnande av information kan komma i fråga, utan det är av betydelse vilken typ av information som lämnas ut och den risk som ett utlämnande kan medföra. Bestämmelsen motsvarar avgränsningen av tillhandahållande av information i artikel 2.11 i NIS 2-direktivet.  

5 §.Förhållande till annan lagstiftning . I paragrafen föreskrivs det om lagens förhållande till annan lagstiftning om riskhanterings- och rapporteringsskyldigheter inom cybersäkerheten. Lagens tillämpningsområde är enligt förslaget omfattande och sektorsöverskridande, och skyldigheterna ska tillämpas horisontellt. Därför är det nödvändigt att förtydliga lagens förhållande till annan lagstiftning om skyldighet att hantera cybersäkerhetsrisker och rapportera om dem. Syftet med paragrafen är att förtydliga lagens betydelse som allmän lag i förhållande till särskilda branschspecifika bestämmelser genom vilka en högre cybersäkerhetsnivå säkerställs. Om det finns särskilda branschspecifika bestämmelser i någon annan lag, ska de tillämpas i stället för motsvarande bestämmelser i den föreslagna lagen.  

I lagen föreskrivs det om de riskhanterings- och rapporteringsskyldigheter för varje bransch som miniminivån enligt NIS 2-direktivet förutsätter. Sektorsvis är det dock möjligt att det i den nationella lagen eller EU-lagstiftningen för en viss bransch eller typ av aktör uppställs mer detaljerade eller exakta skyldigheter som syftar till att säkerställa en högre nivå på cybersäkerheten än de allmänna skyldigheterna enligt NIS 2-direktivet. Sådana skyldigheter kan exempelvis jämfört med den föreslagna lagen innehålla mer detaljerade bestämmelser om de delområden som ska beaktas i riskhanteringen, förutsätta att en viss standard eller certifiering tillämpas, precisera eller justera en branschspecifik tröskel för incidenter som ska rapporteras till myndigheterna eller kräva en tätare eller snabbare rapportering till tillsynsmyndigheten. Sektorsspecifik reglering ska tillämpas i stället för den föreslagna lagen till den del syftet med den sektorsspecifika regleringen är att säkerställa en högre cybersäkerhetsnivå. 

Bestämmelser om lagens förhållande till lagen om informationshantering inom den offentliga förvaltningen finns i 1 § 3 mom. 

I 1 mom. föreskrivs det om lagens förhållande till de bestämmelser i annan nationell lag som gäller krav på åtgärder för hantering av cybersäkerhetsrisker eller rapportering av betydande incidenter. Bestämmelsen behövs för att förtydliga lagens förhållande till eventuella bransch- eller aktörsspecifika specialbestämmelser om hantering av cybersäkerhetsrisker och rapportering av cybersäkerhetsincidenter. Bestämmelsen uttrycker den föreslagna lagens förhållande både till nuvarande och kommande specialbestämmelser, om inte något annat föreskrivs i lagen. Lagen avses vara en allmän lag i förhållande till branschspecifika eller aktörsspecifika specialbestämmelser någon annanstans i lag. I enlighet med artikel 5 är NIS 2-direktivet ett minimum av bindande verkan, vilket innebär att NIS 2-direktivet inte hindrar en medlemsstat från att anta eller behålla bestämmelser som säkerställer en högre cybersäkerhetsnivå, förutsatt att sådana bestämmelser står i överensstämmelse med medlemsstaternas förpliktelser enligt unionsrätten. Branschspecifika specialbestämmelser finns till exempel i lagen om tjänster inom elektronisk kommunikation.  

Om det i en nationell lag eller i bestämmelser eller föreskrifter som utfärdats med stöd av en sådan finns branschspecifika krav, och kraven har minst samma verkan som motsvarande skyldigheter som fastställs i den föreslagna lagen, ska de tillämpas i stället för motsvarande bestämmelser i den föreslagna lagen. Till den del det inte branschspecifikt föreskrivs något annat ska bestämmelserna i den föreslagna lagen fortfarande tillämpas på aktören.  

I 2 mom. föreskrivs det om lagens förhållande till krav som ställs på aktörer i sektorsspecifika unionsrättsakter. Europeiska unionens förordningar omfattar till exempel Europaparlamentets och rådets förordningar samt kommissionens genomförandeförordningar och delegerade förordningar. Genom förslaget genomförs artikel 4 i NIS 2-direktivet.  

Om det i en EU-förordning eller i en förordning av kommissionen som antagits med stöd av NIS 2-direktivet förutsätts att en aktör inför åtgärder för hantering av cybersäkerhetsrisker eller anmäler betydande incidenter, och kraven har minst samma verkan som motsvarande skyldigheter som fastställs i denna lag, ska dessa bestämmelser tillämpas i stället för 2, 4 och 5 kap. samt 41 § i denna lag. Till den del det inte branschspecifikt föreskrivs något annat ska bestämmelserna i den föreslagna lagen fortfarande tillämpas på aktören. 

Bestämmelsen ska tillämpas i situationer som avses i artikel 4 i NIS 2-direktivet samt när det i en genomförandeförordning som kommissionen antagit med stöd av NIS 2-direktivet förutsätts en högre nivå på riskhanterings- eller rapporteringsskyldighet än vad som föreskrivs i den föreslagna lagen.  

Sektorsspecifika cybersäkerhetskrav finns åtminstone i unionens sektorsspecifika rättsakter i anslutning till finansmarknaden och flygtrafiken. Dessutom utarbetas som bäst sektorsspecifika krav inom energiområdet. Om det i en EU-förordning eller i en direkt tillämplig genomförandeförordning eller delegerad förordning av kommissionen eller i en direkt tillämplig genomförandeakt som antagits med stöd av NIS 2-direktivet föreskrivs om en sektorsspecifik precisering i tillämpningen av skyldigheterna enligt NIS 2-direktivet, ska den tolkas på samma sätt också med tanke på tillämpningen av denna lag. 

Enligt artikel 4.2 i NIS 2-direktivet ska kraven anses ha samma verkan om riskhanteringsåtgärderna för cybersäkerhet minst är likvärdiga som de åtgärder som föreskrivs i artikel 21.1 och 21.2, eller när respektive sektorsspecifik unionsrättsakt föreskriver omedelbar, och när det är lämpligt automatisk och direkt, tillgång till incidentunderrättelser från CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt direktivet och om kraven på underrättelse av betydande incidenter har minst samma verkan som de krav som fastställs i artikel 23.1–23.6 i direktivet. Om den sektorsspecifika regleringen anses ha samma verkan som förpliktelserna enligt den föreslagna lagen, ska den regleringen tillämpas i stället för förpliktelserna enligt 2 kap. eller 41 § och bestämmelserna i 4 och 5 kap. i den föreslagna lagen.  

Trots sektorsspecifik reglering ska alla sektorer, branscher och typer av aktörer som avses i bilaga I och II till lagen samt den offentliga förvaltning som avses i informationshanteringslagen beaktas vid beredningen av den nationella cybersäkerhetsstrategin och planen för hantering av omfattande cybersäkerhetsincidenter och cyberkriser samt i verksamheten vid CSIRT-enheten.  

Enligt artikel 4.3 i NIS 2-direktivet ska kommissionen tillhandahålla riktlinjer som klargör tillämpningen av artikel 4.1 och 4.2 i direktivet. Kommissionen har publicerat närmare anvisningar om bedömningen av sektorsspecifik unionslagstiftning i förhållande till NIS 2-regleringen och, i det fall att den sektorsspecifika regleringen anses motsvara NIS 2-regleringen, om tillämpningen av NIS 2-regleringen på aktörer som omfattas av denna sektorsspecifika reglering. Kommissionens riktlinjer för tillämpningen av artikel 4.1 och 4.2 i NIS 2-direktivet har tillhandahållits genom meddelande 2023/C 328/02. Bestämmelsen bör tolkas på samma sätt som de riktlinjer som kommissionen utfärdar med stöd av artikel 4.3 i NIS 2-direktivet. 

I skäl 23 i NIS 2-direktivet sägs det att om en sektorsspecifik unionsrättsakt innehåller bestämmelser som föreskriver att väsentliga eller viktiga entiteter (dvs. aktörer enligt den föreslagna nationella lagstiftningen) ska anta riskhanteringsåtgärder för cybersäkerhet eller anmäla betydande incidenter, och om dessa krav har minst samma verkan som de skyldigheter som fastställs i detta direktiv, bör de bestämmelserna, inbegripet om tillsyn och efterlevnadskontroll, tillämpas på sådana entiteter. Om en sektorsspecifik unionsrättsakt inte omfattar alla entiteter inom en viss sektor som omfattas av detta direktivs tillämpningsområde bör de relevanta bestämmelserna i detta direktiv fortsätta att tillämpas på de entiteter som inte omfattas av den rättsakten. 

Paragrafens 3 mom. är en informativ hänvisning till den allmänna dataskyddsförordningen och dataskyddslagen, där det föreskrivs om datasäkerhet vid behandling av personuppgifter.  

Paragrafens 4 mom. är en informativ hänvisning till de sektorsspecifika lagar där det föreskrivs om återkallande av vissa tillstånd på grund av att tillståndshavaren har brutit mot sina skyldigheter enligt den föreslagna lagen.  

6 §. Jurisdiktion och territorialitet. I paragrafen föreskrivs det om jurisdiktionen i Finland i fråga om internationella aktörer på det sätt som avses i artikel 26 i NIS 2-direktivet.  

Med stöd av 1 mom. ska, i enlighet med huvudregeln i artikel 26.1 i NIS 2-direktivet, finsk lag tillämpas på aktörer som är etablerade i Finland. Aktörer som är etablerade i Finland omfattas således i regel av jurisdiktionen i Finland och tillämpningsområdet för finsk lag. Tillämpningsområdet för finsk lag omfattar en aktör som är etablerad i Finland i sin helhet, dvs. också de av aktörens funktioner som finns till exempel i en annan medlemsstat eller i tredjeländer. Om verksamhet som omfattas av tillämpningsområdet för NIS 2-direktivet i Finland bedrivs eller tjänster tillhandahålls av en aktör som är etablerad i en annan EU-medlemsstat, omfattas aktören i regel och på motsvarande sätt av lagstiftningen och laglighetsövervakningen i etableringsstaten. Enligt artikel 26.1 c i NIS 2-direktivet omfattas en offentlig förvaltningsaktör alltid av jurisdiktionen i den medlemsstat som inrättade den.  

I 2 mom. föreskrivs det om ett undantag från huvudregeln i 1 mom. i fråga om vissa aktörer på motsvarande sätt som i artikel 26.1 a i NIS 2-direktivet. Oberoende av i vilken stat de är etablerade ska tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster omfattas av jurisdiktionen i den medlemsstat där de tillhandahåller sina tjänster. Således omfattas de aktörer som tillhandahåller nämnda tjänster i Finland av jurisdiktionen i Finland. Om en tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster endast tillhandahåller en allmänt tillgänglig rekursiv DNS-tjänst som en del av internetanslutningstjänsten, ska den aktören omfattas av jurisdiktionen i varje medlemsstat där dess tjänster tillhandahålls, i fråga om de tjänster som tillhandahålls i medlemsstaten.  

I 3 mom. föreskrivs det om ett undantag från huvudregeln i 1 mom. i fråga om vissa aktörer på motsvarande sätt som i artikel 26.1 b och 26.2–26.5 i NIS 2-direktivet. I fråga om skyldigheterna enligt NIS 2-direktivet omfattas de aktörer som avses i momentet av jurisdiktionen i den medlemsstat där aktören har sitt huvudsakliga etableringsställe enligt artikel 26.2 i NIS 2-direktivet. Dessa aktörer omfattas alltså av jurisdiktionen i endast en medlemsstat. Om huvudkontoret är beläget i Finland ska aktören omfattas av tillämpningsområdet för den föreslagna lagen. Enligt artikel 26.2 i NIS 2-direktivet anses aktören ha sitt huvudsakliga etableringsställe i unionen i den medlemsstat där besluten om riskhanteringsåtgärder för cybersäkerhet i huvudsak fattas. Om en sådan medlemsstat inte kan fastställas eller om sådana beslut inte fattas i unionen ska det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där cybersäkerhetsoperationer utförs. Om en sådan medlemsstat inte kan fastställas ska det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där den berörda aktören har det etableringsställe som har flest anställda i unionen.  

Om aktören har sitt huvudsakliga verksamhetsställe utanför Europeiska unionen men tillhandahåller tjänster inom Europeiska unionen, förutsätts aktören i enlighet med artikel 26.3 i NIS 2-direktivet utse en företrädare i Europeiska unionen. Aktören ska då anses omfattas av jurisdiktionen i den medlemsstat där företrädaren är etablerad. Om en aktör som är etablerad utanför Europeiska unionen inte har utsett en sådan företrädare i Europeiska unionen som förutsätts och som avses i artikel 26.3 i NIS 2-direktivet och aktören tillhandahåller tjänster i Finland, omfattas aktören av jurisdiktionen i Finland och lagens tillämpningsområde.  

En aktör som är etablerad utanför Europeiska unionen anses tillhandahålla tjänster inom Europeiska unionen om den avser att tillhandahålla tjänster till personer i en eller flera medlemsstater. Till exempel användning av ett språk eller en myntenhet som allmänt används i en eller flera medlemsstater och möjligheten att beställa tjänster på detta språk eller omnämnande av kunder eller användare i unionen kan visa att aktören har för avsikt att tillhandahålla tjänster till personer i en medlemsstat i unionen. Å andra sidan är det i allmänhet inte tillräckligt att enbart ha tillgång till webbplatser, e-postadresser eller andra kontaktuppgifter i unionen för att visa att en aktör avser att tillhandahålla sina tjänster i unionen.  

Den namngivna företrädaren ska agera på aktörens vägnar, och det ska vara möjligt för de behöriga myndigheterna eller CSIRT-enheterna att vända sig till företrädaren. Företrädaren ska utses uttryckligen genom en skriftlig fullmakt från aktören att agera på dess vägnar med avseende på dess skyldigheter enligt direktivet, inklusive incidentrapportering. Att utse en företrädare skulle dock inte påverka medlemsstaternas möjligheter att vidta rättsliga åtgärder mot aktören själv.  

I 4 mom. föreskrivs det om tillsynsmyndighetens möjlighet att rikta tillsyns- och efterlevnadskontrollåtgärder mot en aktör som är etablerad i en annan medlemsstat i Europeiska unionen, men som tillhandahåller tjänster i Finland eller som har ett kommunikationsnät eller informationssystem i Finland. Tillsynsmyndigheten kan i Finland på det sätt som föreskrivs i lag utföra tillsyns- och efterlevnadskontrollåtgärder som avser aktörer etablerade i en annan medlemsstat i Europeiska unionen, om den behöriga myndigheten i etableringsstaten begär det. En ytterligare förutsättning är att aktören tillhandahåller tjänster i Finland eller har ett kommunikationsnät eller informationssystem på finskt territorium och att tillsynsmyndigheten har rätt att vidta den begärda åtgärden med stöd av den föreslagna lagen.  

Bestämmelser om samarbetet mellan medlemsstaternas myndigheter finns i artikel 37 i NIS 2-direktivet, som tillsynsmyndigheten ska beakta vid genomförandet av samarbetet. Med stöd av artikel 37.1 andra stycket i NIS 2-direktivet får tillsynsmyndigheten inte avslå begäran, förutom om myndigheten inte är behörig att tillhandahålla det begärda biståndet, det begärda biståndet inte står i proportion till tillsynsmyndighetens tillsynsuppgifter eller begäran avser information eller omfattar verksamhet som, om den lämnas ut eller utförs, skulle strida mot Finlands nationella säkerhetsintressen, allmänna säkerhet eller försvar. Före begäran ska tillsynsmyndigheten samråda med andra berörda behöriga myndigheter och, om en medlemsstat begär det, med Europeiska kommissionen och Enisa. Med stöd av 4 mom. kan tillsynsmyndigheten avslå begäran om den inte med stöd av lag är behörig att tillhandahålla det begärda biståndet, det begärda biståndet inte står i proportion till tillsynsuppgifterna eller begäran avser information eller omfattar verksamhet som, om den lämnas ut eller utförs, skulle strida mot Finlands intressen som gäller försvaret eller den nationella säkerheten. Innan tillsynsmyndigheten avslår en sådan begäran ska den samråda med övriga berörda behöriga myndigheter samt, på begäran av en medlemsstat, med Europeiska kommissionen och Europeiska unionens cybersäkerhetsbyrå. 

7 §.Riskhantering . I paragrafen föreskrivs det om en allmän skyldighet för aktörer som omfattas av tillämpningsområdet att identifiera, bedöma och hantera de risker som hänför sig till säkerheten i de kommunikationsnät och informationssystem som de använder i sin verksamhet eller för att tillhandahålla sina tjänster.  

Med stöd av 1 mom. ska en aktör identifiera, utvärdera och hantera de risker som hänför sig till säkerheten i de kommunikationsnät och informationssystem som den använder i sin verksamhet eller för att tillhandahålla sina tjänster. Aktörerna är skyldiga att genom riskhantering försäkra sig om att säkerhetsnivån och nivån på riskhanteringsåtgärderna i de kommunikationsnät och informationssystem som används i verksamheten eller tillhandahållandet av tjänster är tillräcklig och proportionell mot riskerna och kommunikationsnätets eller informationssystemets betydelse. Med riskhantering avses identifiering av risker som hänför sig till kommunikationsnät och informationssystem som är av betydelse med tanke på verksamheten eller tillhandahållandet av tjänster, bedömning av hur allvarliga riskerna är samt vidtagande av tillräckliga åtgärder för att hantera riskerna. Syftet med riskhanteringen är att förhindra eller minimera att störningar i kommunikationsnäten och informationssystemen påverkar verksamheten, tjänstemottagarna eller andra tjänster vid störningssituationer oberoende av orsaken till störningen. Riskhanteringen ska alltså syfta till att trygga kontinuiteten i verksamheten i situationer där kommunikationsnätens och informationssystemens funktion störs på grund av illvillig verksamhet eller av någon annan orsak. Hanteringen av cybersäkerhetsrisker är en del av organisationens riskhantering. Utgångspunkten för riskhanteringen är dels identifieringen av risker, dels de resultat med hjälp av vilka organisationen vill minska riskerna.  

Enligt skäl 77 i NIS 2-direktivet ska aktörerna främja och utveckla en riskhanteringskultur som inbegriper riskbedömningar och genomförande av riskhanteringsåtgärder för cybersäkerhet som är anpassade till riskerna. 

Med stöd av 2 mom. ska aktören vidta och riskhanteringsåtgärder som är aktuella, proportionella och tillräckliga i förhållande till riskerna för de kommunikationsnät och informationssystem som används i verksamheten samt kommunikationsnätets eller informationssystemets betydelse med tanke på aktörens verksamhet och tillhandahållande av tjänster. Fastställandet av den identifierade riskens betydelse är både subjektivt på basis av aktörens egna affärs- eller serviceintressen och objektivt på basis av den allmänna och samhälleliga betydelsen och betydelsen av en tjänst som är beroende av tillförlitligheten hos aktörens kommunikationsnät och informationssystem. De objektiva kriterierna beskrivs närmare i 9 § och dess motivering.  

Skyldigheten att ordna riskhantering inom cybersäkerheten är fortlöpande till sin karaktär, eftersom riskerna för säkerheten i kommunikationsnät och informationssystem förändras och säkerhetsåtgärderna utvecklas med tiden. Riskhanteringsåtgärderna ska framför allt vara aktuella, dvs. motsvara aktuell teknisk utveckling och välkänd bästa praxis om hur cybersäkerhetsrisker kan skyddas eller deras effekter minimeras. Vid bedömningen av om riskhanteringen är tillräcklig och proportionell beaktas bland annat kommunikationsnätets eller informationssystemets betydelse med tanke på aktörens verksamhet eller tillhandahållande av tjänster, arten av de uppgifter som behandlas i kommunikationsnätet eller informationssystemet samt andra aktörers beroende av aktörens verksamhet, tillhandahållande av tjänster, kommunikationsnät eller informationssystem samt särskilt dess betydelse för samhällets kristålighet.  

Syftet med bedömningen av cybersäkerhetsriskerna är att främja och utveckla en riskhanteringskultur som inbegriper riskbedömningar och genomförande av riskhanteringsåtgärder för cybersäkerhet som är anpassade till riskerna. Ju större verkningarna blir om en risk realiseras och ju större sannolikheten är för att den realiseras, desto effektivare, högklassigare eller dyrare åtgärder krävs det för att riskhanteringen ska vara proportionerlig.  

Riskhanteringsskyldigheten ska gälla aktörens verksamhet, kontinuiteten i verksamheten och tillhandahållandet av tjänster. Riskhanteringsskyldigheten är inte avsedd att gälla egenskaperna hos en produkt som aktören har tillverkat eller släppt ut på marknaden.  

Begreppet risk definieras i 2 § 13 punkten.  

De föreslagna 7–10 § genomför artiklarna 20–22 i NIS 2-direktivet.  

8 §.Handlingsmodell för hantering av cybersäkerhetsrisker . I paragrafen föreskrivs det om aktörers skyldighet att ha tillgång till en uppdaterad handlingsmodell för hantering av cybersäkerhetrisker för att uppfylla den föreskrivna riskhanteringsskyldigheten. Handlingsmodellen för riskhantering ska identifiera de risker som hänför sig till kommunikationsnät och informationssystem och deras fysiska miljö som aktören använder eller som påverkar tillhandahållandet av tjänster. Handlingsmodellen ska också identifiera och beskriva de mål och förfaranden för riskhantering samt de åtgärder enligt 9 § genom vilka kommunikationsnät och informationssystem och deras fysiska miljö skyddas mot risker och incidenter och de skadliga effekterna av sådana. En aktör kan själv skapa en handlingsmodell för riskhantering eller lägga ut den på underentreprenad. Handlingsmodellen för riskhantering kan också vara en del av aktörens mer omfattande riskhanteringsplan, som också beaktar andra risker som hänför sig till verksamheten, eller en del av den övriga säkerhetsberedskapen.  

Handlingsmodellen ska i enlighet med en allriskansats (all-hazard approach) skapas så att den omfattar både kommunikationsnät och informationssystem och deras fysiska miljö. Syftet är att skydda kommunikationsnät och informationssystem samt den verksamhet som bedrivs eller de tjänster som tillhandahålls med hjälp av dem mot kränkningar av informationssäkerheten, systemfel, mänskliga misstag, avsiktligt skadliga handlingar och naturfenomen. I en allriskansats ska man alltså beakta alla rimligen förutsebara hot mot kommunikationsnät och informationssystem, oavsett om de beror på hot mot informationssäkerheten, orsakas av naturen eller människan eller om de följer olyckor eller är avsiktligt orsakade. 

En allriskansats ska omfatta risker för informations- och cybersäkerheten i kommunikationsnät och informationssystem, såsom administrativa risker, risker i fråga om personal, hårdvara, programvara, informationsmaterial och användarsäkerhet samt i fråga om deras fysiska miljö, lokaler och nödvändiga resurser sådana händelser som stöld, brand, översvämning, störning av telekommunikationen eller elavbrott, obehörigt fysiskt tillträde till aktörens information eller informationshanteringsmiljö samt skada och störningar som kan äventyra tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten i fråga om den information eller de tjänster som hanteras i kommunikationsnäten och informationssystemen eller via dessa. I riskhanteringen ska det beaktas i vilken utsträckning aktören är beroende av kommunikationsnäten och informationssystemen. Ju viktigare system det är fråga om med tanke på tjänsteproduktionen och ju större skadliga effekter en risk skulle få för systemet, desto högklassigare riskhantering ska det krävas till denna del. 

Handlingsmodellen för hantering av cybersäkerhetrisker och de riskhanteringsåtgärder som grundar sig på den ska som en del av den fortlöpande identifiering och bedömning av risker som avses i 7 § uppdateras och hållas aktuell. 

9 §.Åtgärder för hantering av cybersäkerhetsrisker . Med stöd av 1 mom. ska de aktörer som omfattas av lagens tillämpningsområde åläggas att i enlighet med verksamhetsmodellen för riskhantering vidta åtgärder för att hantera och förhindra risker som hänför sig till säkerheten i kommunikationsnät och informationssystem och förhindra eller minimera skadliga verkningar. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till aktörens grad av riskexponering, aktörens storlek samt sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, inbegripet deras samhälleliga och ekonomiska konsekvenser. Riskhanteringen ska alltså beakta å ena sidan sannolikheten för att risken realiseras och de kostnader som uppstår om risken realiseras och å andra sidan kostnaderna för och effekterna av de tillgängliga riskhanteringsåtgärderna.  

I 2 mom. föreskrivs det på motsvarande sätt som i artikel 21.2 i NIS 2-direktivet om de delområden som ska beaktas vid utarbetandet av en handlingsmodell för hantering av cybersäkerhetsrisker och vid fastställandet av behövliga riskhanteringsåtgärder. Listan är en minimilista över de delområden som åtminstone ska tas upp i handlingsmodellen. Aktören kan också genomföra en mer omfattande riskhantering när det bedöms som nödvändigt.  

När det gäller riskhanteringsåtgärder bör det beaktas att de lever i tiden, utvecklas och dessutom är teknikrelaterade. Den cybersäkerhetspolitiska miljön förändras också ständigt i takt med att både teknik och bästa praxis i anslutning till cybersäkerheten utvecklas. Aktörerna bör ges handlingsutrymme när det gäller det praktiska genomförandet av riskhanteringen. I riskhanteringsåtgärderna bör man också beakta att metoderna och den teknik som används är inbördes sammanlänkade – t.ex. när det gäller äldre nättekniker kan riskhanteringsåtgärderna av tekniska skäl inte vara lika heltäckande eller sofistikerade som när det gäller nyare nätverksteknik. Aktörerna ska dock i riskhanteringen och riskhanteringsåtgärderna beakta åtminstone de delområden som avses i 2 mom. samt kunna dokumentera och visa hur riskhanteringen genomförs inom delområdena. Specificeringen av delområdena visar alltså aktörerna vilket minimiområde som kravet på riskhantering förutsätter.  

Avsikten har varit att samordna de termer som används i momentet med terminologin inom den tekniska branschen så att man med riktlinjer avses principerna för och fastställandet av aktörens allmänna mål, dvs. policyer; med förfaranden avses olika processer och tekniska förfaringssätt (procedures, processes) och med praxis avses funktionssätt (practises). Begreppens innehåll och översättningar är delvis opreciserade, och vid tolkningen av momentet bör man beakta att termerna kan användas på olika sätt i tekniska källor, såsom standarder. 

Punkt 1 gäller riktlinjer för hantering av cybersäkerhetsrisker samt bedömning av effektiviteten i fråga om riskhanteringsåtgärderna. Genom denna punkt genomförs artikel 21.2 f och delvis 21.2 a i NIS 2-direktivet.  

Med riktlinjer för hantering av cybersäkerhetsrisker avses till exempel planering på högsta nivå i organisationen i syfte att systematiskt identifiera, bedöma och hantera risker som hänför sig till organisationen eller dess verksamhet, ställa upp mål och kontrollera hur målen uppnås. Aktören ska ha en tillgång till handlingsmodell för hantering av cybersäkerhetsrisker genom vilken risker som hänför sig till kommunikationsnät och informationssystem samt deras fysiska miljö regelbundet identifieras, analyseras, utvärderas och hanteras. Vid bedömningen av riktlinjernas och åtgärdernas verkningsfullhet bör man beakta riskhanteringen ska utgöra en kontinuerlig del av organisationens verksamhet, vilket förutsätter att bedömningen av riktlinjernas och åtgärdernas verkningsfullhet inkluderas i kontrollåtgärderna. Det rekommenderas att riktlinjerna och handlingsmodell för hantering av cybersäkerhetsrisker baserar sig på aktuella bästa praxis och standarder inom branschen.  

Vid riskhanteringen ska man följa en allriskansats och säkerställa att företagets företagsstyrning och riskhanteringsprocesser beaktar informations- och cybersäkerhetsriskerna. Utgångspunkten för riskhanteringen ska vara att identifiera de behov som hänför sig till konfidentialitet, integritet, tillgänglighet och äkthet. Riskhanteringen bör inriktas på de tjänster, system, processer och personer som är centrala med tanke på funktionerna. Identifieringen har samband med punkt 5 om tillgångsförvaltning. Riskhanteringen förutsätter att man identifierar de hot som riktas mot aktören och bedömer sannolikheten för dem samt deras konsekvenser. Riskhanteringen bör syfta till att hantera riskerna så att sannolikheten för eller effekten av dem minimeras, elimineras eller läggs ut på entreprenad och de risker som kvarstår efter riskhanteringen kan godkännas på motiverade grunder. Riskhanteringens ändamålsenlighet ska regelbundet utvärderas med hjälp av lämpliga indikatorer så att de valda åtgärdernas ändamålsenlighet kan mätas och vid behov förbättras. Bedömningen kan göras exempelvis genom självbedömning eller med hjälp av oberoende tillhandahållare av informationssäkerhetstjänster. I riskhanteringen bör effekterna av riskhanteringsåtgärderna bedömas i förhållande till de hot som riktas mot aktören och de förväntade konsekvenserna av dem. 

Punkt 2 gäller riktlinjer för säkerheten i kommunikationsnät och informationssystem. Genom denna punkt genomförs artikel 21.2 a i NIS 2-direktivet. Med riktlinjer som gäller säkerheten i kommunikationsnät och informationssystem avses aktörens syn på informationssäkerhetens mål, principer och genomförande under utrustningens eller systemets hela livscykel. Dessa kan gälla administrativ säkerhet, personal-, maskinvaru-, programvaru-, kommunikationsnät- och datamaterialsäkerhet samt operativ säkerhet och säkerhet för den fysiska miljön. I ISO 27001 används termen ”informationssäkerhetspolicy” för motsvarande riktlinjer. Aktören ska ha exempelvis skriftliga riktlinjer och förfaranden för säkerheten i kommunikationsnät och informationssystem. Om sådana finns ska de stå i rätt proportion till aktörens behov och de ska uppdateras. Dessutom kan man i riskhanteringen sträva efter att aktörens personal känner till de säkerhetsförfaranden som används och förbinder sig att iaktta dem. Vid valet av lämpliga förfaranden kan till exempel de affärsmässiga behoven och identifierade cybersäkerhetsriskerna beaktas.  

Punkt 3 gäller säkerhet vid förvärv, utveckling och underhåll av kommunikationsnät och informationssystem samt förfaranden för hantering av sårbarheter och delgivning av information om sårbarheter. Genom denna punkt genomförs artikel 21.2 e i NIS 2-direktivet.  

Aktören ska sträva efter att upprätthålla en tillräcklig säkerhetsnivå för kommunikationsnät och informationssystem under hela deras livscykel. Till exempel ska upphandlade system vara tillräckligt säkra, med hänsyn till verksamhetens behov, bland annat i fråga om integritet, tillgänglighet och konfidentialitet. Vid upphandling av system kan man till exempel fästa uppmärksamhet vid deras förmåga att avvärja de vanligaste attackerna. En säker konfiguration av systemen, dvs. inställningarna, kan definieras, dokumenteras och upprätthållas under hela livscykeln, och detta kan särskilt beaktas vid uppdateringar. I fråga om konfigurations- och programuppdateringar kan man exempelvis sträva efter att de dokumenteras, är utformade i enlighet med ändringshanteringsprocesserna och detaljerade samt att de görs i rätt tid med tanke på objektets särdrag och uppdateringarnas kritiska natur. Otillåtna eller skadliga förändringar kan till exempel förhindras. De objekt som är mest kritiska med tanke på säkerheten kan identifieras separat och deras säkerhet tryggas till exempel genom regelbundna inspektioner av processer eller genom tekniska tester. Aktören kan till exempel säkerställa att det över huvud taget är möjligt att på ett säkert sätt konfigurera dessa kommunikationsnät och informationssystem och att det produceras lämpliga säkerhetsuppdateringar för dem. Aktören kan till exempel se till att det för upptäckta sårbarheter finns en rapporteringskanal samt på förhand fastställda förfaranden och praxis för behandling av anmälningar. När det gäller kommunikationsnät ska aktören se till att dess struktur är säker. Till exempel objekt som är kritiska för funktionerna ska identifieras och vid behov skyddas genom uppdaterade tekniska metoder, såsom genom zonindelning. Eventuell skadlig teknisk trafik ska kunna upptäckas och förhindras.  

Punkt 4 gäller den övergripande kvaliteten och resiliensen hos den direkta leveranskedjan, leverantörernas och tjänsteleverantörernas produkter och tjänster och de riskhanteringsåtgärder för cybersäkerhet som är inbyggda i dem samt cybersäkerhetspraxis hos leverantörer och tjänsteleverantörer. Genom denna punkt genomförs artikel 21.2 d och 21.3 i NIS 2-direktivet. Aktören ska ha uppdaterad information om alla direkta leverantörer och tjänsteleverantörer som påverkar verksamheten och tillhandahållandet av tjänster. Vid riskhanteringen ska aktören beakta hur störningar i leveranskedjan påverkar dess egen verksamhet samt förbereda sig på leveransstörningar. Aktören ska beakta säkerhetsaspekterna i förhållande till de direkta leverantörerna av utrustning eller tjänster i leveranskedjan. När riskhanteringsåtgärder övervägs ska aktören beakta de sårbarheter som är typiska för till exempel en direkt leverantör eller tjänsteleverantör, den övergripande kvaliteten på de produkter och tjänster som aktören använder och deras motståndskraft mot störningar, de riskhanteringsåtgärder för cybersäkerhet som är inbyggda i produkterna och tjänsterna samt cybersäkerhetspraxis hos leverantörer och tjänsteleverantörer. Dessa kan innehålla olika säkerhetskrav till exempel i fråga om tillgänglighet, kontinuitet och avtal. I fråga om kraven i den föreslagna lagen svarar aktören själv för att den i sin verksamhet använder produkter och tjänster som uppfyller kraven på aktörens riskhantering. För tydlighetens skull konstateras det att det lagstadgade riskhanteringskravet inte gäller underleverantörer, om inte också underleverantören själv är en aktör vars verksamhet omfattas av regleringen. Aktörerna kan vid behov sträva efter att hantera cybersäkerhetsrisken i leveranskedjan genom de avtalsarrangemang som ingås med direkta leverantörer och tjänsteleverantörer.  

I enlighet med skäl 85 i NIS 2-direktivet är det med tanke på leveranskedjans stora betydelse särskilt viktigt att aktören hanterar risker som härrör från leveranskedjan och aktörens förhållande till leverantörerna. 

I enlighet med artikel 22 i NIS 2-direktivet ska NIS-samarbetsgruppen, Europeiska kommissionen och Enisa i samarbete genomföra riskbedömningar av specifika leveranskedjor. Till den del sådana riskbedömningar har gjorts kan tillsynsmyndigheten genom en föreskrift kräva att aktörerna beaktar resultaten av riskbedömningen.  

Punkt 5 gäller tillgångsförvaltning och identifiering av funktioner som är viktiga med tanke på dess säkerhet. Genom denna punkt genomförs artikel 21.2 i) i NIS 2-direktivet. Med tillgångsförvaltning avses de förfaranden och åtgärder genom vilka aktören förvaltar tillgångar i maskinvara, programvara och kunskaper som är väsentliga för verksamheten och cybersäkerheten. Tillgångsförvaltningen är en central metod i hanteringen av cybersäkerhetsrisker. En omsorgsfull tillgångsförvaltning förebygger att risker realiseras och underlättar riskhanteringen. Aktören ska för tillgångsförvaltningen ha regelbundna och dokumenterade förfaranden och anvisningar som kan inbegripa till exempel identifiering av funktioner, processer och information. Med tillgångar avses t.ex. lokaler, maskinvara, programvara, tjänster, personer, immateriella tillgångar och resurser såsom immateriella rättigheter eller IP-adresser. Tillgångar i anknytning till kommunikationsnät och informationssystem kan till exempel identifieras och klassificeras utifrån skyddsbehoven. Aktören kan till exempel föra en uppdaterad förteckning över tillgångarna. Tillgångsförvaltningen ska i princip vara en väsentlig del av hanteringen av förändringar i fråga om personal, externa aktörer och informationssystem samt livscykelhanteringen i fråga om utrustning från det att den tagits i bruk till det att den tas ur bruk på ett säkert sätt.  

Punkt 6 gäller personalsäkerheten och utbildningen i cybersäkerhet. Genom denna punkt genomförs NIS 2-direktivets artikel 21.2 i delvis och artikel 21.2 g. Med personalsäkerhet avses förfaranden som säkerställer personalens ansvar och skyldigheter i fråga om it-säkerhet, deras it-säkerhetskompetens samt bakgrundskontroller och hanteringen av nyckelpersonrisker. Dessutom omfattar dessa förfaranden förebyggande av missbruk, vilket bland annat innebär identifiering och undvikande av farliga arbetskombinationer, arbetsrotation samt upphörande av ett anställningsförhållande eller ett avtal. Aktören ska till exempel ha personalrelaterade förfaranden där också externa aktörer, såsom underleverantörer, beaktas. Förfaringssätten kan exempelvis också beakta ansvar och skyldigheter efter det att anställningsförhållandet upphört och arbetsuppgifterna ändrats. Personalen och externa aktörer kan vid behov informeras till exempel om ansvar och skyldigheter i anslutning till säkerheten i deras arbetsuppgifter och tjänster, till exempel i fråga om sekretess. Om arbetsuppgifterna och ansvaren anses kräva särskild tillförlitlighet, kan personen i mån av möjlighet bli föremål för en ändamålsenlig bakgrundskontroll.  

Aktören ska se till att personalen har förmåga att agera på ett sätt som motsvarar handlingsmodellen och åtgärderna för hantering av cybersäkerhetsrisker. För att uppnå detta kan personalen exempelvis få utbildning som ökar medvetenheten om cybersäkerhet i allmänhet, kunskaper om aktuella förfaranden och aktuell praxis samt om kända cybersäkerhetsrisker. Genom utbildning eller på något annat motsvarande sätt bör det säkerställas att personalen med hänsyn till arbetsuppgifterna har tillräcklig kompetens i fråga om skydd av kommunikationsnät och informationssystem, identifiering av cybersäkerhetsrisker, riskhanteringspraxis och bedömning av deras konsekvenser för de tjänster som aktören tillhandahåller och att denna kompetens också upprätthålls på en tillräcklig nivå. Bestämmelser om skyldigheten för en aktörs ledning att upprätthålla tillräcklig förtrogenhet med riskhantering inom cybersäkerhet finns i 10 §.  

Punkt 7 gäller förfaranden för åtkomsthantering och autentisering. Genom denna punkt genomförs NIS 2-direktivets artikel 21.2 i och j delvis. Med åtkomsthantering och autentisering avses förfaranden som säkerställer identifieringen av användare, utrustning, tillämpningar och system samt genomförandet av åtkomsten i enlighet med kraven på informationssäkerhet. Förfarandena för åtkomsthantering och autentisering ska gälla både fysiska användare, t.ex. personal och externa aktörer, och systemkoder, t.ex. koder som används av maskinvara, programvara, gränssnitt och andra väsentliga resurser. Åtkomsthanteringen ska gälla både åtkomst som kan autentiseras genom ett program och fysisk åtkomst. Förfarandena ska grunda sig på de verksamhetsrelaterade kraven samt på de krav som ställs på datanätverk och informationssystem med beaktande av systemens särdrag.  

Aktören kan till exempel i anknytning till åtkomsthanteringen ha definitioner och praxis som övergripande säkerställer en tillförlitlig identifiering och tillåter åtkomst endast till nödvändiga kommunikationsnät och informationssystem, skyddade uppgifter och andra resurser. Aktören kan till exempel ha förfaranden som täcker användarnamnens och åtkomsträttigheternas hela livscykel, och åtkomsträttigheterna ska hanteras i enlighet med dem. Åtkomsträttigheterna och användningen av dem ska övervakas. Åtkomsträttigheter och roller kan exempelvis fortgående dokumenteras och användarna kan ges endast de rättigheter som de behöver för att utföra sina arbetsuppgifter (principen om lägsta behörighet). Aktörerna bör ha förfaranden för hantering av användarkonton med stark behörighet och för huvudanvändarkonton, till exempel så att man strävar efter att begränsa huvudanvändarrättigheterna till ett så litet antal användare som möjligt och så att koderna skyddas med starka metoder. Utövandet av huvudanvändarrättigheter ska övervakas. 

De kontrollmetoder och kontrolltekniker som väljs bör grunda sig på kraven på åtkomst till informationen och på kontrollförfarandena. Kontrollmetoderna ska vara tillräckligt säkra för att i möjligaste mån förhindra obehörig användning. Vid behov ska som kontrollmetod användas stark autentisering, multifaktorautentisering (MFA) eller kontinuerlig autentisering, om dessa kan användas. 

Punkt 8 gäller riktlinjer och förfaranden för användning av krypteringsmetoder. Genom denna punkt genomförs NIS 2-direktivets artikel 21.2 h samt artikel 21.2 j delvis. Med krypteringsmetoder avses kryptografiska metoder med vilka data omvandlas till ett format som en utomstående inte kan avläsa. Aktören ska fastställa riktlinjer och förfaranden för kryptografi för att vid behov skydda informationens konfidentialitet, äkthet och integritet. Det kan vara nödvändigt att kryptera information t.ex. om den överförs i ett öppet datanät eller förvaras utan tillräckligt fysiskt skydd. Aktören ska då välja en krypteringsteknik vars skyddsnivå är tillräcklig med tanke på den krypterade informationens art, krypteringsklassificering, skyddstid och prestandakrav. När det gäller krypteringsteknik ska man utöver algoritmer, användningssätt och nyckelstyrka också beakta åtkomsten till och säker förvaring, generering och hantering av nycklar. Kraven på krypteringsmetoden ska vara uppdaterade under hela systemets livscykel, så att t.ex. krypteringsalgoritmen kan bytas ut (kryptoagilitet).  

Punkt 9 gäller upptäckande och hantering av incidenter i syfte att återställa och upprätthålla säkerheten och driftsäkerheten. Genom denna punkt genomförs artikel 21.2 b i NIS 2-direktivet. Med incident avses enligt 2 § i lagförslaget en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem. Med incidenthantering avses enligt artikel 6.1.8 i NIS 2-direktivet alla åtgärder och förfaranden som syftar till att förebygga, upptäcka, analysera, begränsa eller reagera på och återhämta sig från en incident. Aktören ska själv svara för ordnandet av incidenthanteringen. Med återställande av säkerheten avses återställande av systemet till ett säkert läge efter en störning. Med upprätthållande av driftsäkerheten avses förfaranden som förbättrar systemets driftsäkerhet samt aktörens förmåga att fungera vid incidenter och att återhämta sig från störningar. För att hantera incidenter ska aktören ha på förhand dokumenterade förfaranden, roller och ansvar för att förebygga, upptäcka, analysera, hantera och rapportera incidenter samt för att återställa läget efter incidenter. För att upptäcka incidenter ska aktören ha rapporteringskanaler till interna och externa aktörer. Aktören ska i princip ha verktyg och processer för att upptäcka och registrera händelserna.  

Med tanke på observations- och analysförmågan är det nödvändigt att aktören har tillgång till tillräckliga logguppgifter om t.ex. underhåll, ändringar, användning och fel. Aktören ska exempelvis bedöma relevanta händelser för att utreda om de kan orsaka en incident. Aktören ska ha rutiner för bedömning och vid behov klassificering av incidentens allvarlighetsgrad och konsekvenser. Vid hanteringen av en incident ska det också finnas praxis för att reagera på den samt vid behov för att begränsa och utreda den och eliminera dess konsekvenser. Efter en incident ska man försöka utvärdera orsakerna till den och lära sig av erfarenheterna, så att man i fortsättningen bättre kan förbereda sig på risken för en liknande incident. För betydande incidenter ska det finnas förfaranden, ansvar och kommunikationskanaler för att varna andra aktörer. Incidenthanteringen ska också inbegripa förfaranden för spridning av information så att incidenten inte utsätter aktören eller någon annan organisation för risk. Förfarandena för hantering av incidenter ska upprätthållas och utvecklas under hela livscykeln, och de ska uppdateras till exempel utifrån erfarenheterna. 

Punkt 10 gäller säkerhetskopiering, katastrofhantering, krishantering och annan driftskontinuitet och vid behov användning av säkrade reservkommunikationssystem i aktörens verksamhet. Genom denna punkt genomförs NIS 2-direktivets artikel 21.2 c och artikel 21.2 j delvis. Med säkerhetskopiering avses kopiering av uppgifter till en säker plats. Med katastrofhantering avses processer och metoder med vilka systemet kan fås i funktionsdugligt skick t.ex. genom reservarrangemang eller säkerhetskopior. Med driftskontinuitet avses processer och förfaranden med hjälp av vilka organisationen bereder sig på att hantera störningssituationer och fortsätta verksamheten på en på förhand bestämd och godtagbar nivå. Med säkrade reservkommunikationssystem avses kommunikationskanaler som inte är beroende av något annat system och som har tillräcklig funktionssäkerhet och konfidentialitet.  

Aktören ska ha dokumenterade förfaranden för driftskontinuitet och återhämtning från störningssituationer. Kontinuiteten kan säkerställas till exempel genom en kontinuitetsplan som skapas på basis av riskhanteringen samt genom en återhämtningsplan. Planerna kan till exempel innehålla de omständigheter under vilka de ska aktiveras samt planer som gäller behövliga roller, resurser, åtgärder och kommunikationskanaler samt behövliga säkrade reservkommunikationssystem. Planerna ska innehålla eller aktören ska på annat sätt planera krishanteringsförfaranden med tanke på åtminstone synnerligen allvarliga incidenter. I enlighet med den övriga riskhanteringen ska planerna uppdateras och utvecklas regelbundet och genomförandet av planerna övas. 

När det gäller säkerhetskopiering kan aktören till exempel på basis av riskhanteringen fastställa vilka uppgifter, system och reservsystem som det är nödvändigt att ta säkerhetskopior av. Aktören ska normalt ha praxis för hur ofta säkerhetskopior ska tas, förvaringstiden för säkerhetskopior, skyddet av säkerhetskopior och testningen av återställning i ett läge där det ursprungliga systemet inte är tillgängligt. Förvaringstiden för säkerhetskopior bör bedömas i förhållande till förvaringssyftet och säkerhetskopior ska tas tillräckligt ofta för att funktionerna ska kunna återställas tillräckligt snabbt och med tillräckligt färsk information i händelse av en incident eller kris. Återställningen kan testas regelbundet för att säkerställa att den fungerar. Säkerhetskopior kan t.ex. skyddas så att de inte utsätts för samma hot som det system som säkerställs.  

Behovet av säkrade reservkommunikationssystem kan till exempel grunda sig på att det i riskbedömningen har konstaterats vara nödvändigt att säkra kommunikationskanalerna också när vanliga system (t.ex. telefon, e-post, snabbmeddelanden) inte finns att tillgå. Om behov föreligger, kan aktören fastställa exempelvis vilka reservkommunikationssystem som ska användas och behovet av dem samt sättet att ta i bruk dem. 

Punkt 11 gäller grundläggande praxis för informationssäkerhet, dvs. cyberhygien för att säkerställa verksamheten samt säkerheten i datakommunikationen, maskinvaran, programvaran och datamaterialet. Genom denna punkt genomförs delvis artikel 21.2 g i NIS 2-direktivet. Aktören ska skydda sitt kommunikationsnät och sina informationssystem genom grundläggande praxis för informationssäkerhet. Aktören ska se till att behövliga grundläggande åtgärder för informationssäkerhet tillämpas och att arbetstagarna följer dem. Nivån på denna informationssäkerhets- eller cyberhygienpraxis ska dimensioneras så att den är tillräcklig med hänsyn till hur kritiska funktionerna är. De valda åtgärderna ska bygga på allmän god praxis och riskbedömning.  

Med informationssäkerhets- eller cyberhygienpraxis avses allmänna goda grundläggande informationssäkerhetsåtgärder som säkerställer en säker grundläggande användning av system, program och tjänster. Det innebär tekniska och andra åtgärder på basnivå för att säkerställa säkerheten i de objekt som beskrivs i punkten. Cyberhygienpraxis kan bland annat omfatta säkerhetsstrukturen i kommunikationsnätet, upptäckt och förhindrande av skadlig trafik, spårbarhet för och övervakning av funktioner, säker konfiguration av, dvs. fastställande av inställningar för, maskinvara och programvara, uppdateringar av programvara, heltäckande och tillförlitlig identifiering samt förbättrande av användarnas kompetens och medvetenhet. Grundläggande praxis för informationssäkerhet eller cyberhygien kan anses omfatta till exempel principen om noll förtroende (zero-trust), aktuella programuppdateringar, säker konfiguration av maskinvara och programvara, nätsegmentering, identitetshantering och åtkomsthantering samt förbättrande av användarnas kompetens och vid behov införande av teknik som förbättrar säkerheten i kommunikationsnät och informationssystem. Punkten överlappar delvis andra punkter i fråga om de omständigheter som förutsätts, men för tydlighets skull och på grund av dess betydelse anges den också separat. 

Punkt 12 gäller åtgärder för att säkerställa den fysiska miljön och säkerheten i lokalerna samt nödvändiga resurser. Genom denna punkt genomförs inledningsfrasen i artikel 21.2 i NIS 2-direktivet när det gäller åtgärder för att skydda den fysiska miljön för kommunikationsnät och informationssystem. Enligt skäl 79 i ingressen till NIS 2-direktivet ska dessa åtgärder vara förenliga med CER-direktivet. Artikel 13 i CER-direktivet gäller kritiska aktörers åtgärder för att säkerställa motståndskraft mot störningar. I artikeln föreskrivs bland annat om fysiskt skydd av lokaler, till exempel stängsel, barriärer, detektionsutrustning och passerkontroll samt återhämtning från incidenter, med hänsyn till åtgärder identifiering av alternativa försörjningskedjor.  

Med fysisk säkerhet avses fysiskt och tekniskt skydd som skyddar system, lokaler, nät och andra resurser mot obehörig åtkomst samt andra skador och störningar. Med nödvändiga resurser avses identifierade stödfunktioner, stödtjänster och stödsystem som är kritiska med tanke på verksamheten och vars tillgänglighet ska säkerställas. Aktören ska identifiera faktorer i den fysiska miljön vars säkerhet är viktig med tanke på kommunikationsnätens och informationssystemens funktion och skydda dem mot effekterna och störningarna av hot som kan påverka verksamheten. Aktören ska också beakta fysiska miljöer som påverkar kommunikationsnät och informationssystem. Dessa kan vara mycket olika och till exempel geografiskt omfattande eller begränsade. Fysiska hot är miljöfaktorer och illvilliga aktörer. Kommunikationsnäten och informationssystemen kan exempelvis övervakas och ska skyddas mot obehörig fysisk åtkomst, skada och störning. Dessutom måste man skydda sig mot naturrelaterade och sociala händelser, såsom eldsvådor, översvämningar och oroligheter. Aktören ska förbereda sig på störningar i de nödvändiga resurserna, såsom eldistributionen, datakommunikationsförbindelserna och kylningen, och förhindra att kommunikationsnät och informationssystem förstörs eller skadas eller att aktörens kritiska funktioner avbryts på grund av brist på nödvändiga resurser eller på grund av störningar. 

I det föreslagna 3 mom. föreskrivs det om nivån på proportionaliteten hos de åtgärder som aktören förutsätts vidta. Åtgärderna för hantering av cybersäkerhetsrisker ska stå i rätt proportion till risken, dvs. till sannolikheten för skadliga effekter och följderna av att risken realiseras. I momentet föreskrivs det om de grunder enligt vilka aktören kan lägga sina riskhanteringsåtgärder på rätt nivå.  

Åtgärderna ska ställas i relation till verksamhetens art och omfattning, eftersom verksamhetens art och omfattning står i direkt samband både med aktörens resurser för att avvärja cyberhot och med betydelsen av de tjänster aktören erbjuder med tanke på samhällets funktioner. Åtgärderna ska ställas i relation till de direkta konsekvenser som rimligtvis kan förutses följa av att ett förutsett hot realiseras. Konsekvenserna ska bedömas särskilt med tanke på viktiga samhällsfunktioner, och ju större konsekvenser genomförandet av hotet kan bedömas ha ur samhällets eller ekonomins synvinkel, desto viktigare hanteringsåtgärder bör vidtas. Konsekvenserna ska således bedömas inte bara för aktören själv utan också för dem som använder eller är beroende av aktörens tjänster. Åtgärderna ska också stå i proportion till aktörens riskexponering i fråga om kommunikationsnät och informationssystem. Vissa tekniska lösningar kan vara förknippade med kända hot mot informationssäkerheten, och dessutom inverkar arten av aktörens verksamhet eller aktörens roll på hur lockande det är för en illvillig aktör att inrikta sig på verksamheten. Åtgärderna ska också ställas i relation till sannolikheten för att en incident inträffar och hur allvarlig den är, vilket sammanhänger med helhetsbedömningen av hotets art och natur och riskdefinitionen. Dessutom ska åtgärderna med beaktande av den senaste tidens utveckling ställas i relation till aktuella tekniska möjligheter att avvärja identifierade hot. Med den senaste utvecklingen avses i synnerhet utvecklingen av tekniska hanteringsåtgärder och riskhanteringsmetoder samt utvecklingen av kända riskhanteringsmetoder till exempel i fråga om kända hottyper, hotande aktörer, angreppssätt och ny teknik.  

Med stöd av paragrafens 4 mom. kan tillsynsmyndigheten meddela tekniska föreskrifter som preciserar riskhanteringsskyldigheten och som gäller 1) sektorsspecifika särdrag som ska beaktas i handlingsmodellen för hantering av cybersäkerhetsrisker och i delområdena för riskhantering samt i förfarandena för riskhantering och hantering av informationssäkerheten i kommunikationsnät och informationssystem inom sektorn. Dessutom kan tillsynsmyndigheten meddela tekniska föreskrifter som preciserar riskhanteringsskyldigheten om beaktandet av resultaten av de på unionsnivå samordnade riskbedömningarna av kritiska leveranskedjor i den sektorsspecifika riskhanteringen. På unionsnivå samordnade riskbedömningar av kritiska leveranskedjor avser riskbedömning enligt artikel 22 i NIS 2-direktivet, vilket med stöd av artikel 21.3 i NIS 2-direktivet ska beaktas av medlemsstaten som en del av riskhanteringen.  

Myndighetens bemyndigande att meddela föreskrifter gäller precisering av riskhanteringsskyldigheten i fråga om de omständigheter som avses i momentet. Föreskrifterna kan dock gälla endast tekniska omständigheter, dvs. de får inte utvidga skyldigheterna enligt 9 §. Syftet med bemyndigandet att meddela föreskrifter är att precisera beaktandet av sektorsspecifika särdrag i riskhanteringsskyldigheten.  

Utöver bemyndigandet att meddela föreskrifter kan tillsynsmyndigheten givetvis också ge andra anvisningar eller rekommendationer till exempel om hantering av cybersäkerhetsrisker, kontrollåtgärder och god praxis. Dessutom kan Transport- och kommunikationsverkets Cybersäkerhetscenter utfärda sektorsöverskridande anvisningar eller rekommendationer till exempel om åtgärder för hantering av cybersäkerhetsrisker och god praxis, vilka kan utnyttjas både av tillsynsmyndigheterna och av föremålen för skyldigheterna. Cybersäkerhetscentret vid Transport- och kommunikationsverket kan också i den uppgift som avses i 18 § främja samordningen av anvisningar och rekommendationer om riskhanteringsåtgärder mellan tillsynsmyndigheterna. 

Med stöd av 5 mom. ska handlingsmodellen för riskhantering och hanteringsåtgärderna dessutom iaktta de genomförandeakter som kommissionen antar med stöd av artikel 21.5 i NIS 2-direktivet.  

Kommissionen ska med stöd av den artikeln senast den 17 oktober 2024 anta genomförandeakter för att fastställa närmare tekniska och metodologiska specifikationer för riskhanteringsåtgärder samt vid behov sektorvisa specifikationer med avseende på leverantörer av DNS-tjänster, registreringsenheter för toppdomäner (enligt lagförslaget: den som förvaltar ett toppdomänregister), leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av utlokaliserade driftstjänster, leverantörer av utlokaliserade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer och för plattformar för sociala nätverkstjänster samt kvalificerade tillhandahållare av betrodda tjänster.  

Dessutom får kommissionen med stöd av artikel 21.5 i NIS 2-direktivet anta genomförandeakter för mer detaljerade sektorsvisa krav som fastställer tekniska krav och metodologiska krav på riskhanteringsåtgärder samt vid behov sektorsspecifika krav med avseende på andra aktörer än de som avses ovan. 

De genomförandeakter som kommissionen antar med stöd av artikel 21.5 har företräde i förhållande till tillsynsmyndighetens föreskrifter och de anvisningar som Transport- och kommunikationsverket meddelat med stöd av 5 mom. Till den del kommissionen har utövat sina befogenheter och antagit genomförandeakter som preciserar NIS 2-direktivet ska myndigheterna beakta dessa vid utarbetandet av föreskrifter och anvisningar och se till att de föreskrifter som de utfärdar och de anvisningar som de meddelar är anpassade till kommissionens genomförandeakter. 

10 §. Ledningens ansvar . Aktörens högsta ledning ska svara för genomförandet av och tillsynen över hanteringen av cybersäkerhetsrisker i aktörens kommunikationsnät och informationssystem. Ansvaret innebär ett ansvar i sista hand för att ordna riskhanteringen och avsätta lämpliga resurser för den samt att övervaka dess verksamhet. Aktörens ledning godkänner handlingsmodellen för hantering av cybersäkerhetrisker samt övervakar genomförandet av riskhanteringen, resursfördelningen, åtgärderna, riskbedömningarnas aktualitet och åtgärdernas genomslag. Aktörens ledning ska också ha tillräcklig och aktuell förtrogenhet med hantering av cybersäkerhetsrisker, vilket förutsätter förtrogenhet antingen genom utbildning eller på något annat motsvarande sätt med regelbundna intervaller. Som en del av de hanteringsåtgärder som avses i 9 § sörjer ledningen också för att personalen får cybersäkerhetsutbildning.  

Med ledning avses en aktörs styrelse, förvaltningsråd, verkställande direktör eller någon annan i motsvarande ställning som faktiskt leder aktörens verksamhet. En sådan ställning kan till exempel innehas av en bolagsman i ett öppet bolag, en ansvarig bolagsman i ett kommanditbolag, en personmedlem i en europeisk ekonomisk intressegruppering eller en enskild näringsidkare. 

Med ledningens ansvar avses ledningens ansvar för ordnandet av genomförandet av och tillsynen över riskhanteringen inom cybersäkerheten hos aktören. Ledningens försummelse av ansvaret kan leda till att aktören påförs en administrativ påföljd enligt denna lag. Hos en väsentlig aktör kan en allvarlig och upprepad försummelse av ledningens ansvar också leda till ett sådant beslut av tillsynsmyndigheten som avses i 4 kap. och som förbjuder en person att för viss tid sköta uppgifter som avses i 10 §. För tydlighetens skull konstateras det att det föreskrivs särskilt om skadeståndsansvar för bolagets ledning. 

Genom förslaget genomförs artikel 20.1 och 20.2 i NIS 2-direktivet. 

11 §.Incidentanmälningar till myndigheten . I paragrafen föreskrivs det om aktörernas skyldighet att underrätta tillsynsmyndigheten om en betydande incident. De föreslagna 11–13 § genomför artikel 23.1–23.4 i NIS 2-direktivet. Anmälningsskyldigheten gäller endast betydande incidenter.  

Med betydande incident avses en incident som har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller betydande ekonomiska förluster för den berörda aktören. Med betydande incident avses också en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada. En förutsättning för en betydande incident är alltså en allvarlig driftsstörning för tjänsten eller en betydande ekonomisk förlust för den berörda aktören eller en betydande materiell eller immateriell skada som incidenten orsakar eller kan orsaka genom påverkan på andra fysiska eller juridiska personer. Begreppet incident definieras i 2 § 11 punkten i lagförslaget som en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem. Tröskeln för vad som är en betydande incident bör tolkas på samma sätt som i artikel 23.3 och skäl 101 i NIS 2-direktivet. 

Om en aktör upptäcker en händelse som uppfyller tröskeln för en betydande incident i någon annans verksamhet än sin egen, t.ex. i en direkt underentreprenörs, systemleverantörs eller en använd molntjänsts verksamhet, ska aktören rapportera händelsen endast om den för aktörens egen del är en händelse som överskrider tröskeln för en betydande incident. Aktören ska i sin inledande bedömning av hur betydande incidenten är ta hänsyn åtminstone till de drabbade nätverks- och informationssystemen, särskilt deras betydelse för tillhandahållandet av aktörens tjänster, allvaret i och de tekniska egenskaperna hos cyberhotet och eventuella underliggande sårbarheter som utnyttjas, samt aktörens erfarenhet av liknande incidenter. Indikatorer såsom i vilken utsträckning tjänstens funktion påverkas, hur länge incidenten pågår eller hur många tjänstemottagare som drabbas kan spela en viktig roll när man fastställer om driftsstörningen är allvarlig. Tröskeln för en betydande incident bör tolkas i enlighet med artikel 23.3 i NIS 2-direktivet. 

Anmälningsskyldigheten ska gälla i tre steg, dvs. aktören ska inom 24 timmar från det att en händelse upptäcktes lämna en första anmälan till tillsynsmyndigheten och inom 72 timmar från det att en avvikelse upptäcktes lämna en uppföljande anmälan. När incidenten har upphört ska aktören lämna tillsynsmyndigheten den slutrapport som avses i 13 §. Syftet med anmälningsskyldigheten i tre steg är å ena sidan att säkerställa snabb rapportering av händelser och skapande av en uppdaterad lägesbild och å andra sidan att möjliggöra att aktörens resurser i första hand riktas till funktioner i anslutning till incidenthanteringen. Aktören kan göra den första anmälan och den uppföljande anmälan på en och samma gång, om aktören inom tidsfristen för den första anmälan, dvs. utan dröjsmål och senast inom 24 timmar från det att incidenten upptäckte, har de uppgifter som förutsätts i båda anmälningarna.  

Den första anmälan ska göras utan dröjsmål och inom 24 timmar från det att incidenten upptäcktes. Tidsfristen börjar löpa när aktören har fått kännedom om incidenten, dvs. upptäckt den. Avgörande är alltså inte när incidenten de facto har börjat, utan när aktören observerat den. Tidsfristen kan börja utanför normal arbetstid, om aktören har jourverksamhet eller på något annat sätt förmåga att upptäcka incidenter utanför normal arbetstid. Av betydelse vid fastställande av tidsfristen är endast att incidenten upptäckts, men inte av vem, hur eller i vilken del av aktörens verksamhet observationen görs. Den första anmälan ska åtminstone innehålla uppgift om att en betydande incident har upptäckts, en preliminär bedömning av huruvida den betydande incidenten misstänks ha orsakats av ett brott eller av andra olagliga eller avsiktligt skadliga handlingar samt en preliminär bedömning av huruvida den observerade betydande incidenten kan ha verkningar för andra EU-medlemsstater och sannolikheten för sådana gränsöverskridande verkningar. Den första anmälan ska också innehålla andra uppgifter som gör det möjligt för den behöriga myndigheten att fastställa incidentens eventuella gränsöverskridande verkningar.  

Den uppföljande anmälan ska göras utan dröjsmål och inom 24 timmar från det att incidenten upptäcktes. I den uppföljande anmälan ska aktören lägga fram en preliminär bedömning av den betydande incidenten, dess allvarlighetsgrad och verkningar samt tekniska angreppsindikatorer (Indicator of Compromise, IOC), om sådana finns tillgängliga. Angreppsindikatorerna kan omfatta förmedlingsuppgifter. Dessutom ska aktören uppdatera uppgifterna i den första anmälan, om det har skett ändringar i eller preciseringar av dem. 

Med stöd av 5 mom. kan tillsynsmyndigheten inom sitt ansvarsområde meddela närmare tekniska föreskrifter för att precisera typen av information i och det tekniska formatet och förfarandet för anmälningar, underrättelser, information eller rapporter som lämnas med stöd av 11–15 §. Det är fråga om behörighet att meddela sektorsspecifika, tekniska och preciserande föreskrifter. Enligt artikel 23.11 i NIS 2-direktivet får kommissionen anta genomförandeakter som närmare anger typen av information i och formatet och förfarandet för underrättelser som avses i 11–13 och 15 § och underrättelser som ska lämnas med stöd av 14 §.  

Enligt 6 mom. ska, med avvikelse från tidsfristen i 2 mom. och på det sätt som förutsätts i artikel 23.4 i NIS 2-direktivet, en tillhandahållare av betrodda tjänster göra en uppföljande anmälan inom 24 timmar från det att den betydande incidenten upptäcktes.  

Med stöd av 7 mom. avses med betydande incident, utöver vad som föreskrivs i 1 mom., ett sådant fall som specificeras i Europeiska kommissionens genomförandeakt som antagits med stöd av artikel 23.11 i NIS 2-direktivet och där incidenten anses vara betydande.  

Med stöd av artikel 23.11 i NIS 2-direktivet ska kommissionen senast den 17 oktober 2024, med avseende på leverantörer av DNS-tjänster, registreringsenheter för toppdomäner (enligt lagförslaget: den som förvaltar ett toppdomänregister), leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av utlokaliserade driftstjänster, leverantörer av utlokaliserade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer eller av plattformar för sociala nätverkstjänster, anta genomförandeakter som närmare anger i vilka fall en incident ska anses vara betydande.  

Kommissionen får vidare enligt samma artikel dessutom anta motsvarande genomförandeakter med avseende på andra väsentliga och viktiga aktörer. 

12 §.Delrapport om incident . I paragrafen föreskrivs det om aktörens skyldighet att lämna tillsynsmyndigheten ytterligare information eller en delrapport om statusuppdateringar som gäller en betydande incident. Utöver den första och den uppföljande anmälan ska aktören på begäran av tillsynsmyndigheten lämna ytterligare information eller en delrapport om statusuppdateringar som gäller incidenten och om hur hanteringen framskrider. Om den betydande incidenten är långvarig, dvs. om den eller dess verkningar inte har upphört inom en månad från det att en uppföljande anmälan lämnades in, varvid en slutrapport skulle ha lämnats för andra än långvariga incidenter, ska aktören på eget initiativ lämna tillsynsmyndigheten en delrapport om hur hanteringen av incidenten framskrider. Delrapporten ska lämnas på eget initiativ senast inom en månad efter det att den uppföljande anmälan lämnades in, om behandlingen av incidenten inte har avslutats och en slutrapport därför inte kan lämnas in. Syftet med delrapporten är att beskriva hur incidenthanteringen framskrider, incidentens verkningar och andra väsentliga faktorer som hänför sig till konsekvenserna av händelsen samt ändringar i dessa uppgifter. Dessutom kan delrapporten innehålla uppdateringar av uppgifterna i den första anmälan och den uppföljande anmälan. Aktören ska på begäran av tillsynsmyndigheten lämna ytterligare information eller en delrapport om statusuppdateringar som gäller incidenten och om hur behandlingen framskrider.  

13 §.Slutrapport om incident . Enligt 1 mom. ska aktören lämna tillsynsmyndigheten en slutrapport om en betydande incident när hanteringen av incidenten har avslutats. Slutrapporten ska lämnas in senast en månad efter det att den uppföljande anmälan lämnades in. Om det är fråga om en långvarig incident som har behandlats mer än en månad från det att den uppföljande anmälan lämnades in, ska aktören i stället för slutrapporten lämna en i 12 § avsedd delrapport om statusuppdateringar som gäller incidenten och om hur hanteringen framskrider. En slutrapport om en långvarig incident ska lämnas in senast en månad efter det att hanteringen av incidenten avslutades. Att slutrapporten lämnats begränsar inte aktörens möjligheter att senare komplettera eller korrigera uppgifterna i den, om aktörens information om eller förståelse av situationen kompletteras efter det att slutrapporten har lämnats in.  

I 2 mom. föreskrivs det om slutrapportens minimiinnehåll. Syftet med slutrapporten är att för aktören själv och tillsynsmyndigheten klarlägga det hot eller den orsak som sannolikt har utlöst incidenten samt ge en beskrivning av incidentens art, allvarlighetsgrad och konsekvenser samt vilka åtgärder som vidtagits för begränsa incidentens negativa verkningar. Dessutom ska slutrapporten innehålla en beskrivning av de gränsöverskridande konsekvenserna av den betydande incidenten, om den medförde sådana konsekvenser. Syftet med slutrapporten är att för aktören förtydliga dess erfarenheter och iakttagelser om orsakerna till, konsekvenserna av och hanteringen av en incident och därigenom genom efterhandsutvärdering av incidenten i framtiden förbättra motståndskraften mot cyberstörningar och cyberattacker både hos den aktör som varit föremål för incidenten och hos andra aktörer. Slutrapporten erbjuder ett sätt att få kännedom om orsakerna till och följderna av incidenten samt att få goda lärdomar av incidenten så att motsvarande betydande incidenter kan förebyggas. Syftet med slutrapporten är inte att utreda vem som är skyldig eller att rikta påföljder eller andra sanktioner mot aktören, utan att främja en god säkerhetskultur för att höja nivån på cybersäkerheten i samhället.  

14 §.Rapportering om incidenter och cyberhot till andra än myndigheter. Enligt 1 mom. ska aktörerna utan dröjsmål underrätta de mottagare av sina tjänster som kan påverkas av en betydande incident. Dessutom ska aktörerna i enlighet med 2 mom. utan dröjsmål underrätta de tjänstemottagare som kan påverkas av ett betydande cyberhot. Aktören ska informera tjänstemottagarna om förekomsten av ett cyberhot och om alla åtgärder eller korrigerande insatser som tjänstemottagarna kan vidta för att hantera hotet eller minska de risker som det innebär. Den underrättelse som avses i det föreslagna 2 mom. påverkar dock inte aktörens skyldighet att vidta lämpliga och direkta åtgärder för att förebygga eller avhjälpa hot och återställa tjänstens normala säkerhetsnivå. Sådan information om betydande cyberhot ska tillhandahållas tjänstemottagarna kostnadsfritt och vara formulerad på ett lättbegripligt sätt.  

Med betydande cyberhot avses ett i 2 § definierat cyberhot som på basis av sina tekniska egenskaper kan antas allvarligt påverka en aktörs kommunikationsnät och informationssystem eller användare av en aktörs tjänster genom att orsaka betydande materiell eller immateriell skada. 

De underrättelser som avses i 1 och 2 mom. kan göras på ett allmänt sätt eller annars på ett sätt som aktören allmänt använder för att informera tjänstemottagarna. Mottagaren av en tjänst ska ha faktisk möjlighet att få information om den olägenhet som en betydande incident orsakar för tjänsten och om de åtgärder han eller hon kan vidta för att hantera hotet. Särskilt när det finns ett stort antal tjänstemottagare, som till exempel inom vatten- och avfallshantering, kan underrättelsen ges via en webbplats eller genom allmän information. 

Med stöd av 3 mom. kan tillsynsmyndigheten genom ett beslut ålägga aktören att informera om en betydande incident eller själv informera om saken, om det ligger i allmänt intresse att det informeras om saken. Innan det fattas ett förvaltningsbeslut som ålägger aktören att informera om incidenten ska aktören höras på det sätt som föreskrivs i 34 § i förvaltningslagen. I 34 § 2 mom. i förvaltningslagen föreskrivs det om avgörande av ett ärende utan att en part hörs.  

Genom den föreslagna bestämmelsen genomförs artikel 23.1, 23.2 och 23.7 i NIS 2-direktivet. 

15 §.Frivillig underrättelse. I paragrafen föreskrivs det om möjligheten till frivillig underrättelse om andra än betydande incidenter, cyberhot och tillbud. Aktörer som omfattas av lagens tillämpningsområde uppmuntras att göra frivilliga anmälningar om cyberhot för att förhindra att hoten realiseras som incidenter. För att främja cybersäkerheten är det dock viktigt att också aktörer eller privatpersoner som inte omfattas av tillämpningsområdet för den föreslagna lagen frivilligt anmäler incidenter, cyberhot och tillbud.  

Syftet med den anmälningsskyldighet som åläggs aktörerna är inte att förhindra frivillig underrättelse. Frivillig underrättelse kan göras också på något annat sätt än vad som föreskrivs i förslaget eller om andra saker än de som nämns i förslaget. För genomförandet av NIS 2-direktivet är det dock nödvändigt att på lagnivå ta in en bestämmelse om vissa frivilliga anmälningar som tillsynsmyndigheten åtminstone ska ta emot. Tillsynsmyndigheten ska reagera på dessa anmälningar på samma sätt som på en anmälan som en aktör som avses i denna lag är skyldig att göra. 

I paragrafen föreskrivs det också om tillsynsmyndighetens skyldighet att allmänt inom sitt ansvarsområde ta emot frivilliga incidentanmälningar om betydande incidenter, cyberhot och tillbud. Frivilliga anmälningar ska tas emot också från andra aktörer än sådana som omfattas av de riskhanterings- och rapporteringsskyldigheter som avses i NIS 2-direktivet. Tillsynsmyndigheten ska behandla frivilliga incidentanmälningar i enlighet med förfarandet i 16 och 17 §. Tillsynsmyndigheten kan prioritera behandlingen av obligatoriska anmälningar framför behandlingen av frivilliga anmälningar.  

Syftet med bestämmelsen är inte att frivillig anmälan ska begränsas endast till situationer enligt bestämmelsen eller till ett förfarande enligt bestämmelsen. För genomförandet av NIS 2-direktivet är det fråga om en minimibestämmelse som fastställer tillsynsmyndighetens skyldighet att ta emot åtminstone de angivna anmälningarna. Frivilliga anmälningar om cyberstörningar, cyberhot, tillbud och andra iakttagelser som är väsentliga för upprätthållandet av cybersäkerheten kan i fortsättningen göras till myndigheten också på något annat sätt än det som beskrivs i bestämmelsen.  

På aktörer som frivilligt rapporterar betydande incidenter, cyberhot och tillbud och som inte omfattas av riskhanterings- och rapporteringsskyldigheterna enligt den föreslagna lagen, tillämpas inte lagen till övriga delar på grund av den frivilliga rapporteringen.  

Begreppen incident och cyberhot definieras i 2 §. Med tillbud avses liksom i artikel 6.5 i NIS 2-direktivet en händelse som kunde ha undergrävt tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem, men som framgångsrikt hindrades från att utvecklas eller som av någon slumpmässig orsak inte uppstod.  

Tillsynsmyndigheten ska också underrätta den gemensamma kontaktpunkt som avses i 18 § om anmälningar som grundar sig på frivillighet och som har lämnats till den. 

Genom den föreslagna bestämmelsen genomförs delvis artikel 30 i NIS 2-direktivet.  

16 §.Mottagande av incidentanmälan. I 1 mom. föreskrivs det om tillsynsmyndighetens skyldighet att svara på en incidentanmälan. Skyldigheten att svara gäller både sådana anmälningar som avses i 11 § och sådana frivilliga anmälningar som avses i 15 §.  

Tillsynsmyndigheten ska efter att ha fått en incidentanmälan enligt 11 eller 15 § utan dröjsmål svara den som lämnat incidentanmälan. Svaret ska om möjligt ges inom 24 timmar, dock inom ramen för tjänstetiderna. Av tillsynsmyndigheten förutsätts alltså inte till exempel beredskap att dejourera under veckoslut, nattetid eller på helgdag som infaller på en vardag. Svaret ska innehålla initial återkoppling om den betydande incidenten samt anvisningar om hur den ska anmälas till förundersökningsmyndigheten, om brott misstänks i ärendet. Med initial återkoppling avses tillsynsmyndighetens syn på incidentens betydelse och andra omständigheter som behövs för att hantera incidenten. Tillsynsmyndigheten kan i sitt svar också ta med andra omständigheter som den anser behövliga, såsom allmänna anvisningar eller råd om åtgärder för att lindra verkningarna.  

Med stöd av 2 mom. får tillsynsmyndigheten prioritera besvarandet av obligatoriska anmälningar och behandlingen av dem i förhållande till frivilliga underrättelser. Det ska vara möjligt att prioritera behandlingen av anmälningar till exempel när antalet frivilliga anmälningar är så stort i förhållande till tillsynsmyndighetens resurser att behandlingen av de obligatoriska anmälningarna fördröjs eller äventyras. Tillsynsmyndigheten och CSIRT-enheten ska prioritera behandlingen av obligatoriska anmälningar för att minimera de skadliga konsekvenser som betydande incidenter medför. 

Genom den föreslagna bestämmelsen genomförs artiklarna 23.5 och 30.2 i NIS 2-direktivet.  

17 §.Hantering av incidentanmälningar. I paragrafen föreskrivs det om behandlingen av incidentanmälningar, det vill säga vilka åtgärder tillsynsmyndigheten ska vidta med anledning av en incidentanmälan utöver den skyldighet att svara som föreskrivs i 16 §.  

Enligt paragrafens 1 mom. ska tillsynsmyndigheten lämna de anmälningar och rapporter som avses i 11–13 § och 15 § till CSIRT-enheten, så att enheten på begäran av en aktör kan ge kompletterande vägledning eller operativa råd i samarbete med tillsynsmyndigheten. CSIRT-enheten ska på begäran av en aktör ge vägledning eller operativa råd om begränsande åtgärder för att minimera de negativa verkningarna. Vid behov kan anvisningar eller råd också ges i samarbete mellan tillsynsmyndigheten och CSIRT-enheten. När en anmälan kommit in till tillsynsmyndigheten ska den omedelbart lämnas vidare till CSIRT-enheten, så att denna kan ge vägledning eller operativa tekniska råd utifrån det som aktören begärt. Anmälningar som görs via den centraliserade rapporteringskanalen överförs i praktiken automatiskt till CSIRT-enheten, vilket innebär att tillsynsmyndigheten inte behöver förmedla dem till CSIRT-enheten separat.  

Enligt 2 mom. ska tillsynsmyndigheten informera dataombudsmannen om upptäckten av en incident som har lett till en sådan kränkning av personuppgiftsskyddet som avses i artikel 33 i den allmänna dataskyddsförordningen och som enligt den förordningen ska anmälas till den behöriga myndighet som övervakar skyddet av personuppgifter. Anmälan ska göras till dataombudsmannen om en omständighet som upptäckts i samband med tillsynen i Finland, även om den behöriga tillsynsmyndigheten med stöd av den allmänna dataskyddsförordningen är etablerad i en annan EU-medlemsstat. Dataombudsmannen överväger med stöd av den allmänna dataskyddsförordningen och dataskyddslagen de åtgärder som behövs i situationen. Tillsynsmyndighetens skyldighet att informera dataombudsmannen om saken påverkar dock inte aktörernas skyldigheter, och den uppfyller således inte exempelvis den personuppgiftsansvariges skyldighet att anmäla en personuppgiftsincident.  

Enligt 3 mom. är tillsynsmyndigheten skyldig att underrätta polisen om att en betydande incident upptäcks, om incidenten misstänks bero på ett brott för vilket det föreskrivna maximistraffet är fängelse i minst tre år. Utgångspunkten är att aktören är fri att själv besluta om ett misstänkt brott ska anmälas till polisen, såvida misstanken inte gäller en gärning som avses i 15 kap. 10 § i strafflagen. Om det vid en betydande incident finns skäl att misstänka ett brott, ska tillsynsmyndigheten hänvisa aktören att vid behov göra en brottsanmälan. Till den del det är fråga om ett brott som avses i 15 kap. 10 § i strafflagen påverkar det föreslagna momentet dock inte skyldigheten att anmäla brottet till den behöriga myndigheten (polisen). När det är fråga om ett allvarligt brott, dvs. när det föreligger misstanke om ett brott som når den tröskel som avses i momentet, är tillsynsmyndigheten dock skyldig att underrätta polisen om misstanken.  

Brott som avses i paragrafen är till exempel grov dataskadegörelse enligt 35 kap. 3 b §, grov kränkning av kommunikationshemlighet enligt 38 kap. 4 §, grovt störande av post- och teletrafik enligt 38 kap. 6 §, grov systemstörning enligt 38 kap. 7 b § och grovt dataintrång enligt 38 kap. 8 a § i strafflagen. Till de brott som avses i paragrafen hör också till exempel landsförräderibrott enligt 12 kap. 1–7 § och 9 § i strafflagen. 

Enligt 4 mom. ska tillsynsmyndigheten, om en betydande incident påverkar andra EU-medlemsstater eller andra sektorer, informera den gemensamma kontaktpunkten om den betydande incidenten och sända anmälningar, rapporter och annat om den till den gemensamma kontaktpunkten. Bestämmelser om den gemensamma kontaktpunkten finns i 18 §.  

Med stöd av paragrafens 5 mom. ska den gemensamma kontaktpunkten när det inträffar en betydande incident utan onödigt dröjsmål underrätta Europeiska unionens cybersäkerhetsbyrå och de medlemsstater som berörs av incidenten. Informationen till medlemsstaterna ska ske via den gemensamma kontaktpunkten för varje medlemsstat som utsetts enligt NIS 2-direktivet. Den gemensamma kontaktpunkten ska i detta syfte ha rätt att lämna information om incidentanmälningar och delrapporter och slutrapporter till den gemensamma kontaktpunkten i en annan EU-medlemsstat och till Enisa. Den gemensamma kontaktpunkten ska särskilt förse de övriga medlemsstaterna och Enisa med information som gör det möjligt att fastställa incidentens verkningar i en annan medlemsstat och de gränsöverskridande verkningarna på unionsnivå. Den gemensamma kontaktpunkten ska beakta konfidentialiteten i fråga om de uppgifter som rör aktören, säkerhets- och affärsintressen samt undvika onödigt äventyrande av dessa intressen och onödigt utlämnande av uppgifter. Den gemensamma kontaktpunktens anmälningsskyldighet omfattar med stöd av 4 § 7 mom. inte utlämnande av uppgifter vars utlämnande skulle strida mot Finlands centrala intressen i fråga om den nationella säkerheten, den allmänna säkerheten eller försvaret.  

Genom den föreslagna bestämmelsen genomförs artikel 23.1 och 23.5 delvis, artikel 23.6 och 23.8 samt artikel 13.2 och 13.3 i NIS 2-direktivet. 

18 §.Gemensam kontaktpunkt. I paragrafen föreskrivs det om en sådan gemensam kontaktpunkt som avses i artikel 8.3 i NIS 2-direktivet. Det föreslås att Cybersäkerhetscenter vid Transport- och kommunikationsverket, som har haft en motsvarande uppgift i och med genomförandet av NIS 1-direktivet, ska vara den gemensamma kontaktpunkten i Finland.  

Den gemensamma kontaktpunkten ska i första hand sköta kontakterna enligt NIS 2-direktivet med andra EU-medlemsstater och Europeiska unionens cybersäkerhetsbyrå Enisa. Den gemensamma kontaktpunkten ska ansvara för de uppgifter som ålagts den i NIS 2-direktivet när det gäller både mottagande och avsändande av anmälningar. Bestämmelser om den gemensamma kontaktpunktens roll vid behandlingen av incidentanmälningar finns i 17 § 5 mom.  

Den gemensamma kontaktpunkten ska också främja samarbetet mellan de nationella tillsynsmyndigheterna för att de ska kunna utföra sina uppgifter enligt den föreslagna lagen. Den gemensamma kontaktpunkten kan främja samarbetet och informationsutbytet mellan tillsynsmyndigheterna samt ge rekommendationer till tillsynsmyndigheterna i syfte att samordna kraven och tillsynen enligt den föreslagna lagen. Cybersäkerhetscentret vid Transport- och kommunikationsverket kan främja exempelvis att tillsynsmyndigheterna samordnar anvisningar och rekommendationer om riskhanteringsåtgärder enligt 9 § i den föreslagna lagen.  

Den gemensamma kontaktpunkten spelar också en central roll i kontakterna med andra EU-medlemsstater och Enisa. Dessutom ska den gemensamma kontaktpunkten var tredje månad lämna en sammanfattande rapport till Enisa om betydande incidenter, incidenter, cyberhot och tillbud som rapporterats i Finland. 

Begreppen incident och cyberhot definieras i 2 §. Med tillbud avses liksom i artikel 6.5 i NIS 2-direktivet en händelse som kunde ha undergrävt tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem, men som framgångsrikt hindrades från att utvecklas eller som av någon slumpmässig orsak inte uppstod.  

Genom paragrafen genomförs artiklarna 8.3, 8.4 och 23.9 i NIS 2-direktivet. 

19 §.CSIRT-enheten. I paragrafen föreskrivs det om den enhet enligt artiklarna 10 och 11 i NIS 2-direktivet som hanterar it-säkerhetsincidenter, dvs. CSIRT-enheten.  

Enligt 1 mom. ska den CSIRT-enhet som reagerar på och undersöker it-säkerhetsincidenter i Finland finnas vid Transport- och kommunikationsverket. Verksamheten ska organiseras separat från tillsynen över aktörerna. Bestämmelser om CSIRT-enhetens uppgifter finns i 20 §.  

Att CSIRT-enheten är självständig och åtskild från tillsynen innebär samtidigt att tillsynsmyndigheten inte har rätt att få information av CSIRT-enheten, utan att CSIRT-enheten har den självständiga ställning som skötseln av dess uppgifter förutsätter i förhållande till tillsynsmyndigheten och en konfidentiell ställning i förhållande till tillsynsobjekten. CSIRT-enheten lämnar dock ut information som den fått och inhämtat med stöd av den föreslagna lagen på det sätt som föreskrivs i 319 § 2 och 3 mom. i lagen om tjänster inom elektronisk kommunikation. Förtroendet för CSIRT-verksamhetens oberoende, som följer av CSIRT-enhetens självständiga ställning, möjliggör att olika aktörer även i fortsättningen i stor utsträckning och frivilligt lämnar enheten anmälningar utifrån vilka enheten kan stödja och stärka cybersäkerheten i det finländska samhället. Konfidentialiteten i CSIRT-enhetens verksamhet är en förutsättning för att skapa en nationell lägesbild av cybersäkerheten. Lägesbilden gör det möjligt för CSIRT-enheten att till finländska organisationer lämna ut relevant information om hot med anknytning till cybersäkerheten inom ramen för de frivilliga arrangemangen för delning av cybersäkerhetsinformation. 

I 2 mom. föreskrivs det om de krav som CSIRT-enheten ska uppfylla i enlighet med artikel 11.1 i NIS 2-direktivet. CSIRT-enheten ska bland annat se till att dess kommunikationskanaler är tillgängliga, att deras lokaler och informationssystem är placerade på skyddade platser samt att personalen är tillräcklig och har lämplig utbildning. Med beredskapsarrangemang avses reservsystem och reservarbetslokaler. Momentet motsvarar till sitt innehåll artikel 11.1 i NIS 2-direktivet.  

I 3 mom. föreskrivs det om det krav i artikel 11.1 enligt vilket CSIRT-enheten tydligt ska ange de kommunikationskanaler som avses i 2 mom. 1 punkten och underrätta användargrupper och samarbetspartner om dessa på behörigt sätt.  

Genom 19 och 20 § genomförs artikel 10 och 11 samt delvis artikel 29 i NIS 2-direktivet. 

20 §. CSIRT-enhetens uppgifter. I paragrafen föreskrivs det om uppgifterna för CSIRT-enheten. CSIRT-enheten ska övervaka och analysera cyberhot, sårbarheter och incidenter och samla in information och tillhandahålla aktörerna i samhället tidiga varningar samt sköta andra operativa och tekniska myndighetsuppgifter som hänför sig till hanteringen av cybersäkerhetsrisker i samhället. CSIRT har till uppgift att tillhandahålla operatörerna stöd och vägledning på operativ och teknisk nivå för att förebygga, upptäcka och hantera betydande incidenter och risker och mildra deras konsekvenser, om det behövs, om en aktör begär det och om CSIRT kan tillhandahålla stöd inom ramen för sina resurser.  

CSIRT-enhetens uppgift är inte att övervaka aktörer som avses i den föreslagna lagen, och därför ska verksamheten ordnas separat från den tillsyn som vid Transport- och Kommunikationsverket utövas över aktörerna. 

Enligt 1 mom. 1 punkten ska CSIRT-enheten på nationell nivå övervaka och analysera cyberhot, sårbarheter och incidenter. Den får också samla in information om dem och enligt vad situationen kräver exempelvis tillhandahålla tidiga varningar, larm, meddelanden och information om upptäckta sårbarheter. Det är fråga om allmän information som riktar sig exempelvis till väsentliga eller andra än väsentliga aktörer som avses i denna lag eller till tillsynsmyndigheter eller andra intressentgrupper, såsom olika nätverk eller allmänheten. Uppgiften ska i mån av möjlighet genomföras samordnat med Transport- och kommunikationsverkets uppgift enligt 304 § 7 punkten i lagen om tjänster inom elektronisk kommunikation.  

Enligt 1 mom. 2 punkten ska CSIRT-enheten på begäran tillhandahålla stöd avseende realtidsövervakning eller nära realtidsövervakning av kommunikationsnät och informationssystem. Stödet kan från fall till fall avse till exempel anvisningar, råd eller tekniskt bistånd. En CSIRT-enhet kan tillhandahålla tjänster eller stöd och ge råd både till aktörer som avses i denna lag och till andra aktörer för förvärv av en tredje parts övervakningstjänster. Vid övervakningen ska det beaktas vad som särskilt föreskrivs om behandling av personuppgifter och skydd för konfidentiell kommunikation. CSIRT-enheten ska särskilt ha en styrande och rådgivande roll som inte inverkar på aktörens skyldighet att sörja för säkerheten i de kommunikationsnät och informationssystem som den använder.  

Enligt 1 mom. 3 punkten ska CSIRT-enheten reagera på incidentanmälningar och vid behov bistå den anmälande parten i incidenthanteringen. I princip kan vem som helst anmäla en incident till CSIRT-enheten, och enheten ska då reagera på dessa anmälningar. CSIRT-enheten reagerar på incidentanmälningar på ett ändamålsenligt sätt t.ex. genom att svara på dem, ge anvisningar och råd till den anmälande parten, samordna svaren på incidenter, undersöka den anmälda incidenten eller erbjuda behövligt tekniskt stöd. CSIRT-enheten ska alltså också reagera på anmälningar från andra aktörer än de väsentliga eller andra än väsentliga aktörer som avses i denna lag och vid behov bistå dem i incidenthanteringen. Den som gjort anmälan ska dock huvudsakligen själv ansvara för incidenthanteringen och för att behövliga åtgärder vidtas.  

Enligt 1 mom. 4 punkten ska CSIRT-enheten samla in och analysera information om hot och om utredning av kränkningar av informationssäkerheten, dvs. forensisk information. Med forensisk information avses digitala bevis, prover, angreppsindikatorer, dvs. IOC-uppgifter, eller andra tekniska kännetecken och spår som har samband med säkerhetsincidenten. Forensisk information kan samlas in t.ex. från maskinvara, data eller loggar. Dessutom kan uppgifter om hot inhämtas till exempel från intressentgrupper.  

Enligt 1 mom. 5 punkten ska CSIRT-enheten utarbeta risk- och incidentanalyser och stödja upprätthållandet av en lägesbild över cybersäkerheten. Med stöd av 3 § i lagen om Transport- och kommunikationsverket upprätthåller Cybersäkerhetscentralen vid Transport- och kommunikationsverket en lägesbild över cybersäkerheten. CSIRT-enhetens uppgift är att stödja upprätthållandet av lägesbilden. Risk- och incidentanalyserna kan behandla antingen en enskild händelse eller mera omfattande fenomen och de kan vid behov uppdateras fortgående, dvs. vara dynamiska.  

Enligt 1 mom. 6 punkten ska CSIRT-enheten delta i det CSIRT-nätverk som avses i artikel 15 i NIS 2-direktivet. CSIRT-nätverket består av CSIRT-enheterna i alla EU-medlemsstater. Syftet med CSIRT-nätverket är att främja förtroende och tillit och ett snabbt och ändamålsenligt operativt samarbete mellan medlemsstaterna. CSIRT-enheten kan också, beroende på sin kapacitet och kompetens, bistå andra medlemmar i CSIRT-nätverket på deras begäran, till exempel genom att dela information om aktuella händelser, fenomen och trender eller genom att tillhandahålla tekniskt bistånd. CSIRT-enheten har till uppgift att delta i sådant samarbete i den mån det är möjligt inom ramen för dess tillgängliga resurser.  

Enligt 1 mom. 7 punkten kan CSIRT-enheten utse experter som deltar i sådana sakkunnigbedömningar som avses i artikel 19 i NIS 2-direktivet. De sakkunnigbedömningar som avses i artikel 19 i NIS 2-direktivet ska utföras av cybersäkerhetsexperter som utses på grundval av kriterier som fastställs särskilt. Det är dock frivilligt att delta i sakkunnigbedömningar, dvs. CSIRT-enheten kan bedöma behovet av att delta från fall till fall och bestämmelsen medför inte skyldighet för CSIRT-enheten att delta i bedömningar.  

Enligt 1 mom. 8 punkten ska CSIRT-enheten främja införandet av säkra verktyg för informationsutbyte. CSIRT-enheten ska ha tillgång till en lämplig, säker och motståndskraftig kommunikations- och informationsinfrastruktur för utbyte av information med väsentliga och andra än väsentliga aktörer samt med andra relevanta intressenter. Verktygen för informationsutbyte ska uppfylla kraven i informationshanteringslagen. Eftersom den information som hanteras i dem kan vara säkerhetsklassificerad ska verktygen också uppfylla kraven i förordningen om säkerhetsklassificering av handlingar inom statsförvaltningen. När CSIRT-enheten använder sådana verktyg för informationsutbyte främjar enheten också användningen av dem i samhället i stort.  

Enligt 1 mom. 9 punkten kan CSIRT-enheten främja samarbetet med intressentgrupper inom den privata sektorn genom att ge anvisningar och rekommendationer till exempel för godkännande och användning av gemensam eller standardiserad praxis, klassificeringssystem och taxonomier. CSIRT-enheten kan ge anvisningar och rekommendationer om hantering av incidenter, krishantering inom cybersäkerheten och samordnad delgivning av information om sårbarheter.  

I 2 mom. föreskrivs det om möjligheten för CSIRT-enheten att prioritera sina uppgifter. Prioriteringen ska göras på grundval av en riskbaserad metod. Med riskbaserad metod avses i första hand att fokus läggs på risker, hot och incidenter som kan ha betydande eller omfattande skadliga verkningar i samhället eller som med stor sannolikhet kommer att realiseras. Till exempel incidentanmälningar kan klassificeras utifrån hur betydande IT-säkerhetsincidenten eller cyberhotet är, och vid denna bedömning kan man beakta till exempel angreppstypen, föremålet för incidenten eller hotet samt incidentens eller hotets omfattning.  

I 3 mom. föreskrivs det om CSIRT-enhetens uppgift att samordna frivilliga arrangemang för informationsutbyte om cybersäkerhet mellan aktörer som omfattas av tillämpningsområdet för lagen, andra parter och CSIRT-enheten. Bestämmelser om frivilliga arrangemang för informationsutbyte om cybersäkerhet finns i 23 §.  

I 4 mom. föreskrivs det om möjligheten för CSIRT-enheten att producera en tjänst för upptäckande av kränkningar av informationssäkerheten. Genom tjänsten kan aktörerna få stöd för övervakningen av informationssäkerheten i kommunikationsnät och informationssystem i realtid eller nästan i realtid. Tjänsten främjar också åtgärder för att upptäcka och utreda incidenter samt förebygga cyberhot. Bestämmelser om informationsbehandling i anslutning till tjänsten för upptäckande av kränkningar av informationssäkerheten finns i 24 §. Bestämmelsen ålägger inte någon skyldighet att producera tjänsten, utan gör det möjligt att tillhandahålla tjänsten om CSIRT-enheten anser att det behövs. CSIRT-enheten kan tillhandahålla tjänsten för upptäckande av kränkningar av informationssäkerheten direkt till de aktörer eller andra parter som begär det samt till sådana leverantörer av utlokaliserade säkerhetstjänster som tillhandahåller aktörer eller andra parter en tjänst för upptäckande av kränkningar av informationssäkerheten i egenskap av servicecenter. Tjänsten ska tillhandahållas av CSIRT-enheten för att främja dess lagstadgade uppgift, och verksamhetsutövaren eller den som beställt tjänsten beslutar själv om den vill anlita tjänsten. I bestämmelsen är det fråga om att på lagnivå precisera befogenheten att producera en tjänst för upptäckande av kränkningar av informationssäkerheten. Cybersäkerhetscentralen vid Trafiksäkerhetsverket har producerat en tjänst för upptäckande av kränkningar av informationssäkerheten för att fullgöra sina uppgifter enligt lagen om tjänster inom elektronisk kommunikation. Genom bestämmelsen förtydligas författningsgrunden för produktionen av tjänsten. Dessutom främjar tillhandahållandet av tjänsten skötseln av CSIRT-enhetens uppgifter.  

Den rättsliga grunden för CSIRT-enhetens behandling av personuppgifter för utförandet av sina uppgifter är i enlighet med artikel 6.1 i dataskyddsförordningen, beroende på uppdraget, att behandlingen är nödvändig för att fullgöra en rättslig skyldighet enligt artikel 6.1 c eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e. 

Med stöd av 5 mom. kan CSIRT-enheten ta ut avgift för tjänster som avses i 1 mom. 1 och 2 punkten och som tillhandahållits på begäran av en aktör eller någon annan part. Avgiftsbelagd verksamhet kan vara till exempel riktad sårbarhetskartläggning enligt 21 § 4 mom. som gjorts på begäran samt en tjänst för upptäckande av kränkningar av informationssäkerheten och andra tjänster enligt 1 mom. 1 och 2 punkten som tillhandahålls på begäran av en aktör eller någon annan part, dvs. som inte gjorts på CSIRT-enhetens eget initiativ. För en avgiftsbelagd prestation betalas en ersättning för en tjänst som riktas till en aktör eller någon annan part och som produceras av en myndighet och som är frivillig för aktören eller parten. Bestämmelser om vilka av myndigheternas prestationer ska vara avgiftsbelagda och om de allmänna grunderna för storleken av de avgifter som tas ut för prestationerna samt om andra grunder för avgifterna finns i lagen om grunderna för avgifter till staten (150/1992).  

21 §.Nätbaserad kartläggning av sårbarheter i allmänna kommunikationsnät och informationssystem. Paragrafen innehåller bestämmelser om CSIRT-enhetens rätt att upptäcka kommunikationsnät och informationssystem som är anslutna till det allmänna kommunikationsnätet för observation av sårbarheter, cyberhot och oskyddade inställningar, dvs. osäkert konfigurerade kommunikationsnät eller informationssystem, och för att varna föremålet för kartläggningen om iakttagelserna ( kartläggning av sårbarheter) . I 4 mom. föreskrivs det dessutom om riktad kartläggning av sårbarheter som utförs på aktörens begäran. Genom den föreslagna befogenheten genomförs de uppgifter som föreskrivs för CSIRT-enheten i artikel 11.3 första stycket led e och artikel 11.3 andra stycket i NIS 2-direktivet.  

I paragrafens 1 mom. föreskrivs det om syftet med kartläggningen av sårbarheter. Syftet med sårbarhetskartläggningen är att identifiera sårbarheter, cyberhot och osäkert definierade inställningar av kommunikationsnät och informationssystem, dvs. osäkra konfigurationer, samt att informera berörda parter om dessa observationer, vilket förbättrar parternas möjligheter att skydda sig mot utnyttjande av sårbarheter och cyberhot.  

Enligt 1 och 2 mom. ska en sårbarhetskartläggning genomföras på ett proaktivt, annat än inkräktande sätt. Med proaktivt avses sambandet mellan sårbarhetskartläggningen och kända eller förutsebara sårbarheter eller cyberhot. Med annat än inkräktande karaktär avses observation av kommunikationsnät och informationssystem som är tillgängliga med hjälp av kommunikationsnät på ett sätt som inte förutsätter inkräktande, dvs. intrång i nätet eller informationssystemet. Vid annan än inkräktande observation kan man t.ex. skicka tekniska förfrågningar eller meddelanden i maskinläsbar form till ett kommunikationsnät eller ett informationssystem, en tjänst, dess server eller en serverapplikation, t.ex. en port, för att upptäcka öppna portar eller oskyddade tekniska lösningar i systemet. Förfrågningar kan också i syfte att avvärja sårbarheter eller cyberhot sändas för att samla in information om tekniska lösningar, såsom vilken programvara som används i kommunikationsnät och informationssystem, för att fastställa om sårbara eller oskyddade tekniska lösningar används i kommunikationsnät och informationssystem. Med annat än inkräktande sätt avses ett sådant icke-inkräktande tillvägagångssätt som avses i NIS 2-direktivet.  

Som inkräktande och därmed förbjuden sårbarhetskartläggning ska betraktas åtminstone sådan verksamhet där intrång görs i kommunikationsnät och informationssystem utan den berörda aktörens samtycke genom utnyttjande av en sårbarhet. I paragrafen förutsätts det särskilt också att kartläggningen inte får medföra olägenhet för funktionen hos de berörda systemen eller tjänsterna. Det är enligt momentet också förbjudet att påverka kommunikationsnätets och informationssystemets funktion vid sårbarhetskartläggningen på ett sätt som avviker från tjänstens normala funktion eller annars orsakar störningar eller att obehörigen behandla information i kommunikationsnätet eller informationssystemet. Det är enligt förslaget alltså inte tillåtet att genomföra en sårbarhetskartläggning på dessa sätt. Till exempel ett enskilt försök med en kombination av ett känt eller på förhand känt standardanvändarnamn och lösenord till ett system för att avgöra om systemet är ändamålsenligt skyddat ska inte betraktas som ett inkräktande och därmed förbjudet intrång i kommunikationsnätet och informationssystemet, om verksamheten i kommunikationsnätet och informationssystemet inte fortsätter eller uppgifterna i systemet inte behandlas efter ett sådant försök. Det är inkräktande och därför förbjudet att till exempel upprepat testa en kombination av ett standardanvändarnamn och ett lösenord på ett sätt som gör att koderna låses av IT-säkerhetsskäl. För bedömningen av intrånget är det väsentligt vad som görs i informationssystemet. Om en sårbarhet upptäcks så att säkerhetsarrangemanget ger åtkomst till informationssystemet, ska verksamheten inte tolkas som inkräktande, i det fall att förbindelsen till informationssystemet avbryts omedelbart efter observationen och verksamheten i informationssystemet upphör. Om man efter en sådan observation obehörigen skulle behandla vilken information som helst i informationssystemet, skulle verksamheten vara inkräktande och därmed förbjuden. Vid sårbarhetskartläggningen är det inte tillåtet att behandla personuppgifter som registrerats i kommunikationsnätet eller informationssystemet, eftersom en sådan behandling är inkräktande. 

I sårbarhetskartläggningen kan man bara observera eller kartlägga kommunikationsnät och informationssystem. Det är inte tillåtet att genom sårbarhetskartläggning inhämta och behandla information som omfattas av skyddet för konfidentiell kommunikation, såsom förmedlingsuppgifter eller innehållet i meddelanden där CSIRT-enheten inte är part i kommunikationen. I sårbarhetskartläggningen har CSIRT-enheten rollen som part i kommunikationen. Det är tekniskt sett inte möjligt att med hjälp av allmän nätbaserad sårbarhetskartläggning behandla tredjepartskommunikation om man har en utomståendes roll. Sårbarhetskartläggningen får och tekniskt sett kan därmed inte behandla uppgifter om kommunikation som omfattas av skyddet för konfidentiell kommunikation. Om ett kommunikationsnät eller något annat informationssystem som omfattas av en sårbarhetskartläggning i ett synnerligen exceptionellt fall på grund av en synnerligen exceptionell teknisk störning eller en motsvarande allvarlig sårbarhet returnerar uppgifter om tredjepartskommunikation till exempel från en e-postservers cacheminne, ska uppgifterna raderas utan dröjsmål.  

Vid sårbarhetskartläggningen är det inte tillåtet att behandla personuppgifter som registrerats i kommunikationsnätet eller informationssystemet. För att genomföra kartläggning av sårbarheter har CSIRT-enheten rätt att inhämta information om identifieringsuppgifter om teleterminalutrustning och informationssystem som är kopplade till ett allmänt kommunikationsnät samt om deras datakommunikationsarrangemang, de programvaror som används och deras funktion och tekniska genomförande och de tjänster som tillhandahållits med hjälp av dem. Sårbarhetskartläggningen kan också gälla sådan nätutrustning i det allmänna kommunikationsnätet som faller under begreppet kommunikationsnät. 

I 3 mom. föreskrivs det om ändamålet med de uppgifter som upptäcks vid sårbarhetskartläggningen. Uppgifter som har upptäckts vid en sårbarhetskartläggning får användas endast för att informera den som är föremål för sårbarhetskartläggningen om sårbarheter och risker i kommunikationsnätet och informationssystemet. Dessutom kan CSIRT-enheten använda uppgifterna för att sköta de uppgifter som avses i 20 § 1 mom. 1, 4 och 5 punkten. Dessa uppgifter omfattar  

att övervaka och analysera cyberhot, sårbarheter och incidenter på nationell nivå, samla in information om dem och tillhandahålla tidiga varningar, larm, meddelanden och information om dem. 

att reagera på incidentanmälningar och vid behov bistå den part som anmält incidenten, och  

att utarbeta risk- och incidentanalyser och stödja upprätthållandet av en lägesbild över cybersäkerheten.  

En sårbarhetskartläggning kan alltså genomföras endast för det ändamål som anges i 1 mom. Uppgifter som samlats in genom en sårbarhetskartläggning kan dock på det sätt som föreskrivs i 3 mom. också användas för CSIRT-enhetens uppgifter. Onödig information ska utplånas utan dröjsmål.  

Enligt det föreslagna 4 mom. har CSIRT-enheten rätt att på begäran av den som är föremål för kartläggningen utföra en kartläggning för att upptäcka en sårbarhet som kan ha en betydande inverkan på kommunikationsnätet eller informationssystemet eller de tjänster som tillhandahålls med hjälp av dem. En sådan kartläggning som CSIRT-enheten genomför på begäran och i samarbete med den berörda parten kan avvika från de villkor som anges i 1–3 mom. CSIRT-enheten är inte skyldig att på begäran utföra en kartläggning av sårbarheter, utan den kan utifrån den riskbaserade prioriteringen av uppgifterna överväga om det är ändamålsenligt att en separat sårbarhetskartläggning på begäran utförs uttryckligen av CSIRT-enheten.  

I det föreslagna 5 mom. förtydligas det att förmedlingsuppgifter om innehållet i elektroniska meddelanden inte får behandlas i en sårbarhetskartläggning eller riktad sårbarhetskartläggning. Som ovan sagt är det inte tekniskt möjligt att behandla innehållet i elektroniska meddelanden när sårbarhetskartläggningen utförs på ett icke-inkräktande sätt och även i övrigt på det sätt som beskrivs ovan. Med tanke på den tekniska utvecklingen och för att förtydliga ramvillkoren för riktade sårbarhetskartläggningar föreslås det i paragrafen ett entydigt förbud mot att i sårbarhetskartläggningen eller den riktade sårbarhetskartläggningen behandla förmedlingsuppgifter eller uppgifter om elektroniska meddelandens innehåll. CSIRT-enheten ska dessutom utplåna den information som den fått vid kartläggningen av sårbarheter, när informationen inte längre behövs för att informera den berörda verksamhetsutövaren om sårbarheten eller för en uppgift som avses i 3 mom.  

Grunden för behandling av personuppgifter vid sårbarhetskartläggning är artikel 6.1 c och e i den allmänna dataskyddsförordningen. 

22 §. Samordnad delgivning av information om sårbarheter. I paragrafen föreskrivs det om en samordnad process för delgivning av information om sårbarheter. Genom förslaget genomförs artikel 12.1 i NIS 2-direktivet.  

Enligt 1 mom. är CSIRT-enheten den samordnare för den samordnade delgivningen av information om sårbarheter som avses i artikel 12 i NIS 2-direktivet. För delgivning av information om sårbarheter tar CSIRT-enheten emot rapporter om upptäckta sårbarheter. Rapporter kan lämnas till CSIRT-enheten av vem som helst och även anonymt. CSIRT-enheten ska alltid säkerställa anonymitet för en fysisk eller juridisk person som rapporterar en sårbarhet, såvida inte den rapporterande personen uttryckligen samtycker till att hans eller hennes identitet avslöjas. CSIRT-enheten ska också se till att uppföljningsåtgärder vidtas med anledning av rapporterna, såsom att information om en sårbarhet lämnas till tillverkaren eller leverantören av en IKT-produkt eller IKT-tjänst och till den europeiska sårbarhetsdatabasen samt att aktören vidtar behövliga uppföljningsåtgärder med anledning av upptäckten. Europeiska unionens cybersäkerhetsbyrå Enisa förvaltar den europeiska sårbarhetsdatabasen och dess författningsgrund finns i artikel 12 i NIS 2-direktivet. 

Enligt 2 mom. ska CSIRT-enheten i egenskap av samordnare kontakta de berörda aktörerna, stödja dem som rapporterar sårbarheter, förhandla om tidsramar för delgivning av information och hantera sårbarheter som påverkar flera aktörer. Vid behov ska CSIRT-enheten också fungera som en betrodd mellanhand mellan den som rapporterar en sårbarhet och tillverkaren eller leverantören av IKT-produkten eller IKT-tjänsten. Dessutom kan CSIRT-enheten ge vägledning och råd om hur information rapporteras till och söks i den europeiska sårbarhetsdatabasen. Dessutom kan CSIRT-enheten trots bestämmelsen ge vägledning och råd om hur information vid behov kan rapporteras till och sökas i någon annan behövlig sårbarhetsdatabas. CSIRT-enheten har också rätt att rapportera sårbarheter som den själv har kännedom om till den europeiska sårbarhetsdatabasen. CSIRT-enheten kan till den europeiska sårbarhetsdatabasen rapportera de uppgifter om en sårbarhet som avses i 3 mom.  

Enligt 3 mom. ska CSIRT-enheten vid behov samarbeta med andra enheter inom CSIRT-nätverket, om den får kännedom om en sårbarhet som kan ha en betydande påverkan på andra EU-medlemsstater.  

23 §.Frivilliga arrangemang för informationsutbyte om cybersäkerhet. I paragrafen finns det bestämmelser om frivilliga arrangemang för informationsutbyte om cybersäkerhet som samordnas av CSIRT-enheten. Syftet med de frivilliga arrangemangen är att utbyta cybersäkerhetsinformation mellan aktörer och CSIRT-enheten i syfte att förebygga och upptäcka cyberhot samt reagera på och återhämta sig från incidenter eller begränsa deras inverkan. Genom förslaget genomförs artikel 29 i NIS 2-direktivet.  

Paragrafen tillämpas endast på sådana arrangemang för informationsutbyte om cybersäkerhet som samordnas av CSIRT-enheten. Trots vad som föreskrivs i 1 mom. kan tillsynsmyndigheten inom sitt ansvarsområde stödja också andra sammanslutningar för informationsutbyte. Aktörerna kan också komma överens om att inrätta andra sådana sammanslutningar. Både aktörer som omfattas av tillämpningsområdet för den föreslagna lagen och andra offentliga eller privata organisationer kan delta i frivilliga arrangemang för informationsutbyte som samordnas av CSIRT-enheten. Syftet med arrangemangen för informationsutbyte är att förebygga och upptäcka cyberhot mot deltagande organisationers och deras kunders kommunikationsnät, informationssystem eller tjänster och att hantera och återställa incidenter eller lindra deras konsekvenser. Det är därmed möjligt att delta i arrangemang för informationsutbyte inte bara för att skydda organisationens egen verksamhet; till exempel kan en leverantör av utlokaliserade driftstjänster delta för att skydda sina kunder.  

De som deltar i ett frivilligt arrangemang för informationsutbyte om cybersäkerhet kan utbyta den information som avses i 2 mom. De som deltar i det frivilliga arrangemanget för informationsutbyte om cybersäkerhet kan också utbyta annan information som behövs för att avvärja cyberhot och incidenter, såsom rekommendationer om konfiguration av (dvs. definition av inställningar) cybersäkerhetsverktyg som används för att upptäcka cyberattacker. Parterna i arrangemanget för informationsutbyte ska trots bestämmelsen ha möjlighet att komma överens om förfaranden och tillvägagångssätt vid behandlingen av information som utbyts eller i fråga om informationens konfidentialitet.  

För tydlighetens skull konstateras det att informationsutbytet ska grunda sig på frivillighet hos den som lämnar ut informationen. Med bestämmelsen avses alltså inte någon lagstadgad skyldighet för den som deltar i ett arrangemang för informationsutbyte att dela uppgifter som avses i 2 mom. eller andra uppgifter till andra som deltar i arrangemanget. När information lämnas ut inom ramen för ett frivilligt arrangemang för utbyte av cybersäkerhetsuppgifter ska man beakta eventuella sekretessförpliktelser eller andra begränsningar i fråga om utlämnande av informationen. För tydlighetens skulle konstateras det också att den föreslagna lagen med stöd av 4 § 7 mom. inte förpliktar till att lämna ut information vars utlämnande skulle äventyra försvaret eller den nationella säkerheten eller strida mot ett viktigt intresse i samband därmed.  

Information kan utbytas särskilt om de omständigheter som avses i 2 mom.  

Med cyberhot avses i enlighet med 2 § en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka kommunikationsnät och informationssystem, användare av dessa nät och system och andra personer. Det är fråga om ett hot som, om det realiseras, äventyrar samhällets vitala funktion eller någon annan funktion som är beroende av cyberomgivningen. Cyberhot kan orsakas inte bara av faktiska hot mot informationssäkerheten utan också av gärningar i den digitala kommunikationsmiljön som äventyrar informationssäkerheten. Cyberhot kan rikta sig exempelvis mot samhällets vitala funktioner, den nationella kritiska infrastrukturen, företag av alla storlekar, organisationer inom stats- eller kommunalförvaltningen och också mot enskilda medborgare. Cyberhot kan ha både direkta och indirekta konsekvenser för olika aktörer i samhället och ursprunget till dem kan finnas såväl inom som utanför Finlands gränser. 

Cyberhot kan till exempel vara en kampanj för nätfiske som riktar sig mot organisationen och som genomförs. Syftet med kampanjen är att få tillgång till användarkoder och lösenord för organisationens anställda för att genomföra ett egentligt dataintrång eller en cyberattack. Dessutom kan ett lyckat dataintrång i organisationens miljö medföra många cyberhot som kan påverka tillförlitligheten och integriteten hos samt tillgängligheten till information som är kritisk för organisationens funktion. Ett annat exempel på cyberhot är överbelastningsattacker som kan hota organisationens funktion exempelvis genom att förhindra användningen av system och tjänster som är kritiska för organisationens verksamhet eller genom att försämra tillgången till dem. Cyberhotet kan också härröra från organisationens egna åtgärder: till exempel ett avsiktligt eller oavsiktligt felaktigt kommando eller en felaktig konfiguration i samband med underhåll av nät- och informationssystem kan utgöra ett cyberhot genom att orsaka en störningssituation i systemmiljön eller göra den sårbar. Cyberhot kan dessutom ha betydande konsekvenser för tillgången till organisationens tjänster. En fientlig aktör kan försöka påverka produktionsanläggningens verksamhet negativt och utgöra ett allvarligt cyberhot mot produktionen till exempel genom ett dataintrång i styrsystemet för produktionsanläggningens automatiseringsmiljö eller processproduktion. Ett sådant cyberhot kan få allvarliga konsekvenser om det gäller exempelvis miljön för elproduktion, vattenförsörjning, livsmedelsproduktion eller någon annan viktig samhällsfunktion. 

Med incident avses enligt 2 § i lagförslaget en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem. En incident kan till exempel vara en enskild identifierad informationssäkerhetsincident eller en grupp sammanhörande händelser som baserar sig på logguppgifter som samlats in från servrar och som tyder på försök till eller ett lyckat dataintrång. En incident kan alltså också vara en större helhet av olika informationshändelser som upptäcks på webben och som exempelvis antyder att en identifierad fientlig aktörs teknik eller förfarande används i målmiljön, till exempel ett angrepp med ett utpressningsprogram eller beredning av ett sådant angrepp. Å andra sidan kan incidenten helt enkelt vara en situation som orsakas av en systemstörning eller ett fel i utrustningen och som utgör ett hot mot organisationens informationssäkerhet. 

Med tillbud avses liksom i artikel 6.5 i NIS 2-direktivet en händelse som kunde ha undergrävt tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem, men som framgångsrikt hindrades från att utvecklas eller som av någon slumpmässig orsak inte uppstod.  

Som exempel på tillbud kan nämnas till exempel en informationssäkerhetsincident som upptäcktes i en organisations säkerhetskontrollrum (Security Operations Centre, SOC) och som orsakade ett larm i övervakningssystemet (Security Incident and Event Management, SIEM) till följd av en känd angreppsindikator (IoC). Larmet ledde till att man kunde reagera snabbt och vidta säkerhetsåtgärder som hindrade den sista fasen av den pågående attacken med ett utpressningsprogram, där den fientliga aktören skulle ha krypterat offrets data och försökt pressa offret på pengar för att återställa informationen. I det fallet lyckades man stoppa det egentliga angreppet i den fas där cyberincidenten och dataintrånget inträffade, eftersom angriparen lyckats bryta sig in i organisationens informationssystem. Det egentliga målet med angreppet, dvs. kryptering av data och utpressning, förhindrades dock. Det kan också vara fråga om ett tillbud till exempel när Transport- och kommunikationsverkets Cybersäkerhetscenter underrättar en organisation om att organisationens administratör-ID har sålts på en handelsplats för cyberbrottslingar. Till följd av underrättelsen hindrar organisationen att dessa administratör-ID används omedelbart innan det i loggarna i organisationens distansanvändningstjänst upptäcks att ID-koden används i försök till dataintrång i organisationens nätmiljö. 

Med sårbarhet avses enligt 2 § en svaghet, känslighet eller brist hos IKT-produkter eller IKT-tjänster som kan utnyttjas genom ett cyberhot, En sårbarhet är t.ex. ett fel eller en svaghet i en kommersiell programvara eller en programvara med öppen källkod som gör det möjligt att kringgå programvarans informationssäkerhetskontroll. Många organisationer har i sin webbmiljö en teknisk lösning som gör det möjligt att använda vissa av organisationens informationssystem på distans (VPN-tjänst). En distansanvändningstjänst är sårbar om det i tjänstens funktion för identifiering av användare upptäcks ett fel som gör det möjligt för angriparen att genom en på ett visst sätt formulerad identifieringsbegäran ta sig förbi tjänstens identifieringsfas och logga in i tjänsten med vilken kod som helst. 

Om det när en viss sårbarhet uppdagas ännu inte finns någon officiell programuppdatering som korrigerar sårbarheten, är det fråga om s.k. nolldagssårbarhet. Organisationen kan då ännu inte åtgärda sårbarheten själv genom en uppdatering av programvaran. Organisationen kan trots det i allmänhet vidta andra åtgärder som begränsar utnyttjandet av sårbarheten, såsom att ta den sårbara funktionen ur drift, om det är möjligt, eller med hjälp av någon annan säkerhetskontroll, till exempel genom olika nätskikt. 

Taktik, teknik och förfaranden (Tactics, Techniques och Procedures - TTP) hänvisar allmänt till den verksamhetsmodell som en fientlig aktör använder vid cyberattacker. Taktiken är en högnivåbeskrivning av angriparens verksamhet, medan tekniken ger en mer detaljerad beskrivning av angriparens agerande i det taktiska sammanhanget. Förfarandena är mycket detaljerade lågnivåbeskrivningar av angriparens tekniska verksamhet. 

Taktiken anger den fientliga aktörens övergripande agerande och strategi för att genomföra ett angrepp och uppnå ett visst mål. Målet kan vara exempelvis att kartlägga och spionera i den drabbade miljön, att bryta sig in i miljön, att höja åtkomsträttigheterna, att utvidga angreppet eller att stjäla information eller utpressa föremålet för angreppet. Tekniken beskriver noggrannare de åtgärder som angriparen vidtar för att förbereda ett intrång eller genomföra en egentlig attack i miljön. Tekniker som kan användas är till exempel att skicka ett phishingmeddelande för att få tillgång till användarnamn och lösenord, utnyttja kända sårbarheter, modifiera användarnamn och rättigheter, köra ett angreppsverktyg, kringgå observationsmetoder, påverka serverprogrammet och aktivt kartlägga objektets miljö ytterligare. Procedurerna kombinerar å sin sida den fientliga aktörens taktik med de valda teknikerna på en mycket detaljerad nivå. Till exempel kan proceduren vara en detaljerad uppgift om att den fientliga aktören genomför det första skedet av ett angrepp genom att utnyttja en sårbarhet i ett visst distansanvändningssystem och därigenom kan köra sin egen programkod i målsystemet, varvid denna programkod möjliggör obehörig användning av tjänsten genom att ändra konfigurationen av distansanvändningstjänsten och ge åtkomst till objektets intranät. 

Angreppsindikatorerna är tekniska identifierare eller mätbara observationer som gör det möjligt att fastställa om en cyberattack är möjlig, pågår eller har ägt rum redan tidigare. De vanligaste angreppsindikatorerna är nät-, apparat-, fil- och beteendebaserade. Exempel på nätbaserade angreppsindikatorer är IP-adresser, domännamn och webbadresser (URL) som används av angriparen samt beteckningar som identifierar klient- och serverprogram. Nätbaserade angreppsindikatorer kan med hjälp av ett system för intrångsdetektion (IDS) upptäckas direkt i nättrafiken eller på grundval av logguppgifter som samlats in från nättrafiken i ett för ändamålet utformat logghanteringssystem. En nätbaserad indikator kan i princip vara vilken teknisk identifikationsuppgift eller händelse som helst som kan observeras på nätverksnivå. De apparatbaserade angreppsindikatorerna hänför sig däremot vanligen till förändringar som avviker från det normala t.ex. i apparatens konfigurationsdata eller till någon annan avvikande funktion i apparaten eller dess programvara. För att kunna upptäcka dessa indikatorer behövs vanligen ett separat program som följer hur enheten fungerar, observerar avvikelser och slår larm om dem. På apparatnivå kan man också observera angreppsindikatorer i anslutning till att angriparens skadliga program körs, såsom indikatorer som identifierar program när de körs eller andra minnesberoende programidentifierare. 

Av de filbaserade angreppsindikatorerna är de vanligaste identifieringskoderna som beräknats utifrån de filer som identifierats som skadliga, dvs. filens fingeravtryck, på basis av vilka man kan identifiera t.ex. angriparens skadliga program eller andra verktyg. Dessa angreppsindikatorer kan användas för att utreda dataintrång eller upptäcka en viss fientlig aktörs förfaranden i den miljö som ska skyddas. Beteendebaserade angreppsindikatorer kan grunda sig exempelvis på att användarna av informationssystem, dvs. människor, agerar avvikande i nätmiljön, till exempel loggar in i organisationens informationssystem vid en avvikande tidpunkt eller på en annan plats än den vanliga. 

Vanliga praktiska exempel på angreppsindikatorer är ovanliga begäranden till en namnserver, misstänkta filer, tillämpningar och processer, IP-adresser och domännamn som ingår i ett botnet eller sabotageprogram, misstänkt verksamhet på användarkonton med huvudanvändarrättigheter, oväntade programuppdateringar, dataöverföring via portar som används sällan, atypisk telekommunikation på webbplatsen, fingeravtryck för filer i kända sabotageprogram, otillåten ändring av konfigurationsfiler, register och maskinvaruinställningar samt ett stort antal misslyckade inloggningsförsök. 

Fientliga aktörer kan vara till exempel enskilda cyberbrottslingar, kriminella sammanslutningar, statliga aktörer, hacktivister, illasinnade hackare, interna hot och terroristgrupper. Dessa har olika mål för sin verksamhet och motivationen grundar sig ofta antingen på ekonomisk vinning, politiskt eller annat ideellt intresse eller på strävan efter ryktbarhet. Med andra ord finns det ett brett spektrum av fientliga aktörer som kan variera från enskilda oberoende angripare till högresursgrupper som agerar samordnat inom en större kriminell organisation eller med stöd av en statlig aktör. Fientliga aktörer kan agera långsiktigt, vara motiverade och anpassningsbara samt använda olika taktiker, tekniker och procedurer (TTP) för att bryta sig in i informationssystem, störa tjänster och eftersträva ekonomisk vinning. De kan också stjäla eller röja organisationens affärshemligheter och annan känslig information.  

Med cybersäkerhetsvarning avses i allmänhet en situation som till följd av en säkerhetsincident orsakas antingen av organisationens automatiska övervakningssystem eller på basis av fynd vid aktiv spaning efter hot. En varning kan uppstå t.ex. när ett system för övervakning av it-säkerhetsincidenter observerar en känd angreppsindikator eller någon annan på förhand definierad händelse som utsetts att utlösa en varning. 

I 3 mom. föreskrivs det om CSIRT-enhetens rätt att till den som deltar i ett frivilligt arrangemang för delning av cybersäkerhetsuppgifter lämna ut information om förmedlingsuppgifter som har samband med ett cyberhot eller en incident eller om ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando. Utöver vad som föreskrivs i den föreslagna lagen får CSIRT-enheten lämna ut information som den fått och inhämtat vid utförandet uppgifter enligt lagen på det sätt som föreskrivs i 319 § i lagen om tjänster inom elektronisk kommunikation.  

I 4 mom. föreskrivs det om rätt för den som deltar i ett frivilligt informationsutbyte om cybersäkerhet att trots 136 § 4 mom. i lagen om tjänster inom elektronisk kommunikation på eget initiativ till CSIRT-enheten och någon annan part som deltar i frivilliga arrangemang för informationsutbyte enligt denna lag lämna ut information om förmedlingsuppgifter som har samband med ett cyberhot eller en incident eller om ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando.  

För att hantera cyberhot och händelser och förebygga skadliga effekter är det nödvändigt att CSIRT-enheten och de som deltar i arrangemanget för informationsutbyte har möjlighet att till andra parter i arrangemanget på eget initiativ lämna information om ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando och om dess förmedlingsuppgifter, till den del informationen gäller de tekniska egenskaperna och spåren hos ett skadligt datorprogram eller kommando eller teknisk information om något annat cyberhot eller någon annan incident. Bestämmelsen omfattar till exempel utlämnande av information om logguppgifter i anslutning till ett skadligt datorprogram. För att uppnå syftet med det frivilliga arrangemanget för informationsutbyte om cybersäkerhet är det nödvändigt att de som deltar i det frivilliga arrangemanget sinsemellan kan utbyta information om skadliga datorprogram och kommandon. Om den information som utlämnas med stöd av paragrafen är personuppgifter, ska också bestämmelserna om personuppgifter i den allmänna dataskyddsförordningen och dataskyddslagen iakttas separat. Behovet av informationsutbyte gäller inte det semantiska innehållet i den elektroniska kommunikationen, dvs. det innehåll som skapats av människan, utan meddelandets tekniska egenskaper. Förslagets förhållande till skyddet för konfidentiell kommunikation behandlas nedan i motiven till lagstiftningsordningen. 

Med stöd av 5 mom. får den som deltar i ett arrangemang för informationsutbyte behandla information om förmedlingsuppgifter som har samband med ett cyberhot eller en incident eller om ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando och som erhållits med stöd av 3 eller 4 mom. endast för de ändamål som avses i 1 mom. Dessutom kan CSIRT-enheten behandla informationen för skötseln av en uppgift som anges i 20 § 1 mom. Utlämnandet av information får inte begränsa skyddet av konfidentiella meddelanden och integritetsskyddet mer än vad som är nödvändigt för det syfte som anges i 1 mom.  

Vid frivilliga arrangemang för utbyte av cybersäkerhetsinformation enligt denna paragraf är den rättsliga grunden för utlämnande av personuppgifter enligt artikel 6 i dataskyddsförordningen i fråga om de myndigheter som deltar i arrangemangen allmänt intresse eller myndighetsutövning enligt artikel 6.1 e i dataskyddsförordningen och i fråga om privata aktörer och enheter som deltar i arrangemangen ett berättigat intresse enligt artikel 6.1 f i dataskyddsförordningen. 

Genom den föreslagna 23 § genomförs artikel 29 i NIS 2-direktivet. 

24 §.Behandling av information i anslutning till tjänsten för upptäckande av kränkningar av informationssäkerheten. I paragrafen föreskrivs det om behandling av information i den tjänst för upptäckande av kränkningar av informationssäkerheten som avses i 20 § 4 mom., vilket behövs till den del elektroniska meddelanden eller förmedlingsuppgifter behandlas i tjänsten. Paragrafen är en specialbestämmelse i förhållande till bestämmelserna om behandling av elektroniska meddelanden och förmedlingsuppgifter i 17 kap. i lagen om elektronisk kommunikation.  

Enligt 1 mom. får en aktör eller en annan sammanslutning än en sådan som omfattas av den föreslagna lagens tillämpningsområde som använder tjänsten för upptäckande av kränkningar av informationssäkerheten, servicecentret och CSIRT-enheten till varandra lämna ut information som behövs för att följa upp informationssäkerheten i kommunikationsnät och informationssystem i syfte att förebygga och upptäcka cyberhot samt reagera på och återhämta sig från incidenter eller begränsa deras inverkan. CSIRT-enheten får lämna ut uppgifter som avses i 1 mom. med hjälp av en elektronisk förbindelse eller ett tekniskt gränssnitt på det sätt som föreskrivs i 24 § i informationshanteringslagen. I den mån det är nödvändigt för genomförande av tjänsten för upptäckande av kränkningar av informationssäkerheten får den information som lämnas ut innehålla sådana elektroniska meddelanden eller förmedlingsuppgifter om dem som den aktör eller någon annan sammanslutning som använder tjänsten har begärt att ska behandlas i tjänsten och som den har rätt att behandla med stöd av 272 § i lagen om tjänster inom elektronisk kommunikation.  

De uppgifter som lämnas ut kan alltså utöver andra uppgifter också innehålla elektroniska meddelanden som den som använder tjänsten har begärt att ska behandlas i tjänsten eller förmedlingsuppgifter i anslutning till dem i den utsträckning det är nödvändigt för att utföra tjänsten för upptäckande av kränkningar av informationssäkerheten. I tjänsten kan behandlas annan information än konfidentiell elektronisk kommunikation eller förmedlingsuppgifter, men det är nödvändigt att föreskriva särskilt om denna typ av information på grund av de begränsningar av behandlingen som föreskrivs i lagen om tjänster inom elektronisk kommunikation. Syftet med bestämmelsen är att förtydliga att denna typ av information med stöd av det föreslagna 1 mom. får lämnas ut och behandlas trots 136 § 4 mom. i lagen om tjänster inom elektronisk kommunikation, om de förutsättningar som anges i paragrafen uppfylls. Bestämmelsen förtydligar också hur behandlingen av information i tjänsten förhåller sig till förutsättningarna i 137 § i lagen om tjänster inom elektronisk kommunikation. Till de typer av information som en part har rätt att behandla med stöd av 272 § i lagen om tjänster inom elektronisk kommunikation hör till exempel elektronisk kommunikation som begärs bli behandlad i en tjänst, förmedlingsuppgifter i anslutning till den och andra logguppgifter eller metadata som beskriver kommunikationen samt behövliga identifieringskoder, dvs. angreppsindikatorer, som används för att identifiera kränkningar av och hot mot informationssäkerheten. 

En förutsättning för utlämnande av meddelanden eller förmedlingsuppgifter är utöver nödvändighet att den aktör som använder tjänsten för upptäckande av kränkningar av informationssäkerheten har rätt att behandla informationen med stöd av 272 § i lagen om tjänster inom elektronisk kommunikation. I 272 § i lagen om tjänster inom elektronisk kommunikation föreskrivs om rätten för kommunikationsförmedlare och leverantörer av mervärdestjänster samt för dem som handlar för deras räkning att vidta nödvändiga åtgärder för att sörja för informationssäkerheten. De förutsättningar för behandling av information som anges i 272 § 3 och 4 mom. i lagen om tjänster inom elektronisk kommunikation ska också tillämpas på tjänsten för upptäckande av kränkningar av informationssäkerheten. Åtgärderna ska vidtas omsorgsfullt och stå i proportion till den störning som ska avvärjas. När åtgärderna vidtas får yttrandefriheten eller skyddet av konfidentiella meddelanden eller integritetsskyddet inte begränsas mer än vad som är nödvändigt. Åtgärderna ska avslutas, om det enligt paragrafen inte längre finns förutsättningar för att vidta dem. 

I 2 mom. preciseras de bestämmelser som alltid ska tillämpas vid tillhandahållandet av en tjänst oberoende av om servicecentret eller CSIRT-enheten är en leverantör av mervärdestjänster enligt lagen om tjänster inom elektronisk kommunikation eller inte. Villkoret i 1 mom. för rätten att behandla meddelanden och förmedlingsuppgifter med stöd av 272 § i lagen om tjänster inom elektronisk kommunikation inbegriper förutsättningen att parten ska vara en sådan kommunikationsförmedlare som avses i lagen om tjänster inom elektronisk kommunikation. CSIRT-enheten har rätt att använda förmedlingsuppgifter och andra uppgifter som den fått i samband med produktionen av tjänsten för att stödja upprätthållandet av en lägesbild över den nationella cybersäkerheten.  

I 3 mom. preciseras det att meddelanden och förmedlingsuppgifter som lämnats ut till CSIRT-enheten för att utföra en tjänst för upptäckande av kränkningar av informationssäkerheten också ska omfattas av vad som i 316 § 4 mom. i lagen om tjänster inom elektronisk kommunikation föreskrivs om utplåning av information om utredning av betydande kränkningar av eller hot mot informationssäkerheten och i 319 § 1 mom. om tystnadsplikt.  

Den rättsliga grunden för CSIRT-enhetens behandling av personuppgifter vid upprättandet av en tjänst för upptäckande av kränkningar av informationssäkerheten är allmänintresset eller myndighetsutövning i enlighet med artikel 6.1 e i den allmänna dataskyddsförordningen. 

25 §.Information som lämnats ut till CSIRT-enheten på frivillig basis. I paragrafen föreskrivs det om begränsning av användningen av information som på frivillig basis lämnats ut till CSIRT-enheten för att skydda den som frivilligt lämnar ut informationen. Begränsningen gäller information som frivilligt lämnas ut till CSIRT-enheten för skötseln av dess uppgifter enligt den föreslagna lagen. Information som frivilligt lämnats ut till CSIRT-enheten får inte utan samtycke av den som lämnat ut informationen användas i brottsutredningar eller vid administrativt eller annat beslutsfattande som gäller den som lämnat ut informationen. För att CSIRT-enheten ska kunna sköta sina uppgifter och cybersäkerheten förbättras förutsätts ett förtroendefullt förhållande mellan CSIRT-enheten och de aktörer som lämnar information till CSIRT-enheten. Därför är det nödvändigt att information som frivilligt lämnas ut till CSIRT-enheten för skötseln av dess uppgifter inte kan användas för att rikta påföljder mot den som lämnat ut informationen utan dennes samtycke. Förtroendet för CSIRT-verksamhetens oberoende, som följer av CSIRT-enhetens självständiga ställning och av den föreslagna bestämmelsen, möjliggör att olika aktörer även i fortsättningen i stor utsträckning och frivilligt lämnar enheten anmälningar utifrån vilka enheten kan stödja och stärka cybersäkerheten i det finländska samhället.  

Paragrafen motsvarar skäl 41 i NIS 2-direktivet. Där sägs det att för att stärka förtroendeförhållandet mellan aktörerna och CSIRT-enheterna ska medlemsstaterna, när en CSIRT-enhet är en del av de behörig myndighet, kunna överväga funktionell åtskillnad mellan de operativa uppgifter som utförs av CSIRT-enheterna, särskilt när det gäller informationsutbyte och bistånd till aktörerna, och de behöriga myndigheternas tillsynsverksamhet. Genom den begränsning som föreskrivs för att skydda den som frivilligt lämnar ut uppgifter åtskiljs också information som används i tillsynsverksamheten och i den operativa verksamheten vid CSIRT-enheten och främjas tillgodoseendet av aktörens rättsskydd. 

26 §.Tillsynsmyndigheter. I paragrafen föreskrivs det om de myndigheter som utövar tillsyn över att lagen följs. Med tillsynsmyndighet avses i lagen den behöriga myndighet som avses i NIS 2-direktivet.  

I 1 mom. föreskrivs det om tillsynsmyndighetens uppgift. Tillsynsmyndigheten ska inom sitt ansvarsområde övervaka att den föreslagna lagen, de föreskrifter som utfärdas med stöd av den och de rättsakter som antagits med stöd av NIS 2-direktivet följs. I momentet åläggs tillsynsmyndigheten vissa uppgifter i fråga om varje aktör som avses i bilagorna I och II.  

Med akter som antas med stöd av NIS 2-direktivet avses kommissionens genomförandeakter enligt artiklarna 21.5 och 23.11 och kommissionens delegerade akter enligt artikel 24.2 i direktivet. 

Transport- och kommunikationsverket är enligt lagförslaget tillsynsmyndighet inom trafik- och rymdsektorn, i fråga om tjänster inom digital infrastruktur, IKT-tjänster, post- och budtjänster och digitala tjänster, i fråga om tillverkning av motorfordon, släpvagnar, påhängsvagnar och andra fordon samt i fråga om forskningsorganisationer.  

Energimyndigheten är tillsynsmyndighet i fråga om innehavare av distributions- eller överföringsnät för el, fjärrvärme, fjärrkyla och naturgas samt aktörer som överför vätgas.  

Säkerhets- och kemikalieverket är enligt lagförslaget tillsynsmyndighet i fråga om andra aktörer inom gasbranschen, aktörer inom oljebranschen, aktörer som bedriver produktion och lagring av vätgas samt i fråga om tillverkning, produktion och distribution av kemikalier samt även i fråga om tillverkning av datorer, elektronikvaror och optik, elmateriel och tillverkning av övriga maskiner.  

Tillstånds- och tillsynsverket för social- och hälsovården är enligt lagförslaget tillsynsmyndighet i fråga om tillhandahållare av tjänster inom hälso- och sjukvårdssektorn och EU-referenslaboratorier.  

Närings-, trafik- och miljöcentralen i Södra Savolax är tillsynsmyndighet i fråga om behandling av dricksvatten och spillvatten samt avfallshanteringstjänster.  

Livsmedelsverket är tillsynsmyndighet i fråga om tillhandahållande av tjänster inom livsmedelssektorn.  

Säkerhets- och utvecklingscentret för läkemedelsområdet är tillsynsmyndighet i fråga om andra tillverkare av medicintekniska produkter än tillverkare av sådana medicintekniska produkter som anses kritiska vid ett hot mot folkhälsan. Säkerhets- och utvecklingscentret för läkemedelsområdet är tillsynsmyndighet också i fråga om blodtjänster, apotek och sådana tillhandahållare av läkemedel eller medicinska hjälpmedel som avses i EU:s direktiv om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (2011/24/EU). 

I 2 mom. föreskrivs det om tillsynsmyndigheternas skyldighet att samarbeta vid genomförandet av tillsynen. Samarbetsskyldigheten konkretiseras särskilt i situationer där en aktör bedriver verksamhet på bred front inom flera sektorer så att fler än en myndighet med stöd av 1 mom. är behörig att utöva tillsyn över aktören. Tillsynsmyndigheterna förutsätts då samarbeta för att genomföra tillsynen på ett sätt som sparar resurser för tillsynsobjektet och tillsynsmyndigheterna. Tillsynsmyndigheterna ska till exempel samordna de tillsynsåtgärder som gäller aktören i fråga och i tillämpliga delar utnyttja varandras riskbedömningar samt avstå från att vidta överlappande tillsynsåtgärder utan samordning. Aktören får inte bli föremål för överlappande tillsynsåtgärder i fråga om ett och samma ärende. Samarbetsskyldigheten ska också omfatta samarbetet mellan tillsynsmyndigheterna i andra ärenden än sådana som gäller en enskild aktör.  

27 §.Inriktning av tillsynen. I paragrafen föreskrivs det om inriktningen av tillsynen, om väsentliga aktörer och om prioriteringen av tillsynsmyndighetens uppgifter.  

Med stöd av 1 mom. ska tillsynen över inriktas på de väsentliga aktörerna i enlighet med minimikravet i NIS 2-direktivet. Definitionen av väsentlig aktör motsvarar artikel 3 i NIS 2-direktivet. Tillsynsmyndigheten kan dock inrikta tillsynen också på andra än väsentliga aktörer om det finns grundad anledning att misstänka att aktören i fråga inte har iakttagit denna lag, föreskrifter som utfärdats med stöd av den eller rättsakter som antagits med stöd av NIS 2-direktivet. Med andra än väsentliga aktörer avses sådana viktiga aktörer som avses i artikel 3 i NIS 2-direktivet.  

I enlighet med minimikraven i NIS 2-direktivet ska förhandstillsyn av efterlevnaden av den föreslagna lagen, de bestämmelser som utfärdats med stöd av den samt de bestämmelser som utfärdats med stöd av NIS 2-direktivet riktas till de väsentliga aktörerna. En väsentlig aktör definieras enligt kriterierna för en väsentlig aktör i NIS 2-direktivet. Med andra än väsentliga aktörer avses viktiga aktörer enligt NIS 2-direktivet, dvs. andra än väsentliga aktörer som omfattas av tillämpningsområdet. Av artiklarna 32.1 och 33.1 och skäl 122 i NIS 2-direktivet framgår utgångspunkten att tillsynen delas upp i förhandstillsyn och efterhandstillsyn för de väsentliga respektive de viktiga aktörerna. De väsentliga aktörerna ska i princip omfattas av proaktiv tillsyn och de viktiga, dvs. icke väsentliga, aktörerna ska i princip endast omfattas av efterhandskontroll om det finns bevis, indikationer eller uppgifter som tyder på att de väsentliga aktörerna inte uppfyller skyldigheterna enligt NIS 2-direktivet och de bestämmelser som genomför direktivet.  

Tillsynsmyndigheten kan inrikta tillsynen gentemot andra aktörer, om det finns grundad anledning att misstänka att aktören i fråga inte har iakttagit den föreslagna lagen, föreskrifter som utfärdats med stöd av den eller rättsakter som antagits med stöd av NIS 2-direktivet. Tillsynsmyndigheten kan alltså inte utan grundad misstanke att lagen inte iakttas rikta tillsynsåtgärder i form av förhandskontroll mot andra än väsentliga aktörer. Med andra än väsentliga aktörer avses de aktörer som omfattas av lagens skyldigheter och som inte är väsentliga enligt 2 mom., dvs. viktiga aktörer enligt artikel 3 i NIS 2-direktivet. Med grundad anledning avses bevis, indikationer eller uppgifter som tillsynsmyndigheten får kännedom om och enligt vilka aktören påstås underlåta sina lagstadgade skyldigheter, särskilt i fråga om riskhantering eller rapportering. Grundad anledning kan till exempel vara bevis, indikationer eller information på basis av vilka myndigheten misstänker att aktören i fråga inte har iakttagit lagen, föreskrifter som utfärdats med stöd av den eller författningar som utfärdats med stöd av NIS 2-direktivet. Sådana bevis, indikationer eller uppgifter kan exempelvis vara av den typ som andra myndigheter, aktörer, medborgare, medier eller andra källor lämnar eller offentligt tillgänglig information eller en angivelse till tillsynsmyndigheten, om den inte är uppenbart ogrundad. En grundad anledning föreligger också om aktören har drabbats av en betydande incident. 

I 2 mom. definieras väsentlig aktör i enlighet med artikel 3 i NIS 2-direktivet. Med väsentlig aktör avses en i bilaga I avsedd aktör som överskrider villkoren för medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG. Artikel 3.4 i bilagan till rekommendationen tillämpas inte vid definieringen av en aktör. Väsentliga aktörer är utifrån storleken således stora företag som har minst 250 anställda eller en årlig omsättning på över 50 miljoner euro och en balansräkning på över 43 miljoner euro. Om en aktör har färre än 250 anställda, men både årsomsättningen och balansräkningen överskrider trösklarna, uppfylls definitionen av medelstor aktör. När det bestäms om en aktör är en medelstor aktör ska man, på samma sätt som för tröskeln för definitionen av aktör, beakta omfattningen av aktörens verksamhet i dess helhet, inte bara i fråga om den verksamhet som avses i bilaga I.  

Till väsentliga aktörer räknas också, oberoende av storlek, godkända tillhandahållare av betrodda tjänster, den som förvaltar ett toppdomänsregister och leverantörer av DNS-tjänster. Dessutom är de aktörer som avses i 3 § 3 mom. väsentliga aktörer.  

Väsentliga aktörer är också tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster som uppfyller eller överskrider villkoren för medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG. Artikel 3.4 i bilagan till rekommendationen tillämpas inte vid definieringen av en aktör. Väsentliga aktörer är utifrån storleken således företag som utövar dessa verksamheter och som har minst 50 anställda eller en årlig omsättning på över 10 miljoner euro och en balansräkning på över 10 miljoner euro.  

Om samma aktör bedriver verksamhet inom flera branscher som avses i bilagan till lagen och verksamheten delvis är verksamhet enligt definitionen av en väsentlig aktör samt delvis annan verksamhet, ska aktören i dess helhet anses vara en väsentlig aktör.  

I 3 mom. föreskrivs det om tillsynsmyndighetens rätt att prioritera de lagstadgade uppgifterna enligt en riskbaserad bedömning. Antalet aktörer som står under tillsyn, liksom också aktörernas betydelse för samhällets kritiska funktioner och omfattningen av de cybersäkerhetsrisker som de utsätts för varierar avsevärt sektorsvis. Det är nödvändigt att tillsynsmyndigheten utifrån en riskbaserad bedömning vid behov kan prioritera sina tillsynsuppgifter enligt den föreslagna lagen.  

Tillsynen, det vill säga arten och omfattningen av de tillsynsåtgärder som riktas mot aktörerna, ska vara proportionell och grunda sig på en bedömning av cybersäkerhetsriskerna. Vid bedömningen ska hänsyn tas till arten och omfattningen av de cybersäkerhetsrisker som aktörerna utsätts för, konsekvenserna för samhället av en eventuell incident, arten av aktörernas allmänna cybersäkerhetsmaturitet, tillsynsmyndigheternas tillgängliga resurser samt samarbetet med andra myndigheter. Tillsynen kan vara riskbaserad exempelvis genom att tillsynsmyndigheten utarbetar en tillsynsplan där tillsynsobjekten indelas i olika riskklasser och utifrån dem fastställer tillsynsåtgärder och deras frekvens eller vilken information som regelbundet ska begäras av aktörerna och vilka detaljkrav som ska ställas på informationen. Tillsynsmyndigheterna är dock inte skyldiga att göra upp en tillsynsplan, utan uppgifterna kan också prioriteras på något annat sätt. Tillsynen och prioriteringen av uppgifterna ska genomföras i enlighet med artikel 31.1 och 31.2 i NIS 2-direktivet. 

När tillsynsmyndigheten inriktar tillsynen och beslutar om efterlevnadskontrollåtgärder ska den beakta åtminstone arten och omfattningen av den verksamhet som avses i bilaga I eller II, dvs. till exempel hur betydande aktören är inom sektorn i fråga och vilka konsekvenser störningar i verksamheten skulle ha för samhället. Dessutom ska tillsynsmyndigheten i ärenden som gäller enskilda informationssystem eller kommunikationsnät beakta informationssystemets eller kommunikationsnätets betydelse för den verksamhet som avses i bilaga I eller II. Med tanke på lagens syften skulle sådana informationssystem och kommunikationsnät som är väsentliga med tanke på den verksamhet som avses i bilagorna till lagförslaget ha större betydelse än sådana informationssystem och kommunikationsnät vars störning inte skulle inverka på den verksamhet som avses i bilagorna. I synnerhet i situationer där en aktör som står under tillsyn bedriver verksamhet inom flera olika branscher, av vilka endast en del är sådan verksamhet som avses i bilaga I eller II, bör verksamheten i sin helhet omfattas av regleringen. Tillsynen bör dock särskilt inriktas på verksamhet som avses i bilagorna och på informationssystem och kommunikationsnät som är av betydelse för den och på de eventuella konsekvenserna av risker eller hot för verksamhet som avses i bilaga I eller II. Om det exempelvis har upptäckts brister i verksamhet som bedrivs av en aktör som omfattas av lagens tillämpningsområde och aktören konstateras ha brutit mot sina skyldigheter, ska de omständigheter som anges i artikel 32.7 i NIS 2-direktivet och i 37 § i lagförslaget, bland annat överträdelsens allvar och varaktighet, aktörens tidigare överträdelser, överträdelsens konsekvenser för andra tjänster samt den skada som aktören har orsakat och de åtgärder som aktören har vidtagit för att förebygga eller lindra skadan, beaktas när åtgärderna mot aktören bestäms. 

Genom paragrafen genomförs artiklarna 3.1 och 3.2, 31.1 och 31.2 samt 32.1 och 33.1 i NIS 2-direktivet.  

28 §.Rätt att få information. I paragrafen föreskrivs om tillsynsmyndighetens rätt att få information. I paragrafen föreskrivs dessutom om rätt att lämna ut uppgifter till andra tillsynsmyndigheter och CSIRT-enheter.  

I 1 mom. föreskrivs det om tillsynsmyndighetens rätt att trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information av en aktör få information om hanteringen av cybersäkerhetsrisker, handlingsmodellen för riskhantering, hanteringsåtgärderna och betydande incidenter samt annan information som den behöver för att fullgöra sina uppgifter enligt den föreslagna lagen. Dessutom ska tillsynsmyndigheten ha rätt att få annan information som anknyter till de ovan nämnda omständigheterna och som är nödvändig för tillsynen över den skyldighet som gäller hantering av cybersäkerhetsrisker och anmälan och rapporteringen av betydande incidenter.  

Utövande av rätten att få information är en primär och huvudsaklig åtgärd som tillsynsmyndigheten vidtar gentemot aktörerna och som syftar till att möjliggöra tillsynen över att riskhanterings- och rapporteringsskyldigheterna fullgörs. Myndigheten har enligt förslaget rätt att få tillgång till handlingar och uppgifter som gäller hantering av cybersäkerhetsrisker och riskbedömningar samt till handlingsmodellen för riskhantering. Dessutom har myndigheten rätt att få information om genomförandet av hanteringsåtgärder och cybersäkerhetsprinciper, såsom eventuella resultat av säkerhetsrevisioner och den bevisning som de baserar sig på, aktörens egna riskbedömningar eller logguppgifter om cyberhot som inte innehåller information som avses i 2 mom. Med hjälp av rätten att få uppgifter kan myndigheten till exempel bedöma information om aktörens handlingsmodell för riskhantering samt om riskhanteringens ändamålsenlighet, utbildningar i cybersäkerhet och genomförandet av dem, iakttagelser om incidenter, cyberhot och tillbud, information om genomförandet av datasäkerheten, genomförandet av incidenthanteringen samt säkerställandet av kontinuiteten i verksamheten och tjänsterna. En förutsättning är att informationen behövs för att övervaka skyldigheten att hantera risker och att betydande incidenter anmäls och rapporteras. Dessutom ska myndigheten ha rätt att få annan information som är nödvändig för tillsynen över den skyldighet som gäller hantering av cybersäkerhetsrisker och över att betydande incidenter anmäls och rapporteras.  

Bestämmelser om skyldigheten att hantera risker inom cybersäkerheten finns i 7–9 § och i fråga om vissa aktörer också i de genomförandeförordningar som kommissionen antagit med stöd av NIS 2-direktivet. Dessutom kan innehållet i riskhanteringsskyldigheterna för cybersäkerheten preciseras genom föreskrifter av tillsynsmyndigheterna. Rätten att få information gäller dessutom tillsynen över anmälan och rapportering av betydande incidenter på det sätt som föreskrivs i 11–14 §. Med betydande incident avses en betydande incident enligt 11 § 1 mom. Dessutom kan tröskeln för betydande incidenter för vissa aktörer preciseras genom en genomförandeförordning av kommissionen. 

I 2 mom. finns bestämmelser som kompletterar 1 mom. och gäller tillsynsmyndighetens rätt till information om förmedlingsuppgifter, lokaliseringsuppgifter och elektroniska meddelanden. Tillsynsmyndigheten har trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att få förmedlingsuppgifter, lokaliseringsuppgifter eller meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando, om det är nödvändigt för att övervaka de skyldigheter som gäller hantering av cybersäkerhetsrisker eller för att utreda betydande incidenter. En lagstadgad separat och exakt rätt till information om dessa omständigheter behövs av de skäl som skyddet för konfidentialitet vid kommunikation förutsätter. För att trygga skyddet för konfidentiell kommunikation föreskrivs det i momentet också om särskild sekretesskyldighet i fråga om information som fåtts med stöd av momentet. Sekretessbestämmelserna behövs på grund av att sekretessgrunderna i offentlighetslagen inte tillräckligt skyddar sekretessen för information som omfattas av skyddet för förtrolig kommunikation. Dessutom omfattas informationen typiskt av den tystnadsplikt som uppgiftslämnaren har enligt 136 § 4 mom. i lagen om tjänster inom elektronisk kommunikation, varvid det är motiverat att tystnadsplikten fortsätter också hos myndigheterna för att trygga skyddet för förtrolig kommunikation. Sekretessen gäller inte sådan information om skadliga datorprogram eller IP-adresser som inte omfattas av lagstadgad sekretess eller någon annan begränsning av utlämnande av information och som aktören också annars kan lämna ut trots sekretessbestämmelserna eller begränsningarna av utlämnande av information. Sekretessen för andra uppgifter som omfattas av särskild sekretess än de som avses i 2 mom. bestäms enligt offentlighetslagen.  

När tillsynsmyndigheten med stöd av 3 mom. begär information av en aktör, ska tillsynsmyndigheten uppge syftet med begäran och precisera vilken information som begärs. Aktören ska lämna ut informationen utan dröjsmål, i den form som myndigheten begärt och avgiftsfritt. Lämnandet av uppgifter får inte medföra oskäliga kostnader för aktören till exempel på grund av de tekniska egenskaperna hos det informationsformat som begärs. Om det av tekniska skäl är omöjligt att lämna informationen, kan aktören fullgöra skyldigheten genom att ge tillsynsmyndigheten tillgång till informationen på annat sätt.  

Om begäran om information gäller en sådan del av riskhanteringen som aktören har lagt ut på entreprenad, är aktören skyldig att lämna informationen oberoende av om den innehas av aktören eller av en underleverantör. Aktören är alltså vid behov skyldig att skaffa den begärda informationen av sin leverantör och lämna den till tillsynsmyndigheten.  

Enligt 4 mom. har tillsynsmyndigheten trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att lämna ut handlingar som den fått eller utarbetat i samband med skötseln av sina uppgifter samt att röja sekretessbelagd information för en annan tillsynsmyndighet och en CSIRT-enhet, om det är nödvändigt för skötseln av de uppgifter som föreskrivits för tillsynsmyndigheten eller CSIRT-enheten. Det kan vara nödvändigt att lämna ut sekretessbelagd information, såsom information som hänför sig till tryggande av informationssystemen, till en annan tillsynsmyndighet till exempel när en aktör övervakas av fler än en myndighet, och för att tillsynen ska kunna ordnas effektivt eller ändamålsenligt ska det vara möjligt att utbyta information om aktören mellan myndigheterna. Det kan vara nödvändigt att lämna ut sekretessbelagd information till CSIRT-enheten exempelvis för att utreda incidenter eller för att bistå den övervakade aktören i hanteringen av en incident. En förutsättning är dessutom att informationen är nödvändig för skötseln av ett lagstadgat uppdrag. Utnyttjandet av rätten att få information eller utbytet av information mellan myndigheter får inte heller begränsa skyddet av konfidentiella meddelanden eller integritetsskyddet mer än vad som är nödvändigt. Myndigheten bör avstå från att begära eller lämna ut annan än nödvändig information, och onödig information ska utplånas.  

Med stöd av 5 mom. utsträcks tillsynsmyndighetens rätt att få information dock inte till tjänster eller information som CSIRT-enheten med stöd av den föreslagna lagen producerar hos aktören. Tillsynsmyndighetens rätt att få uppgifter utsträcker sig alltså inte exempelvis till tjänster som CSIRT-enheten producerar eller till information som samlats in genom tjänsterna eller till annan information om aktören som samlats in vid tillhandahållande av stöd enligt 20 § 1 mom. 2 punkten, i en tjänst för upptäckande av kränkningar av informationssäkerheten eller i någon annan verksamhet som CSIRT-enheten bedriver samlas in hos CSIRT-enheten eller hos ett servicecenter som tillhandahåller en tjänst för upptäckande av kränkningar av informationssäkerheten. Bestämmelsen är en nödvändig specialbestämmelse för att säkerställa CSIRT-enhetens konfidentiella ställning och möjliggöra dess stöd till aktörerna.  

I 6 mom. föreskrivs det om motsvarande begränsningar av tillsynsmyndighetens rätt att få information som i det föreslagna 18 i § 3 mom. i lagen om informationshantering inom den offentliga förvaltningen. Enligt bestämmelsen ska den rätt att få information som föreskrivs i paragrafen inte förplikta till att till tillsynsmyndigheten lämna ut sekretessbelagd information om sådan tjänsteproduktion eller användning av tjänster i säkerhetsnätet som avses i säkerhetsnätslagen och inte heller information vars utlämnande skulle äventyra försvaret eller den nationella säkerheten eller strida mot ett viktigt intresse i samband därmed.  

Bestämmelsen är av betydelse särskilt i situationer där den rätt att få information som föreskrivs i paragrafen riktas till en annan myndighet. Trots bestämmelsen får en myndighet dock (frivilligt och enligt eget beslut) inom de gränser som anges i en sekretessbestämmelse som innehåller en offentlighets- eller sekretesspresumtion enligt lagen om offentlighet i myndigheternas verksamhet till tillsynsmyndigheten lämna ut information också om tjänsteproduktion och användning av tjänster i säkerhetsnätet samt information som har samband med försvaret och den nationella säkerheten och som är sekretessbelagd för allmänheten. Även om de nämnda uppgifterna i princip inte omfattas av tillsynsmyndighetens rätt att få uppgifter, kan de enligt myndighetens prövning liksom hittills lämnas ut på det sätt som är tillåtet enligt offentlighetslagen. Denna möjlighet kan bli tillämplig till exempel när en myndighet frivilligt vill anmäla ett cyberhot eller en incident. Offentlighetslagen gör det möjligt att lämna ut en handling som är sekretessbelagd för allmänheten (vanligen till en annan myndighet), om sekretessbestämmelsen innehåller ett skaderekvisit och det intresse som skyddas av sekretessbestämmelsen inte äventyras om uppgiften lämnas ut. I handlingen antecknas då uppgift om sekretess och om eventuell säkerhetsklass för att visa vilka informationssäkerhetsåtgärder som ska vidtas när handlingen behandlas. Anteckningen påvisar samtidigt antecknarens uppfattning att handlingen ska vara sekretessbelagd. Utlämnandet av uppgifter får inte äventyra de intressen som skyddas genom sekretessbestämmelsen eller sekretessbestämmelserna. Vid utlämnande av uppgifter ska man också beakta utgångspunkten för säkerhetsklassificerad information, enligt vilken den myndighet som upprättat en säkerhetsklassificerad handling beslutar om utlämnande av den (15 § 3 mom. i offentlighetslagen). Av det följer att om en myndighet till Transport- och kommunikationsverket överlämnar en handling som faller utanför verkets rätt att få information enligt 1 och 2 mom. och som en annan myndighet har säkerhetsklassificerat eller för vars del denna andra myndighet i sin helhet har rätt att bedöma innehållets art, ska beslutet om utlämnande av handlingen eller informationen fattas av den myndighet som utfört klassificeringen eller den myndighet som bedömningen av ärendet i sin helhet hör till.  

Särskilt när uppgifter enligt 3 mom. lämnas ut är det skäl att överväga att begränsa ett vidare utlämnande, om detta skulle äventyra Finlands centrala säkerhetsintressen. I detta sammanhang bör det också bedömas om det är möjligt att lämna ut information om hot eller incidenter på allmän nivå så att Finlands centrala säkerhetsintressen inte äventyras. NIS 2-direktivet förutsätter inte att uppgifter som avses i det föreslagna 3 mom. lämnas ut t.ex. till EU:s institutioner, decentraliserade organ, samarbetsorgan eller andra myndigheter. Särskilt i fråga om säkerhetsklassificerad sekretessbelagd information framhävs bedömningen av den myndighet som har förutsättningar att bedöma informationens natur i förhållande till det intresse som skyddas genom sekretessbestämmelserna. 

Genom paragrafen genomförs artikel 32.2 första stycket led e-g och delvis led d, artikel 32.3 samt artikel 33.2 första stycket led c–f och 33.3 i NIS 2-direktivet. 

29 §.Inspektionsrätt. I paragrafen föreskrivs om tillsynsmyndighetens inspektionsrätt. Genom paragrafen genomförs artiklarna 32.2 första stycket led a och delvis led d, 32.4 g samt 33.2 första stycket led a och delvis led c i NIS 2-direktivet.  

Enligt 1 mom. har tillsynsmyndigheten rätt att i den omfattning det behövs förrätta inspektion av aktörer för tillsynen över att skyldigheterna enligt den föreslagna lagen eller föreskrifter som utfärdats med stöd av den eller rättsakter som antagits med stöd av NIS 2-direktivet fullgörs. Inspektioner kan utföras i aktörens lokaler eller informationssystem. En inspektion i informationssystemet kan till exempel vara observation av tekniska riskhanteringsmetoder eller identifiering av svagheter i databaser, maskinvara, brandväggar, kryptering och nät. En inspektion i aktörens lokaler kan exempelvis gälla tillträdeskontroll och omständigheter som gäller lokalens säkerhet. Annan inspektion som utförs i aktörens lokaler kan också vara inspektion på basis av skriftligt material, såsom granskning av drifthandböcker, anvisningar, processbeskrivningar, utbildningsbokföring, resultaten av externa inspektioner eller annat relevant material som aktören utarbetat samt bedömning av överensstämmelse med kraven.  

Tillsynsmyndigheten ska utifrån sin riskbedömning och med beaktande av de omständigheter som ska beaktas vid styrningen av tillsynen ha rätt att bestämma hur inspektioner ska riktas mot aktörerna. Inspektioner kan vara slumpmässiga, göras till följd av en betydande incident eller vara regelbundna och bygga på en riskbedömning för de aktörer som är mest kritiska med tanke på samhällets funktion. Inspektionsbefogenheten omfattar också tillsynen enligt artikel 32.4 g i NIS 2-direktivet över att aktören fullgör sina skyldigheter i fråga om riskhantering och rapportering. Inspektionen kan gälla antingen aktören som helhet eller fokusera på vissa delområden inom riskhanteringen eller aktörens verksamhet.  

I 2 mom. föreskrivs det om tillsynsmyndighetens möjlighet att genom sitt beslut begära att en annan myndighet förrättar inspektionen eller vid inspektionen anlita andra sakkunniga, om det är nödvändigt på grund av inspektionens art eller av tekniska orsaker som har samband med den. Andra myndigheter eller utomstående sakkunniga kan behöva anlitas till exempel om inspektionen förutsätter teknisk specialkompetens eller omfattande teknisk förmåga som tillsynsmyndigheten inte själv har. Tillsynsmyndigheten kan endast begära att en annan tillsynsmyndighet utför inspektionen. Den andra tillsynsmyndigheten är dock inte skyldig att ge handräckning för detta ändamål, utan det är fråga om myndighetssamarbete enligt 10 § i förvaltningslagen. Dessutom kan tillsynsmyndigheten vid inspektionen anlita en annan tillsynsmyndighet, ett bedömningsorgan för informationssäkerhet eller en utomstående expert i informationsteknik. Tillsynsmyndigheten får dock inte överföra inspektionsuppdraget i dess helhet på ett bedömningsorgan för informationssäkerhet eller en utomstående expert.  

Den som förrättar inspektionen och den som deltar i inspektionen ska ha den utbildning och erfarenhet som behövs för inspektionen. Myndigheten kan i ett uppdrag som anvisats ett bedömningsorgan för informationssäkerhet eller en utomstående sakkunnig bestämma vilken kompetens bedömningsorganet eller den sakkunniga förutsätts ha och vilka kriterier bedömningsorganet eller den sakkunniga ska tillämpa. När en inspektion gäller infrastruktur som är kritisk med tanke på samhällets funktion ska man överväga om en säkerhetsutredning av person enligt säkerhetsutredningslagen ska förutsättas av den som utför inspektionen eller av den som deltar i den. När ett bedömningsorgan för informationssäkerhet eller en utomstående expert anlitas är det till denna del fråga om överföring av en offentlig förvaltningsuppgift på en enskild, så på den expert som förrättar uppdraget ska strafflagens bestämmelser om tjänsteansvar tillämpas. Den tillsynsmyndighet som beslutat om inspektionen svarar för kostnaderna för inspektionen. 

I 3 mom. föreskrivs det om rätten för den som utför inspektionen att få information och att i den omfattning som inspektionen kräver få tillträde till det kommunikationsnät eller informationssystem och de lokaler som inspektionen gäller. Aktören ska ge inspektören tillträde till de lokaler som behövs för inspektionen. Vilka lokaler som behövs för inspektionen beror på verksamhetens art och kan till exempel vara aktörens lokaler, produktionsanläggningar eller infrastruktur eller, i synnerhet inom transportsektorn, transportmedel. Inspektioner får inte utföras i utrymmen som är avsedda för boende av permanent natur. Inspektören kan granska de säkerhetsarrangemang som vidtagits för att skydda företagets lokaler, informationssystem och datakommunikation samt andra säkerhetsarrangemang. Den som utför en inspektion har rätt att för granskning få den information och de handlingar, maskinvaror och programvaror som är nödvändiga för tillsynsuppgiften, utföra behövliga tester och mätningar samt granska de säkerhetsarrangemang som aktören har genomfört. Inspektören ska kunna utföra nödvändiga tester och mätningar, såsom intrångs- eller belastningstestning, som en del av inspektionen.  

Paragrafens 4 mom. är en materiell hänvisning enligt vilken det som i förvaltningslagen föreskrivs om inspektion också ska tillämpas på det som avses i paragrafen.  

30 §. Säkerhetsrevision. I 1 mom. föreskrivs om tillsynsmyndighetens rätt att genom sitt beslut ålägga en aktör att låta utföra en säkerhetsrevision som gäller hanteringen av cybersäkerhetsrisker. Det innebär en skyldighet för aktören att på egen bekostnad låta utföra en säkerhetsrevision. En förutsättning är att aktören har drabbats av en betydande incident som har orsakat en allvarlig funktionsstörning i tjänsterna eller betydande materiell eller immateriell skada eller att aktören har konstaterats väsentligt och allvarligt ha försummat hanteringen av cybersäkerhetsrisker eller i övrigt väsentligt och allvarligt handlat i strid med en skyldighet som föreskrivs i lag eller med stöd av lag eller NIS 2-direktivet. Ett åläggande att låta utföra en säkerhetsrevision kan komma i fråga endast om dess syfte inte kan nås med lindrigare medel.  

I 2 mom. föreskrivs det om tillsynsmyndighetens rätt att få information om resultatet av en säkerhetsrevision som aktören låtit utföra. I momentet föreskrivs det också om tillsynsmyndighetens rätt att genom ett beslut ålägga aktören att vidta de rimliga och proportionella åtgärder för att utveckla hanteringen av cybersäkerhetsrisker som säkerhetsrevisionen rekommenderar.  

Genom paragrafen genomförs artikel 32.2 första stycket led b delvis, 32.2 första stycket led c, 32.2 andra stycket delvis, 32.2 tredje stycket och 32.4 f i NIS 2-direktivet. Genom paragrafen genomförs också artikel 33.2 första stycket led b, 33.2 andra och tredje stycket och 33.4 f i NIS 2-direktivet.  

31 §.Tillsynsbeslut och varning. I 1 mom. föreskrivs det om tillsynsmyndighetens behörighet att meddela aktören ett förpliktande beslut för att rätta till verksamhet som strider mot lag, föreskrifter som meddelats med stöd av lag eller rättsakter som antagits med stöd av NIS 2-direktivet. Tillsynsmyndigheten kan genom ett beslut ålägga aktören att inom en tidsfrist avhjälpa bristerna i fullgörandet av skyldigheterna, om det vid tillsynen upptäcks fel, försummelser eller andra brister i fullgörandet av skyldigheterna enligt den föreslagna lagen, föreskrifter som utfärdats med stöd av den eller rättsakter som antagits med stöd av NIS 2-direktivet. Tillsynsmyndigheten kan till exempel ålägga aktören att avhjälpa upptäckta brister eller försummelser, upphöra med verksamhet som strider mot bestämmelserna och i framtiden avstå från sådan verksamhet samt ålägga aktören att fullgöra sin rapporteringsskyldighet på ett bestämt sätt och inom en viss tid. Tillsynsmyndigheten kan också ålägga aktören att offentliggöra dessa brister eller andra omständigheter som har samband med överträdelser av den föreslagna lagen, föreskrifter som utfärdats med stöd av den eller rättsakter som antagits med stöd av NIS 2-direktivet. En bestämmelse om offentliggörande av information får dock inte medföra ytterligare olägenhet för aktörens säkerhetsarrangemang, utan den information som publiceras ska avgränsas så att den inte äventyrar aktörens kritiska säkerhetsarrangemang. I beslutet om offentliggörande av information ska det specificeras på vilket sätt aktören ska offentliggöra informationen. Informationen kan publiceras till exempel på aktörens webbplats eller i andra kommunikationskanaler.  

I 2 mom. föreskrivs det om tilldelande av varning. Tillsynsmyndigheten kan ge en väsentlig aktör en varning, om aktören i fråga inte har iakttagit den föreslagna lagen, föreskrifter som utfärdats med stöd av den eller rättsakter som antagits med stöd av NIS 2-direktivet. En varning kan ges, om inte ärendet som helhet betraktat ger anledning till strängare åtgärder. Det är alltså normalt fråga om mindre förseelser. Varningen ges av tillsynsmyndigheten. En varnings offentliga karaktär hos tillsynsmyndigheten bestäms enligt offentlighetslagen. En varning är en påföljd som kan hänföra sig till ett beslut om skyldighet att avhjälpa brister, men också till ett beslut om att tillsynsprocessen avslutas utan skyldighet att avhjälpa brister.  

Genom paragrafen genomförs artiklarna 32.4 a–e och h, 33.4 a–g och 21.4 i NIS 2-direktivet.  

32 §.Begränsning av ledningens verksamhet. I paragrafen föreskrivs det om tillsynsmyndighetens befogenheter att begränsa verksamheten för de personer som hör till ledningen för en väsentlig aktör, om dessa upprepade gånger och allvarligt bryter mot sina skyldigheter enligt den föreslagna 10 §. Det är fråga om ett temporärt förbud för en enskild person att sköta de högsta ledningsuppgifterna i bolaget i fråga. Grunden för förbudet är återkommande och allvarliga brott mot skyldigheten enligt 10 §, vilket tar sig uttryck i en aktörs brist eller försummelse att efterleva lagen. Förbudet kan gälla personer som avses i 10 §, dvs. styrelsemedlemmar och deras ersättare, förvaltningsrådets medlemmar och ersättare samt verkställande direktören eller någon annan i därmed jämförbar ställning. Ett förbud ska vara en exceptionell åtgärd som vidtas i sista hand för att ingripa i lagstridig verksamhet. Innan ett förbud meddelas ska tillsynsmyndigheten ge aktören en varning som specificerar den brist eller försummelse som, om den inte avhjälps, kan leda till ett beslut om begränsning av ledningens verksamhet. Dessutom ska tillsynsmyndigheten reservera en skälig tid att åtgärda den lagstridiga verksamheten innan den fattar beslut om begränsning av ledningens verksamhet. Överträdelserna förutsätts vara upprepade och allvarliga, vilket förutsätter att aktören redan tidigare har påförts en administrativ påföljd för förseelsen eller försummelsen eller att tillsynsmyndigheten på något annat sätt har ingripit i aktörens lagstridiga eller bristfälliga verksamhet. Det är alltså fråga om en sista utväg för att förhindra att ett lagstridigt förfarande. Tillsynsmyndigheten ska i varje enskilt fall bedöma om ett verksamhetsförbud är den mest ändamålsenliga tillsynsåtgärden.  

Ett beslut om begränsning av ledningens verksamhet ska alltid vara tidsbegränsat. Beslutet kan gälla högst så länge som den lagstridiga verksamhet som ligger till grund för beslutet, dvs. en brist eller försummelse att iaktta aktörens skyldigheter, inte har avhjälpts. Ett beslut om begränsning av ledningens verksamhet kan dock vara i kraft högst fem år. 

Ledningens verksamhet får dock inte begränsas med stöd av den föreslagna paragrafen, om den väsentliga aktör är en enskild näringsidkare, ett personbolag eller en aktör inom den offentliga förvaltningen. Genom avgränsningen används det nationella handlingsutrymmet enligt artikel 32.5 tredje stycket i NIS 2-direktivet. I bestämmelsen om lagens tillämpningsområde nämns inte aktörer inom den offentliga förvaltningen, och dessa aktörer omfattas i regel inte av lagens tillämpningsområde, men i vissa situationer är det möjligt att lagen också är tillämplig på aktörer inom den offentliga förvaltningen. Också en aktör inom den offentliga förvaltningen kan omfattas av lagens tillämpningsområde, om aktören bedriver sådan verksamhet som avses i bilagorna till lagen. Exempelvis välfärdsområdena och välfärdssammanslutningarna samt kommunerna och samkommunerna kan omfattas av lagens tillämpningsområde genom sin hälso- och sjukvårdstjänst eller vatten- och avfallshanteringstjänst. Det är inte möjligt att begränsa ledningens verksamhet om det är fråga om t.ex. ett välfärdsområde eller en välfärdssammanslutning som tillhandahåller hälsovårdstjänster eller en kommunal myndighet som tillhandahåller vatten- eller avfallshanteringstjänster. Med kommunal myndighet avses kommunens eller samkommunens organ, kommunens affärsverk och kommunala balansenheter. Begränsningen gäller dock endast aktörer inom den offentliga förvaltningen. Det innebär exempelvis att i ett kommunalt aktiebolag som tillhandahåller vattentjänster kan ledningens verksamhet begränsas på samma sätt som i andra aktiebolag som omfattas av lagens tillämpningsområde. Genom denna punkt genomförs artikel 32.5 första stycket led b i NIS 2-direktivet. Befogenheten kan endast tillämpas på väsentliga aktörer, eftersom NIS 2-direktivet inte förutsätter motsvarande tillsynsbehörighet i fråga om andra än väsentliga aktörer. 

33 §. Anmälan till dataombudsmannen. NIS 2-direktivet begränsar inte tillämpningen av den allmänna dataskyddsförordningen. Tillsynsmyndigheten ska därför underrätta dataombudsmannen, om den i samband med tillsyn eller efterlevnadskontroll upptäcker en försummelse som kan leda till eller redan har lett till en sådan personuppgiftsincident som med stöd av den allmänna dataskyddsförordningen ska rapporteras till dataombudsmannen.  

Anmälningsskyldigheten enligt artikel 33 i den allmänna dataskyddsförordningen ska inte tillämpas på personuppgiftsincidenter som inträffat i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster, eftersom särskild lagstiftning ska tillämpas i stället för den (Europeiska dataskyddsstyrelsens yttrande 5/2019 om samspelet mellan direktivet om integritet och elektronisk kommunikation och den allmänna dataskyddsförordningen, särskilt när det gäller dataskyddsmyndigheternas behörighet, uppgifter och befogenheter, punkt 44). Tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster ska underrätta Transport- och kommunikationsverket om säkerhetsincidenter i enlighet med 275 § i lagen om tjänster inom elektronisk kommunikation och kommissionens förordning (EU) 611/2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation. Således ska skyldigheten enligt paragrafen inte gälla sådana kränkningar av dataskyddet för personuppgifter som gäller televerksamhet och som kommit till Transport- och kommunikationsverkets kännedom och som verket behandlar i egenskap av behörig myndighet enligt direktivet om dataskydd vid elektronisk kommunikation.  

Genom paragrafen genomförs artikel 35.1 och 35.3 i NIS 2-direktivet. 

34 §. Vite, hot om tvångsutförande och hot om avbrytande. I paragrafen föreskrivs det om tillsynsmyndighetens möjlighet att förena ett beslut med vite, hot om tvångsutförande eller hot om avbrytande. Bestämmelser om föreläggande och verkställande av administrativa sanktioner finns i viteslagen.  

35 §.Administrativ påföljdsavgift. I paragrafen föreskrivs det om en administrativ påföljdsavgift. Påföljdsavgiften är en administrativ påföljd för överträdelse av lagen. Vid påförandet av påföljdsavgiften iakttas förvaltningslagens bestämmelser om behandling av förvaltningsärenden. Påföljdsavgiften ska påföras av en påföljdsavgiftsnämnd med representanter för de sektorsspecifika tillsynsmyndigheterna. Genom paragrafen genomförs tillsammans med övriga bestämmelser i 5 kap. artikel 34 i NIS 2-direktivet. Artikel 34.4 och 34.5 i NIS 2-direktivet förutsätter att aktörerna kan påföras en påföljdsavgift som till sitt maximibelopp uppgår till minst det som föreskrivs i 38 § för brott mot den riskhanteringsskyldighet som avses i artikel 21 eller den rapporteringsskyldighet som avses i artikel 23 i direktivet. En medlemsstat kan inom ramen för det nationella handlingsutrymmet föreskriva också om andra grunder för påföljdsavgift eller om ett högre maximibelopp för påföljdsavgiften.  

I 1 mom. definieras de gärningar för vilka en aktör kan påföras en administrativ påföljdsavgift. Påföljdsavgift kan påföras för försummelse av riskhanteringsskyldigheten, för försummelse att vidta riskhanteringsåtgärder, för försummelse att göra obligatoriska incidentanmälningar och incidentrapporter och för försummelse att anmäla sig till förteckningen över aktörer.  

I 2 mom. föreskrivs det att påföljdsavgift inte får påföras statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland, ortodoxa kyrkan i Finland och de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ. I momentet utnyttjas det nationella handlingsutrymmet enligt artikel 34.7 i NIS 2-direktivet för att offentliga aktörer inte ska åläggas de administrativa sanktioner som direktivet förutsätter.  

Bestämmelser om de skyldigheter för den offentliga förvaltningen som grundar sig på NIS 2-direktivet finns i informationshanteringslagen, och de offentliga förvaltningsaktörerna omfattas i regel inte av lagens tillämpningsområde. I vissa situationer är det möjligt att lagen också är tillämplig på aktörer inom den offentliga förvaltningen. Också en aktör inom den offentliga förvaltningen kan omfattas av lagens tillämpningsområde, om aktören bedriver sådan verksamhet som avses i bilagorna till lagen. Exempelvis välfärdsområdena och välfärdssammanslutningarna samt kommunerna och samkommunerna kan omfattas av lagens tillämpningsområde genom sin hälso- och sjukvårdstjänst eller vatten- och avfallshanteringstjänst. En väsentlig aktör som omfattas av lagens tillämpningsområde kan dock inte påföras en administrativ påföljdsavgift, om aktören är till exempel ett välfärdsområde eller en välfärdssammanslutning som tillhandahåller hälsovårdstjänster eller en kommunal myndighet som tillhandahåller vatten- eller avfallshanteringstjänster. Med kommunal myndighet avses kommunens eller samkommunens organ, kommunens affärsverk och kommunala balansenheter. Begränsningen gäller dock endast aktörer inom den offentliga förvaltningen. Det innebär exempelvis att ett kommunalt aktiebolag som tillhandahåller vattentjänster kan påföras påföljdsavgift på samma sätt som andra aktiebolag som omfattas av lagens tillämpningsområde. 

Syftet med momentet är att klart avgränsa bestämmelsen så att de offentligrättsliga aktörer som avses i momentet inte kan påföras påföljdsavgift. Även om cybersäkerhetslagen i övrigt ska tillämpas på en offentligrättslig aktör som avses i momentet, kan aktören dock inte påföras påföljdsavgift enligt paragrafen. En administrativ påföljdsavgift som påförs en myndighet medför inte samma konsekvenser som inom den privata sektorn, eftersom myndighetens verksamhet är budgetbunden och myndigheten alltid ska sköta sina lagstadgade uppgifter och iaktta lag. Myndigheterna är bundna av principen om förvaltningens lagenlighet och ska iaktta de allmänna förvaltningslagarna. Till en tjänstemans ställning hör också tjänsteansvar för fel som begåtts i arbetet, och dessutom kan förvaltningsklagan över en myndighets verksamhet anföras hos en högre myndighet. 

36 §.Påföljdsavgiftsnämnd. I paragrafen föreskrivs det om en påföljdsavgiftsnämnd som påför en administrativ påföljdsavgift. Påföljdsavgiftsnämnden är ett nytt organ som består av medlemmar som utses av tillsynsmyndigheterna. Påföljdsavgiftsnämnden arbetar inte med uppgiften som huvudsyssla, utan den ska vid behov sammankomma för att behandla ett ärende som gäller påförande av påföljdsavgift. Påföljdsavgiften påförs på framställning av den sektorsvisa tillsynsmyndigheten.  

I 1 mom. föreskrivs det att den administrativa påföljdsavgiften på framställning av tillsynsmyndigheten påförs av en påföljdsavgiftsnämnd som finns i anslutning till Transport- och kommunikationsverket. Tillsynsmyndigheten kan föreslå för påföljdsavgiftsnämnden att en administrativ påföljdsavgift påförs, om den i sin tillsynsverksamhet observerar ett lagstridigt förfarande. Tillsynsmyndigheten ska i sin tillsynsverksamhet se till att ärendet utreds tillräckligt så att det till framställningen om påförande av påföljdsavgift kan fogas en utredning om den förseelse eller försummelse som ligger till grund för framställningen. Den administrativa påföljdsavgiften betalas till staten.  

I 2 mom. föreskrivs det om påföljdsavgiftsnämndens sammansättning. Varje tillsynsmyndighet ska utnämna en ledamot och en ersättare i nämnden. Transport- och kommunikationsverket ska utse nämndens ordförande och vice ordförande. Det allmänna behörighetsvillkoret för ledamöterna och ersättarna i påföljdsavgiftsnämnden är förtrogenhet med hantering av cybersäkerhetsrisker samt NIS 2-direktivet och de skyldigheter som ställs i den reglering som genomför direktivet inom den ifrågavarande tillsynsmyndighetens tillsynsområde. Ordföranden och vice ordföranden för nämnden förutsätts ha sådan tillräcklig juridisk sakkunskap som uppdraget förutsätter. Nämnden tillsätts för en period på tre år. Nämndens ledamöter ska agera oberoende och opartiskt i sitt uppdrag. Nämndens uppgift ska vara bisyssla för medlemmarna och ersättarna.  

I 3 mom. föreskrivs det om påföljdsavgiftsnämndens beslutsfattande. Beslut fattas efter föredragning. Föredraganden i ett ärende kommer från den tillsynsmyndighet som har tillsynsbehörighet i ärendet. Föredragande är en tjänsteman vid den tillsynsmyndighet som utövar tillsyn över den typ av aktör som det ärende som ska avgöras gäller. Som beslut gäller den mening som flertalet har understött. Vid lika röstetal gäller som beslut den mening som är lindrigare för den som påföljden riktas mot.  

I 4 mom. föreskrivs det om påföljdsavgiftsnämndens rätt till information. Nämnden har trots sekretessbestämmelserna rätt att avgiftsfritt få den information som är nödvändig för påförande av påföljdsavgiften. Information som är nödvändig för påförande av påföljdsavgift kan från fall till fall vara till exempel information om riskhantering och riskrapportering som tillsynsmyndigheten har rätt att få med stöd av 28 § samt annan information som är nödvändig för att bedöma grunden för och beloppet av påföljdsavgiften. I 37 § föreskrivs det om de omständigheter som ska beaktas vid helhetsbedömningen av påföljdsavgiftens belopp. Nämnden måste kunna inhämta information om de omständigheter som är av relevans för beslutet att påföra eller avstå från att påföra en påföljdsavgift.  

37 §.Påförande av påföljdsavgift. I paragrafen föreskrivs det om de omständigheter som ska beaktas när en administrativ påföljdsavgift påförs. Beloppet av den administrativa påföljdsavgiften baserar sig på en helhetsbedömning där omständigheterna i fallet och de omständigheter som nämns i bestämmelsen ska beaktas. De omständigheter som ska beaktas motsvarar de faktorer som anges i artikel 32.7 i NIS 2-direktivet och som enligt artikel 34.3 i direktivet åtminstone ska beaktas vid påförande av påföljdsavgift.  

När storleken på påföljdsavgiften övervägs ska det säkerställas att påföljden och dess belopp står i rätt proportion till gärningen eller försummelsen och till hur allvarlig den risk som gärningen eller försummelsen medför är och sannolikheten för att risken realiseras. Vid helhetsbedömningen ska alltså beaktas överträdelsens eller försummelsens art och omfattning, graden av klandervärdhet, gärningens varaktighet och aktörens strävan att på eget initiativ agera i enlighet med sin skyldighet. Frågan huruvida en överträdelse eller försummelse är klandervärd ska särskilt bedömas mot bakgrund av de rättsobjekt som den föreslagna lagen och NIS 2-direktivet syftar till att skydda.  

Genom bestämmelsen genomförs artikel 34.3 i NIS 2-direktivet, som förutsätter att de omständigheter som avses i artikel 32.7 i NIS 2-direktivet beaktas när en administrativ påföljdsavgift påförs.  

38 §.Påföljdsavgiftens maximibelopp. I paragrafen föreskrivs det om ett maximibelopp för den administrativa påföljdsavgiften. Den högsta administrativa påföljdsavgiften är det lägsta tillåtna maximibeloppet enligt den nivå som förutsätts i artikel 34.4 och 34.5 i NIS 2-direktivet. Maximibeloppet är antingen i euro eller en procentandel av omsättningen beroende på vilket belopp som är högst. Maximibeloppet för en väsentlig aktör är större än för andra aktörer. Med en väsentlig aktör avses en väsentlig aktör i enlighet med 27 § 2 mom.  

39 §.Avstående från och verkställighet av påföljdsavgift. I paragrafen föreskrivs det om avstående från och verkställighet av påföljdsavgift.  

Enligt 1 mom. ska påföljdsavgift inte påföras, om  

aktören på eget initiativ vidtagit tillräckliga åtgärder för att avhjälpa överträdelsen eller försummelsen omedelbart efter att den upptäckts och utan dröjsmål underrättat tillsynsmyndigheten om den samt samarbetat med tillsynsmyndigheten, och överträdelsen eller försummelsen inte är allvarlig eller återkommande, 

överträdelsen eller försummelsen ska anses vara ringa, eller  

påförande av påföljdsavgift ska anses vara uppenbart oskäligt på andra grunder än de som avses i 1 eller 2 punkten. 

Grundlagsutskottet har i sin praxis förutsatt att myndighetens prövning vid beslut om att inte påföra påföljd ska vara bunden prövning, och att påföljdsavgift inte ska påföras om de villkor som anges i lag uppfylls (se GrUU 49/2017 rd och GrUU 39/2017 rd). 

Syftet med bestämmelsen är att säkerställa att påföljdsavgift alltså inte påförs om den antingen med stöd av de omständigheter som avses i 1 mom. 1 eller 2 punkten eller annars med stöd av någon motsvarande omständighet eller andra omständigheter är uppenbart oskälig. 

I 2 mom. föreskrivs det om preskription av rätten att påföra påföljdsavgift. Påföljdsavgift får inte påföras, om det har förflutit mer än fem år sedan överträdelsen eller försummelsen har skett. Om överträdelsen eller försummelsen har varit fortlöpande räknas tidsfristen från det att överträdelsen eller försummelsen har upphört.  

I 3 mom. föreskrivs det att påföljdsavgift inte får påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom. Bestämmelsen motsvarar principen ne bis in idem, det vill säga förbudet mot dubbel straffbarhet.  

I 4 mom. föreskrivs det att påföljdsavgift inte kan påföras om det vid en överträdelse eller försummelse är fråga om samma gärning för vilken det har påförts en påföljdsavgift enligt artikel 83 i den allmänna dataskyddsförordningen. Genom momentet genomförs artikel 35.2 i NIS 2-direktivet. Det kan till exempel vara fråga om brister i identifieringen eller genomförandet av behövliga riskhanteringsåtgärder eller om behandling och lagring av personuppgifter eller om förfarande som annars strider mot artikel 5 i den allmänna dataskyddsförordningen, varvid den behöriga myndigheten påför en påföljdsavgift för kränkning av personuppgifter enligt artikel 83 i den allmänna dataskyddsförordningen.  

40 §. Verkställighet av påföljdsavgift. I paragrafen föreskrivs det om verkställigheten av påföljdsavgifter. Rättsregistercentralen svarar för verkställigheten av påföljdsavgiften. En påföljdsavgift som påförts med stöd av lag verkställs i den ordning som föreskrivs i lagen om verkställighet av böter (672/2002). Påföljdsavgiften preskriberas när fem år har förflutit från den dag då det lagakraftvunna beslutet om avgiften meddelades. Dröjsmålsränta ska inte tas ut på påföljdsavgiften.  

41 §. Förteckning över aktörer. Genom förslaget genomförs artikel 3.3–3.6 i NIS 2-direktivet, där det förutsätts att medlemsstaterna ska föra en förteckning över väsentliga och viktiga aktörer. Bestämmelser om motsvarande skyldighet för aktörer som tillhandahåller domännamnsregistreringstjänster finns i 165 § i lagen om tjänster inom elektronisk kommunikation. Genom förslaget genomförs dessutom artikel 27 i NIS 2-direktivet, som för vissa aktörers del förutsätter att närmare uppgifter samlas in och anmäls till Enisa för det register som Enisa inrättat, samt artikel 29.4 i NIS 2-direktivet, som förutsätter en anmälan till tillsynsmyndigheten om deltagande i det frivilliga arrangemang för informationsutbyte om cybersäkerhet som avses i 23 §.  

I det föreslagna 1 mom. föreskrivs det om tillsynsmyndighetens skyldighet att inom sitt tillsynsområde föra en förteckning över aktörerna.  

I det föreslagna 2 mom. föreskrivs det om aktörernas skyldighet att för förande av en förteckning över aktörer lämna tillsynsmyndigheten de uppgifter som avses i artikel 3.4 i NIS 2-direktivet. Med tanke på inriktningen av tillsynen förutsätts det dessutom att det uppges om aktören är en sådan väsentlig aktör som avses i 27 §. Tillsynsmyndigheten ska med stöd av artikel 29.4 i NIS 2-direktivet också underrättas om deltagande i ett sådant frivilligt arrangemang för informationsutbyte om cybersäkerhet som avses i 23 §. När uppgifter lämnas och förteckningen över aktörer förs kan Europeiska kommissionens eller Europeiska unionens cybersäkerhetsbyrå Enisas anvisningar och mallar beaktas. Om en aktör har både statiska och dynamiska IP-adresser, ska aktören lämna tillsynsmyndigheten åtminstone uppgifter om statiska IP-adresser samt försöka lämna relevanta uppgifter om dynamiska IP-adresser, till exempel en förteckning över de nätblock som aktörens IP-adress är reserverad för, samt antalet sådana adresser eller annan motsvarande ändamålsenlig information.  

I det föreslagna 3 mom. föreskrivs det att leverantörer av DNS-tjänster, den som förvaltar ett toppdomänsregister, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leveransleverans av innehåll, leverantörer av utlokaliserade driftstjänster, leverantörer av utlokaliserade säkerhetstjänster samt tillhandahållare av internetbaserade marknadsplatser, leverantörer av sökmotorer och leverantörer av plattformar för sociala nätverkstjänster ska lämna kompletterande uppgifter utöver de uppgifter som anges i 1 mom. Dessa aktörer förutsätts dessutom lämna de uppgifter som avses i artikel 27.2 i NIS 2-direktivet.  

Med stöd av det föreslagna 4 mom. kan tillsynsmyndigheten meddela närmare tekniska föreskrifter om hur uppgifterna ska lämnas till förteckningen över aktörer. För att underlätta upprättandet och upprätthållandet av förteckningen över aktörer ska tillsynsmyndigheten, om möjligt, ge aktören möjlighet att själv både registrera sig och uppdatera uppgifterna i förteckningen. Dessutom föreskrivs det i momentet i överensstämmelse med maximitiderna enligt artiklarna 3 och 27 i NIS 2-direktivet att ändringar i de uppgifter som avses i 1 mom. ska anmälas inom högst två veckor och i de uppgifter som avses i 2 mom. inom högst tre månader från tidpunkten för ändringen.  

I det föreslagna 5 mom. föreskrivs det om upprätthållandet av den förteckning över aktörer som förutsätts i artikel 3 i NIS 2-direktivet, om de anmälningar till Europeiska kommissionen och NIS-samarbetsgruppen som avses i artikel 3.5 samt om lämnandet av information till Enisa enligt artikel 27.4 och om CSIRT-enhetens rätt att få information ur förteckningen. Till den del något annat inte föreskrivs bestäms offentligheten för uppgifterna i aktörsförteckningen enligt offentlighetslagen.  

Enligt artikel 3.5 i NIS 2-direktivet ska tillsynsmyndigheterna senast den 17 april 2025 och därefter vartannat år underrätta kommissionen och NIS-samarbetsgruppen om antalet väsentliga aktörer inom varje sektor och delsektor. Dessutom ska kommissionen med stöd av artikel 2.2 b–e i NIS 2-direktivet underrättas om antalet aktörer som omfattas av lagens tillämpningsområde, den sektor och delsektor som avses i bilaga I eller II, typen av tjänst som tillhandahålls samt om det led i punkten som utgör skäl för att de omfattas av tillämpningsområdet.  

Med stöd av artikel 27.4 i NIS 2-direktivet ska den gemensamma kontaktpunkten utan dröjsmål vidarebefordra den information som avses i artikel 27.2 och 27.3, med undantag för den information som avses i artikel 27.2 f, dvs. aktörens IP-adressintervall, till Enisa. Tillsynsmyndigheten ska ha rätt att lämna den nationella kontaktpunkten de uppgifter som är nödvändiga för anmälan, dvs. de uppgifter som avses i artikel 27.2 och 27.3, med undantag för IP-adressintervall.  

CSIRT-enheten har rätt att av tillsynsmyndigheten få information ur förteckningen över aktörer. Information som är relevant för CSIRT-enhetens uppgifter är särskilt aktörernas kontaktuppgifter och IP-adresser. Tillsynsmyndigheten kan lämna information till CSIRT-enheten till exempel genom att öppna en elektronisk förbindelse till aktörsförteckningen eller genom att lämna uppgifter via ett tekniskt gränssnitt, om det är tekniskt möjligt i det system som används och på det sätt som föreskrivs i lagen om informationshantering inom den offentliga förvaltningen.  

Enligt artikel 3.4 tredje stycket i NIS 2-direktivet ska kommissionen, med bistånd av Europeiska unionens cybersäkerhetsbyrå (Enisa), utan onödigt dröjsmål tillhandahålla riktlinjer och mallar för anmälningsskyldigheterna. Tillsynsmyndigheten ska på ett ändamålsenligt sätt beakta kommissionens riktlinjer när den ger aktörerna anvisningar och råd. 

42 §.Nationell strategi för cybersäkerhet. I paragrafen föreskrivs det om utarbetande och uppdatering av den nationella cybersäkerhetsstrategin, om dess minimiinnehåll och om anmälan till Europeiska kommissionen. Genom förslaget genomförs artikel 7 i NIS 2-direktivet.  

Med den nationella cybersäkerhetsstrategin avses i enlighet med artikel 6.4 i NIS 2-direktivet en enhetlig ram som fastställer strategiska mål och prioriteringar på cybersäkerhetsområdet och en styrningsram för att uppnå dem på nationell nivå. I enlighet med artikel 7.1 i NIS 2-direktivet ska den nationella strategin för cybersäkerhet fastställa strategiska mål, de resurser som krävs för att uppnå dessa mål och relevanta politiska och reglerande åtgärder, i syfte att uppnå och upprätthålla en hög cybersäkerhetsnivå.  

Den nationella strategin för cybersäkerhet ska åtminstone omfatta de aspekter som avses i artikel 7.1 och 7.2 i NIS 2-direktivet. Strategin ska bedömas regelbundet och minst vart femte år. Strategin ska vid behov uppdateras på grundval av resultatindikatorer i enlighet med artikel 7.4 i NIS 2-direktivet. Vid utvecklingen eller uppdateringen av strategin och de centrala resultatindikatorer som används vid bedömningen av den kan man på begäran få stöd av Europeiska unionens cybersäkerhetsbyrå Enisa. 

Den nationella strategin för cybersäkerhet kan vara en självständig strategi eller en del av ett annat dokument, en annan strategi eller av statsrådets principbeslut. Förslaget innehåller således inga bestämmelser om eller begränsningar av strategins utformning. Statsrådet svarar för godkännandet och uppdateringen av strategin och för att den delges Europeiska kommissionen.  

Den nationella strategin för cybersäkerhet ska i enlighet med artikel 7.3 i NIS 2-direktivet meddelas till kommissionen inom tre månader efter det att den antagits. I meddelandet kan man utesluta information vars utlämnande skulle äventyra försvaret eller den nationella säkerheten eller strida mot ett viktigt intresse i samband därmed. Offentligheten för den nationella strategin för cybersäkerhet i övrigt bestäms enligt offentlighetslagen. 

43 §.Plan för hantering av storskaliga cybersäkerhetsincidenter och cybersäkerhetskriser. I paragrafen föreskrivs det om utarbetande av en nationell plan för hantering av storskaliga cybersäkerhetsincidenter och cybersäkerhetskriser samt om cyberkrishanteringsmyndigheten. Genom förslaget genomförs artikel 9 i NIS 2-direktivet.  

I 1 mom. föreskrivs det om utarbetande av en nationell plan för hantering av storskaliga cybersäkerhetsincidenter och cybersäkerhetskriser enligt artikel 9 i NIS 2-direktivet. Transport- och kommunikationsverket svarar för utarbetandet av planen. Planen ska utarbetas i samarbete med de tillsynsmyndigheter som avses i 26 §, polisstyrelsen, skyddspolisen, Försvarsmakten och Försörjningsberedskapscentralen. Även andra myndigheter kan vid behov delta i utarbetandet av planen. Med storskalig cybersäkerhetsincident avses en incident som orsakar en så omfattande störning att Finland inte ensamt kan hantera den eller som har en betydande påverkan också en annan medlemsstat.  

I 2 mom. föreskrivs det om de uppgifter som planen ska innehålla. Planen ska innehålla den information som avses i artikel 9.3 och 9.4 i NIS 2-direktivet och som gäller beredskap och myndigheternas åtgärder för att hantera en storskalig cybersäkerhetsincident eller cybersäkerhetskris. I momentet föreskrivs det om planens minimiinnehåll. Avsikten är inte att avgränsa vilka uppgifter som kan tas in i planen. Planen kan utan hinder av bestämmelsen vara självständig och separat eller ingå i myndigheternas övriga beredskapsplanering. Planen ska utarbetas i samarbete med de myndigheter som avses i 1 mom.  

I 3 mom. föreskrivs det om skyldighet att lämna uppgifter om den nationella planen för hantering av storskaliga cybersäkerhetsincidenter och cybersäkerhetskriser. I enlighet med artikel 9.5 i NIS 2-direktivet ska planen delges Europeiska kommissionen och det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe ) inom tre månader från det att planen antagits. I meddelandet kan man utesluta delar av planen eller information vars utlämnande skulle äventyra försvaret eller den nationella säkerheten eller strida mot ett viktigt intresse i samband därmed. Offentligheten för den nationella planen för hantering av cybersäkerhetskriser i övrigt bestäms enligt offentlighetslagen.  

44 §. Cyberkrishanteringsmyndighet. I paragrafen föreskrivs det om den cyberkrishanteringsmyndighet som avses i artikel 9 i NIS 2-direktivet. Den cyberkrishanteringsmyndighet som avses i artikel 9.1. i NIS 2-direktivet är i Finland den myndighet som avses i 43 § 1 mom. i enlighet med sina lagstadgade uppgifter, dvs. de myndigheter som deltar i utarbetandet av planen för hantering av storskaliga cybersäkerhetsincidenter och cybersäkerhetskriser.. Dessa myndigheter är de tillsynsmyndigheter som avses i den föreslagna lagen, polisen, skyddspolisen, Försvarsmakten, Försörjningsberedskapscentralen och Transport- och kommunikationsverket. Samordnare mellan cyberkrishanteringsmyndigheterna är Cybersäkerhetscentret vid Transport- och kommunikationsverket. Uppgifterna, ansvarsfördelningen och samarbetet mellan cyberkrishanteringsmyndigheterna preciseras i planen.  

45 §.Myndighetssamarbete. Paragrafen innehåller särskilda bestämmelser om samarbetet mellan myndigheterna. Ett informationsutbyte ger inte i sig rätt att avvika från sekretessbestämmelserna. Vid fastställandet av omfattningen av det nödvändiga samarbetet ska särskild vikt läggas vid tolkningen av artikel 13 i NIS 2-direktivet och dess mål. Genom paragrafen genomförs artikel 13.1, 13.4 och 13.5, artikel 32.9 och 32.10 samt artikel 33.6 i NIS 2-direktivet.  

I 1 mom. föreskrivs det om tillsynsmyndighetens och CSIRT-enhetens skyldighet att samarbeta vid fullgörandet av de uppgifter som föreskrivs i den föreslagna lagen och NIS 2-direktivet. Genom momentet genomförs tillsammans med 10 § i förvaltningslagen artikel 13.1 i NIS 2-direktivet.  

I 2 mom. föreskrivs det om tillsynsmyndighetens, CSIRT-enhetens och den gemensamma kontaktpunktens skyldighet att vid behov samarbeta med polisen eller någon annan förundersökningsmyndighet, dataombudsmannen, den myndighet som ansvarar för säkerheten inom den civila luftfarten, de tillsynsorgan som avses i eIDAS-förordningen, den behöriga myndighet som avses i DORA-förordningen och den nationella regleringsmyndighet som avses i teledirektivet. Genom momentet genomförs tillsammans med 10 § i förvaltningslagen artikel 13.4 i NIS 2-direktivet. Tillsynsmyndigheterna, CSIRT-enheten och den gemensamma kontaktpunkten ska vid behov samarbeta också med andra myndigheter, såsom Försvarsmakten och skyddspolisen, på det sätt som föreskrivs i 10 § i förvaltningslagen.  

I 3 mom. föreskrivs det om tillsynsmyndigheten skyldighet att informera det tillsynsforum som inrättats med stöd av artikel 32.1 i DORA-förordningen när den utövar sina befogenheter med avseende på tillsyn och efterlevnadskontroll gentemot en aktör som har identifierats som en kritisk tredjepartsleverantör av IKT-tjänster enligt artikel 31 i DORA-förordningen. Genom momentet genomförs artiklarna 32.10 och 33.6 i NIS 2-direktivet.  

I 4 mom. föreskrivs det om skyldighet för tillsynsmyndigheten och tillsynsorganen enligt eIDAS-förordningen, den behöriga myndigheten enligt DORA-förordningen och den nationella regleringsmyndigheten enligt teledirektivet att regelbundet utbyta information om betydande incidenter och cyberhot. I Finland ska enligt förslaget dessa uppgifter skötas av de myndigheter som avses i momentet. Genom momentet genomförs delvis artikel 13.5 i NIS 2-direktivet.  

46 §. Sökande av ändring. Ett beslut som tillsynsmyndigheten och påföljdsavgiftsnämnden har meddelat med stöd av den föreslagna lagen får överklagas på det sätt som föreskrivs i lagen om rättegång i förvaltningsärenden (808/2019).  

Tillsynsmyndighetens beslut ska iakttas trots ändringssökande, om inte den myndighet där ändring sökts bestämmer något annat. Den domstol som behandlar besvären kan förbjuda eller avbryta verkställigheten eller meddela något annat interimistiskt förordnande om verkställigheten (123 § i lagen om rättegång i förvaltningsärenden). 

Vid sökande av ändring i beslut som gäller föreläggande och utdömande av vite samt föreläggande och verkställighet av hot om tvångsutförande eller hot om avbrytande ska dock viteslagen (1113/1990) tillämpas också i fråga om ändringssökande.  

47 §.Ikraftträdande. Lagen föreslås träda i kraft vid den tidpunkt som i artikel 41 i NIS 2-direktivet anges för det nationella genomförandet, dvs. den 18 oktober 2024.  

Det föreslås dock en övergångsperiod för de anmälningar som avses i 41 § så att den första anmälan om uppgifter ska göras senast den 31 december 2024. Avsikten är att ge aktörerna och tillsynsmyndigheterna en övergångsperiod i fråga om upprättandet av en förteckning över aktörer och anmälan av uppgifter till den. NIS 2-direktivet förutsätter inte att en anmälan till kommissionen angående de uppgifter som ska anmälas görs före 2025. 

7.2  Lagen om ändring av lagen om informationshantering inom den offentliga förvaltningen

1 §.Lagens syfte. Det föreslås att det till paragrafen fogas ett nytt 2 mom. där det konstateras att den föreslagna lagen genomför NIS 2-direktivet inom den offentliga förvaltningen. I momentet anges också vad som i lagen avses med NIS 2-direktivet och definieras offentlig förvaltning i enlighet med punkt 10 i bilaga I till direktivet. Bestämmelser om de skyldigheter i anslutning till cybersäkerheten som föreskrivs i direktivet och om tillsynen över att skyldigheterna fullgörs, inklusive tillsynsåtgärder, samt om påföljder inom den offentliga förvaltningen finns i ett nytt 4 a kap. Dessutom innehåller det föreslagna 2 mom. en informativ hänvisning till den föreslagna cybersäkerhetslagen, det vill säga till den allmänna lagen om genomförande av NIS 2-direktivet. En materiell hänvisning till den lagen ingår i den föreslagna 18 h § i informationshanteringslagen, där det föreskrivs om Transport- och kommunikationsverkets uppgifter som tillsynsmyndighet inom den offentliga förvaltningen.  

En myndighet kan bedriva verksamhet också inom något annat verksamhetsområde som anges i bilagan till NIS 2-direktivet. Till exempel kan en kommunal myndighet vara verksam inom vatten- eller avfallshanteringssektorn. Om 4 a kap. i informationshanteringslagen då inte tillämpas på myndigheten enligt 3 § i den lagen, kan myndigheten endast vara en aktör som avses i den föreslagna cybersäkerhetslagen. En myndighet kan också höra till vardera lagens tillämpningsområde. Enligt 3 § i informationshanteringslagen kan 4 a kap. i den lagen tillämpas exempelvis också på ett välfärdsområde eller en välfärdssammanslutning som bedriver sådan verksamhet inom hälso- och sjukvårdssektorn som avses i bilagan till den föreslagna cybersäkerhetslagen. Om den offentliga förvaltningsorganisationen samtidigt omfattas av både informationshanteringslagen och cybersäkerhetslagen, ska den följa både 4 a kap. i informationshanteringslagen och de skyldigheter som åläggs aktören i cybersäkerhetslagen, vilka till centrala delar motsvarar varandra. En sådan administrativ påföljdsavgift som avses i cybersäkerhetslagen kan inte påföras en offentlig förvaltningsorganisation som avses i 35 §, även om organisationen annars skulle omfattas av lagens tillämpningsområde. 

2 §.Definitioner. Till paragrafen fogas definitioner som behövs för genomförandet av NIS 2-direktivet och som används i det föreslagna nya 4 a kap., dvs. nya punkter 17–26, av vilka alla förutom definitionen av betydande incident och kritisk aktör ingår i artikel 6 i direktivet. Betydande incident definieras i artikel 23.3 i direktivet. Definitionen av kritisk aktör grundar sig på artikel 2.3 i NIS 2-direktivet, enligt vilken direktivet ska tillämpas på entiteter som med stöd av CER-direktivet har identifieras som kritiska entiteter oberoende av deras storlek.  

De nya definitioner som föreslås i informationshanteringslagen motsvarar till sitt innehåll motsvarande definitioner i 2 § i den föreslagna cybersäkerhetslagen. I specialmotiveringen till dem motiveras också att formuleringen av några definitioner ändrats jämfört med direktivet. I definitionerna i informationshanteringslagen används begreppet myndighet i stället för aktör, eftersom de aktörer inom den offentliga förvaltningen som avses i informationshanteringslagen är myndigheter.  

Det betydande cyberhot som definieras i den föreslagna 21 punkten har inte definierats i motsvarande bestämmelser i cybersäkerhetslagen, men beskrivs i specialmotiveringen till 14 § i den lagen. Med betydande cyberhot avses i enlighet med artikel 6.11 i direktivet ett cyberhot som, på grund av dess tekniska egenskaper, kan antas ha potential att ha en all-varlig påverkan på en myndighets nätverks- och informationssystem eller användarna av dess tjänster genom att vålla betydande materiell eller immateriell skada.  

I den föreslagna 22 punkten definieras cyberrisk. I NIS 2-direktivet och cybersäkerhetslagen definieras risk på motsvarande sätt. I informationshanteringslagen används dock begreppet risk också i 13, 13 a, 28 c och 28 f §, och i de sammanhangen kan definitionen av risk i NIS 2-direktivet inte tillämpas direkt. I 4 a kap. i informationshanteringslagen används därför begreppet cyberrisk i stället för risk.  

I den föreslagna 24 punkten definieras betydande incident på motsvarande sätt som i 11 § 1 mom. i den föreslagna cybersäkerhetslagen.  

I den föreslagna 26 punkten definieras kritisk aktör, med vilken avses en myndighet eller någon annan som sköter en offentlig förvaltningsuppgift och som är en sådan kritisk aktör inom den offentliga förvaltningen som avses i artikel 2.1 i CER-direktivet.  

Enligt artikel 2.3 i NIS 2-direktivet ska direktivet tillämpas på entiteter (aktörer i den föreslagna nationella lagstiftningen) som med stöd av CER-direktivet har klassificerats som kritiska entiteter oberoende av deras storlek. Enligt artikel 3.1 f i NIS 2-direktivet ska kritiska entiteter betraktas som väsentliga entiteter.  

Begreppet kritisk aktör används i 3 § i informationshanteringslagen, där NIS 2-bestämmelserna i 4 a kap. inte ska tillämpas på den myndighet som avses i det föreslagna nya 3 mom., om myndigheten inte är en kritisk aktör. Genom det föreslagna 3 § 3 mom. (som efter de föreslagna ändringarna blir 4 mom.) föreskrivs det om begränsningar av tillsynsmyndighetens behörighet också i fråga om vissa andra aktörer som är av betydelse med tanke på grundlagen, i det fall att 4 a kap. tillämpas på dem på grund av att de är kritiska aktörer. I 3 § 4 mom. (som efter de föreslagna ändringarna blir 5 mom.) föreskrivs det dessutom att 4 a kap. ska tillämpas på privatpersoner, privaträttsliga sammanslutningar och sådana offentligrättsliga samfund som inte är myndigheter till den del dessa sköter offentliga förvaltningsuppgifter och är kritiska aktörer.  

Eftersom det till paragrafen fogas nya punkter, måste 16 punkten ändras så att den avslutas med ett kommatecken.  

3 §.Lagens tillämpningsområde och avgränsningar av det. I paragrafens rubrik föreslås en språklig precisering. Det föreslås att det till paragrafen fogas ett nytt 3 mom . med bestämmelser om de myndigheter som inte omfattas av tillämpningsområdet för det föreslagna nya 4 a kap., såvida inte myndigheten är en kritiska aktör. Därmed blir 3–5 mom. i den gällande 3 § 4–6 mom. Det föreslås också att gällande 3 och 4 mom. (4 och 5 mom. när paragrafen fått ett nytt 3 mom.) ändras, liksom också 5 mom. om Åland (6 mom. efter ändringarna).  

I 2 mom. korrigeras den nya kyrkolagens nummer i författningssamlingen.  

I artikel 2 i direktivet föreskrivs det om minimitillämpningsområde i fråga om offentliga aktörer. Enligt artikel 2.2 f ska direktivet tillämpas, om entiteten är en offentlig förvaltningsentitet i) på statlig nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt, eller ii) på regional nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt, som enligt en riskbaserad bedömning tillhandahåller tjänster vars störning kan ha en betydande effekt på kritisk samhällelig eller ekonomisk verksamhet.  

Utgångspunkten för tillämpningsområdet för det föreslagna 4 a kap. är i enlighet med 1 mom. att bestämmelserna i lagen ska tillämpas på myndigheter. Myndigheter är enligt informationshanteringslagen de myndigheter som avses i 4 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen ). Enligt 1 mom. ska dessutom det som föreskrivs om myndigheter också tillämpas på universitet som avses i universitetslagen (558/2009) och på yrkeshögskolor som avses i yrkeshögskolelagen (932/2014).  

Enligt det föreslagna 3 mom. ska 4 a kap. med stöd av 1 mom. tillämpas på de myndigheter som omfattas av tillämpningsområdet för informationshanteringslagen och som i 3 mom. inte särskilt har uteslutits från kapitlets tillämpningsområde.  

Den föreslagna regleringen täcker direktivets minimitillämpningsområde i fråga om aktörer inom den offentliga förvaltningen. Tillämpningsområdet omfattar också statens regionförvaltningsmyndigheter såsom regionförvaltningsverk och närings-, trafik- och miljöcentraler, som i enlighet med vår nationella rätt kan anses vara sådana aktörer inom den offentliga förvaltningen på statlig nivå som avses i direktivet. Tillämpningsområdet omfattar också statens affärsverk, med undantag av Försvarsfastigheter (den föreslagna 3 § 3 punkten).  

Välfärdsområdenas och välfärdssammanslutningarnas myndigheter ska också omfattas av tillämpningsområdet för 4 a kap. De kommunala myndigheterna omfattas inte av lagens tillämpningsområde, med undantag för Helsingfors stad när den sköter uppgifter som enligt lag hör till välfärdsområdenas organiseringsansvar. 

På motsvarande sätt ska tillämpningsområdet omfatta självständiga offentligrättsliga inrättningar med undantag av Finlands Bank. Dessa är bl.a. Folkpensionsanstalten, Arbetshälsoinstitutet, Finlands viltcentral, Finlands skogscentral, Keva och Kommunernas garanticentral. En offentligrättslig inrättning är en självständig offentligrättslig juridisk person som vanligen har fått sin status genom en särskild rättsakt. Självständiga offentligrättsliga inrättningar har vanligen också egen ekonomi och förvaltning. De har också rättshandlingsförmåga. En offentligrättslig inrättning hör inte till det egentliga förvaltningsmaskineriet, men sköter en särskilt definierad offentlig uppgift och utövar offentlig makt. De beslutar om rättigheter och skyldigheter som gäller människor och det finns bestämmelser i lag om deras verksamhet. En inrättnings självständighet innebär i första hand att den är uttalat oberoende i förhållande till förvaltningsmaskineriet. Deras verksamhet övervakas dock av staten. Valet av organisationsform (t.ex. statligt ämbetsverk eller offentligrättslig inrättning) har varit osystematiskt och delvis berott på tillfälligheter. Med beaktande av det som sagts ovan bör självständiga offentligrättsliga organ hänföras till sådana aktörer inom den offentliga förvaltningen på statlig nivå, såsom de definieras i enlighet med nationella rätt, som avses i punkt 10 i bilaga I till NIS 2-direktivet och på vilka direktivet i regel ska tillämpas.  

På verksamheten i Jubileumsfonden för Finlands självständighet (Sitra) tillämpas enligt 19 § i lagen om Jubileumsfonden för Finlands självständighet (717/1990) bland annat offentlighetslagen. Utifrån informationshanteringslagens kontext betraktas Sitra inte som en myndighet enligt 4 § 1 mom. i offentlighetslagen, och på Sitra tillämpas informationshanteringslagen på det sätt som föreskrivs i 3 § 4 mom. (5 mom. efter de föreslagna ändringarna). Således gäller inte heller 4 a kap. i informationshanteringslagen Sitra. 

Enligt artikel 6.35 i direktivet omfattar begreppet offentlig förvaltningsentitet (dvs. aktör inom den offentliga förvaltningen) inte de nationella parlamenten. Lagens 4 a kap. ska dock tillämpas på riksdagens ämbetsverk på det sätt som framgår av 4 § 1 mom. 6 punkten i offentlighetslagen och dess motivering, eftersom begreppet ”parlament” i direktivet syftar på folkrepresentationen, i Finland riksdagen och riksdagsarbetet. I offentlighetslagen avses med riksdagens ämbetsverk och inrättningar detsamma som i lagen om riksdagens tjänstemän (1197/2003). Enligt 2 § 2 mom. i den lagen är riksdagens ämbetsverk riksdagens kansli och riksdagens justitieombudsmans kansli samt statens revisionsverk och forskningsinstitutet för internationella relationer och EU-frågor (dvs. Utrikespolitiska institutet), som båda finns i anknytning till riksdagen. Riksdagsbiblioteket har sedan 2001 hört till riksdagens kansli. Finlands delegation i Nordiska rådet har ett sekretariat vid riksdagens kanslis internationella avdelning.  

Offentlighetslagen tillämpas inte på riksdagens eller dess organs verksamhet, utan i deras fall bestäms offentligheten enligt grundlagen och riksdagens arbetsordning. Offentlighetslagen tillämpas alltså inte på verksamheten i riksdagens plenum och utskott. (Olli Mäenpää: Julkisuusperiaate, Helsinki 2020, s. 135.) Det betyder att inte heller informationshanteringslagen eller dess 4 a kap. tillämpas på riksdagsarbetet. Grundlagsutskottet förutsatte i sitt utlåtande GrUU 14/2018 rd om regeringens proposition med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning att riksdagsarbetet, till skillnad från förvaltningsverksamheten vid riksdagens ämbetsverk, i sin helhet utesluts från bestämmelsernas tillämpningsområde. Riksdagens ämbetsverk omfattas i övrigt av dataskyddslagens tillämpningsområde. 

Enligt det föreslagna nya 3 mom. ska 4 a kap. alltså tillämpas på de myndigheter som räknas upp i momentet endast om myndigheten är en kritisk aktör. Med kritisk aktör avses en myndighet eller någon annan som sköter en offentlig förvaltningsuppgift och som med stöd av lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft har identifierats som en kritisk aktör inom den offentliga förvaltningen. Genom det föreslagna 3 mom. ska 4 a kap. tillämpas på aktörer som uteslutits från tillämpningsområdet för 4 a kap., om de är kritiska aktörer. 

En del aktörer inom den offentliga förvaltningen samt viss produktion och användning av tjänster i säkerhetsnätet föreslås alltså bli undantagna från tillämpningsområdet för NIS 2-regleringen på det sätt som direktivet tillåter. Dessa aktörer inom den offentliga förvaltningen har likväl rätt att utnyttja till exempel CSIRT-enhetens tjänster, som tillhandahålls separat från Transport- och kommunikationsverkets tillsynsuppgift. Bestämmelser om dessa tjänster – och om behandling av uppgifter i anknytning till dem – finns i cybersäkerhetslagen. Dessutom kan dessa aktörer som inte omfattas av bestämmelserna i 4 a kap. lämna sådana frivilliga underrättelser till Transport- och kommunikationsverket som avses i 18 f §. Bestämmelser om utlämnande av information i samband med frivilliga underrättelser finns i 18 f §. 

Enligt momentets 1 punkt ska kapitlet inte tillämpas på republikens presidents kansli, Försvarsmakten, polisenheter som avses i polisförvaltningslagen (110/1992), Gränsbevakningsväsendet, Åklagarmyndigheten eller Tullens brottsbekämpning. Polisenheter är enligt 1 § i polisförvaltningslagen Polisstyrelsen och enheterna under den samt skyddspolisen.  

Enligt artikel 2.7 i direktivet är direktivet inte tillämpligt på offentliga förvaltningsentiteter som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott. I skäl 8 i direktivet sägs följande: ”Undantaget för offentliga förvaltningsentiteter från detta direktivs tillämpningsområde bör omfatta entiteter vars verksamhet till övervägande del bedrivs på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet verksamhet som rör utredning, förebyggande, upptäckt och lagföring av brott. Offentliga förvaltningsentiteter vars verksamhet endast marginellt hänför sig till dessa områden bör dock inte vara undantagna från direktivets tillämpningsområde. Vid tillämpningen av detta direktiv anses entiteter med tillsynsbefogenheter inte bedriva verksamhet på brottsbekämpningsområdet, och de är därför inte undantagna från tillämpningsområdet för detta direktiv.”  

Enligt 110 § 1 mom. i grundlagen är justitiekanslern i statsrådet och riksdagens justitieombudsman också behöriga att väcka åtal i ärenden som omfattas av deras laglighetskontroll. Dessutom är de högsta laglighetsövervakarna med stöd av samma grundlagsbestämmelse de enda specialåklagare som enligt grundlagen är behöriga i ärenden som berör domares tjänstebrott samt med stöd av 27 § i lagen om Åklagarmyndigheten (32/2019) de enda behöriga specialåklagarna i alla ärenden som gäller åklagares tjänstebrott. I 8 § lagen om Åklagarmyndigheten konstateras det också att justitiekanslern i statsrådet och riksdagens justitieombudsman är specialåklagare. Enligt skäl 8 i NIS 2-direktivet är avsikten att direktivet ska omfatta aktörer inom den offentliga förvaltningen i vid bemärkelse och att de sektorer inom den offentliga förvaltningen som inte omfattas av direktivet ska tolkas restriktivt. Därför har de högsta laglighetsövervakarnas verksamhet som åklagare inte beaktats separat i avgränsningarna av tillämpningsområdet i 3 §. Det bör också beaktas att betydelsen av en sådan avgränsning delvis blir liten och oändamålsenlig, eftersom det i ljuset av ingressen till direktivet varken är motiverat eller ändamålsenligt att särskilja åtgärder som enbart gäller åklagande från den allmänna riskhanteringen i fråga om cybersäkerheten hos hela myndigheten. Dessutom bör det beaktas att de högsta laglighetsövervakarnas verksamhet inte till någon del får bli föremål för tillsyn eller tillsynsmyndighetens befogenheter. Det betyder att tillsynsmyndigheten inte övervakar dessa myndigheters verksamhet till någon del ens i deras roll som specialåklagare, och de högsta laglighetsövervakarna är i egenskap av specialåklagare inte heller skyldiga att lämna ut information till tillsynsmyndigheten. 

Enligt 2 punkten ska kapitlet inte tillämpas på domstolar eller nämnder som har inrättats för att behandla besvärsärenden. Enligt artikel 6.35 i direktivet omfattar begreppet offentlig förvaltningsentitet inte det nationella rättsväsendet.  

Med stöd av 3 punkten faller Försvarsfastigheter utanför kapitlets tillämpningsområde, eftersom dess verksamhet på det sätt som avses i artikel 2.7 i direktivet huvudsakligen gäller försvar och den nationell säkerhet.  

Enligt den föreslagna 4 punkten ska kapitlet inte tillämpas på kommunala myndigheter med undantag för Helsingfors stad på vilken 4 a kap. tillämpas när staden sköter uppgifter som enligt lag hör till välfärdsområdenas organiseringsansvar, även om den inte är en kritisk aktör. De lokala myndigheterna, dvs. kommunerna, omfattas inte av direktivets minimitillämpningsområde. I fråga om kommunerna har det ansetts ändamålsenligt att utesluta dem från tillämpningsområdet på de grunder som anges närmare i punkt 5.1.3. Tillämpningsområdet för 4 a kap. i informationshanteringslagen omfattar välfärdsområden och välfärdssammanslutningar, som i enlighet med den nationella lagstiftningen ska betraktas som sådana aktörer inom den offentliga förvaltningen på regional nivå som avses i direktivet. Därför ska också Helsingfors stad omfattas av lagens tillämpningsområde när den sköter uppgifter som enligt lag hör till välfärdsområdenas organiseringsansvar. Välfärdsområdena, välfärdssammanslutningarna och Helsingfors stad har lagstadgat organiseringsansvar för social- och hälsovården samt räddningsväsendet. Tillhandahållare av offentlig och privat hälso- och sjukvård hör till hälso- och sjukvårdssektorn enligt punkt 5 i bilaga I till NIS 2-direktivet. Bestämmelser om skyldigheterna och tillsynen enligt direktivet finns i den föreslagna cybersäkerhetslagen. Dessutom gäller bestämmelserna i informationshanteringslagen myndigheterna inom socialvården och räddningsväsendet i välfärdsområdena, välfärdssammanslutningarna och Helsingfors stad. En fungerande förvaltning är en förutsättning för att välfärdsområdena och välfärdssammanslutningarna samt Helsingfors stad ska kunna fullgöra de uppgifter i anslutning till kritiska samhällsfunktioner som föreskrivits för dem.  

Enligt 5 punkten ska 4 a kap. inte tillämpas på Finlands Bank, eftersom det i artikel 6.35 i direktivet föreskrivs att centralbanker faller utanför begreppet offentlig förvaltningsentitet.  

Enligt den föreslagna 6 punkten ska bestämmelserna i 4 a kap. inte tillämpas på universitet som avses i universitetslagen, yrkeshögskolor som avses i yrkeshögskolelagen eller Räddningsinstitutet, eftersom dessa enligt artikel 2.5 b i NIS 2-direktivet inte omfattas av direktivets minimitillämpningsområde.  

Enligt den föreslagna 7 punkten ska 4 a kap. inte tillämpas på sådan tjänsteproduktion i säkerhetsnätet och användning av dess tjänster som avses i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (10/2015), nedan säkerhetsnätslagen , Avgränsningen grundar sig på artikel 2.7 i det direktiv som nämns i motiveringen till 1 punkten. Avgränsningen av tjänsteproduktion och användning av säkerhetsnätet innebär att 4 a kap. inte ska tillämpas på den verksamhet enligt lagen om verksamheten i den offentliga förvaltningens säkerhetsnät som utövas av Statens center för informations- och kommunikationsteknik Valtori. Det föreslagna 4 a kap. skulle inte tillämpas på Suomen Erillisverkot Oy ens utan avgränsningen för säkerhetsnät, eftersom Suomen Erillisverkot Oy inte hör till någon myndighetsgrupp på vilken 4 a kap. ska tillämpas enligt huvudregeln i 3 § 1 mom. När det gäller användningen av säkerhetsnätets tjänster innebär avgränsningen att de användare (t.ex. ministerierna och Migrationsverket) som omfattas av tillämpningsområdet för 4 a kap. inte är skyldiga att uppge IP-adresser i säkerhetsnätet eller att anmäla incidenter i säkerhetsnätet. Kommunikationsverkets rätt att utöva tillsyn eller att få information eller utföra inspektioner gäller inte heller säkerhetsnätets tjänster eller användningen av dem. Det föreslås också bestämmelser om begränsningar i rätten att få information och i rätten att utöva tillsyn i de paragrafer som gäller dessa frågor. I samband med genomförandet av CER-direktivet ska det bedömas i vilken mån det är ändamålsenligt att tillämpa CER-regleringen, och därmed också 4 a kap. i informationshanteringslagen, på tjänsteproduktion i eller användning av tjänster i säkerhetsnätet. I den föreslagna 18 i § om tillsynsmyndighetens rätt att få information föreslås det dock att den rätt att få information som avses i bestämmelsen inte ska gälla sekretessbelagd information som har samband med verksamhet i säkerhetsnätet.  

Med stöd av den föreslagna 8 punkten ska 4 a kap. inte tillämpas på myndigheter som har inrättats tillsammans med ett land utanför Europeiska ekonomiska samarbetsområdet i enlighet med en internationell överenskommelse eller på diplomatiska eller konsulära beskickningar i dessa länder och deras nät- och informationssystem, till den del dessa system finns i beskickningens lokaler eller upprätthålls för användare i ett tredjeland. I skäl 8 i NIS 2-direktivet sägs följande: ”Offentliga förvaltningsentiteter som inrättats gemensamt med ett tredjeland i enlighet med ett internationellt avtal är undantagna från detta direktivs tillämpningsområde. Detta direktiv är inte tillämpligt på medlemsstaters diplomatiska och konsulära beskickningar i tredjeländer eller på deras nätverks- och informationssystem, såvida dessa system är belägna inom beskickningen eller drivs för användare i ett tredjeland.”  

Det föreslås att 3 mom. ( 4 mom. när nya 3 mom. har fogats till paragrafen) ändras så att tillsynsmyndighetens rätt att utöva tillsyn eller att få information och utföra inspektioner enligt näst sista meningen inte ska tillämpas på riksdagens justitieombudsmans eller justitiekanslern i statsrådets verksamhet. Av den föreslagna regleringen framgår tydligt att Transport- och kommunikationsverket inte får tillsynsbehörighet i förhållande till de högsta laglighetsövervakarna. Dessutom ska tillsynsmyndighetens tillsynsbefogenheter eller rätt att få information och utföra inspektioner inte heller tillämpas på republikens presidents kansli eller på rättskipningen vid domstolar eller nämnder som har inrättats för att behandla besvärsärenden ens i det fall att 4 a kap. tillämpas på dem i egenskap av kritiska aktörer. Begränsningarna beror huvudsakligen på vissa till den offentliga sektorn hörande organisationers grundlagsfästa ställning, som innebär att till statens centralförvaltning hörande myndigheters styrningsbefogenheter inte kan utsträckas till dessa organisationers interna förvaltning (t.ex. GrUU 46/2010 rd och GrUU 14/2018 rd). I grundlagsutskottets utlåtande GrUU 14/2018 rd om regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning konstateras grundlagsutskottet att högsta laglighetsövervakarnas konstitutionella roll och uppgifter och den samlade konstitutionella laglighetskontrollen gör det omöjligt att dataombudsmannen, som är lägre i instansordningen, skulle utöva tillsyn över de högsta laglighetsövervakarna och att denna avgränsning måste framgå explicit av bestämmelserna i dataskyddslagen.  

Det gällande 4 mom. blir 5 mom. , och till slutet av momentet fogas ett omnämnande av att 4 a kap. ska tillämpas på privatpersoner, privaträttsliga sammanslutningar och sådana offentligrättsliga samfund som inte är myndigheter till den del dessa sköter offentliga förvaltningsuppgifter och är kritiska aktörer. Dessutom föreslås mindre språkliga preciseringar i momentet.  

Det gällande 5 mom. blir 6 mom. , och till slutet av momentet fogas en mening enligt vilken 4 a kap. ska tillämpas på statliga myndigheter i landskapet Åland, om inte något annat följer av 3 mom. Inom den offentliga förvaltningen måste bestämmelserna i NIS 2-direktivet bedömas som bestämmelser om myndigheternas verksamhet, varvid granskningen av hur lagstiftningsbehörigheten ska fördelas mellan landskapet och riket baserar sig på bestämmelserna om landskapsmyndigheterna och riksmyndigheterna i självstyrelselagen för Åland (1144/1991, nedan självstyrelselagen). I självstyrelselagen finns bestämmelser om landskapets självstyrelse och om fördelningen av lagstiftningsbehörigheten mellan landskapet och riket. I 4 kap. i den lagen föreskrivs det om landskapets behörighet och i 5 kap. om rikets behörighet. Enligt 18 § 1 punkten i självstyrelselagen har landskapet lagstiftningsbehörighet i fråga om lagtingets organisation och uppgifter samt val av lagtingets ledamöter samt i fråga om landskapsregeringen och under denna lydande myndigheter och inrättningar. Enligt 27 § 3 punkten i självstyrelselagen har riket däremot lagstiftningsbehörighet i fråga om statsmyndigheternas organisation och verksamhet. En riksmyndighet som är verksam i landskapet Åland ska betraktas som en sådan offentlig förvaltningsaktör på statlig nivå som avses i direktivet och som direktivet ska tillämpas på. Därför ska bestämmelserna i föreslagna 4 a kap. också tillämpas på statliga myndigheter som är verksamma i landskapet Åland. De begränsningar som föreskrivs i 3 mom. ska därför tillämpas också på statliga myndigheter som är verksamma i landskapet Åland; det betyder till exempel att 4 a kap. inte heller ska tillämpas på Gränsbevakningsväsendets verksamhet på Åland.  

10 §.Den offentliga förvaltningens informationshanteringsnämnd. Det föreslås att 1 mom. 2 punkten ändras så att informationshanteringsnämndens främjande uppgift inte gäller det som föreskrivs i 4 a kap. Efterlevnaden av bestämmelserna i 4 a kap. övervakas av Transport- och kommunikationsverket i enlighet med det som föreslås i propositionen. Även om informationshanteringsnämnden inte med stöd av den punkten kan ge myndigheterna bindande anvisningar eller föreskrifter och de ställningstaganden och rekommendationer som den ger med stöd av sin uppgift att främja förfarandena inte är bindande, kan informationshanteringsnämndens uppgift att främja det som föreskrivs i 4 a kap. orsaka konflikt med den tillsynsmyndighets verksamhet som utövar tillsyn över efterlevnaden av 4 a kap. och äventyra oberoendet i den tillsynsmyndighetens verksamhet. Därför är det motiverat att informationshanteringsnämndens främjande uppgift inte gäller bestämmelserna i 4 a kap. Informationshanteringsnämnden och Transport- och kommunikationsverket ska samarbeta vid utarbetandet av anvisningar och rekommendationer som gäller informationssäkerhet och cybersäkerhet så att deras anvisningar till behövliga delar är enhetliga.  

4 a kap. Skyldigheter som gäller cybersäkerhet och tillsynen över att de fullgörs  

Det föreslås att det till informationshanteringslagen fogas ett nytt 4 a kap., där det föreskrivs enbart om de omständigheter som genomförandet av NIS 2-direktivet förutsätter. Det är motiverat med ett eget kapitel för de föreslagna bestämmelserna, eftersom kapitlets bestämmelser endast gäller ett begränsat antal informationshanteringsenheter och myndigheter. Också de uppgifter som i 4 a kap. föreslås för Transport- och kommunikationsverket och som hör till den behöriga myndighet som avses i NIS 2-direktivet, dvs. tillsynsmyndigheten, begränsas till tillsynen över att skyldigheterna enligt det föreslagna 4 a kap. fullgörs. 

18 a §.Aktörsindelning och anmälan om verksamhet. I paragrafen föreskrivs det om skyldighet att göra anmälningar till den behöriga myndigheten enligt artiklarna 3.4 och 29.4 i NIS 2-direktivet. Motsvarande bestämmelser finns i 41 § i den föreslagna cybersäkerhetslagen.  

Enligt artikel 3.3 i direktivet ska medlemsstaterna senast den 17 april 2025 upprätta en förteckning över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster. Medlemsstaterna ska regelbundet och minst vartannat år därefter se över förteckningen och när det är lämpligt uppdatera den. Enligt artikel 3.5 a i direktivet ska de behöriga myndigheterna senast den 17 april 2025 och därefter vartannat år underrätta kommissionen och den samarbetsgrupp som avses i artikel 14 i direktivet om antalet väsentliga och viktiga entiteter som förtecknats enligt punkt 3 för varje sektor och delsektor som avses i bilaga I eller II. Bestämmelser om dessa underrättelser till kommissionen och samarbetsgruppen finns i cybersäkerhetslagen. Enligt artikel 29.4 i direktivet ska medlemsstaterna säkerställa att väsentliga och viktiga entiteter underrättar de behöriga myndigheterna om sitt deltagande i de arrangemang för informationsutbyte om cybersäkerhet som avses i artikel 29.2, när de ingår sådana arrangemang eller, om de utträder ur sådana arrangemang, när utträdet får verkan. 

Enligt 1 mom. är de informationshanteringsenheter som omfattas av tillämpningsområdet för 4 a kap. väsentliga aktörer inom den offentliga förvaltningen enligt 10 punkten i bilaga I till NIS 2-direktivet, med undantag för välfärdsområdena och välfärdssammanslutningarna samt Helsingfors stad, vilka är viktiga aktörer. Enligt artikel 3.1 d i direktivet ska en offentlig förvaltningsentitet på statlig nivå betraktas som en väsentlig entitet eller aktör i den mening som avses i direktivet. En aktör som med stöd av CER-direktivet har definierats som en kritisk aktör ska enligt artikel 3.1 f i NIS 2-direktivet anses vara en väsentlig aktör. Andra aktörer inom den offentliga förvaltningen ska betraktas som viktiga aktörer.  

Frågan om huruvida en aktör är väsentlig eller viktig påverkar det antal aktörer som ska anmälas till kommissionen och samarbetsgruppen enligt artikel 3.5 a i direktivet och huruvida en aktör ska bli föremål för tillsyns- och efterlevnadskontrollåtgärder enligt artikel 32 (förhandstillsyn) eller för tillsyns- och efterlevnadskontrollåtgärder enligt artikel 33 (efterhandstillsyn).  

I 2 mom. föreskrivs det om skyldighet för aktörerna inom den offentliga förvaltningen att lämna vissa uppgifter om sig själva till tillsynsmyndighet. Transport- och kommunikationsverket kan till exempel på sin webbplats inrätta en digital tjänst där uppgifterna kan lämnas.  

En informationshanteringsenhet ska till tillsynsmyndigheten anmäla sitt namn, sin adress, sin e-postadress, sitt telefonnummer och andra aktuella kontaktuppgifter samt de IP-adressintervall som enheten använder. Informationshanteringsenheten ska också meddela om den är en väsentlig eller en viktig aktör inom den offentliga förvaltningen, en förteckning över övriga medlemsstater i Europeiska unionen där enheten tillhandahåller sina tjänster och huruvida den deltar i frivilliga arrangemang för informationsutbyte om cybersäkerhet enligt 23 § i cybersäkerhetslagen. 

Enligt 3 mom. ska informationshanteringsenheten utan dröjsmål, senast inom två veckor från en ändring, anmäla alla ändringar i de uppgifter som lämnats med stöd av 2 mom.  

Informationshanteringsenheten ska se till att den som tillhandahåller enheten informations- och kommunikationstekniska tjänster ger enheten den information om de IP-adressintervall som enheten behöver för sina anmälningar. Statens center för informations- och kommunikationsteknik Valtori omfattas också av anmälningsskyldigheten i fråga om annan verksamhet än produktion och användning av tjänster i säkerhetsnätet. Valtori ska också för sin del se till att de informationshanteringsenheter som anlitar dess tjänster har kännedom om de IP-adressintervall som används i deras tjänster och om ändringar i dem, så att de kan uppfylla anmälningsskyldigheten och uppdatera sina uppgifter. Naturligtvis kan informationshanteringsenheten också ha egna IP-adresser, för vilka de själva ansvarar. IP-adressintervallen är relativt stabila, så det bör inte vara en större börda att hålla uppgifterna uppdaterade. 

Enligt artikel 3.4 tredje stycket i direktivet ska kommissionen, med bistånd av Europeiska unionens cybersäkerhetsbyrå (Enisa), utan onödigt dröjsmål tillhandahålla riktlinjer och mallar för anmälningsskyldigheterna. Tillsynsmyndigheten ska på ett ändamålsenligt sätt beakta kommissionens riktlinjer när den ger informationshanteringsenheterna anvisningar och råd. 

18 b §.Skyldighet att hantera cybersäkerhetsrisker och handlingsmodell för hantering av cybersäkerhetsrisker. I paragrafen föreskrivs det om hantering av cybersäkerhetsrisker och om en handlingsmodell för hantering av cybersäkerhetsrisker samt om ledningens ansvar. Bestämmelserna grundar sig på artiklarna 20–22 i direktivet. Den förteckning över riskhanteringsåtgärder för cybersäkerhet som finns i artikel 21 i direktivet ingår i 18 c §. I 7, 8 och 10 § i den föreslagna cybersäkerhetslagen föreskrivs det om de riskhanteringsskyldigheter enligt NIS 2-direktivet som motsvarar den föreslagna 18 b § i informationshanteringslagen. I specialmotiveringen till de nämnda paragraferna anges bland annat det som konstateras om riskhantering i direktivets skäl samt andra lämpliga exempel på riskhantering.  

Enligt den första meningen i 1 mom. ska informationshanteringsenheten identifiera, utvärdera och hantera de risker som hänför sig till säkerheten i de kommunikationsnät och informationssystem som den använder i sin verksamhet eller för att tillhandahålla sina tjänster. Informationshanteringsenheten ska genom metoder för identifiering, utvärdering och hantering av riskerna försäkra sig om att säkerhetsnivån och nivån på riskhanteringsåtgärderna i de nätverks- och informationssystem som används i verksamheten är tillräckliga och proportionella i förhållande till riskerna. Bestämmelsen motsvarar i stor utsträckning det som i 13 § i informationshanteringslagen sägs om att dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen. Begreppet cybersäkerhet motsvarar inte helt begreppet informationssäkerhet, eftersom informationssäkerheten skyddar informationen i alla dess former – inte bara i informationssystem. På definitionsnivå inbegriper cybersäkerheten dessutom en dimension av skydd för personer, vilket visserligen också följer av genomförandet av informationssäkerheten. 

Enligt det föreslagna momentets andra mening ska hanteringen av cybersäkerhetsrisker förhindra eller minimera incidenternas inverkan på verksamheten, driftskontinuiteten, tjänstemottagarna och andra tjänster. I den tredje meningen i det föreslagna 1 mom. konstateras det att informationshanteringsenheten ska vidta de åtgärder för hantering av cybersäkerhetsrisker som avses i 18 c §. Bestämmelser om dessa åtgärders proportionalitet finns i det föreslagna 18 c § 2 mom. 

Enligt det föreslagna 2 mom. ska informationshanteringsenheten ska ha en uppdaterad handlingsmodell för hantering av cybersäkerhetsrisker för att skydda kommunikationsnät och informationssystem och deras fysiska miljö mot incidenter och deras verkningar. I handlingsmodellen ska de risker som riktas mot kommunikationsnät och informationssystem och deras fysiska miljö identifieras i enlighet med ett tillvägagångssätt som beaktar alla riskfaktorer. Dessutom ska målen, förfarandena och ansvaren för hanteringen av cybersäkerhetsrisker samt de åtgärder enligt 18 c § genom vilka kommunikationsnät och informationssystem och deras fysiska miljö skyddas mot cyberhot och incidenter fastställas och beskrivas. Riskhanteringens mål, förfaranden och ansvar i allmänhet ska beskrivas i de riktlinjer för riskhanteringen som avses i den föreslagna 18 c § 2 mom. 1 punkten, men beskrivningen av dem betonas också i det föreslagna 18 b § 2 mom. för att beskrivningen ska utgöra ett tydligt krav oberoende av hur innehållet i riktlinjerna för riskhantering förstås. Riskhanteringen är till sin karaktär kontinuerlig, och den handlingsmodell för riskhantering som upprättas ska också hållas uppdaterad, eftersom riskerna för nät- och informationssystemens säkerhet förändras och utvecklas med tiden på samma sätt som skyddsåtgärderna. 

Handlingsmodellen för riskhantering kan också vara en del av aktörens mer omfattande riskhanteringsplan, som också beaktar andra risker som hänför sig till verksamheten, eller en del av den övriga säkerhetsberedskapen. 

Åtgärderna för hantering av cybersäkerhetsrisker ska bygga på en strategi som tar hänsyn till alla riskfaktorer och som syftar till att skydda nätverks- och informationssystemen och deras fysiska miljö mot händelser som stöld, brand, översvämning eller avbrott i telekommunikationen eller elförsörjningen. Riskhanteringen skyddar också nätverks- och informationssystem mot obehörig fysisk tillgång till information samt informationsmiljön mot skada och störningar som kan äventyra tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos uppgifter som lagras, överförs eller behandlas i eller hos tjänster som erbjuds genom eller är tillgängliga via kommunikationsnäten och informationssystemen. 

Enligt 5 § i informationshanteringslagen ska en informationshanteringsenhet upprätthålla en informationshanteringsmodell som definierar och beskriver informationshanteringen i dess verksamhetsmiljö. Enligt den paragrafens 2 mom. 5 punkt ska informationshanteringsmodellen innehålla information om informationssäkerhetsåtgärder. Enligt 5 § 3 mom. ska man vid planeringen av väsentliga administrativa reformer som har konsekvenser för innehållet i informationshanteringsmodellen och i samband med att informationssystem tas i bruk bedöma de förändringar som hänför sig till åtgärderna och deras konsekvenser i förhållande till de bestämmelser i informationshanteringslagen som specificeras i paragrafen. Förhållandet mellan handlingsmodellen för hantering av cybersäkerhetsrisker och informationshanteringsmodellen behandlas närmare i avsnitt 4.4.2. Konsekvenser av ändringarna i informationshanteringen. 

Enligt 3 mom. svarar informationshanteringsenhetens ledning för genomförandet av och tillsynen över hanteringen av cybersäkerhetsrisker samt godkänner handlingsmodellen för hantering av risker och utövar tillsyn över genomförandet av den. Informationshanteringsenheten ledning ska ha tillräcklig förtrogenhet med hantering av cybersäkerhetsrisker.  

Med informationshanteringsenhetens ledning (i direktivet ledningsorganet, på engelska management body) avses den verkschef eller det ledande organ som fastställts i ämbetsverkens och inrättningarnas arbetsordningar eller i de olika aktörernas förvaltningsstadgor. Med ledning avses chefen för ett statligt ämbetsverk eller en statlig inrättning som typiskt har tjänstebenämningen generaldirektör eller överdirektör. Enligt 38 § 2 mom. i kommunallagen leder kommunstyrelsen kommunens verksamhet, förvaltning och ekonomi. Således ska Helsingfors stadsstyrelse i princip vara den i momentet avsedda ledningen för informationshanteringsenheten, om inte ansvaret har delegerats till något annat organ eller någon annan tjänsteinnehavare, såsom borgmästaren, i förvaltningsstadgan. Med självständiga offentligrättsliga inrättningars ledning avses den ledning som fastställts på basis av de bestämmelser som gäller varje inrättning och som kan delegera sitt ansvar till en annan ledning. 

I praktiken svarar ledningen för att handlingsmodellen för hantering av cybersäkerhetsrisker är godkänd och uppdaterad och att genomförandet av den övervakas. Ledningen ansvarar alltså för att hantering av cybersäkerhetsrisker genomförs och övervakas vid informationshanteringsenheten. Dessutom godkänner ledningen handlingsmodellen för riskhantering och ordnar tillsynen över att handlingsmodellen genomförs. 

Aktörens ledning ska också ha tillräcklig och aktuell förtrogenhet med hantering av cybersäkerhetsrisker, vilket förutsätter förtrogenhet antingen genom utbildning eller på något annat motsvarande sätt med regelbundna intervaller. Som en del av de riskhanteringsåtgärder inom cybersäkerheten som avses i 18 c § sörjer ledningen också för att personalen får cybersäkerhetsutbildning. Syftet med utbildningen i hantering av cybersäkerhetsrisker är att ge tillräckliga kunskaper och färdigheter för att kunna identifiera riskerna och bedöma praxis för hantering av cybersäkerhetsrisker och deras inverkan på verksamheten vid informationshanteringsenheten, inklusive de tjänster som enheten tillhandahåller.  

I 4 § 2 mom. i informationshanteringslagen föreskrivs en skyldighet för informationshanteringsenhetens ledning att se till att ansvaret för uppgifterna i anslutning till genomförandet av informationshanteringen har fastställts vid enheten. Ledningen ska också se till att det finns aktuella anvisningar och att det tillhandahålls utbildning för att säkerställa att personalen och de som arbetar för informationshanteringsenhetens räkning har tillräcklig kännedom om gällande författningar och föreskrifter om informationshantering, databehandling samt handlingars offentlighet och sekretess och om enhetens anvisningar på dessa områden. Vidare ska ledningen se till att det ordnats tillräcklig tillsyn över att författningarna, föreskrifterna och anvisningarna i anslutning till informationshanteringen följs. Utöver den gällande regleringen betonas i den föreslagna bestämmelsen hanteringen av cybersäkerhetsrisker i personalutbildningen samt förpliktas ledningen att också ordna sin egen utbildning för att ledningen ska ha förutsättningar att ansvara för hanteringen av cybersäkerhetsrisker och tillsynen över den. 

Enligt artikel 20.1 i NIS 2-direktivet ska medlemsstaterna se till att väsentliga och viktiga aktörers ledningsorgan kan ställas till svars för aktörernas överträdelser av artikel 21. Dessutom konstateras det att tillämpningen av den punkten inte begränsar tillämpningen av nationell rätt när det gäller de ansvarsregler som är tillämpliga på offentliga institutioner, samt ansvaret för statligt anställda och valda eller utnämnda tjänstepersoner. Tjänstemän kan med stöd av 41 kap. 9 eller 10 § i strafflagen ställas till svars exempelvis för brott mot tjänsteplikt eller brott mot tjänsteplikt av oaktsamhet. Området för ledningens ansvar uppfyller kravet på noggrann avgränsning och exakthet enligt den straffrättsliga legalitetsprincipen.  

18 c §.Åtgärder för hantering av cybersäkerhetsrisker. I paragrafen föreskrivs det om riskhanteringsåtgärder i enlighet med artikel 21 i direktivet. Enligt 1 mom. ska en informationshanteringsenhet vidta proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för hantering av cybersäkerhetsrisker för att hantera sådana cyberrisker som hänför sig till säkerheten i de kommunikationsnät och informationssystem som enheten använder och för att förhindra eller minimera skadliga verkningar.  

I 1 mom. föreskrivs dessutom om de åtgärder som åtminstone ska beaktas och uppdateras i handlingsmodellen för hantering av cybersäkerhetsrisker och de åtgärder för hantering av cybersäkerhetsrisker som baserar sig på den. 

Enligt skäl 83 i direktivet bör de riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter som fastställs i direktivet tillämpas på de relevanta väsentliga och viktiga entiteterna oavsett om dessa entiteter underhåller sina nätverks- och informationssystem internt eller lägger ut underhållet på entreprenad. Informationshanteringsenheten svarar för hanteringen av cybersäkerhetsrisker och för genomförandet av proportionella riskhanteringsåtgärder också när enheten skaffar informations- och kommunikationstekniska tjänster av en utomstående leverantör. Statens center för informations- och kommunikationsteknik Valtoris verksamhet som producent och utvecklare av statens gemensamma grundläggande informationstekniktjänster och informationssystemtjänster grundar sig på lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster (1226/2013) och den förordning som utfärdats med stöd av den (132/2014). Valtori avtalar om de tjänster som produceras i de serviceavtal som ingås med informationshanteringsenheterna. Den föreslagna paragrafen förpliktar informationshanteringsenheterna, inklusive Statens center för informations- och kommunikationsteknik Valtori, att genomföra riskhanteringsåtgärder för cybersäkerheten som är ändamålsenliga och proportionella i förhållande till de gemensamma grundläggande informationstekniktjänster och informationssystemtjänster som Valtori producerar. Valtori ska också beskriva dessa åtgärder i sina tjänstebeskrivningar och göra dem tillgängliga för den informationshanteringsenhet som använder tjänsten så att enheten kan bedöma om riskhanteringen och riskhanteringsåtgärderna är ändamålsenliga och proportionella. Beskrivningarna kan lagras t.ex. i en klientlokal där också andra tjänstebeskrivningar tillhandahålls, såsom konsekvensbedömningar enligt den allmänna dataskyddsförordningen. 

Den förteckning i 12 punkter med åtgärder för hantering av cybersäkerhetsrisker som ges i 2 mom. motsvarar förteckningen i 9 § 2 mom. i den föreslagna lagen om hantering av cybersäkerhetsrisker. I specialmotiveringen till de bestämmelserna beskrivs innehållet i 1–12 punkten i momentet närmare. Här beskrivs endast de omständigheter i anknytning till åtgärdshelheterna som särskilt gäller den offentliga förvaltningens verksamhetsområde. 

Enligt 1 punkten ska informationshanteringsenheten som riskhanteringsåtgärd ha riktlinjer för hantering av cybersäkerhetsrisker och bedömning av effektiviteten i fråga om åtgärder för hantering av cybersäkerhetsrisker.  

Enligt 2 punkten ska informationshanteringsenheten också ha riktlinjer som gäller säkerheten i kommunikationsnät och informationssystem. Bestämmelserna motsvarar delvis det som i 13 §1 mom. föreskrivs om att utifrån riskbedömningen säkerställa informationssäkerheten, även om det i 13 § inte uttryckligen förutsätts att riktlinjer för informationssäkerheten ska utarbetas.  

Enligt 3 punkten ska informationshanteringsenheten som en riskhanteringsåtgärd sörja för och i handlingsmodellen för hantering av cybersäkerhetsrisker beskriva säkerheten vid förvärv, utveckling och underhåll av kommunikationsnät och informationssystem samt behövliga förfaranden för hantering av sårbarheter och delgivning av information om sårbarheter. På delvis samma sätt ska enligt 13 § 4 mom. i lagen myndigheten vid sina upphandlingar säkerställa att de aktuella informationssystemen har lämpliga informationssäkerhetsåtgärder.  

I 4 punkten förutsätts det att säkerheten i de direkta leveranskedjorna tryggas som en åtgärdshelhet inom riskhanteringen. Vid säkerställandet av leveranskedjornas säkerhet bör man bland annat i enlighet med artikel 22.1 i NIS 2-direktivet beakta resultaten av samordnade riskbedömningar av kritiska leveranskedjor. Enligt artikel 22 i direktivet får den samarbetsgrupp som avses i artikel 14, i samarbete med kommissionen och Enisa, utföra samordnade säkerhetsriskbedömningar av specifika kritiska leveranskedjor för IKT-tjänster, IKT-system eller IKT-produkter, med beaktande av tekniska och, i relevanta fall, icke-tekniska riskfaktorer. Dessa bedömningar av säkerhetsrisker kan också gälla den offentliga förvaltningen. Till den del sådana samordnade riskbedömningar har gjorts ska informationshanteringsenheten i enlighet med artikel 21.3 i NIS 2-direktivet beakta resultaten av bedömningarna i tillämpliga delar.  

Enligt 5 punkten omfattar riskhanteringsåtgärderna tillgångsförvaltning och identifiering av funktioner som är viktiga med tanke på enhetens säkerhet.  

Enligt 6 punkten ska enheten sörja för personalsäkerheten och cybersäkerhetsutbildningen. Bestämmelser om personalsäkerhetsfrågor och personalutbildning finns också bland annat i 4 § 2 mom. och 12 § i informationshanteringslagen.  

I 7 punkten förutsätts att informationshanteringsenheten sörjer för förfarandena för åtkomsthantering och autentisering. Informationshanteringsenheten ska vid behov använda lösningar för stark identifiering och autentisering, multifaktorautentisering eller kontinuerlig autentisering. Också 14, 16 och 17 § i informationshanteringslagen anknyter till åtkomsthantering och förfaranden för autentisering.  

Enligt 8 punkten förutsätts enheten ha riktlinjer och förfaranden för kryptering samt vid behov åtgärder för en säker elektronisk kommunikation. I informationshanteringslagen anknyter särskilt 14 § till krypteringsmetoder.  

I 9 punkten förutsätts upptäckande och hantering av incidenter i syfte att upprätthålla och återställa säkerheten och driftsäkerheten.  

I 10 punkten förutsätts säkerhetskopiering, katastrofhantering, krishantering och annan driftskontinuitet. Syftet med 13 a § i informationshanteringslagen är i stor utsträckning detsamma – dvs. att föreskriva om behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamhetens kontinuitet. Enligt 13 a § ska en informationshanteringsenhet utreda väsentliga risker som hänför sig till behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamhetens kontinuitet. Utifrån riskbedömningen ska informationshanteringsenheten genom beredskapsplaner och förberedelser för verksamhet i störningssituationer samt genom andra åtgärder se till att behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamheten fortsätter så störningsfritt som möjligt i störningssituationer under normala förhållanden samt under undantagsförhållanden som avses i beredskapslagen. I den föreslagna 10 punkten nämns dessutom på samma sätt som i NIS 2-direktivet särskilt att informationshanteringsenheten som en del av kontinuitetshanteringen vid behov ska sörja för tillgången till säkrade reservkommunikationssystem.  

I den föreslagna 11 punkten förutsätts grundläggande praxis för informationssäkerhet för att säkerställa verksamheten samt säkerheten i datakommunikationen, maskinvaran, programvaran och datamaterialet. Praxis för informationssäkerhet nämns inte på samma detaljerade sätt i informationshanteringslagen, men ingår åtminstone delvis i skyldigheten enligt 13 § att säkerställa säkerheten för informationsmaterial genom informationssäkerhetsåtgärder som grundar sig på riskhantering.  

Enligt den föreslagna 12 punkten ska informationshanteringsenheten vidta och med stöd av 18 b § beskriva åtgärderna för att skydda den fysiska miljön i fråga om kommunikationsnät och informationssystem samt säkerställa lokalsäkerheten och nödvändiga resurser. Enligt 15 § i informationshanteringslagen ska informationsmaterial behandlas och förvaras i verksamhetslokaler som är tillräckligt säkra för att tillgodose kraven på tillförlitlighet, integritet och tillgänglighet.  

Statsrådets förordning om säkerhetsklassificering av handlingar inom statsförvaltningen (1101/2019) innehåller dessutom mer detaljerade krav på hanteringen av säkerhetsklassificerade handlingar än vad som anges i de ovan nämnda punkterna 1–12. 

I det föreslagna 18 c § 2 mom. definieras på ett allmänt plan vad som ska beaktas när riskhanteringsåtgärder väljs, genomförs och beskrivs i handlingsmodellen för hantering av cybersäkerhetsrisker. Enligt bestämmelsen ska åtgärderna för hantering av cybersäkerhetsrisker vara aktuella, lämpliga och proportionella i förhållande till riskexponeringen när det gäller de kommunikationsnät och informationssystem som informationshanteringsenheten använder och i förhållande till kommunikationsnätets eller informationssystemets betydelse för informationshanteringsenhetens verksamhet samt de direkta konsekvenser som en incident i dessa rimligtvis kan förutses ha.  

Vid dimensioneringen av åtgärderna ska hänsyn dessutom tas till informationshanteringsenhetens storlek, verksamhetens art, sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, kostnaderna för åtgärderna samt tillgängliga tekniska medel för att avvärja hot med beaktande av den aktuella utvecklingen. 

Enligt 3 mom. ska vid riskhanteringen, i handlingsmodellen för hantering av risker och vid genomförandet av en riskhanteringsåtgärd dessutom iakttas sådana genomförandeakter av Europeiska kommissionen som eventuellt antas med stöd av artikel 21.5 i NIS 2-direktivet. Enligt den bestämmelsen får kommissionen anta genomförandeakter för att fastställa tekniska och metodologiska krav samt, vid behov, sektorsspecifika krav för de åtgärder som avses i punkt 2 i artikeln. Tillsynsmyndigheten ska informera informationshanteringsenheterna om beredningen av eventuella genomförandebestämmelser och om deras existens samt ge anvisningar om hur de ska iakttas.  

Enligt artikel 24.2 i NIS 2-direktivet har kommissionen befogenhet att anta delegerade akter i enlighet med artikel 38 för att komplettera detta direktiv genom att ange vilka kategorier av väsentliga eller viktiga entiteter som ska vara skyldiga att använda vissa IKT-produkter som certifierats enligt en ordning för cybersäkerhetscertifiering, IKT-tjänster och IKT-processer eller erhålla ett certifikat enligt en europeisk ordning för cybersäkerhetscertifiering som har antagits enligt artikel 49 i cybersäkerhetsakten. Dessa delegerade akter ska antas om det har fastställts att cybersäkerhetsnivån är otillräcklig och ska omfatta en genomförandeperiod. Innan kommissionen antar sådana delegerade akter ska den göra en konsekvensbedömning och genomföra samråd i enlighet med artikel 56 i cybersäkerhetsakten. Om kommissionen antar delegerade akter av det slag som beskrivs ovan bör tillsynsmyndigheten informera informationshanteringsenheterna om detta och ålägga dem att använda vissa certifierade IKT-produkter, IKT-tjänster och IKT-processer i enlighet med de delegerade akterna eller att certifiera dem enligt europeiska ordningen för cybersäkerhetscertifiering som godkänts i enlighet med artikel 49 i cybersäkerhetsakten.  

18 d §.Skyldighet att anmäla betydande incidenter. I paragrafen föreskrivs det om myndighetens skyldighet att i tre steg rapportera betydande incidenter till den myndighet som utövar tillsyn över den offentliga förvaltningen, dvs. Transport- och kommunikationsverket. Paragrafen grundar sig på artikel 23 i direktivet. Bestämmelser om skyldighet att anmäla betydande incidenter i fråga om de övriga sektorerna i direktivets bilagor finns i 11–13 § i cybersäkerhetslagen. Motiveringarna till de paragraferna innehåller kompletterande exempel i anknytning till incidentanmälningar.  

I 1 mom. föreskrivs det om rapporteringens första steg, det vill säga den första anmälan som myndigheten ska lämna utan dröjsmål och senast inom 24 timmar efter att ha fått kännedom om den betydande incidenten. I den första anmälan ska det anges om den betydande incidenten misstänks bero på ett brott eller på en någon annan olaglig eller avsiktligt skadlig handling och om den kan ha gränsöverskridande verkningar samt sannolikheten för sådana verkningar. Det är fråga om en slags tidig varning som endast bör innehålla den information som är nödvändig för att Transport- och kommunikationsverket ska få kännedom om en betydande incident och för att den berörda aktören vid behov ska kunna begära hjälp. Anmälningsskyldigheterna enligt denna paragraf, särskilt den första anmälan och den i 2 mom. avsedda uppföljande anmälan, ska fullgöras endast i sådan omfattning att åtgärder för att hantera incidenten kan vidtas effektivt. Syftet med den slutrapport som avses i 3 mom. är att ge tillsynsmyndigheten och aktören värdefulla erfarenheter av incidenten och att med tiden förbättra både aktörens och den offentliga förvaltningens och andra sektorers cyberresiliens.  

Den tidsgräns på 24 timmar som nämns i bestämmelsen räknas från det att myndigheten har fått kännedom om en betydande incident. Tidpunkten för när myndigheten får kännedom om incidenten kan bero på om incidenten inträffar under tjänstetid eller på natten eller under ett veckoslut. Bestämmelsen förpliktar inte myndigheten att ordna jour dygnet runt för att kunna göra en första anmälan. Behovet av jour samt föremålet för och omfattningen av jouren ska enligt 18 b och 18 c § bedömas i myndigheternas riskhantering. 

Myndigheten ska se till att dess underleverantör lämnar myndigheten de uppgifter som behövs för en incidentanmälan och samarbetar med myndigheten så att myndigheten kan fullgöra sina skyldigheter i fråga om incidentanmälan. En privat underleverantör kan omfattas av anmälningsskyldigheten enligt den allmänna lagen, om den tillhandahåller IKT-tjänster eller digitala infrastrukturtjänster enligt bilagorna till direktivet. Detta undanröjer dock inte myndighetens skyldighet att anmäla incidenten till tillsynsmyndigheten för den offentliga förvaltningens verksamhetsområde. 

Statens center för informations- och kommunikationsteknik Valtori har en självständig anmälningsskyldighet när det gäller betydande incidenter i anknytning till statens gemensamma informations- och kommunikationstekniska tjänster. Valtori är skyldigt att anmäla en incident till de användarmyndigheter som berörs av incidenten, så att dessa myndigheter för sin del kan göra en anmälan till Transport- och kommunikationsverket. Enbart en anmälan från Valtori är inte tillräckligt i fråga om den myndighet som anlitar tjänsten, eftersom Valtori inte nödvändigtvis kan bedöma de omständigheter som förutsätts i anmälan, såsom de slutliga verkningarna av incidenten inklusive eventuella gränsöverskridande verkningar. Valtoris anmälningsskyldighet gäller endast dess egen verksamhet och gäller inte betydande incidenter i de sektorbundna informationssystemen hos den myndighet som anlitar dess tjänster, om inte incidenten yppar sig också i Valtoris tjänst. 

I 2 mom. föreskrivs det om rapporteringens andra steg, det vill säga den uppföljande anmälan som myndigheten ska lämna utan dröjsmål och senast inom 72 timmar från upptäckten av den betydande incidenten. I den uppföljande anmälan ska myndigheten uppdatera de uppgifter som lämnats i den första anmälan och lägga fram en inledande bedömning av arten av den betydande incidenten, dess allvarlighetsgrad och verkningar samt angreppsindikatorer (Indicator of Compromise, IOC), om sådana finns tillgängliga. Den första anmälan och den uppföljande anmälan kan göras på en och samma gång, om myndigheten inom tidsfristen för den första anmälan, dvs. utan dröjsmål och senast inom 24 timmar från det att incidenten upptäcktes, har de uppgifter som förutsätts i båda anmälningarna.  

I paragrafens 3 mom. föreskrivs det om en slutrapport om en betydande incident. Slutrapporten ska lämnas senast en månad efter den uppföljande anmälan. Slutrapporten ska innehålla en detaljerad beskrivning av incidenten, inbegripet dess allvarlighetsgrad och konsekvenser. Slutrapporten ska också innehålla en beskrivning av vilken typ av hot eller grundorsak som sannolikt har utlöst incidenten samt vilka åtgärder som genomförts och håller på att genomföras för att begränsa konsekvenserna av incidenten. Om en incident har gränsöverskridande konsekvenser, ska också dessa beskrivas.  

Enligt det föreslagna 4 mom. ska en delrapport lämnas i stället för en slutrapport, om incidenten fortfarande fortgår när den slutrapport som avses i 3 mom. ska lämnas in. Slutrapporten ska därefter lämnas in inom en månad från det att myndigheten har hanterat incidenten. Syftet med delrapporten är att beskriva hur incidenthanteringen framskrider, incidentens verkningar och andra väsentliga faktorer som hänför sig till konsekvenserna av händelsen samt ändringar i uppgifterna i den första anmälan och den uppföljande anmälan. Om en incident fortgår kan tillsynsmyndigheten begära ytterligare information av myndigheten eller en delrapport om statusuppdateringar i ärendet och om hur hanteringen framskrider.  

Enligt det föreslagna 4 mom. ska vid anmälan av en betydande incident dessutom iakttas Europeiska kommissionens genomförandeakter som eventuellt antas med stöd av artikel 23.11 i NIS 2-direktivet och som gäller typen av information i och formatet och förfarandet för anmälan samt en närmare definition av betydande incidenter. Tillsynsmyndigheten ska i sina anvisningar och i sin verksamhet beakta de nämnda genomförandeakterna.  

18 e §.Mottagande av incidentanmälan. I paragrafen föreskrivs det om tillsynsmyndighetens svar på en incidentanmälan. Paragrafen grundar sig på artikel 23.5 i direktivet.  

Tillsynsmyndigheten ska enligt 1 mom. utan dröjsmål, om möjligt inom 24 timmar från mottagandet av den första anmälan som avses i 18 d § 1 mom., lämna ett svar till myndigheten. Det förutsätter dock inte att tillsynsmyndigheten har jour under veckoslut, nätter eller söckenhelger. Svaret ska innehålla initial återkoppling om den betydande incidenten och, på myndighetens begäran, anvisningar eller operativa råd om hanteringen av incidenten samt anvisningar om hur en betydande incident ska anmälas till förundersökningsmyndigheten, om det finns misstanke om brott.  

Enligt artikel 23.5 i NIS 2-direktivet ska den behöriga myndigheten, om CSIRT-enheten inte är mottagaren av anmälan, utfärda instruktioner i samarbete med CSIRT-enheten. Den i NIS 2-direktivet avsedda CSIRT-enheten vid Transport- och kommunikationsverket ska på behövligt sätt delta i behandlingen av incidentanmälan. Enligt 2 mom. ska tillsynsmyndigheten när den ger vägledning och operativa råd som avses i 1 mom. samarbeta med den CSIRT-enhet som avses i cybersäkerhetslagen. Vägledning och operativa råd kan ges av CSIRT-enheten i stället för av tillsynsmyndigheten. Enligt 17 § 1 mom. i den föreslagna cybersäkerhetslagen ska tillsynsmyndigheten omedelbart lämna in incidentanmälningar och rapporter till CSIRT-enheten. CSIRT-enheten ger på begäran av en aktör vägledning eller operativa råd om begränsande åtgärder. Också utifrån motiveringen till den allmänna lagen ska tillsynsmyndigheten och CSIRT-enheten samarbeta.  

18 f §.Frivillig underrättelse. I paragrafen föreskrivs det om möjlighet för myndigheter och andra aktörer inom den offentliga förvaltningen att också frivilligt underrätta tillsynsmyndigheten om incidenter, cyberhot och tillbud. Paragrafen grundar sig på artikel 30 i direktivet. I den föreslagna cybersäkerhetslagen föreskrivs det om frivillig underrättelse i 15 §.  

Enligt skäl 105 i direktivet är en proaktiv strategi mot cyberhot en viktig del av riskhanteringsåtgärderna för cybersäkerhet som bör göra det möjligt för de behöriga myndigheterna att effektivt förhindra att cyberhot blir incidenter som kan vålla betydande materiell eller immateriell skada. Det är därför av avgörande vikt att cyberhot anmäls. I detta syfte uppmuntras aktörer att rapportera cyberhot på frivillig basis. 

Enligt 1 mom. kan myndigheten underrätta tillsynsmyndigheten också om andra än betydande incidenter samt om cyberhot och tillbud. Också andra i 3 § i informationshanteringslagen avsedda samfund och personer som inte omfattas av anmälningsskyldigheten kan underrätta tillsynsmyndigheten om betydande incidenter, incidenter, cyberhot och tillbud.  

Om en incident har gränsöverskridande verkningar ska CSIRT-enheten, den behöriga myndigheten eller den gemensamma kontaktpunkten, i tillämpliga fall och särskilt om den betydande incidenten berör minst två medlemsstater, utan onödigt dröjsmål informera de övriga berörda medlemsstaterna och Enisa om den betydande incidenten (artikel 23.6). Den gemensamma kontaktpunkten ska dessutom var tredje månad lämna in en sammanfattande rapport till Enisa med anonymiserade och aggregerade uppgifter om betydande incidenter, incidenter, cyberhot och tillbud om vilket underrättats på basis av anmälningsskyldighet eller frivilligt (artikel 23.9). Bestämmelser om dessa samarbetsskyldigheter finns i 17 och 18 § i cybersäkerhetslagen, och det hänvisas till dessa skyldigheter i det föreslagna 18 h § 3 mom. i informationshanteringslagen. 

Enligt 2 mom. ska tillsynsmyndigheten behandla frivilliga underrättelser med iakttagande av det förfarande som anges i 18 e §, men får prioritera behandlingen av anmälningar som gjorts med stöd av anmälningsskyldigheten i 18 d § framför behandlingen av frivilliga underrättelser.  

I 3 mom. föreskrivs det om utlämnande av information i samband med frivillig underrättelse. Myndigheter och andra aktörer som nämns i 3 § kan i samband med en frivillig underrättelse lämna ut sådan information till tillsynsmyndigheten som tillsynsmyndigheten har rätt att få med stöd av 18 i §.  

Enligt 4 mom. ska i samband med en frivillig underrättelse dessutom iakttas Europeiska kommissionens genomförandeakter som eventuellt antas med stöd av artikel 23.11 i NIS 2-direktivet och som gäller typen av information i och formatet och förfarandet för underrättelser. Tillsynsmyndigheten ska ge aktörer inom den offentliga förvaltningen anvisningar om innehållet i eventuella genomförandeakter.  

18 g §. Informationsskyldighet om betydande cyberhot och incidenter. I paragrafen föreskrivs det om en myndighets skyldighet att informera om betydande cyberhot och incidenter i anknytning till dess tjänster. Paragrafen grundar sig på artikel 23.1, 23.2 och 23.7 samt artikel 32.4 e i NIS 2-direktivet. I cybersäkerhetslagen finns motsvarande bestämmelser i 14 §.  

Enligt paragrafens 1 mom. ska en myndighet utan dröjsmål underrätta mottagarna av sina tjänster om en betydande incident, om den betydande incidenten sannolikt inverkar negativt på tillhandahållandet av dess tjänster.  

En myndighet ska enligt 2 mom. utan dröjsmål underrätta de mottagare av sina tjänster som kan påverkas av ett betydande cyberhot om ett betydande cyberhot och om de åtgärder som står till buds för att hantera cyberhotet.  

I 3 mom. föreskrivs det om en situation där det ligger i allmänt intresse att en betydande incident offentliggörs. Det är fråga om en situation av allmänt intresse till exempel när allmänhetens medvetenhet behövs för att förhindra en betydande incident eller för att hantera en pågående betydande incident. Om det ligger i allmänt intresse att allmänheten informeras, kan tillsynsmyndigheten ålägga myndigheten att informera om den betydande incidenten eller själv informera om saken. Enligt artikel 23.7 i NIS 2-direktivet får en medlemsstats CSIRT-enhet eller, i tillämpliga fall, dess behöriga myndighet och, om det är lämpligt, CSIRT-enheterna eller de behöriga myndigheterna i andra berörda medlemsstater, efter samråd med den berörda entiteten, informera allmänheten om den betydande incidenten eller ålägga aktören att göra detta. I 34 § i förvaltningslagen föreskrivs det om skyldighet att höra en part och om förutsättningarna för att avgöra ett ärende utan att en part hörs.  

Förpliktelserna i den föreslagna 18 g § ingår delvis i informationsskyldigheten enligt 13 a § 1 mom. i informationshanteringslagen. Enligt 13 a § 1 mom. ska en myndighet utan dröjsmål informera dem som utnyttjar dess informationsmaterial om sådana störningar i myndighetens informationshantering som utgör ett hinder, eller hotar utgöra ett hinder, för informationsmaterialens tillgänglighet. Myndigheten ska meddela hur länge störningen eller hotet om störning beräknas pågå och, i den mån det är möjligt, ange ersättande sätt att utnyttja myndighetens informationsmaterial samt meddela att störningen eller hotet om störning har upphört.  

Eftersom den reglering som följer av NIS 2-direktivet inte ska tillämpas på alla dem på vilka 4 kap. och 13 a § i informationshanteringslagen tillämpas, fogas den skyldighet som följer av NIS2-direktivet dock oförändrad till 4 a kap. Det behövs också för att rikta tillsynsmyndighetens behörighet till efterlevnaden av bestämmelserna om genomförande av NIS 2-direktivet och endast till dem som är skyldiga att iaktta bestämmelserna. 

Enligt 4 mom. ska i den information som avses i 1 och 2 mom. dessutom iakttas Europeiska kommissionens genomförandeakter som eventuellt antas med stöd av artikel 23.11 i NIS 2-direktivet och som gäller typen av information i och formatet och förfarandet för underrättelser samt en närmare definition av betydande incidenter. Tillsynsmyndigheten ska ge myndigheterna anvisningar om eventuella genomförandeakter.  

18 h §. Tillsynsmyndighet. I paragrafen föreskrivs det om uppgifterna för den i NIS 2-direktivet avsedda behöriga myndigheten inom den offentliga förvaltningen samt om den tillsynsuppgift som hör till den. Paragrafen grundar sig på artiklarna 8.1, 8.2, 31, 32.4 g, 32.7 och 33.1 i NIS 2-direktivet.  

Enligt 1 mom. Är Transport- och kommunikationsverket den behöriga myndighet inom den offentliga förvaltningen som avses i artikel 8.1 i NIS 2-direktivet, dvs. den tillsynsmyndighet inom den offentliga förvaltningen som avses i 4 a kap. Den offentliga förvaltningen definieras i 1 § 2 mom.  

Enligt det föreslagna momentets andra mening ska tillsynsmyndigheten, utöver vad som tidigare i 4 kap. föreskrivs (bl.a.a om behandlingen av incidentanmälningar), utöva tillsyn över att de skyldigheter som föreskrivs i 4 kap. och i rättsakter som antagits med stöd av NIS 2-direktivet fullgörs inom den offentliga förvaltningen samt föra en förteckning över aktörerna inom den offentliga förvaltningen som innehåller de uppgifter som lämnats med stöd av 18 a §.  

I 1 mom. föreskrivs dessutom att Transport- och kommunikationsverket är självständigt och oberoende i sin verksamhet som tillsynsmyndighet. Tillsynsmyndigheten ska i sin avgörandeverksamhet och övriga verksamhet vara oberoende av påverkan från andra aktörer, såsom myndigheter eller olika intressegrupper samt av parterna i det ärende som ska avgöras. Bestämmelser om oberoendet för tillsynsmyndigheten inom den offentliga förvaltningen finns i artikel 31.4 i NIS 2-direktivet.  

Till skillnad från den tillsynsmyndighet som avses i den föreslagna cybersäkerhetslagen har Transport- och kommunikationsverket inte behörighet att meddela föreskrifter. Däremot kan Transport- och kommunikationsverket givetvis utarbeta anvisningar och rekommendationer exempelvis om åtgärder för hantering av cybersäkerhetsrisker och om god praxis. Transport- och kommunikationsverket och informationshanteringsnämnden ska samarbeta vid utarbetandet av anvisningar och rekommendationer som gäller informationssäkerhet och cybersäkerhet så att deras anvisningar till behövliga delar är enhetliga.  

Med akter som antas med stöd av NIS 2-direktivet avses kommissionens genomförandeakter enligt artiklarna 21.5 och 23.11 och kommissionens delegerade akter enligt artikel 24.2 i direktivet. 

Enligt 2 mom. kan tillsynsmyndigheten ställa sina tillsynsuppgifter i prioritetsordning enligt en riskbaserad bedömning. Tillsynsmyndigheten ska när den inriktar och utför sina tillsynsåtgärder och fattar ett tillsynsbeslut enligt 18 l § beakta de omständigheter som avses i 27 § 3 mom. och 37 § i cybersäkerhetslagen, dvs. de omständigheter som anges i artikel 32.7 i NIS 2-direktivet, på det sätt som förutsätts i den punkten i direktivet. Myndighetens tillsyn, det vill säga arten och omfattningen av de åtgärder som riktas mot aktörerna, ska vara proportionell och grunda sig på en bedömning av cybersäkerhetsriskerna. Enligt skäl 124 i direktivet kan den behöriga myndigheten klassificera de väsentliga aktörerna i riskkategorier och fastställa motsvarande tillsynsåtgärder och tillsynsmedel som rekommenderas per riskkategori, såsom användning av frekvens för eller typ av inspektion på plats, riktade säkerhetsrevisioner eller säkerhetsskanningar, vilken typ av information som ska begäras och detaljnivån på denna information. Sådana tillsynsmetoder skulle även kunna åtföljas av arbetsprogram och utvärderas och ses över regelbundet, inklusive med avseende på aspekter som resursfördelning och resursbehov. När det gäller aktörer inom den offentliga förvaltningen bör tillsynsbefogenheterna utövas i enlighet med den nationella lagstiftningen och de institutionella ramarna, vilket i detta sammanhang närmast innebär att vissa aktörer inom den offentliga förvaltningen på grund av deras ställning enligt grundlagen inte omfattas av tillsynen enligt 3 §. Direktivet tillåter också att vissa påföljder, såsom begränsning av ledningens verksamhet och administrativa påföljdsavgifter, inte tillämpas på aktörer inom den offentliga förvaltningen. Därför föreskrivs det inte om dessa påföljder i informationshanteringslagens bestämmelser om tillsyn och påföljder inom den offentliga förvaltningen. Bestämmelserna om påföljder i den föreslagna cybersäkerhetslagen lämpar sig endast för aktörer som omfattas av tillämpningsområdet för den lagen, och vissa påföljder tillämpas inte på myndigheter när de bedriver verksamhet som omfattas av lagens tillämpningsområde, dvs. verkar inom någon annan sektor som avses i bilagorna till direktivet än den offentliga förvaltningen.  

Dessutom föreskrivs det i 2 mom. att Transport- och kommunikationsverket får utöva tillsyn över ett välfärdsområde, en välfärdssammanslutning eller Helsingfors stad endast om det finns grundad anledning att misstänka att aktören i fråga inte har iakttagit bestämmelserna i 4 a kap. eller i författningar som utfärdats med stöd av 4 a kap. eller NIS 2-direktivet. Enligt direktivet ska endast väsentliga aktörer bli föremål för förhandstillsyn. Andra (viktiga) aktörer är endast föremål för efterhandstillsyn. Välfärdsområdena, välfärdssammanslutningarna och Helsingfors stad är viktiga aktörer enligt NIS 2-direktivet. Med grundad anledning avses bevis, indikationer eller uppgifter som tillsynsmyndigheten får kännedom om och enligt vilka aktören påstås underlåta sina lagstadgade skyldigheter, särskilt i fråga om riskhantering eller rapportering. Sådana bevis, indikationer eller uppgifter kan exempelvis vara av den typ som andra myndigheter, aktörer, medborgare, medier eller andra källor lämnar eller offentligt tillgänglig information eller en angivelse till tillsynsmyndigheten, om den inte är uppenbart ogrundad. 

Enligt artikel 32.4 g i direktivet ska den behöriga myndigheten kunna utse en övervakningsansvarig med väldefinierade uppgifter för en fastställd tidsperiod för att övervaka att de berörda aktörerna efterlever artiklarna 21 och 23. Transport- och kommunikationsverket kan även utan särskilda bestämmelser i lag ge en tjänsteman i dess tjänst särskilda uppgifter i anslutning till tillsynen och rikta särskild tillsyn mot en aktör eller aktörer.  

I 3 mom. föreslås en materiell hänvisning till den föreslagna cybersäkerhetslagen. I informationshanteringslagen föreskrivs endast om aktörernas skyldigheter och tillsynen över att skyldigheterna fullgörs samt om tillsynsåtgärder och påföljder inom den offentliga förvaltningen enligt 10 punkten i bilaga I till NIS 2-direktivet. I övrigt genomförs bestämmelserna i direktivet genom den föreslagna cybersäkerhetslagen.  

Transport- och kommunikationsverket ska vid behandlingen av de anmälningar om verksamhet som avses i 18 a §, av sådana anmälningar och underrättelser om incidenter som avses i 18 d och f § och av annan information som erhållits i tillsynsuppdraget och i samarbetet med de övriga myndigheter och Europeiska unionens organ, decentraliserade byråer och samarbetsorgan som avses i NIS 2-direktivet och vid utlämnandet av uppgifter till dem iaktta vad som i 6 § 4 mom., 15 § 3 mom., 17 §, 18 § 3 mom., 26 § 2 mom., 28 § 4 och 5 mom., 33 §, 41 § 5 mom. och 45 § i cybersäkerhetslagen föreskrivs om behandling av information vid tillsynsmyndigheten och om tillsynsmyndighetens samarbete med andra myndigheter, Europeiska unionens organ, byråer och samarbetsorgan som avses i NIS 2-direktivet samt om utlämnande av uppgifter till dem.  

I det föreslagna 4 mom. konstateras det informativt att bestämmelser om Transport- och kommunikationsverkets uppgifter som gemensam kontaktpunkt och CSIRT-enhet enligt NIS 2-direktivet finns i cybersäkerhetslagen. Bestämmelser om den gemensamma kontaktpunkt och den CSIRT-enhet som avses i NIS 2-direktivet och om deras uppgifter, behandlingen av information samt samarbetet med andra myndigheter, Europeiska unionens organ, byråer och samarbetsorgan som avses i NIS 2-direktivet finns alltså endast i cybersäkerhetslagen.  

18 i §. Tillsynsmyndighetens rätt att få information. I paragrafen föreskrivs det om Transport- och kommunikationsverkets rätt att som tillsynsmyndighet få information. Paragrafen grundar sig på artikel 32.2 första stycket led e-g, 32.2 tredje stycket och 32.3. I det föreslagna 2 mom. är det fråga om en nationell reglering som förtydligar behandlingen av uppgifter om kommunikationen hos tillsynsmyndigheten.  

Enligt 1 mom. har tillsynsmyndighete när den utför uppgifter enligt detta kapitel trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att få information om hanteringen av cybersäkerhetsrisker, handlingsmodellen för riskhantering, hanteringsåtgärderna och betydande incidenter samt annan information som direkt anknyter till ovannämnda information och som är nödvändig för tillsynen över fullgörandet av den skyldighet som gäller hantering av cybersäkerhetsrisker och över anmälan och rapporteringen av betydande incidenter. Myndigheten ska lämna ut informationen utan dröjsmål och avgiftsfritt. Bestämmelsen gäller inte förmedlingsuppgifter, lokaliseringsuppgifter samt information om meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando; i fråga om dessa föreskrivs det i 2 mom. om rätt att få uppgifter.  

Tillsynsmyndigheten har rätt att få bevis till exempel på att skyldigheterna i anslutning till hanteringen av cybersäkerhetsrisker har följts och fullgjorts samt eventuella resultat av bedömningar som gjorts med stöd av 18 k § eller på något annat sätt samt den bevisning som ligger till grund för dessa resultat. Rätten att få information gäller också när myndigheten har lagt ut en del eller alla sina cybersäkerhetsprocesser på underentreprenad. Myndigheten måste då försöka skaffa den begärda informationen av underleverantören. Tillsynsmyndigheten har dessutom rätt att få till exempel information om underentreprenaden, såsom avtal som anknyter till den. När tillsynsmyndigheten begär information av en myndighet, ska tillsynsmyndigheten uppge syftet med begäran och precisera vilken information som begärs.  

Enligt 2 mom. har tillsynsmyndigheten trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att av en myndighet få förmedlingsuppgifter, lokaliseringsuppgifter och information om meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando, om det är nödvändigt för tillsynen över fullgörandet av den skyldighet som gäller hantering av cybersäkerhetsrisker eller över anmälan och rapporteringen av betydande incidenter. För att trygga skyddet för förtrolig kommunikation föreskrivs det i momentet också om särskild sekretesskyldighet i fråga om information som fåtts med stöd av 2 mom. Sekretessbestämmelserna behövs på grund av att sekretessgrunderna i offentlighetslagen inte tillräckligt skyddar sekretessen för information som omfattas av skyddet för förtrolig kommunikation. Dessutom omfattas informationen typiskt av den tystnadsplikt som uppgiftslämnaren har enligt 136 § 4 mom. i lagen om tjänster inom elektronisk kommunikation, varvid det är motiverat att tystnadsplikten fortsätter också hos myndigheterna för att trygga skyddet för förtrolig kommunikation. Sekretessen gäller inte sådan information om skadliga datorprogram eller IP-adresser som inte omfattas av lagstadgad sekretess eller någon annan begränsning av utlämnande av information och som aktören också annars kan lämna ut trots sekretessbestämmelserna eller begränsningarna av utlämnande av information. Sekretessen för andra uppgifter än de som avses i 2 mom. bestäms enligt offentlighetslagen. 

I paragrafens 3 mom. föreskrivs det om begränsningar i tillsynsmyndighetens rätt att få information. Enligt den första meningen i bestämmelsen ska den rätt att få information som föreskrivs i paragrafen inte förplikta till att till tillsynsmyndigheten lämna ut sekretessbelagd information om sådan tjänsteproduktion eller användning av tjänster i säkerhetsnätet som avses i säkerhetsnätslagen och inte heller information vars utlämnande skulle äventyra försvaret eller den nationella säkerheten eller strida mot ett viktigt intresse i samband därmed.  

Trots bestämmelsen får en myndighet dock (frivilligt och enligt eget beslut) inom de gränser som anges i en sekretessbestämmelse som innehåller en offentlighets- eller sekretesspresumtion enligt lagen om offentlighet i myndigheternas verksamhet till tillsynsmyndigheten lämna ut information också om tjänsteproduktion och användning av tjänster i säkerhetsnätet samt information som har samband med försvaret och den nationella säkerheten och som är sekretessbelagd för allmänheten. Även om de nämnda uppgifterna i princip inte omfattas av tillsynsmyndighetens rätt att få uppgifter, kan de enligt myndighetens prövning liksom hittills lämnas ut på det sätt som är tillåtet enligt offentlighetslagen. Möjligheten kan bli tillämplig till exempel när en myndighet som inte omfattas av 4 a kap. därför att verksamheten anknyter till försvaret eller den nationella säkerheten frivilligt vill anmäla ett cyberhot eller en incident till Transport- och kommunikationsverket. Offentlighetslagen gör det möjligt att lämna ut en handling som är sekretessbelagd för allmänheten (vanligen till en annan myndighet), om sekretessbestämmelsen innehåller ett skaderekvisit och det intresse som skyddas av sekretessbestämmelsen inte äventyras om uppgiften lämnas ut. I handlingen antecknas då uppgift om sekretess och om eventuell säkerhetsklass för att visa vilka informationssäkerhetsåtgärder som ska vidtas när handlingen behandlas. Anteckningen påvisar samtidigt antecknarens uppfattning att handlingen ska vara sekretessbelagd. Utlämnandet av uppgifter får inte äventyra de intressen som skyddas genom sekretessbestämmelsen eller sekretessbestämmelserna. Vid utlämnande av uppgifter ska man också beakta utgångspunkten för säkerhetsklassificerad information, enligt vilken den myndighet som upprättat en säkerhetsklassificerad handling beslutar om utlämnande av den (15 § 3 mom. i offentlighetslagen). Av det följer att om en myndighet till Transport- och kommunikationsverket överlämnar en handling som faller utanför verkets rätt att få information enligt 1 och 2 mom. och som en annan myndighet har säkerhetsklassificerat eller för vars del denna andra myndighet i sin helhet har rätt att bedöma innehållets art, ska beslutet om utlämnande av handlingen eller informationen fattas av den myndighet som utfört klassificeringen eller den myndighet som bedömningen av ärendet i sin helhet hör till.  

Särskilt när uppgifter enligt 3 mom. lämnas ut är det skäl att överväga att begränsa ett vidare utlämnande, om detta skulle äventyra Finlands centrala säkerhetsintressen. I detta sammanhang bör det också bedömas om det är möjligt att lämna ut information om hot eller incidenter på allmän nivå så att Finlands centrala säkerhetsintressen inte äventyras. NIS 2-direktivet förutsätter inte att uppgifter som avses i det föreslagna 3 mom. lämnas ut t.ex. till EU:s institutioner, decentraliserade organ, samarbetsorgan eller andra myndigheter. Särskilt i fråga om säkerhetsklassificerad sekretessbelagd information framhävs bedömningen av den myndighet som har förutsättningar att bedöma informationens natur i förhållande till det intresse som skyddas genom sekretessbestämmelserna. 

Det föreslagna 4 mom. innehåller en informativ hänvisning till lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004). Förutsättningarna för utlämnande av särskilt känsligt informationsmaterial ska således bedömas utifrån den lagen och den internationella förpliktelse som lämpar sig för informationsmaterialet.  

18 j §. Tillsynsmyndighetens rätt att förrätta inspektioner. I paragrafen föreskrivs om tillsynsmyndighetens inspektionsrätt. Paragrafen grundar sig på artikel 32.2 första stycket led a–d samt andra och tredje stycket.  

Enligt 1 mom. har tillsynsmyndigheten rätt att i den omfattning som behövs förrätta inspektion av en myndighet för tillsynen över att de skyldigheter som föreskrivs i 4 a kap. eller i rättsakter som utfärdats med stöd av NIS 2-direktivet fullgörs. Inspektioner kan utföras i myndighetens lokaler eller informationssystem. En inspektion i informationssystemet kan till exempel vara observation av tekniska riskhanteringsmetoder eller identifiering av svagheter i databaser, maskinvara, brandväggar, kryptering och nät. En inspektion i myndighetens lokaler kan exempelvis gälla tillträdeskontroll och omständigheter som gäller lokalens säkerhet. Annan inspektion som utförs i myndighetens lokaler kan vara inspektion på basis av skriftligt material, såsom granskning av drifthandböcker, anvisningar, processbeskrivningar, utbildningsbokföring, resultaten av externa inspektioner eller annat relevant material som aktören utarbetat samt bedömning av överensstämmelse med kraven. I cybersäkerhetslagen föreskrivs det särskilt om CSIRT-enhetens sårbarhetskartläggningar och de tillåtna användningsändamålen för information som erhållits genom dem. Tillsynsmyndigheten kan utföra regelbundna inspektioner, sporadiska inspektioner eller inspektioner från fall till fall (t.ex. efter en betydande incident). Inspektionerna kan vara mindre omfattande, inriktade på ett visst ämnesområde, eller mer omfattande, heltäckande inspektioner av verksamheten. Myndigheten ska i fråga om leveranskedjorna i upphandlingskontraktet sträva efter att beakta tillsynsmyndighetens inspektionsrätt så att den kan fullgöras på ett ändamålsenligt sätt också för underleverantörernas del. 

Enligt 2 mom. ska den som utför inspektionen ha tillräcklig utbildning och erfarenhet med hänsyn till inspektionens art och omfattning. Tillsynsmyndigheten ska säkerställa att den som utför inspektionen har de färdigheter som krävs för att utföra uppgifterna i fråga och att inspektionen utförs objektivt.  

Enligt 3 mom. ska myndigheten i den omfattning som inspektionen förutsätter ge den som förrättar inspektion tillträde till det kommunikationsnät eller informationssystem som inspektionen gäller och till andra utrymmen än sådana som är avsedda för boende av permanent natur. För förrättande av inspektionen har den som förrättar inspektionen trots sekretessbestämmelserna eller andra begränsningar som gäller utlämnande av information rätt att få granska den information och de handlingar, maskinvaror och programvaror som är nödvändiga för tillsynsuppgiften, utföra behövliga tester och mätningar samt granska de säkerhetsarrangemang som myndigheten har genomfört. Med stöd av sin rätt att få information har tillsynsmyndigheten rätt att också före och under inspektionen få granska myndighetens skriftliga material, såsom drifthandböcker, anvisningar, processbeskrivningar, utbildningsbokföring och resultaten av bedömningar av informationssäkerheten som aktören utarbetat.  

I slutet av 3 mom. finns en hänvisning till de begränsningar av rätten att få information som föreslås i 18 i § 3 mom. och som också kan tillämpas på inspektionsförrättarens rätt att göra inspektioner och få information. 

Det föreslagna 4 mom. innehåller en materiell hänvisningsbestämmelse om att 39 § i förvaltningslagen ska tillämpas på förfarandet vid inspektionen. Den bestämmelsen lämpar sig inte i övrigt för inspektioner av tillsynstyp. I 39 § i förvaltningslagen föreskrivs det bland annat att en myndighet ska underrätta en part om tidpunkten för en inspektion, såvida syftet med inspektionen inte äventyras av en sådan underrättelse. Dessutom föreskrivs det om en parts rätt att närvara vid en inspektion och om att inspektionen ska utföras utan att den som är föremål för inspektionen eller dess innehavare orsakas oskälig olägenhet. Enligt skäl 123 i NIS 2-direktivet bör ”utförande av tillsynsuppgifter [...] inte i onödan hämma den berörda entitetens affärsverksamhet. När behöriga myndigheter utför sina tillsynsuppgifter avseende väsentliga entiteter, bland annat genom inspektioner på plats och distansbaserad tillsyn, utredning av överträdelser av detta direktiv, säkerhetsrevisioner eller säkerhetsskanningar, bör de minimera konsekvenserna för den berörda entitetens affärsverksamhet.” I 39 § 2 mom. i förvaltningslagen föreskrivs det om en skriftlig inspektionsberättelse.  

18 k §.Tilldelande av biträdande uppgift till bedömningsorgan för informationssäkerhet samt att låta utföra bedömning. I paragrafen föreslås bestämmelser om utnyttjande av sådana godkända bedömningsorgan för informationssäkerhet som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011, nedan lagen om bedömningsorgan ) i tillsynsverksamheten samt i situationer där Transport- och kommunikationsverket i egenskap av tillsynsmyndighet ålägger en myndighet att själv låta utföra en bedömning av hanteringen av cybersäkerhetsrisker. Med stöd av 3 § i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation får statsförvaltningsmyndigheterna för bedömning av informationssäkerheten i sina informationssystem och sin datakommunikation bara använda sig av Transport- och kommunikationsverkets tjänster eller av ett sådant bedömningsorgan som har godkänts av Kommunikationsverket enligt lagen om bedömningsorgan. I motiveringen till bestämmelsen (RP 45/2011 rd, s. 11) konstateras det att avsikten är att säkerställa att statsförvaltningsmyndigheterna anlitar bara tillförlitliga externa tjänster för bedömning av informationssäkerheten och att bestämmelsen behövs för att informationssäkerheten inom statsförvaltningen ska utvecklas på ett enhetligt sätt och utan kostnader vars grund är osaklig. På samma grunder avgränsas i den föreslagna bestämmelsen uppgiften att utföra biträdande uppgifter i anslutning till inspektioner och bedömningar till godkända bedömningsorgan.  

Enligt 1 mom. kan tillsynsmyndigheten tilldela ett godkänt bedömningsorgan för informationssäkerhet som avses i lagen om bedömningsorgan för informationssäkerhet en biträdande uppgift i anslutning till ett inspektionsuppdrag enligt 18 j §. Tillsynsmyndigheten kan anförtro en uppgift av biträdande art åt ett bedömningsorgan för informationssäkerhet vars kompetensområde lämpar sig för uppgiften.  

Enligt 2 mom. kan tillsynsmyndigheten ålägga en myndighet att låta ett bedömningsorgan för informationssäkerhet utföra en bedömning av hanteringen av cybersäkerhetsrisker, om myndigheten har drabbats av en betydande incident som har orsakat en allvarlig driftsstörning för tjänsterna eller vållat betydande materiell eller immateriell skada, eller myndigheten väsentligt och allvarligt har försummat att iaktta skyldigheterna att hantera cybersäkerhetsrisker enligt 18 b eller 18 c §. Bedömningen beställs av den myndighet som bedömningen gäller. Den myndigheten svarar också för kostnaderna för bedömningen. Om det kan dröja att få tillgång till bedömningsorganens tjänster, ska tillsynsmyndigheten beakta detta när verket ålägger myndigheten att låta utföra en bedömning, till exempel om verket sätter ut en tidsfrist för utförandet.  

Enligt 3 mom. ska på den som är anställd vid ett godkänt bedömningsorgan för informationssäkerhet och som bistår vid en inspektion eller som utför en bedömning tillämpas vad som i 18 j § 2–4 mom. föreskrivs om inspektionsförrättarens erfarenhet och utbildning samt inspektionsförrättarens rättigheter. Kompetensen hos personalen vid ett bedömningsorgan för informationssäkerhet säkerställs i princip när bedömningsorganet godkänns i ett förfarande enligt lagen om bedömningsorgan för informationssäkerhet. Den som bistår vid en inspektion eller utför en bedömning och som är anställd hos ett godkänt bedömningsorgan ska ha samma inspektionsbefogenheter och rätt att få information som en inspektionsförrättare som är anställd hos tillsynsmyndigheten.  

Transport- och kommunikationsverket har som tillsynsmyndighet naturligtvis med stöd av den föreslagna 18 i § rätt att få information om resultaten av en inspektion eller bedömning som myndigheten låtit utföra samt med stöd av 18 l § rätt att ålägga en myndighet att vidta korrigerande åtgärder, om det vid inspektionen eller bedömningen framgår att myndigheten inte har fullgjort de skyldigheter som föreskrivs i 4 a kap. eller i rättsakter som utfärdats med stöd av NIS 2-direktivet. 

För att förtydliga förhållandet mellan den föreslagna 18 k § och lagen om bedömningsorgan för informationssäkerhet föreskrivs det i det föreslagna 3 mom. också att lagen om bedömningsorgan ska tillämpas på bedömningsorgan för informationssäkerhet i övrigt. Det gäller till exempel 13 § i lagen om bedömningsorgan, enligt vilken ett godkänt bedömningsorgan för informationssäkerhet ska iaktta förvaltningslagen, offentlighetslagen och språklagen (423/2003) när det utför uppgifter som avses i lagen. I 3 mom. föreskrivs dessutom om straffrättsligt tjänsteansvar för den som är anställd hos ett godkänt bedömningsorgan för informationssäkerhet. I momentet ingår också en informativ hänvisning till skadeståndslagen. 

18 l §. Påföljder. I paragrafen föreskrivs det om tillsynsmyndighetens tillsynsbeslut, det vill säga rätten att ålägga en myndighet att fullgöra de skyldigheter som föreskrivs i 4 a kap. eller NIS 2-direktivet. Paragrafen grundar sig på artikel 32.1, 32.4 och 32.7 i NIS 2-direktivet.  

Enligt 1 mom. kan tillsynsmyndigheten genom sitt beslut ålägga en myndighet att inom utsatt tid avhjälpa brister i fullgörandet av de skyldigheter som föreskrivs i 4 a kap. eller i rättsakter som utfärdats med stöd av NIS 2-direktivet. Transport- och kommunikationsverket kan också ålägga en myndighet att offentliggöra dessa brister eller andra omständigheter som anknyter till överträdelser av de nämnda skyldigheterna. Med offentliggörande avses naturligtvis inte offentliggörande av sekretessbelagda uppgifter så att till exempel en myndighets hantering av cybersäkerheten äventyras till följd av offentliggörandet. Transport- och kommunikationsverket kan i sitt beslut specificera vilka åtgärder som ska vidtas för att förebygga eller avhjälpa en incident eller för att avhjälpa någon annan brist. Ett tillsynsbeslut enligt momentet är ett förvaltningsbeslut på vilket förvaltningslagen tillämpas. Vid utredningen och avgörandet av ett ärende ska därför, utöver vad som föreskrivs i denna paragraf, beaktas bland annat vad som i förvaltningslagen föreskrivs om utredning av ärenden, hörande av parter och motivering av beslut.  

Enligt 2 mom. kan tillsynsmyndigheten ge myndigheten en varning, om myndigheten inte har fullgjort de skyldigheter som föreskrivs i 4 a kap. eller i rättsakter som antagits med stöd av NIS 2-direktivet. I varningen ska den brist eller försummelse som varningen gäller specificeras. Varningen ska ges skriftligen.  

I 3 mom. föreskrivs det om Transport- och kommunikationsverkets möjlighet att förena ett tillsynsbeslut med vite. Paragrafen grundar sig på artikel 32.1 i NIS 2-direktivet, enligt vilken medlemsstaterna ska säkerställa att de tillsyns- eller efterlevnadskontrollåtgärder som åläggs väsentliga entiteter angående de skyldigheter som anges i direktivet är effektiva, proportionella och avskräckande, med beaktande av omständigheterna i varje enskilt fall, samt på artikel 34.6, enligt vilken medlemsstaterna får föreskriva befogenhet att förelägga viten för att tvinga en väsentlig eller viktig entitet att upphöra med en överträdelse av direktivet i enlighet med ett föregående beslut av den behöriga myndigheten. Enligt artikel 32.5 i direktivet krävs det inom den offentliga sektorn inte skyldigheter som gör det möjligt att upphäva en certifiering eller auktorisation, och enligt artikel 34.7 i direktivet är det inte nödvändigt att inom den offentliga sektorn tillämpa administrativa böter som efterlevnadskontrollåtgärd. Avsikten är inte att de nämnda åtgärderna för kontroll av efterlevnaden av beslutet ska tillämpas inom den offentliga förvaltningen, vilket innebär att efterlevnaden endast, utöver att den är förenad med tjänsteansvar, förenas med vite, eftersom hot om avbrytande och tvångsutförande inte är ändamålsenliga sanktioner när de riktas mot myndighetsverksamhet. Vid föreläggande av vite iakttas viteslagen.  

18 m §. Sökande av ändring. I paragrafens 1 mom. finns en informativ hänvisning till den allmänna lagen om ändringssökande, dvs. lagen om rättegång i förvaltningsärenden (808/2019).  

Enligt 122 § 1 mom. i den lagen får ett beslut inte verkställas förrän det har vunnit laga kraft. Besvär hos högsta förvaltningsdomstolen hindrar dock inte att ett beslut verkställs i ett ärende där besvärstillstånd behövs. Verkställigheten får dock inte heller då inledas, om besvären skulle bli meningslösa till följd av verkställigheten. Enligt 122 § 3 mom. i samma lag kan ett beslut verkställas trots att det inte har vunnit laga kraft, om så föreskrivs i lag, om beslutet till sin natur är sådant att det ska verkställas omedelbart eller om verkställigheten med hänsyn till ett allmänt intresse inte kan skjutas upp. Tillsynsmyndigheten kan från fall till fall överväga om det finns skäl och grunder att förordna att beslutet ska verkställas omedelbart. I 123 § i lagen om rättegång i förvaltningsärenden föreskrivs det bland annat om förvaltningsdomstolens rätt att förbjuda att beslutet verkställs, förordna att verkställigheten ska avbrytas eller förordna om något annat som gäller verkställigheten av beslutet. 

I 2 mom. finns en informativ hänvisning till viteslagen, vars 24 § innehåller särskilda bestämmelser om sökande av ändring i beslut om föreläggande och utdömande av vite.  

7.3  Lag om ändring av lagen om tjänster inom elektronisk kommunikation

2 §.Tillämpning av vissa bestämmelser. Det föreslås att 2 mom. upphävs. I momentet föreskrivs det med stöd av NIS 1-direktivet om vilken EU-medlemsstats lagstiftning som ska tillämpas på verksamheten som utövas av sådana leverantörer av internetbaserade marknadsplatser, sökmotortjänster och molntjänster som avses i 247 a § i lagen. Den paragrafen föreslås bli upphävd. Med anledning av att 247 a § upphävs blir också momentet onödigt och kan upphävas, eftersom NIS 2-direktivets bestämmelser om dessa aktörer genomförs genom lagförslag 1. En motsvarande bestämmelse finns i 6 § i lagförslag 1.  

165 §.Registrarens anmälningsskyldighet- Det föreslås att 1 mom. ändras så att registrarens anmälningsskyldighet utvidgas till att omfatta de uppgifter som avses i artikel 27.2 i NIS 2-direktivet. En registrar ska alltså också meddela den myndighet som administrerar domännamnsregistret, dvs. Transport- och kommunikationsverket, vissa adressuppgifter och annan uppdaterad kontaktinformation, IP-adressintervall samt en förteckning över de medlemsstater där de tillhandahåller tjänster. Genom momentet genomförs delvis artikel 27.2 i NIS 2-direktivet i fråga om registrarer.  

Till bestämmelsen fogas dessutom ett nytt 4 mom. enligt vilket Transport- och kommunikationsverket ska lämna den gemensamma kontaktpunkt som avses i 18 § i cybersäkerhetslagen de uppgifter om registrarernas anmälningar som behövs för att göra en anmälan enligt artikel 27.4 i NIS 2-direktivet.  

167 §.Anteckning av uppgifter i domännamnsregistret och offentliggörande av uppgifter. Enligt förslaget ändras 1 mom. på det sätt som artikel 28.1 och 28.2 i NIS 2-direktivet förutsätter. Domännamnsanvändaren är enligt förslaget skyldig att lämna registraren korrekta och uppdaterade användar- och kontaktuppgifter som identifierar domännamnsanvändaren samt ändringar i dem. Registraren eller den som handlar på registrarens vägnar, såsom en leverantör eller återförsäljare av integritetsregistreringstjänster och proxyregistreringstjänster, ska i domännamnsregistret utöver uppgifter om domännamnsanvändaren också föra in uppgifter om det registrerade domännamnet, såsom domännamn och registreringsdatum.  

Det föreslås att det till bestämmelsen fogas ett nytt 2 mom. med stöd av vilket Transport- och kommunikationsverket kan förhindra registrering av ett domännamn i domännamnsregistret, om verket misstänker att de uppgifter som avses i 1 mom. är bristfälliga eller felaktiga. Transport- och kommunikationsverket ska dock först uppmana registraren att verifiera uppgifterna inom en skälig tid. Om det misstänks att uppgifterna är bristfälliga eller felaktiga och registraren inte iakttar en uppmaning att verifiera riktigheten av uppgifterna, ska uppgifterna inte föras in i registret. Transport- och kommunikationsverket ska publicera sina riktlinjer och förfaranden för säkerställande av att användaruppgifterna är korrekta offentligt tillgängliga. Förhindrandet av registrering av ett domännamn kompletteras av Transport- och kommunikationsverkets befogenheter enligt gällande 169 § att avlägsna domännamnet efter registreringen, om uppgifterna är bristfälliga eller felaktiga och uppgifterna trots uppmaning inte rättas inom utsatt tid.  

Paragrafens gällande 2–4 mom. blir 3–5 mom. till följd av det nya 2 mom. Det föreslås att 3 mom. ändras så att Transport- och kommunikationsverket är skyldigt att offentliggöra uppgifterna i domännamnsregistret. Uppgifterna ska offentliggöras utan obefogat dröjsmål antingen på Transport- och kommunikationsverkets webbplats eller i någon annan elektronisk tjänst. I fråga om personuppgifter ska man särskilt beakta det som i 16 § 3 mom. i offentlighetslagen föreskrivs om utlämnande av personuppgifter ur ett register som förs av en myndighet. Avvikande från offentlighetslagen ska Transport- och kommunikationsverket besvara en begäran om åtkomst till registeruppgifter om domännamn utan obefogat dröjsmål och senast inom 72 timmar från mottagandet av begäran. Om en begäran om uppgifter som lämnats till Transport- och kommunikationsverket är så bristfällig eller oklar att det utifrån den inte går att bedöma om utlämnandet av uppgifter är förenligt med dataskyddslagstiftningen eller om den av någon annan orsak är oklar på ett sätt som hindrar att ärendet avgörs, ska Transport- och kommunikationsverket utan ogrundat dröjsmål och senast inom 72 timmar be att begäran om uppgifter kompletteras i fråga om bristen eller oklarheten. Transport- och kommunikationsverket ska besvara den kompletterade begäran om åtkomst till registeruppgifter om domännamn utan obefogat dröjsmål och senast inom 72 timmar från mottagandet av kompletteringen. Transport- och kommunikationsverket ska också göra sina riktlinjer och förfaranden för utlämnande av registreringsuppgifter om domännamn offentligt tillgängliga.  

Det föreslagna 5 mom. innehåller ett bemyndigande för Transport- och kommunikationsverket att meddela föreskrifter. Det föreslås att Transport- och kommunikationsverkets behörighet att meddela föreskrifter utvidgas så att verket kan meddela närmare tekniska föreskrifter också om säkerställandet av uppgifter om domännamnsanvändare. Med detta avses till exempel de tekniska riktlinjer och förfaranden genom vilka en registrar kan säkerställa att de uppgifter som avses i 1 mom. och som lämnats av domännamnsanvändaren är korrekta och uppdaterade.  

Genom de föreslagna ändringarna genomförs artikel 28.1 och 28.2 samt i fråga om den som förvaltar ett toppdomänsregister artikel 28.3–28.5 i NIS 2-direktivet. 

170 §.Registrarens övriga skyldigheter. Till 1 mom. fogas en ny 8 punkt enligt vilken registraren ska offentliggöra sina riktlinjer och förfaranden för att säkerställa att uppgifterna i domännamnsregistret överensstämmer med 167 § 1 mom. Enligt det momentet ska registraren eller den som handlar på registrarens vägnar, såsom en leverantör eller återförsäljare av integritetsregistreringstjänster och proxyregistreringstjänster, i domännamnsregistret anteckna korrekta och uppdaterade uppgifter som identifierar domännamnsanvändaren och det registrerade domännamnet samt den e-postadress som ska användas för hörande och delgivning. Dessutom föreslås det att det till 1 mom. fogas en ny 9 punkt , enligt vilken registraren utan obefogat dröjsmål göra andra registreringsuppgifter om domännamn än personuppgifter offentligt tillgängliga. Registraren ska dessutom enligt den föreslagna 10 punkten i enlighet med dataskyddslagstiftningen och avgiftsfritt ge åtkomst till registreringsuppgifter om domännamn. Registraren ska dessutom svara den som legitimt begär åtkomst till registreringsuppgifter utan obefogat dröjsmål och senast inom 72 timmar från mottagandet av en laglig och vederbörligen motiverad begäran. Om begäran till exempel är så bristfällig eller oklar att det utifrån den inte går att bedöma om utlämnandet av uppgifter är förenligt med dataskyddslagstiftningen, ska registraren svara den som framställt begäran till exempel genom en begäran om ytterligare information inom den tidsfrist som anges i lagen. Dessutom föreslås det att det till 1 mom. fogas en ny 11 punkt enligt vilken registraren ska göra riktlinjer och förfaranden för utlämnande av registreringsuppgifter om domännamn offentligt tillgängliga.  

Det föreslagna 2 mom. innehåller ett bemyndigande för Transport- och kommunikationsverket att meddela föreskrifter. Bemyndigandet för Transport- och kommunikationsverket att meddela föreskrifter föreslås med anledning av de nya punkter 8–11 som fogas till 1 mom. bli utvidgat så att verket kan meddela närmare föreskrifter också om information som ska göras offentligt tillgänglig, om givande av åtkomst till uppgifter samt om riktlinjer och förfaranden.  

Det föreslås att det till bestämmelsen fogas ett nytt 3 mom. som förtydligar förhållandet mellan 1 mom. 6 och 7 punkten och den föreslagna cybersäkerhetslagen. I fråga om de leverantörer av DNS-tjänster som omfattas av tillämpningsområdet för NIS 2-direktivet ska bestämmelser om skyldigheten att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem och om rapportering av incidenter i fortsättningen finnas i cybersäkerhetslagen. I fråga om de registrarer som inte är leverantörer av DNS-tjänster ska motsvarande skyldigheter även i fortsättningen finnas 1 mom. 6–7 punkten.  

Genom de föreslagna ändringarna genomförs i fråga om registrarer artikel 28.3–28.5 i NIS 2-direktivet. 

247 §.Skyldighet att sörja för informationssäkerheten vid kommunikationsförmedling och tillhandahållande av mervärdestjänster. Det föreslås att det till bestämmelsen fogas ett förtydligande moment om att i fråga om sådana kommunikationsförmedlare och leverantörer av mervärdestjänster som omfattas av tillämpningsområdet för NIS 2-direktivet ska också cybersäkerhetslagen tillämpas på skyldigheten att sörja för informationssäkerheten och de risker som är förenade med den.  

247 a §.Skyldighet för den som tillhandahåller internetbaserade marknadsplatser, sökmotortjänster och molntjänster att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem. Det föreslås att bestämmelsen upphävs när motsvarande skyldighet överförs till lagen om hantering av cybersäkerhetsrisker. Syftet med bestämmelsen har varit att genomföra NIS 1-direktivet i fråga om de aktörer som avses där. I fortsättningen ska bestämmelser om motsvarande riskhanteringsskyldighet för aktörer som avses i 247 a § finnas i cybersäkerhetslagen. Därför föreslås det att paragrafen upphävs som onödig.  

275 §.Störningsanmälningar till Transport- och kommunikationsverket . Det föreslås att Transport- och kommunikationsverkets skyldighet att årligen sända kommissionen och Europeiska unionens cybersäkerhetsbyrå en sammanfattande informationsrapport om de anmälningar som lämnats med stöd av momentet stryks ur 1 mom. Skyldigheten i fråga infördes i lagen för att genomföra artikel 40 i teledirektivet. Genom NIS 2-direktivet upphävs artikel 40 i teledirektivet, så det föreslås att den nationella bestämmelse som genomför den upphävs som onödig.  

Det föreslås att 2 mom. upphävs. I momentet föreskrivs det om skyldighet för aktörer som avses i den föreslagna 247 a § att anmäla en betydande informationssäkerhetsrelaterad störning. Momentet fogades till lagen för att genomföra NIS 1-direktivet i fråga om de aktörer som avses i 247 a §. I fortsättningen ska bestämmelser om motsvarande, på NIS 2-direktivet grundade riskhanteringsskyldighet för aktörer som avses i 247 a § finnas i cybersäkerhetslagen. Därför föreslås det att paragrafen upphävs som onödig.  

Samtidigt blir de nuvarande 3–5 mom. nya 2–4 mom. och hänvisningarna till det 2 mom. som upphävs stryks. I fråga om aktörer som avses i den 247 a § som upphävs ingår en bestämmelse som motsvarar det gamla 3 mom. i 275 § i stället i 11 § i lagförslag 1. Ett bemyndigande att meddela föreskrifter som motsvarar det gamla 4 mom. ingår i 11 § i lagförslag 1 och en bestämmelse som motsvarar det gamla 5 mom. ingår i 17 § i lagförslag 1. Föreskrifter som meddelats med stöd av gällande 275 § 4 mom. berörs av en övergångsbestämmelse.  

308 §.Myndighetssamarbete. Det föreslås att 3 mom. ändras så att hänvisningen till den samarbetsgrupp som avses i artikel 11 i direktivet om nät- och informationssäkerhet (NIS 1) ändras till en hänvisning till den samarbetsgrupp som avses i artikel 14 i NIS 2-direktivet. Till momentet fogas också en hänvisning till det i artikel 15 i NIS 2-direktivet avsedda CSIRT-nätverket och det i artikel 16 i direktivet avsedda europeiska kontaktnätverket för cyberkriser (EU-CyCLONe). I momentet stryks hänvisningen till inlämnande av en sammanfattande rapport enligt artikel 10.3 i NIS 1-direktivet, eftersom det direktivet upphävts. I fråga om NIS 2-direktivet föreskrivs om motsvarande rapporteringsskyldighet till Transport- och kommunikationsverket i den föreslagna 18 § i cybersäkerhetslagen.  

313 §.Behandling av tillsynsärenden vid Transport- och kommunikationsverket. Paragrafens 2 mom. 2 punkt föreslås bli ändrad så att hänvisningen till 247 a § stryks, eftersom den paragrafen föreslås bli upphävd.  

318 §.Utlämnande av information från myndigheter. Det föreslås att 4 mom. ändras delvis av lagstiftningstekniska skäl. I momentet stryks hänvisningen till det nuvarande 2 mom. i 275 §, som föreslås bli upphävd. Dessutom ändras hänvisningen till den samarbetsgrupp som avses i artikel 11 i NIS 1-direktivet till en hänvisning till den samarbetsgrupp som avses i artikel 14 i NIS 2-direktivet och till det CSIRT-nätverk som avses i artikel 15 i NIS 2-direktivet.  

342 §. Omprövning. Det föreslås att det till 2 mom. fogas att beslut om förhindrande av registrering av domännamn enligt 167 § 2 mom. och beslut om avregistrering av domännamn enligt 169 § 1 mom. är beslut i vilka omprövning får begäras på det sätt som anges i förvaltningslagen. På grund av det stora antalet registreringar av domännamn är det motiverat att iaktta omprövningsförfarandet också i fråga om de beslut som avses i dessa moment.  

7.4  Lagen om upphävande av 128 a och 128 b § i luftfartslagen

Genom förslaget upphävs 128 a och 128 b § i luftfartslagen. Dessa paragrafer gäller skyldigheten för leverantörer av flygtrafiktjänster och samhällsviktiga flygplatsoperatörer att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem respektive att till myndigheterna anmäla störningar i anslutning till detta. Bestämmelserna fogades till luftfartslagen som en del av genomförandet av NIS 1-direktivet. Bestämmelserna upphävs, eftersom den föreslagna cybersäkerhetslagen innehåller motsvarande skyldigheter för leverantörer av flygtrafiktjänster och flygplatsoperatörer.  

Till följd av förslaget och till följd av förslaget om upphävande av 7 e och 7 f § i lagen om sjöfartsskydd upphävs också statsrådets förordning om samhällsviktiga flygplatser och hamnar (361/2018) . Förordningen utfärdades med stöd av 128 a § i luftfartslagen och 7 e § i lagen om sjöfartsskydd, som föreslås bli upphävda. Eftersom det föreslås att båda dessa bestämmelser som innehåller ett bemyndigande att utfärda förordning upphävs, kan den statsrådsförordning som utfärdats med stöd av dem inte förbli i kraft. Skyldigheterna ska i fortsättningen tillämpas på de flygplatser och hamnar som omfattas av tillämpningsområdet för NIS 2-direktivet och den föreslagna allmänna lagen. Det är därför inte nödvändigt att i lag eller med stöd av lag särskilt definiera samhällsviktiga flygplatser och hamnar. 

7.5  Lagen om upphävande av 169 § i spårtrafiklagen

Genom förslaget upphävs 169 § i spårtrafiklagen, som gäller skyldighet för förvaltaren av statens bannät samt den som tillhandahåller trafikledningstjänster att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem samt att till myndigheterna anmäla störningar som är riktade mot kommunikationsnät eller informationssystem. Bestämmelsen föreslås bli upphävd, eftersom den föreslagna cybersäkerhetslagen i fortsättningen ska innehålla en motsvarande skyldighet för förvaltaren av statens bannät och den som tillhandahåller trafikledningstjänster. 

7.6  Lagen om ändring av lagen om transportservice

140 §. Informationssäkerhet inom vägtrafikstyrnings- och vägtrafikledningstjänster. Det föreslås att 1–4 mom. i paragrafen upphävs. Den föreslagna cybersäkerhetslagen innehåller en motsvarande skyldighet för leverantörer av vägtrafikstyrnings- och vägtrafikledningstjänster. Som ett nytt 1 mom. föreslås en informativ hänvisningsbestämmelse till den lagen. Paragrafens nuvarande 5 mom. med gällande lydelse föreslås bli nytt 2 mom.  

161 §. Skyldighet för den som tillhandahåller intelligenta trafiksystem att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem samt anmälan om störning i informationssäkerheten. Paragrafen föreslås bli upphävd. Paragrafen gäller skyldighet för den som tillhandahåller intelligenta trafiksystem att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem samt att till myndigheterna anmäla störningar i nät eller informationssystem. Bestämmelsen föreslås bli upphävd, eftersom den föreslagna cybersäkerhetslagen innehåller en motsvarande skyldighet för den som tillhandahåller intelligenta trafiksystem.  

7.7  Lagen om upphävande av 18 a § i lagen om fartygstrafikservice

Genom förslaget upphävs 18 a § i lagen om fartygstrafikservice. Paragrafen gäller VTS-tjänsteleverantörens skyldighet att lämna Transport- och kommunikationsverket en anmälan om betydande informationssäkerhetsrelaterade störningar som är riktade mot kommunikationsnät eller informationssystem som leverantören använder. Bestämmelsen föreslås bli upphävd, eftersom den föreslagna cybersäkerhetslagen innehåller en motsvarande skyldighet för VTS-tjänsteleverantören. 

7.8  Lagen om upphävande av 7 e och 7 f § i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet

Genom förslaget upphävs 7 e och 7 f § i lagen om sjöfartsskydd. Dessa paragrafer gäller skyldigheten för innehavare av samhällsviktiga hamnar att sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som de använder respektive att till myndigheterna anmäla störningar i anslutning till detta. Bestämmelserna upphävs, eftersom den föreslagna cybersäkerhetslagen innehåller motsvarande skyldigheter för innehavare av hamnar.  

Till följd av detta förslag och förslaget om upphävande av 128 a § och 128 b § i luftfartslagen upphävs också statsrådets förordning om samhällsviktiga flygplatser och hamnar (361/2018). Skyldigheterna ska enligt förslaget i fortsättningen tillämpas i enlighet med tillämpningsområdet för NIS 2-direktivet och den föreslagna allmänna lagen. 

7.9  Lagen om ändring av lagen om behandling av kunduppgifter inom social- och hälsovården

2 §.Tillämpningsområde och förhållande till annan lagstiftning. Det föreslås att paragrafens 3 mom. ändras så att det genom lagen utfärdas bestämmelser som kompletterar och preciserar dels Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148, dels cybersäkerhetslagen, som avses genomföra direktivet. De kompletterande bestämmelserna gäller behandlingen av kunduppgifter inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande i samband med ordnandet och tillhandahållandet av social- och hälsovårdstjänster. Samtidigt ändras hänvisningen så att den gäller det nya NIS 2-direktivet.  

Bestämmelser som kompletterar och preciserar NIS 2-direktivet och cybersäkerhetslagen finns i lagens 10 kap. om egenkontroll i fråga om informationssäkerhet och dataskydd. I 77 § föreskrivs det om tjänstetillhandahållares skyldighet att utarbeta en informationssäkerhetsplan och i den redogöra för hur de krav på behandling av klient- och patientuppgifter som specificeras närmare i paragrafen säkerställs. Kraven anknyter bland annat till hur det säkerställs att driftsmiljön är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet och att det sörjs för riskhanteringen i fråga om driftsmiljön och informationssystemen. Kraven gäller både offentliga och privata tillhandahållare av social- och hälsovårdstjänster. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de redogörelser och krav som ska tas in i informationssäkerhetsplanen och om verifiering av informationssäkerheten. Kompletterande och preciserande bestämmelser finns också i 78 §, där det föreskrivs om genomförande av och ansvar för egenkontroll av informationssäkerheten, bland annat om att den ansvariga föreståndaren hos en tjänstetillhandahållare ska se till att en informationssäkerhetsplan enligt 77 § utarbetas och iakttas. I lagens 90 § finns dessutom bestämmelser om avvikelser från de väsentliga kraven på ett informationssystem eller en välbefinnandeapplikation samt om störningar i anslutning till informationssäkerheten i driftsmiljöer och informationsnät. Enligt paragrafen ska avvikelser i informationssystem, informationsnät eller driftsmiljöer anmälas till tillsynsmyndigheten, om avvikelsen kan medföra en betydande risk för informationssäkerheten, användningen av informationssystemen eller tillhandahållandet av tjänsterna.  

Bestämmelserna om behandling av kunduppgifter inom social- och hälsovården gäller alla tillhandahållare av social- och hälsovårdstjänster och alla apotek. Dessutom gäller de i stor utsträckning informationssäkerheten i informationssystem samt i driftsmiljöer och informationsnät, dvs. dess tillämpningsområde är mer omfattande än i cybersäkerhetslagen. Kunduppgifter inom social- och hälsovården är i konstitutionellt hänseende känsliga uppgifter som omfattas av integritetsskyddet, så det är nödvändigt att säkerställa möjligheten att genom tillsyn ingripa i säkerheten i de informationssystem, driftsmiljöer och informationsnät som används vid behandlingen av uppgifterna så att anmälningsskyldigheterna och tillsynen är sammanhållna och heltäckande. De föreslagna ändringarna i lagen om behandling av kunduppgifter utgör en förlängning av den gällande regleringen om behandling av kunduppgifter inom social- och hälsovården. Denna reglering kompletteras av NIS 2-direktivet och cybersäkerhetslagen i fråga om offentliga tjänsteleverantörer och minst medelstora privata aktörer och ger effektivare metoder att ingripa när det gäller de betydande risker som avses i författningarna. Kunduppgiftslagen kan å sin sida sänka tröskeln för att ingripa vid störningar. Lagen om behandling av kunduppgifter, NIS 2-direktivet och cybersäkerhetslagen bildar en helhet som möjliggör lämpliga och ändamålsenliga förfaranden för att ingripa mot informationssäkerhetsrisker på olika nivåer i fråga om kunduppgifter inom social- och hälsovården. 

90 §.Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem eller en välbefinnandeapplikation samt om störningar i informationssäkerheten avseende informationsnät. 

Paragrafens 1 mom. ändras så att apoteken ska underrätta såväl Tillstånds- och tillsynsverket för social- och hälsovården som Säkerhets- och utvecklingscentret för läkemedelsområdet, om en avvikelse i informationssystemet kan utgöra en betydande risk för apotekets verksamhet. Ändringen motsvarar dess myndigheters ansvar för tillsynsuppgifter enligt annan lagstiftning, och den överensstämmer också med tillsynsansvaren enligt cybersäkerhetslagen. Tillsynen över apoteken hör till Säkerhets- och utvecklingscentret för läkemedelsområdets ansvarsområde, och Tillstånds- och tillsynsverket för social- och hälsovården svarar för tillsynen över informationssystemen. Det är viktigt att Säkerhets- och utvecklingscentret för läkemedelsområdet får information om sådana störningar i apotekens verksamhet som kan ha konsekvenser exempelvis för läkemedelsförsörjningen i området.  

Det föreslås att 2 mom. ändras så att Tillstånds- och tillsynsverket för social- och hälsovården, som också tar emot anmälningarna, i stället för Institutet för hälsa och välfärd bemyndigas att meddela föreskrifter om när en störning är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in.  

I 3 mom. föreskrivs det att apoteket utan dröjsmål ska underrätta såväl Tillstånds- och tillsynsverket för social- och hälsovården som Säkerhets- och utvecklingscentret för läkemedelsområdet om sådana betydande störningar i anslutning till informationssäkerheten i de driftsmiljöer och informationsnät som apoteket använder och till följd av vilka apotekets verksamhet kan äventyras avsevärt. Säkerhets- och utvecklingscentret för läkemedelsområdet får meddela närmare föreskrifter om när en sådan störning som berör apotek är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. Anmälan ska göras till båda ämbetsverken, eftersom störningar i driftsmiljö och informationsnät kan ha nära samband med informationssystem och det i början av störningen inte alltid är klart om den beror på informationssystemet, dess driftsmiljö eller informationsnäten.  

Paragrafens 3 mom. blir nytt 4 mom. och det gamla 4 mom. upphävs som onödigt med anledning av cybersäkerhetslagen och det nya 4 a kap. i informationshanteringslagen. Det föreslås att momentet kompletteras så att Säkerhets- och utvecklingscentret för läkemedelsområdet i fråga om störningar på apotek kan ålägga apoteket att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. Om det är fråga om en lokal störning kan apoteket informera om saken själv, men Säkerhets- och utvecklingscentret för läkemedelsområdet kan informera om större störningar på riksnivå. Dessutom ska Tillstånds- och tillsynsverket för social- och hälsovården fortfarande ha motsvarande möjlighet att som en del av sin tillsynsuppgift i anslutning till informationssystemen förplikta apoteket att informera om störningar i informationssystemet eller själv informera om dem.  

7.10  Lagen om ändring av elmarknadslagen

29 a §.Nätinnehavares skyldighet att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem samt anmälan om störning i informationssäkerheten. Det föreslås att paragrafen upphävs, eftersom bestämmelser om skyldighet för nätinnehavare att sörja för riskhanteringen i fråga om de kommunikationsnät och informationssystem som de använder kommer att finnas i cybersäkerhetslagen.  

62 §.Specialbestämmelser som gäller slutna distributionsnät. Paragrafens 1 mom. ändras så att hänvisningen till den 29 a § som föreslås bli upphävd stryks. Det rör sig om en lagteknisk ändring.  

7.11  Lagen om upphävande av 34 a § i naturgasmarknadslagen

Genom förslaget upphävs 34 a § i naturgasmarknadslagen, som gäller överföringsnätsinnehavares skyldighet att sörja för riskhanteringen i fråga om kommunikationsnät och informationssystem samt skyldighet att anmäla betydande störningar i informationssäkerheten. Bestämmelsen föreslås bli upphävd, eftersom den föreslagna cybersäkerhetslagen innehåller en motsvarande skyldighet för överföringsnätsinnehavare. 

7.12  Lagen om ändring av 1 § i lagen om Energimyndigheten

1 §.Uppgifter. I 1 § föreskrivs det om Energimyndighetens uppgifter. Det föreslås att en ny 20 punkt fogas till 2 mom. Enligt den ska Energimyndigheten sköta de uppgifter som myndigheten har enligt cybersäkerhetslagen. Energimyndigheten är en av de tillsynsmyndigheter som avses i 26 § i cybersäkerhetslagen.  

7.13  Lagen om ändring av lagen om tillsyn över el- och naturgasmarknaden

2 §.Tillämpningsområde. Det föreslås att det till paragrafen fogas ett nytt 2 mom. med stöd av vilket 23 och 24 § dessutom ska tillämpas på skötseln av de uppgifter som Energimyndigheten har enligt cybersäkerhetslagen. Tillägget behövs för att förtydliga lagens tillämpningsområde med anledning av den nya 6 punkt som föreslås bli fogad till 23 §.  

9 §. Energimarknadsverkets behörighet i tillsynsärenden. I paragrafen görs en lagstiftningsteknisk precisering med anledning av det nya 2 mom. som fogas till 2 §. Hänvisningen till 2 § ändras till en hänvisning till 2 § 1 mom. Ändringen är lagstiftningsteknisk och avsikten är inte att ändra bestämmelsens sakinnehåll.  

23 §.Återkallande av ett elnätstillstånd eller naturgasnätstillstånd. Det föreslås att det till paragrafen fogas en ny 6 punkt med stöd av vilken Energimyndigheten kan återkalla ett elnätstillstånd eller naturgasnätstillstånd, om tillståndshavaren upprepade gånger och i väsentlig grad bryter mot cybersäkerhetslagen. Återkallande av tillstånd kan komma i fråga om en aktör som omfattas av tillämpningsområdet för cybersäkerhetslagen till exempel inte har utarbetat en sådan handlingsmodell för hantering av cybersäkerhetsrisker som avses i 8 § i cybersäkerhetslagen och aktören dessutom har försummat myndighetens uppmaning att vidta korrigerande åtgärder. Innan ett tillstånd återkallas ska Energimyndigheten ge tillståndshavaren en varning om att tillståndet kan återkallas. Genom denna punkt genomförs delvis artikel 32.5 första stycket led a i NIS 2-direktivet.  

Samtidigt görs behövliga lagtekniska ändringar i 4 och 5 punkten. 

28 §.Energimyndighetens rätt att lämna ut uppgifter till andra myndigheter. Det föreslås att 1 mom. 1 punkten ändras så att omnämnandet av utlämnande av sekretessbelagda uppgifter till Transport- och kommunikationsverket stryks. Den bestämmelsen stryks, eftersom 28 § i cybersäkerhetslagen i fortsättningen innehåller en motsvarande möjlighet att lämna ut sekretessbelagda uppgifter till en annan myndighet.  

7.14  Lagen om ändring av 35 § i lagen om vattentjänster

Genom förslaget upphävs 35 § 2 mom. 3 punkten i lagen om vattentjänster, enligt vilken uppgifter som är nödvändiga för skötseln av informationssäkerhetsrelaterade uppgifter får lämnas ut till Transport- och kommunikationsverket trots tystnadsplikten. Den bestämmelsen upphävs, eftersom 28 § i cybersäkerhetslagen i fortsättningen innehåller en motsvarande möjlighet att lämna ut sekretessbelagda uppgifter till en annan myndighet. Ändringen är lagstiftningsteknisk och regleringen ändras inte i övrigt.  

7.15  Lagen om ändring av 1 § i lagen om verkställighet av böter

1 §.Lagens tillämpningsområde. Till förteckningen i 2 mom. fogas en ny 31 punk t med stöd av vilken den administrativa påföljdsavgift som avses i cybersäkerhetslagen ska verkställas på det sätt som föreskrivs i lagen om verkställighet av böter. Tillägget är lagstiftningstekniskt och motsvarar bestämmelserna om verkställighet av administrativa påföljdsavgifter i cybersäkerhetslagen. Nya administrativa påföljdsavgifter som verkställs med stöd av lagen om verkställighet av böter har under de senaste åren regelbundet lagts till i förteckningen i 1 § 2 mom.  

7.16  Lagen om ändring av 8 § i lagen om markstationer och vissa radaranläggningar

8 §. Ändring och återkallelse av tillstånd. Det föreslås att det till 1 mom. 3 punkten fogas ett omnämnande av cybersäkerhetslagen. I cybersäkerhetslagen har vissa verksamhetsutövare som avses i markstationslagen ålagts skyldigheter som om de försummas på ett väsentligt sätt kan leda till att tillståndet ändras eller återkallas. Det kan vara fråga om en väsentlig försummelse av en skyldighet till exempel om en aktör som omfattas av tillämpningsområdet för cybersäkerhetslagen inte har utarbetat en sådan handlingsmodell för hantering av cybersäkerhetsrisker som avses i 8 § i cybersäkerhetslagen och aktören dessutom har försummat myndighetens uppmaning att vidta korrigerande åtgärder.  

Genom denna paragraf genomförs delvis artikel 32.5 första stycket led a i NIS 2-direktivet. 

7.17  Lagen om ändring av lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor

5 §.Förhållande till annan lagstiftning . Till paragrafen fogas för tydlighetens skull en informativ hänvisning till cybersäkerhetslagen.  

109 a §.Återkallande av tillstånd till följd av försummelse av skyldigheter som gäller cybersäkerhet. I paragrafen föreskrivs det om tillsynsmyndighetens befogenhet att helt eller delvis återkalla ett tillstånd att bedriva verksamhet, om verksamhetsutövaren väsentligen och allvarligt försummar skyldigheterna enligt cybersäkerhetslagen. I cybersäkerhetslagen har vissa verksamhetsutövare som avses i kemikaliesäkerhetslagen ålagts skyldigheter i anknytning till cybersäkerheten i verksamheten. Det kan vara fråga om en väsentlig försummelse av en skyldighet till exempel om en aktör som omfattas av tillämpningsområdet för cybersäkerhetslagen inte har utarbetat en sådan handlingsmodell för hantering av cybersäkerhetsrisker som avses i 8 § i cybersäkerhetslagen. Innan ett tillstånd återkallas ska tillsynsmyndigheten sätta ut en tillräcklig tidsfrist för verksamhetsutövaren för korrigering av saken. Paragrafen gäller verksamhet för vilken säkerhets- och kemikalieverket är tillsynsmyndighet i enlighet med 115 §.  

Genom denna paragraf genomförs delvis artikel 32.5 första stycket led a i NIS 2-direktivet. 

8.1  Propositionens nya bemyndiganden att utfärda bestämmelser på lägre nivå än lag

I propositionen föreslås det att bestämmelser på lagnivå kompletteras med bestämmelser på lägre nivå än lag. Bestämmelser på lägre nivå som preciserar de föreslagna nya bestämmelserna utfärdas genom förordning av statsrådet och genom tekniska föreskrifter som meddelas av tillsynsmyndigheten. Dessutom innehåller propositionen förslag till upphävande av bestämmelser på lägre nivå än lag och av bemyndigande att utfärda sådana. 

Bemyndigande att utfärda förordning

I propositionen ingår ett bemyndigande att genom förordning av statsrådet precisera de kriterier som avses i 3 § 3 mom. i cybersäkerhetslagen. Kriterierna gäller undantag från den allmänna storleksgränsen för en aktör som omfattas av lagens tillämpningsområde i fråga om vissa särskilda situationer. Detta görs med stöd av ett bemyndigande i det föreslagna 3 § 4 mom., enligt vilket kriterierna i 3 § 3 mom. kan preciseras genom förordning av statsrådet.  

Kriterierna för vilka aktörer som ska omfattas av tillämpningen av lagen kan alltså preciseras genom förordning av statsrådet. En förutsättning för att definitionen av aktör ska uppfyllas är alltså att aktören är en sådan typ av aktör som avses i en bilaga till lagen eller bedriver sådan verksamhet som avses i bilagan och att aktören omfattas av ett lagstadgat kriterium som motsvarar artikel 2.2 b–e i NIS 2-direktivet, som kan preciseras genom förordning av statsrådet, om det behövs för tillämpningen av bestämmelsen. 

Enligt artikel 2.2 b–e i NIS 2-direktivet ska, inom de sektorer som omfattas av direktivet, riskhanterings- och rapporteringsskyldigheterna enligt NIS 2-direktivet tillämpas på de aktörer som avses i leden, oberoende av aktörernas storlek. Kriterierna för dessa aktörer är följande:  

aktören är den enda leverantören i en medlemsstat av en tjänst som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, 

en störning av den tjänst som aktören tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa, 

en störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser, 

aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i medlemsstaten som är beroende av denna aktör. 

I cybersäkerhetslagen föreskrivs det om skyldigheterna enligt NIS 2-direktivet för de aktörer som omfattas av direktivets minimitillämpningsområde och som också är de aktörer som avses i dessa punkter. Dessa aktörer, oavsett storlek, omfattas på grund av verksamhetens särskilda art undantagsvis av tillämpningsområdet för skyldigheterna enligt lagen och NIS 2-direktivet. Om kriterierna inte preciseras kan det med tanke på kriteriernas art vara svårt för ett enskilt småföretag eller mikroföretag att utifrån den tillgängliga informationen med tillräcklig rättslig säkerhet bedöma om kriteriet är tillämpligt. Dessutom skulle en precisering av kriterierna öka rättssäkerheten för företag som bedriver sådan verksamhet som avses i bilaga I eller II och som inte omfattas av kriterierna. Därför är det lagtekniskt nödvändigt att överföra lagstiftningsbehörighet. Utgångspunkten är att det är exceptionellt att tillämpningsområdet utsträcks till de avsedda aktörerna. Denna grupp av aktörer är liten och av speciell karaktär.  

Bemyndigandet att utfärda förordning uppfyller kraven i 80 § i grundlagen. Genom förordning kan man inte avvika från bestämmelserna i lagen eller föreskriva om annat än att lagens tillämpningsområde ska utsträckas till aktörer som uppfyller de kriterier som anges i lagen. Genom förordning kan det inte föreskrivas om ändringar i de rättigheter och skyldigheter som aktörerna har enligt cybersäkerhetslagen. I lagen föreskrivs det om de kriterier med stöd av vilka aktören omfattas av dess tillämpningsområde. Bestämmelsen om bemyndigande att utfärda förordning har bedömts vara ändamålsenlig och noga avgränsad.  

Bemyndigande att meddela föreskrifter

Propositionen innehåller flera förslag om normgivningsbemyndigande för tillsynsmyndigheten eller Transport- och kommunikationsverket. Bemyndigandena att meddela föreskrifter är noggrant avgränsade, och föreskrifter kan meddelas endast för precisering av de i lag föreskrivna omständigheterna för en begränsad målgrupp. Bemyndigandena behövs för att precisera tekniska detaljer och beakta sektorsspecifika särdrag. Bemyndigandena anses vara sakliga på så sätt att de är noggrant avgränsade och gäller bestämda frågor för vilka det finns särskilda skäl som hänför sig till föremålet för regleringen, och regleringens betydelse i sak kräver inte reglering genom lag eller förordning. 

I 9 § 4 mom. i den föreslagna cybersäkerhetslagen föreskrivs det om bemyndigande för tillsynsmyndigheten att inom sitt ansvarsområde meddela närmare tekniska föreskrifter om de omständigheter som i fråga om riskhanteringen avses i momentet. Tillsynsmyndigheten kan inom sitt ansvarsområde meddela tekniska föreskrifter som preciserar riskhanteringsskyldigheten i fråga om sektorsspecifika särdrag som ska beaktas i handlingsmodellen för hantering av cybersäkerhetsrisker och i delområdena för riskhantering. Föreskrifterna kan också precisera beaktandet av resultaten av de på unionsnivå samordnade riskbedömningarna av kritiska leveranskedjor i den sektorsspecifika riskhanteringen. De närmare föreskrifterna kan dock endast gälla tekniska omständigheter, dvs. de får inte utvidga skyldigheterna enligt 9 § eller enligt en genomförandeförordning som antagits av kommissionen med stöd av NIS 2-direktivet eller ändra skyldigheternas innehåll i sak. Föreskrifterna ska vara teknikneutrala. Bemyndigandet att meddela föreskrifter behövs, eftersom det med tanke på tillämpningen kan vara nödvändigt att precisera de sektorsspecifika omständigheterna inom riskhanteringen särskilt med beaktande av särdragen i den sektorsspecifika verksamheten. Med tanke på den tekniska utvecklingen är det dessutom nödvändigt att tillsynsmyndigheten genom en föreskrift kan uppdatera omständigheter som gäller riskhanteringen. Genom föreskrifter kan man alltså hålla den obligatoriska riskhanteringen uppdaterad och bättre beakta sektorsspecifika särdrag i fråga om genomförandet av riskhanteringen. Det bidrar till uppnåendet av NIS 2-direktivets mål att vidta riskhanteringsåtgärder som är lämpliga i förhållande till den föreliggande risken. 

I 11 § 5 mom. i den föreslagna cybersäkerhetslagen föreskrivs det om bemyndigande för tillsynsmyndigheten att inom sitt ansvarsområde meddela närmare tekniska föreskrifter för att precisera typen av information i och det tekniska formatet och förfarandet för anmälningar, underrättelser, information eller rapporter som lämnas med stöd av 11–15 §. Bemyndigandet att meddela föreskrifter behövs, eftersom det genom föreskrifterna kan föreskrivas mer detaljerat om sektorsspecifika relevanta omständigheter och med beaktande av sektorernas särdrag. En skyldighet kan också preciseras på det sätt som förutsätts i en av kommissionen antagen genomförandeförordning som utfärdats med stöd av NIS 2-direktivet.  

I 41 § 3 mom. i den föreslagna cybersäkerhetslagen föreskrivs det om bemyndigande för tillsynsmyndigheten att meddela närmare tekniska föreskrifter om hur uppgifterna i förteckningen över aktörer ska lämnas. 

I förslaget till ändring av 90 § 2 mom. i lagen om behandling av kunduppgifter inom social- och hälsovården finns ett bemyndigande för Institutet för hälsa och välfärd att meddela närmare föreskrifter om när en störning är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. Bemyndigandet att meddela föreskrifter ändras inte genom propositionen, men det föreslås att bemyndigandet också ska gälla störningar som orsakas av informationssystem och kommunikationsnät. 

I 165 § 3 mom. i förslaget till lag om ändring av lagen om tjänster inom elektronisk kommunikation finns ett bemyndigande för Transport- och kommunikationsverket att meddela föreskrifter om hur registrarens anmälan ska göras innan verksamheten inleds samt om innehållet i anmälan. Propositionen ändrar inte bemyndigandet att meddela föreskrifter jämfört med nuläget, men de ändringar som föreslås i 1, 2 och 4 mom. i samma paragraf är av betydelse för tillämpningsområdet för bemyndigandet att meddela föreskrifter. 

I 167 § 5 mom. i den föreslagna lagen om ändring av lagen om tjänster inom elektronisk kommunikation föreskrivs det om Transport- och kommunikationsverkets behörighet att meddela föreskrifter. Det föreslås att bemyndigandet utvidgas så att verket kan meddela närmare föreskrifter också om verifiering av uppgifterna om domännamnsanvändaren. Med detta avses till exempel de riktlinjer och förfaranden som en registrar ska införa för att säkerställa att de uppgifter som avses i 1 mom. och som lämnats av domännamnsanvändaren är korrekta och uppdaterade.  

I 170 § 2 mom. i förslaget till lag om ändring av lagen om tjänster inom elektronisk kommunikation föreskrivs det om bemyndigande för Transport- och kommunikationsverkets att meddela föreskrifter. Bemyndigandet för Transport- och kommunikationsverket att meddela föreskrifter föreslås med anledning av de nya punkter 8–11 som fogas till 1 mom. bli utvidgat så att verket kan meddela närmare föreskrifter också om information som ska göras offentligt tillgänglig, om givande av åtkomst till uppgifter samt om riktlinjer och förfaranden.  

I 275 § 3 mom. i förslaget till lag om ändring av lagen om tjänster inom elektronisk kommunikation föreskrivs det om ett bemyndigande för Transport- och kommunikationsverket att meddela föreskrifter. Med stöd av bemyndigandet får verket meddela närmare föreskrifter om när en störning som avses i 1 mom. är betydande samt föreskrifter om innehållet i de anmälningar som avses i 1 mom. samt anmälningarnas utformning och hur de lämnas in.  

8.2  De bemyndiganden att utfärda bestämmelser på lägre nivå än lag som upphävs genom propositionen.

Statsrådets förordning om samhällsviktiga flygplatser och hamnar

Genom förslaget upphävs 128 a § i luftfartslagen. I paragrafens 3 mom. finns ett bemyndigande för statsrådet att utfärda förordning om när en flygplats ska betraktas som samhällsviktig. Genom förslaget upphävs 7 e § i lagen om sjöfartsskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet. Enligt 7 e § 3 mom. utfärdas det genom förordning av statsrådet bestämmelser om när en hamn som avses i 1 mom. ska betraktas som samhällsviktig. 

Genom förslaget upphävs tillsammans med förslaget om upphävande av 7 e och 7 f § i lagen om sjöfartsskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet också statsrådets förordning om samhällsviktiga flygplatser och hamnar (361/2018). Den förordning som upphävs har utfärdats med stöd av 128 a § i luftfartslagen och 7 e § i lagen om sjöfartsskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet, vilka föreslås bli upphävda. Eftersom det föreslås att båda dessa bestämmelser som innehåller ett bemyndigande att utfärda förordning upphävs, kan den statsrådsförordning som utfärdats med stöd av dem inte förbli i kraft. Bemyndigandet att utfärda förordning om samhällsviktiga flygplatser och hamnar behövs inte i fortsättningen, eftersom skyldigheterna enligt NIS 2-direktivet i fortsättningen, i enlighet med storlekskriteriet i fråga om tillämpningsområdet för NIS 2-direktivet och den föreslagna allmänna lagen, ska tillämpas på de flygplatser och hamnar som omfattas av tillämpningsområdet. I fortsättningen är det därför inte nödvändigt att genom lag eller genom förordning av statsrådet som utfärdats med stöd av lag föreskriva särskilt om samhällsviktiga flygplatser och hamnar. 

Bemyndigande att meddela föreskrifter

Genom propositionen upphävs de sektorsspecifika genomförandebestämmelserna i NIS 1-direktivet, eftersom motsvarande bestämmelser i fortsättningen ska ingå i cybersäkerhetslagen. De bemyndiganden att meddela föreskrifter som myndigheterna getts med anledning av bestämmelserna i NIS 1-direktivet upphävs i de ovan nämnda lagarna, eftersom det i fortsättningen ska föreskrivas i den föreslagna cybersäkerhetslagen om en incidents betydelse samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. Tillsynsmyndigheternas bemyndigande att meddela föreskrifter om innehållet i slutrapporten om incidenten samt förfarandet för anmälan av uppgifter enligt delrapporten och slutrapporten om betydande incidenter ska i fortsättningen ingå i 11 § 5 mom. i den föreslagna cybersäkerhetslagen.  

Genom förslaget upphävs 128 b § i luftfartslagen. Enligt paragrafens 4 mom. får Transport- och kommunikationsverket meddela närmare föreskrifter om när en händelse som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. Bestämmelsen behövs inte, eftersom motsvarande bemyndigande att meddela föreskrifter i fortsättningen ska ingå i cybersäkerhetslagen.  

Genom förslaget upphävs 169 § i spårtrafiklagen. Enligt paragrafens 5 mom. får Transport- och kommunikationsverket meddela närmare föreskrifter om när en sådan störning som avses i 2 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. Bestämmelsen behövs inte, eftersom motsvarande bemyndigande att meddela föreskrifter i fortsättningen ska ingå i cybersäkerhetslagen.  

Genom förslaget upphävs 34 a § i naturgasmarknadslagen. Enligt paragrafens 5 mom. får Energimyndigheten meddela närmare föreskrifter om när en händelse som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. Bestämmelsen behövs inte, eftersom motsvarande bemyndigande att meddela föreskrifter i fortsättningen ska ingå i cybersäkerhetslagen.  

Genom förslaget upphävs 29 a § i elmarknadslagen. Enligt paragrafens 5 mom. får Energimyndigheten meddela närmare föreskrifter om när en störning som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. Samtidigt upphävs 49 a § 5 mom., som innehåller ett bemyndigande för Energimyndigheten att meddela närmare föreskrifter om innehållet i anmälningarna, om anmälningarnas form och om hur de lämnas in. Bestämmelsen behövs inte, eftersom motsvarande bestämmelser och anknytande bemyndigande att meddela föreskrifter i fortsättningen ska ingå i cybersäkerhetslagen.  

Genom förslaget upphävs 7 f § i lagen om sjöfartsskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet. Enligt paragrafens 4 mom. får Transport- och kommunikationsverket meddela närmare föreskrifter om när en sådan störning som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. Bestämmelsen behövs inte, eftersom motsvarande bemyndigande att meddela föreskrifter i fortsättningen ska ingå i cybersäkerhetslagen.  

Genom förslaget upphävs 18 a § i lagen om fartygstrafikservice. Enligt paragrafens 4 mom. får Transport- och kommunikationsverket meddela närmare föreskrifter om när en sådan störning som avses i 1 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. Bestämmelsen behövs inte, eftersom motsvarande bemyndigande att meddela föreskrifter i fortsättningen ska ingå i cybersäkerhetslagen.  

Genom förslaget upphävs 18 kap. 161 § i lagen om transportservice. Enligt paragrafens 5 mom. får Transport- och kommunikationsverket meddela närmare föreskrifter om när en sådan störning som avses i 2 mom. är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in. Bestämmelsen behövs inte, eftersom motsvarande bemyndigande att meddela föreskrifter i fortsättningen ska ingå i cybersäkerhetslagen. 

12.1  Skyddet för förtrolig kommunikation

I förslaget ingår bestämmelser som är av betydelse med tanke på det skydd för förtrolig kommunikation som tryggas i 10 § i grundlagen. Till dessa bestämmelser hör särskilt förslaget till informationsutbyte om cybersäkerhet som samordnas av CSIRT-enheten i 23 § i lagförslag 1 samt förslagen om tillsynsmyndighetens rätt att få information i 28 § i lagförslag 1 och 18 i § i lagförslag 2. Förslagen handlar bland annat om rätten att behandla förmedlingsuppgifter som hänför sig till elektronisk kommunikation och information som hänför sig till meddelanden som innehåller skadligt datorprogram eller ett skadligt kommando. Av betydelse med tanke på skyddet för förtroliga meddelanden är också den behörighet att kartlägga sårbarheter i kommunikationsnät och informationssystem som anslutits till det allmänna kommunikationsnätet som föreskrivs i 21 § i lagförslag 1.  

Skyddet för förtroliga meddelanden

Enligt 10 § i grundlagen är vars och ens privatliv, heder och hemfrid tryggade, och med stöd av 2 mom. i den paragrafen är brev- och telefonhemligheten samt hemligheten i fråga om andra förtroliga meddelanden okränkbar. Enligt 4 mom. i den paragrafen kan det genom lag föreskrivas om sådana begränsningar i meddelandehemligheten som är nödvändiga vid utredning av brott som äventyrar individens eller samhällets säkerhet eller hemfriden, vid rättegång, vid säkerhetskontroll och under frihetsberövande samt för att inhämta information om militär verksamhet eller sådan annan verksamhet som allvarligt hotar den nationella säkerheten. Dessa möjligheter att begränsa skyddet för förtrolig kommunikation är avsedda att utgöra en uttömmande förteckning (RP 309/1993 rd, s. 55, GrUB 25/1994 rd, s. 6, och GrUU 33/2013 rd, s. 3). Grundlagsutskottet har konstaterat att utgångspunkten för det skydd för privatlivet som tryggas i 10 § i grundlagen är individens rätt att leva sitt eget liv utan godtycklig eller ogrundad inblandning av myndigheter eller andra utomstående (GrUU 53/2005 rd, s. 2, GrUU 36/2002 rd, s. 5/II, GrUU 9/2004 rd, s. 5/II). I artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna föreskrivs det att var och en har rätt till respekt för sina kommunikationer. Skyddet för förtroliga meddelanden tryggas också i artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna (FördrS 63/1999), enligt vilken var och en har rätt till skydd för sin korrespondens. Offentliga myndigheter får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. 

Enligt förarbetena till 10 § 2 mom. i grundlagen är bestämmelsen avsedd att mot utomstående skydda innehållet i ett förtroligt meddelande. Skyddet gäller rätt att meddela sig och kommunicera med andra utan att utomstående obehörigen kan få information om innehållet i de förtroliga meddelanden som har skickats eller tagits emot samt rätt att kommunicera utan att utomstående begränsar kommunikationen. Skyddet för förtrolig kommunikation omfattar förutom traditionell korrespondens även telefoni och datakommunikation med hjälp av datakommunikationsförbindelser och elektroniska kommunikationsmedel. I motiveringen konstateras det också att bestämmelsen förutsätter lagstiftning som i praktiken effektivt skyddar förtrolig kommunikation mot kränkningar från såväl myndigheters som andra utomståendes sida (RP 309/1993 rd, s. 57). Vid bedömningen av förslagen är det dessutom relevant att beakta artikel 5 i direktivet om integritet och elektronisk kommunikation, dvs. Europaparlamentets och rådets direktiv om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (2002/58/EG), enligt vilken medlemsstaterna ska säkerställa konfidentialiteten vid elektronisk kommunikation. Enligt artikel 15 i direktivet om integritet och elektronisk kommunikation får en medlemsstat genom lagstiftning vidta åtgärder för att begränsa konfidentialiteten vid elektronisk kommunikation, om sådana begränsningar är nödvändiga, lämpliga och proportionella bland annat för att förebygga, undersöka och avslöja obehörig användning av ett elektroniskt kommunikationssystem.  

Förmedlingsuppgifter för elektroniska meddelanden

När det gäller skyddet för förtroliga meddelanden har grundlagsutskottet i sin vedertagna praxis bedömt att meddelandens identifieringsuppgifter, för vilka termen förmedlingsuppgifter sedermera har börjat användas, inte omfattas av kärnområdet i den rättighet som gäller sekretess i fråga om förtroliga meddelanden. I och med detta har grundlagsutskottet till exempel ansett det möjligt att rätten att få identifieringsuppgifter inte behöver bindas till vissa typer av brott, om bestämmelserna i övrigt uppfyller de allmänna kraven på begränsningar av de grundläggande fri- och rättigheterna (GrUU 7/1997 rd, s. 2/I, GrUU 26/2001 rd, s. 3/II, och GrUU 33/2013).  

Grundlagsutskottet har dock senare bedömt att EU-domstolens rättspraxis har gett anledning att i någon mån omvärdera praxisen i fråga om skyddet för identifieringsuppgifter som fås genom elektronisk kommunikation med tanke på sekretessen för förtroliga meddelanden. Identifieringsuppgifter som ansluter till elektronisk kommunikation – och möjligheten att sammanställa och kombinera dem – kan likväl vara problematiska med hänsyn till skyddet för privatlivet på så sätt att en kategorisk uppdelning av skyddet i ett kärnområde och ett randområde inte alltid är motiverad, utan man måste på ett allmännare plan fästa vikt också vid hur betydelsefulla begränsningarna är (GrUU 36/2018 rd, s. 23 och GrUU 18/2014 rd, s. 5/II). 

Det som sägs ovan har betytt att det särskilda lagförbehållet i tidigare 3 mom. och nuvarande 4 mom. i 10 § i grundlagen inte som sådant har tillämpats på begränsning av skyddet för identifieringsuppgifter. Bestämmelser som ingriper i skyddet för hemligheten i fråga om identifieringsuppgifter måste dock uppfylla de allmänna förutsättningarna för inskränkningar i de grundläggande fri- och rättigheterna (GrUU 62/2010 rd, s. 4, och GrUU 23/2006 rd, s. 3). 

Meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando

Avgörande för bedömningen av huruvida förslagen i propositionen om behandling av meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando är grundlagsenliga är tolkningen av huruvida ett sådant meddelande åtnjuter skydd för förtrolig kommunikation i den mening som avses i 10 § 2 mom. i grundlagen, så att det särskilda lagförbehåll som ingår i 10 § i grundlagen ska tillämpas som sådant eller om det är fråga om verksamhet utanför skyddsområdets kärnområde som ska bedömas enligt de allmänna förutsättningarna för inskränkning av de grundläggande fri- och rättigheterna. Det finns inte mycket lagberedningsmaterial, material från grundlagsutskottet eller annat tolkningsmaterial om detta. 

En närmare definition av innehållet i eller tillämpningsområdet för förtroliga meddelanden eller förtrolig kommunikation finns inte i 10 § 2 mom. i grundlagen eller i vanlig lag. Meddelandets innehåll har som sådant traditionellt åtnjutit ett starkt skydd inom ramen för de grundläggande fri- och rättigheterna och innehållet i ett privat meddelande har ansetts höra till kärnområdet för skyddet i fråga om hemligheten för förtroliga meddelanden (GrUU 36/2018 rd, s. 24). Det kan dock antas att alla elektroniska meddelanden som sänds och tas emot inte utan vidare är förtroliga meddelanden som omfattas av skyddet för de grundläggande fri- och rättigheterna. 

Skyddet för förtroliga meddelanden innebär i synnerhet att det semantiska innehållet i det meddelande som kommuniceras mellan avsändaren och mottagaren, dvs. det innehåll som parterna i kommunikation skapat, förblir förtroligt och skyddat mot utomstående. Skyddet för förtroliga meddelanden kan därför anses beröra sådan kommunikation mellan fysiska personer som åtminstone i någon mening är betydelsebärande.  

Grundlagsutskottet har i sin praxis undantagit tele- och radiokommunikation som uppkommer vid trafikledning från skyddet för konfidentiella meddelandens hemlighet, med hänsyn till verksamhetens karaktär (GrUU 62/2010 rd, s. 5). Dessutom har grundlagsutskottet bedömt att skyddet för hemligheten i fråga om förtroliga meddelanden inte omfattar till exempel kommunikationen i en främmande stats militära organisation eller annan myndighetsorganisation (GrUB 4/2018 rd, s. 7). För att trygga postgången, dvs. för att tillgodose avsändarens och mottagarens kommunikationsrättigheter, har det genom lag kunnat föreskrivas om öppnande av ett slutet brev (GrUU 56/2010 rd, s. 4, och GrUU 30/2001 rd, s. 2–3). 

Ett meddelande som innehåller ett skadligt datorprogram eller kommando har ofta genererats automatiskt av ett skadligt datorprogram och det har inte sänts av en fysisk person utan av ett skadligt program eller den som programmerat det. I ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando är det ofta fråga om ett tekniskt program eller kommando som är avsett att skada kommunikationsnätets eller informationssystemets funktion. Det kan röra sig om en automatiserad och teknisk åtgärd mellan datorsystem där ingen fysisk person är part eller där det utöver de tekniska egenskaperna inte finns något semantiskt innehåll. Det kan också vara fråga om ett automatiserat phisingmeddelande vars syfte är att lura objektet att utföra en åtgärd som gör det möjligt att köra ett skadligt datorprogram i eller att bryta skyddet i kommunikationsnätet och informationssystemet. Ett meddelande som innehåller ett skadligt datorprogram eller kommando är i regel ett mellan datorer förmedlat tekniskt meddelande utan semantiskt innehåll eller ett meddelande som genereras automatiskt av ett skadligt datorprogram eller som en aktör som utför cyberattacker sänder till en okänd och mycket bred mottagargrupp. Ett meddelande som innehåller ett skadligt datorprogram eller kommando är inte ett sådant meddelande mellan kommunikationsparter som traditionellt hör till kärnan i skyddet för förtrolig kommunikation och som har identifierad semantisk eller kommunikativ betydelse för parterna. Avsändaren av ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando har för avsikt att genomföra en cyberattack eller orsaka skada för kommunikationsnätets och informationssystemets funktion eller för konfidentialiteten i fråga om personuppgifter och andra uppgifter i systemet. Det är ofta nödvändigt att behandla ett meddelande som innehåller ett skadligt datorprogram eller kommando för att utreda dess tekniska egenskaper och varna allmänheten för motsvarande aktioner. Syftet med behandlingen av ett meddelande som innehåller ett skadligt datorprogram eller kommando är inte att få reda på meddelandets semantiska innehåll. Ett sådant meddelande innehåller i regel inte personlig kommunikation som hör till kärnan i skyddet för konfidentiell kommunikation utan är endast avsett att tas emot av den ena parten.  

I ett meddelande som innehåller ett skadligt datorprogram eller kommando är det semantiska eller kommunikativa innehållet på det sätt som konstateras ovan mycket litet eller saknas helt och hållet. Det är fråga om en ensidig åtgärd vars syfte är att försöka genomföra en cyberattack eller att skada ett kommunikationsnät eller informationssystem. Även om verksamhet som syftar till att genomföra en cyberattack eller cyberstörning som sådan kan anses vara ett meddelande, är det inte uppenbart att den omfattas av det grundläggande rättsskyddet för förtrolig kommunikation. Eftersom kommunikationen antingen helt eller huvudsakligen saknar innehåll, syfte och betydelse, kan meddelandet åtminstone inte anses höra till kärnan i skyddet för förtroliga meddelanden, i den mån det finns konstitutionella grunder för en uppdelning av skyddet av den aktuella grundläggande fri- och rättigheten i ett kärnområde och ett randområde. Det är också möjligt att meddelandet helt faller utanför skyddsområdet. Det finns grunder för en bedömning av tillämpningsområdet för skyddet för förtrolig kommunikation inom ramen för de grundläggande fri- och rättigheterna särskilt när det gäller elektronisk kommunikation. Det anknyter till att den tekniska diversifieringen av olika tekniska innehåll, kommandon och meddelanden som hör till området för elektroniska meddelanden samt de vidgade användningsmöjligheterna och förändringarna i de tekniska metoderna för elektronisk kommunikation skapar situationer där betydelsen av åtgärder som hör till området för elektroniska meddelanden skiljer sig från varandra på ett betydande, väsentligt och vägande sätt med tanke på de skyddsintressen som traditionellt förknippas med skyddet för förtrolig kommunikation.  

I lagen om militär underrättelseverksamhet (590/2019) föreskrivs det i fråga om underrättelseinhämtning som avser datatrafik att det är möjligt att till företag, sammanslutningar och myndigheter lämna ut information om ett skadligt datorprogram eller ett skadligt kommando. Förslaget motiveras med att det med tanke på det övergripande skyddet av samhället är viktigt att uppgifter om skadliga datorprogram som används vid angrepp i så stor utsträckning som möjligt kan lämnas ut till de potentiella offren för angreppen. Genom att föreskriva om rätt att överlåta sådana uppgifter kan man garantera möjligheter för företagen och sammanslutningarna att vidta sådana åtgärder för att sörja för sin datasäkerhet om vilka det föreskrivs i 272 § i lagen om tjänster inom elektronisk kommunikation. Åtgärder i överenstämmelse med bestämmelsen i fråga kan innehålla bl.a. automatisk utredning av innehållet i ett meddelande, automatiskt förhindrande eller begränsande av förmedling och mottagande av meddelanden samt automatiskt avlägsnande ur meddelanden av skadliga datorprogram som äventyrar datasäkerheten (RP 203/2017 rd). I sitt utlåtande om propositionen i ärendet lyfte grundlagsutskottet inte fram den föreslagna bestämmelsen som problematisk med avseende på de grundläggande fri- och rättigheterna.  

Dessutom kan man med tanke på det i rättssystemet allmänt etablerade förbudet mot chickan och rättsmissbruk hävda att skyddet för förtrolig kommunikation inte ska tolkas på ett sätt som hindrar att teknisk information om ett meddelande som innehåller ett skadligt datorprogram behandlas i syfte att förebygga verkningarna av programmet, i det fall att skyddet för förtrolig kommunikation skulle skydda en verksamhet vars syfte är att allvarligt äventyra just skyddet för förtrolig kommunikation i elektronisk kommunikation. Särskilt med tanke på cyberberedskapen hos kritiska samhällsaktörer är det viktigt att information om de sabotageprogram som används i angreppen kan spridas mellan potentiella objekt för angrepp och att man därmed kan förebygga till exempel dataintrång eller andra cyberattacker som äventyrar skyddet för förtrolig kommunikation. Cyberattacker kan om de genomförs leda till betydande kränkningar av skyddet för förtrolig kommunikation eller skyddet för personuppgifter. Bestämmelser om förbud mot rättsmissbruk finns till exempel i artikel 54 i Europeiska unionens stadga om de grundläggande rättigheterna (2016/C 202/02), enligt vilken ingen bestämmelse i stadgan får tolkas som att den medför rätt att bedriva verksamhet eller utföra handlingar som syftar till att sätta ur spel någon av de rättigheter och friheter som erkänns i stadgan eller att inskränka dem i större utsträckning än vad som medges i stadgan.  

Med beaktande av det som sägs ovan har man vid beredningen av propositionen kommit fram till en bedömning enligt vilken ett meddelande som innehåller ett skadligt datorprogram eller kommando och som har skapats för att genomföra ett cyberattack inte hör till kärnan i skyddet för förtrolig kommunikation. Det gäller i synnerhet meddelandets tekniska egenskaper som anknyter till det skadliga program och automatiskt skapat innehåll, eftersom det saknas ett sådant innehåll som uppkommer mellan fysiska personer som kan betraktas som parter i en kommunikation. Det är alltså inte fråga om sådan förtrolig kommunikation som avses i 10 § 2 mom. i grundlagen, vilket innebär att bestämmelser om behandlingen av den kan utfärdas oberoende av 10 § 4 mom. i grundlagen. Grundlagsenligheten i bestämmelser om behandling av meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando bör bedömas utifrån grundlagens allmänna förutsättningar för begränsningar så att regleringen är nödvändig, ändamålsenlig och proportionell med hänsyn till de mål som eftersträvas med den och som följer av ett godtagbart och vägande samhälleligt behov.  

Frivilliga arrangemang för informationsutbyte om cybersäkerhet

Ett frivilligt arrangemang för informationsutbyte om cybersäkerhet bildar en av CSIRT-enheten samordnad gemenskap för informationsutbyte. Syftet med arrangemanget är att förbättra de deltagande sammanslutningarnas förmåga att förebygga och upptäcka cyberhot, hantera incidenter och återhämta sig från och lindra deras effekter. Deltagandet i arrangemanget ska grunda sig på frivillighet och samordnas av myndigheten, dvs. CSIRT-enheten.  

En sammanslutning som deltar i informationsutbytet och en CSIRT-enhet får till andra som deltar i delningsarrangemanget lämna ut förmedlingsinformation som anknyter till ett skadligt datorprogram eller kommando eller information som anknyter till ett meddelande som innehåller ett skadligt datorprogram eller kommando till den del informationen har samband med det skadliga datorprogrammets eller kommandots tekniska egenskaper och tekniska spår eller med annan teknisk information som har samband med genomförandet av cyberhotet eller incidenten. Den som deltar i arrangemanget för informationsutbyte får behandla sådana uppgifter endast om det behövs för att förebygga och upptäcka cyberhot, hantera incidenter och återhämta sig från dem och lindra deras effekter. Dessutom kan CSIRT-enheten enligt förslaget behandla informationen för skötseln av en uppgift som anges i lagen. En förutsättning är att utlämnandet av information är nödvändigt för ett ändamål som anges i 23 § 1 mom., eftersom utlämnandet av information inte får begränsa skyddet av förtroliga meddelanden eller integritetsskyddet mer än vad som är nödvändigt för ett ändamål som anges i 1 mom.  

Syftet med förslaget är att förbättra informationssäkerheten så att information om skadlig teknik kan spridas. Det förbättrar samhällets möjligheter att förebygga cybersäkerhetsstörningar som skulle kunna ha omfattande och allvarliga skadliga konsekvenser. Information och förmedlingsuppgifter i ett skadligt datorprogram eller kommando som tidigare upptäckts kan användas för att identifiera verksamhet som äventyrar informationssäkerheten, för att skydda sig mot motsvarande meddelande som innehåller ett skadligt datorprogram eller kommando och för att utreda dess tekniska egenskaper samt för att lindra konsekvenserna av en incident. Det är ofta nödvändigt att i detta syfte behandla ett meddelande som innehåller ett skadligt datorprogram eller kommando.  

Genom förslaget genomförs artikel 29 i NIS 2-direktivet, som förutsätter att medlemsstaterna möjliggör frivilligt informationsutbyte mellan de aktörer som omfattas av direktivet. När det gäller aktörer som inte omfattas av direktivet medger förslaget ett nationellt handlingsutrymme. 

Det kan konstateras att ändamålet med behandlingen enligt förslaget inte är en sådan insamling eller sammanställning av uppgifter som har betydande konsekvenser med tanke på skyddet för privatlivet. Det är fråga om användning av förmedlingsuppgifter som teknisk identifiering för att skydda sig mot ett enskilt cyberhot, en enskild cyberincident, sårbarhet eller en enskild fientlig aktör eller för att avvärja kommunikation som orsakar störningar.  

Förslaget bedöms uppfylla de allmänna förutsättningarna för inskränkning av de grundläggande fri- och rättigheterna, eftersom ett meddelande som innehåller ett skadligt datorprogram eller kommando inte på det sätt som beskrivs ovan åtnjuter skydd för förtrolig kommunikation inom dess kärnområde. I förslaget är det fråga om ett godtagbart syfte med en exakt, noggrant avgränsad och proportionell bestämmelse på lagnivå. Syftet är alltså att avvärja cyberattacker, cyberhot och betydande incidenter riktade mot kommunikationsnät och informationssystem samt deras skadliga konsekvenser i samhället. Förslaget bedöms därför vara förenligt med grundlagen och bedöms därmed kunna behandlas i vanlig lagstiftningsordning. Med anledning av förslaget om behandling av ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando är det dock nödvändigt att begära grundlagsutskottets utlåtande om propositionen. 

Tillsynsmyndighetens rätt att få information

Med stöd av 28 § i förslaget till cybersäkerhetslag och föreslagna 18 1 § i informationshanteringslagen har tillsynsmyndigheten trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att av en aktör få förmedlingsuppgifter, lokaliseringsuppgifter eller meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando, om det är nödvändigt för att övervaka de skyldigheter som gäller hantering av cybersäkerhetsrisker eller för att övervaka att betydande incidenter anmäls och rapporteras. En förutsättning är alltså att det är nödvändigt med hänsyn till den tillsynsuppgift som föreskrivits för myndigheten. Nödvändigheten förutsätter att det syfte för vilket denna information begärs inte kan fås på ett sätt som mindre ingriper i skyddet för förtroliga meddelanden och integritetsskyddet.  

Tillsynsmyndigheten ska i begäran om information ange syftet med begäran och precisera den begärda informationen. Dessutom ska informationen omfattas av särskild sekretess. Tillsynsmyndigheten ska dock trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information ha rätt att lämna ut handlingar som den fått eller upprättat i samband med sina lagstadgade uppgifter samt att röja sekretessbelagd information för en begränsad grupp myndigheter. En handling eller information kan lämnas ut till en annan tillsynsmyndighet och en CSIRT-enhet, om det är nödvändigt för en uppgift som en myndighet har enligt den föreslagna lagen. Utnyttjandet av rätten att få information eller utlämnandet av information får inte begränsa skyddet av förtroliga meddelanden eller integritetsskyddet mer än vad som är nödvändigt.  

Allmänt taget har förslagen i första hand en begränsande effekt på skyddet för förtroliga meddelanden i samband med rätt att få information och informationsutbyte. Å andra sidan grundar sig informationsutbytet bland annat på att konfidentiell kommunikation skyddas genom beredskap för och skydd mot cyberhot, varvid skyddet för konfidentiell kommunikation indirekt främjas genom att det begränsas i en enskild situation. Dessutom främjar det för sin del förverkligandet av de skyddsintressen i samhället för vilka det är av betydelse att kommunikationsnäten och informationssystemen fungerar störningsfritt. Den konsekvens som skyddet av förtroliga meddelanden har för de grundläggande fri- och rättigheterna är således en indirekt följd av myndigheternas åtgärder i samband med undersökning, förebyggande och eliminering av kränkningar av informationssäkerheten. 

Utnyttjandet av rätten att få information eller utlämnandet av information får inte begränsa skyddet av förtroliga meddelanden eller integritetsskyddet mer än vad som är nödvändigt. Det förutsätter att meddelanden som innehåller ett skadligt datorprogram eller kommando kan identifieras och avskiljas effektivt, så att myndighetsåtgärder inte oavsiktligt riktas mot kommunikation som med fog omfattas av skyddet för förtroliga meddelanden och så att detta skydd således inte heller begränsas utan grund. 

Det kan konstateras att ändamålet med behandlingen enligt förslaget inte är en sådan insamling eller sammanställning av uppgifter som har betydande konsekvenser med tanke på skyddet för privatlivet. För att en myndighet ska kunna utföra sin tillsynsuppgift är det inte nödvändigt att den generellt, oriktat eller regelbundet begär eller lämnar ut förmedlingsuppgifter, lokaliseringsuppgifter eller meddelanden som innehåller ett skadligt datorprogram eller kommando, utan det är i huvudsak fråga om information som gäller enskilda cyberhot, cyberincidenter, sårbarheter eller fientliga aktörer.  

Behandlingen av ett meddelande som innehåller ett skadligt datorprogram eller kommando av det slag som beskrivs ovan bedöms därför ligga utanför kärnan i skyddet för förtrolig kommunikation, med beaktande av det som ovan sagts om detta och om förmedlingsuppgifter. Behandlingen bedöms uppfylla de allmänna förutsättningarna för begränsning av de grundläggande fri- och rättigheterna med beaktande av syftet med behandlingen i förhållande till arten och betydelsen av begränsningen. Dessutom förutsätter genomförandet av NIS 2-direktivet att tillsynsmyndigheten kan behandla denna information för att utföra sina tillsynsuppgifter. Förslaget uppfyller också i övrigt de allmänna kraven på inskränkning av de grundläggande fri- och rättigheterna. Förslagen om rätt att få information och informationsutbyte mellan myndigheter bedöms därför vara förenliga med grundlagen och bedöms därmed kunna behandlas i vanlig lagstiftningsordning. Med anledning av förslaget om behandling av ett meddelande som innehåller ett skadligt datorprogram eller ett skadligt kommando är det dock nödvändigt att begära grundlagsutskottets utlåtande om propositionen. 

Kartläggning av sårbarheter

Enligt 21 § i förslaget har CSIRT-enhetens rätt att utföra webbaserad observation av sårbarheter i kommunikationsnät och informationssystem som är anslutna till ett allmänt kommunikationsnät. Syftet med observationen av sårbarheter är att upptäcka sårbara eller osäkert konfigurerade kommunikationsnät och informationssystem och för att informera de berörda parterna om iakttagelserna. Observationerna ska grunda sig på observation av information i det allmänna kommunikationsnätet. En vägande grund för befogenheten är att skapa beredskap inför cyberhot och förebygga skadliga verkningar av cyberattacker i samhället. CSIRT-enheten kan observera information om ett sårbart objekt innan sårbarheten utnyttjas och att förmedla information om sårbarheten till den aktör som administrerar det sårbara objektet. Därigenom kan korrigerande åtgärder vidtas och eventuella kränkningar av informationssäkerheten i anslutning till sårbara anordningar eller system undvikas. Detta främjar i betydande grad skyddet mot allvarliga kränkningar av informationssäkerheten. 

Sårbarhetskartläggningen får endast genomföras på ett icke-inkräktande sätt. På det sätt som beskrivs i specialmotiveringen till förslaget innebär det att det vid en sårbarhetskartläggning inte får orsakas olägenhet för funktionen hos det system eller den tjänst som är föremål för kartläggningen. Det får inte heller göras intrång i ett kommunikationsnät eller ett informationssystem eller inhämtas åtkomst till de uppgifter som behandlas i dem. Det tekniska genomförandet av sårbarhetskartläggningen behandlas närmare i specialmotiveringen till paragrafen. Förslaget möjliggör inte intrång i kommunikationsnät eller informationssystem, utan det handlar om observation av tekniska uppgifter i öppna anordningar och informationssystem i det allmänna kommunikationsnätet. En sårbarhetskartläggning får inte medföra olägenhet för funktionen hos det informationssystem eller den tjänst som är föremål för kartläggningen och genom den får det inte inhämtas information om kommunikation som förmedlas i ett allmänt kommunikationsnät eller i en allmänt tillgänglig kommunikationstjänst. I sårbarhetskartläggningen kan man bara observera eller kartlägga kommunikationsnät och informationssystem. Det är alltså inte tillåtet att genom sårbarhetskartläggning inhämta och behandla information som omfattas av skyddet för förtrolig kommunikation, såsom förmedlingsuppgifter eller innehållet i meddelanden, såvida inte CSIRT-enheten behandlar informationen i egenskap av part i kommunikationen. Vid en sårbarhetskartläggning eller riktad sårbarhetskartläggning får innehållet i elektroniska meddelanden inte behandlas, och med stöd av paragrafens 5 mom. ska CSIRT-enheten utplåna den information som den fått, när den inte längre behövs för skötseln av lagstadgade uppgifter. 

Med tanke på de allmänna förutsättningarna för inskränkning av de grundläggande fri- och rättigheterna uppfyller förslaget kravet på exakthet och noggrann avgränsning. Förslaget innehåller ett flertal faktorer som avgränsar verksamheten. För det första är verksamheten avgränsad till allmänt tillgängliga kommunikationsnät och informationssystem, dvs. förslaget utesluter bland annat privata nät. Syftet med verksamheten har avgränsats till att upptäcka inställningarna i sårbara eller osäkert konfigurerade kommunikationsnät och informationssystem och informera de berörda parterna om iakttagelserna samt till att upprätthålla en lägesbild över cybersäkerheten. Verksamheten kan således inte bedrivas för något annat ändamål. Information får genom teknisk förfrågning inhämtas om identifieringsuppgifter för teleterminalutrustning och informationssystem samt deras datakommunikationsarrangemang, de programvaror som används och deras funktion och tekniska genomförande och de tjänster som tillhandahållits med hjälp av dem. Dessa uppgifter har bedömts vara nödvändiga bland annat för att upptäcka utrustning som innehåller kritiska sårbarheter och bedöma hur allvarligt cyberhotet är. I förslaget finns en uttömmande förteckning över uppgifterna. Förslaget har dessutom avgränsats så att verksamheten inte får orsaka olägenhet för den utrustning eller det system som kartläggningen gäller. Genom verksamheten får inte heller inhämtas information om kommunikation som förmedlas i ett allmänt kommunikationsnät eller i en allmänt tillgänglig kommunikationstjänst, vilket är av betydelse också med tanke på proportionalitetsprincipen.  

De begränsningar av de grundläggande fri- och rättigheterna som gäller de uppgifter som behandlas under sårbarhetskartläggningen har bedömts stå i rätt proportion till nyttan. Kartläggningen ger betydande fördelar genom att förebygga informationssäkerhetskränkningar som kan ha rentav betydande konsekvenser för individer och samhället till exempel i form av dataintrång eller störningar av verksamheten. Förslaget har avgränsats på det sätt som beskrivs ovan så att det i sin helhet uppfyller proportionalitetskravet.  

Det uttryckliga syftet med förslaget är att göra administratörerna medvetna om sårbarheter i anordningar och system. Dessutom innehåller förslaget betydande avgränsningar, i synnerhet med tanke på rättsskyddet, i fråga om hur information som upptäckts vid en sårbarhetskartläggning kan användas. Förslaget innehåller också en skyldighet att radera onödig information. 

Förslaget har inte heller bedömts vara problematiskt med tanke på människorättsförpliktelserna. Europeiska unionens domstol (EUD) och Europadomstolen har i flera avgöranden behandlat främst statliga aktörers oriktade inhämtande, behandling och förvaring av information, som typiskt har beröringspunkter med civil eller militär underrättelseinhämtning. I de fall som gäller artiklarna 8 och 10 i Europakonventionen har man allmänt beaktat de i artiklarna angivna grunderna för begränsning av rättigheter. Inskränkningsgrundernas centrala innehåll är kravet på att bestämmelser ska utfärdas genom lag och att det i ett demokratiskt samhälle är nödvändigt, till exempel för att trygga den nationella och allmänna säkerheten. Därför ska oriktat inhämtande av information (bulk interception) inom ramen för Europakonventionen till exempel för att trygga den nationella säkerheten ske så att det genom nationell lag utfärdas bestämmelser om inhämtande av information och att intrång i enskildas rätt är nödvändigt i ett demokratiskt samhälle. (t.ex. Kennedy mot Förenade kungariket, punkt 155; Roman Sacharov mot Ryssland, punkt 236). Europadomstolen har i sina avgöranden Big Brother Watch och andra mot Förenade kungadömet och Centrum för Rättvisa mot Sverige skapat en ram för bedömning av särskilda villkor för lagstiftningsåtgärderna och för hur väl åtgärderna räcker till. Det är värt att notera att grundlagsutskottet i sin utlåtandepraxis inte heller har ansett det möjligt att i underrättelseverksamhet övervaka all datatrafik på ett allmänt, oriktat och heltäckande sätt (GrUB 4/2018 rd, s. 8). Det nu aktuella förslaget handlar inte om sådan informationsinhämtning eller övervakning av datatrafik.  

Den föreslagna sårbarhetskartläggningen avviker på två viktiga sätt från det oriktade inhämtande av information som Europadomstolen och EUD behandlat i de nämnda fallen. Verksamhet som avses i de nämnda avgörandena innebär i praktiken inhämtning av information i telekommunikationen genom att fånga själva trafiken mellan parterna i kommunikationen. Kartläggningen av sårbarheter innefattar inte att kommunikationen mellan parterna kapas eller analyseras. Den som genomför sårbarhetskartläggningen är i stället själv en part i kommunikationen genom att sända begäranden till en server i det allmänna kommunikationsnätet och analysera de tekniska svar som servern skickar, vilket gör det möjligt att upptäcka en sårbarhet. I denna situation handlar man på en annan nivå av datakommunikationen, som inte på motsvarande sätt är problematisk med tanke på människorättsförpliktelser eller konfidentiell kommunikation, eftersom det inte är fråga om att övervaka kommunikationen. En annan betydande skillnad är syftet med verksamheten. Domstolarnas avgöranden har ofta fokuserat på underrättelsemyndigheternas verksamhet, det vill säga inhämtande av information om verksamhet som hotar säkerheten. Syftet med förslaget är däremot att förbättra informationssäkerheten för de aktörer som är föremål för kartläggningen och därigenom bland annat främja konfidentialiteten vid kommunikation samt skydda och förbättra säkerheten för kommunikation eller information som förmedlas i kommunikationsnätet och informationssystemet.  

I förslaget ingår också en mer riktad kartläggning än den som nämns ovan och som görs på objektets begäran. Kartläggning av sårbarheter som görs på begäran har inte bedömts vara särskilt problematisk med tanke på de grundläggande fri- och rättigheterna, uttryckligen för att det är fråga om en åtgärd som genomförs på objektets begäran och i den omfattning som denne fastställer. En riktad kartläggning av sårbarheter inbegriper inte någon möjlighet att behandla innehållet i kommunikationen utan samtycke av kommunikationsparten.  

Kartläggningen av sårbarheter får inte behandla eller inhämta information som förmedlas i ett allmänt kommunikationsnät eller i allmänt tillgängliga kommunikationstjänster. För tydlighetens skull konstateras det att även om det i bestämmelsen sägs att innehållet i eller förmedlingsuppgifter om elektroniska meddelanden inte får behandlas vid sårbarhetskartläggningen, är det inte tekniskt möjligt att behandla elektroniska meddelanden eller förmedlingsuppgifter, om sårbarhetskartläggningen genomförs tekniskt på det sätt som bestämmelsen förutsätter. Dessutom föreskrivs det i förslaget exakt och noggrant avgränsat om ändamålet med den information som samlas in genom sårbarhetskartläggning och om utplåning av onödiga uppgifter. Förslaget uppfyller de allmänna förutsättningarna för inskränkning av de grundläggande fri- och rättigheterna. På de grunder som anförts ovan bedöms förslaget om kartläggning av sårbarheter vara förenligt med de förutsättningar som uppställs i grundlagen.  

12.2  Överföring av förvaltningsuppgifter på andra än myndigheter och avgifter för myndigheters prestationer

Anlitande av utomstående sakkunniga vid inspektion

Med stöd av 29 § i den föreslagna cybersäkerhetslagen kan tillsynsmyndigheten anlita ett godkänt bedömningsorgan för informationssäkerhet eller en utomstående expert i informationsteknik att förrätta inspektionen, om det är nödvändigt på grund av inspektionens art eller av tekniska orsaker som har samband med de. Transport- och kommunikationsverket kan också med stöd av den föreslagna 18 k § i informationshanteringslagen tilldela ett godkänt bedömningsorgan för informationssäkerhet som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011) en biträdande uppgift i anslutning till ett inspektionsuppdrag. Förslagen är betydelsefulla med tanke på 124 § i grundlagen, där det sägs att offentliga förvaltningsuppgifter kan anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. 

I grundlagsutskottets utlåtandepraxis har det betonats att kravet på ändamålsenlighet i 124 § i grundlagen är en rättslig förutsättning som kräver bedömning från fall till fall i fråga om varje offentlig förvaltningsuppgift som föreslås bli anförtrodd någon utanför myndighetsorganisationen. Då ska man beakta bl.a. förvaltningsuppgiftens karaktär (GrUU 44/2016 rd, s. 5, GrUU 26/2017 rd, s. 49, GrUU 5/2014 rd, s.3/I–II, GrUU 8/2014 rd, s.3/II, GrUU 23/2013 rd, s.3/I, GrUU 65/2010 rd, s.2/II). Enligt förarbetena till grundlagen ska man vid bedömning av ändamålsenligheten uppmärksamma dels förvaltningens effektivitet och övriga interna behov, dels enskilda personers och sammanslutningars behov (GrUU 44/2016 rd, s. 5, RP 1/1998 rd, s. 179/II). 

Utgångspunkten är att tillsynsmyndigheten själv utför inspektionen. Tillsynsmyndigheten kan inte heller i sin helhet överföra uppgiften på ett bedömningsorgan för informationssäkerhet eller en utomstående expert, utan ansvaret för utförandet av inspektionsuppdraget kvarstår hos tillsynsmyndigheten också när den har beslutat anlita ett bedömningsorgan för informationssäkerhet eller en utomstående expert vid inspektionen. Med stöd av grundlagsutskottet utlåtandepraxis kan det i vissa fall vara lämpligt att inspektioner på grund av särskilda yrkesmässiga och tekniska aspekter på de omständigheter som tillsynen gäller utförs av sakkunniga som myndigheterna befullmäktigat därtill (GrUU 40/2002 rd, s. 3/I, GrUU 44/2016 rd, s. 5). Nödvändighetskravet kan bli uppfyllt i fall där granskningen förutsätter kompetens eller resurser som saknas hos myndigheterna (GrUU 29/2013 rd, s. 2/I). Enligt det föreslagna 29 § 2 mom. är det möjligt att anlita ett bedömningsorgan för informationssäkerhet eller en utomstående expert endast om det är nödvändigt på grund av inspektionens art eller av tekniska orsaker som har samband med den. I praktiken gäller förslaget alltså en situation där inspektionen avser sådana omständigheter vars granskning kräver sådan teknisk specialkompetens eller exceptionell kompetens som myndigheten själv inte innehar. Dessutom gäller förslaget situationer där genomförandet av en inspektion förutsätter betydande resurser som tillsynsmyndigheten inte fortlöpande har tillgång till. 

Grundlagsutskottet har ansett att kravet på rättssäkerhet och god förvaltning ska skrivas in i lag när förvaltningsuppgifter förs över på någon annan än en myndighet (GrUU 26/2001 rd, 5/II och GrUU 2/2001 rd, s. 2). Dessutom har grundlagsutskottet i sin senare utlåtandepraxis ansett att det i regleringen av granskningar av tillsynskaraktär hos företag för klarhetens skull bör hänvisas till den allmänna bestämmelsen om inspektioner i 39 § i förvaltningslagen (GrUU 44/2016 rd, s. 6, GrUU 35/2014 rd, s.4/I och GrUU 29/2013 rd, s. 2). Grundlagsutskottets utlåtandepraxis har i propositionen beaktats i 29 § 4 mom. i cybersäkerhetslagen och 18 j § 3 mom. i informationshanteringslagen, enligt vilka 39 § i förvaltningslagen ska tillämpas på förfarandet vid inspektioner.  

Grundlagsutskottet har ansett att respekten för de grundläggande fri- och rättigheterna, rättssäkerheten och kraven på god förvaltning kan tryggas med hjälp av de berörda personernas kompetens och lämplighet (GrUU 5/2006 rd, s. 8/I, GrUU 67/2002 rd, s.5/I–II och GrUU 2/2002 rd, s. 2/II). Dessutom ska den offentliga tillsynen över dem som sköter uppgifterna vara ändamålsenlig (GrUU 2/2002 rd, s. 2, GrUU 5/2006 rd, s. 8, och RP 1/1998 rd, s. 179/II). I 29 § 2 mom. i den föreslagna cybersäkerhetslagen och i 18 j § 2 mom. i informationshanteringslagen föreskrivs det att inspektören ska ha den utbildning och erfarenhet som behövs för inspektionen. Detta behörighetskrav gäller också ett sådant bedömningsorgan för informationssäkerhet och en sådan utomstående expert som kan anlitas för att bistå vid en inspektion med stöd av 29 § 2 mom. Grundlagsutskottet har i fråga om respekten för de grundläggande fri- och rättigheterna, kraven på rättssäkerhet och god förvaltning ansett att inspektionerna ska utföras i enlighet med de allmänna förvaltningslagarna och att de som behandlar ärendena handlar under tjänsteansvar (GrUU 20/2006 rd, s. 2, GrUU 46/2002 rd, s. 9, GrUU 33/2004 rd, s. 7/II, GrUU 11/2006 rd, s. 3). Enligt 29 § 1 mom. i den föreslagna cybersäkerhetslagen och 18 k § 3 mom. i informationshanteringslagen ska bestämmelserna om straffrättsligt tjänsteansvar tillämpas på utomstående experter och anställda hos godkända bedömningsorgan när de sköter offentligrättsliga förvaltningsuppgifter som getts i enlighet med ifrågavarande paragraf. Det är numera inte nödvändigt att med anledning av 124 § i grundlagen ta in en hänvisning till de allmänna förvaltningslagarna i lagen, om det av förslaget klart framgår att de allmänna förvaltningslagarna tillämpas på verksamhet som avses i 124 § i grundlagen (GrUU 20/2006 rd, s. 2). De allmänna förvaltningslagarna tillämpas när det är fråga om aktörer som avses i 4 § 2 mom. i offentlighetslagen. 

Enligt 124 § i grundlagen får uppgifter som innebär betydande utövning av offentlig makt ges endast myndigheter. I 29 § i den föreslagna cybersäkerhetslagen och i 18 k § i informationshanteringslagen är det inte fråga om betydande utövning av offentlig makt. Grundlagsutskottet har i sina utlåtanden ansett att som betydande utövning av offentlig makt kan betraktas till exempel ingrepp i de grundläggande fri- och rättigheterna (RP 1/1998 rd, s. 179/II, GrUU 28/2001 rd, s. 5), på självständig prövning baserad användning av maktmedel (RP 1/1998 rd, s. 180/I, GrUU 28/2001 rd, s. 5) och inspektionsbefogenheter som gäller hemfridsskyddade platser (GrUU 40/2002 rd, s.3/II, GrUU 46/2001 rd, s.3/II). Utomstående inspektörer kan åtminstone inte förordnas att ensamma göra inspektioner i hemfridsskyddade lokaler (GrUU 29/2013 rd, s. 2). Grundlagsutskottets utlåtandepraxis har beaktats i 29 § 3 mom. i förslaget och i 18 j § 3 mom. i informationshanteringslagen, enligt vilka en inspektör ska ges tillträde till andra utrymmen än sådana som används för boende av permanent natur.  

På de grunder som anförts ovan bedöms förslaget om anlitande av utomstående experter vid inspektion inte stå i strid med 124 § i grundlagen. 

12.3  Näringsfrihet

Aktörernas skyldighet att anmäla sig hos tillsynsmyndigheten

I propositionen ingår ett förslag till skyldighet för aktörer som omfattas av tillämpningsområdet att lämna tillsynsmyndigheten de uppgifter som avses i 45 § i cybersäkerhetslagen för förande av en förteckning över aktörer. I förslaget till 165 § i lagen om tjänster inom elektronisk kommunikation föreskrivs det dessutom mer detaljerat än för närvarande om de uppgifter som registraren ska lämna innan verksamheten inleds. Förslagen innebär i praktiken att en aktör som omfattas av tillämpningsområdet är skyldig att underrätta tillsynsmyndigheten om sin verksamhet. Bestämmelserna är därför av betydelse med tanke på näringsfriheten enligt 18 § i grundlagen.  

Genomförandet av NIS 2-direktivet förutsätter att de uppgifter som omfattas av anmälningsskyldigheten samlas in hos dessa aktörer. Genom anmälningsskyldigheten informeras tillsynsmyndigheten dessutom om vilka aktörer som omfattas av tillämpningsområdet för cybersäkerhetslagen och gör det möjligt att rikta tillsynen till dessa aktörer.  

Enligt 41 § i cybersäkerhetslagen ska aktörerna lämna tillsynsmyndigheten de uppgifter som anges i paragrafens 2 mom. a–g punkt för förande av en förteckning över aktörer. Utöver dessa uppgifter ska leverantörer av DNS-tjänster, den som förvaltar ett toppdomänsregister, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leveransleverans av innehåll, leverantörer av utlokaliserade driftstjänster, leverantörer av utlokaliserade säkerhetstjänster samt tillhandahållare av internetbaserade marknadsplatser, leverantörer av sökmotorer och leverantörer av plattformar för sociala nätverkstjänster lämna tillsynsmyndigheten de uppgifter som avses i 41 § 3 mom. a–c punkten: I 3 mom. föreskrivs det dessutom om aktörens skyldighet att anmäla ändringar och om tillsynsmyndighetens rätt att meddela närmare föreskrifter om rapporteringen av uppgifter. Tillsynsmyndigheten för en förteckning över aktörerna utifrån anmälningarna.  

Grundlagsutskottet har i sitt utlåtande GrUU 54/2002 rd ansett att bestämmelser om anmälningsskyldighet i sig inte utgör något problem ur näringsfrihetssynpunkt, i synnerhet inte då myndigheten inte förväntas fatta några beslut med anledning av anmälan. I den föreslagna anmälningsskyldigheten är det fråga om en situation av detta slag. Å andra sidan har grundlagsutskottet i sin utlåtandepraxis ansett att skyldigheten att anmäla verksamheten hos tillsynsmyndigheten och att lämna uppgifter till tillsynsmyndigheten i en situation där underlåtelse att göra anmälan leder till negativa konsekvenser ofta kan jämställas med tillståndsplikt och således innebära ett ingrepp i näringsfriheten (GrUU 45/2001 rd). Anmälningsskyldighet är dock en skyldighet som lindrigare ingriper i näringsfriheten än tillståndsplikt. Grundlagsutskottet har inte ansett att anmälningsplikt är problematisk med tanke på näringsfriheten, när en försummelse i detta avseende inte innebär ett förbud att bedriva näringsverksamhet (GrUU 16/2009 rd) eller när myndigheten inte förväntas fatta något beslut med anledning av anmälan (GrUU 54/2002 rd).  

I propositionen åläggs aktören skyldighet att till myndigheten lämna de uppgifter som krävs när den omfattas av anmälningsskyldigheten enligt NIS 2-direktivet. Anmälan är inte en förutsättning för verksamheten och tillsynsmyndigheten förutsätts inte fatta några beslut med anledning av anmälan. Att inte göra anmälan innebär inte i sig ett förbud mot att tillhandahålla tjänster eller bedriva verksamhet. Försummelse av anmälningsskyldigheten ska dock leda till en administrativ påföljdsavgift, och tillsynsmyndigheten har rätt att förordna att försummelsen ska avhjälpas med stöd av vite eller hot om avbrytande. Dessutom ska tillsynsmyndigheten ytterst ha rätt att utöva andra lagstadgade befogenheter för att rätta till ett lagstridigt förfarande, till exempel underlåtelse att lämna in en anmälan. Den föreslagna anmälningsskyldigheten innebär en begränsning av näringsfriheten och förslaget ska uppfylla de allmänna kraven på en lag som begränsar de grundläggande fri- och rättigheterna, såsom kraven på godtagbarhet, exakthet och noggrann avgränsning (GrUU 58/2014 rd, s. 5, GrUU 19/2009 rd, s. 2). Enligt grundlagsutskottet ska det finnas godtagbara och vägande skäl att begränsa näringsfriheten (GrUU 15/2008 rd, s. 2). I förslaget är det fråga om genomförande av NIS 2-direktivet till den del det är förpliktande, vilket inte inbegriper nationellt handlingsutrymme. Syftet med propositionen är att stärka cybersäkerheten i fråga om de typer av aktörer som är väsentliga och viktiga med tanke på samhällets funktion. Avsikten är att stärka förmågan att hantera cybersäkerhetsrisker hos de aktörer som omfattas av tillämpningsområdet och därigenom säkerställa kontinuiteten i kritiska samhällsfunktioner. Det bedöms finnas vägande och godtagbara skäl för att föreskriva om anmälningsskyldighet.  

Aktörernas skyldighet att anmäla sig hos tillsynsmyndigheten och tillsynsmyndighetens skyldighet att föra en förteckning över aktörerna gör det möjligt att övervaka de skyldigheter som åläggs aktörerna samt att vid en omfattande cyberstörning bedöma dess konsekvenser både i Finland och på EU-nivå. Genomförandet av NIS 2-direktivet förutsätter bestämmelser om anmälningsskyldighet. Det förutsätts att bestämmelser om begränsningar är exakta och noggrant avgränsade (GrUU 15/2008 rd, s. 2, GrUU 33/2005 rd, s. 2) och att den centrala innebörden av begränsningarna i näringsfriheten ska framgå av lagen, t.ex. deras omfattning och villkoren (GrUU 19/2009 rd, s. 2). I lagen anges vilka aktörer anmälningsskyldigheten gäller, och de uppgifter som ska anmälas har definierats uttömmande på lagnivå. Dessutom har grundlagsutskottet i sin utlåtandepraxis ansett att myndighetsverksamhet bör vara förutsägbar. Förutsägbarheten i myndighetsverksamheten stöds av att det finns bestämmelser om villkoren för registrering och om registreringens beständighet (GrUU 19/2009 rd, s. 2, GrUU 15/2008 rd, s. 2). Utifrån anmälningarna ska tillsynsmyndigheten föra en förteckning över de aktörer som omfattas av tillämpningsområdet för tillsynsområdet. Grundlagsutskottet har i sin utlåtandepraxis förutsatt att det av lagen framgår att var och en som utövar sådan verksamhet som regleras i lagen ska föras in i registret (GrUU 45/2001 rd). Av den föreslagna 41 § framgår att tillsynsmyndigheten i fråga om sitt tillsynsområde för en aktörsförteckning utifrån de uppgifter som lämnats.  

Bestämmelserna i 41 § i cybersäkerhetslagen och de ändringar som föreslås i 165 § i lagen om tjänster inom elektronisk kommunikation motsvarar de krav som enligt grundlagsutskottets praxis ställs på en bestämmelse som begränsar näringsfriheten. De bedöms därför inte strida mot näringsfriheten enligt 18 § 1 mom. i grundlagen på ett sätt som hindrar att lagförslaget behandlas i vanlig lagstiftningsordning. 

Begränsning av tillståndspliktig verksamhet

I propositionen ingår förslag om begränsning av tillståndspliktig verksamhet och om återkallande av tillstånd. Förslagen om återkallande av tillstånd innebär ändringar i 23 § i lagen om tillsyn över el- och naturgasmarknaden, 8 § i lagen om markstationer och vissa radaranläggningar och 109 § i lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor. Genom förslagen genomförs delvis artikel 32.5 i NIS 2-direktivet, som inte medger nationellt handlingsutrymme. Förslagen är av betydelse med tanke på näringsfriheten enligt 18 § i grundlagen. 

Förslagen om begränsning av tillståndspliktig verksamhet eller återkallande av tillstånd avses endast gälla verksamhet som redan tidigare föreskrivits vara tillståndspliktig. Ändringarna påverkar inte heller villkoren för beviljande av dessa tillstånd, utan det är fråga om ändring eller återkallande av ett redan beviljat tillstånd i en situation där tillståndshavaren inte har fullgjort sina skyldigheter. 

En myndighet kan beviljas befogenhet att begränsa företagens tillståndsenliga verksamhet. Grundlagsutskottet har dock förutsatt att begränsningar i sådana situationer ska stödas av godtagbara och vägande skäl med avseende på de grundläggande fri- och rättigheterna. Grundlagsutskottet har i sina utlåtanden bland annat framfört att till exempel grunder som hänför sig till strävan att garantera stabiliteten på den finansiella marknaden och som därmed också skyddar kunderna talar för reglering som innebär kraftfulla ingrepp i det grundlagsskyddade egendomsskyddet och den grundlagsskyddade näringsfriheten (t.ex. GrUU 43/2004 rd, s.2/I eller GrUU 35/2014 rd, s. 3). Det nu aktuella förslaget gäller hantering av cybersäkerhetsrisker i tjänster som är kritiska med tanke på samhällets funktion och säkerställandet av kontinuiteten i dessa tjänster, så det bedöms att det finns vägande och godtagbara skäl för att begränsa tillståndspliktig verksamhet på det föreslagna sättet.  

Återkallande av tillstånd har i samband med reglering av näringsverksamhet ansetts vara en åtgärd som ingriper kraftigare i individens rättsliga ställning än till exempel avslag på en ansökan om tillstånd. Därför är det nödvändigt att koppla återkallande av tillstånd till allvarliga eller väsentliga förseelser eller försummelser samt till att eventuella anmärkningar eller varningar till tillståndshavaren eller en skälig tidsfrist för att avhjälpa bristen eller försummelsen inte har lett till att bristerna i verksamheten har korrigerats (t.ex. GrUU 13/2014 rd, s. 3, eller GrUU 34/2012 rd, s. 2). Propositionens förslag om återkallande av tillstånd är bundna till väsentliga försummelser av skyldigheterna enligt cybersäkerhetslagen; det kan till exempel innebära att aktören inte alls har utarbetat någon sådan handlingsmodell för hantering av cybersäkerhetsrisker som avses i 8 § i samma lag. En ytterligare förutsättning är att försummelsen är i den mening upprepad att en anmärkning eller varning från myndigheten inte har lett till korrigerande åtgärder. Återkallande av tillstånd är en sista utväg i förhållande till andra tillsynsbefogenheter, dvs. före det ska myndigheten försöka ingripa i försummelsen med lindrigare metoder.  

Utifrån det som sägs ovan anses förslaget om begränsning av tillståndspliktig verksamhet inte stå i strid med grundlagen. 

Begränsning av ledningens verksamhet

Enligt 32 § i lagförslag 1 kan tillsynsmyndigheten genom ett beslut förbjuda en person att vara ledamot eller ersättare i styrelsen, ledamot eller ersättare i förvaltningsrådet, verkställande direktör eller i annan därmed jämförbar ställning hos en väsentlig aktör, om personen upprepade gånger och allvarligt har brutit mot skyldigheterna i 10 §. Beslutet kan vara i kraft högst så länge som den brist eller försummelse som ligger till grund för beslutet inte har avhjälpts, dock högst fem år. Genom förslaget genomförs NIS 2-direktivets artikel 32.5 om befogenheter för tillsynsmyndigheten. Förslaget är relevant för näringsfriheten, som tryggas i 18 § i grundlagen. Det föreskrivs där att var och en i enlighet med lag har rätt att skaffa sig sin försörjning genom arbete, yrke eller näring som han eller hon valt fritt.  

Bestämmelser om begränsning av ledningens verksamhet har stiftats med grundlagsutskottets medverkan (GrUU 67/2002 rd, s. 3 och GrUU 28/2008, s. 2). Enligt grundlagsutskottets utlåtandepraxis ska ett verksamhetsförbud grunda sig på lag, det ska finnas en godtagbar grund för det och bestämmelserna om det ska vara exakta. (GrUU 16/2003 rd, s. 3, GrUU 67/2002 rd, s. 3, GrUU 52/2001 rd, s. 4). 

Bestämmelser om begränsning av ledningens verksamhet ska i enlighet med grundlagsutskottets utlåtandepraxis utfärdas på lagnivå. Bestämmelser om detta finns i 32 § i lagförslag 1. Grundlagsutskottet har förutsatt att det ska finnas en godtagbar grund för en bestämmelse som begränsar ledningens verksamhet. Grunden för förslaget i lagförslag 1 är genomförandet av en EU-bestämmelse som är förpliktande för Finland och som syftar till att förbättra motståndskraften mot störningar hos de aktörer som är väsentliga med tanke på samhällets funktion. NIS 2-direktivet förutsätter att aktörens ledning personligen ansvarar för att aktören fullgör sina riskhanterings- och rapporteringsskyldigheter i fråga om cybersäkerheten samt att det finns möjlighet att förbjuda att en person utövar ledningsfunktioner hos en väsentlig aktör, om aktören trots en varning inte inom en skälig tid avhjälper bristen eller försummelsen att iaktta bestämmelserna. Om en aktörs ledning upprepade gånger och allvarligt handlar i strid med en lagstadgad skyldighet, ska enligt förslaget ledningens verksamhet kunna begränsas. Begränsningen gäller fysiska personers verksamhet i vissa ledande uppgifter hos en enskild aktör. Syftet med bestämmelsen är att göra de åtgärder som anges i lagen effektivare och mer avskräckande.  

Grundlagsutskottet har i sina utlåtanden betonat att en omständighet som stärker grundlagsenligheten är att förbudsmöjligheten bara kan omfatta ett fåtal uppgifter och att målgruppen för regleringen är snäv (GrUU 52/2001 rd, s. 4, GrUU 16/2003 rd, s. 3). I lagförslaget begränsas möjligheten att begränsa ledningens verksamhet så att den endast kan gälla aktörens högsta ledning, det vill säga de personer som definieras i 32 § i lagförslaget. Förbudet är inte heller ett allmänt förbud, utan gäller endast en fysisk persons verksamhet i den högsta ledningen för en viss aktör. Förbudet begränsar inte en fysisk persons övriga näringsutövning eller möjligheter att utöva ett yrke som han eller hon själv väljer. En förutsättning är dessutom att förfarandet tillämpas i sista hand. Tillsynsmyndigheten ska innan den fattar ett beslut ge den väsentliga aktören en varning samt reservera en skälig tid för att avhjälpa bristen eller försummelsen. Dessa villkor säkerställer att ledningens verksamhet endast kan begränsas i sista hand och undantagsvis.  

Med tanke på begränsning av näringsfriheten lindras konsekvenserna av ett förbud också av att en person som är föremål för förbudet har möjlighet att söka sig till andra uppgifter i samma eller en annan organisation. Förbudet kommer dessutom inte att gälla enskilda näringsidkare eller personbolag, det vill säga öppna bolag eller kommanditbolag där en enskild näringsidkare eller bolagsmännen i ett personbolag personligen ansvarar för bolagets skulder. Det faktum att möjligheten att begränsa ledningens verksamhet avgränsas till att gälla endast vissa personer som anges i bestämmelsen när det är fråga om allvarliga och upprepade överträdelser av skyldigheten enligt 10 § stöder grundlagsutskottets krav på att bestämmelserna ska vara exakta och stärker regleringens grundlagsenlighet. Åtgärden kan riktas endast mot en väsentlig aktör, det vill säga en aktör som definierats som ytterst kritisk med tanke på samhällets funktion. 

12.4  Egendomsskydd

I 30 § i cybersäkerhetslagen föreskrivs det om tillsynsmyndighetens rätt att genom ett beslut ålägga en aktör att genomföra en säkerhetsrevision som gäller hanteringen av cybersäkerhetsrisker. Tillsynsmyndigheten har dessutom rätt att få information om resultaten av den utförda revisionen samt att ålägga aktören att vidta sådana rimliga och proportionella åtgärder för att utveckla hanteringen av cybersäkerhetsrisker som revisionen rekommenderar. Förslaget är betydelsefullt med tanke på egendomsskyddet enligt 15 § i grundlagen, eftersom fullgörandet av skyldigheten i princip medför kostnader och begränsningar för aktören i fråga om användningen av egendomen. Dessutom kan skyldigheten enligt 2 kap. 7–9 § att hantera cybersäkerhetsrisker medföra kostnader för aktörerna eller ålägga dem att vidta åtgärder som kan vara av betydelse med tanke på egendomsskyddet.  

Enligt 15 § 1 mom. i grundlagen är vars och ens egendom tryggad. Egendomsskyddet omfattar inte bara ägarens rätt att i princip disponera över, använda och utnyttja sin egendom på det sätt som ägaren önskar utan också ägarens rätt att råda över den (GrUU 41/2006 rd, s. 2, GrUU 49/2005 rd, s. 2, GrUU 15/2005 rd, s. 2). Enligt grundlagsutskottets praxis kan ägarens rättigheter begränsas genom lag, förutsatt att regleringen uppfyller de allmänna förutsättningarna för begränsning av de grundläggande fri- och rättigheterna.  

Grundlagsutskottet har ansett att strävan att säkerställa störningsfri radiokommunikation är en godtagbar grund för en begränsning med avseende på de grundläggande fri- och rättigheterna (GrUU 26/2001 rd, s. 4).  

Myndighetens rätt att låta utföra en säkerhetsrevision och förordna om åtgärder och om aktörernas riskhanteringsskyldighet är sådana förslag som genomförandet av NIS 2-direktivets förpliktande tillämpningsområde förutsätter och som inte inbegriper nationellt handlingsutrymme i fråga om miniminivån för skyldigheterna. Syftet med förslaget är att stärka cybersäkerheten i fråga om aktörer som är väsentliga med tanke på samhällets funktion. 

I den föreslagna 30 § föreskrivs det uttömmande om grunderna för förordnande om säkerhetsrevision. Grunder för en säkerhetsrevision kan vara att aktören har drabbats av en betydande incident som har orsakat en allvarlig driftsstörning eller vållat betydande skada eller att aktören väsentligt och allvarligt har försummat sin riskhanteringsskyldighet. Tillsynsmyndigheten kan endast ålägga aktören att vidta sådana skäliga och proportionella åtgärder för att utveckla hanteringen av cybersäkerhetsrisker som säkerhetsrevisionen rekommenderar. Innan tillsynsmyndigheten beslutar om en säkerhetsrevision utnyttjar den sina andra befogenheter för att säkerställa efterlevnaden av lagen. Ett beslut om att låta utföra en säkerhetsrevision eller ett åläggande att vidta åtgärder ska vara ett förvaltningsbeslut som kan överklagas och som tillsynsmyndigheten ska motivera. 

Förslagen bedöms vara exakta och noggrant avgränsade med tanke på de allmänna förutsättningarna för inskränkning av de grundläggande fri- och rättigheterna och bedöms stå i rätt proportion till de mål som propositionen syftar till. Det föreslås att regleringen sker genom lag och den ingriper inte i egendomsskyddets kärnområde. Dessutom finns det möjlighet att söka ändring i besluten. Förslagen anses vara godtagbara med tanke på det i grundlagen tryggade egendomsskyddet. 

12.5  Administrativ påföljdsavgift

I 5 kap. i cybersäkerhetslagen föreskrivs det på det sätt som förutsätts i NIS 2-direktivet om påförande av en administrativ påföljdsavgift för en aktör som uppsåtligen eller av grov oaktsamhet försummar den lagstadgade riskhanteringsskyldigheten, skyldigheten att anmälan en betydande incident eller den lagstadgade anmälan för aktörsförteckningen. Det är fråga om en administrativ påföljd av sanktionskaraktär som påförs för en lagstridig gärning och som kan uppgå till ett betydande belopp. 

Enligt grundlagsutskottets utlåtandepraxis ska de allmänna grunderna för administrativa påföljder i enlighet med 2 § 3 mom. i grundlagen fastställas i lag. Dessutom är det fråga om betydande utövning av offentlig makt, som endast kan anförtros myndigheter. Lagen måste exakt och tydligt föreskriva om grunderna för betalningsskyldigheten och avgiftens storlek, rättsskyddet för den betalningsskyldige och grunderna för verkställigheten av lagen. Utskottet har också ansett att även om kravet på exakthet enligt den straffrättsliga legalitetsprincipen, som framgår av grundlagens 8 §, inte direkt gäller administrativa påföljder kan det allmänna kravet på exakthet ändå inte åsidosättas i ett sådant sammanhang (GrUU 43/2013 rd, GrUU 14/2012 rd, GrUU 32/2012 rd och de utlåtanden som nämns där). 

Grundlagsutskottets hävdvunna tolkning har varit att administrativa påföljdsavgifter är administrativa påföljder av sanktionskaraktär som påförs för en lagstridig gärning. I sak har utskottet i sina utlåtanden jämställt en ekonomisk påföljd av straffkaraktär med en straffrättslig påföljd (GrUU 17/2012 rd s. 5, GrUU 9/2012 rd, s. 2). Påförande av en administrativ påföljdsavgift innebär enligt grundlagsutskottet betydande utövning av offentlig makt (GrUU 34/2012 rd, s. 3, GrUU 17/2012 rd, s. 5, GrUU 9/2012 rd, s. 2). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. Enligt sista meningen i 124 § i grundlagen får uppgifter som innebär betydande utövning av offentlig makt ges endast myndigheter. I förslaget om påförande av påföljdsavgift har grundlagsutskottets utlåtandepraxis beaktats. I lagen ska det på ett exakt, noggrant avgränsat och uttömmande sätt föreskrivas om den gärning eller försummelse som kan ligga till grund för påförande av påföljdsavgift för en aktör. 

Grundlagsutskottet har i sin bedömning av den allmänna dataskyddsförordningen konstaterat att rättssäkerhetsintresset i fråga om administrativa påföljdsavgifter är starkt accentuerat, med hänsyn till att påföljdsavgiften är sträng och har karaktär av sanktion. Grundlagsutskottet förutsatte att beslut om påföljdsavgift för att säkerställa att förfarandet är behörigt, oavhängigt och rättvist på det sätt som krävs i 21 § i grundlagen ska fattas av ett kollegialt organ för att förslaget ska kunna behandlas i vanlig lagstiftningsordning. Dataombudsmannen kan ges i uppdrag att ha hand om utredning, övrig beredning och föredragning innan påföljdsavgiften påförs i ärendet (GrUU 14/2018 rd). 

Av rättssäkerhetsskäl föreslås det i cybersäkerhetslagen en bestämmelse om att påföljdsavgift ska påföras av ett kollegialt organ. Påföljdsavgift ska påföras av påföljdsavgiftsnämnden, som består av medlemmar som utses av tillsynsmyndigheterna. Transport- och kommunikationsverket ska utse nämndens ordförande och vice ordförande. Till nämnden ska varje tillsynsmyndighet utnämna en ledamot och en personlig ersättare för honom eller henne. För utredningen av ett ärende som gäller påförande av påföljdsavgift svarar den tillsynsmyndighet vars tillsynsbehörighet det ärende som ska avgöras gäller, och ärendet föredras av en medlem som utsetts av denna tillsynsmyndighet. Lagförslaget innehåller dessutom bestämmelser om nämndens förtrogenhet med och sakkunskap inom dess arbetsfält samt om nämndens oberoende och opartiskhet. 

Enligt grundlagsutskottet ska förvaltningsmyndigheten vid behandlingen av ett ärende iaktta garantierna för god förvaltning enligt 21 § 2 mom. i grundlagen. Dessa garantier är enligt momentet bland annat offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring. Garantier för god förvaltning ska enligt grundlagen tryggas genom lag. 

Grundlagsutskottet har i sin utlåtandepraxis ansett det vara problematiskt att ärenden i enskilda fall kan avgöras utan föredragning (GrUU 14/2018 rd, s. 18–19). Påföljdsavgiftsnämnden fattar alltid beslut efter föredragning. Enligt grundlagsutskottet ska det lagstiftas exakt och tydligt om grunderna för betalningsskyldigheten och avgiftens storlek, lika väl som om rättsskyddet för den betalningsskyldige och grunderna för verkställigheten av lagen (GrUU 14/2013 rd, s. 2, GrUU 34/2012 rd, s. 3 och GrUU 17/2012 rd, s. 5). Förslagets bestämmelser om dessa omständigheter bedöms hålla en tillräcklig nivå. 

Eftersom påföljdsavgifterna är betydande måste man enligt grundlagsutskottet fästa särskild uppmärksamhet vid kraven på rättssäkerhet (GrUU 14/2018 rd, s. 18). Påföljdsavgiftens belopp grundar sig enligt 37 § på en helhetsbedömning där de omständigheter som anges i paragrafen ska beaktas. I 38 § i föreskrivs om påföljdsavgiftens maximibelopp. Ändring i ett beslut om påföljdsavgift får sökas genom besvär på det sätt som föreskrivs för rättegång i förvaltningsärenden. Ett beslut om påföljdsavgift ska vara verkställbart först när det har vunnit laga kraft, vilket har bedömts trygga adekvata garantier för att rättssäkerheten blir tillbörligen tillgodosedd (GrUU 4/2004 rd, s. 7–8). Grundlagsutskottet har dessutom i sin praxis förutsatt att myndighetens prövning vid beslut om att inte påföra påföljdsavgift ska vara bunden prövning, det vill säga att avgiften inte ska påföras om de villkor som anges i bestämmelsen är uppfyllda (GrUU 49/2017 rd, s. 5, GrUU 39/2017 rd, s. 4). Detta har beaktats i förslagets 39 §, vars syfte enligt specialmotiveringen är att säkerställa att påföljdsavgift inte påförs om den antingen med stöd av de omständigheter som avses i 1 mom. 1 eller 2 punkten eller annars med stöd av någon motsvarande omständighet eller andra omständigheter är uppenbart oskälig. 

Enligt ne bis in idem -regeln får ingen lagföras eller straffas på nytt i en brottmålsrättegång i samma stat för ett brott för vilket han redan har blivit slutligt frikänd eller dömd i enlighet med lagen och rättegångsordningen i denna stat (GrUU 9/2012 rd, s. 3, GrUU 14/2013 rd, s. 2). Enligt Europadomstolens avgörandepraxis omfattar förbudet också administrativa påföljder av straffkaraktär (GrUU 9/2012 rd, s. 3). I propositionens lagförslag 1 har regeln beaktats i 39 § 3 mom., enligt vilket påföljdsavgift inte får påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom. Påföljdsavgift får inte heller påföras den som för samma gärning har påförts en påföljdsavgift enligt den allmänna dataskyddsförordningen.  

En myndighet kan inte påföras en administrativ påföljdsavgift. Grundlagsutskottet har i sin utlåtandepraxis ansett det vara ett främmande förfarande att en administrativ påföljdsavgift kan påföras en myndighet (GrUU 13/2023 rd, GrUU 37/2021 rd och GrUU 14/2018 rd). 

Förslaget om en administrativ påföljdsavgift bedöms motsvara de särskilda, ovan angivna villkor som grundlagen ställer. 

12.6  Allmänna grunder för statliga organ

I 19 § i cybersäkerhetslagen föreskrivs det om CSIRT-enheter som reagerar på och utreder kränkningar av informationssäkerheten. Dessutom föreskrivs det i 36 § om en påföljdsavgiftsnämnd som inrättas i anslutning till Transport- och kommunikationsverket. Nämnden har i uppgift att påföra en administrativ påföljdsavgift på det sätt som föreskrivs i 5 kap. Förslagen är av betydelse med avseende på 119 § 2 mom. i grundlagen, där det föreskrivs att bestämmelser om de allmänna grunderna för statsförvaltningens organ ska utfärdas genom lag, om deras uppgifter omfattar utövning av offentlig makt.  

Enligt förarbetena till grundlagen avses med allmänna grunder för statsförvaltningens organ närmast enhetens namn, bransch och huvudsakliga uppgifter samt dess behörighet (RP 1/1998 rd, s. 174/II). Också en eventuell tidsbegränsning av organets mandattid har ansetts höra till de allmänna grunderna (GrUU 12/2004 rd, s. 3). 

Lagförslagets 19 och 20 § gäller CSIRT-enheten och innehåller bestämmelser om de krav som ställs på enheten samt dess uppgifter och placering vid Transport- och kommunikationsverket. CSIRT-enhetens verksamhet ska ordnas separat från Transport- och kommunikationsverkets tillsynsfunktion. 

Den föreslagna bestämmelsen om påföljdsavgiftsnämnden innehåller allmänna grunder som gäller påföljdsavgiftsnämndens uppgifter, hur dess ledamöter utses, dess beslutsförfarande och mandatperiodens längd.  

De föreslagna bestämmelserna anses uppfylla det som förutsätts i 119 § 2 mom. i grundlagen, dvs. att de allmänna grunderna för statsförvaltningens organ ska regleras genom lag. 

12.7  Delegering av lagstiftningsbehörighet

Statsrådets förordning om bestämmande av de aktörer som omfattas av tillämpningsområdet

Enligt 3 § 4 mom. i förslaget till cybersäkerhetslag kan kriterierna i 3 mom. 1–4 punkten preciseras genom förordning av statsrådet. Enligt kriterierna kan en aktör som bedriver verksamhet enligt bilaga I eller II undantagsvis omfattas av lagens tillämpningsområde, även om den är mindre än ett medelstort företag. Förslaget är av betydelse med avseende på 80 § i grundlagen. 

Enligt 80 § 1 mom. i grundlagen kan republikens president, statsrådet och ministerierna utfärda förordningar med stöd av ett bemyndigande i grundlagen eller i någon annan lag. Genom lag ska dock utfärdas bestämmelser om grunderna för individens rättigheter och skyldigheter samt om frågor som enligt grundlagen i övrigt hör till området för lag. 

En delegering av lagstiftningsbehörighet är lagtekniskt nödvändig, eftersom det är fråga om en detaljerad precisering av de lagstadgade kriterierna i syfte att precisera EU-rättsaktens förpliktande tillämpningsområde. På lagnivå föreskrivs det om grunderna för rättigheter och skyldigheter, det vill säga om specificerande och uttömmande kriterier. Om dessa kriterier uppfylls omfattas en aktör som bedriver verksamhet enligt eller som är en sådan typ av aktör som avses i bilaga I eller II av tillämpningsområdet oberoende av storlek. Genom bemyndigandet att utfärda förordning kan kriterierna inte utvidgas jämfört med det som föreskrivs i lagen. Kriterierna kan dock förtydligas och preciseras, eftersom det för en enskild aktörs del kan bli svårt att bedöma om kriterierna uppfylls utgående från den information som det enskilda företaget har tillgång till. En precisering av de kriterier som avses i 3 mom. genom förordning av statsrådet förtydligar också rättsläget för andra företag än de som omfattas av tillämpningsområdet, dvs. företag som bedriver sådan verksamhet som avses i bilaga I eller II eller är av den typ av aktörer som avses i dem, men som underskrider definitionen av medelstort företag. Det kan för sådana företag bli juridiskt svårt, med de uppgifter som företaget har tillgång till och med beaktande av kriterierna, att bedöma om det är frågan om en sådan situation som avses i 3 mom. 1–4 punkten, i det fall att punkterna inte preciseras. Dessutom gäller denna osäkerhet en mycket stor grupp finländska små företag och mikroföretag. Om de kriterier som avses i 3 mom. inte preciseras genom förordning av statsrådet skulle det osäkra läget leda till onödig administrativ börda för små företag och mikroföretag. Med beaktande av arten av kriterierna är det dessutom sannolikt att det sker förändringar hos de aktörer som omfattas av dem när verksamhetens art eller omfattning ändras eller när verksamheten upphör.  

Bestämmelser om partiell tillämpning av lagen eller om innehållet i de rättigheter och skyldigheter som föreskrivs i lagen får inte utfärdas genom förordning av statsrådet. Kriterierna ges uttömmande på lagnivå. För att en aktör ska omfattas av lagens tillämpningsområde med stöd av 3 mom. ska aktören för det första bedriva sådan verksamhet som avses i bilaga I eller II eller vara en sådan typ av aktör som avses i bilaga I eller II till lagen. En ytterligare förutsättning är att det för aktörens del är fråga om minst en av de situationer som avses i 1–4 punkten. De föreslagna 1–4 punkterna motsvarar artikel 2.2 b–e i NIS 2-direktivet och förteckningen är uttömmande. Vid tillämpningen av bemyndigandet att utfärda förordning bör man också beakta kommissionens riktlinjer om genomförandet av de kriterier som ska tillämpas på mikroföretag och små företag för att bedöma om de omfattas av tillämpningsområdet för NIS 2-direktivet, om sådana riktlinjer har getts. 

Grundlagsutskottet har konstaterat att det genom förordning kan föreskrivas exempelvis om att televerksamhet som är av ringa betydelse med tanke på tillämpningen av lagen ska undantas från lagens tillämpningsområde, när förordningsutfärdarens befogenhet har begränsats i tillräcklig omfattning (GrUU 8/2002 rd, s. 3; se även GrUU 14/2005 rd, s. 3). 

Grunden för bemyndigandet att utfärda förordning föreskrivs i lag och bemyndigandet är tydligt och uppfyller kraven på exakthet och noggrann avgränsning. Därför bedöms det att förslaget motsvarar villkoren i 80 § 1 mom. i grundlagen för bemyndigande att utfärda förordning så att det genom lag föreskrivs om grunderna för individens rättigheter och skyldigheter, och att en detaljerad och teknisk precisering av kriterierna kan göras genom förordning av statsrådet. 

Bemyndigande att meddela föreskrifter

Enligt 80 § 2 mom. i grundlagen kan även andra myndigheter genom lag bemyndigas att utfärda rättsnormer i bestämda frågor, om det med hänsyn till föremålet för regleringen finns särskilda skäl och regleringens betydelse i sak inte kräver att den sker genom lag eller förordning. Tillämpningsområdet för ett sådant bemyndigande ska enligt grundlagen vara exakt avgränsat. Ett särskilt skäl att föreskriva om en myndighets normgivningsrätt är exempelvis en teknisk reglering av smärre detaljer (GrUU 52/2001 rd, GrUU 46/2001 rd) som inte inbegriper prövningsrätt i någon större utsträckning (GrUU 43/2000 rd). De omständigheter som ett bemyndigande att utfärda rättsnormer omfattar ska noggrant anges i lagen och bemyndigandets tillämpningsområde ska vara exakt avgränsat (RP 1/1998 rd). 

Med stöd av 9 § 4 mom. i cybersäkerhetslagen får tillsynsmyndigheten meddela närmare tekniska föreskrifter om sektorsspecifika särdrag som ska beaktas vid hanteringen av cybersäkerhetsrisker samt om beaktandet av resultaten av de på unionsnivå samordnade riskbedömningarna av kritiska leveranskedjor i den sektorsspecifika riskhanteringen. Dessutom finns det i 11 § 5 mom. i den föreslagna cybersäkerhetslagen ett bemyndigande för tillsynsmyndigheten att meddela föreskrifter. Med stöd av det momentet kan tillsynsmyndigheten inom sitt ansvarsområde meddela närmare tekniska föreskrifter för att precisera typen av information i och det tekniska formatet och förfarandet för anmälningar, underrättelser, information eller rapporter som lämnas med stöd av 11–15 §. Det är fråga om specificerade tekniska detaljer som hänför sig till den rapportering av incidenter som föreskrivs i lagen samt om att anpassa dessa till kommissionens genomförandeakter. Ett tredje bemyndigande för tillsynsmyndigheten att meddela föreskrifter finns i 41 § 4 mom. i den föreslagna cybersäkerhetslagen. Enligt bemyndigandet kan tillsynsmyndigheten meddela närmare tekniska föreskrifter om hur uppgifterna i förteckningen över aktörer ska lämnas. Förslagen är av betydelse med tanke på 80 § 2 mom. i grundlagen. 

Enligt grundlagens 80 § 2 mom. kan en myndighet genom lag bemyndigas att utfärda rättsnormer bara i bestämda frågor . Tillämpningsområdet för ett sådant bemyndigande ska dessutom vara exakt avgränsat . Enligt förarbetena till grundlagen (RP 1/1998 rd, s. 133) är kravet på att en myndighet ska bemyndigas att meddela föreskrifter i bestämda frågor längre gående än det allmänna kravet på exakt avgränsning (även GrUU 24/2002 rd, s. 3). Grundlagens krav har beaktats i förslaget genom att de sektorsspecifika tekniska omständigheter som tillsynsmyndigheten med stöd av paragrafen får meddela närmare föreskrifter om specificeras och förtecknas uttömmande och exakt i 9 § 4 mom. och 11 § 5 mom. I 41 § i förslaget gäller bemyndigandet att meddela föreskrifter hur uppgifter ska lämnas, vilket till sin karaktär är en teknisk och noggrant avgränsad omständighet. Bemyndigandena att meddela föreskrifter är till sin karaktär teknisk reglering och genom dem kan det inte utfärdas allmänna rättsnormer om frågor som på grund av sin betydelse ska regleras genom lag eller förordning. Grundlagsutskottet har i ett utlåtande ansett att exempelvis Kommunikationsverket är en sådan myndighet som kan ges rätt att meddela föreskrifter (bl.a. GrUU 9/2004 rd, s. 8).  

Bemyndigande att utfärda rättsnormer kan enligt grundlagsutskottets betänkande (GrUB 10/1998 rd, s.22/I) endast undantagsvis delegeras till en lägre myndighetsnivå än ett ministerium. I förarbetena till grundlagen (RP 1/1998 rd, s.134/I) identifieras behovet av att göra det möjligt för andra myndigheter att utfärda rättsnormer om detaljer som är mindre betydande med tanke på regleringen som helhet. Bestämmelsen i 80 § 2 mom. i grundlagen förutsätter särskilda skäl i anknytning till ett bemyndigande att meddela föreskrifter. Enligt grundlagspropositionen (RP 1/1998 rd, s. 134/I) kan ett särskilt skäl anses föreligga närmast när det är fråga om en sådan teknisk reglering av smärre detaljer som inte inbegriper prövningsrätt i någon större utsträckning. Grundlagsutskottet har dessutom ansett att de särskilda yrkesmässiga särdragen hos den reglerande verksamheten är sådana särskilda skäl som avses i 80 § 2 mom. i grundlagen (GrUU 17/2004 rd, s. 3, GrUU 16/2003 rd, s. 3, GrUU 24/2002 rd, s. 3). Grundlagsutskottet har inte ansett att ett bemyndigande om tekniska detaljer är problematiskt med tanke på grundlagen (GrUU 17/2004 rd, s. 3–4, GrUU 16/2003 rd, s. 3). De bemyndiganden att meddela föreskrifter som föreslås för myndigheten är av teknisk natur. Detta framgår av ordalydelsen i 9 § 4 mom., 11 § 5 mom. och 41 § 5 mom., enligt vilka tillsynsmyndigheten inom sitt behörighetsområde får meddela närmare tekniska föreskrifter. Förslagen anses uppfylla de särskilda villkor som beskrivs ovan.  

Avsikten med bemyndigandena är att ge myndigheterna möjlighet att precisera tillämpningen av lagen genom att meddela tekniska föreskrifter om de omständigheter som anges i bestämmelserna. Bemyndigandena att meddela föreskrifter är noggrant avgränsade och gäller detaljer som är mindre betydande med tanke på regleringen som helhet. Ett bemyndigande att meddela föreskrifter om tekniska frågor gör det dessutom möjligt att beakta sektorsspecifika särdrag och att samordna regleringen med de genomförandeakter som kommissionen antar med stöd av artiklarna 21 eller 23 i NIS 2-direktivet. De skäl för att i enlighet med förslaget bemyndiga en myndighet att utfärda föreskrifter är sådana särskilda skäl som avses i 80 § 2 mom. i grundlagen Regeringen anser att de föreslagna bemyndigandena att utfärda föreskrifter är förenliga med 80 § 2 mom. i grundlagen.  

12.8  Offentlighetsprincipen

I 12 § 2 mom. i grundlagen föreskrivs det om offentlighetsprincipen. Enligt bestämmelsen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. 

I förarbetena till grundlagen (RP 309/1993 rd, s. 62/I) betonas det att offentlighetsprincipen hör samman med de grundläggande politiska fri- och rättigheterna, särskilt med yttrandefriheten, och att tryggandet av en tillräcklig offentlighet är en förutsättning för individens möjlighet att inverka på och delta i den samhälleliga verksamheten. Offentligheten är också en förutsättning för kritik och övervakning av maktutövningen och myndigheternas verksamhet. I förarbetena konstateras det också att man ibland måste avvika från offentligheten på grund av olika viktiga intressen, såsom affärshemligheter och intressen som hänför sig till nationens säkerhet. Grundlagsutskottet har ansett att offentlighet är regel och att denna princip ska kunna begränsas endast genom lag och endast av nödvändiga skäl. Grundlagsutskottet har ansett att sekretesskyldigheten ska uppfylla tre villkor: (1) sekretessen grundar sig på tvingande skäl och (2) sekretessgrunderna fastställs genom en bestämmelse på lagnivå genom vilken 3) offentligheten begränsas särskilt (GrUB 25/1994 rd, s. 9, och GrUU 43/1998 rd, s. 2–3). 

I 28 § 2 mom. i cybersäkerhetslagen och i det föreslagna 18 i § 2 mom. i informationshanteringslagen ingår en bestämmelse som är av betydelse med tanke på offentlighetsprincipen. Med stöd av momentet ska viss information som tillsynsmyndigheten begär av aktören vara sekretessbelagd. Grunden för sekretessen är att skydda det rättsobjekt som hänför sig dels till integritetsskyddet i anslutning till informationen, dels till skyddet för förtroliga meddelanden. Sekretessen gäller inte offentlighetsprincipens kärnområde, utan bestämmelsen om sekretess är exakt och noggrant avgränsad samt nödvändig med tanke på ett viktigt intresse. Regeringen anser att de föreslagna bestämmelserna är förenliga med 12 § 2 mom. i grundlagen. 

12.9  Vissa statliga organs och myndigheters ställning

I artikel 2 i NIS 2-direktivet föreskrivs det om minimitillämpningsområde i fråga om offentliga förvaltningsentiteter (dvs. aktörer enligt den föreslagna lagstiftningen). Enligt artikel 2.2 f ska direktivet tillämpas, om entiteten är en offentlig förvaltningsentitet i) på statlig nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt, eller ii) på regional nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt, som enligt en riskbaserad bedömning tillhandahåller tjänster vars störning kan ha en betydande effekt på kritisk samhällelig eller ekonomisk verksamhet.  

Med offentlig förvaltningsentitet avses enligt artikel 6.35 i direktivet ”en entitet som erkänts som sådan i en medlemsstat i enlighet med nationell rätt, med undantag för rättsväsendet, parlament och centralbanker, som uppfyller följande kriterier: 

Den har inrättats för att tillgodose behov i det allmännas intresse och har inte industriell eller kommersiell karaktär. 

Den har ställning som juridisk person eller har lagstadgad rätt att agera för en annan entitet som har ställning som juridisk person. 

Den finansieras till största delen av staten, regionala myndigheter eller andra offentligrättsliga organ, står under administrativ tillsyn av dessa myndigheter eller organ, eller har ett förvaltnings-, lednings- eller kontrollorgan där mer än hälften av ledamöterna utses av staten, regionala myndigheter eller andra offentligrättsliga organ. 

Den har befogenhet att rikta administrativa eller reglerande beslut till fysiska eller juridiska personer som påverkar deras rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital.” 

Enligt artikel 2.7 i NIS 2-direktivet är direktivet inte tillämpligt på offentliga förvaltningsentiteter som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott.  

I artikel 31.4 i NIS 2-direktivet sägs det att utan att det påverkar de nationella rättsliga och institutionella ramarna ska medlemsstaterna säkerställa att de behöriga myndigheterna, vid tillsynen av de offentliga förvaltningsentiteternas efterlevnad av detta direktiv och införandet av efterlevnadskontrollåtgärder vid överträdelser av detta direktiv, har lämpliga befogenheter att utföra dessa uppgifter och är operativt oberoende i förhållande till de offentliga förvaltningsentiteter som övervakas. Medlemsstaterna får besluta att införa lämpliga, proportionella och effektiva tillsyns- och efterlevnadskontrollåtgärder med avseende på dessa entiteter i enlighet med de nationella rättsliga och institutionella ramarna. 

När tillämpningsområdet för 4 a kap. i informationshanteringslagen, som gäller genomförandet av NIS 2-direktivet inom den offentliga förvaltningen, och tillsynsmyndighetens behörighet avgränsats av konstitutionella skäl, har man i stor utsträckning följt samma regleringssätt som man kom fram till med anledning av grundlagsutskottets utlåtande om tillämpningen av den allmänna dataskyddsförordningen och dataskyddslagen (GrUU 14/2018 rd). NIS 2-direktivet ger något större handlingsutrymme vid den nationella tillämpningen än den allmänna dataskyddsförordningen. 

Enligt utgångspunkten i det föreslagna 3 § 1 mom. i informationshanteringslagen ska lagen, inklusive den föreslagna regleringen i 4 a kap. som grundar sig på NIS2-direktivet, tillämpas på de myndigheter som avses i 4 § 1 mom. i offentlighetslagen, det vill säga också på riksdagens ämbetsverk samt på justitiekanslern i statsrådet och riksdagens justitieombudsman. Informationshanteringslagens 4 a kap. ska dock tillämpas på riksdagens ämbetsverk på det sätt som framgår av 4 § 1 mom. 6 punkten i offentlighetslagen och dess motivering, eftersom begreppet ”parlament” i artikel 6.35 i direktivet syftar på folkrepresentationen, i Finland riksdagen och riksdagsarbetet. Också grundlagsutskottet har i sitt utlåtande GrUU 14/2018 rd om propositionen med förslag till dataskyddslag konstaterat att utskottet i princip inte ser något hinder för att de allmänna lagarna om förvaltningen också gäller riksdagens ämbetsverk. Offentlighetslagen tillämpas inte på riksdagens eller dess organs verksamhet, utan i deras fall bestäms offentligheten enligt grundlagen och riksdagens arbetsordning. Offentlighetslagen tillämpas alltså inte på verksamheten i riksdagens plenum och utskott. (Olli Mäenpää: Julkisuusperiaate, Helsinki 2020, s. 135.) Det betyder att inte heller informationshanteringslagen eller dess 4 a kap. tillämpas på riksdagsarbetet. 

Det föreslagna 4 a kap. ska med stöd av de föreslagna undantagen i 3 § 3 mom. inte tillämpas på republikens presidents kansli eller på domstolar eller nämnder som inrättats för att behandla besvärsärenden, om myndigheten inte betraktas som en kritisk aktör. När det gäller domstolar och nämnder som inrättats för att behandla besvärsärenden grundar sig avgränsningen på artikel 6.35 i NIS 2-direktivet. När det gäller republikens presidents kansli har det vid beredningen ansetts att kansliet inte hör till direktivets obligatoriska tillämpningsområde, även om en aktör av denna typ inte uttryckligen nämns i undantagen från direktivets tillämpningsområde. Undantagen i direktivet gäller förvaltningsmyndigheter på statlig nivå, och dessutom har det lämnats nationellt handlingsutrymme vid tillämpningen genom en hänvisning till definitionen av en offentlig förvaltningsaktör på statlig nivå enligt medlemsstatens nationella lagstiftning. När det gäller republikens presidents kansli grundar sig det uttryckliga undantaget i fråga om NIS 2-bestämmelserna på republikens presidents ställning som statsorgan och överbefälhavare för Finlands försvarsmakt samt på uppgifterna vid republikens presidents kansli när det gäller att bistå republikens president (2 § i lagen om republikens presidents kansli). Republikens presidents kansli kan inte heller betraktas som en sådan statlig centralförvaltningsmyndighet som avses i 119 § i grundlagen och det är inte heller klart om kansliet har sådan befogenhet som avses i artikel 6.35 d i NIS 2-direktivet.  

Enligt det föreslagna 3 § 4 mom. i informationshanteringslagen ska den i NIS 2-direktivet avsedda tillsynsmyndighetens, dvs. för den offentliga förvaltningens del Transport- och kommunikationsverket, tillsynsbefogenheter eller rätt att få information och utföra inspektioner inom tillsynsmyndighetens ansvarsområde inte tillämpas på riksdagens justitieombudsmans eller justitiekanslerns i statsrådet verksamhet. Tillsynsbefogenheterna ska inte heller tillämpas på republikens presidents kansli eller på rättskipningen vid domstolar eller nämnder som har inrättats för att behandla besvärsärenden i det fall att 4 a kap. tillämpas på dem i egenskap av aktörer som med stöd av lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft har definierats som en kritisk aktör inom den offentliga förvaltningen. Begränsningarna av tillsynsbefogenheterna beror huvudsakligen på vissa till den offentliga sektorn hörande organisationers grundlagsfästa ställning, som innebär att till statens centralförvaltning hörande myndigheters styrningsbefogenheter inte kan utsträckas till dessa organisationers interna förvaltning (t.ex. GrUU 46/2010 rd och GrUU 14/2018 rd).  

I fråga om dessa myndigheter har skyldigheten att anmäla sig som aktör (18 a § i informationshanteringslagen) och skyldigheten att underrätta den myndighet som utövar tillsyn över betydande incidenter (18 d §) inte uteslutits i det föreslagna 3 § 4 mom. i informationshanteringslagen. Dessa bestämmelser kan i viss mån anses tjäna tillsynsändamål, men syftet är också att föra statistik över aktörerna och deras antal samt samla in uppgifter om IP-adressintervall som används inom kritiska branscher och samla in lägesbildsinformation om betydande incidenter. Det tillsynsrelaterade syftet begränsas också av att tillsynsmyndighetens rätt att få information inte gäller de högsta laglighetsövervakarna; dessa är alltså inte skyldiga att lämna ut sekretessbelagd information till tillsynsmyndigheten. Rätten att få information gäller inte heller republikens presidents kansli eller domstolar eller rättskipningen vid domstolar eller nämnder som har inrättats för att behandla besvärsärenden, i det fall att 4 a kap. tillämpas på dem med anledning av lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. Aspekter som gäller utlämnande av information presenteras närmare i specialmotiveringen till 18 i § i informationshanteringslagen, som gäller tillsynsmyndighetens rätt att få information, och till 18 f §, som gäller frivillig underrättelse.  

Enligt 3 § 3 mom. i den gällande informationshanteringslagen ska bestämmelserna i 3 kap. om den allmänna styrningen av informationshanteringen inte tillämpas på riksdagens justitieombudsmans, justitiekanslerns i statsrådet eller domstolarnas verksamhet eller verksamheten vid nämnder som har inrättats för att behandla besvärsärenden och inte heller på republikens presidents kansli, riksdagens ämbetsverk, Folkpensionsanstalten, Finlands Bank, övriga självständiga offentligrättsliga inrättningar, universitet som avses i universitetslagen eller på yrkeshögskolor som avses i yrkeshögskolelagen. Bestämmelserna i lagens 3 kap. ska tillämpas på välfärdsområden, välfärdssammanslutningar, kommuner och samkommuner endast då de sköter lagstadgade uppgifter.  

De ovan nämnda begränsningarna av den allmänna styrningen av informationshanteringen har inte i fråga om riksdagens ämbetsverk, självständiga offentligrättsliga inrättningar, universitet, yrkeshögskolor (om regleringen tillämpades på dem i deras egenskap av kritiska aktörer) eller välfärdsområden och välfärdssammanslutningar tagits in i begränsningarna av tillämpningen av tillsynsbefogenheterna enligt NIS 2-direktivet. Det beror på att utgångspunkten i NIS 2-direktivet i fråga om aktörer inom den offentliga förvaltningen är att tillsynen ska gälla alla aktörer, även om skyldigheten att utöva tillsyn enligt artikel 31.4 i NIS 2-direktivet inte begränsar tillämpningen av nationella lagar och institutionella ramar. Grundlagsutskottet har i sitt utlåtande GrUU 14/2018 rd om proposition med förslag till dataskyddslag bedömt möjligheterna att avvika från fullständig tillämpning av EU-rätten på följande sätt: ”Utskottet ser det emellertid som klart att en fördragsbestämmelse om nationell identitet med förankring i den konstitutionella strukturen bara kan utgöra en snävt tillämplig proportionerlig grund för att avvika från fullständig tillämpning av EU-rätten. I sin etablerade rättspraxis har EU-domstolen ansett att principen om unionsrättens företräde, som är en väsentlig egenskap hos unionens rättsordning, innebär att det faktum att en medlemsstat åberopar sin nationella lagstiftning och rentav konstitutionella bestämmelser inte kan försvaga unionsrättens effekter i medlemsstaten (se bl.a. mål 11/70, Internationale Handelsgesellschaft, dom 17.12.1970, 3 punkten och mål C 409/06, Winner Wetten, dom 8.9.2010, 61 punkten och i synnerhet mål C-399/11, Melloni, dom 26.2.2013, p. 59).”  

I cybersäkerhetslagen föreslås till skillnad från informationshanteringslagen inga allmänna begränsningar av tillämpningsområdet eller av tillsynsmyndighetens befogenheter, eftersom de i detta avsnitt nämnda statliga organ och myndigheter som utifrån konstitutionella aspekter är av betydelse inte tillhandahåller tjänster inom de sektorer som avses i bilagorna till cybersäkerhetslagen och därför inte omfattas av tillämpningsområdet för den lagen. I fråga om den offentliga förvaltning som avses i bilagan till NIS 2-direktivet ska bestämmelser om aktörernas skyldigheter och tillsynen över att skyldigheterna fullgörs finnas i informationshanteringslagen, även om också en myndighet i vissa situationer kan omfattas av tillämpningsområdet för cybersäkerhetslagen när den utövar annan verksamhet som avses i bilagan till NIS 2-direktivet. Därför ska i fråga om vissa påföljder (begränsning av ledningens verksamhet och administrativ påföljdsavgift) i cybersäkerhetslagen den offentliga förvaltningen dock helt lämnas utanför tillämpningen av de nämnda påföljderna, eftersom en del aktörer inom den offentliga förvaltningen (t.ex. välfärdsområden och välfärdssammanslutningar) utöver informationshanteringslagen omfattas av tillämpningsområdet för cybersäkerhetslagen därför att de bedriver sådan verksamhet som avses i en bilaga till den lagen.  

12.10  Ålands ställning samt förhållandet till självstyrelsen

Propositionen berör delvis rikets lagstiftningsbehörighet och delvis landskapets lagstiftningsbehörighet, såsom Ålands landskapsregering bedömde i sitt yttrande, eftersom lagstiftningsbehörigheten i fråga om tillämpningsområdet för NIS 2-direktivet med stöd av självstyrelselagen för Åland (1144/1991) fördelar sig mellan landskapet och riket. NIS 1-direktivet bedömdes höra till rikets behörighet, men tillämpningsområdet för NIS 2-direktivet är mer omfattande och täcker delvis också ärenden som hör till landskapet Ålands lagstiftningsbehörighet. Cybersäkerheten och informationssäkerheten hänför sig till den lagstiftningsbehörighet till vilken lagstiftningsbehörigheten för respektive sektor hör. De delar av förslagen i propositionen som hör till rikets lagstiftningsbehörighet ska enligt förslaget tillämpas också i landskapet Åland. Vissa delar hör med stöd av självstyrelselagen för Åland till landskapets lagstiftningsbehörighet.  

Enligt 18 § 1, 4, 6, 12, 20 och 21 punkten i självstyrelselagen för Åland har landskapet lagstiftningsbehörighet i ärenden som gäller lagtingets organisation, landskapsregeringen och under denna lydande myndigheter och inrättningar, kommunernas förvaltning, allmän ordning och säkerhet, hälso- och sjukvård, postväsendet, vägar och kanaler, vägtrafik, spårbunden trafik, båttrafik och farleder för den lokala sjötrafiken. Enligt 18 § 22 punkten har landskapet dessutom med vissa begränsningar lagstiftningsbehörighet i ärenden som gäller näringsverksamhet. Även dataskydd och behandling av personuppgifter hör till landskapets behörighet inom de områden där landskapet har lagstiftningsbehörighet.  

Enligt 27 § 3, 8, 13, 14, 18, 19, 30 och 40 punkten i självstyrelselagen för Åland har riket lagstiftningsbehörighet i frågor som gäller statsmyndigheternas organisation och verksamhet, bolag och andra privaträttsliga sammanslutningar, handelssjöfart samt farleder för handelssjöfarten, luftfart, kärnkraft, standardisering, apotek, mediciner och produkter av läkemedelstyp samt televäsendet. 

Landskapet Ålands behörighet i el- och energifrågor har i samband med lagstiftningskontrollen av ellagen (Ellag för landskapet, ÅFS 1982:38) härletts ur 13 § 1 mom. 9 punkten i den tidigare självstyrelselagen för Åland (670/1951), som motsvarade 18 § 22 punkten om näringsverksamhet i den gällande självstyrelselagen för Åland (RP 73/1990 rd s. 69). Av den behörighetsfördelning mellan riket och landskapet som föreskrivs i självstyrelselagen följer att elmarknadslagen inte tillämpas i landskapet Åland till den del landskapet har lagstiftningsbehörighet i frågor som gäller elmarknaden. (NIS 1-RP) 

Inom rymdsektorn hör satellitbaserad fjärranalys samt markstations- och radarverksamhet till rikets lagstiftningsbehörighet i enlighet med 27 § 40 och 42 punkten i självstyrelselagen på samma sätt som rymdverksamhet och radiotillstånd.  

I landskapet Åland har det beretts landskapslagstiftning om informationshanteringen inom den offentliga förvaltningen. Ålands landskapsregering bedömer i sitt yttrande att bestämmelser som motsvarar de föreslagna bestämmelserna i 4 a kap. i informationshanteringslagen kan tas in också i den lagstiftning som bereds i landskapet.  

Bemyndigandena är exakta, noggrant avgränsade och proportionella i förhållande till deras syfte och de skyddsintressen som eftersträvas. Förslagen ingriper inte i kärnområdet för de rättigheter som tryggas genom grundlagen. Den föreslagna regleringen har begränsats till den miniminivå som genomförandet av NIS 2-direktivet förutsätter och som kan anses nödvändig och proportionell med tanke på uppnåendet av de mål som ligger till grund för direktivet. 

På de grunder som anges ovan anser regeringen att lagförslagen kan behandlas i vanlig lagstiftningsordning. Propositionen innehåller bland annat ett förslag till behandling av ett meddelande som innehåller ett skadligt datorprogram eller en befallning och en bedömning av vissa statliga organs och myndigheters ställning. Regeringen anser det önskvärt att grundlagsutskottet ger ett utlåtande i frågan.