Senast publicerat 01-10-2024 12:21

Betänkande EkUB 9/2024 rd RP 67/2024 rd Ekonomiutskottet Regeringens proposition med förslag till lag om ändring av lagen om Finansinspektionen och till vissa lagar som har samband med den

INLEDNING

Remiss

Regeringens proposition med förslag till lag om ändring av lagen om Finansinspektionen och till vissa lagar som har samband med den (RP 67/2024 rd): Ärendet har remitterats till ekonomiutskottet för betänkande. 

Sakkunniga

Utskottet har hört 

  • konsultativ tjänsteman Matti Sillanmäki 
    finansministeriet
  • byråchef Jussi Terho 
    Finansinspektionen
  • jurist Fanni Teinilä 
    Verket för finansiell stabilitet
  • direktör Johanna Erkkilä 
    Transport- och kommunikationsverket, Cybersäkerhetscentret
  • ledande beredskapsexpert Tehi Palletvuori 
    Försörjningsberedskapscentralen
  • arbetslivsprofessor Mikko Kiviharju. 

Skriftligt yttrande har lämnats av 

  • inrikesministeriet
  • kommunikationsministeriet
  • Finanssiala ry.

Inget yttrande av 

  • Nasdaq Helsinki Oy.

PROPOSITIONEN

Regeringen föreslår ändringar i lagen om Finansinspektionen, kreditinstitutslagen, lagen om investeringstjänster, lagen om betalningsinstitut, lagen om handel med finansiella instrument, lagen om placeringsfonder, lagen om förvaltare av alternativa investeringsfonder, lagen om till-läggspensionsstiftelser och tilläggspensionskassor, försäkringsbolagslagen, lagen om aktiebolaget Fonden för industriellt samarbete Ab och lagen om statens specialfinansieringsbolag. 

Syftet med propositionen är att utfärda nationella bestämmelser som kompletterar EU:s DORA-förordning om digital operativ motståndskraft för finanssektorn, att genomföra det så kallade DORA-ändringsdirektivet om ändring av vissa direktiv vad gäller digital operativ motståndskraft för finanssektorn samt att utfärda bestämmelser som kompletterar det nationella genomförandet av det så kallade NIS 2-direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och av det så kallade CER-direktivet om kritiska entiteters motståndskraft när det gäller bankverksamhet och finansmarknadsinfrastruktur. 

I lagen om Finansinspektionen föreslås det bestämmelser om att Finansinspektionen ska vara behörig myndighet enligt DORA-förordningen samt behörig myndighet enligt NIS 2-direktivet och CER-direktivet när det gäller bankverksamhet och finansmarknadsinfrastruktur. Finansinspektionens uppgifter utvidgas så att den också har till uppgift att främja cybersäkra tillvägagångssätt hos finansmarknadsaktörer samt främja kritiska finansmarknadsaktörers motståndskraft. Bestämmelserna om Finansinspektionens skyldigheter att samarbeta med andra myndigheter i syfte att främja cybersäkerheten föreslås bli samlade i en ny paragraf. Dessutom föreslås det att lagens bestämmelser om administrativa påföljder kompletteras med anledning av DORA-förordningen och att de tredjepartsleverantörer av informations- och kommunikationstekniktjänster som omfattas av förordningens tillämpningsområde läggs till i förteckningen över i lagen avsedda andra finansmarknadsaktörer. 

Lagen om aktiebolaget Fonden för industriellt samarbete Ab och lagen om statens specialfinansieringsbolag föreslås bli ändrade så att Fonden för industriellt samarbete Ab och Finnvera Abp lämnas utanför tillämpningsområdet för DORA-förordningen. 

När det gäller de övriga lagar som föreslås bli ändrade förutsätter DORA-ändringsdirektivet att det till lagen fogas bestämmelser om krav på att förvalta nätverks- och informationssystem i enlighet med DORA-förordningen samt vissa andra ändringar. 

De föreslagna lagarna avses träda i kraft den 17 januari 2025. 

UTSKOTTETS ÖVERVÄGANDEN

Bakgrund och mål

I propositionen föreslås nationella bestämmelser som kompletterar EU-förordningen om digital operativ motståndskraft för finanssektorn (DORA-förordningen). Genom förslaget genomförs dessutom DORA-ändringsdirektivet, som antogs samtidigt som DORA-förordningen, och utfärdas de bestämmelser som behövs för genomförandet av direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS 2-direktivet) och direktivet om kritiska entiteters motståndskraft (CER-direktivet) till den del de gäller bankverksamhet och finansmarknadsinfrastruktur. Syftet med den föreslagna regleringen är att säkerställa dels en hög digital motståndskraft mot störningar i nätverks- och informationssystem som stöder de finansiella entiteternas affärsprocesser, dels att kraven enligt DORA-förordningen uppfylls på nationell nivå. Förordningen är direkt tillämplig rätt i medlemsländerna, och det nationella handlingsutrymmet är mycket begränsat. Bestämmelserna avses träda i kraft den 17 januari 2025. 

DORA-förordningen och DORA-ändringsdirektivet ingår i Europeiska kommissionens åtgärdspaket för att ytterligare förbättra den digitala finanssektorns potential att gynna innovation och konkurrens, skapa nya alternativ jämsides med befintliga finansiella tjänster och betaltjänster och samtidigt minska riskerna. DORA-förordningen fastställer enhetliga säkerhetskrav för finansiella företags och organisationers nätverks- och informationssystem samt för sådana kritiska tredje parters nätverks- och informationssystem som tillhandahåller dem informations- och kommunikationstjänster. Syftet med DORA-ändringsdirektivet är å sin sida att säkerställa att kraven på hantering av IKT-risker i DORA-förordningen och flera andra EU-bestämmelser bildar en konsekvent och fungerande helhet. 

Finansmarknaden är en kritisk sektor med tanke på samhällets funktion och dess handlingsramar påverkas i väsentlig grad av bland annat digitaliseringen, de ökande riskerna till följd av IKT-lösningarna samt förändringarna i Finlands och Europas säkerhetspolitiska miljö. Ekonomiutskottet konstaterar att det på grund av den radikala förändringen i omvärlden är ännu viktigare att säkerställa en hög cybersäkerhet för finansmarknadsaktörerna och andra kritiska entiteter. Utskottet anser också att det är viktigt att åtgärderna för att förbättra finansmarknadens motståndskraft mot störningar genomförs så effektivt och enhetligt som möjligt inom hela EU. 

Ekonomiutskottet noterar att EU utöver DORA-förordningen också har antagit annan lagstiftning som påverkar cybersäkerheten. Det finns särskilt anledning att beakta EU:s förordning om artificiell intelligens, som trädde i kraft i augusti 2024 och som bedömer de risker som är förknippade med olika typer av AI-tillämpningar exempelvis utifrån näringsgren, och entiteter som bedöms ha hög risk åläggs olika skyldigheter i anslutning till riskhanteringen. Kvantberäkningen utvecklas snabbt och de möjligheter detta medför innebär nya utmaningar för cybersäkerheten inom finansmarknaden. Utskottet betonar att det också av dessa orsaker är nödvändigt att inom EU skapa och kontinuerligt utveckla ett effektivt och konsekvent ekosystem för cybersäkerheten. 

DORA-förordningens tillämpningsområde och förhållande till andra bestämmelser om cybersäkerhet

DORA-förordningen har en bred tillämpning på olika finansiella entiteter, nämligen finansiella entiteter enligt definitionen i förordningen och leverantörer av IKT-tjänster, dvs. tredjeparter som tillhandahåller IKT-tjänster. Ekonomiutskottet håller med de sakkunniga om att regleringens till-lämpningsområde i stor utsträckning bör omfatta olika entiteter inom finanssektorn och sådana andra kritiska entiteter vars verksamhet är av central betydelse med tanke på cybersäkerheten på finansmarknaden och säkerställandet av motståndskraft mot störningar. 

Med stöd av artikel 2.4 i DORA-förordningen får medlemsstaterna från tillämpningsområdet utesluta vissa enheter som är belägna inom deras territorium och som omfattas av kreditinstitutsdirektivet. I enlighet med detta föreslår regeringen att Fonden för industriellt samarbete Ab (Finnfund) och Finnvera Abp ställs utanför tillämpningsområdet för DORA-förordningen. Som motivering konstateras det i propositionen att Finansinspektionen, som är behörig myndighet enligt DORA-förordningen, inte utövar tillsyn över Finnfund eller Finnvera. Dessutom anser man att det inte är ändamålsenligt att skapa separata tillsynsarrangemang för genomförandet av DORA-förordningen, utan styrningen och tillsynen bör bedömas som en helhet i samband med att lagstiftningen om dessa bolag revideras. Ekonomiutskottet anser att det tillvägagångssätt som föreslås i propositionen är motiverat. Utskottet konstaterar samtidigt att en totalrevidering av lagstiftningen om såväl Finnvera som Finnfund för närvarande bereds i enlighet med regeringsprogrammet och anser det vara viktigt att man vid beredningen också beaktar DORA-förordningens krav på digital operativ motståndskraft. 

Arbetspensionssektorn omfattas inte av tillämpningsområdet för DORA-förordningen, och propositionen innehåller inga förslag till bestämmelser om den digitala operativa motståndskraften hos aktörerna inom arbetspensionssektorn. I några sakkunnigyttranden konstateras det dock att arbetspensionsförsäkringsbolag samt pensionsstiftelser och pensionskassor som bedriver arbetspensionsförsäkringsverksamhet nationellt bör åläggas sådana krav på digital operativ motståndskraft som motsvarar DORA-förordningen. Enligt uppgift har social- och hälsovårdsministeriet, som ansvarar för arbetspensionssektorn, för avsikt att driva frågan vidare inom den närmaste framtiden. Ekonomiutskottet instämmer i det som framförts i sakkunnigyttrandena och anser det vara viktigt att adekvata och aktuella krav och tillsynsåtgärder också ställs på arbetspensionsförsäkringsbolagens digitala operativa motståndskraft. 

Proportionalitetsprincipen.

Enligt DORA-förordningen ska förordningen tillämpas på ett sådant sätt att de skyldigheter som följer av den står i proportion till entitetens storlek och allmänna riskprofil samt till karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser. Syftet med bestämmelsen är att undvika onödig administrativ börda. Ekonomiutskottet välkomnar i och för sig detta mål. Samtidigt hänvisar utskottet till sitt utlåtande EkUU 26/2020 rdU 58/2020 rd, enligt vilket det vid tillämpningen av proportionalitetsprincipen med stöd av DORA-förordningen är väsentligt att uttryckligen bedöma aktörens inverkan på marknaden och inte enbart dess storlek. Det är viktigt eftersom också en liten aktörs försummelse av riskhanteringen kan orsaka vittgående problem som kan ha skadliga konsekvenser exempelvis för försörjningsberedskapen. Utskottet anser att tillsynen bör vara effektiv och rätt riktad, och samtidigt måste man se till att den inte orsakar aktörerna inom finanssektorn onödig administrativ börda. 

DORA-förordningens förhållande till NIS 2-direktivet och CER-direktivet.

DORA-förordningen reglerar finanssektorns digitala operativa motståndskraft på ett mer detaljerat och heltäckande sätt än NIS 2-direktivet och CER-direktivet. Ekonomiutskottet anser i likhet med flera sakkunnigyttranden att propositionens målsättning att skyldigheterna enligt de två direktiven inte ska tillämpas på finansiella entiteter som omfattas av tillämpningsområdet för DORA-förordningen är motiverad. Målsättningen behövs för att undvika överlappande tillämpning av olika bestämmelser och onödig administrativ börda för entiteterna och myndigheterna inom finanssektorn. Utskottet betonar dock att finansiella entiteter som med stöd av NIS 2-direktivet och CER-direktivet har klassificerats som kritiska entiteter, dvs. kreditinstitut, operatörer av handelsplatser och centrala motparter, bör beaktas i de nationella strategier och åtgärder som avses i dessa direktiv samt i samarbetsstrukturerna mellan myndigheterna för att säkerställa att åtgärderna för cybersäkerhet är konsekventa och att informationsflödet mellan myndigheterna löper smidigt. I enlighet med detta innehåller förslaget bestämmelser om genomförande av NIS 2-direktivet och CER-direktivet till den del det är fråga om bankverksamhet och motståndskraften hos finansmarknadens infrastruktur. 

Nationella bestämmelser som kompletterar DORA-förordningen och DORA-ändringsdirektivet

DORA-förordningen är direkt tillämplig rätt i medlemsländerna, så den avgör i stor utsträckning det materiella innehållet i regleringen. I den nationella lagstiftningen föreskrivs det däremot om behörig nationell myndighet och dess befogenheter, administrativa påföljder samt informationsutbyte och samarbete mellan myndigheter. I förslaget föreslås ändringar i lagen om Finansinspektionen, vissa andra lagar om reglering av finansmarknaden och lagarna om aktiebolagen Fonden för industriellt samarbete Ab (Finnfund) och Finnvera Abp. 

Behörig myndighet och dess uppgifter

Enligt förslaget är Finansinspektionen den nationella behöriga myndighet som övervakar efterlevnaden av bestämmelserna i DORA-förordningen. Dessutom ska Finansinspektionen främja cybersäkra tillvägagångssätt hos finansmarknadsaktörer och delta i det myndighetssamarbete som avses i förordningen. Finansinspektionen svarar också för de uppgifter på nationell nivå som hänför sig till hotbildsstyrd penetrationstestning, upprätthåller och delar en lägesbild över informationssäkerhetsincidenter och cyberattacker samt deltar i försörjningsberedskapsorganisationens verksamhet. Dessutom är Finansinspektionen behörig myndighet enligt NIS 2-direktivet och CER-direktivet till den del det är fråga om bankverksamhet eller finansmarknadsinfrastruktur. Utskottet hänvisar till sakkunnigyttrandena och konstaterar att förslagen om den behöriga myndigheten och dess befogenheter enligt förslaget är motiverade som en del av det nationella genomförandet av DORA-förordningen. 

Administrativa påföljder

Det föreslås att bestämmelserna om administrativa påföljder i lagen om Finansinspektionen kompletteras så att Finansinspektionen kan påföra korrigerande åtgärder eller påföljdsavgift för den som försummar eller bryter mot sina skyldigheter enligt DORA-förordningen. Enligt förordningen ska sådana sanktioner och åtgärder vara effektiva, proportionella och avskräckande. 

Ekonomiutskottet anser att de föreslagna bestämmelserna om påföljder är motiverade och proportionerliga. Med tanke på den samhälleliga vikten av regleringen om den digitala operativa motståndskraften i finanssektorn och finansmarknadstillsynens trovärdighet är det viktigt att Finansinspektionen har tillgång till effektiva sanktioner i fall där någon bryter mot eller försummar skyldigheterna enligt DORA-förordningen. Utskottet anser också att det är motiverat att överträdelser av liknande allvarlighetsgrad som grundar sig på olika bestämmelser inom finanssektorn ska regleras och bedömas så enhetligt som möjligt. Dessutom ser utskottet det som ytterst viktigt att man i förslaget på ett sakligt sätt säkerställer att förbudet mot dubbel straffbarhet och EU-domstolarnas rättspraxis i fråga om förbudet iakttas. 

Tillsyn över leverantörer av IKT-tjänster

DORA-förordningen innehåller också skyldigheter för tredjepartsleverantörer av IKT-tjänster. IKT-tjänsterna stöder centrala funktioner hos de finansiella entiteterna och därför har IKT-leverantörerna en avgörande roll för att finansmarknaden ska fungera smidigt. I propositionen föreslås det att dessa aktörer ska omfattas av de allmänna bestämmelserna om Finansinspektionens tillsynsbefogenheter och lagstadgade rätt att få information och utföra inspektioner samt påföra påföljder. 

I några sakkunnigyttranden till utskottet konstateras det att förhållandet mellan å ena sidan DORA-förordningens bestämmelser om IKT-tjänster och å andra sidan EU:s telelagstiftning och direktivet om integritet och elektronisk kommunikation delvis är oklart. Enligt dessa sakkunnigyttranden är det också oklart om DORA-förordningen i fråga om tjänster som tillhandahålls finansiella entiteter innebär ett undantag från bestämmelserna om konfidentialitet vid elektronisk kommunikation. Enligt dem bör man vid beredningen bättre beakta de länge gällande telebestämmelserna, med stöd av vilka Transport- och kommunikationsverket (Traficom) på ett heltäckande sätt övervakar sektorns driftsäkerhet, störningsfrihet och säkerhet samt att skyddet för konfidentiell kommunikation tillgodoses. 

Ekonomiutskottet konstaterar att DORA-förordningen i fråga om tillämpningsområdet och tillsynsramen för de bestämmelser som gäller tredjepartsleverantörer av IKT-tjänster är direkt till-lämplig rätt som inte tillåter något nationellt handlingsutrymme. Utskottet hänvisar också till finansministeriets svar av den 27 juni 2024 enligt vilket Finansinspektionen inte med stöd av den nationella lagstiftningen har rätt att begära telekommunikationsuppgifter som teleoperatörerna innehar. Rätt att få teleövervakningsuppgifter i Finland har under de förutsättningar som anges i tvångsmedelslagen (806/2011) endast polisen, som av domstol kan beviljas tillstånd att få sådana uppgifter, till exempel vid misstanke om grovt missbruk av insiderinformation eller grov marknadsmanipulation. Utskottet instämmer i finansministeriets motivering och ståndpunkt att det aktuella förslaget inte äventyrar tillämpningen av bestämmelserna om konfidentialitet vid elektronisk kommunikation eller uppnåendet av målen för den. 

Cybersäkerhetssamarbete mellan myndigheterna

Enligt den gällande lagen hör det till Finansinspektionens uppgifter att delta i det nationella samarbetet mellan myndigheter både på nationell nivå och inom ramen för det samarbetsarrangemang som inrättats med stöd av EU-rättsakter. I detta sammanhang föreslås det att det till lagen om Finansinspektionen fogas en ny 3 f § med bestämmelser om samarbete mellan Finansinspektionen och andra myndigheter i synnerhet för att främja cybersäkerheten. Syftet med den nya bestämmelsen är närmast att förtydliga organiseringen av samarbetet mellan Finansinspektionen och andra myndigheter samt att betona vikten av aktivt myndighetssamarbete för att säkerställa en hög cybersäkerhetsnivå. Centrala myndigheter i detta arbete är vid sidan av Finansinspektionen och Cybersäkerhetscentret i synnerhet finansministeriet, Verket för finansiell stabilitet, Finlands Bank och Försörjningsberedskapscentralen. 

I sakkunnigyttrandena välkomnas den nya 3 f § i lagen om Finansinspektionen och den kompletterande 71 § 20 punkten, enligt vilken Finansinspektionen under de förutsättningar som anges i DORA-förordningen trots sekretessbestämmelserna har rätt att lämna ut information till Cybersäkerhetscentret vid Transport- och kommunikationsverket. Dessutom anses det vara viktigt att bestämmelsen understryker Finansinspektionens skyldighet att utan obefogat dröjsmål förmedla mottagna incidentanmälningar till Cybersäkerhetscentret. Ekonomiutskottet instämmer i de synpunkter som framförts i sakkunnigyttrandena och betonar den stora betydelsen av ett fungerande myndighetssamarbete för att stärka finanssektorns operativa motståndskraft. Utskottet hänvisar emellertid till propositionsmotiven och betonar att den allmänna samarbetsskyldigheten i sig inte innebär rätt att avvika från bestämmelserna om sekretess för uppgifter, utan utlämnandet av sekretessbelagda uppgifter ska bedömas separat i varje enskilt fall med stöd av tillämpliga bestämmelser. 

DORA-förordningen och den kompletterande nationella regleringen har konsekvenser också för Verket för finansiell stabilitet. Verket är den nationella resolutionsmyndigheten och det ska för skötseln av sina lagstadgade uppgifter ha en heltäckande lägesbild av kreditinstitutens och värdepappersföretagens uppdaterade cybersäkerhetsläge. Enligt några sakkunnigyttranden bör tillämpningsområdet för den föreslagna 3 f § därför utvidgas så att bestämmelsen utöver befogenheterna enligt EU-regleringen också beaktar de nationella myndigheternas befogenheter samt de uppgifter som Verket för finansiell stabilitet har i egenskap av myndighet som administrerar kontosystemet inom försörjningsberedskapen. 

Ekonomiutskottet håller med finansministeriet i dess svar av den 27 juni 2024 om att Verket för finansiell stabilitet enligt den gällande lagen har tillräckliga och heltäckande rättigheter att få de uppgifter som behövs för att sköta sina uppgifter enligt DORA-förordningen. I 7 kap. 2 och 4 § i lagen om myndigheten för finansiell stabilitet (1195/2014) föreskrivs det om verkets rätt att av Finlands Bank, Finansinspektionen och andra myndigheter samt av juridiska personer på finansmarknaden och fysiska personer som är anställda hos dem få den information som verket behöver för att sköta sina uppgifter. Enligt lagen om vissa arrangemang för tryggande av försörjningsberedskapen inom finansbranschen (666/2022) ska kreditinstituten dessutom till Verket för finansiell stabilitet lämna i lagen avsedda nödvändiga och uppdaterade uppgifter i anslutning till ibruktagandet och driften av kontosystemet inom försörjningsberedskapen. 

Finansinspektionens rätt att meddela föreskrifter

Det föreslås inga ändringar i 18 § 2 mom. i lagen om Finansinspektionen, som gäller Finansinspektionens behörighet att meddela föreskrifter. Enligt ett sakkunnigyttrande bör bemyndigandena att meddela föreskrifter kompletteras så att Finansinspektionen kan meddela föreskrifter om skyldigheten för tillsynsobjekt som hör till tillämpningsområdet för DORA-förordningen att rapportera IKT-incidenter också när DORA-förordningen inte kräver rapportering. Dessutom konstateras det i yttrandet att Finansinspektionen bör kunna meddela föreskrifter om rapportering av IKT-incidenter också till de tillsynsobjekt som inte omfattas av tillämpningsområdet för DORA-förordningen. Sådana tillsynsobjekt är till exempel aktörer inom pensionsförsäkringssektorn. 

I finansministeriets svar och i propositionen konstateras det uttryckligen att Finansinspektionens behörighet att meddela föreskrifter inte behöver utvidgas i samband med genomförandet av DORA-förordningen. Det anses inte nödvändigt eftersom finansiella entiteter direkt med stöd av DORA-förordningen är skyldiga att rapportera omfattande IKT-incidenter. Dessutom har Finansinspektionen med stöd av den gällande lagstiftningen meddelat föreskrifter bland annat om lämnande av information om störningar till Finansinspektionen. Ekonomiutskottet instämmer i det som sägs i propositionen och anser det också viktigt att se till att Finansinspektionens föreskrifter inte innehåller skyldigheter som överlappar DORA-förordningen. 

Befogenheter i fråga om hotbildsstyrd penetrationstestning

Enligt förslaget svarar Finansinspektionen också på nationell nivå för uppgifterna i anslutning till hotbildsstyrd penetrationstestning. Vid penetrationstestning angriper man systemet på ett sätt som liknar ett riktigt angrepp mot informationssäkerheten, och syftet med testningen är att identifiera och prioritera riskerna samt förbättra informationssäkerheten i systemet. Några sakkunnigyttranden betonar att man bör sträva efter att uppfylla förordningens skyldigheter som gäller hotbildsstyrd penetrationstestning genom att utnyttja och utveckla den verksamhetsmodellen TIBER-FI som upprätthålls av Finlands Bank. Utskottet instämmer i detta och hänvisar till finansministeriets svar, enligt vilket avsikten är att TIBER-FI-modellen även i fortsättningen ska utnyttjas vid genomförandet av hotbildsstyrd penetrationstestning. 

DETALJMOTIVERING

1. Lagen om ändring av lagen om Finansinspektionen

Ingressen.

Utskottet föreslår ändringar i ingressen till lagen. 

5 §. Andra finansmarknadsaktörer.

I paragrafen föreligger ett behov av samordning. Utskottet föreslår att de ändringar som tidigare gjorts i paragrafen genom lagen om ändring av lagen om Finansinspektionen (403/2024) beaktas i 40—42 punkten. 

40 §. Påföljdsavgift.

Utskottet föreslår en teknisk korrigering i 2 mom. 12 punkten. 

41 §. Påförande av påföljdsavgift.

I 3 mom. föreligger ett behov av samordning. Utskottet föreslår att de ändringar som tidigare gjorts i paragrafen genom lagen om ändring av lagen om Finansinspektionen (403/2024) beaktas i momentet. 

FÖRSLAG TILL BESLUT

Ekonomiutskottets förslag till beslut:

Riksdagen godkänner lagförslag 2—11 i proposition RP 67/2024 rd utan ändringar. Riksdagen godkänner lagförslag 1 i proposition RP 67/2024 rd med ändringar. (Utskottets ändringsförslag) 

Utskottets ändringsförslag

1. Lag om ändring av lagen om Finansinspektionen 

I enlighet med riksdagens beslut 
upphävs i lagen om Finansinspektionen (878/2008) 52 a §, sådan den lyder i lag 959/2018, 
ändras 5 § Utskottet föreslår en strykning 40 Slut på strykningsförslagetUtskottet föreslår en ändring 41 Slut på ändringsförslaget punkten, 38 § 1 mom. 11 punkten, 40 § 2 mom. 11 och 12 punkten, 41 § 3 mom., 50 p § och 71 § 1 mom. 19 punkten, 
sådana de lyder, 5 § Utskottet föreslår en strykning 40 Slut på strykningsförslagetUtskottet föreslår en ändring 41 Slut på ändringsförslaget punkten och Utskottet föreslår en ändring 41 § 3 mom. i lag 403/2024,  Slut på ändringsförslaget38 § 1 mom. 11 punkten i lag 184/2023, 40 § 2 mom. 11 och 12 punkten i lag 214/2022, Utskottet föreslår en strykning 41 § 3 mom. i lag 205/2022,  Slut på strykningsförslaget50 p § i lag 291/2018 och 71 § 1 mom. 19 punkten i lag 524/2021, samt 
fogas till 3 § 2 mom., sådant det lyder delvis ändrat i lagarna 1198/2014, 1145/2015, 1442/2016, 445/2023 och 1261/2023, nya 7 och 7 a-punkter i stället för de 7 och 7 a-punkter som upphävts genom lag 1442/2016, till lagen en ny 3 f §, till 5 §, sådan den lyder i lagarna 752/2012, 902/2012, 254/2013, 170/2014, 198/2015, 520/2016, 737/2016, 1442/2016, 228/2017, 575/2017, 893/2017, 1071/2017, 241/2018, 1229/2018, 215/2019, 296/2019, 517/2019, 574/2019, 963/2019, 316/2020, 524/2021, 599/2021, 205/2022, 184/2023Utskottet föreslår en ändring , Slut på ändringsförslagetUtskottet föreslår en strykning och Slut på strykningsförslaget 192/2023Utskottet föreslår en ändring  och 403/2024 Slut på ändringsförslaget, en ny Utskottet föreslår en strykning 41 Slut på strykningsförslagetUtskottet föreslår en ändring 42 Slut på ändringsförslaget punkt, till 38 § 1 mom., sådant det lyder i lagarna 752/2012, 254/2013, 1198/2014, 1055/2016, 893/2017, 316/2020, 379/2021, 153/2022, 205/2022 och 184/2023, en ny 12 punkt, till 38 §, sådan den lyder i lagarna 752/2012, 254/2013, 611/2014, 1198/2014, 1055/2016, 893/2017, 316/2020, 379/2021, 153/2022, 205/2022Utskottet föreslår en ändring , Slut på ändringsförslagetUtskottet föreslår en strykning och Slut på strykningsförslaget 184/2023Utskottet föreslår en ändring  och 403/2024 Slut på ändringsförslaget, ett nytt 7 mom., till 40 § 2 mom., sådant det lyder i lagarna 1071/2017, 1108/2018, 316/2020, 379/2021, 599/2021, 941/2021 och 214/2022, en ny 13 punkt, till 43 §, sådan den lyder i lagarna 176/2016, 1071/2017 och 524/2021, ett nytt 5 mom. och till 71 § 1 mom., sådant det lyder delvis ändrat i lagarna 752/2012, 611/2014, 651/2014, 1198/2014, 505/2015, 520/2016, 1442/2016, 446/2017, 1071/2017, 402/2018, 574/2019, 569/2020, 270/2021Utskottet föreslår en ändring , Slut på ändringsförslagetUtskottet föreslår en strykning och Slut på strykningsförslaget 524/2021Utskottet föreslår en ändring  och 403/2024 Slut på ändringsförslaget, en ny 20 punkt som följer: 
3 § 
Uppgifter 
 En icke ändrad del av lagtexten har utelämnats 
Finansinspektionen fullgör sina lagstadgade uppgifter genom att 
 En icke ändrad del av lagtexten har utelämnats 
7) främja cybersäkra tillvägagångssätt hos finansmarknadsaktörer, 
7 a) främja kritiska finansmarknadsaktörers motståndskraft, 
 En icke ändrad del av lagtexten har utelämnats 
3 f § 
Myndighetssamarbete för att främja cybersäkerhet och motståndskraft 
Finansinspektionen samarbetar med finansministeriet, social- och hälsovårdsministeriet, Finlands Bank, Verket för finansiell stabilitet, Transport- och kommunikationsverket och andra behöriga myndigheter för att hantera störningar relaterade till informations- och kommunikationsteknik (IKT ) och för att minska konsekvenserna av sådana störningar. 
Finansinspektionen deltar i myndighetssamarbete enligt artiklarna 32 och 47–49 i Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, nedan EU:s DORA-förordning, och i verksamheten inom det europeiska ramverket för samordning av åtgärder mot systemiska cyberincidenter samt samarbetar också i övrigt med Europeiska centralbanken, Europeiska systemrisknämnden, Europeiska unionens cybersäkerhetsbyrå, de europeiska tillsynsmyndigheterna, andra EU-myndigheter och utländska EES-tillsynsmyndigheter för att hantera störningar relaterade till informations-och kommunikationsteknik och för att minska konsekvenserna av sådana störningar. 
Finansinspektionen ska samarbeta med Transport- och kommunikationsverket vid skötseln av uppgifter enligt Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet ). 
Finansinspektionen ska samarbeta med finansministeriet, inrikesministeriet, Försörjningsberedskapscentralen och andra behöriga myndigheter för skötseln av uppgifter enligt Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG, nedan CER-direktivet, för att stärka kritiska aktörers motståndskraft och för att främja frivilligt informationsutbyte mellan dem. 
5 § 
Andra finansmarknadsaktörer 
Med andra finansmarknadsaktörer avses i denna lag 
 En icke ändrad del av lagtexten har utelämnats 
Utskottet föreslår en strykning 40) den som med stöd av 4 § i lagen om registrering av vissa kreditgivare och kreditförmedlare (186/2023) är skyldig att anmäla sig till det register över kreditgivare och förmedlare av person-till-person-lån som förs av Finansinspektionen, Slut på strykningsförslaget 
Utskottet föreslår en ändring 41) den som med stöd av artikel 41.1 och 41.2 samt artikel 83.1 och 83.2 i EU:s förordning om marknader för kryptotillgångar är skyldig att göra en anmälan till Finansinspektionen om förvärv och avyttring av innehav, Slut på ändringsförslaget 
Utskottet föreslår en strykning 41 Slut på strykningsförslagetUtskottet föreslår en ändring 42 Slut på ändringsförslaget) sådana tredjepartsleverantörer av IKT-tjänster som avses i artikel 3.19 i EU:s DORA-förordning. 
38 § 
Ordningsavgift 
Finansinspektionen ska ålägga den att betala ordningsavgift som uppsåtligen eller av oaktsamhet 
 En icke ändrad del av lagtexten har utelämnats 
11) försummar eller bryter mot anmälningsskyldigheten enligt 8 § 3 mom. i lagen om registrering av vissa kreditgivare och kreditförmedlare, 
12) försummar eller bryter mot skyldigheten att hantera IKT-risker enligt artikel 16 i EU:s DORA-förordning. 
 En icke ändrad del av lagtexten har utelämnats 
Om ordningsavgift påförs med stöd av 1 mom. 12 punkten, ska artikel 51.2 i EU:s DORA-förordning iakttas i stället för 2 mom. i fråga om de omständigheter som ska beaktas vid bedömningen av ordningsavgiftens belopp. 
40 § 
Påföljdsavgift 
 En icke ändrad del av lagtexten har utelämnats 
Påföljdsavgift ska också påföras den som uppsåtligen eller av oaktsamhet försummar eller bryter mot 
 En icke ändrad del av lagtexten har utelämnats 
11) bestämmelserna i artikel 5 i Europaparlamentets och rådets förordning (EU) 2020/852 om inrättande av en ram för att underlätta hållbara investeringar och om ändring av förordning (EU) 2019/2088, nedan taxonomiförordningen, om transparens i fråga om miljömässigt hållbara investeringar i upplysningar som lämnas innan avtal ingås och i regelbundna rapporter, bestämmelserna i artikel 6 om transparens i fråga om finansiella produkter som främjar miljörelaterade egenskaper i upplysningar som lämnas innan avtal ingås och i regelbundna rapporter, eller bestämmelserna i artikel 7 om transparens i fråga om andra finansiella produkter i upplysningar som lämnas innan avtal ingås och i regelbundna rapporter, 
12) bestämmelserna i artiklarna 5–7 i PEPP-förordningen om registreringsskyldighet och bestämmelserna om lämnande av falska eller vilseledande uppgifter som grund för registreringen av en PEPP-produkt i det centrala offentliga register som förs av Europeiska försäkrings- och tjänstepensionsmyndigheten, bestämmelserna i artikel 18 om erbjudande av portabilitetsmöjlighet, bestämmelserna i artikel 19 om användning av underkonton för PEPP-produkter, bestämmelserna i artikel 20 om skyldighet att lämna information i anknytning till öppnande av ett nytt underkonto, bestämmelserna i artikel 21 om information om portabilitet till de behöriga myndigheterna, bestämmelserna i artikel 22 om en allmän princip som gäller PEPP-sparinstitut och PEPP-distributörer, bestämmelserna i artikel 23 om distributionsregler för olika typer av PEPP-sparinstitut och PEPP-distributörer, bestämmelserna i artikel 24 om elektronisk distribution och om användning av andra varaktiga medier, bestämmelserna i artikel 25 om krav på produkt-övervakning och produktstyrning, bestämmelserna i artikel 26 om PEPP-faktablad, bestämmelserna i artikel 27 om PEPP-faktabladets språk, bestämmelserna i artikel 28 om PEPP-faktabladets innehåll, bestämmelserna i artikel 29 om marknadsföringsmaterial, bestämmelserna i artikel 30 om översyn av PEPP-faktabladet, bestämmelserna i artikel 31 om skadeståndsansvar, bestämmelserna i artikel 32 om PEPP-avtal som täcker biometriska risker, bestämmelserna i artikel 33 om tillhandahållande av PEPP-faktabladet, bestämmelserna i artikel 34 om specifikation av PEPP-kundens krav och behov samt tillhandahållande av rådgivning, bestämmelserna i artikel 35 om allmänna bestämmelser som gäller PEPP-pensionsbesked, bestämmelserna i artikel 36 om innehållet i PEPP-pensionsbeskedet, bestämmelserna i artikel 37 om kompletterande information i PEPP-pensionsbeskedet, bestämmelserna i artikel 38 om information som ska lämnas till PEPP-sparare under tiden före pensionering och till PEPP-förmånstagare under utbetalningsfasen, bestämmelserna i artikel 39 om information som på begäran ska lämnas till PEPP-sparare och PEPP-förmånstagare, bestämmelserna i artikel 40 om allmänna bestämmelser som gäller rapportering till nationella myndigheter, bestämmelserna i artikel 41 om investeringsregler under intjänandefasen, bestämmelserna i artikel 42 om allmänna bestämmelser som gäller PEPP-spararens investeringsalternativ, bestämmelserna i artikel 43 om PEPP-spararens val av investeringsalternativ, bestämmelserna i artikel 44 om villkor för ändring av det valda investeringsalternativet, bestämmelserna i artikel 45 om bas-PEPP-produkten, bestämmelserna i artikel 46 om riskreduceringstekniker, bestämmelserna i artikel 47 om villkor som rör intjänandefasen, bestämmelserna i artikel 48 om förvaringsinstitutets förvarings- och övervakningsuppgifter, bestämmelserna i artikel 50 om hantering av klagomål från PEPP-kunder, bestämmelserna i artikel 52 om tillhandahållande av bytesmöjlighet, bestämmelserna i artikel 53 om inledande av byte, bestämmelserna i artikel 54 om avgifter och kostnader i samband med byte, bestämmelserna i artikel 55 om skydd av PEPP-sparare mot finansiell förlust eller bestämmelserna i artikel 56 om information om bytesmöjligheten, Utskottet föreslår en ändring eller Slut på ändringsförslaget 
13) bestämmelserna om hantering av IKT-risker i artiklarna 5—14 i EU:s DORA-förordning, bestämmelserna om hantering av, klassificering av och rapportering om IKT-relaterade incidenter i artiklarna 17–19 i den förordningen, bestämmelserna om testning av digital operativ motståndskraft i artiklarna 24–27 i den förordningen eller bestämmelserna om hantering av IKT-tredjepartsrisker i artiklarna 28–30 i den förordningen, vilka är förpliktande för i artikel 2.2 i den förordningen avsedda finansiella entiteter. 
 En icke ändrad del av lagtexten har utelämnats 
41 § 
Påförande av påföljdsavgift 
 En icke ändrad del av lagtexten har utelämnats 
Om det är fråga om överträdelse av förordningen om referensvärden, ska utöver det som föreskrivs i 2 mom. också förfarandets inverkan på realekonomin beaktas vid bedömningen av påföljdsavgiftens belopp. Om det är fråga om överträdelse av Europaparlamentets och rådets förordning (EU) 2017/1129 om prospekt som ska offentliggöras när värdepapper erbjuds till allmänheten eller tas upp till handel på en reglerad marknad, och om upphävande av direktiv 2003/71/EG, nedan prospektförordningen, ska överträdelsens inverkan också på icke-professionella kunders ställning beaktas vid bedömningen av påföljdsavgiftens belopp. Om det är fråga om överträdelse av EU:s gräsrotsfinansieringsförordning ska Utskottet föreslår en strykning överträdelsens inverkan på investerarnas intressen beaktas vid bedömningen av påföljdsavgiftens belopp Slut på strykningsförslagetUtskottet föreslår en ändring bestämmelserna i artikel 40 i den förordningen tillämpas i stället för 2 mom. vid bedömningen av påföljdsavgiftens belopp. Om det är fråga om överträdelse av EU:s förordning om marknader för kryptotillgångar, ska bestämmelserna i artikel 112 i den förordningen tillämpas i stället för 2 mom. vid bedömningen av påföljdsavgiftens belopp. Om det är fråga om överträdelse av värdepapperiseringsförordningen, ska artikel 33 i den i 4 § 2 mom. 13 punkten i denna lag avsedda värdepapperiseringsförordningen tillämpas i stället för 2 mom. vid bedömningen av påföljdsavgiftens belopp Slut på ändringsförslaget. Om det är fråga om överträdelse av EU:s DORA-förordning, ska artikel 51.2 i den förordningen iakttas i stället för 2 mom. vid bedömningen av påföljdsavgiftens belopp. 
 En icke ändrad del av lagtexten har utelämnats 
43 § 
Offentliggörande av administrativa påföljder och andra beslut 
 En icke ändrad del av lagtexten har utelämnats 
Om ordningsavgift, offentlig varning eller påföljdsavgift påförs på grund av en överträdelse av EU:s DORA-förordning, ska artikel 54 i EU:s DORA-förordning tillämpas i stället för denna paragraf på offentliggörandet av beslutet. 
50 p § 
Behörig myndighet enligt EU:s DORA-förordning, NIS 2-direktivet och CER-direktivet 
Finansinspektionen är den behöriga myndighet som avses i artikel 46 i EU:s DORA-förordning och den myndighet som avses i artikel 26.9 i den förordningen. 
Finansinspektionen är den behöriga myndighet som avses i artikel 8.1 i NIS 2-direktivet i fråga om sektorerna 3 och 4 i bilaga I till direktivet. 
Finansinspektionen är den behöriga myndighet som avses i artikel 9.1 i CER-direktivet i fråga om sektorerna 3 och 4 i bilagan till direktivet. 
71 § 
Rätt och skyldighet att lämna ut information 
Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999) har Finansinspektionen utan hinder av sekretessbestämmelserna rätt att lämna ut information till 
 En icke ändrad del av lagtexten har utelämnats 
19) Europeiska kommissionen när sådan information i anknytning till tillsynen över finansmarknaden krävs för att kommissionen ska kunna utöva sina befogenheter, 
20) Transport- och kommunikationsverket för genomförande av det samarbete som avses i 3 f § 3 mom., när det gäller störningar och hot relaterade till informations- och kommunikationsteknik. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

2. Lag om ändring av 9 och 11 kap. i kreditinstitutslagen 

I enlighet med riksdagens beslut 
ändras i kreditinstitutslagen (610/2014) 9 kap. 2 § 1 mom. och 16 § 3 mom. samt 11 kap. 2 § 2 mom. 10 punkten, 
av dem 11 kap. 2 § 2 mom. 10 punkten sådan den lyder i lag 233/2021, samt 
fogas till 11 kap. 2 § 2 mom., sådant det lyder i lag 233/2021, en ny 11 punkt som följer: 
9 kap. 
Riskhantering 
2 § 
Allmänna krav som ska ställas på riskhanteringssystem 
Ett kreditinstitut ska ha effektiva, tillförlitliga och dokumenterade förvaltnings- och styrningssystem för identifiering, hantering, begränsning, övervakning och rapportering av nuvarande och framtida risker som kreditinstitutet och dess verksamhet exponeras för. Systemen ska omfatta 
1) en tydlig organisationsstruktur med väldefinierade och konsekventa befogenhets- och ansvarsförhållanden, 
2) effektiva rapporteringsprocesser för riskhanteringen, 
3) sunda processer för intern kontroll, inklusive förvaltnings- och redovisningsrutiner, 
4) nätverks- och informationssystem enligt Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, nedan EU:s DORA-förordning, och de bestämmelser som utfärdats med stöd av den, 
5) en ersättningspolicy och ersättningspraxis som är förenlig med och främjar sund och effektiv riskhantering. 
 En icke ändrad del av lagtexten har utelämnats 
16 § 
Operativ risk 
 En icke ändrad del av lagtexten har utelämnats 
Kreditinstitutet ska ha beredskaps- och kontinuitetsplaner för att bereda sig för allvarliga störningar i affärsverksamheten samt säkerställa sin förmåga att fortlöpande bedriva verksamhet och begränsa förlusterna i störningssituationer. Bestämmelser om den kontinuitetspolicy och de kontinuitetsplaner för informations- och kommunikationstekniken (IKT) i kreditinstitutets affärsverksamhet och de åtgärds- och återställningsplaner avseende IKT som ska ingå i de nämnda planerna finns i artikel 11 i EU:s DORA-förordning. 
 En icke ändrad del av lagtexten har utelämnats 
11 kap. 
Tillsyn över kreditinstitut 
2 § 
Tillsynsmyndighetens bedömning 
 En icke ändrad del av lagtexten har utelämnats 
Tillsynsmyndigheten ska i sin bedömning enligt 1 mom. beakta åtminstone 
 En icke ändrad del av lagtexten har utelämnats 
10) den ränterisk i den finansiella balansräkningen som riktar sig mot kreditinstitutet, 
11) de risker som framkommer vid testningen av den digitala operativa motståndskraften enligt kapitel IV i EU:s DORA-förordning. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag om ändring av 7 kap. 2 § och 7 a kap. 1 § i lagen om investeringstjänster 

I enlighet med riksdagens beslut 
ändras i lagen om investeringstjänster (747/2012) 7 kap. 2 § 3–5 mom. och 7 a kap. 1 § 1 mom. 1 punkten och 2 mom., sådana de lyder i lag 1069/2017, som följer: 
7 kap. 
Organisering av värdepappersföretags verksamhet 
2 § 
Tillförlitlig organisering av verksamheten 
 En icke ändrad del av lagtexten har utelämnats 
Värdepappersföretaget ska vidta rimliga åtgärder för att säkerställa kontinuitet och regelbundenhet i tillhandahållandet av investeringstjänster och bedrivandet av investeringsverksamhet. Värdepappersföretaget ska i det syftet använda ändamålsenliga och proportionella system, resurser och förfaranden. Kontroll- och säkerhetsarrangemangen för elektronisk databehandling ska överensstämma med Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, nedan EU:s DORA-förordning, och de bestämmelser som utfärdats med stöd av den. 
Värdepappersföretaget ska tillämpa sunda förfaranden för förvaltning och redovisning samt ha mekanismer för intern kontroll och effektiva riskbedömningsmetoder. 
Värdepappersföretaget ska, utan att begränsa Finansinspektionens tillgång till information, ha inrättat sunda skyddsmekanismer för att garantera skyddet och autentiseringen vid informationsöverföringen i enlighet med EU:s DORA-förordning och de bestämmelser som utfärdats med stöd av den, minimera risken för dataförvanskning och för obehörig åtkomst samt förhindra informationsläckor så att uppgifterna alltid behandlas konfidentiellt. 
 En icke ändrad del av lagtexten har utelämnats 
7 a kap. 
Algoritmisk handel och direkt elektroniskt tillträde till en handelsplats 
1 § 
Algoritmisk handel 
Ett värdepappersföretag som bedriver algoritmisk handel ska ha inrättat effektiva system och riskkontroller som är anpassade för den verksamhet som drivs för att 
1) säkerställa att dess handelssystem är motståndskraftiga och har tillräcklig kapacitet i enlighet med kapitel II i EU:s DORA-förordning och de bestämmelser som utfärdats med stöd av det samt att de omfattas av lämpliga handelströsklar och handelslimiter, 
 En icke ändrad del av lagtexten har utelämnats 
Ett värdepappersföretag som avses i 1 mom. ska dessutom ha inrättat effektiva arrangemang för driftskontinuitet för att hantera avbrott av driften i sina handelssystem. Värdepappersföretaget ska ha en sådan kontinuitetspolicy och sådana kontinuitetsplaner för informations- och kommunikationsteknik (IKT) samt sådana åtgärds- och återställningsplaner avseende IKT som avses i artikel 11 i EU:s DORA-förordning. Värdepappersföretaget ska säkerställa att systemen är fullständigt testade och vederbörligen övervakade för att säkerställa att de uppfyller de krav som föreskrivs i 1 och 2 mom. och i EU:s DORA-förordning och med stöd av den. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

4. Lag om ändring av 19 a och 19 b § i lagen om betalningsinstitut 

I enlighet med riksdagens beslut 
ändras i lagen om betalningsinstitut (297/2010) 19 a § 1 mom. och 19 b §, sådana de lyder i lag 890/2017, som följer: 
19 a § 
Hantering av operativa risker och säkerhetsrisker 
Betalningsinstitut, personer som tillhandahåller betaltjänster med stöd av ett undantag enligt 7 § och sådana leverantörer av kontoinformationstjänster som avses i 7 b § ska inrätta ett tillräckligt riskhanteringssystem med riskhanteringsåtgärder och kontrollmekanismer för att hantera operativa risker och säkerhetsrisker i anslutning till de betaltjänster som de tillhandahåller. De ska ha ett effektivt incidenthanteringsförfarande och kunna upptäcka och klassificera allvarliga operativa incidenter och säkerhetsincidenter. Bestämmelserna i detta moment begränsar inte tillämpningen av kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, nedan EU:s DORA-förordning, och de bestämmelser som utfärdats med stöd av det. 
 En icke ändrad del av lagtexten har utelämnats 
19 b § 
Anmälan om incidenter och bedrägerier 
Ett kontoförande betalningsinstitut och en person som tillhandahåller betaltjänster med stöd av ett undantag enligt 7 § ska göra en anmälan till Finansinspektionen, om de upptäcker att en leverantör av kontoinformationstjänster eller en leverantör av betalningsinitieringstjänster använder ett betalkonto på ett obehörigt eller bedrägligt sätt och det kontoförande betalningsinstitutet eller den som tillhandahåller betaltjänster med stöd av ett undantag enligt 7 § på denna grund förhindrar leverantörens tillträde till betalkontot. Anmälan ska innehålla tillräcklig information om incidenten och om åtgärder med anledning av den. Finansinspektionen ska bedöma fallet och vidta behövliga åtgärder. 
Betalningsinstitut, personer som tillhandahåller betaltjänster med stöd av ett undantag enligt 7 § och sådana leverantörer av kontoinformationstjänster som avses i 7 b § ska minst en gång per år lämna Finansinspektionen statistiska uppgifter om bedrägerier i samband med betalningsinstrument. Finansinspektionen ska lämna Europeiska bankmyndigheten och Europeiska centralbanken dessa uppgifter i aggregerad form. Finansinspektionen får meddela närmare föreskrifter om den rapporteringsskyldighet som avses i detta moment. 
Vad som föreskrivs i 1 och 2 mom. tillämpas inte på institut för elektroniska pengar. 
Bestämmelser om skyldigheten för betalningsinstitut, personer som tillhandahåller betaltjänster med stöd av ett undantag enligt 7 §, sådana leverantörer av kontoinformationstjänster som avses i 7 b § och utgivare av elektroniska pengar att anmäla incidenter relaterade till informations- och kommunikationsteknik samt betalningsrelaterade operativa incidenter eller säkerhetsincidenter finns i kapitel III i EU:s DORA-förordning. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

5. Lag om ändring av 3 kap. 1 och 18 § i lagen om handel med finansiella instrument 

I enlighet med riksdagens beslut 
ändras i lagen om handel med finansiella instrument (1070/2017) 3 kap. 1 § 1, 3 och 5 mom. samt 18 § 1 mom. 1 punkten, sådana de lyder i lag 295/2019, som följer: 
3 kap. 
Organisering av verksamheten på en reglerad marknad 
1 § 
Krav som gäller organisering av verksamheten på en reglerad marknad 
En börs ska organisera sin verksamhet på ett tillförlitligt sätt med beaktande av arten och omfattningen av dess affärsverksamhet. Börsen ska i alla situationer säkerställa den verksamhetsrelaterade riskhanteringen och verksamhetens kontinuitet. Börsen ska hantera risker relaterade till informations- och kommunikationsteknik (IKT) i enlighet med kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, nedan EU:s DORA-förordning, och de bestämmelser som utfärdats med stöd av det. 
 En icke ändrad del av lagtexten har utelämnats 
Börsen ska säkerställa tillförlitligheten och kontinuiteten i handelssystemet också i störningssituationer. Börsen ska ha operativ motståndskraft, som den ska upprätthålla i enlighet med kapitel II i EU:s DORA-förordning och de bestämmelser som utfärdats med stöd av det, så att börsens handelssystem är tillräckligt motståndskraftiga, att den har tillräcklig kapacitet för att hantera toppbelastning i fråga om order- och meddelandevolymer och att den kan upprätthålla ordnad handel under svåra förhållanden på marknaden. För att säkerställa kontinuiteten i tjänsterna på en reglerad marknad ska börsen ha en sådan IKT-kontinuitetspolicy och sådana IKT-kontinuitetsplaner samt sådana åtgärds- och återställningsplaner avseende IKT som avses i artikel 11 i EU:s DORA-förordning. Börsen ska regelbundet testa handelssystemets funktion med belastningstest för att uppfylla de krav som nämns ovan. 
 En icke ändrad del av lagtexten har utelämnats 
Vad som i 1 mom. föreskrivs om börser ska på motsvarande sätt tillämpas på börsers holdingföretag, med undantag för skyldigheten att hantera IKT-relaterade risker i enlighet med kapitel II i EU:s DORA-förordning och de bestämmelser som utfärdats med stöd av det. 
 En icke ändrad del av lagtexten har utelämnats 
18 § 
Algoritmisk handel 
En börs ska ha tillgång till effektiva system och förfaranden för att säkerställa att algoritmisk handel inte orsakar eller är ägnad att orsaka otillbörliga handelsförhållanden och att börsen kan hantera alla otillbörliga handelsförhållanden som beror på algoritmisk handel. Börsens system och förfaranden ska omfatta 
1) skyldighet för handelsparter att testa sina algoritmer i börsens testmiljö i enlighet med kapitel II och IV i EU:s DORA-förordning och de bestämmelser som utfärdats med stöd av dem, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

6. Lag om ändring av 5 kap. 1 § i lagen om placeringsfonder 

I enlighet med riksdagens beslut 
ändras i lagen om placeringsfonder (213/2019) 5 kap. 1 § 1 mom. som följer: 
5 kap. 
Soliditet och riskhantering 
1 § 
Fondbolags riskhantering 
Ett fondbolag får inte i sin verksamhet ta så stora risker att dess soliditet utsätts för väsentlig fara. Fondbolaget ska ha med hänsyn till verksamheten tillräcklig intern kontroll och tillräckliga riskhanteringssystem. Kontroll- och säkerhetsarrangemangen för elektronisk databehandling ska överensstämma med Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 och de bestämmelser som utfärdats med stöd av den. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

7. Lag om ändring av 7 kap. 2 § i lagen om förvaltare av alternativa investeringsfonder 

I enlighet med riksdagens beslut 
ändras i lagen om förvaltare av alternativa investeringsfonder (162/2014) 7 kap. 2 § 1 mom. som följer: 
7 kap. 
Organisering av verksamheten 
2 § 
Rutiner för administration och kontroll 
En AIF-förvaltare ska ha tillförlitliga förfaranden för administration och redovisning. Kontroll- och säkerhetsarrangemangen för elektronisk databehandling ska överensstämma med Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 och de bestämmelser som utfärdats med stöd av den. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

8. Lag om ändring av 1 kap. 13 § och 3 kap. 12 § i lagen om tilläggspensionsstiftelser och tilläggspensionskassor 

I enlighet med riksdagens beslut 
ändras i lagen om tilläggspensionsstiftelser och tilläggspensionskassor (947/2021) 1 kap. 13 § samt 
fogas till 3 kap. 12 § ett nytt 4 mom. som följer: 
1 kap. 
Tillämpning av lagen och de centrala principerna för verksamheten 
13 § 
Bestämmelser vars tillämpning beror på antalet försäkrade 
På en tilläggspensionsanstalt med färre än 100 försäkrade (liten tilläggspensionsanstalt) ska inte 3 kap. 1 och 5—11 §, 12 § 1—3 mom., 13 och 15—17 §, 4 kap. 2 §, 6 kap. 27—35 §, 7 kap. 1 §, 2 § 2 mom., 4, 5 och 8—12 §, 13 kap. och 15 kap. 1—6 och 8—10 § tillämpas. 
På en tilläggspensionsanstalt med färre än 16 försäkrade ska, utöver vad som föreskrivs i 1 mom., tillämpas inte 3 kap. 4 § och 12 § 4 mom. och inte heller 6 kap. 3 § och 16 § 1 mom. 
3 kap. 
Ledningen och företagsstyrningssystemet 
12 § 
Riktlinjer, system för internkontroll och beredskapsplan 
 En icke ändrad del av lagtexten har utelämnats 
Tilläggspensionsanstaltens nätverks- och informationssystem ska överensstämma med Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 och de bestämmelser som utfärdats med stöd av den. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

9. Lag om ändring av 6 kap. 8 § i försäkringsbolagslagen 

I enlighet med riksdagens beslut 
ändras i försäkringsbolagslagen (521/2008) 6 kap. 8 § 4 mom., sådant det lyder i lag 981/2013, som följer: 
6 kap. 
Försäkringsbolagets ledning, företagsstyrningssystem och placering av tillgångar 
8 § 
Allmänna krav på företagsstyrningen 
 En icke ändrad del av lagtexten har utelämnats 
Försäkringsbolaget ska säkerställa kontinuiteten i verksamheten och att verksamheten bedrivs på ett säkert sätt. I detta syfte ska försäkringsbolaget utarbeta en kontinuitetsplan. Försäkringsbolagets nätverks- och informationssystem ska överensstämma med Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 och de bestämmelser som utfärdats med stöd av den. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

10. Lag om ändring av 1 § i lagen om aktiebolaget Fonden för industriellt samarbete Ab 

I enlighet med riksdagens beslut 
fogas till 1 § i lagen om aktiebolaget Fonden för industriellt samarbete Ab (291/1979), sådan paragrafen lyder delvis ändrad i lagarna 1617/1991 och 1083/2000, ett nytt 5 mom. som följer: 
1 § 
 En icke ändrad del av lagtexten har utelämnats 
På bolaget tillämpas inte Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

11. Lag om ändring av 3 § i lagen om statens specialfinansieringsbolag 

I enlighet med riksdagens beslut 
fogas till 3 § i lagen om statens specialfinansieringsbolag (443/1998), sådan paragrafen lyder delvis ändrad i lag 1545/2011, ett nytt 5 mom. som följer: 
3 § 
Förvaltning 
 En icke ändrad del av lagtexten har utelämnats 
På bolaget tillämpas inte Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors 27.9.2024 

I den avgörande behandlingen deltog

ordförande 
Sakari Puisto saf 
 vice ordförande 
Ville Kaunisto saml 
 medlem 
Noora Fagerström saml 
 medlem 
Kaisa Garedew saf 
 medlem 
Lotta Hamari sd 
 medlem 
Antti Kangas saf 
 medlem 
Miapetra Kumpula-Natri sd 
 medlem 
Timo Mehtälä cent 
 medlem 
Matias Mäkynen sd 
 medlem 
Mikko Ollikainen sv 
 medlem 
Mikko Savola cent 
 medlem 
Pia Sillanpää saf 
 medlem 
Oras Tynkkynen gröna 
 medlem 
Sinuhe Wallinheimo saml 
 medlem 
Heikki Vestman saml 
 medlem 
Juha Viitala sd. 
 

Sekreterare var

utskottsråd 
Johanna Rihto-Kekkonen.