Cybersäkerhet (NIS2)

Den nya cybersäkerhetslagen som beretts utifrån Europeiska unionens NIS2-direktiv trädde i kraft den 8 april och medför betydande skyldigheter för flera företag inom olika branscher. Syftet med lagen är att stärka cybersäkerheten och förenhetliga säkerhetsnivån inom hela EU.

Cybersäkerhetscentret vid Traficom har sammanställt ett informationspaket om NIS2-direktivet på sin webbplats. Bekanta dig med innehållet och skyldigheterna i direktivet

Cybersäkerhetslagen gäller flera olika sektorer i stor utsträckning. Skyldigheterna gäller en aktör endast om aktören är tillräckligt stor eller om dess verksamhet annars anses vara kritisk.

Inom de sektorer som övervakas av Tukes omfattas ett företag av skyldigheterna om företaget har minst 50 anställda eller om årsomsättningen och balansomslutningen överstiger 10 miljoner euro.

Väsentliga och viktiga aktörer

Aktörer delas in i väsentliga (mer kritisk) och viktiga (mindre kritisk) utifrån hur kritiska de är.

Ett företag inom energisektorn definieras som en väsentlig aktör (mer kritisk) om företaget har minst 250 anställda eller om företagets årsomsättning överstiger 50 miljoner euro och balansräkningen överstiger 43 miljoner euro. Företag inom kemikalie- och tillverkningssektorn räknas som viktiga (mindre kritiska) aktörer.

Väsentliga aktörer är aktörer som definieras som kritiska med stöd av CER-direktivet. Genomförandet av CER-direktivet pågår fortfarande och inga kritiska aktörer har definierats. En aktör kan också vara väsentlig oavsett storleken om något av följande kriterier uppfylls:

Aktören är den enda leverantören i en medlemsstat av en tjänst som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.
En störning av den tjänst som aktören tillhandahåller kan ha en betydande påverkan på allmän ordning, allmän säkerhet eller folkhälsa.
En störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser.
Aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i en medlemsstat i Europeiska unionen som är beroende av denna aktör.

Dessa kriterier kan preciseras genom förordning av statsrådet.

Se närmare sektorspecifika definitioner i bilagan till Cybersäkerhetscentrets webbplats (på finska). Lagen tillämpas inte på en aktör om verksamheten enligt bilagan är sporadisk och obetydlig. Verksamhetens slumpmässighet och ringa omfattning ska bedömas i förhållande till verksamhetens varaktighet, verksamhetens huvudsakliga syfte, verksamhetens omfattning och antalet personer eller klienter som är beroende av verksamheten. Företagets verksamhet ska alltså granskas mer omfattande än den huvudsakliga verksamheten eller den klassificering som angetts som bransch. Bekanta dig också med Komissionens rekommendation om definitionen av små och medelstora företag 2003/361/EY.

Sektorer inom Tukes tillsynsansvar

Energisektorn
Tillsynen har fördelats mellan Tukes och Energimyndigheten så att Tukes övervakar företag som producerar och lagrar energi, medan Energimyndigheten övervakar distributionsnäts- och överföringsnätsinnehavare samt naturgasförsäljare.

Tukes övervakar följande aktörer inom energisektorn:

Oljebranschen (oljeförädlings- och distributionsterminaler)
Aktörer som producerar och lagrar väte
Aktörer inom gasbranschen
- innehavare av produktions-, lagrings-, hanterings-, förädlings- och kondensanläggningar för metan samt företag som bedriver denna verksamhet och
- aktörer som ansvarar för de ovan nämnda aktörernas kommersiella, tekniska och underhållsuppgifter.

Tillverkning, produktion och distribution av kemikalier
Enligt cybersäkerhetslagen är tillverkare, producenter och distributörer av kemikalier viktiga aktörer. Sektorn har definierats genom EU:s REACH-förordning (EG nr 1907/2006) och kemikaliesäkerhetslagen (390/2005). Cybersäkerhetslagens skyldigheter gäller företag om ett ämne (inte en blandning) eller ett föremål som företaget tillverkat ska registreras enligt REACH-förordningen och verksamheten förutsätter tillstånd enligt 23 § i kemikaliesäkerhetslagen (390/2005) eller en anmälan enligt 24 § i den lagen. Även tillstånds- eller anmälningspliktiga kemikaliedistributörer omfattas av tillämpningsområdet. Mer information om definitionen av branschen finns i en separat tolkningsanvisning (se PDF-fil). På Europeiska kemikaliemyndigheten ECHA:s webbplats finns mer information om definitionen av tillverkare och distributör.

Tillverkning
I NIS2-direktivet definieras tillverkningssektorn utifrån den näringsgrensindelning (NACE) som används inom EU. Till tillverkningssektorn hör följande branscher och de hör till Tukes tillsynsansvar:

företag som tillverkar datorer samt elektroniska och optiska produkter enligt nivå 26 i avsnitt C i NACE Rev. 2
företag som tillverkar elektrisk utrustning enligt nivå 27 i avsnitt C i NACE Rev. 2 och
företag som tillverkar datorer samt elektroniska och optiska produkter enligt nivå 28 i avsnitt C i NACE Rev. 2

Mer information om näringsgrensindelningen NACE/TOL finns på Tullens webbplats. Det väsentliga är att granska tvåsiffrig nivå (26, 27 och 28) dvs. om den tillverkade artikeln är en anordning som avses på tvåsiffrig nivå. De underliggande nivåerna kan underlätta identifieringen, men de innehåller inte en förteckning över alla enheter som avses på tvåsiffrig nivå.

Skyldigheterna gäller viktiga och väsentliga aktörer lika mycket, men myndigheten övervakar dessa på olika sätt. Endast väsentliga aktörer är föremål för förhandsövervakning.

Alla övervakande myndigheter och deras ansvarssektorer finns listade på Cybersäkerhetscentrets webbplats.

Aktörerna är skyldiga att:

anmäla sig till Tukes aktörsförteckning senast den 8 maj
fullgöra lagstadgade riskhanteringsskyldigheter för cybersäkerheten
utan dröjsmål anmäla betydande incidenter som drabbat dess tjänster.

Aktören ska ha en aktuell verksamhetsmodell för riskhantering inom cybersäkerhet för att skydda kommunikationsnäten och informationssystemen. Verksamhetsmodellen för riskhantering ska ha utarbetats senast den 8 juli.

Läs mer om kraven på Cybersäkerhetscentrets webbplats.

Aktören ska själv identifiera att den omfattas av lagens tillämpningsområde och på eget initiativ anmäla sig till aktörsförteckningen. Du kan använda Tukes bedömningsverktyg som stöd.

Anmälan till aktörsförteckningen görs i e-tjänsten.

Med formulär kan företaget:

anmäla sig till Tukes aktörsförteckning
meddela ändringar i uppgifterna i aktörsförteckningen
meddela att det inte längre omfattas av regleringens tillämpningsområde.

I anmälan samlas uppgifter om aktören och verksamheten in i enlighet med 41 § i cybersäkerhetslagen. Aktörerna ska underrätta tillsynsmyndigheten om ändringar i uppgifterna inom två veckor från det att ändringen gjordes.

OBS. Den som gör anmälan ska ha rätt att uträtta ärenden för företagets räkning. Rättigheten kan till exempel vara en roll som antecknats i handelsregistret och där man i rollen har rätt att själv representera företaget. Om det inte finns någon rättighet kan företaget ge en person fullmakt med Suomi.fi-ärendefullmakt. Mer information om att uträtta ärenden för ett företags räkning och ge fullmakter som företag finns i anvisningarna för Suomi.fi-fullmakter under Uträttande av ärenden för en organisation och Att ge fullmakter som organisation.

Bestämmelser om utlämnande av IP-adresser till tillsynsmyndigheten finns i NIS2-direktivet, cybersäkerhetslagen, informationshanteringslagen och lagen om elektroniska kommunikationstjänster (artiklarna 3 och 27 i NIS2-direktivet, 41 § i cybersäkerhetslagen, 18 a § i informationshanteringslagen och 165 § i lagen om elektroniska kommunikationstjänster).

Tillhandahållandet av IP-adresser gör det möjligt att proaktivt upptäcka sårbarheter, cyberhot och osäkert konfigurerade inställningar för kommunikationsnätverk och informationssystem från organisationer som berörs av NIS2-direktivet. Dessa resultat kommuniceras till organisationen, vilket förbättrar de berörda parternas förmåga att skydda sig mot sårbarhetsexploateringar och cyberhot. I Finland är det Transport- och kommunikationsverkets s.k. CSIRT-enhet som ansvarar för åtgärderna. CSIRT-enheten har rätt att få information om förtäckningen över aktörer av tillsynsmyndigheten (41 § i cybersäkerhetslagen).

I enlighet med kraven i NIS2-direktivet ska en aktör som omfattas av regleringen anmäla alla offentliga IP-adressområden som tillhör aktören till den tillsynsmyndighet som ansvarar för övervakningen.

Om IP-adresserna hanteras av en tredje part, till exempel en teleoperatör eller tjänsteleverantör, är det den reglerade aktörens ansvar att inhämta dessa IP-adressuppgifter och vidarebefordra dem till tillsynsmyndigheten.

IP-adress: En numerisk identifierare för en databehandlings- eller kommunikationsenhet eller nätverksanslutning som är ansluten till internet, till exempel 198.51.100.34.

IP-adressområde: Ett område som består av flera offentliga nätverksadresser (IP-adresser).

IP-adressområden ska anmälas till NIS2-aktörsförteckningen i följande format:

t.ex. 198.51.100.0–198.51.100.255 eller 93.190.96.0–93.190.103.255 (IP-range), eller
t.ex. 198.51.100.0/24 eller 93.190.96.0/21 (CIDR-format).

Det är även möjligt att anmäla enskilda IP-adresser om ett större adressområde inte är känt: t.ex. 198.51.100.34 eller i IPv6-format: t.ex. 2001:db8:3333:4444:5555:6666:7777:8888.

Obs. Följande nätverk är så kallade privata nätverk, det vill säga interna adressområden, och ska inte anmälas till aktörsförteckningen:

IPv4:
- 10.0.0.0–10.255.255.255 eller 10.0.0.0/8
- 172.16.0.0–172.31.255.254 eller 172.16.0.0/12
- 192.168.0.0–192.168.255.255 eller 192.168.0.0/24
IPv6:
- fc00::/7
- fec0::/10

För att få fram den information som behövs rekommenderar vi att ni kontaktar er IT-support eller tjänsteleverantör.

Enligt 11 § i cybersäkerhetslagen ska aktören utan dröjsmål underrätta tillsynsmyndigheten om varje betydande incident.

I Finland görs anmälan om betydande incident med Cybersäkerhetscentrets NIS2-anmälningsapplikation. När Cybersäkerhetscentrets NIS2-anmälningsapplikation används förmedlas informationen till Tukes, men även till Cybersäkerhetscentret.

Med en betydande incident avses en incident som

har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller betydande ekonomiska förluster för den berörda aktören, samt
har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada.

Den första anmälan ska göras inom 24 timmar från det att den betydande incidenten upptäcktes och den uppföljande anmälan inom 72 timmar från det att den betydande incidenten upptäcktes.

Aktören ska lämna tillsynsmyndigheten en slutrapport om en betydande incident inom en månad från det att den uppföljande anmälan lämnades in eller, om det är fråga om en långvarig incident, inom en månad från det att hanteringen av den avslutades.

Dessutom ska aktören vid behov underrätta en betydande incident och ett betydande cyberhot till andra parter än myndigheterna, till exempel mottagarna av företagets tjänster.

Cybersäkerhetscentret använder informationen som det får för att sammanställa en lägesbild över den nationella cybersäkerheten och förmedla allmän kunskap om informationssäkerhet.

Mer information och kontakter
[email protected]

Vi uppdaterar informationen som gäller de sektorer som övervakas av Tukes på denna sida.

Cybersäkerhet (NIS2)

Vem berörs av skyldigheterna?

Vilka är skyldigheterna?

Hur anmäler jag mig till aktörsförteckningen?

IP-adressuppgifter

Hur och när rapporterar jag en betydande incident?

Lagstiftning och tilläggsuppgifter

Säkerhets- och kemikalieverket (Tukes)