Cybersäkerhetslagen trädde i kraft – anmäl dig till aktörsförteckningen senast den 8 maj

Utgivningsdatum 8.4.2025 15.31
Typ:Nyhet

Den nya cybersäkerhetslagen som beretts utifrån Europeiska unionens NIS2-direktiv trädde i kraft den 8 april och medför betydande skyldigheter för flera företag inom olika branscher. Syftet med lagen är att stärka cybersäkerheten och förenhetliga säkerhetsnivån inom hela EU. Företag som definierats som viktiga och väsentliga aktörer har flera skyldigheter. Kontrollera om du hör till en sektor som omfattas av Säkerhets- och kemikalieverkets (Tukes) tillsynsansvar och anmäl dig till aktörsförteckningen senast den 8 maj.

Vem berörs av skyldigheterna?

Skyldigheterna inom cybersäkerheten gäller endast tillräckligt stora eller kritiska aktörer. Till exempel inom de sektorer som övervakas av Tukes omfattas ett företag av skyldigheterna om det har minst 50 anställda eller om årsomsättningen och balansomslutningen överstiger 10 miljoner euro. 

Företagen delas in i två grupper utifrån hur kritiska de är: väsentliga och viktiga aktörer. Skyldigheterna gäller viktiga och väsentliga aktörer lika mycket, men myndigheten övervakar dessa på olika sätt. Endast väsentliga aktörer är föremål för förhandsövervakning.

Tukes tillsynsansvar omfattar följande branscher:

  • Energisektorn: förädling av olja och distributionsterminaler, produktion och lagring av väte samt produktion, lagring och förädling av metan.
  • Kemikaliesektorn: Tillverkning av ämnen och föremål som registreras enligt REACH-förordningen samt distribution av kemikalier när verksamheten är tillstånds- eller anmälningsskyldig enligt kemikaliesäkerhetslagen (390/2005). Obs! Skyldigheterna gäller distribution av ämnen och blandningar, men inte tillverkare av blandningar.
  • Tillverkningssektorn: tillverkning av datorer, elektroniska och optiska produkter, tillverkning av elektrisk utrustning samt tillverkning av andra maskiner och produkter enligt NACE Rev. 2-klassificeringen.

Du hittar närmare branschspecifika definitioner och anvisningar på Tukes webbplats. Alla övervakande myndigheter och deras ansvarssektorer finns listade på Cybersäkerhetscentrets webbplats.

Det är obligatoriskt att anmäla sig till aktörsförteckningen

Företagen är skyldiga att:

  • anmäla sig till aktörsförteckningen senast den 8 maj
  • fullgöra lagstadgade riskhanteringsskyldigheter för cybersäkerheten
  • utan dröjsmål anmäla betydande incidenter som drabbat dess tjänster. 

Företaget ska utreda till vilken myndighet anmälan ska göras eftersom tillsynsansvaret varierar från bransch till bransch. Anmälan till Tukes aktörsförteckning görs på eget initiativ via e-tjänsten. Den som gör anmälan ska ha rätt att uträtta ärenden för företagets räkning. Rättigheten kan till exempel vara en roll som antecknats i handelsregistret och där man i rollen har rätt att själv representera företaget. Om det inte finns någon rättighet kan företaget ge en person fullmakt med Suomi.fi-ärendefullmakt. Mer information om att uträtta ärenden för ett företags räkning och ge fullmakter som företag finns i anvisningarna för Suomi.fi-fullmakter under Uträttande av ärenden för en organisation och Att ge fullmakter som organisation.

Verksamhetsmodellen för riskhantering ska ha utarbetats senast den 8 juli. I Finland görs avvikelseanmälningarna med Cybersäkerhetscentrets NIS2-anmälningsapplikation, varifrån uppgifterna förmedlas till både Tukes och Cybersäkerhetscentret.

Ändringar i kemikaliesäkerhetslagen

Företag som bedriver verksamhet med kemikaliesäkerhetstillstånd från Tukes är skyldiga att säkerställa sin cybersäkerhet. I kemikaliesäkerhetslagen (390/2015) har det införts en hänvisning till cybersäkerhetslagen (5 §) samt en ny paragraf, 109 a §. Enligt den ska företaget åtgärda brister i cybersäkerheten inom en utsatt tidsfrist. Om bristerna inte åtgärdas kan Tukes helt eller delvis återkalla kemikaliesäkerhetstillståndet.

Mer information:
Cybersäkerhet (NIS2) på Tukes webbplats
Cybersäkerhetscentrets webbplats

Frågor:

[email protected]

Se även

Utrustningen har betydelse inom hobbyverksamhet med hästar – kontrollera följande innan du stiger upp i sadeln

Typ:Nyhet Utgivningsdatum:9.4.2025 8.32

Utredningen av explosionsolyckan vid kartongfabriken i Kuopio har slutförts – Tukes utredningsgrupp föreslår flera åtgärder för att förbättra säkerheten

Typ:Pressmeddelande Utgivningsdatum:31.3.2025 9.00

I fortsättningen finns det ingen personsökning på Tukes webbplats

Typ:Nyhet Utgivningsdatum:28.3.2025 9.09