Cybersäkerhet (NIS2)
Den nya cybersäkerhetslagen som beretts utifrån Europeiska unionens NIS2-direktiv trädde i kraft den 8 april och medför betydande skyldigheter för flera företag inom olika branscher. Syftet med lagen är att stärka cybersäkerheten och förenhetliga säkerhetsnivån inom hela EU.
Cybersäkerhetscentret vid Traficom har sammanställt ett informationspaket om NIS2-direktivet på sin webbplats. Bekanta dig med innehållet och skyldigheterna i direktivet
Cybersäkerhetslagen gäller flera olika sektorer i stor utsträckning. Skyldigheterna gäller en aktör endast om aktören är tillräckligt stor eller om dess verksamhet annars anses vara kritisk.
Inom de sektorer som övervakas av Tukes omfattas ett företag av skyldigheterna om företaget har minst 50 anställda eller om årsomsättningen och balansomslutningen överstiger 10 miljoner euro.
Väsentliga och viktiga aktörer
Aktörer delas in i väsentliga (mer kritisk) och viktiga (mindre kritisk) utifrån hur kritiska de är.
Ett företag inom energisektorn definieras som en väsentlig aktör (mer kritisk) om företaget har minst 250 anställda eller om företagets årsomsättning överstiger 50 miljoner euro och balansräkningen överstiger 43 miljoner euro. Företag inom kemikalie- och tillverkningssektorn räknas som viktiga (mindre kritiska) aktörer.
Väsentliga aktörer är aktörer som definieras som kritiska med stöd av CER-direktivet. Genomförandet av CER-direktivet pågår fortfarande och inga kritiska aktörer har definierats. En aktör kan också vara väsentlig oavsett storleken om något av följande kriterier uppfylls:
- Aktören är den enda leverantören i en medlemsstat av en tjänst som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.
- En störning av den tjänst som aktören tillhandahåller kan ha en betydande påverkan på allmän ordning, allmän säkerhet eller folkhälsa.
- En störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser.
- Aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i en medlemsstat i Europeiska unionen som är beroende av denna aktör.
Dessa kriterier kan preciseras genom förordning av statsrådet.
Se närmare sektorspecifika definitioner i bilagan till Cybersäkerhetscentrets webbplats (på finska). Lagen tillämpas inte på en aktör om verksamheten enligt bilagan är sporadisk och obetydlig. Verksamhetens slumpmässighet och ringa omfattning ska bedömas i förhållande till verksamhetens varaktighet, verksamhetens huvudsakliga syfte, verksamhetens omfattning och antalet personer eller klienter som är beroende av verksamheten. Företagets verksamhet ska alltså granskas mer omfattande än den huvudsakliga verksamheten eller den klassificering som angetts som bransch. Bekanta dig också med Komissionens rekommendation om definitionen av små och medelstora företag 2003/361/EY.
Sektorer inom Tukes tillsynsansvar
Energisektorn
Tillsynen har fördelats mellan Tukes och Energimyndigheten så att Tukes övervakar företag som producerar och lagrar energi, medan Energimyndigheten övervakar distributionsnäts- och överföringsnätsinnehavare samt naturgasförsäljare.
Tukes övervakar följande aktörer inom energisektorn:
- Oljebranschen (oljeförädlings- och distributionsterminaler)
- Aktörer som producerar och lagrar väte
- Aktörer inom gasbranschen
- innehavare av produktions-, lagrings-, hanterings-, förädlings- och kondensanläggningar för metan samt företag som bedriver denna verksamhet och
- aktörer som ansvarar för de ovan nämnda aktörernas kommersiella, tekniska och underhållsuppgifter.
Tillverkning, produktion och distribution av kemikalier
Enligt cybersäkerhetslagen är tillverkare, producenter och distributörer av kemikalier viktiga aktörer. Sektorn har definierats genom EU:s REACH-förordning (EG nr 1907/2006) och kemikaliesäkerhetslagen (390/2005). Cybersäkerhetslagens skyldigheter gäller företag om ett ämne (inte en blandning) eller ett föremål som företaget tillverkat ska registreras enligt REACH-förordningen och verksamheten förutsätter tillstånd enligt 23 § i kemikaliesäkerhetslagen (390/2005) eller en anmälan enligt 24 § i den lagen. Även tillstånds- eller anmälningspliktiga kemikaliedistributörer omfattas av tillämpningsområdet. Mer information om definitionen av branschen finns i en separat tolkningsanvisning (se PDF-fil). På Europeiska kemikaliemyndigheten ECHA:s webbplats finns mer information om definitionen av tillverkare och distributör.
Tillverkning
I NIS2-direktivet definieras tillverkningssektorn utifrån den näringsgrensindelning (NACE) som används inom EU. Till tillverkningssektorn hör följande branscher och de hör till Tukes tillsynsansvar:
- företag som tillverkar datorer samt elektroniska och optiska produkter enligt nivå 26 i avsnitt C i NACE Rev. 2
- företag som tillverkar elektrisk utrustning enligt nivå 27 i avsnitt C i NACE Rev. 2 och
- företag som tillverkar datorer samt elektroniska och optiska produkter enligt nivå 28 i avsnitt C i NACE Rev. 2
Mer information om näringsgrensindelningen NACE/TOL finns på Tullens webbplats. Det väsentliga är att granska tvåsiffrig nivå (26, 27 och 28) dvs. om den tillverkade artikeln är en anordning som avses på tvåsiffrig nivå. De underliggande nivåerna kan underlätta identifieringen, men de innehåller inte en förteckning över alla enheter som avses på tvåsiffrig nivå.
Skyldigheterna gäller viktiga och väsentliga aktörer lika mycket, men myndigheten övervakar dessa på olika sätt. Endast väsentliga aktörer är föremål för förhandsövervakning.
Alla övervakande myndigheter och deras ansvarssektorer finns listade på Cybersäkerhetscentrets webbplats (på finska).
Aktörerna är skyldiga att:
- anmäla sig till Tukes aktörsförteckning senast den 8 maj
- fullgöra lagstadgade riskhanteringsskyldigheter för cybersäkerheten
- utan dröjsmål anmäla betydande incidenter som drabbat dess tjänster.
Aktören ska själv identifiera att den omfattas av lagens tillämpningsområde och på eget initiativ anmäla sig till aktörsförteckningen. Du kan använda Tukes bedömningsverktyg som stöd. Anmälan till aktörsförteckningen görs i e-tjänsten. Den som gör anmälan ska ha rätt att uträtta ärenden för företagets räkning. Rättigheten kan till exempel vara en roll som antecknats i handelsregistret och där man i rollen har rätt att själv representera företaget. Om det inte finns någon rättighet kan företaget ge en person fullmakt med Suomi.fi-ärendefullmakt. Mer information om att uträtta ärenden för ett företags räkning och ge fullmakter som företag finns i anvisningarna för Suomi.fi-fullmakter under Uträttande av ärenden för en organisation och Att ge fullmakter som organisation.
Aktören ska ha en aktuell verksamhetsmodell för riskhantering inom cybersäkerhet för att skydda kommunikationsnäten och informationssystemen. Verksamhetsmodellen för riskhantering ska ha utarbetats senast den 8 juli.
Läs mer om kraven på Cybersäkerhetscentrets webbplats.
I Finland görs avvikelseanmälan med Cybersäkerhetscentrets NIS2-anmälningsapplikation. När Cybersäkerhetscentrets NIS2-anmälningsapplikation används förmedlas informationen till Tukes, men även till Cybersäkerhetscentret. Cybersäkerhetscentret använder informationen som det får för att sammanställa en lägesbild över den nationella cybersäkerheten och förmedla allmän kunskap om informationssäkerhet.
- Cybersäkerhetslagen 124/2025
- NIS2-direktivet
- CER-direktivet
- Komissionens rekommendation om definitionen av små och medelstora företag 2003/361/EY
- Cybersäkerhetscentrets webbplats
- NACE/TOL-branschklassificering
- Bedömningsverktyg för aktörer
Mer information och kontakter
[email protected]
Vi uppdaterar informationen som gäller de sektorer som övervakas av Tukes på denna sida.