Kritiska entiteters motståndskraft

Den behöriga tillsynsmyndigheten övervakar att de skyldigheter som föreskrivits och ålagts den kritiska aktören fullgörs. 

Fimea fungerar som tillsynsmyndighet för följande aktörer som är utsedda som kritiska: 

a) aktörer som bedriver forskning och utveckling avseende läkemedel enligt i artikel 1.2 i Europaparlamentets och rådets direktiv 2001/83/EG om upprättande av gemenskapsregler för humanläkemedel, nedan läkemedelsdirektivet;
b) tillverkare av farmaceutiska basprodukter och läkemedel som avses i huvudgrupp 21 avdelning C i NACE Rev. 2 som fastställs i Europaparlamentets och rådets förordning (EG) nr 1893/2006 om fastställande av den statistiska näringsgrensindelningen NACE Rev. 2 och om ändring av rådets förordning (EEG) nr 3037/90, sådant den lyder senast ändrat genom kommissionens delegerade förordning (EU) 2023/137;
c) tillverkare av medicintekniska produkter som anses vara kritiska under ett hot mot folkhälsan enligt Europaparlamentets och rådets förordning (EU) 2022/123, artikel 22, som styr Europeiska läkemedelsmyndighetens roll i krisberedskap och -hantering för läkemedel och medicintekniska produkter;
d) innehavare av tillstånd att bedriva partihandel som avses i artikel 79 i läkemedelsdirektivet och apotek ;
e) aktörer enligt patientdirektivet som lämnar ut och tillhandahåller läkemedel och medicintekniska produkter samt inrättningar för blodtjänst;

Tillsynen riktas mot de kritiska aktörerna för att säkerställa efterlevnaden av de skyldigheter som föreskrivs i lagen, i den omfattning det är nödvändigt. 

EU:s medlemsstater ska enligt CER-direktivet för första gången fastställa kritiska aktörer senast den 17 juli 2026. När det gäller aktörer som övervakas av Fimea definieras de kritiska aktörerna av Social- och hälsovårdsministeriet. Beslutet är i kraft högst fyra år.

10 §: Ett privat eller offentligt samfund eller en funktionell del av ett privat eller offentligt samfund kan definieras som en kritisk aktör, om 

1) aktören tillhandahåller en eller flera tjänster som är viktiga med tanke på samhällets funktionsförmåga;
2) aktören är verksam inom Finland och den kritiska infrastruktur som aktören äger, besitter eller använder finns i Finland;
3) en incident har betydande störande effekter enligt 11 och 12 §
a) för tillhandahållandet av en eller flera av de samhällsviktiga tjänsterna i fråga; eller
b) för tillhandahållandet av andra samhällsviktiga tjänster inom sektorer som är beroende av tjänsten.

Vid fastställandet av en kritisk aktör beaktas den riksomfattande planen för kritiska aktörers motståndskraft och den nationella riskbedömningen för kritisk infrastruktur och kritiska aktörers motståndskraft samt gränsöverskridande verksamhet och europeiska samstämmigheten.

Läs mer om betydande störande effekter i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025).

Lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft medför skyldigheter för kritiska aktörer bland annat i anslutning till riskbedömning, säkerställande av motståndskraft, plan för motståndskraft samt förfaranden för incidenter.

Aktörer som definierats som kritiska aktörer enligt lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft tillämpas cybersäkerhetslag oberoende av deras storlek, vilket också medför skyldigheter enligt cybersäkerhetslagen för kritiska aktörer, vilket innefattar:

• Anmälningsskyldighet till tillsynsmyndighetens aktörsförteckning 
• Skyldigheter för riskhantering inom cybersäkerhet
• Skyldigheter att rapportera om cybersäkerhet incidenter

Cybersäkerhetslagen samt 10–18 § och 41 § tillämpas på en kritisk aktör tre månader efter det att aktören har fått del av det beslut genom vilket den identifierats som en kritisk aktör. Bestämmelserna i 7–9 § i Cybersäkerhetslagen tillämpas dock på en kritisk aktör först nio månader efter det att aktören har fått del av det beslut genom vilket den identifierats som kritisk aktör.

Läs mer om skyldigheterna för kritiska aktörer och deras förhållande till annan lagstiftning i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025).