Övervakningen gäller flera olika verksamhetsområden. Fimea är ansvarig för övervakningen av aktörer inom följande hälso- och tillverkningsbranscher:
- Aktörer som tillverkar farmaceutiska basprodukter och läkemedel som avses i avsnitt C huvudgrupp 21 i Nace Rev. 2
- Aktörer som bedriver forskning och utveckling av läkemedel
- Inrättningar för blodtjänst
- Apotek
- Aktörer som lämnar ut eller tillhandahåller läkemedel eller medicintekniska produkter i egenskap av hälso- och sjukvårdspersonal
- Aktörer som tillverkar medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik
Lagen tillämpas på juridiska personer och fysiska personer (aktörer) som:
1) bedriver verksamhet som avses i bilaga I eller II, eller är en aktör som avses i de nämnda bilagorna; och
2) uppfyller eller överskrider villkoren för medelstora företag enligt artikel 2 i kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag, och tillhandahåller sina tjänster eller bedriver sin verksamhet i någon av Europeiska unionens medlemsstater. Kommissionens rekommendation.
Dessutom tillämpas cybersäkerhetslagen på aktörer som har identifierats som kritiska enligt lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025), oberoende av deras storlek.
Dessutom tillämpas denna lag på aktörer som oberoende av storlek bedriver verksamhet som avses i bilaga I eller II, eller som är en aktör som avses i de nämnda bilagorna, om:
1) aktören tillhandahåller en tjänst som är väsentlig för att upprätthålla kritiska samhälleliga eller ekonomiska funktioner och som inte tillhandahålls av andra aktörer;
2) en störning av den tjänst som aktören tillhandahåller skulle ha en betydande påverkan på allmän ordning, allmän säkerhet eller folkhälsa;
3) en störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser; eller
4) aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i en medlemsstat i Europeiska unionen som är beroende av denna aktör.
Kriterierna kan preciseras genom förordning av statsrådet.
Aktörerna delas in i väsentliga och viktiga aktörer som förutom storleken även påverkas av verksamhetsområdet. Dessutom är både aktörer som är oberoende av storleken och aktörer som är kritiska enligt CER-direktivet väsentliga aktörer. Anmälningsskyldigheten till aktörsförteckningen samt riskhanterings- och rapporteringsskyldigheterna gäller både väsentliga och viktiga aktörer.
Att observera: Aktören ska själv identifiera att den omfattas av lagens tillämpningsområde och på eget initiativ anmäla sig till aktörsförteckningen.