Cybersäkerhet

Övervakningen gäller flera olika verksamhetsområden.  Fimea är ansvarig för övervakningen av aktörer inom följande hälso- och tillverkningsbranscher:  

• Aktörer som tillverkar farmaceutiska basprodukter och läkemedel som avses i avsnitt C huvudgrupp 21 i Nace Rev. 2 
• Aktörer som bedriver forskning och utveckling av läkemedel
• Inrättningar för blodtjänst
• Apotek
• Aktörer som lämnar ut eller tillhandahåller läkemedel eller medicintekniska produkter i egenskap av hälso- och sjukvårdspersonal
• Aktörer som tillverkar medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik

Lagen tillämpas på juridiska personer och fysiska personer (aktörer) som:  

1) bedriver verksamhet som avses i bilaga I eller II, eller är en aktör som avses i de nämnda bilagorna; och

2) uppfyller eller överskrider villkoren för medelstora företag enligt artikel 2 i kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag, och tillhandahåller sina tjänster eller bedriver sin verksamhet i någon av Europeiska unionens medlemsstater. Kommissionens rekommendation. 

Dessutom tillämpas cybersäkerhetslagen på aktörer som har identifierats som kritiska enligt lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025), oberoende av deras storlek.

Dessutom tillämpas denna lag på aktörer som oberoende av storlek bedriver verksamhet som avses i bilaga I eller II, eller som är en aktör som avses i de nämnda bilagorna, om:  

1) aktören tillhandahåller en tjänst som är väsentlig för att upprätthålla kritiska samhälleliga eller ekonomiska funktioner och som inte tillhandahålls av andra aktörer; 
2) en störning av den tjänst som aktören tillhandahåller skulle ha en betydande påverkan på allmän ordning, allmän säkerhet eller folkhälsa;
3) en störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser; eller 
4) aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i en medlemsstat i Europeiska unionen som är beroende av denna aktör. 

Kriterierna kan preciseras genom förordning av statsrådet. 

Aktörerna delas in i väsentliga och viktiga aktörer som förutom storleken även påverkas av verksamhetsområdet. Dessutom är både aktörer som är oberoende av storleken och aktörer som är kritiska enligt CER-direktivet väsentliga aktörer. Anmälningsskyldigheten till aktörsförteckningen samt riskhanterings- och rapporteringsskyldigheterna gäller både väsentliga och viktiga aktörer.  

Att observera: Aktören ska själv identifiera att den omfattas av lagens tillämpningsområde och på eget initiativ anmäla sig till aktörsförteckningen. 

Cybersäkerhetslagen medför följande skyldigheter

• Anmälningsskyldighet till tillsynsmyndighetens aktörsförteckning
• Skyldigheter för riskhantering inom cybersäkerhet
• Skyldigheter att rapportera om cybersäkerhet incidenter

Den anmälan som avses i 41 § i cybersäkerhetslagen ska göras senast inom en månad från det att lagen trätt i kraft eller det att de kriterier som i 3 § anges för en aktör uppfylls. Den handlingsmodell för hantering av cybersäkerhetsrisker som avses i 8 § ska upprättas senast inom tre månader från det att lagen trätt i kraft eller det att de kriterier som i 3 § fastställts för en aktör uppfylls.

Om en aktör identifieras som en kritisk aktör, tillämpas 10–18 § och 41 § i cybersäkerhetslagen på aktören tre månader efter det att aktören har fått del av det beslut genom vilket den identifierats som en kritisk aktör. Bestämmelserna i 7–9 § i cybersäkerhetslagen tillämpas dock på en kritisk aktör först nio månader efter det att aktören har fått del av det beslut genom vilket den identifierats som en kritisk aktör.

Enligt 11 § i cybersäkerhetslag ska Aktören utan dröjsmål underrätta tillsynsmyndigheten om en betydande incident.

Anmälan om betydande incident görs via Traficoms applikation för anmälan om incident.

Anmälan om betydande incident (Traficom)

Med betydande incident avses en incident som 

• Har orsakat eller kan orsaka en allvarlig funktionsstörning i tjänsterna eller betydande ekonomiska förluster för den berörda aktören, samt
• En incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada. 

Rapporteringsskyldigheten inkluderar tidsgränser för inlämnande av den första anmälan, den uppföljande anmälan och slutrapporten (11 §, 12 §, 13 §).

• Den första anmälan ska göras inom 24 timmar från det att incidenten upptäcktes och den uppföljande anmälan inom 72 timmar från det att incidenten upptäcktes. 
• Aktören ska på begäran av tillsynsmyndigheten ge ytterligare information eller en delrapport om situationsuppdateringar som gäller en betydande incident och om hur behandlingen framskrider. Om en betydande incident är långvarig ska aktören lämna en delrapport senast en månad efter att den uppföljande anmälan har lämnats in.
• Aktören ska lämna en slutrapport om den betydande incidenten till tillsynsmyndigheten inom en månad från det att den uppföljande anmälan lämnades in eller, om det är fråga om en långvarig incident, inom en månad från det att behandlingen av den avslutades.

Dessutom ska aktören vid behov anmäla incidenter och cyberhot till andra än myndigheten, såsom mottagare av sina tjänster (14 §). Anvisningar om hur man kommunicerar om cyberattacker finns på Cybersäkerhetscentrets webbplats: ”Miten viestimme kyberhyökkäyksistä?” (Hur kommunicerar vi om cyberattacker?, på finska, Kyberturvallisuuskeskus.fi).

Kom ihåg att även beakta andra eventuella anmälningsskyldigheter till Fimea, såsom tillverkarens rapporter om tillbud med medicintekniska produkter samt andra anmälningar enligt läkemedels- och blodtjänstlagstiftningen.

Måste jag anmäla mig till Fimea?  

Anmälan till Fimeas aktörsförteckning ska göras om aktören omfattas av lagens tillämpningsområde och är en aktör som Fimea övervakar. 

Hur gör jag en anmälan till Fimeas NIS2-aktörsförteckning?  
Väsentliga och viktiga aktörer som kommer att omfattas av Fimeas tillsyn i Finland enligt cybersäkerhetslagen 124/2025, kan nu göra anmälan till Fimeas NIS2-aktörsförteckning med elektronisk ärendehantering. I e-tjänsten kan du: 

• Anmäla dina aktörsuppgifter enligt 41 § i cybersäkerhetslagen
• Hantera de anmälda uppgifterna (göra ändringsanmälningar)
  • Aktörerna ska utan dröjsmål anmäla ändringar i de uppgifter som avses i denna paragraf. Ändringar i de uppgifter som avses i 2 mom. ska anmälas till tillsynsmyndigheten inom två veckor.
• Kontrollera dina registrerade uppgifter. 

Logga in på NIS2-aktörsförteckning
 

I anmälan insamlas aktörsuppgifter enligt 41 § i lagen, som omfattar: 

• Aktörens namn
• Adress, e-postadress, telefonnummer och andra aktuella kontaktuppgifter;
• IP-adressområde;
• Relevant verksamhetsområde och den del av det som avses i bilaga I eller II till NIS 2-direktivet;
• Uppgift om huruvida det är en väsentlig aktör;
• En förteckning över de medlemsstater i Europeiska unionen där den tillhandahåller tjänster som omfattas av NIS 2-direktivet; och
• Deltagande i det frivilliga arrangemanget för informationsutbyte om cybersäkerhet som avses i 23 § 

Fimea har öppnat en e-tjänst för anmälan, hantering och granskning av aktörsuppgifter relaterade till cybersäkerhet. 

Den elektroniska ärendehanteringen i NIS2-aktörsförteckningen är avsedd för följande väsentliga och viktiga aktörer enligt lagens tillämpningsområde: 

• Aktörer som tillverkar farmaceutiska basprodukter och läkemedel
• Aktörer som bedriver forskning och utveckling av läkemedel
• Inrättningar för blodtjänst
• Apotek och aktörer som lämnar ut eller tillhandahåller läkemedel och medicintekniska produkter i egenskap av hälso- och sjukvårdspersonal
• Aktörer som tillverkar medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik
• Kritiska aktörer som har identifierats med stöd av lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025)

I e-tjänsten kan du: 

• Anmäla dina aktörsuppgifter enligt 41 § i cybersäkerhetslagen
• Hantera de anmälda uppgifterna (göra ändringsanmälningar)
  • Aktörerna ska utan dröjsmål anmäla ändringar i de uppgifter som avses i denna paragraf. Ändringar i de uppgifter som avses i 2 mom. ska anmälas till tillsynsmyndigheten inom två veckor. 
• Kontrollera dina registrerade uppgifter. 

Användningen kräver en finsk personbeteckning och identifieringsverktyg, t.ex.

• nätbankskoder
• mobilcertifikat 
• ett chipförsett identitetskort som gör det möjligt att uträtta ärenden på nätet

För att kunna uträtta ärenden för din organisation eller ditt företag ska du därtill ha de rättigheter som krävs för att sköta ärenden för organisationen eller företaget.  
Du behöver inte en separat Suomi.fi-fullmakt i Fimeas e-tjänst om du uträttar ärenden för ett företag eller en organisation och det i handelsregistret har antecknats att du har någon av följande institutionella roller: 

• verkställande direktör och ställföreträdare för verkställande direktören 
• utredningsman 
• näringsidkare (det räcker att höra till företags- och organisationsdatasystemet) 
• ansvarig bolagsman 
• prokurist (rätt att ensam teckna firma)

Om du inte arbetar i organisationen eller företaget i ovan nämnda roller, ska du begära ärendefullmakt i Suomi.fi-tjänsten och organisationen eller företaget ska bevilja dig fullmakt. Namnet på fullmakten i Suomi.fi-fullmaktstjänsten för den elektroniska ärendetjänsten för NIS2-aktörsförteckningen är "Anmälan av aktörsuppgifter i anslutning till cybersäkerhet". Läs mer om att ge fullmakter i anvisningen Uträttande av ärenden för en organisation: fullmakt (pdf) och Att ge Suomi.fi-fullmakter som organisation.

Logga in på NIS2-aktörsförteckning

Observera: Om den elektroniska anmälningen till NIS2-aktörsförteckningen inte lyckas, vänligen kontakta oss på [email protected].

Bruksanvisning för e-tjänsten
Anvisning för elektronisk ärendehantering för NIS2- aktörsförteckningen (pdf)
Uträttande av ärenden för en organisation: fullmakt (pdf)
 

Råd om e-tjänst
[email protected]
Behöver du hjälp med Suomi.fi-fullmakter? Hjälp finns att få från Medborgarrådgivningen.

Cybersäkerhetslag medför riskhanteringsskyldigheter för äktörer, enligt vilka aktörerna bland annat ska identifiera, bedöma och hantera de risker som hänför sig till säkerheten i de kommunikationsnät och informationssystem som används i deras verksamhet eller tjänsteutbud. Aktören ska också vidta riskhanteringsåtgärder som är aktuella, proportionerliga och tillräckliga i förhållande till riskerna för de kommunikationsnät och informationssystem som används i verksamheten och kommunikationsnätets eller informationssystemets betydelse för aktörens verksamhet och tjänsteutbud. Läs mer om riskhantering i cybersäkerhetslag. 

Transport- och kommunikationsverket Traficom har utarbetat en rekommendation om åtgärder relaterade till hantering av cybersäkerhetsrisker. Rekommendationen är avsedd för myndigheter som utövar tillsyn över den nationella regleringen men den stöder även planeringen av åtgärderna för aktörernas egen planering av hantering av cybersäkerhetsrisker. Rekommendation till NIS-övervakande myndigheter om åtgärder för riskhantering (Kyberturvallisuuskeskus.fi, pdf).