Cybersäkerhet

Övervakningen gäller flera olika verksamhetsområden.  Fimea är ansvarig för övervakningen av aktörer inom följande hälso- och tillverkningsbranscher:  

• Aktörer som tillverkar farmaceutiska basprodukter och läkemedel som avses i avsnitt C huvudgrupp 21 i Nace Rev. 2 
• Aktörer som bedriver forskning och utveckling av läkemedel
• Inrättningar för blodtjänst
• Apotek
• Aktörer som lämnar ut eller tillhandahåller läkemedel eller medicintekniska produkter i egenskap av hälso- och sjukvårdspersonal
• Aktörer som tillverkar medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik

Lagen tillämpas på juridiska personer och fysiska personer (aktörer) som:  

1) bedriver verksamhet som avses i bilaga I eller II, eller är en aktör som avses i de nämnda bilagorna; och

2) uppfyller eller överskrider villkoren för medelstora företag enligt artikel 2 i kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag, och tillhandahåller sina tjänster eller bedriver sin verksamhet i någon av Europeiska unionens medlemsstater. Kommissionens rekommendation. 

Dessutom tillämpas cybersäkerhetslagen på aktörer som har identifierats som kritiska enligt lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025), oberoende av deras storlek.

Dessutom tillämpas denna lag på aktörer som oberoende av storlek bedriver verksamhet som avses i bilaga I eller II, eller som är en aktör som avses i de nämnda bilagorna, om:  

1) aktören tillhandahåller en tjänst som är väsentlig för att upprätthålla kritiska samhälleliga eller ekonomiska funktioner och som inte tillhandahålls av andra aktörer; 
2) en störning av den tjänst som aktören tillhandahåller skulle ha en betydande påverkan på allmän ordning, allmän säkerhet eller folkhälsa;
3) en störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser; eller 
4) aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i en medlemsstat i Europeiska unionen som är beroende av denna aktör. 

Kriterierna kan preciseras genom förordning av statsrådet. 

Aktörerna delas in i väsentliga och viktiga aktörer som förutom storleken även påverkas av verksamhetsområdet. Dessutom är både aktörer som är oberoende av storleken och aktörer som är kritiska enligt CER-direktivet väsentliga aktörer. Anmälningsskyldigheten till aktörsförteckningen samt riskhanterings- och rapporteringsskyldigheterna gäller både väsentliga och viktiga aktörer.  

Att observera: Aktören ska själv identifiera att den omfattas av lagens tillämpningsområde och på eget initiativ anmäla sig till aktörsförteckningen. 

Cybersäkerhetslagen medför följande skyldigheter

• Anmälningsskyldighet till tillsynsmyndighetens aktörsförteckning
• Skyldigheter för riskhantering inom cybersäkerhet
• Skyldigheter att rapportera om cybersäkerhet incidenter

Den anmälan som avses i 41 § i cybersäkerhetslagen ska göras senast inom en månad från det att lagen trätt i kraft eller det att de kriterier som i 3 § anges för en aktör uppfylls. Den handlingsmodell för hantering av cybersäkerhetsrisker som avses i 8 § ska upprättas senast inom tre månader från det att lagen trätt i kraft eller det att de kriterier som i 3 § fastställts för en aktör uppfylls.

Om en aktör identifieras som en kritisk aktör, tillämpas 10–18 § och 41 § i cybersäkerhetslagen på aktören tre månader efter det att aktören har fått del av det beslut genom vilket den identifierats som en kritisk aktör. Bestämmelserna i 7–9 § i cybersäkerhetslagen tillämpas dock på en kritisk aktör först nio månader efter det att aktören har fått del av det beslut genom vilket den identifierats som en kritisk aktör.

Måste jag anmäla mig till Fimea?  

Anmälan till Fimeas aktörsförteckning ska göras om aktören omfattas av lagens tillämpningsområde och är en aktör som Fimea övervakar. 

Hur gör jag en anmälan till Fimeas NIS2-aktörsförteckning?  

Väsentliga och viktiga aktörer som kommer att omfattas av Fimeas tillsyn i Finland enligt cybersäkerhetslagen 124/2025, kan nu göra anmälan till Fimeas NIS2-aktörsförteckning med PDF.
 
Anmälan med PDF:

• Fyll i uppgifterna om den entitet du representerar i PDF-blanketten.
• Skicka formuläret med Fimeas säkerhetspost till adressen [email protected]   
• Instruktioner för att skicka med Fimeas säkerhetspost 
• Du får en bekräftelse från tjänsteposten när ditt meddelande har mottagits

Aktörsuppgifter ska inte anmälas som oskyddad e-post.

Elektronisk ärendehantering öppnas senare. Fimea kommer att informera separat om öppnandet av elektronisk ärendehantering.  

I anmälan insamlas aktörsuppgifter enligt 41 § i lagen, som omfattar: 

• Aktörens namn
• Adress, e-postadress, telefonnummer och andra aktuella kontaktuppgifter;
• IP-adressområde;
• Relevant verksamhetsområde och den del av det som avses i bilaga I eller II till NIS 2-direktivet;
• Uppgift om huruvida det är en väsentlig aktör;
• En förteckning över de medlemsstater i Europeiska unionen där den tillhandahåller tjänster som omfattas av NIS 2-direktivet; och
• Deltagande i det frivilliga arrangemanget för informationsutbyte om cybersäkerhet som avses i 23 § 

Cybersäkerhetslag medför riskhanteringsskyldigheter för äktörer, enligt vilka aktörerna bland annat ska identifiera, bedöma och hantera de risker som hänför sig till säkerheten i de kommunikationsnät och informationssystem som används i deras verksamhet eller tjänsteutbud. Aktören ska också vidta riskhanteringsåtgärder som är aktuella, proportionerliga och tillräckliga i förhållande till riskerna för de kommunikationsnät och informationssystem som används i verksamheten och kommunikationsnätets eller informationssystemets betydelse för aktörens verksamhet och tjänsteutbud. Läs mer om riskhantering i cybersäkerhetslag. 

Transport- och kommunikationsverket Traficom har utarbetat en rekommendation om åtgärder relaterade till hantering av cybersäkerhetsrisker. Rekommendationen är avsedd för myndigheter som utövar tillsyn över den nationella regleringen men den stöder även planeringen av åtgärderna för aktörernas egen planering av hantering av cybersäkerhetsrisker. Rekommendation till NIS-övervakande myndigheter om åtgärder för riskhantering (Kyberturvallisuuskeskus.fi, pdf).

Enligt 11 § i cybersäkerhetslag ska Aktören utan dröjsmål underrätta tillsynsmyndigheten om en betydande incident.

Anmälan om betydande incident görs via Traficoms applikation för anmälan om incident.

Anmälan om betydande incident (Traficom)

Med betydande incident avses en incident som 

• Har orsakat eller kan orsaka en allvarlig funktionsstörning i tjänsterna eller betydande ekonomiska förluster för den berörda aktören, samt
• En incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada. 

Rapporteringsskyldigheten inkluderar tidsgränser för inlämnande av den första anmälan, den uppföljande anmälan och slutrapporten (11 §, 12 §, 13 §).

• Den första anmälan ska göras inom 24 timmar från det att incidenten upptäcktes och den uppföljande anmälan inom 72 timmar från det att incidenten upptäcktes. 
• Aktören ska på begäran av tillsynsmyndigheten ge ytterligare information eller en delrapport om situationsuppdateringar som gäller en betydande incident och om hur behandlingen framskrider. Om en betydande incident är långvarig ska aktören lämna en delrapport senast en månad efter att den uppföljande anmälan har lämnats in.
• Aktören ska lämna en slutrapport om den betydande incidenten till tillsynsmyndigheten inom en månad från det att den uppföljande anmälan lämnades in eller, om det är fråga om en långvarig incident, inom en månad från det att behandlingen av den avslutades.

Dessutom ska aktören vid behov anmäla incidenter och cyberhot till andra än myndigheten, såsom mottagare av sina tjänster (14 §).  

Fimea tar inom kort i bruk elektronisk ärendehantering för att anmäla aktörsuppgifter i anslutning till cybersäkerheten. Fimea kommer att informera separat om öppnandet av elektronisk ärendehantering.

Den elektroniska ärendehanteringen i NIS2-aktörsförteckningen är avsedd för följande väsentliga och viktiga aktörer enligt lagens tillämpningsområde: 

• Aktörer som tillverkar farmaceutiska basprodukter och läkemedel
• Aktörer som bedriver forskning och utveckling av läkemedel
• Inrättningar för blodtjänst
• Apotek och aktörer som lämnar ut eller tillhandahåller läkemedel och medicintekniska produkter i egenskap av hälso- och sjukvårdspersonal
• Aktörer som tillverkar medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik

I e-tjänsten kan du: 

• Anmäla dina aktörsuppgifter enligt 41 § i cybersäkerhetslagen
• Hantera de anmälda uppgifterna (göra ändringsanmälningar)
• Aktörerna ska utan dröjsmål anmäla ändringar i de uppgifter som avses i denna paragraf. Ändringar i de uppgifter som avses i 2 mom. ska anmälas till tillsynsmyndigheten inom två veckor och ändringar i de uppgifter som avses i 3 mom. inom tre månader från tidpunkten för ändringen. 
• Kontrollera dina registrerade uppgifter.