Ofta ställda frågor om cybersäkerhet

Företaget hör inte till medelstora företag eftersom gränsvärdena över 50 personer och den årliga omsättningen eller balansomslutningen över 10 miljoner euro inte uppfylls.  

Om samma aktör bedriver verksamhet inom flera av de branscher som beskrivs i bilagorna I och II till förslaget till cybersäkerhetslagen och verksamheten delvis är väsentlig och delvis viktig, är företaget väsentligt. 

På basis av kommissionens rekommendation granskas överskridning eller underskridning utifrån två på varandra följande räkenskapsår. (Kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag)

De aktörer som kommer att omfattas av cybersäkerhetslagen genom CER definieras och utses senare genom separat lagstiftning. Enligt regeringens proposition 205/2024 som behandlas i riksdagen, ska social- och hälsovårdsministeriet senast den 17 juli 2026 definiera vilka aktörer som Fimea övervakar som är kritiska aktörer.

Alla som har tillgång till systemet beräknas in i antalet arbetstagare. Detta gäller även personal hos underleverantörer som arbetar i lokalerna, om de har tillgång till systemen. Med förbehåll för att denna tolkning kan komma att preciseras eller förtydligas i samarbete mellan tillsynsmyndigheterna. 

Nej, det räcker inte om företaget har bolagsbaserad verksamhet inom dessa sektorer i Finland. Registreringen som NIS2-aktör under Fimeas tillsyn ska göras till Fimea för det finländska företagets del, om företaget är medelstort eller stort och verkar inom de sektorer som beskrivs i den finländska cybersäkerhetslagstiftningen. 

Enligt 11 § i cybersäkerhetslagen: Med en betydande incident avses en incident som har orsakat eller kan orsaka allvarliga funktionsstörningar i tjänsterna eller betydande ekonomiska förluster för den berörda aktören, samt en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada. Detta är inte en helt entydig definition av vad som är en betydande incident. Kommissionen har utfärdat en separat genomförandeförordning 2024/2690 om detta för leverantörer av digitala tjänster. I den preciseras de fall där en incident anses vara betydande, bland annat för leverantörer av molntjänster. Även den förordningen, även om den inte direkt gäller tillverkning av medicintekniska produkter, kan vara värd att titta igenom, eftersom den kan ge en uppfattning om hur frågan har tolkats till exempel för leverantörer av digitala tjänster. Det lönar sig också att sparra ett eventuellt fall med den egna tillsynsmyndigheten.

Anmälan görs i första hand som en väsentlig aktör, om aktören är väsentlig som utvecklare eller tillverkare av läkemedel. I systemet är det möjligt att välja flera sektorer eller aktörstyper.

Nej, det behövs inte.

Personen måste ha fullmakt från företaget för att kunna göra anmälan. Detta kan vara en annan person som tidigare har anmält uppgifter till Fimea. 

 Aktören måste vara registrerad i Finland. Tillverkare som är etablerade i andra länder registrerar sig i motsvarande register i det land där de är etablerade.

Informationen om betydande incidenter som gjorts i Traficoms applikation för anmälan om incidenter går till tillsynsmyndigheten, CSIRT-enheten och den centraliserade kontrollpunkten  och så småningom går anonymiserade sammanställningsuppgifter om anmälan vidare till ENISA.

När en betydande incident har upptäckts måste en anmälan göras. Det är säkrare att göra en anmälan även vid misstanke, och om det senare visar sig att anmälan inte hade behövt göras, kan det framkomma i den kompletterande anmälan och i slutrapporten att det inte var fråga om en betydande incident.

I detta skede omfattas innehavare av tillstånd för läkemedelspartiaffärer i sig inte av NIS2-lagstiftningen. Det är dock möjligt att en innehavare av tillstånd för läkemedelspartiaffärer kan komma att klassas som en kritisk aktör enligt CER-direktivet och därmed omfattas som en väsentlig NIS2-aktör.

Enligt nuvarande uppgifter är detta fallet, dvs. det förutsätter praktisk verksamhet här i Finland.

Ja, om företaget räknas som en aktör enligt artikel 1.2 i direktiv 2001/83/EG om humanläkemedel.

Nej. Balansräkningen är bolagsspecifik

När det gäller forskning och utveckling av läkemedel är detta begränsat till humanläkemedel enligt artikel 1.2 i direktiv 2001/83/EG.

Om storleksklassen och branschdefinitionen uppfylls, ja.