Ofta ställda frågor om cybersäkerhet

Nej, det räcker inte om företaget har bolagsbaserad verksamhet inom dessa sektorer i Finland. Registreringen som NIS2-aktör under Fimeas tillsyn ska göras till Fimea för det finländska företagets del, om företaget är medelstort eller stort och verkar inom de sektorer som beskrivs i den finländska cybersäkerhetslagstiftningen. 

10.4.2025

Nej, det behövs inte. 

10.4.2025

Enligt nuvarande uppgifter är detta fallet, dvs. det förutsätter praktisk verksamhet här i Finland. 

10.4.2025

I detta skede omfattas innehavare av tillstånd för läkemedelspartiaffärer i sig inte av NIS2-lagstiftningen. Det är dock möjligt att en innehavare av tillstånd för läkemedelspartiaffärer kan komma att klassas som en kritisk aktör enligt CER-direktivet och därmed omfattas som en väsentlig NIS2-aktör. 

10.4.2025

Aktören måste vara registrerad i Finland. Tillverkare som är etablerade i andra länder registrerar sig i motsvarande register i det land där de är etablerade. 

10.4.2025

Ja, om företaget räknas som en aktör enligt artikel 1.2 i direktiv 2001/83/EG om humanläkemedel. 

10.4.2025

När det gäller forskning och utveckling av läkemedel är detta begränsat till humanläkemedel enligt artikel 1.2 i direktiv 2001/83/EG. 

10.4.2025

Om storleksklassen och branschdefinitionen uppfylls, ja. 

10.4.2025

Distributörer och importörer av medicintekniska produkter omfattas för närvarande inte av skyldigheten att anmäla sig till NIS2-aktörsförteckningen. Situationen kan dock förändras beroende på utnämningen av CER-aktörer enligt CER-direktivet. Vi kommer att informera när detta blir aktuellt. 

16.6.2025

Anmälan till Valviras NIS2-operatörsförteckning är tillräcklig om sjukhusapotekets datasystem är helt integrerade i välfärdsområdets datasystem. 

16.6.2025

Anmälan görs i första hand som en väsentlig aktör, om aktören är väsentlig som utvecklare eller tillverkare av läkemedel. I systemet är det möjligt att välja flera sektorer eller aktörstyper. 

10.4.2025

Personen måste ha fullmakt från företaget för att kunna göra anmälan. Detta kan vara en annan person som tidigare har anmält uppgifter till Fimea. 

10.4.2025

Företaget hör inte till medelstora företag eftersom gränsvärdena över 50 personer och den årliga omsättningen eller balansomslutningen över 10 miljoner euro inte uppfylls. 

10.4.2025

Om samma aktör bedriver verksamhet inom flera av de branscher som beskrivs i bilagorna I och II till förslaget till cybersäkerhetslagen och verksamheten delvis är väsentlig och delvis viktig, är företaget väsentligt. 

10.4.2025

På basis av kommissionens rekommendation granskas överskridning eller underskridning utifrån två på varandra följande räkenskapsår. (Kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag) 

10.4.2025

Alla som har tillgång till systemet beräknas in i antalet arbetstagare. Detta gäller även personal hos underleverantörer som arbetar i lokalerna, om de har tillgång till systemen. Med förbehåll för att denna tolkning kan komma att preciseras eller förtydligas i samarbete mellan tillsynsmyndigheterna. 

10.4.2025

Nej. Balansräkningen är bolagsspecifik.

10.4.2025

Enligt 11 § i cybersäkerhetslagen: Med en betydande incident avses en incident som har orsakat eller kan orsaka allvarliga funktionsstörningar i tjänsterna eller betydande ekonomiska förluster för den berörda aktören, samt en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada. Detta är inte en helt entydig definition av vad som är en betydande incident. Kommissionen har utfärdat en separat genomförandeförordning 2024/2690 om detta för leverantörer av digitala tjänster. I den preciseras de fall där en incident anses vara betydande, bland annat för leverantörer av molntjänster. Även den förordningen, även om den inte direkt gäller tillverkning av medicintekniska produkter, kan vara värd att titta igenom, eftersom den kan ge en uppfattning om hur frågan har tolkats till exempel för leverantörer av digitala tjänster. Det lönar sig också att sparra ett eventuellt fall med den egna tillsynsmyndigheten. 

10.4.2025

Informationen om betydande incidenter som gjorts i Traficoms applikation för anmälan om incidenter går till tillsynsmyndigheten, CSIRT-enheten och den centraliserade kontrollpunkten och så småningom går anonymiserade sammanställningsuppgifter om anmälan vidare till ENISA. 

10.4.2025

När en betydande incident har upptäckts måste en anmälan göras. Det är säkrare att göra en anmälan även vid misstanke, och om det senare visar sig att anmälan inte hade behövt göras, kan det framkomma i den kompletterande anmälan och i slutrapporten att det inte var fråga om en betydande incident. 

10.4.2025

Cybersäkerhetslagen tillämpas på aktörer som har definierats som kritiska enligt lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025), oberoende av deras storlek. När det gäller aktörer som övervakas av Fimea, utses de kritiska aktörerna av Social- och hälsovårdsministeriet senast den 17 juli 2026. Därefter sker definitionen av kritiska aktörer vart fjärde år.

10.4.2025, Uppdaterad 1.7.2025