Ofta ställda frågor om cybersäkerhet

Nej, det räcker inte om företaget har bolagsbaserad verksamhet inom dessa sektorer i Finland. Registreringen som NIS2-aktör under Fimeas tillsyn ska göras till Fimea för det finländska företagets del, om företaget är medelstort eller stort och verkar inom de sektorer som beskrivs i den finländska cybersäkerhetslagstiftningen. 

Nej, det behövs inte. 

Enligt nuvarande uppgifter är detta fallet, dvs. det förutsätter praktisk verksamhet här i Finland. 

I detta skede omfattas innehavare av tillstånd för läkemedelspartiaffärer i sig inte av NIS2-lagstiftningen. Det är dock möjligt att en innehavare av tillstånd för läkemedelspartiaffärer kan komma att klassas som en kritisk aktör enligt CER-direktivet och därmed omfattas som en väsentlig NIS2-aktör. 

Aktören måste vara registrerad i Finland. Tillverkare som är etablerade i andra länder registrerar sig i motsvarande register i det land där de är etablerade. 

Ja, om företaget räknas som en aktör enligt artikel 1.2 i direktiv 2001/83/EG om humanläkemedel. 

När det gäller forskning och utveckling av läkemedel är detta begränsat till humanläkemedel enligt artikel 1.2 i direktiv 2001/83/EG. 

Om storleksklassen och branschdefinitionen uppfylls, ja. 

Distributörer och importörer av medicintekniska produkter omfattas för närvarande inte av skyldigheten att anmäla sig till NIS2-aktörsförteckningen. Situationen kan dock förändras beroende på utnämningen av CER-aktörer enligt CER-direktivet. Vi kommer att informera när detta blir aktuellt. 

Anmälan till Valviras NIS2-operatörsförteckning är tillräcklig om sjukhusapotekets datasystem är helt integrerade i välfärdsområdets datasystem. 

Anmälan görs i första hand som en väsentlig aktör, om aktören är väsentlig som utvecklare eller tillverkare av läkemedel. I systemet är det möjligt att välja flera sektorer eller aktörstyper. 

Personen måste ha fullmakt från företaget för att kunna göra anmälan. Detta kan vara en annan person som tidigare har anmält uppgifter till Fimea. 

Företaget hör inte till medelstora företag eftersom gränsvärdena över 50 personer och den årliga omsättningen eller balansomslutningen över 10 miljoner euro inte uppfylls. 

Om samma aktör bedriver verksamhet inom flera av de branscher som beskrivs i bilagorna I och II till förslaget till cybersäkerhetslagen och verksamheten delvis är väsentlig och delvis viktig, är företaget väsentligt. 

På basis av kommissionens rekommendation granskas överskridning eller underskridning utifrån två på varandra följande räkenskapsår. (Kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag) 

Alla som har tillgång till systemet beräknas in i antalet arbetstagare. Detta gäller även personal hos underleverantörer som arbetar i lokalerna, om de har tillgång till systemen. Med förbehåll för att denna tolkning kan komma att preciseras eller förtydligas i samarbete mellan tillsynsmyndigheterna. 

Nej. Balansräkningen är bolagsspecifik.

Enligt 11 § i cybersäkerhetslagen: Med en betydande incident avses en incident som har orsakat eller kan orsaka allvarliga funktionsstörningar i tjänsterna eller betydande ekonomiska förluster för den berörda aktören, samt en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada. Detta är inte en helt entydig definition av vad som är en betydande incident. Kommissionen har utfärdat en separat genomförandeförordning 2024/2690 om detta för leverantörer av digitala tjänster. I den preciseras de fall där en incident anses vara betydande, bland annat för leverantörer av molntjänster. Även den förordningen, även om den inte direkt gäller tillverkning av medicintekniska produkter, kan vara värd att titta igenom, eftersom den kan ge en uppfattning om hur frågan har tolkats till exempel för leverantörer av digitala tjänster. Det lönar sig också att sparra ett eventuellt fall med den egna tillsynsmyndigheten. 

Informationen om betydande incidenter som gjorts i Traficoms applikation för anmälan om incidenter går till tillsynsmyndigheten, CSIRT-enheten och den centraliserade kontrollpunkten och så småningom går anonymiserade sammanställningsuppgifter om anmälan vidare till ENISA. 

När en betydande incident har upptäckts måste en anmälan göras. Det är säkrare att göra en anmälan även vid misstanke, och om det senare visar sig att anmälan inte hade behövt göras, kan det framkomma i den kompletterande anmälan och i slutrapporten att det inte var fråga om en betydande incident. 

De aktörer som kommer att omfattas av cybersäkerhetslagen genom CER definieras och utses senare genom separat lagstiftning. Enligt regeringens proposition 205/2024 som behandlas i riksdagen, ska social- och hälsovårdsministeriet senast den 17 juli 2026 definiera vilka aktörer som Fimea övervakar som är kritiska aktörer.