Kyberturvallisuuden valvonta

Valvonta koskee useita eri toimialoja.  Fimean valvonnan piiriin kuuluu toimijoita seuraavilta terveyden ja valmistuksen toimialoilta:  

• Lääkeaineita ja  lääkkeitä valmistavat  toimijat 
• Lääkkeiden tutkimusta ja kehitystä harjoittavat toimijat 
• Veripalvelulaitokset 
• Apteekit
• Terveydenhuollon ammattihenkilönä lääkkeitä tai lääkinnällisiä laitteita toimittavat tai tarjoavat toimijat 
• Lääkinnällisiä laitteita ja in vitro – diagnostiikkaan tarkoitettuja lääkinnällisiä laitteita valmistavat toimijat  

Lakia sovelletaan oikeushenkilöön ja luonnolliseen henkilöön (toimija), joka:  

1) Harjoittaa liitteessä I tai II tarkoitettua toimintaa tai on mainituissa liitteissä tarkoitettu toimija; ja  

2) Täyttää tai ylittää mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset ja tarjoaa palvelujaan tai harjoittaa toimintaansa jossakin Euroopan unionin jäsenvaltiossa. Komission suositus.

Lisäksi kyberturvallisuuslakia sovelletaan yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (310/2025) nojalla kriittisiksi toimijoiksi määritettyihin toimijoihin niiden koosta riippumatta.

Lisäksi tätä lakia sovelletaan sellaiseen toimijaan sen koosta riippumatta, joka harjoittaa liitteessä I tai II tarkoitettua toimintaa tai on mainituissa liitteissä tarkoitettu toimija, jos:  

1) se tarjoaa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen ja jota muut toimijat eivät tarjoa;  

2) häiriö sen tarjoamassa palvelussa vaikuttaisi merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen;  

3) häiriö sen tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia; tai 

4) se on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jonkin Euroopan unionin jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta. 

Kriteerit voivat täsmentyä valtioneuvoston asetuksella. 

Toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin, johon vaikuttaa koon lisäksi toimiala. Lisäksi sekä koosta riippumattomat toimijat, että CER-direktiivin nojalla kriittiset toimijat ovat keskeisiä toimijoita. Toimijaluetteloon ilmoittautumisvelvoite, sekä riskienhallinta- ja raportointivelvoitteet koskevat niin keskeisiä kuin tärkeitäkin toimijoita.  

Huomioitavaa: Toimijan on itse tunnistettava kuuluvansa lain soveltamisalaan ja ilmoittauduttava oma-aloitteisesti toimijaluetteloon. 

Kyberturvallisuuslaki tuo seuraavanlaisia velvoitteita 

• Ilmoittautumisvelvoite valvovan viranomaisen toimijaluetteloon 
• Kyberturvallisuuden riskienhallintavelvoitteet 
• Kyberturvallisuuden poikkeamien raportointivelvoitteet 

Kyberturvallisuuslain toimijaluetteloilmoittautuminen (41 §) Fimealle on tehtävä viimeistään kuukauden kuluessa lain voimaantulosta tai siitä, kun 3 §:n mukaiset toimijan kriteerit täyttyvät. Kyberturvallisuuslain riskienhallinnan toimintamalli (8 §) on laadittava kolmen kuukauden kuluessa lain voimaantulosta tai siitä, kun 3 §:n mukaiset toimijan kriteerit täyttyvät.

Mikäli toimija nimetään kriittiseksi toimijaksi, kyberturvallisuuslain 10—18 ja 41 §:ää sovelletaan toimijaan kolmen kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. Kyberturvallisuuslain 7—9 §:ää sovelletaan kriittiseen toimijaan kuitenkin vasta yhdeksän kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi.

Kyberturvallisuuslain (124/2025) 11§:n mukaisesti Toimijan on viipymättä ilmoitettava valvovalle viranomaiselle merkittävästä poikkeamasta.

​Ilmoitus merkittävästä poikkeamasta tehdään Traficomin poikkeamailmoitussovellukseen. 

Merkittävän poikkeaman ilmoittaminen (Traficom)

Merkittävällä poikkeamalla tarkoitetaan poikkeamaa, joka ​: 

• On aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön tai huomattavia taloudellisia tappioita asianomaiselle toimijalle, sekä ​ 
• Poikkeamaa, joka on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. 

Raportointivelvoitteeseen liittyy aikarajoja ensiraportin, jatkoraportin ja loppuraportin toimittamiseen liittyen (11§,12§,13§) 

• Ensi-ilmoitus on tehtävä 24 tunnin kuluessa poikkeaman havaitsemisesta ja jatkoilmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta. 
• Toimijan on annettava valvovan viranomaisen pyynnöstä lisätietoja tai väliraporttimerkittävää poikkeamaa koskevista tilannepäivityksistä ja käsittelyn edistymisestä. Jos merkittävä poikkeama on pitkäkestoinen, toimijan on annettava väliraportti viimeistään kuukauden kuluttua jatkoilmoituksen antamisesta.​ 
• Toimijan on annettava valvovalle viranomaiselle merkittävää poikkeamaa koskeva loppuraportti kuukauden kuluessa jatkoilmoituksen toimittamisesta tai, jos kyseessä on pitkäkestoinen poikkeama, kuukauden kuluessa sen käsittelyn päättymisestä.​ 

Lisäksi toimijan on tarvittaessa ilmoitettava poikkeamasta ja kyberuhasta muille kuin viranomaiselle, kuten palvelujensa vastaanottajille (14§). Ohjeistusta kyberhyökkäyksistä viestimiseen Kyberturvallisuuskeskuksen verkkosivuilla: Miten viestimme kyberhyökkäyksistä? (Kyberturvallisuuskeskus.fi).

Muistathan huomioida myös muut mahdolliset ilmoitusvelvoitteet Fimealle, kuten lääkinnällisten laitteiden valmistajan vaaratilanneilmoitukset sekä muut lääke- ja veripalvelulainsäädännön mukaiset ilmoitukset.

Pitääkö minun ilmoittautua Fimealle?  

Ilmoitus Fimean toimijaluetteloon tulee tehdä, jos toimija kuuluu lain soveltamisalaan ja Fimean valvomiin toimijoihin. 

Miten teen ilmoituksen Fimean NIS2-toimijaluetteloon?  

Fimean valvonnan piiriin Suomessa tulevat kyberturvallisuuslain mukaiset keskeiset ja tärkeät toimijat voivat tehdä ilmoittautumisen sähköisen asioinnin kautta. Sähköisessä asioinnissa voit:   

• Ilmoittaa kyberturvallisuuslain 41§:n mukaiset toimijatietosi   
• Hallinnoida ilmoitettuja tietojasi (tehdä muutosilmoituksia)   
  • Toimijoiden on ilmoitettava muutoksista 41 §:ssä tarkoitettuihin tietoihin viipymättä. Muutoksesta 2 momentissa tarkoitettuihin tietoihin on ilmoitettava valvovalle viranomaiselle kahden viikon kuluessa. 
• Tarkastaa rekisteröityjä tietojasi.   

Kirjaudu NIS2-toimijaluettelon sähköiseen asiointiin
 

Ilmoituksessa kerätään lain 41§:n mukaiset toimijatiedot, joihin kuuluvat: 

• Toimijan nimi 
• Osoitteensa, sähköpostiosoitteensa, puhelinnumeronsa ja muut ajantasaiset yhteystietonsa; 
• IP-osoitealueensa; 
• NIS 2 -direktiivin liitteessä I tai II tarkoitettu asiaankuuluva toimialansa ja sen osa; 
• Tieto siitä, onko se keskeinen toimija;  
• Luettelo niistä Euroopan unionin jäsenvaltioista, joissa se tarjoaa NIS 2 -direktiivin soveltamisalaan  kuuluvia palveluja; ja  
• Osallistumisesta 23 §:ssä tarkoitettuun kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn 

Fimea on avannut sähköisen asioinnin kyberturvallisuuteen liittyvien toimijatietojen ilmoittamiseen, hallinnoimiseen sekä tarkasteluun.   

NIS2-toimijaluettelon sähköinen asiointi on tarkoitettu seuraaville lain soveltamisalan mukaisille keskeisille ja tärkeille toimijoille:   

1. Lääkeaineita ja lääkkeitä valmistavat toimijat   
2. Lääkkeiden tutkimusta ja kehitystä harjoittavat toimijat   
3. Veripalvelulaitokset   
4. Apteekit
5. Terveydenhuollon ammattihenkilönä lääkkeitä ja lääkinnällisiä laitteita toimittavat ja tarjoavat toimijat   
6. Lääkinnällisiä laitteita ja in vitro – diagnostiikkaan tarkoitettuja lääkinnällisiä laitteita valmistavat toimijat   
7. Yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (310/2025) nojalla määritetyt kriittiset toimijat 

Sähköisessä asioinnissa voit:   

• Ilmoittaa kyberturvallisuuslain 41§:n mukaiset toimijatietosi   
• Hallinnoida ilmoitettuja tietojasi (tehdä muutosilmoituksia)   
  • Toimijoiden on ilmoitettava muutoksista 41 §:ssä tarkoitettuihin tietoihin viipymättä. Muutoksesta 2 momentissa tarkoitettuihin tietoihin on ilmoitettava valvovalle viranomaiselle kahden viikon kuluessa.   
• Tarkastaa rekisteröityjä tietojasi  

Käyttö vaatii suomalaisen henkilötunnuksen ja tunnistautumisvälineet, joita ovat  

• verkkopankkitunnukset  
• mobiilivarmenne   
• sirullinen, verkkoasioinnin mahdollistava henkilökortti.  

Lisäksi asioidaksesi sähköisessä asioinnissa organisaation puolesta, tulee sinulla olla organisaatiosi puolesta asiointiin tarvittavat oikeudet.    

Et tarvitse Fimean sähköisen asioinnin palvelussa erillistä Suomi.fi-valtuutta, jos asioit sellaisen yrityksen tai organisaation puolesta, jossa sinulla on kaupparekisteriin merkitty toimielinrooli:   

• Toimitusjohtaja    
• Toimitusjohtajan sijainen    
• Yhtiömies    
• Prokuristi, jolla nimenkirjoitusoikeus yksin    
• Elinkeinoharjoittaja    
• Selvitysmies    
   

Jos et toimi yrityksessä edellä mainituissa rooleissa, tulee sinun pyytää asiointivaltuutta Suomi.fi palvelussa ja yrityksen/organisaation täytyy myöntää se sinulle. NIS2-toimijaluettelon sähköisen asiointipalvelun valtuuden nimi Suomi.fi-valtuutuspalvelussa on ’’Kyberturvallisuuteen liittyvien toimijatietojen ilmoittaminen’’. Lue lisää valtuuttamisesta ohjeesta Organisaation puolesta asiointi: valtuuttaminen (pdf) ja Suomi.fi organisaation valtuudet.  

Kirjaudu NIS2-toimijaluettelon sähköiseen asiointiin  

Huomio: Jos sähköinen ilmoittautuminen NIS2-toimijaluetteloon ei onnistu, pyydämme ottamaan yhteyttä osoitteeseen [email protected].

Sähköisen asioinnin käyttöohjeet  

Käyttöohje NIS2-toimijaluettelon sähköiseen asiointiin (pdf)  

 Pikaohje NIS2-toimijaluettelon sähköiseen asiointiin (pdf) 

 Organisaation puolesta asiointi: valtuuttaminen (pdf)  

Neuvonta sähköiseen asiointiin  

[email protected]  

Tarvitsetko apua Suomi.fi-valtuuksien kanssa? Apua saa Kansalaisneuvonnasta.  

Kyberturvallisuuslaki tuo toimijoille riskienhallintavelvoitteita, joiden mukaan toimijoiden on muun muassa tunnistettava, arvioitava ja hallittava riskejä, joita kohdistuu sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Toimijan on myös toteutettava riskienhallintatoimenpiteet, jotka ovat ajantasaisia, oikeasuhtaisia ja riittäviä suhteessa toiminnassa käytettäville viestintäverkoille ja tietojärjestelmille aiheutuviin riskeihin ja viestintäverkon tai tietojärjestelmän merkitykseen toimijan toiminnan ja palveluntarjonnan kannalta. Lue lisää riskienhallinnasta kyberturvallisuuslaista.  

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on antanut suosituksen kyberturvallisuuden riskienhallinnan toimenpiteistä. Suositus on suunnattu valvoville viranomaisille, mutta se tukee myös lain soveltamisalaan kuuluvien toimijoiden omaa kyberturvallisuuden riskienhallinnan suunnittelua. Liikenne- ja viestintävirasto Traficomin suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä (Kyberturvallisuuskeskus.fi, pdf)