Kyberturvallisuus

Fimea valvoo kyberturvallisuuslainsäädännön perusteella muun muassa lääkkeiden ja lääkinnällisten laitteiden valmistajia sekä veripalvelun toimijoita. Kansallinen kyberturvallisuuslaki 124/2025, jolla toimeenpannaan kyberturvallisuusdirektiivi (ns. NIS2-direktiivi) on tullut voimaan 8.4.2025.

Kyberturvallisuus UKK

Valvonta koskee useita eri toimialoja. Fimean valvonnan piiriin kuuluu toimijoita seuraavilta terveyden ja valmistuksen toimialoilta:
- Lääkeaineita ja lääkkeitä valmistavat toimijat
- Lääkkeiden tutkimusta ja kehitystä harjoittavat toimijat
- Veripalvelulaitokset
- Apteekit ja terveydenhuollon ammattihenkilönä lääkkeitä ja lääkinnällisiä laitteita toimittavat ja tarjoavat toimijat
- Lääkinnällisiä laitteita ja in vitro – diagnostiikkaan tarkoitettuja lääkinnällisiä laitteita valmistavat toimijat
Lakia sovelletaan oikeushenkilöön ja luonnolliseen henkilöön (toimija), joka:

1) Harjoittaa liitteessä I tai II tarkoitettua toimintaa tai on mainituissa liitteissä tarkoitettu toimija; ja

2) Täyttää tai ylittää mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset ja tarjoaa palvelujaan tai harjoittaa toimintaansa jossakin Euroopan unionin jäsenvaltiossa. Komission suositus.

Lisäksi tätä lakia sovelletaan sellaiseen toimijaan sen koosta riippumatta, joka harjoittaa liitteessä I tai II tarkoitettua toimintaa tai on mainituissa liitteissä tarkoitettu toimija, jos:

1) se tarjoaa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen ja jota muut toimijat eivät tarjoa;

2) häiriö sen tarjoamassa palvelussa vaikuttaisi merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen;

3) häiriö sen tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia; tai

4) se on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jonkin Euroopan unionin jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.

Kriteerit voivat täsmentyä valtioneuvoston asetuksella.

Lisäksi kyberturvallisuuslakia sovelletaan CER-direktiivin nojalla kriittisiksi toimijoiksi määritettyihin toimijoihin niiden koosta riippumatta.

Toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin, johon vaikuttaa koon lisäksi toimiala. Lisäksi sekä koosta riippumattomat toimijat, että CER-direktiivin nojalla kriittiset toimijat ovat keskeisiä toimijoita. Toimijaluetteloon ilmoittautumisvelvoite, sekä riskienhallinta- ja raportointivelvoitteet koskevat niin keskeisiä kuin tärkeitäkin toimijoita.

Huomioitavaa: Toimijan on itse tunnistettava kuuluvansa lain soveltamisalaan ja ilmoittauduttava oma-aloitteisesti toimijaluetteloon.
Kyberturvallisuuslaki tuo seuraavanlaisia velvoitteita
- Ilmoittautumisvelvoite valvovan viranomaisen toimijaluetteloon
- Kyberturvallisuuden riskienhallintavelvoitteet
- Kyberturvallisuuden raportointivelvoitteet
Pitääkö minun ilmoittautua Fimealle?

Ilmoitus Fimean toimijaluetteloon tulee tehdä, jos toimija kuuluu lain soveltamisalaan ja Fimean valvomiin toimijoihin.

Miten teen ilmoituksen Fimean NIS2-toimijaluetteloon?

Fimean valvonnan piiriin Suomessa tulevat kyberturvallisuuslain mukaiset keskeiset ja tärkeät toimijat voivat nyt tehdä ilmoittautumisen Fimean toimijaluetteloon PDF-lomakkeen kautta.

PDF-ilmoituksen tekeminen:
•   Täytä edustamasi yrityksen tiedot PDF-lomakkeelle
•   Lähetä lomake Fimean turvapostilla osoitteeseen [email protected] 
•   Ohjeet Fimean turvapostin lähettämiseen
•   Saat asiointipostista vahvistuksen, kun viestisi on vastaanotettu

Toimijatietoja ei pidä ilmoittaa suojaamattomana sähköpostina.

Sähköinen asiointi ilmoittautumiseen avataan myöhemmin. Fimea viestii sähköisen asioinnin avautumisesta erikseen.

Ilmoituksessa kerätään lain 41§:n mukaiset toimijatiedot, joihin kuuluvat:
- Toimijan nimi
- Osoitteensa, sähköpostiosoitteensa, puhelinnumeronsa ja muut ajantasaiset yhteystietonsa;
- IP-osoitealueensa;
- NIS 2 -direktiivin liitteessä I tai II tarkoitettu asiaankuuluva toimialansa ja sen osa;
- Tieto siitä, onko se keskeinen toimija;
- Luettelo niistä Euroopan unionin jäsenvaltioista, joissa se tarjoaa NIS 2 -direktiivin soveltamisalaan kuuluvia palveluja; ja
- Osallistumisesta 23 §:ssä tarkoitettuun kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn
Kyberturvallisuuslaki tuo toimijoille riskienhallintavelvoitteita, joiden mukaan toimijoiden on muun muassa tunnistettava, arvioitava ja hallittava riskejä, joita kohdistuu sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Toimijan on myös toteutettava riskienhallintatoimenpiteet, jotka ovat ajantasaisia, oikeasuhtaisia ja riittäviä suhteessa toiminnassa käytettäville viestintäverkoille ja tietojärjestelmille aiheutuviin riskeihin ja viestintäverkon tai tietojärjestelmän merkitykseen toimijan toiminnan ja palveluntarjonnan kannalta. Lue lisää riskienhallinnasta kyberturvallisuuslaista.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus laatii suositusta kyberturvallisuuden riskienhallinnan toimenpiteistä.
Kyberturvallisuuslain (124/2025) 11§:n mukaisesti Toimijan on viipymättä ilmoitettava valvovalle viranomaiselle merkittävästä poikkeamasta.

Ilmoitus merkittävästä poikkeamasta tehdään Traficomin poikkeamailmoitussovellukseen.

Merkittävän poikkeaman ilmoittaminen (Traficom)

Merkittävällä poikkeamalla tarkoitetaan poikkeamaa, joka :
- On aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön tai huomattavia taloudellisia tappioita asianomaiselle toimijalle, sekä
- Poikkeamaa, joka on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.
Raportointivelvoitteeseen liittyy aikarajoja ensiraportin, jatkoraportin ja loppuraportin toimittamiseen liittyen (11§,12§,13§)
- Ensi-ilmoitus on tehtävä 24 tunnin kuluessa poikkeaman havaitsemisesta ja jatkoilmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta.
- Toimijan on annettava valvovan viranomaisen pyynnöstä lisätietoja tai väliraporttimerkittävää poikkeamaa koskevista tilannepäivityksistä ja käsittelyn edistymisestä. Jos merkittävä poikkeama on pitkäkestoinen, toimijan on annettava väliraportti viimeistään kuukauden kuluttua jatkoilmoituksen antamisesta.
- Toimijan on annettava valvovalle viranomaiselle merkittävää poikkeamaa koskeva loppuraportti kuukauden kuluessa jatkoilmoituksen toimittamisesta tai, jos kyseessä on pitkäkestoinen poikkeama, kuukauden kuluessa sen käsittelyn päättymisestä.
Lisäksi toimijan on tarvittaessa ilmoitettava poikkeamasta ja kyberuhasta muille kuin viranomaiselle, kuten palvelujensa vastaanottajille (14§).
Fimea ottaa lähiaikoina käyttöön sähköisen asioinnin kyberturvallisuuteen liittyvien toimijatietojen ilmoittamiseen. Fimea viestii sähköisen asioinnin avautumisesta erikseen.

NIS2-toimijaluettelon sähköinen asiointi on tarkoitettu seuraaville lain soveltamisalan mukaisille keskeisille ja tärkeille toimijoille:
- Lääkeaineita ja lääkkeitä valmistavat toimijat
- Lääkkeiden tutkimusta ja kehitystä harjoittavat toimijat
- Veripalvelulaitokset
- Apteekit ja terveydenhuollon ammattihenkilönä lääkkeitä ja lääkinnällisiä laitteita toimittavat ja tarjoavat toimijat
- Lääkinnällisiä laitteita ja in vitro – diagnostiikkaan tarkoitettuja lääkinnällisiä laitteita valmistavat toimijat
Sähköisessä asioinnissa voit:
- Ilmoittaa kyberturvallisuuslain 41§:n mukaiset toimijatietosi
- Hallinnoida ilmoitettuja tietojasi (tehdä muutosilmoituksia)
- Toimijoiden on ilmoitettava muutoksista tässä pykälässä tarkoitettuihin tietoihin viipymättä. Muutoksesta 2 momentissa tarkoitettuihin tietoihin on ilmoitettava valvovalle viranomaiselle kahden viikon kuluessa ja 3 momentissa tarkoitettuihin tietoihin kolmen kuukauden kuluessa muutoshetkestä.
- Tarkastaa rekisteröityjä tietojasi.

Kyberturvallisuus (Lue lisää)

Lue lisää:

Kyberturvallisuuslaki (Finlex)

NIS2-direktiivi (EU)

NIS2-Euroopan unionin kyberturvallisuusdirektiivi (Kyberturvallisuuskeskus)

Lisätietoja:

[email protected]

Tulosta

Kieliversion valinta

Kieliversion valinta

Kyberturvallisuus

Kyberturvallisuus

Kyberturvallisuus UKK

Kyberturvallisuus (Lue lisää)

Lue lisää:

Lisätietoja:

Kieliversion valinta

Kieliversion valinta

Kyberturvallisuus

Kyberturvallisuus

Kyberturvallisuus UKK

Keitä valvotaan? .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Millaisia velvoitteita uusi laki tuo? .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Ilmoittautuminen Fimean NIS2-toimijaluetteloon .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Riskienhallintavelvoitteet .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Raportointivelvoitteet merkittävistä poikkeamista .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Sähköinen asiointi (tulossa) .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Kyberturvallisuus (Lue lisää)

Lue lisää:

Lisätietoja: