Valvonta koskee useita eri toimialoja. Fimean valvonnan piiriin kuuluu toimijoita seuraavilta terveyden ja valmistuksen toimialoilta:
- Lääkeaineita ja lääkkeitä valmistavat toimijat
- Lääkkeiden tutkimusta ja kehitystä harjoittavat toimijat
- Veripalvelulaitokset
- Apteekit ja terveydenhuollon ammattihenkilönä lääkkeitä ja lääkinnällisiä laitteita toimittavat ja tarjoavat toimijat
- Lääkinnällisiä laitteita ja in vitro – diagnostiikkaan tarkoitettuja lääkinnällisiä laitteita valmistavat toimijat
Lakia sovelletaan oikeushenkilöön ja luonnolliseen henkilöön (toimija), joka:
1) Harjoittaa liitteessä I tai II tarkoitettua toimintaa tai on mainituissa liitteissä tarkoitettu toimija; ja
2) Täyttää tai ylittää mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset ja tarjoaa palvelujaan tai harjoittaa toimintaansa jossakin Euroopan unionin jäsenvaltiossa.
- Keskisuuri toimija: yritys, jonka palveluksessa on vähintään 50 työntekijää tai jonka vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa.
- Suuri toimija: yritys, jonka palveluksessa olisi vähintään 250 työntekijää tai joiden vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa.
Lisäksi tätä lakia sovelletaan sellaiseen toimijaan sen koosta riippumatta, joka harjoittaa liitteessä I tai II tarkoitettua toimintaa tai on mainituissa liitteissä tarkoitettu toimija, jos:
1) se tarjoaa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen ja jota muut toimijat eivät tarjoa;
2) häiriö sen tarjoamassa palvelussa vaikuttaisi merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen;
3) häiriö sen tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia; tai
4) se on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jonkin Euroopan unionin jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.
Kriteerit voivat täsmentyä valtioneuvoston asetuksella.
Lisäksi NIS2-direktiiviä sovelletaan CER-direktiivin nojalla kriittisiksi toimijoiksi määritettyihin toimijoihin niiden koosta riippumatta.
Toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin, johon vaikuttaa koon lisäksi toimiala. Lisäksi sekä koosta riippumattomat toimijat, että CER-direktiivin nojalla kriittiset toimijat ovat keskeisiä toimijoita. Toimijaluetteloon ilmoittautumisvelvoite, sekä riskienhallinta- ja raportointivelvoitteet koskevat niin keskeisiä kuin tärkeitäkin toimijoita.
Huomioitavaa: Toimijan on itse tunnistettava kuuluvansa lain soveltamisalaan ja ilmoittauduttava oma-aloitteisesti toimijaluetteloon. Julkaisemme ilmoittautumisasioinnin ja ohjeet ilmoittautumiseen, kun kyberturvallisuuslaki on hyväksytty.