Usein kysytyt kysymykset kyberturvallisuudesta

Ei riitä, jos sillä on näihin toimialoihin kuuluvaa yhtiöpohjaista toimintaa Suomessa. Rekisteröityminen Fimean valvomaksi NIS2-toimijaksi on tehtävä Suomen yrityksen osalta Fimealle, jos yritys on keskisuuri tai suuri ja kuuluu Suomessa kyberturvallisuuslainsäädännössä kuvattuihin toimialoihin.  

Ei tarvitse. 

Toimijan pitää olla Suomeen rekisteröitynyt toimija. Muualle sijoittautuneet valmistajat rekisteröityvät sijaintimaassaan vastaavasti. 

Tässä vaiheessa lääketukkukauppaluvanhaltijat sinällään eivät kuulu NIS2-lainsäädännön piiriin. On mahdollista kuitenkin, että lääketukkuluvanhaltija tulee kriittisenä toimijana CER-direktiivin perusteella myös keskeiseksi NIS2-toimijaksi. 

Tämänhetkisen tiedon mukaan näin on, eli se edellyttää käytännön toimintaa täällä Suomessa.   

Jos yritys kuuluu ihmisille tarkoitettuihin lääkkeisiin direktiivin 2001/83/EY 1. artiklan 2 alakohdassa tarkoitettuihin toimijoihin. 

Lääkkeiden tutkimus- ja kehityspalveluiden osalta tämä on rajattu ihmisille tarkoitettuihin lääkkeisiin direktiivin 2001/83/EY 1. artiklan 2 alakohdassa tarkoitettuna toimijana.   

Mikäli kokoluokka ja toimialamääritelmä täyttyy, kyllä. 

Lääkinnällisten laitteiden jakelijat ja maahantuojat eivät tällä hetkellä kuulu NIS2-toimijaluetteloon ilmoittautumisvelvollisiin. Tilanne voi kuitenkin muuttua CER-direktiivin perusteella nimettävien CER-toimijoiden osalta. Tiedotamme asiasta sen tullessa ajankohtaiseksi.   

Ilmoittautuminen Valviran NIS2-toimijaluetteloon on riittävä sairaala-apteekkien tietojärjestelmien ollessa täysin osa hyvinvointialueen tietojärjestelmiä. 

Ilmoittaudutaan ensisijaisesti keskeisenä toimijana, jos toimija on sitä lääkkeiden kehittäjänä tai valmistajana. Järjestelmässä on mahdollisuus valita useampi toimiala tai toimijatyyppi.   

Henkilöllä pitää olla yrityksen antama valtuus tehdä ilmoitus. Tämä voi olla eri henkilö, joka on aiemmin ilmoittanut tietoja Fimealle.    

Yritys ei kuulu keskisuuriin yrityksiin, koska raja-arvot yli 50 henkilöä ja vuosiliikevaihto tai taseen loppusumma yli 10 miljoonaa euroa eivät täyty.

Komission suosituksen perusteella ylitystä tai alitusta tarkastellaan kahden peräkkäisen tilivuoden perusteella. (Komission suositus 2003/361/EY mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä)   

Kaikki, joilla on pääsy järjestelmään, lasketaan työntekijämäärään. Samoin myös tiloissa toimivien alihankintayhtiöiden henkilöstön määrä, jos heillä on pääsy järjestelmien käyttöön. Kuitenkin varauksella, että valvontaviranomaisten yhteistyössä tähän tulkintaan saattaa tulla tarkennuksia tai täsmennyksiä.  

Ei. Tase on yhtiökohtainen.   

Jos sama toimija harjoittaa toimintaa useammalla kyberturvallisuuslakiesityksen liitteissä I ja II kuvatulla toimialalla ja toiminta on osin keskeisen sekä osin tärkeän määritelmään kuuluvaa, on yritys keskeinen.  

Kyberturvallisuuslain 11§:n mukaan: Merkittävällä poikkeamalla tarkoitetaan poikkeamaa, joka on aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön tai huomattavia taloudellisia tappioita asianomaiselle toimijalle, sekä poikkeamaa, joka on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. Tämä ei ole aivan yksiselitteinen määritelmä, että mikä on merkittävä poikkeama. Tästä on digipalveluntarjoajille komissio antanut erillisen täytäntöönpanoasetuksen 2024/2690. Siinä täsmennetään tapaukset, joissa poikkeama katsotaan merkittäväksi mm. pilvipalvelun tarjoajille. Sitäkin asetusta, vaikkei se sinänsä suoraan lääkinnällisten laitteiden valmistusta koskekaan voi kurkata läpi, koska sieltä voi saada ajatuksia, miten tätä on ajateltu esimerkiksi digipalveluntarjoajien osalta. Myös oman valvovan viranomaisen kanssa mahdollista tapausta kannattaa sparrata.   

Tieto Traficomin poikkeamailmoitussovellukseen tehdyistä merkittävistä poikkeamista menee valvovalle viranomaiselle, CSIRT-yksikölle ja keskitetylle yhteispisteelle sekä aikanaan anonymisoidut koontitiedot ilmoituksesta menevät ENISA:lle. 

Kun on havaittu merkittävä poikkeama, niin siitä pitää tehdä ilmoitus. Varmempaa on tehdä epäilystä ilmoitus ja jos tilanne on se, että siitä sitten ei olisi tarvinnutkaan tehdä, niin sehän jatkoilmoituksen ja loppuraportin aikana voikin selvitä, että kyseessä ei ollutkaan merkittävä poikkeama.   

CER:n kautta kyberturvallisuuslain piiriin tulevat toimijat määritellään ja nimetään myöhemmin erillisellä lainsäädännöllä. Tästä on eduskunnan käsittelyssä hallituksen esitys 205/2024, jonka mukaan kriittiset toimijat määrittäisi Fimean valvomien toimijoiden osalta sosiaali- ja terveysministeriö 17.7.2026 mennessä.