Laki kyberturvallisuuslain muuttamisesta
- Säädöksen tyyppi
- Laki
- Antopäivä
- Julkaisupäivä
- Suomen säädöskokoelma
- Säädösteksti
Alkuperäisen säädöksen teksti
Alkuperäisten säädösten teksteihin ei päivitetä säädösmuutoksia eikä tehdä oikaisuja. Muutokset ja oikaisut on huomioitu ajantasaistetuissa säädöksissä. Oikaisut näkyvät myös säädöskokoelman pdf-versioissa.
Eduskunnan päätöksen mukaisesti
muutetaan kyberturvallisuuslain ( 124/2025 ) 3 §:n 2 momentti, 4 §:n 6 momentti, 27 §:n 2 momentti, 28 §:n 4 momentti ja 45 §:n 2 momentti sekä
lisätään 17 §:ään uusi 6 momentti, 26 §:ään uusi 3 momentti ja 45 §:ään uusi 5 momentti seuraavasti:
3 §Toimijat
Tätä lakia sovelletaan myös toimijaan, joka koostaan riippumatta on:
yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja;
luottamuspalvelun tarjoaja;
aluetunnusrekisterin ylläpitäjä;
DNS-palveluntarjoaja; tai
yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (310/2025) nojalla määritetty kriittinen toimija muulla kuin julkishallinnon toimialalla ( kriittinen toimija ).
4 §Soveltamisalan rajaukset
Tätä lakia sovelletaan kuntalaissa (410/2015) tarkoitettuun kuntaan vain liitteessä I tai II tarkoitetun toiminnan osalta sekä siltä osin, kun kunta on kriittinen toimija.
17 §Poikkeamailmoituksen käsittely
Jos 11–13 tai 15 §:ssä tarkoitetun ilmoituksen tai raportin tekee kriittinen toimija, valvovan viranomaisen on toimitettava ilmoituksesta tai raportista tieto viranomaiselle, joka on yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltainen valvomaan kriittistä toimijaa.
26 §Valvovat viranomaiset
Jos kriittinen toimija ei harjoita liitteessä I tai II tarkoitettua toimintaa, valvova viranomainen määräytyy yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla.
27 §Valvonnan kohdistaminen
Keskeisellä toimijalla tarkoitetaan:
liitteessä I tarkoitettua toimijaa, joka ylittää mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset;
hyväksyttyjä luottamuspalvelun tarjoajia, aluetunnusrekisterin ylläpitäjiä sekä DNS-palveluntarjoajia;
yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajia, jotka täyttävät tai ylittävät mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset;
3 §:n 3 momentissa tarkoitettua toimijaa; sekä
kriittistä toimijaa.
28 §Tiedonsaantioikeus
Valvovalla viranomaisella on salassapitosäännösten, 2 momentissa säädetyn salassapitovelvollisuuden ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toiselle valvovalle viranomaiselle, CSIRT-yksikölle ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitetulle valvovalle viranomaiselle, jos se on välttämätöntä tässä laissa tai yhteiskunnan kriittisen infrastruktuurin suojaamisesta annetussa laissa viranomaiselle säädettyä tehtävää varten. Tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.
45 §Viranomaisten yhteistyö
Valvovien viranomaisten, CSIRT-yksikön ja keskitetyn yhteyspisteen on toimittava tarvittaessa yhteistyössä poliisin tai muun esitutkintaviranomaisen, tietosuojavaltuutetun, Finanssivalvonnan ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitetun valvovan viranomaisen kanssa sekä Liikenne- ja viestintäviraston sille ilmailulaissa (864/2014), sähköisen viestinnän palveluista annetussa laissa ja eIDAS-asetuksessa säädettyjen tehtävien osalta.
Valvovien viranomaisten ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitettujen valvovien viranomaisten on vaihdettava keskenään säännöllisesti tietoja kriittisten toimijoiden määrittämisestä sekä riskeistä, kyberuhkista ja poikkeamista ja muista kuin kyberturvallisuuteen liittyvistä riskeistä, uhkista ja poikkeamista, jotka vaikuttavat kriittisiksi toimijoiksi määritettyihin toimijoihin, sekä näiden riskien, uhkien ja poikkeamien hallintatoimenpiteistä. Valvovan viranomaisen on ilmoitettava yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltaiselle valvovalle viranomaiselle, kun kriittiseen toimijaan kohdistetaan tämän lain 4 luvussa säädettyjä toimivaltuuksia. Valvova viranomainen voi kohdistaa kriittiseen toimijaan valvontaa yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:n nojalla toimivaltaisen valvovan viranomaisen pyynnöstä.
Tämä laki tulee voimaan 1 päivänä heinäkuuta 2025.
Tätä lakia ja tällä lailla muutettavan lain 10–18 ja 41 §:ää sovelletaan kriittiseen toimijaan kolmen kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. Tällä lailla muutettavan lain 7–9 §:ää sovelletaan kriittiseen toimijaan kuitenkin vasta yhdeksän kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi.
LiVM 12/2025
EV 72/2025
Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 (32022L2555), EUVL L 333, 27.12.2022, s. 80
Helsingissä 27.6.2025
Tasavallan PresidenttiAlexander StubbLiikenne- ja viestintäministeriLulu Ranne