Lag om ändring av cybersäkerhetslagen
- Typ av författning
- Lag
- Meddelats
- Publiceringsdag
- Finlands författningssamling
- Författningstext
Den ursprungliga författningens text
I de ursprungliga författningstexterna görs inga ändringar eller rättelser. Ändringarna och rättelserna syns i de uppdaterade författningarna och i pdf-versionerna av författningssamlingen.
I enlighet med riksdagens beslut
ändras i cybersäkerhetslagen ( 124/2025 ) 3 § 2 mom., 4 § 6 mom., 27 § 2 mom., 28 § 4 mom. och 45 § 2 mom. samt
fogas till 17 § ett nytt 6 mom., till 26 § ett nytt 3 mom. och till 45 § ett nytt 5 mom. som följer:
3 §Aktörer
Denna lag tillämpas också på en aktör som oavsett storlek är
en tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster,
en tillhandahållare av betrodda tjänster,
den som förvaltar ett toppdomänregister,
en leverantör av DNS-tjänster, eller
en kritisk aktör som med stöd av lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025) har identifierats som kritisk aktör inom någon annan sektor än sektorn för offentlig förvaltning ( kritisk aktör ).
4 §Avgränsning av tillämpningsområdet
Denna lag tillämpas på en i kommunallagen (410/2015) avsedd kommun endast i fråga om verksamhet enligt bilaga I eller II samt till den del kommunen fungerar som en kritisk aktör.
17 §Hantering av incidentanmälningar
Om en anmälan, rapport eller underrättelse som avses i 11–13 eller 15 § görs av en kritisk aktör, ska tillsynsmyndigheten informera den myndighet som enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och stärkande av samhällets motståndskraft är behörig att utöva tillsyn över den kritiska aktören om anmälan, rapporten eller underrättelsen.
26 §Tillsynsmyndigheter
Om en kritisk aktör inte bedriver verksamhet enligt bilaga I eller II, bestäms tillsynsmyndigheten enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft.
27 §Inriktning av tillsynen
Med väsentlig aktör avses
en i bilaga I avsedd aktör som överskrider villkoren för medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag,
kvalificerade tillhandahållare av betrodda tjänster, de som förvaltar ett toppdomänregister samt leverantörer av DNS-tjänster,
tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster som uppfyller eller överskrider villkoren för medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag,
en aktör som avses i 3 § 3 mom., samt
en kritisk aktör.
28 §Rätt att få information
Tillsynsmyndigheten har trots sekretessbestämmelserna, skyldigheten att iaktta sekretess enligt 2 mom. och andra begränsningar som gäller utlämnande av information rätt att lämna ut handlingar som den fått eller utarbetat i samband med skötseln av sina uppgifter enligt denna lag samt att röja sekretessbelagd information för en annan tillsynsmyndighet, en CSIRT-enhet och en tillsynsmyndighet enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft, om det är nödvändigt för en uppgift som i denna lag eller i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft föreskrivits för myndigheten. Utnyttjandet av rätten att få information eller utlämnandet av information får inte begränsa skyddet av förtroliga meddelanden eller integritetsskyddet mer än vad som är nödvändigt.
45 §Myndighetssamarbete
Tillsynsmyndigheterna, CSIRT-enheten och den gemensamma kontaktpunkten ska vid behov samarbeta med polisen eller någon annan förundersökningsmyndighet, dataombudsmannen, Finansinspektionen och med en tillsynsmyndighet som avses i 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft samt med Transport- och kommunikationsverket i fråga om de uppgifter verket har enligt luftfartslagen (864/2014), lagen om tjänster inom elektronisk kommunikation och eIDAS-förordningen.
Tillsynsmyndigheterna och de tillsynsmyndigheter som avses i 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft ska regelbundet utbyta information om identifieringen av kritiska aktörer samt om risker, cyberhot och incidenter samt om icke-cyberrelaterade risker, hot och incidenter som påverkar aktörer som identifierats som kritiska, samt om de åtgärder som vidtagits för att hantera sådana risker, hot och incidenter. Tillsynsmyndigheten ska underrätta den behöriga tillsynsmyndigheten enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft när befogenheter enligt 4 kap. i denna lag utövas gentemot en kritisk aktör. Tillsynsmyndigheten kan rikta tillsyn mot en kritisk aktör på begäran av en behörig tillsynsmyndighet enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft.
Denna lag träder i kraft den 1 juli 2025.
Denna lag samt 10–18 § och 41 § i den lag som ändras genom denna lag tillämpas på en kritisk aktör tre månader efter det att aktören har fått del av det beslut genom vilket den identifierats som en kritisk aktör. Bestämmelserna i 7–9 § i den lag som ändras genom denna lag tillämpas dock på en kritisk aktör först nio månader efter det att aktören har fått del av det beslut genom vilket den identifierats som kritisk aktör.
KoUB 12/2025
RSv 72/2025
Europaparlamentets och rådets direktiv (EU) 2022/2555 (32022L2555), EUT L 333, 27.12.2022, s. 80
Helsingfors den 27 juni 2025
Republikens PresidentAlexander StubbKommunikationsministerLulu Ranne