Finansieringsstöd som vi beviljar nationellt

Våren 2025 trädde den nationella cybersäkerhetslagen (124/2025) i kraft, genom vilken EU:s cybersäkerhetsdirektiv (NIS 2-direktivet) verkställs. Syftet med cybersäkerhetsdirektivet är att stärka både EU:s gemensamma och medlemsstaternas nationella nivå av cybersäkerhet inom flera sektorer som är kritiska för samhällets funktion. NIS 2-direktivet ersätter EU:s tidigare direktiv om nät- och informationssäkerhet (NIS-direktivet), som innehåller bestämmelser om cybersäkerhetsskyldigheter inom vissa sektorer.

I NIS 2-direktivet och den nationella cybersäkerhetslagen åläggs samhällskritiska sektorer riskhanteringsskyldigheter för att stärka cybersäkerheten samt en rapporteringsskyldighet vid betydande avvikelser. Lagen innehåller en förteckning över minimiåtgärder som alla aktörer bör vidta för att hantera cybersäkerhetsriskerna i sin verksamhet. Aktörerna ska också underrätta sin tillsynsmyndighet om betydande informationssäkerhetsincidenter. Utöver detta ska de aktörer som omfattas av NIS2-regleringen anmäla sig till den aktörsförteckningen som förs av tillsynsmyndigheten inom deras respektive sektor.

Traficom har tagit fram en rekommendation om åtgärder för riskhantering inom cybersäkerhet som riktar sig till myndigheter som övervakar den nationella regleringen, men som även stöder de aktörer som omfattas av lagstiftningens tillämpningsområde i deras egen planering av riskhanteringen inom cybersäkerhet.

Vad består finansieringen av för ett enskilt projekt?

Finansieringen består av 25 procent nationell finansiering, 25 procent EU-finansiering och 50 procent av den sökandes egen finansiering. Det nationella samordningscentrumet har beviljats projektfinansiering från programmet för ett digitalt Europa för åren 2025–2029. Från projektet kommer vidare totalt cirka 3,7 miljoner euro i finansieringsstöd att beviljas små och medelstora företag för att stödja genomförandet av nya cybersäkerhetsförfattningar samt införandet och spridningen av avancerade cybersäkerhetslösningar.

På vilka grunder beviljas finansieringsstöd?

Finansieringsstödet är behovsprövat och beviljas till sökande som uppfyller behörighetskriterierna och som är mest framgångsrika i bedömningen av ansökningarna. Inkomna ansökningar bedöms av Cybersäkerhetscentret vid Transport- och kommunikationsverket. Det är möjligt att inte alla sökande får ett positivt beslut om finansieringsstöd. Mer information om bedömningsprocessen och kriterierna finns i ansökningsannonsen.

Hur vet jag om den organisation jag representerar är mikrostor, liten eller medelstor?

I fastställandet av sökandens storlek tillämpas bilagan till kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag på det sätt som avses i cybersäkerhetslagen. Enligt bilagan till rekommendationen utgörs kategorin mikroföretag samt små och medelstora företag (SMF-kategorin) av företag som sysselsätter färre än 250 personer och vars årsomsättning inte överstiger 50 miljoner euro eller vars balansomslutning inte överstiger 43 miljoner euro per år. 

Kommissionens rekommendation innehåller också en definition av vad som avses med ett företags oberoende. Företagets kapitalinvesterare och koncern- och dotterbolagsstruktur kan påverka företagets oberoende och därmed fastställandet av sökandens storlek. I kommissionens rekommendation används begreppen partnerföretag och anknutna företag. Anknutna företag är företag som bildar en grupp antingen genom att ett företag direkt eller indirekt kontrollerar majoriteten av rösterna i ett annat företag, eller genom att ett företag kan utöva ett bestämmande inflytande över ett annat företag. Uppgifterna om de anknutna företagens ekonomi (personalstyrka, omsättning, balansomslutning) ska till 100 procent räknas in i uppgifterna för det företag som omfattas av definitionen av små och medelstora företag, för att utreda om det uppfyller kraven i definitionen när det gäller personalstyrka och något av de ekonomiska tröskelvärdena (omsättning eller balansomslutning). I de flesta medlemsstaters lagstiftning krävs att sådana företag upprättar ett koncernbokslut eller att de införs i ett annat företags bokföring genom fullständig konsolidering. I sådana fall kan de finansiella nyckeltal som ingår i koncernbokslutet vara avgörande för att fastställa sökandens storlek. Om företaget inte upprättar ett koncernbokslut och dess anknutna företag i sin tur har en förbindelse till andra företag (partnerföretag eller anknutna företag), ska företaget i fråga lägga till 100 procent av uppgifterna från samtliga anknutna företag samt en proportionell procentandel av uppgifterna från partnerföretagen till sina egna uppgifter. 

Partnerföretag är i sin tur företag som varken är självständiga eller anknutna företag. Ett företag är ett partnerföretag om det innehar minst 25 procent av kapitalet eller röstetalet i ett annat företag och/eller om ett annat företag innehar minst 25 procent av kapitalet eller röstetalet i företaget i fråga. Ett partnerföretag ska lägga till samma procentuella andel av sin partners personalstyrka och finansiella uppgifter i sina egna nyckeltal.

Man kan också få hjälp med tolkningen av definitionen av små och medelstora företag i kommissionens användarhandledning. (Extern länk)

Kan en kommuns balansräkningsenhet eller affärsverk ansöka om finansieringsstöd?

En kommuns balansräkningsenhet eller affärsverk kan ansöka om stöd, om den omfattas av cybersäkerhetslagens tillämpningsområde, uppfyller storlekskriterierna i bilagan till kommissionens rekommendation 2003/361/EG och har registrerat sig i den aktörsförteckning som förs av den tillsynsmyndighet som övervakar deras verksamhetsområde. När det gäller offentligt ägda sökande beaktas i definitionen av sökandens storlek endast den verksamhet som avses i bilagan till cybersäkerhetslagen, det vill säga storleken fastställs endast för den del av organisationen som omfattas av cybersäkerhetslagens tillämpningsområde. Vid fastställandet av storlek beaktas inte hela det offentliga samfundet eller den offentliga inrättningen, såsom kommunens personalantal, omsättning eller balansomslutning och inte heller de begränsningar som fastställts för ägande- eller rösträtten för offentliga samfund eller inrättningar.

Kan ett dotterbolag i aktiebolagsform som helt eller delvis ägs av ett offentligt samfund ansöka om finansieringsstöd?

Ja. I fastställandet av sökandens storlek tillämpas bilagan till kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag på det sätt som avses i cybersäkerhetslagen. Artikel 3.4 i bilagan till rekommendationen tillämpas inte. Således kan även aktörer som ägs av ett offentligt samfund eller en offentlig inrättning vara sökande, och för deras del beaktas endast den verksamhet som avses i bilagan till cybersäkerhetslagen i definitionen av storleken på den som ansöker om finansieringsstöd. Om sökande X till exempel ägs till 50 procent av en kommun och till 50 procent av aktiebolaget Y, beaktas ändå aktiebolaget Y:s nyckeltal i sökande X:s nyckeltal. Vid fastställandet av storleken beaktas inte personalantal, omsättning eller balansomslutning för det offentliga samfundet eller den offentliga inrättningen, såsom en kommun. Till skillnad från kommissionens rekommendation tillämpas inga begränsningar av ägande- eller rösträtten för offentliga samfund eller offentliga inrättningar. Det bör noteras att personalstyrkan enligt kommissionens rekommendation 2003/361/EG samt gränsvärdena för omsättningen eller balansomslutningen också gäller organisationer som offentliga samfund äger.

I den organisation jag representerar arbetar enligt det senaste bokslutet 300 personer, och dess omsättning är under 50 miljoner euro och balansomslutningen under 43 miljoner euro. Är det företag jag representerar behörigt att ansöka om stöd?

Organisationen i fråga är inte behörig att ansöka i denna ansökan om finansieringsstöd. I fastställandet av sökandens storlek tillämpas bilagan till kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag på det sätt som avses i cybersäkerhetslagen. Enligt artikel 2 i bilagan till rekommendationen utgörs kategorin mikroföretag samt små och medelstora företag (SMF-kategorin) av företag som sysselsätter färre än 250 personer och vars årsomsättning inte överstiger 50 miljoner euro eller vars balansomslutning inte överstiger 43 miljoner euro per år. Att överskrida gränsvärdet för personalstyrkan räcker i sig för att utesluta sökanden från ansökan.

Voiko toimijaluetteloon ilmoittautua, vaikka ei kuuluisi kyberturvallisuuslain (124/2025) soveltamisalaan?

Toimijaluetteloon ei tule ilmoittautua, jos organisaatio ei ole kyberturvallisuuslain 3 §:n mukainen toimija. Lain soveltamisalaan kuuluvilta edellytetään lain mukaisia riskienhallinan ja poikkeamista ilmoittamisen toimenpiteitä, joita oman toimialan valvova viranomainen valvoo ja voi asettaa rangaistuksia velvoitteiden laiminlyönnistä.

Kan man ansöka om finansieringsstöd om man inte omfattas av cybersäkerhetslagens tillämpningsområde, men ändå tillämpar lagens skyldigheter frivilligt eller på grund av krav från samarbetspartner?

Finansieringsstöd beviljas inte en sökande som inte omfattas av cybersäkerhetslagens tillämpningsområde (124/2025) och som inte uppfyller övriga behörighetskriterier.

I den organisation jag företräder arbetar enligt det senaste bokslutet färre än 250 personer. Omsättningen överstiger 50 miljoner euro, men balansomslutningen är under 43 miljoner euro. Är mitt företag behörigt att ansöka om stöd?

Organisationen i fråga är på grund av sin storlek behörig i denna ansökan om finansieringsstöd. Personalstyrkan i ert företag underskrider det gränsvärde som fastställts för små och medelstora företag. När det gäller omsättning och balansomslutning får endast den ena överskrida de gränsvärden som fastställts för små och medelstora företag. I detta fall överskrider omsättningen det fastställda gränsvärdet, men balansomslutningen underskrider gränsvärdet, vilket är tillåtet. Det bör noteras att även andra ägarförhållanden påverkar sökandens storlek och att dessa inte har beaktats i detta exempel.

Är det problematiskt om företaget vid ansökningstillfället uppfyller definitionen av SMF-företag, men till exempel personalstyrkan växer till över 250 personer under projektets gång?

De uppgifter som används för beräkningen av personalstyrkan och penningvärdena bedöms utifrån uppgifterna från den senaste avslutade räkenskapsperioden och beräknas årligen. En förändring i personalstyrkan, omsättningen eller balansomslutningen som inträffar efter beslutet om finansieringsstöd påverkar inte utbetalningen av det beviljade finansieringsstödet. När företagets årliga uppgifter vid bokslutstidpunkten överskrider eller underskrider de nämnda gränsvärdena för personalstyrkan eller penningvärdena, uppnår eller förlorar företaget sin ställning som medelstort företag, litet företag eller mikroföretag endast om överskridandet eller underskridandet upprepas under två på varandra följande räkenskapsår.

Voidaanko yhdelle hakijalle myöntää rahoitustukea useampaan kuin yhteen hankkeeseen?

Yksi organisaatio/y-tunnus voi jättää vain yhden hakemuksen. Halutessaan samaan hankehakemukseen voi yhdistää useampia kokonaisuuksia esimerkiksi eri työpaketteina. Rahoitustukea voi hakea enintään 100 000 euroa. Hankkeen omavastuuosuus voi kuitenkin olla enemmän, kuin 50 %.

Påverkar företagets kapitalinvesterare behörigheten att ansöka?

Kapitalinvesterare kan ha betydelse för företagets behörighet att ansöka, beroende till exempel på ägarandelarna i det sökande företaget eller på karaktären och omfattningen av det bestämmande inflytandet. Vid definitionen av sökandens storlek beaktas punkterna i artikel 3 i bilagan till kommissionens rekommendation, med undantag för punkt 4.

Därutöver tillämpas artikel 12 i Europaparlamentets och rådets förordning (EU) 2021/694 om inrättandet av programmet för ett digitalt Europa på finansieringsstödet. Av säkerhetsskäl får aktörer som är verksamma utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet inte utöva direkt eller indirekt bestämmande inflytande över mottagaren av finansieringsstödet. Vid bedömningen av bestämmande inflytande tillämpas den definition som anges i 5 § i bokföringslagen (1336/1997). Om det under projektets gång sker förändringar i fråga om det bestämmande inflytandet över mottagaren av finansieringsstödet, till exempel i ägarförhållandena, ska dessa utan dröjsmål anmälas till statsbidragsmyndigheten på adressen kyber.rahoitustuki(at)traficom.fi.

Ska en organisation som får finansieringsstöd tillämpa upphandlingslagen?

Organisationer som får finansieringsstöd ska följa lagen om offentlig upphandling och koncession (1397/2016), eftersom en aktör som inte tillhör staten, kommunerna eller församlingarna är en sådan upphandlande enhet enligt lagen och är skyldig att konkurrensutsätta sina upphandlingar i enlighet med upphandlingslagen, om den uppfyller kännetecknen för en offentligrättslig inrättning enligt upphandlingslagen eller får understöd för en viss upphandling till ett belopp som överstiger 50 procent av upphandlingens värde. För företag som inte har någon offentlig ägare uppfylls inte gränsvärdet när projektets självriskandel är 50 procent.

Vad innebär projektets självriskandel?

Finansieringsstödet kan täcka högst 50 procent av projektets faktiska och godkända kostnader, vilket innebär att projektets självriskandel måste vara minst 50 procent. Till exempel för ett projekt som beviljas 50 000 euro i stöd ska de totala kostnaderna vara minst 100 000 euro. Självriskandelen ska ingå i det projekt och den projektplan som finansieras och den ska uppfylla villkoren för finansieringsstödet.

Kan kostnader inkluderas retroaktivt i projektet?

I projektet kan man inkludera kostnader som har uppkommit under projekttiden 1.1–31.12.2026. Om projektet till exempel beviljas ett positivt finansieringsstödsbeslut senare i januari 2026 och projektet har inletts den 1.1.2026, kan kostnader som uppkommit från och med 1.1.2026 inkluderas retroaktivt. Om projektet inte beviljas finansiering ansvarar sökanden själv fullt ut för redan uppkomna kostnader.

Är penetrationstestning (penetration testing) en åtgärd som finansieras?

Ja, om penetrationstestningen enligt ansökningsannonsen faller under en eller flera av de åtgärder som avses i 9 § i cybersäkerhetslagen och kan motiveras som en åtgärd i enlighet med sökandens verksamhetsmodell för riskhantering inom cybersäkerhet.

Räknas uppgraderingar av engångsersättningslicenser till en version med förbättrad informationssäkerhet som en godtagbar kostnad?

En sådan kostnad kan godkännas, dock med beaktande av finansieringsstödets mål och att endast avskrivningar godkänns för inköp av utrustning, infrastruktur eller andra anläggningstillgångar, det vill säga endast den del av kostnaderna som motsvarar den faktiska användningsgraden av den inköpta produkten under projektets gång. Avskrivningen ska grunda sig på faktiska kostnader och beräknas i enlighet med internationella redovisningsstandarder och stödmottagarens allmänna bokföringspraxis.

Eritelläänkö hankesuunnitelman palkkakustannuksissa myös ostopalveluun sisältyvät henkilöstökulut?

Palkkakustannuksissa ilmoitetaan ainoastaan hakijan sisäiset palkkakustannukset. Ostopalvelun palveluntarjoajan henkilöstökustannukset ilmoitetaan könttänä ostopalvelut -kohdassa.

Jos ostopalvelukustannus sisältää lisenssin, tuleeko lisenssi eritellä hankesuunnitelman -lisenssit kohdassa?

Lisenssikulua ei ole tarpeen erotella ostopalvelusta eli ostopalvelun hinta ilmoitetaan könttänä. Ostopalvelun sisällön erittelyssä on kuitenkin tarpeen tuoda esiin mille ajalle lisenssikulu kohdistuu. Hankkeelle voi sisällyttää lisenssikustannuksia vain siltä osin, kuin ne kohdistuvat hankeajalle.

Hur kan jag ge Suomi.fi-fullmakter för att ansöka om finansieringsstöd?

För att ge fullmakter måste du logga in på Suomi.fi-webbplatsen och ge den person som fyller i ansökan fullmakt: ’Ansökan om stöd för utveckling av informationssäkerhet’. Mer detaljerade anvisningar finns på webbplatsen Suomi.fi. (Extern länk)

Hur ska jag agera om det sker ändringar i projektet under behandlingsprocessen för ansökan eller under projektets genomförande?

Alla väsentliga ändringar, till exempel gällande företagets ägare, kontaktuppgifter, projektets innehåll eller kostnader, ska utan dröjsmål anmälas till och vid behov godkännas av statsbidragsmyndigheten. Vissa ändringar kan kräva ett särskilt ändringsbeslut. Om stödmottagaren är osäker på förändringens omfattning eller behov lönar det sig att kontrollera saken med statsbidragsmyndigheten genom att kontakta kyber.rahoitustuki@traficom.fi

Hur ska projektet rapporteras?

Närmare anvisningar om rapporteringen ges separat i det positiva beslutet om finansieringsstöd. I samband med slutredovisningen ska sökanden redovisa och styrka de faktiska kostnader som hänför sig till projektet. När slutredovisningen har godkänts betalas de återstående 30 procenten av det beviljade finansieringsstödet ut till stödmottagaren.

Kan en sökande beviljas finansieringsstöd för fler än ett projekt?

En organisation/ett FO-nummer kan endast lämna in en ansökan. Om man vill kan man kombinera flera helheter till samma projektansökan till exempel som olika arbetspaket. Finansieringsstöd kan sökas för högst 100 000 euro. Projektets självriskandel kan dock vara mer än 50 procent.

Om en kostnad för en köpt tjänst innehåller en licens, ska licensen då specificeras under punkten licenser i projektplanen?

Licenskostnaden behöver inte särskiljas från den köpta tjänsten, det vill säga priset på den köpta tjänsten anges som en klumpsumma. I specifikationen av innehållet i en köpt tjänst är det dock nödvändigt att ange vilken tidsperiod licenskostnaden avser. Projektet får endast inkludera licenskostnader till den del de hänför sig till projektperioden.

Ska även de personalkostnader som ingår i en köpt tjänst specificeras i projektplanens lönekostnader?

I lönekostnaderna anges endast sökandens interna lönekostnader. Personalkostnaderna för en tjänsteleverantör av köpta tjänster anges under punkten köpta tjänster som en klumpsumma.

Ansökningsomgången om finansieringsstöd för 2024 avslutades den 1.3.2024

Cybersäkerhetscentret vid Transport- och kommunikationsverket öppnade den 2 januari 2024 en ansökningsomgång för finansieringsstöd till projekt för ibruktagande av moderna lösningar och innovationer inom datasäkerhet. Ansökningstiden gick ut den 1.3.2024 kl. 16.15. Mikroföretag samt små och medelstora företag som är registrerade i Finland kunde ansöka om finansieringsstöd. Finansieringsstöd på sammanlagt 1,5 miljoner euro delas ut. Det totala beloppet för det begärda finansieringsstödet uppgick till cirka 6,5 miljoner euro. Totalt inkom 160 ansökningar. Totalt inkom 160 ansökningar.

Finansieringsstöd beviljades till 37 företag, med belopp från 6 622 euro till 60 000 euro. Finansieringsstöd beviljades till de ansökningar som uppfyllde sökduglighetskriterierna och de allmänna finansieringsvillkoren och som bäst klarade sig i bedömningen av ansökningarna.

Finansieringsansökningsomgången 2023 avslutades den 16 augusti 2023

Under ansökningsomgången som var öppen mellan den 16 juni och den 16 augusti 2023 kunde finansieringsstöd sökas för införande av moderna lösningar och innovationer för cybersäkerhet.  Små och medelstora företag registrerade i Finland kunde ansöka om stöd. Finansieringsstödet var avsett för åtgärder som förbättrar ansökarföretagens cybersäkerhet. Totalt 500 000 euro i finansieringsstöd fanns att sökas.

13 sökande beviljades totalt 485 000 euro i finansieringsstöd. Ansökningarna om finansieringsstöd uppgick till cirka 630 000 euro. De beviljade beloppen av finansieringsstöd per projekt var mellan 7 640 euro och 60 000 euro. Finansieringsstöd beviljades till de ansökningar som uppfyllde sökduglighetskriterierna och de allmänna finansieringsvillkoren och som bäst klarade sig i bedömningen av ansökningarna.