I EU:s cybersäkerhetsdirektiv (s.k. NIS2-direktivet) föreskrivs om informationssäkerhetsskyldigheter och rapportering av störningar i flera olika sektorer i samhället. I Finland finns skyldigheterna enligt NIS2-direktivet främst i cybersäkerhetslagen. Vid Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom utövar vi tillsyn över de flesta av leverantörerna av digital infrastruktur, leverantörer av digitala tjänster, leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster samt forskningsorganisationer och offentliga förvaltningsentiteter.
Aktörer inom den offentliga förvaltningen
Inom den offentliga förvaltningen tillämpas NIS-direktivet i regel på aktörer inom den centrala förvaltningen och regionförvaltningen oberoende av deras storlek.
På nationell nivå ingår NIS2-reglering för den offentliga förvaltningen i lagen om informationshantering inom den offentliga förvaltningen (906/2019). Cybersäkerhetsreglering på grund av NIS2-direktivet finns speciellt i lagens 4 a kap. vars cybersäkerhetsskyldigheter lämpar sig för en mindre grupp av myndigheter än annan reglering i lagen om informationshantering. 4 a kap. i lagen om informationshantering tillämpas på statsförvaltningsmyndigheterna, statliga ämbetsverk och inrättningar, statliga affärsverk, självständiga offentligrättsliga inrättningar samt välfärdsområden och välfärdssammanslutningar samt Helsingfors stad när staden sköter uppgifter som enligt lag hör till välfärdsområdenas organiseringsansvar. Den cybersäkerhetsreglering som finns i 4 a kap. i lagen om informationshantering tillämpas inte på de aktörer som anges särskilt i 3 § 3 mom. eller på en viss verksamhet, t.ex. för den tjänsteproduktion och användning som anges i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (10/2015).
NIS2-regleringen för den offentliga förvaltningens sektor tillämpas i regel inte på kommunerna, men om kommunen utövar verksamhet som avses i bilagan till cybersäkerhetslagen (t.ex. en kommunal myndighet inom vatten- eller avfallshantering) tillämpas cybersäkerhetslagen på det.
På välfärdsområden och välfärdssammanslutningar tillämpas bestämmelserna både i 4 a kap. i lagen om informationshantering och cybersäkerhetslagen när de utövar verksamhet inom hälso- och sjukvårdssektorn. Cybersäkerhetsskyldigheterna i båda lagar är i regel förenliga med varandra.
Cybersäkerhetscentret vid Traficom utövar tillsyn över välfärdsområdena som en del av den offentliga förvaltningens sektor. Tillstånds- och tillsynsverket för social- och hälsovården Valvira utövar tillsyn över välfärdsområdena när de utövar verksamhet som aktörer inom hälsovård. Välfärdsområdena ska i praktiken anmäla sig både till Valviras och till Traficoms förteckning över aktörer samt anmäla betydande incidenter till båda myndigheterna. Valviras webbsidor som gäller tillsyn över cybersäkerhetslagen.
Forskningsorganisationer
Enligt artikel 6.41 avses med forskningsorganisation en entitet vars främsta mål är att bedriva tillämpad forskning eller experimentell utveckling i syfte att utnyttja resultaten av denna forskning i kommersiellt syfte, men som inte inbegriper utbildningsinstitutioner.
Till forskningsorganisationer räknas aktörer vars verksamhet till väsentlig del består av sådan tillämpad forskning eller experimentell utveckling som avses i OECD:s Frascati-manual från 2015 om riktlinjer för insamling och rapportering av uppgifter om forskning och utveckling, och vars resultat de utnyttjar för kommersiella ändamål, såsom tillverkning eller utveckling av en produkt eller process, tillhandahållande av en tjänst eller marknadsföring av den.
Kontakter
Kontakta oss vid behov på: nis.valvonta.ktk@traficom.fi