Tietoa kyberturvallisuuslainsäädännöstä (NIS2)
Kyberturvallisuusdirektiivi (NIS2) tuli osaksi kansallista lainsäädäntöä 8.4.2025. Kyberturvallisuuslainsäädännön tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta kriittisillä sektoreilla.
NIS2-toimijaluettelon sähköisessä asioinnissa ilmoitetaan kyberturvallisuuslain edellyttämät tiedot yrityksestä, joka on Fimean valvoma lääkkeiden, lääkinnällisten laitteiden tai veripalvelulaitosten toimija. Sisäänkirjautumalla pääset valitsemaan valtuuden ja asioimaan palvelussa. Voit sisäänkirjautua joko alla olevasta linkistä tai sivun oikeasta yläkulmasta.
NIS2-toimijailmoitusten sähköinen asiointi -palveluLisätiedot
Ohjeet palvelun käyttöön löytyvät täältä: https://fimea.fi/valvonta/kyberturvallisuuden-ja-hairionsietokyvyn-valvonta/kyberturvallisuus
Yhteystiedot: NIS2-CER@fimea.fi
Keitä velvoitteet koskevat?
Kyberturvallisuuslainsäädäntö koskee useita eri toimialoja. Fimea valvoo kyberturvallisuuslainsäädännön velvoitteiden toteutumista tietyillä terveyden ja valmistuksen toimialoilla Suomessa.
Fimean valvomat toimijat terveyden toimialalla (kyberturvallisuuslaki, liite I):
- Lääkkeiden valmistusta harjoittavat toimijat
- Lääkeaineiden valmistusta harjoittavat toimijat
- Lääkkeiden tutkimusta ja kehitystä harjoittavat toimijat
- Apteekit
- Veripalvelulaitokset
- Potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetun EU-direktiivin (2011/24/EU) mukaiset lääkkeitä ja lääkinnällisiä laitteita toimittavat ja tarjoavat toimijat
- Vakavan kansanterveysuhan aikanakriittisiksi katsottuja lääkinnällisiä laitteita valmistavat toimijat
Fimean valvomat toimijat valmistuksen toimialalla (kyberturvallisuuslaki, liite II):
- Lääkinnällisten laitteiden ja in vitro -diagnostiikkaan tarkoitettujen lääkinnällisten laitteiden valmistajat
Keskeiset ja tärkeät toimijat
Kyberturvallisuuslainsäädännön velvoitteet koskevat toimijoita, jotka täyttävät joko keskeisen toimijan tai tärkeän toimijan kriteerit. Organisaation toimiala, koko ja kriittisyys vaikuttavat siihen onko kyseessä keskeinen tai tärkeä toimija. Keskeisiä ja tärkeitä toimijoita valvotaan eri tavoilla. Keskeisiin toimijoihin kohdistetaan ennakkovalvontaa ja riskiperusteista valvontaa. Tärkeisiin toimijoihin kohdistetaan vain riskiperusteista valvontaa.
Mitä velvoitteet ovat?
Toimijaluetteloon ilmoittautuminen
Toimijoilla on velvollisuus ilmoittautua Fimean NIS2-toimijaluetteloon kyberturvallisuuslaissa edellytetyssä aikataulussa.
Muutoksista ilmoittaminen
Jos toimijaluetteloon ilmoitetut tiedot muuttuvat, toimijan on ilmoitettava muutoksesta palveluun viipymättä, viimeistään kahden viikon kuluessa. Toimijoiden on tehtävä ilmoitus myös siinä tapauksessa, jos toimija ei täytä enää keskeisen tai tärkeän toimijan kriteerejä, tai jos toimija on lopettanut toimintansa.
Kyberturvallisuuden riskienhallintavelvoitteet
Toimijoilla on velvollisuus toteuttaa tietyt kyberturvallisuuden riskienhallintavelvoitteet. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on koostamassa suositusta kyberturvallisuuden riskienhallinnan toimenpiteistä.
Tietoturvapoikkeamista ilmoittaminen
Toimijoilla on velvollisuus ilmoittaa viipymättä sen palveluun kohdistuvasta merkittävästä poikkeamasta valvovalle viranomaiselle. Suomessa ilmoituksen voi tehdä Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen parhaillaan kehityksessä olevalla NIS2-ilmoitussovelluksella.
Miten keskeinen toimija määritellään?
Keskeinen toimija toimialan ja koon perusteella
Keskeisiä toimijoita ovat terveyden toimialalla toimivat suuret yritykset. Suuren yrityksen kriteerit täyttyvät, kun yrityksellä on palveluksessaan vähintään 250 työntekijää tai sen vuosiliikevaihto on yli 50 miljoonaa euroa ja tase yli 43 miljoonaa euroa.
Keskeinen toimija koosta riippumatta
Toimija voidaan määrittää keskeiseksi myös koostaan riippumatta. Toimija nähdään keskeisenä koostaan riippumatta, jos jokin seuraavista kriteereistä täyttyy (näitä kriteerejä saatetaan tarkentaa valtioneuvoston asetuksella):
- Toimija tarjoaa ainoana jäsenvaltiossa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen.
- Häiriö toimijan tarjoamassa palvelussa voisi vaikuttaa merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen.
- Häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia.
- Toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.
Keskeinen toimija CER-direktiivin perusteella
CER-direktiivin (Critical Entities Resilience, kriittisten toimijoiden häiriönsietokyky) mukaiset kriittiset toimijat nähdään keskeisinä toimijoina. Toimijat määritetään EU:n jäsenvaltioiden toimesta vuoden 2026 aikana.
Usealla toimialalla toimivat toimijat
Jos toimija harjoittaa toimintaa useammalla toimialalla ja toiminta on osin keskeisen toimijan määritelmän mukaista toimintaa sekä osin muuta toimintaa, toimija nähdään keskeisenä toimijana.
Miten tärkeä toimija määritellään?
Tärkeä toimija toimialan ja koon perusteella
Tärkeitä toimijoita ovat:
- Terveyden toimialalla toimivat yritykset, jotka täyttävät keskisuuren yrityksen kriteerit. Keskisuuren yrityksen kriteerit täyttyvät, kun yrityksellä on palveluksessaan vähintään 50 työntekijää tai sen vuosiliikevaihto ja tase ovat yli 10 miljoonaa euroa.
- Valmistuksen toimialalla toimivat yritykset, jotka täyttävät suuren yrityksen kriteerit. Suuren yrityksen kriteerit täyttyvät, kun yrityksellä on palveluksessaan vähintään 250 työntekijää tai sen vuosiliikevaihto on yli 50 miljoonaa euroa ja tase yli 43 miljoonaa euroa.
- Valmistuksen toimialalla toimivat yritykset, jotka täyttävät keskisuuren yrityksen kriteerit. Keskisuuren yrityksen kriteerit täyttyvät, kun yrityksellä on palveluksessaan vähintään 50 työntekijää tai sen vuosiliikevaihto ja tase ovat yli 10 miljoonaa euroa.
Toimijaluetteloon kerättävät tiedot
- Toimijan nimi
- Toimijan yhteystiedot (osoite, sähköpostiosoite, puhelinnumero)
- Toimialaa koskevat tiedot
- Tieto siitä onko toimija keskeinen vai tärkeä toimija
- Julkiset IP-osoitealueet
- Euroopan unionin jäsenvaltiot, joissa organisaatio tarjoaa kyberturvallisuuslainsäädännön (NIS2) soveltamisalaan kuuluvia palveluja
- Osallistuminen kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn
Miksi toimijaluetteloon kerätään IP-osoitetietoja?
Julkisten IP-osoitteiden ilmoittamisesta valvovalle viranomaiselle säädetään NIS2-direktiivissä, kyberturvallisuuslaissa, tiedonhallintalaissa ja sähköisen viestinnän palveluista annetussa laissa.
Julkisten IP-osoitetietojen avulla voidaan ennakoivasti havaita haavoittuvuuksia, kyberuhkia ja turvattomasti määritettyjen viestintäverkkojen ja tietojärjestelmien asetuksia kyberturvallisuuslainsäädännön kohteena olevista organisaatioista.
Liikenne- ja viestintäviraston CSIRT-yksikkö vastaa haavoittuvuuksiin ja kyberuhkiin liittyvistä toimenpiteistä Suomessa. CSIRT-yksiköllä on oikeus saada valvovalta viranomaiselta tietoja toimijaluettelosta.
Lainsäädäntö
Kyberturvallisuuslaki (avautuu uuteen ikkunaan)
NIS2-direktiivi (avautuu uuteen ikkunaan)
CER-direktiivi (avautuu uuteen ikkunaan)
Tiedonhallintalaki (avautuu uuteen ikkunaan)
Sähköisen viestinnän palveluista annettu laki (avautuu uuteen ikkunaan)
Mistä saan apua ongelmatilanteissa?
Jos tarvitset tukea palvelun käyttöön, ota yhteyttä NIS2-CER@fimea.fi.
Löydät vastauksia usein kysyttyihin kysymyksiin klikkaamalla alla olevaa painiketta.