Information om cybersäkerhetslagstiftningen (NIS2)
Cybersäkerhetsdirektivet (NIS2) införlivades i den nationella lagstiftningen 8.4.2025. Målet med cybersäkerhetslagstiftningen är att stärka såväl EU:s gemensamma som medlemsstaternas nationella cybersäkerhetsnivå inom sektorer som är kritiska för samhällets funktion.
De aktörer inom läkemedelsbranschen, tillverkare av medicintekniska produkter och inrättningar för blodtjänster som övervakas av Fimea ska enligt cybersäkerhetsdirektivet anmäla sina uppgifter till NIS2-aktörsförteckningen via Fimeas e-tjänst. Genom att logga in kan du välja fullmakt och utföra ärenden i tjänsten. Du kan logga in antingen via länken nedan eller från sidan övre högra hörn.
E-tjänst för NIS2-aktörsförteckningMer information
Anvisningar för användningen av tjänsten: https://fimea.fi/sv/overvakning/overvakning-av-cybersakerhet-och-motstandskraft/cybersakerhet
Kontaktuppgifter i anslutning till tjänsten: NIS2-CER@fimea.fi
Vem berörs av skyldigheterna?
Cybersäkerhetslagstiftningen gäller flera olika verksamhetsområden. Fimea övervakar att skyldigheterna i cybersäkerhetslagstiftningen fullgörs inom vissa verksamhetsområden inom hälsa och tillverkning i Finland.
Aktörer inom verksamhetsområdet för hälsa som övervakas av Fimea (cybersäkerhetslagen, bilaga I):
– Aktörer som tillverkar läkemedel
– Aktörer som tillverkar farmaceutiska basprodukter
– Aktörer som bedriver forskning och utveckling av läkemedel
– Apotek
– Inrättningar för blodtjänst
– Aktörer som lämnar ut och tillhandahåller läkemedel och medicintekniska produkter enligt EU-direktivet om tillämpning av patienträttigheter inom gränsöverskridande hälso- och sjukvård (2011/24/EU)
– Aktörer som tillverkar medicintekniska produkter som anses vara kritiska under ett allvarligt hot mot folkhälsan
Aktörer som övervakas av Fimea inom verksamhetsområdet för tillverkning (cybersäkerhetslagen, bilaga II):
– Tillverkare av medicintekniska produkter och medicintekniska produkter avsedda för in vitro-diagnostik
Dessutom tillämpas cybersäkerhetslagen på aktörer som har identifierats som kritiska enligt lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025), oberoende av deras storlek.
Väsentliga och viktiga aktörer
Skyldigheterna i cybersäkerhetslagstiftningen gäller aktörer som uppfyller kriterierna för antingen en väsentlig aktör eller en viktig aktör. Organisationens verksamhetsområde, storlek och kritiskhet påverkar om det är fråga om en väsentlig eller viktig aktör. Väsentliga och viktiga aktörer övervakas på olika sätt. Väsentliga aktörer utsätts för förhandstillsyn och riskbaserad tillsyn. Viktiga aktörer utsätts endast för riskbaserad tillsyn.
Vilka är skyldigheterna?
Anmälan till aktörsförteckningen
Aktörerna är skyldiga att anmäla sig till Fimeas NIS2-aktörsförteckning enligt den tidtabell som förutsätts i cybersäkerhetslagen.
Registrering i NIS2-aktörsförteckningen är avgiftsbelagd och omfattar en handläggningsavgift för aktörsanmälan samt en årlig underhållsavgift för aktörsanmälan. Avgifterna för registreringen baseras på den gällande förordningen från Social- och hälsovårdsministeriet om avgiftsbelagda prestationer vid Säkerhets- och utvecklingscentret för läkemedelsområdet.
Anmälan om ändringar
Om de uppgifter som anmälts till aktörsförteckningen ändras, ska aktören anmäla ändringen i tjänsten utan dröjsmål, senast inom två veckor. Aktörerna ska också göra en anmälan om aktören inte längre uppfyller kriterierna för en väsentlig eller viktig aktör eller om aktören har upphört med sin verksamhet.
Riskhanteringsskyldigheter inom cybersäkerhet
Aktörerna är skyldiga att fullgöra vissa riskhanteringsskyldigheter inom cybersäkerhet. Cybersäkerhetscentret vid Transport- och kommunikationsverket håller på att sammanställa en rekommendation om åtgärder för riskhantering inom cybersäkerhet.
Anmälan om informationssäkerhetsincidenter
Aktörerna är skyldiga att utan dröjsmål underrätta tillsynsmyndigheten om betydande incidenter i tjänsterna. I Finland kan anmälan göras med applikationen för NIS2-anmälan som för närvarande utvecklas av Transport- och kommunikationsverkets Cybersäkerhetscenter.
Hur definieras en väsentlig aktör?
Väsentlig aktör på basis av verksamhetsområde och storlek
Väsentliga aktörer är stora företag inom verksamhetsområdet för hälsa. Kriterierna för ett stort företag uppfylls när företaget sysselsätter minst 250 personer eller dess omsättning är över 50 miljoner euro och balansräkningen över 43 miljoner euro per år.
Väsentlig aktör oberoende av storlek
Aktören kan också definieras som väsentlig oberoende av storlek. Aktören anses vara väsentlig oberoende av storlek om något av följande kriterier uppfylls (dessa kriterier kan preciseras genom förordning av statsrådet):
- Aktören erbjuder som enda medlemsstat en tjänst som är väsentlig med tanke på upprätthållandet av kritiska funktioner i samhället eller ekonomin
- En störning i tjänsten som tillhandahålls av aktören kan ha en betydande inverkan på den allmänna ordningen, den allmänna säkerheten eller folkhälsan
- En störning i tjänsten som tillhandahålls av aktören kan orsaka en betydande systemisk risk särskilt inom branscher där en sådan störning kan ha gränsöverskridande konsekvenser
- Aktören är kritisk eftersom den har en särskilt stor betydelse på nationell eller regional nivå för verksamhetsområdet eller tjänstetypen i fråga eller för medlemsstatens andra verksamhetsområden som är beroende av varandra
Aktörer som har definierats som kritiska
Aktörer som definieras som kritiska enligt lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft betraktas som väsentliga aktörer. När det gäller aktörer som övervakas av Fimea, utses de kritiska aktörerna av Social- och hälsovårdsministeriet under år 2026.
Aktörer som bedriver verksamhet inom flera verksamhetsområden
Om aktören bedriver verksamhet inom flera verksamhetsområden och verksamheten delvis är verksamhet enligt definitionen av en väsentlig aktör och delvis annan verksamhet, betraktas aktören som en väsentlig aktör.
Hur definieras en viktig aktör?
Viktig aktör på basis av verksamhetsområde och storlek
Viktiga aktörer är:
– Företag inom verksamhetsområdet för hälsa som uppfyller kriterierna för medelstora företag. Kriterierna för ett medelstort företag uppfylls när företaget sysselsätter minst 50 personer eller dess omsättning och balansräkning är över 10 miljoner euro per år.
– Företag inom verksamhetsområdet för tillverkning som uppfyller kriterierna för stora företag. Kriterierna för ett stort företag uppfylls när företaget sysselsätter minst 250 personer eller dess omsättning är över 50 miljoner euro och balansräkningen över 43 miljoner euro per år.
– Företag inom verksamhetsområdet för tillverkning som uppfyller kriterierna för medelstora företag. Kriterierna för ett medelstort företag uppfylls när företaget sysselsätter minst 50 personer eller dess omsättning och balansräkning är över 10 miljoner euro per år.
Uppgifter som samlas in i aktörsförteckningen
- Aktörens namn
- Aktörens kontaktuppgifter (adress, e-postadress, telefonnummer)
- Uppgifter om verksamhetsområdet
- Uppgift om aktören är en viktig eller väsentlig aktör
- Offentliga IP-adressområden
- Europeiska unionens medlemsstater, där aktören tillhandahåller tjänster som omfattas av tillämpningsområdet för cybersäkerhetslagstiftningen (NIS2)
- Deltagande i det frivilliga arrangemanget för informationsutbyte om cybersäkerhet
Varför samlas IP-adressuppgifter i aktörsförteckningen?
Bestämmelser om anmälan av IP-adresser till tillsynsmyndigheten finns i NIS2-direktivet, cybersäkerhetslagen, informationshanteringslagen och lagen om tjänster inom elektronisk kommunikation.
Med hjälp av offentliga IP-adressuppgifter kan man på ett förutseende sätt upptäcka sårbarheter, cyberhot och otryggt definierade kommunikationsnäts och informationssystems inställningar hos organisationer som är föremål för cybersäkerhetslagstiftningen.
Transport- och kommunikationsverkets CSIRT-enhet ansvarar för åtgärder i anslutning till sårbarheter och cyberhot i Finland. CSIRT-enheten har rätt att av tillsynsmyndigheten få uppgifter ur aktörsförteckningen.
Lagstiftning
Cybersäkerhetslagen (öppnas i nytt fönster)
Lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (öppnas i nytt fönster)
NIS2-direktivet (öppnas i nytt fönster)
CER-direktivet (öppnas i nytt fönster)
Informationshanteringslagen (öppnas i nytt fönster)
Lagen om tjänster inom elektronisk kommunikation (öppnas i nytt fönster)
Var får jag hjälp i problemsituationer?
Om du behöver stöd för att använda tjänsten, kontakta NIS2-CER@fimea.fi.
Du hittar svar på vanliga frågor genom att klicka på knappen nedan.