På den här webbplatsen finns information om bland annat vem som berörs av NIS2-direktivet och hurdana krav direktivet ställer.
Vem gäller skyldigheterna?
Regleringen tillämpas på samhällets kritiska sektorer. De organisationer som omfattas av regleringen är antingen väsentliga eller viktiga beroende på deras storlek och sektor samt hur kritiska de är.
Vilka myndigheter ansvarar för att övervaka och vägleda sektorerna?
De sektorsspecifika tillsynsmyndigheterna övervakar att aktörerna inom varje sektor följer lagen, de föreskrifter som utfärdats med stöd av lagen och de rättsakter som utfärdats med stöd av NIS 2-direktivet, det vill säga kommissionens genomförandeakter.
En lista på tillsynsmyndigheterna samt deras ansvarssektorer finns nedan
Vilka skyldigheter ställer regleringen?
Anmälan till förteckningen över aktörer
Tillsynsmyndigheten upprätthåller en förteckning över aktörer för sin tillsynssektor.
För detta måste aktören meddela följande information till tillsynsmyndigheten:
- Aktörens namn och aktuella kontaktuppgifter samt IP-adressrymder
- Sektor och delsektor som avses i bilagan till NIS 2-direktivet
- Om aktören uppfyller definitionen för väsentliga aktörer
- En förteckning över de EU-medlemsstater där aktören tillhandahåller tjänster som omfattas av NIS 2-direktivets tillämpningsområde
- Deltagande i arrangemang för frivilligt informationsutbyte om cybersäkerhet.
Ändringar av informationen ska meddelas utan dröjsmål och senast inom två veckor från ändringen.
Efterlevnad av riskhanteringsskyldigheterna för cybersäkerhet
Aktören ska ha en uppdaterad handlingsmodell för hantering av cybersäkerhetsrisker för att skydda kommunikationsnät och informationssystem och deras fysiska miljö mot incidenter och deras verkningar.
Aktörerna ska vidta proportionella tekniska, driftsrelaterade eller organisatoriska hanteringsåtgärder i enlighet med handlingsmodellen för hantering av cybersäkerhetsrisker för att hantera sådana risker som hänför sig till säkerheten i kommunikationsnät och informationssystem samt förhindra eller minimera skadliga verkningar.
I handlingsmodellen för hantering av cybersäkerhetsrisker och de hanteringsåtgärder som baserar sig på den ska åtminstone följande beaktas och hållas uppdaterat:
- riktlinjerna för hantering av cybersäkerhetsrisker samt bedömningen av effektiviteten i fråga om hanteringsåtgärderna,
- de riktlinjer som gäller säkerheten i kommunikationsnät och informationssystem,
- säkerheten vid förvärv, utveckling och underhåll av kommunikationsnät och informationssystem samt behövliga förfaranden för hantering av sårbarheter och delgivning av information om sårbarheter,
- den övergripande kvaliteten och resiliensen i leveranskedjan i fråga om direkta leverantörers produkter och tjänsteleverantörers tjänster, de hanteringsåtgärder som är inbyggda i dem samt cybersäkerhetspraxis hos direkta leverantörer och tjänsteleverantörer,
- tillgångsförvaltningen och identifieringen av funktioner som är viktiga med tanke på dess säkerhet,
- personalsäkerheten och utbildningen i cybersäkerhet,
- förfarandena för åtkomsthantering och autentisering,
- riktlinjerna och förfarandena för användning av krypteringsmetoder samt vid behov åtgärderna för användning av säker elektronisk kommunikation,
- upptäckandet och hanteringen av incidenter i syfte att återställa och upprätthålla säkerheten och driftssäkerheten,
- säkerhetskopieringen, katastrofhanteringen, krishanteringen och den övriga driftskontinuiteten och vid behov användningen av säkrade reservkommunikationssystem,
- grundläggande praxis för informationssäkerhet för att säkerställa verksamheten samt säkerheten i datakommunikationen, maskinvaran, programvaran och datamaterialet, samt
- åtgärderna för att säkerställa den fysiska miljön, lokalsäkerheten och nödvändiga resurser i fråga om kommunikationsnät och informationssystem.
Åtgärderna för riskhantering ska ställas i relation till verksamhetens art och omfattning, de direkta konsekvenser som incidenten rimligtvis kan förutses ha för aktören, riskexponeringen i fråga om aktörens kommunikationsnät och informationssystem, sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, kostnaderna för åtgärderna samt de tekniska medel för att avvärja hot som med beaktande av den aktuella utvecklingen är tillgängliga.
För mer information, se till exempel rekommendationen om åtgärder för hantering av cybersäkerhetsrisker (Extern länk) som utarbetats av Traficom. Rekommendationen är avsedd för myndigheter som utövar tillsyn över aktörerna men den stöder även NIS2-aktörerna i deras riskhanteringsplanering. Tillsynsmyndigheterna kan inom sitt ansvarsområde meddela preciserande tekniska föreskrifter i fråga om riskhantering.
Rekommendationen innehåller exempel på hur man kan genomföra och verifiera åtgärder för riskhantering inom cybersäkerhet samt länkar till de vanligaste standarderna, referensramarna och verktygen. I rekommendationen föreslås dock inte införande av någon standard eller referensram.
Dessutom är det viktigt att aktörerna som nämns nedan beaktar Europeiska kommissionens genomförandeförordning (2024/2690) (Extern länk) som specificerar innehållet i NIS2-direktivets riskhanteringsskyldigheter samt när en incident är betydande.
- leverantörer av DNS-tjänster
- registreringsenheter för toppdomäner
- leverantörer av molntjänster
- leverantörer av datacentraltjänster
- leverantörer av nätverk för leverans av innehåll
- leverantörer av utlokaliserade driftstjänster
- leverantörer av utlokaliserade säkerhetstjänster
- leverantörer av marknadsplatser online
- leverantörer av sökmotorer
- leverantörer av plattformar för sociala nätverkstjänster
- tillhandahållare av betrodda tjänster
Skyldighet att anmäla betydande incidenter
Med betydande incident avses en incident som har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller betydande ekonomiska förluster för den berörda aktören. Med betydande incident avses också en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.
Med incident avses en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem.
En aktör som omfattas av NIS 2-direktivets tillämpningsområde ska utan dröjsmål anmäla betydande incidenter som drabbat dess tjänster till tillsynsmyndigheten.
Anmälningsskyldigheten ska gälla i tre steg, dvs. aktören ska inom 24 timmar från det att incidenten upptäcktes lämna en första anmälan till tillsynsmyndigheten och inom 72 timmar från det att incidenten upptäcktes lämna en uppföljande anmälan. När incidenten har upphört ska aktören lämna tillsynsmyndigheten en slutrapport.
Vid anmälan av en betydande incident ges anvisningar om vilka uppgifter som behövs på NIS2-incidentanmälan.
En aktör ska utan dröjsmål underrätta mottagarna av sina tjänster om en betydande incident, om den betydande incidenten sannolikt inverkar negativt på tillhandahållandet av aktörens tjänster.
Dessutom är det viktigt att aktörerna som nämns nedan beaktar Europeiska kommissionens genomförandeförordning (2024/2690) (Extern länk) som specificerar tröskelvärdena för en betydande incident enligt NIS2-direktivet.
- leverantörer av DNS-tjänster
- registreringsenheter för toppdomäner
- leverantörer av molntjänster
- leverantörer av datacentraltjänster
- leverantörer av nätverk för leverans av innehåll
- leverantörer av utlokaliserade driftstjänster
- leverantörer av utlokaliserade säkerhetstjänster
- leverantörer av marknadsplatser online
- leverantörer av sökmotorer
- leverantörer av plattformar för sociala nätverkstjänster
- tillhandahållare av betrodda tjänster
Alla anmälningar skickas också för kännedom till Cybersäkerhetscentrets CSIRT-enhet.
Anmälaren kan be CSIRT-enheten om hjälp för att utreda incidenten samt lämna in ytterligare uppgifter om ärendet konfidentiellt till CSIRT-enheten.
Påföljdsavgifter
Administrativa påföljdsavgifter påförs av påföljdsavgiftsnämnden på framställning av tillsynsmyndigheten. Den administrativa påföljdsavgiften ska betalas till staten.
En administrativ påföljdsavgift som påförs en väsentlig aktör är högst 10 000 000 euro eller två procent av aktörens totala globala årsomsättning under det föregående räkenskapsåret, beroende på vilken siffra som är högst. En administrativ påföljdsavgift som påförs andra än väsentliga aktörer är högst 7 000 000 euro eller 1,4 procent av aktörens totala globala årsomsättning under det föregående räkenskapsåret, beroende på vilken siffra som är högst.
Frivillig anmälan till Cybersäkerhetscentret vid Traficom
Alla företag och organisationer kan till Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom anmäla kränkningar av informationssäkerheten som de blivit utsatta för, t.ex. nätfiske eller överbelastningsangrepp samt kränkningsförsök.
Det lönar sig att göra en anmälan även om det inte skulle handla om en sådan betydande incident som avses i NIS 2-direktivet eftersom Cybersäkerhetscentret på basis av kontakterna kan hjälpa offret med den tekniska utredningen av kränkningen av informationssäkerheten. Dessutom använder Cybersäkerhetscentret de uppgifter som det fått till att sammanställa en lägesbild av den nationella cybersäkerheten och till att förmedla allmän kunskap om informationssäkerhet. Behandlingen av anmälningar är konfidentiell.
Börja fylla i blanketten nedan genom att välja om du är en privatperson eller en organisationsrepresentant. Du kan också lämna ett anonymt tips. Blanketten vägleder dig steg för steg och ger råd för de vanligaste informationssäkerhetsincidenterna.
Cybersäkerhetscentrets tjänster
Hur kan man använda Cybermätaren för att förbereda sig för kraven på riskhantering inom cybersäkerhet?
Rekommendationen till NIS-tillsynsmyndigheter om åtgärderna för hantering av cybersäkerhetsrisker innehåller en länk till Cybermätaren, som tillhandahålls av Cybersäkerhetscentret vid Transport- och kommunikationsverket. Cybermätaren är en uppsättning indikatorer som skapats utifrån god, grupperad praxis för upprepad bedömning, utveckling och rapportering av cybersäkerhetens mognadsnivå. Målet med länkningen är att främja tillämpningen av rekommendationen, växelverkan mellan olika intressentgrupper samt utvecklingen av cybersäkerheten även på nationell nivå.
Länkarna som ges vid åtgärderna i rekommendationen leder till olika avsnitt och mål som innehåller flera exempel på god praxis som man kan välja. Olika, mer noggranna länkningar kan framöver skapas på praktisk nivå, så att man kan beakta exempelvis sektorspecifika särdrag och hotprofiler som inverkar på de förmågor som behövs för att skydda sig mot cyberhot och trygga verksamhetens kontinuitet. Användaren kan anpassa Cybermätaren efter organisationens behov.
Hur kan man använda Cybersäkerhetscentrets lägesbildsprodukter?
Cybersäkerhetscentret vid Transport- och kommunikationsverket stöder organisationer som omfattas av NIS-direktivet att upprätthålla och utveckla sin informationssäkerhet med olika tjänster.
Cybersäkerhetscentret producerar flera olika lägesbildsprodukter för organisationer. Lägesbildsprodukterna ger användarna aktuell information om händelser och fenomen som påverkar cybersäkerheten.
Cybersäkerhetscentret underhåller e-postlistor som används för att dela ut lägesbildsprodukter och till exempel informationssäkerhetsmeddelanden om ämnen som är aktuella för sektorn.
Vilka roller har andra myndigheter i frågor om cybersäkerhet och dataskydd? Hur kontaktar man dessa myndigheter och i vilka frågor?
Polisen
Polisen är behörig myndighet i fråga om förhindrande, utredning och lämnande till åtalsprövning av brott som görs med hjälp av datanät. Majoriteten av alla brott som görs med hjälp av datanät utreds av den lokala polisen. Alla polisinrättningar har enheter som är specialiserade på hantering och analys av digitalt bevismaterial. Polisens riksomfattande rådgivningstjänst betjänar på numret 0295 419 800 (vardagar kl. 8–16.15) eller per e-post på neuvontapalvelu@poliisi.fi
Centralkriminalpolisen (CKP) är en riksomfattande polisenhet, som har hela Finland som verksamhetsområde. Vid Centralkriminalpolisen finns en enhet som är specialiserad på förundersökning av brott som görs med hjälp av datanät, polisens centrum mot cyberbrottslighet. Vid enheten utreds i huvudsak omfattande och samhälleligt betydande helheter av brott av prejudikatkaraktär som görs med hjälp av datanät och som riktar sig mot datanätsmiljöer. Brottsanmälan ska göras med en elektronisk blankett för brottsanmälan eller genom att informera den lokala polisen om brottet.
Du kan göra en brottsanmälan på nätet eller genom att besöka din lokala polisstation. Nättips är en anmälningskanal för anmälning av också små cyberstörningar eller observationer som inte uppfyller rekvisitet för ett brott. Organisationen ansvarar själv för de första insatserna samt för de begränsande åtgärderna och andra åtgärder när den upptäcker en informationssäkerhetsincident. För polisens utredning är det skäl för organisationen att se till att bevismaterial säkras för en eventuell brottsutredning i ett senare skede. I praktiken innebär detta att man så noggrant som möjligt dokumenterar mål, händelser, åtgärder och tidpunkter. Det är av högsta vikt att ta tillvara system och loggar över datakommunikationen på ett så omfattande och heltäckande sätt som möjligt. Loggdata ska tas tillvara samt förvaras i ursprunglig och oföränderlig form.
Dataombudsmannens byrå
Dataombudsmannen är en nationell tillsynsmyndighet som övervakar efterlevnaden av dataskyddslagstiftningen. Dataombudsmannens uppgifter omfattar bland annat att övervaka efterlevnaden av dataskyddslagstiftningen och övriga lagar som gäller behandling av personuppgifter, främja kännedomen om risker, regler, skyddsåtgärder, skyldigheter och rättigheter som är förknippade med behandling av personuppgifter, göra utredningar och granskningar samt påföra administrativa påföljder för brott mot dataskyddsförordningen. Om de tillsynsmyndigheter som avses i cybersäkerhetslagen blir medvetna om en personuppgiftsincident genom en anmälan om en betydande incident eller på något annat sätt i samband med tillsynsverksamheten, är tillsynsmyndigheten skyldig att förmedla informationen till dataombudsmannen. Denna anmälan som görs av tillsynsmyndigheten ersätter inte anmälan om personuppgiftsincidenter som hör till den personuppgiftsansvariges ansvar.