I EU:s cybersäkerhetsdirektiv (s.k. NIS2-direktivet) föreskrivs om informationssäkerhetsskyldigheter och rapportering av störningar i flera olika sektorer i samhället. I Finland finns skyldigheterna enligt NIS2-direktivet främst i cybersäkerhetslagen. Vid Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom utövar vi tillsyn över de flesta av leverantörerna av digital infrastruktur, leverantörer av digitala tjänster, leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster samt forskningsorganisationer och offentliga förvaltningsentiteter.
Aktörer inom den offentliga förvaltningen
Inom den offentliga förvaltningen tillämpas NIS-direktivet i regel på aktörer inom den centrala förvaltningen och regionförvaltningen oberoende av deras storlek.
På nationell nivå ingår NIS2-reglering för den offentliga förvaltningen i lagen om informationshantering inom den offentliga förvaltningen (906/2019). Cybersäkerhetsreglering på grund av NIS2-direktivet finns speciellt i lagens 4 a kap. vars cybersäkerhetsskyldigheter lämpar sig för en mindre grupp av myndigheter än annan reglering i lagen om informationshantering. 4 a kap. i lagen om informationshantering tillämpas på statsförvaltningsmyndigheterna, statliga ämbetsverk och inrättningar, statliga affärsverk, självständiga offentligrättsliga inrättningar samt välfärdsområden och välfärdssammanslutningar samt Helsingfors stad när staden sköter uppgifter som enligt lag hör till välfärdsområdenas organiseringsansvar.
NIS2-regleringen för den offentliga förvaltningens sektor tillämpas i regel inte på kommunerna, men om kommunen utövar verksamhet som avses i bilagan till cybersäkerhetslagen tillämpas cybersäkerhetslagen på det. På aktören kan också båda lagar tillämpas, till exempel bestämmelserna i 4 a kap. i lagen om informationshantering och cybersäkerhetslagen tillämpas på välfärdsområden och välfärdssammanslutningar när de utövar verksamhet inom hälso- och sjukvårdssektorn. Cybersäkerhetsskyldigheterna i båda lagar är i regel förenliga med varandra.
Forskningsorganisationer
Enligt artikel 6.41 avses med forskningsorganisation en entitet vars främsta mål är att bedriva tillämpad forskning eller experimentell utveckling i syfte att utnyttja resultaten av denna forskning i kommersiellt syfte, men som inte inbegriper utbildningsinstitutioner. På nationell nivå har Teknologiska forskningscentralen VTT Ab identifierats att omfattas av tillämpningsområdet enligt definitionen.