Viimeksi julkaistu 4.5.2026 18.42

Valiokunnan mietintö LiVM 6/2026 vp HE 179/2025 vp Liikenne- ja viestintävaliokunta Hallituksen esitys eduskunnalle kyberkestävyysasetuksen toimeenpanoa koskevaksi lainsäädännöksi

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle kyberkestävyysasetuksen toimeenpanoa koskevaksi lainsäädännöksi (HE 179/2025 vp): Asia on saapunut liikenne- ja viestintävaliokuntaan mietinnön antamista varten. 

Asiantuntijat

Valiokunta on kuullut: 

  • hallitussihteeri Veikko Vauhkonen 
    liikenne- ja viestintäministeriö
  • lainsäädäntöneuvos Veli-Pekka Hautamäki 
    oikeusministeriö
  • hallitussihteeri Aura Lehtonen 
    opetus- ja kulttuuriministeriö
  • hallitusneuvos Pauliina Kanerva 
    työ- ja elinkeinoministeriö
  • neuvotteleva virkamies Niko Mäkilä 
    valtiovarainministeriö
  • erityisasiantuntija Päivi Timlin 
    Liikenne- ja viestintävirasto
  • juristi Minna Koivula-Kuusela 
    Energiavirasto
  • johtava asiantuntija Arttu Malava 
    Lupa- ja valvontavirasto
  • poliisitarkastaja Kimmo Ulkuniemi 
    Poliisihallitus
  • tuoteturvallisuuspäällikkö Jonna Savander 
    Tulli
  • johtava asiantuntija Pipsa Korkolainen 
    Turvallisuus- ja kemikaalivirasto (Tukes)
  • professori Kimmo Halunen 
    Oulun yliopisto
  • johtava asiantuntija Markku Rajamäki 
    Elinkeinoelämän keskusliitto ry
  • lakimies Janne Hälinen 
    FiCom ry
  • asiantuntija Risto Rajala 
    Finnish Information Security Cluster - Kyberala ry edustaen myös Teknologiateollisuus ry:tä
  • toimitusjohtaja Sallamaari Muhonen 
    Sähköteknisen kaupan liitto ry
  • toiminnanjohtaja Jaana Pihkala 
    Tekijänoikeuden tiedotus- ja valvontakeskus ry
  • johtava asiantuntija Juha Ala-Hiiro 
    Teknisen Kaupan Liitto ry
  • toimitusjohtaja, tietoturva- ja tekoälyasiantuntija Jarkko Laine 
    Tieto- ja viestintätekniikan ammattilaiset TIVIA ry

Valiokunta on saanut kirjallisen lausunnon: 

  • tietosuojavaltuutetun toimisto
  • Euroopan hybridiuhkien torjunnan osaamiskeskus
  • Oikeusrekisterikeskus
  • FINAS-akkreditointipalvelu
  • Erikoiskaupan liitto Etu ry
  • Keskuskauppakamari
  • Puolustus- ja Ilmailuteollisuus PIA ry
  • Suomen avoimien tietojärjestelmien keskus - COSS ry
  • Suomen Kuntaliitto
  • professori Tuomas Ojanen 

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista sekä muutettavaksi eräiden tuotteiden markkinavalvonnasta annettua lakia, kyberturvallisuuslakia, sähköisen viestinnän palveluista annettua lakia ja sakon täytäntöönpanosta annettua lakia.  

Esityksen tavoitteena on antaa eräiden tuotteiden kyberkestävyyttä koskevan Euroopan unionin asetuksen eli niin kutsutun kyberkestävyyssäädöksen tai -asetuksen soveltamista täydentävät ja täsmentävät kansalliset säännökset. Kyberkestävyysasetus asettaa tietoturvaa koskevat horisontaaliset vähimmäisvaatimukset digitaalisen elementin sisältäville tuotteille eli laitteille ja ohjelmistoille, jotka ovat kytkettävissä internetiin tai toiseen laitteeseen. Ehdotetut säännökset koskevat kyberkestävyysasetuksen markkinavalvontaa, vaatimustenmukaisuuden arviointilaitoksien ilmoittamista ja valvontaa sekä hallinnollisia seuraamuksia.  

Esityksen tavoitteena on myös täydentää kansallista sääntelyä eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä koskevan EU:n niin kutsutun kyberturvallisuusasetuksen soveltamiseksi. Ehdotetut säännökset koskevat kansallisen kyberturvallisuussertifioinnin viranomaisen tehtäviä ja toimivaltuuksia sekä vaatimustenmukaisuuden arviointilaitoksia.  

Esityksen tavoitteena on myös täydentää EU:n niin kutsutun kyberturvallisuusdirektiivin kansallista täytäntöönpanoa verkkotunnuksien rekisteröintitietoja ja verkkotunnusvälittäjiä koskevilta osin direktiivissä edellytetyllä vähimmäistasolla. Täydennykset koskevat verkkotunnuksiin liittyvien tietojen käsittelyä ja luovuttamista.  

Liikenne- ja viestintävirastolle osoitettaisiin uusina tehtävinä kyberkestävyysasetuksen markkinavalvonta sekä vaatimustenmukaisuuden arviointilaitoksien nimeäminen ja valvonta. Korkean riskin tekoälyjärjestelmien osalta markkinavalvontaviranomaisena toimisi eräiden tekoälyjärjestelmien valvonnasta annetun lain nojalla toimivaltainen viranomainen. Kyberturvallisuussertifiointien osalta kansallisen viranomaisen tehtävässä jatkaisi Liikenne- ja viestintävirasto.  

Kyberkestävyysasetuksen sujuva ja tehokas toimeenpano laitteiden ja ohjelmistojen tietoturvan parantamiseksi sisältyy Suomen kyberturvallisuusstrategian toimeenpanosuunnitelman priorisoituihin toimenpiteisiin. Suomen uusi kyberturvallisuusstrategia vuosille 2024—2035 on hyväksytty valtioneuvoston periaatepäätöksenä lokakuussa 2024. Pääministeri Petteri Orpon hallituksen hallitusohjelman mukaan kyberturvallisuutta ja sitä koskevaa yhteistyötä viranomaisten ja elinkeinoelämän välillä vahvistetaan, hallitus parantaa tietoturvaa kriittisillä toimialoilla ja EU-lainsäädännön toimeenpanon yhteydessä vältetään kansallista lisäsääntelyä. 

Lait on tarkoitettu tulemaan voimaan pääosin 1.6.2026, EU:n kyberturvallisuusdirektiivin kansalliseen täytäntöönpanoon liittyviltä osin kuitenkin mahdollisimman pian. Eräiden säännösten osalta ehdotetaan soveltamisen porrastamista kyberkestävyysasetusta vastaavasti. 

VALIOKUNNAN YLEISPERUSTELUT

(1) Esityksessä ehdotetaan säädettäväksi laki eräiden tuotteiden kyberkestävyydestä ja kyberturvallisuussertifioinnista. Uusi laki koskee EU:n kyberkestävyysasetuksen (EU) 2024/2847 täydentämistä ja toimeenpanoa Suomessa. Kyberkestävyysasetus asettaa turvallisuutta koskevia vaatimuksia digitaalisen elementin sisältäville tuotteille eli sellaisille moninaisille laitteille ja ohjelmistoille, jotka ovat kytkettävissä internetiin tai toiseen laitteeseen. 

(2) Lisäksi esityksellä täydennetään kansallisesti kyberturvallisuusasetuksen (EU) 2019/881 sääntelyä kyberturvallisuussertifioinnin viranomaisen tehtävien ja toimivaltuuksien sekä vaatimuksenmukaisuuden arviointilaitosten osalta. Esityksellä toteutetaan myös kyberturvallisuusdirektiivin (EU) 2022/2555 (NIS2 -direktiivi) kansallista täytäntöönpanoa muun muassa verkkotunnusvälittäjien ja verkkotunnusten rekisteritietojen osalta. 

(3) Esityksen tavoitteena on muun muassa parantaa markkinoille tulevien tuotteiden, kuten digitaalisten laitteiden ja ohjelmistojen, kyberturvallisuutta koko niiden elinkaaren ajan. Sääntelyllä pyritään varmistamaan, että tuotteet ovat turvallisia jo suunnitteluvaiheessa, että niihin liittyvät riskit hallitaan ja että niiden turvallisuutta voidaan valvoa tehokkaasti. Lisäksi pyritään yhtenäistämään sääntelyä EU-tasolla ja selkeyttämään yritysten velvoitteita. 

(4) Valiokunta pitää ehdotetun sääntelyn turvallisuutta lisääviä ja riskejä vähentäviä vaikutuksia erittäin kannatettavina ja pitää ehdotettua sääntelyä tärkeänä Euroopan kyberturvallisuuden kannalta. Saadun selvityksen mukaan esitys tukee sisämarkkinoiden toimivuutta ja luottamusta digitaalisiin tuotteisiin. Samalla sääntely kuitenkin lisää merkittävästi kansallisten viranomaisten valvontatehtäviä. 

Liikenne- ja viestintäviraston resurssit

(5) Asiantuntijakuulemisessa on kiinnitetty laajasti huomiota Liikenne- ja viestintäviraston resurssien riittävyyteen ja painotettu muun muassa pk-yritysten ja avoimen lähdekoodin ohjelmistovastaavien tarvitseman neuvonnan ja ohjauksen tarvetta uuden sääntelyn soveltamisessa.  

(6) Valiokunnan saaman selvityksen mukaan virastolle ei ole toistaiseksi osoitettu lisärahoitusta kyberkestävyysasetuksen toimeenpanoon liittyvien tehtävien toteuttamiseksi.  

(7) Valiokunta painottaa viraston tarvetta riittäville resursseille sen tehtävien hoitamiseksi ja toteaa, että valiokunnan saaman selvityksen mukaan kyberkestävyysasetukseen liittyvän viranomaistoiminnan riittävä resursointi voi edistää osaltaan myös suomalaisten yritysten kilpailukykyä ja liiketoimintamahdollisuuksia. Valiokunta korostaa, että ehdotetun sääntelyn turvallisuutta koskevien tavoitteiden saavuttaminen vaatii valvonnan ja viranomaisresurssien riittävyyttä.  

Avoimen lähdekoodin ohjelmistovastaavat ja kilpailukyky

(8) Asiantuntijakuulemisessa on kiinnitetty huomiota ehdotuksen avoimen lähdekoodin ohjelmistovastaavia koskevaan uhkasakon asettamista koskevaan sääntelyyn. On katsottu, että tämän kaltainen sääntely ei ole omiaan parantamaan Suomen kilpailukykyä esimerkiksi toiminnan sijoittautumismaan valintatilanteissa. Kyseinen esityksen sääntelyehdotus on kansallinen ratkaisu.  

(9) Valiokunta pitää asiantuntijakuulemisessa esille tulleita huolenaiheita perusteltuina. Valiokunta katsoo, että kyberkestävyysasetuksella avoimen lähdekoodin ohjelmistovastaaville asetettujen velvoitteiden valvonnan tulee ensisijaisesti perustua viranomaisen antamaan neuvontaan ja ohjaukseen sekä yhteistyöhön avoimen lähdekoodin ohjelmistovastaavien kanssa. Lisäksi valiokunnan saaman selvityksen mukaan hallituksen esityksen eduskuntakäsittelyn aikana Euroopan komissio on ilmoittanut, että sen tulkinnan mukaan kyberkestävyysasetus ei salli jäsenvaltioiden säätää avoimen lähdekoodin ohjelmistovastaavalle sellaista rahallista seuraamusta, jonka perusteena on kyberkestävyysasetuksen velvoitteiden rikkominen.  

(10) Valiokunta on tämän vuoksi poistanut ehdotetusta sääntelystä uhkasakon määräämismahdollisuuden ohjelmistovastaavalle. 

Verkkotunnusten rekisteröintitiedot ja toimijoiden tunnistaminen

(11) Asiantuntijakuulemisessa on tuotu osin esille myös huomioita siitä, täyttääkö hallituksen esitys myös käytännössä NIS 2 -direktiivin vaatimukset ja tavoitteet verkkotunnusrekistereitä koskevan sääntelyn osalta. Huomiota on kiinnitetty muun muassa siihen, että verkkotunnusvälittäjien ilmoitusvelvollisuuteen ei liity sanktioita eikä ilmoituksen tekeminen ole toiminnan edellytyksenä, mikä voi heikentää toimijoiden tunnistettavuutta ja valvonnan tehokkuutta. Saatujen huomioiden mukaan esitys voi mahdollistaa käytännössä anonyymin toiminnan, millä on mahdollisesti rikostutkintaa ja tekijänoikeuksien valvontaa hankaloittava vaikutus. Lisäksi on todettu, ettei Liikenne- ja viestintävirastolle ole säädetty kaikilta osin nimenomaisia velvoitteita rekisteritietojen oikeellisuuden varmistamisesta. Keskeisenä huolenaiheena asiantuntijakuulemisessa on ollut, että verkkotunnusten haltijat tulee voida tunnistaa luotettavasti ja tavoittaa tarvittaessa, ja että myös verkkotunnusvälittäjiä koskevan sääntelyn tulee tukea tämän toteutumista käytännössä.  

(12) Valiokunta pitää verkkorikollisuuden ja verkkopiratismin torjuntaa erittäin tärkeänä. Valiokunta pitää näin ollen keskeisenä, että verkkotunnusten haltijat voidaan tunnistaa asianmukaisesti ja siten, että heidät pystytään myös tehokkaasti tarvittaessa tavoittamaan. 

(13) Saamansa selvityksen perusteella valiokunta pitää laintasoisen sääntelyn osalta lähtökohtaisesti riittävänä, että sähköisen viestinnän palveluista annetun lain 21 luvussa ja uudessa 21 a luvussa edellytetään keräämään NIS 2 -direktiivin 28 artiklan mukaiset tiedot verkkotunnuksista, mukaan lukien tiedot, joista verkkotunnusten haltijat voidaan tunnistaa ja joiden avulla niihin voidaan ottaa yhteyttä. Lisäksi aluetunnusrekisterin ylläpitäjää edellytetään myös asettamaan julkisesti saataville käytössään olevat toimintaperiaatteet ja menettelyt, joilla varmistetaan, että verkkotunnusten rekisteröintitietojen tietokannan tiedot ovat tarkat ja oikeat. Vastaavasti uuden 21 a luvun 172 b §:n mukaan verkkotunnusvälittäjän tulee ilmoittaa Liikenne- ja viestintävirastolle muun muassa nimensä, osoitteensa, sähköpostiosoitteensa, puhelinnumeronsa ja muut ajantasaiset yhteystiedot. Euroopan unionin ulkopuolelle sijoittautuneen verkkotunnusvälittäjän tulee myös ilmoittaa sen Euroopan unioniin nimetyn edustajan osoite, sähköpostiosoite, puhelinnumero ja muut ajantasaiset yhteystiedot. 

(14) Liikenne- ja viestintäviraston velvollisuudesta valvoa sähköisen viestinnän palveluista annetun lain (917/2014) noudattamista säädetään mainitun lain voimassa olevassa 303 §:n 1 momentissa. Valiokunnan saaman selvityksen mukaan kyseinen säännös soveltuu myös ehdotetun uuden 21 a luvun valvontaan ja toimeenpanoon. Lisäksi Liikenne- ja viestintävirasto voi sähköisen viestinnän palveluista annetun lain 330 ja 332 §:n nojalla antaa huomautuksen sille, joka rikkoo ehdotetun 21 a luvun säännöksiä, sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä uhkasakkouhkaisella valvontapäätöksellä. 

(15) Valiokunta pitää erittäin tärkeänä, että myöskin verkkotunnusvälittäjät voidaan tunnistaa asianmukaisesti ja siten, että heidätkin pystytään tavoittamaan tarvittaessa. Verkkotunnusvälittäjiä ja verkkotunnusten haltijoita koskevien ajantasaisten ja kattavien tietojen ylläpitäminen ja toimijoiden saavutettavuus tarvittaessa on olennaisen tärkeää myös erilaisen verkkorikollisuuden ja verkkopiratismin ehkäisemiseksi. 

(16) Valiokunnan näkemyksen mukaan ehdotettu sääntely täyttää esityksellä toimeenpantavassa EU-sääntelyssä asetetut vaatimukset. Valiokunta on kuitenkin tehnyt esitykseen jäljempänä yksityiskohtaisissa perusteluissa tarkemmin esille tuotuja muutoksia verkkotunnuksia ja verkkotunnusvälittäjiä koskevaan sääntelyyn. 

(17) Valiokunta pitää erittäin tärkeänä, että uuden 21 a luvun soveltamista ja sääntelyn vaikutuksia seurataan ja arvioidaan kokonaisuutena huolellisesti ja tarkkaan. Osana sääntelyn toimivuuden ja vaikutusten arviointia tulee arvioida, onko esimerkiksi kolmansiin valtioihin sijoittautuneiden oikeushenkilöiden rekisteröimien verkkotunnusten osalta tarpeen jatkossa asettaa lain tasolla nimenomainen vaatimus siitä, että verkkotunnusrekisteriin tulisi kirjata jokaisen verkkotunnuksen osalta myös verkkotunnuksen käyttäjän yhteyshenkilönä toimivan luonnollisen henkilön yhteystiedot. 

(18) Valiokunta pitää lisäksi välttämättömänä, että myös lain soveltamisessa ja toimeenpanossa pyritään aktiivisesti verkkotunnusten haltijoita ja verkkotunnusvälittäjiä koskevien tietojen oikeellisuuden ja riittävyyden sekä toimijoiden tavoitettavuuden varmistamiseen esityksen taustalla olevan EU-sääntelyn tavoitteiden ja hengen mukaisesti. 

VALIOKUNNAN YKSITYISKOHTAISET PERUSTELUT

1. Laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista

3 §. Suhde muuhun lainsäädäntöön.

Valiokunta on lisännyt teknisenä korjauksena pykälän 4 momenttiin eräiden tekoälyjärjestelmien valvonnasta annetun lain (1377/2025) säädösnumeron.  

19 §. Markkinavalvontaviranomaisen oikeus tehdä tarkastuksia ja ottaa ohjelmistoja tutkittavaksi.

Asiantuntijakuulemisessa on kiinnitetty huomiota pykälän pysyväisluonteiseen asumiseen käytettävään tilaan eli kotirauhan piiriin ulottuvaan tarkastusoikeuteen.  

Valiokunnan saaman selvityksen mukaan kyberkestävyysasetus edellyttää ehdotetun kaltaista tarkastustoimivaltuutta, asiaan ei sisälly kansallista liikkumavaraa ja ehdotuksessa on otettu huomioon perustuslakivaliokunnan lausuntokäytännössä asetetut vaatimukset. 

Näin ollen valiokunta ei ole tehnyt pykälään muutoksia ja pitää ehdotettua sääntelyä saamansa selvityksen perusteella asianmukaisena. Valiokunta kuitenkin toteaa, että 1. lakiehdotuksen 19 §:ää tulee tulkita yksittäisissä soveltamistilanteissa mahdollisimman pitkälle perusoikeusmyönteisesti ja perustuslakivaliokunnan lausuntokäytännön huomioon ottavalla tavalla.  

20 §. Avoimen lähdekoodin ohjelmistovastaavalle annettava valvontapäätös.

Valiokunta on poistanut edellä yleisperusteluissa esille tuoduista syistä pykälän 2 momentista mahdollisuuden määrätä avoimen lähdekoodin ohjelmistovastaavalle uhkasakko. 

Lisäksi valiokunta on muuttanut saamansa selvityksen perusteella pykälän 1 ja 2 momenttia siten, että markkinavalvontaviranomainen voisi velvoittaa avoimen lähdekoodin ohjelmistovastaavan korjaamaan mahdolliset puutteet kyberkestävyysasetuksen velvoitteiden noudattamisessa kohtuullisessa määräajassa. Lisäksi markkinavalvontaviranomainen voisi julkaista tietoja havaitsemistaan puutteista tai tiedottaa asiasta, mikäli havaittuja puutteita avoimen lähdekoodin ohjelmistovastaavan tai -ohjelmistoprojektin toiminnassa ei korjata kohtuullisessa määräajassa. 

Valiokunta on myös muuttanut pykälän otsikkoa vastaamaan sen uutta sisältöä. 

Valiokunta pitää tärkeänä, että avoimen lähdekoodin ohjelmistovastaavia koskevan sääntelyn vaikutuksia seurataan ja arvioidaan tarkkaan jatkossa.  

2. Laki eräiden tuotteiden markkinavalvonnasta annetun lain 1 ja 4 §:n muuttamisesta

Valiokunta on muuttanut lakiehdotuksen johtolausetta ja lakiehdotuksen 1 §:n 1 momenttia samanaikaisesti eduskuntakäsittelyssä olleiden hallituksen esitysten yhteensovittamiseksi. Kyse on lakiteknisistä muutoksista. 

4. Laki sähköisen viestinnän palveluista annetun lain muuttamisesta

164 §. Liikenne- ja viestintäviraston verkkotunnustoiminta ja verkkotunnusten välittäminen.

Asiantuntijakuulemisessa on ehdotettu, että sähköisen viestinnän palveluista annetun lain 3 §:ään tulisi lisätä verkkotunnusvälittäjän määritelmä, joka vastaisi NIS 2 ‑direktiivin 6 artiklan 22 kohtaa ja kattaisi siten sekä verkkotunnusvälittäjät että verkkotunnusvälittäjien puolesta toimivat tahot, kuten yksityisyys- tai välityspalvelujen tarjoajat tai jälleenmyyjät, verkkotunnusten rekisteröintipalveluja tarjoavina tahoina. 

Valiokunta pitää sinänsä asianmukaisena, että NIS 2 -direktiivin mukainen verkkotunnusten rekisteröintipalveluja tarjoavan toimijan määritelmä ilmenee ehdotetun 164 §:n 4 momentin ja 172 a §:n säännöskohtaisista perusteluista. 

Valiokunta on kuitenkin täsmentänyt pykälän 4 momenttia, jotta se vastaa tarkemmin NIS 2 ‑direktiivin 6 artiklan 22 kohtaan perustuvaa määritelmää verkkotunnuksen rekisteröintipalveluja tarjoavista toimijoista. Täsmennetyn 4 momentin mukaan mitä 165 §:ssä, 170 §:n 1 momentin 2 ja 8—11 kohdassa sekä 171 §:ssä säädetään verkkotunnusvälittäjästä, sovelletaan myös verkkotunnusvälittäjän puolesta toimivaan tahoon, kuten yksityisyys- tai välityspalvelujen tarjoajaan tai jälleenmyyjään. 

172 a §. Luvun soveltamisala.

Edellä 164 §:n yksityiskohtaisissa perusteluissa esille tuoduista syistä valiokunta on täsmentänyt 172 a §:n 3 momenttia. Täsmennetyn 3 momentin sanamuodon mukaan mitä tässä luvussa säädetään verkkotunnusvälittäjästä, sovelletaan myös verkkotunnusvälittäjän puolesta toimivaan tahoon, kuten yksityisyys- tai välityspalvelujen tarjoajaan tai jälleenmyyjään. 

Asiantuntijakuulemisessa on lisäksi tuotu esille, että verkkotunnuksen määritelmä voi aiheuttaa tulkintaepäselvyyksiä kolmiosaisten verkkotunnusten osalta. Valiokunta yhtyy näkemykseen tulkintaepäselvyyksien mahdollisuudesta ja on siten lisännyt 172 a §:ään uuden 4 momentin. Uuden 4 momentin mukaan mitä tässä luvussa säädetään verkkotunnuksesta, sovelletaan myös sellaiseen aluetunnusrekisterin alaiseen verkkotunnukseen, joka on rekisteröity useammasta kuin yhdestä osasta muodostuvan päätteen alle.  

172 b §. Verkkotunnusvälittäjän ilmoitus.

Asiantuntijakuulemisessa on ehdotettu, että Liikenne- ja viestintävirastolle tulisi säätää ehdotetussa 21 a luvussa velvoite ylläpitää NIS 2 ‑direktiivin 3 artiklan 3 kohdan mukaista luetteloa verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista. Valiokunta on lisännyt pykälään uuden 1 momentin siten, että Liikenne- ja viestintävirasto ylläpitää luetteloa verkkotunnusvälittäjistä. Uuden momentin myötä pykälän 1—3 momentti siirtyvät 2—4 momentiksi. 

Lisäksi asiantuntijakuulemisessa on tuotu esille, että Liikenne- ja viestintävirastolle tulisi säätää ehdotetussa 21 a luvussa velvollisuus vaatia täydentämään tai korjaamaan 172 b §:n mukaisesti ilmoitettavia tietoja ja määrätä tarvittaessa sanktioita. Valiokunta katsoo, että voimassa olevat yleiset säännökset viraston velvollisuudesta valvoa tämän lain noudattamista ja sen voimassa olevan sääntelyn perusteella käytettävissä olevat keinot antavat virastolle riittävät toimintamahdollisuudet puuttua myös 172 b §:n mahdollisiin ongelmatilanteisiin. Valiokunta viittaa kuitenkin edellä yleisperusteluissa esille tuotuun tarpeeseen seurata ja arvioida jatkossa tarkkaan uuden sääntelyn soveltamista ja vaikutuksia. 

5. Laki sakon täytäntöönpanosta annetun lain 1 §:n muuttamisesta

Valiokunta on muuttanut lakiehdotuksen johtolausetta ja lakiehdotuksen 1 §:n 2 momenttia samanaikaisesti eduskunnan käsittelyssä olleiden hallituksen esitysten yhteensovittamiseksi. Kyse on lakiteknisistä muutoksista. 

VALIOKUNNAN PÄÄTÖSEHDOTUS

Liikenne- ja viestintävaliokunnan päätösehdotus:

Eduskunta hyväksyy muuttamattomana hallituksen esitykseen HE 179/2025 vp sisältyvän 3. lakiehdotuksen. Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 179/2025 vp sisältyvät 1., 2., 4. ja 5. lakiehdotuksen. (Valiokunnan muutosehdotukset) 

Valiokunnan muutosehdotukset

1. Laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista 

Eduskunnan päätöksen mukaisesti säädetään:  
1 luku 
Yleiset säännökset 
1 § 
Lain tarkoitus 
Tällä lailla täsmennetään ja täydennetään digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvallisuusvaatimuksista ja asetusten (EU) N:o 168/2013 ja (EU) 2019/1020 ja direktiivin (EU) 2020/1828 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2024/2847 (kyberkestävyyssäädös), jäljempänä kyberkestävyysasetus, ja sen kansallista soveltamista. 
Tällä lailla täsmennetään ja täydennetään Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2019/881 (kyberturvallisuusasetus), jäljempänä kyberturvallisuusasetus, ja sen kansallista soveltamista. 
2 § 
Määritelmät 
Tässä laissa tarkoitetaan: 
1) digitaalisia elementtejä sisältävällä tuotteella ohjelmisto- tai laitteistotuotetta ja sen ratkaisuja datan etäkäsittelystä; 
2) ilmoitetulla laitoksella Suomen viranomaisen nimeämää ja Euroopan komissiolle kyberkestävyysasetuksen 43 artiklan nojalla ilmoitettua Suomeen sijoittautunutta vaatimustenmukaisuuden arviointilaitosta; 
3) jakelijalla sellaista muuta toimitusketjuun kuuluvaa luonnollista tai oikeushenkilöä kuin valmistajaa tai maahantuojaa, joka asettaa digitaalisia elementtejä sisältävän tuotteen saataville Euroopan unionin markkinoilla vaikuttamatta sen ominaisuuksiin; 
4) maahantuojalla Euroopan unioniin sijoittautunutta luonnollista tai oikeushenkilöä, joka saattaa markkinoille digitaalisia elementtejä sisältävän tuotteen, jossa on Euroopan unionin ulkopuolelle sijoittautuneen luonnollisen tai oikeushenkilön nimi tai tavaramerkki; 
5) valmistajalla luonnollista tai oikeushenkilöä, joka kehittää tai valmistaa digitaalisia elementtejä sisältäviä tuotteita tai suunnitteluttaa, kehityttää tai valmistuttaa digitaalisia elementtejä sisältäviä tuotteita ja pitää niitä kaupan omalla nimellään tai tavaramerkillään joko maksua vastaan, ansaintatarkoituksessa tai maksutta; 
6) valtuutetulla edustajalla Euroopan unioniin sijoittautunutta luonnollista tai oikeushenkilöä, jolla on valmistajan antama kirjallinen toimeksianto hoitaa valmistajan puolesta tietyt tehtävät; 
7) talouden toimijalla sellaista valmistajaa, valtuutettua edustajaa, maahantuojaa, jakelijaa ja muuta luonnollista tai oikeushenkilöä, jota koskevat kyberkestävyysasetuksen mukaiset digitaalisia elementtejä sisältävien tuotteiden valmistamiseen tai markkinoilla saataville asettamiseen liittyvät velvoitteet; 
8) avoimen lähdekoodin ohjelmistovastaavalla sellaista muuta oikeushenkilöä kuin valmistajaa, jonka tarkoituksena tai tavoitteena on järjestelmällisesti ja pitkäjänteisesti tarjota tukea sellaisten tiettyjen digitaalisia elementtejä sisältävien tuotteiden kehittämistä varten, jotka luokitellaan kyberkestävyysasetuksen 3 artiklan 48 kohdassa tarkoitetuiksi vapaiksi ja avoimen lähdekoodin ohjelmistoiksi ja jotka on tarkoitettu kaupalliseen toimintaan, ja joka varmistaa kyseisten tuotteiden toimintakelpoisuuden; 
9) vaatimustenmukaisuuden arviointilaitoksella elintä, joka suorittaa vaatimustenmukaisuuden arviointitoimia kuten kalibrointia, testausta, sertifiointia ja tarkastuksia; 
10) akkreditoinnilla kansallisen akkreditointielimen antamaa todistusta siitä, että vaatimustenmukaisuuden arviointilaitos täyttää tiettyä vaatimustenmukaisuuden arviointia koskevat, yhdenmukaistetuilla standardeilla vahvistetut vaatimukset, ja tarvittaessa muut vaatimukset, mukaan luettuna ne, jotka on vahvistettu asiaa koskevissa alakohtaisissa ohjelmissa; 
11) CSIRT-yksiköllä kyberturvallisuuslain (124/2025) 19 §:ssä tarkoitettua yksikköä; 
12) kyberturvallisuussertifiointia varten ilmoitetulla vaatimustenmukaisuuden arviointilaitoksella kyberturvallisuusasetuksen 61 artiklan mukaisesti Euroopan komissiolle ilmoitettua vaatimustenmukaisuuden arviointilaitosta. 
3 § 
Suhde muuhun lainsäädäntöön 
Markkinavalvonnan, talouden toimijoiden kanssa tehtävän yhteistyön sekä Euroopan unionin markkinoille tulevien tuotteiden valvonnan puitteista säädetään markkinavalvonnasta ja tuotteiden vaatimustenmukaisuudesta sekä direktiivin 2004/42/EY ja asetusten (EY) N:o 765/2008 ja (EU) N:o 305/2011 muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2019/1020, jäljempänä markkinavalvonta-asetus
Markkinavalvontaviranomaisten toimivallasta, markkinavalvonta-asetuksen 25—28 artiklan mukaisesta ulkorajavalvonnasta sekä muutoksenhausta markkinavalvontaviranomaisten päätöksiin säädetään eräiden tuotteiden markkinavalvonnasta annetussa laissa (1137/2016), jäljempänä markkinavalvontalaki.  
Kuluttajatuotteiden turvallisuudesta säädetään yleisestä tuoteturvallisuudesta, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 ja Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/1828 muuttamisesta sekä Euroopan parlamentin ja neuvoston direktiivin 2001/95/EY ja neuvoston direktiivin 87/357/ETY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2023/988 sekä kuluttajatuotteiden turvallisuudesta annetussa laissa (184/2025). 
Tekoälyjärjestelmiä koskevista vaatimuksista säädetään tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (tekoälysäädös) ja eräiden tekoälyjärjestelmien valvonnasta annetussa laissa (Valiokunta ehdottaa sisältöä muutettavaksi 1377/2025 Muutosehdotus päättyy). 
CSIRT-yksikön tehtävistä sekä muiden kuin kyberkestävyysasetuksessa tarkoitettujen haavoittuvuusilmoituksien käsittelystä säädetään kyberturvallisuuslaissa. 
2 luku 
Vaatimustenmukaisuus ja ilmoitukset 
4 § 
Digitaalisen elementin sisältävän tuotteen vaatimustenmukaisuus 
Digitaalisen elementin sisältävän tuotteen vaatimustenmukaisuudesta säädetään kyberkestävyysasetuksessa. 
5 § 
Keskeneräiset tuotteet 
Digitaalisen elementin sisältävää tuotetta, joka ei täytä kyberkestävyysasetuksessa säädettyjä vaatimuksia, saa esitellä tai käyttää kyberkestävyysasetuksen 4 artiklan 2 kohdassa säädetyllä tavalla. Keskeneräisen ohjelmiston, joka ei täytä kyberkestävyysasetuksessa säädettyjä vaatimuksia, saa asettaa saataville markkinoilla kyberkestävyysasetuksen 4 artiklan 3 kohdassa säädetyllä tavalla rajoitetuksi ajaksi testausta varten. 
6 § 
Digitaalisen elementin sisältävä tuote julkisessa hankinnassa 
Julkisista hankinnoista ja käyttöoikeussopimuksista annetun lain (1397/2016) soveltamisalaan kuuluvassa hankinnassa, jossa hankinnan kohteena on digitaalisen elementin sisältävä tuote, hankintayksikön on huomioitava, mitä kyberkestävyysasetuksen 5 artiklan 2 kohdassa säädetään vaatimusten noudattamisesta ja valmistajan kyvystä käsitellä tehokkaasti haavoittuvuuksia. 
7 § 
Valmistajan ilmoitusvelvollisuus 
Valmistajan velvollisuudesta ilmoittaa digitaalisen elementin sisältävään tuotteeseen sisältyvästä aktiivisesti hyödynnetystä haavoittuvuudesta tai tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta säädetään kyberkestävyysasetuksen 14 artiklassa. 
CSIRT-yksikön velvollisuudesta ilmoittaa markkinavalvontaviranomaiselle kyberkestävyysasetuksen 14 artiklan nojalla ilmoitetusta tapahtumasta säädetään kyberkestävyysasetuksen 16 artiklan 3 kohdassa.  
8 § 
Vapaaehtoinen ilmoittaminen 
CSIRT-yksikkö ottaa vastaan kyberkestävyysasetuksen 15 artiklan mukaisia vapaaehtoisia ilmoituksia mahdollisista digitaalisia elementtejä sisältävään tuotteeseen sisältyvistä haavoittuvuuksista, kyberuhkista, digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista vakavista poikkeamista sekä läheltä piti -tilanteista.  
Siitä riippumatta, mitä viranomaisten tiedonsaantioikeuksista muualla laissa säädetään, kyberkestävyysasetuksen 15 artiklan mukaisesti CSIRT-yksikölle vapaaehtoisesti ilmoitettua tietoa ei saa ilman ilmoittajan suostumusta käyttää ilmoittajaan kohdistuvassa rikostutkinnassa eikä hallinnollisessa tai muussa tiedon luovuttajaan kohdistuvassa päätöksenteossa.  
9 § 
CSIRT-yksikön oikeus luovuttaa salassa pidettäviä tietoja 
Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja muualla laissa säädetään, CSIRT-yksiköllä on oikeus omasta aloitteestaan tai pyynnöstä luovuttaa tai ilmaista salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä kyberkestävyysasetuksen 14 artiklan 2, 4 ja 6 kohdan nojalla saamansa tieto tai mainitun asetuksen 15 artiklan nojalla saamansa vastaava tieto, jos se on tarpeen kyberkestävyysasetuksen 14—17 artiklassa säädettyjen tehtävien toteuttamiseksi: 
1) 15 ja 16 §:ssä tarkoitetulle markkinavalvontaviranomaiselle; 
2) Euroopan unionin kyberturvallisuusvirasto ENISAlle;  
3) toisessa Euroopan unionin jäsenvaltiossa koordinaattoriksi nimetylle CSIRT-yksikölle. 
CSIRT-yksikkö voi luovuttaa tai ilmaista muunkin kyberkestävyysasetuksen mukaisia tehtäviä hoitaessaan saamansa kuin 1 momentissa tarkoitetun tiedon siten kuin 1 momentissa säädetään, jos se on välttämätöntä kyberkestävyysasetuksen 14—17 artiklassa säädettyjen tehtävien toteuttamiseksi. 
10 § 
Kyberkestävyyden sääntelyn testiympäristö 
Liikenne- ja viestintävirasto voi päätöksellä perustaa kyberkestävyysasetuksen 33 artiklan 2 kohdassa tarkoitetun kyberkestävyyden sääntelyn testiympäristön. Päätöksessä kyberkestävyyden sääntelyn testiympäristön perustamisesta on määritettävä testiympäristön voimassaoloaika ja -paikka, soveltuva tekninen rajaus sekä lisäksi toimintasuunnitelma ja soveltuva testauksen kohde. Päätöksessä voidaan asettaa testiympäristöä koskevia ehtoja, jotka ovat tarpeellisia sen toiminnan järjestämisen tai turvallisuuden kannalta. 
Liikenne- ja viestintävirasto myöntää hakemuksesta talouden toimijalle oikeuden toimintaan sääntelyn testiympäristössä. Hakemuksessa on esitettävä tarpeelliset tiedot hakijasta ja sen toiminnasta, testaukseen osallistuvista muista osapuolista, testauksen kohteesta ja testauksen tavoitteista. Oikeutta ei myönnetä, jos testauksen kohde tai suunniteltu toiminta ei ole testiympäristön perustamista koskevan päätöksen ehtojen mukaista, testaus aiheuttaisi kohtuutonta haittaa tai vaaraa muille tahoille taikka talouden toimijalle on määrätty hakemusta edeltävän kolmen vuoden aikana tämän lain nojalla hallinnollinen seuraamusmaksu. Oikeus voidaan jättää myöntämättä myös, jos testaus ei olisi testiympäristön käytettävissä olevien resurssien vuoksi mahdollista.  
Liikenne- ja viestintävirasto vastaa kyberkestävyysasetuksen 33 artiklan 2 kohdassa tarkoitetun ilmoituksen tekemisestä testiympäristön perustamisesta sekä talouden toimijoiden valvonnasta, ohjauksesta ja tuesta sääntelyn testiympäristössä yhteistyössä muiden markkinavalvontaviranomaisten kanssa.  
Liikenne- ja viestintäviraston määräyksellä voidaan antaa tarkempia säännöksiä kyberkestävyyden sääntelyn testiympäristön teknisestä järjestämisestä ja toiminnasta sekä talouden toimijan hakemuksesta. 
3 luku 
Ilmoitetut laitokset 
11 § 
Ilmoittava viranomainen 
Liikenne- ja viestintävirasto toimii kyberkestävyysasetuksen 36 artiklassa tarkoitettuna ilmoittamisesta vastaavana viranomaisena (ilmoittava viranomainen).  
Ilmoittava viranomainen nimeää vaatimustenmukaisuuden arviointilaitoksen ilmoitetuksi laitokseksi, valvoo ilmoittamiaan laitoksia sekä vastaa muista ilmoittavalle viranomaiselle kyberkestävyysasetuksessa säädetyistä tehtävistä. Ilmoittava viranomainen vastaa kyberkestävyysasetuksen 35 artiklan 1 kohdassa, 38 artiklan 1 kohdassa ja 46 artiklan 2 kohdassa tarkoitettujen tietojen ilmoittamisesta Euroopan komissiolle ja muille Euroopan unionin jäsenvaltioille. 
Ilmoittavaa viranomaista koskevista vaatimuksista säädetään kyberkestävyysasetuksen 37 artiklassa. 
12 § 
Ilmoittamista koskeva hakemus 
Suomeen sijoittautuneen vaatimustenmukaisuuden arviointilaitoksen on haettava ilmoittamista ilmoittavalta viranomaiselta. Hakemukseen on liitettävä Turvallisuus- ja kemikaaliviraston akkreditointiyksikön (FINAS-akkreditointipalvelu) antama akkreditointitodistus siitä, että vaatimustenmukaisuuden arviointilaitos täyttää kyberkestävyysasetuksessa säädetyt vaatimukset, sekä muut kyberkestävyysasetuksen 42 artiklassa tarkoitetut tiedot. Jos vaatimustenmukaisuuden arviointilaitos ei kuitenkaan voi liittää hakemukseen akkreditointitodistusta, sen on toimitettava ilmoittavalle viranomaiselle kaikki tarpeellinen tieto, jonka avulla voidaan varmentaa, todeta ja säännöllisesti valvoa, että se täyttää kyberkestävyysasetuksessa säädetyt vaatimukset. 
13 § 
Ilmoitetuksi laitokseksi nimeäminen ja nimeämisen rajaaminen tai peruuttaminen 
Ilmoittava viranomainen nimeää hakemuksesta ilmoitetuksi laitokseksi vaatimustenmukaisuuden arviointilaitoksen, joka täyttää kyberkestävyysasetuksessa säädetyt vaatimukset. 
Nimeämistä koskevassa päätöksessä määritellään ilmoitetun vaatimustenmukaisuuden arviointilaitoksen pätevyysalue, vahvistetaan laitoksen valvontaan liittyvät järjestelyt sekä asetetaan tarvittaessa sellaisia laitoksen toimintaa koskevia vaatimuksia, rajoituksia ja ehtoja, joilla varmistetaan tehtävien asianmukainen suorittaminen. 
Nimeämisen rajaamisesta ja peruuttamisesta säädetään kyberkestävyysasetuksen 45 artiklassa. 
Ilmoitetun laitoksen sekä sen käyttämän tytäryhtiön ja alihankkijan palveluksessa olevaan henkilöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan kyberkestävyysasetuksessa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). 
14 § 
Ilmoittavan viranomaisen ja ilmoitetun laitoksen oikeus luovuttaa salassa pidettäviä tietoja 
Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, ilmoittava viranomainen voi omasta aloitteestaan tai pyynnöstä salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä luovuttaa tai ilmaista vaatimustenmukaisuuden arviointilaitoksen ilmoittamisen perusteita ja muuta sen pätevyyttä koskevan saamansa tai laatimansa asiakirjan tai tiedon Euroopan komissiolle ja toiselle Euroopan unionin jäsenvaltiolle, jos se on tarpeen kyberkestävyysasetuksessa säädetyn ilmoittavan viranomaisen velvoitteen toteuttamiseksi. 
Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, ilmoitettu laitos voi omasta aloitteestaan tai pyynnöstä salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä luovuttaa tai ilmaista vaatimustenmukaisuuden arviointia ja tarkastuksen tuloksia koskevan saamansa tai laatimansa asiakirjan tai tiedon Euroopan komissiolle, Euroopan unionin jäsenvaltiolle ja toiselle ilmoitetulle laitokselle, jos se on tarpeen kyberkestävyysasetuksessa säädetyn ilmoitetun laitoksen velvoitteen toteuttamiseksi. 
4 luku 
Markkinavalvonta 
15 § 
Markkinavalvontaviranomainen 
Kyberkestävyysasetuksen 52 artiklassa tarkoitettuna markkinavalvontaviranomaisena toimii Liikenne- ja viestintävirasto.  
16 § 
Suuririskisen tekoälyjärjestelmän markkinavalvonta 
Edellä 15 §:ssä säädetystä poiketen sellaisen tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:O 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2024/1689 (tekoälysäädös) 6 artiklassa tarkoitetun suuririskisen tekoälyjärjestelmän, joka kuuluu kyberkestävyysasetuksen soveltamisalaan, markkinavalvontaviranomaisena toimii eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:n nojalla toimivaltainen valvova viranomainen. 
17 § 
Markkinavalvonnan asiantuntijatuki 
Liikenne- ja viestintävirasto voi antaa pyynnöstä kyberkestävyysasetuksen markkinavalvontaa, vaatimustenmukaisuuden arviointia ja kyberturvallisuusriskien arviointia koskevaa asiantuntijatukea 16 §:ssä tarkoitetuille markkinavalvontaviranomaisille sekä sille, jolla on toimivalta määrätä 6 luvussa tarkoitettu seuraamusmaksu. Markkinavalvontaviranomaisten yhteistyöstä säädetään markkinavalvontalaissa. 
18 § 
Markkinavalvontaviranomaisen oikeus luovuttaa salassa pidettäviä tietoja 
Mitä markkinavalvontalain 11 ja 13 §:ssä säädetään oikeudesta luovuttaa tietoja salassapitosäännösten estämättä, sovelletaan myös digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuutta, turvajärjestelyjä sekä haavoittuvuutta ja tietoturvaan vaikuttavaa poikkeamaa koskeviin tietoihin. Markkinavalvontaviranomainen voi luovuttaa tietoja omasta aloitteestaan tai pyynnöstä. 
Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, markkinavalvontaviranomaisella on oikeus omasta aloitteestaan tai pyynnöstä luovuttaa salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto myös: 
1) FINAS-akkreditointipalvelulle ja ilmoittavalle viranomaiselle, jos tiedon luovuttaminen on välttämätöntä vaatimustenmukaisuuden arviointilaitoksen pätevyyden arvioimiseksi; 
2) 21 §:ssä tarkoitetulle viranomaiselle tai toisen Euroopan unionin jäsenvaltion vastaavalle viranomaiselle, jos tiedon luovuttaminen on välttämätöntä kyseisen viranomaisen valvontatehtävien suorittamiseksi; 
3) kyberturvallisuuslain 26 §:ssä ja julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 18 h §:ssä tarkoitetulle valvovalle viranomaiselle, Finanssivalvonnalle tai toisen Euroopan unionin jäsenvaltion vastaavalle viranomaiselle, jos digitaalisia elementtejä sisältävän tuotteen voidaan perustellusti arvioida aiheuttavan merkittävän kyberturvallisuusriskin muiden kuin teknisten riskitekijöiden vuoksi ja tiedon luovuttaminen on välttämätöntä kyberkestävyysasetuksen 54 artiklan 2 kohdassa säädetyn ilmoitusvelvollisuuden täyttämiseksi; 
4) Euroopan unionin kyberturvallisuusvirasto ENISAlle ja CSIRT-yksikölle, jos se on välttämätöntä kyberkestävyysasetuksessa 52 artiklan 4 ja 5 kohdassa tai 54 artiklan 1 kohdassa säädetyn yhteistyövelvollisuuden, neuvonnan tai tutkimuksen suorittamiseksi taikka CSIRT-yksikön kyberturvallisuuslaissa säädettyjen tehtävien hoitamista varten; 
5) tietosuojavaltuutetulle, jos tiedon luovuttaminen on välttämätöntä sen laissa säädettyjen valvontatehtävien hoitamiseksi;  
6) Euroopan komissiolle, Kilpailu- ja kuluttajavirastolle ja toisen Euroopan unionin jäsenvaltion kansalliselle kilpailuviranomaiselle, jos se on välttämätöntä Euroopan unionin kilpailulainsäädännön soveltamisen kannalta merkityksellisen tiedon antamiseksi kyberkestävyysasetuksen 52 artiklan 13 kohdassa säädetyn velvoitteen toteuttamiseksi. 
Liikenne- ja viestintävirastolla ja 17 §:ssä tarkoitettua asiantuntijatukea pyytävällä on oikeus salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toisilleen, jos se on asiantuntijatuen antamiseksi välttämätöntä. 
19 § 
Markkinavalvontaviranomaisen oikeus tehdä tarkastuksia ja ottaa ohjelmistoja tutkittavaksi 
Sen lisäksi, mitä markkinavalvontalain 9 §:n 1 momentissa säädetään, tarkastus voidaan ulottaa myös pysyväisluonteiseen asumiseen käytettäviin tiloihin, joita talouden toimija käyttää elinkeino- tai ammattitoimintaansa liittyviin tarkoituksiin. Tarkastus pysyväisluonteiseen asumiseen käytettävään tilaan saadaan tehdä vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja on perusteltu ja yksilöity syy epäillä kyberkestävyysasetusta tai sen nojalla annettua säädöstä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena tässä laissa tarkoitettu seuraamusmaksu. Lisäksi edellytyksenä on, että epäillyssä rikkomuksessa on kyse digitaalisen elementin sisältävän tuotteen tai siihen liittyvän prosessin vaatimustenvastaisuudesta tai kyberkestävyysasetuksen 57 artiklassa tarkoitetusta tilanteesta, jossa tuote muutoin aiheuttaa merkittävän kyberturvallisuusriskin.  
Markkinavalvontaviranomaisen oikeudesta ottaa tuotteita tutkittavaksi säädetään markkinavalvontalaissa. Ohjelmiston tutkittavaksi ottamisesta ei suoriteta talouden toimijalle korvausta. 
20 § 
Avoimen lähdekoodin Valiokunta ehdottaa sisältöä muutettavaksi ohjelmistovastaavan valvonta Muutosehdotus päättyy 
Markkinavalvontaviranomainen voi Valiokunta ehdottaa sisältöä muutettavaksi ohjeistaa Muutosehdotus päättyy avoimen lähdekoodinValiokunta ehdottaa sisältöä muutettavaksi  ohjelmistovastaavaa kyberkestävyysasetuksessa säädetyistä velvollisuuksista sekä ehdottaa käytännöllisiä parannuksia ohjelmistovastaavan ylläpitämän avoimen lähdekoodin ohjelmistoprojektin sisältöön tai toimintatapoihin Muutosehdotus päättyy.  
Markkinavalvontaviranomainen voi Valiokunta ehdottaa sisältöä muutettavaksi velvoittaa avoimen lähdekoodin ohjelmistovastaavan korjaamaan kohtuullisessa määräajassa havaitsemansa puutteet kyberkestävyysasetuksessa säädettyjen velvollisuuksien noudattamisessa. Markkinavalvontaviranomainen voi julkaista tietoja havaitsemistaan puutteista tai tiedottaa asiasta, mikäli havaittuja puutteita ei korjata kohtuullisessa määräajassa Muutosehdotus päättyy
5 luku 
Kyberturvallisuussertifiointi 
21 § 
Kansallinen kyberturvallisuussertifioinnin viranomainen 
Kyberturvallisuusasetuksen 58 artiklassa tarkoitettuna kansallisena kyberturvallisuussertifioinnin myöntävänä viranomaisena (kyberturvallisuussertifioinnin viranomainen) toimii Liikenne- ja viestintävirasto.  
Liikenne- ja viestintäviraston eurooppalaisten kyberturvallisuussertifikaattien myöntämiseen liittyvät tehtävät on eriytettävä kyberturvallisuusasetuksen 58 artiklan mukaisesta valvontatoiminnasta ja varmistettava, että nämä toiminnot suoritetaan toisistaan riippumattomasti.  
22 § 
Vaatimustenmukaisuuden arviointilaitosten ilmoittaminen ja valtuuttaminen kyberturvallissertifiointia varten 
Kyberturvallisuussertifioinnin viranomaisen tehtävistä vaatimustenmukaisuuden arviointilaitosten valtuuttamisessa kyberturvallisuussertifiointia varten säädetään kyberturvallisuusasetuksen 60 artiklan 3 kohdassa sekä kyberturvallisuussertifiointia varten akkreditoitujen vaatimustenmukaisuuden arviointilaitosten ilmoittamisesta Euroopan komissiolle kyberturvallisuusasetuksen 61 artiklassa. Jos sovellettava eurooppalainen kyberturvallisuuden sertifiointijärjestelmä sitä edellyttää, on ilmoittamisen edellytyksenä kyberturvallisuussertifioinnin viranomaisen valtuutus. Kyberturvallisuussertifioinnin viranomainen valvoo kyberturvallisuussertifiointia varten ilmoittamiaan vaatimustenmukaisuuden arviointilaitoksia. 
Kyberturvallisuussertifiointia varten ilmoittamisen ja valtuuttamisen edellytyksenä on, että vaatimustenmukaisuuden arviointilaitokselle on myönnetty kyberturvallisuusasetuksen 60 artiklan 1 kohdassa tarkoitetusta akkreditoinnista FINAS-akkreditointipalvelun antama akkreditointitodistus siitä, että vaatimustenmukaisuuden arviointilaitos täyttää kyberturvallisuusasetuksessa säädetyt vaatimukset. 
23 § 
Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen velvollisuudet 
Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen on suoritettava vaatimustenmukaisuuden arvioinnit kyberturvallisuusasetuksen ja sen nojalla annettujen säädösten mukaisten vaatimustenmukaisuuden arviointimenettelyjen edellyttämällä tavalla. Lisäksi vaatimustenmukaisuuden arviointilaitoksen on suoritettavat muut kyberturvallisuusasetuksessa ja sen nojalla annetuissa säädöksissä säädetyt tehtävät.  
Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen on ilmoitettava kyberturvallisuussertifioinnin viranomaiselle kaikista muutoksista, joilla on vaikutusta ilmoittamisen tai valtuuttamisen edellytysten täyttymiseen.  
Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen sekä sen käyttämän tytäryhtiön ja alihankkijan palveluksessa olevaan henkilöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan kyberturvallisuusasetuksessa ja tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa. 
24 § 
Kyberturvallisuussertifikaatin myöntämiseen liittyvä tehtävien siirtäminen 
Kyberturvallisuussertifioinnin viranomainen voi siirtää tietyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän osalta kyberturvallisuusasetuksen 52 artiklan 7 kohdassa tarkoitetun korkean varmuustason eurooppalaisen kyberturvallisuussertifikaatin myöntämiseen liittyvän tehtävän kyberturvallisuussertifiointia varten ilmoitetulle vaatimuksenmukaisuuden arviointilaitokselle: 
1) kyberturvallisuusasetuksen 56 artiklan 6 kohdan a alakohdassa tarkoitetussa tapauksessa siten, että kyberturvallisuussertifioinnin viranomainen hyväksyy ennalta kunkin kyberturvallisuussertifikaatin myöntämisen; tai 
2) kyberturvallisuusasetuksen 56 artiklan 6 kohdan b alakohdassa tarkoitetussa tapauksessa yleisesti siten, että arviointilaitos myöntää kyberturvallisuussertifikaatin ilman kyberturvallisuussertifioinnin viranomaisen erillistä hyväksyntää. 
Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen kanssa tehtävässä sopimuksessa on sovittava ainakin: 
1) vaatimustenmukaisuuden arviointilaitoksen tehtävistä; 
2) tarpeellisista vaatimustenmukaisuuden arviointilaitoksen pätevyyteen ja sen toiminnan turvallisuuteen kohdistuvista erityisistä vaatimuksista; 
3) sopimuskaudesta, toiminnan aloittamisesta ja sopimuksen päättymisestä kesken sopimuskauden; 
4) vaatimustenmukaisuuden arviointilaitoksen toimintaan liittyvien asiakirjojen säilyttämisestä ja arkistoinnista;  
5) vaatimustenmukaisuuden arviointilaitoksen toiminnan puutteista ja laiminlyönneistä aiheutuvista seuraamuksista. 
Kyberturvallisuussertifioinnin viranomainen voi irtisanoa tai purkaa sopimuksen, jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos ei enää täytä vaatimuksia tai jos se olennaisesti laiminlyö sopimuksessa sovittujen tehtävien suorittamisen tai muutoin rikkoo sopimusta tai toimii olennaisesti tai toistuvasti lainvastaisesti. 
25 § 
Kyberturvallisuussertifioinnin viranomaisen tiedonsaanti- ja tarkastusoikeus 
Kyberturvallisuussertifioinnin viranomaisella on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada sen tässä laissa tai kyberturvallisuusasetuksessa säädettyjen tehtävien hoitamiseksi ja kyberturvallisuusasetuksen, sen nojalla annettujen säädösten ja tämän lain noudattamisen valvomiseksi välttämättömät tiedot vaatimustenmukaisuuden arviointilaitokselta, eurooppalaisen kyberturvallisuussertifikaatin haltijalta ja kyberturvallisuusasetuksen 53 artiklan 2 kohdassa tarkoitetulta EU-vaatimustenmukaisuusilmoituksen antajalta. Tiedot on luovutettava ilman aiheetonta viivytystä, viranomaisen pyytämässä muodossa ja maksutta.  
Kyberturvallisuussertifioinnin viranomaisella on oikeus tehdä vaatimustenmukaisuuden arviointilaitosta, eurooppalaisen kyberturvallisuussertifikaatin haltijaa tai EU-vaatimustenmukaisuusilmoitusten antajaa koskevia tarkastuksia kyberturvallisuusasetuksen, sen nojalla annettujen säädösten ja tämän lain noudattamisen valvomiseksi. Tarkastuksissa noudatetaan, mitä hallintolain (434/2003) 39 §:ssä säädetään.  
Kyberturvallisuussertifioinnin viranomaisella on oikeus teettää tarkastus riippumattomalla asiantuntijalla. Tarkastuksen suorittajalla ja siihen osallistuvalla on oltava sellainen koulutus ja kokemus kuin tarkastuksen suorittamiseksi on tarpeen. Riippumattomaan asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä pykälässä tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa. 
Tarkastusta suorittavalla kyberturvallisuussertifioinnin viranomaisella ja riippumattomalla asiantuntijalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan kyberturvallisuusasetuksessa tarkoitettua toimintaa, sekä kaikkiin tiloihin ja tietojärjestelmiin, joissa säilytetään tai käsitellään valvonnan kannalta merkityksellisiä tietoja. Pysyväisluonteiseen asumiseen käytettäviin tiloihin tarkastuksia ei kuitenkaan saa ulottaa. 
26 §  
Kyberturvallisuussertifioinnin viranomaisen oikeus luovuttaa salassa pidettäviä tietoja 
Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, kyberturvallisuussertifioinnin viranomaisella on oikeus omasta aloitteestaan tai pyynnöstä luovuttaa salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä sen tässä laissa tai kyberturvallisuusasetuksessa säädettyjen tehtävien hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettäviä tieto: 
1) markkinavalvontalain 4 §:ssä tarkoitetulle markkinavalvontaviranomaiselle, ja Turvallisuus- ja kemikaaliviraston akkreditointiyksikölle tai toisen Euroopan unionin jäsenvaltion kansalliselle akkreditointielimelle, jos tiedon luovuttaminen on välttämätöntä kyseisen viranomaisen tehtävien suorittamisen kannalta; 
2) toiselle kansalliselle kyberturvallisuussertifioinnin viranomaiselle ja muulle Euroopan kyberturvallisuuden sertifiointiryhmän jäsenelle, Euroopan unionin kyberturvallisuusvirasto ENISAlle sekä Euroopan komissiolle, jos se on välttämätöntä kyberturvallisuusasetuksessa tai sen nojalla säädetyn kyberturvallisuussertifioinnin viranomaisen velvoitteen toteuttamiseksi;  
3) siitä, että tieto- ja viestintätekniikan tuote, palvelu tai prosessi taikka tietoturvapalvelu ei vastaa kyberturvallisuusasetuksessa säädettyjä tai eurooppalaisten kyberturvallisuuden sertifiointijärjestelmän vaatimuksia, samoin kuin tieto tällaista tuotetta, palvelua tai prosessia taikka tietoturvapalvelua koskevasta haavoittuvuudesta kyberturvallisuuslain 26 §:ssä ja julkisen hallinnon tiedonhallinnasta annetun lain 18 h §:ssä tarkoitetulle valvovalle viranomaiselle, Finanssivalvonnalle ja CSIRT-yksikölle, jos se on tarpeen niille säädettyjen tehtävien hoitamista varten.  
27 §  
Valvontapäätös 
Kyberturvallisuussertifioinnin viranomainen voi velvoittaa vaatimustenmukaisuuden arviointilaitoksen, eurooppalaisen kyberturvallisuussertifikaatin haltijan tai EU-vaatimustenmukaisuusilmoitusten antajan määräajassa korjaamaan puutteet sen tässä laissa tai kyberturvallisuusasetuksessa tai sen nojalla säädettyjen velvollisuuksien noudattamisessa.  
Kyberturvallisuussertifioinnin viranomainen voi asettaa tämän pykälän nojalla antamansa päätöksen tehosteeksi uhkasakon tai uhan, että velvollisuuksien vastainen toiminta keskeytetään tai tekemättä jätetty toimenpide teetetään vaatimustenmukaisuuden arviointilaitoksen, eurooppalaisen kyberturvallisuussertifikaatin haltijan tai EU-vaatimustenmukaisuusilmoituksen antajan kustannuksella. 
28 §  
Kyberturvallisuussertifikaatin peruuttaminen 
Kyberturvallisuussertifioinnin viranomainen voi peruuttaa myöntämänsä tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen kyberturvallisuusasetuksen 56 artiklan 6 kohdan mukaisesti myöntämän eurooppalaisen kyberturvallisuussertifikaatin, jos kyberturvallisuussertifikaatti ei täytä kyberturvallisuusasetuksessa säädettyjä tai kyseisen eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimuksia tai jos kyberturvallisuussertifikaatin haltija ei anna kyberturvallisuussertifioinnin viranomaiselle sen pyytämiä 25 §:n 1 momentissa tarkoitettuja tietoja eikä puutetta tai laiminlyöntiä korjata kohtuullisessa määräajassa. 
29 §  
Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen valtuutuksen ja ilmoituksen keskeyttäminen, rajoittaminen tai peruuttaminen 
Jollei kyberturvallisuusasetuksen nojalla säädetystä muuta johdu, kyberturvallisuussertifioinnin viranomaisen on tarvittaessa peruutettava tai keskeytettävä vaatimustenmukaisuuden arviointilaitoksen kyberturvallisuusasetuksen 60 artiklan 3 kohdassa tarkoitettu valtuutus tai 61 artiklan 1 kohdassa tarkoitettu ilmoitus tai rajoitettava sitä ja esitettävä kyberturvallisuusasetuksen 61 artiklan 4 kohdassa tarkoitettu pyyntö poistaa arviointilaitos luettelosta, jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos ei ole korjannut toimintaansa 27 §:n nojalla asetetussa määräajassa ja kyseessä on olennainen rikkomus tai laiminlyönti taikka jos arviointilaitos ei täytä sille säädettyjä vaatimuksia tai sen akkreditointia rajoitetaan, akkreditointi peruutetaan tai se keskeytetään.  
Jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos on lopettanut toimintansa tai se poistetaan Euroopan komission luettelosta, on kyberturvallisuussertifioinnin viranomaisen ryhdyttävä asianmukaisiin toimenpiteisiin sen varmistamiseksi, että arviointilaitoksen asiakirjat käsittelee toinen kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos tai että asiakirjat pidetään kyberturvallisuussertifioinnin viranomaisen ja markkinavalvonnasta vastaavien viranomaisten saatavilla.  
30 §  
Poliisin virka-apu 
Poliisi on velvollinen antamaan virka-apua kyberturvallisuussertifioinnin viranomaiselle tässä laissa tai kyberturvallisuusasetuksessa tai sen nojalla säädettyjen velvollisuuksien noudattamisen valvomiseksi ja täytäntöön panemiseksi. 
Poliisin antamasta virka-avusta säädetään poliisilaissa (872/2011). 
6 luku  
Seuraamusmaksut 
31 § 
Valmistajan seuraamusmaksu 
Hallinnollinen seuraamusmaksu voidaan määrätä valmistajalle, joka tahallaan tai huolimattomuudesta: 
1) saattaa markkinoille digitaalisia elementtejä sisältävän tuotteen kyberkestävyysasetuksen 13 artiklan 1 kohdan vastaisesti varmistamatta, että tuote on suunniteltu, kehitetty ja tuotettu kyberkestävyysasetuksen liitteessä I olevassa I osassa vahvistettujen olennaisten kyberturvallisuusvaatimusten mukaisesti;  
2) laiminlyö kyberkestävyysasetuksen 13 artiklan 2 kohdassa tarkoitetun kyberturvallisuusriskien arvioinnin tai arvioinnin tuloksien huomioon ottamisen;  
3) laiminlyö kyberkestävyysasetuksen 13 artiklan 3 kohdassa säädetyn velvollisuuden dokumentoida kyberturvallisuusriskien arviointi tai laiminlyö sen päivittämisen; 
4) laiminlyö kyberkestävyysasetuksen 13 artiklan 4 kohdassa säädetyn velvollisuuden sisällyttää teknisiin asiakirjoihin kyberturvallisuusriskien arvioinnin; 
5) laiminlyö kyberkestävyysasetuksen 13 artiklan 7 kohdassa säädetyn velvollisuuden dokumentoida kyberturvallisuuteen liittyvät seikat tai laiminlyö päivittää kyberturvallisuusriskien arvioinnin mainitun kohdan mukaisesti; 
6) integroi tuotteeseen kolmannelta osapuolelta hankitun komponentin muuten kuin kyberkestävyysasetuksen 13 artiklan 5 kohdassa säädetyllä tavalla taikka laiminlyö kyberkestävyysasetuksen 13 artiklan 6 kohdassa säädetyn velvollisuuden ilmoittaa tuotteeseen integroidun komponentin haavoittuvuudesta komponentin valmistajalle tai ylläpitäjälle, puuttua haavoittuvuuteen tai korjata se tai laiminlyö mainitussa kohdassa säädetyn velvollisuuden jakaa tietoja; 
7) määrittää tukiajan kyberkestävyysasetuksen 13 artiklan 8 kohdan vastaisesti tai jättää ilmoittamatta tukiajan päättymisestä 13 artiklan 19 kohdassa säädetyllä tavalla; 
8) laiminlyö kyberkestävyysasetuksen 13 artiklan 8 kohdassa säädetyn velvollisuuden käsitellä haavoittuvuuksia tehokkaasti ja kyberkestävyysasetuksen liitteessä I olevassa II osassa vahvistettujen olennaisten kyberturvallisuusvaatimusten mukaisesti tukiajan aikana; 
9) laiminlyö pitää tukiaikana käyttäjien saataville asetetun tietoturvapäivityksen saatavilla kyberkestävyysasetuksen 13 artiklan 9 kohdassa säädetyn ajan; 
10) varmistaa kyberkestävyysasetuksen 13 artiklan 10 kohdassa tarkoitetun olennaisen kyberturvallisuusvaatimuksen noudattamisen vain viimeksi markkinoille saattamansa version osalta, jos version käyttö ei ole käyttäjille maksutonta tai siitä aiheutuu lisäkustannuksia mainitussa kohdassa säädetyn vastaisesti;  
11) laiminlyö laatia kyberkestävyysasetuksen 31 artiklassa tarkoitetut tekniset asiakirjat ennen digitaalisia elementtejä sisältävän tuotteen saattamista markkinoille taikka laatii tekniset asiakirjat mainitun artiklan 1—4 kohdassa tai 33 artiklan 5 kohdassa säädetyn vastaisesti; 
12) laiminlyö kyberkestävyysasetuksen 13 artiklan 12 kohdan toisessa alakohdassa säädetyn velvollisuuden suorittaa tai teettää valitsemansa vaatimustenmukaisuuden arviointimenettelyn 32 artiklan 1—5 kohdassa säädetyllä tavalla; 
13) laiminlyö laatia EU-vaatimustenmukaisuusvakuutuksen kyberkestävyysasetuksen 28 artiklan mukaisesti taikka laiminlyö kiinnittää tai liittää tuotteeseen CE-merkinnän 30 artiklan mukaisesti silloin, kun vaatimustenmukaisuuden arviointimenettelyllä on osoitettu tuotteen täyttävän kyberkestävyysasetuksen 13 artiklan 12 kohdan kolmannessa alakohdassa tarkoitetut olennaiset kyberturvallisuusvaatimukset; 
14) laiminlyö pitää markkinavalvontaviranomaisen saatavilla tuotteen tekniset asiakirjat ja EU-vaatimustenmukaisuusvakuutus kyberkestävyysasetuksen 13 artiklan 13 kohdassa säädetyn ajan; 
15) laiminlyö käyttää kyberkestävyysasetuksen 13 artiklan 14 kohdassa tarkoitettuja menettelyitä tai huomioida kohdassa tarkoitettuja muutoksia; 
16) laiminlyö liittää tuotteeseen, sen pakkaukseen tai sen mukana seuraavaan asiakirjaan kyberkestävyysasetuksen 13 artiklan 15 kohdassa tarkoitetun tunnisteen, mainitun artiklan 16 kohdassa tarkoitetut tiedot taikka mainitun artiklan 17 kohdan toisessa alakohdassa tarkoitetun tiedon; 
17) laiminlyö nimetä kyberkestävyysasetuksen 13 artiklan 17 kohdan ensimmäisessä alakohdassa tarkoitetun keskitetyn yhteyspisteen tai rajaa käyttäjän viestintätavan pelkästään automatisoituihin välineisiin mainitun kohdan kolmannen alakohdan vastaisesti; 
18) laiminlyö kyberkestävyysasetuksen 13 artiklan 18 kohdassa säädetyn velvollisuuden varmistaa, että digitaalisia elementtejä sisältävän tuotteen mukana on mainitun säädöksen liitteessä II vahvistetut käyttäjälle annettavat tiedot ja ohjeet ja että ne annetaan mainitussa kohdassa tarkoitetulla tavalla, taikka laiminlyö pitää tiedot ja ohjeet käyttäjien ja markkinavalvontaviranomaisen saatavilla kohdassa säädetyn ajan; 
19) laiminlyö kyberkestävyysasetuksen 13 artiklan 20 kohdassa säädetyn velvollisuuden toimittaa EU-vaatimustenmukaisuusvakuutuksen jäljennös tai yksinkertaistettu EU-vaatimustenmukaisuusvakuutus tuotteen mukana; 
20) jättää toteuttamatta tarvittavat korjaavat toimenpiteet kyberkestävyysasetuksen 13 artiklan 21 kohdassa tarkoitetussa tilanteessa; 
21) laiminlyö kyberkestävyysasetuksen 13 artiklan 22 kohdassa säädetyn velvollisuuden antaa markkinavalvontaviranomaiselle tietoja tai asiakirjoja tai tehdä yhteistyötä; 
22) laiminlyö kyberkestävyysasetuksen 13 artiklan 23 kohdassa säädetyn velvollisuuden ilmoittaa toiminnan lopettamisesta; 
23) laiminlyö kyberkestävyysasetuksen 14 artiklan 1 kohdassa säädetyn velvollisuuden ilmoittaa digitaalisia elementtejä sisältävään tuotteeseen sisältyvästä aktiivisesti hyödynnetyistä haavoittuvuuksista tai laiminlyö sisällyttää ilmoitukseen tai loppuraporttiin mainitun artiklan 2 kohdan mukaiset tiedot; 
24) laiminlyö kyberkestävyysasetuksen 14 artiklan 3 kohdassa säädetyn velvollisuuden ilmoittaa digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista vakavista poikkeamista tai laiminlyö antaa mainitun artiklan 4 kohdan mukaiset tiedot; 
25) laiminlyö toimittaa CSIRT-yksikölle kyberkestävyysasetuksen 14 artiklan 6 kohdassa tarkoitettuja tietoja, kun CSIRT-yksikkö on pyytänyt toimittamaan väliraportin; 
26) laiminlyö kyberkestävyysasetuksen 14 artiklan 8 kohdassa säädetyn velvollisuuden tiedottaa aktiivisesti hyödynnetystä haavoittuvuudesta tai digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta niitä tuotteen käyttäjiä, joihin vaikutukset kohdistuvat, ja tarvittaessa kaikkia käyttäjiä. 
Hallinnollinen seuraamusmaksu voidaan määrätä 1 momentissa säädetyllä perusteella muulle kuin valmistajalle silloin, jos tämä kyberkestävyysasetuksen 21 tai 22 artiklan nojalla vastaa valmistajalle säädetystä velvollisuudesta.  
32 § 
Valtuutetun edustajan seuraamusmaksu 
Hallinnollinen seuraamusmaksu voidaan määrätä valtuutetulle edustajalle, joka tahallaan tai huolimattomuudesta: 
1) laiminlyö pitää EU-vaatimustenmukaisuusvakuutuksen ja tekniset asiakirjat markkinavalvontaviranomaisen saatavilla kyberkestävyysasetuksen 18 artiklan 3 kohdan a alakohdassa säädetyn ajan; 
2) laiminlyö antaa markkinavalvontaviranomaiselle tämän pyynnöstä kyberkestävyysasetuksen 18 artiklan 3 kohdan johdantokappaleessa tai b alakohdassa tarkoitetut asiakirjat tai tiedot taikka tehdä yhteistyötä mainitun kohdan c alakohdan mukaisesti; 
3) muuten kuin 1 tai 2 kohdassa tarkoitetulla tavalla laiminlyö valmistajalta saamaansa toimeksiantoon kuuluvan tehtävän, joka kyberkestävyysasetuksen nojalla kuuluu valmistajan velvollisuuksiin. 
33 § 
Maahantuojan seuraamusmaksu 
Hallinnollinen seuraamusmaksu voidaan määrätä maahantuojalle, joka tahallaan tai huolimattomuudesta: 
1) saattaa markkinoille digitaalisia elementtejä sisältävän tuotteen kyberkestävyysasetuksen 19 artiklan 1—3 kohdan vastaisesti; 
2) laiminlyö tehdä valmistajalle tai markkinavalvontaviranomaiselle ilmoituksen silloin, kun maahantuoja on siihen kyberkestävyysasetuksen 19 artiklan 3 kohdan nojalla velvollinen;  
3) laiminlyö ilmoittaa kyberkestävyysasetuksen 19 artiklan 4 kohdassa tarkoitetut tiedot kohdassa säädetyllä tavalla; 
4) laiminlyö toteuttaa kyberkestävyysasetuksen 19 artiklan 5 kohdan ensimmäisessä alakohdassa tarkoitetut toimenpiteet tai laiminlyö antaa mainitun kohdan toisessa alakohdassa tarkoitetun ilmoituksen valmistajalle ja markkinavalvontaviranomaiselle; 
5) laiminlyö pitää markkinavalvontaviranomaisen saatavilla EU-vaatimustenmukaisuusvakuutuksen jäljennöksen tai varmistaa, että tekniset asiakirjat voidaan antaa markkinavalvontaviranomaiselle tämän pyynnöstä kyberkestävyysasetuksen 19 artiklan 6 kohdassa säädetyn ajan;  
6) laiminlyö antaa markkinavalvontaviranomaiselle tämän pyynnöstä kyberkestävyysasetuksen 19 artiklan 7 kohdassa tarkoitetut tiedot. 
34 § 
Jakelijan seuraamusmaksu 
Hallinnollinen seuraamusmaksu voidaan määrätä jakelijalle, joka tahallaan tai huolimattomuudesta: 
1) asettaa digitaalisia elementtejä sisältävän tuotteen saataville markkinoille kyberkestävyysasetuksen 20 artiklan 1—3 kohdan vastaisesti; 
2) laiminlyö toteuttaa kyberkestävyysasetuksen 20 artiklan 4 kohdan ensimmäisessä alakohdassa tarkoitetut toimenpiteet tai laiminlyö antaa mainitun kohdan toisessa alakohdassa tarkoitetun ilmoituksen valmistajalle ja markkinavalvontaviranomaiselle; 
3) laiminlyö antaa markkinavalvontaviranomaiselle tämän perustellusta pyynnöstä kyberkestävyysasetuksen 20 artiklan 5 kohdassa tarkoitetut tiedot ja asiakirjat; 
4) laiminlyö antaa markkinavalvontaviranomaiselle kyberkestävyysasetuksen 20 artiklan 6 kohdassa tarkoitetun ilmoituksen. 
35 § 
Ilmoitetun laitoksen seuraamusmaksu 
Hallinnollinen seuraamusmaksu voidaan määrätä ilmoitetulle laitokselle, joka tahallaan tai huolimattomuudesta: 
1) toimii ilmoitetun laitoksen tehtävässä täyttämättä kyberkestävyysasetuksen 39 artiklassa säädettyjä vaatimuksia;  
2) käyttää tytäryhtiötä tai teettää tehtäviä alihankintana muuten kuin kyberkestävyysasetuksen 41 artiklan mukaisesti; 
3) suorittaa vaatimustenmukaisuuden arvioinnin muuten kuin kyberkestävyysasetuksen 47 artiklassa säädetyn menettelyn mukaisesti taikka muutoin laiminlyö mainitussa artiklassa säädetyn velvollisuuden; 
4) laiminlyö tiedottaa kyberkestävyysasetuksen 49 artiklan 1 kohdassa tarkoitetuista seikoista ilmoittamisesta vastaavaa viranomaista tai mainitun artiklan 2 kohdassa tarkoitetuista seikoista mainitun kohdan mukaisesti muita ilmoitettuja laitoksia. 
36 § 
Muut kyberkestävyysasetukseen liittyvät seuraamusmaksut 
Hallinnollinen seuraamusmaksu voidaan määrätä talouden toimijalle, joka tahallaan tai huolimattomuudesta: 
1) laiminlyö antaa markkinavalvontaviranomaiselle tämän pyynnöstä kyberkestävyysasetuksen 23 artiklassa tarkoitetut tiedot, kun talouden toimija on tietojen antamiseen velvollinen; 
2) kiinnittää tai liittää tuotteeseen CE-merkinnän muuten kuin kyberkestävyysasetuksen 30 artiklassa säädetyllä tavalla; 
3) laiminlyö antaa markkinavalvontaviranomaiselle tämän pyynnöstä pääsyn kyberkestävyysasetuksen 53 artiklassa tarkoitettuun tietoon, kun tieto on tarpeen sen arvioimiseksi, täyttävätkö digitaalisia elementtejä sisältävä tuote ja valmistajan käyttöön ottamat prosessit kyberkestävyysasetuksen liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset;  
4) antaa ilmoitetulle laitokselle tai markkinavalvontaviranomaiselle väärän, puutteellisen tai harhaanjohtavan tiedon, joka on merkityksellinen tässä laissa tai kyberkestävyysasetuksessa tarkoitetun tehtävän hoitamisen kannalta. 
37 § 
Kyberturvallisuussertifiointia koskeva seuraamusmaksu 
Hallinnollinen seuraamusmaksu voidaan määrätä sille, joka tahallaan tai huolimattomuudesta:  
1) antaa kyberturvallisuusasetuksen 53 artiklan 2 kohdassa tarkoitetun EU-vaatimustenmukaisuusilmoituksen, vaikka kyseiset tieto- ja viestintätekniikan tuotteet, palvelut tai prosessit taikka tietoturvapalvelut eivät ole kyseisen eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia; 
2) laiminlyö asettaa kyberturvallisuussertifioinnin viranomaisen saataville kyberturvallisuusasetuksen 53 artiklan 3 kohdassa tarkoitetut tiedot tai laiminlyö toimittaa EU-vaatimustenmukaisuusilmoituksen jäljennöksen kyberturvallisuussertifioinnin viranomaiselle ja Euroopan unionin kyberturvallisuusvirastolle; 
3) rikkoo kyberturvallisuusasetuksen 54 artiklan 1 kohdan k alakohdassa tarkoitettuja eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän ehtoja;  
4) laiminlyö saattaa julkisesti saataville kyberturvallisuusasetuksen 55 artiklan 1 kohdassa tarkoitetut tiedot mainitun artiklan 2 kohdassa säädetyllä tavalla; 
5) antaa kyberturvallisuussertifioinnin viranomaiselle tai kyberturvallisuussertifiointia varten ilmoitetulle vaatimustenmukaisuuden arviointilaitokselle väärän, puutteellisen tai harhaanjohtavan tiedon, joka on merkityksellinen tässä laissa tai kyberturvallisuusasetuksessa tarkoitetun tehtävän hoitamisen kannalta; 
6) laiminlyö kyberturvallisuusasetuksen 56 artiklan 8 kohdassa tarkoitetun ilmoituksen tekemisen;  
7) käyttää eurooppalaista kyberturvallisuussertifikaattia, joka on peruutettu tai jonka voimassaoloaika on päättynyt.  
38 § 
Seuraamusmaksun määrä 
Edellä 31 §:n 1 momentin nojalla valmistajalle määrättävän seuraamusmaksun enimmäismäärä on 15 000 000 euroa tai kaksi ja puoli prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. 
Edellä 31 §:n 2 momentin nojalla, 32—35 §:n nojalla tai 36 §:n 1—3 kohdan nojalla määrättävän seuraamusmaksun enimmäismäärä on 10 000 000 euroa tai kaksi prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.  
Edellä 36 §:n 4 kohdan nojalla määrättävän seuraamusmaksun enimmäismäärä on 5 000 000 euroa tai yksi prosentti yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. 
Edellä 37 §:n nojalla määrättävän seuraamusmaksun enimmäismäärä on 100 000 euroa. 
Seuraamusmaksun määrä perustuu kokonaisarviointiin. Seuraamusmaksun määrää arvioitaessa on otettava huomioon menettelyn luonne, vakavuus ja kesto sekä sen toistuvuus, rikkomuksen aiheuttama vahinko ja toimijan koko sekä sen mahdolliset aiemmat tämän lain alaan kuuluvat rikkomukset. Kyberkestävyysasetuksen rikkomisen perusteella seuraamusmaksua määrättäessä on lisäksi otettava huomioon, mitä kyberkestävyysasetuksen 64 artiklan 5 kohdassa säädetään.  
39 § 
Seuraamusmaksun määrääminen 
Edellä 31—34 ja 36 §:ssä tarkoitetun hallinnollisen seuraamusmaksun määrää markkinavalvontaviranomainen. Milloin markkinavalvontaviranomaisena toimii eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:ssä tarkoitettu markkinavalvontaviranomainen, hallinnollinen seuraamusmaksu määrätään mainitun lain 13 §:ssä säädetyssä järjestyksessä.  
Edellä 35 §:ssä tarkoitetun hallinnollisen seuraamusmaksun määrää ilmoittava viranomainen. 
Edellä 37 §:ssä tarkoitetun hallinnollisen seuraamusmaksun määrää kyberturvallisuussertifioinnin viranomainen. 
Seuraamusmaksun määräävällä viranomaisella on oikeus salassapitosäännösten estämättä saada maksutta talouden toimijalta tai muulta viranomaiselta tiedot, jotka ovat välttämättömiä seuraamusmaksun määräämiseksi tai sen määrän arvioimiseksi. 
40 § 
Seuraamusmaksun määräämättä jättäminen 
Seuraamusmaksu jätetään määräämättä, jos: 
1) toimija on oma-aloitteisesti ryhtynyt riittäviin toimenpiteisiin rikkomuksen tai laiminlyönnin korjaamiseksi välittömästi sen havaitsemisen jälkeen ja ilmoittanut siitä viivytyksettä valvovalle viranomaiselle sekä toiminut yhteistyössä valvovan viranomaisen kanssa eikä rikkomus tai laiminlyönti ole vakava tai toistuva; 
2) rikkomusta tai laiminlyöntiä on pidettävä vähäisenä; tai 
3) seuraamusmaksun määräämistä on pidettävä ilmeisen kohtuuttomana muutoin kuin 1 tai 2 kohdassa tarkoitetulla perusteella. 
Seuraamusmaksua ei saa määrätä, jos on kulunut yli viisi vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt. 
Seuraamusmaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. Kyberturvallisuussertifiointia koskevasta rikkomuksesta ei saa määrätä 37 §:ssä tarkoitettua seuraamusmaksua sille, jolle on määrätty samasta teosta 31—36 §:ssä tarkoitettu seuraamusmaksu. 
Seuraamusmaksua ei saa määrätä valtion viranomaisille, valtion liikelaitoksille, hyvinvointialueille tai yhtymille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelisluterilaiselle kirkolle tai Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille tai muille elimille. 
Valmistajalle, joka on mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetussa komission suosituksessa 2003/361/EY tarkoitettu mikro- tai pienyritys, ei saa määrätä seuraamusmaksua sillä perusteella, että yritys on ylittänyt kyberkestävyysasetuksen 14 artiklan 2 kohdan a alakohdassa tai mainitun artiklan 4 kohdan a alakohdassa tarkoitetun määräajan ennakkoilmoitukselle. 
Seuraamusmaksua ei saa määrätä avoimen lähdekoodin ohjelmistovastaavalle.  
41 § 
Seuraamusmaksun täytäntöönpano 
Tämän lain nojalla maksettavaksi määrätyn seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). 
7 luku 
Erinäiset säännökset 
42 § 
Oikaisuvaatimus 
Ilmoitetun laitoksen antamaan päätökseen, kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen antamaan päätökseen sekä päätökseen, joka koskee viranomaisen suoritteesta perittävää maksua, saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa. 
43 § 
Muutoksenhaku 
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019). 
Markkinavalvontaviranomaisen muu kuin seuraamusmaksun määräämistä koskeva päätös voidaan panna täytäntöön muutoksenhausta huolimatta.  
Ilmoittava viranomainen voi määrätä, että ilmoitetun laitoksen nimeämistä taikka nimeämisen rajaamista tai peruuttamista koskevaa päätöstä on noudatettava muutoksenhausta huolimatta. 
Kyberturvallisuussertifioinnin viranomainen voi muussa kuin seuraamusmaksun määräämistä koskevassa päätöksessä määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta. 
Oikaisuvaatimuksesta annetussa ilmoitetun laitoksen tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen päätöksessä, joka koskee digitaalisen elementin sisältävän tuotteen valmistajalta tai eurooppalaisen kyberturvallisuussertifikaatin haltijalta vaadittavia korjaavia toimenpiteitä taikka digitaalisen elementin sisältävälle tuotteelle annetun vaatimustenmukaisuustodistuksen tai eurooppalaisen kyberturvallisuussertifikaatin peruuttamista, voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta. 
Muutoksenhaussa uhkasakon asettamista ja maksettavaksi tuomitsemista sekä teettämis- tai keskeyttämisuhan asettamista ja täytäntöönpantavaksi määräämistä koskevaan päätökseen sovelletaan kuitenkin, mitä uhkasakkolaissa (1113/1990) säädetään. 
 44 § 
Maksut 
Viranomaisten suoritteiden maksullisuudesta ja suoritteista perittävien maksujen suuruuden yleisistä perusteista sekä maksujen muista perusteista säädetään valtion maksuperustelaissa (150/1992). 
45 § 
Voimaantulo 
Tämä laki tulee voimaan päivänä kuuta 20
Tämän lain 3 lukua ja 35 §:ää sovelletaan kuitenkin vasta 11 päivästä kesäkuuta 2026. 
Tämän lain 7—9 §:ää ja 31 §:n 1 momentin 23—26 kohtaa sovelletaan kuitenkin vasta 11 päivästä syyskuuta 2026. 
Tämän lain 4—6 §:ää, 31 §:n 1 momentin 1—22 kohtaa, 32—34 §:ää ja 36 §:ää sovelletaan kuitenkin vasta 11 päivästä joulukuuta 2027.  
 Lakiehdotus päättyy 

2. Laki eräiden tuotteiden markkinavalvonnasta annetun lain 1 ja 4 §:n muuttamisesta  

Eduskunnan päätöksen mukaisesti  
muutetaan eräiden tuotteiden markkinavalvonnasta annetun lain (1137/2016) 1 §:n 1 momentin 3Valiokunta ehdottaa sisältöä muutettavaksi 4 Muutosehdotus päättyy kohta ja 4 §:n 4 momentti,  
sellaisina kuin ne ovat, 1 §:n 1 momentin 3Valiokunta ehdottaa sisältöä muutettavaksi 4 Muutosehdotus päättyy kohta laissaValiokunta ehdottaa sisältöä muutettavaksi / Muutosehdotus päättyy ja 4 §:n 4 momentti laissa 103/2023, sekä 
lisätään 1 §:n 1 momenttiin, sellaisena kuin se on laissa 186/2025, Valiokunta ehdottaa sisältöä muutettavaksi 1378/2025 ja /  Muutosehdotus päättyy, uusi 3Valiokunta ehdottaa sisältöä muutettavaksi 5 Muutosehdotus päättyy kohta seuraavasti: 
1 § 
Soveltamisala 
Tätä lakia sovelletaan seuraavien lakien soveltamisalaan kuuluvien tuotteiden markkinavalvontaan, jollei mainituissa laeissa toisin säädetä: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valiokunta ehdottaa sisältöä muutettavaksi 34) käsityö- ja teollisuustuotteiden maantieteellisten merkintöjen suojasta annettu laki ( / ); Muutosehdotus päättyy 
3Valiokunta ehdottaa sisältöä muutettavaksi 5 Muutosehdotus päättyy) eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista annettu laki (/). 
 Muuttamaton osa säädöstekstistä on jätetty pois 
4 § 
Valvontaviranomaiset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Poiketen siitä, mitä 1 momentissa säädetään, Liikenne- ja viestintävirasto on tässä laissa tarkoitettu markkinavalvontaviranomainen ilmailulaissa, ajoneuvolaissa, ympäristönsuojelulain 24 a §:n 3 momentissa, huviveneiden turvallisuudesta ja päästövaatimuksista annetussa laissa, sähköisen viestinnän palveluista annetussa laissa, laivavarustelaissa ja eräiden tuotteiden esteettömyysvaatimuksista annetussa laissa tarkoitettujen tuotteiden osalta. Liikenne- ja viestintävirasto on tässä laissa tarkoitettu markkinavalvontaviranomainen myös eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista annetussa laissa tarkoitettujen tuotteiden osalta, ellei mainitussa laissa toisin säädetä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20
 Lakiehdotus päättyy 

3. Laki kyberturvallisuuslain 20 ja 28 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan kyberturvallisuuslain (124/2025) 20 §:n 1 momentin 9 kohta ja 28 §:n 4 momentti, sellaisena kuin niistä 28 §:n 4 momentti laissa 369/2025, sekä 
lisätään 20 §:n 1 momenttiin uusi 10 kohta seuraavasti: 
20 § 
CSIRT-yksikön tehtävät 
CSIRT-yksikön tehtävänä on: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
9) antaa ohjeita ja suosituksia poikkeamien käsittelemisestä, kyberturvallisuuden kriisinhallinnasta ja koordinoidusta haavoittuvuuksien julkistamisesta; 
10) vastaanottaa ja käsitellä digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvallisuusvaatimuksista ja asetusten (EU) N:o 168/2013 ja (EU) 2019/1020 ja direktiivin (EU) 2020/1828 muuttamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2024/2847 (kyberkestävyyssäädös) 14 ja 15 artiklassa tarkoitettuja ilmoituksia sekä vastata muista mainitussa asetuksessa sekä eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista annetussa laissa (/) CSIRT-yksikölle säädetyistä tehtävistä.  
 Muuttamaton osa säädöstekstistä on jätetty pois 
28 § 
Tiedonsaantioikeus 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valvovalla viranomaisella on salassapitosäännösten, 2 momentissa säädetyn salassapitovelvollisuuden ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toiselle valvovalle viranomaiselle, CSIRT-yksikölle ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitetulle valvovalle viranomaiselle sekä Finanssivalvonnalle, jos se on välttämätöntä tässä laissa tai yhteiskunnan kriittisen infrastruktuurin suojaamisesta annetussa laissa viranomaiselle säädettyä tehtävää varten taikka Finanssivalvonnasta annetun lain (878/2008) 50 p §:n 1 ja 2 momentissa tarkoitettua toimivaltaisen viranomaisen tehtävää varten. Tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20
 Lakiehdotus päättyy 

4. Laki sähköisen viestinnän palveluista annetun lain muuttamisesta  

Eduskunnan päätöksen mukaisesti  
kumotaan sähköisen viestinnän palveluista annetun lain (917/2014) 304 §:n 1 momentin 14 kohta, sellaisena kuin se on laissa 1211/2022
muutetaan 3 §:n 35 kohta, 21 luvun otsikko ja 164 §:n 2 momentti, sellaisena kuin niistä on 164 §:n 2 momentti laissa 1003/2018, sekä 
lisätään 3 §:ään, sellaisena kuin se on osaksi laeissa 456/2016, 52/2019, 1207/2020, 1211/2022, 105/2023 ja 661/2024, uusi 35 a kohta, 164 §:ään, sellaisena kuin se on laissa 1003/2018, uusi 4 momentti ja lakiin uusi 21 a luku seuraavasti:  
3 § 
Määritelmät 
Tässä laissa tarkoitetaan: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
35)  verkkotunnuksella  kirjaimista, numeroista tai muista merkeistä taikka niiden yhdistelmistä muodostuvaa internet-verkossa käytettävää nimimuotoista toisen asteen osoitetietoa; 
35 a) aluetunnusrekisterin ylläpitäjällä tahoa, jolle on myönnetty oikeus hallinnoida tiettyä aluetunnusta ja joka sitä hallinnoidessaan vastaa verkkotunnusten rekisteröinnistä sen alle sekä sen teknisestä toiminnasta; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 
21 luku 
Suomen ja Ahvenanmaan verkkotunnukset 
164 § 
Liikenne- ja viestintäviraston verkkotunnustoiminta ja verkkotunnusten välittäminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Merkintöjä verkkotunnusrekisteriin voi tehdä vain 165 §:ssä tarkoitetun ilmoituksen tehnyt verkkotunnusvälittäjä. Liikenne- ja viestintävirasto voi kuitenkin merkitä verkkotunnushallinnon tarpeita varten yksimerkkisiä ja muita verkkotunnuksia maksutta. Liikenne- ja viestintävirasto voi tehdä verkkotunnusrekisteriin myös muita tämän lain toteutumisen kannalta tarpeellisia merkintöjä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Mitä 165 §:ssä, 170 §:n 1 momentin 2 ja 8—11 kohdassa sekä 171 §:ssä säädetään verkkotunnusvälittäjästä, sovelletaan myös verkkotunnusvälittäjän puolesta toimivaan Valiokunta ehdottaa sisältöä muutettavaksi tahoon, kuten yksityisyys- tai välityspalvelujen tarjoajaan tai jälleenmyyjään Muutosehdotus päättyy.  
21 a luku 
Muut verkkotunnukset 
172 a § 
Luvun soveltamisala 
Tätä lukua sovelletaan muihin kuin Suomen tai Ahvenanmaan aluetunnukseen päättyviin verkkotunnuksiin ja niiden välittämiseen.  
Tätä lukua sovelletaan sellaiseen aluetunnusrekisterin ylläpitäjään ja verkkotunnusvälittäjään, jonka päätoimipaikka tai Euroopan unioniin nimetty edustaja sijaitsee Suomessa. Jos verkkotunnusvälittäjä ei ole sijoittautunut Euroopan unionin jäsenvaltioon mutta tarjoaa palvelujaan Suomessa tai muun Euroopan unionin jäsenvaltion alueella, sen on nimettävä NIS 2 ‑direktiivin 26 artiklan 3 kohdassa tarkoitettu edustaja Euroopan unionin jäsenvaltioiden aluetta varten. Tätä lukua sovelletaan myös verkkotunnusvälittäjään, joka tarjoaa palveluita Suomessa, ei ole sijoittautunut Euroopan unionin jäsenvaltioon eikä ole asettanut NIS 2 direktiivin 26 artiklan 3 kohdassa tarkoitettua nimettyä edustajaa. 
Mitä tässä luvussa säädetään verkkotunnusvälittäjästä, sovelletaan myös verkkotunnusvälittäjän puolesta toimivaan Valiokunta ehdottaa sisältöä muutettavaksi tahoon, kuten yksityisyys- tai välityspalvelujen tarjoajaan tai jälleenmyyjään Muutosehdotus päättyy.  
Valiokunta ehdottaa sisältöä muutettavaksi Mitä tässä luvussa säädetään verkkotunnuksesta, sovelletaan myös sellaiseen aluetunnusrekisterin alaiseen verkkotunnukseen, joka on rekisteröity useammasta kuin yhdestä osasta muodostuvan päätteen alle Muutosehdotus päättyy. (Uusi) 
172 b § 
Verkkotunnusvälittäjän ilmoitus 
Valiokunta ehdottaa sisältöä muutettavaksi Liikenne- ja viestintävirasto ylläpitää luetteloa verkkotunnusvälittäjistä. Muutosehdotus päättyy (Uusi) 
Verkkotunnusvälittäjän on ilmoitettava Liikenne- ja viestintävirastolle: 
1) nimensä; 
2) osoitteensa, sähköpostiosoitteensa, puhelinnumeronsa ja muut ajantasaiset yhteystietonsa; 
3) päätoimipaikkansa ja muiden Euroopan unionissa sijaitsevien laillisten toimipaikkojensa osoite, tai, jos verkkotunnusvälittäjä ei ole sijoittautunut Euroopan unioniin, sen Euroopan unioniin nimetyn edustajan osoite, sähköpostiosoite, puhelinnumero ja muut ajantasaiset yhteystiedot; 
4) verkkotunnusvälittäjän IP-osoitealueet;  
5) luettelo niistä Euroopan unionin jäsenvaltioista, joissa se tarjoaa palveluita. 
Verkkotunnusvälittäjän on ilmoitettava Liikenne- ja viestintävirastolle viipymättä muutoksista 1 momentissa tarkoitettuihin tietoihin. Muutoksesta on ilmoitettava Liikenne- ja viestintävirastolle kahden viikon kuluessa muutoshetkestä. Muutoksesta mainitun momentin 3 kohdassa tarkoitettuihin tietoihin on kuitenkin ilmoitettava kolmen kuukauden kuluessa muutoshetkestä. Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä tietojen ilmoittamisesta. 
Liikenne- ja viestintäviraston on toimitettava NIS 2 -direktiivin 27 artiklan 4 kohdassa tarkoitetun ilmoituksen tekemiseksi tarpeelliset tiedot verkkotunnusvälittäjien ilmoituksista kyberturvallisuuslain 18 §:ssä tarkoitetulle keskitetylle yhteyspisteelle. 
172 c § 
Verkkotunnusten rekisteröintitiedot 
Aluetunnusrekisterin ylläpitäjän ja verkkotunnusvälittäjän on kerättävä ja ylläpidettävä verkkotunnusten rekisteröintitietoja. Verkkotunnusten rekisteröintitietojen tietokannan tulee sisältää NIS 2 -direktiivin 28 artiklan 2 kohdassa tarkoitetut tiedot verkkotunnuksista.  
Aluetunnusrekisterin ylläpitäjällä ja verkkotunnusvälittäjällä on oltava käytössään toimintaperiaatteet ja menettelyt, joilla varmistetaan, että verkkotunnusten rekisteröintitietojen tietokannan tiedot ovat tarkat ja oikeat. Aluetunnusrekisterin ylläpitäjän ja verkkotunnusvälittäjän on asetettava julkisesti saataville käytössään olevat toimintaperiaatteet ja menettelyt. 
172 d § 
Verkkotunnusten rekisteröintitietojen saatavuus 
Aluetunnusrekisterin ylläpitäjän ja verkkotunnusvälittäjän on asetettava julkisesti saataville ilman aiheetonta viivytystä verkkotunnuksen rekisteröinnin jälkeen muut verkkotunnuksen rekisteröintitiedot kuin henkilötiedot.  
Aluetunnusrekisterin ylläpitäjän ja verkkotunnusvälittäjän on annettava pääsy muihin kuin 1 momentissa tarkoitettuihin verkkotunnusten rekisteröintitietoihin, jos tietoihin pääsyä oikeutetusti pyytävä esittää lainmukaisen ja asianmukaisesti perustellun pyynnön. Aluetunnusrekisterin ylläpitäjän ja verkkotunnusvälittäjän on vastattava verkkotunnusten rekisteröintitietoihin pääsyä koskevaan pyyntöön ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa pyynnön vastaanottamisesta. Aluetunnusrekisterin ylläpitäjän ja verkkotunnusvälittäjän on asetettava julkisesti saataville käytössään olevat toimintaperiaatteet ja menettelyt verkkotunnusten rekisteröintitietojen luovuttamisesta. 
Aluetunnusrekisterin ylläpitäjän ja verkkotunnusvälittäjän on tehtävä yhteistyötä 172 c §:ssä ja tässä pykälässä säädettyjen velvoitteiden toteuttamiseksi ja päällekkäisten rekisteröintitietojen keräämisen välttämiseksi. 
Henkilötietojen suojasta säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänäkuuta 20. Lain 304 §:n 1 momentin 14 kohdan kumoaminen tulee kuitenkin voimaan vasta 1 päivänä kesäkuuta 2026. 
Verkkotunnusvälittäjän puolesta toimivan verkkotunnusten rekisteröintipalveluja tarjoavan tahon on tehtävä sähköisen viestinnän palveluista annetun lain 165 §:n mukainen ilmoitus kolmen kuukauden kuluessa tämän lain voimaantulosta.  
Tämän lain 172 b §:ssä tarkoitettu ilmoitus on tehtävä kolmen kuukauden kuluessa lain voimaantulosta.  
Tämän lain 172 c ja 172 d §:ssä tarkoitetut toimintaperiaatteet ja menettelyt on asetettava julkisesti saataville kolmen kuukauden kuluessa lain voimaantulosta. 
 Lakiehdotus päättyy 

5. Laki sakon täytäntöönpanosta annetun lain 1 §:n muuttamisesta  

Eduskunnan päätöksen mukaisesti  
muutetaan sakon täytäntöönpanosta annetun lain (672/2002) 1 §:n 2 momentin 6Valiokunta ehdottaa sisältöä muutettavaksi 5 Muutosehdotus päättyy kohta, sellaisena kuin se on laissa Valiokunta ehdottaa sisältöä muutettavaksi  /  Muutosehdotus päättyy, sekä 
lisätään 1 §:n 2 momenttiin, sellaisena kuin se on laeissa 416/2025Valiokunta ehdottaa sisältöä muutettavaksi , Muutosehdotus päättyy 860/2025Valiokunta ehdottaa sisältöä muutettavaksi , 979/2025, 1080/2025, 1149/2025, 1379/2025, 18/2026, / ja /  Muutosehdotus päättyy, uusi 6Valiokunta ehdottaa sisältöä muutettavaksi 6 Muutosehdotus päättyy kohta seuraavasti:  
1 §  
Lain soveltamisala 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tässä laissa säädetään seuraavien rangaistusluonteisten hallinnollisten seuraamusten täytäntöönpanosta: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valiokunta ehdottaa sisältöä muutettavaksi 65) nimettyjen toimipaikkojen nimeämistä ja laillisten edustajien nimittämistä koskevista yhdenmukaistetuista säännöistä sähköisten todisteiden keräämiseksi rikosoikeudellisissa menettelyissä annetun lain ( / ) 6 §:ssä tarkoitettu seuraamusmaksu; Muutosehdotus päättyy 
6Valiokunta ehdottaa sisältöä muutettavaksi 6) Muutosehdotus päättyy eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista annetun lain (/) 31—37 §:ssä tarkoitettu seuraamusmaksu. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20
 Lakiehdotus päättyy 
Helsingissä 29.4.2026 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Jouni Ovaska kesk 
 varapuheenjohtaja 
Timo Furuholm vas 
 jäsen 
Pekka Aittakumpu ps 
 jäsen 
Marko Asell sd 
 jäsen 
Seppo Eskelinen sd 
 jäsen 
Petri Huru ps 
 jäsen 
Aleksi Jäntti kok 
 jäsen 
Marko Kilpi kok 
 jäsen 
Mats Löfström 
 jäsen 
Anna-Kristiina Mikkonen sd 
 jäsen 
Jani Mäkelä ps 
 jäsen 
Pinja Perholehto sd 
 varajäsen 
Teemu Kinnari kok 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Juha Perttula