Senast publicerat 04-05-2026 18:41

2025 rd Kommunikationsutskottet Regeringens proposition till riksdagen med förslag till lagstiftning om genomförande av cyberresiliensförordningen

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lagstiftning om genomförande av cyberresiliensförordningen (RP 179/2025 rd): Ärendet har remitterats till kommunikationsutskottet för betänkande.

Sakkunniga

Utskottet har hört

regeringssekreterare Veikko Vauhkonen
kommunikationsministeriet
lagstiftningsråd Veli-Pekka Hautamäki
justitieministeriet
regeringssekreterare Aura Lehtonen
undervisnings- och kulturministeriet
regeringsråd Pauliina Kanerva
arbets- och näringsministeriet
konsultativ tjänsteman Niko Mäkilä
finansministeriet
specialsakkunnig Päivi Timlin
Transport- och kommunikationsverket
jurist Minna Koivula-Kuusela
Energimyndigheten
ledande expert Arttu Malava
Tillstånds- och tillsynsverket
polisinspektör Kimmo Ulkuniemi
Polisstyrelsen
produktsäkerhetschef Jonna Savander
Tullen
ledande expert Pipsa Korkolainen
Säkerhets- och kemikalieverket (Tukes)
professor Kimmo Halunen
Uleåborgs universitet
ledande expert Markku Rajamäki
Finlands näringsliv rf
jurist Janne Hälinen
FiCom rf
expert Risto Rajala
Finnish Information Security Cluster - Kyberala ry, företräder även Teknologiindustrin rf
verkställande direktör Sallamaari Muhonen
Elektrotekniska Handelsförbundet i Finland rf
verksamhetsledare Jaana Pihkala
Upphovsrättens informations- och övervakningscentral rf
ledande expert Juha Ala-Hiiro
Tekniska Handelsförbundet rf
verkställande direktör Jarkko Laine
Tieto- ja viestintätekniikan ammattilaiset TIVIA ry.

Skriftligt yttrande har lämnats av

dataombudsmannens byrå
Europeiska kompetenscentret för motverkande av hybridhot
Rättsregistercentralen
Ackrediteringstjänsten FINAS
Erikoiskaupan liitto Etu ry
Centralhandelskammaren
Puolustus- ja Ilmailuteollisuus PIA ry
Suomen avoimien tietojärjestelmien keskus - COSS ry
Finlands Kommunförbund
professor Tuomas Ojanen.

PROPOSITIONEN

I propositionen föreslås det att det stiftas en ny lag om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering samt att lagen om marknadskontrollen av vissa produkter, cybersäkerhetslagen, lagen om tjänster inom elektronisk kommunikation och lagen om verkställighet av böter ändras.

Syftet med propositionen är att utfärda nationella bestämmelser som kompletterar och preciserar en EU-förordning som gäller cyberresiliens, det vill säga den så kallade cyberresiliensakten eller cyberresiliensförordningen. Cyberresiliensförordningen fastställer övergripande minimikrav på informationssäkerhet för produkter med digitala element, det vill säga utrustning och programvara som kan anslutas till internet eller annan utrustning. De föreslagna bestämmelserna gäller marknadskontroll av cyberresiliensförordningen, anmälan av och tillsyn över organ för bedömning av överensstämmelse samt administrativa påföljder.

Syftet med propositionen är också att komplettera den nationella lagstiftningen om europeiska ordningar för cybersäkerhetscertifiering för tillämpningen av EU:s så kallade cybersäkerhetsakt. De föreslagna bestämmelserna gäller uppgifter och befogenheter för den nationella myndigheten för cybersäkerhetscertifiering samt organ för bedömning av överensstämmelse.

Syftet med propositionen är också att komplettera det nationella genomförandet av EU:s så kallade cybersäkerhetsdirektiv till den del det gäller registreringsuppgifter om domännamn samt registrarer på den miniminivå som förutsätts i direktivet. Kompletteringarna gäller behandling och utlämnande av uppgifter om domännamn.

Transport- och kommunikationsverket åläggs som nya uppgifter marknadskontroll av cyberresiliensförordningen och utnämnande av och tillsyn över organ för bedömning av överensstämmelse. I fråga om AI-system med hög risk är marknadskontrollmyndighet den myndighet som är behörig med stöd av lagen om tillsyn över vissa system för artificiell intelligens. Transport- och kommunikationsverket ska även i fortsättningen vara nationell myndighet för cybersäkerhetscertifiering.

Ett smidigt och effektivt genomförande av cyberresiliensförordningen för att förbättra informationssäkerheten hos enheter och program ingår i de prioriterade åtgärderna i genomförandeplanen för Finlands cybersäkerhetsstrategi. Finlands nya cybersäkerhetsstrategi för åren 2024–2035 har godkänts som ett principbeslut av statsrådet i oktober 2024. Enligt regeringsprogrammet för Petteri Orpos regering stärks samarbetet kring cybersäkerhet mellan myndigheterna och näringslivet, förbättrar regeringen informationssäkerheten inom kritiska sektorer och undviks ytterligare nationell reglering i samband med genomförandet av EU-lagstiftningen.

Lagarna avses huvudsakligen träda i kraft den 1 juni 2026. Till de delar lagarna hänför sig till det nationella genomförandet av EU:s cybersäkerhetsdirektiv avses de dock träda i kraft så snart som möjligt. Det föreslås att tillämpningen av den föreslagna lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering i fråga om vissa bestämmelser tillämpas på graderat sätt på ett sätt som motsvarar början för tillämpningen av cyberresiliensförordningen.

UTSKOTTETS ÖVERVÄGANDEN

(1) Det föreslås att det utfärdas en ny lag om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering. Den nya lagen gäller komplettering och genomförande av EU:s cyberresiliensförordning (EU) 2024/2847 i Finland. Cyberresiliensförordningen fastställer säkerhetskrav för produkter med digitala element, det vill säga utrustning och programvara som kan anslutas till internet eller annan utrustning.

(2) Genom propositionen kompletteras också nationellt bestämmelserna i cybersäkerhetsförordningen (EU) 2019/881 i fråga om uppgifter och befogenheter för den nationella myndigheten för cybersäkerhetscertifiering samt organ för bedömning av överensstämmelse. Genom propositionen verkställs också cybersäkerhetsdirektivet (EU) 2022/2555 (NIS 2-direktivet) nationellt, bland annat i fråga om registrarer och registreringsuppgifter om domännamn.

(3) Syftet med propositionen är bland annat att förbättra cybersäkerheten för produkter som kommer ut på marknaden, såsom digital utrustning och programvara, under hela deras livscykel. Syftet med regleringen är att säkerställa produkternas säkerhet redan i planeringsfasen, att de risker som är förenade med produkterna kan hanteras och att produkternas säkerhet kan övervakas effektivt. Dessutom strävar man efter att förenhetliga regleringen på EU-nivå och förtydliga företagens skyldigheter.

(4) Utskottet välkomnar att den föreslagna regleringen ökar säkerheten och minskar riskerna och anser att regleringen är viktig med tanke på cybersäkerheten i Europa. Enligt erhållen utredning stöder propositionen den inre marknadens funktion och förtroendet för digitala produkter. Samtidigt ökar regleringen dock betydligt de nationella myndigheternas tillsynsuppgifter.

Transport- och kommunikationsverkets resurser

(5) Sakkunniga har i stor utsträckning fäst uppmärksamhet vid att Transport- och kommunikationsverket bör ha tillräckliga resurser och betonat bland annat behovet av rådgivning och handledning för små och medelstora företag och förvaltare av programvara med fri och öppen källkod vid tillämpningen av den nya regleringen.

(6) Enligt utskottets uppgifter har verket tills vidare inte anvisats tilläggsfinansiering för att genomföra uppgifterna i anslutning till genomförandet av cyberresiliensförordningen.

(7) Utskottet betonar att verket behöver ha tillräckliga resurser för skötseln av dess uppgifter och konstaterar utifrån erhållen utredning att tillräckliga resurser för myndighetsverksamheten i anslutning till cyberresiliensförordningen kan bidra till att främja också konkurrenskraften och affärsmöjligheterna för finländska företag. Utskottet inskärper att det krävs tillräckliga myndighetsresurser och tillräcklig tillsyn för att de säkerhetsrelaterade målen för den föreslagna regleringen ska nås.

Förvaltare av programvara med fri och öppen källkod och konkurrenskraft

(8) Sakkunniga har fäst uppmärksamhet vid de föreslagna bestämmelserna om att förvaltare av programvara med fri och öppen källkod kan föreläggas vite. Det har påpekats att bestämmelserna inte förbättrar Finlands konkurrenskraft till exempel vid val av etableringsland. Förslaget i propositionen är en nationell lösning.

(9) Utskottet anser att den oro som framförts är motiverad. Utskottet anser att tillsynen över skyldigheterna för förvaltare av programvara med fri och öppen källkod enligt cyberresiliensförordningen i första hand ska grunda sig på myndighetsrådgivning och -handledning och samarbete med förvaltare av programvara med fri och öppen källkod. Enligt erhållen utredning har Europeiska kommissionen dessutom under riksdagsbehandlingen av propositionen meddelat att cyberresiliensförordningen enligt kommissionens tolkning inte tillåter att medlemsstaterna föreskriver om en ekonomisk påföljd för förvaltare av programvara med fri och öppen källkod på grund av överträdelser av skyldigheterna enligt förordningen.

(10) Utskottet föreslår därför att möjligheten att förelägga vite stryks i lagförslaget.

Registreringsuppgifter om domännamn och identifiering av entiteter

(11) En del sakkunniga har fäst uppmärksamhet vid huruvida propositionen även i praktiken uppfyller kraven och målen i NIS 2-direktivet i fråga om bestämmelserna om register över domännamn. Det påpekades bland annat att anmälningsskyldigheten för registrarer inte är förenad med sanktioner och att anmälan inte är en förutsättning för verksamheten, vilket kan försvåra identifieringen av entiteter och försämra tillsynens effektivitet. Enligt synpunkterna kan propositionen i praktiken möjliggöra anonym verksamhet, vilket försvårar utredningen av brott och övervakningen av upphovsrätten. Dessutom har det konstaterats att Transport- och kommunikationsverket inte till alla delar har ålagts uttryckliga skyldigheter att säkerställa att registeruppgifterna är korrekta. Ett centralt problem enligt sakkunniga var att innehavarna av domännamn bör kunna identifieras på ett tillförlitligt sätt och nås vid behov, och att också bestämmelserna om registrarer ska stödja detta i praktiken.

(12) Utskottet framhåller att det är ytterst viktigt att bekämpa cyberbrottslighet och domänockupation. Det är därför viktigt att innehavarna av domännamn kan identifieras på behörigt sätt och så att de också vid behov kan kontaktas effektivt.

(13) Utskottet anser utifrån inkommen utredning att det i fråga om regleringen på lagnivå i princip är tillräckligt att det i 21 kap. i lagen om tjänster inom elektronisk kommunikation och det nya 21 a kap. i den lagen förutsätts att uppgifter om domännamn, inklusive information för att identifiera och kontakta innehavarna, samlas in i enlighet med artikel 28 i NIS 2-direktivet. Dessutom ska den registeransvarige för domännamnsregistret offentliggöra de policyer och förfaranden som står till dess förfogande för att säkerställa att uppgifterna i databasen för registreringsuppgifter om domännamn är exakta och korrekta. På motsvarande sätt ska registraren enligt den nya 21 a kap. 172 b § till Transport- och kommunikationsverket anmäla bland annat sitt namn, sin adress, sin e-postadress, sitt telefonnummer och andra aktuella kontaktuppgifter. En registrar som är etablerad utanför Europeiska unionen ska anmäla registrarens i Europeiska unionen utsedda företrädarens adress, e-postadress, telefonnummer och andra aktuella kontaktuppgifter.

(14) Bestämmelser om Transport- och kommunikationsverkets skyldighet att utöva tillsyn över efterlevnaden av lagen om tjänster inom elektronisk kommunikation (917/2014) finns i 303 § 1 mom. i den lagen. Enligt utskottets uppgifter lämpar sig bestämmelsen också för tillsyn över och verkställighet av det föreslagna nya 21 a kap. Dessutom kan Transport- och kommunikationsverket med stöd av 330 och 332 § i lagen om tjänster inom elektronisk kommunikation meddela den som bryter mot bestämmelserna i det föreslagna 21 a kap. en anmärkning samt ålägga denne att avhjälpa sitt fel eller sin försummelse genom ett tillsynsbeslut som förenas med vite.

(15) Enligt utskottet är det synnerligen viktigt att också registrarer kan identifieras på behörigt sätt och så att det är möjligt att kontakta också dem snabbt om det behövs. Också för att förebygga olika former av cyberbrottslighet och domänockupation är det viktigt att upprätthålla aktuell och heltäckande information om registrarer och innehavare av domännamn och att aktörerna vid behov kan nås.

(16) Utskottet anser att den föreslagna lagstiftningen uppfyller kraven i den EU-reglering som genomförs genom propositionen. Utskottet föreslår dock ändringar i bestämmelserna om domännamn och registrarer på det sätt som beskrivs närmare i detaljmotiveringen.

(17) Utskottet anser det vara ytterst viktigt att tillämpningen av det nya 21 a kap. och regleringens konsekvenser följs och bedöms omsorgsfullt och noggrant som en helhet. Som en del av bedömningen av hur regleringen fungerar bör det bedömas om det till exempel i fråga om domännamn som registrerats av juridiska personer etablerade i tredjeländer i fortsättningen är nödvändigt att på lagnivå uttryckligen kräva att det i domännamnsregistret för varje domännamn ska antecknas också kontaktuppgifterna till en fysisk person som är kontaktperson för användaren av domännamnet.

(18) Utskottet anser dessutom att det är nödvändigt att man också vid tillämpningen och verkställigheten av lagen aktivt strävar efter att säkerställa att uppgifterna om innehavare av domännamn och registrarer är korrekta och tillräckliga samt att aktörerna är tillgängliga i enlighet med målen och andan i den EU-reglering som ligger till grund för propositionen.

DETALJMOTIVERING

1. Lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering

3 §. Förhållande till annan lagstiftning.

Utskottet gör en teknisk korrigering i 4 mom. genom att till momentet foga författningsnumret i lagen om tillsyn över vissa system för artificiell intelligens (1377/2025).

19 §. Marknadskontrollmyndighetens rätt att utföra inspektioner och ta programvaror för undersökning.

Sakkunniga har fäst uppmärksamhet vid att rätten att utföra inspektioner utsträcker sig till hemfriden i och med att inspektion får utföras i utrymmen som används för boende av permanent natur.

Enligt utredning till utskottet förutsätter cyberresiliensförordningen en inspektionsbefogenhet av den typ som föreslås. Det finns inget nationellt handlingsutrymme i frågan och de krav som ställs enligt grundlagsutskottets utlåtandepraxis har beaktats i förslaget.

Utskottet har därför inte gjort några ändringar i paragrafen och anser utifrån inkommen utredning att de föreslagna bestämmelserna är ändamålsenliga. Utskottet konstaterar dock att 19 § i lagförslag 1 i enskilda tillämpningssituationer i så stor utsträckning som möjligt bör tolkas på ett sätt som främjar de grundläggande fri- och rättigheterna och beaktar grundlagsutskottets utlåtandepraxis.

20 §. Tillsynsbeslut som meddelas en förvaltare av programvara med fri och öppen källkod.

Av de orsaker som anges i övervägandena ovan stryker utskottet propositionens förslag i 2 mom. om att en förvaltare av programvara med fri och öppen källkod kan föreläggas vite.

Utskottet föreslår utifrån inkommen utredning att 1 och 2 mom. ändras så att marknadskontrollmyndigheten kan ålägga en förvaltare av programvara med fri och öppen källkod att inom rimlig tid avhjälpa brister i fullgörandet av dess skyldigheter enligt cyberresiliensförordningen. Dessutom kan marknadskontrollmyndigheten offentliggöra uppgifter om brister som den observerat eller informera om saken, om de brister som upptäckts i verksamheten hos en förvaltare av programvara med fri och öppen källkod eller ett programvaruprojekt med fri och öppen källkod inte avhjälps inom rimlig tid.

Utskottet har också ändrat paragrafrubriken så att den bättre stämmer överens med det nya innehållet.

Utskottet anser det vara ytterst viktigt att man i fortsättningen noggrant följer och utvärderar konsekvenserna av bestämmelserna om förvaltare av programvara med fri och öppen källkod.

2. Lagen om ändring av 1 och 4 § i lagen om marknadskontrollen av vissa produkter

Utskottet ändrar lagförslagets ingress och 1 § 1 mom. för att samordna lagförslaget med de propositioner som samtidigt behandlats i riksdagen. Ändringarna är av teknisk natur.

4. Lagen om ändring av lagen om tjänster inom elektronisk kommunikation

164 §. Transport- och kommunikationsverkets domännamnsverksamhet och förmedling av domännamn.

Under sakkunnigutfrågningen föreslogs det att det till 3 § i lagen om tjänster inom elektronisk kommunikation fogas en definition av registrarer som motsvarar artikel 6.22 i NIS 2-direktivet och som således täcker både registrarer och aktörer som tillhandahåller registreringstjänster för domännamn för registrarers räkning, såsom återförsäljare och leverantörer av integritetsregistreringstjänster och proxyregistreringstjänster, i egenskap av entiteter som tillhandahåller registreringstjänster för domännamn.

Utskottet anser det i sig vara ändamålsenligt att definitionen av en aktör som tillhandahåller registreringstjänster för domännamn enligt NIS 2-direktivet framgår av specialmotiveringen till 164 § 4 mom. och 172 a §.

Utskottet preciserar dock 164 § 4 mom. för att det närmare ska motsvara definitionen av entiteter som erbjuder domännamnsregistreringstjänster i artikel 6.22 i NIS 2-direktivet. Enligt det preciserade 4 mom. tillämpas vad som i 165 §, 170 § 1 mom. 2 och 8–11 punkten samt 171 § föreskrivs om registrarer också på aktörer som tillhandahåller registreringstjänster för domännamn för registrarers räkning, såsom återförsäljare och leverantörer av integritetsregistreringstjänster och proxyregistreringstjänster.

172 a §. Kapitlets tillämpningsområde.

Av de orsaker som anges i detaljmotiveringen till 164 § föreslår utskottet en precisering av 172 a § 3 mom. Enligt den preciserade ordalydelsen i 3 mom. tillämpas vad som i detta kapitel föreskrivs om registrarer också på aktörer som tillhandahåller registreringstjänster för domännamn för registrarers räkning, såsom återförsäljare och leverantörer av integritetsregistreringstjänster och proxyregistreringstjänster.

Sakkunniga har dessutom framfört att definitionen av domännamn kan leda till oklarheter i tolkningen av domännamn som består av tre delar. Utskottet instämmer i att det finns risk för oklarheter i tolkningen och fogar därför ett nytt 4 mom. till 172 a §. Enligt det nya 4 mom. ska det som i kapitlet föreskrivs om domännamn också tillämpas på domännamn som hör till ett toppdomänregister och som har registrerats under en ändelse som består av flera delar.

172 b §. Registrarens anmälan.

Sakkunniga har föreslagit att Transport- och kommunikationsverket i det föreslagna 21 a kap. ska åläggas en skyldighet att i enlighet med artikel 3.3 i NIS 2-direktivet upprätta en förteckning över aktörer som tillhandahåller registreringstjänster för domännamn. Utskottet föreslår att det i nya 1 mom. föreskrivs att Transport- och kommunikationsverket upprättar en förteckning över registrarer, varvid de i propositionen föreslagna 1–3 mom. blir 2–4 mom.

Dessutom har det vid sakkunnighörandet framförts att Transport- och kommunikationsverket i det föreslagna 21 a kap. bör åläggas en skyldighet att dels kräva att de uppgifter som ska lämnas i enlighet med 172 b § kompletteras eller korrigeras, dels vid behov påföra sanktioner. Utskottet anser att de gällande allmänna bestämmelserna om verkets skyldighet att utöva tillsyn över efterlevnaden av lagen och de medel som står till dess förfogande med stöd av de gällande bestämmelserna ger verket tillräckligt handlingsutrymme att ingripa också i problemsituationer enligt 172 b §. Utskottet hänvisar dock till det i de allmänna övervägandena framförda behovet av att i fortsättningen noggrant följa och bedöma tillämpningen och konsekvenserna av de nya bestämmelserna.

5. Lagen om ändring av 1 § i lagen om verkställighet av böter

Utskottet ändrar lagförslagets ingress och 1 § 2 mom. för att samordna lagförslaget med de propositioner som samtidigt behandlats i riksdagen. Ändringarna är av teknisk natur.

FÖRSLAG TILL BESLUT

Kommunikationsutskottets förslag till beslut:

Riksdagen godkänner lagförslag 3 i proposition RP 179/2025 rd utan ändringar. Riksdagen godkänner lagförslag 1, 2, 4 och 5 i proposition RP 179/2025 rd med ändringar. (Utskottets ändringsförslag)

Utskottets ändringsförslag

1. Lag om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering

I enlighet med riksdagens beslut föreskrivs:

1 kap.
Allmänna bestämmelser

1 §
Lagens syfte

Genom denna lag preciseras och kompletteras Europaparlamentets och rådets förordning (EU) 2024/2847 om övergripande cybersäkerhetskrav för produkter med digitala element och om ändring av förordningarna (EU) nr 168/2013 och (EU) 2019/1020 och direktiv (EU) 2020/1828 ( cyberresiliensförordningen ) och dess nationella tillämpning.

Genom denna lag preciseras och kompletteras Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 ( cybersäkerhetsakten ) och dess nationella tillämpning.

2 §
Definitioner

I denna lag avses med

1) produkt med digitala element en programvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data,

2) anmält organ ett i Finland etablerat organ för bedömning av överensstämmelse som utsetts av en finsk myndighet och anmälts till Europeiska kommissionen enligt artikel 43 i cyberresiliensförordningen,

3) distributör en annan sådan fysisk eller juridisk person i leveranskedjan än tillverkaren eller importören, som tillhandahåller en produkt med digitala element på Europeiska unionens marknad utan att påverka dess egenskaper,

4) importör en fysisk eller juridisk person som är etablerad i Europeiska unionen och som på marknaden släpper ut en produkt med digitala element vilken bär namnet på eller varumärket för en fysisk eller juridisk person som är etablerad utanför Europeiska unionen,

5) tillverkare en fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt,

6) tillverkarens representant en fysisk eller juridisk person som är etablerad inom Europeiska unionen och som enligt skriftlig fullmakt från tillverkaren har rätt att i dennes ställe utföra särskilda uppgifter,

7) ekonomisk aktör tillverkaren, tillverkarens representant, importören, distributören eller en annan fysisk eller juridisk person som omfattas av skyldigheter avseende tillverkning av produkter med digitala element eller avseende tillhandahållande av produkter med digitala element på marknaden i enlighet med cyberresiliensförordningen,

8) förvaltare av programvara med fri och öppen källkod en juridisk person, annan än en tillverkare som har till syfte eller som mål att systematiskt och varaktigt tillhandahålla stöd för utvecklingen av specifika produkter med digitala element, vilka klassificeras som programvara med fri och öppen källkod enligt artikel 3.48 i cyberresiliensförordningen och är avsedda för kommersiell verksamhet, och som säkerställer dessa produkters bärkraft,

9) organ för bedömning av överensstämmelse organ som utför bedömningar av överensstämmelse, bland annat kalibrering, provning, certifiering och kontroll,

10) ackreditering en förklaring från ett nationellt ackrediteringsorgan om att ett organ för bedömning av överensstämmelse uppfyller kraven i harmoniserade standarder och, i förekommande fall, eventuella ytterligare krav, bland annat de som fastställs i sektorsspecifika program, för att utföra specifika bedömningar av överensstämmelse,

11) CSIRT-enheten den enhet som avses i 19 § i cybersäkerhetslagen (124/2025),

12) organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering ett organ för bedömning av överensstämmelse som anmälts till Europeiska kommissionen i enlighet med artikel 61 i cybersäkerhetsakten.

3 §
Förhållande till annan lagstiftning

Bestämmelser om en ram för marknadskontrollen, för samarbetet med ekonomiska aktörer och för kontrollen av produkter som förs in på Europeiska unionens marknad finns i Europaparlamentets och rådets förordning (EU) 2019/1020 om marknadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011, nedan marknadskontrollförordningen .

Bestämmelser om marknadskontrollmyndigheternas behörighet, yttre gränskontroll enligt artiklarna 25–28 i marknadskontrollförordningen och sökande av ändring i marknadskontrollmyndighetens beslut finns i lagen om marknadskontrollen av vissa produkter (1137/2016), nedan marknadskontrollagen .

Bestämmelser om konsumentprodukters säkerhet finns i Europaparlamentets och rådets förordning (EU) 2023/988 om allmän produktsäkerhet, ändring av Europaparlamentets och rådets förordning (EU) nr 1025/2012 och Europaparlamentets och rådets direktiv (EU) 2020/1828 och om upphävande av Europaparlamentets och rådets direktiv 2001/95/EG och rådets direktiv 87/357/EEG samt i lagen om konsumentprodukters säkerhet (184/2025).

Bestämmelser om krav på system för artificiell intelligens finns i Europaparlamentets och rådets förordning (EU) 2024/1689 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) och i lagen om tillsyn över vissa system för artificiell intelligens (1377/2025).

Bestämmelser om CSIRT-enhetens uppgifter och behandlingen av andra rapporter om sårbarheter än de som avses i cyberresiliensförordningen finns i cybersäkerhetslagen.

2 kap.
Överensstämmelse och anmälningar

4 §
Överensstämmelse för produkter med digitala element

Bestämmelser om överensstämmelse för produkter med digitala element finns i cyberresiliensförordningen.

5 §
Ej färdigställda produkter

Produkter med digitala element som inte uppfyller kraven i cyberresiliensförordningen får visas eller användas på det sätt som föreskrivs i artikel 4.2 i cyberresiliensförordningen. En ej färdigställd programvara som inte uppfyller kraven i cyberresiliensförordningen får tillhandahållas på marknaden för testning under en begränsad tid enligt vad som föreskrivs i artikel 4.3 i cyberresiliensförordningen.

6 §
Produkter med digitala element vid offentlig upphandling

Vid en upphandling som omfattas av tillämpningsområdet för lagen om offentlig upphandling och koncession (1397/2016), där föremålet för upphandlingen är en produkt med digitala element, ska den upphandlande enheten ta i beaktande vad som i artikel 5.2 i cyberresiliensförordningen föreskrivs om överensstämmelse med kraven och tillverkarens förmåga att ändamålsenligt hantera sårbarheter.

7 §
Tillverkarens anmälningsskyldighet

Bestämmelser om tillverkarens skyldighet att anmäla aktivt utnyttjade sårbarheter i en produkt med digitala element och allvarliga incidenter som påverkar säkerheten för produkten finns i artikel 14 i cyberresiliensförordningen.

Bestämmelser om CSIRT-enhetens skyldighet att efter att ha mottagit en anmälan om en händelse med stöd av artikel 14 i cyberresiliensförordningen anmäla den till marknadskontrollmyndigheten finns i artikel 16.3 i cyberresiliensförordningen.

8 §
Frivillig anmälan

CSIRT-enheten tar emot frivilliga anmälningar enligt artikel 15 i cyberresiliensförordningen om eventuella sårbarheter i en produkt med digitala element, cyberhot, allvarliga incidenter som påverkar säkerheten för en produkt med digitala element och om tillbud.

Oberoende av vad som någon annanstans i lag föreskrivs om myndigheternas rätt att få information, får information som på frivillig basis lämnats ut till CSIRT-enheten enligt artikel 15 i cyberresiliensförordningen inte utan samtycke av den som lämnat ut informationen användas i brottsutredningar eller vid administrativt eller annat beslutsfattande som gäller den som lämnat ut informationen.

9 §
CSIRT-enhetens rätt att lämna ut sekretessbelagd information

Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999) och någon annanstans i lag har CSIRT-enheten rätt att på eget initiativ eller på begäran trots sekretessbestämmelserna och andra begränsningar av utlämnande av information lämna ut eller röja information som den fått med stöd av artikel 14.2, 14.4 och 14.6 i cyberresiliensförordningen eller motsvarande information som den fått med stöd av artikel 15 i den nämnda förordningen, om det behövs för skötseln av de uppgifter som föreskrivs i artiklarna 14–17 i cyberresiliensförordningen

1) till den marknadskontrollmyndighet som avses i 15 och 16 §,

2) till Europeiska unionens cybersäkerhetsbyrå Enisa,

3) till en CSIRT-enhet som utsetts till samordnare i en annan medlemsstat i Europeiska unionen.

CSIRT-enheten får också lämna ut eller röja annan än i 1 mom. avsedd information som den fått vid skötseln av uppgifter enligt cyberresiliensförordningen på det sätt som föreskrivs i 1 mom., om det är nödvändigt för skötseln av de uppgifter som föreskrivs i artiklarna 14–17 i cyberresiliensförordningen.

10 §
Regulatorisk sandlåda för cyberresiliens

Transport- och kommunikationsverket kan fatta beslut om att inrätta en regulatorisk sandlåda för cyberresiliens enligt artikel 33.2 i cyberresiliensförordningen. I beslutet om inrättande av en regulatorisk sandlåda för cyberresiliens ska den regulatoriska sandlådans giltighetstid och plats, lämplig teknisk avgränsning samt dessutom verksamhetsplan och lämpliga föremål för testningen fastställas. I beslutet kan det fastställas sådana villkor för den regulatoriska sandlådan som behövs med tanke på organiseringen av verksamheten eller säkerheten i verksamheten.

Transport- och kommunikationsverket beviljar på ansökan en ekonomisk aktör rätt att bedriva verksamhet i en regulatorisk sandlåda. Ansökan ska innehålla behövliga uppgifter om sökanden och sökandens verksamhet, andra parter som deltar i testningen, föremålet för testningen och testningens ändamål. Rätt beviljas inte, om föremålet för testningen eller den planerade verksamheten inte uppfyller villkoren i beslutet om inrättande av den regulatoriska sandlådan, om testningen orsakar oskälig olägenhet eller fara för andra aktörer eller om den ekonomiska aktören under de tre år som föregår ansökan har påförts en administrativ påföljdsavgift med stöd av denna lag. Rätten kan också vägras, om testningen på grund av de tillgängliga resurserna i den regulatoriska sandlådan inte är möjlig.

Transport- och kommunikationsverket svarar för att informera om inrättandet av en regulatorisk sandlåda i enlighet med artikel 33.2 i cyberresiliensförordningen samt för tillsyn över, vägledning av och stöd för de ekonomiska aktörerna i den regulatoriska sandlådan i samarbete med övriga marknadskontrollmyndigheter.

Närmare bestämmelser om den tekniska organiseringen av och verksamheten hos regulatoriska sandlådor för cyberresiliens samt om ansökan av en ekonomisk aktör får utfärdas genom föreskrift av Transport- och kommunikationsverket.

3 kap.
Anmälda organ

11 §
Anmälande myndighet

Transport- och kommunikationsverket är den anmälande myndighet som avses i artikel 36 i cyberresiliensförordningen ( anmälande myndighet ).

Den anmälande myndigheten utser organ för bedömning av överensstämmelse till anmälda organ, utövar tillsyn över de organ som den har anmält och svarar för andra uppgifter som den anmälande myndigheten föreskrivs i cyberresiliensförordningen. Den anmälande myndigheten svarar för att den information som avses i artiklarna 35.1, 38.1 och 46.2 i cyberresiliensförordningen anmäls till Europeiska kommissionen och de övriga medlemsstaterna i Europeiska unionen.

Bestämmelser om krav på den anmälande myndigheten finns i artikel 37 i cyberresiliensförordningen.

12 §
Ansökan om anmälan

Ett organ för bedömning av överensstämmelse som är etablerat i Finland ska ansöka om anmälan hos den anmälande myndigheten. Till ansökan ska fogas ett av Säkerhets- och kemikalieverkets ackrediteringsenhet ( ackrediteringstjänsten FINAS ) utfärdat ackrediteringsintyg över att organet för bedömning av överensstämmelse uppfyller kraven i cyberresiliensförordningen, samt andra uppgifter som avses i artikel 42 cyberresiliensförordningen. Om organet för bedömning av överensstämmelse ändå inte kan foga något ackrediteringsintyg till ansökan ska det ge den anmälande myndigheten alla uppgifter som behövs för kontroll, erkännande och regelbunden tillsyn av att det uppfyller kraven i cyberresiliensförordningen.

13 §
Utseende av ett anmält organ samt begränsning eller återkallelse av ett utseende

Den anmälande myndigheten utser på ansökan ett organ för bedömning av överensstämmelse till anmält organ, om det uppfyller kraven enligt cyberresiliensförordningen.

I beslutet om utseende anges behörighetsområdet för det anmälda organet för bedömning av överensstämmelse, fastställs arrangemangen för tillsynen över organet och uppställs vid behov sådana krav, begränsningar och villkor för organets verksamhet med hjälp av vilka det säkerställs att uppgifterna utförs korrekt.

Bestämmelser om begränsning och återkallelse av utseenden finns i artikel 45 i cyberresiliensförordningen.

På personer anställda vid ett anmält organ eller ett dotterbolag eller en underleverantör som organet använder tillämpas bestämmelserna om straffrättsligt tjänsteansvar när personen utför uppgifter som avses i cyberresiliensförordningen. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).

14 §
Den anmälande myndighetens och anmälda organs rätt att lämna ut sekretessbelagd information

Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet och någon annanstans i lag får den anmälande myndigheten på eget initiativ eller på begäran trots sekretessbestämmelserna och andra begränsningar av utlämnande av information lämna ut eller röja en handling eller information som den fått eller upprättat och som gäller grunderna för anmälan av ett organ för bedömning av överensstämmelse och dess övriga kompetens till Europeiska kommissionen och andra medlemsstater i Europeiska unionen, om det behövs för att fullgöra den anmälande myndighetens skyldigheter enligt cyberresiliensförordningen.

Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet och någon annanstans i lag får ett anmält organ på eget initiativ eller på begäran trots sekretessbestämmelserna och andra begränsningar av utlämnande av information lämna ut eller röja en handling eller information som den fått eller upprättat och som gäller bedömning av överensstämmelse och resultaten av kontroller till Europeiska kommissionen, medlemsstater i Europeiska unionen och andra anmälda organ, om det behövs för att fullgöra det anmälda organets skyldigheter enligt cyberresiliensförordningen.

4 kap.
Marknadskontroll

15 §
Marknadskontrollmyndighet

Marknadskontrollmyndighet enligt artikel 52 i cyberresiliensförordningen är Transport- och kommunikationsverket.

16 §
Marknadskontroll av AI-system med hög risk

Med avvikelse från 15 § är den tillsynsmyndighet som är behörig med stöd av 3 § i lagen om tillsyn över vissa system för artificiell intelligens marknadskontrollmyndighet för sådana AI-system med hög risk som avses i artikel 6 i Europaparlamentets och rådets förordning (EU) 2024/1689 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) och som omfattas av tillämpningsområdet för cyberresiliensförordningen.

17 §
Expertstöd för marknadskontroll

Transport- och kommunikationsverket kan på begäran ge expertstöd som gäller marknadskontroll, bedömning av överensstämmelse och bedömning av cybersäkerhetsrisker enligt cyberresiliensförordningen till de marknadskontrollmyndigheter som avses i 16 § samt till den som är behörig att påföra påföljdsavgifter enligt 6 kap. Bestämmelser om samarbete mellan marknadskontrollmyndigheter finns i marknadskontrollagen.

18 §
Marknadskontrollmyndighetens rätt att lämna ut sekretessbelagd information

Vad som i 11 och 13 § i marknadskontrollagen föreskrivs om rätten att trots sekretessbestämmelserna lämna ut uppgifter tillämpas också på uppgifter om överensstämmelse, säkerhetsarrangemang och sårbarhet i fråga om produkter med digitala element och på uppgifter om incidenter som påverkar säkerheten. Marknadskontrollmyndigheten kan lämna ut uppgifter på eget initiativ eller på begäran.

Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet och någon annanstans i lag har marknadskontrollmyndigheten rätt att på eget initiativ eller på begäran trots sekretessbestämmelserna och andra begränsningar av utlämnande av information lämna ut en handling som den fått eller upprättat i samband med skötseln av dess uppgifter till samt att röja sekretessbelagd information för

1) ackrediteringstjänsten FINAS och den anmälande myndigheten, om utlämnandet av information är nödvändigt för att bedöma kompetensen hos organ för bedömning av överensstämmelse,

2) den myndighet som avses i 21 § eller motsvarande myndighet i en annan medlemsstat i Europeiska unionen, om utlämnandet av information är nödvändigt för att myndigheten i fråga ska kunna utföra sina tillsynsuppgifter,

3) den tillsynsmyndighet som avses i 26 § i cybersäkerhetslagen och 18 h § i lagen om informationshantering inom den offentliga förvaltningen (906/2019), Finansinspektionen eller motsvarande myndighet i en annan medlemsstat i Europeiska unionen, om en produkt med digitala element med fog kan bedömas utgöra en betydande cybersäkerhetsrisk på grund av icke-tekniska riskfaktorer och utlämnandet av information är nödvändigt för fullgörandet av anmälningsskyldigheten enligt artikel 54.2 i cyberresiliensförordningen,

4) Europeiska unionens cybersäkerhetsbyrå Enisa och CSIRT-enheten, om det är nödvändigt för att fullgöra en samarbetsskyldighet eller genomföra rådgivning eller en utredning enligt artiklarna 52.4, 52.5 och 54.1 i cyberresiliensförordningen eller för att utföra de uppgifter som CSIRT-enheten ska utföra enligt cybersäkerhetslagen,

5) dataombudsmannen, om utlämnandet av information är nödvändigt för skötseln av dess lagstadgade tillsynsuppgifter,

6) Europeiska kommissionen, Konkurrens- och konsumentverket och den nationella konkurrensmyndigheten i en annan medlemsstat i Europeiska unionen, om det är nödvändigt för att ge information som är av betydelse för tillämpningen av Europeiska unionens konkurrensrätt för att fullgöra skyldigheten enligt artikel 52.13 i cyberresiliensförordningen.

Transport- och kommunikationsverket och den som begär expertstöd enligt 17 § har trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att till varandra lämna ut handlingar som de fått eller upprättat i samband med skötseln av sina uppgifter samt att för varandra röja sekretessbelagd information, om det är nödvändigt för att ge expertstöd.

19 §
Marknadskontrollmyndighetens rätt att utföra inspektioner och ta programvaror för undersökning

Utöver vad som föreskrivs i 9 § 1 mom. i marknadskontrollagen får inspektioner också utföras i utrymmen som används för boende av permanent natur och som en ekonomisk aktör använder för ändamål som rör dess närings- eller yrkesverksamhet. I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda de omständigheter som är föremål för inspektion och om det finns motiverade och specificerade skäl att misstänka att det har skett eller sker en sådan överträdelse av bestämmelserna i cyberresiliensförordningen eller bestämmelser som utfärdats med stöd av den att påföljden kan vara påföljdsavgift enligt denna lag. Dessutom förutsätts det att den misstänkta överträdelsen gäller bristande överensstämmelse hos en produkt med digitala element eller en process i anslutning till den eller att det är fråga om en i artikel 57 i cyberresiliensförordningen avsedd situation där produkten annars utgör en betydande cybersäkerhetsrisk.

Bestämmelser om marknadskontrollmyndighetens rätt att ta produkter för undersökning finns i marknadskontrollagen. Ekonomiska aktörer betalas ingen ersättning för programvaror som tas för undersökning.

20 §
Utskottet föreslår en ändring Tillsyn över Slut på ändringsförslaget förvaltare av programvara med fri och öppen källkod

Marknadskontrollmyndigheten kan ge en förvaltare av programvara med fri och öppen källkod anvisningar om skyldigheterna enligt cyberresiliensförordningen samt föreslå praktiska förbättringar i innehållet eller arrangemangen i ett programvaruprojekt med öppen källkod som drivs av en förvaltare av programvara.

Marknadskontrollmyndigheten kan ålägga en förvaltare av programvara med fri och öppen källkod att inom rimlig tid avhjälpa brister i fullgörandet av skyldigheterna enligt cyberresiliensförordningen. Marknadskontrollmyndigheten kan offentliggöra uppgifter om brister som den observerat eller informera om saken, om de brister som observerats inte avhjälps inom rimlig tid.

5 kap.
Cybersäkerhetscertifiering

21 §
Nationell myndighet för cybersäkerhetscertifiering

Den nationella myndighet för cybersäkerhetscertifiering som avses i artikel 58 i cybersäkerhetsakten ( myndighet för cybersäkerhetscertifiering ) är Transport- och kommunikationsverket.

Transport- och kommunikationsverkets uppgifter i samband med utfärdande av europeiska cybersäkerhetscertifikat ska avskiljas från tillsynsverksamheten enligt artikel 58 i cybersäkerhetsakten och det ska säkerställas att dessa funktioner utförs oberoende av varandra.

22 §
Anmälan och bemyndigande av organ för bedömning av överensstämmelse för cybersäkerhetscertifiering

Bestämmelser om uppgifterna för myndigheten för cybersäkerhetscertifiering i anslutning till bemyndigande av organ för bedömning av överensstämmelse för cybersäkerhetscertifiering finns i artikel 60.3 i cybersäkerhetsakten och bestämmelser om anmälan av organ för bedömning av överensstämmelse som ackrediterats för cybersäkerhetscertifiering till Europeiska kommissionen finns i artikel 61 i cybersäkerhetsakten. Om den europeiska ordning för cybersäkerhetscertifiering som tillämpas förutsätter det, förutsätts för anmälan ett bemyndigande av myndigheten för cybersäkerhetscertifiering. Myndigheten för cybersäkerhetscertifiering utövar tillsyn över de organ för bedömning av överensstämmelse som den anmält för cybersäkerhetscertifiering.

Förutsättningen för anmälan och bemyndigande för cybersäkerhetscertifiering är att ackrediteringstjänsten FINAS över den ackreditering som avses i artikel 60.1 i cybersäkerhetsakten har beviljat organet för bedömning av överensstämmelse ett ackrediteringsintyg över att organet för bedömning av överensstämmelse uppfyller kraven i cybersäkerhetsakten.

23 §
Skyldigheter för organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering

Ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering ska utföra bedömningar av överensstämmelse på det sätts som förutsätts i förfarandena för bedömning av överensstämmelse enligt cybersäkerhetsakten och de bestämmelser som utfärdats med stöd av den. Dessutom ska ett organ för bedömning av överensstämmelse utföra övriga uppgifter som föreskrivs i cybersäkerhetsakten och de bestämmelser som utfärdats med stöd av den.

Ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering ska till myndigheten för cybersäkerhetscertifiering anmäla alla ändringar som påverkar uppfyllandet av förutsättningarna för anmälan eller bemyndigande.

På en person anställd vid ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering eller ett dotterbolag eller en underleverantör som organet använder tillämpas bestämmelserna om straffrättsligt tjänsteansvar när personen sköter uppgifter som avses i cybersäkerhetsakten och i denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen.

24 §
Överföring av uppgifter i anslutning till utfärdande av cybersäkerhetscertifikat

Myndigheten för cybersäkerhetscertifiering får i fråga om en viss europeisk ordning för cybersäkerhetscertifiering överföra uppgifter i anslutning till utfärdande av europeiska cybersäkerhetscertifikat på hög assuransnivå enligt artikel 52.7 i cybersäkerhetsakten till ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering

1) i de fall som avses i artikel 56.6 a i cybersäkerhetsakten så att myndigheten för cybersäkerhetscertifiering på förhand godkänner utfärdande av varje enskilt europeiskt cybersäkerhetscertifikat, eller

2) i de fall som avses i artikel 56.6 b i cybersäkerhetsakten på ett allmänt plan så att organet för bedömning av överensstämmelse utfärdar ett cybersäkerhetscertifikat utan separat godkännande från myndigheten för cybersäkerhetscertifiering.

I avtalet med ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering ska åtminstone följande avtalas om:

1) uppgifterna för organet för bedömning av överensstämmelse,

2) behövliga särskilda krav som ställs på kompetensen hos organet för bedömning av överensstämmelse och säkerheten i organets verksamhet,

3) avtalsperioden, inledandet av verksamheten och avslutande av avtalet under avtalsperioden,

4) förvaring och arkivering av handlingar i anslutning till verksamheten hos organet för bedömning av överensstämmelse,

5) påföljder för brister och försummelser i verksamheten hos organet för bedömning av överensstämmelse.

Myndigheten för cybersäkerhetscertifiering får säga upp eller häva avtalet, om ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering inte längre uppfyller kraven för det eller om organet väsentligt försummar fullgörandet av de uppgifter som överenskommits om i avtalet eller annars bryter mot avtalet eller väsentligen eller upprepade gånger handlar lagstridigt.

25 §
Rätt att få information och utföra inspektioner för myndigheten för cybersäkerhetscertifiering

Myndigheten för cybersäkerhetscertifiering har trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att av organ för bedömning av överensstämmelse, innehavare av europeiska cybersäkerhetscertifikat och i artikel 53.2 i cybersäkerhetsakten avsedda utfärdare av EU-försäkringar om överensstämmelse få den information som är nödvändig för skötseln av dess uppgifter enligt denna lag och cybersäkerhetsakten och för tillsynen över efterlevnaden av cybersäkerhetsakten, bestämmelser som utfärdats med stöd av den och denna lag. Informationen ska lämnas utan obefogat dröjsmål, i den form som myndigheten begär och avgiftsfritt.

Myndigheten för cybersäkerhetscertifiering har rätt att göra inspektioner som gäller organ för bedömning av överensstämmelse, innehavare av europeiska cybersäkerhetscertifikat eller utfärdare av EU-försäkringar om överensstämmelse för att övervaka att cybersäkerhetsakten, de bestämmelser som utfärdats med stöd av den och denna lag iakttas. Vid inspektionerna ska bestämmelserna i 39 § i förvaltningslagen (434/2003) iakttas.

Myndigheten för cybersäkerhetscertifiering har rätt att anlita en oberoende expert för inspektionen. Den som förrättar inspektionen och den som deltar i inspektionen ska ha sådan utbildning och erfarenhet som behövs för inspektionen. På oberoende experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter som avses i denna paragraf. Bestämmelser om skadeståndsansvar finns i skadeståndslagen.

Myndigheten för cybersäkerhetscertifiering och oberoende experter har när de utför inspektionen rätt att få tillträde till alla lokaler där verksamhet som avses i cybersäkerhetsakten bedrivs samt till alla lokaler och informationssystem där uppgifter som är av betydelse för tillsynen förvaras eller behandlas. Inspektioner får emellertid inte utföras i utrymmen som används för boende av permanent natur.

26 §
Rätt för myndigheten för cybersäkerhetscertifiering att lämna ut sekretessbelagd information

Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet och någon annanstans i lag har myndigheten för cybersäkerhetscertifiering rätt att på eget initiativ eller på begäran trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information lämna ut en handling som den fått eller upprättat i samband med skötseln av uppgifterna enligt denna lag eller cybersäkerhetsakten till samt röja sekretessbelagd information för

1) den marknadskontrollmyndighet som avses i 4 § i marknadskontrollagen och Säkerhets- och kemikalieverkets ackrediteringsenhet eller det nationella ackrediteringsorganet i en annan medlemsstat i Europeiska unionen, om utlämnandet av informationen är nödvändigt för att myndigheten i fråga ska kunna utföra sina uppgifter,

2) andra nationella myndigheter för cybersäkerhetscertifiering och andra medlemmar i Europeiska gruppen för cybersäkerhetscertifiering och Europeiska unionens cybersäkerhetsbyrå Enisa och Europeiska kommissionen, om det är nödvändigt för att fullgöra en skyldighet som myndigheten för cybersäkerhetscertifiering har enligt cybersäkerhetsakten eller med stöd av den,

3) den tillsynsmyndighet som avses i 26 § i cybersäkerhetslagen och 18 h § i lagen om informationshantering inom den offentliga förvaltningen, Finansinspektionen och CSIRT-enheten, om det är fråga om information om att en IKT-produkt, IKT-tjänst eller IKT-process eller en informationssäkerhetstjänst inte motsvarar kraven enligt cybersäkerhetsakten eller den europeiska ordningen för cybersäkerhetscertifiering samt information om sårbarheter som gäller en sådan produkt, tjänst eller process eller informationssäkerhetstjänst, och om utlämnandet är nödvändigt för skötseln av deras lagstadgade uppgifter.

27 §
Tillsynsbeslut

Myndigheten för cybersäkerhetscertifiering kan ålägga ett organ för bedömning av överensstämmelse, innehavaren av ett europeiskt cybersäkerhetscertifikat eller en utfärdare av EU-försäkringar om överensstämmelse att inom utsatt tid avhjälpa brister i fullgörandet av dess skyldigheter enligt denna lag eller cybersäkerhetsakten eller bestämmelser som utfärdats med stöd av den.

Myndigheten för cybersäkerhetscertifiering kan förena ett beslut som den har fattat med stöd av denna paragraf med vite eller hot om att den verksamhet som strider mot skyldigheterna avbryts eller att den försummade åtgärden vidtas på bekostnad av organet för bedömning av överensstämmelse, innehavaren av ett europeiskt cybersäkerhetscertifikat eller utfärdaren av EU-försäkringar om överensstämmelse.

28 §
Återkallande av cybersäkerhetscertifikat

Myndigheten för cybersäkerhetscertifiering kan återkalla ett europeiskt cybersäkerhetscertifikat som den har utfärdat eller som i enlighet med artikel 56.6 i cybersäkerhetsakten har utfärdats av ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering, om cybersäkerhetscertifikatet inte uppfyller kraven enligt cybersäkerhetsakten eller kraven för den europeiska ordningen för cybersäkerhetscertifiering i fråga eller om innehavaren av cybersäkerhetscertifikatet inte lämnar myndigheten för cybersäkerhetscertifiering den i 25 § 1 mom. avsedda information som myndigheten begär och bristen eller försummelsen inte avhjälps inom en skälig tid.

29 §
Avbrytande, begränsning eller återkallande av bemyndigande för eller anmälan av ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering

Om inte något annat följer av vad som föreskrivs med stöd av cybersäkerhetsakten, ska myndigheten för cybersäkerhetscertifiering vid behov återkalla, avbryta eller begränsa ett bemyndigande för ett organ för bedömning av överensstämmelse enligt artikel 60.3 i cybersäkerhetsakten och en anmälan enligt artikel 61.1 i cybersäkerhetsakten samt lämna in en begäran om att stryka ett organ för bedömning av överensstämmelse från förteckningen i enlighet med artikel 61.4 i cybersäkerhetsakten, om ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering inte har avhjälpt brister i sin verksamhet inom den tidsfrist som fastställts med stöd av 27 § och det är fråga om en väsentlig överträdelse eller försummelse eller om organet inte uppfyller de föreskrivna kraven eller om dess ackreditering begränsas, återkallas eller avbryts.

Om ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering har avslutat sin verksamhet eller om den stryks från Europeiska kommissionens förteckning, ska myndigheten för cybersäkerhetscertifiering vidta lämpliga åtgärder för att säkerställa att organets handlingar handläggs av ett annat organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering eller att handlingarna finns tillgängliga för myndigheten för cybersäkerhetscertifiering och de myndigheter som svarar för marknadskontrollen.

30 §
Handräckning av polisen

Polisen är skyldig att ge myndigheten för cybersäkerhetscertifiering handräckning för tillsynen över efterlevnaden och verkställigheten av denna lag och cybersäkerhetsakten och de skyldigheter som föreskrivs med stöd av den.

Bestämmelser om handräckning av polisen finns i polislagen (872/2011).

6 kap.
Påföljdsavgifter

31 §
Påföljdsavgift för tillverkare

En administrativ påföljdsavgift kan påföras en tillverkare som uppsåtligen eller av oaktsamhet

1) i strid med artikel 13.1 i cyberresiliensförordningen släpper ut en produkt med digitala element på marknaden utan att säkerställa att produkten har utformats, utvecklats och producerats i enlighet med de väsentliga cybersäkerhetskrav som fastställs i del I i bilaga I till cyberresiliensförordningen,

2) försummar att göra en bedömning av cybersäkerhetsrisker enligt artikel 13.2 i cyberresiliensförordningen eller att beakta resultaten av bedömningen,

3) försummar skyldigheten enligt artikel 13.3 i cyberresiliensförordningen att dokumentera bedömningen av cybersäkerhetsrisker eller försummar att uppdatera den,

4) försummar skyldigheten enligt artikel 13.4 i cyberresiliensförordningen att inkludera bedömningen av cybersäkerhetsrisker i den tekniska dokumentationen,

5) försummar skyldigheten enligt artikel 13.7 i cyberresiliensförordningen att dokumentera cybersäkerhetsaspekter eller försummar att uppdatera bedömningen av cybersäkerhetsrisker enligt den nämnda punkten,

6) integrerar komponenter som kommer från en tredje part i produkten på något annat sätt än i enlighet med artikel 13.5 i cyberresiliensförordningen eller försummar skyldigheten enligt artikel 13.6 i cyberresiliensförordningen att rapportera en sårbarhet i en integrerad komponent till den som tillverkar eller underhåller komponenten, att åtgärda eller avhjälpa sårbarheten eller försummar skyldigheten att dela information enligt den nämnda artikeln,

7) fastställer en stödperiod i strid med artikel 13.8 i cyberresiliensförordningen eller underlåter att meddela att stödperioden tar slut på det sätt som föreskrivs i artikel 13.19 i cyberresiliensförordningen,

8) försummar skyldigheten enligt artikel 13.8 i cyberresiliensförordningen att hantera sårbarheter effektivt och i enlighet med de väsentliga cybersäkerhetskrav som fastställs i del II i bilaga I till cyberresiliensförordningen under stödperioden,

9) försummar att säkerställa att säkerhetsuppdateringar som under stödperioden har gjorts tillgängliga för användarna förblir tillgängliga under den tidsperiod som föreskrivs i artikel 13.9 i cyberresiliensförordningen,

10) säkerställer efterlevnaden av det väsentliga cybersäkerhetskrav som avses i artikel 13.10 i cyberresiliensförordningen endast för den version som tillverkaren senast släppte ut på marknaden, om användningen av versionen inte är kostnadsfri för användarna eller medför ytterligare kostnader för dem i strid med den nämnda punkten,

11) försummar att upprätta den tekniska dokumentation som avses i artikel 31 i cyberresiliensförordningen innan en produkt med digitala element släpps ut på marknaden eller upprättar den tekniska dokumentationen i strid med artiklarna 31.1–31.4 eller 33.5 i cyberresiliensförordningen,

12) försummar skyldigheten enligt artikel 13.12 andra stycket i cyberresiliensförordningen att genomföra eller låta genomföra valda förfaranden för bedömning av överensstämmelse enligt artikel 32.1–32.5 i cyberresiliensförordningen,

13) försummar att upprätta en EU-försäkran om överensstämmelse i enlighet med artikel 28 i cyberresiliensförordningen eller försummar att fästa en CE-märkning på produkten enligt artikel 30 i cyberresiliensförordningen, när det genom ett förfarande för bedömning av överensstämmelse har visats att produkten uppfyller de väsentliga cybersäkerhetskrav som avses i artikel 13.12 tredje stycket i cyberresiliensförordningen,

14) försummar att hålla den tekniska dokumentationen om produkten och EU-försäkran om överensstämmelse tillgänglig för marknadskontrollmyndigheten under den tidsperiod som föreskrivs i artikel 13.13 i cyberresiliensförordningen,

15) försummar att använda de förfaranden eller ta hänsyn till de förändringar som avses i artikel 13.14 i cyberresiliensförordningen,

16) försummar att förse produkten, dess förpackning eller ett dokument som åtföljer med produkten med den identifieringsmärkning som avses i artikel 13.15 i cyberresiliensförordningen, den information som avses i artikel 13.16 i cyberresiliensförordningen eller den information som avses i artikel 13.17 andra stycket i cyberresiliensförordningen,

17) försummar att utse en i artikel 13.17 första stycket i cyberresiliensförordningen avsedd gemensam kontaktpunkt eller i strid med artikel 13.17 tredje stycket i cyberresiliensförordningen begränsar användarens kommunikationsmedel enbart till automatiserade verktyg,

18) försummar skyldigheten enligt artikel 13.18 i cyberresiliensförordningen att säkerställa att en produkt med digitala element åtföljs av den information och de instruktioner som ska ges användaren på det i den punkten avsedda sättet och som fastställs i bilaga II till den nämnda förordningen eller försummar att säkerställa att informationen och instruktionerna förblir tillgängliga för användarna och marknadskontrollmyndigheten under den tidsperiod som föreskrivs i artikel 13.18 i cyberresiliensförordningen,

19) försummar skyldigheten enligt artikel 13.20 i cyberresiliensförordningen att lämna in en kopia av EU-försäkran om överensstämmelse eller en förenklad EU-försäkran om överensstämmelse med produkten,

20) underlåter att vidta de korrigerande åtgärder som behövs i en situation som avses i artikel 13.21 i cyberresiliensförordningen,

21) försummar skyldigheten enligt artikel 13.22 i cyberresiliensförordningen att lämna information eller handlingar till marknadskontrollmyndigheten eller att samarbeta,

22) försummar skyldigheten enligt artikel 13.23 i cyberresiliensförordningen att underrätta om upphörande av verksamheten,

23) försummar skyldigheten enligt artikel 14.1 i cyberresiliensförordningen att anmäla aktivt utnyttjade sårbarheter i en produkt med digitala element eller försummar att i anmälan eller slutrapporten inkludera de uppgifter som avses i artikel 14.2,

24) försummar skyldigheten enligt artikel 14.3 i cyberresiliensförordningen att anmäla allvarliga incidenter som påverkar säkerheten för en produkt med digitala element eller försummar att lämna uppgifter enligt artikel 14.4,

25) försummar att lämna CSIRT-enheten de uppgifter som avses i artikel 14.6 i cyberresiliensförordningen, när CSIRT-enheten har begärt att tillverkaren lämnar en delrapport,

26) försummar skyldigheten enligt artikel 14.8 i cyberresiliensförordningen att underrätta drabbade användare av en produkt med digitala element och vid behov alla användare om en aktivt utnyttjad sårbarhet eller en allvarlig incident som påverkar säkerheten för produkten med digitala element.

En administrativ påföljdsavgift kan på de grunder som anges i 1 mom. påföras någon annan aktör än tillverkaren, om aktören med stöd av artikel 21 eller 22 i cyberresiliensförordningen svarar för tillverkarens skyldigheter.

32 §
Påföljdsavgift för tillverkarens representant

En administrativ påföljdsavgift kan påföras tillverkarens representant, om representanten uppsåtligen eller av oaktsamhet

1) försummar att säkerställa att EU-försäkran om överensstämmelse och den tekniska dokumentationen finns tillgängliga för marknadskontrollmyndigheten under den tidsperiod som anges i artikel 18.3 a i cyberresiliensförordningen,

2) försummar att på begäran ge marknadskontrollmyndigheten de uppgifter som avses i det inledande stycket till artikel 18.3 i cyberresiliensförordningen eller de handlingar och uppgifter som avses i artikel 18.3 b eller att samarbeta i enlighet med artikel 18.3 c i cyberresiliensförordningen,

3) på något annat sätt än de som avses i 1 och 2 punkten försummar en uppgift som omfattas av den fullmakt som tillverkarens representant har fått av tillverkaren och som med stöd av cyberresiliensförordningen hör till tillverkarens skyldigheter.

33 §

Påföljdsavgift för importörer

En administrativ påföljdsavgift kan påföras en importör som uppsåtligen eller av oaktsamhet

1) släpper ut en produkt med digitala element på marknaden i strid med artikel 19.1–19.3 i cyberresiliensförordningen,

2) försummar att göra en anmälan till tillverkaren eller marknadskontrollmyndigheten när importören är skyldig att göra det med stöd av artikel 19.3 i cyberresiliensförordningen,

3) försummar att ange de uppgifter som avses i artikel 19.4 i cyberresiliensförordningen på det sätt som föreskrivs i den punkten,

4) försummar att vidta de åtgärder som avses i artikel 19.5 första stycket i cyberresiliensförordningen eller försummar att göra en underrättelse till tillverkaren och marknadskontrollmyndigheten enligt andra stycket i den nämnda punkten i cyberresiliensförordningen,

5) försummar att hålla en kopia av EU-försäkran om överensstämmelse tillgänglig för marknadskontrollmyndigheten eller säkerställa att marknadskontrollmyndigheten på begäran kan få tillgång till den tekniska dokumentationen under den tid som föreskrivs i artikel 19.6 i cyberresiliensförordningen,

6) försummar att på begäran ge marknadskontrollmyndigheten den information som avses i artikel 19.7 i cyberresiliensförordningen.

34 §
Påföljdsavgift för distributörer

En administrativ påföljdsavgift kan påföras en distributör som uppsåtligen eller av oaktsamhet

1) tillhandahåller en produkt med digitala element på marknaden i strid med artikel 20.1–20.3 i cyberresiliensförordningen,

2) försummar att vidta de åtgärder som avses i artikel 20.4 första stycket i cyberresiliensförordningen eller försummar att göra en underrättelse till tillverkaren och marknadskontrollmyndigheten enligt andra stycket i den nämnda punkten i cyberresiliensförordningen,

3) försummar att på motiverad begäran av marknadskontrollmyndigheten ge marknadskontrollmyndigheten den information och dokumentation som avses i artikel 20.5 i cyberresiliensförordningen,

4) försummar att ge marknadskontrollmyndigheten den underrättelse som avses i artikel 20.6 i cyberresiliensförordningen.

35 §
Påföljdsavgift för anmälda organ

En administrativ påföljdsavgift kan påföras ett anmält organ som uppsåtligen eller av oaktsamhet

1) agerar som anmält organ utan att uppfylla kraven i artikel 39 i cyberresiliensförordningen,

2) använder dotterbolag eller lägger ut uppgifter på underentreprenad på något annat sätt än i enlighet med artikel 41 i cyberresiliensförordningen,

3) utför en bedömning av överensstämmelse på något annat sätt än i enlighet med det förfarande som föreskrivs i artikel 47 i cyberresiliensförordningen eller försummar den skyldighet som föreskrivs i den nämnda artikeln,

4) försummar att underrätta den anmälande myndigheten om de omständigheter som avses i artikel 49.1 i cyberresiliensförordningen eller att i enlighet med artikel 49.2 informera andra anmälda organ om de omständigheter som avses i den nämnda punkten.

36 §
Andra påföljdsavgifter i anslutning till cyberresiliensförordningen

En administrativ påföljdsavgift kan påföras en ekonomisk aktör som uppsåtligen eller av oaktsamhet

1) försummar att på begäran lämna marknadskontrollmyndigheten den information som avses i artikel 23 i cyberresiliensförordningen, när den ekonomiska aktören är skyldig att lämna informationen,

2) fäster en CE-märkning på produkten på något annat sätt än i enlighet med artikel 30 i cyberresiliensförordningen,

3) försummar att på begäran ge marknadskontrollmyndigheten tillgång till de data som avses i artikel 53 i cyberresiliensförordningen, när de behövs för att bedöma om en produkt med digitala element och de processer som införts av tillverkaren uppfyller de väsentliga cybersäkerhetskraven enligt bilaga I till cyberresiliensförordningen,

4) lämnar ett anmält organ eller marknadskontrollmyndigheten information som är felaktig, bristfällig eller vilseledande och som är av betydelse för skötseln av en uppgift som avses i denna lag eller i cyberresiliensförordningen.

37 §
Påföljdsavgift som gäller cybersäkerhetscertifiering

En administrativ påföljdsavgift kan påföras den som uppsåtligen eller av oaktsamhet

1) utfärdar en sådan EU-försäkran om överensstämmelse som avses i artikel 53.2 i cybersäkerhetsakten trots att IKT-produkterna, IKT-tjänsterna eller IKT-processerna eller de utlokaliserade säkerhetstjänsterna inte uppfyller kraven enligt den europeiska ordningen för cybersäkerhetscertifiering i fråga,

2) försummar att ge myndigheten för cybersäkerhetscertifiering den information som avses i artikel 53.3 i cybersäkerhetsakten eller försummar att lämna in en kopia av EU-försäkran om överensstämmelse till myndigheten för cybersäkerhetscertifiering och Europeiska unionens cybersäkerhetsbyrå,

3) bryter mot de villkor för en europeisk ordning för cybersäkerhetscertifiering som avses i artikel 54.1 k i cybersäkerhetsakten,

4) försummar att offentliggöra den information som avses i artikel 55.1 i cybersäkerhetsakten på det sätt som föreskrivs i artikel 55.2 i cybersäkerhetsakten,

5) lämnar myndigheten för cybersäkerhetscertifiering eller ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering information som är felaktig, bristfällig eller vilseledande och som är av betydelse för skötseln av en uppgift som avses i denna lag eller i cybersäkerhetsakten,

6) försummar att lämna information enligt artikel 56.8 i cybersäkerhetsakten,

7) använder ett europeiskt cybersäkerhetscertifikat som har återkallats eller vars giltighetstid har löpt ut.

38 §
Påföljdsavgiftens belopp

En administrativ påföljdsavgift som med stöd av 31 § 1 mom. påförs en tillverkare är högst 15 000 000 euro eller två och en halv procent av företagets globala omsättning under den föregående räkenskapsperioden, beroende på vilken siffra som är högst.

En administrativ påföljdsavgift som påförs med stöd av 31 § 2 mom., 32–35 § eller 36 § 1–3 punkten är högst 10 000 000 euro eller två procent av företagets globala omsättning under den föregående räkenskapsperioden, beroende på vilken siffra som är högst.

En administrativ påföljdsavgift som påförs med stöd av 36 § 4 punkten är högst 5 000 000 euro eller en procent av företagets globala omsättning under den föregående räkenskapsperioden, beroende på vilken siffra som är högst.

En påföljdsavgift som påförs med stöd av 37 § är högst 100 000 euro.

Påföljdsavgiftens belopp ska baseras på en samlad bedömning. Vid bedömningen av påföljdsavgiftens belopp ska hänsyn tas till förfarandets art, allvar och varaktighet samt om det har upprepats, den skada som överträdelsen orsakat och aktörens storlek samt aktörens eventuella tidigare överträdelser som omfattas av denna lag. När påföljdsavgifter fastställs för överträdelser av cyberresiliensförordningen ska dessutom artikel 64.5 i cyberresiliensförordningen tas i beaktande.

39 §
Påförande av påföljdsavgift

De administrativa påföljdsavgifter som avses i 31–34 och 36 § påförs av marknadskontrollmyndigheten. När marknadskontrollmyndighet är den marknadskontrollmyndighet som avses i 3 § i lagen om tillsyn över vissa system för artificiell intelligens, påförs den administrativa påföljdsavgiften i den ordning som föreskrivs i 13 § i den lagen.

Den administrativa påföljdsavgift som avses i 35 § påförs av den anmälande myndigheten.

Den administrativa påföljdsavgift som avses i 37 § påförs av myndigheten för cybersäkerhetscertifiering.

Den myndighet som påför den administrativa påföljdsavgiften har trots sekretessbestämmelserna rätt att avgiftsfritt av ekonomiska aktörer och andra myndigheter få den information som är nödvändig för påförande av påföljdsavgiften eller för beräkning av dess belopp.

40 §
Avstående från påförande av påföljdsavgift

Påföljdsavgift påförs inte, om

1) aktören på eget initiativ vidtagit tillräckliga åtgärder för att avhjälpa överträdelsen eller försummelsen omedelbart efter att den upptäckts och utan dröjsmål underrättat tillsynsmyndigheten om den samt samarbetat med tillsynsmyndigheten, och överträdelsen eller försummelsen inte är allvarlig eller återkommande,

2) överträdelsen eller försummelsen ska anses vara ringa, eller

3) påförande av påföljdsavgift ska anses vara uppenbart oskäligt på andra grunder än de som avses i 1 eller 2 punkten.

Påföljdsavgift får inte påföras, om det har förflutit mer än fem år sedan överträdelsen eller försummelsen har skett. Om överträdelsen eller försummelsen har varit fortlöpande räknas tiden från det att överträdelsen eller försummelsen har upphört.

Påföljdsavgift får inte påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom. Den som har påförts påföljdsavgift enligt 31–36 § för en överträdelse som gäller cybersäkerhetscertifiering får inte påföras påföljdsavgift enligt 37 §.

Statliga myndigheter, statliga affärsverk, välfärdsområden eller välfärdssammanslutningar, kommunala myndigheter, självständiga offentligrättsliga inrättningar, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland eller ortodoxa kyrkan i Finland eller de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ får inte påföras påföljdsavgift.

En tillverkare som är ett mikroföretag eller litet företag enligt kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag får inte påföras påföljdsavgift på den grunden att företaget har överskridit tidsfristen för förhandsanmälan enligt artikel 14.2 a eller artikel 14.4 a i cyberresiliensförordningen.

Påföljdsavgift får inte påföras en förvaltare av programvara med fri och öppen källkod.

41 §
Verkställighet av påföljdsavgift

Bestämmelser om verkställighet av påföljdsavgifter som påförts med stöd av denna lag finns i lagen om verkställighet av böter (672/2002).

7 kap.
Särskilda bestämmelser

42 §
Begäran om omprövning

Omprövning får begäras i ett beslut av ett anmält organ, i ett beslut av ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering och i ett beslut som gäller en avgift som tas ut för en myndighetsprestation. Bestämmelser om begäran om omprövning finns i förvaltningslagen.

43 §
Ändringssökande

Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019).

Ett beslut av marknadskontrollmyndigheten som gäller annat än påförande av påföljdsavgift får verkställas trots ändringssökande.

Den anmälande myndigheten kan bestämma att ett beslut om utseende till anmält organ eller om begränsning eller återkallande av ett utseende ska iakttas trots ändringssökande.

Myndigheten för cybersäkerhetscertifiering kan i sitt beslut som gäller annat än påförande av påföljdsavgift bestämma att beslutet ska iakttas trots ändringssökande.

I ett sådant beslut som fattats med anledning av en begäran om omprövning och som fattats av ett anmält organ eller ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering och som gäller korrigerande åtgärder som krävs av tillverkaren av en produkt med digitala element eller innehavaren av ett europeiskt cybersäkerhetscertifikat, eller som gäller återkallande av ett intyg om överensstämmelse eller ett europeiskt cybersäkerhetscertifikat för en produkt med digitala element kan det bestämmas att beslutet ska iakttas trots ändringssökande.

Vid sökande av ändring i beslut som gäller föreläggande och utdömande av vite samt föreläggande och verkställighet av hot om tvångsutförande eller hot om avbrytande tillämpas dock viteslagen (1113/1990).

44 §
Avgifter

Bestämmelser om de allmänna grunderna för när myndigheters prestationer ska vara avgiftsbelagda och för storleken av de avgifter som uppbärs för prestationerna och om övriga grunder för avgifterna finns i lagen om grunderna för avgifter till staten (150/1992).

45 §
Ikraftträdande

Denna lag träder i kraft den 20 .

Bestämmelserna i 3 kap. och 35 § tillämpas dock först från och med den 11 juni 2026.

Bestämmelserna i 7–9 § och 31 § 1 mom. 23–26 punkten tillämpas dock först från och med den 11 september 2026.

Bestämmelserna i 4–6 §, 31 § 1 mom. 1–22 punkten, 32–34 § och 36 § tillämpas dock först från och med den 11 december 2027.

2. Lag om ändring av 1 och 4 § i lagen om marknadskontrollen av vissa produkter

I enlighet med riksdagens beslut

ändras i lagen om marknadskontrollen av vissa produkter (1137/2016) 1 § 1 mom. 34 punkten och 4 § 4 mom.,

sådana de lyder, 1 § 1 mom. 34 punkten i lag / och 4 § 4 mom. i lag 103/2023, och

fogas till 1 § 1 mom., sådant det lyder i lagarna 186/2025, 1378/2025 och / , en ny 35 punkt som följer:

1 §
Tillämpningsområde

Denna lag tillämpas på marknadskontrollen av de produkter som omfattas av tillämpningsområdet för följande lagar, om inte något annat föreskrivs i de lagar som nämns:

34) lagen om skydd av geografiska beteckningar för hantverks- och industriprodukter ( / ),

35) lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering ( / ).

4 §
Tillsynsmyndigheter

Med avvikelse från 1 mom. är Transport- och kommunikationsverket marknadskontrollmyndighet enligt denna lag när det gäller produkter som avses i luftfartslagen, fordonslagen, 24 a § 3 mom. i miljöskyddslagen, lagen om säkerhet och utsläppskrav för fritidsbåtar, lagen om tjänster inom elektronisk kommunikation, lagen om marin utrustning och lagen om tillgänglighetskrav för vissa produkter. Transport- och kommunikationsverket är marknadskontrollmyndighet enligt denna lag också när det gäller produkter som avses i lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering, om inte något annat föreskrivs i den lagen.

Denna lag träder i kraft den 20 .

3. Lag om ändring av 20 och 28 § i cybersäkerhetslagen

I enlighet med riksdagens beslut

ändras i cybersäkerhetslagen (124/2025) 20 § 1 mom. 9 punkten och 28 § 4 mom., av dem 28 § 4 mom. sådant det lyder i lag 369/2025, och

fogas till 20 § 1 mom. en ny 10 punkt som följer:

20 §
CSIRT-enhetens uppgifter

CSIRT-enheten har till uppgift att

9) ge anvisningar och rekommendationer om hantering av incidenter, krishantering inom cybersäkerheten och samordnad delgivning av information om sårbarheter,

10) ta emot och behandla anmälningar enligt artiklarna 14 och 15 i Europaparlamentets och rådets förordning (EU) 2024/2847 om övergripande cybersäkerhetskrav för produkter med digitala element och om ändring av förordningarna (EU) nr 168/2013 och (EU) 2019/1020 och direktiv (EU) 2020/1828 (cyberresiliensförordningen) och svara för övriga uppgifter som ankommer på CSIRT-enheten enligt den nämnda förordningen och lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering ( / ).

28 §
Rätt att få information

Tillsynsmyndigheten har trots sekretessbestämmelserna, skyldigheten att iaktta sekretess enligt 2 mom. och andra begränsningar som gäller utlämnande av information rätt att lämna ut handlingar som den fått eller utarbetat i samband med skötseln av sina uppgifter enligt denna lag samt att röja sekretessbelagd information för en annan tillsynsmyndighet, en CSIRT-enhet och en tillsynsmyndighet enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft samt Finansinspektionen, om det är nödvändigt för en uppgift som i denna lag eller i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft föreskrivits för myndigheten eller för uppgiften som behörig myndighet enligt 50 p § 1 och 2 mom. i lagen om Finansinspektionen (878/2008). Utnyttjandet av rätten att få information eller utlämnandet av information får inte begränsa skyddet av förtroliga meddelanden eller integritetsskyddet mer än vad som är nödvändigt.

Denna lag träder i kraft den 20 .

4. Lag om ändring av lagen om tjänster inom elektronisk kommunikation

I enlighet med riksdagens beslut

upphävs i lagen om tjänster inom elektronisk kommunikation (917/2014) 304 § 1 mom. 14 punkten, sådan den lyder i lag 1211/2022,

ändras 3 § 35 punkten, rubriken för 21 kap. och 164 § 2 mom., av dem 164 § 2 mom. sådant det lyder i lag 1003/2018, och

fogas till 3 §, sådan den lyder delvis ändrad i lagarna 456/2016, 52/2019, 1207/2020, 1211/2022, 105/2023 och 661/2024, en ny 35 a punkt, till 164 §, sådan den lyder i lag 1003/2018, ett nytt 4 mom. och till lagen ett nytt 21 a kap. som följer:

3 §
Definitioner

I denna lag avses med

35) domännamn en adress på internet på andra nivån i form av ett namn som består av bokstäver, siffror eller andra tecken eller en kombination av dem,

35 a) den som förvaltar ett toppdomänregister en part som har delegerats en specifik toppdomän och som ansvarar för administrationen av den, inbegripet registreringen av domännamn under den och den tekniska driften av den,

21 kap.
Domännamn för Finland och Åland

164 §
Transport- och kommunikationsverkets domännamnsverksamhet och förmedling av domännamn

Endast registrarer som har lämnat in en anmälan enligt 165 § får göra registreringar i domännamnsregistret. Transport- och kommunikationsverket får emellertid för domännamnsförvaltningens behov avgiftsfritt registrera domännamn som består av endast ett tecken samt andra domännamn. Transport- och kommunikationsverket får också göra andra anteckningar i domännamnsregistret som behövs för att genomföra denna lag.

Vad som i 165 §, 170 § 1 mom. 2 och 8–11 punkten samt 171 § föreskrivs om registrarer, tillämpas också på aktörer som tillhandahåller registreringstjänster för domännamn för registrarers räkning, såsom återförsäljare och leverantörer av integritetsregistreringstjänster och proxyregistreringstjänster.

21 a kap.
Andra domännamn

172 a §
Kapitlets tillämpningsområde

Detta kapitel tillämpas på andra domännamn än domännamn under toppdomänen för Finland och toppdomänen för Åland och förmedling av dessa domännamn.

Detta kapitel tillämpas på registrarer och de som förvaltar ett toppdomänregister, om deras huvudsakliga etableringsställe eller deras utsedda företrädare i Europeiska unionen finns i Finland. Om en registrar inte är etablerad i en medlemsstat i Europeiska unionen men tillhandahåller sina tjänster i Finland eller inom en annan medlemsstat i Europeiska unionen, ska den utse en i artikel 26.3 i NIS 2-direktivet avsedd företrädare för Europeiska unionens medlemsstater. Detta kapitel tillämpas också på en registrar som inte är etablerad i en medlemsstat i Europeiska unionen eller inte har utsett en i artikel 26.3 i NIS 2-direktivet avsedd utsedd företrädare och som tillhandahåller tjänster i Finland.

Vad som i detta kapitel föreskrivs om registrarer, tillämpas också på aktörer som tillhandahåller registreringstjänster för domännamn för registrarers räkning, såsom återförsäljare och leverantörer av integritetsregistreringstjänster och proxyregistreringstjänster.

Vad som i detta kapitel föreskrivs om domännamn tillämpas också på domännamn som hör till ett toppdomänregister och som har registrerats under en ändelse som består av flera delar. (Nytt)

172 b §
Registrarens anmälan

Transport- och kommunikationsverket upprättar en förteckning över registrarer. (Nytt)

En registrar ska till Transport- och kommunikationsverket anmäla

1) sitt namn,

2) sin adress, sin e-postadress, sitt telefonnummer och andra aktuella kontaktuppgifter,

3) adress till sitt huvudsakliga etableringsställe och andra rättsligt giltiga etableringsställen i Europeiska unionen eller, om registraren inte är etablerad i Europeiska unionen, adress, e-postadress, telefonnummer och annan aktuell kontaktinformation till registrarens utsedda företrädare i Europeiska unionen,

4) registrarens IP-adressintervaller,

5) en förteckning över de medlemsstater i Europeiska unionen där registraren tillhandahåller tjänster.

Registraren ska utan dröjsmål underrätta Transport- och kommunikationsverket om förändringar i de uppgifter som avses i 1 mom. Transport- och kommunikationsverket ska underrättas om förändringar inom två veckor från tidpunkten för förändringen. Om förändringar i de uppgifter som avses i 1 mom. 3 punkten ska dock underrättas inom tre månader från tidpunkten för förändringen. Transport- och kommunikationsverket kan meddela närmare föreskrifter om hur uppgifterna ska lämnas.

Transport- och kommunikationsverket ska lämna den gemensamma kontaktpunkt som avses i 18 § i cybersäkerhetslagen de uppgifter om registrarernas anmälningar som behövs för att göra en anmälan enligt artikel 27.4 i NIS 2-direktivet.

172 c §
Registreringsuppgifter om domännamn

De som förvaltar ett toppdomänregister och registrarer ska samla in och föra en förteckning över registreringsuppgifter om domännamn. En databas över registreringsuppgifter om domännamn ska innehålla de uppgifter om domännamn som avses i artikel 28.2 i NIS 2-direktivet.

De som förvaltar ett toppdomänregister och registrarer ska ha riktlinjer och förfaranden för att säkerställa att uppgifterna i en databas över registreringsuppgifter om domännamn är exakta och korrekta. De som förvaltar ett toppdomänregister och registrarer ska göra de riktlinjer och förfaranden som de tillämpar offentligt tillgängliga.

172 d §
Tillgång till registreringsuppgifter om domännamn

De som förvaltar ett toppdomänregister och registrarer ska utan obefogat dröjsmål efter registreringen av ett domännamn göra andra registreringsuppgifter om domännamn än personuppgifter offentligt tillgängliga.

De som förvaltar ett toppdomänregister och registrarer ska ge tillgång till andra registreringsuppgifter om domännamn än de som avses i 1 mom., om den som legitimt begär tillgång till uppgifterna framställer en laglig och på tillbörligt sätt motiverad begäran. De som förvaltar ett toppdomänregister och registrarer ska besvara en begäran om tillgång till registreringsuppgifter om domännamn utan obefogat dröjsmål och senast inom 72 timmar från mottagandet av begäran. De som förvaltar ett toppdomänregister och registrarer ska göra sina riktlinjer och förfaranden för utlämnande av registreringsuppgifter om domännamn offentligt tillgängliga.

De som förvaltar ett toppdomänregister och registrarer ska samarbeta för att fullgöra de skyldigheter som föreskrivs i 172 c § och i denna paragraf och för att undvika insamling av överlappande registreringsuppgifter.

Bestämmelser om skydd för personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen.

Denna lag träder i kraft den 20 . Upphävandet av 304 § 1 mom. 14 punkten träder dock i kraft först den 1 juni 2026.

En aktör som tillhandahåller registreringstjänster för domännamn för en registrars räkning ska göra den anmälan som avses i 165 § i lagen om tjänster inom elektronisk kommunikation inom tre månader från ikraftträdandet av denna lag.

Den anmälan som avses i 172 b § i denna lag ska göras inom tre månader från ikraftträdandet av denna lag.

De riktlinjer och förfaranden som avses i 172 c och 172 d § i denna lag ska göras offentligt tillgängliga inom tre månader från ikraftträdandet av denna lag.

5. Lag om ändring av 1 § i lagen om verkställighet av böter

I enlighet med riksdagens beslut

ändras i lagen om verkställighet av böter (672/2002) 1 § 2 mom. 65 punkten, sådan den lyder i lag / , och

fogas till 1 § 2 mom., sådant det lyder i lagarna 416/2025, 860/2025, 979/2025, 1080/2025, 1149/2025, 1379/2025, 18/2026, / och / , en ny 66 punkt som följer:

1 §
Lagens tillämpningsområde

Denna lag innehåller bestämmelser om verkställighet av följande administrativa påföljder av straffkaraktär:

65) en påföljdsavgift enligt 6 § i lagen om fastställande av harmoniserade regler för att utse utsedda verksamhetsställen och rättsliga ombud för insamling av elektroniska bevis i straffrättsliga förfaranden ( / ),

66) en påföljdsavgift enligt 31–37 § i lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering ( / ).

Denna lag träder i kraft den 20 .

Helsingfors 29.4.2026

I den avgörande behandlingen deltog

ordförande

Jouni Ovaska cent

vice ordförande

Timo Furuholm vänst

medlem

Pekka Aittakumpu saf

medlem

Marko Asell sd

medlem

Seppo Eskelinen sd

medlem

Petri Huru saf

medlem

Aleksi Jäntti saml

medlem

Marko Kilpi saml

medlem

Mats Löfström sv

medlem

Anna-Kristiina Mikkonen sd

medlem

Jani Mäkelä saf

medlem

Pinja Perholehto sd

ersättare

Teemu Kinnari saml.

Sekreterare var

utskottsråd

Juha Perttula.

Kakinställningar

KoUB 6/2026 rd // <![CDATA[ _spBodyOnLoadFunctionNames.push("setupPageDescriptionCallout"); // ]]>

Betänkande KoUB 6/2026 rd RP 179/2025 rd Kommunikationsutskottet Regeringens proposition till riksdagen med förslag till lagstiftning om genomförande av cyberresiliensförordningen

INLEDNING

Remiss

Sakkunniga

PROPOSITIONEN

UTSKOTTETS ÖVERVÄGANDEN

Transport- och kommunikationsverkets resurser

Förvaltare av programvara med fri och öppen källkod och konkurrenskraft

Registreringsuppgifter om domännamn och identifiering av entiteter

DETALJMOTIVERING

1. Lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering

2. Lagen om ändring av 1 och 4 § i lagen om marknadskontrollen av vissa produkter

4. Lagen om ändring av lagen om tjänster inom elektronisk kommunikation

5. Lagen om ändring av 1 § i lagen om verkställighet av böter

FÖRSLAG TILL BESLUT

Utskottets ändringsförslag

1. Lag om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering

1 kap. Allmänna bestämmelser

1 § Lagens syfte

2 § Definitioner

3 § Förhållande till annan lagstiftning

2 kap. Överensstämmelse och anmälningar

4 § Överensstämmelse för produkter med digitala element

5 § Ej färdigställda produkter

6 § Produkter med digitala element vid offentlig upphandling

7 § Tillverkarens anmälningsskyldighet

8 § Frivillig anmälan

9 § CSIRT-enhetens rätt att lämna ut sekretessbelagd information

10 § Regulatorisk sandlåda för cyberresiliens

3 kap. Anmälda organ

11 § Anmälande myndighet

12 § Ansökan om anmälan

13 § Utseende av ett anmält organ samt begränsning eller återkallelse av ett utseende

14 § Den anmälande myndighetens och anmälda organs rätt att lämna ut sekretessbelagd information

4 kap. Marknadskontroll

15 § Marknadskontrollmyndighet

16 § Marknadskontroll av AI-system med hög risk

17 § Expertstöd för marknadskontroll

18 § Marknadskontrollmyndighetens rätt att lämna ut sekretessbelagd information

19 § Marknadskontrollmyndighetens rätt att utföra inspektioner och ta programvaror för undersökning

20 § Utskottet föreslår en ändring Tillsyn över Slut på ändringsförslaget förvaltare av programvara med fri och öppen källkod

5 kap. Cybersäkerhetscertifiering

21 § Nationell myndighet för cybersäkerhetscertifiering

22 § Anmälan och bemyndigande av organ för bedömning av överensstämmelse för cybersäkerhetscertifiering

23 § Skyldigheter för organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering

24 § Överföring av uppgifter i anslutning till utfärdande av cybersäkerhetscertifikat

25 § Rätt att få information och utföra inspektioner för myndigheten för cybersäkerhetscertifiering

26 § Rätt för myndigheten för cybersäkerhetscertifiering att lämna ut sekretessbelagd information

27 § Tillsynsbeslut

28 § Återkallande av cybersäkerhetscertifikat

29 § Avbrytande, begränsning eller återkallande av bemyndigande för eller anmälan av ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering

30 § Handräckning av polisen

6 kap. Påföljdsavgifter

31 § Påföljdsavgift för tillverkare

32 § Påföljdsavgift för tillverkarens representant

33 §

34 § Påföljdsavgift för distributörer

35 § Påföljdsavgift för anmälda organ

36 § Andra påföljdsavgifter i anslutning till cyberresiliensförordningen

37 § Påföljdsavgift som gäller cybersäkerhetscertifiering

38 § Påföljdsavgiftens belopp

39 § Påförande av påföljdsavgift

40 § Avstående från påförande av påföljdsavgift

41 § Verkställighet av påföljdsavgift

7 kap. Särskilda bestämmelser

42 § Begäran om omprövning

43 § Ändringssökande

44 § Avgifter

45 § Ikraftträdande

2. Lag om ändring av 1 och 4 § i lagen om marknadskontrollen av vissa produkter

1 § Tillämpningsområde

4 § Tillsynsmyndigheter

3. Lag om ändring av 20 och 28 § i cybersäkerhetslagen

20 § CSIRT-enhetens uppgifter

28 § Rätt att få information

4. Lag om ändring av lagen om tjänster inom elektronisk kommunikation

3 § Definitioner

21 kap. Domännamn för Finland och Åland

KoUB 6/2026 rd

1 kap.
Allmänna bestämmelser

1 §
Lagens syfte

2 §
Definitioner

3 §
Förhållande till annan lagstiftning

2 kap.
Överensstämmelse och anmälningar

4 §
Överensstämmelse för produkter med digitala element

5 §
Ej färdigställda produkter

6 §
Produkter med digitala element vid offentlig upphandling

7 §
Tillverkarens anmälningsskyldighet

8 §
Frivillig anmälan

9 §
CSIRT-enhetens rätt att lämna ut sekretessbelagd information

10 §
Regulatorisk sandlåda för cyberresiliens

3 kap.
Anmälda organ

11 §
Anmälande myndighet

12 §
Ansökan om anmälan

13 §
Utseende av ett anmält organ samt begränsning eller återkallelse av ett utseende

14 §
Den anmälande myndighetens och anmälda organs rätt att lämna ut sekretessbelagd information

4 kap.
Marknadskontroll

15 §
Marknadskontrollmyndighet

16 §
Marknadskontroll av AI-system med hög risk

17 §
Expertstöd för marknadskontroll

18 §
Marknadskontrollmyndighetens rätt att lämna ut sekretessbelagd information

19 §
Marknadskontrollmyndighetens rätt att utföra inspektioner och ta programvaror för undersökning

20 §
Utskottet föreslår en ändring Tillsyn över Slut på ändringsförslaget förvaltare av programvara med fri och öppen källkod

5 kap.
Cybersäkerhetscertifiering

21 §
Nationell myndighet för cybersäkerhetscertifiering

22 §
Anmälan och bemyndigande av organ för bedömning av överensstämmelse för cybersäkerhetscertifiering

23 §
Skyldigheter för organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering

24 §
Överföring av uppgifter i anslutning till utfärdande av cybersäkerhetscertifikat

25 §
Rätt att få information och utföra inspektioner för myndigheten för cybersäkerhetscertifiering

26 §
Rätt för myndigheten för cybersäkerhetscertifiering att lämna ut sekretessbelagd information

27 §
Tillsynsbeslut

28 §
Återkallande av cybersäkerhetscertifikat

29 §
Avbrytande, begränsning eller återkallande av bemyndigande för eller anmälan av ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering

30 §
Handräckning av polisen

6 kap.
Påföljdsavgifter

31 §
Påföljdsavgift för tillverkare

32 §
Påföljdsavgift för tillverkarens representant

34 §
Påföljdsavgift för distributörer

35 §
Påföljdsavgift för anmälda organ

36 §
Andra påföljdsavgifter i anslutning till cyberresiliensförordningen

37 §
Påföljdsavgift som gäller cybersäkerhetscertifiering

38 §
Påföljdsavgiftens belopp

39 §
Påförande av påföljdsavgift

40 §
Avstående från påförande av påföljdsavgift

41 §
Verkställighet av påföljdsavgift

7 kap.
Särskilda bestämmelser

42 §
Begäran om omprövning

43 §
Ändringssökande

44 §
Avgifter

45 §
Ikraftträdande

1 §
Tillämpningsområde

4 §
Tillsynsmyndigheter

20 §
CSIRT-enhetens uppgifter

28 §
Rätt att få information

3 §
Definitioner

21 kap.
Domännamn för Finland och Åland

164 §
Transport- och kommunikationsverkets domännamnsverksamhet och förmedling av domännamn

21 a kap.
Andra domännamn

172 a §
Kapitlets tillämpningsområde

172 b §
Registrarens anmälan

172 c §
Registreringsuppgifter om domännamn

172 d §
Tillgång till registreringsuppgifter om domännamn

1 §
Lagens tillämpningsområde