1.1  Bakgrund

Bakgrunden till beredningen av propositionen utgörs av Europaparlamentets och rådets förordning (EU) 2024/2847 av den 23 oktober 2024 om övergripande cybersäkerhetskrav för produkter med digitala element och om ändring av förordningarna (EU) nr 168/2013 och (EU) 2019/1020 och direktiv (EU) 2020/1828 (cyberresiliensförordningen). Förordningen har trätt i kraft den 10 december 2024 och tillämpningen av den börjar under åren 2026–2027, dock i huvudsak den 11 december 2027. Genom denna förordning föreslås de nationella bestämmelser som behövs för att tillämpa förordningen.  

Bakgrunden till förslaget utgörs av utvecklingen inom cyberresiliensförordningen, som har lett till att enheter och programvaror allt oftare utsätts för cyberattacker. Cyberattackerna orsakar avsevärda kostnader såväl för dem som attackerats som för utomstående, till exempel genom att personuppgifterna äventyras. Utmaningen med produkterna är en låg datasäkerhetsnivå, sårbarheter och brister i dataskyddsuppdateringarna samt bristfällig kunskap om produkternas säkerhetsegenskaper och begränsad tillgång till information om dessa. Målet med förordningen är att ingripa i dessa utmaningar och säkerställa att hårdvaru- och programvaruprodukter som släpps ut på marknaden har färre sårbarheter och att tillverkarna tar säkerheten på allvar under produktens hela livscykel och att användarna ska kunna ta hänsyn till cybersäkerheten när de väljer och använder produkter med digitala element.  

Inom Europeiska unionen eller på nationell nivå i Finland finns det inte sedan tidigare något övergripande regelverk som fastställer cybersäkerhetskrav för alla produkter med digitala element.  

Beredningen av propositionen har därtill berott på det i myndighetsverksamheten observerade behovet av nationell kompletterande reglering för att kunna tillämpa Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 i uppgifterna för den nationella myndigheten för cybersäkerhetscertifiering. Denna uppgift har i Finland tilldelats Transport- och kommunikationsverket i lagen om tjänster inom elektronisk kommunikation (917/2014). Bestämmelserna om certifieringsramverket för cybersäkerhet i cybersäkerhetsakten har blivit tillämpliga i huvudsak i juni 2021. Tillämpningen av cyberresiliensförordningen förutspås öka myndighetsuppgifterna i anknytning till cybersäkerhetscertifieringen jämfört med nuläget. 

Finlands cybersäkerhetsstrategi har uppdaterats i enlighet med regeringsprogrammet för statsminister Orpos regering så att det motsvarar den förändrade verksamhetsmiljön. Finlands nya cybersäkerhetsstrategi för åren 2024–2035 godkändes som ett principbeslut av statsrådet den 10 oktober 2024. Efter att cybersäkerhetsstrategin har godkänts har man berett en genomförandeplan för den, där utvecklingsåtgärder fastställs för att uppnå målen med strategin. Ett smidigt och effektivt genomförande av cyberresiliensförordningen för att förbättra informationssäkerheten hos enheter och programvaror ingår i de prioriterade åtgärderna i genomförandeplanen för Finlands förnyade cybersäkerhetsstrategi.  

1.2  Beredning

2.1  Cyberresiliensförordningen

2.2  Cybersäkerhetsakten

2.3  Registrarer

Europeiska unionens cybersäkerhetsdirektiv, det vill säga Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148, nedan NIS 2-direktivet, har som mål att stärka nivån på EU:s gemensamma och medlemsstaternas nationella cybersäkerhet i fråga om sektorer och typer av entiteter som är centrala för samhällets funktion. Medlemsstaterna åläggs att fastställa skyldigheter för de aktörer som omfattas av direktivets tillämpningsområde i fråga om riskhantering som gäller cybersäkerhet och om anmälning av betydande cybersäkerhetsincidenter. Dessutom innehåller direktivet bestämmelser om medlemsstaternas skyldighet att anta nationella strategier för cybersäkerhet och att inrätta behöriga myndigheter, myndigheter för hantering av cyberkriser, gemensamma kontaktpunkter för cybersäkerhet och enheter för hantering av it-säkerhetsincidenter (Computer security incident response team, nedan CSIRT-enhet ). Dessutom innehåller direktivet bestämmelser om databasen för registreringsuppgifter om domännamn.  

NIS 2-direktivets centrala innehåll beskrivs mer ingående i avsnitt 2 i regeringens proposition RP 57/2024 rd. I detta sammanhang behandlas de centrala bestämmelserna om registrarer i NIS 2-direktivet.  

I artikel 6.22 i NIS 2-direktivet föreskrivs att en ”entitet som tillhandahåller domännamnsregistreringstjänster” avser en registrar eller ett ombud för en registreringsenhet, såsom återförsäljare och leverantörer av integritetsregistreringstjänster och proxyregistreringstjänster. Entiteter som tillhandahåller domännamnsregistreringstjänster är inte väsentliga entiteter enligt artikel 3 i direktivet, på vilka de skyldigheter som gäller riskhantering avseende cybersäkerhet eller anmälning av betydande incidenter enligt artiklarna 21 och 23 i direktivet inte ska tillämpas. Reglering kring entiteter som tillhandahåller domännamnsregistreringstjänster ingår i artikel 3.3 och 3.4, artikel 27 och artikel 28 i direktivet.  

Enligt artikel 3.3 i NIS 2-direktivet ska medlemsstaterna upprätta en förteckning över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster. Enligt samma punkt ska medlemsstaterna regelbundet och minst vartannat år därefter se över förteckningen och när det är lämpligt uppdatera den. Enligt artikel 3.4 i NIS 2-direktivet ska medlemsstaterna vid upprättandet av den förteckning som avses i punkt 3 ålägga de entiteter som avses i den punkten att lämna viss information till de behöriga myndigheterna. Dessutom ska entiteterna anmäla alla ändringar i sådana uppgifter utan dröjsmål och i varje fall inom två veckor från ändringsdagen. 

Med stöd av artikel 27.2 och artikel 27.3 i NIS 2-direktivet ska en medlemsstat förutsätta att vissa aktörer, inbegripet entiteter som tillhandahåller domännamnsregistreringstjänster, ska överlämna de uppgifter som avses i punkten till den behöriga myndigheten i medlemsstaten. Medlemsstaterna ska säkerställa att entiteterna till den behöriga myndigheten anmäler alla ändringar i uppgifter som de ska lämna i enlighet med 2 punkten utan dröjsmål och i varje fall inom tre månader från ändringsdagen.  

Artikel 28 i NIS 2-direktivet innehåller bestämmelser om databasen med registreringsuppgifter för domännamn. Med stöd av artikel 1 ska medlemsstaterna för att bidra till domännamnssystemets säkerhet, stabilitet och motståndskraft ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att samla in och upprätthålla korrekta och fullständiga registreringsuppgifter för domännamn i en särskild databas med tillbörlig aktsamhet i enlighet med unionens dataskyddslagstiftning när det gäller personuppgifter.  

Med stöd av artikel 28.2 i NIS 2-direktivet ska en medlemsstat för tillämpningen av artikel 28.1 föreskriva att databasen med registreringsuppgifter för domännamn innehåller nödvändig information för att identifiera och kontakta innehavarna av domännamnen och de kontaktpunkter som administrerar domännamnen under toppdomänerna. Denna information ska omfatta följande: domännamn, registreringsdatum, registrantens namn, e-postadress och telefonnummer och e-postadress och telefonnummer till den kontaktpunkt som administrerar domännamnet, om dessa inte är desamma som för registranten.   

Med stöd av artikel 28.3 i NIS 2-direktivet ska medlemsstaterna ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att ha strategier och förfaranden, inbegripet kontrollförfaranden, för att säkerställa att databaserna innehåller korrekt och fullständig information. Medlemsstaterna ska föreskriva att sådana strategier och förfaranden offentliggörs.  

Med stöd av artikel 28.4 och artikel 28.5 i NIS 2-direktivet ska medlemsstaterna ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att utan onödigt dröjsmål efter registreringen av ett domännamn offentliggöra registreringsuppgifter för domännamn som inte är personuppgifter. Medlemsstaterna ska ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att ge åtkomst till specifika registreringsuppgifter för domännamn på lagliga och vederbörligen motiverade begäranden från legitima åtkomstsökande, i enlighet med unionens dataskyddslagstiftning. Medlemsstaterna ska ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att utan onödigt dröjsmål och under alla omständigheter inom 72 timmar från mottagandet besvarar en begäran om åtkomst. Medlemsstaterna ska föreskriva att strategier och förfaranden för utlämning av sådana uppgifter offentliggörs.  

Med stöd av artikel 28.6 i NIS 2-direktivet får efterlevnad av de skyldigheter som föreskrivits i 1–5 punkten inte leda till överlappningar i insamlingen av registreringsuppgifter om domännamn. För detta ska medlemsstaterna förutsätta att toppdomänregister och de entiteter som tillhandahåller domännamnsregistreringstjänster ska samarbeta med varandra. 

Artikel 26 i NIS 2-direktivet innehåller bestämmelser om medlemsstaternas jurisdiktion i fråga om entiteter som tillhandahåller domännamnsregistreringstjänster. Med stöd av artikel 26.1 omfattas entiteter som tillhandahåller domännamnsregistreringstjänster av den jurisdiktion där dess huvudsakliga etableringsställe finns. Det finns bestämmelser om det huvudsakliga etableringsstället och utseendet av en företrädare i unionen i punkterna 2–5 i artikel 26. 

3.1  Cyberresiliensförordningen

3.2  Cybersäkerhetsakten

3.3  Myndighetsverksamhetens avgiftsbelagdhet

Lagen om grunderna för avgifter till staten (150/1992) innehåller bestämmelser om de allmänna grunderna för när statliga myndigheters prestationer ska vara avgiftsbelagda och för storleken av de avgifter som uppbärs för prestationerna samt om övriga grunder för avgifterna. Det handlar om en allmän lag och det är möjligt att separat utfärda bestämmelser om avgifter vid sidan om den. Lagen innehåller bestämmelser om de allmänna grunderna för när prestationer ska vara avgiftsbelagda (2 kap.), inbegripet bestämmelser om vissa prestationer som är antingen avgiftsbelagda eller avgiftsfria. Enligt lagen om grunderna för avgifter till staten avses med ”offentligrättslig prestation” en sådan prestation av en statlig myndighet vars efterfrågan grundar sig på lag eller förordning och som myndigheten har faktisk ensamrätt att utföra. Enligt 6 § i lagen om grunderna för avgifter till staten ska beloppet av den avgift som tas ut för en offentligrättslig prestation till staten motsvara beloppet av statens totalkostnader för prestationen. I 8 § i lagen om grunderna för avgifter till staten finns bestämmelser om de ärenden som kan föreskrivas genom förordning och om bemyndigande av ett ministerium. Enligt 12 i § i lagen om grunderna för avgifter till staten är det möjligt att genom förordning utfärda närmare bestämmelser om de kostnader som omfattas av självkostnadsvärdet.  

Regleringen om avgiftsbelagdheten för myndigheternas prestationer och grunderna för avgifterna för prestationerna i lagen om grunderna för avgifter till staten bedöms vara tillräcklig. Myndigheters utfärdande av certifikat av hög assuransnivå ska inom ramen för lagen om grunderna för avgifter till staten anses vara en offentligrättslig prestation. Likaså ska bland annat utseende av organ för bedömning av överensstämmelse som anmälda organ inom ramen för cyberresiliensförordningen, anmälning av sådana för cybersäkerhetscertifiering samt tillsyn över dessa betraktas som en offentligrättslig prestation. När dessa prestationer gäller den ekonomiska verksamheten vid en aktör som ansöker om certifiering eller ett organ för bedömning av överensstämmelse, finns det inte något i lagen om grunderna för avgifter till staten avsett särskilt skäl att avvika från avgiftsbelagdheten för dessa. Även användning av en regulatorisk sandlåda för cyberresiliens ska utifrån utgångspunkten i lagen om grunderna för avgifter till staten som förval vara avgiftsbelagd, eftersom avgifterna täcker kostnader för myndigheten för att administrera och använda den regulatoriska sandlådan. Lagen om grunderna för avgifter till staten möjliggör dock att en avgift utifrån särskilda skäl kan förordnas att tas ut av en viss grupp till ett värde som är lägre än självkostnadsvärdet eller att den inte alls tas ut. Detta möjliggör vid behov lättnader av avgiftsbelagdheten i synnerhet då en regulatorisk sandlåda inrättas i en testmiljö enligt förordningen om artificiell intelligens, eftersom tillgång till en testmiljö enligt förordningen om artificiell intelligens ska ges avgiftsfritt till små och medelstora företag. 

I 3 § i förordningen om avgifter som tas ut för Transport- och kommunikationsverkets prestationer som gäller elektronisk kommunikation (1190/2023, ändrad genom förordningen 905/2024) finns det bestämmelser bland annat om avgiftsbelagdheten för prestationer i anknytning till bedömningen av säkerhetsnivån hos dataskyddsprodukter och produkter som utnyttjar datakommunikationsförbindelser. En avgift enligt självkostnadsvärdet tas ut för prestationen. Enligt 4 punkten i samma paragraf tas en avgift ut också för åtgärder i anknytning till godkännande av organ för bedömning av informationssäkerheten. I samband med uppdateringen av förordningen finns det ett behov av att bedöma behovet av att precisera förordningen, så att den täcker prestationer som även anknyter till cyberresiliensförordningen och cybersäkerhetsakten. 

3.4  Registrarer

Bestämmelserna om entiteter som tillhandahåller domännamnsregistreringstjänster i artikel 3 och artiklarna 26–28 i NIS 2-direktivet har genomförts genom lagen om ändring av lagen om tjänster inom elektronisk kommunikation (L 126/2025; RP 57/2024 rd).  

I 21 kap. i lagen om tjänster inom elektronisk kommunikation finns det bestämmelser om domännamn under den nationella toppdomänen för Finland ( toppdomänen fi ) och under toppdomänen för landskapet Åland ( toppdomänen ax ) samt på domännamnsverksamhet och registreringstjänster för domännamn i samband därmed. Det finns bestämmelser om anmälningsskyldigheten för registrarer enligt artikel 27 i NIS 2-direktivet i 165 § i lagen om tjänster inom elektronisk kommunikation. Det finns bestämmelser som genomför artikel 28 i NIS 2-direktivet i 167 § och 170 § i lagen om tjänster inom elektronisk kommunikation.  

Bestämmelserna om andra entiteter än entiteter som tillhandahåller domännamnsregisteringstjänster i NIS 2-direktivet har genomförts genom cybersäkerhetslagen (142/2025) och lagen om ändring av lagen om informationshantering inom den offentliga förvaltningen (L 125/2025). De nämnda lagarna innehåller inte bestämmelser om registrarer.  

Bestämmelserna i 21 kap. i lagen om tjänster inom elektronisk kommunikation är tillämpliga endast på domännamn som slutar med den nationella toppdomänen fi och toppdomänen för landskap ax och anknuten förmedling av domännamn av registrarer. Artiklarna 26–28 i NIS 2-direktivet kräver att medlemsstaterna förutsätter åtgärder enligt artiklarna 27–28 även av registrarer som förmedlar andra domäner, då registraren med stöd av artikel 26 i NIS 2-direktivet omfattas av Finlands jurisdiktion. Således finns det ett behov av att komplettera genomförandet av NIS 2-direktivet i fråga om entiteter som tillhandahåller domännamnsregistrering då det handlar om annan domännamnsregistrering än verksamhet som anknyter till domännamn med den nationella toppdomänen fi eller toppdomänen för landskap ax. Dessutom ska tillämpningen av 21 kap. för att säkerställa ett heltäckande genomförande av direktivet till vissa delar utvidgas till aktörer som verkar för registrarers räkning. Kompletteringarna förutsätter ändringar i lagen om tjänster inom elektronisk kommunikation och i cybersäkerhetslagen. 

I Finland finns det för närvarande inte någon gällande reglering kring registrering av andra domännamn än domännamn med den nationella toppdomänen fi eller toppdomänen för landskap ax. Med stöd av 21 kap. i lagen om tjänster inom elektronisk kommunikation har Transport- och kommunikationsverket gett en föreskrift om domännamn, som gäller registrering av domännamn med den nationella toppdomänen fi eller toppdomänen för landskap ax. 

Flera frivilliga standarder på Internet har i internationellt samarbete utarbetats om insamling av, offentliggörande av och tillträde till registreringsuppgifter om domännamn och om praxis inom branschen. Utifrån dessa har det uppkommit en praxis, enligt vilken varje toppdomänregister själv administrerar en så kallad WHOIS-tjänst, där de registreringsuppgifter om domännamn som registret innehar publiceras. ICANN (Internet Corporation for Assigned Names and Numbers) som administrerar generiska toppdomäner på Internet har infört denna princip i sina egna avtal om register över generiska toppdomäner (gTLD) på så sätt att ansvaret för att publicera registreringsuppgifter numera ligger på den aktuella förvaltaren av ett toppdomänregister och därtill på de registrarer som den bemyndigat, var och en för egen del på så sätt att bägge aktörers ansvar för offentliggörandet av de olika datatyperna avviker en aning från varandra. I avtalet regleras även överföringen av registeruppgifter från registraren till en förvaltare av toppdomänregister under de förutsättningar som följer av lagstiftningen kring behandling av personuppgifter. I fråga om nationella toppdomäner (ccTLD) finns det däremot inte någon enhetlig praxis. De lagändringar som gäller kompletteringen av genomförandet av NIS 2-direktivet i fråga om dess artikel 28, vilka gäller offentligheten för registreringsuppgifter om domännamn, ska beredas på så sätt att de i mån av möjlighet ligger i linje med de internationella standarderna och praxis som uppkommit utifrån dessa. Direktivet kan anses möjliggöra olika tekniska genomförandemodeller, så länge som de uppgifter som förutsätts i artikel 28 i direktivet är offentligt tillgängliga och så länge som de som förvaltar toppdomänregister och registrarerna förmår ge tillträde till uppgifter som ingår i personuppgifter i enlighet med kraven i direktivet. 

Befogenheterna för Transport- och kommunikationsverket enligt lagen om tjänster inom elektronisk kommunikation, såsom rätten få information och möjligheten att förelägga vite, kan riktas även på annan domännamnsverksamhet än på de registrarer som för närvarande föreskrivs i 21 kap., om kompletterande skyldigheter föreskrivs i den aktuella lagen. Den särskilda bestämmelsen om rätten till information i fråga om handlingar som gäller domännamn i 312 § 2 mom. i lagen om tjänster inom elektronisk kommunikation är även tillämplig på andra ärenden som gäller domännamn än de som för närvarande föreskrivits i 21 kap. 

4.1  De viktigaste förslagen

Med propositionen föreslås att en ny lag om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering utfärdas.  

Det föreslås att lagen innehåller bestämmelser om marknadskontrollen enligt cyberresiliensförordningen, anmälan av organ för bedömning av överensstämmelse för bedömningsuppgifter enligt cyberresiliensförordningen samt om de administrativa påföljder som anknyter till överträdelse av cyberresiliensförordningen. Dessutom innehåller lagen bestämmelser om inrättande av en regulatorisk sandlåda för cyberresiliens, användning av ej färdigställda produkter i vissa förhållanden och om beaktande av kraven i cyberresiliensförordningen i offentliga upphandlingar.  

Transport- och kommunikationsverket ansvarar på centraliserat sätt för uppgifterna för marknadskontrollmyndigheten enligt cyberresiliensförordningen. Dessutom fungerar den behöriga tillsynsmyndigheten enligt lagen om tillsyn över vissa system för artificiell intelligens som marknadskontrollmyndighet för AI-system med hög risk. På marknadskontrollen enligt cyberresiliensförordningen tillämpas lagen om marknadskontroll av vissa produkter samt marknadskontrollförordningen. 

Transport- och kommunikationsverket ansvarar även för uppgifterna för den anmälande myndigheten enligt cyberresiliensförordningen. Ett organ för bedömning av överensstämmelse som är etablerat i Finland ansöker enligt förslaget om att bli ett anmält organ enligt cyberresiliensförordningen hos Transport- och kommunikationsverket. Ett ackrediteringsintyg av ackrediteringstjänsten FINAS om att ett bedömningsorgan uppfyller kraven i cyberresiliensförordningen ska i princip fogas till ansökan.  

Genom propositionen utfärdas även bestämmelser som kompletterar EU:s cybersäkerhetsakt om uppgifterna för den nationella myndigheten för cybersäkerhetscertifiering och dess befogenheter. För närvarande har uppgiften tilldelats Transport- och kommunikationsverket med stöd av lagen om tjänster inom elektronisk kommunikation. Det föreslås att Transport- och kommunikationsverket fortsätter att sköta uppgiften. De nationella bestämmelserna om uppgiften och befogenheterna ingår dock i den nya lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering. Genom förslaget kompletteras och preciseras befogenheterna för myndighetsuppgifterna i anknytning till cybersäkerhetscertifiering, anmälan av organ för bedömning av överensstämmelse och påförande av påföljdsavgifter för missbruk i anknytning till cybersäkerhetscertifieringen.  

Det föreslås att nya 21 kap. fogas till lagen om tjänster inom elektronisk kommunikation. Det innehåller bestämmelser om insamling och utlämnande av registreringsuppgifter om domännamn i fråga om andra domännamn än de som slutar med den nationella toppdomänen fi och toppdomänen för landskap ax. Kapitlet innehåller även bestämmelser om en registrars anmälningsskyldighet till Transport- och kommunikationsverket. Genom förslagen kompletteras genomförandet av EU:s cybersäkerhetsakt i fråga om registreringsuppgifterna om domännamn. 

4.2  De huvudsakliga konsekvenserna

5.1  Handlingsalternativen och deras konsekvenser

5.2  Planerade och genomförda metoder i andra medlemsstater

7.1  Lag om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering

1 kap. – Allmänna bestämmelser 

1 §. Lagens syfte. Det föreslås att lagen innehåller nationella bestämmelser som kompletterar och preciserar tillämpningen av cyberresiliensförordningen. Dessutom innehåller lagen bestämmelser om genomförandet av de europeiska ordningarna för cybersäkerhetscertifiering.  

Paragrafens 1 mom. innehåller bestämmelser om lagens mål och preciserar och kompletterar cyberresiliensförordningen och dess nationella tillämpning.  

Det finns bestämmelser om tillämpningsområdet för cyberresiliensförordningen i artiklarna 1–3 i förordningen. Lagen tillämpas på produkter som omfattas av cyberresiliensförordningen. Cyberresiliensförordningens tillämpningsområde omfattar i artikel 2.1 avsedda produkter med digitala element som tillhandahålls på marknaden och vars avsedda ändamål eller rimligen förutsebara användning omfattar en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nät. Det finns bestämmelser om avgränsningarna av tillämpningsområdet för cyberresiliensförordningen i dess artikel 2.2–2.7 och om definitionen av en produkt med digitala element i artikel 3 i förordningen.  

De produkter som omfattas av cyberresiliensförordningens tillämpningsområde är till exempel smartklockor, säkerhetskameror, tv-apparater, leksaker, hemroutrar, brandväggar, spel och programvaror. Tillämpningsområdet täcker i bred grad IoT-enheter och programvaror, oberoende av om enheten eller programvaran är avsedd att användas av en konsument, ett företag eller den offentliga förvaltningen. Cyberresiliensförordningen tillämpas på alla produkter med digitala element som tillhandahålls på marknaden och vars avsedda ändamål eller rimligen förutsebara användning omfattar en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nät i enlighet med artikel 2 i förordningen och med undantagen i den. 

Paragrafens 2 mom. innehåller bestämmelser om lagens mål och preciserar och kompletterar även cybersäkerhetsakten och dess nationella tillämpning. Målet är att komplettera genomförandet av de europeiska certifieringssystemen för cybersäkerhet enligt cybersäkerhetsakten. Med detta avses övervakning av certifieringsordningarna och utfärdande av cybersäkerhetscertifikat. Genom cybersäkerhetsakten har man inrättat ett regelverk för certifiering, som ställer krav på de europeiska certifieringsordningar som ska inrättas för IKT-produkter, IKT-tjänster och IKT-processer samt för förfarandena för att inrätta dessa.  

2 §. Definitioner. Det föreslås att paragrafen innehåller definitioner som motsvarar definitionerna i cyberresiliensförordningen och cybersäkerhetsakten.  

Momentets 1 punkt innehåller en definition av produkt med digitala element. Definitionen motsvarar definitionen i artikel 3.1 i cyberresiliensförordningen, enligt vilken definitionen täcker även programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. I enlighet med artikel 3.2 i cyberresiliensförordningen avses med fjärrbehandling av data databehandling på distans för vilken programvaran utformats och utvecklats av tillverkaren eller under tillverkarens ansvar, och vars avsaknad skulle innebära att produkten med digitala element inte kan utföra en av sina funktioner. Det finns bestämmelser om definitionen av en programvara, hårdvara och komponent i punkterna 4–6 i artikel 3 i cyberresiliensförordningen.  

Momentets 2 punkt innehåller en definition av ett anmält organ. I enlighet med kapitel IV i cyberresiliensförordningen avses med anmält organ ett i Finland etablerat organ för bedömning av överensstämmelse som utsetts av en finsk myndighet och anmälts till Europeiska kommissionen.  

Momentets 3 punkt innehåller bestämmelser om definitionen av en distributör. I överensstämmelse med artikel 3.17 i cyberresiliensförordningen avses med distributör en sådana annan fysisk eller juridisk person i leveranskedjan än tillverkaren eller importören som tillhandahåller en produkt med digitala element på Europeiska unionens marknad utan att påverka dess egenskaper.  

Momentets 4 punkt innehåller bestämmelser om definitionen av en importör. I överensstämmelse med artikel 3.16 i cyberresiliensförordningen avses med importör en fysisk eller juridisk person som är etablerad i Europeiska unionen och som på marknaden släpper ut en produkt med digitala element vilken bär namnet på eller varumärket för en fysisk eller juridisk person som är etablerad utanför Europeiska unionen.  

Momentets 5 punkt innehåller bestämmelser om definitionen av en tillverkare. I överensstämmelse med artikel 13 i cyberresiliensförordningen avses med tillverkare en fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, i förvärvssyfte eller kostnadsfritt.  

Momentets 6 punkt innehåller en definition av tillverkarens representant. I överensstämmelse med artikel 2.15 i cyberresiliensförordningen avses med tillverkarens representant en fysisk eller juridisk person som är etablerad i unionen och som enligt skriftlig fullmakt från en tillverkare har rätt att i tillverkarens ställe utföra särskilda uppgifter.  

Momentets 7 punkt innehåller en definition av en ekonomisk aktör. Med ekonomisk aktör avses i 3–7 punkten definierade tillverkare, tillverkarens representanter, importörer, distributörer eller andra fysiska eller juridiska personer vilka omfattas av skyldigheterna enligt cyberresiliensförordningen i anknytning till produkter med digitala element eller tillhandahållande på marknaden. Definitionen motsvarar definitionen i artikel 3.12 i cyberresiliensförordningen.  

Momentets 8 punkt innehåller bestämmelser om definitionen av en förvaltare av programvara med fri och öppen källkod. Definitionen av en förvaltare av programvara med fri och öppen källkod av motsvarar definitionen i artikel 3.14 i cyberresiliensförordningen. Det finns bestämmelser om en programvara med fri och öppen källkod i artikel 3.48 i cyberresiliensförordningen.  

Momentets 9 punkt innehåller bestämmelser om definitionen av ett organ för bedömning av överensstämmelse. Med organ för bedömning av överensstämmelse avses ett organ som utför kalibrering, testning, certifiering och inspektioner och som på andra sätt bedömer överensstämmelse. Definitionen motsvarar definitionen i artikel 2.13 i Europaparlamentets och rådets förordning (EG) nr 765/2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (nedan NLF-förordningen), som ligger till grund för motsvarande definitioner i artikel 3.28 i cyberresiliensförordningen och artikel 2.18 i cybersäkerhetsakten.  

Momentets 10 punkt innehåller bestämmelser om definitionen av ackreditering. Med ackreditering avses ett intyg från ett nationellt ackrediteringsorgan om att ett organ för bedömning av överensstämmelse uppgifter vissa krav för bedömning av överensstämmelse som fastställs genom harmoniserade standarder samt vid behov de krav som fastställs i sektorsspecifika program och eventuella ytterligare krav.  

Momentets 11 punkt innehåller bestämmelser om definitionen av en CSIRT-enhet. Med CSIRT-enhet avses en CSIRT-enhet enligt 19 § i cybersäkerhetslagen.  

Momentets 12 punkt innehåller bestämmelser om definitionen av ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering, vilket i enlighet med artikel 61 i cybersäkerhetsakten avser ett organ för bedömning av överensstämmelse som anmälts till Europeiska kommissionen. Ett organ för bedömning av överensstämmelse definieras ovan i 9 punkten på ett sätt som motsvarar NLF-förordningen, till vilken motsvarande definition i cybersäkerhetsakten även hänvisar. När ett organ för bedömning av överensstämmelse som anmälts till kommissionen inom cyberresiliensförordningens område verkar som ett anmält organ enligt 2 punkten inom ramen för NLF-regelverket, handlar cybersäkerhetsakten inte om harmoniserad gemenskapslagstiftning och det organ för bedömning av överensstämmelse som ska anmälas till kommissionen verkar inte med stöd av den inom ramen för NLF-regelverket, även om krav enligt NLF-förordningen på grund av hänvisningen till cybersäkerhetsakten tillämpas till exempel på ackrediteringen av dessa. Anmälda organ och organ för bedömning av överensstämmelse som anmälts med stöd av cybersäkerhetsakten är föremål för likadana, men i viss mån lite olika krav. För att klargöra denna skillnad används i den föreslagna lagen begreppet organ för bedömning av överensstämmelse som anmäls för cybersäkerhetscertifiering i sammanhang som gäller verksamhet i anknytning till cybersäkerhetsakten. I praktiken är det dock möjligt att ett visst organ för bedömning av överensstämmelse gör en ansökan för att verka i bägge roller, som kan stödja varandra.  

3 §. Förhållande till annan lagstiftning. Paragrafen innehåller informativa hänvisningar till marknadskontrollförordningen och marknadskontrollagen, vilka tillämpas vid sidan om vad som föreskrivs i den föreslagna lagen vid övervakningen enligt cyberresiliensförordningen.  

Paragrafens 1 mom. innehåller en informativ hänvisning till marknadskontrollförordningen. Marknadskontrollförordningen tillämpas med stöd av artikel 52.1 i cyberresiliensförordningen på marknadskontrollen av produkter med digitala element.  

Paragrafens 2 mom. innehåller en informativ hänvisning till lagen om marknadskontrollen av vissa produkter (nedan marknadskontrollagen ). Marknadskontrollagen tillämpas på marknadskontrollen av produkter med digitala element i enlighet med de ändringar som föreslås genom lagförslag 2. Marknadskontrollagen innehåller bestämmelser om marknadskontrollen av produkter, tillsynsmyndigheternas befogenheter och tillsynsmetoder samt om sökande av ändring i myndigheternas beslut.    

Paragrafens 3 mom. innehåller en informativ hänvisning till lagen om konsumentprodukters säkerhet och EU:s förordning om allmän produktsäkerhet. I enlighet med artikel 2 i EU:s förordning om allmän produktsäkerhet tillämpas förordningen på produkter som släpps ut eller tillhandahålls på marknaden i den mån det inte föreligger särskilda bestämmelser med samma syfte enligt unionsrätten som reglerar säkerheten hos de berörda produkterna. När de särskilda säkerhetskrav som fastställts i unionslagstiftningen tillämpas på produkterna, tillämpas förordningen endast på de omständigheter och risker eller riskkategorier som dessa krav inte täcker.  

Paragrafens 4 mom. innehåller en informativ hänvisning till EU:s förordning om artificiell intelligens och lagen om tillsyn över vissa system för artificiell intelligens, som föreslås i regeringens proposition till riksdagen med förslag om lagstiftning som kompletterar EU:s förordning om artificiell intelligens (RP 46/2025 rd). Förordningen om artificiell intelligens och den nationella reglering som kompletterar den innehåller bestämmelser om kraven på AI-system och övervakningen av dessa i fråga om de produkter som omfattas av tillämpningsområdet för förordningen om artificiell intelligens.  

Paragrafens 5 mom. innehåller en informativ hänvisning till vad som föreskrivs annanstans i lagen om CSIRT-enhetens uppgifter. CSIRT-enhetens uppgifter och samordning av sårbarheter regleras i cybersäkerhetslagen, med undantag för de uppgifter och den behandling av rapporter som avses i cyberresiliensförordningen. Artiklarna 14–17 i cyberresiliensförordningen innehåller bestämmelser om sårbarheter som ingår i en produkt med digitala element och om obligatoriska och frivilliga anmälningar som ska göras om vissa omständigheter samt om handläggningen av dessa. Enligt förslaget tar CSIRT-enheten emot och handlägger rapporter på det nationella planet. Bestämmelsernas innehåll har beskrivits mer ingående i avsnitt REF _Ref188708828 \r \h \* MERGEFORMAT 2.1.3.1.  

CSIRT-enheten tar emot även andra än frivilliga rapporter om sårbarheter enligt cyberresiliensförordningen som en del av skötseln av dess befintliga uppgifter enligt cybersäkerhetslagen. Detta behandlas även i motiveringarna till 8 §. CSIRT-enhetens uppgift som gäller sårbarhetssamordning enligt 22 § i cybersäkerhetslagen täcker sårbarhetsanmälningar om produkter och tjänster som lämnar utanför tillämpningsområdet för cyberresiliensförordningen och sårbarhetsanmälningar som gäller verksamheten vid organisationerna.  

2 kap. – Överensstämmelse och anmälningar 

4 §. Överensstämmelse för produkter med digitala element. Paragrafen innehåller en informativ hänvisning till de krav som ställts på produkter med digitala element med stöd av cyberresiliensförordningen.  

Med stöd av artikel 6 i cyberresiliensförordningen får produkter med digitala element tillhandahållas på marknaden endast om den uppfyller de väsentliga cybersäkerhetskraven i bilaga I del I i förordningen, förutsatt att de är korrekt installerade och underhållna och används för avsett ändamål eller under förhållanden som rimligen kan förutses och, i tillämpliga fall, att de nödvändiga säkerhetsuppdateringarna har installerats. En ytterligare förutsättning är att de processer som införs av tillverkaren uppfyller de väsentliga cybersäkerhetskrav som fastställs i bilaga I del II i förordningen.  

Det finns bestämmelser om skyldigheterna för en ekonomisk aktör och kraven på en produkt med digitala element i 2 kap. i förordningen och bilaga I och bilaga II till den samt i 3 kap. om påvisande av överensstämmelse i förordningen. 

5 §. Ej färdigställda produkter. Artikel 4.2 och artikel 4.3 i cyberresiliensförordningen innehåller bestämmelser om situationer där medlemsstaterna inte får hindra att produkter med digitala element som inte uppfyller kraven i cyberresiliensförordningen visas, används eller tillhandahålls på marknaden. Med stöd av principen om prioriteten för EU-rätten är det inte möjligt att en nationell norm i strid med artikel 4 blir tillämplig. För att tydliggöra regleringen och precisera rättsläget i synnerhet med tanke på förslagen om den administrativa påföljdsavgiften i 6 kap. föreslås att separata bestämmelser utfärdas om att tillåta att ej färdigställda produkter enligt artikel 4.2 och 4.3 visas, används eller släpps ut på marknaden.  

I paragrafen utfärdas bestämmelser om möjligheten att visa, använda eller på marknaden släppa ut en produkt med digitala element, då de inte uppfyller kraven i cyberresiliensförordningen. I enlighet med artikel 4.2 i cyberresiliensförordningen får medlemsstaterna inte förhindra att sådana produkter med digitala element som inte uppfyller kraven i förordningen visas eller används vid mässor, utställningar och demonstrationer eller liknande evenemang, inbegripet prototyper, förutsatt att produkten visas med en synlig märkning som tydligt anger att den inte uppfyller kraven i denna förordning och att den inte kommer att tillhandahållas på marknaden förrän den gör det. I enlighet med artikel 4.3 i cyberresiliensförordningen får medlemsstaterna inte förhindra att en ej färdigställd programvara som inte uppfyller kraven i förordningen tillhandahålls på marknaden, under förutsättning att programvaran tillhandahålls endast under den begränsade tid som krävs för testningsändamål och med en synlig märkning som tydligt anger att den inte uppfyller kraven i förordningen och att den inte kommer att tillhandahållas på marknaden för andra ändamål än testning. 

För klarhetens skull konstateras att ett hinder som orsakas av den övriga regleringen dock kan uppkomma för användningen av en produkt med digitala element. Till exempel om radioutrustning är en produkt med digitala element, kan ett radiotillstånd krävas för att använda den. Bestämmelsen gäller visning av en produkt med digitala element, även om överensstämmelsen med kraven enligt cyberresiliensförordningen inte uppfylls. Syftet med bestämmelsen är inte att bilda en grund för att avvika från de krav som ställs på produkten i den övriga regleringen, om sådana är tillämpliga på produkten. 

6 §. Produkter med digitala element vid offentlig upphandling. Paragrafen innehåller bestämmelser för en upphandlande enhet att beakta efterlevnad av de cybersäkerhetskrav som fastställts i bilaga I till cyberresiliensförordningen, inbegripet tillverkarnas förmåga att effektivt behandla sårbarheter då föremålet för den offentliga upphandlingen är en produkt med digitala element. Genom bestämmelsen kompletteras artikel 5.2 i cyberresiliensförordningen, vilken förutsätter att medlemsstaterna, utan att det påverkar tillämpningen av direktiven 2014/24/EU och 2014/25/EU, när produkter med digitala element som omfattas av denna förordnings tillämpningsområde upphandlas, ska säkerställa att överensstämmelse med de väsentliga cybersäkerhetskraven i bilaga I till denna förordning, inbegripet tillverkarnas förmåga att ändamålsenligt hantera sårbarheter, beaktas i upphandlingsprocessen. I praktiken kan en upphandlande enhet beakta efterlevnad av kraven på cybersäkerhet till exempel vid beredningen av en upphandling eller en anbudsbegäran, vid prövningen av de krav som ställs på upphandlingsobjektet eller vid fastställande av lämplighetskriterierna för en kandidat eller leverantör. Bestämmelsen är avsedd att tillämpas för upphandlingar som omfattas av tillämpningsområdet för lagen om offentlig upphandling och koncession, där föremålet för upphandlingen är en produkt på vilken kraven i cyberresiliensförordningen tillämpas.  

7 §. Tillverkarens anmälningsskyldighet. Paragrafens 1 mom. innehåller en informativ hänvisning till skyldigheten enligt artikel 14 i cyberresiliensförordningen att anmäla en aktivt utnyttjad sårbarhet i en produkt med digitala element eller en incident som påverkar dataskyddet för en produkt med digitala element. Anmälan ska göras via den gemensamma rapporteringsplattformen enligt artikel 16 i cyberresiliensförordningen till CSIRT-enheten och och Europeiska unionens cybersäkerhetsbyrå Enisa. Det finns bestämmelser om definitionen av en aktivt utnyttjad sårbarhet i artikel 3.40 och artikel 3.42 i förordningen och om definitionen av en allvarlig incident i artikel 3.43, artikel 3.44 och artikel 14.5 i förordningen. Anmälningar ska göras enligt de tidsfrister och de uppgiftsinnehåll som föreskrivs i artikel 14.2 och artikel 14.4 i förordningen. CSIRT-enheten vid Transport- och kommunikationsverket kan i enlighet med artikel 14.6 i cybersäkerhetsakten vid behov med en delrapport begära ytterligare information om situationen för en aktivt utnyttjad sårbarhet eller en allvarlig incident som påverkar dataskyddet för en produkt med digitala element. Dessutom ska tillverkaren i enlighet med artikel 14.8 ge produktanvändarna information. Anmälningsskyldigheterna tillämpas dessutom även på förvaltare av programvara med fri och öppen källkod med stöd av artikel 24.3 i förordningen.  

Paragrafens 2 mom. innehåller för klarhetens skull bestämmelser om samarbetet mellan CSIRT-enheten och marknadskontrollmyndigheten. Momentet innehåller en informativ hänvisning till artikel 16.3 i cyberresiliensförordningen, enligt vilken de CSIRT-enheter som utsetts till samordnare ska förse marknadskontrollmyndigheterna i sina respektive medlemsstater med den anmälda information som gäller en aktivt utnyttjad sårbarhet eller en allvarlig incident och som behövs för att marknadskontrollmyndigheterna ska kunna fullgöra sina skyldigheter enligt denna förordning CSIRT-enhetens skyldighet att lämna ut uppgifter hänför sig i praktiken till de uppgiftstyper som specificerats i artikel 14 i cyberresiliensförordningen, vilka en tillverkare ska inkludera i sin anmälan. Med anledning av bestämmelserna i artikel 16.3 i cyberresiliensförordningen har marknadskontrollmyndigheten rätt att få även de sekretessbelagda uppgifter som den behöver utifrån ett meddelande. Rätten för CSIRT-enheten att lämna ut sekretessbelagda uppgifter föreskrivs nedan i 9 § 1 punkten. Marknadskontrollmyndigheten kan anses behöva alla uppgifter som förutsätts av cyberresiliensförordningen och som ingår i en sårbarhets- eller incidentsanmälan.  

8 §. Frivillig anmälan . Paragrafen innehåller bestämmelser om frivilliga anmälningar enligt artikel 15 i cyberresiliensförordningen, vilka CSIRT-enheten i enlighet med 1 mom. tar emot från tillverkarna och andra aktörer utöver Europeiska unionens cybersäkerhetsbyrå Enisa. En frivillig anmälan enligt artikel 15.1 eller artikel 15.2 i cyberresiliensförordningen kan gälla 1) sårbarhet i en produkt med digitala element, 2) cyberhot som kan påverka riskprofilen för en produkt med digitala element eller 3) eventuella incidenter som påverkar dataskyddet för en produkt med digitala element samt tillbud som kunde ha lett till en sådan incident.  

Frivilliga anmälningar ska behandlas enligt det förfarande som föreskrivs i artikel 15 och artikel 16 i cyberresiliensförordningen. Om någon annan än en tillverkare anmäler en aktivt utnyttjad sårbarhet eller en allvarlig incident som påverkar dataskyddet för en produkt med digitala element, ska den CSIRT-enhet som utsetts till samordnare utan dröjsmål anmäla den till tillverkaren. CSIRT-enheten kan prioritera behandlingen av obligatoriska anmälningar, det vill säga anmälningar enligt artikel 14 i cyberresiliensförordningen, i förhållande till frivilliga anmälningar. 

För klarhetens skull konstateras att de sårbarhetsanmälningar som CSIRT-enheten tar emot, då tillämpningen av bestämmelserna om sårbarhetsanmälningar i cyberresiliensförordningen börjar, kan delas in i tre kategorier: 1) obligatoriska rapporter om sårbarheter enligt artikel 14 i cyberresiliensförordningen, 2) frivilliga rapporter om sårbarheter enligt artikel 15 i cyberresiliensförordningen, och 3) andra frivilliga sårbarhetsanmälningar. På behandlingen av anmälningar enligt kategorierna 1 och 2 tillämpas åtgärder enligt cyberresiliensförordningen, såsom skyldigheten att underrätta övriga medlemsstater om sårbarhetsanmälningar. På behandlingen av frivilliga rapporter om sårbarheter enligt kategori 3 tillämpas inte regleringen i cyberresiliensförordningen, utan bestämmelserna i 22 § i cybersäkerhetslagen tillämpas på sårbarhetssamordningen i fråga om dessa.  

Således är det möjligt att till CSIRT-enhetem frivilligt anmäla sårbarheter, cyberhot, avvikelser och tillbud som en annan än en frivillig anmälan enligt artikel 15 i cyberresiliensförordningen. Sådana anmälningar omfattas inte av tillämpningsområdet för bestämmelsen eller skyldigheterna avseende behandlingen av anmälningar i cyberresiliensförordningen.  

Med stöd av paragrafens 2 mom. får information som på frivillig basis lämnats ut till CSIRT-enheten enligt artikel 15 i cyberresiliensförordningen inte utan samtycke av den som lämnat ut informationen användas i brottsutredningar eller vid administrativt eller annat beslutsfattande som gäller den som lämnat ut informationen. I enlighet med artikel 15.5 i cyberresiliensförordningen får, utan att det påverkar förebyggandet, utredningen, avslöjandet och lagföringen av brott, frivillig rapportering inte leda till att den anmälande fysiska eller juridiska personen åläggs ytterligare skyldigheter som den inte skulle ha blivit föremål för om den inte hade lämnat in anmälan. Syftet med bestämmelsen är att skydda frivilliga anmälare och uppmuntra till frivillig anmälning för att förbättra säkerheten.  

9 §. CSIRT-enhetens rätt att lämna ut sekretessbelagd information. I paragrafen regleras CSIRT-enhetens rätt att trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information lämna ut en handling som den fått eller upprättat i samband med skötseln av dess uppgifter enligt artiklarna 14–17 i cyberresiliensförordningen samt röja sekretessbelagd information, om det är nödvändigt för skötseln av uppgifterna. Bestämmelsen är behövlig för att sköta de uppgifter som tilldelats CSIRT-enheten genom cyberresiliensförordningen. Artiklarnas innehåll beskrivs mer ingående i avsnitt 2.1.3.1. Med stöd av paragrafen kan CSIRT-enheten överlåta uppgifter på eget initiativ för att sköta uppgifterna i anknytning till behandlingen av dessa sårbarhetsanmälningar och incidentanmälningar i enlighet med cyberresiliensförordningen.  

Rätten att lämna ut uppgifter är nödvändig, eftersom CSIRT-enheten i enlighet med artikel 16.2 i cyberresiliensförordningen kan förmedla anmälningar som den tagit emot i anmälningstjänsten till andra CSIRT-enheter som utsetts till samordnare i ett område där tillverkaren har meddelat att den släppt ut en produkt med digitala element. Anmälningarna blir i princip tillgängliga samtidigt även för Enisa, då de görs till en CSIRT-enhet. Det är dock möjligt att skjuta upp förmedlingen av en anmälan i en sådan undantagssituation som föreskrivs i artikel 16.2 i cyberresiliensförordningen. 

Tillämpningsområdet för paragrafens 1 mom. är avgränsat till de obligatoriska uppgiftstyperna i sårbarhets- och incidentsanmälningar vilka specificerats i artikel 14.2, 14.4 och 14.6 i cyberresiliensförordningen och motsvarande uppgifter som ingår i frivilliga anmälningar som getts med stöd av artikel 15. Rätten att lämna ut information är bunden till behovsförutsättningen och gäller således för uppgifter som ingår i obligatoriska tidiga varningar, anmälningar om en incident, anmälningar om en sårbarhet och eventuella delrapporter och slutrapporter vilka CSIRT-enheten tagit emot, liksom även frivilliga anmälningar om sårbarheter, incidenter och tillbud.  

De uppgiftstyper som ingår i obligatoriska anmälningar har specificerats i artikel 14. Med stöd av artikel 2 ges en tidig varning om en sårbarhet (med andra ord information om att en sårbarhet existerar och att information kommer att ges om den). I den anmäls vid behov de de medlemsstater på vars territorium tillverkaren känner till att produkten med digitala element har tillhandahållits. I den egentliga sårbarhetsanmälan ges allmänna uppgifter om den berörda produkten med digitala element, den allmänna karaktären av utnyttjandet och sårbarheten i fråga samt eventuella korrigerande eller riskreducerande åtgärder som vidtagits och korrigerande eller riskreducerande åtgärder som användarna kan vidta. En slutrapport om en sårbarhet ska å sin sida innehålla en beskrivning av sårbarheten och dess allvarlighetsgrad och konsekvenser, i förekommande fall information om en fientlig aktör som har utnyttjat eller som utnyttjar sårbarheten, detaljer om säkerhetsuppdateringen eller andra korrigerande åtgärder som har gjorts tillgängliga för att avhjälpa sårbarheten. Med stöd av artikel 4 som gäller incidenter ska tillverkaren i en tidig varning å sin sida inkludera information om den misstänker att incidenten orsakats av olagliga eller fientliga handlingar, och i tillämpliga fall även ange de medlemsstater på vars territorium tillverkaren känner till att produkten med digitala element har tillhandahållits. Den egentliga incidentsanmälan ska innehålla allmänna uppgifter om arten av incidenten, en första bedömning av incidenten samt eventuella korrigerande eller riskreducerande åtgärder som vidtagits och korrigerande eller riskreducerande åtgärder som användarna kan vidta. En slutrapport om en incident ska å sin sida innehålla en detaljerad beskrivning av incidenten, inbegripet dess allvarlighetsgrad och konsekvenser, den typ av hot eller grundorsak som sannolikt har utlöst incidenten och tillämpade och pågående riskreducerande åtgärder. Med stöd av punkt 6 i artikeln kan CSIRT-enheten begära att tillverkarna lämnar en delrapport om relevanta statusuppdateringar om den aktivt utnyttjade sårbarheten eller allvarliga incidenten som påverkar säkerheten för produkten med digitala element. Delrapporten innehåller med andra ord en uppdatering av de uppgifter som getts med stöd av punkt 2 och 4. 

I fråga om frivilliga anmälningar är det möjligt att till CSIRT-enheten anmäla eventuella sårbarheter eller cyberhot som kan påverka riskprofilen för en produkt med digitala element eller eventuella incidenter som påverkar dataskyddet för en produkt med digitala element samt tillbud som kunde ha lett till en sådan incident. I förslaget preciseras de uppgiftstyper som ska lämnas genom att förutsätta att det handlar om en uppgift som motsvarar de uppgifter som nämns i punkterna 2, 4 och 6 i artikeln, så att det står klart att lämnandet av uppgiften kan bindas till behovsförutsättningen.  

Det föreslås att paragrafens 2 mom. dessutom innehåller bestämmelser om möjligheten att lämna även andra än ovan nämnda specificerade uppgifter som CSIRT-enheten fått då den skött uppgifter enligt cyberresiliensförordningen. I så fall kan uppgifterna enligt momentet lämnas endast till de aktörer som avses i 1 mom. Förutsättningen är att det med avvikelse från 1 mom. är nödvändigt att lämna ut information för att utföra de uppgifter som föreskrivs i artiklarna 14–17 i cyberresiliensförordningen. Förslaget är behövligt eftersom det är möjligt att sådan anknuten information som inte nödvändigtvis hör till de uppgifter som specificeras i artiklarna 14 och 15 i cyberresiliensförordningen uppkommer i behandlingen av anmälningarna. Enligt huvudregeln lämnas information på det sätt som föreskrivs i 1 mom. och 2 mom. är avsett att tillämpas endast i undantagsfall.  

I enlighet med artikel 15.5 i cyberresiliensförordningen ska den CSIRT-enhet som utsetts till samordnare och Enisa säkerställa konfidentialitet och lämpligt skydd för den information som tillhandahålls frivilligt av den anmälande fysiska eller juridiska personen. Så som bedömts i avsnitt REF _Ref209643463 \r \h \* MERGEFORMAT 3.1.4 kan det i fråga om CSIRT-enheten anses att bestämmelserna i offentlighetslagen säkerställer sekretessen för dessa till den del som det är befogat. Då CSIRT-enheten lämnar anmälningsuppgifter som den fått frivilligt, ska den behandla uppgifterna så att dessa intressen inte äventyras. De aktörer till vilka det enligt förslaget är möjligt att lämna ut information binds av en sekretesskyldighet enligt offentlighetslagen eller av denna samma skyldighet enligt cyberresiliensförordningen. 

En sekretessbestämmelse eller en annan begränsning av utlämnade av information, från vilken man gör undantag med stöd av den föreslagna bestämmelsen, kan gälla till exempel en privat affärshemlighet eller skyddsarrangemangen i informations- och kommunikationssystem. Information om en sårbarhet eller incident kan även vara föremål för andra sekretessgrunder enligt offentlighetslagen, såsom 24 § 1 mom. 9 punkten i offentlighetslagen (handlingar som gäller upprätthållande av statens säkerhet) eller 17 punkten (offentliga samfunds företagshemligheter). Information som gäller en näringsidkare som är etablerad i en annan medlemsstat kan i vissa förhållanden vara sekretessbelagd även med stöd av 24 § 1 mom. 2 punkten i offentlighetslagen. 

Paragrafens 1 punkt innehåller bestämmelser om utlämnande av information till den behöriga marknadskontrollmyndigheten i Finland i övervakningen enligt cyberresiliensförordningen. Det finns bestämmelser om tilldelningen av marknadskontrolluppgifterna i 15 och 16 § i den föreslagna lagen. Punkten kompletterar artikel 16.3 i cyberresiliensförordningen, som reglerar skyldigheten för CSIRT-enheter att förse marknadskontrollmyndigheterna i dess medlemsstater de uppgifter som anmälts i en sårbarhetsanmälan eller en incidentanmälan, vilka marknadskontrollmyndigheterna behöver för att fullgöra sina skyldigheter enligt förordningen. Uppgifter kan även lämnas ut i fråga om uppgifter som ingår i en delrapport eller slutrapport.  

Paragrafens 2 punkt reglerar å sin sida bestämmelser om utlämnande av uppgifter till Europeiska unionens cybersäkerhetsbyrå Enisa och 3 punkten till en CSIRT-enhet som utsetts till samordnare i en annan medlemsstat. Det finns bestämmelser om skyldigheten för en CSIRT-enhet att förmedla anmälningar till Enisa och andra CSIRT-enheter i artikel 16 i cyberresiliensförordningen. Därtill kan det från fall till fall vara behövligt att utbyta upplysningar med Enisa, då avsikten är att informera allmänheten om en incident på det sätt som avses i artikel 17.2 i cyberresiliensförordningen.  

Paragrafen begränsar inte CSIRT-enhetens rätt att lämna ut dessa uppgifter inom ramen för klausulerna om skadeförutsättningar i offentlighetslagen och inte heller utlämnade av uppgifter utifrån en grund som föreskrivits i någon annan lag, såsom i cybersäkerhetslagen eller 319 § i lagen om tjänster inom elektronisk kommunikation. 

10 §.Regulatorisk sandlåda för cyberresiliens . Paragrafen innehåller bestämmelser om inrättande av en regulatorisk sandlåda enligt artikel 33.2 i cyberresiliensförordningen. Bestämmelsen ålägger inte att inrätta en regulatorisk sandlåda för cyberresiliens, utan möjliggör att en regulatorisk sandlåda inrättas vid behov utifrån ett beslut av Transport- och kommunikationsverket. Bestämmelsen avgränsar inte antalet regulatoriska sandlådor för cyberresiliens som inrättas. Vid behov kan det finnas flera regulatoriska sandlådor, till exempel för att testa olika produkter eller förhållanden. Transport- och kommunikationsverket kan pröva om en regulatorisk sandlåda ska inrättas. För en ekonomisk aktör är det frivilligt att utnyttja en regulatorisk sandlåda i produktutvecklingen och i princip även avgiftsbelagt i enlighet med vad som bestäms i lagen om grunderna för avgifter till staten. Utnyttjande av en regulatorisk sandlåda är avsett som ett temporärt stöd för en ekonomisk aktörs utvecklingsarbete då en produkt med digitala element eller en del av den inte är tillgänglig på marknaden.  

Med stöd av 1 mom. i paragrafen inrättas en regulatorisk sandlåda av Transport- och kommunikationsverket. Ett beslut ska fattas om inrättande av en regulatorisk sandlåda, i vilket man fastställer giltighetstiden för sandlådan och platsen eller en tillämplig teknisk avgränsning samt det testobjekt som lämpar sig för sandlådan. Till exempel en produktgrupp eller -typ kan fastställas som testobjekt utifrån produktens användningsändamål eller egenskaper eller något annat lämpligt sätt. Det är även möjligt att avgränsa testobjektet till exempel till en viss komponent, en viss egenskap, ett visst användningsändamål eller en viss programvara. I verksamhetsplanen är det möjligt att precisera kapaciteten och resursallokeringen för den regulatoriska sandlådan. I beslutet är det även möjligt att ställa villkor för den regulatoriska sandlådan, vilka behövs för att ordna dess verksamhet eller för dess säkerhet. Villkoren kan gälla till exempel den tidsmässiga avgränsningen av testningen eller säkerhetsarrangemangen för testningen. Villkoren ska vara jämbördiga för de ekonomiska aktörerna och behövliga med tanke på den regulatoriska sandlådan eller säkerheten. En regulatorisk sandlåda kan inrättas även i anslutning till en regulatorisk sandlåda enligt förordningen om artificiell intelligens, om det är ändamålsenligt på grund av testningen, såsom på grund av testning som gäller AI-system med hög risk. Avsikten är att föreslå bestämmelser om regulatoriska sandlådor för regleringen kring artificiell intelligens i lagen om vissa system för artificiell intelligens som en del av genomförandet av fas II av förordningen om artificiell intelligens (VN/31658/2024).  

Med stöd av 2 mom. i paragrafen beviljar Transport- och kommunikationsverket på ansökan rätt till en ekonomisk aktör att bedriva verksamhet, det vill säga testning i en regulatorisk sandlåda. Inrättande eller förekomst av en regulatorisk sandlåda bildar således inte någon rätt för en ekonomisk aktör att ta i drift en sådan utan separat ansökan. De uppgifter som behövs för behandlingen ska läggas fram i ansökan. Transport- och kommunikationsverket ska på ansökan bevilja rätt att bedriva verksamhet i en regulatorisk sandlåda, såvida en i momentet avsedd grund för att inte bevilja en sådan rätt föreligger. Transport- och kommunikationsverket ska behandla de ekonomiska aktörerna jämlikt, så som 6 § i förvaltningslagen förutsätter.  

Den informativa hänvisningen i paragrafens 3 mom. redogör för att Transport- och kommunikationsverket i enlighet med artikel 33.2 i cyberresiliensförordningen har en skyldighet att ge information om inrättandet av en regulatorisk sandlåda till Europeiska kommissionen och till övriga marknadskontrollmyndigheter via samarbetsgruppen. Dessutom innehåller paragrafen bestämmelser om verkets uppgift att övervaka och styra verksamheten i en regulatorisk sandlåda. Om cyberresiliensen för AI-system med hög risk testats, får den myndighet som ansvarar för marknadskontrollen av systemet delta i styrningen av verksamheten i den regulatoriska sandlådan inom ramen för dess befogenheter och resurser, men förslaget innehåller inte någon skyldighet till detta. Avsikten är att utfärda bestämmelser om uppgifterna för de myndigheter som ansvarar för marknadskontrollen av AI-system i lagen om tillsyn över vissa system för artificiell intelligens.  

Med stöd av paragrafens 4 mom. kan närmare bestämmelser om den tekniska organiseringen av och verksamheten hos regulatoriska sandlådor för cyberresiliens samt om ansökan av en ekonomisk aktör utfärdas genom föreskrift av Transport- och kommunikationsverket.  

3 kap. – Anmälda organ 

11 §. Anmälande myndighet. Det föreslås att paragrafen innehåller bestämmelser om uppgiften för den i artikel 36 i cyberresiliensförordningen avsedda myndigheten som ansvarar för anmälan, vilken tilldelas Transport- och kommunikationsverket. Den anmälande myndigheten har till uppgift att sköta de uppgifter som föreskrivits för den i kapitel IV i cyberresiliensförordningen. Den anmälande myndigheten ansvarar således för att upprätta och genomföra de behövliga förfarandena, som gäller bedömningen, utseendet och anmälan i anknytning till organen för bedömning av överensstämmelse samt att övervaka dessa. I enlighet med artikel 41 i cyberresiliensförordningen omfattar uppgifterna även att övervaka anmälda organ då de anlitar underleverantörer eller dotterbolag. Den anmälande myndigheten ansvarar även för att anmäla de uppgifter som avses i artikel 35.1, artikel 38.1 och artikel 46.2 i cyberresiliensförordningen till kommissionen och till övriga medlemsstater då medlemsstaten har en skyldighet att anmäla dessa. Den anmälande myndigheten ska i verksamheten uppfylla de krav som föreskrivs i artikel 37 i cyberresiliensförordningen.  

12 §. Ansökan om anmälan. Med stöd av paragrafen adresseras en ansökan som gäller anmälan som ett anmält organ enligt cyberresiliensförordningen till den anmälande myndigheten, det vill säga till Transport- och kommunikationsverket. Ett organ för bedömning av överensstämmelse som inte är etablerat i Finland ska i enlighet med artikel 42.1 i cyberresiliensförordningen ansöka om anmälan från den medlemsstat där organet för bedömning är etablerat.  

De uppgifter som avses i artikel 42 i cyberresiliensförordningen ska fogas till ansökan. Dessa uppgifter är en beskrivning av åtgärderna för att bedöma överensstämmelse, förfarandet eller förfarandena för bedömning av överensstämmelse och av en eller flera produkter med digitala element för vilka organet anser sig vara kompetent samt från fall till fall ett ackrediteringsintyg, som det nationella ackrediteringsorganet har utfärdat, i vilket det styrks att organet för bedömning av överensstämmelse uppfyller de krav som föreskrivits i artikel 39 i cyberresiliensförordningen. Med stöd av 2 a § i lagen om Säkerhets- och kemikalieverket (1261/2010) verkar Säkerhets- och kemikalieverkets ackrediteringsenhet (ackrediteringstjänsten FINAS) som nationellt ackrediteringsorgan i Finland. 

Fogande av ett ackrediteringsintyg till ansökan är avsett som det huvudsakliga och primära förfarandet vid en ansökan om utseende till anmält organ. Cyberresiliensförordningen innehåller dock även bestämmelser om ett alternativt förfarande som kan tillämpas om det exceptionellt inte är möjligt att skaffa ett ackrediteringsintyg. Om man till ansökan inte kan foga ett ackrediteringsintyg från ackrediteringstjänsten FINA över att ett organ för bedömning av överensstämmelse uppfyller kraven i cyberresiliensförordningen, ska organet för bedömning av överensstämmelse i enlighet med artikel 42.3 i cyberresiliensförordningen till Transport- och kommunikationsverket överlämna alla behövliga underlag som möjliggör kontroll, erkännande och regelbunden tillsyn över att det uppfyller de krav som föreskrivits i artikel 39 i cyberresiliensförordningen.  

13 §. Utseende av ett anmält organ samt begränsning eller återkallelse av ett utseende. Med stöd av paragrafens 1 mom. utser Transport- och kommunikationsverket på ansökan ett organ för bedömning av överensstämmelse till ett anmält organ, om det uppfyller kraven enligt cyberresiliensförordningen i fråga om kompetensområde. En ytterligare förutsättning för att sköta uppgifterna för ett anmält organ är att inga invändningar enligt artikel 43.5 i cyberresiliensförordningen har gjorts. Det föreslås att ett organ för bedömning av överensstämmelse utses till ett anmält organ för att bedöma överensstämmelsen för de produkter med digitala element för vilka organet för bedömning har ansökt om anmälning och påvisat att det uppfyller kraven. Den finns bestämmelser om anmälningsförfarandet i artikel 43 i cyberresiliensförordningen. Det finns bestämmelser om kraven på anmälda organ i artikel 39 i cyberresiliensförordningen.  

Paragrafens 2 mom. innehåller bestämmelser om innehållet i ett beslut om utseende av ett anmält organ. Vid sidan om vad som bestäms i 44 § i förvaltningslagen ska beslutet ange kompetensområdet för bedömningsorganet och fastställa tillsynsarrangemangen. I beslutet är det dessutom möjligt att vid behov ställa krav, begränsningar och villkor i fråga om organets verksamhet, med vilka det säkerställs att uppgifterna enligt cyberresiliensförordningen utförs på ett ändamålsenligt sätt.  

Paragrafens 3 mom. innehåller en informativ hänvisning till bestämmelserna i artikel 45 i cyberresiliensförordningen om begränsning och återkallelse av ett beslut om utseende till anmält organ.  

Med stöd av paragrafens 4 mom. tillämpas på personer anställda vid ett anmält organ och ett dotterbolag och en underleverantör som organet använder bestämmelserna om straffrättsligt tjänsteansvar när personal utför i cyberresiliensförordningen avsedda uppgifter som hör till ett anmält organ. Bestämmelsen behövs, eftersom skötseln av uppgifterna handlar om en offentlig förvaltningsuppgift. Momentet innehåller även en informativ hänvisning till skadeståndslagen. Dessutom ska ett anmält organ eller ett dotterbolag eller en underleverantör som det använder, då det sköter en offentlig förvaltningsuppgift, iaktta de allmänna förvaltningslagarna, det vill säga förvaltningslagen (434/2003), lagen om offentlighet i myndigheters verksamhet (621/1999), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), språklagen (423/2003), lagen om informationshantering inom den offentliga förvaltningen (906/2019) och lagen om om tillhandahållande av digitala tjänster (306/2019) även utan uttrycklig hänvisning till de allmänna lagarna. Det finns bestämmelser om möjligheten för ett anmält organ att lägga ut uppgifter på underentreprenad eller att anlita ett dotterbolag i artikel 41.  

14 §. Den anmälande myndighetens och anmälda organs rätt att lämna ut sekretessbelagd information. Paragrafen innehåller bestämmelser om den anmälande myndighetens och anmälda organs rätt att lämna ut information då det behövs för att utföra de uppgifter som tilldelats dem med stöd av cyberresiliensförordningen.  

I paragrafens 1 mom. föreskrivs rätten för den anmälande myndigheten att lämna ut en handling som den fått eller upprättat samt röja sekretessbelagd information om grunderna för anmälan av organ för bedömning av överensstämmelse och om dess övriga kompetens, om det behövs för att fullgöra den anmälande myndighetens skyldigheter enligt cyberresiliensförordningen. Det handlar främst om affärshemligheter eller andra näringshemligheter som gäller organ för bedömning av överensstämmelse. Det är behövligt att lämna ut sekretessbelagd information till exempel i en sådan situation som avses i artikel 43.4 i cyberresiliensförordningen, där anmälningen av organet baserar sig på någon annan utredning än ett ackrediteringsintyg. I så fall ska den anmälande myndigheten till kommissionen och de andra medlemsstaterna överlämna underlag, med vilka det är möjligt att bevisa att ett organ för bedömning av överensstämmelse har kompetens och använder arrangemang med vilka det kan säkerställas att organet övervakas regelbundet och att det fortfarande uppfyller de krav som föreskrivs i artikel 39. Det är sannolikt behövligt att lämna ut sekretessbelagd information även i en situation där ett anmält organs kompetens bestrids i enlighet med artikel 46 i cyberresiliensförordningen. I så fall ska den medlemsstat som gjort anmälan, det vill säga den anmälande myndigheten med stöd av 11 § 2 mom. i enlighet med artikel 46.2 i cyberresiliensförordningen på begäran ge kommissionen all information om grunderna för anmälan eller det berörda organets fortsatta kompetens.  

I paragrafens 2 mom. föreskrivs å sin sida rätten för ett anmält organ att lämna ut eller röja en handling eller information som den fått eller upprättat och som gäller bedömning av överensstämmelse och resultaten av kontroller till Europeiska kommissionen, medlemsstater i Europeiska unionen och andra anmälda organ, om det behövs för att fullgöra det anmälda organets skyldigheter enligt cyberresiliensförordningen. I en sådan situation handlar det i regel om affärshemligheter för tillverkaren i anknytning till den bedömda produkten eller andra sekretessbelagda uppgifter som gäller produkten. En förutsättning för att lämna ut information är att de behövs för att fullgöra en skyldighet för ett anmält organ vilken föreskrivits med stöd av cyberresiliensförordningen. Det kan vara behövligt att lämna ut information för att fullgöra skyldigheten för ett anmält organ enligt artikel 49.2 i cyberresiliensförordningen. Enligt den ska de anmälda organen ge de andra organ som anmälts enligt denna förordning, och som utför liknande bedömningar av överensstämmelse som täcker samma produkter med digitala element, relevant information om frågor som rör negativa och, på begäran, positiva resultat av bedömningar av överensstämmelse. Dessutom har ett anmält organ en skyldighet att överlämna kopior av den tekniska dokumentationen i anknytning till EU-typkontrollen och resultaten av kontroller som gjorts av det anmälda organet till kommissionen eller en annan medlemsstat med stöd av punkt 9 i del II i bilaga VIII till cyberresiliensförordningen.  

4 kap. – Marknadskontroll 

15 §.Marknadskontrollmyndighet . Paragrafen innehåller bestämmelser om uppgiften som marknadskontrollmyndighet enligt cyberresiliensförordningen. I Finland fungerar i regel Transport- och kommunikationsverket som marknadskontrollmyndighet för kraven enligt cyberresiliensförordningen i fråga om de produkter med digitala element som omfattas av förordningens tillämpningsområde. Marknadskontrollmyndigheten ansvarar för de uppgifter som den tilldelas i cyberresiliensförordningen. Marknadskontrollmyndighetens uppgifter och befogenheter föreskrivs dessutom i marknadskontrollförordningen och marknadskontrollagen.  

16 §.Marknadskontroll av AI-system med hög risk . Paragrafen innehåller bestämmelser om marknadskontrollen av produkter med digitala element då en produkt är ett AI-system med hög risk enligt förordningen om artificiell intelligens. Med avvikelse från vad som föreskrivs i 15 § ovan utgörs marknadskontrollmyndigheten för AI-system med hög risk även i fråga om kraven i cyberresiliensförordningen av den myndighet som övervakar AI-system hög risk med stöd av 3 § i lagen om tillsyn över vissa system för artificiell intelligens.  

Artikel 52.14 i cyberresiliensförordningen förutsätter att till den del det handlar om AI-system med hög risk enligt EU:s förordning om artificiell intelligens (EU) 2024/1689, ska produkterna med stöd av förordningen om artificiell intelligens övervakas av den behöriga myndigheten även i fråga om kraven enligt cyberresiliensförordningen. Denna fråga är inte förenad med något nationellt handlingsutrymme. På grund av detta fungerar den behöriga myndigheten enligt 3 § i lagen om tillsyn över vissa system för artificiell intelligens som marknadskontrollmyndighet för AI-system med hög risk, till den del som de omfattas av kraven i cyberresiliensförordningen. 

Artikel 52.15 i cyberresiliensförordningen innehåller bestämmelser om inrättande av en Adco-grupp. Adco-gruppen består av företrädare för de utsedda marknadskontrollmyndigheterna och, om så är lämpligt, företrädare för de centrala samordningskontoren. Representanten till Adco-gruppen utnämns av Transport- och kommunikationsverket, eftersom marknadskontrolluppgiften samlas till den, med undantag för undantaget i 16 §. I det fallet att det är möjligt att utnämna flera än en representant från Finland till samarbetsgruppen, är det möjligt att utnämna även en marknadskontrollmyndighet enligt 16 § som representant, om det är ändamålsenligt för marknadskontrollen enligt cyberresiliensförordningen. 

17 §.Expertstöd för marknadskontroll . Det föreslås att paragrafen innehåller bestämmelser om tillhandahållande av expertstöd från Transport- och kommunikationsverket till en annan myndighet för marknadskontrollen och påförandet av en administrativ påföljdsavgift. Transport- och kommunikationsverket kan på begäran ge expertstöd som gäller marknadskontroll, bedömning av överensstämmelse och bedömning av cybersäkerhetsrisker enligt cyberresiliensförordningen till de marknadskontrollmyndigheter som avses i 16 § samt till den som är behörig att påföra påföljdsavgifter enligt 6 kap. Stöd kan således ges till en annan myndighet i praktiken för marknadskontrollen av AI-system med hög risk eller påförande av en administrativ påföljdsavgift som hänför sig till dessa.  

Möjligheten att använda experthjälp behövs i praktiken för att säkerställa att man i kontrollen förmår iaktta enhetliga grunder för att bedöma produkternas överensstämmelse. Karaktären på experthjälpen kan vara till exempel informativt eller tekniskt stöd för bedömningar av överensstämmelsen samt stöd för att rikta kontrollåtgärderna. Stödet kan gälla det förfarande som avses i artikel 54 i cyberresiliensförordningen, där en eventuell betydande cybersäkerhetsrisk enligt artikel 54 i cyberresiliensförordningen bedöms. Den föreslagna lagens 18 § innehåller bestämmelser om informationsutbytet i anknytning till expertstöd.  

På samarbetet mellan marknadskontrollmyndigheterna tillämpas i övrigt vad som bestäms i marknadskontrollagen, marknadskontrollförordningen och cyberresiliensförordningen. 

18 §.Marknadskontrollmyndighetens rätt att lämna ut sekretessbelagd information. Paragrafen innehåller bestämmelser om den rätt att lämna ut sekretessbelagd information vilken förutsätts för marknadskontrollen enligt cyberresiliensförordningen.  

Bestämmelserna tillämpas som specialbestämmelser utöver vad som annanstans i lagen bestäms om rätten att lämna ut information för marknadskontrollmyndigheten. Marknadskontrollagens 11 § innehåller bestämmelser bland annat om rätten för marknadskontrollmyndigheten att lämna ut information till Tullen och 13 § i marknadskontrollagen innehåller bestämmelser om rätten att lämna ut information till vissa andra finländska och utländska myndigheter och till internationella organ. De uppgiftstyper som räknats upp i marknadskontrollagen (uppgifter om ett företags och en sammanslutnings ekonomiska ställning, affärshemligheter och en enskild persons personliga förhållande) är inte tillräckliga för det samarbete som cyberresiliensförordningen förutsätter (se avsnitt REF _Ref196839805 \r \h \* MERGEFORMAT 3.1.2), även om utlämnande av även dessa uppgifter blir aktuellt. I paragrafens kompletteras dessa bestämmelser genom att utfärda en bestämmelse om rätten att lämna ut även vissa andra uppgifter och om utlämnandet av uppgifter till sådana myndigheter som inte nämns i marknadskontrollagen. 

I paragrafens 1 mom. utvidgas de uppgiftstyper som med stöd av 11 och 13 § i marknadskontrollagen omfattas av rätten att lämna ut information att även gälla information om överensstämmelse, säkerhetsarrangemang och sårbarhet i fråga om produkter med digitala element och uppgifter om incidenter som påverkar dataskyddet. Dessa uppgifter kan vara sekretessbelagda i synnerhet i egenskap av i 24 § 1 mom. 7 punkten i offentlighetslagen avsedda handlingar som gäller säkerhetsarrangemangen i informations- och kommunikationssystem och som påverkar genomförandet av dessa. Dessa uppgifter är i princip sekretessbelagda utifrån sekretesspresumtionen. Det är nödvändigt att inkludera uppgifterna i informationsutbytet, eftersom skyldigheterna i cyberresiliensförordningen hänför sig till dessa uppgifters föremål. Marknadskontrollmyndigheten kan lämna ut information på eget initiativ eller på begäran.  

Paragrafens 2 mom. innehåller bestämmelser om marknadskontrollmyndighetens rätt att lämna ut sekretessbelagd information till de instanser som avses i 1–6 punkten och med vilka det är behövligt för marknadskontrollmyndigheten att samarbeta för att fullgöra dess föreskrivna uppgifter, men vilka inte ingår i 11 och 13 § i marknadskontrollagen. Marknadskontrollmyndigheten kan lämna ut information på eget initiativ eller på begäran.  

Momentets 1 punkt innehåller bestämmelser om utlämnande av information till ackrediteringstjänsten FINAS, om utlämnandet av information är nödvändigt för att bedöma kompetensen för organ för bedömning av överensstämmelse. Enligt artikel 5.3 om ackreditering i NLF-förordningen ska de nationella ackrediteringsorganen övervaka de organ för bedömning av överensstämmelse till vilka det utfärdat ett ackrediteringsintyg. I punkt 4 i artikeln föreskrivs att om ett nationellt ackrediteringsorgan bedömer att ett organ för bedömning av överensstämmelse som erhållit ett ackrediteringsintyg inte längre har nödvändig kompetens för att bedriva specifik verksamhet inom bedömning av överensstämmelse, eller allvarligt underlåtit att uppfylla sina skyldigheter, ska ackrediteringsorganet inom rimlig tid vidta alla lämpliga åtgärder för att begränsa, eller tillfälligt eller helt återkalla ackrediteringsintyget.  

Momentets 2 punkt innehåller bestämmelser om utlämnande av uppgifter till den nationella myndigheten för cybersäkerhetscertifiering, om utlämnandet av information är nödvändigt för att myndigheten i fråga ska kunna utföra sina tillsynsuppgifter. Marknadskontrollmyndigheterna ska enligt artikel 52.4 i cyberresiliensförordningen när så är lämpligt samarbeta med de nationella myndigheter för cybersäkerhetscertifiering som utsetts med stöd av cybersäkerhetsakten och regelbundet utbyta information med dessa. Med stöd av 21 § i den föreslagna lagen fortsätter Transport- och kommunikationsverket med uppgiften. Information kan därtill lämnas ut till en myndighet som sköter en motsvarande uppgift i en annan medlemsstat. På det föreslagna sättet kan det vara nödvändigt att lämna ut information till exempel om det i kontrollen framkommer en incident som gäller cybersäkerhetscertifieringen, mot vilken myndigheten för cybersäkerhetscertifiering ska rikta kontrollåtgärder.  

Momentets 3 punkt innehåller bestämmelser om utlämnande av information till en sådan tillsynsmyndighet som avses i 26 § i cybersäkerhetslagen och 18 h § i lagen om informationshantering inom den offentliga förvaltningen (906/2019), Finansinspektionen eller en motsvarande myndighet i en annan medlemsstat, om en produkt med digitala element med fog kan bedömas utgöra en betydande cybersäkerhetsrisk på grund av icke-tekniska riskfaktorer. Detta hänvisar till en situation enligt artikel 54.2 i cyberresiliensförordningen. I den föreskrivs att om marknadskontrollmyndigheten i en medlemsstat har tillräckliga skäl att anse att en produkt med digitala element utgör en betydande cybersäkerhetsrisk, ska den, utan onödigt dröjsmål och om lämpligt i samarbete med den berörda CSIRT-enheten, med stöd av artikel 8 i NIS 2-direktivet underrätta den utsedda eller inrättade behöriga myndigheten om detta samt vid behov föra samarbete med dessa myndigheter. Nationellt utgörs de behöriga myndigheterna enligt artikel 8 i NIS 2-direktivet av tillsynsmyndigheterna enligt 26 § i cybersäkerhetslagen och 18 h § i informationshanteringslagen samt Finansinspektionen med stöd av 50 p § i lagen om Finansinspektionen (878/2008). Utlämnandet av sekretessbelagda information ska vara nödvändigt för att fullgöra anmälningsskyldigheten enligt artikel 54.2 i cyberresiliensförordningen.  

Momentets 4 punkt innehåller för det första bestämmelser om utlämnandet av information till Europeiska unionens cybersäkerhetsbyrå (Enisa) och CSIRT-enheten, som verkar vid Transport- och kommunikationsverkets Cybersäkerhetscenter, om det är nödvändigt för att fullgöra en samarbetsskyldighet eller genomföra rådgivning eller en utredning enligt artiklarna 52.4, 52.5 och 54.1 i cyberresiliensförordningen. Dessutom innehåller momentet bestämmelser om utlämnande av information till CSIRT-enheten, om det är nödvändigt för att utföra de uppgifter som CSIRT-enheten ska utföra enligt cybersäkerhetslagen. 

I artikel 52.4 i cyberresiliensförordningen föreskrivs att när det gäller tillsynen över genomförandet av rapporteringsskyldigheterna enligt artikel 14 i cyberresiliensförordningen, ska de utsedda marknadskontrollmyndigheterna samarbeta och regelbundet utbyta information med de CSIRT-enheter som utsetts till samordnare och med Enisa. Enligt artikel 52.5 i cyberresiliensförordningen får marknadskontrollmyndigheterna be en CSIRT-enhet som utsetts till samordnare eller Enisa att ge tekniska råd i frågor som rör genomförandet och efterlevnaden av denna förordning När marknadskontrollmyndigheterna gör en undersökning enligt artikel 54 kan de begära den CSIRT-enhet som utsetts till samordnare eller Enisa att lägga fram en analys till stöd för bedömningarna av överensstämmelsen för produkter med digitala element.  

Artikel 54 i cyberresiliensförordningen innehåller bestämmelser om förfaranden på nationell nivå för produkter med digitala element som utgör en betydande cybersäkerhetsrisk. I punkt 1 i artikeln föreskrivs att om marknadskontrollmyndigheten i en medlemsstat har tillräckliga skäl att anse att en produkt med digitala element, inbegripet dess sårbarhetshantering, utgör en betydande cybersäkerhetsrisk, ska den, utan onödigt dröjsmål och om lämpligt i samarbete med den berörda CSIRT-enheten, göra en utvärdering av den berörda produkten med digitala element med avseende på dess uppfyllande av alla krav som fastställs i denna förordning.  

För det andra innehåller punkten bestämmelser om rätten att lämna ut information även i andra fall till CSIRT-enheten i det fallet att det är nödvändigt för skötseln av de uppgifter som föreskrivits för den i cybersäkerhetslagen. Med tanke på de uppgifter som föreskrivits för CSIRT-enheten i cybersäkerhetslagen kan utlämnande av information vara nödvändigt till exempel för att föra en lägesbild av cybersäkerheten, ge en tidig varning, för sårbarhetssamordningen eller för sårbarhetskartläggningen. Rätten att lämna ut information handlar till denna del om en bestämmelse som förbättrar det nationella samarbetet och utbytet av information, vilken marknadskontrollen enligt cyberresiliensförordningen inte direkt förutsätter. Sannolikt är det dock möjligt att marknadskontrollmyndigheten upptäcker eller i sitt uppdrag tar emot uppgifter som är nödvändiga för att sköta de uppgifter för CSIRT-enheten vilka föreskrivs i 20 § i lagen om cybersäkerhet. Det kan till exempel handla om uppgifter som är behövliga för att föra en lägesbild över cybersäkerheten till exempel i situationer där skyldigheterna i cyberresiliensförordningen fullgjorts bristfälligt, vilka marknadskontrollmyndigheten anser att CSIRT-enheten ska underrättas om, eller till exempel om sårbarhets- och hotuppgifter som kommit till marknadskontrollmyndighetens kännedom och som behövs för att sköta CSIRT-enhetens uppgift som gäller sårbarhetssamordning eller för att ge en tidig varning eller uppgifter som gör att CSIRT-enheten kan genomföra en sårbarhetskartläggning. Genom bestämmelsen stöds samarbetet och utbytet av information mellan de nationella myndigheterna med tanke på cyberincidenter.  

Paragrafens 5 punkt innehåller bestämmelser om utlämnande av information till dataombudsmannen, om det är nödvändigt att lämna ut informationen för skötseln av dataombudsmannens lagstadgade tillsynsuppgifter. Enligt artikel 52.7.1 i cyberresiliensförordningen ska marknadskontrollmyndigheterna vid behov samarbeta med de myndigheter som utövar tillsyn över unionens dataskyddsrätt. I detta samarbete ingår att underrätta dessa myndigheter om alla iakttagelser av betydelse för deras fullgörande av sina befogenheter, inbegripet utfärdande av vägledning och råd enligt artikel 52.10 om vägledningen och råden rör behandling av personuppgifter. Punkten möjliggör att information lämnas ut på eget initiativ i dessa fall. Utlämnandet av information ska avgränsas till det som är nödvändigt med tanke på informationen om observationer. Dataombudsmannen ska ha rätt att begära även andra uppgifter i anknytning till ärendet enligt vad som bestäms nedan.  

Momentets 6 punkt innehåller bestämmelser om utlämnande av nödvändig information för tillsynen av konkurrenslagstiftningen till Europeiska kommissionen, Konkurrens- och konsumentverket eller den nationella konkurrensmyndigheten i en annan medlemsstat i Europeiska unionen. I artikel 52.13 i cyberresiliensförordningen föreskrivs att de utsedda marknadskontrollmyndigheterna utan dröjsmål till kommissionen och berörda nationella konkurrensmyndigheter ska rapportera all information som framkommit i samband med marknadskontrollen och som kan vara av potentiellt intresse för tillämpningen av unionens konkurrensrätt.  

Paragrafens 3 mom. innehåller bestämmelser om utbyte av information mellan en i 17 § avsedd myndighet som begär och tar emot expertstöd. Myndigheterna kan utan hinder av sekretessplikterna lämna ut information som är nödvändig för expertstödet till varandra. Tillhandahållande av expertstöd är en separat uppgift i förhållande till Transport- och kommunikationsverkets tillsynsuppgift, varför det för klarhetens skull finns ett behov av att utfärda separata bestämmelser om rätten att lämna ut information även för tillhandahållandet av expertstöd.  

19 §.Marknadskontrollmyndighetens rätt att utföra inspektioner och ta programvaror för undersökning . Det föreslås att paragrafens 1 mom. innehåller bestämmelser om marknadskontrollmyndighetens rätt att göra inspektioner i utrymmen som används för boende av permanent natur och som en ekonomisk aktör använder för syfte i anknytning till dess närings- eller yrkesverksamhet. Bestämmelsen kompletterar bestämmelsen om marknadskontrollmyndighetens inspektionsrätt i 9 § i marknadskontrollagen, vilken till övriga delar tillämpas på marknadskontrollmyndighetens rätt att göra inspektioner. Marknadskontrollagens 9 § 2 mom. förutsätter att separata bestämmelser vid behov utfärdas om inspektion av utrymmen som används för boende av permanent natur.  

Cyberresiliensförordningens tillämpningsområde omfattar produkter som kan utvecklas och tillverkas och i anknytning till vilka det i viss mån även är möjligt att bedriva verksamhet i hemfridsskyddade utrymmen vid sidan om företagets separata verksamhetslokaler. Närings- eller yrkesverksamhet som omfattas av cyberresiliensförordningens tillämpningsområde, såsom programvaruutveckling eller montering av enheter, kan bedrivas och det är även vanligt att sådan bedrivs i hemfridsskyddade utrymmen. I så fall är det möjligt att det uppkommer situationer där den enda möjligheten att göra en inspektion som gäller ett företag är att göra den i områden som i sig är hemfridsskyddade och som en ekonomisk aktör använder i sin näringsverksamhet, där de system och den dokumentation som används i verksamheten finns. Regleringen möjliggör därför att inspektionen utsträcks även till hemfridsskyddade utrymmen, då det är nödvändigt för att utreda omständigheter som är föremål för inspektionen.  

En inspektion som omfattas av hemfridsskyddet är möjlig endast om den är nödvändig för att utreda omständigheter som är föremål för inspektionen, det vill säga att myndigheten inte kan skaffa uppgifter som är nödvändiga för övervakningen med stöd av sin rätt att få uppgifter eller genom att göra inspektionen annanstans än i ett utrymme som används för boende av permanent natur.  

Externa experter kan vid behov delta i en inspektion som hjälp till marknadskontrollmyndigheten på det sätt som föreskrivs i 14 § 2 mom. i marknadskontrollagen. En självständig inspektion av en extern expert är inte möjlig med stöd av bestämmelsen. Eftersom bestämmelsen innehåller en hänvisning till 9 § i marknadskontrollagen, handlar en inspektion av ett utrymme som används för boende av permanent natur på det sätt som avses i det nämnda momentet om en inspektion enligt marknadskontrollagen. På grund av hänvisningen blir även 39 § i förvaltningslagen tillämplig vid inspektioner enligt bestämmelsen. 

I momentet förutsätts att myndigheten har motiverade och specificerade skäl att misstänka att det har skett eller sker en sådan överträdelse av bestämmelserna i cyberresiliensförordningen eller bestämmelser som utfärdats med stöd av den att påföljden kan vara en påföljdsavgift enligt den föreslagna lagen. Således får en inspektion utföras i ett utrymme som används för boende av permanent natur endast om myndigheten i förväg har ändamålsenliga grunder att misstänka att regleringen överträds. Överträdelsens allvar uttrycks av att det är möjligt att påföra en administrativ påföljdsavgift av straffkaraktär för den. Om det är uppenbart att den gärning som utreds inte leder till att någon påföljdsavgift påförs på grund av att den är ringa eller någon annan motsvarande orsak, kan inte heller någon inspektion göras. Proportionaliteten för inspektionen säkerställs dessutom av förutsättningen i momentet om att den misstänkta överträdelsen handlar om en produkt med digitala element eller en process i anknytning till den, såsom hanteringen av sårbarheter, överensstämmelse med kraven eller att det handlar om en situation som avses i artikel 57 i cyberresiliensförordningen, där produkten trots överensstämmelsen med kraven orsakar en avsevärd cybersäkerhetsrisk samt en annan i artikeln avsedd risk som ska hänföra sig till människornas hälsa eller säkerhet, efterlevnad av skyldigheter för att skydda de grundläggande fri- och rättigheterna enligt unionsrätten eller den nationella lagstiftningen, dataskyddet för centrala aktörer enligt NIS 2-direktivet eller andra aspekter som gäller skyddet av ett allmänt intresse. Således kan inspektionsrätten utövas i hemfridsskyddade utrymmen endast i misstänkta fall av överträdelse som är allvarliga i den månen att dessa förutsättningar uppfylls. 

Paragrafens 2 mom. innehåller enligt förslaget bestämmelser om upptagning för undersökning inom marknadskontrollen. Momentet innehåller en informativ hänvisning till marknadskontrollagen. Dessutom innehåller momentet bestämmelser om ett avgränsat undantag till skyldigheten enligt marknadskontrollagen att ersätta en produkt som tagits för undersökning till en ekonomisk aktör. 

Marknadskontrollmyndighetens 10 § innehåller bestämmelser om marknadskontrollmyndighetens rätt att ta produkter för undersökning, om det behövs för kontrollen av produkternas överensstämmelse med kraven. Enligt 10 § 2 mom. i marknadskontrollagen ska marknadskontrollmyndigheten på yrkande från en ekonomisk aktör ersätta en produkt enligt gängse pris, förutsatt att det inte framgår att produkten inte överensstämmer med kraven. Eftersom även programvaruprodukter och produktlösningar för fjärrbehandling av data, inbegripet programvaru- och hårdvarukomponenter som släpps ut på marknaden oberoende av varandra, kan omfattas av tillämpningsområdet för cyberresiliensförordningen, lämpar sig behörigheten enligt marknadskontrollagen även för dessa. Om en programvaruprodukt tas för undersökning, orsakar detta för den ekonomiska aktören inte någon skada på grund av att det exemplar som tas för undersökning inte kan säljas jämfört med vad en fysisk produkt på motsvarande sätt kan orsaka, eftersom programvaruprodukter i regel är i digitalt format. Således ska marknadskontrollmyndigheten inte betala någon ersättning enligt 10 § i marknadskontrollen för tagande av en programvara för undersökning till en ekonomisk aktör, oberoende av om programvaran konstateras överensstämma med kraven. Bestämmelsen gäller inte för ersättning som tas ut av Tullen med stöd av 10 § 2 mom. i marknadskontrollagen.  

20 §.Tillsynsbeslut som meddelas en förvaltare av programvara med fri och öppen källkod . Paragrafens 1 mom. innehåller bestämmelser om möjligheten att ge en förvaltare av programvara med fri och öppen källkod ett åläggande förordnande om att inom utsatt tid avhjälpa brister i fullgörandet av dess skyldigheter enligt cyberresiliensförordningen Det finns bestämmelser om skyldigheterna för en förvaltare av programvara i artikel 24 i cyberresiliensförordningen (se avsnitt REF _Ref209616288 \r \h \* MERGEFORMAT 2.1.3.3). Behovet av reglering som kompletterar marknadskontrollagen har bedömts i avsnitt REF _Ref196053144 \r \h \* MERGEFORMAT 3.1.2. Det kan handla till exempel om en skyldighet att åtgärda en brist i de riktlinjer för cybersäkerhet som utarbetats av en förvaltare av programvara eller att göra en incidents- eller sårbarhetsanmälan som fattas. Genom skyldigheten är det även möjligt att effektivisera en myndighets begäran om att överlämna de dokumenterade riktlinjerna för cybersäkerheten vilka utarbetats av en förvaltare av programvara, om de inte överlämnas till den frivilligt, liksom en myndighets begäran om att föra det samarbete som cyberresiliensförordningen förutsätter för att lindra cybersäkerhetsriskerna i vissa fall, om begäran inte iakttas i övrigt.  

Paragrafens 2 mom. innehåller bestämmelser om möjligheten för tillsynsmyndigheten att förena ett beslut som den har fattat med vite. Bestämmelser om föreläggande och verkställande av vite finns i viteslagen.  

5 kap. – Cybersäkerhetscertifiering 

21 §.Nationell myndighet för cybersäkerhetscertifiering . I paragrafens 1 mom. tilldelas uppgifterna enligt cybersäkerhetsakten för den nationella myndighet som utfärdar cybersäkerhetscertifiering till Transport- och kommunikationsverket, som även för närvarande sköter uppgiften med stöd av lagen om tjänster inom elektronisk kommunikation. Med stöd av artikel 58 i cybersäkerhetsakten omfattar myndighetsuppgifterna att bemyndiga organ för bedömning av överensstämmelse, tillsyn och uppföljning, kontroll av överensstämmelse och utfärdande av cybersäkerhetscertifikat av hög assuransnivå.  

På ett sätt som avviker från den svenskspråkiga versionen av cybersäkerhetsakten används i förslaget begreppet myndighet för cybersäkerhetscertifiering, vilket även i praktiken har tillägnats i myndighetens kommunikation. I den svenskspråkiga versionen av cybersäkerhetsakten används begreppet nationell myndighet som utfärdar cybersäkerhetscertifiering, även om denna myndighets uppgifter, utöver att utfärda europeiska cybersäkerhetscertifikat, i vissa fall även omfattar tillsynsverksamhet i anknytning till cybersäkerhetsakten. I förordningen krävs att dessa verksamheter avskiljs från varandra. Det begrepp som använts i den finskspråkiga versionen är ”kansallinen kyberturvallisuussertifioinnin myöntävä viranomainen”, medan ”national cybersecurity certification authority” används i den engelskspråkiga versionen. Det föreslagna begreppet redogör bättre än den svenskspråkiga versionen för att myndighetens uppgifter, utöver att utfärda europeiska cybersäkerhetscertifikat, omfattar tillsynsverksamhet i anknytning till cybersäkerhetsakten.  

Paragrafens 2 mom. innehåller på det sätt som förordningen förutsätter bestämmelser om avskiljandet av utfärdandet av cybersäkerhetscertifikat och tillsynsverksamheten i anknytning till cybersäkerhetsakten. Enligt förordningen ska medlemsstaterna säkerställa att den verksamhet som bedrivs av den nationella myndigheten för cybersäkerhetscertifiering i samband med utfärdande av europeiska cybersäkerhetscertifikat som avses i artikel 56.5 a och 56.6 är strikt avskilda från deras uppgifter och ansvarsområden i förhållande till tillsynsverksamheten enligt den här artikeln och att dessa verksamheter utförs oberoende av varandra.  

Transport- och kommunikationsverket ska organisatoriskt ordna sin verksamhet så att beslutsfattandet i anknytning till utfärdande av cybersäkerhetscertifikat har avskilts från beslutsfattandet i anknytning till cybersäkerhetscertifieringen på så sätt att samma personer inte kan rikta administrativ handledning såväl på utfärdande av certifikat som på kontrollverksamheten. I praktiken kan uppgifterna tilldelas de enheter som verkar vid de olika avdelningarna vid Transport- och kommunikationsverkets Cybersäkerhetscenter. Detta hindrar dock inte att myndighetspersonalens expertis utnyttjas i olika uppgifter. 

Cybersäkerhetsakten och föreslagna 24 § möjliggör att uppgiften att delegera utfärdandet av certifikat av hög assuransnivå hos myndigheten för cybersäkerhetscertifiering delegeras till organet för bedömning av överensstämmelse. Enligt tolkningen av Europeiska gruppen för cybersäkerhetscertifiering utgör ett förhandsgodkännande enligt artikel 56.6 a i cybersäkerhetsakten, vilket getts av en myndighet för utfärdande av enskilda certifikat till organ för bedömning av överensstämmelse, utfärdande av certifiering, som ska avskiljas från tillsynsmyndighetens verksamhet. Allmän delegering i förväg enligt artikel 56.6 b i förordningen är inte lika problematiskt i förhållande till skötseln av tillsynsuppgifter, eftersom myndigheten inte spelar någon roll i utfärdandet av certifikat. Även till denna del är det möjligt att anse att delegeringen organisatoriskt sett är en naturligare del av utfärdandet av certifikat, med den skillnaden att det i fråga om anmälning och bemyndigande av ett bedömningsorgan och tillsynsuppgifterna i princip finns möjlighet att pröva om man överhuvudtaget ska delegera uppgifterna och till vilka organ för bedömning av överensstämmelse de delegeras. Myndigheternas tillsynsuppgifter omfattar å sin sida på entydigt sätt den i artikel 58.7 f i cybersäkerhetsakten nämnda behandlingen av klagomål som gjorts av utomstående i anknytning till certifikat som utfärdats utifrån delegering av organ för bedömning av överensstämmelse. 

22 §.Anmälan och bemyndigande av organ för bedömning av överensstämmelse för cybersäkerhetscertifiering . Paragrafens 1 mom. är en informativ hänvisning till uppgiften för myndigheten för cybersäkerhetscertifiering att anmäla ett organ för bedömning av överensstämmelse till kommissionen för cybersäkerhetscertifiering efter att organet ackrediterats. På samma sätt som i 11 § i den föreslagna lagen i fråga om cyberresiliensförordningen utfärdas ackrediteringen av Säkerhets- och kemikalieverkets ackrediteringsenhet (ackrediteringstjänsten FINAS). En ytterligare förutsättning för anmälan är i vissa fall ett bemyndigande som getts av myndigheten för cybersäkerhetscertifiering till bedömningsorganet, vilket behövs vid fastställandet av särskilda krav eller tilläggskrav enligt artikel 54.1 f, vilka bedömningsorganet ska uppfylla. Sådana krav på bemyndigande kan ingå i de certifieringsordningar som kommissionen har godkänt. För närvarande förutsätter EUCC-genomförandeförordningen (kommissionens genomförandeförordning (EU) 2024/482 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska ordningen för cybersäkerhetscertifiering (EUCC) som baserar sig på gemensamma kriterier) bemyndigande för utfärdande av certifikat av hög assuransnivå utifrån den.  

På ackreditering och jämställbar kompetensbedömning tillämpas lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005). På de krav som gäller ett organ för bedömning av överensstämmelse tillämpas bilagan till förordningen med stöd av hänvisningen i artikel 60.1 i cybersäkerhetsakten. Det nationella ackrediteringsorganet utfärdar ackreditering endast om kraven uppfylls. Myndigheten för cybersäkerhetscertifiering har uppgifter enligt cyberresiliensförordningen och behörighet att övervaka att organen för bedömning av överensstämmelse iakttar kraven i förordningen. Dessutom följer ackrediteringsenheten bedömningsorganets kompetens och den kan dra in en ackreditering, om förutsättningarna för ackreditering inte längre är uppfyllda. 

I paragrafens 2 mom. föreskrivs att förutsättningen för anmälan och bemyndigande för cybersäkerhetscertifiering är att organet för bedömning av överensstämmelse av ackrediteringstjänsten FINAS har beviljats ett ackrediteringsintyg över att organet för bedömning av överensstämmelse uppfyller kraven i cybersäkerhetsakten. Den föreslagna ordalydelsen möjliggör att myndigheten för cybersäkerhetscertifiering kan inleda bedömningen i anknytning till bemyndigandet då ackrediteringsförfarandet fortfarande pågår, om myndigheten finner det motiverat.  

23 §.Skyldigheter för organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering .  

Paragrafens 1 mom. innehåller bestämmelser om skyldigheten för ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering att utföra bedömningar av överensstämmelse på det sätt som förutsätts i fråga om förfarandena för bedömning av överensstämmelse enligt cyberresiliensförordningen och de rättsakter som getts med stöd av den, liksom även andra uppgifter som föreskrivits i ovan avsedda rättsakter. Förslaget motsvarar delvis 14 § 1 mom. i lagen om anmälda organ för vissa produktgrupper. Den nämnda lagen blir inte tillämplig på organ för bedömning av överensstämmelse som anmälts med stöd av cybersäkerhetsakten, varför det finns ett behov av att inkludera vissa bestämmelser om bedömningsorganens skyldigheter.  

Paragrafens 2 mom. innehåller bestämmelser om skyldigheten för ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering att till myndigheten för cybersäkerhetscertifiering anmäla alla ändringar som påverkar uppfyllandet av förutsättningarna för anmälan eller bemyndigande. Dessa förutsättningar föreskrivs i cybersäkerhetsakten och i de certifieringsordningar som godkänts med stöd av den. I 25 § i lagförslaget föreskrivs rätten för myndigheten för cybersäkerhetscertifiering att få även andra uppgifter från organet för bedömning av överensstämmelse.  

På ett sätt som motsvarar ovan nämnda situation i fråga om 13 §, innehåller paragrafens 3 mom. bestämmelser om det straffrättsliga tjänsteansvaret med anledning av skötseln av en offentlig förvaltningsuppgift för en person anställd vid ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering och vid ett dotterbolag och en underleverantör som organet använder. Dessutom innehåller momentet en informativ hänvisning till skadeståndslagen. På det sätt som nämns ovan i samband med motiveringarna till 13 § blir de allmänna förvaltningslagarna tillämpliga även utan separat hänvisning. I en bilaga till cybersäkerhetsakten (krav på organ för bedömning av överensstämmelse) finns det även krav som gäller användning av dotterbolag eller underleverantörer.  

24 §.Överföring av uppgifter i anslutning till utfärdande av cybersäkerhetscertifikat . Paragrafens 1 mom. innehåller bestämmelser om att myndigheten för cybersäkerhetscertifiering kan överföra, det vill säga delegera, utfärdandet av cybersäkerhetscertifikat av hög assuransnivå till ett organ för bedömning av överensstämmelse. Denna möjlighet regleras i artikel 56.5 i cybersäkerhetsakten, vilken möjliggör två olika delegeringssätt. Uppgiften kan överföras antingen så att myndigheten i förväg godkänner utfärdandet av varje enskilt certifikat separat eller allmänt i förväg så att organet för bedömning av överensstämmelse självständigt utfärdar de europeiska cybersäkerhetscertifikat som beviljas inom ramen för någon viss europeisk ordning för cybersäkerhetscertifiering. I bägge fall kan bedömningsorganet anses förfara självständigt och fatta beslut om beviljande i eget namn, det vill säga att det inte handlar om en myndighetsassisterande roll. En certifieringsordning som getts genom en genomförandeförordning av kommissionen kan ställa randvillkor på delegeringen eller förutsätta sådana. Till exempel artikel 17.4 i EUCC-genomförandeförordningen möjliggör endast ett förfarande där myndigheten godkänner varje enskild certifieringsprocess i förväg. I samband med 21 § ovan görs en granskning av avskiljandet av delegeringsuppgifterna hos myndigheten för cybersäkerhetscertifiering från tillsynsuppgifterna.  

Det är möjligt att lagen om offentlig upphandling och koncession (1397/2016) från fall till fall blir tillämplig på upphandling av en tjänst från ett organ för bedömning av överensstämmelse i anknytning till överföringen av uppgiften. Om en myndighet för uppgiften godkänner alla organ för bedömning av överensstämmelse som uppfyller de lagstadgade förutsättningarna, handlar det inte om offentlig upphandling, varvid upphandlingslagstiftningen inte heller tillämpas (se på motsvarande sätt RP 108/2016 rd, s. 75). Om endast en del av organen för bedömning av överensstämmelse kan delta i utfärdandet av certifikat enligt lagförslag 1, kan situationen å sin sida komma att bedömas som en tjänstekoncession. I lagen om offentlig upphandling och koncession avses med tjänstekoncession ”ett sådant skriftligt avtal mot ett ekonomiskt vederlag genom vilket en eller flera upphandlande enheter överför tillhandahållandet och administreringen av andra tjänster än sådana som gäller byggkoncession och verksamhetsrisken i samband med den på en eller flera leverantörer, och där vederlaget för överföringen utgörs antingen av enbart rätten att utnyttja tjänsterna eller gemensamt av en sådan rätt och en betalning”. När en tjänsteleverantör tar en risk i anknytning till efterfrågan på tjänsten och certifieringsmyndigheten å sin sida drar nytta av att den inte behöver sköter uppgiften själv, kan definitionen uppfyllas.  

Paragrafens 2 mom. innehåller bestämmelser om omständigheter som åtminstone ska överenskommas i det avtal som ska ingås med ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering. Avtalet ska för det första innehålla en närmare beskrivning av de uppgifter som delegeras. Det är även möjligt att avgränsa uppgifterna noggrannare än endast till ett visst certifieringssystem. För det andra är det möjligt att i avtalet inkludera de särskilda krav som myndigheten för cybersäkerhetscertifiering bedömt vara behövliga i fråga om kompetensen för organet för bedömning av överensstämmelse och säkerheten i dess verksamhet, såsom skötseln av dataskyddet och den fysiska säkerheten, om de krav som följer av den tillämpliga ordningen för cybersäkerhetscertifiering inte anses vara tillräckliga. För det tredje ska avtalet innehålla ett ställningstagande till avtalsperioden, inledandet av verksamheten och avslutande av avtalet under avtalsperioden, såsom den eventuella rätten för myndigheten eller bedömningsorganet att säga upp ett avtal om delegering mitt under avtalsperioden. För det fjärde ska avtalet innehålla ett omnämnande om förvaring och arkivering av handlingar i anslutning till verksamheten hos organet för bedömning av överensstämmelse i synnerhet med tanke på avtalets slut. För det femte ska avtalet innehålla en överenskommelse om påföljder för brister och försummelser i verksamheten hos organet för bedömning av överensstämmelse.  

Behandling av personuppgifter eller avgifter nämns inte separat i momentet. Ett organ för bedömning av överensstämmelse anses fungera som självständig personuppgiftsansvarig till den del som skötseln av certifieringsuppgifter omfattar till exempel behandling av personuppgifter som gäller den som ansöker om ett certifikat. Syftet är att skötseln av den delegerade uppgiften finansieras med avgifter som organet för bedömning tar ut utifrån kommersiella grunder av de som ansöker som certifiering.  

Enligt paragrafens 3 mom. får myndigheten för cybersäkerhetscertifiering säga upp eller häva ett avtal om delegering, om ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering inte längre uppfyller de allmänna kraven för bedömningsorganet eller om det väsentligt försummar fullgörandet av de uppgifter som överenskommits i avtalet eller annars bryter mot avtalet eller väsentligen eller upprepade gånger handlar lagstridigt. Förslaget möjliggör att delegering återkallas, om de delegerade uppgifterna försummas på väsentligt sätt eller om organet för bedömning inte längre är kvalificerat för sina uppgifter. Vid behov är det möjligt att rikta även tillsynsåtgärder på ett organ för bedömning av överensstämmelse i ett separat förfarande i enlighet med den föreslagna lagen, men återkallelse av delegering är i princip inte beroende av hur tillsynsprocessen framskrider.  

25 §.Rätt att få information och utföra inspektioner för myndigheten för cybersäkerhetscertifiering. Paragrafens 1 mom. innehåller bestämmelser om rätten att få information för myndigheten för cybersäkerhetscertifiering. Myndigheten har trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att av organ för bedömning av överensstämmelse, innehavare av europeiska cybersäkerhetscertifikat och utfärdare av EU-försäkringar om överensstämmelse få den information som är nödvändig för skötseln av dess uppgifter enligt denna lag och cybersäkerhetsakten och för tillsynen över efterlevnaden av cybersäkerhetsakten, bestämmelser som utfärdats med stöd av den och denna lag. Uppgifterna ska lämnas ut utan obefogat dröjsmål, i den form som myndigheten begärt och avgiftsfritt.  

Förslaget kompletterar artikel 58.8 a i cybersäkerhetsakten, enligt vilken myndigheten ska ha befogenheter att begära att organ för bedömning av överensstämmelse, innehavare av ett europeiskt cybersäkerhetscertifikat och utfärdare en EU-försäkran om överensstämmelse ska lägga fram alla uppgifter som myndigheten behöver (eng. ”requires”) för att kunna fullgöra sin uppgift. Uttrycket kan anses överensstämma med den föreslagna förutsättningen som gäller nödvändigheten.  

De befogenheter som regleras i paragrafen förutsätter inte att det handlar om ett organ för bedömning av överensstämmelse som har anmälts för myndighetscertifiering, eftersom rätten att få information gäller även för en situation där bedömningsorganet bara har ansökt om anmälan och å andra sidan även de situationer, där bedömningsorganet på begäran av medlemsstaten redan har avförts från den förteckning över anmälningar som kommissionen upprätthåller. 

Den föreslagna paragrafens 2 mom. innehåller bestämmelser om inspektionsrätten för myndigheten för cybersäkerhetscertifiering. I enlighet med artikel 58.7 b i cybersäkerhetsakten kan en inspektion göras hos organ för bedömning av överensstämmelse, innehavare av ett europeiskt cybersäkerhetscertifikat och utfärdare en EU-försäkran om överensstämmelse. Föremålet för inspektionen är omständigheter som anknyter till övervakningen av efterlevnaden av cybersäkerhetsakten, de akter som utfärdats med stöd av den och den föreslagna lagen. Det föreslås att vad som föreskrivs i 39 § i förvaltningslagen (434/2003) iakttas vid inspektioner.  

Paragrafens 3 mom. innehåller bestämmelser om rätten för myndigheten för cybersäkerhetscertifiering att låta en oberoende expert utföra en inspektion. Den som utför inspektionen och de som deltar i den ska ha sådan utbildning och erfarenhet som behövs för att utföra inspektionen. Det är möjligt att skaffa den erfarenhet som behövs till exempel genom att tjänstgöra för ett organ för bedömning av överensstämmelse. Momentet innehåller bestämmelser om det straffrättsliga tjänsteansvaret med en informativ hänvisning till skadeståndslagen.  

Det föreslås att paragrafens 4 mom. innehåller bestämmelser om att myndigheten för cybersäkerhetscertifiering och oberoende experter när de utför inspektionen har rätt att få tillträde till alla lokaler där verksamhet som avses i cybersäkerhetsakten bedrivs samt till alla lokaler och informationssystem där uppgifter som är av betydelse för tillsynen förvaras eller behandlas. Med uppgifter som behandlas i informationssystem avses till exempel ärendehanterings- och arkiveringssystem, där uppgifter om en produkt som varit föremål för bedömning av bedömningsorganet förvaras eller system hos innehavaren av cybersäkerhetscertifikatet, där man förvarar uppgifter om produkten. Inspektionen är inte avsedd att utsträckas till exempelvis e-postsystem eller andra liknande informationssystem som används för kommunikation mellan företagets personal, eftersom de uppgifter som behandlas i dessa generellt på det sätt som avses i bestämmelsen inte anses vara betydelsefulla för tillsynen över skyldigheterna enligt cybersäkerhetsakten.  

I momentet föreskrivs att inspektioner dock inte får utsträckas till utrymmen som används för boende av permanent natur. Även om verksamhet som omfattas av cybersäkerhetsaktens tillämpningsområde kan utövas i utrymmen som används för boende av permanent natur och en cybersäkerhetsinnehavare kan vara en fysisk person, föreslås i propositionen i motsats till i fråga om 17 § ovan att inspektionen till denna del utsträcks till hemfridsskyddet. Till denna del anses cybersäkerhetsakten innehålla nationellt handlingsutrymme och därtill möjliggör regleringen att giltigheten för ett certifikat avbryts eller dras in i det fallet att certifikatinnehavaren inte fullgör sin informationsskyldighet. Således anses möjligheten att utsträcka inspektioner till hemfridsskyddet inte vara nödvändigt. 

26 §. Rätt för myndigheten för cybersäkerhetscertifiering att lämna ut sekretessbelagd information. Det föreslås att paragrafen innehåller bestämmelser om rätten för myndigheten för cybersäkerhetscertifiering att lämna ut sekretessbelagd information på begäran eller på eget initiativ. Bestämmelserna i paragrafen tillämpas vid sidan om vad som bestäms i offentlighetslagen och i andra delar av lagen, varför det inte föreslås att bestämmelser utfärdas om utlämnande av information för till exempel förundersökning. Uppgiftstyperna specificeras inte, men i paragrafpunkterna har utlämnandet av information inte bundits till nödvändighet med tanke på en viss uppgift. I praktiken kan informationen gälla till exempel ett samfunds affärshemligheter och skyddsarrangemangen för informations- och kommunikationssystem.  

Paragrafens 1 punkt innehåller bestämmelser om utlämnande av sekretessbelagd information för det första till marknadskontrollmyndigheten enligt 4 § i marknadskontrollagen. Förslaget behövs med anledning av artikel 58.7 a i cybersäkerhetsakten, eftersom den förutsätter tillsynssamarbete med de relevanta marknadskontrollmyndigheterna. Även i artikel 28.2 i EUCC-genomförandeförordningen förutsätts att myndigheten för cybersäkerhetscertifiering anmäler överensstämmelse med kraven till marknadskontrollmyndigheten. Likaså förutsätter led h i denna punkt informationsutbyte med övriga myndigheter om eventuella fall, där de certifierade nyttigheterna inte svarar mot kraven i förordningen eller enskilda europeiska ordningar för cybersäkerhetscertifiering. För det andra möjliggör punkten utlämnande av uppgifter till Säkerhets- och kemikalieverkets ackrediteringsenhet eller till en annan medlemsstats nationella ackrediteringsorgan, om utlämnande av uppgiften är nödvändigt för att utföra den aktuella myndighetens uppgifter. Detta förslag behövs på grund av artikel 58.7 c i cybersäkerhetsakten, eftersom den förutsätter att myndigheten biträder och stödjer de nationella ackrediteringsorganen.  

Paragrafens 2 punkt innehåller å sin sida bestämmelser om utlämnande av information till andra nationella myndigheter för cybersäkerhetscertifiering, andra medlemmar i Europeiska gruppen för cybersäkerhetscertifiering, Europeiska unionens cybersäkerhetsbyrå Enisa och Europeiska kommissionen, om det är nödvändigt för att fullgöra en skyldighet som myndigheten för cybersäkerhetscertifiering har enligt cybersäkerhetsakten eller med stöd av den. Till denna del kompletterar den föreslagna bestämmelsen i synnerhet artikel 58.7 g och 58.7 h samt artikel 58.9, vilka gäller samarbetet med Enisa, kommissionen, Europeiska gruppen för cybersäkerhetscertifiering och andra nationella myndigheter som utfärdar cybersäkerhetscertifiering. Till exempel artikel 38 i EUCC-genomförandeförordningen förutsätter att myndigheten för cybersäkerhetscertifiering delar vissa uppgifter om sårbarheter med andra nationella myndigheter för cybersäkerhetscertifiering och med Enisa. Dessutom kan utlämnande av information vara behövligt i samband med kollegial bedömning enligt artikel 59 i cybersäkerhetsakten.  

Paragrafens 3 punkt innehåller å sin sida bestämmelser om utlämnande av vissa uppgifter till den tillsynsmyndighet som avses i 26 § i cybersäkerhetslagen och 18 h § i lagen om informationshantering inom den offentliga förvaltningen, Finansinspektionen och CSIRT-enheten, om utlämnandet är nödvändigt för skötseln av deras lagstadgade uppgifter. Det finns bestämmelser om Finansinspektionens uppgifter i anknytning till cybersäkerhet i lagen om Finansinspektionen och i den så kallade DORA-förordningen (Europaparlamentets och rådets förordning (EU) 2022/554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011). Punkten kompletterar artikel 58.7 h i cybersäkerhetsakten, enligt vilken myndigheten för cybersäkerhetscertifiering ska samarbeta med andra nationella myndigheter för cybersäkerhetscertifiering eller andra myndigheter, bland annat genom att utbyta information om IKT-produkter, IKT-tjänster och IKT-processer som eventuellt avviker från kraven i denna förordning eller från kraven i särskilda europeiska ordningar för cybersäkerhetscertifiering. Dessa uppgifter liksom sårbarhetsuppgifter om dessa kan vara behövliga till exempel för en uppgift som gäller bevakningen av cyberhot vid CSIRT-enheten, vilken föreskrivits i cybersäkerhetslagen. Uppgifter om brister i en certifierad produkt eller tjänst kan vara behövliga även med tanke på övervakningen av efterlevnaden av riskhanteringsskyldigheterna enligt cybersäkerhetslagen eller DORA-förordningen för användarna av dessa.  

27 §.Tillsynsbeslut. Paragrafens 1 mom. innehåller bestämmelser om befogenheten för myndigheten för cybersäkerhetscertifiering att meddela ett förpliktande beslut för att avhjälpa verksamhet som strider mot skyldigheterna enligt den föreslagna lagen eller cybersäkerhetsakten eller de bestämmelser som utfärdats med stöd av den, såsom kraven enligt den tillämpliga europeiska ordningen för cybersäkerhetscertifiering. Genom ett beslut kan myndigheten ålägga ett organ för bedömning av överensstämmelse, innehavaren av ett europeiskt cybersäkerhetscertifikat eller en utfärdare av EU-försäkringar om överensstämmelse att inom utsatt tid avhjälpa en brist, om fel, försummelser eller andra brister i fullgörandet av de föreskrivna skyldigheterna upptäcks i tillsynen. Myndigheten kan till exempel ålägga en aktör att avhjälpa de observerade bristerna eller försummelserna, avsluta verksamhet i strid med regleringen och att avhålla sig från sådan verksamhet framöver samt förordna att aktören uppfyller sin skyldighet att lämna ut information på det förordnade sätt och inom den föreskrivna tiden.  

Paragrafens 2 mom. innehåller bestämmelser om möjligheten för myndigheten för cybersäkerhetscertifiering att förena ett beslut som den har fattat med vite, hot om tvångsutförande eller hot om avbrytande. Bestämmelser om föreläggande och verkställande av administrativa sanktioner finns i viteslagen.  

28 §.Återkallande av cybersäkerhetscertifikat . Det föreslås att paragrafen innehåller bestämmelser om rätten för myndigheterna för cybersäkerhetscertifiering återkalla ett europeiskt cybersäkerhetscertifikat som den har utfärdat eller som i enlighet med artikel 56.6 i cybersäkerhetsakten har utfärdats av ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering för det första i det fallet att certifikatet inte uppfyller de krav som föreskrivs i cybersäkerhetsakten eller kraven i den europeiska ordningen för cybersäkerhetscertifiering i fråga. Artikel 58.8 e i cybersäkerhetsakten förutsätter att nationella bestämmelser om en sådan befogenhet utfärdas. Förutsättningen är att bristen inte avhjälps inom en skälig tid, om det är möjligt att avhjälpa bristen. Tidsfristen kan ingå i ett tillsynsbeslut enligt 25 §, om beslutet föregås av återkallande av ett certifikat. Alternativt kan återkallandet av ett certifikat behandlas som ett separat ärende, varvid den tidsfrist som förutsätts för anmälan om bristen eller avhjälpandet kan anmälas med en annan än en överklagbar handling av myndigheten innan det överklagbara avgörandet om återkallandet av certifikatet.  

Enligt artikel 56.6 i cybersäkerhetsakten ska myndigheten för cybersäkerhetscertifiering i princip utfärda certifikat av hög assuransnivå. Organet för bedömning av överensstämmelse utfärdar dock ett certifikat av hög assuransnivå då myndigheten i förväg delegerat denna uppgift till organet antingen allmänt eller för ett enskilt fall. Dessutom kan myndigheten för cybersäkerhetscertifiering exceptionellt utfärda även certifikat som avser assuransnivå ”grundläggande” eller ”betydande” då ordningen för certifieringen så anger (artikel 56.4). Förslaget möjliggör att certifikatet återkallas i ovan nämnda fall. I fall där certifikat av assuransnivå ”grundläggande” eller ”betydande” har utfärdats av ett organ för bedömning av överensstämmelse, föreskrivs däremot inte bestämmelser om befogenheten att återkalla ett certifikat. Detta behövs inte, eftersom ansvaret för att återkalla ett certifikat ligger hos det organ för bedömning av överensstämmelse som utfärdat det i enlighet med föreskrifterna för den tillämpliga certifieringsordningen. I princip har nämligen det organ för bedömning av överensstämmelse som beviljat certifikatet till uppgift att återkalla det, vilket även framgår av artikel 14 i den så kallade EUCC-genomförandeförordningen och därtill kan ett bedömningsorgan avbryta giltigheten för ett certifikat utifrån dess artikel 30. Befogenheten att återkalla certifikat för den nationella myndigheten för cybersäkerhetscertifiering kompletterar bedömningsorganets befogenhet att återkalla certifikat i ovan nämnda situationer.  

För det andra möjliggör förslaget att ett certifikat återkallas i det fallet att innehavaren av ett cybersäkerhetscertifikat inte ger myndigheten för cybersäkerhetscertifiering de i 26 § 1 mom. avsedda uppgifter som den begärt eller försummar skyldigheten att rätta uppgifterna inom skälig tid. Till denna del förutsätts regleringen dock inte direkt av cybersäkerhetsakten. EUCC-genomförandeförordningen möjliggör dock liknande åtgärder, det vill säga att giltigheten för ett certifikat dras av bedömningsorganet i det fallet att innehavaren av certifikatet kontinuerligt eller upprepat bryter sin förbindelse att lämna ut uppgifter (artikel 29 och artikel 9.1) eller inte för samarbete (artikel 28.4). Det kan i sista hand bli aktuellt att använda den föreslagna befogenheten till exempel i fall där nödvändiga uppgifter inte ges frivilligt och inte kan skaffas med en inspektion enligt 26 § på grund av att dessa utrymmen omfattas av hemfridsskyddet eller finns utomlands.  

29 §. Avbrytande, begränsning eller återkallande av bemyndigande för eller anmälan av ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering. Paragrafens 1 mom. innehåller bestämmelser om möjligheten att återkalla, avbryta eller begränsa en anmälan eller ett bemyndigande för ett organ för bedömning av överensstämmelse samt lämna in en begäran om att stryka ett organ för bedömning av överensstämmelse från förteckningen över anmälda organ för bedömning av överensstämmelse. Myndigheten för cybersäkerhetscertifiering ska vid behov vidta dessa åtgärder för det första om organet för bedömning inte åtgärdat sin verksamhet på det sätt som förutsätts i tillsynsbeslutet och det handlar om en väsentlig överträdelse eller försummelse. För det andra ska åtgärder vidtas vid behov, om organet för bedömning av överensstämmelse inte uppfyller de krav som föreskrivits för det eller om dess ackreditering begränsas, om ackrediteringen återkallas eller om ackrediteringen avbryts. Åtgärder ska vidtas även i det fallet att beslutet inte ännu vunnit laga kraft, om det är verkställbart trots sökande av ändring. Överträdelsens, bristens eller försummelsens karaktär och eventuellt avhjälpande av den innan beslutet fattas ska beaktas i bedömningen av den typ av åtgärd som är behövlig.  

Förslaget är behövligt med anledning av artikel 58.7 e i cybersäkerhetsakten, där det föreskrivs att myndigheten har en skyldighet att begränsa, tillfälligt upphäva eller återkalla befintliga bemyndiganden, om organen för bedömning av överensstämmelse inte uppfyller kraven i cybersäkerhetsakten. Dessutom kompletterar den artikel 61.1 och 61.4 i cybersäkerhetsakten. På grund av det ovan nämnda ska de nationella myndigheterna för cybersäkerhetscertifiering utan oskäligt dröjsmål till kommissionen anmäla alla ändringar i ackrediteringarna och befogenheter för organen för bedömning. I den sist nämnda punkten förskrivs å sin sida att den nationella myndighet som utfärdar cybersäkerhetscertifiering kan framföra en begäran till kommissionen om att avföra ett av denna myndighet anmält organ för bedömning av överensstämmelse från den förteckning över organ för bedömning av överensstämmelse vilken anmälts till certifieringsordningen enligt punkt 2. En sådan begäran ska enligt förslaget läggas fram, om förutsättningarna för anmälan inte längre är uppfyllda. 

Det som föreskrivs i momentet tillämpas endast om inte något annat följer av det beslut som getts med stöd av cybersäkerhetsakten. Kommissionens genomförandeförordning (EU) 2024/3143 innehåller bestämmelser om fastställandet av förhållanden, formkrav och förfaranden för anmälningar enligt artikel 61.5 i cybersäkerhetsakten, medan dess artikel 4.2 innehåller bestämmelser om skyldigheten för myndigheten för cybersäkerhetscertifiering att vid behov vidta ovan nämnda åtgärder beroende på hur allvarligt underlåtenheten att fullgöra dessa krav eller skyldigheter varit. Dessutom kan en certifieringsordning som meddelas genom en genomförandeförordning av kommissionen innehålla mer detaljerad reglering om återkallande av ett bemyndigande eller en anmälan som gäller ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering. Sådan reglering ingår i artikel 22.6 i EUCC-genomförandeförordningen.  

Föreslagna 2 mom. motsvarar till denna del 6 § 4 mom. i lagen om anmälda produkter för vissa produktgrupper. Den innehåller bestämmelser om en situation där ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering har lagt ner sin verksamhet eller avförs från kommissionens förteckning. I så fall ska myndigheten för cybersäkerhetscertifiering vidta ändamålsenliga åtgärder för att säkerställa att handlingarna för det aktuella organet för bedömning av överensstämmelse behandlas av ett annat organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering eller att handlingarna i övrigt hålls tillgängliga för myndigheten för cybersäkerhetscertifiering och myndigheterna med ansvar för marknadskontroll. Myndigheten ska se till att handlingarnas konfidentialitet bibehålls i enlighet med cybersäkerhetsakten och de akter som getts med stöd av den samt offentlighetslagen.  

30 §.Handräckning av polisen. Enligt den föreslagna paragrafen är polisen skyldig att ge myndigheten för cybersäkerhetscertifiering handräckning för tillsynen över efterlevnaden och verkställigheten av de skyldigheterna som föreskrivits i den föreslagna lagen och cybersäkerhetsakten eller de med stöd av den. Det kan bli aktuellt att ge handräckning till exempel om en myndighet hindras från att utöva sina inspektionsbefogenheter. Paragrafen innehåller en informativ hänvisning till polislagen (872/2011), som innehåller bestämmelser om handräckning som ges av polisen.  

6 kap. – Påföljdsavgifter 

31 §. Påföljdsavgift för tillverkare. Det föreslås att paragrafen innehåller bestämmelser om en administrativ påföljdsavgift, som kan påföras för en tillverkare utifrån överträdelse av cyberresiliensförordningen.  

Paragrafens 1 mom. innehåller på det sätt som artikel 64.2 i cyberresiliensförordningen förutsätter bestämmelser om att uteblivet fullgörande av de väsentliga cybersäkerhetskrav som fastställs i bilaga I till cyberresiliensförordningen och de skyldigheter som regleras i artiklarna 13 och 14 är en grund för en administrativ påföljdsavgift. Momentets bestämmelser täcker även på det sätt som artikel 64.3 förutsätter överträdelse av artikel 31.1–31.4, överträdelse av artikel 32.1–32.3 och överträdelse av artikel 33.5.  

Paragrafens 2 mom. innehåller på det sätt som artikel 64.3 i cyberresiliensförordningen förutsätter bestämmelser om att överträdelse av en skyldighet som föreskrivits för en tillverkare är en grund för att påföra en administrativ påföljdsavgift då skyldigheterna för tillverkarna tillämpas med stöd av artikel 21 på en importör eller distributör eller med stöd av artikel 22 på en annan sådan fysisk person eller juridisk person än en tillverkare, importör eller distributör.  

32 §. Påföljdsavgift för tillverkarens representant. Det föreslås att paragrafen innehåller bestämmelser om en administrativ påföljdsavgift, som kan påföras för tillverkarens representant utifrån överträdelse av cyberresiliensförordningen. På det sätt som artikel 64.3 i cyberresiliensförordningen förutsätter innehåller paragrafen bestämmelser om överträdelse av artikel 18 i förordningen. Med tillverkarens representant avses en fysisk eller juridisk person som enligt skriftlig fullmakt från en tillverkare har rätt att i tillverkarens ställe utföra vissa särskilda uppgifter, som annars hör till tillverkaren. Det finns bestämmelser om skyldigheterna för tillverkarens representant i artikel 18 i cyberresiliensförordningen. När tillverkarens representant inte utsetts med ett skriftligt uppdrag av tillverkaren eller när försummelsen inte omfattas av uppdraget, kan ingen administrativ påföljdsavgift påföras utifrån ansvaret för tillverkarens representant.  

33 §. Påföljdsavgift för importörer. Det föreslås att paragrafen innehåller bestämmelser om en administrativ påföljdsavgift, som kan påföras för en importör utifrån överträdelse av cyberresiliensförordningen. På det sätt som artikel 64.3 i cyberresiliensförordningen förutsätter innehåller paragrafen bestämmelser om överträdelse av artikel 19 i förordningen.  

34 §. Påföljdsavgift för distributörer. Det föreslås att paragrafen innehåller bestämmelser om en administrativ påföljdsavgift, som kan påföras för en distributör utifrån överträdelse av cyberresiliensförordningen. På det sätt som artikel 64.3 i cyberresiliensförordningen förutsätter innehåller paragrafen bestämmelser om överträdelse av artikel 20 i förordningen.  

35 §. Påföljdsavgift för anmälda organ. Paragrafen innehåller bestämmelser om den administrativa påföljdsavgift som kan påföras ett anmält organ utifrån överträdelse av cyberresiliensförordningen då den agerar i strid med cyberresiliensförordningen i sitt uppdrag. På det sätt som artikel 64.3 i cyberresiliensförordningen förutsätter innehåller paragrafen bestämmelser om den administrativa påföljdsavgift som påförs för överträdelse av artikel 39, 41, 47 eller 49 i förordningen.  

36 §. Andra påföljdsavgifter i anslutning till cyberresiliensförordningen. Paragrafen innehåller bestämmelser om den administrativa påföljdsavgift som kan påföras en ekonomisk aktör utifrån överträdelse av cyberresiliensförordningen i andra än de situationer som avses i 31–35 §. På det sätt som artikel 64.3 i cyberresiliensförordningen förutsätter innehåller paragrafen bestämmelser om den administrativa påföljdsavgift som påförs för överträdelse av artikel 23, 30 eller 53 i förordningen. Paragrafen innehåller på det sätt som artikel 64.4 i cyberresiliensförordningen förutsätter bestämmelser om en administrativ påföljdsavgift för en ekonomisk aktör för felaktiga, bristfälliga eller vilseledande uppgifter som lämnats som svar på en begäran av anmälda organ eller marknadskontrollmyndigheterna.   

37 §.Påföljdsavgift som gäller cybersäkerhetscertifiering . Paragrafen innehåller bestämmelser om gärningar i anknytning till överträdelse av cybersäkerhetsakten, för vilka en administrativ påföljdsavgift kan påföras. I syfte att genomföra artikel 65 i cybersäkerhetsakten innehåller paragrafen bestämmelser om den administrativa påföljdsavgift som ska påföras utifrån överträdelse av bestämmelserna i europeiska ordningar för cybersäkerhetscertifiering enligt denna del i förordningen.  

I paragrafens 1 punkt föreskrivs att det är möjligt att med en påföljdsavgift sanktionera en situation där en tillverkare eller leverantör av IKT-produkter, IKT-tjänster eller IKT-processer utfärdar en sådan EU-försäkran om överensstämmelse som avses i artikel 53.2 i cybersäkerhetsakten trots att dessa nyttigheter inte uppfyller kraven enligt den europeiska ordningen för cybersäkerhetscertifiering i fråga. Syftet med en EU-försäkran om överensstämmelse är att visa att de krav som definierats i ordningen är uppfyllda. Om en tillverkare eller leverantör gett en EU-försäkran om överensstämmelse på felaktiga grunder, är det möjligt att påföra en påföljdsavgift för detta. För att säkerställa att förtroendet för EU-försäkringar om överensstämmelse är det viktigt att missbruk av dessa har sanktionerats så att aktörerna har ändamålsenliga incitament att se till att de krav som ställs i cyberresiliensförordningen är uppfyllda.  

I paragrafens 2 punkt sanktioneras en försummelse att ge myndigheten för cybersäkerhetscertifiering den information som avses i artikel 53.3 i cybersäkerhetsakten eller en försummelse att lämna in en kopia av EU-försäkran om överensstämmelse till myndigheten för cybersäkerhetscertifiering och Europeiska unionens cybersäkerhetsbyrå Enisa.  

Enligt denna punkt i cybersäkerhetsakten ska tillverkaren eller leverantören av IKT-produkter, IKT-tjänster, IKT-processer eller hanterade säkerhetstjänster, under en period som fastställs i den motsvarande europeiska ordningen för cybersäkerhetscertifiering, ge den nationella myndigheten för cybersäkerhetscertifiering tillgång till EU-försäkran om överensstämmelse, teknisk dokumentation och all annan relevant information avseende IKT-produkternas, IKT-tjänsternas eller de hanterade säkerhetstjänsternas överensstämmelse med ordningen. Dessutom ska en kopia av EU-försäkran om överensstämmelse lämnas in till den nationella myndighet som utfärdar cybersäkerhetscertifiering och till Europeiska unionens cybersäkerhetsbyrå Enisa. För de först nämnda är det möjligt att påföra en sanktion, om de relevanta uppgifterna inte ges på begäran av myndigheten för cybersäkerhetscertifiering, om de inte är tillgängliga på annat sätt. I fråga om de sist nämnda är det möjligt att påföra en påföljdsavgift, om en tillverkare eller leverantör försummar att överlämna kopian på eget initiativ.  

I paragrafens 3 punkt föreskrivs att påföljdsavgiften omfattar situationer där certifikatinnehavaren bryter mot de villkor för ett cybersäkerhetscertifikat som ställts i en europeisk ordning för cybersäkerhetscertifiering. Enligt artikel 54.1 k i cybersäkerhetsakten kan sådana villkor ställas för utfärdande, bibehållande, fortsättande och förnyelse av certifikat samt villkor för utvidgning eller inskränkning av tillämpningsområdet för certifiering. Med tanke på certifikatens tillförlitlighet kan det anses att det är centralt att villkoren iakttas.  

I paragrafens 4 punkt föreskrivs att påföljdsavgiften omfattar situationer där en tillverkare eller leverantör av IKT-produkter, IKT-tjänsterna eller IKT-processer försummar att offentliggöra den information som avses i artikel 55.1 i cybersäkerhetsakten på det sätt som föreskrivs i artikel 55.2 i cybersäkerhetsakten. Punkten gäller situationer där dessa produkter, tjänster eller processer är certifierade eller för vilka en EU-försäkran om överensstämmelse har getts. Aktören ska i så fall offentliggöra de uppgifter som räknas upp i punkten, vilka på olika sätt främjar att cybersäkerheten för produkten, processen eller tjänsten upprätthålls. Enligt 2 punkten i artikeln ska uppgifterna tillgängliggöras i elektroniskt format och finnas tillgängliga och vid behov uppdateras åtminstone fram till dess att motsvarande europeiska cybersäkerhetscertifikat eller EU-försäkran om överensstämmelse löper ut.  

Förslaget innehåller inte någon närmare begränsning av de uppgifter som kan leda till påförande av en påföljdsavgift om de inte lämnas. Överträdelsens karaktär beaktas dock inom ramen för föreslagna 40 §, med stöd av vilken en påföljdsavgift inte påförs till exempel om den är ringa. 

I 5 punkten i paragrafen sanktioneras en situation där felaktig, vilseledande eller bristfällig information ges till myndigheten för cybersäkerhetscertifiering eller organet för bedömning av överensstämmelse. Sanktioneringen gäller i synnerhet en situation där en aktör lämnar in IKT-produkter, IKT-tjänster eller IKT-processer eller informationssäkerhetstjänster för certifiering. Artikel 56.7 i cybersäkerhetsakten innehåller bestämmelser om skyldigheten att vid en ansökan om certifiering göra alla uppgifter som behövs för att genomföra certifieringsförfarandet tillgängliga för myndigheten eller bedömningsorganet. I den föreslagna punkten förutsätts att informationen gäller omständigheter som är betydelsefulla för att sköta en uppgift enligt den föreslagna lagen eller cybersäkerhetsakten, varför ett oväsentligt fel inte leder till att en påföljdsavgift påförs. Syftet med sanktioneringen är att se till att beviljandet av ett certifikat inte sker utifrån felaktig information. Uteblivet uppfyllande av kraven kan ha allvarliga skadliga konsekvenser för användarna av en produkt, tjänst eller process.  

Sådant utlämnade av felaktig information kan även bli föremål för bedömning av ingivande osant intyg till myndighet enligt 16 kap. 8 § i strafflagen. I så fall kan man vid behov beakta vad som föreskrivs om förbudet mot dubbel straffbarhet i 40 § 3 mom. 

Paragrafens 6 punkt innehåller bestämmelser om en påföljdsavgift där en innehavare av ett europeiskt cybersäkerhetscertifikat försummar att lämna ut information enligt artikel 56.8 i cybersäkerhetsakten om en sårbarhet eller oriktighet som gäller säkerheten för en IKT-produkt, IKT-tjänst eller IKT-process, vilken kan påverka överensstämmelsen med kraven i anknytning till certifieringen. Anmälan görs till myndigheten för cybersäkerhetscertifiering eller organet för bedömning av överensstämmelse, beroende på vilken aktör som utfärdat certifikatet.  

I paragrafens 7 punkt sanktioneras en situation där en instans använder ett europeiskt cybersäkerhetscertifikat som har återkallats eller vars giltighet har löpt ut. Med sådan certifikatanvändning avses att en IKT-produkt, IKT-tjänst eller IKT-process eller dataskyddstjänst marknadsförs som certifierad eller något annat förfarande, där en tidigare certifikatinnehavare hänvisar till certifikatnyttigheten som en säkerhetsgaranti, även om detta certifikat har återkallats eller gått ut.  

I vissa situationer kan myndigheten för cybersäkerhetscertifiering återkalla ett certifikat i enlighet med 28 § i den föreslagna lagen. Det finns bestämmelser om denna möjlighet till återkallande i artikel 58.8 e i cybersäkerhetsakten. I övrigt återkallas ett cybersäkerhetscertifikat av det organ för bedömning av överensstämmelse som utfärdat det aktuella europeiska cybersäkerhetscertifikatet. Efter återkallandet gäller certifikatet inte längre. Certifikaten har dessutom en viss giltighetstid som fastställs inom ramen för certifieringsordningen, efter vilken certifikatet inte längre är giltigt. I synnerhet i säkerhetskritiska samband är det viktigt att felaktig information inte ges om certifieringsstatus för produkterna, tjänsterna och processerna. 

38 §. Påföljdsavgiftens belopp. Paragrafen innehåller bestämmelser om beloppet av den administrativa påföljdsavgift som påförs med stöd av 31–37 §. För att påföljden ska ha en tillräckligt förebyggande effekt, ska avgiftens storlek vara tillräcklig. Den myndighet som påför en påföljd ska säkerställa att sanktionen och dess belopp står i proportion till gärningen med beaktande av ratio i cyberresiliensförordningen och cybersäkerhetsakten. Genom paragrafen genomförs artikel 64 i cyberresiliensförordningen och för egen del artikel 65 i cybersäkerhetsakten.  

Paragrafens 1 mom. innehåller bestämmelser om maximibeloppet av den administrativa påföljdsavgift som påförs för överträdelse av 31 § 1 mom., det vill säga i huvudsak artikel 13 eller artikel 14 i cyberresiliensförordningen. Maximibeloppet är 15 000 euro eller då tillverkaren är ett företag, två och en halv procent av företagets globala omsättning under den föregående räkenskapsperioden, beroende på vilken siffra som är högst. Maximibeloppet av den administrativa påföljdsavgiften motsvarar den nivå som förutsätts i artikel 64.2 i cyberresiliensförordningen.  

Paragrafens 2 mom. innehåller bestämmelser om maximibeloppet av den påföljdsavgift som påförs med stöd av 36 § 2 punkten, 32–35 § eller 36 § 1–3 punkten för överträdelse av cyberresiliensförordningen. Maximibeloppet är 10 000 000 euro eller då tillverkaren är ett företag, två procent av företagets globala omsättning under den föregående räkenskapsperioden, beroende på vilken siffra som är högst. Maximibeloppet är i praktiken tillämpligt på överträdelser av cyberresiliensförordningen av andra ekonomiska aktörer än tillverkare och på anmälda organ. Maximibeloppet av den administrativa påföljdsavgiften motsvarar den nivå som förutsätts i artikel 64.3 i cyberresiliensförordningen.  

Paragrafens 3 mom. innehåller bestämmelser om maximibeloppet av den påföljdsavgift som påförs med stöd av 36 § 4 punkten för överträdelse av cyberresiliensförordningen. Maximibeloppet är 5 000 000 euro eller då tillverkaren är ett företag, en procent av företagets globala omsättning under den föregående räkenskapsperioden, beroende på vilken siffra som är högst. Maximibeloppet omfattar en situation där information som avsiktligen är felaktig, bristfällig eller vilseledande lämnas till ett anmält organ eller marknadskontrollmyndigheten på ett sätt som är av betydelse för skötseln av en uppgift för det anmälda organet eller marknadskontrollmyndigheten. Maximibeloppet av den administrativa påföljdsavgiften motsvarar den nivå som förutsätts i artikel 64.4 i cyberresiliensförordningen.  

Paragrafens 4 mom. innehåller bestämmelser om maximibeloppet av en påföljdsavgift som gäller cybersäkerhetscertifiering, vilken är 100 000 euro. Beloppet av den administrativa påföljdsavgift som påförs utifrån överträdelse av cybersäkerhetsakten motsvarar den nivå på vilken påföljden har en tillräcklig, effektivt och proportionell förebyggande effekt. Påföljdsavgiftens nivå bedöms och motiveras i avsnitt REF _Ref207810834 \r \h \* MERGEFORMAT 5.1.3. Maximibeloppet av den administrativa påföljdsavgiften uppfyller förutsättningarna i artikel 65 i cybersäkerhetsakten.  

I 5 mom. i paragrafen finns det bestämmelser om en samlad bedömning av påföljdsavgiften. Fastställandet av påföljdsavgiftens storlek ska basera sig på en samlad bedömning av överträdelsens allvar och förfarandets klandervärdhet. När beloppet av påföljdsavgiften bedöms ska man beakta förfarandets art, allvar och längd och dess återkommande karaktär, den skada som överträdelsen orsakat och aktörens storlek samt dess eventuella tidigare överträdelser i anknytning till tillämpningsområdet för den föreslagna lagen. Aktörens storlek ska beaktas, eftersom de skyldigheter som omfattas av lagens tillämpningsområde kan hänföra sig till organisationer av väldigt olika storlekar.  

Även artikel 64.5 i cyberresiliensförordningen innehåller bestämmelser om de omständigheter som ska beaktas då en administrativ påföljdsavgift påförs. Dessa omständigheter ska tillämpas på påförande av en administrativ påföljdsavgift med stöd av 31–36 §. I artikel 64.5 i cyberresiliensförordningen föreskrivs att då beslut fattas om beloppet av en administrativ sanktionsavgift, ska alla relevanta omständigheter i den specifika situationen beaktas och vederbörlig hänsyn tas till följande omständigheter: 

överträdelsens art, allvarlighetsgrad och varaktighet samt dess konsekvenser, 

huruvida administrativa sanktionsavgifter redan har påförts av samma eller andra marknadskontrollmyndigheter på samma ekonomiska aktör för en liknande överträdelse, 

storleken på, särskilt när det gäller mikroföretag, små och medelstora företag, inbegripet uppstartsföretag, och marknadsandelen för den ekonomiska aktör som begått överträdelsen. 

39 §. Påförande av påföljdsavgift. Paragrafen innehåller bestämmelser om påförande av en administrativ påföljdsavgift.  

Med stöd av 1 mom. påförs en administrativ påföljdsavgift med stöd av 31–34 § och 36 § av marknadskontrollmyndigheten. Transport- och kommunikationsverket fungerar som marknadskontrollmyndighet med stöd av 15 §. I fråga om AI-system med hög risk, som omfattas av cyberresiliensförordningens tillämpningsområde, fungerar den behöriga tillsynsmyndigheten enligt lagen om tillsyn över vissa system för artificiell intelligens som marknadskontrollmyndighet med stöd av 16 §. När den behöriga marknadskontrollmyndigheten utgörs av marknadskontrollmyndigheten enligt 3 § i lagen om tillsyn över vissa system för artificiell intelligens, påförs den administrativa påföljdsavgiften i den ordning som föreskrivs i 13 § i den nämnda lagen. I så fall påför den behöriga aktören med andra ord en påföljdsavgift enligt den föreslagna lagen med stöd av lagen om tillsyn över vissa system för artificiell intelligens. Gärningarna handlar om överträdelser av cyberresiliensförordningen av en ekonomisk aktör.  

När beloppet av en administrativ påföljdsavgift som omfattas av Transport- och kommunikationsverkets befogenhet är över 100 000 euro, ska påföljdsavgiften påföras i ett förfarande enligt 7 a § i lagen om Transport- och kommunikationsverket, det vill säga i påföljdskollegiet.  

Med stöd av paragrafens 2 mom. meddelar den anmälande myndigheten, det vill säga Transport- och kommunikationsverket, beloppet av den administrativa påföljdsavgiften för en gärning enligt 35 §. Gärningarna handlar om överträdelser av cyberresiliensförordningen av ett anmält organ.  

När beloppet av en administrativ påföljdsavgift som omfattas av Transport- och kommunikationsverkets befogenhet är över 100 000 euro, ska påföljdsavgiften påföras i ett förfarande enligt 7 a § i lagen om Transport- och kommunikationsverket, det vill säga i påföljdskollegiet.  

Med stöd av paragrafens 3 mom. meddelar myndigheten för cybersäkerhetscertifiering, det vill säga Transport- och kommunikationsverket, beloppet av den administrativa påföljdsavgiften för en gärning enligt 37 §. Gärningarna handlar om förseelser som gäller cybersäkerhetscertifiering.  

Paragrafens 4 mom. innehåller bestämmelser om rätten för den myndighet som påför påföljdsavgiften att avgiftsfritt och utan hinder av sekretessbestämmelserna få uppgifter som är nödvändiga för att påföra en påföljdsavgift eller för att bedöma dess belopp från en ekonomisk aktör eller från en annan myndighet. Rätten att få information är nödvändig för att behandla och avgöra ett ärende som gäller påförande av en administrativ påföljdsavgift. Rätten att få information begränsar sig till uppgifter som är nödvändiga för att fastställa påföljdsavgiften i det ärende som behandlas, det vill säga för att bedöma dess grund eller belopp.  

40 §. Avstående från påförande av påföljdsavgift. I paragrafen finns det bestämmelser om när påföljdsavgift inte påförs.  

Enligt 1 mom. ska påföljdsavgift inte påföras, om  

aktören på eget initiativ vidtagit tillräckliga åtgärder för att avhjälpa överträdelsen eller försummelsen omedelbart efter att den upptäckts och utan dröjsmål underrättat tillsynsmyndigheten om den samt samarbetat med tillsynsmyndigheten, och överträdelsen eller försummelsen inte är allvarlig eller återkommande, 

överträdelsen eller försummelsen ska anses vara ringa, eller 

påförande av påföljdsavgift ska anses vara uppenbart oskäligt på andra grunder än de som avses i 1 eller 2 punkten. 

Grundlagsutskottet har i sin praxis förutsatt att myndighetens prövning vid beslut om att inte påföra påföljdsavgift ska vara bunden till prövning så att påföljdsavgift inte påförs om de villkor som anges i lag är uppfyllda (GrUU 49/2017 rd och GrUU 39/2017 rd). 

Syftet med bestämmelsen är att säkerställa att en påföljdsavgift inte påförs i situationer där det är oskäligt antingen utifrån de omständigheter som avses i 1 mom. 1 eller 2 punkten eller i övrigt uppenbart oskäligt utifrån en annan eller flera andra motsvarande omständigheter. 

I 2 mom. i paragrafen finns det bestämmelser om preskriberingen av rätten att påföra en påföljdsavgift. Påföljdsavgift får inte påföras, om det har förflutit mer än fem år sedan överträdelsen eller försummelsen har skett. Om förseelsen eller försummelsen har varit av vilseledande karaktär, räknas tidsfristen från det att förseelsen eller försummelsen upphört.  

I paragrafens 3 mom. föreskrivs att påföljdsavgift inte kan påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom. Dessutom får en påföljdsavgift som gäller cybersäkerhetscertifiering inte påföras för den som för samma gärning påförts en strängare påföljdsavgift utifrån överträdelse av cyberresiliensförordningen. Bestämmelserna motsvarar den så kallade ne bis in idem-principen, det vill säga förbudet mot dubbel straffbarhet.  

I paragrafens 4 mom. föreskrivs ett förbud att påföra en påföljdsavgift för statliga myndigheter, statliga affärsverk, välfärdsområden eller välfärdssammanslutningar, kommunala myndigheter, självständiga offentligrättsliga inrättningar, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland eller ortodoxa kyrkan i Finland och de två sistnämndas församlingar, kyrkliga samfälligheter eller övriga organ.  

Paragrafens 5 mom. innehåller bestämmelser om förbudet att påföra en påföljdsavgift för ett mikroföretag eller litet företag på den grunden att företaget har överskridit tidsfristen på 24 timmar för anmälan av en händelse enligt artikel 14.1 eller 14.3 i cyberresiliensförordningen. Skyldigheten enligt artikel 14 i cyberresiliensförordningen att anmäla aktivt utnyttjade sårbarheter eller en allvarlig incident som påverkar en produkts dataskydd blir trots punkten även tillämplig på mikroföretag och små företag enligt vad som bestäms i artikel 14 i cyberresiliensförordningen och en påföljdsavgift kan påföras utifrån försummelse av de tidsfrister som avses i artikel 14.2, artikel 14.4 c och artikel 14.4 c. Punkten motsvarar definitionen i strecksats a i artikel 64 i cyberresiliensförordningen.  

Paragrafens 6 mom. innehåller ett förbud att påföra en påföljdsavgift för en förvaltare av programvara med fri och öppen källkod. Definitionen av en förvaltare av programvara med fri och öppen källkod fastställs i 2 § 8 punkten i lagen och den motsvarar definitionen i artikel 3.14 i cyberresiliensförordningen. Punkten motsvarar definitionen i strecksats b i artikel 64 i cyberresiliensförordningen.  

41 §. Verkställighet av påföljdsavgift. Det föreslås att paragrafen reglerar verkställigheten av påföljdsavgifter. En påföljdsavgift som påförts med stöd av lag verkställs i den ordning som föreskrivs i lagen om verkställighet av böter (672/2002). Rättsregistercentralen svarar för verkställigheten av påföljdsavgiften. Med stöd av 4 b § i den nämnda lagen (lag 416/2025) förfaller en påföljdsavgift fem år efter den dag då det lagakraftvunna avgörandet har getts. Dröjsmålsränta tas inte ut på en påföljdsavgift.  

7 kap – Särskilda bestämmelser 

42 §. Begäran om omprövning. Det föreslås att paragrafen innehåller beslut som kan vara föremål för i förvaltningslagen avsedd omprövning. Omprövning får begäras i ett beslut av ett anmält organ, i ett beslut av ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering och i ett beslut som gäller en avgift som tas ut för en myndighetsprestation.  

Föremålet för en begäran om omprövning kan vara ett förvaltningsbeslut av ett organ för bedömning av överensstämmelse som anmälts för myndighetscertifiering, vilket ges utifrån denna lag, cyberresiliensförordningen eller cybersäkerhetsakten. Föremålet för begäran om omprövning kan således vara till exempel ett beslut om att utfärda eller inte utfärda en försäkran om överensstämmelse av ett anmält organ. Föremålet för begäran om omprövning kan även vara ett myndighetsbeslut som gäller den avgift som tas ut för en myndighetsprestation. 

Förvaltningslagen tillämpas på behandlingen av en begäran om omprövning. Det är möjligt att överklaga ett beslut om en begäran om omprövning hos förvaltningsdomstolen i den ordning som föreskrivs i lagen om rättegång i förvaltningsärenden. I 43 § 5 mom. nedan finns det en särskild bestämmelse om verkställbarheten för ett beslut om en begäran om omprövning.  

Bestämmelsen motsvarar förutsättningen i artikel 48 i cyberresiliensförordningen om det tillgängliga förfarandet för ändringssökande i beslut av ett anmält organ. 

43 §. Ändringssökande. Paragrafens 1 mom. innehåller en informativ hänvisning till att sökande av ändring hos förvaltningsdomstolen regleras i lagen om rättegång i förvaltningsärenden. Föremålet för ändringssökande kan vara ett beslut av till exempel den anmälande myndigheten, marknadskontrollmyndigheten och myndigheten för cybersäkerhetscertifiering. Föremålet för ändringssökande kan även vara ett beslut om en administrativ påföljdsavgift av en sådan myndighet eller ett beslut om avgiftsbelagdhet för en myndighets avgift, vilket getts med anledning av en begäran om omprövning.  

Paragrafens 2–5 mom. innehåller bestämmelser om verkställbarheten för ett förvaltningsbeslut som getts med stöd av lagen, då beslutet inte vunnit laga kraft.  

I paragrafens 2 mom. föreskrivs att ett beslut av marknadskontrollmyndigheten som gäller annat än påförande av påföljdsavgift får verkställas trots ändringssökande. Huvudregeln för verkställbarheten för ett beslut motsvarar 29 § i lagen om marknadskontroll. I enlighet med regleringsprincipen för administrativa sanktioner är ett beslut om en administrativ påföljd dock verkställbart först utifrån ett lagakraftvunnet beslut. 

Paragrafens 3–5 mom. innehåller uttömmande bestämmelser om beslut som kan förordnas att verkställas trots ändringssökande.  

Paragrafens 3 mom. innehåller bestämmelser om verkställbarheten för ett beslut av den anmälande myndigheten. Den anmälande myndigheten kan i ett beslut om utseende av ett anmält organ eller om avgränsning eller indragning av utseendet av ett anmält organ förordna att beslutet ska iakttas trots ändringssökande. Genom förslaget säkerställs att om ett anmält organ inte längre uppfyller förutsättningarna för utseende, kan den anmälande myndigheten på det sätt som cyberresiliensförordningen förutsätter vidta effektiva åtgärder trots ändringssökandet.  

I paragrafens 4 mom. föreskrivs å sin sida möjligheten för myndigheten för cybersäkerhetscertifiering att förordna att ett beslut ska iakttas trots ändringssökande.  

I paragrafens 5 mom. föreskrivs att ett beslut av ett anmält organ eller ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering kan verkställas då beslutet gäller de korrigerande åtgärder som krävs av tillverkaren av en produkt som innehåller digitala element eller innehavaren av ett europeiskt cybersäkerhetscertifikat eller som gäller återkallande av ett intyg om överensstämmelse för en produkt med digitala element eller ett europeiskt cybersäkerhetscertifikat. Föremålet för sökande av ändring kan vara ett beslut som getts om en begäran om omprövning. Syftet med detta förslag är att säkerställa att dessa reparativa åtgärder är effektiva då allvarliga brister har konstaterats.  

Enligt 123 § i lagen om rättegång i förvaltningsärenden kan förvaltningsdomstolen under den tid ett besvärsärende är anhängigt förbjuda att beslutet verkställs, förordna att verkställigheten ska avbrytas eller förordna om något annat som gäller verkställigheten av beslutet På grund av detta innehåller paragrafen inte separata bestämmelser om möjligheten för en besvärsmyndighet att förbjuda verkställighet av ett sådant beslut som av den beslutsfattande myndigheten förordnats att verkställas trots ändringssökande. Den nämnda bestämmelsen tillämpas vid sidan om paragrafens 2–5 mom. 

Paragrafens 6 mom. innehåller en informativ hänvisning till viteslagen. Vid sökande av ändring i beslut som gäller föreläggande och utdömande av vite samt föreläggande och verkställighet av hot om tvångsutförande eller hot om avbrytande tillämpas dock viteslagen (1113/1990).  

44 §. Avgifter. Enligt paragrafen finns bestämmelser om de allmänna grunderna för när myndigheters prestationer ska vara avgiftsbelagda och för storleken av de avgifter som uppbärs för prestationerna och om övriga grunder för avgifterna i lagen om grunderna för avgifter till staten (150/1992). Paragrafen är av informativ karaktär. Med stöd av lagen om grunderna för avgifter till staten är det möjligt att ta ut avgifter för prestationer av den anmälande myndigheten och myndigheten för cybersäkerhetscertifiering, vilket avser i synnerhet anmälning och övervakning av organ för bedömning av överensstämmelse samt utfärdande av cybersäkerhetscertifikat. Dessutom kan avgifter tas ut för användning av regulatoriska sandlådor i enlighet med grunderna i lagen om grunderna för avgifter till staten. Befogenheten i 8 § i lagen om grunderna för avgifterna till staten att besluta om bland annat avgiftsbelagdheten för en prestation innehas enligt förslaget av kommunikationsministeriet i fråga om Transport- och kommunikationsverkets prestationer.  

45 §. Ikraftträdande. I 1 mom . finns det bestämmelser om lagens ikraftträdande. Paragrafens 2–4 mom. innehåller graderingar för början av tillämpningen, vilka motsvarar graderingarna för de tidpunkter då cyberresiliensförordningen börjar tillämpas.  

Med stöd av 2 mom. i paragrafen tillämpas bestämmelserna i 3 kap. om anmälda organs och den anmälande myndighetens uppgifter och bestämmelserna i 35 § om påföljdsavgiften för anmälda organ den 11 juni 2026. Början för tillämpningen motsvarar artikel 7.1.2 i cyberresiliensförordningen. 

Med stöd av paragrafens 3 mom. börjar anmälningen enligt artikel 14 i cyberresiliensförordningen och påföljdsavgiften för tillverkare i fråga om anmälningen tillämpas den 11 september 2026. Början för tillämpningen motsvarar artikel 71.2.2 i cyberresiliensförordningen. 

Med stöd av paragrafens 4 mom. börjar bestämmelserna om skyldigheterna för ekonomiska aktörer enligt cyberresiliensförordningen och om överträdelse av dessa samt om administrativa påföljdsavgifter tillämpas den 11 december 2027 Början för tillämpningen motsvarar artikel 71.2.1 i cyberresiliensförordningen. 

7.2  Lagen om marknadskontrollen av vissa produkter

1 §.Tillämpningsområde . Det föreslås att paragrafens 1 mom. ändras på så sätt att lagförslag 1 fogas som en ny punkt till momentets lista över de lagar vars tillämpningsområde omfattar produkter på vilka marknadskontrollagen tillämpas. Med anledning av tillägget görs en teknisk ändring i den föregående punkten.  

Lagen om marknadskontrollen av vissa produkter tillämpas även på marknadskontrollen av produkter som omfattas av cyberresiliensförordningen till den del som inte annat bestäms i den föreslagna lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering. Lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering är således en specialbestämmelse i förhållande till marknadskontrollagen. Med produkt som omfattas av lagens tillämpningsområde avses produkter som omfattas av cyberresiliensförordningens tillämpningsområde. En produkt som omfattas av lagens tillämpningsområde avser således inte en produkt för vilken cybersäkerhetscertifiering utfärdats, om produkten inte omfattas av cyberresiliensförordningens tillämpningsområde.  

4 §.Tillsynsmyndigheter . Det föreslås att paragrafens 4 mom. ändras så att man till momentet fogar produkter som omfattas av tillämpningsområdet för lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering till listan över produkter för vilka Transport- och kommunikationsverket fungerar som marknadskontrollmyndighet. Avsikten är inte att ändra momentet till andra delar.  

I enlighet med 15 § i den hänvisade lagen fungerar således Transport- och kommunikationsverket som marknadskontrollmyndighet för de produkter som omfattas av cyberresiliensförordningens tillämpningsområde. Med stöd av 16 § i lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering är det möjligt att även den behöriga tillsynsmyndigheten enligt 3 § i lagen om tillsyn över system för artificiell intelligens undantagsvis fungerar som marknadskontrollmyndighet då marknadskontrollen hänför sig till ett AI-system med hög risk enligt artikel 6 i förordningen om artificiell intelligens, vilket även omfattas av cyberresiliensförordningens tillämpningsområde. Det nämnda undantaget baserar sig på artikel 52.14 i cyberresiliensförordningen.  

7.3  Cybersäkerhetslagen

20 §. CSIRT-enhetens uppgifter. Till listan över CSIRT-enhetens uppgifter i paragrafens 1 mom. fogas en ny 10 punkt, som gäller de uppgifter som tilldelats CSIRT-enheten i cyberresiliensförordningen och lagförslag 1. CSIRT-enhetens centrala uppgift är att ta emot och behandla i artikel 14 i cyberresiliensförordningen avsedda anmälningar om aktivt utnyttjade sårbarheter och allvarliga incidenter vilka påverkar dataskyddet för en produkt med digitala element. Tillverkarna är skyldiga att göra anmälningar på det sätt som föreskrivs i cyberresiliensförordningen. CSIRT-enheten har även till uppgift att behandla frivilliga anmälningar enligt artikel 15 i cyberresiliensförordningen.  

De andra uppgifter som tilldelats CSIRT-enheten är bland annat att biträda marknadskontrollmyndigheten vid behov. I artikel 52.5 i cyberresiliensförordningen får marknadskontrollmyndigheterna be en CSIRT-enhet som utsetts till samordnare eller Enisa att ge tekniska råd i frågor som rör genomförandet och efterlevnaden av denna förordning. När marknadskontrollmyndigheterna gör en undersökning enligt artikel 54 kan de begära den CSIRT-enhet som utsetts till samordnare eller Enisa att lägga fram en analys till stöd för bedömningarna av överensstämmelsen för produkter med digitala element. På motsvarande sätt föreskrivs i artikel 54.1 att om marknadskontrollmyndigheten i en medlemsstat har tillräckliga skäl att anse att en produkt med digitala element, inbegripet dess sårbarhetshantering, utgör en betydande cybersäkerhetsrisk, ska den, utan onödigt dröjsmål och om lämpligt i samarbete med den berörda CSIRT-enheten, göra en utvärdering av den berörda produkten med digitala element med avseende på dess uppfyllande av alla krav som fastställs i förordning. CSIRT-enheten ska vid behov sköta uppgifterna enligt cyberresiliensförordningen i samarbete med övriga myndigheter. 

28 §.Rätt att få information . Det föreslås att paragrafens ändras så att rätten att lämna ut information för en myndighet som övervakar vad som föreskrivs i 4 mom. i den kan tillämpas även på utlämnande av information till Finansinspektionen för dess uppgift som behörig myndighet enligt 50 p § 1 och 2 mom. i lagen om Finansinspektionen. Enligt dessa bestämmelser fungerar Finansinspektionen som behörig myndighet enligt artikel 46 i EU:s DORA-förordning och behörig myndighet enligt artikel 8.1 i NIS 2-direktivet i fråga om verksamhetsområdena 3 och 4 i bilaga I till det nämnda direktivet. Detta innebär att tillsynsmyndigheten enligt cybersäkerhetslagen utan hinder av sekretessbestämmelserna, den tystnadsplikt som föreskrivs i 28 § 2 mom. och andra begränsningar som gäller utlämnande av information kan lämna ut en handling som den fått eller upprättat i samband med skötseln av dess uppgifter enligt cybersäkerhetslagen och röja sekretessbelagd information även till Finansinspektionen, om det är nödvändigt för dess uppgift som behörig myndighet enligt 50 p § 1 och 2 mom. i lagen om Finansinspektionen. Utnyttjandet av rätten att få information eller utlämnandet av information får inte begränsa skyddet av förtroliga meddelanden eller integritetsskyddet mer än vad som är nödvändigt.  

Cybersäkerhetslagen innehåller inte bestämmelser om Finansinspektionens uppgifter och informationsutbyte mellan den och de tillsynsmyndigheter som definieras i 26 § i cybersäkerhetslagen, eftersom DORA-förordningen är en branschspecifik unionsakt enligt artikel 4 i NIS 2-direktivet, och medlemsstaterna inte bör tillämpa bestämmelserna i NIS 2-direktivet inom dess område, om de gäller hantering av cybersäkerhetsrisker och rapporteringsskyldigheten samt tillsyn och verkställighet (RP 57/2024 rd, 33). 

I 50 p § i lagen om Finansinspektionen finns det på ett sätt som kan jämställas med 26 § i cybersäkerhetslagen bestämmelser om att Finansinspektionen fungerar som behörig myndighet enligt artikel 8.1 i NIS 2-direktivet i fråga om verksamhetsområdena 3 och 4 i bilaga I till direktivet. I 71 § 1 mom. i den nämnda lagen finns det bestämmelser om Finansinspektionens rätt att utan hinder av sekretessbestämmelserna lämna ut uppgifter om störningar och hot i anknytning till informations- och kommunikationsteknik till Transport- och kommunikationsverket för genomförande av det samarbete som avses i 3 f 3 mom. Enligt den sista nämnda bestämmelsen ska Finansinspektionen samarbeta med Transport- och kommunikationsverket i skötseln av uppgifter enligt NIS 2-direktivet. 

Cybersäkerhetslagens 28 § innehåller dock för närvarande inte bestämmelser om rätten för tillsynsmyndigheterna att lämna ut information till Finansinspektionen. Med stöd av 318 § 2 mom. i lagen om tjänster inom elektronisk kommunikation (i lag 703/2025) har Transport- och kommunikationsverket, trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information, rätt att lämna ut en handling som den fått eller upprättat i samband med skötseln av dess lagstadgade uppgifter samt röja den sekretessbelagda informationen för Energimyndigheten, Finansinspektionen, Tillstånds- och tillsynsverket samt livskraftscentralen, om det är nödvändigt för skötseln av deras lagstadgade uppgifter i anslutning till informationssäkerhet. Bestämmelsens bakgrund utgörs av genomförandet av NIS-direktivet, som numera har upphävts, och den möjliggör att information lämnas ut från Transport- och kommunikationsverket till Finansinspektionen även inom NIS 2-direktivets tillämpningsområde. Med stöd av 318 § 5 mom. kan bestämmelsen dock inte tillämpas på uppgifter om meddelanden, förmedlingsuppgifter, lokaliseringsuppgifter eller förekomsten av och innehållet i förtrolig radiokommunikation, även om Transport- och kommunikationsverket i egenskap av tillsynsmyndighet kan få även dessa uppgifter med stöd av 28 § 2 mom. Således är det motiverat att utvidga regleringen kring utlämnande av information i 28 § 4 mom. i cybersäkerhetslagen att gälla även Finansinspektionen, så att alla behöriga myndigheter enligt NIS 2-direktivet till denna del har samma ställning.  

7.4  Lagen om tjänster inom elektronisk kommunikation

1 kap. – Lagens mål och definitioner 

3 §. Definitioner. Paragrafens 35 punkt ändras så att avgränsningen till domännamn med den nationella toppdomänen fi och toppdomänen för landskap ax stryks från definitionen av ett domännamn. Med domännamn avses med andra ord framöver i lagen en adressuppgift i namnform som används på Internet, oberoende av under vilken toppdomän (eng. top-level domain, TLD) domännamnet lyder. Ändringen behövs för att foga nya 21 a kap., eftersom bestämmelserna i det gäller andra domännamn än de som slutar med fi eller ax. Dessutom motsvarar definitionen bättre definitionen av termen i allmänspråket.  

Trots ändringen tillämpas 21 kap. även framöver endast på adressuppgifter som omfattas av Finlands nationella domännamn fi och domänen för landskap ax för Åland. Tillämpningsbegränsningen gällande 21 kap. i lagen bibehålls i oförändrad form i 163 §. Syftet med ändringen är inte att utvidga de nuvarande bestämmelserna om domännamn i lagen till andra domännamn än de som omfattas av den nationella domänen fi och domänen för landskap ax.  

Till definitionen av domännamn görs dessutom en teknisk precisering enligt rådande tolkningspraxis om att domännamn avser en adressuppgift av andra graden av formen domain.fi. Detta motsvarar vad som föreskrivs i den hävda lagen om domännamn (228/2003). Genom ändringen förtydligas att ett domännamn inte avser delen före den första punkten till exempel i adressen undersida.domain.fi, som den aktör som administrerar en adressuppgift av andra graden enkelt kan fastställa. 

Till paragrafen fogas nya 35 a punkten, som definierar den som förvaltar ett toppdomänregister på samma sätt som i 2 § i cybersäkerhetslagen. Definitionen motsvarar även definitionen av ett toppdomänregister i artikel 6.21 i NIS 2-direktivet. Med den som förvaltar ett toppdomänregister avses en part som har delegerats en specifik toppdomän och som ansvarar för administrationen av toppdomänen, inbegripet registreringen av domännamn under toppdomänen och den tekniska driften av toppdomänen, inbegripet drift av dess namnservrar, underhåll av dess databaser och distribution av zonfiler för toppdomänen mellan namnservrar, oberoende av huruvida någon aspekt av denna drift utförs av parten själv eller har utkontrakterats, dock inte situationer där toppdomäner används av parten endast för dess eget bruk. 

Med den som förvaltar ett toppdomänregister avses således en förvaltare av ett domännamnsregister på högsta nivå (Top-Level Domain Registry). Toppdomäner delas in i två grupper, som är nationella toppdomän (ccTLD) och generiska toppdomäner (gTLD). Syftet med definitionen är inte att avgränsa dess tillämpning till ett visst geografiskt område.  

21 kap. – Domännamn för Finland och Åland 

Kapitlets rubrik preciseras så att den redogör för bestämmelsernas tillämpningsområde i förhållande till föreslagna nya 21 a kap. 

164 §. Transport- och kommunikationsverkets domännamnsverksamhet och förmedling av domännamn. I paragrafens 2 mom. görs en teknisk ändring, eftersom begreppet registrar framöver i nya 21 a kap. används även för sådana registrarer som inte gjort någon i 165 § i lagen avsedd anmälan som gäller förmedling av domäner som slutar på fi och ax. Framöver kan anteckningar i domänregistret således göras endast av en i 165 § avsedd registrar som gjort en anmälan. Den ansvarar med andra ord för anteckningarna även då de görs på det sätt som nämns i 167 § 1 mom. i lagen av en aktör som handlar för en registrars räkning.  

Dessutom fogas till paragrafen ett nytt 4 mom. som på det sätt som genomförandet av NIS 2-direktivet förutsätter innehåller bestämmelser om tillämpningen av vissa skyldigheter enligt 21 kap. även på aktörer som tillhandahåller registreringstjänster för domännamn för registrarers räkning. De skyldigheter som föreskrivits i NIS 2-direktivet gäller aktörer som tillhandahåller registreringstjänster för domännamn, vilket enligt artikel 6.22 i direktivet utöver registrarer avser även entiteter som verkar som ombud för en registrar, såsom leverantörer eller återförsäljare av integritets- eller förmedlingstjänster. Eftersom en domän enligt 167 § i lagen ska antecknas i användarens namn med användarens riktiga uppgifter, blir det dock inte aktuellt att tillhandahålla alla sådana tjänster i fråga om domäner som slutar med fi och ax.  

I det föreslagna momentet föreskrivs för det första att anmälningsskyldigheten enligt 165 § tillämpas på aktörer som agerar för registrarers räkning. Genom det genomförs artikel 3.3 och 3.4 i NIS 2-direktivet och artikel 27.2–27.4 i fråga om dessa aktörer. För det andra innehåller momentet bestämmelser om tillämpningen av de skyldigheter som gäller tillgången till uppgifter enligt 170 § i lagen på dessa aktörer i den omfattning som förutsätts för att genomföra artikel 27.3–5 i direktivet på miniminivå. Genom 1 mom. 2 punkten i paragrafen genomförs för egen del även artikel 28.1. Till exempel de särskilda nationella dataskyddsskyldigheterna som inte baserar sig på NIS 2-direktivet tillämpas dock inte på aktörer som agerar för registrarers räkning. För det tredje innebär 171 § i lagen att Transport- och kommunikationsverket vid överträdelse av lagen kan utöva sina i lagen föreskrivna befogenheter även i fråga om aktörer som verkar för registrarers räkning. Förslaget leder även till att föreskrifter som Transport- och kommunikationsverket har utfärdat med stöd av 165 § 3 mom. och 170 § 2 mom. i lagen kan kan tillämpas också på dessa aktörer.  

21 a kap. – Andra domännamn 

172 a §. Kapitlets tillämpningsområde. Med stöd av paragrafens 1 mom. tillämpas nya 21 a kap. på andra domännamn än de som omfattas av tillämpningsområdet för 21 kap. och förmedling av dessa.  

Nya 21 a kap. är avsett att allmänt gälla för toppdomänregister och förmedlingsverksamhet som gäller domännamn i Finland till den del som verksamheten inte omfattas av tillämpningsområdet för specialbestämmelserna om domännamn som slutar på fi och ax i 21 kap. Kapitlet tillämpas inte på domännamn som omfattas av tillämpningsområdet för 21 kap. eller på anknuten domännamnsverksamhet eller förmedling av domännamn. Nya 21 a kap. tillämpas således på andra domännamn än de som slutar med fi eller ax och förmedlingen av dessa, oberoende av domännamnets ändelse.  

Paragrafens 2 mom. innehåller en bestämmelse om det territoriella tillämpningsområdet för kapitlet. Kapitlet tillämpas på registrarer vars huvudsakliga verksamhetsställe eller en utsedd representant i Europeiska unionen finns i Finland. Om en registrar som är etablerad utanför Europeiska unionen inte har utsett någon representant i unionen, men tillhandahåller tjänster i Finland, omfattas registraren även av kapitlets tillämpningsområde. Bestämmelsen motsvarar artikel 26.2 och artikel 26.3 i NIS 2-direktivet om det territoriella tillämpningsområdet för skyldigheterna i direktivet.  

I paragrafens 3 mom. föreskrivs att vad som i detta kapitel föreskrivs om registrarer tillämpas också på på aktörer som tillhandahåller registreringstjänster för domännamn för registrarers räkning, när de utövar förmedling av domännamn. Omnämnandet motsvarar tillämpningsområdet för de skyldigheter som förutsätts i artikel 28 i NIS 2-direktivet, eftersom även aktörer som handlar för registrarers räkning utöver registrarer definieras som entiteter som tillhandahåller domännamnsregistreringstjänster i artikel 6.22 i NIS 2-direktivet. De aktörer som agerar för registrarer kan vara till exempel tillhandahållare eller återförsäljare av integritets- eller förmedlingstjänster. 

172 b §. Registrarens anmälan . Paragrafen innehåller bestämmelser om de uppgifter som en registrar ska anmäla till Transport- och kommunikationsverket. Genom paragrafen kompletteras genomförandet av artikel 3.3 och 3.4 och artikel 27 i NIS 2-direktivet i fråga om sådana registrarer som förmedlar andra domännamn än de som omfattas av tillämpningsområdet för 21 kap. En registrar ska till Transport- och kommunikationsverket anmäla namn, adress, e-postadress, telefonnummer och andra uppdaterade kontaktuppgifter, sin IP-adressdomän och en förteckning över de medlemsstater i Europeiska unionen där den tillhandahåller sina tjänster. Dessutom ska den anmäla kontaktuppgifterna för sina verksamhetsställen och företrädare i Europeiska unionen. En registrar ska utan dröjsmål anmäla förändringar i de uppgifter som avses i 1 mom. inom den tidsfrist på två veckor eller tre månader som förutsätts i direktivet beroende på den förändrade uppgiften. Transport- och kommunikationsverket kan utfärda närmare föreskrifter om anmälan av uppgifter på samma sätt som för den motsvarande anmälningsskyldighet föreskrivits i 41 § i cybersäkerhetslagen, vilken bland annat gäller den som förvaltar ett toppdomänregister. Den gemensamma kontaktpunkt som avses i 18 § i cybersäkerhetslagen ansvarar för att göra anmälningar enligt artikel 27.4 i NIS 2-direktivet, varför Transport- och kommunikationsverket ska överlämna de uppgifter som behövs för att göra anmälan till den gemensamma kontaktpunkten. Den gemensamma kontaktpunkten finns vid Transport- och kommunikationsverket.  

172 c §. Registreringsuppgifter om domännamn. Paragrafen innehåller bestämmelser om skyldigheten för den som förvaltar ett toppdomänregister och en registrar att samla in och upprätthålla registreringsuppgifter om domännamn. Det föreslås att uppgifter ska samlas in och administreras på det sätt som artikel 28 i NIS 2-direktivet förutsätter. I uppgifterna enligt artikel 28.2 i NIS 2-direktivet ska man inkludera domännamn, registreringsdatum, registrantens namn, e-postadress och telefonnummer och e-postadress och telefonnummer till den kontaktpunkt som administrerar domännamnet om dessa inte är desamma som för registranten. Skyldigheten hänför sig till bägge aktörstyper, men samarbetsskyldigheten enligt 172 § ska iakttas i fullgörandet av den. Den som förvaltar ett toppdomänregister och registrarer ska dessutom införa och offentligt tillgängliggöra de riktlinjer och förfarandena med vilka de säkerställer att registreringsuppgifterna om domännamn är exakta och korrekta. Genom paragrafen genomförs artikel 28.2 och 28.3 i NIS 2-direktivet i fråga om andra registrarer än de som omfattas av tillämpningsområdet för 21 kap.  

172 d §. Tillgång till registreringsuppgifter om domännamn. Paragrafen innehåller bestämmelser om att tillträde beviljas till registreringsuppgifter om domännamn på det sätt som artikel 28.4 och 28.5 i NIS 2-direktivet förutsätter och att det samarbete som förutsätts i 6 punkten ska föras.  

Paragrafens 1 mom. innehåller bestämmelser om den offentliga tillgängligheten för registreringsuppgifter om domännamn till den del som uppgifterna inte är personuppgifter. Med stöd av momentet ska andra registreringsuppgifter om domännamn än personuppgifter göras offentligt tillgängliga utan oskäligt dröjsmål efter registreringen av ett domännamn. Skyldigheten hänför sig till bägge aktörstyper, men den föreslagna samarbetsskyldigheten enligt 3 mom. ska iakttas i fullgörandet av den.  

Paragrafens 2 mom. innehåller bestämmelser om utlämnande av registreringsuppgifter om domännamn till den del som uppgifterna är personuppgifter. Med stöd av momentet ska tillgång ges till registreringsuppgifterna om domännamn, om den som begär tillgång till uppgifterna och är berättigad till det lägger fram en lagenlig och behörigt motiverad begäran. En begäran ska besvaras utan oskäligt dröjsmål och senast inom 72 timmar från det att begäran tagits emot. Skyldigheten möjliggör inte att en avgift tas ut för lämnade av uppgifter. Dessutom ska ett toppdomänregister och en registrar göra deras riktlinjer och förfaranden för utlämnande av registreringsuppgifter om domännamn offentligt tillgängliga.  

Paragrafens 3 mom. innehåller bestämmelser om skyldigheten för de som förvaltar ett toppdomänregister och registrarer att samarbeta för att fullgöra de skyldigheter som föreskrivs i 172 c § och i 172 d § och för att undvika insamling av överlappande registreringsuppgifter Genom momentet genomförs artikel 28.6 i NIS 2-direktivet, enligt vilken efterlevnad av de skyldigheter som föreskrivits i 1–5 punkten inte får leda till överlappningar i insamlingen av registreringsuppgifter om domännamn. För detta ska medlemsstaterna förutsätta att toppdomänregister och de entiteter som tillhandahåller domännamnsregistreringstjänster ska samarbeta med varandra. Det är dock möjligt att anse att det samarbete som direktivet förutsätter inte begränsar sig på begränsat sätt till insamling av uppgifter, utan att det mer generellt är behövligt för att fullgöra de skyldigheter som direktivet förutsätter.  

Det finns olika verksamhetsmodeller för att registrera domännamn och publicera registreringsuppgifter. Syftet med föreslagna 172 c § och 172 d § är att möjliggöra olika motiverade sätt för att genomföra insamlingen, verifieringen, administreringen och tillträdet till uppgifterna och en ändamålsenlig arbetsfördelning i ett samarbete mellan de olika aktörerna i mån av möjlighet inom de ramar som bästa avtalsbaserad praxis som uppkommit i det internationella samarbetet möjliggör, under förutsättning att det slutresultat som NIS 2-direktivet förutsätter uppnås. Beroende på fallet är det möjligt att till exempel en registrar i praktiken ansvarar för att tillgängliggöra uppgifterna i enlighet med den skyldighet som föreskrivs i 1 mom. i denna paragraf till den del som de uppgifter som direktivet förutsätter inte ingår i de uppgifter som hålls tillgängliga av förvaltaren av ett toppdomänregister, medan förvaltaren av ett toppdomänregister kan ansvara för att uppgifterna om grundande av ett domännamn och tillgången till uppgifterna om denna registrar är tillgängliga. Om ett toppdomsänsregister å sin sida offentliggör alla uppgifter som förutsätts, är det inte befogat att förutsätta att registraren offentliggör uppgifterna på nytt. Det är inte heller ändamålsenligt att aktörer som handlar för en rergistrars räkning, på vilka skyldigheten även tillämpas, på egen hand ska offentliggöra uppgifterna på nytt, om de offentliggjorts av en förvaltare av ett toppdomänregister eller registrar. 

Paragrafens 4 mom. innehåller en informativ hänvisning till den allmänna dataskyddsförordningen som gäller skyddet för personuppgifter och till dataskyddslagen.  

304 §. Det föreslås att 304 § 1 mom. 14 punkten, som gäller genomförandet av cybersäkerhetsakten och Transport- och kommunikationsverkets särskilda uppgifter som nationell myndighet för cybersäkerhetscertifiering, upphävs i lagen om tjänster inom elektronisk kommunikation. Framöver utfärdas bestämmelser om Transport- och kommunikationsverkets uppgift som nationell myndighet för cybersäkerhetscertifiering i lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering. Således föreslås att bestämmelsen upphävs, eftersom den är överlappande med den föreslagna lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering.  

7.5  Lagen om verkställighet av böter

1 §. Lagens tillämpningsområde . Rättsregistercentralen verkställer försummelse- och påföljdsavgifter som påförs med stöd av olika lagar genom att iaktta det förfarande som förskrivits för verkställighet av böter. Det föreslås att nya 37 punkten fogas till paragrafens 2 mom. , med stöd av vilken en påföljdsavgift enligt 31–37 § i lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering verkställs enligt ordningen i lagen. Med anledning av ändringen görs en teknisk ändring i 36 punkten.    

12.1  Myndighetsuppgifter

I cyberresiliensförordningen åläggs medlemsstaterna att utse en marknadskontrollmyndighet och att anmäla myndigheten. Skyldigheten att utse en myndighet kommer direkt från förordningen. Huruvida en eller flera myndigheter ska utses och vilka dessa myndigheter är hör till den nationella prövningsrätten. 

Grundlagsutskottet har när det bedömt bestämmelser om myndigheternas befogenheter även utgått från att regleringen av myndigheters befogenheter är betydelsefull med tanke på rättsstatsprincipen i grundlagens 2 § 3 mom. (GrUU 51/2006 rd, s. 2/I). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag och i all offentlig verksamhet ska lag noggrant iakttas. Utgångspunkten är att den som utövar offentlig makt alltid ska ha en behörighetsgrund som i sista hand återgår på en av riksdagen stiftad lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. (GrUU 19/2021 rd, punkt 15 med hänvisningar). Den behöriga beslutsfattaren ska entydigt framgå av lagen (GrUU 18/2021 rd, punkt 2). Enligt utskottets uppfattning är reglering kring behörigheter i allmänhet betydelsefull även med tanke på de grundlagstryggade grundläggande fri- och rättigheterna (se GrUU 10/2016 rd, s. 3). När en myndighet ges nya uppgifter ska de lämpa sig för myndigheten (se GrUU 32/2020 rd, s. 5).  

I fråga om sakinnehåll lämpar sig uppgifterna enligt cyberresiliensförordningen på det föreslagna sättet för Transport- och kommunikationsverkets uppgifter. Vilken myndighet som har till uppgift att övervaka AI-system med hög risk fastställs utifrån lagen om tillsyn över vissa system för artificiell intelligens och EU:s förordning om artificiell intelligens, eftersom de marknadskontrollmyndigheter som utsetts för förordningen om artificiell intelligens även ansvarar för de marknadskontrollåtgärder som krävs med stöd av cyberresiliensförordningen, och till denna del finns det inte något nationellt handlingsutrymme för att ordna marknadskontrollen. Innehållet i uppgifterna fastställs i huvudsak utifrån cyberresiliensförordningen. Regleringen i cyberresiliensförordningen kompletteras av bestämmelser i de nationella allmänna lagarna om förvaltning, marknadskontrollagen och bestämmelserna i lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering bland annat om utbyte av uppgifter. Myndigheternas nya uppgifter baserar sig på lagen och på den direkt tillämpliga EU-förordningen. Uppgifterna för den behöriga myndigheten har definierat noggrant och exakt i den föreslagna lagen. 

12.2  Överföring av offentliga förvaltningsuppgifter på andra än myndigheter

Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock anförtros endast myndigheter.  

Enligt grundlagsutskottets tolkningspraxis är en förutsättning för att anförtro skötseln av en offentlig förvaltningsuppgift någon annan än en myndighet att lagen, åtminstone på ett allmänt sätt, fastställer den kompetens eller behörighet som förutsätts av den som sköter uppgiften (bland annat GrUU 28/2001 rd och GrUU 48/2001 rd). I sin tolkningspraxis har grundlagsutskottet ansett att det för att kraven på rättssäkerhet och god förvaltning ska anses vara uppfyllda i den bemärkelse som avses i 124 § i grundlagen krävs att ärendena behandlas i enlighet med de allmänna förvaltningslagarna och att de som behandlar ärendena handlar under tjänsteansvar (GrUU 33/2004 rd, s. 7/II, GrUU 46/2002 rd, s. 10). De allmänna förvaltningslagarna tillämpas, med stöd av sina bestämmelser om tillämpningsområde, myndighetsdefinition eller skyldigheten för en enskild att betjäna på ett visst språk, även på enskilda när de fullgör offentliga förvaltningsuppgifter (GrUU 42/2005 rd, s. 3/II). Bestämmelserna om straffrättsligt tjänsteansvar tillämpas även på dem som är anställda hos bolaget när de utför offentliga förvaltningsuppgifter (GrUU 26/2017 rd, s. 55–56, GrUU 16/2016 rd, s. 2–3, GrUU 8/2014 rd, s. 5/I).  

De anmälda organen enligt cyberresiliensförordningen utför uppgifter för att bedöma överensstämmelsen, vilka handlar om en offentlig förvaltningsuppgift. I artikel 39.2 i cyberresiliensförordningen konstateras att ett organ för bedömning av överensstämmelse ska ha inrättats enligt den nationella lagstiftningen i en medlemsstat och att det ska vara en juridisk person. Dessutom innehåller artikel 39 detaljerade och noggranna bestämmelser om kraven i skötseln av uppgift som organ för bedömning av överensstämmelse. Om ett organ för bedömning av överensstämmelse låter en underleverantör utföra vissa uppgifter i anknytning till bedömningen av överensstämmelse eller använder dotterbolag, ska organet för bedömning av överensstämmelse med stöd av artikel 41 i cyberresiliensförordningen säkerställa att underleverantören eller dotterbolaget uppfyller även de krav som föreskrivs i artikel 39 i cyberresiliensförordningen och anmäla detta till myndigheten. Även situationer där verksamheten vid ett anmält organ för bedömning av överensstämmelse ska begränsas eller återkallas har reglerats närmare i artikel 45 i förordningen. Den direkt tillämpliga detaljerade regleringen i cyberresiliensförordningen kan med tanke på 124 § i grundlagen anses bilda en tillräcklig författningsgrund för kompetensen och behörigheten för den som sköter uppgiften. Uppgifterna vid ett anmält organ handlar inte om betydande utövning av offentlig makt. 

På kraven på organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering och som sköter uppgifter enligt cybersäkerhetsakten tillämpas å sin sida bilagan till förordningen på grund av hänvisningen till artikel 60.1 i cybersäkerhetsakten. Även denna uppgift handlar om en offentlig förvaltningsuppgift. Kraven överensstämmer med motsvarande krav i cyberresiliensförordningen. Ett organ för bedömning av överensstämmelse ska ha inrättats enligt nationell lagstiftning och det ska vara en juridisk person. Bilagan innehåller detaljerade krav på bedömningarna och med dessa säkerställs oberoendet och utesluts intressekonflikter. Organen för bedömning av överensstämmelse ska säkerställa att deras dotterbolags och underleverantörers åtgärder inte påverkar tillförlitligheten, objektiviteten eller opartiskheten i de åtgärder som de vidtagit för att bedöma överensstämmelsen. Den direkt tillämpliga detaljerade regleringen i cybersäkerhetsakten kan med tanke på 124 § i grundlagen anses bilda en tillräcklig författningsgrund för kompetensen och behörigheten för den som sköter uppgiften. Uppgiften handlar inte om betydande utövning av offentlig makt. 

Dessutom möjliggör lagförslag 1 att uppgifter i anknytning till cybersäkerhetscertifiering vilka tilldelats myndigheten för cybersäkerhetscertifiering delegeras till ett organ för bedömning av överensstämmelse på ett sätt som överensstämmer med regleringen i cybersäkerhetsakten. Uppgifterna är likadana som i övrigt för uppgifterna för organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering med stöd av cybersäkerhetsakten och de handlar om utövning av offentlig makt, dock inte om utövning av avsevärd offentlig makt. Skillnaden är att det handlar om utfärdande av certifikat av hög assuransnivå, vilken i cybersäkerhetsakten i princip är en uppgift som reserverats för myndigheter. Hög assuransnivå på certifieringen gör dock i sig inte uppgiften till en sådan betydande utövning av offentlig makt som inte kan tilldelas någon utanför myndighetsmaskineriet. Delegering kan vara behövligt i synnerhet på grund av det specialkunnande av hög nivå som förutsätts i uppgiften. Förslaget möjliggör att exaktare kompetenskrav fastställs i avtalet om delegering, om det är behövligt med tanke på det tillämpliga certifieringssystemet. Det föreslås att lagen innehåller bestämmelser om de allmänna kraven på organ för bedömning av överensstämmelse med ackreditering och eventuella bemyndiganden, vilka med tanke på 124 § i grundlagen på tillräcklig nivå säkerställer att den som sköter uppgiften har kompetens även i fråga även om den delegerade uppgiften.  

Ett anmält organ och ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering anses i sin uppgift fungera som en självständig personuppgiftsansvarig i förhållande till dess anmälande myndighet. 

Tillgodoseende av de grundläggande fri- och rättigheterna, rättsskyddet och andra krav på god förvaltning Ytterligare ett villkor för att offentliga förvaltningsuppgifter ska kunna anförtros andra än myndigheter är att det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. I 118 § i grundlagen finns bestämmelser om ansvaret för ämbetsåtgärder. Tjänsteansvaret omfattar såväl ett skadeståndsrättsligt som ett straffrättsligt ansvar. När det genom lag utfärdas att skötseln av en offentlig förvaltningsuppgift anförtros någon annan än en myndighet, ska man enligt grundlagsutskottets vedertagna tolkning genom bestämmelser säkerställa att samma bestämmelser som tillämpas på den som sköter uppgiften med tjänsteansvar tillämpas på den som sköter uppgiften (GrUU 5/2010 rd, GrUU 3/2009 rd, GrUU 1/2008 rd). Den föreslagna lagen innehåller den bestämmelse om tjänsteansvar som grundlagsutskottet förutsätter i sin tolkningspraxis. Bestämmelserna om straffrättsligt ansvar tillämpas på ett anmält organ enligt cybersäkerhetsakten och ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering eller på personalen i dotterbolag eller underleverantörer som de anlitar då de sköter de uppgifter som avses i cybersäkerhetsakten, cyberresiliensförordningen eller den föreslagna lagen. De allmänna förvaltningslagarna blir tillämpliga även utan separat hänvisning. Det är även möjligt att göra en begäran om omprövning eller söka ändring i ett beslut som fattats av ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering, vilket tryggar tillgodoseendet av det rättsskydd som föreskrivits i 21 § i grundlagen.  

Tillståndsplikten för uppgifterna för ett anmält organ och ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering och begränsning eller indragning av uppgifterna Enligt den föreslagna regleringen ska ett organ för bedömning av överensstämmelse göra en ansökan om utseende som ett anmält organ enligt cyberresiliensförordningen och anmälan till Transport- och kommunikationsverket. Ett bedömningsorgan som uppfyller kraven i artikel 39 i cyberresiliensförordningen i fråga om de produkter med digitala element för vilka bedömningsorganet har kompetens utses som ett anmält organ. På motsvarande sätt förutsätter certifieringsverksamhet enligt cybersäkerhetsakten i fråga om ett organ för bedömning av överensstämmelse att Transport- och kommunikationsverket anger det för cybersäkerhetscertifiering till kommissionen. Anmälning förutsätter ackreditering av ackrediteringstjänster FINAS och att de förutsättningar som ställs i bilagan till cybersäkerhetsakten och i den tillämpliga certifieringsordningen är uppfyllda.  

Anmälda organ enligt cyberresiliensförordningen och organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering enligt cybersäkerhetsakten utför uppgifter för att bedöma överensstämmelse, vilka handlar om en offentlig förvaltningsuppgift. Grundlagsutskottet har i sin praxis ansett att skötseln av förvaltningsuppgifter som i princip ankommer på en myndighet omfattas av den näringsfrihet som tryggats i 18 § 1 mom. i grundlagen (GrUU  23/2013 rd, GrUU 20/2006 rd , s. 3/I). Grundlagsutskottet har dock ansett att det med tanke på proportionaliteten för regleringen kring rättigheterna och skyldigheterna för en enskild aktör som inte hör till någon myndighetsorganisation är nödvändigt att möjligheten att återkalla ett godkännande binds till allvarliga och väsentliga överträdelser eller försummelser och till att anmärkningar och varningar som getts till en enskild aktör inte lett till att bristerna i verksamheten åtgärdats (GrUU 23/2013 rd, GrUU 20/2006 rd , s. 3/I,  GrUU 27/2010 rd , s. 3/II).  

Cyberresiliensförordningen innehåller bestämmelser om avgränsning och återkallelse av utseendet. Om ett anmält organ inte längre uppfyller de föreskrivna kraven eller inte fullgör sina skyldigheter, är det behövligt att den myndighet som ansvarar för anmälningen begränsar anmälan eller återkallar den tillsvidare eller i sin helhet, beroende på hur allvarligt underlåtenheten att fullgöra kraven eller iaktta skyldigheterna varit. Till denna del finns det inte något nationellt handlingsutrymme. De genomförandeakter som getts med stöd av cybersäkerhetsakten fastställer för egen del förutsättningarna för att en myndighet på olika sätt ska begränsa rätten för ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering att utföra uppgifterna enligt de aktuella akterna. Till den del som EU-rätten inte innehåller andra bestämmelser om ärendet, innehåller den föreslagna lagen bestämmelser om befogenheterna för myndigheten att i sista hand återkalla ett utseende, om ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering inte åtgärdat sin verksamhet inom den utsatta tiden och det handlar om en väsentlig överträdelse eller försummelse eller om det inte uppfyller de krav som ställts på det eller om dess ackreditering begränsas, återkallas eller avbryts. 

I förslaget föreskrivs dessutom att myndigheten för cybersäkerhetscertifiering får säga upp eller häva ett avtal om delegering, om ett organ för bedömning av överensstämmelse som anmälts för cybersäkerhetscertifiering inte längre uppfyller de allmänna kraven för det eller om organet väsentligt åsidosätter fullgörandet av de uppgifter man kommit överens om i avtalet eller annars bryter mot avtalet eller väsentligen eller upprepade gånger handlar lagstridigt. 

Förslaget bedöms uppfylla de krav som grundlagsutskottet i praktiken ställt för återkallande av godkännande av verksamheten.  

Anlitande av experter vid inspektioner Förslaget möjliggör att myndigheten för cybersäkerhetscertifiering kan låta en oberoende expert med behövlig utbildning och erfarenhet utföra en inspektion. Enligt förslaget tillämpas i så fall bestämmelserna om straffrättsligt tjänsteansvar på experter, och därtill tillämpas de allmänna förvaltningslagarna även utan uttryckligt omnämnande, vilket tryggar att kraven på god förvaltning iakttas. Rollen för externa experter är kompletterande. Myndigheten anses då fungera som personuppgiftsansvarig och experten som personuppgiftsbiträde. Däremot fattar myndigheten eventuella administrativa beslut utifrån observationerna vid inspektionen. På grund av behovet av särskild expertis i övervakningen och tryggandet av effektiv användning av myndigheternas resurser ska möjligheten att använda en extern expert anses vara ändamålsenlig. Således är det inte med tanke på 124 § i grundlagen problematiskt att använda en extern expert.  

12.3  Egendomsskydd

Bestämmelsen i 19 § 1 2 mom. i lagförslag 1, enligt vilken ingen ersättning betalas till en ekonomisk aktör för att en programvara tas för undersökning, är betydelsefull för det grundlagstryggade egendomsskyddet. Enligt 15 § i grundlagen är vars och ens egendom tryggad. Enligt grundlagsutskottets etablerade utlåtandepraxis omfattar egendomsskyddet utöver den principiella rätten för en ägare att disponera och använda sin egendom på önskat sätt också rätten att råda över den (GrUU 41/2006 rd, s. 2, GrUU 49/2005 rd, s. 2, GrUU 15/2005 rd, s. 2). Ägarens rättigheter kan begränsas genom lag, förutsatt att regleringen uppfyller de allmänna förutsättningarna för begränsning av de grundläggande fri- och rättigheterna. 

Den föreslagna bestämmelsen omfattas av det nationella handlingsutrymmet. Det handlar om ett undantag till regleringen i marknadskontrollagen enligt vilken marknadskontrollmyndigheten enligt 10 § 2 mom. i marknadskontrollagen på yrkande från en ekonomisk aktör ska ersätta en produkt som tagits för undersökning enligt gängse pris, förutsatt att det inte framgår att produkten inte överensstämmer med kraven. Grunden för undantaget är att tagande för undersökning av en programvara i digitalt format, det vill säga i praktiken överlämnande av en elektronisk kopia, i motsats till en fysisk produkt, för den ekonomiska aktören inte orsakar sådana försäljningsförluster och inte heller andra skador att ersätta vilka ska ersättas enligt programvarans gängse värde. Eftersom sådant tagande för undersökning inte begränsar möjligheten för tillverkaren av programvaran eller en annan ekonomisk aktör att använda sin egendom eller tillverka nya kopior av den och inte orsakar någon ekonomisk skada som är större än ett litet besvär, bedöms förslaget inte vara problematiskt med tanke på egendomsskyddet. 

12.4  Anmälningsskyldigheten för registrarer

Nya 21 a kap. 172 b § i lagen om tjänster inom elektronisk kommunikation innehåller bestämmelser om anmälningsskyldigheten för registrarer och dem som agerar för deras räkning. Dessutom utvidgas anmälningsskyldigheten enligt 21 kap. till dem som agerar för registrarers räkning. Förslaget innebär i praktiken att en aktör som omfattas av tillämpningsområdet har en skyldighet att anmäla sin verksamhet till Transport- och kommunikationsverket och det är således betydelsefullt med tanke på den näringsfrihet som tryggats i 18 § i grundlagen. 

Genomförandet av artikel 27 i NIS 2-direktivet förutsätter att uppgifter enligt anmälningsskyldigheten samlas in från registrarerna. Dessutom innebär anmälningsskyldigheten att Transport- och kommunikationsverket får information om de registrarer som omfattas endast av tillämpningsområdet för nya 21 a kap., vilket är en förutsättning för att rikta tillsynen på registrarer. De uppgifter som ska anmälas utgörs av aktörens kontaktuppgifter och den kan således rimligen anmälas och uppdateras.  

Grundlagsutskottet har inte ansett att anmälningsskyldigheten är problematisk med tanke på näringsfriheten, då en utebliven anmälan inte inneburit ett förbud att bedriva verksamhet (GrUU 16/2009 rd, s. 3/I) eller då en myndighet inte förutsätts fatta något beslut med anledning av anmälan (GrUU 54/2002 rd, s. 3/I). Det förutsätts inte att Transport- och kommunikationsverket fattar något beslut på grund av anmälan. En utebliven anmälan innebär i sig inte något förbud att erbjuda en tjänst eller att bedriva verksamhet. Förslaget bedöms således inte vara problematiskt med tanke på näringsfriheten. 

12.5  Skyddet för hemfrid

Med stöd av föreslagna 19 § kan marknadskontrollmyndigheten under vissa förutsättningar göra en inspektion i ett utrymme som används för boende av permanent natur. Förslaget är av betydelse med avseende på skyddet för hemfriden, som tryggas i 10 § i grundlagen.  

Enligt 10 § i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Enligt 10 § 3 mom. i grundlagen kan det genom lag föreskrivas om åtgärder som ingriper i hemfriden och som är nödvändiga för att de grundläggande fri- och rättigheterna ska kunna tryggas eller för att brott ska kunna utredas. Enligt artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 52 i stadgan ska varje begränsning i utövandet av dessa rättigheter vara föreskriven i lag och får endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.  

Enligt grundlagsutskottets utlåtandepraxis omfattar hemfridsskyddet enligt 10 § i grundlagen i princip alla utrymmen som används för boende av permanent natur, det vill säga även sådana lokaler för näringsidkare som finns till exempel i näringsidkarens bostad. Enligt utskottet kommer själva kärnan i hemfriden dock inte nödvändigtvis i riskzonen när man inspekterar lokaler där det utövas närings- eller yrkesverksamhet (se till exempel GrUU 17/2018 rd, s. 5, GrUU 54/2014 rd, s. s. 2/II, GrUU 21/2010 rd och GrUU 6/2019).  

I sin utlåtandepraxis om myndigheternas inspektionsrätt i anknytning till genomförandet av EU-regleringen har grundlagsutskottet ansett att den inte har något konstitutionellt att anmärka om regleringen kring inspektioner som omfattas av EU-förordningens tillämpningsområde och förutsätts av EU-regleringen (GrUU 12/2019 rd och GrUU 6/2019 rd). Grundlagsutskottet har riktat uppmärksamhet på att det i Europeiska unionens stadga om de grundläggande rättigheterna tryggade hemfridsskyddet inte till alla delar är enhetligt med 10 § 3 mom. i grundlagen. I grundlagsutskottets utlåtanden har man riktat uppmärksamhet på att stadgan om de grundläggande rättigheterna inte innehåller något likadant kvalificerat lagförbehåll som den finländska grundlagen, varför det ibland kan vara svårt att utan problem samordna EU-reglering som även är enhetlig med stadgan om de grundläggande rättigheterna med Finland konstitution (se till exempel GrUU 6/2019 rd och GrUU 39/2016 rd). Dessutom har grundlagsutskottet ansett att det är viktigt att det, i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan, tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (GrUU 25/2005 rd). Grundlagsutskottet har till denna del ansett att om inspektionsbefogenheten på hemfridsskyddade platser inte till alla delar krävs i EU-förordningen, måste befogenheten att utföra inspektioner i utrymmen som omfattas av hemfriden begränsas till vad som är nödvändigt med avseende på förordningen (till exempel GrUU 6/2019 rd). 

Den föreslagna befogenhetsregleringen kring kontroller förutsätts av EU-regleringen och den beaktar de krav som grundlagsutskottet ställt i praktiken. 

Enligt artikel 52 i cyberresiliensförordningen tillämpas på marknadskontrollen av produkter vid sidan om de produkter som omfattas av förordningens tillämpningsområde även förordning (EU) 2019/1020 (den så kallade marknadskontrollförordningen). I artikel 14.4 i marknadskontrollförordningen föreskrivs det om de minimibefogenheter som marknadskontrollmyndigheterna i medlemsstaterna ska ha tillgång till. Enligt artikel 14.4 e i marknadskontrollförordningen ska marknadskontrollmyndigheterna ha befogenhet att få tillträde till lokaler, mark eller transportmedel som den berörda ekonomiska aktören använder för ändamål som har samband med den ekonomiska aktörens näringsverksamhet, affärsverksamhet, hantverk eller yrke, i syfte att identifiera bristande överensstämmelse och erhålla bevis. 

Marknadskontrollförordningen kompletteras nationellt av lagen om marknadskontroll. Enligt 9 § 1 mom. i marknadskontrollagen har marknadskontrollmyndigheten med tanke på kontrollen rätt att få tillträde till alla lokaler där det bedrivs sådan verksamhet som avses i de lagar som nämns i 1 § 1 mom. eller där det förvaras uppgifter som är betydelsefulla för kontrollen, och utföra sådana inspektioner som behövs för kontrollen. Det är dock inte tillåtet att utsträcka inspektioner till utrymmen som används för boende av permanent natur. Vid inspektionerna följs bestämmelserna i 39 § i förvaltningslagen (434/2003). Enligt paragrafens 2 mom. utfärdas bestämmelser om marknadskontrollmyndighetens rätt att utsträcka inspektioner till utrymmen som används för boende av permanent natur vid behov separat i de lagar som nämns i 1 § 1 mom. 

Marknadskontrollförordningen förutsätter att marknadskontrollmyndighetens befogenheter är tillgängliga i övervakningen av alla produkter som omfattas av cyberresiliensförordningens tillämpningsområde. Enligt marknadskontrollagen ska inspektioner kunna utsträckas till alla utrymmen som en ekonomisk aktör använder i sin närings- eller yrkesverksamhet. Bestämmelserna om en myndighets rätt att göra inspektioner i utrymmen som är avsedda för boende av permanent natur föreskrivs dock inte i marknadskontrollagen, utan i sektorslagstiftningen. I förarbetena till marknadskontrollagen bedöms att när befogenheten att göra inspektioner i utrymmen som används för boende av permanent natur är behövlig inom någon produktsektor på grund av dess särdrag, ska bestämmelser om denna befogenhet utfärdas separat genom en sektorlag (RP 139/2021 rd, s. 12). Flera produktlagar innehåller bestämmelser om utsträckande av inspektionsrätten även till utrymmen som används för boende av permanent natur med vissa randvillkor (till exempel lagen om konsumentprodukters säkerhet, elsäkerhetslagen, lagen om kosmetiska produkter och lagen om gödselmedel). En sådan situation som är aktuell med tanke på övervakningen enligt cybersäkerhetsakten är en sådan situation som beskrivits i förarbetena till marknadskontrollagen. 

Verksamhet som omfattas av cyberresiliensförordningens tillämpningsområde, såsom programvaruutveckling, kan bedrivas och det är även vanligt att sådan bedrivs i hemfridsskyddade utrymmen. Sådan verksamhet kan vara företagsverksamhet som huvud- eller bisyssla för personen. I så fall är det möjligt att det uppkommer situationer där den enda möjligheten att göra en inspektion av en tillverkare eller en annan ekonomisk aktör är att utföra den i det aktuella hemfridsskyddade utrymme som används i näringsverksamheten, men som även omfattas av hemfridsskyddet. Det är även möjligt att enheter monteras i samband med bostadsutrymmen. Således anses det att marknadskontrollförordningen förutsätter att en inspektion, i syfte att övervaka cyberresiliensförordningen, i begränsad utsträckning ska kunna utsträckas även till hemfridsskyddade utrymmen i sådana situationer. 

Grundlagsutskottet har på etablerats sätt betonat att ordalydelsen i 10 § 3 mom. i grundlagen förutsätter att en inspektion som sträcker sig till en hemfridsskyddad plats binds till kravet på nödvändighet och förutsatt att det i befogenhetsbestämmelserna skrivs in att inspektioner i till exempel bostäder bara får förrättas om det är nödvändigt för att utreda de frågor som inspektionen avser (se till exempel GrUU 54/2014 rd, s. 3 och de utlåtanden till vilka det hänvisats i det).  

Grundlagsutskottet har i sin praxis ansett att en åtgärd som inskränker på hemfridsskyddet är godtagbara ”i syfte att utreda brott”, om åtgärden binds till att det finns en konkret och specificerad orsak att misstänka att lagen överträtts eller kommer att överträdas (GrUU 14/2013 rd, s. 3 och GrUU 69/2002 rd, s. 2). Från proportionalitetssynpunkt har utskottet ansett att hemfridsskyddet inte får åsidosättas för utredning av mindre förseelser för vilka kan följa högst böter. (GrUU 40/2002 rd, s. 2). Grundlagsutskottet har å andra sidan ansett att inspektioner som inskränker hemfriden för att kontrollera hur stöd och bidrag som beviljats av offentliga medel används som beviljats är acceptabla också om det finns grundad anledning att misstänka sådana straffbara förseelser som allra högst ger ett bötesstraff (GrUU 69/2002 rd, s. 2–3). Inspektionsrätten kan genom en vanlig lag vara sammankopplad med ett förfarande som är sanktionerat med en straffavgift (GrUU 7/2004 rd, GrUU 39/2005 rd och GrUU 14/2013 rd). 

Marknadskontrollagens 9 § innehåller en hänvisning till 39 § i förvaltningslagen, så som grundlagsutskottet förutsatt för reglering kring inspektioner av tillsynskaraktär (GrUU 11/2013 rd, s. 2). 

Rätten att göra inspektioner i hemfridsskyddade områden är avgränsad till utrymmen som en ekonomisk aktör använder för ändamål i anknytning till deras närings- eller yrkesverksamhet. Enligt förslaget får en inspektion i ett utrymme som används för boende av permanent natur göras endast om den den är nödvändig för att utreda omständigheter som gäller föremålet för inspektionen. Detta innebär att förutsättningen är att den misstänkta överträdelsen inte kan utredas på annat sätt, såsom med rätten att få uppgifter eller genom att göra en inspektion i ett objekt som inte omfattas av hemfridsskyddet. Rätten att göra inspektioner i utrymmen som omfattas av hemfridsskyddet hänför sig till uppgifter som är nödvändiga för att sköta övervakningsuppgifter som anknyter till överträdelser av de skyldigheter som baserar sig på cyberresiliensförordningen eller lagförslag 1 i propositionen. Det är dock inte möjligt att på uttömmande sätt räkna upp de uppgifter som det är nödvändigt att skaffa för att göra en inspektion i utrymmen som omfattas av hemfridsskyddet. 

Åtgärdens proportionalitet har säkerställts genom en bestämmelse. Förutsättningen är för det första att det finns ett motiverat och specificerat skäl till att cyberresiliensförordningen har överträtts eller överträds på ett sätt som kan leda till en administrativ påföljdsavgift enligt förslaget. Maximibeloppet av den påföljdsavgift som föreskrivs för överträdelse av cyberresiliensförordningen är avsevärt och det handlar om en sanktion av straffnatur. En ytterligare förutsättning är att den misstänkta överträdelsen ska handla om att en produkt eller process med digitala element inte överensstämmer med kraven eller om en annan situation med avsevärd cybersäkerhetsrisk enligt artikel 57 i cyberresiliensförordningen, vilken beskrivits närmare i motiveringarna till bestämmelsen. Syftet med cyberresiliensförordningen är att förbättra cybersäkerheten för produkter med digitala element såväl för konsumenter som för företag. Produkterna kan orsaka allvarliga cybersäkerhetsrisker och en risk till exempel för människornas hälsa eller säkerhet. Därför är det proportionellt att en inspektion i ovan nämnda situationer kan göras även i utrymmen som används för boende av permanent natur. Dessa förutsättningar innebär att en inspektion inte får göras i hemfridsskyddade objekt i sådana situationer med smärre överträdelser, för vilka en påföljdsavgift inte kan påföras eller som handlar om de sist nämnda omständigheterna. 

Proportionaliteten säkerställs även av tillämpningen av 39 § i förvaltningslagen. Enligt den ska en inspektion förrättas utan att inspektionsobjektet eller dess innehavare orsakas oskälig olägenhet. Proportionaliteten säkerställs därtill bland annat av 6 § i förvaltningslagen, enligt vilken myndigheternas åtgärder ska använda sina befogenheter enbart för syften som är godtagbara enligt lag och åtgärderna ska vara opartiska och stå i rätt proportion till sitt syfte. 

Den föreslagna lagen uppfyller således de förutsättningar som grundlagsutskottet fastställt i praktiken, då den förutsätter nödvändighet och ett konkret och specificerat skäl samt då inspektionsrätten är kopplad till verksamhet som kan leda till en administrativ påföljdsavgift av straffkaraktär, och därtill säkerställs i detta att åtgärden är proportionell.  

Enligt 14 § 2 mom. i marknadskontrollagen får oberoende experter assistera marknadskontrollmyndigheten vid sådana inspektioner som avses i denna lag En extern expert har således inte någon självständig roll i en inspektion. Lagen innehåller även bestämmelser om det straffrättsliga tjänsteansvaret för en expert. Grundlagsutskottet har inte ansett att det finns något hinder till att bestämmelser utfärdas genom lag om rätten för ett organ som utsetts utanför myndighetsmaskineriet att biträda då en inspektion förrättas (GrUU 42/2005 rd och GrUU 46/2001 rd).  

Med beaktande av det ovan angivna bedöms förslagen om inspektionsrätten uppfylla de randvillkor som följer av grundlagsutskottets praxis i fråga om en inspektion inom ramen för hemfridsskyddet.  

12.6  Myndigheternas rätt att få och lämna ut information samt integritetsskyddet

Myndigheternas rätt att få och lämna ut information. Grundlagsutskottet har ofta bedömt omfattningen, exaktheten och innehållet i fråga om bestämmelserna om de uppgifter som ska fås och lämnas ut trots sekretessen (se till exempel GrUU 89/2022 rd, stycke 12). Myndigheternas rätt att få och möjlighet att lämna ut uppgifter kan enligt utskottet gälla behövliga uppgifter för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om informationsinnehållen å andra sidan inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på ”att informationen är nödvändig” för ett visst ändamål (se till exempel GrUU 8/2021 rd, stycke 24 och de utlåtanden som nämns där).  

Grundlagsutskottet har upprepade gånger understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är frågan inte bara om omfattningen av innehållet i uppgifterna utan också att den myndighet som är berättigad till uppgifterna i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar uppgifterna. Ju mer generella bestämmelserna om rätten att få information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju mer fullständigt rätten att få uppgifter är kopplad till de sakliga förutsättningarna i bestämmelserna, desto mer sannolikt är det att en enskild begäran om information i praktiken måste motiveras. I så fall är det även möjligt för den som lämnar ut uppgifterna att bedöma begäran med tanke på de lagliga förutsättningarna för utlämnandet. Den som lämnar ut uppgifter kan dessutom genom att vägra att de facto lämna ut uppgifter åstadkomma en situation där skyldigheten att lämna ut uppgifter, det vill säga tolkningen av bestämmelserna, ska prövas av en extern myndighet. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (se till exempel GrUU 7/2019 rd, s. 7 och GrUU 48/2018 rd, s. 5 och de utlåtanden till vilka det hänvisats i det). 

Lagförslag 1 och 3 i den propositionen innehåller bestämmelser om myndigheternas rätter att få och lämna ut uppgifter, vilka kan gälla sekretessbelagd information, såsom affärshemligheter eller information om säkerhetsarrangemangen för informations- och kommunikationssystem. Uppgifterna kan undantagsvis även gälla omständigheter som omfattas av skyddet för privatlivet. Således ska propositionen bedömas med tanke på egendomsskyddet som föreskrivs i 15 § i grundlagen och skyddet för privatlivet som föreskrivs i 10 §. 

De föreslagna rätterna att få och lämna ut uppgifter förutsätts i huvudsak av de uppgifter som definieras i cyberresiliensförordningen och cybersäkerhetsakten.  

I 9 § i lagförslag 1 utfärdas bestämmelser om CSIRT-enhetens rätt att lämna ut vissa sekretessbelagda uppgifter som den fått i samband med skötseln av uppgifter enligt cyberresiliensförordningen i syfte att utföra dessa uppgifter. Rätten att lämna ut information är i regel bunden till behovsförutsättningen på så sätt att de uppgiftstyper som rätten att lämna ut information täcker har sitt ursprung i artikel 14.2, 14.4 och 14.6 i cyberresiliensförordningen. Utlämnandet av andra uppgifter som eventuellt fåtts vid skötseln av dessa uppgifter är bundet till nödvändighetsförutsättningen. I 14 § i lagförslaget finns det å sin sida bestämmelser om rätten för den anmälande myndigheten och ett anmält organ att lämna ut sekretessbelagd information. Rätten att lämna ut information för en anmälande myndighet är bunden till nödvändighet med tanke på skötseln av de uppgifter som fastställts i paragrafen. Rätten att lämna ut information för ett anmält organ är å sin sida bunden till behovsförutsättningen på så sätt att de uppgifter som lämnas ut har fastställts att gälla bedömningen av överensstämmelsen och kontrollresultaten. I 18 § 1 mom. i förslaget utsträcks marknadskontrollmyndighetens rätt att lämna ut information enligt 11 och 13 § i marknadskontrollagen att gälla även rätten att lämna ut information om överensstämmelse, säkerhetsarrangemang och sårbarhet i fråga om produkter med digitala element och uppgifter om incidenter som påverkar säkerheten. Marknadskontrollagen har stiftats med samverkan av grundlagsutskottet (GrUU 36/2016 rd, EkUB 19/2016 rd). Den föreslagna utvidgningen till uppgiftstyper som rätten att lämna ut information täcker är nödvändig, eftersom skyldigheterna i cyberresiliensförordningen hänför sig till deras område. I 18 § 2 mom. i förslaget finns det bestämmelser om rätten för marknadskontrollmyndigheten att lämna ut information till vissa finländska och utländska myndigheter för deras föreskrivna uppgifter. Rätten att lämna ut information är bunden till nödvändighet med tanke på skötseln av de uppgifter som fastställts i paragrafen. I föreslagna 26 § föreskrivs å sin sida rätten för myndigheten för cybersäkerhetscertifiering att lämna ut sekretessbelagda information. I fråga om 1 och 2 punkten i paragrafen är rätten att lämna ut information för en anmälande myndighet bunden till nödvändighet med tanke på skötseln av de uppgifter som fastställts i dessa punkter. I fråga om paragrafens 3 punkt är rätten att lämna ut information å sin sida bunden till behovsförutsättningen med tanke på uppgifterna för den mottagande myndigheten, på så sätt att de uppgiftstyper som lämnas ut har räknats upp i punkten. Förslagen om utlämnande av uppgifter till CSIRT-enheten för att den ska kunna sköta sina uppgifter enligt cybersäkerhetslagen förutsätts inte direkt av cyberresiliensförordningen eller cybersäkerhetsakten, men en ändamålsenlig skötsel av CSIRT-enhetens uppgifter kan anses förutsätta en möjlighet att utlämna dessa uppgifter till den, eftersom det främjar tillgodoseendet av cybersäkerheten.  

Likaså är rätten att lämna ut information på grund av ändringen av 28 § i cybersäkerhetslagen i enlighet med lagförslag 3 bunden till nödvändighet med tanke på vissa av Finansinspektionens uppgifter, vilka föreskrivits i lagen om Finansinspektionen. Detta förslag granskas nedan separat med tanke på skyddet för konfidentiell kommunikation. 

Det föreslås att 25 § i lagförslag 1 i propositionen innehåller bestämmelser om rätten för myndigheten för cybersäkerhetscertifiering att få information, vilken har begränsats till skötseln av dess uppgifter enligt den föreslagna lagen och cybersäkerhetsakten och för att övervaka de uppgifter som är nödvändiga för att övervaka efterlevnaden av cybersäkerhetsakten, de bestämmelser som utfärdats med stöd av den samt denna lag. Rätten att få information hänför sig till organen för bedömning av överensstämmelse, innehavaren av ett europeiska cybersäkerhetscertifikat och de som ger EU-försäkringar om överensstämmelse. Det är inte ändamålsenligt att räkna upp uppgiftstyperna på ett uttömmande sätt eller begränsa dessa till vissa situationer, eftersom myndigheterna kan ha många olika former av behov av att få information. Dessutom fogas till 39 § 4 mom. i förslaget bestämmelser om rätten för den myndighet som påför en påföljdsavgift att få de uppgifter som är nödvändiga för att påföra en påföljdsavgift eller bedöma dess belopp.  

Således kan den föreslagna regleringen anses uppfylla grundlagsutskottets förutsättningar för reglering kring rätt att få och lämna ut information till denna del. 

Skyddet för personuppgifter. Enligt 10 § i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skyddet för personuppgifter utfärdas genom lag. Inskränkningar i skyddet för privatlivet ska i det aktuella lagstiftningssammanhanget bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (till exempel GrUU 42/2016 rd, s. 2–3). Enligt artikel 8 i stadgan om de grundläggande rättigheterna ska personuppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikel 52.1 i stadgan om de grundläggande rättigheterna ska varje begränsning i utövandet av rättigheterna och friheterna som erkänns i stadgan om de grundläggande rättigheterna vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.  

De föreslagna bestämmelserna om rätten att lämna ut och få information enligt lagförslag 1 och 3 i propositionen lämnar inte personuppgifter utanför rätten att lämna ut eller få information, även om föremålet för utlämnandet av information i huvudsak är tekniska uppgifter i stället för personuppgifter. Personuppgifter kan dock förvaras till exempel för utredningar som begärs av ett organ för bedömning av överensstämmelse, vilka kan gälla uppfyllandet av de krav som ställs på bedömningsorganets personal. Till den del som personuppgifter behandlas i samband med utövningen av rätten att få och lämna ut uppgifter, ska dataskyddslagstiftningen, såsom allmänna dataskyddsförordningen och dataskyddslagen, iakttas i behandlingen av personuppgifter.  

Enligt grundlagsutskottet bör skyddet för personuppgifter i första hand tillgodoses med stöd av allmänna dataskyddsförordningen och den nationella allmänna lag som stiftas med stöd av den. Den nationella speciallagstiftningen bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd).  

I fråga om dessa rätter att få och lämna ut information utgörs rättsgrunden för behandlingen av personuppgifter i princip av en lagstadgad förpliktelse för en myndighet enligt artikel 6.1 c i dataskyddsförordningen. Propositionen innehåller kompletterande reglering om behandlingen av personuppgifter i förhållande till den allmänna dataskyddsförordningen och dataskyddslagen. I den föreslagna lagen används det nationella handlingsutrymme som artikel 6.2 och 6.3 i allmänna dataskyddsförordningen tillåter genom att fastställa rättsgrunden för behandlingen av personuppgifter och de organ och ändamål för vilka personuppgifter kan lämnas ut. Personuppgifter kan lämnas ut endast då det är nödvändigt för fallet eller i fråga om de fastställda uppgiftstyperna behövligt för att sköta lagstadgade uppgifter för en myndighet eller en privat aktör som sköter en offentlig förvaltningsuppgift. Dessa uppgifter baserar sig i huvudsak på unionslagstiftningen. Således uppfyller den föreslagna regleringen förutsättningen i artikel 6.3 i den allmänna dataskyddsförordningen att medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. 

Konfidentiell kommunikation . Enligt 2 mom. i grundlagen är brev- och telefonhemligheten samt hemligheten i fråga om andra förtroliga meddelanden okränkbar. Enligt paragrafens 4 mom. kan genom lag föreskrivas om sådana begränsningar i meddelandehemligheten som är nödvändiga vid utredning av brott som äventyrar individens eller samhällets säkerhet eller hemfriden, vid rättegång, vid säkerhetskontroll och under frihetsberövande samt för att inhämta information om militär verksamhet eller sådan annan verksamhet som allvarligt hotar den nationella säkerheten.  

Genom lagförslag 3 ändras rätten att lämna ut information enligt 28 § 4 mom. i cybersäkerhetslagen till att gälla utlämnande av information även till Finansinspektionen utöver de tillsynsmyndigheter som fastställts i 26 § i cybersäkerhetslagen. Rätten att lämna ut information gäller även förmedlingsuppgifter, lokaliseringsuppgifter och information om meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando, vilka tillsynsmyndigheten haft rätt att få på grund av att informationen varit nödvändig för fullgörandet av den skyldighet som gäller hantering av cybersäkerhetsrisker eller över anmälan och rapporteringen av betydande incidenter, Grundlagsutskottet har ansett denna reglering är möjlig med tanke på de randvillkor som 10 § i grundlagen ställer, eftersom meddelanden som innehåller ett skadligt datorprogram eller kommando kan anses falla helt utanför tillämpningsområdet för hemligheten för förtroliga meddelanden i 10 § i grundlagen och att den aktuella rätten att få information om förmedlingsuppgifter kan anses vara ett relativt begränsat inkräktande på skyddet för hemligheten för förtroliga meddelanden, utan att den bildar något problem med tanke på de allmänna förutsättningarna att begränsa grundläggande fri- och rättigheter (GrUU 62/2024 rd).  

Förslaget om att i detta hänseende jämställa Finansinspektionen med de fastställda tillsynsmyndigheterna enligt cybersäkerhetslagen är motiverat, så att alla behöriga myndigheter enligt NIS 2-direktivet till denna del är i samma ställning. För närvarande innehåller cybersäkerhetslagen inte bestämmelser om Finansinspektionens uppgifter eller informationsutbyte mellan de tillsynsmyndigheter som föreskrivits i 26 § i cybersäkerhetslagen, eftersom även om det NIS 2-direktiv som den verkställt innehåller reglering som hänför sig till de verksamhetsområden som Finansinspektionen övervakar, är EU:s DORA-förordning i fråga om aktörernas skyldigheter en specialakt i förhållande till NIS 2-direktivet. I enlighet med lagen om Finansinspektionen fungerar Finansinspektionen dock som behörig myndighet enligt NIS 2-direktivet och som behörig myndighet enligt DORA-förordningen.  

Utifrån det ovan angivna bedöms förslagen om myndigheternas informationsutbyte och rätt att lämna ut information vara förenliga med de randvillkor som grundlagen ställer. 

12.7  Påföljdsregleringen

Det föreslås att 6 kap. i lagförslag 1, på det sätt som cyberresiliensförordningen förutsätter, innehåller bestämmelser om att en administrativ påföljdsavgift påförs för den som inte fullgör de skyldigheter som cyberresiliensförordningen fastställer. Dessutom innehåller kapitlet en påföljdsavgift för överträdelse av cybersäkerhetsakten till den del som propositionen innehåller nationellt handlingsutrymme. De föreslagna påföljdsavgifterna handlar om en administrativ påföljdsavgift som påförs för en lagstridig gärning, vilken kan vara av ett avsevärt belopp.  

Enligt grundlagsutskottets utlåtandepraxis ska de allmänna grunderna för administrativa påföljder i enlighet med 2 § 3 mom. i grundlagen fastställas i lag. Dessutom är det fråga om betydande utövning av offentlig makt, som endast kan anförtros myndigheter. Lagen måste exakt och tydligt föreskriva om grunderna för betalningsskyldigheten och avgiftens storlek, rättsskyddet för den betalningsskyldige och grunderna för verkställigheten av lagen. Utskottet har också ansett att även om kravet på exakthet enligt den straffrättsliga legalitetsprincipen, som framgår av grundlagens 8 §, inte direkt gäller administrativa påföljder kan det allmänna kravet på exakthet ändå inte åsidosättas i ett sådant sammanhang (GrUU 43/2013 rd, GrUU 14/2012 rd, GrUU 32/2012 rd och de utlåtanden som nämns där).  

Grundlagsutskottets hävdvunna tolkning har varit att administrativa påföljdsavgifter är administrativa påföljder av sanktionskaraktär som påförs för en lagstridig gärning. I sak har utskottet i sina utlåtanden jämställt en ekonomisk påföljd av straffkaraktär med en straffrättslig påföljd (GrUU 17/2012 rd, s. 6, GrUU 9/2012 rd, s. 2). En administrativ påföljdsavgift handlar enligt grundlagsutskottet om avsevärd utövning av offentlig makt (GrUU 34/2012 rd, s. 3, GrUU 17/2012 rd, s. 6, och GrUU 9/2012 rd, s. 2). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. Enligt sista meningen i 124 § i grundlagen får uppgifter som innebär betydande utövning av offentlig makt ges endast myndigheter. I förslaget om påförande av påföljdsavgift har grundlagsutskottets utlåtandepraxis beaktats. Lagen innehåller exakta, noggrant avgränsade och uttömmande bestämmelser om de gärningar eller försummelser som kan ligga till grund för påförande av påföljdsavgiften för en aktör.  

Grundlagsutskottet har i sin bedömning av den allmänna dataskyddsförordningen konstaterat att rättssäkerhetsintresset i fråga om administrativa påföljdsavgifter är starkt accentuerat, med hänsyn till att påföljdsavgiften är sträng och har karaktär av sanktion. Grundlagsutskottet har förutsatt att för att säkerställa att ett förfarande är ändamålsenligt, oberoende och opartiskt på det sätt som krävs i 21 § i grundlagen, ska beslut om en påföljdsavgift fattas av ett kollegialt organ för att förslaget ska kunna behandlas i vanlig lagstiftningsordning (GrUU 14/2018 rd).  

Enligt grundlagsutskottet ska förvaltningsmyndigheten vid behandlingen av ett ärende iaktta garantierna för god förvaltning enligt 21 § 2 mom. i grundlagen, vilka är bland annat offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring. Enligt grundlagen ska garantier för god förvaltning tryggas genom lag. 

Enligt förslaget påförs en påföljdsavgift på grund av överträdelse av cyberresiliensförordningen av Transport- och kommunikationsverket. Enligt 7 a § i lagen om Transport- och kommunikationsverket har Transport- och kommunikationsverket ett påföljdskollegium som har till uppgift att påföra påföljdsavgifter som omfattas av verkets behörighet i sådana fall när påföljdsavgiften överstiger 100 000 euro. Påföljdskollegiet fattar beslut efter föredragning. Lagen innehåller bestämmelser om kollegiets förtrogenhet, expertis, oberoende och opartiskhet. Dessutom, när den behöriga marknadskontrollmyndigheten exceptionellt utgörs av marknadskontrollmyndigheten enligt 3 § i lagen om tillsyn över vissa system för artificiell intelligens, påförs den administrativa påföljdsavgiften enligt förslaget i den ordning som föreskrivs i 13 § i den nämnda lagen. Detta innebär att påförandet av en påföljdsavgift i fråga om vissa påföljdsavgifter som överskrider det belopp i euro som föreskrivs i den aktuella lagen styrs till ett kollegium för påföljdsavgifter för kontrollen av AI-system eller till det påföljdskollegium som avses i dataskyddslagen. Till denna del uppfyller förslaget de krav som grundlagsutskottet i praktiken ställt på förfarandet. 

Transport- och kommunikationsverket påför också överträdelseavgiften i anknytning till cybersäkerhetscertifiering i rollen som nationell myndighet för cybersäkerhetscertifiering. Eftersom maximibeloppet av påföljdsavgiften i så fall är 100 000 euro, omfattas en sådan påföljdsavgift med stöd av 7 a § i lagen om Transport- och kommunikationsverket inte av påföljdskollegiets beslutsbehörighet. Det kan bedömas att denna påföljdsavgift inte förutsätter att den styrs för att avgöras av ett kollegium, eftersom den ska anses vara av högt maximibelopp och avsevärt kännbar, med beaktande av att det handlar om näringsverksamhet och att certifiering i princip är frivilligt.  

Enligt grundlagsutskottet ska det i lag exakt och tydligt föreskrivas om grunderna för betalningsskyldigheten och avgiftsbeloppet samt om den betalningsskyldiges rättssäkerhet och om grunderna för verkställandet av lagen (GrUU 14/2013 rd, s. 2, GrUU 34/2012 rd, s. 3, GrUU 17/2012 rd, s. 6). Förslagets bestämmelser om dessa omständigheter bedöms hålla en tillräcklig nivå. 

Eftersom i synnerhet de påföljdsavgifter som förutsätts i cyberresiliensförordningen är betydande, måste man enligt grundlagsutskottet fästa särskild uppmärksamhet vid kraven på rättssäkerhet (GrUU 14/2018 rd, s. 18) Påföljdsavgiftens maximibelopp fastställs i 38 § i lagförslag 1. Påföljdsavgiftens belopp grundar sig enligt 38 § på en helhetsbedömning där de omständigheter som anges i paragrafen ska beaktas. Ändring i ett beslut om påföljdsavgift får sökas genom besvär på det sätt som föreskrivs för rättegång i förvaltningsärenden. Grundlagsutskottet har i sin praxis förutsatt att myndighetens prövning vid beslut om att inte påföra påföljdsavgift ska vara bunden till prövning så att påföljdsavgift inte påförs om de villkor som anges i lag är uppfyllda (GrUU 49/2017 rd, s. 5–6, GrUU 39/2017 rd, s. 4). Detta har beaktats i 40 § i förslaget, vars syfte är att säkerställa att ingen påföljdsavgift påförs i situationer där det är uppenbart oskäligt. Ett beslut om en påföljdsavgift kan inte förordnas att iakttas med stöd av 43 § i förslaget trots ändringssökande. Det kan bedömas att detta tryggar att rättsskyddsarrangemangen är ändamålsenliga (GrUU 4/2004 rd, s. 7–8). 

Enligt artikel 65 i cybersäkerhetsakten ska medlemsstaterna fastställa regler om sanktioner vid överträdelse av denna avdelning och överträdelser av europeiska ordningar för cybersäkerhetscertifiering, och de ska vidta alla nödvändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. I övrigt ges medlemsstaterna nationellt handlingsutrymme i fråga om påföljdsbestämmelserna, förutsatt att de allmänna krav för genomförande av unionsrätten som följer av principen om lojalt samarbete uppfylls (likvärdighets- och effektivitetsprincipen). Detta innebär bland annat att medlemsstaterna i princip kan besluta om påföljderna genomförs som administrativa påföljder eller som straffrättsliga straff. Förslaget innehåller bestämmelser om en administrativ påföljdsavgift som kan påföras för överträdelser som gäller cybersäkerhetscertifieringen (37 § i lagförslag 1).  

Acceptabilitet och sistahandskaraktär. Syftet med de europeiska ordningarna för cybersäkerhetscertifiering är att öka nivån på cybersäkerheten i unionen. Deras syfte är att fastställa att de bedömda IKT-produkterna, IKT-tjänsterna och IKT-processerna är förenliga med de säkerhetskrav som fastställts för dem, så att det är möjligt att skydda uppgifternas, funktionernas eller tjänsternas användarvänlighet, autenticitet, integritet och konfidentialitet under hela deras livslängd (skäl 95 till och artikel 46 i cybersäkerhetsakten). Cybersäkerhetsrisker som gäller produkterna kan bland annat äventyra konfidentialiteten för personuppgifterna och kommunikationen. Dessa mål har en koppling till skyddet för privatlivet som tryggats i 10 § i grundlagen. De är godtagbara mål med tanke på utfärdandet av påföljdsbestämmelser. De talar också för att det nationella handlingsutrymmet utnyttjas för att föreskriva om påföljder. Syftet med de föreslagna bestämmelserna är att säkerställa att bestämmelserna iakttas och att skyldigheterna i fråga om bedrivande av verksamhet fullgörs. Bestämmelserna främjar specialprevention och allmän prevention. Med tanke på övervakningens effektivitet och funktion kan lindrigare påföljder inte anses vara tillräckliga, med beaktande av ovan nämnda godtagbara mål och cybersäkerhetens centrala roll i samhället.  

I enlighet med ultima ratio-principen ska ett straffrättsligt straff tillgripas som ett sista medel. I valet av den nationella påföljdsarten ska den så kallade likvärdighetsprincipen iakttas. Enligt principen ska medlemsstaterna sörja för att en påföljd för överträdelse av EU-rätten i fråga om grunder och förfaranden fastställs på samma sätt som en överträdelse av den nationella rätten av samma karaktär och med ett jämställbart allvar.  

Ovan i avsnitt REF _Ref207810864 \r \h \* MERGEFORMAT 5.1.3 REF _Ref190276277 \r \h \* MERGEFORMAT 5.1.2 beskrivs de grunder som ligger till grund för det föreslagna maximibeloppet av sanktioneringen av överträdelse av cybersäkerhetscertifieringen. Vid beredningen har man ansett att en administrativ sanktion är en lösning som är förenlig med likvärdighetsprincipen och en lämpligare påföljd än en straffrättslig påföljd för överträdelse av cybersäkerhetsakten.  

Självinkrimineringsskyddet . Enligt Europadomstolens praxis är självinkrimineringsskyddet inte något hinder eller någon begränsning för sådana lagstadgade administrativa tillsynsförfaranden där en person förutsätts lämna ut information eller utredningar till exempel för beskattning, näringstillsynen eller miljöskyddet (GrUU 39/2014).  

Oskuldspresumtionen . Förslaget är inte problematiskt med tanke på oskuldspresumtionen, eftersom det inte grundar sig på ansvar oberoende av vållande (se GrUU 9/2018 rd, s. 4). En förutsättning för att påföra en påföljdsavgift är att den gärning eller försummelse som bryter mot cyberresiliensförordningen eller cybersäkerhetsakten beror på ett förfarande av uppsåt eller oaktsamhet av aktören.  

Förbudet mot dubbel straffbarhet. Den föreslagna påföljdsavgiften är inte problematisk med tanke på förbudet mot dubbel straffbarhet. Enligt ne bis in idem-regeln får ingen lagföras eller straffas på nytt i en brottmålsrättegång i samma stat för ett brott för vilket han redan har blivit slutligt frikänd eller dömd i enlighet med lagen och rättegångsordningen i denna stat (GrUU 9/2012 rd, s. 3, GrUU 14/2013 rd, s. 2). Enligt Europadomstolens avgörandepraxis omfattar förbudet också administrativa påföljder av straffkaraktär (GrUU 9/2012 rd, s. 3). Förbudet mot dubbel straffbarhet gäller som allmän rättsprincip, och det finns inget behov av att föreskriva särskilt om det. Möjligheten till överlappande förfaranden enligt olika bestämmelser kan dock inte helt uteslutas. Enligt unionsdomstolen är möjligheten att förfaranden och påföljder är överlappande förenlig med det väsentliga innehållet i artikel 50 i stadgan om de grundläggande rättigheterna, under förutsättning att den nationella lagstiftningen inte tillåter att ett förfarande inleds och påföljder påförs för samma gärningar utifrån samma överträdelse eller för att uppnå samma mål, utan att den uteslutande reglerar att överlappande förfaranden och påföljder är möjliga med stöd av olika bestämmelser (mål C-117/20 bpost, punkt 43 och mål C‐ 412/21 Dual Prod SRL, punkt 63). Dessutom ska det finnas tydliga och exakta regler utifrån vilka det är möjligt att förutse vilka åtgärder och försummelser som kan vara föremål för överlappning av förfaranden och påföljder (mål C-117/20 bpost, punkt 51, mål C-412/21 Dual Prod SRL, punkt 67 och mål C-205/23 Engie Romania, punkt 66).  

I propositionens lagförslag 1 har regeln beaktats i 40 § 3 mom., enligt vilket påföljdsavgift inte får påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom.  

En påföljdsavgift som gäller cybersäkerhetscertifiering får enligt förslaget inte påföras heller för den som för samma gärning påförts en påföljdsavgift för överträdelse av cyberresiliensförordningen. Cybersäkerhetsakten begränsar inte tillämpningen av cyberresiliensförordningen eller exempelvis dataskyddsregleringen inklusive påföljder. Cyberresiliensförordningens och cybersäkerhetsaktens mål kan anses vara likadana i den mån att det är motiverat att inom ramen för det nationella handlingsutrymmet och på det föreslagna sättet utfärda bestämmelser om att en annan påföljdsavgift inte kan påföras utifrån samma gärning för en överträdelse som gäller cybersäkerhetscertifiering. Den föreslagna bestämmelsen är tydlig och exakt och utifrån den är det möjligt att förutse vilka åtgärder och försummelser som kan vara föremål för överlappningar när det gäller förfaranden och påföljder.  

Målen i den allmänna dataskyddsförordningen kan i vissa situationer gå i samma riktning som cybersäkerhetsakten, eftersom den allmänna dataskyddsförordningen förutsätter att den personuppgiftsansvarige säkerställer att behandlingen av personuppgifter är säker (artikel 32) och de innehåller bestämmelser om certifieringsmekanismer och -märken, vars syfte är att visa att de personuppgiftsansvariga och personuppgiftsbiträdena iakttar denna förordning då de genomföra behandlingsuppgifter, så som konstateras i skäl 74 till cybersäkerhetsakten. Enligt det sist nämnda begränsar cybersäkerhetsakten inte certifiering av informationsbehandlingsfunktioner i enlighet med förordning (EU) 2016/679, inte heller då åtgärderna har inkluderats i IKT-produkter, IKT-tjänster och IKT-processer. I princip kan det dock anses att certifieringsmekanismerna enligt cybersäkerhetsakten och dataskyddsförordningen dock har egna särskilda mål. Från fall till fall ska det dock säkerställas att de förfaranden som myndigheterna infört har mål som kompletterar varandra och som gäller de olika dimensionerna för ifrågavarande samma straffbara gärning (mål C-117/20 bpost, punkt 50).  

Påföljder för myndigheterna . Enligt regeringens proposition med förslag till dataskyddslag är en administrativ påföljdsavgift som påförs en myndighet ett förfarande som är främmande för vår allmänna rättsordning. Rättsordningen ställer andra specialkrav på den offentliga förvaltningen, vilka för sin del motiverar denna regleringslösning (RP 14/2018 rd, s. 19). Grundlagsutskottet har ansett att en utvidgning av bestämmelserna om påföljdsavgift till myndighetsverksamhet inte är problemfri i konstitutionellt hänseende (se GrUU 14/2018 rd och GrUU 13/2023 rd). Grundlagsutskottet har i sin bedömning av statsrådets skrivelse om förslaget till förordning om artificiell intelligens betonat betydelsen av att man i fråga om administrativa påföljder bör sträva efter att säkerställa ett tillräckligt nationellt handlingsutrymme, särskilt för att beakta att myndigheterna i Finland inte kan påföras administrativa påföljdsavgifter, eftersom endast straffrättsliga påföljder kan påföras myndigheterna (se GrUU 37/2021 rd, stycke 40). Således innehåller 40 § 4 mom. i propositionen bestämmelser om de offentligrättsliga aktörer som kan påföras påföljdsavgifter.  

Proportionalitet . Grundlagsutskottet har ansett att de bestämmelser som är relevanta för proportionaliteten gäller sanktionernas storlek i euro, men också de omständigheter som ska beaktas vid fastställandet av påföljdens storlek och avstående från påföljdsavgift. Utskottet har också i sin praxis förutsatt att myndighetens prövning vid beslut om att inte påföra påföljdsavgift ska vara bunden till prövning så att påföljdsavgift inte påförs om de villkor som anges i lag är uppfyllda. (GrUU 46/2021 rd, punkt 17 med hänvisningar). Den föreslagna paragrafen om en påföljdsavgift i anknytning till cybersäkerhetscertifiering är proportionell. I fråga om cyberresiliensförordningen fastställs maximibeloppen av påföljdsavgifterna i denna förordning.  

Förslaget innehåller bestämmelser om maximibeloppet av påföljdsavgiften och även om de omständigheter som ska beaktas i påföljdsprövningen. Stränghetsgraden för den påföljdsavgift som gäller cybersäkerhetscertifiering har bestämts i förhållande till gärningarnas klandervärdhet och skyddsintresset, och påföljdsavgiften hänför sig till näringsidkare, i praktiken juridiska personer. Påförande av en påföljdsavgift handlar om sådan behandling av ett förvaltningsärende på vilken förvaltningslagen tillämpas (GrUU 32/2005 rd, s. 3/II). I föreslagna 40 § föreskrivs också när en påföljdsavgift inte ska påföras.  

Exakthet. Grundlagsutskottet har ansett att även om kravet på exakthet enligt den straffrättsliga legalitetsprincipen i grundlagens 8 § inte som sådant gäller bestämmelserna om administrativa sanktioner, kan det allmänna kravet på exakthet ändå inte förbigås i ett sammanhang som detta (GrUU 9/2012 rd, GrUU 74/2002 rd och GrUU 57/2010 rd). De föreslagna bestämmelserna om påföljdsavgifter innehåller beskrivningar av de sanktionerade gärningarnas och försummelsernas natur och de redogör entydigt för vilka lagstridiga gärningar eller försummelser som kan leda till en sanktion.  

Förslaget om administrativa påföljdsavgifter bedöms uppfylla förutsättningarna för administrativa påföljder enligt grundlagsutskottets utlåtandepraxis och de regleringsprinciper för administrativa påföljdsavgifter vilka härletts ur dessa. 

12.8  Ålands ställning och relation till självstyrelse

Propositionen fördelar sig dels mellan rikets, dels mellan landskapets lagstiftningsbehörighet. I 18 och 27 § i självstyrelselagen för Åland (1144/1991) föreskrivs om behörighetsfördelningen mellan riket och landskapet Åland. I de utlåtanden som mottagits från högsta domstolen (13.6.2025 KKO-HD/442/2025) och Ålandsdelegationen (26.5.2025 Nr 22/25) i samband med lagstiftningskontrollen vid föredragningen av åländska landskapslagar för republikens president den 27 juni 2025 har det konstaterats att cybersäkerhet eller ett motsvarande begrepp inte nämns i fördelningen av lagstiftningsbehörigheten mellan landskapet och riket i självstyrelselagen. Lagstiftningsbehörigheten ska bedömas med tanke på de rättsområden som landskapslagstiftningen gäller. I 59 b § i självstyrelselagen för Åland finns det bestämmelser om genomförande av beslut som har fattats inom Europeiska unionen. I självstyrelselagen fördelar sig ansvaret för att genomföra unionslagstiftning enligt den behörighetsindelning som föreskrivits i självstyrelselagen. Landskapet ansvarar för genomförande av unionsakter till den del som ärendet omfattas av dess behörighet enligt självstyrelselagen.  

I 59 b § 3 mom. i självstyrelselagen för Åland föreskrivs att får medlemsstaterna enligt gemenskapsrätten i något fall där både landskapet och riket har behörighet utse endast en förvaltningsmyndighet, utser riket denna myndighet. När denna myndighet fattar ett beslut som annars skulle höra till landskapets behörighet, ska beslutet fattas i enlighet med landskapsregeringens ståndpunkt. I den tidigare bedömningen har utseendet av den nationella cybersäkerhetscertifieringsmyndigheten ansetts höra till rikets behörighet utifrån den grunden att cybersäkerhetsakten hade förutsatt att en nationell myndighet utses (regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om tjänster inom elektronisk kommunikation och av vissa lagar som har samband med den RP 98/2020 rd, s. 326) Eftersom cybersäkerhetsakten liksom även cyberresiliensförordningen dock möjliggör att flera än en myndighet utses, kan fördelningen av statens och landskapets behörighet dock inte avgöras utifrån 59 b § 3 mom. i självstyrelselagen. 

Standardisering omfattas av rikets lagstiftningsbehörighet (27 § 19 punkten i självstyrelselagen). Till den del som rättsakterna innehåller myndighetsuppgifter som gäller standardisering hör de därför till landskapets lagstiftningsbehörighet. 

Med vissa begränsningar omfattar rikets lagstiftningsbehörighet enligt 18 § 22 punkten i självstyrelselagen ärenden som gäller näringsverksamhet. Enligt 25 punkten omfattar behörigheten ärenden som gäller beläggande med straff och storleken av straff inom rättsområden som hör till landskapets lagstiftningsbehörighet, medan 26 punkten gäller utsättande och utdömande av vite samt användning av andra tvångsmedel inom rättsområden som hör till landskapets lagstiftningsbehörighet. Cybersäkerheten och informationssäkerheten hänför sig till den lagstiftningsbehörighet till vilken lagstiftningsbehörigheten för respektive sektor hör (på motsvarande sätt i RP 57/2024 rd, s. 275). Myndighetsuppgifterna och påföljderna i anknytning till kontroll och certifiering enligt cyberresiliensförordningen och cybersäkerhetsakten kan således i princip anses omfattas av landskapets behörighet. Cyberresiliensförordningens och cybersäkerhetsaktens horisontella tillämpningsområden är i detta hänseende dock problematiska i fråga om fastställandet av rikets och landskapets lagstiftningsbehörighet.  

Konsumentskydd (27 § 10 punkten i självstyrelselagen) hör till rikets lagstiftningsbehörighet. Konsumentskyddsaspekterna är dock inte avsevärda i cyberresiliensförordningen och inte heller i cybersäkerhetsakten och ingendera av dessa rättsakter begränsar sig till konsumentskyddets område. Med de väsentliga cybersäkerhetskrav som regleras i cyberresiliensförordningen skyddas dock konsumenter och organisationer mot cybersäkerhetsrisker, och dessa har även som mål att förbättra skyddet för personuppgifter och integriteten för enskilda personer (skäl 32). På motsvarande sätt konstateras i cybersäkerhetsakten till exempel att företag och enskilda konsumenter ska ha exakta uppgifter om den nivå på vilka säkerheten för IKT-produkter, IKT-tjänster och IKT-processer har certifierats (skäl 10). Certifieringsordningarna kan i princip hänföra sig såväl till företagsprodukter som till konsumentprodukter.  

Konsumentskyddsärenden har å sin sida ansetts hör till rikets lagstiftningsbehörighet, då det handlar om konsumentprodukternas produktsäkerhet (RP 195/2022 rd, s. 48). Regleringen kring konsumentsäkerhet har ansetts gälla frågor som enligt 18 § 6 punkten (allmän ordning och säkerhet), 12 punkten (hälso- och sjukvård) och 22 punkten (näringsverksamhet) i självstyrelselagen hör till landskapet Ålands lagstiftningsbehörighet. Trots det horisontella tillämpningsområdet och den typ av regleringsobjekt som är ny för marknadskontrollakter har cyberresiliensförordningen en karaktär av en produktsäkerhetsakt, varför den åtminstone utifrån denna grund i princip kan anses omfattas av rikets lagstiftningsbehörighet. Europeiska cybersäkerhetscertifikat och försäkringar om överensstämmelse enligt cyberresiliensförordningen kommer enligt bedömningen att vara viktiga även för att uppfylla kraven i cyberresiliensförordningen. Cyberresiliensförordningen innehåller även liknande särdrag som i marknadskontrollregleringen, varför den i princip bedöms omfattas av landskapets lagstiftningsbehörighet utifrån samma grunder som produktsäkerhetsregleringen, eftersom det kan anses handla om omständigheter som gäller den allmänna ordning och säkerhet och i synnerhet näringsverksamhet.  

Undantaget utgörs dock av situationer som handlar om reglering kring näringsverksamhet som omfattas av rikets lagstiftningsbehörighet. Enligt 27 § 40 punkten i självstyrelselagen har riket lagstiftningsbehörighet i ärenden som gäller televerksamhet. I fråga om 30 kap. i lagen om tjänster inom elektronisk kommunikation (radioutrustnings överensstämmelse med kraven och marknadskontroll) har det ansetts att regleringen kring radioutrustning i egenskap av televerksamhet med stöd av 27 § 40 punkten i självstyrelselagen omfattas av rikets lagstiftningsbehörighet (RP 79/2023 rd, s. 31), även om utsläppande eller tillhandahållande på marknaden inte är egentlig televerksamhet. På grund av detta ska det på motsvarande sätt anses att genomförandet av cyberresiliensförordningen och cybersäkerhetsakten, i fråga om radioutrustning men också andra enheter i anknytning till televerksamhet, i Finland omfattas av rikets behörighet. 

Även ärenden som gäller domännamn anses höra till rikets lagstiftningsbehörighet (regeringens förslag till riksdagen med förslag till lag om ändring av lagen om domännamn RP 151/2005 rd, s. 2). 

12.9  Delegering av lagstiftningsbehörigheten till en myndighet

Enligt 80 § 2 mom. i grundlagen kan även myndigheter genom lag bemyndigas att utfärda rättsnormer i bestämda frågor, om det med hänsyn till föremålet för regleringen finns särskilda skäl och regleringens betydelse i sak inte kräver att den sker genom lag eller förordning. Tillämpningsområdet för ett sådant bemyndigande ska vara exakt avgränsat. Enligt grundlagsutskottets utlåtandepraxis är en särskild orsak till att utfärda bestämmelser om bemyndigandet att utfärda föreskrifter för en myndighet bland annat reglering som är teknisk och innehåller lite detaljer (GrUU 52/2001 rd och GrUU 46/2001 rd) och som inte omfattar någon avsevärd utövning av prövningsrätt (GrUU 43/2000 rd).  

Enligt artikel 33.2 i cyberresiliensförordningen kan medlemsstaterna vid behov inrätta regulatoriska sandlådor för cyberresiliens. I 10 § i lagförslaget om genomförandet av cyberresiliensförordningen regleras att Transport- och kommunikationsverket har ett bemyndigande att utfärda föreskrifter om inrättande av en regulatorisk sandlåda. De föreslagna bemyndigandena att utfärda föreskrifter handlar om teknisk reglering som inte omfattar någon avsevärd användning av prövningsrätt. Myndigheten kan pröva inrättande av regulatoriska sandlådor och det är frivilligt för en ekonomisk aktör att delta i dessa. Regleringens sakmässiga betydelse förutsätter inte heller i övrigt att ärenden föreskrivs genom lag eller förordning.  

Föreslagna nya 21 a kap. i lagen om tjänster inom elektronisk kommunikation innehåller ett bemyndigande att utfärda förordningar i anknytning till anmälningen av uppgifter till förteckningen över registrarer. Förslaget är av samma innehåll som bemyndigandet att utfärda föreskrifter i 41 § 4 mom. i cybersäkerhetslagen, vars förhållande till grundlagen har bedömts i regeringens proposition till riksdagen med förslag till lagstiftning om genomförande av cybersäkerhetsdirektivet (NIS 2-direktivet (RP 57/2024 rd, s. 266–267) och som föreskrivits med grundlagsutskottets medverkan (GrUU 62/2024 rd). På grund av de andra ändringarna omfattas även aktörer som verkar för registrarers räkning framöver av bemyndigandena att utfärda föreskrifter i gällande 21 kap., vilket inte anses ha någon konsekvens för den konstitutionella bedömningen av bemyndigandet att utfärda föreskrifter. 

De föreslagna bestämmelserna om bemyndigande är noggrant avgränsade, detaljerade och i fråga om tillämpningsområde exakt avgränsade och de uppfyller förutsättningar i 80 § 2 mom. i grundlagen.  

På de grunder som anges ovan kan förslagen behandlas i vanlig lagstiftningsordning.