7.1
Lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft
1 kap. Allmänna bestämmelser
1 §. Tillämpningsområde.
Enligt 1 mom. i den föreslagna paragrafen genomförs genom lagen Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av direktiv 2008/114/EG (
CER-direktivet
). Genom CER-direktivet inrättas en övergripande ram för att hantera kritiska aktörers motståndskraft med hänsyn till alla faror.
I 2 mom. 1 punkten i den föreslagna paragrafen föreskrivs det om de sektorer på vilka lagen ska tillämpas och inom vilka kritiska aktörer identifieras med hänvisning till sektorerna i bilagan till CER-direktivet och till kommissionens delegerade förordning (EU) 2023/2450 om en förteckning över samhällsviktiga tjänster. Enligt 1 § 1 mom. 1 punkten tillämpas lagen inom området för lagstiftningen om energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden och produktion, bearbetning och distribution av livsmedel, i enlighet med den klassificering av sektorer som finns i bilagan till CER-direktivet och med beaktande av kommissionens delegerade förordning (EU) 2023/2450 om komplettering av Europaparlamentets och rådets direktiv (EU) 2022/2557 genom upprättande av en förteckning över samhällsviktiga tjänster. Förteckningen över samhällsviktiga tjänster ska också användas vid utarbetandet av den nationella riskbedömningen. Enligt 2 punkten tillämpas lagen också på styrning och beslutsfattande som gäller den riksomfattande plan för kritiska aktörers motståndskraft som ska fungera som en nationell strategi för kritiska aktörers motståndskraft (
riksomfattande plan
). Lagen tillämpas också på den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft och på identifieringen som kritiska aktörer av aktörer som är centrala med tanke på samhällets funktion (
kritisk aktör
). Vidare ska lagen enligt 3 punkten tillämpas på kritiska aktörer som identifierats med stöd av denna lag och på dessa aktörers skyldigheter när det gäller att stärka motståndskraften, enligt 4 punkten på tillsynen över kritiska aktörer och enligt 5 punkten på samarbete mellan myndigheter.
I det föreslagna 3 mom. preciseras begreppet offentlig förvaltning. Med de kategorier av aktörer inom sektorn offentlig förvaltning som anges i bilagan till CER-direktivet och som avses i 2 mom. 1 punkten avses i denna lag de myndigheter som anges i 4 § 1 mom. 1 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999). dvs. statliga förvaltningsmyndigheter och övriga statliga ämbetsverk och inrättningar. Tillämpningsområdet omfattar inte de övriga aktörer som anges i 4 § i offentlighetslagen, såsom domstolar och övriga lagskipningsorgan, statens affärsverk, välfärdsområdenas och välfärdssammanslutningarnas myndigheter och kommunala myndigheter, Finlands Bank, Folkpensionsanstalten och andra självständiga offentligrättsliga inrättningar eller andra aktörer, såsom riksdagens ämbetsverk och inrättningar eller myndigheterna i landskapet Åland när de i landskapet utför uppgifter som ankommer på riksmyndigheterna. Enligt 12 § i beredskapslagen har statsrådet, statliga förvaltningsmyndigheter, statens självständiga offentligrättsliga inrättningar, övriga statsmyndigheter och statliga affärsverk samt välfärdsområdena och välfärdssammanslutningarna, kommunerna, samkommunerna och kommunernas övriga sammanslutningar en beredskapsskyldighet. Dessa ska genom beredskapsplaner och förberedelser för verksamhet under undantagsförhållanden samt genom andra åtgärder säkerställa att deras uppgifter kan skötas så väl som möjligt också under undantagsförhållanden. Förberedelserna i anslutning till beredskapsskyldigheten stöder också hanteringen av normala förhållanden och störningar i dessa. I bilagan till CER-direktivet anges som en kategori av aktörer inom sektorn offentlig förvaltning offentliga förvaltningsentiteter hos nationella regeringar såsom de definieras av en medlemsstat i enlighet med nationell rätt. I artikel 2.10 i direktivet definieras begreppet offentlig förvaltningsentitet, som beskrivits ovan i denna proposition. En offentlig förvaltningsentitet kan definieras som en kritisk entitet också i aktörskategorierna inom de övriga sektorer som anges i bilagan till CER-direktivet.
I det föreslagna 4 mom. preciseras vad som 2 mom. 1 punkten avses med vårdgivare, som också nämns under sektorn Hälso- och sjukvård i bilagan till CER-direktivet.
En aktörskategori som anges under sektorn Hälso- och sjukvård i bilagan till CER-direktivet är vårdgivare enligt definitionen i artikel 3 g i patientdirektivet. Enligt patientdirektivet avses med vårdgivare varje fysisk eller juridisk person eller varje annan aktör som lagligen bedriver hälso- och sjukvård på en medlemsstats territorium. Enligt artikel 3 a i patientdirektivet avses med hälso- och sjukvård hälso- och sjukvårdstjänster som hälso- och sjukvårdspersonal tillhandahåller patienter i syfte att bedöma, bibehålla eller återställa deras hälsotillstånd, inbegripet förskrivning, utlämning och tillhandahållande av läkemedel och medicinska hjälpmedel. Definitionen omfattar i Finland anordnare och producenter av offentliga och privata hälso- och sjukvårdstjänster, dvs. väsentligen välfärdsområden och privata hälso- och sjukvårdsföretag. Även hälso- och sjukvård som ordnas av staten hör i regel till lagens tillämpningsområde.
I momentet föreskrivs det att lagen ska tillämpas på de tjänsteanordnare och tjänsteproducenter som tillhandahåller hälso- och sjukvårdstjänster enligt 4 § i lagen om tillsynen över social- och hälsovården (741/2023), inrättningar för blodtjänst som avses i blodtjänstlagen (197/2005), apotek samt andra aktörer som levererar och tillhandahåller läkemedel och medicintekniska produkter enligt EU-direktivet om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (2011/24/EU). Dessutom ska lagen tillämpas på sådana serviceanordnare och tjänsteproducenter som ordnar eller producerar socialservice och som avses i 4 § i lagen om tillsyn över social- och hälsovården. På välfärdsområdena tillämpas lagen, genom undantag från 3 mom., i fråga om den social-, hälso- och sjukvård som de ordnar och producerar. Bestämmelsen preciserar vad som nationellt avses med tillhandahållare av socialservice och vårdgivare och inom vilken sektor kritiska aktörer ska identifieras som CER-kritiska genom ett separat beslut. Sektorn Hälso- och sjukvård i bilagan till CER-direktivet omfattar vårdgivare enligt definitionen i artikel 3.g i patientdirektivet. Enligt patientdirektivet avses med vårdgivare varje fysisk eller juridisk person eller varje annan aktör som lagligen bedriver hälso- och sjukvård på en medlemsstats territorium.
För att förtydliga tillämpningen av lagen definieras i det föreslagna 4 mom. att vårdgivare avser sådana tjänsteanordnare och tjänsteproducenter som tillhandahåller hälso- och sjukvårdstjänster enligt lagen om tillsynen över social- och hälsovården. Definitionen omfattar också laboratorieverksamhet inom hälso- och sjukvården. Till lagens tillämpningsområde hör också blodtjänstverksamhet. I fråga om välfärdsområden föreslås för tydlighetens skull att lagen ska gälla dem i fråga om social-, hälso- och sjukvården, eftersom lagen om tillsynen över social- och hälsovården ska tillämpas på välfärdsområden i fråga om social- och hälsovårdstjänster.
Det föreslås att det i 4 mom. också ska föreskrivas att CER-lagen även ska tillämpas på apotek och på andra aktörer som förskriver, levererar och tillhandahåller läkemedel och medicintekniska produkter enligt EU-direktivet om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (2011/24/EU).
Definitionen i patientdirektivet, till den del den avser förskrivning av läkemedel, omfattas redan av hänvisningen till lagen om tillsyn över social- och hälsovården, eftersom läkemedel endast kan förskrivas av en läkare eller i vissa fall av en annan yrkesutbildad person inom hälso- och sjukvården, dvs. det är fråga om verksamhet som omfattas av definitionen i den lagen. I Finland skrivs det inte ut recept på medicintekniska produkter på samma sätt som på läkemedel. På nationell nivå kan man dock inom hälso- och sjukvården lämna ut hjälpmedel till patienten, vilka alltså i regel är medicintekniska produkter. Därmed omfattas också de som förskriver medicintekniska produkter av definitionen av tjänsteanordnare och tjänsteproducenter somtillhandahåller hälso- och sjukvårdstjänster enligt lagen om tillsynen över social- och hälsovården.
Eftersom läkemedel nationellt i regel expedieras från apotek, nämns de separat i 2 mom. Vid öppenvårdsapotek expedieras och tillhandahålls läkemedel till kunden separat från vården inom hälso- och sjukvården, t.ex. vård som ges på en läkarmottagning. Apotek kan också expediera medicinska produkter. Sjukhusapotek eller läkemedelscentraler expedierar de läkemedel som används i vården till sjukhusets eller hälsovårdscentralens personal för att ges till patienten. Välfärdsområdenas sjukhusapoteksverksamhet och privata serviceproducenters läkemedelscentraler omfattas av lagens tillämpningsområde redan av den anledningen att apoteksverksamheten utgör en del av aktörens hälsovårdstjänster.
Genom den föreslagna paragrafen genomförs delvis artikel 1 i CER-direktivet.
2 §. Avgränsning av tillämpningsområdet.
Enligt 1 mom. tillämpas lagen inte på republikens presidents kansli, riksdagen, riksdagens justitieombudsman, justitiekanslern i statsrådet, Finlands Bank eller domstolarna. I artikel 2.10 definieras offentlig förvaltningsentitet, men varken rättsväsendet, parlament eller centralbanker betraktas som sådana enligt direktivet. Termen parlament syftar på riksdagsverksamhet. Enligt artikel 1.6 är direktivet inte tillämpligt på offentliga förvaltningsentiteter som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet utredning, upptäckt och lagföring av brott. Lagen tillämpas inte heller på myndighetsverksamhet inom området för försvaret, den nationella säkerheten och den allmänna ordningen och säkerheten, inbegripet förebyggande av brott, brottsutredning, förande av brott till åtalsprövning eller väckande av åtal. I Finland är det myndigheterna som ansvarar för försvaret samt uppgifter som hänför sig till nationell säkerhet, allmän ordning och säkerhet eller lagföring. Till dessa myndigheter hör Försvarsmakten, Gränsbevakningsväsendet, polisenheter enligt 1 § i polisförvaltningslagen (110/1992) samt Åklagarmyndigheten. Polisenheter är Polisstyrelsen, centralkriminalpolisen, Polisyrkeshögskolan, polisinrättningarna samt skyddspolisen.
Enligt artikel 1.7 får medlemsstaterna besluta att direktivets artikel 11 i om samarbete mellan medlemsstaterna, kapitel III om kritiska entiteters motståndskraft, kapitel IV om kritiska entiteter av särskild europeisk betydelse och kapitel VI om tillsyn och efterlevnadskontroll helt eller delvis inte är tillämpliga på kritiska aktörer som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet utredning, upptäckt och lagföring av brott, eller som uteslutande tillhandahåller tjänster till de offentliga förvaltningsentiteter som avses i punkt 6 i artikel 1. I 2 mom. föreslås det att bestämmelserna i 7 § 3 mom., 14–16 §, 5 kap. och 29 § inte ska tillämpas på en sådan kritisk aktör som är verksam inom området för den nationella säkerheten, den allmänna säkerheten, försvaret eller brottsbekämpningen eller som tillhandahåller tjänster till en myndighet som avses i 1 mom. Dessa aktörer är centrala på områdena försvar, nationell säkerhet, allmän ordning och säkerhet eller förebyggande av brott eller brottsutredning och lagföring. Vidare föreslås det i 2 mom. att vad som föreskrivs ovan i inte ska gälla en sådan kritisk aktör som i liten utsträckning tillhandahåller tjänster inom området för den nationella säkerheten, den allmänna säkerheten, försvaret eller brottsbekämpningen. Vad som ska betraktas som ”i liten utsträckning” bedöms utifrån en helhetsbedömning. En tjänst som tillhandahålls i liten utsträckning kan vara t.ex. stödverksamhet, men den kan inte vara en central eller kritisk tjänst med tanke på kärnverksamheten.
Enligt det föreslagna 3 mom. ska bestämmelserna i 7 § 3 mom., 14–16 §, 5 kap. och 29 § inte tillämpas på en kritisk aktör som har identifierats inom sektorerna bankverksamhet, finansmarknadsinfrastruktur och digital infrastruktur. Enligt artikel 8 i CER-direktivet är artikel 11 och kapitlen III, IV och VI i direktivet inte tillämpliga på kritiska aktörer som har identifierats inom de ovannämnda sektorer som anges i bilagan till direktivet. Artikel 11 gäller samarbete mellan medlemsstaterna, kapitel III gäller kritiska entiteters motståndskraft, kapitel IV gäller kritiska entiteter av särskild europeisk betydelse och kapitel VI gäller tillsyn och efterlevnadskontroll.
Enligt 4 mom. tillämpas lagen inte på utlämnande av sådan information vars röjande eller utlämnande äventyrar försvaret, den nationella säkerheten eller den allmänna ordningen och säkerheten. Skyldigheterna enligt direktivet får inte medföra tillhandahållande av information vars utlämnande skulle strida mot väsentliga intressen i fråga om nationell säkerhet, allmän säkerhet eller försvar.
Genom det föreslagna 1 mom. genomförs artikel 1.6 och delvis artikel 2.10, genom 2 mom. artikel 1.7 och genom 3 mom. artikel 8 i CER-direktivet. Genom det föreslagna 4 mom. genomförs artikel 1.8 i CER-direktivet.
3 §. Förhållande till annan lagstiftning.
I 1 mom. föreskrivs det att om det i Europeiska unionens rättsakter sektorsspecifikt krävs att kritiska aktörer vidtar åtgärder för att stärka sin motståndskraft och kraven åtminstone är likvärdiga med motsvarande skyldigheter som fastställs i lagen, ska dessa tillämpas på den kritiska aktören i stället för denna lag. Detta gäller också bestämmelserna om tillsyn i denna lag, som inte ska vara tillämpliga. Syftet med detta är enligt direktivets ingress (skäl 10) att undvika dubbelarbete och onödig börda.
I 2 mom. i den föreslagna paragrafen förtydligas förhållandet mellan den sektorsövergripande allmänna lagen och andra branschspecifika specialbestämmelser om riskbedömning av kritiska aktörer och incidentanmälningar. Om det finns sektorspecifika specialbestämmelser i någon annan lag, ska de tillämpas i stället för motsvarande bestämmelser i denna lag. Den sektorspecifika regleringen kan innehålla mer detaljerade skyldigheter inom olika branscher
Det föreslås att 3 mom. ska innehålla en informativ bestämmelse om att bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (
allmän dataskyddsförordning
), och i dataskyddslagen (1050/2018).
I 4 mom. föreslås det att bestämmelser om skyldigheten för en kritisk aktör som identifierats enligt denna lag att hantera cybersäkerhetsrelaterade risker ska finnas i cybersäkerhetslagen. Enligt artikel 2.3 i NIS 2-direktivet är direktivet tillämpligt på aktörer som identifieras som kritiska aktörer enligt direktiv (EU) 2022/2557, oavsett deras storlek.
Genom det föreslagna 1 mom. genomförs artikel 1.3 i CER-direktivet. Det föreslagna 2 mom. anknyter till artikel 1.9 i CER-direktivet, där det konstateras att direktivet inte påverkar tillämpningen av unionsrätt om skydd av personuppgifter, i synnerhet Europaparlamentets och rådets förordning (EU) 2016/679 (28) och Europaparlamentets och rådets direktiv 2002/58/EG (29).
4 §. Definitioner
.
I paragrafen föreskrivs det om de definitioner som används i lagen. Definitionerna motsvarar i huvudsak definitionerna i CER-direktivet.
I 1 punkten definieras motståndskraft på motsvarande sätt som i artikel 2.2 i CER-direktivet. Med motståndskraft avses en kritisk aktörs förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från en incident.
I 2 punkten definieras samhällsviktig tjänst på motsvarande sätt som i artikel 2.5 i CER-direktivet. Med samhällsviktig tjänst avses en tjänst som är avgörande för att upprätthålla viktiga samhällsfunktioner, ekonomisk verksamhet, folkhälsa och allmän säkerhet, eller miljön.
I 3 punkten avses med kritisk infrastruktur en tillgång, en anläggning, utrustning, ett nätverk eller ett system, eller en del av en tillgång, en anläggning, utrustning, ett nätverk eller ett system som krävs för tillhandahållandet av en samhällsviktig tjänst. Detta motsvarar artikel 2.4 i CER-direktivet.
I 4 punkten definieras incident på motsvarande sätt som i artikel 2.3 i CER-direktivet. Med incident avses varje händelse som kan medföra en betydande störning, eller som medför en störning, av tillhandahållandet av en samhällsviktig tjänst, inbegripet när den påverkar de nationella system som skyddar rättsstatens principer. Här avses också incidenter som har eller kan ha en betydande påverkan på kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen. En incident skulle kunna medföra direkta och indirekta konsekvenser för samhällsviktiga tjänster i och utanför Finland, beroende på t.ex. när incidenten inträffar och hur länge den varar.
I 5 punkten definieras risk på motsvarande sätt som i artikel 2.6 i CER-direktivet. Med risk aves risk för förlust eller störning orsakad av en incident, som ska uttryckas som en kombination av omfattningen av förlusten eller störningen och sannolikheten för att incidenten inträffar.
I 6 punkten definieras riskbedömning på motsvarande sätt som i artikel 2.7 i CER-direktivet. Med riskbedömning avses den övergripande processen för att fastställa arten och omfattningen av en risk genom att identifiera och analysera potentiella relevanta hot, sårbarheter och faror som skulle kunna leda till en incident och genom att utvärdera den potentiella förlusten eller störningen i samband med tillhandahållandet av en samhällsviktig tjänst till följd av den incidenten.
2 kap. Allmän styrning och utveckling
5 §.Riksomfattande plan för kritiska aktörers motståndskraft.
Enligt 1 mom. ska statsrådet minst vart fjärde år anta en riksomfattande plan i syfte att stärka kritiska aktörers motståndskraft och uppnå de allmänna målen för verksamheten. Planen är en strategi för kritiska aktörers motståndskraft i enlighet med artikel 4 i CER-direktivet och omfattar de strategiska skyldigheter enligt direktivet som inte har beaktats i andra nationella strategidokument. Med statsrådet avses statsrådets allmänna sammanträde. I 3 § i reglementet för statsrådet (262/2003) föreskrivs det om allmänna ärenden som ska avgöras vid statsrådets allmänna sammanträde. Statsrådets allmänna sammanträde behandlar och beslutar om lagstadgade riksomfattande planer. Vid utarbetandet av den riksomfattande planen ska ministerier, myndigheter och andra berörda parter höras, och om möjligt ska förfarandena vara offentliga. Planen ska innehålla mål och politiska åtgärder som bygger på befintliga relevanta strategier, planer eller liknande dokument om kritiska aktörers motståndskraft.
Enligt 2 mom. ska principbeslut eller andra beslut av statsrådet som meddelats för motsvarande ändamål beaktas vid beredningen av den riksomfattande planen. Ett sådant annat beslut kan t.ex. gälla den strategi för den nationella säkerheten som ska utarbetas enligt regeringsprogrammet. Utgångspunkten i direktivet är att den nationella strategin, i syfte att uppnå samstämmighet och effektivitet, bör utformas så att den integrerar befintlig politik och, när så är möjligt, bygger på relevanta befintliga nationella och sektorsspecifika strategier, planer eller liknande dokument. För att uppnå ett heltäckande förhållningssätt bör medlemsstaterna också säkerställa att strategierna innehåller en policyram för utökat samarbete mellan de behöriga myndigheterna enligt CER-direktivet och NIS 2-direktivet. Vid inrättandet av strategierna ska det tas hänsyn till hybridkaraktären hos hoten mot kritiska aktörer.
I paragrafens 3 mom. anges vad den nationella strategin, som utfärdas i form av en riksomfattande plan, åtminstone ska innehålla enligt direktivet. Enligt 1 punkten omfattar detta strategiska mål och prioriteringar för att stärka kritiska aktörers övergripande motståndskraft. Gränsöverskridande och sektorsöverskridande beroenden och ömsesidiga beroenden ska då beaktas. Enligt 2 punkten ska strategin innehålla en styrningsram för att uppnå de strategiska målen och prioriteringarna. Enligt 3 punkten krävs en beskrivning av de åtgärder som krävs för att stärka kritiska aktörers övergripande motståndskraft, inklusive en beskrivning av den nationella riskbedömning som avses i 6 § i lagförslaget och i artikel 5 i CER-direktivet. Vidare ska strategin enligt 4 punkten innehålla en beskrivning av den process genom vilken kritiska aktörer identifieras och enligt 5 punkten beskrivningar av processen till stöd för kritiska aktörer och åtgärderna för att förbättra samarbetet mellan offentliga och privata aktörer. Enligt 6 punkten ska strategin ska innehålla en förteckning över de viktigaste myndigheter och berörda parter som deltar i genomförandet av strategin. Dessa identifieras inte som kritiska aktörer. Enligt 7 punkten ska strategin innehålla en policyram för samordning mellan de behöriga myndigheterna enligt CER- och NIS2-direktiven för att dela information om cybersäkerhetsrisker, cyberhot och cyberincidenter och utföra tillsynsuppgifter. I 8 punkten anges ett krav på en beskrivning av de åtgärder som har införts för att göra det lättare för små och medelstora företag som avses i kommissionens rekommendation 2003/361/EG och som har identifierats som kritiska aktörer att genomföra skyldigheterna i fråga om motståndskraft. Kommissionen har den 6 maj 2003 antagit rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag.
Genom den föreslagna paragrafen genomförs i huvudsak artikel 4.1 samt artikel 4.2 i CER-direktivet.
6 §. Nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft.
Enligt 1 mom. ska statsrådet minst vart fjärde år godkänna en nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft. Med statsrådet avses statsrådets allmänna sammanträde. Åtgärder för att identifiera och bidra till att säkerställa kritiska aktörers motståndskraft ska följa en riskbaserad ansats och den nationella riskbedömningen ska användas för att identifiera kritiska aktörer efter att den har fastställts. Den riskbaserade ansatsen ska inriktas på de aktörer som är mest relevanta för att viktiga samhällsfunktioner och central ekonomisk verksamhet ska kunna upprätthållas.
Enligt 2 mom. ska riskbedömningen omfatta relevanta risker för naturolyckor, risker orsakade av människan, risker av sektorsövergripande eller gränsöverskridande slag, olyckor och naturkatastrofer, hot mot folkhälsan, hybridhot och en främmande stats verksamhet (statlig påverkan), terroristbrott och andra hot såsom hot relaterade till missbruk av geografisk information. Med terroristbrott avses brott i den mening som avses i Europaparlamentets och rådets direktiv (EU) 2017/541. Användningen av teknik är förknippad med hot mot den nationella säkerheten och tekniska system och komponenter måste skyddas. Nationellt har missbruk av geografisk information identifierats som en relevant risk, eftersom platsbunden information är ett kritiskt element för informationssamhället, och geografisk information också kombineras med annan viktig objektinformation. Geografisk information skapar en fullständig bild om samhällens funktioner och deras lägen. Direktivet kräver att riskbedömningen tar hänsyn till antagonistiska hot.
I 3 mom. föreskrivs det om de fyra minimikrav som ska beaktas vid riskbedömningen. Enligt 1 punkten ska hänsyn tas till den allmänna riskbedömning som avses i artikel 6.1 i Europaparlamentets och rådets beslut nr 1313/2013/EU. Med detta avses beslutets artikel 6, som gäller riskhantering inom ramen för unionens civilskyddsmekanism och förebyggande av och beredskap för katastrofer samt utbyte av icke-känslig information. Den nationella riskbedömningen 2023 bygger på detta beslut. Vid sidan av den nationella riskbedömningen utarbetas också separata regionala riskbedömningar. Enligt 3 mom. 2 punkten ska hänsyn tas till andra relevanta riskbedömningar som görs i enlighet med kraven i unionens rättsakter. Europaparlamentet och rådet har bl.a. antagit förordningarna (EU) 2017/1938 och (EU) 2019/941 om gas- och elsektorerna samt Europaparlamentets och rådets direktiv 2007/60/EG och 2012/18/EU om översvämningsrisker och om åtgärder för att förebygga och begränsa faran för allvarliga olyckshändelser där farliga ämnen ingår. Momentets 3 punkt avser risker som beror på ömsesidiga beroenden och gränsöverskridande beroenden mellan de sektorer som anges i bilagan till CER-direktivet och som har samband med andra medlemsstater eller tredjeländer och de aktörer som är verksamma i dessa. Vid behov bör samarbete bedrivas med andra medlemsstaters och tredjeländers behöriga myndigheter. Enligt den sista 4 punkten ska de tas hänsyn till information om incidenter som har anmälts enligt 16 och 17 § i denna lag. I 16 § föreskrivs det om kritiska aktörers anmälningsskyldighet till tillsynsmyndigheten och Statsrådets lägescentral och i 17 § om innehållet i en första anmälan och en detaljerad rapport.
Genom förslaget genomförs CER-direktivets artikel 5.2 om medlemsstaternas riskbedömning och delvis artikel 5.1.
7 §.Ministerium som sköter samordningsuppgiften.
I den föreslagna paragrafen utses inrikesministeriet till det ministerium som sköter samordningsuppgiften. Enligt 1 mom. ska det ministerium som sköter samordningsuppgiften svara för den allmänna styrningen, uppföljningen, samordningen och utvecklingen av verksamhet enligt denna lag. Med stöd av 2 mom. ska det ministerium som sköter samordningsuppgiften också svara för att den part som sköter den nationella kontaktpunktens uppgifter anmäls till kommissionen. Det ministerium som sköter samordningsuppgiften ansvarar ur ett helhetsperspektiv i enlighet med artikel 9.1 i direktivet för att direktivets bestämmelser tillämpas korrekt och genomförs på nationell nivå. Med allmän styrning och uppföljning enligt det föreslagna 1 mom. avses den styrning av lagstiftningen och verksamheten samt uppföljning och hantering av helheten som sköts av det ministerium som sköter samordningsuppgiften. Ansvaret för uppföljningen och hanteringen av helheten ska enligt förslaget ligga hos det ministerium som sköter samordningsuppgiften, och de övriga ministerierna ansvarar för sina ansvarsområden inom ramen för den allmänna styrningen. I praktiken kommer det ministerium som sköter samordningsuppgiften att behandla frågor som gäller skydd av samhällets kritiska infrastruktur och förbättrande av motståndskraften i samarbete med ministerierna i statsrådet samt myndigheter och andra relevanta aktörer, såsom Försörjningsberedskapscentralen. Det ministerium som sköter samordningsuppgiften kan vid behov inrätta en samarbetsgrupp för att genomföra samarbetet. Gruppen kan behandla frågor som gäller riskbaserad identifiering av kritiska aktörer och andra frågor som gäller tillämpningen av lagstiftningen för att säkerställa att tillvägagångssätt, beslutspraxis eller andra åtgärder är konsekventa. Det är också viktigt att gruppen behandlar stödåtgärderna till kritiska aktörer. Det ministerium som sköter samordningsuppgiften leder den allmänna styrningen av CER-verksamheten och, med tanke på det helhetsansvar som följer av detta, kontaktpunktsverksamheten.
I 3 mom. föreskrivs det närmare om uppgifter som inbegriper utövning av offentlig makt och sådana offentliga förvaltningsuppgifter som avses i 124 § i grundlagen. Centrala uppgifter är att ansvara för utarbetandet av den riksomfattande planen för kritiska aktörers motståndskraft och beredningen av den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft och att samordna beredningen med andra aktörer, såsom sektorministerierna och de behöriga myndigheterna. Vid beredningen och samordningen av den nationella riskbedömningen ska andra bestämmelser som reglerar riskbedömningar beaktas, t.ex. 244 a § i lagen om tjänster inom elektronisk kommunikation, där det föreskrivs om utrustning som används i kommunikationsnätens kritiska delar, och 244 b § i den lagen, där det föreskrivs om de uppgifter som ska skötas av delegationen för nätsäkerhet. Delegationen för nätsäkerhet utvärderar på ett övergripande sätt hur den nationella säkerheten förverkligas i kommunikationsnäten. Förutom andra aktörer ska Försörjningsberedskapscentralens synpunkter på kontaktytan till företagen beaktas i beredningen av den nationella riskbedömningen, dock med beaktande av att det inte hör till Försörjningsberedskapscentralens uppgifter att representera företag. Försörjningsberedskapscentralen deltar på ett riskbaserat sätt i utvecklingen av företagens beredskap och kan hjälpa företagen att identifiera risker som är relevanta för deras bransch. Försörjningsberedskapscentralen fungerar som en kontaktyta mellan förvaltningen och företagen, och samarbetsforum för förvaltningen och näringslivet har skapats inom Försörjningsberedskapscentralens strukturer.
Det nationella genomförandet av uppgifterna enligt CER-direktivet förutsätter att ministerierna kan samarbeta tätt. Ministerierna ska bedriva förberedande samarbete i frågor som gäller de nationella arrangemangen och funktionerna i CER-verksamheten och de riktlinjer som gäller dem. Varje ministerium ska utveckla försörjningsberedskapen inom sitt eget ansvarsområde. Utvecklandet av försörjningsberedskapen och samordningen av beredskapsförberedelserna hör till arbets- och näringsministeriet. Arbets- och näringsministeriet svarar för resultatstyrningen av Försörjningsberedskapscentralen i statsrådet. CER-verksamheten och försörjningsberedskapsarbetet kompletterar varandra.
Enligt 3 och 4 punkten ska vissa uppgifter som grundar sig på artikel 18 i CER-direktivet och som har samband med kommissionens rådgivande uppdrag också skötas av det ministerium som sköter samordningsuppgiften, även om de till sin natur är delvis tekniska. Enligt 5 punkten ska det ministerium som sköter samordningsuppgiften på motiverad begäran från kommissionen eller en medlemsstat i Europeiska unionen tillhandahålla kommissionen de relevanta delarna av riskbedömningen av en kritisk aktör och en förteckning över relevanta åtgärder enligt 15 § som den kritiska aktören vidtagit. I 15 § föreskrivs det om åtgärder som grundar sig på riskbedömningen av en kritisk aktör och om den plan som ska utarbetas för att säkerställa motståndskraft. De uppgifter som anges i 5 punkten motsvarar de uppgifter som avses i artikel 18.3 i CER-direktivet.
Enligt 6 punkten ska det ministerium som sköter samordningsuppgiften förse kommissionen med information om den riksomfattande planen, dvs. den nationella strategin, för kritiska aktörers motståndskraft. Enligt artikel 4.3 ska medlemsstaterna meddela kommissionen sina strategier och om betydande uppdateringar av dem. Utgångspunkten är att uppdateringen av strategin alltid är betydande och att den uppdaterade strategin ska meddelas kommissionen. Enligt 7 och 8 punkten ska det lämnas information om antalet kritiska aktörer och en förteckning över de samhällsviktiga tjänster som avses i artikel 7.2 a i direktivet. Den sistnämnda förteckningen omfattar andra samhällsviktiga tjänster än de som avses i kommissionens delegerade förordning, för vilka regleringen inte är uttömmande.
I 4 mom. föreskrivs det om åtgärder för att säkerställa en konsekvent tillämpning av CER-direktivet. Förslaget gäller dels målet att minska den administrativa bördan för kritiska aktörer, dels målet att stärka kritiska aktörers motståndskraft. Det ministerium som sköter samordningsuppgiften kan vid behov samråda med unionens medlemsstater om kritiska aktörer, men enligt det föreslagna 3 mom. gäller skyldigheten bara i vissa fall. I dessa fall ska inrikesministeriet samråda med Europeiska unionens medlemsstater i fråga om sådana kritiska aktörer som
använder kritisk infrastruktur som är fysiskt sammankopplad mellan två eller flera medlemsstater,
ingår i företagsstrukturer som är sammankopplade eller sammanlänkade med kritiska aktörer i andra medlemsstater,
har identifierats som kritiska aktörer i en medlemsstat i Europeiska unionen och tillhandahåller samhällsviktiga tjänster för eller i andra medlemsstater.
Inrikesministeriet svarar för att de administrativa anmälningar som krävs enligt CER-direktivet lämnas till kommissionen, t.ex. om vilken myndighet som sköter uppgifterna som gemensam kontaktpunkt.
Dessutom ska det i de bestämmelser som utfärdas med stöd av 2 § 1 mom. i lagen om statsrådet (175/2003) i fortsättningen regelmässigt föreskrivas om det ministerium till vars ansvarsområde samordningsuppgiften hör.
Genom förslaget genomförs artiklarna 4.3, 7.2 a och b, 9.1, delvis artikel 13.4, 18.1, 18.2 och 18.3 samt artikel 11 i CER-direktivet.
8 §.Åtgärder för främjande av motståndskraften hos kritisk infrastruktur.
Genomförandet av CER-direktivet främjar motståndskraften hos kritisk infrastruktur och den nationella försörjningsberedskapsverksamheten kompletterar den. Det ministerium som sköter samordningsuppgiften, sektorministerierna och tillsynsmyndigheterna ska i samarbete med Försörjningsberedskapscentralen på ett övergripande plan främja helheter som hänför sig till kritiska aktörers motståndskraft. Samarbete bedrivs också med säkerhetsmyndigheterna. Dessa främjande uppgifter omfattar analys av strategierna för att identifiera bästa praxis för dem, utbyte av bästa praxis i fråga om identifiering av kritiska aktörer i den mening som avses i 10 § i lagförslaget, dvs. artikel 6.1 i direktivet, utbyte av information och bästa praxis om innovation, forskning och utveckling som rör kritiska aktörers motståndskraft samt vid behov utbyte av information om frågor som rör kritiska aktörers motståndskraft med unionens berörda institutioner, organ och byråer. I tillsynsmyndighetens uppgifter ingår också att tillhandahålla kritiska aktörer det stöd som avses i artikel 10.1 i CER-direktivet. Stödet tillhandahålls i samarbete med Försörjningsberedskapscentralen. I detta syfte kan vägledningsmaterial och metoder utarbetas, anordnandet av övningar för att testa motståndskraften stödjas samt rådgivning och utbildning tillhandahållas. Enligt den artikeln ska medlemsstaterna stödja kritiska aktörer, och stödet får innefatta utveckling av vägledningsmaterial och metoder, stöd till anordnande av övningar och tillhandahållande av rådgivning och utbildning samt ekonomiska resurser. Enligt direktivets ingress minskar eventuellt stöd som ges inte de kritiska aktörernas ansvar för att fullgöra sina skyldigheter. Framför allt kan stödet omfatta vägledningsmaterial och metoder, anordnande övningar för att testa motståndskraft samt rådgivning och utbildning. Finansiering kan beviljas inom ramen för anslagen i budgeten, om det är nödvändigt och motiverat av mål av allmänt intresse och underlättar frivilligt utbyte av information och utbyte av god praxis mellan kritiska aktörer, utan att detta påverkar tillämpningen av de konkurrensregler som fastställs i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).
Genom förslaget genomförs artikel 10.1 i CER-direktivet och det har samband med artikel 19.3 b, c, i och j.
9 §.Förmedling av incidentanmälningar samt sammanfattande rapport.
De uppgifter som anges i den föreslagna paragrafen ska skötas av statsrådets lägescentral, som avses i lagen om statsrådets lägescentral (300/2017).
Till uppgifterna hör enligt 1 mom. 1 punkten att till kommissionen förmedla den incidentanmälan som har upprättats av den berörda myndigheten, om incidenten har eller kan ha en betydande påverkan på kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen. Anmälan innebär i praktiken ett kort meddelande och en första anmälan om situationen. I gränsöverskridande störningssituationer utnyttjas redan befintliga nationella arrangemang. Statsrådets lägescentral är i enlighet med lagen om statsrådets lägescentral verksam dygnet runt och är bl.a. kontaktpunkt inom kommissionens CECIS-system (Common Emergency Communication and Information System). Lägescentralen är också nationell kontaktpunkt inom EU-arrangemangen för integrerad politisk krishantering, den s.k. IPCR-mekanismen (Integrated political crisis response). Ministerierna och myndigheterna har olika beredskaps- eller joursystem. En kritisk aktör som tillhandahåller samhällsviktiga tjänster till eller i minst sex medlemsstater kan dra nytta av särskilt stöd på unionsnivå. En incidentanmälan enligt den föreslagna paragrafen kan ha utrikes- och säkerhetspolitiska dimensioner, varvid beredningen av anmälan behandlas i statsrådet. Enligt artikel 15 ska de behöriga myndigheterna underrätta kommissionen om incidenten har eller kan ha en betydande påverkan på kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i minst sex medlemsstater.
Till statsrådets lägescentrals uppgifter hör enligt 1 mom. 2 punkten att till de gemensamma kontaktpunkterna i de övriga berörda medlemsstaterna i Europeiska unionen förmedla den incidentanmälan som har upprättats av den berörda myndigheten, om incidenten har eller kan ha en betydande påverkan på kritiska aktörer och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i minst sex andra medlemsstater i Europeiska unionen. Kommissionen ska enligt CER-direktivet offentliggöra en förteckning över de gemensamma kontaktpunkterna.
Enligt 1 mom. 3 punkten ska statsrådets lägescentral ta emot incidentanmälningar av gemensamma kontaktpunkter i medlemsstater i Europeiska unionen och förmedla dem till det ministerium som saken gäller. Vidare ska statsrådets lägescentral enligt 1 mom. 4 punkten vartannat år till Europeiska unionens kommission och till den grupp för kritiska aktörers motståndskraft (CERG) som avses i artikel 19 i CER-direktivet lämna en i 7 § avsedd av ministeriet sammanställd sammanfattande rapport om incidentanmälningar samt om deras antal och art. Ministerierna, tillsynsmyndigheterna och Försörjningsberedskapscentralen ska delta i beredningen av den sammanfattande rapporten. CERG-gruppens ordförande är från kommissionen.
Genom 1 mom. 1 punkten i den föreslagna paragrafen genomförs delvis artikel 15.1 och genom 1 mom. 2 punkten artikel 15.3 i CER-direktivet. I enlighet med artikel 15.3 ska den berörda behöriga myndigheten via den gemensamma kontaktpunkten informera den gemensamma kontaktpunkten i andra medlemsstater som påverkas om incidenten har eller kan ha en betydande påverkan på kritiska aktörer och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster i en eller flera andra medlemsstater.
3 kap. Identifiering av kritiska aktörer och allmänna krav på aktörer
10 §. Identifiering av en kritisk aktör.
Som tillhandahållare av samhällsviktiga tjänster spelar kritiska aktörer en oumbärlig roll när det gäller att upprätthålla viktiga samhällsfunktioner eller central ekonomisk verksamhet på den inre marknaden, i en unionsekonomi som i allt högre grad kännetecknas av ömsesidigt beroende. I CER-direktivets ingress (skäl 8) konstateras det att medlemsstaterna för att uppnå en hög grad av motståndskraft bör identifiera kritiska entiteter som kommer att omfattas av särskilda krav och tillsyn och som kommer att ges särskilt stöd och vägledning med avseende på alla relevanta risker. I paragrafen föreskrivs det om identifiering av kritiska aktörer. Identifieringen av kritiska aktörer är av central betydelse, eftersom bestämmelserna i lagen ska tillämpas på de aktörer som identifieras som kritiska aktörer genom beslut av en myndighet, dvs. det behöriga ministeriet. Som kritisk aktör kan identifieras t.ex. en del av ett företags verksamhet, om affärsverksamheten bedrivs i en koncernstruktur. Det finns kommunala aktörer inom vattenförsörjningssektorn, och då kan det vara fråga om ett affärsverk som kommunen grundat med stöd av kommunallagen och som verkar som en del av kommunen. En riskbaserad ansats gör det möjligt att utnyttja den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft vid identifieringen av kritiska aktörer. Aktörerna kommer att omfattas av krav och tillsyn, men samtidigt erbjuds de stöd och vägledning i händelse av betydande risker. Enligt CER-direktivets ingress (skäl 8) bör medlemsstaterna för att uppnå en hög grad av motståndskraft identifiera kritiska entiteter som kommer att omfattas av särskilda krav och tillsyn och som kommer att ges särskilt stöd och vägledning med avseende på alla relevanta risker.
Enligt 1 mom. 1 punkten är ett kriterium för att identifieras som kritisk aktör att aktören tillhandahåller en eller flera tjänster som är viktiga med tanke på samhällets funktionsförmåga. Enligt 2 punkten är ett kriterium att aktören är verksam och den kritiska infrastruktur som aktören äger, innehar eller använder finns inom finskt territorium. Ett kriterium enligt 3 punkten är att en incident skulle ha i 11 och 12 § avsedda betydande störande effekter för aktörens tillhandahållande av en eller flera av de berörda samhällsviktiga tjänsterna eller för tillhandahållandet av andra samhällsviktiga tjänster i sektorer som är beroende av tjänsten.
Vid identifieringen av kritiska aktörer beaktas enligt 2 mom. den på europeisk nivå samstämmiga riksomfattande plan för kritiska aktörers motståndskraft som avses i denna lag och som innefattar strategiska riktlinjer, dokument som styr dess genomförande och en nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft. Med samstämmighet avses överensstämmelse mellan definitioner och praxis på europeisk nivå, vilket bl.a. förbättrar jämförbarheten av information och den enhetliga tillsynen över gränsöverskridande kritisk infrastruktur.
Genom den föreslagna paragrafen genomförs artikel 6.2 i CER-direktivet.
11 §. Betydande störande effekt.
I paragrafen föreslås bestämmelser om sådana gemensamma kriterier för de sektorer som omfattas av CER-direktivet som ska beaktas vid bedömningen av betydande störande effekter. Kriterierna avser enligt 1 punkten antalet användare som är beroende av den tjänst som är viktig med tanke på samhällets funktionsförmåga och enligt 2 punkten den grad i vilken andra sektorer är beroende av den berörda tjänsten. Enligt 3 punkten beaktas den effekt incidenten med hänsyn till sin allvarlighetsgrad eller varaktighet har på det samhällelig och ekonomisk verksamhet, miljön, den allmänna säkerheten och tryggheten eller befolkningens hälsa. I praktiken kan också den nationella säkerheten påverkas. Enligt 4 punkten beaktas aktörens marknadsandel och enligt 5 punkten det geografiska område som påverkas. Enligt 6 punkten beaktas den betydelse aktören har för upprätthållandet av en tillräcklig nivå på den samhällsviktiga tjänsten, med beaktande av tillgången till alternativa tjänster eller möjligheten att ersätta den samhällsviktiga tjänsten.
Genom den föreslagna paragrafen genomförs delvis artikel 7.1 i CER-direktivet.
12 §.Betydande störande effekt samt sektor.
Den föreslagna paragrafen preciserar 11 § i lagförslaget. I paragrafen föreskrivs det om bedömningen av vilken betydelse en betydande störande effekt enligt 11 § har. Hänsyn ska då tas till de särskilda uppgifter som är av betydelse med tanke på samhällets funktionsförmåga, bl.a. med avseende på aktörens ställning i underleverantörs- eller leveranskedjan mellan aktörer enligt CER-direktivet eller betydelse för en verksamhet som är kritisk för försörjningsberedskapen. Hänsyn ska också tas till sektorsspecifika kriterier som gäller andra sektorer än finanssektorn och hälso- och sjukvårdssektorn.
Enligt 1 punkten i den föreslagna paragrafen omfattar kriterierna inom energisektorn mängden råmaterial som tagits emot inom produktionen eller bearbetningen, mängden energi som produceras på årsnivå, andelen av mängden nationell energi som produceras eller produktionskapaciteten för energi, lagringskapaciteten, antalet kunder, leveranskapaciteten samt överföringen av energi och mängden energi från energinätet.
Enligt 2 punkten omfattar kriterierna inom livsmedelssektorn mängden råvaror i liter eller kilogram som tagits emot vid produktion och bearbetning av livsmedel, produktionsmängden samt mängden förnödenheter som distribueras.
Enligt 3 punkten omfattar bedömningskriterierna inom trafiksektorn tjänsteproducentens andel av den nationella transportvolymen, antalet passagerare per år och antalet frakttransporter per år.
Enligt 4 punkten omfattar bedömningskriterierna inom vattenförsörjningssektorn mängden kubikmeter vatten som levereras per dygn och kubikmeter avloppsvatten som leds bort per dygn.
Enligt 5 punkten omfattar bedömningskriterierna i fråga om rymdsektorn aktörens andel när det gäller tillhandahållandet av sådana tjänster eller sådan informationsproduktion som är kritiska för samhället och som är beroende av rymdbaserade tjänster samt aktörens andel när det gäller tillhandahållandet av tjänster som är viktiga med tanke på informationsproduktion i anslutning till rymdlägesbilden eller störningar i radiomiljön.
Genom den föreslagna paragrafen genomförs artikel 7.1 i CER-direktivet.
13 §. Beslutsfattande om kritiska aktörer.
Enligt det föreslagna 1 mom. ska ärenden som gäller identifiering av en kritisk aktör avgöras av det ministerium till vars ansvarsområde den aktuella aktören hör, och beslutet ska vara i kraft högst fyra år. I 10 § i reglementet för statsrådet föreskrivs om det behöriga ministeriet. Ärendena fördelar sig på ministeriernas ansvarsområden så som föreskrivs i reglementet för statsrådet. Ett ärende behandlas av det ministerium till vars ansvarsområde ärendet huvudsakligen hör (behörigt ministerium). I 10 § i lagen om statsrådet föreskrivs det om avgörande av behörighetsfrågor i händelse av meningsskiljaktigheter. Enligt bestämmelsen avgör statsrådet på framställning av statsministern meningsskiljaktigheter om vilket ministerium som ska behandla ett visst ärende. Statsrådet kan också besluta vilket ministerium som ska behandla ett sådant vittsyftande eller principiellt viktigt ärende som berör flera än ett ministeriums ansvarsområden.
Identifieringen av en kritisk aktör ska göras som ett förvaltningsbeslut. Beslutet har rättsverkan för den kritiska aktören. Enligt förvaltningslagens 31 § 1 mom. ska myndigheten se till att ett ärende utreds tillräckligt och på behörigt sätt och i detta syfte skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. Beslutet kan påverka aktörens ställning i förhållande till företag som är verksamma på samma marknad och organiseringen av aktörens förvaltning samt förvaltningsstrukturer och investeringar. Den föreslagna lagen ställer inga direkta krav på hur aktören ska ordna och strukturera sin förvaltning. I vidare bemärkelse är identifieringen av kritiska aktörer av betydelse t.ex. när det gäller att fastställa den strategiska tyngdpunkten inom motståndskraften mot kriser. Därför är det viktigt att avgöranden som gäller identifiering av kritiska aktörer sker på ministerienivå.
Enligt 2 mom. ska det behöriga ministeriet innan ärendet avgörs begära utlåtande av det ministerium som sköter samordningsuppgiften och i behövlig omfattning av andra ministerier och myndigheter samt Försörjningsberedskapscentralen. Utlåtande kan begäras t.ex. om ömsesidiga beroenden mellan kritiska aktörer och om samstämmigheten och proportionaliteten i bedömningen av en aktör samt om andra behövliga aspekter. Vid identifieringen av en kritisk aktör utnyttjas enhetliga förfaranden som tar hänsyn till minimering av den administrativa bördan, nationella säkerhetsintressen och den befintliga försörjningsberedskapsorganisationen. Eftersom ministeriet fattar beslut om en kritisk aktör och det i lagen om tryggande av försörjningsberedskapen konstateras att varje ministerium ska utveckla försörjningsberedskapen inom sitt eget ansvarsområde är det ändamålsenligt att den sektorsvisa styrningen förenas på ministerienivå och samordnas under det samordnande ministeriets allmänna styrning.
Med stöd av lagstiftningen om statsrådets verksamhet ska ärenden som hör till det behöriga ministeriet i enskilda fall överföras till statsrådets allmänna sammanträde, om de anses vara så vittsyftande eller principiellt viktiga att de i sista hand ska avgöras vid allmänt sammanträde. Det allmänna sammanträdet föregås av en förberedande behandling i en ministergrupp och ett lämpligt ministerutskott. En sådan situation kan bli aktuell om det ministerium som sköter samordningsuppgiften i samband med förfarandet för identifiering av en kritisk aktör upptäcker en avvikelse som gäller samstämmigheten eller minimeringen av den administrativa bördan. Identifieringen av kritiska aktörer kan anses vara vittsyftande och principiellt viktig i det avseendet att det vid identifieringen i praktiken krävs en motiverad synpunkt på det behöriga ministeriets beslut av det ministerium som samordnar helheten och i situationer som överskrider sektorsgränserna även synpunkter av ministerier med relevanta ansvarsområden. En principiellt viktig fråga är också om identifieringen av en kritisk aktör väsentligt avviker från de enhetliga förfarandena. Vid behov ska ärendet överföras till statsrådets allmänna sammanträde för avgörande. Förfarandenas betydelse accentueras framför allt när beslut fattas första gången. Det behöriga ministeriet ska underrätta den kritiska aktören om beslutet inom utsatt tid.
Enligt det föreslagna 3 mom. är en kritisk aktör som identifierats genom ett förvaltningsbeslut en kritisk aktör av särskild europeisk betydelse, om den tillhandahåller samma eller liknande samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen, och har underrättats om att den betraktas som en kritisk aktör av särskild europeisk betydelse. När kommissionen har underrättat om att en kritisk aktör betraktas som en kritisk aktör av särskild europeisk betydelse, ska det ministerium som avses i 7 § utan dröjsmål vidarebefordra informationen om kommissionens underrättelse och de tillhörande skyldigheterna till den kritiska aktören. Enligt artikel 17 i direktivet ska kommissionen samråda med den behöriga myndigheten i den medlemsstat som identifierat en kritisk entitet, den behöriga myndigheten i andra berörda medlemsstater samt den kritiska entiteten i fråga. På grundval av samråden konstaterar kommissionen läget i fråga om tillhandahållandet av samhällsviktiga tjänster. Kommissionen ska underrätta den berörda entiteten, genom dess behöriga myndighet, huruvida den betraktas som en kritisk entitet av särskild europeisk betydelse.
I det föreslagna 4 mom. föreskrivs det att ministeriet kan återkalla ett beslut som avses i 1 mom. om den kritiska aktören inte längre uppfyller förutsättningarna för beslutet. En sådan situation kan uppstå t.ex. när en kritisk aktör ändrar sin bransch eller affärsverksamhet så att den inte längre tillahandahåller en samhällsviktig tjänst. Beslutet kan också återkallas om den kritiska aktören har upphört med sin verksamhet.
Genom den föreslagna paragrafen genomförs delvis artikel 6.1 och 6.3 samt artikel 17.1 och 17.3 i CER-direktivet.
14 §. Riskbedömning som görs av en kritisk aktör.
Enligt 1 mom. ska en kritisk aktör göra en riskbedömning vid behov och minst vart fjärde år. När riskbedömningen görs ska hänsyn tas till den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft samt till andra informationskällor som är relevanta med tanke på riskbedömningen. Dessa andra informationskällor kan vara information och bedömningar av hot eller andra aspekter av kristålighet från det behöriga ministeriet eller en annan myndighet samt information om och erfarenheter av inträffade incidenter. Utgångspunkten är att de kritiska aktörerna ska göra en samlad bedömning av de relevanta risker som de är utsatta för, för vilken de ska göra riskbedömningar när det är nödvändigt med hänsyn till deras specifika omständigheter och utvecklingen av riskerna, och under alla omständigheter vart fjärde år. De kritiska aktörerna kan i sin riskbedömning utnyttja det arbete som gjorts inom ramen för försörjningsberedskapsorganisationen.
I 2 mom. anges vad som ska beaktas i den riskbedömning som den kritiska aktören gör. Detta inbegriper alla relevanta risker för naturolyckor och risker orsakade av människan som kan leda till en incident. Detta ska inkludera risker av sektorsövergripande eller gränsöverskridande slag, olyckor, naturkatastrofer, hot mot folkhälsan, hybridhot och andra hot samt övriga hot som det behöriga ministeriet fastställer. Det kan handla om statliga hot.
Enligt det föreslagna 3 mom. ska det i riskbedömningen tas hänsyn till den utsträckning i vilken andra sektorer är beroende av den samhällsviktiga tjänst som den kritiska aktören tillhandahåller.
Enligt 4 mom. är det tillåtet att ge information om riskbedömningar även i andra dokument. Om en annan riskbedömning eller ett annat dokument utarbetas för motsvarande ändamål med stöd av någon annan lag än den föreslagna lagen, får den kritiska aktören använda den bedömningen eller det dokumentet helt eller delvis för att fullgöra skyldigheterna enligt denna lag, vilket ska nämnas i bedömningen eller dokumentet i fråga. Tillsynsmyndigheten får i samband med sin tillsynsverksamhet ta ställning till om en riskbedömning som utförts av en kritisk aktör helt eller delvis uppfyller skyldigheten enligt denna paragraf. Tillsynsmyndigheten fattar inte ett separat förvaltningsbeslut om dokumentens motsvarighet. Förfarandet minskar den administrativa bördan för kritiska aktörer, om det är möjligt att använda andra relevanta dokument som utarbetats med stöd av lagstiftningen.
Genom den föreslagna paragrafen genomförs artikel 12 i CER-direktivet.
15 §. Säkerställande av motståndskraften samt plan för motståndskraft.
Direktivet förutsätter att kritiska aktörer vidtar åtgärder för att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från en incident. Den detaljerade utformningen och omfattningen av åtgärderna bör avspegla de olika risker som varje kritisk aktör har identifierat inom ramen för sin riskbedömning. De åtgärder som vidtas för att uppnå en tillräcklig säkerhetsnivå och som kan bedömas av tillsynsmyndigheten ska beskrivas i en plan för motståndskraft.
Enligt 1 mom. ska en kritisk aktör för att säkerställa sin motståndskraft vidta lämpliga och proportionella tekniska, säkerhetsmässiga och organisatoriska åtgärder på grundval av den riskbedömning som anges i 14 § och annan relevant information. I detta syfte ska den kritiska aktören utarbeta en plan som innehåller lämpliga och proportionella tekniska, säkerhetsmässiga och organisatoriska åtgärder för att säkerställa motståndskraften. Enligt 2 mom. 1 punkten i den föreslagna paragrafen ska planen innehålla en redogörelse för de åtgärder som vidtagits för att förhindra uppkomsten av incidenter med beaktande av de åtgärder som hänför sig till minskning av katastrofrisker och anpassning till klimatförändringen. Enligt 2 mom. 2 punkten ska planen innehålla en redogörelse för de åtgärder genom vilka den nivå av fysiskt skydd som krävs har uppnåtts. Exempelvis en redogörelse för fysiskt skydd av lokalerna och infrastrukturen i dem, såsom stängsel, barriärer, detektionsutrustning och åtkomstkontroller. Enligt 3 punkten ska planen innehålla en redogörelse för åtgärder för att reagera på, stå emot och begränsa konsekvenserna av incidenter och störningssituationer, och enligt 4 punkten en redogörelse för åtgärder genom vilka aktören återhämtar sig från incidenter, med hänsyn till åtgärder för driftskontinuitet och alternativa försörjningskedjor. Femte punkten i 2 mom. gäller säkerställande av personalsäkerheten, såsom fastställande av kategorier av personal som utför kritiska funktioner, fastställande av åtkomsträttigheter till lokaler, kritisk infrastruktur och känslig, i praktiken sekretessbelagd information samt begäran om säkerhetsutredningar och utbildnings- och kompetenskrav. Vid fastställandet av personalkategorier ska hänsyn också tas till externa tjänsteleverantörers personal. Punkt 6 gäller information till den berörda personalen. Då ska hänsyn också tas till externa tjänsteleverantörers personal. Punkt 7 gäller en tidsplan för genomförandet av planen. Tidsplanen för genomförandet är också central för tillsynsverksamheten.
Enligt 3 mom. behöver en separat plan enligt denna paragraf inte utarbetas om ett annat dokument eller en annan plan utarbetas för motsvarande ändamål med stöd av någon annan lag, utan motsvarande innehåll kan sammanställas i det andra dokumentet eller i den andra planen. En kritisk aktör får använda dokumentet eller planen i fråga. I planen eller dokumentet ska det nämnas till vilka delar planen eller dokumentet uppfyller skyldigheterna enligt denna lag. Den behöriga tillsynsmyndigheten får t.ex. i samband med sin tillsynsverksamhet ta ställning till om ett annat dokument eller en annan plan som en kritisk aktör använder helt eller delvis uppfyller skyldigheten enligt denna paragraf. Tillsynsmyndigheten fattar inte ett separat förvaltningsbeslut om dokumentens motsvarighet.
Enligt 15 § 4 mom. ska den kritiska aktören inom sin organisation utse en kontaktpunkt genom vilken förmedlingen av information till myndigheterna ordnas. Aktören ska i detta syfte meddela namn och kontaktuppgifter för den kontaktperson som sköter uppgiften eller en annan motsvarande kontaktpunkt där information kan fås utan obefogat dröjsmål.
Genom den föreslagna paragrafen genomförs artikel 13.1 och 13.2 i CER-direktivet.
4 kap. Incidentanmälan av kritisk aktör
16 §. Skyldighet att anmäla incidenter.
Med stöd av artikel 15.1 i CER-direktivet ska medlemsstaterna säkerställa att de kritiska entiteterna utan onödigt dröjsmål lämnar in en anmälan till den behöriga myndigheten om incidenter. En incidentanmälan är inte ett nödmeddelande som gäller brådskande nödsituationer som förutsätter omedelbara åtgärder från räddningsväsendet, polisen, social- och hälsovårdsväsendet eller Gränsbevakningsväsendet. Nödmeddelande definieras i lagen om nödcentralsverksamhet (692/2010). En incidentanmälan är inte heller ett meddelande om ett planerat avbrott i verksamheten, men det kan vara ändamålsenligt att frivilligt informera tillsynsmyndigheten och andra relevanta aktörer samt, beroende på fallet, även allmänheten om avbrottet. Enligt 1 mom. i den föreslagna paragrafen ska en kritisk aktör utan obefogat dröjsmål lämna in en anmälan till tillsynsmyndigheten och statsrådets lägescentral om varje incident som medför eller kan medföra en störning i tillhandahållandet av samhällsviktiga tjänster. De aktörer som tar emot anmälningar ska ha förmåga att dygnet runt ta emot incidentanmälningar inom ramen för systemet för mottagande av anmälningar samt förmåga att vidarebefordra anmälningarna, i praktiken med hjälp av systemet i fråga. Systemet utvecklas med beaktande av Transport- och kommunikationsverkets system för anmälningar enligt NIS 2-direktivet och målet att systemet ska utvidgas till en gemensam kanal för infrastrukturaktörernas anmälningar om störningar.
Enligt det föreslagna 2 mom. ska den kritiska aktören lämna in en första anmälan inom 24 timmar från det att den har fått kännedom om en incident, om inte något annat följer av ett nödvändigt operativt skäl. Om detta inte är operativt omöjligt bör de kritiska aktörerna lämna in en första anmälan senast 24 timmar efter det att de har fått kännedom om en incident. Lämnandet av den första anmälan får inte ta upp den kritiska aktörens resurser för incidenthanteringsåtgärder, vilka bör prioriteras. Samtidigt är det viktigt att tillsynsmyndigheten och andra myndigheter genast informeras om incidenter som medför en betydande störning eller kan medföra en betydande störning av tillhandahållandet av samhällsviktiga tjänster, så att myndigheterna snabbt kan reagera och vidta behövliga åtgärder. På så sätt får den kritiska aktören också reda på vilka stödåtgärder myndigheterna vidtar för att hantera situationen. Det är också viktigt att myndigheterna får en lägesbild av verkningarna, arten och de möjliga konsekvenserna av samt orsaken till incidenter som de kritiska aktörerna hanterar. En detaljerad rapport ska vid behov lämnas senast inom en månad från det att incidenten har kommit till kännedom. Rapporten ska lämnas till det ministerium som sköter samordningsuppgiften, sektorministeriet och tillsynsmyndigheten.
Enligt 3 mom. ska det vid fastställandet av huruvida störningen är betydande i synnerhet beaktas antal och andel användare som berörs av störningen, störningens varaktighet och det geografiska området samt huruvida området är geografiskt isolerat.
Enligt 4 mom. har Försörjningsberedskapscentralen trots sekretessbestämmelserna rätt att få den information om den första anmälan och detaljerade rapporten som bedöms vara nödvändig för utförande av centralens uppgifter och för stödjande av de ministerier som saken gäller och de behöriga tillsynsmyndigheterna. Bestämmelser om Försörjningsberedskapscentralens uppgifter finns i lagen om tryggande av försörjningsberedskapen.Enligt 6 § i den lagen ska Försörjningsberedskapscentralen bl.a. säkerställa funktionen hos sådana tekniska system som är livsviktiga med tanke på försörjningsberedskapen och trygga kritisk varu- och tjänsteproduktion samt sådan produktion som stöder det militära försvaret. Informationen gäller alltid varje enskilt fall.
Genom den föreslagna paragrafen genomförs delvis artikel 15.1 i CER-direktivet.
17 §. Innehållet i den första anmälan och den detaljerade rapporten.
I 1 mom. föreskrivs det om de uppgifter som ska ingå i den första anmälan om en incident. Uppgifterna i den första anmälan är nödvändiga för att statsrådets lägescentral och den behöriga tillsynsmyndigheten ska få information om incidenten och för att den kritiska aktören vid behov ska kunna begära bistånd och stöd för hanteringen av situationen. På grund av detta ska den första anmälan innehålla information om att en incident har upptäckts och om dess art, en bedömning av den förmodade orsaken och en bedömning av eventuella konsekvenser. Anmälan ska också innehålla en bedömning av antal eller andel användare av den samhällsviktiga tjänst som berörs av störningen samt information som krävs för att kunna fastställa incidentens eventuella gränsöverskridande verkningar.
I 2 mom. föreskrivs det om innehållet i den detaljerade rapport som vid behov följer efter den första anmälan. Rapporten ska lämnas senast en månad efter incidenten. Den detaljerade rapporten ska komplettera den första anmälan och ge en mer komplett bild av incidenten. Enligt 1 punkten ska rapporten innehålla en detaljerad beskrivning av incidenten, dess allvarlighetsgrad och konsekvenser samt geografiska omfattning. Enligt 2 punkten ska det i rapporten anges arten av det hot eller den orsak som sannolikt har utlöst incidenten och enligt 3 punkten tillämpade eller pågående begränsande åtgärder. Enligt 4 punkten ska det i rapporten anges eventuella gränsöverskridande verkningar och enligt 5 punkten andra uppgifter som är väsentliga för hanteringen av incidenten. Informationen gör det bl.a. möjligt att vid behov vidta ytterligare åtgärder och följa upp eller utvärdera åtgärdernas effekter.
Enligt paragrafens 3 mom. ska den kritiska aktören på tillsynsmyndighetens begäran lämna ytterligare upplysningar om incidenten.
Genom den föreslagna paragrafen genomförs artikel 15.2 i CER-direktivet.
18 §. Behandling av mottagna incidentanmälningar.
Den tillsynsmyndighet som tagit emot den kritiska aktörens incidentanmälan ska underrätta den kritiska aktören om mottagandet av incidentanmälan. Underrättelsen om mottagen anmälan kan utgöras av ett automatiskt svar utanför tjänstetid. Den behöriga tillsynsmyndigheten ska efter att ha mottagit anmälan utan dröjsmål ge information om eventuella fortsatta åtgärder. Om det ligger i allmänt intresse att det underrättas om en störning, kan tillsynsmyndigheten dessutom ålägga den kritiska aktören att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. Kritiska aktörer ska genom egna åtgärder sörja för hanteringen av störningssituationer och tryggandet av kontinuiteten i den samhällsviktiga tjänsten. Dessutom kan en incidentanmälan vara en grund för att inleda verkställandet av beredskapsplaner vid centralförvaltningen och andra myndigheter i syfte att minimera störningar och förhindra att de upprepas. En incidentanmälan kan också vara en grund för en begäran om experthjälp eller en begäran om handräckning till säkerhetsmyndigheten. Handräckning kan lämnas i enlighet med lagstiftningen om den berörda myndighetens verksamhet.
Om en incident har eller kan ha en betydande påverkan på kritiska aktörer och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster i en eller flera medlemsstater i Europeiska unionen, eller om en incident har eller kan ha en betydande påverkan på kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen, ska detta på basis av erhållen information anmälas enligt 9 § i den föreslagna lagen. Vid behov kan även allmänheten informeras om detta inom ramen för regelrätta förfaranden, när samhällsnyttan kräver det.
Genom det föreslagna 1 mom. genomförs artikel 15.4 i CER-direktivet.
5 kap. Tillsyn
19 §. Tillsynsmyndigheter.
Enligt den föreslagna paragrafen ska den behöriga tillsynsmyndigheten övervaka att de skyldigheter som bestämts och föreskrivits för kritiska aktörer med stöd av denna lag fullgörs. Den föreslagna paragrafen innehåller bestämmelser om tillsynsmyndigheter inom de sektorer som omfattas av CER-direktivet. I Finland ska tillsynsmyndigheterna vara desamma som i nuläget utövar tillsyn över de berörda sektorerna. Tillsynsmyndigheter är Energimyndigheten, Närings-, trafik- och miljöcentralen i Södra Savolax, Transport- och kommunikationsverket, Säkerhets- och utvecklingscentret för läkemedelsområdet, Livsmedelsverket, Säkerhets- och kemikalieverket, Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverken.
Tillsynsmyndigheter enligt 1 mom. 1 punkten är Energimyndigheten i fråga om de kritiska aktörer som inom energisektorn hör till aktörskategorierna inom undersektorerna elektricitet, fjärrvärme eller fjärrkyla och inom undersektorn gas hör till aktörskategorierna systemansvariga för distributionssystemet, systemansvariga för överföringssystemet och gashandelsföretag eller gashandlare samt inom undersektorn vätgas hör till aktörskategorin operatörer av överföring av vätgas. Tillsynsmyndigheter är enligt 2 punkten Närings-, trafik- och miljöcentralen i Södra Savolax i fråga om de kritiska aktörer som hör till kategorierna av aktörer inom sektorerna dricksvatten och avloppsvatten samt enligt 3 punkten Transport- och kommunikationsverket i fråga om de kritiska aktörer som inom sektorn för transport hör till undersektorerna luftfart, järnväg, vatten, väg och kollektivtrafik.
Enligt den föreslagna 1 mom. 4 punkten ska tillsynsmyndighet enligt lagen vara Säkerhets- och utvecklingscentret för läkemedelsområdet i fråga om kritiska aktörer som bedriver forskning och utveckling avseende läkemedel enligt definitionen i artikel 1.2 i Europaparlamentets och rådets direktiv 2001/83/EG. Säkerhets- och utvecklingscentret för läkemedelsområdet ska vara tillsynsmyndighet enligt lagen också när det är fråga om aktörer som tillverkar farmaceutiska basprodukter och läkemedel som avses i huvudgrupp 21 avsnitt C i Nace Rev. 2. Nace Rev. 2 fastställs i Europaparlamentets och rådets förordning (EG) nr 1893/2006 om fastställande av den statistiska näringsgrensindelningen Nace rev. 2 och om ändring av rådets förordning (EEG) nr 3037/90 och vissa EG-förordningar om särskilda statistikområden. Näringsgrensindelningen har ändrats genom kommissionens delegerade förordning (EU) 2023/137 om ändring av Europaparlamentets och rådets förordning (EG) nr 1893/2006 om fastställande av den statistiska näringsgrensindelningen Nace rev. 2.
Till denna del omfattar behörigheten för Säkerhets- och utvecklingscentret för läkemedelsområdet den kategori av aktörer som tillverkar farmaceutiska basprodukter och läkemedel som avses i huvudgrupp 21 avsnitt C i Nace Rev. 2 under sektorn Hälso- och sjukvård i punkt 5 i bilagan till CER-direktivet. Säkerhets- och utvecklingscentret för läkemedelsområdet ska vara tillsynsmyndighet också i fråga om aktörer som tillverkar medicintekniska produkter som betraktas som kritiska vid ett hot mot folkhälsan (’förteckning över kritiska medicintekniska produkter vid ett hot mot folkhälsan’) i den mening som avses i artikel 22 i Europaparlamentets och rådets förordning (EU) 2022/123, aktörer med tillstånd att bedriva partihandel i den mening som avses i artikel 79 i direktiv 2001/83/EG, apotek, leverantörer och tillhandahållare av läkemedel och medicintekniska produkter enligt EU-direktivet om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (2011(24/EU) och inrättningar för blodverksamhet, och vilka identifierats som kritiska. Säkerhets- och utvecklingscentret för läkemedelsområdet är tillsynsmyndighet för dessa aktörer på grund av att centret har hand om tillsynen över dem också med stöd av gällande sektorslagstiftning.
I 1 mom. 5 punkten föreslås det att Livsmedelsverket ska vara tillsynsmyndighet i fråga om de kritiska aktörer som hör till aktörskategorin produktion, bearbetning och distribution av livsmedel.
I 1 mom. 6 punkten föreslås det att Säkerhets- och kemikalieverket ska vara tillsynsmyndighet i fråga om de kritiska aktörer som inom energisektorn hör till undersektorerna olja, vätgas och gas, med undantag för de aktörer som enligt vad som föreskrivits ovan omfattas av Energimyndighetens tillsyn.
I 1 mom. 7 punkten föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverken ska vara tillsynsmyndigheter i fråga om tjänsteanordnare och tjänsteproducenter som identifierats som kritiska och som tillhandahåller social-, hälso- och sjukvårdstjänster enligt 4 § i lagen om tillsynen över social- och hälsovården. Den behöriga tillsynsmyndigheten bestäms enligt 32 § 2 och 3 mom. i lagen om tillsynen över social- och hälsovården. Tillsynsansvaret ska alltså fastställas enligt samma principer som i fråga om andra tillsynsärenden inom hälso- och sjukvården.
I 1 mom. 8 punkten föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården ska vara tillsynsmyndighet i fråga om EU-referenslaboratorier som identifierats som kritiska och som definieras i artikel 15 i Europaparlamentets och rådets förordning (EU) 2022/2371. De sex första referenslaboratorierna inom EU utsågs för sju år genom EU-kommissionens genomförandeförordning i mars 2024, och ett av dem är från Finland. Referenslaboratorierna utses av kommissionen och nätverket av laboratorier förvaltas av Europeiska centrumet för förebyggande och kontroll av sjukdomar (ECDC). Tillsynen över laboratorierna inom hälso- och sjukvården hör dock till regionförvaltningsverken och Tillstånds- och tillsynsverket för social- och hälsovården. Eftersom eventuella EU-referenslaboratorier som utses i Finland kommer att vara verksamma i hela Finland är det motiverat att Tillstånds- och tillsynsverket för social- och hälsovården utses till tillsynsmyndighet.
20 §. Inriktning av tillsynen och inspektionsrätt.
Enligt 1 mom. i den föreslagna paragrafen ska tillsynen inriktas på en identifierad kritisk aktör i den omfattningen det behövs. Till de centrala tillsynsobjekten hör den kritiska aktörens skyldighet att utarbeta en riskbedömning och en plan för motståndskraft. Den behöriga tillsynsmyndigheten kan utföra inspektioner på plats av den kritiska infrastruktur, de byggnader och de lokaler som den kritiska aktören använder för att tillhandahålla sina samhällsviktiga tjänster. Enligt 2 mom. har myndigheten i samband med en inspektion rätt att i tillsynsobjektet få tillträde till alla byggnader och lokaler samt datasystem och andra system som är nödvändiga för inspektionen samt rätt att få redogörelser om de planer och andra arrangemang som krävs enligt denna lag. Inspektion får dock inte förrättas i utrymmen som används för boende av permanent natur. Det är inte meningen att inspektionsrätten ska gälla lokaler som omfattas av hemfriden, eftersom det inte är uteslutet att lokaler eller byggnader som är föremål för åtgärderna inte har utrymmen som används för boende. Tillsynsmyndigheten kan dessutom utanför lokalerna övervaka en kritisk aktörs åtgärder, för säkerställande av den kritiska aktörens motståndskraft. Den kritiska aktören ska enligt denna lag vidta lämpliga och proportionella åtgärder för att säkerställa sin motståndskraft.
Tillsynsmyndigheten kan höra utomstående experter och begära utlåtanden av dem. Tillsynsmyndigheten kan i samband med inspektionen anlita en utomstående expert. Den utomstående experten ska ha den utbildning och erfarenhet som behövs för inspektionen. Vid en inspektion kan det vara motiverat att anlita en extern expert för att bedöma statusen för ömsesidigt beroende kritiska tjänster. En sådan situation kan uppstå mellan aktörer som identifieras som kritiska aktörer i de kategorier som anges i bilagan till CER-direktivet eller mellan kritiska aktörer och icke-kritiska aktörer. Om det exempelvis finns ett beroende mellan infrastruktur för överföring av energi och en energiproducent (producent), kan detta medföra ett behov av extern expertis för att bedöma situationen i gränssnittet. I skäl 5 i direktivet konstateras att när det gäller energisektorn och särskilt metoderna för produktion och överföring av el (avseende elförsörjning) kan det i produktionen av el, när så anses lämpligt, ingå kärnkraftsanläggningars delar för överföring av el, men inte de specifikt kärnkraftsrelaterade delar som omfattas av fördrag och unionsrätt, inbegripet relevanta unionsrättsakter avseende kärnkraft. På experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar. Bestämmelser om skadeståndsansvar finns i skadeståndslagen. På förfarandet vid inspektionen tillämpas bestämmelserna i 39 § i förvaltningslagen (434/2003). Enligt förvaltningslagen ska en myndighet underrätta en part som direkt berörs av ärendet om tidpunkten då en inspektion som faller under myndighetens behörighet inleds, såvida syftet med inspektionen inte äventyras av en sådan underrättelse. Parten har rätt att närvara vid inspektionen och att framföra sin åsikt och ställa frågor om omständigheter som har samband med inspektionen. Under inspektionens gång ska parten om möjligt underrättas om inspektionens ändamål, hur den genomförs samt om fortsatta åtgärder. Inspektionen ska förrättas utan att inspektionsobjektet eller dess innehavare orsakas oskälig olägenhet.
Tillsynsmyndigheten kan begära handräckning av polisen för att genomföra en inspektion. I 9 kap. 1 § i polislagen (872/2011) föreskrivs det om handräckning av polisen, polisens beslutsfattande i samband med handräckning och om den avgift som tas ut för handräckningen. Enligt 1 mom. i den paragrafen ska polisen på begäran ge andra myndigheter handräckning, om så föreskrivs särskilt. Polisen ska ge andra myndigheter handräckning också för fullgörande av en lagstadgad tillsynsskyldighet, om den myndighet som begär handräckning hindras i sin tjänsteutövning. När det gäller den föreslagna paragrafen är det fråga om situationer där tillsynsmyndigheten hindras från att utföra ett tjänsteuppdrag och tillsynsmyndigheten har möjlighet att begära handräckning av polisen.
Genom den föreslagna paragrafen genomförs artiklarna 13.2 och 21.1 i CER-direktivet.
21 §. Anmärkning, varning och tillsynsbeslut.
Den behöriga tillsynsmyndigheten kan ge en kritisk aktör som bryter mot denna lag en anmärkning eller varning. Tillsynsmyndigheten kan i lindrigare fall göra den övervakade uppmärksam på att verksamheten ska ordnas på behörigt sätt och på kraven på god förvaltning eller ge en anmärkning med anledning av konstaterade felaktiga förfaranden eller försummelser. En varning kan ges om en anmärkning inte kan anses tillräcklig med beaktande av omständigheterna i ärendet som helhet. En varning ska ges skriftligen och i den ska den brist eller försummelse som varningen gäller specificeras.
Tillsynsmyndigheten kan genom sitt beslut också ålägga aktören att inom en skälig tid avhjälpa de brister som upptäckts eller försummelsen. Tillsynsmyndigheten kan förena ett beslut med vite eller hot om tvångsutförande, på vilka viteslagen (1113/1990) tillämpas.
Hot om avbrytande enligt viteslagen är inte en ändamålsenlig åtgärd, eftersom kontinuiteten i den kritiska aktörens samhällsviktiga tjänst bör säkerställas. Om ett vite föreläggs och utdöms för att en skyldighet inte har fullgjorts är syftet med förfarandet att säkerställa att skyldigheten fullgörs. Vite är till sin natur en administrativ påföljd, medan försummelseavgiften enligt lagförslagets 22 § till sin natur är en administrativ sanktion.
Genom den föreslagna paragrafen genomförs artikel 22 i CER-direktivet.
22 §.Försummelseavgift.
Enligt den föreslagna paragrafen kan tillsynsmyndigheten genom sitt beslut ålägga en kritisk aktör att betala en försummelseavgift, om den kritiska aktören uppsåtligen eller av grov oaktsamhet försummar att göra en riskbedömning enligt 14 §, vidta åtgärder enligt 15 § eller göra en anmälan om en incident enligt 16 § och den upptäckta bristen eller försummelsen har en betydande påverkan på tillhandahållandet av samhällsviktiga tjänster. Försummelseavgift kan inte påföras en kritisk aktör som är en statlig myndighet, ett statligt affärsverk, en kommunal myndighet, ett välfärdsområde eller en självständig offentligrättslig inrättning. Myndigheterna är bundna av laglighetsprincipen i förvaltningen, myndigheterna måste också iaktta allmänna förvaltningslagar. Tjänstemän har tjänsteansvar som kan realiseras även som straffrättsligt tjänsteansvar eller skadeståndsansvar. Över en myndighets verksamhet kan också förvaltningsklagan anföras hos en högre myndighet. Försummelseavgiften uppgår till minst 2 000 och högst 20 000 euro. Vid bedömningen av försummelseavgiftens storlek ska hänsyn tas till omständigheterna i fallet och förfarandets art och i detta syfte åtminstone följande omständigheter: försummelsens varaktighet, upprepad försummelse eller brist, underlåtenhet att underrätta om betydande incidenter, underlåtenhet att avhjälpa upptäckta brister trots beslut av tillsynsmyndigheten och åtgärder som den kritiska aktören vidtagit för att förhindra eller begränsa skadan.
Genom den föreslagna paragrafen genomförs artikel 22 i CER-direktivet.
23 §.Avstående från försummelseavgift.
Enligt den föreslagna paragrafen påförs försummelseavgift inte om aktören på eget initiativ vidtagit tillräckliga åtgärder för att avhjälpa försummelsen omedelbart efter att den upptäckts och utan dröjsmål underrättat tillsynsmyndigheten om den samt samarbetat med tillsynsmyndigheten, och försummelsen inte är återkommande (1 mom. 1 punkten) eller om försummelsen ska anses vara ringa (1 mom. 2 punkten). Enligt 3 punkten ska försummelseavgift inte påföras, om påförande av avgift ska anses vara uppenbart oskäligt på andra grunder än de som avses i 1 eller 2 punkten. Försummelseavgift får inte påföras, om det har förflutit mer än fem år sedan överträdelsen eller försummelsen har skett. Enligt 2 mom. får försummelseavgift inte påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Försummelseavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom.
24 §.Verkställighet av försummelseavgift.
I paragrafen föreskrivs det om verkställigheten av försummelseavgift. Rättsregistercentralen sköter verkställigheten av avgiften. En försummelseavgift som påförts med stöd av lag ska verkställas i den ordning som föreskrivs i lagen om verkställighet av böter (672/2002). En försummelseavgift preskriberas när fem år har förflutit från den dag då det lagakraftvunna beslutet om avgiften meddelades. Dröjsmålsränta får inte tas ut på försummelseavgiften.
6 kap. Särskilda bestämmelser
25 §. Begäran om omprövning.
I beslut som avses i detta lagförslag får omprövning begäras. Bestämmelser om begäran om omprövning finns i förvaltningslagen
(434/2003)
.
Ett centralt beslut i vilket omprövning får begäras är ett sådant beslut om identifiering som kritisk aktör som avses i 13 § och som fattas av det behöriga ministeriet. Begäran om omprövning anses inte lämpa sig för ärenden som är särskilt betydelsefulla med tanke på parternas rättsskydd, i vilka det är viktigt att vid behov snabbt hänskjuta saken till domstolsprövning och där det inte nödvändigtvis kan anses vara fråga om ett rutinärende (se RP 230/2014 rd s. 42). Det föreslås dock att beslutet ska basera sig på ett strategiskt styrdokument, dvs. en av statsrådets allmänna sammanträde godkänd riksomfattande plan för kritiska aktörers motståndskraft som stöder ministeriernas beslutsfattande och inrikesministeriets styrning i dess egenskap av samordnande ministerium. Beslutet ska också bygga på ett annat strategiskt styrdokument, nämligen en nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft som godkänts av statsrådets allmänna sammanträde. Det behöriga ministeriet har inom sitt ansvarsområde de bästa förutsättningarna och sakkunskapen för att bedöma de faktorer som ligger till grund för identifieringen som kritisk aktör. Utgångspunkten är att det är fråga om ett beslut där det inte finns principiell oenighet om tolkningen. Bedömningen är att ett eventuellt felaktigt beslut kan rättas i ett flexibelt förfarande snabbare än i förvaltningsdomstolen. Det är fråga om beslut som fattas inom ramen för en enhetlig procedur och gemensamma normer, även om det underliggande sakinnehållet kan variera beroende på bransch. Den myndighet som behandlar begäran om omprövning kan ändra eller upphäva förvaltningsbeslutet eller avslå begäran om omprövning.
Omprövning av ett beslut av statsrådets allmänna sammanträde får inte begäras. Bestämmelser om sökande av ändring i beslut av statsrådets allmänna sammanträde finns i lagen om rättegång i förvaltningsärenden (808/2019). Fallen kan gälla t.ex. sådana i 13 § avsedda beslut om identifiering av en kritisk aktör som har överförts till statsrådets allmänna sammanträde. Den riksomfattande planen för kritiska aktörers motståndskraft och den nationella riskbedömningen av kritiska aktörers motståndskraft, vilka godkänts av statsrådets allmänna sammanträde, är inte överklagbara förvaltningsbeslut med stöd av 6 § i lagen om rättegång i förvaltningsärenden.
Genom den föreslagna paragrafen genomförs delvis artikel 21.4 i CER-direktivet.
26 §. Sökande av ändring.
Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019). Vid sökande av ändring i beslut som gäller föreläggande och utdömande av vite samt föreläggande och verkställighet av hot om tvångsutförande tillämpas dock viteslagen (1113/1990).
Genom den föreslagna paragrafen genomförs delvis artikel 21.4 i CER-direktivet.
27 §. Myndigheters och andra parters rätt att få information.
Enligt den föreslagna paragrafen har tillsynsmyndigheterna trots sekretessbestämmelserna rätt att av myndigheter och aktörer som identifierats som kritiska avgiftsfritt få den information som är nödvändig för att myndigheten ska kunna utföra sina uppgifter enligt denna lag. Tillsynsmyndigheten har trots sekretessbestämmelserna rätt att till en annan tillsynsmyndighet och en tillsynsmyndighet enligt 26 § i cybersäkerhetslagen ( ) samt det ministerium som sköter samordningsuppgiften och sektorministeriet lämna ut den information som är nödvändig för att de ska kunna utföra sina uppgifter. Med tillsynsmyndigheternas uppgifter avses deras lagstadgade uppgifter. Tillsynsmyndigheten har också trots sekretessbestämmelserna rätt att lämna ut nödvändig information till Försörjningsberedskapscentralen för utförande av dess uppgifter. Det är nödvändigt att det ministerium som sköter samordningsuppgiften och statsrådets lägescentral för utförande av dess uppgifter får en överblick av motståndskraften i den nationella kritiska infrastrukturen. Varje ministerium bör få en motsvarande överblick av sitt eget verksamhetsområde. Statsrådets lägescentral har enligt lagen om statsrådets lägescentral (300/2017, 3 §) trots det som föreskrivs om sekretessbelagd information rätt att av en myndighet för sammanställande av en lägesbild få de uppgifter som den överlåtande myndigheten anser nödvändiga om de förhållanden som lett till en säkerhetsincident, platsen och tidpunkten för säkerhetsincidenten, säkerhetsincidentens konsekvenser, den behöriga myndighetens åtgärder samt om andra omständigheter som kan jämställas med dessa. I synnerhet incidenter med betydande påverkan ska i regel tolkas som en sådan säkerhetsincident. Bestämmelser om Försörjningsberedskapscentralens uppgifter finns i lagen om tryggande av försörjningsberedskapen. Enligt 6 § i den lagen ska Försörjningsberedskapscentralen bl.a. säkerställa funktionen hos sådana tekniska system som är livsviktiga med tanke på försörjningsberedskapen och trygga kritisk varu- och tjänsteproduktion samt sådan produktion som stöder det militära försvaret.
Enligt 2 mom. i den föreslagna paragrafen gäller rätten att få information inte information som behandlas av den CSIRT-enhet som avses i 19 § i den föreslagna cybersäkerhetslagen. Vid Transport- och kommunikationsverket finns en i artikel 1.2 a i NIS 2-direktivet avsedd CSIRT-enhet för hantering av it-säkerhetsincidenter. Dess verksamhet ordnas separat från den tillsyn som utövas med stöd av 26 § i cybersäkerhetslagen.
28 §. Myndighetssamarbete.
Enligt paragrafen ska de myndigheter som avses 26 § i cybersäkerhetslagen underrättas om ett beslut om identifiering av en kritisk aktör inom en månad från beslutet. De myndigheter som avses i den föreslagna lagen och den behöriga myndigheten enligt 26 § i cybersäkerhetslagen ska utbyta information om identifiering av kritiska aktörer och om cybersäkerhetsrisker, cyberhot och cyberincidenter och icke-cyberrelaterade risker, hot och incidenter som påverkar kritiska aktörer samt om relevanta åtgärder och hanteringsåtgärder som vidtagits av den behöriga myndigheten enligt denna lag och den behöriga myndigheten enligt cybersäkerhetslagen. Informationsutbytet är viktigt eftersom kritiska aktörer enligt CER-direktivet också omfattas av skyldigheterna enligt NIS 2-direktivet.
Enligt skäl 24 i direktivet är det viktigt att medlemsstaterna säkerställer att kraven i det här direktivet och i direktiv (EU) 2022/2555 genomförs på ett kompletterande sätt och att kritiska entiteter inte utsätts för en administrativ börda som går utöver vad som är nödvändigt för att uppnå målen i det här direktivet och i det direktivet.
Genom den föreslagna paragrafen genomförs artiklarna 6.4 och 9.6 i CER-direktivet.
29 §.Säkerhetsutredning.
I paragrafen föreskrivs det om begäran om uppgifter ur andra EU-medlemsstaters kriminalregister i en situation där en säkerhetsutredning av person enligt säkerhetsutredningslagen (726/2014) görs om en person som är anställd eller ska anställas hos en kritisk aktör. Genom paragrafen genomförs artikel 14 om bakgrundskontroller i CER-direktivet.
Enligt artikel 14 i CER-direktivet ska kritiska aktörer i vederbörligen motiverade fall kunna ansöka om bakgrundskontroller av personer som definieras närmare i artikeln och som är anställda hos dem eller övervägs för rekrytering. Ansökningarna ska bedömas inom en rimlig tidsram och hanteras i enlighet med nationell rätt och nationella förfaranden. Bakgrundskontroller ska enligt direktivet åtminstone bekräfta identiteten på den person som är föremål för bakgrundskontrollen och kontrollera uppgifter ur kriminalregistret för den personen avseende brott som är relevanta för en viss tjänst. När de utför bakgrundskontroller ska medlemsstaterna använda det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister i enlighet med de förfaranden som fastställs i rambeslut 2009/315/RIF och, i förekommande och tillämpliga fall, förordning (EU) 2019/816 för att inhämta uppgifter ur kriminalregister som innehas av andra medlemsstater.
En bakgrundskontroll enligt CER-direktivet kan i Finland med stöd av 19, 20 eller 21 § i säkerhetsutredningslagen göras som en begränsad, en normal eller en omfattande säkerhetsutredning av person, beroende på med vilka arbetsuppgifter och i vilken bransch personen arbetar. De gällande bestämmelserna i säkerhetsutredningslagen bedöms till denna del redan omfatta alla sektorer och arbetsuppgifter som omfattas av direktivets tillämpningsområde, och säkerhetsutredningslagen behöver därför inte ändras på grund av genomförandet av direktivet. Direktivet kräver dock att de bakgrundskontroller som avses i direktivet ska utföras med hjälp av det s.k. Ecris-systemet för att få tillgång till uppgifter i andra medlemsstaters kriminalregister. Däremot ger direktivet medlemsstaterna utrymme att avgöra om det ska vara möjligt att göra förfrågningar också med hjälp av det s.k. Ecris-TCN-systemet, som innehåller uppgifter om tredjelandsmedborgare som dömts för brott i EU:s medlemsstater. I beredningen har det bedömts vara ändamålsenligt att begränsa förfrågningarna så att uppgifter kan begäras enbart från Ecris i enlighet med minimikravet i direktivet. Bestämmelser om utbyte av uppgifter ur Ecris med andra medlemsstater finns i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012, nedan EU-straffregisterlagen). I Finland är det för närvarande inte möjligt att använda Ecris för att göra säkerhetsutredningar, och därför behövs nya bestämmelser om detta i EU-straffregisterlagen. Inom Ecris-samarbetet begär Rättsregistercentralen straffregisteruppgifter från en annan medlemsstat.
I paragrafen anges i vilka situationer skyddspolisen kan begära att Rättsregistercentralen lämnar in en begäran om utlämnande av straffregisteruppgifter till andra medlemsstater. Om en i säkerhetsutredningslagen avsedd säkerhetsutredning av person görs om en person som ska utses till eller arbetar i ett anställningsförhållande eller uppdrag hos en kritisk aktör som avses i 14 § i denna lag, och det behövs på grund av att den som utredningen gäller har vistats utomlands eller av någon annan särskild orsak, kan skyddspolisen enligt förslaget för utredningen göra en begäran enligt 20 c § i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012). En begäran om straffregisteruppgifter från andra medlemsstater är således inte heller standardförfarande i fall där en säkerhetsutredning görs om en person som är anställd eller ska anställas hos en kritisk aktör, utan behövs endast av särskilda skäl. Ett särskilt skäl kan t.ex. vara en långvarig eller återkommande vistelse i andra medlemsstater. Skyddspolisen ska från fall till fall bedöma och besluta huruvida en begäran om uppgifter ur andra medlemsstaters straffregister behövs. Uppgifter som erhållits från andra medlemsstater till följd av en begäran får användas för att göra en säkerhetsutredning av person. I övrigt tillämpas på utarbetandet av säkerhetsutredningar vad som föreskrivs i säkerhetsutredningslagen. Sådana begäranden som avses i paragrafen kan i praktiken göras först efter att de kritiska aktörerna har definierats.
30 §. Ikraftträdande.
Lagen avses träda i kraft så snart som möjligt. När den föreslagna lagen träder i kraft antas en riksomfattande plan för kritiska aktörers motståndskraft enligt 5 § och en nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft enligt 6 § för första gången senast den 17 januari 2026. Beslut enligt 13 § om identifiering av en kritisk aktör fattas för första gången senast den 17 juli 2026. När denna lag träder i kraft ska den som identifierats som en kritisk aktör göra en första i 14 § avsedd riskbedömning av en kritisk aktör inom nio månader från det att mottagaren har underrättats om ett i 13 § avsett beslut. En plan för en kritisk aktörs motståndskraft enligt 15 § ska upprättas första gången inom ett år från utförandet av den riskbedömning som avses i 14 §. Senast den 17 juli 2028 lämnas en första sammanfattande rapport om inkomna incidentanmälningar enligt 16 § till kommissionen och till den grupp för kritiska aktörers motståndskraft som avses i artikel 19 i CER-direktivet.