Senast publicerat 01-08-2025 17:06

Betänkande KoUB 12/2025 rd RP 27/2025 rd Kommunikationsutskottet Regeringens proposition till riksdagen med förslag till lagar om ändring av cybersäkerhetslagen och 3 § i lagen om informationshantering inom den offentliga förvaltningen

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lagar om ändring av cybersäkerhetslagen och 3 § i lagen om informationshantering inom den offentliga förvaltningen (RP 27/2025 rd): Ärendet har remitterats till kommunikationsutskottet för betänkande. 

Sakkunniga

Utskottet har hört 

  • regeringssekreterare Veikko Vauhkonen 
    kommunikationsministeriet
  • lagstiftningsråd Eeva Lantto 
    finansministeriet
  • NIS-koordinator, specialsakkunnig Kalle Varjola 
    Transport- och kommunikationsverket, Cybersäkerhetscentret
  • Vice President, Partner Success Artturi Lehtiö 
    WithSecure Oyj
  • ledande expert Markku Rajamäki 
    Finlands näringsliv rf
  • ledande riskexpert Pasi Korhonen 
    Finansinspektionen
  • verkställande direktör Peter Sund 
    Finnish Information Security Cluster - Kyberala ry, företräder även Teknologiindustrin rf
  • specialsakkunnig Martti Setälä 
    Finlands Kommunförbund.

Skriftligt yttrande har lämnats av 

  • dataombudsmannens byrå
  • Rundradion Ab.

Inget yttrande av 

  • justitieministeriet
  • FiCom rf.

PROPOSITIONEN

Regeringen föreslår att cybersäkerhetslagen och lagen om informationshantering inom den offentliga förvaltningen ändras. 

Genom propositionen utvidgas tillämpningsområdet för cybersäkerhetslagen och 4 a kap. i lagen om informationshantering inom den offentliga förvaltningen till att gälla sådana sammanslutningar som identifieras som kritiska med tanke på samhällets funktion enligt den föreslagna lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. Genom propositionen kompletteras det nationella genomförandet av Europaparlamentets och rådets direktiv om kritiska entiteters motståndskraft och av cybersäkerhetsdirektivet. 

Enligt regeringsprogrammet för Petteri Orpos regering stärks samarbetet kring cybersäkerhet mellan myndigheterna och näringslivet, förbättrar regeringen informationssäkerheten inom kritiska sektorer och undviks ytterligare nationell reglering i samband med genomförandet av EU-lagstiftningen. 

Lagarna avses träda i kraft samtidigt som den föreslagna lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. 

UTSKOTTETS ÖVERVÄGANDEN

(1) Utskottet anser att propositionens mål både behövs och fyller sitt syfte och välkomnar att de stärker cybersäkerheten och informationssäkerheten inom kritiska sektorer. 

(2) Finlands Kommunförbund har fäst uppmärksamhet vid att tillämpningsområdena för NIS-genomförandelagarna har preciserats i propositionen för att de kritiska aktörer som fastställts med stöd av CER-genomförandelagen smidigt ska kunna inkluderas i tillämpningsområdet för NIS 2-genomförandelagarna. Tillämpningsområdet för CER-genomförandelagen gäller i fråga om den offentliga förvaltningen endast centralförvaltningen och de kritiska aktörer som definieras utifrån den omfattar inte kommuner. 

(3) Tillämpningsområdet för cybersäkerhetslagen kan å andra sidan omfatta enskilda funktioner som hör till kommunens kritiska infrastruktur, såsom vattenverk eller värmeverk. Bestämmelsernas tillämpningsområde omfattar således enskilda funktioner inom kommunen, men inte hela kommunen. I CER-genomförandelagen finns motsvarande möjlighet att definiera en funktion inom kommunens kritiska infrastruktur som en kritisk aktör. Finlands Kommunförbund har fäst uppmärksamhet vid att en sådan aktör orsakas kostnader om den definieras som en kritisk aktör. 

(4) Utskottet fäster uppmärksamhet vid de anslagsbehov som de nya uppgifterna medför för Transport- och kommunikationsverket. På samma sätt som tidigare betonar utskottet vikten av att anvisa tillräckliga resurser för att trygga de uppgifter som är centrala med tanke på den nationella övergripande säkerheten. Utskottet anser att det i det rådande ekonomiska läget är viktigt att myndighetsfunktionerna prioriteras. Utskottet anser dock att det är viktigt att bevaka om myndighetsresurserna räcker till för att rygga den nationella övergripande säkerheten. 

DETALJMOTIVERING

1. Lagen om ändring av cybersäkerhetslagen

Ikraftträdandebestämmelsen.

Vid utskottets sakkunnigutfrågning framfördes anmärkningar för att förlänga övergångsperioden på en månad för tillämpningen av 10—18 § och 41 § i lagförslag 1. I yttranden till utskottet motiveras anmärkningarna med att övergångsperioden är kort särskilt med tanke på små- och mikroföretag som klassificeras som kritiska samt för att arrangera rapportering av betydande incidenter. Kommunikationsministeriet har ansett att ikraftträdandet av lagbestämmelserna är lämpligt även om övergångsperioden för aktörer som fått veta att de identifieras som en kritisk aktör förlängs till tre månader. Utskottet har förlängt övergångsperioden till tre månader. 

2. Lagen om ändring av 3 § i lagen om informationshantering inom den offentliga förvaltningen

Ikraftträdandebestämmelsen.

En övergångsperiod som motsvarar övergångsperioden i det första lagförslagets ikraftträdandebestämmelse ingår också i ikraftträdandebestämmelsen i lagförslag 2. Utskottet har därför förlängt övergångstiden till tre månader. 

När det gäller hänvisningen till en övergångsperiod på nio månader hänvisas det i ikraftträdandebestämmelsen till 18 a och 18 b §, medan hänvisningen enligt inkommen utredning de facto ska gälla 18 b och 18 c §. Hänvisningen till 18 b och 18 c § motsvarar en övergångsperiod på nio månader i likhet med lagförslag 1 och avsikten är att 18 a § ska ha en kortare övergångsperiod. Utskottet föreslår därför en korrigering i ikraftträdandebestämmelsen. 

FÖRSLAG TILL BESLUT

Kommunikationsutskottets förslag till beslut:

Riksdagen godkänner lagförslag 1 och 2 i proposition RP 27/2025 rd med ändringar. (Utskottets ändringsförslag) 

Utskottets ändringsförslag

1. Lag om ändring av cybersäkerhetslagen 

I enlighet med riksdagens beslut 
ändras i cybersäkerhetslagen (124/2025) 3 § 2 mom., 4 § 6 mom., 27 § 2 mom., 28 § 4 mom. och 45 § 2 mom. samt 
fogas till 17 § ett nytt 6 mom., till 26 § ett nytt 3 mom. och till 45 § ett nytt 5 mom. som följer: 
3 § 
Aktörer 
 En icke ändrad del av lagtexten har utelämnats 
Denna lag tillämpas också på en aktör som oavsett storlek är 
1) en tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster, 
2) en tillhandahållare av betrodda tjänster, 
3) den som förvaltar ett toppdomänregister, 
4) en leverantör av DNS-tjänster, eller 
5) en kritisk aktör som med stöd av lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (/) har identifierats som kritisk aktör inom någon annan sektor än sektorn för offentlig förvaltning (kritisk aktör). 
 En icke ändrad del av lagtexten har utelämnats 
4 § 
Avgränsning av tillämpningsområdet 
 En icke ändrad del av lagtexten har utelämnats 
Denna lag tillämpas på en i kommunallagen (410/2015) avsedd kommun endast i fråga om verksamhet enligt bilaga I eller II samt till den del kommunen fungerar som en kritisk aktör. 
 En icke ändrad del av lagtexten har utelämnats 
17 § 
Hantering av incidentanmälningar 
 En icke ändrad del av lagtexten har utelämnats 
Om en anmälan, rapport eller underrättelse som avses i 11–13 eller 15 § görs av en kritisk aktör, ska tillsynsmyndigheten informera den myndighet som enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och stärkande av samhällets motståndskraft är behörig att utöva tillsyn över den kritiska aktören om anmälan, rapporten eller underrättelsen. 
26 § 
Tillsynsmyndigheter 
 En icke ändrad del av lagtexten har utelämnats 
Om en kritisk aktör inte bedriver verksamhet enligt bilaga I eller II, bestäms tillsynsmyndigheten enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. 
27 § 
Inriktning av tillsynen 
 En icke ändrad del av lagtexten har utelämnats 
Med väsentlig aktör avses 
1) en i bilaga I avsedd aktör som överskrider villkoren för medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag, 
2) kvalificerade tillhandahållare av betrodda tjänster, de som förvaltar ett toppdomänregister samt leverantörer av DNS-tjänster, 
3) tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster som uppfyller eller överskrider villkoren för medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag, 
4) en aktör som avses i 3 § 3 mom., samt 
5) en kritisk aktör. 
 En icke ändrad del av lagtexten har utelämnats 
28 § 
Rätt att få information 
 En icke ändrad del av lagtexten har utelämnats 
Tillsynsmyndigheten har trots sekretessbestämmelserna, skyldigheten att iaktta sekretess enligt 2 mom. och andra begränsningar som gäller utlämnande av information rätt att lämna ut handlingar som den fått eller utarbetat i samband med skötseln av sina uppgifter enligt denna lag samt att röja sekretessbelagd information för en annan tillsynsmyndighet, en CSIRT-enhet och en tillsynsmyndighet enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft, om det är nödvändigt för en uppgift som i denna lag eller i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft föreskrivits för myndigheten. Utnyttjandet av rätten att få information eller utlämnandet av information får inte begränsa skyddet av förtroliga meddelanden eller integritetsskyddet mer än vad som är nödvändigt. 
 En icke ändrad del av lagtexten har utelämnats 
45 § 
Myndighetssamarbete 
 En icke ändrad del av lagtexten har utelämnats 
Tillsynsmyndigheterna, CSIRT-enheten och den gemensamma kontaktpunkten ska vid behov samarbeta med polisen eller någon annan förundersökningsmyndighet, dataombudsmannen, Finansinspektionen och med en tillsynsmyndighet som avses i 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft samt med Transport- och kommunikationsverket i fråga om de uppgifter verket har enligt luftfartslagen (864/2014), lagen om tjänster inom elektronisk kommunikation och eIDAS-förordningen. 
 En icke ändrad del av lagtexten har utelämnats 
Tillsynsmyndigheterna och de tillsynsmyndigheter som avses i 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft ska regelbundet utbyta information om identifieringen av kritiska aktörer samt om risker, cyberhot och incidenter samt om icke-cyberrelaterade risker, hot och incidenter som påverkar aktörer som identifierats som kritiska, samt om de åtgärder som vidtagits för att hantera sådana risker, hot och incidenter. Tillsynsmyndigheten ska underrätta den behöriga tillsynsmyndigheten enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft när befogenheter enligt 4 kap. i denna lag utövas gentemot en kritisk aktör. Tillsynsmyndigheten kan rikta tillsyn mot en kritisk aktör på begäran av en behörig tillsynsmyndighet enligt 19 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20
Denna lag och 10—18 och 41 § i den lag som ändras genom denna lag tillämpas på en kritisk aktör Utskottet föreslår en ändring tre månader Slut på ändringsförslaget efter det att aktören har fått del av det beslut genom vilket den identifierats som en kritisk aktör. Bestämmelserna i 7—9 § i den lag som ändras genom denna lag tillämpas dock på en kritisk aktör först nio månader efter det att aktören har fått del av det beslut genom vilket den identifierats som kritisk aktör. 
 Slut på lagförslaget 

2. Lag om ändring av 3 § i lagen om informationshantering inom den offentliga förvaltningen 

I enlighet med riksdagens beslut 
fogas till 3 § i lagen om informationshantering inom den offentliga förvaltningen (906/2019), sådan den lyder i lag 125/2025 ett nytt 7 mom. som följer: 
3 § 
Lagens tillämpningsområde och begränsningar i det 
 En icke ändrad del av lagtexten har utelämnats 
Med avvikelse från vad som föreskrivs i 3 mom. tillämpas 4 a kap. på en myndighet som avses i 4 § 1 mom. 1 punkten i lagen om offentlighet i myndigheternas verksamhet, om den identifierats som en kritisk aktör inom sektorn för offentlig förvaltning med stöd av lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (/). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20
Bestämmelserna i 4 a kap. i den lag som ändras genom denna lag tillämpas på en kritisk aktör Utskottet föreslår en ändring tre månader Slut på ändringsförslaget efter det att aktören har fått del av det beslut genom vilket den identifierats som en kritisk aktör. En kritisk aktör ska anpassa sin verksamhet till 18 Utskottet föreslår en ändring b Slut på ändringsförslaget och 18 Utskottet föreslår en ändring c Slut på ändringsförslaget § i den lag som ändras genom denna lag inom nio månader från det att aktören har fått del av det beslut genom vilket den identifierats som en kritisk aktör. 
 Slut på lagförslaget 
Helsingfors 5.6.2025 

I den avgörande behandlingen deltog

vice ordförande 
Timo Furuholm vänst 
 medlem 
Pekka Aittakumpu saf 
 medlem 
Marko Asell sd 
 medlem 
Seppo Eskelinen sd 
 medlem 
Atte Harjanne gröna 
 medlem 
Petri Huru saf 
 medlem 
Aleksi Jäntti saml 
 medlem 
Marko Kilpi saml 
 medlem 
Sheikki Laakso saf 
 medlem 
Mats Löfström sv 
 medlem 
Jani Mäkelä saf (delvis) 
 medlem 
Pinja Perholehto sd 
 ersättare 
Teemu Kinnari saml 
 ersättare 
Johan Kvarnström sd. 
 

Sekreterare var

utskottsråd 
Mika Boedeker.