Senast publicerat 01-08-2025 17:20

Riksdagens svar RSv 47/2025 rd RP 205/2024 rd  Regeringens proposition till riksdagen med förslag till lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft och till vissa andra lagar

RP 205/2024 rd
FvUB 11/2025 rd

Ärende

Regeringens proposition till riksdagen med förslag till lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft och till vissa andra lagar (RP 205/2024 rd). 

Beredning i utskott

Utskottets betänkande: Förvaltningsutskottet (FvUB 11/2025 rd). 

Beslut

Riksdagen har antagit följande lagar: 

Lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft 

I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Tillämpningsområde 
Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG, nedan CER-direktivet
Denna lag tillämpas 
1) inom områdena för lagstiftningen om energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbetning och distribution av livsmedel, i enlighet med den klassificering av sektorer som finns i bilagan till CER-direktivet och med beaktande av kommissionens delegerade förordning (EU) 2023/2450 om komplettering av Europaparlamentets och rådets direktiv (EU) 2022/2557 genom upprättande av en förteckning över samhällsviktiga tjänster, 
2) på styrning och beslutsfattande som gäller den nationella strategin för kritiska aktörers motståndskraft, som ges i form av en riksomfattande plan, den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft och identifieringen som kritiska aktörer enligt 10 § av aktörer som är centrala med tanke på samhällets funktion, 
3) i fråga om de sektorer som avses i 1 punkten på kritiska aktörer som identifierats med stöd av denna lag och på dessa aktörers skyldigheter när det gäller att stärka motståndskraften, 
4) på tillsynen över kritiska aktörer, och 
5) på samarbete mellan myndigheter. 
Med de kategorier av aktörer inom sektorn offentlig förvaltning som anges i punkt 9 i tabellen i den bilaga till CER-direktivet som avses i 2 mom. 1 punkten avses i denna lag de myndigheter som anges i 4 § 1 mom. 1 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
I fråga om aktörskategorin vårdgivare inom sektorn för hälso- och sjukvård enligt punkt 5 i tabellen i den bilaga till CER-direktivet som avses i 2 mom. 1 punkten tillämpas denna lag på sådana i 4 § i lagen om tillsynen över social- och hälsovården (741/2023) avsedda tjänsteanordnare och tjänsteproducenter som ordnar eller producerar hälso- och sjukvårdstjänster, med undantag av Folkpensionsanstalten, och på inrättningar för blodtjänst enligt blodtjänstlagen (197/2005), apotek samt sådana aktörer som lämnar ut och tillhandahåller läkemedel och medicinska hjälpmedel som avses i Europaparlamentets och rådets direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård, nedan patientdirektivet. Denna lag tillämpas dessutom på sådana i 4 § i lagen om tillsynen över social- och hälsovården avsedda tjänsteanordnare och tjänsteproducenter som ordnar eller producerar socialservice. På välfärdsområdena tillämpas lagen i fråga om den social- och hälsovård som de ordnar och producerar. 
2 § 
Avgränsning av tillämpningsområdet 
Denna lag tillämpas inte på republikens presidents kansli, riksdagen, riksdagens justitieombudsman, justitiekanslern i statsrådet, Finlands Bank eller domstolarna. Denna lag tillämpas inte heller på myndighetsverksamhet inom området för försvaret, den nationella säkerheten och den allmänna ordningen och säkerheten eller på förebyggande av brott, brottsutredning, förande av brott till åtalsprövning eller väckande av åtal. 
Bestämmelserna i 7 § 3 mom., 14—16 §, 5 kap. och 29 § tillämpas inte på en sådan kritisk aktör som är verksam inom området för den nationella säkerheten, den allmänna säkerheten, försvaret eller brottsbekämpningen eller som tillhandahåller tjänster till en myndighet som avses i 1 mom. Vad som föreskrivs ovan i detta moment gäller dock inte en sådan kritisk aktör som i liten utsträckning tillhandahåller tjänster inom området för den nationella säkerheten, den allmänna säkerheten, försvaret eller brottsbekämpningen. 
Bestämmelserna i 7 § 3 mom. 3—5 punkten och 4 mom, 13 § 3 mom., 14—16 §, 5 kap. och 29 § tillämpas inte på en kritisk aktör som är verksam inom sektorn bankverksamhet enligt punkt 3 i tabellen i bilagan till CER-direktivet, inom sektorn finansmarknadsinfrastruktur enligt punkt 4 i den tabellen eller inom sektorn digital infrastruktur enligt punkt 8 i den tabellen. 
Denna lag tillämpas inte på utlämnande av sådan information vars röjande eller utlämnande äventyrar försvaret, den nationella säkerheten eller den allmänna ordningen och säkerheten. 
3 § 
Förhållande till annan lagstiftning 
Om det i Europeiska unionens rättsakter sektorsspecifikt krävs att kritiska aktörer vidtar åtgärder för att stärka sin motståndskraft och kraven åtminstone är likvärdiga med motsvarande skyldigheter enligt denna lag, ska dessa tillämpas på den kritiska aktören i stället för denna lag. 
Om det i någon annan lag eller i bestämmelser som utfärdats med stöd av den finns krav som avviker från denna lag i fråga om den riskbedömning eller den anmälan av incidenter som görs av en kritisk aktör, och kraven har åtminstone samma verkan som motsvarande skyldigheter enligt denna lag, ska de tillämpas i stället för motsvarande bestämmelser i denna lag. 
Bestämmelser om behandlingen av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen (1050/2018). 
Bestämmelser om skyldigheten för en kritisk aktör som identifierats enligt denna lag att hantera cybersäkerhetsrelaterade risker finns i cybersäkerhetslagen (124/2025). 
4 § 
Definitioner 
I denna lag avses med 
1) motståndskraft en kritisk aktörs förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från en incident, 
2) samhällsviktig tjänst en tjänst som är avgörande för att upprätthålla viktiga samhällsfunktioner, ekonomisk verksamhet, folkhälsa och allmän säkerhet, eller miljön, 
3) kritisk infrastruktur en tillgång, en anläggning, utrustning, ett nätverk eller ett system, eller en del av en tillgång, en anläggning, utrustning, ett nätverk eller ett system, som krävs för tillhandahållandet av en samhällsviktig tjänst, 
4) incident varje händelse som kan medföra en betydande störning, eller som medför en störning, av tillhandahållandet av en samhällsviktig tjänst, inbegripet när den påverkar de nationella system som skyddar rättsstatens principer, 
5) risk risk för förlust eller störning orsakad av en incident, som ska uttryckas som en kombination av omfattningen av förlusten eller störningen och sannolikheten för att incidenten inträffar, 
6) riskbedömning den övergripande processen för att fastställa arten och omfattningen av en risk genom att identifiera och analysera potentiella relevanta hot, sårbarheter och faror som skulle kunna leda till en incident och genom att utvärdera den potentiella förlusten eller störningen i samband med tillhandahållandet av en samhällsviktig tjänst till följd av den incidenten. 
2 kap. 
Allmän styrning och utveckling 
5 § 
Riksomfattande plan för kritiska aktörers motståndskraft 
För att stärka kritiska aktörers motståndskraft och uppnå de allmänna målen för verksamheten ska statsrådet minst vart fjärde år anta en riksomfattande plan som fungerar som nationell strategi för kritiska aktörers motståndskraft (riksomfattande plan). 
Vid beredningen av den riksomfattande planen ska hänsyn tas till principbeslut och andra beslut av statsrådet som meddelats för motsvarande ändamål. 
Den riksomfattande planen ska innehålla åtminstone 
1) strategiska mål och prioriteringar för att stärka kritiska aktörers övergripande motståndskraft; gränsöverskridande och sektorsöverskridande beroenden och ömsesidiga beroenden ska då beaktas, 
2) en styrningsram för att uppnå de strategiska målen och prioriteringarna, 
3) en beskrivning av de åtgärder som behövs för att stärka kritiska aktörers övergripande motståndskraft samt en beskrivning av den nationella riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft som avses i 6 §, 
4) en beskrivning av den process genom vilken kritiska aktörer identifieras, 
5) beskrivningar av processen till stöd för kritiska aktörer och åtgärderna för att förbättra samarbetet mellan offentliga och privata aktörer, 
6) en förteckning över de viktigaste myndigheter och berörda parter som deltar i genomförandet av strategin, 
7) en policyram för samordning mellan de behöriga myndigheterna enligt CER-direktivet och Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) för att dela information om cybersäkerhetsrisker, cyberhot och cyberincidenter och utföra tillsynsuppgifter, 
8) en beskrivning av de åtgärder som har införts för att göra det lättare att genomföra skyldigheterna i fråga om motståndskraft för sådana i kommissionens rekommendation om definitionen av mikroföretag samt små och medelstora företag (2003/361/EG) avsedda små och medelstora företag som har identifierats som kritiska aktörer. 
6 § 
Nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft 
Statsrådet ska minst vart fjärde år godkänna en nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft. 
Den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft ska innehålla en redogörelse för relevanta 
1) risker för naturolyckor, 
2) risker orsakade av människan, 
3) risker av sektorsövergripande eller gränsöverskridande slag, 
4) olyckor och naturkatastrofer, 
5) hot mot folkhälsan, 
6) hybridhot och en främmande stats verksamhet som inverkar på Finlands nationella säkerhet, 
7) hot relaterade till terroristbrott, och 
8) teknikrelaterade hot mot den nationella säkerheten, hot relaterade till missbruk av geografisk information och andra hot. 
I riskbedömningen ska hänsyn åtminstone tas till 
1) den riskbedömning som avses i artikel 6.1 i Europaparlamentets och rådets beslut nr 1313/2013/EU om en civilskyddsmekanism för unionen, 
2) sådana relevanta riskbedömningar som görs i enlighet med kraven i Europeiska unionens rättsakter, 
3) risker som beror på ömsesidiga beroenden mellan de sektorer som anges i bilagan till CER-direktivet samt gränsöverskridande beroenden, 
4) information enligt 16 och 17 § om anmälda incidenter. 
7 § 
Ministerium som sköter samordningsuppgiften 
Det ministerium som sköter samordningsuppgiften svarar för den allmänna styrningen, uppföljningen, samordningen och utvecklingen av verksamhet enligt denna lag. 
Det ministerium som sköter samordningsuppgiften är behörig myndighet enligt artikel 9.1 i CER-direktivet och svarar för att det organ som sköter den nationella kontaktpunktens uppgifter anmäls till kommissionen. Inrikesministeriet är det ministerium som sköter samordningsuppgiften. 
Inrikesministeriet har till uppgift att 
1) samordna beredningen av den riksomfattande planen för kritiska aktörers motståndskraft, 
2) samordna beredningen av den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft, 
3) behandla och till kommissionen lämna medlemsstatens begäran om rådgivande uppdrag enligt artikel 18.1 i CER-direktivet efter att ha fått det samtycke som avses i artikel 13.4 av den kritiska aktören, 
4) ge kommissionen det i artikel 18.2 i CER-direktivet avsedda samtycket till det rådgivande uppdraget, 
5) på motiverad begäran från kommissionen eller en medlemsstat i Europeiska unionen tillhandahålla kommissionen de relevanta delarna av riskbedömningen av en kritisk aktör av särskild europeisk betydelse och en förteckning över relevanta i 15 § avsedda åtgärder som den kritiska aktören vidtagit, 
6) förse kommissionen med information om den riksomfattande planen för kritiska aktörers motståndskraft inom tre månader från det att den har antagits, 
7) till kommissionen lämna information om antalet kritiska aktörer, samt 
8) till kommissionen lämna en förteckning över de samhällsviktiga tjänster som avses i artikel 7.2 a i CER-direktivet. 
Det ministerium som sköter samordningsuppgiften ska i syfte att säkerställa att CER-direktivet tillämpas på ett konsekvent sätt samråda med Europeiska unionens medlemsstater i fråga om sådana kritiska aktörer som 
1) använder kritisk infrastruktur som är fysiskt sammankopplad mellan två eller flera medlemsstater, 
2) ingår i företagsstrukturer som är sammankopplade eller sammanlänkade med kritiska aktörer i andra medlemsstater, 
3) har identifierats som kritiska aktörer i en medlemsstat i Europeiska unionen och tillhandahåller samhällsviktiga tjänster för eller i andra medlemsstater. 
8 § 
Åtgärder för främjande av motståndskraften hos kritisk infrastruktur 
De myndigheter som avses i 7, 13 och 19 § ska i samarbete med Försörjningsberedskapscentralen på ett övergripande plan främja helheter som hänför sig till kritiska aktörers motståndskraft. 
I detta syfte ska 
1) strategierna analyseras för att identifiera bästa praxis för dem,
2) information utbytas om sådan bästa praxis som hänför sig till identifiering av kritiska aktörer enligt 10 §,
3) information och bästa praxis utbytas om innovation, forskning och utveckling som rör kritiska aktörers motståndskraft, samt
4) vid behov information om frågor som rör kritiska aktörers motståndskraft utbytas med Europeiska unionens berörda institutioner, organ och byråer.
 
Den tillsynsmyndighet som avses i 19 § ska i samarbete med Försörjningsberedskapscentralen ge kritiska aktörer sådant stöd som avses i artikel 10.1 i CER-direktivet. I detta syfte kan vägledningsmaterial och metoder utarbetas, anordnandet av övningar för att testa motståndskraften stödjas samt rådgivning och utbildning tillhandahållas. 
9 § 
Förmedling av incidentanmälningar samt sammanfattande rapport 
Statsrådets lägescentral som avses i lagen om statsrådets lägescentral (300/2017) ska 
1) till kommissionen förmedla den incidentanmälan som har upprättats av den berörda myndigheten, om incidenten har eller kan ha en betydande påverkan på kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen, 
2) till den gemensamma kontaktpunkten i andra medlemsstater i Europeiska unionen som påverkas förmedla den berörda myndighetens information om incidenten, om incidenten har eller kan ha betydande påverkan på kritiska aktörer och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i en eller flera andra medlemsstater i Europeiska unionen, 
3) ta emot incidentanmälningar av gemensamma kontaktpunkter i medlemsstater i Europeiska unionen och förmedla dem till det ministerium som saken gäller, 
4) vartannat år till Europeiska unionens kommission och till den grupp för kritiska aktörers motståndskraft som avses i artikel 19 i CER-direktivet lämna en av det i 7 § avsedda ministeriet sammanställd sammanfattande rapport om incidentanmälningar samt om deras antal och art. 
3 kap. 
Identifiering av kritiska aktörer och allmänna krav på aktörer 
10 § 
Identifiering av en kritisk aktör 
En enskild eller offentlig sammanslutning eller en funktionell del av en sådan kan identifieras som en kritisk aktör om 
1) aktören tillhandahåller en eller flera tjänster som är viktiga med tanke på samhällets funktionsförmåga, 
2) aktören är verksam och den kritiska infrastruktur som aktören äger, innehar eller använder finns inom finskt territorium, och 
3) en incident skulle ha i 11 och 12 § avsedda betydande störande effekter
a) för aktörens tillhandahållande av en eller flera av de berörda samhällsviktiga tjänsterna, eller
b) för tillhandahållandet av andra samhällsviktiga tjänster inom sektorer som är beroende av tjänsten.
 
Vid identifieringen av kritiska aktörer beaktas den riksomfattande planen för kritiska aktörers motståndskraft och den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft samt den gränsöverskridande verksamheten och den europeiska samstämmigheten. 
11 § 
Betydande störande effekt 
Vid bedömningen av huruvida en i 10 § 1 mom. 3 punkten avsedd störande effekt är betydande ska hänsyn tas till 
1) antalet användare som är beroende av den tjänst som är viktig med tanke på samhällets funktionsförmåga, 
2) den grad i vilken andra sektorer och undersektorer som avses i bilagan till CER-direktivet är beroende av den berörda samhällsviktiga tjänsten, 
3) den effekt incidenten med hänsyn till sin allvarlighetsgrad eller varaktighet har på samhällelig och ekonomisk verksamhet, miljön, den allmänna ordningen och säkerheten eller befolkningens hälsa, 
4) aktörens marknadsandel, 
5) det geografiska område som kan påverkas av incidenten samt konsekvenser som överskrider Finlands gränser och med beaktande av den sårbarhet som är förknippad med graden av geografisk isolering, samt 
6) den betydelse aktören har för upprätthållandet av en tillräcklig nivå på den samhällsviktiga tjänsten, med beaktande av tillgången till alternativa tjänster eller möjligheten att ersätta den samhällsviktiga tjänsten. 
12 § 
Betydande störande effekt samt sektor 
Vid bedömningen av den betydelse en i 11 § avsedd betydande störande effekt har för en tjänst som är viktig med tanke på samhällets funktionsförmåga ska hänsyn tas till de särskilda uppgifter som är av relevans med tanke på samhällets funktionsförmåga samt dessutom kriterier som gäller följande sektorer: 
1) i fråga om energisektorn
a) mängden råmaterial som tagits emot inom produktionen eller bearbetningen,
b) mängden energi som produceras på årsnivå, andel av mängden nationell energi som produceras eller produktionskapaciteten för energi,
c) lagringskapaciteten,
d) antalet kunder,
e) leveranskapaciteten,
f) överföringen av energi och mängden energi som överförts från nätet,
 
2) i fråga om livsmedelssektorn mängden råvaror i liter eller kilogram som tagits emot vid produktion och bearbetning av livsmedel, produktionsmängden samt mängden förnödenheter som distribueras, även i fråga om handel och distribution samt måltidstjänster, 
3) i fråga om transportsektorn
a) tjänsteproducentens andel av den nationella transportvolymen,
b) antalet passagerare per år,
c) antalet frakttransporter per år,
 
4) i fråga om vattenförsörjningssektorn
a) kubikmeter vatten som levereras per dygn,
b) kubikmeter avloppsvatten som leds bort per dygn,
 
5) i fråga om rymdsektorn
a) aktörens andel när det gäller tillhandahållandet av sådana tjänster eller sådan informationsproduktion som är kritiska för samhället och som är beroende av rymdbaserade tjänster,
b) aktörens andel när det gäller tillhandahållandet av tjänster som är viktiga med tanke på informationsproduktion i anslutning till rymdlägesbilden eller störningar i radiomiljön.
 
13 § 
Beslutsfattande om kritiska aktörer 
Ett ärende som gäller identifiering av en kritisk aktör ska avgöras av det ministerium till vars ansvarsområde den aktuella aktören hör. Beslutet är i kraft högst fyra år. 
Innan ett ärende som avses i 1 mom. avgörs ska utlåtande begäras av det ministerium som avses i 7 § och i behövlig omfattning av andra ministerier och myndigheter samt Försörjningsberedskapscentralen. 
En kritisk aktör som identifierats genom ett beslut enligt denna paragraf betraktas som en kritisk aktör av särskild europeisk betydelse, om den tillhandahåller samma eller liknande samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen, och har underrättats om att den betraktas som en kritisk aktör av särskild europeisk betydelse. När kommissionen har lämnat en underrättelse om att en kritisk aktör betraktas som en kritisk aktör av särskild europeisk betydelse, ska det ministerium som avses i 7 § utan dröjsmål vidarebefordra informationen om kommissionens underrättelse och de tillhörande skyldigheterna till den kritiska aktören. 
Ministeriet kan återkalla ett beslut som avses i 1 mom. om den kritiska aktören inte längre uppfyller förutsättningarna för beslutet eller om den kritiska aktören har upphört med sin verksamhet. 
14 § 
Riskbedömning som görs av en kritisk aktör 
En kritisk aktör ska göra en riskbedömning vid behov och minst vart fjärde år. När riskbedömningen görs ska hänsyn tas till den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft samt till andra informationskällor som är relevanta med tanke på riskbedömningen. 
I den riskbedömning som den kritiska aktören gör ska hänsyn tas till alla sådana relevanta risker för naturolyckor och risker orsakade av människan som kan leda till en incident. Hänsyn ska då tas till risker av sektorsövergripande eller gränsöverskridande slag, olyckor, naturkatastrofer, hot mot folkhälsan, hybridhot och övriga hot samt andra hot som det behöriga ministeriet fastställer. 
I riskbedömningen ska hänsyn tas till den utsträckning i vilken andra sektorer är beroende av den samhällsviktiga tjänst som den kritiska aktören tillhandahåller. 
Om en annan riskbedömning eller ett annat dokument utarbetas för motsvarande ändamål med stöd av någon annan lag än denna, får den kritiska aktören använda den bedömningen eller det dokumentet. Detta ska nämnas i riskbedömningen eller dokumentet i fråga. 
15 § 
Säkerställande av motståndskraften samt plan för motståndskraft 
En kritisk aktör ska för att säkerställa sin motståndskraft vidta lämpliga och proportionella tekniska, säkerhetsmässiga och organisatoriska åtgärder på grundval av den riskbedömning som avses i 14 § och annan relevant information. I detta syfte ska den kritiska aktören utarbeta en plan som innehåller lämpliga och proportionella tekniska, säkerhetsmässiga och organisatoriska åtgärder för att säkerställa motståndskraften. 
Planen ska innehålla en redogörelse för 
1) åtgärder för att förhindra incidenter från att uppstå, med hänsyn till åtgärder för katastrofriskreducering och klimatanpassning, 
2) fysiskt skydd av lokalerna och infrastrukturen i dem i form av stängsel, barriärer, detektionsutrustning, åtkomstkontroller och annat fysiskt skydd, 
3) åtgärder för att reagera på, stå emot och begränsa konsekvenserna av incidenter och störningssituationer, 
4) åtgärder genom vilka aktören återhämtar sig från incidenter, med hänsyn till åtgärder för driftskontinuitet och alternativa försörjningskedjor, 
5) åtgärder för att säkerställa personalsäkerheten i form av fastställande av kategorier av personal som utför kritiska funktioner där även anlitande av personal hos externa tjänsteleverantörer beaktas, fastställande av åtkomsträttigheter till lokaler, kritisk infrastruktur och känslig information samt begäran om säkerhetsutredningar och utbildnings- och kompetenskrav och andra åtgärder för att säkerställa personalsäkerheten, 
6) information till den berörda personalen, samt 
7) tidsplanen för genomförandet. 
Om ett annat dokument eller en annan plan utarbetas för motsvarande ändamål med stöd av någon annan lag än denna, behöver en separat plan enligt denna paragraf inte utarbetas, utan den kritiska aktören kan använda sig av dokumentet eller planen i fråga. Detta ska nämnas i planen eller dokumentet. 
Den kritiska aktören ska utse en kontaktpunkt genom vilken informationsgången ordnas och i detta syfte meddela namn och kontaktuppgifter för den kontaktperson som sköter uppgiften eller en annan motsvarande kontaktpunkt där information kan fås. 
4 kap. 
Incidentanmälan som görs av en kritisk aktör 
16 § 
Skyldighet att anmäla incidenter 
En kritisk aktör ska utan obefogat dröjsmål lämna in en anmälan till den behöriga tillsynsmyndigheten och Statsrådets lägescentral om varje incident som medför eller kan medföra en betydande störning i tillhandahållandet av samhällsviktiga tjänster. 
Den kritiska aktören ska lämna in en första anmälan till tillsynsmyndigheten och Statsrådets lägescentral inom 24 timmar från det att den har fått kännedom om en incident, om inte något annat följer av ett nödvändigt operativt skäl. Den kritiska aktören lämnar vid behov en detaljerad rapport till det ministerium som sköter samordningsuppgiften, det ministerium som ansvarar för sektorn och den behöriga tillsynsmyndigheten senast inom en månad från det att incidenten har kommit till kännedom. 
Vid fastställandet av huruvida störningen är betydande ska i synnerhet beaktas antal och andel användare som berörs av störningen, störningens varaktighet och det geografiska området samt huruvida området är geografiskt isolerat. 
Försörjningsberedskapscentralen har trots sekretessbestämmelserna rätt att få den information om den i 2 mom. avsedda första anmälan och detaljerade rapporten som bedöms vara nödvändig för utförande av centralens uppgifter och för stödjande av de ministerier som saken gäller och de behöriga tillsynsmyndigheterna. 
17 § 
Innehållet i en första anmälan och i en detaljerad rapport 
En första anmälan om en incident ska innehålla 
1) information om att en incident har upptäckts och om dess art, 
2) en bedömning av den förmodade orsaken, 
3) en bedömning av eventuella konsekvenser samt en bedömning av antal eller andel användare av den samhällsviktiga tjänst som berörs av störningen, 
4) information som krävs för att kunna fastställa incidentens eventuella gränsöverskridande verkningar. 
Den detaljerade rapporten ska innehålla 
1) en detaljerad beskrivning av incidenten, dess allvarlighetsgrad och konsekvenser samt geografiska omfattning, 
2) arten av det hot eller den orsak som sannolikt har utlöst incidenten, 
3) tillämpade eller pågående åtgärder för att begränsa incidentens konsekvenser, 
4) eventuella gränsöverskridande verkningar, samt 
5) annan information som är väsentlig för hanteringen av incidenten än den som avses i punkterna 1—4. 
Den kritiska aktören ska på tillsynsmyndighetens begäran lämna ytterligare upplysningar som har samband med den upptäckta incidenten. 
18 § 
Behandling av mottagna incidentanmälningar 
Den behöriga tillsynsmyndigheten ska underrätta den kritiska aktören om mottagandet av incidentanmälan och om eventuella stödåtgärder. 
Den behöriga tillsynsmyndigheten ska utan dröjsmål informera den kritiska aktören om fortsatta åtgärder. Om det ligger i allmänt intresse att det underrättas om en störning, kan tillsynsmyndigheten dessutom ålägga den kritiska aktören att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. 
Om en incident har eller kan ha en betydande påverkan på kritiska aktörer och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster i en eller flera medlemsstater i Europeiska unionen, eller om en incident har eller kan ha en betydande påverkan på kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen, ska detta på basis av erhållen information anmälas i enlighet med 9 §. 
5 kap. 
Tillsyn 
19 § 
Tillsynsmyndigheter 
Den behöriga tillsynsmyndigheten övervakar att de skyldigheter som föreskrivs och bestäms för kritiska aktörer med stöd av denna lag fullgörs. Tillsynsmyndigheter enligt denna lag är 
1) Energimyndigheten i fråga om de kritiska aktörer som inom energisektorn hör till aktörskategorierna inom undersektorerna elektricitet, fjärrvärme eller fjärrkyla och inom undersektorn gas hör till aktörskategorierna systemansvariga för distributionssystemet, systemansvariga för överföringssystemet och gashandelsföretag eller gashandlare samt inom undersektorn vätgas hör till aktörskategorin operatörer av överföring av vätgas, 
2) Närings-, trafik- och miljöcentralen i Södra Savolax i fråga om de kritiska aktörer som hör till kategorierna av aktörer inom sektorerna dricksvatten och avloppsvatten, 
3) Transport- och kommunikationsverket i fråga om de kritiska aktörer som inom sektorn för transport hör till undersektorerna luftfart, järnväg, vatten, väg och kollektivtrafik samt de kritiska aktörer som hör till rymdsektorn, 
4) Säkerhets- och utvecklingscentret för läkemedelsområdet (Fimea) i fråga om aktörer som identifierats som kritiska och
a) som bedriver forskning och utveckling avseende läkemedel enligt definitionen i artikel 1.2 i Europaparlamentets och rådets direktiv 2001/83/EG om upprättande av gemenskapsregler för humanläkemedel, nedan läkemedelsdirektivet,
b) som tillverkar farmaceutiska basprodukter och läkemedel som avses i huvudgrupp 21 i avdelning C i Nace Rev. 2-klassificeringen, sådan den lyder i Europaparlamentets och rådets förordning (EG) nr 1893/2006 om fastställande av den statistiska näringsgrensindelningen Nace rev. 2 och om ändring av rådets förordning (EEG) nr 3037/90 och vissa EG-förordningar om särskilda statistikområden, senast ändrad genom kommissionens delegerade förordning (EU) 2023/137,
c) som tillverkar sådana medicintekniska produkter som betraktas som kritiska vid ett hot mot folkhälsan enligt artikel 22 i Europaparlamentets och rådets förordning (EU) 2022/123 om en förstärkt roll för Europeiska läkemedelsmyndigheten vid krisberedskap och krishantering avseende läkemedel och medicintekniska produkter,
d) som enligt artikel 79 i läkemedelsdirektivet har tillstånd att bedriva partihandel samt apotek,
e) som lämnar ut och tillhandahåller läkemedel och medicinska hjälpmedel enligt patientdirektivet samt inrättningar för blodverksamhet,
 
5) Livsmedelsverket i fråga om de kritiska aktörer som hör till aktörskategorin produktion, bearbetning och distribution av livsmedel, 
6) Säkerhets- och kemikalieverket i fråga om de kritiska aktörer som inom energisektorn hör till undersektorerna olja, vätgas och gas, med undantag för de aktörer som enligt vad som föreskrivits ovan omfattas av Energimyndighetens tillsyn, 
7) Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverken i fråga om tjänsteanordnare och tjänsteproducenter som identifierats som kritiska och som tillhandahåller hälso- och sjukvårdstjänster enligt 4 § i lagen om tillsynen över social- och hälsovården; den behöriga tillsynsmyndigheten bestäms i enlighet med 32 § 2 och 3 mom. i den nämnda lagen, 
8) Tillstånds- och tillsynsverket för social- och hälsovården i fråga om EU-referenslaboratorier som identifierats som kritiska och som avses i artikel 15 i Europaparlamentets och rådets förordning (EU) 2022/2371 om allvarliga gränsöverskridande hot mot människors hälsa och om upphävande av beslut nr 1082/2013/EU. 
20 § 
Inriktning av tillsynen och inspektionsrätt 
Tillsynen ska inriktas på kritiska aktörer för övervakning av att skyldigheterna enligt denna lag fullgörs, i den omfattning som det behövs. Tillsynsmyndigheten har rätt att utföra inspektioner på plats av den kritiska infrastruktur, de byggnader och de lokaler som den kritiska aktören använder för att tillhandahålla sina samhällsviktiga tjänster. 
I samband med en inspektion har myndigheten rätt att i tillsynsobjektet få tillträde till alla byggnader och lokaler samt datasystem och andra system som är nödvändiga för inspektionen samt rätt att trots sekretessbestämmelserna eller andra begränsningar få redogörelser om de planer och andra arrangemang som krävs enligt denna lag. Inspektion får dock inte förrättas i utrymmen som används för boende av permanent natur. Tillsynsmyndigheten kan dessutom utanför byggnaderna och lokalerna övervaka en kritisk aktörs åtgärder, för säkerställande av den kritiska aktörens motståndskraft. 
Tillsynsmyndigheten kan höra utomstående experter och begära utlåtanden av dem. Tillsynsmyndigheten kan i samband med inspektionen anlita en utomstående expert. Den som förrättar inspektionen och den utomstående expert som deltar i inspektionen ska ha sådan utbildning och erfarenhet som behövs för inspektionen. På experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de utför biträdande uppgifter enligt denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974). 
På förfarandet vid inspektionen tillämpas 39 § i förvaltningslagen (434/2003). 
21 § 
Anmärkning, varning och tillsynsbeslut 
Tillsynsmyndigheten kan ge en kritisk aktör som bryter mot denna lag en anmärkning eller varning. En varning kan ges om en anmärkning inte kan anses tillräcklig med beaktande av omständigheterna i ärendet som helhet. En varning ska ges skriftligen och i den ska den brist eller försummelse som varningen gäller specificeras. 
Tillsynsmyndigheten kan genom sitt beslut ålägga aktören att inom en skälig tid avhjälpa upptäckta brister eller försummelser. Tillsynsmyndigheten kan förena beslutet med vite eller hot om tvångsutförande. 
22 § 
Försummelseavgift 
Tillsynsmyndigheten kan genom sitt beslut ålägga en kritisk aktör att betala en försummelseavgift, om den kritiska aktören uppsåtligen eller av grov oaktsamhet försummar att göra en riskbedömning enligt 14 §, vidta åtgärder enligt 15 § eller göra en anmälan om en incident enligt 16 § och den upptäckta bristen eller försummelsen har en betydande påverkan på tillhandahållandet av samhällsviktiga tjänster. Försummelseavgiften ska betalas till staten. Försummelseavgift kan inte påföras en kritisk aktör som är en statlig myndighet, ett statligt affärsverk, en kommunal myndighet, ett välfärdsområde eller en självständig offentligrättslig inrättning. Försummelseavgiften uppgår till minst 2 000 och högst 20 000 euro. 
Vid bedömningen av försummelseavgiftens storlek ska hänsyn tas till omständigheterna i fallet och förfarandets art och i detta syfte åtminstone följande omständigheter: 
1) försummelsens varaktighet, 
2) huruvida det är fråga om en upprepad försummelse eller brist, 
3) underlåtenhet att underrätta om betydande incidenter, 
4) underlåtenhet att avhjälpa upptäckta brister trots beslut av tillsynsmyndigheten, 
5) åtgärder som den kritiska aktören vidtagit för att förhindra eller begränsa skadan. 
23 § 
Avstående från försummelseavgift 
Försummelseavgift påförs inte om 
1) den kritiska aktören på eget initiativ vidtagit tillräckliga åtgärder för att avhjälpa försummelsen omedelbart efter att den upptäckts och utan dröjsmål underrättat tillsynsmyndigheten om den samt samarbetat med tillsynsmyndigheten, och försummelsen inte är återkommande, 
2) försummelsen ska anses vara ringa, eller 
3) påförande av avgift ska anses vara uppenbart oskäligt på andra grunder än de som avses i 1 eller 2 punkten; försummelseavgift får inte påföras, om det har förflutit mer än fem år sedan försummelsen har skett. 
Försummelseavgift får inte påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Försummelseavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom. 
24 § 
Verkställighet av försummelseavgift 
Bestämmelser om verkställigheten av försummelseavgifter finns i lagen om verkställighet av böter (672/2002). En försummelseavgift preskriberas när fem år har förflutit från den dag då det lagakraftvunna beslutet om avgiften meddelades. 
6 kap. 
Särskilda bestämmelser 
25 § 
Begäran om omprövning 
I beslut som avses i denna lag får omprövning begäras. Bestämmelser om begäran om omprövning finns i förvaltningslagen. 
I beslut av statsrådets allmänna sammanträde får omprövning inte begäras. 
26 § 
Sökande av ändring 
Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019). 
Vid sökande av ändring i beslut som gäller föreläggande och utdömande av vite samt föreläggande och verkställighet av hot om tvångsutförande tillämpas dock viteslagen (1113/1990). 
27 § 
Myndigheters och andra organs rätt att få information 
Tillsynsmyndigheten har trots sekretessbestämmelserna rätt att av myndigheter och sådana aktörer som identifierats som kritiska avgiftsfritt få den information som är nödvändig för att den ska kunna utföra sina uppgifter enligt denna lag. Tillsynsmyndigheten har trots sekretessbestämmelserna rätt att till en annan tillsynsmyndighet och en tillsynsmyndighet enligt 26 § i cybersäkerhetslagen samt det ministerium som avses i 7 § i denna lag och det ministerium till vars ansvarsområde det ärende som behandlas hör lämna ut den information som är nödvändig för att de ska kunna utföra sina uppgifter. Tillsynsmyndigheten har trots sekretessbestämmelserna rätt att lämna ut nödvändig information också till Försörjningsberedskapscentralen för utförande av dess uppgifter. 
Den rätt att få information som avses i denna paragraf gäller inte information som behandlas av den CSIRT-enhet som avses i 19 § i cybersäkerhetslagen. 
28 § 
Myndighetssamarbete 
De myndigheter som avses 26 § i cybersäkerhetslagen ska underrättas om ett beslut om identifiering av en kritisk aktör enligt 13 § i denna lag inom en månad från beslutet. 
De myndigheter som avses i 13 § 1 och 2 mom. och 19 § i denna lag och myndigheten enligt 26 § i cybersäkerhetslagen ska sinsemellan utbyta information om identifiering av kritiska aktörer och om cybersäkerhetsrisker, cyberhot och cyberincidenter och icke-cyberrelaterade risker, hot och incidenter som påverkar kritiska aktörer samt om relevanta åtgärder och hanteringsåtgärder som vidtagits av de nämnda myndigheterna. 
29 § 
Säkerhetsutredning 
Om en i säkerhetsutredningslagen (726/2014) avsedd säkerhetsutredning av person görs om en person som ska utses till eller arbetar i ett anställningsförhållande eller uppdrag hos en sådan kritisk aktör som avses i 13 § i denna lag, och det behövs på grund av att den som utredningen gäller har vistats utomlands eller av någon annan särskild orsak, kan skyddspolisen för utredningen göra en begäran enligt 20 c § i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012). Registeruppgifter som erhållits på grundval av en begäran får utöver vad som i övrigt föreskrivs i säkerhetsutredningslagen användas vid säkerhetsutredning av person. 
30 § 
Ikraftträdande 
Denna lag träder i kraft den 2025. 
Efter ikraftträdandet av denna lag ska en i 5 § avsedd riksomfattande plan för kritiska aktörers motståndskraft och en i 6 § avsedd nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft för första gången antas senast den 17 januari 2026. Beslut enligt 13 § om identifiering av en kritisk aktör ska fattas för första gången senast den 17 juli 2026. 
Efter ikraftträdandet av denna lag ska den som identifierats som en kritisk aktör göra en första sådan i 14 § avsedd riskbedömning som görs av en kritisk aktör inom nio månader från det att aktören har underrättats om ett i 13 § avsett beslut. En plan enligt 15 § ska utarbetas för första gången inom ett år från det att den riskbedömning som avses i 14 § har gjorts. 
Senast den 17 juli 2028 ska en första sammanfattande rapport om inkomna incidentanmälningar enligt 16 § lämnas till kommissionen och till den grupp för kritiska aktörers motståndskraft som avses i artikel 19 i CER-direktivet. 
 Slut på lagförslaget 

Lag om ändring av 19 § i säkerhetsutredningslagen 

I enlighet med riksdagens beslut 
ändras i säkerhetsutredningslagen (726/2014) 19 § 1 mom. 4 punkten som följer: 
19 § 
När får en normal säkerhetsutredning av person göras 
En normal säkerhetsutredning av person får göras i fråga om den som ska utses till ett anställningsförhållande eller uppdrag eller som arbetar i ett anställningsförhållande eller med ett uppdrag och som 
 En icke ändrad del av lagtexten har utelämnats 
4) arbetar med uppgifter där personen kan skada funktionen hos den infrastruktur som är nödvändig för ett fungerande samhälle eller den kritiska produktionens kontinuitet eller där personen genom obehörig användning av information som han eller hon fått i dessa uppgifter på ett betydande sätt kan äventyra statens säkerhet eller främja organiserad brottslighet, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20
 Slut på lagförslaget 

Lag om ändring av lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen 

I enlighet med riksdagens beslut 
ändras i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012) 1 och 6 §, 11 § 2 mom., 16 § 1 mom., 17 § 1 mom., 18 § 1 mom. och 21 § 1 mom., 
sådana de lyder, 1 § i lag 73/2023 samt 6 §, 11 § 2 mom., 16 § 1 mom., 17 § 1 mom., 18 § 1 mom. och 21 § 1 mom. i lag 74/2021, samt 
fogas till lagen nya 15 c och 20 c § och till 22 §, sådan den lyder delvis ändrad i lagarna 150/2014 och 74/2021, ett nytt 5 mom. som följer: 
1 § 
Tillämpningsområde 
Denna lag innehåller bestämmelser om överföring av uppgifter ur straffregistret och bötesregistret till den medlemsstat i Europeiska unionen där den dömda personen är medborgare (den medlemsstat där personen är medborgare) samt om lagring i Finland av sådana registeruppgifter om finska medborgare som har överförts till Finland från en annan medlemsstat. 
Denna lag innehåller dessutom bestämmelser om utlämnande av i 1 mom. avsedda uppgifter på begäran för straffrättsliga förfaranden, för att uppfylla en enskild persons begäran om att få uppgifter om sig själv eller, med den berörda personens samtycke, för skötsel av ett sådant uppdrag som består i arbete med eller annan verksamhet bland minderåriga, samt bestämmelser om framställande av en begäran om sådana uppgifter. 
Denna lag innehåller också bestämmelser om utlämnande av i 1 mom. avsedda uppgifter på begäran i syfte att utreda bakgrunden hos tillståndssökande som avses i artikel 6 i Europaparlamentets och rådets förordning (EU) 2019/1148 om saluföring och användning av sprängämnesprekursorer, om ändring av förordning (EG) nr 1907/2006 och om upphävande av förordning (EU) nr 98/2013, nedan förordningen om sprängämnesprekursorer, samt om framställande av en begäran om sådana uppgifter. 
Denna lag innehåller därtill bestämmelser om utlämnande av i 1 mom. avsedda uppgifter på begäran i syfte att utföra en bakgrundskontroll som avses i artikel 14 i Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG, nedan CER-direktivet, samt om framställande av en begäran om sådana uppgifter. 
I denna lag utfärdas också bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2019/816 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726, nedan förordningen
För de funktioner som avses i 1—4 mom. svarar Rättsregistercentralen, som är centralmyndighet enligt artikel 3 i rådets rambeslut 2009/315/RIF om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll, nedan rambeslutet. Rättsregistercentralen är också centralmyndighet enligt artikel 3.5 i förordningen. 
För överföring och utlämnande av uppgifter som avses i 1—4 mom. används ett decentraliserat informationstekniskt system som bygger på de datoriserade kriminalregistren i varje medlemsstat (det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister Ecris). 
6 § 
Vidarebefordran av uppgifter 
När Rättsregistercentralen i enlighet med 5 § överför uppgifter till den medlemsstat där personen är medborgare, ska centralen meddela att uppgifterna får vidarebefordras till andra stater endast för straffrättsliga förfaranden, för att uppfylla en enskild persons begäran om att få uppgifter om sig själv, med den berörda personens samtycke för skötsel av ett sådant uppdrag som består i arbete med eller annan verksamhet bland minderåriga, för att göra en bakgrundskontroll av sökande av tillstånd för sprängämnesprekursorer enligt förordningen om sprängämnesprekursorer eller för att utföra en i artikel 14 i CER-direktivet avsedd bakgrundskontroll. 
11 § 
Utlämnande av uppgifter ur lagringsregistret 
 En icke ändrad del av lagtexten har utelämnats 
Rättsregistercentralen får i enlighet med 14, 15 och 15 a—15 c § ur lagringsregistret lämna ut uppgifter till centralmyndigheten eller någon annan behörig myndighet i en annan medlemsstat. 
 En icke ändrad del av lagtexten har utelämnats 
15 c § 
Svar på en begäran för en bakgrundskontroll enligt CER-direktivet 
Rättsregistercentralen ska till den centralmyndighet i en annan medlemsstat som begär registeruppgifter lämna ut de i 3 § avsedda uppgifterna ur straffregistret, bötesregistret och lagringsregistret för en bakgrundskontroll enligt artikel 14 i CER-direktivet. 
Om det i straffregistret finns uppgifter som har antecknats i lagringsregistret, ska endast uppgifterna i lagringsregistret överföras till den medlemsstat som har framställt begäran. 
16 § 
Begärans innehåll och form samt språk 
Rättsregistercentralen ska godkänna en sådan begäran enligt 14, 15 eller 15 a—15 c § som framställts av centralmyndigheten i en annan medlemsstat, om begäran innehåller de behövliga uppgifter som avses i formuläret i bilagan till rambeslutet. Begäran ska framställas i elektronisk form, eller i annan skriftlig form om den inte har kunnat framställas elektroniskt. 
 En icke ändrad del av lagtexten har utelämnats 
17 § 
Svarets innehåll och form samt språk 
Rättsregistercentralen ska i sitt svar till den centralmyndighet eller behöriga myndighet i en annan medlemsstat som har framställt begäran överföra de uppgifter som avses i 14, 15 eller 15 a—15 c § i enlighet med formuläret i bilagan till rambeslutet. 
 En icke ändrad del av lagtexten har utelämnats 
18 § 
Tidsfrister 
Rättsregistercentralen ska i sitt svar överföra sådana uppgifter som avses i 14, 15 b och 15 c § till centralmyndigheten eller den behöriga myndigheten i den andra medlemsstaten utan dröjsmål och inom tio vardagar från den dag då begäran togs emot. 
 En icke ändrad del av lagtexten har utelämnats 
20 c § 
Framställande av begäran för säkerhetsutredning av person 
För en säkerhetsutredning av person enligt 29 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (/) ska Rättsregistercentralen framställa en begäran till centralmyndigheten i en annan medlemsstat om utlämnande av registeruppgifter och tillhörande uppgifter, om skyddspolisen har begärt det. 
21 § 
Begärans innehåll och form samt språk 
Rättsregistercentralen ska framställa en begäran som avses i 19, 20 eller 20 a—20 c § till centralmyndigheten i en annan medlemsstat i enlighet med formuläret i bilagan till rambeslutet. 
 En icke ändrad del av lagtexten har utelämnats 
22 § 
Begränsningar för användningen av uppgifterna 
 En icke ändrad del av lagtexten har utelämnats 
Registeruppgifter och tillhörande uppgifter som en annan medlemsstat har överfört på grundval av en begäran i enlighet med 20 c § får användas endast för en sådan säkerhetsutredning av person som avses i 29 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft, i enlighet med vad den medlemsstat som överförde uppgifterna har meddelat. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20
 Slut på lagförslaget 

Lag om ändring av 4 a och 5 § i straffregisterlagen 

I enlighet med riksdagens beslut 
ändras i straffregisterlagen (770/1993) 5 § 1 mom., sådant det lyder i lag 74/2023, samt 
fogas till 4 a §, sådan den lyder i lagarna 1093/1999, 215/2012, 733/2014, 1114/2018, 75/2021, 23/2022, 333/2022 och 424/2023 ett nytt 6 mom. som följer: 
4 a § 
 En icke ändrad del av lagtexten har utelämnats 
Till en centralmyndighet i en annan medlemsstat i Europeiska unionen lämnas straffregisteruppgifter ut med anledning av en begäran som framställts till centralmyndigheten i enlighet med 15 b och 15 c § i EU-straffregisterlagen. 
5 § 
Uppgifter ur straffregistret lämnas ut i form av straffregisterutdrag som innehåller de uppgifter om en person som har införts i registret eller en upplysning om att personen inte har antecknats i registret. Beträffande juridiska personer lämnas ett utdrag med motsvarande innehåll. Om uppgifter om ett avgörande har fåtts i enlighet med 20 eller 20 a—20 c § i EU-straffregisterlagen eller ur det lagringsregister som avses i den lagen, antecknas det i utdraget de uppgifter som skulle kunna införas i straffregistret. I straffregisterutdraget antecknas dock inte de uppgifter ur straffregistret som gäller numret på polisanmälan eller lagbestämmelser som har tillämpats och inte heller sådana uppgifter som inte får antecknas på grund av villkor som ställts av en annan medlemsstat och som avses i 9 § 4 mom. i EU-straffregisterlagen. I straffregisterutdraget antecknas den uppgift som avses i 2 § 5 mom. i denna lag endast om utdraget med stöd av 4 § 1 mom. ges till en åklagare eller en förundersökningsmyndighet. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20
 Slut på lagförslaget 

Lag om ändring av lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet 

I enlighet med riksdagens beslut 
ändras i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004) det inledande stycket i 4 § 1 mom. 1 punkten, 4 § 1 mom. 1 punkten underpunkt a och 25 § 2 mom., sådana de lyder, det inledande stycket i 4 § 1 mom. 1 punkten samt 4 § 1 mom. 1 punkten underpunkt a i lag 955/2018 och 25 § 2 mom. i lag 1519/2019, samt 
fogas till lagen en ny 7 g § som följer: 
4 § 
Transport- och kommunikationsverkets särskilda uppgifter 
Transport- och kommunikationsverket är den nationella myndighet med ansvar för sjöfartsskyddet och skyddsåtgärderna i hamnar som avses i artikel 2.6 i förordningen om sjöfartsskydd. Dessutom har Transport- och kommunikationsverket till uppgift att 
1) utföra skyddsutredningar av hamnanläggningar och hamnar, godkänna fartygens, hamnarnas och hamnanläggningarnas skyddsplaner, besiktiga fartyg samt utfärda certifikat på det sätt som föreskrivs i förordningen om sjöfartsskydd och i denna lag samt att
a) på basis av skyddsutredningen och på hamninnehavarens framställning godkänna gränserna för hamnskyddsområdet och godkänna vilka av dem som hör till hamnpersonalen eller av dem som avses i 7 g § som ska omfattas av en i säkerhetsutredningslagen (726/2014) avsedd säkerhetsutredning samt sörja för översynen av hamnarnas skyddsplaner i enlighet med denna lag,
 
 En icke ändrad del av lagtexten har utelämnats 
2 a kap. 
Sjöfartsskyddet i hamnar 
7 g § 
Säkerhetsutredning 
En hamninnehavare i en hamn för utrikesfart ska säkerställa att endast den som kan anses vara oförvitlig och tillförlitlig har tillgång till sådana uppgifter och informationssystem som är kritiska med tanke på hamnens säkerhet. I detta syfte ska hamninnehavaren ansöka om säkerhetsutredning av en person som 
1) får tillgång till sekretessbelagda uppgifter om sjöfartsskyddet i en hamn, eller 
2) i fråga om ett informationssystem för hantering av last eller övervakning av en hamn som är kritiskt med tanke på hamnens säkerhet får sådana åtkomsträttigheter som gör det möjligt att läsa och ändra uppgifterna i annat syfte än för en enskild arbetsuppgift eller tekniskt underhåll av informationssystemet. 
Uppgifterna eller informationssystemet ska anses vara kritiska med tanke på en hamns säkerhet, om användningen av uppgifterna eller informationssystemet eller ändring av uppgifter i informationssystemet på ett betydande sätt kan äventyra statens säkerhet eller främja organiserad brottslighet. Transport- och kommunikationsverket fattar beslut om vilka uppgifter och informationssystem som anses vara kritiska med tanke på säkerheten och vilka hamninnehavare som omfattas av skyldigheten enligt 1 mom. samt vilka åtkomsträttigheter bestämmelsen i 1 mom. 2 punkten avser. I bedömningen ska den skyddsutredning och hamnskyddsplan som gjorts för hamnen beaktas. 
Transport- och kommunikationsverket kan besluta att skyldigheten enligt 1 mom. även gäller sådana andra uppgifter i hamnar i fråga om vilka det enligt 19—21 § i säkerhetsutredningslagen kan ansökas om säkerhetsutredning och i fråga om vilka det för tryggande av statens säkerhet eller förebyggande av organiserad brottslighet är ytterst viktigt att säkerställa att de som arbetar i dessa uppgifter är oförvitliga och tillförlitliga. 
Innan ett beslut enligt 2 eller 3 mom. fattas ska Transport- och kommunikationsverket höra hamninnehavaren och andra behöriga myndigheter. I beslutet ska det sättas ut en skälig tidsfrist inom vilken ansökan om säkerhetsutredning ska göras. 
När giltigheten för en säkerhetsutredning upphör ska en ny ansökan om säkerhetsutredning göras. 
Om det i säkerhetsutredningen eller den kontroll som avses i 51 § i säkerhetsutredningslagen framkommer uppgifter med stöd av vilka hamninnehavaren bedömer att den som utredningen gäller inte kan ges i 1 mom. avsedd tillgång till uppgifter och informationssystem, ska hamninnehavaren vidta åtgärder för att hindra tillgången. Hamninnehavaren får i detta syfte trots sekretessbestämmelserna till arbetsgivaren lämna ut motsvarande uppgifter som den som utredningen gäller enligt 6 § 1 och 3 mom. i säkerhetsutredningslagen har rätt att få av den behöriga myndigheten. Vad som i 45 § 1 och 2 mom. i säkerhetsutredningslagen föreskrivs om sökandens skyldigheter tillämpas även på en arbetsgivare som har erhållit uppgifter. Bestämmelser om sekretess för uppgifter som ingår i en säkerhetsutredning finns i 59 § i säkerhetsutredningslagen. 
25 § 
Ändringssökande 
 En icke ändrad del av lagtexten har utelämnats 
Besvär ska behandlas utan dröjsmål. Ändringssökande förhindrar inte stoppandet av ett fartyg, begränsandet av verksamheten på ett fartyg, vid en hamnanläggning eller inom ett hamnskyddsområde och inte heller verkställandet av ett beslut om tvångsåtgärder enligt 12 § som hänför sig till en person, om inte besvärsmyndigheten bestämmer något annat. Ett beslut som avses i 7 g § 2 eller 3 mom. ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20
 Slut på lagförslaget 

Lag om ändring av 6 § i lagen om tillämpning av bestämmelserna om utlämning för brott och utbyte av straffregisteruppgifter i handels- och samarbetsavtalet mellan Europeiska unionen och Förenade kungariket 

I enlighet med riksdagens beslut 
ändras i lagen om tillämpning av bestämmelserna om utlämning för brott och utbyte av straffregisteruppgifter i handels- och samarbetsavtalet mellan Europeiska unionen och Förenade kungariket (470/2021) 6 § som följer: 
6 § 
Tillämpliga bestämmelser vid utbyte av straffregisteruppgifter 
Vid tillämpningen av bestämmelserna om utbyte av straffregisteruppgifter i del tre avdelning IX i handels- och samarbetsavtalet iakttas i tillämpliga delar parallellt med dem vad som föreskrivs i 1 § 1 och 2 mom., 2—4, 5, 7 och 8 §, 9 § 1, 3 och 4 mom. samt 10—13, 14, 15, 15 a, 16—20, 20 a, 21 och 22 § i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012), om inte något annat föreskrivs i denna lag. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20
 Slut på lagförslaget 

Lag om ändring av 1 § i lagen om verkställighet av böter 

I enlighet med riksdagens beslut 
ändras i lagen om verkställighet av böter (672/2002) 1 § 2 mom. 36 punkten, sådan den lyder i lag 197/2025, och 
fogas till 1 § 2 mom., sådant det lyder i lagarna 1183/2023, 23/2024, 36/2024, 545/2024, 651/2024, 952/2024, 1122/2024, 138/2025 och 197/2025 en ny 37 punkt som följer: 
1 § 
Lagens tillämpningsområde 
 En icke ändrad del av lagtexten har utelämnats 
På det sätt som föreskrivs i denna lag verkställs också 
 En icke ändrad del av lagtexten har utelämnats 
36) en påföljdsavgift enligt 25 § i lagen om konsumtionstjänsters säkerhet (185/2025), 
37) en försummelseavgift enligt 22 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (/). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20
 Slut på lagförslaget 
Helsingfors 13.5.2025 

På riksdagens vägnar

talman   
generalsekreterare