Senast publicerat 01-08-2025 17:30

Betänkande FvUB 11/2025 rd RP 205/2024 rd Förvaltningsutskottet Regeringens proposition till riksdagen med förslag till lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft och till vissa andra lagar

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft och till vissa andra lagar (RP 205/2024 rd): Ärendet har remitterats till förvaltningsutskottet för betänkande och till kommunikationsutskottet, jord- och skogsbruksutskottet, social- och hälsovårdsutskottet och ekonomiutskottet för utlåtande. 

Utlåtanden

Utlåtande har lämnats av 

  • jord- och skogsbruksutskottet 
    JsUU 2/2025 rd
  • kommunikationsutskottet 
    KoUU 2/2025 rd
  • ekonomiutskottet 
    EkUU 5/2025 rd
  • social- och hälsovårdsutskottet 
    ShUU 1/2025 rd

Sakkunniga

Utskottet har hört 

  • regeringsråd Johanna Hakala 
    inrikesministeriet
  • lagstiftningsråd Niklas Vainio 
    justitieministeriet
  • utvecklingschef Laura Vilkkonen 
    kommunikationsministeriet
  • regeringssekreterare Veikko Vauhkonen 
    kommunikationsministeriet
  • ledande sakkunnig Timo Nyyssönen 
    arbets- och näringsministeriet
  • specialsakkunnig Unto Usvasalo 
    arbets- och näringsministeriet
  • socialråd Merja Rapeli 
    social- och hälsovårdsministeriet
  • överinspektör Emmi Äijälä 
    skyddspolisen
  • kriminalinspektör Mikko Eränen 
    centralkriminalpolisen
  • säkerhetsdirektör Toni Lahti 
    Tullen
  • överdirektör Marjatta Rahkio 
    Livsmedelsverket
  • specialsakkunnig Kalle Varjola 
    Transport- och kommunikationsverket
  • ledande expert Tarvo Siukola 
    Energimyndigheten
  • enhetschef Heli Tammivuori 
    Försörjningsberedskapscentralen
  • ledande sakkunnig Katri Liekkilä 
    Försörjningsberedskapscentralen
  • utvecklingschef Ari Korhonen 
    Finlands Kommunförbund
  • ledande expert Markku Rajamäki 
    Finlands näringsliv rf
  • verkställande direktör Piia Karjalainen 
    Finlands Hamnar rf.

Skriftligt yttrande har lämnats av 

  • statsrådets kansli
  • försvarsministeriet
  • finansministeriet
  • jord- och skogsbruksministeriet
  • miljöministeriet
  • Finansinspektionen
  • Rättsregistercentralen
  • Polisstyrelsen
  • Säkerhetskommittén
  • Närings-, trafik- och miljöcentralen i Södra Savolax
  • Säkerhets- och kemikalieverket (Tukes)
  • Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea
  • Tillstånds- och tillsynsverket för social- och hälsovården (Valvira)
  • Ålands landskapsregering
  • Hamnoperatörerna rf.

PROPOSITIONEN

Regeringen föreslår att det stiftas en lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. Dessutom föreslås ändringar i säkerhetsutredningslagen, lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen, straffregisterlagen, lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet, lagen om tillämpning av bestämmelserna om utlämning för brott och utbyte av straffregisteruppgifter i handels- och samarbetsavtalet mellan Europeiska unionen och Förenade kungariket samt lagen om verkställighet av böter. 

Syftet med propositionen är att genomföra det så kallade CER-direktivet om kritiska entiteters motståndskraft. Dessutom föreslås det att hamninnehavare i hamnar för utrikesfart ska åläggas en skyldighet att genom en säkerhetsutredning av person säkerställa oförvitligheten och tillförlitligheten i fråga om vissa arbetstagargrupper. 

Syftet med CER-direktivet är att förbättra säkerställandet av motståndskraften i fråga om ömsesidigt beroende tjänster som är kritiska med tanke på samhällets funktionsförmåga samt att upprätthålla samhällets ekonomiska funktioner. Enligt förslaget ska CER-direktivet genomföras genom att det stiftas en allmän lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. I lagen föreslås bestämmelser om en nationell strategi för kritisk infrastruktur och kritiska aktörers motståndskraft och en anknytande nationell riskbedömning, om den allmänna styrningen och samordningen av verksamheten, om ett samstämmigt ramverk för bedömning av kritiska aktörer och om en enhetlig ram för att stärka kritiska aktörers motståndskraft mot hot av olika slag. Direktivet medför nya uppgifter för det samordnande ministeriet, sektorministerierna och myndigheterna. Direktivet medför en ny uppgift att genom enhetliga förfaranden identifiera kritiska aktörer samt uppgifter i anslutning till tillsynen. Sektorsspecifika tillsynsmyndigheter föreslås vara behöriga att utöva tillsyn över de kritiska aktörerna. De centrala skyldigheterna för kritiska aktörer hänför sig till riskbedömning, planen för motståndskraft, säkerställande av motståndskraften samt förfaranden vid incidenter. 

I och med propositionen får staten en bättre inblick än tidigare i beredskapen hos de aktörer som är kritiska med tanke på samhällets funktionsförmåga. Propositionen bidrar till att genomföra regeringsprogrammet för statsminister Petteri Orpos regering i fråga om den strategiska helhet som gäller stärkandet av den nationella säkerheten och samhällets kristålighet. 

De föreslagna lagarna avses träda i kraft så snart som möjligt. 

UTSKOTTETS ÖVERVÄGANDEN

Allmänt

Finlands säkerhetspolitiska miljö har förändrats snabbt och fundamentalt efter att Ryssland invaderade Ukraina. Förändringarna i den säkerhetspolitiska miljön är allt svårare att förutse. I lägesbilden måste också globala, mer långvariga utvecklingstrender beaktas. Enligt förvaltningsutskottet måste säkerhetsfrågorna granskas som en omfattande helhet för att faktorer och fenomen som påverkar Finlands säkerhet samt sambanden mellan dem ska kunna upptäckas så effektivt som möjligt. En klar åtskillnad mellan yttre och inre säkerhet kan inte längre göras. Betydelsen av en gemensam lägesbild, av inhämtande av information och informationsbaserad verksamhet blir allt större, på både strategisk och operativ nivå. Samhällets kristålighet (resiliens), den nationella försvarsförmågan och upprätthållandet av den inre säkerheten blir allt viktigare i det förändrade säkerhetsläget. 

Förvaltningsutskottet har under innevarande valperiod lämnat utlåtande om den utrikes- och säkerhetspolitiska redogörelsen (FvUU 16/2024 rd) och försvarsredogörelsen (FvUU 7/2025 rd). Dessa redogörelser bildar tillsammans med den redogörelse för den inre säkerheten som är under beredning en helhet som skapar riktlinjer för hur Finlands säkerhet ska stärkas. Strategin för den nationella säkerheten, som är under beredning, kompletterar redogörelserna med konkreta åtgärdsförslag och med ett tidsperspektiv innefattande flera valperioder. I januari 2025 uppdaterades statsrådets principbeslut om en säkerhetsstrategi för samhället. I strategin fastställs handlingsmodellen för den övergripande säkerheten, enligt vilken samhällets vitala funktioner tryggas i samarbete mellan myndigheter, näringsliv, organisationer och medborgare. Den övergripande säkerheten utgör grunden för kriståligheten i det finländska samhället. Förvaltningsutskottet ser det som viktigt att alla säkerhetsdokument bygger på en gemensam lägesbild och en gemensam syn på hoten och utvecklingsutsikterna i vår omvärld. 

Hoten i den förändrade säkerhetsmiljön och omvärlden, såsom sabotageverksamhet och hybridpåverkan som kombinerar olika metoder, påverkar samtidigt flera EU-medlemsstater. Sådana åtgärder kan allvarligt störa den inre marknadens funktion och påverka samhällets vitala funktioner och säkerhet. Särskild uppmärksamhet bör fästas vid statliga hot mot kritisk infrastruktur. Utskottet anser att det är nödvändigt att den kritiska infrastrukturen kan tryggas under alla omständigheter. Detta förutsätter ett fungerande samarbete och informationsutbyte mellan myndigheterna samt mellan myndigheterna och den privata sektorn. 

Regeringen föreslår att det stiftas en ny lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. Genom lagen genomförs det så kallade CER-direktivetEuropaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av direktiv 2008/114/EG. (Critical Entities Resilience Directive), som antogs 2022. Dessutom föreslås det att hamninnehavare i hamnar för utrikesfart ska åläggas en skyldighet att genom en säkerhetsutredning av person säkerställa oförvitligheten och tillförlitligheten i fråga om vissa arbetstagargrupper. Utöver den nya lagen föreslås det ändringar i sex lagar. Utskottet tillstyrker lagförslagen, men med de synpunkter och ändringsförslag som framgår nedan. 

Syftet med CER-direktivet är att stärka de kritiska aktörers förmåga att reagera på hot som äventyrar produktionen av tjänster som är viktiga med tanke på samhällets funktionsförmåga. Förvaltningsutskottet har lämnat ett utlåtande om förslaget till CER-direktiv (FvUU 14/2021 rd), där utskottet bland annat bedömer att direktivet höjer den allmänna kristålighetsnivån i Europeiska unionens medlemsländer. Utskottet anser det vara ytterst viktigt att beredskapen samt motståndskraften stärks i EU:s medlemsstater. 

Utskottet noterar att CER-direktivet utgör en del av en större helhet, som också omfattar en ny cybersäkerhetsstrategi och ett cybersäkerhetsdirektivEuropaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148. (NIS 2-direktivet), som gavs samtidigt som CER-direktivet. Riksdagen har nyligen antagit lagstiftning om genomförandet av cybersäkerhetsdirektivet (KoUB 1/2025 rd — RP 57/2024 rd, FvUU 15/2024 rd). Tidsfristen för det nationella genomförandet av båda direktiven var den 17 oktober 2024. Finlands regering har besvarat kommissionens formella underrättelse om genomförandet av direktiven. 

I CER-direktivet fastställs skyldigheter för medlemsstaterna att vidta åtgärder som syftar till att säkerställa att tjänster som är nödvändiga för att upprätthålla viktiga samhällsfunktioner eller central ekonomisk verksamhet tillhandahålls på ett obehindrat sätt på den inre marknaden. I direktivet fastställs harmoniserade minimiregler för förfaranden och krav som syftar till att säkerställa tillhandahållandet av samhällsviktiga tjänster, stärka kritiska aktörers motståndskraft och förbättra det gränsöverskridande samarbetet mellan myndigheter. I direktivet fastställs minimimål och medlemsstaterna ges utrymme för egen bedömning av hur de ska genomföra de åtgärder som krävs för att uppnå dessa mål. Nationell lagstiftning som går längre än målen med direktivet är möjlig. 

I Finland har begreppen kritisk infrastruktur eller samhällsviktiga aktörer inte definierats på lagstiftningsnivå. Till samhällets vitala funktioner hör enligt säkerhetsstrategin ledningen av staten, internationell och EU-verksamhet, försvarsförmåga, inre säkerhet, ekonomi, infrastruktur och försörjningsberedskap, befolkningens handlingsförmåga och service samt mental kristålighet. Bestämmelser om beredskap och försörjningsberedskap finns i ett flertal olika lagar. Bestämmelser om beredskapsskyldighet inom branscher som upprätthåller samhällets vitala funktioner finns till exempel inom energisektorn, finansbranschen, hälso- och sjukvården och läkemedelsförsörjningen samt i fråga om digitala tjänster. Lagstiftning om beredskap finns förutom i sektorspecifika bestämmelser också i beredskapslagen (1552/2011), där det bland annat föreskrivs om de behöriga myndigheternas beredskapsskyldighet. 

Den föreslagna regleringen berör flera förvaltningsområden. Den gällande sektorspecifika regleringen kompletteras av en allmän lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. Åtgärderna enligt den föreslagna lagen, försörjningsberedskapsverksamheten och beredskapen enligt beredskapslagen kompletterar varandra. Förvaltningsutskottet konstaterar att beredskapslagen och försörjningsberedskapslagstiftningen håller på att revideras. Dessutom pågår ett projekt som gäller statsrådets säkerhetsledning. Utskottet framhåller att de nationella åtgärder som CER-regleringen förutsätter bör ordnas så att den bildar en fungerande och logisk helhet tillsammans med EU:s cybersäkerhetsreglering (NIS 2), EU:s reglering om den digitala operativa motståndskraften i finanssektorn (DORA), den nya försörjningsberedskapslagstiftning som är under beredning samt den sektorsspecifika lagstiftningen. 

Förvaltningsutskottet har fått utlåtande av kommunikationsutskottet (KoUU 2/2025 rd), jord- och skogsbruksutskottet (JsUU 2/2025 rd), social- och hälsovårdsutskottet (ShUU 1/2025 rd) och ekonomiutskottet (EkUU 5/2025 rd). Förvaltningsutskottet behandlar i detta betänkande vissa frågor som lyfts fram i utlåtandena och hänvisar i övrigt till dem. 

Lagens tillämpningsområde och avgränsningar av det

CER-direktivets tillämpningsområde omfattar följande elva sektorer: energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbetning och distribution av livsmedel. Av dessa har energi och transport indelats i undersektorer. Kommissionen har antagit en delegerad förordning om komplettering av CER-direktivetKommissionens delegerade förordning (EU) 2023/2450 om komplettering av Europaparlamentets och rådets direktiv (EU) 2022/2557 genom upprättande av en förteckning över samhällsviktiga tjänster.. Genom den delegerade förordningen upprättas en förteckning över de viktigaste tjänsterna. Listan är inte uttömmande. 

Skyldigheterna enligt CER-direktivet gäller inte tillhandahållare av socialvårdstjänster. I den föreslagna lagen har det dock gjorts en nationell utvidgning i fråga om socialvården på grund av den finländska social- och hälsovårdens ömsesidiga beroende och servicestruktur. Av 1 § 4 mom. i lagförslaget framgår att lagen tillämpas inte bara på tjänsteanordnare och tjänsteproducenter inom hälso- och sjukvården enligt 4 § i lagen om tillsynen över social- och hälsovården (741/2023) utan också på tjänsteanordnare och tjänsteproducenter som ordnar eller producerar socialservice. På välfärdsområdena tillämpas lagen i fråga om den social- och hälsovård som de ordnar och producerar, men inte i fråga om räddningsväsendet. Tillämpningsområdet omfattar i Finland anordnare och producenter av offentliga och privata social- och hälsovårdstjänster, det vill säga främst välfärdsområden och privata social- och hälsovårdsföretag. Även social- och hälsovård som ordnas av staten hör i regel till lagens tillämpningsområde. Förvaltningsutskottet anser i likhet med social- och hälsovårdsutskottet att det är motiverat och viktigt att direktivets bestämmelser utvidgas nationellt till att gälla också socialvården. Den nationella utvidgningen gör det bland annat möjligt att utse företag som tillhandahåller privata social- och hälsovårdstjänster till kritiska aktörer. 

Social- och hälsovårdsutskottet påpekar i sitt utlåtande att även Folkpensionsanstalten definieras som tjänsteanordnare i 4 § i lagen om tillsyn över social- och hälsovården. Enligt uppgift är avsikten dock inte att den föreslagna lagen ska tillämpas på Folkpensionsanstalten. Förvaltningsutskottet föreslår att bestämmelserna preciseras i detta avseende. I övrigt är det motiverat att bedöma omfattningen av lagens tillämpningsområde först efter att det har inhämtats tillräcklig erfarenhet av tillämpningen av lagen. 

När det gäller livsmedel tillämpas CER-direktivet endast på livsmedelsföretag som definieras i EU:s livsmedelsförordning och som bedriver logistikverksamhet och grossisthandel samt storskalig industriell produktion och bearbetning. Enligt preliminära bedömningar omfattar tillämpningsområdet för direktivet och den föreslagna lagen inte särskilt många företag inom livsmedelsbranschen. Av definitionen av livsmedelssektorn följer att primärproduktion inte heller omfattas av direktivets tillämpningsområde. Jord- och skogsbruksutskottet anser i sitt utlåtande det motiverat att man vid det nationella genomförandet av CER-direktivet har följt direktivet då man begränsat tillämpningsområdet berörande livsmedelskedjan. Jord- och skogsbruksutskottet anser det vara livsviktigt att man som en del av arbetet för att säkra försörjningsberedskapen i fråga om livsmedel också stöder kontinuiteten i primärproduktionsföretagen till exempel för att i krissituationer trygga distributionen och lagringen av bränsle samt tillgången till el i gårdsbruksenheterna. 

NIS 2-direktivet förutsätter att skyldigheterna enligt direktivet i fråga om riskhantering i samband med cybersäkerhet och rapportering av betydande incidenter också tillämpas på kritiska aktörer som identifieras med stöd av CER-direktivet. I propositionsmotiven sägs det att statsrådet separat bereder en proposition med förslag till sådana tekniska lagstiftningsändringar som behövs för att skyldigheterna enligt cybersäkerhetslagen (124/2025, RSv 15/2025 rdRP 57/2024 rd) ska kunna tillämpas på kritiska aktörer på det sätt som NIS 2- och CER-direktiven förutsätter. Denna proposition (RP 27/2025 rd) har nyligen lämnats till riksdagen. 

Kommunikationsutskottet fäster i sitt utlåtande förvaltningsutskottets uppmärksamhet vid att lagen om informationshantering inom den offentliga förvaltningen (906/2019) i samband med riksdagsbehandlingen av bestämmelserna om genomförandet av NIS 2-direktivet preciserades på det sätt som grundlagsutskottet (GrUU 62/2024 rd) förutsatt. Lagens 4 a kap. om skyldigheter som gäller cybersäkerhet och tillsynen över att skyldigheterna fullgörs tillämpas därför inte på riksdagens ämbetsverk. Förvaltningsutskottet konstaterar att till exempel riksdagen, riksdagens justitieombudsman och justitiekanslern i statsrådet har ställts utanför lagens tillämpningsområde i 2 § 1 mom. i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. Enligt det föreslagna 1 § 2 mom. avses med CER-direktivets kategorier av aktörer inom sektorn offentlig förvaltning de myndigheter som anges i 4 § 1 mom. 1 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999), det vill säga statliga förvaltningsmyndigheter samt övriga statliga ämbetsverk och inrättningar. Lagens tillämpningsområde omfattar alltså inte till exempel riksdagens ämbetsverk. Regleringen behöver inte preciseras till denna del. 

Utskottet påpekar för tydlighetens skull att den föreslagna lagen inte heller tillämpas på myndighetsverksamhet inom området för försvaret, den nationella säkerheten och den allmänna ordningen och säkerheten, eller på förebyggande av brott, brottsutredning, förande av brott till åtalsprövning eller väckande av åtal. Den föreslagna lagen tillämpas därför inte till exempel på Försvarsmakten, Gränsbevakningsväsendet, polisen, skyddspolisen, åklagarväsendet eller Tullen. 

Den riksomfattande planen och den nationella riskbedömningen

För att stärka kritiska aktörers motståndskraft och uppnå de allmänna målen för verksamheten ska statsrådet enligt förslaget i fortsättningen anta en riksomfattande plan som fungerar som nationell strategi. Statsrådet ska dessutom minst vart fjärde år godkänna en nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft. Den riksomfattande planen och den nationella riskbedömningen ska godkännas första gången senast den 17 januari 2026. 

I den senast utarbetade nationella riskbedömningen 2023 identifierades cirka 20 centrala risker med stor nationell betydelse. Den nuvarande nationella riskbedömningen som baserar sig på EU:s civilskyddsmekanismEuropaparlamentets och rådets beslut nr 1313/2013/EU om en civilskyddsmekanism för unionen. motsvarar inte riskbedömningen enligt CER-direktivet. Riskbedömningen enligt civilskyddsmekanismen och andra relevanta riskbedömningar beaktas dock vid utarbetandet av riskbedömningen enligt den föreslagna lagen. 

Riskbedömningen enligt den föreslagna lagen ska omfatta relevanta risker för naturolyckor, risker orsakade av människan, risker av sektorsövergripande eller gränsöverskridande slag, olyckor och naturkatastrofer, hot mot folkhälsan, hybridhot och en främmande stats verksamhet (statlig påverkan), hot relaterat till terroristbrott, hot relaterade till missbruk av geografisk information samt övriga hot. Utskottet anser det motiverat att riskbedömningen enligt den nya lagen är så heltäckande som möjligt. 

Missbruk av geografisk information har enligt propositionsmotiven identifierats som en relevant risk, eftersom platsbunden information är ett kritiskt element för informationssamhället, och geografisk information också kombineras med annan viktig objektinformation. Jord- och skogsbruksutskottet lyfter i sitt utlåtande fram att redan i samband med behandlingen av redogörelsen om politiken för geografisk information 2018 betonades vikten av att säkerställa innehållet i och tillgången till den geografiska information som behövs i de företag som av säkerhetsmyndigheterna klassificerats som kritiska. Förvaltningsutskottet fäste då uppmärksamhet vid riskerna med missbruk av geografisk information (FvUU 24/2018 rdSRR 2/2018 rd). 

Utskottet anser att den riksomfattande planen och den nationella riskbedömningen är viktiga dokument, eftersom fastställandet av kritiska aktörer och stödjandet av dem på det sätt som avses i den föreslagna lagen baserar sig på ett riskbaserat synsätt och den nationella riskbedömningen utnyttjas vid fastställandet av kritiska aktörer. En riskbaserad ansats innebär att åtgärderna riktas till de aktörer som har störst betydelse för nödvändiga samhällsfunktioner eller ekonomisk verksamhet. 

Identifiering av kritiska aktörer och de kritiska aktörernas viktigaste skyldigheter

I enlighet med CER-direktivet innehåller lagförslaget en process för identifiering av kritiska aktörer och gemensamma kriterier för identifieringen samt skyldigheter för kritiska aktörer att stärka sin motståndskraft och sin kapacitet att tillhandahålla samhällsviktiga tjänster åtminstone i enlighet med minimikraven i direktivet. Vid identifieringen av kritiska aktörer beaktas bland annat den nämnda riksomfattande planen för kritiska aktörers motståndskraft och den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft samt den gränsöverskridande verksamheten och den europeiska enhetligheten. 

Utskottet påpekar att identifieringen av kritiska aktörer är av central betydelse, eftersom bestämmelserna i lagen ska tillämpas på de aktörer som identifieras som kritiska aktörer genom beslut av det behöriga ministeriet. En privat eller offentlig sammanslutning eller en funktionell del av en sådan kan enligt den föreslagna 10 § för det första definieras som en kritisk aktör, om den tillhandahåller en eller flera tjänster som är viktiga med tanke på samhällets funktionsförmåga. Dessutom förutsätts det att aktören är verksam och att den kritiska infrastruktur som aktören äger, innehar eller använder finns inom finskt territorium. En incident, det vill säga en händelse som avsevärt kan störa eller stör tillhandahållandet av en viktig tjänst, ska ha betydande störande effekter för tillhandahållandet av aktörens en eller flera viktiga tjänster eller tillhandahållandet av andra viktiga tjänster inom sektorer som är beroende av tjänsten. 

Ett ärende som gäller identifiering av en kritisk aktör ska avgöras av det ministerium till vars ansvarsområde den aktuella aktören hör. Beslutet är i kraft högst fyra år. Ministeriet kan återkalla ett beslut, om den kritiska aktören inte längre uppfyller förutsättningarna för beslutet eller om den kritiska aktören har upphört med sin verksamhet. Ministeriets beslut om identifiering av kritiska aktörer ska fattas första gången senast den 17 juli 2026. 

De viktigaste skyldigheterna för en kritisk aktör hänför sig till riskbedömningen, planen för motståndskraft och åtgärderna för att säkerställa motståndskraften. En kritisk aktör ska enligt förslaget göra en riskbedömning vid behov och minst vart fjärde år. När riskbedömningen görs ska hänsyn tas till den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft samt till andra informationskällor som är relevanta med tanke på riskbedömningen. En kritisk aktör ska för att säkerställa sin motståndskraft vidta lämpliga och proportionella tekniska, säkerhetsmässiga och organisatoriska åtgärder på grundval av den kritiska aktörens riskbedömning och annan relevant information och utarbeta en plan för att säkerställa motståndskraften mot störningar. Förvaltningsutskottet anser det viktigt att de kritiska aktörerna inte orsakas oskälig administrativ börda av skyldigheterna enligt den föreslagna lagen. Till denna del är det motiverat att en riskbedömning eller plan inte måste göras upp separat, om en sådan redan har gjorts upp för motsvarande ändamål, utan samma dokument kan användas. 

Lagförslaget ålägger en kritisk aktör att utan obefogat dröjsmål lämna in en anmälan till tillsynsmyndigheten och Statsrådets lägescentral om varje incident som medför eller kan medföra en störning i tillhandahållandet av samhällsviktiga tjänster. Utskottet föreslår på det sätt som framgår av detaljmotiveringen att regleringen preciseras så att anmälningsskyldigheten gäller betydande incidenter. 

Behöriga myndigheter

Enligt artikel 9.1 i CER-direktivet ska medlemsstaterna utse eller inrätta en eller flera behöriga myndigheter som ansvarar för den korrekta tillämpningen av direktivet på nationell nivå. Enligt artikel 9.2 i direktivet ska varje medlemsstat utse eller inrätta en gemensam kontaktpunkt för att säkerställa ett gränsöverskridande samarbete med de gemensamma kontaktpunkterna i andra medlemsstater. I förekommande fall ska medlemsstaten utse den gemensamma kontaktpunkten i anslutning till den behöriga myndigheten. Vid behov får en medlemsstat föreskriva att dess gemensamma kontaktpunkt ska ha en sambandsfunktion med kommissionen och säkerställa samarbete med tredjeländer. 

Förvaltningsutskottet konstaterar att det genom den föreslagna lagstiftningen inte inrättas nya myndigheter. Inrikesministeriet ska enligt lagförslaget svara för samordningsuppgiften, det vill säga sköta den allmänna styrningen, uppföljningen, samordningen och utvecklingen av verksamheten enligt den föreslagna lagen. Inrikesministeriet är behörig myndighet enligt artikel 9.1 i CER-direktivet och svarar för att det organ som sköter den nationella kontaktpunktens uppgifter anmäls till kommissionen. 

Andra behöriga myndigheter i den föreslagna lagen är de ministerier som ansvarar för att definiera kritiska aktörer inom sitt ansvarsområde samt de tillsynsmyndigheter som anges i 19 § i CER-lagen. Tillsynsmyndigheterna är de samma som redan nu utövar tillsyn inom sitt ansvarsområde. De skyldigheter som bestämts och föreskrivits för kritiska aktörer övervakas av Energimyndigheten, Närings-, trafik- och miljöcentralen i Södra Savolax, Transport- och kommunikationsverket, Säkerhets- och utvecklingscentret för läkemedelsområdet, Livsmedelsverket, Säkerhets- och kemikalieverket, Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverken. Sakkunniga har påpekat att ingen myndighet i den föreslagna lagen har ålagts tillsynsuppgifter inom rymdsektorn. Utskottet föreslår att bestämmelserna preciseras till denna del. Utskottet påpekar dessutom i detta sammanhang att riksdagen för närvarande behandlar regeringens proposition med förslag till lagstiftning om en reform av statens regionförvaltning (RP 13/2025 rd), där det föreslås att uppgifterna hos de nuvarande regionförvaltningsverken, Tillstånds- och tillsynsverket för social- och hälsovården och NTM-centralerna överförs till de nya ämbetsverk som ska inrättas. 

Ekonomiutskottet noterar i sitt utlåtande att det i propositionen inte utses någon gemensam kontaktpunkt, utan det föreslås att kontaktpunktens uppgifter enligt direktivet ska fördelas mellan flera aktörer, såsom statsrådets lägescentral, inrikesministeriet och Försörjningsberedskapscentralen. Ekonomiutskottet anser att den valda lösningen är problematisk med tanke på ett noggrant genomförande av direktivet och uppmanar förvaltningsutskottet att i sitt betänkande bedöma om den föreslagna regleringen till denna del motsvarar de krav som ställs på genomförandet av direktivet. Ekonomiutskottet konstaterade i sitt betänkande om redogörelsen om försörjningsberedskap (EkUB 51/2022 rdSRR 8/2022 rd) att Försörjningsberedskapscentralen, som är den praktiska anordnaren av försörjningsberedskapsfrågor inom sektorn, vore ett naturligt val till en nationell kontaktpunkt enligt CER-direktivet. Också kommunikationsutskottet, jord- och skogsbruksutskottet och social- och hälsovårdsutskottet fäster i sina utlåtanden uppmärksamhet vid Försörjningsberedskapscentralens roll i den föreslagna lagstiftningen. 

Förvaltningsutskottet anser det motiverat att den behöriga myndighetens uppgifter och tillsynsuppgifter decentraliseras till sektormyndigheterna, eftersom de bäst känner till särdragen inom sina egna ansvarsområden. Däremot beklagar utskottet att det av propositionsmotiven inte särskilt tydligt framgår hur den gemensamma kontaktpunktens uppgifter enligt CER-direktivet ska ordnas i Finland och till vilken myndighet uppgifterna ska anvisas. Den gemensamma kontaktpunktens funktioner anvisas i den föreslagna lagen till statsrådets lägescentral, som svarar för förmedlingen av incidentanmälningar till kommissionen och till andra medlemsstater vid gränsöverskridande störningar. Enligt propositionen är jourverksamheten i anslutning till statsrådets beslutsfattande i nuläget koncentrerad till statsrådets lägescentral, och denna uppgift enligt CER-direktivet är lämplig med tanke på lägescentralens nuvarande verksamhetsfält. Störningssituationer och förmedling av information om störningar kan också vara förenade med utrikes- och säkerhetspolitiska aspekter och utrikespolitisk prövning. Förvaltningsutskottet anser att den föreslagna modellen motsvarar direktivets bestämmelser om att utse en gemensam kontaktpunkt i anslutning till den behöriga myndigheten. 

Bestämmelser om Försörjningsberedskapscentralens uppgifter finns i 6 § i lagen om tryggande av försörjningsberedskapen (1390/1992). Försörjningsberedskapscentralens uppgifter gäller främjande, utveckling, tryggande och upprätthållande av försörjningsberedskapen, såsom att utveckla samarbetet mellan den offentliga förvaltningen och näringslivet i frågor som gäller försörjningsberedskapen, säkerställa funktionen hos sådana tekniska system som är livsviktiga med tanke på försörjningsberedskapen, trygga kritisk varu- och tjänsteproduktion och sådan produktion som stöder det militära försvaret samt sköta den obligatoriska upplagringen och skyddsupplagringen. Försörjningsberedskapscentralen sköter också de uppgifter som den nationella behöriga myndigheten enligt en EU-förordningEuropaparlamentets och rådets förordning (EU) 2017/1938 om åtgärder för att säkerställa försörjningstryggheten för gas och om upphävande av förordning (EU) nr 994/2010). har i anslutning till tryggandet av gasleveranssäkerheten samt vissa uppgifter enligt speciallagstiftningen. 

Av propositionsmotiven framgår att Försörjningsberedskapscentralens rättsliga karaktär för närvarande är något oklar. Till exempel föreskrivs det inte uttryckligen i lagen om tryggande av försörjningsberedskapen om att centralen har ställning som ett sådant ämbetsverk inom statens centralförvaltning som avses i 119 § i grundlagen. Riksdagen godkände 2023 statsrådets redogörelse om försörjningsberedskapen (RSk 86/2022 rdSRR 8/2022 rd), där de centrala utvecklingsmålen för försörjningsberedskapen anges. I redogörelsen konstateras bland annat att det finns ett behov av att utveckla lagstiftningen om försörjningsberedskapen. En övergripande översyn av lagstiftningen om försörjningsberedskapen ingår också i regeringsprogrammet. Lagstiftningen bedöms som helhet i ett projekt som arbets- och näringsministeriet tillsatt och vars mandatperiod löper ut den 31 december 2025. Syftet med uppdateringen av bestämmelserna är bland annat att närmare fastställa Försörjningsberedskapscentralens uppgifter och att förtydliga Försörjningsberedskapscentralens rättsliga ställning på författningsnivå samt att uppdatera bestämmelserna så att de motsvarar grundlagens och riksdagens grundlagsutskotts senaste utlåtandepraxis. Vidare är helheten förknippad med en omprövning av finansieringen av försörjningsberedskapen. 

Enligt 8 § i lagförslaget ska inrikesministeriet, sektorministerierna och tillsynsmyndigheterna i samarbete med Försörjningsberedskapscentralen på ett övergripande plan främja helheter som hänför sig till kritiska aktörers motståndskraft mot störningar och vidta särskilda åtgärder i detta syfte. Tillsynsmyndigheten ska i samarbete med Försörjningsberedskapscentralen ge kritiska aktörer sådant stöd som avses i artikel 10.1 i CER-direktivet. Detta stöd kan utgöras av utarbetande av vägledningsmaterial och metoder, stöd för övningar för att testa motståndskraften samt rådgivning och utbildning. Ett utlåtande ska också begäras av Försörjningsberedskapscentralen innan beslut fattas om att utse en kritisk aktör. Bestämmelser om Försörjningsberedskapscentralens rätt att få information finns i 16 och 27 § i den föreslagna lagen. Dessa uppgifter är enligt propositionsmotiven uppgifter som stöder Försörjningsberedskapscentralens nuvarande verksamhet och som inte omfattar utövning av offentlig makt. 

Förvaltningsutskottet anser liksom utlåtandeutskotten att det är viktigt att befintliga försörjningsberedskapsstrukturer kan utnyttjas så effektivt som möjligt vid det nationella genomförandet av CER-direktivet. Enligt motiveringarna är utgångspunkterna och principerna i lagförslaget, som grundar sig på CER-direktivet, delvis annorlunda än i det finländska beredskaps- eller försörjningsberedskapssystemet. Lagförslaget bygger dock på utnyttjande av befintliga beredskaps- och försörjningsberedskapsstrukturer. Förvaltningsutskottet instämmer i ekonomiutskottets åsikt om att det inte framgår av propositionen vilka konsekvenser förslaget har för de bestämmelser om försörjningsberedskap eller den verksamhet inom försörjningsberedskapsorganisationen som är under beredning. Utskottet betonar dock med hänvisning till det som sägs ovan att Försörjningsberedskapscentralens ställning och uppgifter granskas i det pågående lagstiftningsprojektet. Förvaltningsutskottet anser att det inte är ändamålsenligt att göra ändringar i Försörjningsberedskapscentralens uppgifter under riksdagsbehandlingen av den nu aktuella propositionen. 

Rätt till information och informationsutbyte

Enligt det föreslagna 16 § 1 mom. ska den som med stöd av CER-lagen fastställts som kritisk aktör utan obefogat dröjsmål lämna in en anmälan till den behöriga tillsynsmyndigheten och Statsrådets lägescentral om varje incident som medför eller kan medföra en störning i tillhandahållandet av samhällsviktiga tjänster. Den första anmälan ska lämnas in inom 24 timmar från det att den kritiska aktören fått kännedom om en incident, om inte något annat följer av ett nödvändigt operativt skäl. En detaljerad rapport ska vid behov lämnas senast inom en månad till det ministerium som sköter samordningsuppgiften, det ministerium som ansvarar för sektorn och den behöriga tillsynsmyndigheten. 

Försörjningsberedskapscentralen har enligt 16 § 4 mom. trots sekretessbestämmelserna rätt att få sådan information om den första anmälan och den detaljerade rapporten som bedöms vara nödvändig för utförande av centralens uppgifter och för stödjande av de ministerier som saken gäller och de behöriga tillsynsmyndigheterna. 

Enligt den föreslagna 27 § har tillsynsmyndigheten trots sekretessbestämmelserna rätt att av myndigheter och aktörer som identifierats som kritiska avgiftsfritt få den information som är nödvändig för skötseln av myndighetens uppgifter och att lämna ut nödvändiga uppgifter till andra tillsynsmyndigheter och tillsynsmyndigheter enligt 26 § i cybersäkerhetslagen samt till inrikesministeriet som är samordnande ministerium samt till det ministerium till vars ansvarsområde det ärende som behandlas hör. Tillsynsmyndigheten har rätt att lämna ut nödvändig information också till Försörjningsberedskapscentralen för utförande av dess uppgifter. Den rätt att få information som avses ovan gäller inte information som behandlas av den CSIRT-enhet som avses i 19 § i cybersäkerhetslagen och som finns vid Transport- och kommunikationsverket. 

Förvaltningsutskottet påpekar att hybridhoten är mångdimensionella med avsikt. Konsekvenserna av och ansvaret för att bekämpa dem berör åtskilliga nationella myndigheter. Utskottet ser det som angeläget att förvaltningsövergripande bereda sig på dessa påverkansförsök på alla nivåer i samhället i enlighet med modellen för den övergripande säkerheten. Ett nära samarbete mellan säkerhetsmyndigheterna och andra aktörer och ett fungerande informationsutbyte är nödvändigt för en effektiv bekämpning av hybridhot. 

När hybridhot realiseras syns de i början i allmänhet inom verksamhetsområdet för den inre säkerheten och i synnerhet inom polisens och Gränsbevakningsväsendets verksamhet i och med att de är första insatsmyndigheter vid oklara hot och händelser så länge de inte kan uppfattas eller identifieras som militära hot. Påverkansåtgärder behandlas åtminstone i initialskedet huvudsakligen som brott eller ordningsstörningar, där de operativa åtgärderna och utredningen huvudsakligen hör till polisens behörighet. Andra myndigheter ger vid behov polisen handräckning, om polisens egna resurser inte räcker till. Denna behörighetsfördelning enligt gällande lagstiftning har på senare tid synts bland annat i fall av skadorna på den marina infrastrukturen i Östersjön. De regionala polisinrättningarna svarar för polisens operativa första insatser inom sina områden 24/7. 

Polisen har som mål att i så stor utsträckning som möjligt förebygga hot bland annat i samarbete med ägarna och innehavarna av kritisk infrastruktur. För att kunna sköta sin egen uppgift behöver polisen utan dröjsmål få information om hot mot kritisk infrastruktur. Sakkunniga har påpekat att bestämmelserna om anmälningsskyldighet och rätt att få information enligt den föreslagna lagen inte främjar polisens rätt att få information utan dröjsmål. Förvaltningsutskottet anser det vara viktigt att polisen har en så omfattande och aktuell lägesbild som möjligt av hoten mot den kritiska infrastrukturen. 

Statsrådets lägescentral, som enligt de föreslagna bestämmelserna ska underrättas om incidenter, har enligt 4 § i lagen om centralen (300/2017) rätt att till exempel till behöriga myndigheter lämna ut sekretessbelagda uppgifter som centralen fått med stöd av den lagen, om de är nödvändiga för det beslutsfattande som säkerhetssituationen kräver eller för att avvärja en omedelbart förestående allvarlig fara som hotar den allmänna säkerheten. Eftersom en incident enligt den föreslagna lagen inte anmäls direkt till den behöriga säkerhetsmyndigheten, kan informationen om incidenterna i vissa fall fördröjas obefogat. Detta försvårar för sin del bildandet av en lägesbild. 

Utskottet konstaterar att målen för den föreslagna lagstiftningen hänför sig särskilt till förbättringen av de kritiska aktörernas kristålighet. De åtgärder som lagen förutsätter är förebyggande för att förhindra händelser och lindra följderna av dem. Utskottet anser det vara viktigt att de kritiska aktörerna anmäler olika incidenter till polisen med låg tröskel. Utskottet föreslår dock inga ändringar i bestämmelserna i detta sammanhang. 

I CER-direktivet förutsätts att medlemsstaterna underlättar frivillig informationsdelning mellan kritiska aktörer i frågor som omfattas av direktivet, i enlighet med unionsrätten och nationell rätt, särskilt i fråga om sekretessbelagd och känslig information, konkurrens och skydd av personuppgifter. Sakkunniga har påpekat att detta mål inte har beaktats i lagförslaget och att eventuella lagstiftningshinder för att utbyta information eller få riksomfattande information som gäller ansvarsområdet inte har behandlats i propositionen. Utskottet konstaterar att behovet av ändringar i bestämmelserna också i detta fall måste bedömas senare. 

Säkerhetsutredningar i hamnar för utrikesfart

I propositionen föreslås ändringar som förbättrar hamnarnas säkerhet i säkerhetsutredningslagen (726/2014, lagförslag 2) och i lagen om sjöfartsskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004, lagförslag 5). 

Syftet med de föreslagna bestämmelserna är att förhindra att kritiska uppgifter om hamnar används för verksamhet som äventyrar statens säkerhet eller för främjande av organiserad brottslighet. För hamnarna har hybridhot samt hot om spioneri och brottslighet fått större betydelse än tidigare. Hamnarnas centrala betydelse gör att såväl statliga som icke-statliga aktörer, inbegripet organiserade kriminella grupper, kan försöka utnyttja hamnar i olika olagliga och skadliga syften eller störa eller skada hamnarnas verksamhet. Hamnar, liksom andra transportnav, är potentiellt intressanta objekt för terroristiska aktörer på grund av flödet av varor och passagerare. 

På grund av sina passagerar- och logistikdata utgör hamnarna också ett potentiellt intressant mål för spioneri för statliga aktörer och erbjuder en möjlighet att följa eller påverka passagerar-, material- och energiflöden som är livsviktiga för Finland. Hamnarna har också betydelse för landets försvar, och de kan bl.a. användas för att ta emot och tillhandahålla militärt stöd. 

Enligt Europol, EU:s byrå för samarbete inom brottsbekämpning, har den organiserade brottsligheten fått ett större fotfäste i de europeiska hamnarna, vilket har lett till en betydande ökning av narkotikasmugglingen. Enligt Europol använder organiserade kriminella grupper sin insiderposition i synnerhet för att smuggla narkotika i fartygscontainrar. En organiserad kriminell grupp kan främja smuggling bl.a. genom att skaffa tillgång till och rätt att göra ändringar i informationssystem som gäller lasthantering eller passerkontroll och annan övervakning. 

Enligt de föreslagna bestämmelserna ansvarar hamninnehavaren för ansökan om säkerhetsutredningar. En sådan centraliserad modell har valts bland annat av skäl som hänför sig till säkerställandet av informationssäkerheten och effektiviteten i utredningsförfarandet. I samband med att en säkerhetsutredning görs behandlas omfattande uppgifter om föremålet för utredningen och som resultat av utredningen kan den sökande få känsliga personuppgifter eller känsliga uppgifter med avseende på statens säkerhet. Med tanke på integritetsskyddet för den som är föremål för utredningen och på den nationella säkerheten är det ändamålsenligt att uppgifterna i säkerhetsutredningen inte behandlas i större omfattning än vad som är nödvändigt. I Finland finns det cirka 65 hamninnehavare med hamnar i utrikesfart, men betydligt fler hamnoperatörer i hamnarna. Genom att endast hamninnehavare kan ansöka om säkerhetsutredningar minimeras riskerna i samband med hanteringen av känsliga uppgifter. Detta är motiverat också för att säkerställa en jämlik behandling av de personer som utreds. Den föreslagna modellen motsvarar utgångspunkten i den gällande lagen, där hamninnehavaren har det övergripande ansvaret för säkerheten i hamnen. Utskottet anser att den föreslagna modellen är motiverad. 

Med stöd av den gällande lagen om säkerhetsutredningar kan normala säkerhetsutredningar göras i fråga om hamnarnas säkerhetspersonal. Dessutom är det möjligt att göra en begränsad säkerhetsutredning i fråga om den som utses till ett anställningsförhållande eller ett uppdrag eller den som sköter ett anställningsförhållande eller ett uppdrag och som i hamnen får tillträde till utrymmen som är stängda för allmänheten. Utskottet anser att man utifrån den gällande lagstiftningen inte i tillräcklig utsträckning kan sörja för hamnarnas säkerhet i den nuvarande omvärlden. 

Resurser

Bedömningen av de ekonomiska konsekvenserna av den föreslagna lagstiftningen är enligt motiven förenad med osäkerhet, eftersom konsekvenserna beror på vilka aktörer som utifrån den nationella strategin och riskbedömningen definieras som kritiska aktörer. Genomförandet av skyldigheterna kan öka kostnaderna för de aktörer som identifieras som kritiska aktörer. Den lagstiftning som gäller innehåller dock redan liknande skyldigheter eller så har en del aktörer på frivillig redan basis ägnat uppmärksamhet åt sin motståndskraft exempelvis inom försörjningsberedskapsverksamheten. Vid verkställigheten av den föreslagna lagstiftningen bör man se till att de kritiska aktörernas kostnader eller administrativa börda inte ökar i onödan. 

För ministerierna uppkommer kostnader för de nya myndighetsuppgifter som genomförandet av CER-direktivet förutsätter. Tillsynen över skyldigheterna ökar i någon mån tillsynsmyndigheternas uppgifter och resursbehov. Utskottet anser det vara viktigt att tillräckliga resurser anvisas i synnerhet för tillsynen över den nya regleringen. 

DETALJMOTIVERING

1. Lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft

1 §. Tillämpningsområde.

I den föreslagna paragrafen föreskrivs det om lagens tillämpningsområde. Utskottet har gjort en teknisk korrigering i 2 mom. 1 punkten för att förtydliga bestämmelsens ordalydelse. Ändringen påverkar inte den svenska språkdräkten. Dessutom föreslår utskottet att 4 mom. preciseras så att det tydligt framgår att Folkpensionsanstalten inte omfattas av lagens tillämpningsområde. Enligt uppgift är avsikten inte att den föreslagna lagen ska tillämpas på Folkpensionsanstalten. Folkpensionsanstaltens konstitutionella ställning grundar sig på bestämmelserna i 36 § i grundlagen. Eftersom Folkpensionsanstalten lämnas utanför lagens tillämpningsområde, kan den inte med stöd av den föreslagna lagen anses vara en kritisk aktör. 

Vidare föreslår utskottet tekniska preciseringar i ordalydelsen i 4 mom. så att där hänvisas till tjänsteanordnare och tjänsteproducenter som ordnar eller producerar hälso- och sjukvårdstjänster, liksom det längre ned i samma moment hänvisas till tjänsteanordnare och tjänsteproducenter som ordnar eller producerar socialservice. 

2 §. Avgränsning av tillämpningsområdet.

I den föreslagna paragrafen föreskrivs det om avgränsning av tillämpningsområdet. Kommunikationsutskottet och ekonomiutskottet påpekar i sina utlåtanden att enligt artikel 8 i CER-direktivet tillämpas direktivet endast i begränsad utsträckning på sektorn för digital infrastruktur, eftersom aktörerna inom sektorn omfattas av motsvarande skyldigheter enligt NIS 2-direktivet. Denna princip har beaktats på behörigt sätt i propositionen. 

Förvaltningsutskottet påpekar utifrån inkommen utredning att de begränsningar av tillämpningsområdet som gäller sektorn för digital infrastruktur enligt 2 § 3 mom. i lagförslaget inte till alla delar motsvarar de begränsningar som anges i CER-direktivet. Utskottet föreslår därför att paragrafens 3 mom. preciseras så att 7 § 3 mom. 3—5 punkten och 4 mom., 13 § 3 mom., 14—16 §, 5 kap. och 29 § inte tillämpas på en kritisk aktör som är verksam inom sektorn bankverksamhet enligt punkt 3 i tabellen i bilagan till CER-direktivet, inom sektorn finansmarknadsinfrastruktur enligt punkt 4 i den tabellen eller inom sektorn digital infrastruktur enligt punkt 8 i den tabellen. 

3 §. Förhållande till annan lagstiftning.

Utskottet har till 4 mom. fogat författningssamlingens nummer för cybersäkerhetslagen (124/2025) som trädde i kraft den 8 april 2025. 

16 §. Skyldighet att anmäla incidenter.

Enligt ekonomiutskottets utlåtande avviker den finska versionen av CER-direktivet från de andra språkversionerna i fråga om artikel 15.1. Enligt de andra språkversionerna ska kritiska aktörer anmäla incidenter som medför en betydande störning eller kan medföra en betydande störning i tillhandahållandet av samhällsviktiga tjänster. Förutsättningen att incidenten ska vara betydande har fallit bort ur den finska versionen av direktivet och lagförslaget. Också kommunikationsutskottet och social- och hälsovårdsutskottet fäster i sina utlåtanden uppmärksamhet vid samma sak. 

Förvaltningsutskottet konstaterar att det med incident enligt 4 § 4 punkten i den föreslagna lagen avses varje händelse som antingen kan medföra en betydande störning eller som medför en störning av tillhandahållandet av en samhällsviktig tjänst. Händelsens betydelse ingår således i definitionen av incident. Utskottet föreslår dock att 16 § 1 mom. preciseras så att anmälningsskyldigheten enligt paragrafen endast gäller betydande incidenter. Utskottet har dessutom gjort en språklig korrigering av 2 mom. Ändringen påverkar inte den svenska språkdräkten. 

19 §. Tillsynsmyndigheter.

Enligt 1 § 2 mom. 1 punkten tillämpas den föreslagna lagen i enlighet med näringsgrensindelningen i bilagan till CER-direktivet också på rymdsektorn. I lagförslaget har tillsynen över rymdsektorn dock inte anförtrotts någon myndighet. Förvaltningsutskottet föreslår att bestämmelserna om tillsynsmyndigheter i 19 § kompletteras så att Transport- och kommunikationsverket är tillsynsmyndighet också i fråga om kritiska aktörer som hör till rymdsektorn (3 punkten). 

28 §. Myndighetssamarbete.

Paragrafen gäller myndighetssamarbete. Enligt kommunikationsutskottets utlåtande lämnar formuleringen i 2 mom. rum för osäkerhet om vilka de myndigheter som avses i 13 § är. Förvaltningsutskottet föreslår att bestämmelsen i 2 mom. preciseras så att den hänvisar till 13 § 1 mom., där det föreskrivs att ett ärende som gäller identifiering av en kritisk aktör ska avgöras av det ministerium till vars ansvarsområde den aktuella aktören hör. Dessutom anser utskottet att det är nödvändigt att också hänvisa till 13 § 2 mom., enligt vilket utlåtande ska begäras av det samordnande ministerium som avses i 7 § och i behövlig omfattning av andra ministerier och myndigheter samt Försörjningsberedskapscentralen innan ett ärende som avses i 1 mom. avgörs. 

Förvaltningsutskottet betonar också i detta sammanhang att informationsgången mellan myndigheterna måste vara så effektiv och smidig som möjligt. Därför bör möjligheten till informationsutbyte inte heller i detta sammanhang inskränkas. 

30 §. Ikraftträdande.

Utskottet har gjort en teknisk korrigering i paragrafen. Ändringen påverkar inte den svenska språkdräkten. 

7. Lagen om ändring av 1 § i lagen om verkställighet av böter

1 §. Lagens tillämpningsområde.

Paragrafen har efter det att propositionen lämnades ändrats utifrån propositionerna RP 57/2024 rd och RP 213/2024 rd. Utskottet har samordnat de nu föreslagna ändringarna med dessa tidigare ändringar (RSv 15/2025 rdRP 57/2024 rd och RSv 25/2025 rdRP 213/2024 rd). 

FÖRSLAG TILL BESLUT

Förvaltningsutskottets förslag till beslut:

Riksdagen godkänner lagförslag 2—6 i proposition RP 205/2024 rd utan ändringar. Riksdagen godkänner lagförslag 1 och 7 i proposition RP 205/2024 rd med ändringar. (Utskottets ändringsförslag) 

Utskottets ändringsförslag

1. Lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft 

I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Tillämpningsområde 
Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG, nedan CER-direktivet
Denna lag tillämpas 
1) inom områdena för lagstiftningen om energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbetning och distribution av livsmedel, i enlighet med den klassificering av sektorer som finns i bilagan till CER-direktivet och med beaktande av kommissionens delegerade förordning (EU) 2023/2450 om komplettering av Europaparlamentets och rådets direktiv (EU) 2022/2557 genom upprättande av en förteckning över samhällsviktiga tjänster, 
2) på styrning och beslutsfattande som gäller den nationella strategin för kritiska aktörers motståndskraft, som ges i form av en riksomfattande plan, den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft och identifieringen som kritiska aktörer enligt 10 § av aktörer som är centrala med tanke på samhällets funktion, 
3) i fråga om de sektorer som avses i 1 punkten på kritiska aktörer som identifierats med stöd av denna lag och på dessa aktörers skyldigheter när det gäller att stärka motståndskraften, 
4) på tillsynen över kritiska aktörer, och 
5) på samarbete mellan myndigheter. 
Med de kategorier av aktörer inom sektorn offentlig förvaltning som anges i punkt 9 i tabellen i den bilaga till CER-direktivet som avses i 2 mom. 1 punkten avses i denna lag de myndigheter som anges i 4 § 1 mom. 1 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
I fråga om aktörskategorin vårdgivare inom sektorn för hälso- och sjukvård enligt punkt 5 i tabellen i den bilaga till CER-direktivet som avses i 2 mom. 1 punkten tillämpas denna lag på Utskottet föreslår en ändring sådana i 4 § i lagen om tillsynen över social- och hälsovården (741/2023) avsedda Slut på ändringsförslaget tjänsteanordnare och tjänsteproducenter som Utskottet föreslår en ändring ordnar eller producerar Slut på ändringsförslaget hälso- och sjukvårdstjänsterUtskottet föreslår en strykning  enligt 4 § i lagen om tillsynen över social- och hälsovården (741/2023) Slut på strykningsförslaget, Utskottet föreslår en ändring med undantag av Folkpensionsanstalten, Slut på ändringsförslaget inrättningar för blodtjänst enligt blodtjänstlagen (197/2005), apotek samt sådana aktörer som lämnar ut och tillhandahåller läkemedel och medicinska hjälpmedel som avses i Europaparlamentets och rådets direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård, nedan patientdirektivet. Denna lag tillämpas dessutom på sådana i 4 § i lagen om tillsynen över social- och hälsovården avsedda tjänsteanordnare och tjänsteproducenter som ordnar eller producerar socialservice. På välfärdsområdena tillämpas lagen i fråga om den social- och hälsovård som de ordnar och producerar. 
2 § 
Avgränsning av tillämpningsområdet 
Denna lag tillämpas inte på republikens presidents kansli, riksdagen, riksdagens justitieombudsman, justitiekanslern i statsrådet, Finlands Bank eller domstolarna. Denna lag tillämpas inte heller på myndighetsverksamhet inom området för försvaret, den nationella säkerheten och den allmänna ordningen och säkerheten, eller på förebyggande av brott, brottsutredning, förande av brott till åtalsprövning eller väckande av åtal. 
Bestämmelserna i 7 § 3 mom., 14–16 §, 5 kap. och 29 § tillämpas inte på en sådan kritisk aktör som är verksam inom området för den nationella säkerheten, den allmänna säkerheten, försvaret eller brottsbekämpningen eller som tillhandahåller tjänster till en myndighet som avses i 1 mom. Vad som föreskrivs ovan i detta moment gäller dock inte en sådan kritisk aktör som i liten utsträckning tillhandahåller tjänster inom området för den nationella säkerheten, den allmänna säkerheten, försvaret eller brottsbekämpningen. 
Bestämmelserna i 7 § 3 mom. Utskottet föreslår en ändring 3—5 punkten och 4 mom, 13 § 3 mom. Slut på ändringsförslaget, 14–16 §, 5 kap. och 29 § tillämpas inte på en kritisk aktör som är verksam inom sektorn bankverksamhet enligt punkt 3 i tabellen i bilagan till CER-direktivet, inom sektorn finansmarknadsinfrastruktur enligt punkt 4 i den tabellen eller inom sektorn digital infrastruktur enligt punkt 8 i den tabellen. 
Denna lag tillämpas inte på utlämnande av sådan information vars röjande eller utlämnande äventyrar försvaret, den nationella säkerheten eller den allmänna ordningen och säkerheten. 
3 § 
Förhållande till annan lagstiftning 
Om det i Europeiska unionens rättsakter sektorsspecifikt krävs att kritiska aktörer vidtar åtgärder för att stärka sin motståndskraft och kraven åtminstone är likvärdiga med motsvarande skyldigheter enligt denna lag, ska dessa tillämpas på den kritiska aktören i stället för denna lag. 
Om det i någon annan lag eller i bestämmelser som utfärdats med stöd av den finns krav som avviker från denna lag i fråga om den riskbedömning eller den anmälan av incidenter som görs av en kritisk aktör, och kraven har minst samma verkan som motsvarande skyldigheter enligt denna lag, ska de tillämpas i stället för motsvarande bestämmelser i denna lag. 
Bestämmelser om behandlingen av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen (1050/2018). 
Bestämmelser om skyldigheten för en kritisk aktör som identifierats enligt denna lag att hantera cybersäkerhetsrelaterade risker finns i cybersäkerhetslagen (Utskottet föreslår en ändring 124/2025 Slut på ändringsförslaget). 
4 § 
Definitioner 
I denna lag avses med 
1) motståndskraft en kritisk aktörs förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från en incident, 
2) samhällsviktig tjänst en tjänst som är avgörande för att upprätthålla viktiga samhällsfunktioner, ekonomisk verksamhet, folkhälsa och allmän säkerhet, eller miljön, 
3) kritisk infrastruktur en tillgång, en anläggning, utrustning, ett nätverk eller ett system, eller en del av en tillgång, en anläggning, utrustning, ett nätverk eller ett system, som krävs för tillhandahållandet av en samhällsviktig tjänst, 
4) incident varje händelse som kan medföra en betydande störning, eller som medför en störning, av tillhandahållandet av en samhällsviktig tjänst, inbegripet när den påverkar de nationella system som skyddar rättsstatens principer, 
5) risk risk för förlust eller störning orsakad av en incident, som ska uttryckas som en kombination av omfattningen av förlusten eller störningen och sannolikheten för att incidenten inträffar, 
6) riskbedömning den övergripande processen för att fastställa arten och omfattningen av en risk genom att identifiera och analysera potentiella relevanta hot, sårbarheter och faror som skulle kunna leda till en incident och genom att utvärdera den potentiella förlusten eller störningen i samband med tillhandahållandet av en samhällsviktig tjänst till följd av den incidenten. 
2 kap. 
Allmän styrning och utveckling 
5 § 
Riksomfattande plan för kritiska aktörers motståndskraft 
För att stärka kritiska aktörers motståndskraft och uppnå de allmänna målen för verksamheten ska statsrådet minst vart fjärde år anta en riksomfattande plan som fungerar som nationell strategi för kritiska aktörers motståndskraft (riksomfattande plan). 
Vid beredningen av den riksomfattande planen ska hänsyn tas till principbeslut och andra beslut av statsrådet som meddelats för motsvarande ändamål. 
Den riksomfattande planen ska innehålla åtminstone 
1) strategiska mål och prioriteringar för att stärka kritiska aktörers övergripande motståndskraft; gränsöverskridande och sektorsöverskridande beroenden och ömsesidiga beroenden ska då beaktas, 
2) en styrningsram för att uppnå de strategiska målen och prioriteringarna, 
3) en beskrivning av de åtgärder som behövs för att stärka kritiska aktörers övergripande motståndskraft samt en beskrivning av den nationella riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft som avses i 6 §, 
4) en beskrivning av den process genom vilken kritiska aktörer identifieras, 
5) beskrivningar av processen till stöd för kritiska aktörer och åtgärderna för att förbättra samarbetet mellan offentliga och privata aktörer, 
6) en förteckning över de viktigaste myndigheter och berörda parter som deltar i genomförandet av strategin, 
7) en policyram för samordning mellan de behöriga myndigheterna enligt CER-direktivet och NIS 2-direktivet för att dela information om cybersäkerhetsrisker, cyberhot och cyberincidenter och utföra tillsynsuppgifter, 
8) en beskrivning av de åtgärder som har införts för att göra det lättare att genomföra skyldigheterna i fråga om motståndskraft för sådana i kommissionens rekommendation om definitionen av mikroföretag samt små och medelstora företag (2003/361/EG) avsedda små och medelstora företag som har identifierats som kritiska aktörer. 
6 § 
Nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft 
Statsrådet ska minst vart fjärde år godkänna en nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft. 
Den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft ska innehålla en redogörelse för relevanta 
1) risker för naturolyckor, 
2) risker orsakade av människan, 
3) risker av sektorsövergripande eller gränsöverskridande slag, 
4) olyckor och naturkatastrofer, 
5) hot mot folkhälsan, 
6) hybridhot och en främmande stats verksamhet som inverkar på Finlands nationella säkerhet, 
7) hot relaterade till terroristbrott, och 
8) teknikrelaterade hot mot den nationella säkerheten, hot relaterade till missbruk av geografisk information och andra hot. 
I riskbedömningen ska hänsyn åtminstone tas till 
1) den riskbedömning som avses i artikel 6.1 i Europaparlamentets och rådets beslut nr 1313/2013/EU om en civilskyddsmekanism för unionen, 
2) sådana relevanta riskbedömningar som görs i enlighet med kraven i Europeiska unionens rättsakter, 
3) risker som beror på ömsesidiga beroenden mellan de sektorer som anges i bilagan till CER-direktivet samt gränsöverskridande beroenden, 
4) information enligt 16 och 17 § om anmälda incidenter. 
7 § 
Ministerium som sköter samordningsuppgiften 
Det ministerium som sköter samordningsuppgiften svarar för den allmänna styrningen, uppföljningen, samordningen och utvecklingen av verksamhet enligt denna lag. 
Det ministerium som sköter samordningsuppgiften är behörig myndighet enligt artikel 9.1 i CER-direktivet och svarar för att det organ som sköter den nationella kontaktpunktens uppgifter anmäls till kommissionen. Inrikesministeriet är det ministerium som sköter samordningsuppgiften. 
Inrikesministeriet har till uppgift att 
1) samordna beredningen av den riksomfattande planen för kritiska aktörers motståndskraft, 
2) samordna beredningen av den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft, 
3) behandla och till kommissionen lämna medlemsstatens begäran om rådgivande uppdrag enligt artikel 18.1 i CER-direktivet efter att ha fått det samtycke som avses i artikel 13.4 av den kritiska aktören, 
4) ge kommissionen det i artikel 18.2 i CER-direktivet avsedda samtycket till det rådgivande uppdraget, 
5) på motiverad begäran från kommissionen eller en medlemsstat i Europeiska unionen tillhandahålla kommissionen de relevanta delarna av riskbedömningen av en kritisk aktör av särskild europeisk betydelse och en förteckning över relevanta i 15 § avsedda åtgärder som den kritiska aktören vidtagit, 
6) förse kommissionen med information om den riksomfattande planen för kritiska aktörers motståndskraft inom tre månader från det att den har antagits, 
7) till kommissionen lämna information om antalet kritiska aktörer, samt 
8) till kommissionen lämna en förteckning över de samhällsviktiga tjänster som avses i artikel 7.2 a i CER-direktivet. 
Det ministerium som sköter samordningsuppgiften ska i syfte att säkerställa att CER-direktivet tillämpas på ett konsekvent sätt samråda med Europeiska unionens medlemsstater i fråga om sådana kritiska aktörer som 
1) använder kritisk infrastruktur som är fysiskt sammankopplad mellan två eller flera medlemsstater, 
2) ingår i företagsstrukturer som är sammankopplade eller sammanlänkade med kritiska aktörer i andra medlemsstater, 
3) har identifierats som kritiska aktörer i en medlemsstat i Europeiska unionen och tillhandahåller samhällsviktiga tjänster för eller i andra medlemsstater. 
8 § 
Åtgärder för främjande av motståndskraften hos kritisk infrastruktur 
De myndigheter som avses i 7, 13 och 19 § ska i samarbete med Försörjningsberedskapscentralen på ett övergripande plan främja helheter som hänför sig till kritiska aktörers motståndskraft. I detta syfte ska 
1) strategierna analyseras för att identifiera bästa praxis för dem,
2) information utbytas om sådan bästa praxis som hänför sig till identifiering av kritiska aktörer enligt 10 §,
3) information och bästa praxis utbytas om innovation, forskning och utveckling som rör kritiska aktörers motståndskraft, samt
4) vid behov information om frågor som rör kritiska aktörers motståndskraft utbytas med Europeiska unionens berörda institutioner, organ och byråer.
 
Den tillsynsmyndighet som avses i 19 § ska i samarbete med Försörjningsberedskapscentralen ge kritiska aktörer sådant stöd som avses i artikel 10.1 i CER-direktivet. I detta syfte kan vägledningsmaterial och metoder utarbetas, anordnandet av övningar för att testa motståndskraften stödjas samt rådgivning och utbildning tillhandahållas. 
9 § 
Förmedling av incidentanmälningar samt sammanfattande rapport 
Statsrådets lägescentral som avses i lagen om statsrådets lägescentral (300/2017) ska 
1) till kommissionen förmedla den incidentanmälan som har upprättats av den berörda myndigheten, om incidenten har eller kan ha en betydande påverkan på kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen, 
2) till den gemensamma kontaktpunkten i andra medlemsstater i Europeiska unionen som påverkas förmedla den berörda myndighetens information om incidenten, om incidenten har eller kan ha betydande påverkan på kritiska aktörer och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i en eller flera andra medlemsstater i Europeiska unionen, 
3) ta emot incidentanmälningar av gemensamma kontaktpunkter i medlemsstater i Europeiska unionen och förmedla dem till det ministerium som saken gäller, 
4) vartannat år till Europeiska unionens kommission och till den grupp för kritiska aktörers motståndskraft som avses i artikel 19 i CER-direktivet lämna en av det i 7 § avsedda ministeriet sammanställd sammanfattande rapport om incidentanmälningar samt om deras antal och art. 
3 kap. 
Identifiering av kritiska aktörer och allmänna krav på aktörer 
10 § 
Identifiering av en kritisk aktör 
En enskild eller offentlig sammanslutning eller en funktionell del av en sådan kan identifieras som en kritisk aktör om 
1) aktören tillhandahåller en eller flera tjänster som är viktiga med tanke på samhällets funktionsförmåga, 
2) aktören är verksam och den kritiska infrastruktur som aktören äger, innehar eller använder finns inom finskt territorium, och 
3) en incident skulle ha i 11 och 12 § avsedda betydande störande effekter
a) för aktörens tillhandahållande av en eller flera av de berörda samhällsviktiga tjänsterna, eller
b) för tillhandahållandet av andra samhällsviktiga tjänster inom sektorer som är beroende av tjänsten.
 
Vid identifieringen av kritiska aktörer beaktas den riksomfattande planen för kritiska aktörers motståndskraft och den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft samt den gränsöverskridande verksamheten och den europeiska samstämmigheten. 
11 § 
Betydande störande effekt 
Vid bedömningen av huruvida en i 10 § 1 mom. 3 punkten avsedd störande effekt är betydande ska hänsyn tas till 
1) antalet användare som är beroende av den tjänst som är viktig med tanke på samhällets funktionsförmåga, 
2) den grad i vilken andra sektorer och undersektorer som avses i bilagan till CER-direktivet är beroende av den berörda samhällsviktiga tjänsten, 
3) den effekt incidenten med hänsyn till sin allvarlighetsgrad eller varaktighet har på samhällelig och ekonomisk verksamhet, miljön, den allmänna ordningen och säkerheten eller befolkningens hälsa, 
4) aktörens marknadsandel, 
5) det geografiska område som kan påverkas av incidenten samt konsekvenser som överskrider Finlands gränser och med beaktande av den sårbarhet som är förknippad med graden av geografisk isolering, samt 
6) den betydelse aktören har för upprätthållandet av en tillräcklig nivå på den samhällsviktiga tjänsten, med beaktande av tillgången till alternativa tjänster eller möjligheten att ersätta den samhällsviktiga tjänsten. 
12 § 
Betydande störande effekt samt sektor 
Vid bedömningen av den betydelse en i 11 § avsedd betydande störande effekt har för en tjänst som är viktig med tanke på samhällets funktionsförmåga ska hänsyn tas till de särskilda uppgifter som är av relevans med tanke på samhällets funktionsförmåga samt dessutom kriterier som gäller följande sektorer: 
1) i fråga om energisektorn
a) mängden råmaterial som tagits emot inom produktionen eller bearbetningen,
b) mängden energi som produceras på årsnivå, andel av mängden nationell energi som produceras eller produktionskapaciteten för energi,
c) lagringskapaciteten,
d) antalet kunder,
e) leveranskapaciteten,
f) överföringen av energi och mängden energi som överförts från nätet,
 
2) i fråga om livsmedelssektorn mängden råvaror i liter eller kilogram som tagits emot vid produktion och bearbetning av livsmedel, produktionsmängden samt mängden förnödenheter som distribueras, även i fråga om handel och distribution samt måltidstjänster, 
3) i fråga om transportsektorn
a) tjänsteproducentens andel av den nationella transportvolymen,
b) antalet passagerare per år,
c) antalet frakttransporter per år,
 
4) i fråga om vattenförsörjningssektorn
a) kubikmeter vatten som levereras per dygn,
b) kubikmeter avloppsvatten som leds bort per dygn,
 
5) i fråga om rymdsektorn
a) aktörens andel när det gäller tillhandahållandet av sådana tjänster eller sådan informationsproduktion som är kritiska för samhället och som är beroende av rymdbaserade tjänster,
b) aktörens andel när det gäller tillhandahållandet av tjänster som är viktiga med tanke på informationsproduktion i anslutning till rymdlägesbilden eller störningar i radiomiljön.
 
13 § 
Beslutsfattande om kritiska aktörer 
Ett ärende som gäller identifiering av en kritisk aktör ska avgöras av det ministerium till vars ansvarsområde den aktuella aktören hör. Beslutet är i kraft högst fyra år. 
Innan ett ärende som avses i 1 mom. avgörs ska utlåtande begäras av det ministerium som avses i 7 § och i behövlig omfattning av andra ministerier och myndigheter samt Försörjningsberedskapscentralen. 
En kritisk aktör som identifierats genom ett beslut enligt denna paragraf betraktas som en kritisk aktör av särskild europeisk betydelse, om den tillhandahåller samma eller liknande samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen, och har underrättats om att den betraktas som en kritisk aktör av särskild europeisk betydelse. När kommissionen har lämnat en underrättelse om att en kritisk aktör betraktas som en kritisk aktör av särskild europeisk betydelse, ska det ministerium som avses i 7 § utan dröjsmål vidarebefordra informationen om kommissionens underrättelse och de tillhörande skyldigheterna till den kritiska aktören. 
Ministeriet kan återkalla ett beslut som avses i 1 mom. om den kritiska aktören inte längre uppfyller förutsättningarna för beslutet eller om den kritiska aktören har upphört med sin verksamhet. 
14 § 
Riskbedömning som görs av en kritisk aktör 
En kritisk aktör ska göra en riskbedömning vid behov och minst vart fjärde år. När riskbedömningen görs ska hänsyn tas till den nationella riskbedömningen av kritisk infrastruktur och kritiska aktörers motståndskraft samt till andra informationskällor som är relevanta med tanke på riskbedömningen. 
I den riskbedömning som den kritiska aktören gör ska hänsyn tas till alla sådana relevanta risker för naturolyckor och risker orsakade av människan som kan leda till en incident. Hänsyn ska då tas till risker av sektorsövergripande eller gränsöverskridande slag, olyckor, naturkatastrofer, hot mot folkhälsan, hybridhot och övriga hot samt andra hot som det behöriga ministeriet fastställer. 
I riskbedömningen ska hänsyn tas till den utsträckning i vilken andra sektorer är beroende av den samhällsviktiga tjänst som den kritiska aktören tillhandahåller. 
Om en annan riskbedömning eller ett annat dokument utarbetas för motsvarande ändamål med stöd av någon annan lag än denna, får den kritiska aktören använda den bedömningen eller det dokumentet. Detta ska nämnas i riskbedömningen eller dokumentet i fråga. 
15 § 
Säkerställande av motståndskraften samt plan för motståndskraft 
En kritisk aktör ska för att säkerställa sin motståndskraft vidta lämpliga och proportionella tekniska, säkerhetsmässiga och organisatoriska åtgärder på grundval av den riskbedömning som avses i 14 § och annan relevant information. I detta syfte ska den kritiska aktören utarbeta en plan som innehåller lämpliga och proportionella tekniska, säkerhetsmässiga och organisatoriska åtgärder för att säkerställa motståndskraften. 
Planen ska innehålla en redogörelse för 
1) åtgärder för att förhindra incidenter från att uppstå, med hänsyn till åtgärder för katastrofriskreducering och klimatanpassning, 
2) fysiskt skydd av lokalerna och infrastrukturen i dem i form av stängsel, barriärer, detektionsutrustning, åtkomstkontroller och annat fysiskt skydd, 
3) åtgärder för att reagera på, stå emot och begränsa konsekvenserna av incidenter och störningssituationer, 
4) åtgärder genom vilka aktören återhämtar sig från incidenter, med hänsyn till åtgärder för driftskontinuitet och alternativa försörjningskedjor, 
5) åtgärder för att säkerställa personalsäkerheten i form av fastställande av kategorier av personal som utför kritiska funktioner där även anlitande av personal hos externa tjänsteleverantörer beaktas, fastställande av åtkomsträttigheter till lokaler, kritisk infrastruktur och känslig information samt begäran om säkerhetsutredningar och utbildnings- och kompetenskrav och andra åtgärder för att säkerställa personalsäkerheten, 
6) information till den berörda personalen, samt 
7) tidsplanen för genomförandet. 
Om ett annat dokument eller en annan plan utarbetas för motsvarande ändamål med stöd av någon annan lag än denna, behöver en separat plan enligt denna paragraf inte utarbetas, utan den kritiska aktören kan använda sig av dokumentet eller planen i fråga. Detta ska nämnas i planen eller dokumentet. 
Den kritiska aktören ska utse en kontaktpunkt genom vilken informationsgången ordnas och i detta syfte meddela namn och kontaktuppgifter för den kontaktperson som sköter uppgiften eller en annan motsvarande kontaktpunkt där information kan fås. 
4 kap. 
Incidentanmälan som görs av en kritisk aktör 
16 § 
Skyldighet att anmäla incidenter 
En kritisk aktör ska utan obefogat dröjsmål lämna in en anmälan till den behöriga tillsynsmyndigheten och Statsrådets lägescentral om varje incident som medför eller kan medföra en Utskottet föreslår en ändring betydande Slut på ändringsförslaget störning i tillhandahållandet av samhällsviktiga tjänster. 
Den kritiska aktören ska lämna in en första anmälan till tillsynsmyndigheten och Statsrådets lägescentral inom 24 timmar från det att den har fått kännedom om en incident, om inte något annat följer av ett nödvändigt operativt skäl. Den kritiska aktören lämnar vid behov en detaljerad rapport till det ministerium som sköter samordningsuppgiften, det ministerium som ansvarar för sektorn och den behöriga tillsynsmyndigheten senast inom en månad från det att incidenten har kommit till kännedom. 
Vid fastställandet av huruvida störningen är betydande ska i synnerhet beaktas antal och andel användare som berörs av störningen, störningens varaktighet och geografiska område samt huruvida området är geografiskt isolerat. 
Försörjningsberedskapscentralen har trots sekretessbestämmelserna rätt att få den information om den i 2 mom. avsedda första anmälan och detaljerade rapporten som bedöms vara nödvändig för utförande av centralens uppgifter och för stödjande av de ministerier som saken gäller och de behöriga tillsynsmyndigheterna. 
17 § 
Innehållet i en första anmälan och i en detaljerad rapport 
En första anmälan om en incident ska innehålla 
1) information om att en incident har upptäckts och om dess art, 
2) en bedömning av den förmodade orsaken, 
3) en bedömning av eventuella konsekvenser samt en bedömning av antal eller andel användare av den samhällsviktiga tjänst som berörs av störningen, 
4) information som krävs för att kunna fastställa incidentens eventuella gränsöverskridande verkningar. 
Den detaljerade rapporten ska innehålla 
1) en detaljerad beskrivning av incidenten, dess allvarlighetsgrad och konsekvenser samt geografiska omfattning, 
2) arten av det hot eller den orsak som sannolikt har utlöst incidenten, 
3) tillämpade eller pågående åtgärder för att begränsa incidentens konsekvenser, 
4) eventuella gränsöverskridande verkningar, samt 
5) annan information som är väsentlig för hanteringen av incidenten än den som avses i punkterna 1–4. 
Den kritiska aktören ska på tillsynsmyndighetens begäran lämna ytterligare upplysningar som har samband med den upptäckta incidenten. 
18 § 
Behandling av mottagna incidentanmälningar 
Den behöriga tillsynsmyndigheten ska underrätta den kritiska aktören om mottagandet av incidentanmälan och om eventuella stödåtgärder. 
Den behöriga tillsynsmyndigheten ska utan dröjsmål informera den kritiska aktören om fortsatta åtgärder. Om det ligger i allmänt intresse att det underrättas om en störning, kan tillsynsmyndigheten dessutom ålägga den kritiska aktören att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. 
Om en incident har eller kan ha en betydande påverkan på kritiska aktörer och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster i en eller flera medlemsstater i Europeiska unionen, eller om en incident har eller kan ha en betydande påverkan på kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i minst sex medlemsstater i Europeiska unionen, ska detta på basis av erhållen information anmälas i enlighet med 9 §. 
5 kap. 
Tillsyn 
19 § 
Tillsynsmyndigheter 
Den behöriga tillsynsmyndigheten övervakar att de skyldigheter som föreskrivs och bestäms för kritiska aktörer med stöd av denna lag fullgörs. Tillsynsmyndigheter enligt denna lag är 
1) Energimyndigheten i fråga om de kritiska aktörer som inom energisektorn hör till aktörskategorierna inom undersektorerna elektricitet, fjärrvärme eller fjärrkyla och inom undersektorn gas hör till aktörskategorierna systemansvariga för distributionssystemet, systemansvariga för överföringssystemet och gashandelsföretag eller gashandlare samt inom undersektorn vätgas hör till aktörskategorin operatörer av överföring av vätgas, 
2) Närings-, trafik- och miljöcentralen i Södra Savolax i fråga om de kritiska aktörer som hör till kategorierna av aktörer inom sektorerna dricksvatten och avloppsvatten, 
3) Transport- och kommunikationsverket i fråga om de kritiska aktörer som inom sektorn för transport hör till undersektorerna luftfart, järnväg, vatten, väg och kollektivtrafikUtskottet föreslår en ändring  samt för de kritiska aktörer som hör till rymdsektorn Slut på ändringsförslaget, 
4) Säkerhets- och utvecklingscentret för läkemedelsområdet (Fimea) i fråga om sådana aktörer som identifierats som kritiska och 
a) som bedriver forskning och utveckling avseende läkemedel enligt definitionen i artikel 1.2 i Europaparlamentets och rådets direktiv 2001/83/EG om upprättande av gemenskapsregler för humanläkemedel, nedan läkemedelsdirektivet , 
b) som tillverkar farmaceutiska basprodukter och läkemedel som avses i huvudgrupp 21 avdelning C i Nace Rev. 2-klassificeringen, sådan den lyder i Europaparlamentets och rådets förordning (EG) nr 1893/2006 om fastställande av den statistiska näringsgrensindelningen Nace rev. 2 och om ändring av rådets förordning (EEG) nr 3037/90 och vissa EG-förordningar om särskilda statistikområden, senast ändrad genom kommissionens delegerade förordning (EU) 2023/137, 
c) som tillverkar sådana medicintekniska produkter som betraktas som kritiska vid ett hot mot folkhälsan enligt artikel 22 i Europaparlamentets och rådets förordning (EU) 2022/123 om en förstärkt roll för Europeiska läkemedelsmyndigheten vid krisberedskap och krishantering avseende läkemedel och medicintekniska produkter, 
d) som enligt artikel 79 i läkemedelsdirektivet har tillstånd att bedriva partihandel och apotek, 
e) som lämnar ut och tillhandahåller läkemedel och medicinska hjälpmedel enligt patientdirektivet samt inrättningar för blodverksamhet, , 
5) Livsmedelsverket i fråga om de kritiska aktörer som hör till aktörskategorin produktion, bearbetning och distribution av livsmedel, 
6) Säkerhets- och kemikalieverket i fråga om de kritiska aktörer som inom energisektorn hör till undersektorerna olja, vätgas och gas, med undantag för de aktörer som enligt vad som föreskrivits ovan omfattas av Energimyndighetens tillsyn, 
7) Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverken i fråga om tjänsteanordnare och tjänsteproducenter som identifierats som kritiska och som tillhandahåller hälso- och sjukvårdstjänster enligt 4 § i lagen om tillsynen över social- och hälsovården; den behöriga tillsynsmyndigheten bestäms i enlighet med 32 § 2 och 3 mom. i den nämnda lagen, 
8) Tillstånds- och tillsynsverket för social- och hälsovården i fråga om EU-referenslaboratorier som identifierats som kritiska och som avses i artikel 15 i Europaparlamentets och rådets förordning (EU) 2022/2371 om allvarliga gränsöverskridande hot mot människors hälsa och om upphävande av beslut nr 1082/2013/EU. 
20 § 
Inriktning av tillsynen och inspektionsrätt 
Tillsynen ska inriktas på kritiska aktörer för övervakning av att skyldigheterna enligt denna lag fullgörs, i den omfattningen det behövs. Tillsynsmyndigheten har rätt att utföra inspektioner på plats av den kritiska infrastruktur, de byggnader och de lokaler som den kritiska aktören använder för att tillhandahålla sina samhällsviktiga tjänster. 
I samband med en inspektion har myndigheten rätt att i tillsynsobjektet få tillträde till alla byggnader och lokaler samt datasystem och andra system som är nödvändiga för inspektionen samt rätt att trots sekretessbestämmelserna eller andra begränsningar få redogörelser om de planer och andra arrangemang som krävs enligt denna lag. Inspektion får dock inte förrättas i utrymmen som används för boende av permanent natur. Tillsynsmyndigheten kan dessutom utanför byggnaderna och lokalerna övervaka en kritisk aktörs åtgärder, för säkerställande av den kritiska aktörens motståndskraft. 
Tillsynsmyndigheten kan höra utomstående experter och begära utlåtanden av dem. Tillsynsmyndigheten kan i samband med inspektionen anlita en utomstående expert. Den som förrättar inspektionen och den utomstående expert som deltar i inspektionen ska ha sådan utbildning och erfarenhet som behövs för inspektionen. På experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de utför biträdande uppgifter enligt denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974). 
På förfarandet vid inspektionen tillämpas 39 § i förvaltningslagen (434/2003). 
21 § 
Anmärkning, varning och tillsynsbeslut 
Tillsynsmyndigheten kan ge en kritisk aktör som bryter mot denna lag en anmärkning eller varning. En varning kan ges om en anmärkning inte kan anses tillräcklig med beaktande av omständigheterna i ärendet som helhet. En varning ska ges skriftligen och i den ska den brist eller försummelse som varningen gäller specificeras. 
Tillsynsmyndigheten kan genom sitt beslut ålägga aktören att inom en skälig tid avhjälpa upptäckta brister eller försummelser. Tillsynsmyndigheten kan förena beslutet med vite eller hot om tvångsutförande. 
22 § 
Försummelseavgift 
Tillsynsmyndigheten kan genom sitt beslut ålägga en kritisk aktör att betala en försummelseavgift, om den kritiska aktören uppsåtligen eller av grov oaktsamhet försummar att göra en riskbedömning enligt 14 §, vidta åtgärder enligt 15 § eller göra en anmälan om en incident enligt 16 § och den upptäckta bristen eller försummelsen har en betydande påverkan på tillhandahållandet av samhällsviktiga tjänster. Försummelseavgiften ska betalas till staten. Försummelseavgift kan inte påföras en kritisk aktör som är en statlig myndighet, ett statligt affärsverk, en kommunal myndighet, ett välfärdsområde eller en självständig offentligrättslig inrättning. Försummelseavgiften uppgår till minst 2 000 och högst 20 000 euro. 
Vid bedömningen av försummelseavgiftens storlek ska hänsyn tas till omständigheterna i fallet och förfarandets art och i detta syfte åtminstone följande omständigheter: 
1) försummelsens varaktighet, 
2) huruvida det är fråga om en upprepad försummelse eller brist, 
3) underlåtenhet att underrätta om betydande incidenter, 
4) underlåtenhet att avhjälpa upptäckta brister trots beslut av tillsynsmyndigheten, 
5) åtgärder som den kritiska aktören vidtagit för att förhindra eller begränsa skadan. 
23 § 
Avstående från försummelseavgift 
Försummelseavgift påförs inte om 
1) den kritiska aktören på eget initiativ vidtagit tillräckliga åtgärder för att avhjälpa försummelsen omedelbart efter att den upptäckts och utan dröjsmål underrättat tillsynsmyndigheten om den samt samarbetat med tillsynsmyndigheten, och försummelsen inte är återkommande, 
2) försummelsen ska anses vara ringa, eller 
3) påförande av avgift ska anses vara uppenbart oskäligt på andra grunder än de som avses i 1 eller 2 punkten; försummelseavgift får inte påföras, om det har förflutit mer än fem år sedan försummelsen har skett. 
Försummelseavgift får inte påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Försummelseavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom. 
24 § 
Verkställighet av försummelseavgift 
Bestämmelser om verkställigheten av påföljdsavgifter finns i lagen om verkställighet av böter (672/2002). En påföljdsavgift preskriberas när fem år har förflutit från den dag då det lagakraftvunna beslutet om avgiften meddelades. 
6 kap. 
Särskilda bestämmelser 
25 § 
Begäran om omprövning 
I beslut som avses i denna lag får omprövning begäras. Bestämmelser om begäran om omprövning finns i förvaltningslagen. 
I beslut av statsrådets allmänna sammanträde får omprövning inte begäras. 
26 § 
Sökande av ändring 
Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019). 
Vid sökande av ändring i beslut som gäller föreläggande och utdömande av vite samt föreläggande och verkställighet av hot om tvångsutförande tillämpas dock viteslagen (1113/1990). 
27 § 
Myndigheters och andra organs rätt att få information 
Tillsynsmyndigheten har trots sekretessbestämmelserna rätt att av myndigheter och sådana aktörer som identifierats som kritiska avgiftsfritt få den information som är nödvändig för att den ska kunna utföra sina uppgifter enligt denna lag. Tillsynsmyndigheten har trots sekretessbestämmelserna rätt att till en annan tillsynsmyndighet och en tillsynsmyndighet enligt 26 § i cybersäkerhetslagen ( / ) samt det ministerium som avses i 7 § i denna lag och det ministerium till vars ansvarsområde det ärende som behandlas hör lämna ut den information som är nödvändig för att de ska kunna utföra sina uppgifter. Tillsynsmyndigheten har trots sekretessbestämmelserna rätt att lämna ut nödvändig information också till Försörjningsberedskapscentralen för utförande av dess uppgifter. 
Den rätt att få information som avses i denna paragraf gäller inte information som behandlas av den CSIRT-enhet som avses i 19 § i cybersäkerhetslagen. 
28 § 
Myndighetssamarbete 
De myndigheter som avses 26 § i cybersäkerhetslagen ska underrättas om ett beslut enligt 13 § i denna lag om identifiering av en kritisk aktör inom en månad från beslutet. 
De myndigheter som avses i 13 Utskottet föreslår en ändring § 1 och 2 mom. Slut på ändringsförslaget och 19 § i denna lag och myndigheten enligt 26 § i cybersäkerhetslagen ska sinsemellan utbyta information om identifiering av kritiska aktörer och om cybersäkerhetsrisker, cyberhot och cyberincidenter och icke-cyberrelaterade risker, hot och incidenter som påverkar kritiska aktörer samt om relevanta åtgärder och hanteringsåtgärder som vidtagits av de nämnda myndigheterna. 
29 § 
Säkerhetsutredning 
Om en i säkerhetsutredningslagen (726/2014) avsedd säkerhetsutredning av person görs om en person som ska utses till eller arbetar i ett anställningsförhållande eller uppdrag hos en sådan kritisk aktör som avses i 13 § i denna lag, och det behövs på grund av att den som utredningen gäller har vistats utomlands eller av någon annan särskild orsak, kan skyddspolisen för utredningen göra en begäran enligt 20 c § i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012). Registeruppgifter som erhållits på grundval av en begäran får utöver vad som i övrigt föreskrivs i säkerhetsutredningslagen användas vid säkerhetsutredning av person. 
30 § 
Ikraftträdande 
Denna lag träder i kraft den 2025. 
Efter ikraftträdandet av denna lag ska en i 5 § avsedd riksomfattande plan för kritiska aktörers motståndskraft och en i 6 § avsedd nationell riskbedömning av kritisk infrastruktur och kritiska aktörers motståndskraft för första gången antas senast den 17 januari 2026. Beslut enligt 13 § om identifiering av en kritisk aktör ska fattas för första gången senast den 17 juli 2026. 
Efter ikraftträdandet av denna lag ska den som identifierats som en kritisk aktör göra en första sådan i 14 § avsedd riskbedömning som görs av en kritisk aktör inom nio månader från det att aktören har underrättats om ett i 13 § avsett beslut. En plan enligt 15 § ska utarbetas för första gången inom ett år från det att den riskbedömning som avses i 14 § har gjorts. 
Senast den 17 juli 2028 ska en första sammanfattande rapport om inkomna incidentanmälningar enligt 16 § lämnas till kommissionen och till den grupp för kritiska aktörers motståndskraft som avses i artikel 19 i CER-direktivet. 
 Slut på lagförslaget 

2. Lag om ändring av 19 § i säkerhetsutredningslagen 

I enlighet med riksdagens beslut 
ändras i säkerhetsutredningslagen (726/2014) 19 § 1 mom. 4 punkten som följer: 
19 § 
När får en normal säkerhetsutredning av person göras 
En normal säkerhetsutredning av person får göras i fråga om den som ska utses till ett anställningsförhållande eller uppdrag eller som arbetar i ett anställningsförhållande eller med ett uppdrag och som 
 En icke ändrad del av lagtexten har utelämnats 
4) arbetar med uppgifter där personen kan skada funktionen hos den infrastruktur som är nödvändig för ett fungerande samhälle eller den kritiska produktionens kontinuitet eller där personen genom obehörig användning av information som han eller hon fått i dessa uppgifter på ett betydande sätt kan äventyra statens säkerhet eller främja organiserad brottslighet, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag om ändring av lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen 

I enlighet med riksdagens beslut 
ändras i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012) 1 och 6 §, 11 § 2 mom., 16 § 1 mom., 17 § 1 mom., 18 § 1 mom. och 21 § 1 mom., 
sådana de lyder, 1 § i lag 73/2023 samt 6 §, 11 § 2 mom., 16 § 1 mom., 17 § 1 mom., 18 § 1 mom. och 21 § 1 mom. i lag 74/2021, samt 
fogas till lagen nya 15 c och 20 c § och till 22 §, sådan den lyder delvis ändrad i lagarna 150/2014 och 74/2021, ett nytt 5 mom. som följer: 
1 § 
Tillämpningsområde 
Denna lag innehåller bestämmelser om överföring av uppgifter ur straffregistret och bötesregistret till den medlemsstat i Europeiska unionen där den dömda personen är medborgare (den medlemsstat där personen är medborgare) samt om lagring i Finland av sådana registeruppgifter om finska medborgare som har överförts till Finland från en annan medlemsstat. 
Denna lag innehåller dessutom bestämmelser om utlämnande av i 1 mom. avsedda uppgifter på begäran för straffrättsliga förfaranden, för att uppfylla en enskild persons begäran om att få uppgifter om sig själv eller, med den berörda personens samtycke, för skötsel av ett sådant uppdrag som består i arbete med eller annan verksamhet bland minderåriga, samt bestämmelser om framställande av en begäran om sådana uppgifter. 
Denna lag innehåller också bestämmelser om utlämnande av i 1 mom. avsedda uppgifter på begäran i syfte att utreda bakgrunden hos tillståndssökande som avses i artikel 6 i Europaparlamentets och rådets förordning (EU) 2019/1148 om saluföring och användning av sprängämnesprekursorer, om ändring av förordning (EG) nr 1907/2006 och om upphävande av förordning (EU) nr 98/2013, nedan förordningen om sprängämnesprekursorer, samt om framställande av en begäran om sådana uppgifter. 
Denna lag innehåller därtill bestämmelser om utlämnande av i 1 mom. avsedda uppgifter på begäran i syfte att utföra en bakgrundskontroll som avses i artikel 14 i Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG, nedan CER-direktivet, samt om framställande av en begäran om sådana uppgifter. 
I denna lag utfärdas också bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2019/816 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726, nedan förordningen
För de funktioner som avses i 1–4 mom. svarar Rättsregistercentralen, som är centralmyndighet enligt artikel 3 i rådets rambeslut 2009/315/RIF om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll, nedan rambeslutet. Rättsregistercentralen är också centralmyndighet enligt artikel 3.5 i förordningen. 
För överföring och utlämnande av uppgifter som avses i 1–4 mom. används ett decentraliserat informationstekniskt system som bygger på de datoriserade kriminalregistren i varje medlemsstat (det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister Ecris). 
6 § 
Vidarebefordran av uppgifter 
När Rättsregistercentralen i enlighet med 5 § överför uppgifter till den medlemsstat där personen är medborgare, ska centralen meddela att uppgifterna får vidarebefordras till andra stater endast för straffrättsliga förfaranden, för att uppfylla en enskild persons begäran om att få uppgifter om sig själv, med den berörda personens samtycke för skötsel av ett sådant uppdrag som består i arbete med eller annan verksamhet bland minderåriga, för att göra en bakgrundskontroll av sökande av tillstånd för sprängämnesprekursorer enligt förordningen om sprängämnesprekursorer eller för att utföra en i artikel 14 i CER-direktivet avsedd bakgrundskontroll. 
11 § 
Utlämnande av uppgifter ur lagringsregistret 
 En icke ändrad del av lagtexten har utelämnats 
Rättsregistercentralen får i enlighet med 14, 15 och 15 a–15 c § ur lagringsregistret lämna ut uppgifter till centralmyndigheten eller någon annan behörig myndighet i en annan medlemsstat. 
 En icke ändrad del av lagtexten har utelämnats 
15 c § 
Svar på en begäran för en bakgrundskontroll enligt CER-direktivet 
Rättsregistercentralen ska till den centralmyndighet i en annan medlemsstat som begär registeruppgifter lämna ut de i 3 § avsedda uppgifterna ur straffregistret, bötesregistret och lagringsregistret för en bakgrundskontroll enligt artikel 14 i CER-direktivet. 
Om det i straffregistret finns uppgifter som har antecknats i lagringsregistret, ska endast uppgifterna i lagringsregistret överföras till den medlemsstat som har framställt begäran. 
16 § 
Begärans innehåll och form samt språk 
Rättsregistercentralen ska godkänna en sådan begäran enligt 14, 15 eller 15 a–15 c § som framställts av centralmyndigheten i en annan medlemsstat, om begäran innehåller de behövliga uppgifter som avses i formuläret i bilagan till rambeslutet. Begäran ska framställas i elektronisk form, eller i annan skriftlig form om den inte har kunnat framställas elektroniskt. 
 En icke ändrad del av lagtexten har utelämnats 
17 § 
Svarets innehåll och form samt språk 
Rättsregistercentralen ska i sitt svar till den centralmyndighet eller behöriga myndighet i en annan medlemsstat som har framställt begäran överföra de uppgifter som avses i 14, 15 eller 15 a–15 c § i enlighet med formuläret i bilagan till rambeslutet. 
 En icke ändrad del av lagtexten har utelämnats 
18 § 
Tidsfrister 
Rättsregistercentralen ska i sitt svar överföra sådana uppgifter som avses i 14, 15 b och 15 c § till centralmyndigheten eller den behöriga myndigheten i den andra medlemsstaten utan dröjsmål och inom tio vardagar från den dag då begäran togs emot. 
 En icke ändrad del av lagtexten har utelämnats 
20 c § 
Framställande av begäran för säkerhetsutredning av person 
För en säkerhetsutredning av person enligt 29 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft ( / ) ska Rättsregistercentralen framställa en begäran till centralmyndigheten i en annan medlemsstat om utlämnande av registeruppgifter och tillhörande uppgifter, om skyddspolisen har begärt det. 
21 § 
Begärans innehåll och form samt språk 
Rättsregistercentralen ska framställa en begäran som avses i 19, 20 eller 20 a–20 c § till centralmyndigheten i en annan medlemsstat i enlighet med formuläret i bilagan till rambeslutet. 
 En icke ändrad del av lagtexten har utelämnats 
22 § 
Begränsningar för användningen av uppgifterna 
 En icke ändrad del av lagtexten har utelämnats 
Registeruppgifter och tillhörande uppgifter som en annan medlemsstat har överfört på grundval av en begäran i enlighet med 20 c § får användas endast för en sådan säkerhetsutredning av person som avses i 29 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft, i enlighet med vad den medlemsstat som överförde uppgifterna har meddelat. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

4. Lag om ändring av 4 a och 5 § i straffregisterlagen 

I enlighet med riksdagens beslut 
ändras i straffregisterlagen (770/1993) 5 § 1 mom., sådant det lyder i lag 74/2023, samt 
fogas till 4 a §, sådan den lyder i lagarna 1093/1999, 215/2012, 733/2014, 1114/2018, 75/2021, 23/2022, 333/2022 och 424/2023 ett nytt 6 mom. som följer: 
4 a § 
 En icke ändrad del av lagtexten har utelämnats 
Till en centralmyndighet i en annan medlemsstat i Europeiska unionen lämnas straffregisteruppgifter ut med anledning av en begäran som framställts till centralmyndigheten i enlighet med 15 b och 15 c § i EU-straffregisterlagen. 
5 § 
Uppgifter ur straffregistret lämnas ut i form av straffregisterutdrag som innehåller de uppgifter om en person som har införts i registret eller en upplysning om att personen inte har antecknats i registret. Beträffande juridiska personer lämnas ett utdrag med motsvarande innehåll. Om uppgifter om ett avgörande har fåtts i enlighet med 20 eller 20 a–20 c § i EU-straffregisterlagen eller ur det lagringsregister som avses i den lagen, antecknas det i utdraget de uppgifter som skulle kunna införas i straffregistret. I straffregisterutdraget antecknas dock inte de uppgifter ur straffregistret som gäller numret på polisanmälan eller lagbestämmelser som har tillämpats och inte heller sådana uppgifter som inte får antecknas på grund av villkor som ställts av en annan medlemsstat och som avses i 9 § 4 mom. i EU-straffregisterlagen. I straffregisterutdraget antecknas den uppgift som avses i 2 § 5 mom. i denna lag endast om utdraget med stöd av 4 § 1 mom. ges till en åklagare eller en förundersökningsmyndighet. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

5. Lag om ändring av lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet 

I enlighet med riksdagens beslut 
ändras i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004) det inledande stycket i 4 § 1 mom. 1 punkten, 4 § 1 mom. 1 punkten underpunkt a och 25 § 2 mom., sådana de lyder, det inledande stycket i 4 § 1 mom. 1 punkten samt 4 § 1 mom. 1 punkten underpunkt a i lag 955/2018 och 25 § 2 mom. i lag 1519/2019, samt 
fogas till lagen en ny 7 g § som följer: 
4 § 
Transport- och kommunikationsverkets särskilda uppgifter 
Transport- och kommunikationsverket är den nationella myndighet med ansvar för sjöfartsskyddet och skyddsåtgärderna i hamnar som avses i artikel 2.6 i förordningen om sjöfartsskydd. Dessutom har Transport- och kommunikationsverket till uppgift att 
1) utföra skyddsutredningar av hamnanläggningar och hamnar, godkänna fartygens, hamnarnas och hamnanläggningarnas skyddsplaner, besiktiga fartyg samt utfärda certifikat på det sätt som föreskrivs i förordningen om sjöfartsskydd och i denna lag samt att
a) på basis av skyddsutredningen och på hamninnehavarens framställning godkänna gränserna för hamnskyddsområdet och godkänna vilka av dem som hör till hamnpersonalen eller av dem som avses i 7 g § som ska omfattas av en i säkerhetsutredningslagen (726/2014) avsedd säkerhetsutredning samt sörja för översynen av hamnarnas skyddsplaner i enlighet med denna lag,
 
 En icke ändrad del av lagtexten har utelämnats 
2 a kap. 
Sjöfartsskyddet i hamnar 
7 g § 
Säkerhetsutredning 
En hamninnehavare i en hamn för utrikesfart ska säkerställa att endast den som kan anses vara oförvitlig och tillförlitlig har tillgång till sådana uppgifter och informationssystem som är kritiska med tanke på hamnens säkerhet. I detta syfte ska hamninnehavaren ansöka om säkerhetsutredning av en person som 
1) får tillgång till sekretessbelagda uppgifter om sjöfartsskyddet i en hamn, eller 
2) i fråga om ett informationssystem för hantering av last eller övervakning av en hamn som är kritiskt med tanke på hamnens säkerhet får sådana åtkomsträttigheter som gör det möjligt att läsa och ändra uppgifterna i annat syfte än för en enskild arbetsuppgift eller tekniskt underhåll av informationssystemet. 
Uppgifterna eller informationssystemet ska anses vara kritiska med tanke på en hamns säkerhet, om användningen av uppgifterna eller informationssystemet eller ändring av uppgifter i informationssystemet på ett betydande sätt kan äventyra statens säkerhet eller främja organiserad brottslighet. Transport- och kommunikationsverket fattar beslut om vilka uppgifter och informationssystem som anses vara kritiska med tanke på säkerheten och vilka hamninnehavare som omfattas av skyldigheten enligt 1 mom. samt vilka åtkomsträttigheter bestämmelsen i 1 mom. 2 punkten avser. I bedömningen ska den skyddsutredning och hamnskyddsplan som gjorts för hamnen beaktas. 
Transport- och kommunikationsverket kan besluta att skyldigheten enligt 1 mom. även gäller sådana andra uppgifter i hamnar i fråga om vilka det enligt 19–21 § i säkerhetsutredningslagen kan ansökas om säkerhetsutredning och i fråga om vilka det för tryggande av statens säkerhet eller förebyggande av organiserad brottslighet är ytterst viktigt att säkerställa att de som arbetar i dessa uppgifter är oförvitliga och tillförlitliga. 
Innan ett beslut enligt 2 eller 3 mom. fattas ska Transport- och kommunikationsverket höra hamninnehavaren och andra behöriga myndigheter. I beslutet ska det sättas ut en skälig tidsfrist inom vilken ansökan om säkerhetsutredning ska göras. 
När giltigheten för en säkerhetsutredning upphör ska en ny ansökan om säkerhetsutredning göras. 
Om det i säkerhetsutredningen eller den kontroll som avses i 51 § i säkerhetsutredningslagen framkommer uppgifter med stöd av vilka hamninnehavaren bedömer att den som utredningen gäller inte kan ges i 1 mom. avsedd tillgång till uppgifter och informationssystem, ska hamninnehavaren vidta åtgärder för att hindra tillgången. Hamninnehavaren får i detta syfte trots sekretessbestämmelserna till arbetsgivaren lämna ut motsvarande uppgifter som den som utredningen gäller enligt 6 § 1 och 3 mom. i säkerhetsutredningslagen har rätt att få av den behöriga myndigheten. Vad som i 45 § 1 och 2 mom. i säkerhetsutredningslagen föreskrivs om sökandens skyldigheter tillämpas även på en arbetsgivare som har erhållit uppgifter. Bestämmelser om sekretess för uppgifter som ingår i en säkerhetsutredning finns i 59 § i säkerhetsutredningslagen. 
25 § 
Ändringssökande 
 En icke ändrad del av lagtexten har utelämnats 
Besvär ska behandlas utan dröjsmål. Ändringssökande förhindrar inte stoppandet av ett fartyg, begränsandet av verksamheten på ett fartyg, vid en hamnanläggning eller inom ett hamnskyddsområde och inte heller verkställandet av ett beslut om tvångsåtgärder enligt 12 § som hänför sig till en person, om inte besvärsmyndigheten bestämmer något annat. Ett beslut som avses i 7 g § 2 eller 3 mom. ska iakttas trots ändringssökande, om inte besvärsmyndigheten beslutar något annat. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

6. Lag om ändring av 6 § i lagen om tillämpning av bestämmelserna om utlämning för brott och utbyte av straffregisteruppgifter i handels- och samarbetsavtalet mellan Europeiska unionen och Förenade kungariket 

I enlighet med riksdagens beslut 
ändras i lagen om tillämpning av bestämmelserna om utlämning för brott och utbyte av straffregisteruppgifter i handels- och samarbetsavtalet mellan Europeiska unionen och Förenade kungariket (470/2021) 6 § som följer: 
6 § 
Tillämpliga bestämmelser vid utbyte av straffregisteruppgifter 
Vid tillämpningen av bestämmelserna om utbyte av straffregisteruppgifter i del tre avdelning IX i handels- och samarbetsavtalet iakttas i tillämpliga delar parallellt med dem vad som föreskrivs i 1 § 1 och 2 mom., 2–4, 5, 7 och 8 §, 9 § 1, 3 och 4 mom. samt 10, 11, 12, 13, 14, 15, 15 a, 16–20, 20 a, 21 och 22 § i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012), om inte något annat föreskrivs i denna lag. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

7. Lag om ändring av 1 § i lagen om verkställighet av böter 

I enlighet med riksdagens beslut 
ändras i lagen om verkställighet av böter (672/2002) 1 § 2 mom. Utskottet föreslår en ändring 36 Slut på ändringsförslaget punkten, sådan den lyder i lag Utskottet föreslår en ändring / Slut på ändringsförslaget, och 
fogas till 1 § 2 mom., sådant det lyder i lagarna 1183/2023, 23/2024, 36/2024, 545/2024Utskottet föreslår en ändring , Slut på ändringsförslaget 651/2024, Utskottet föreslår en ändring 138/2025 och /2025 Slut på ändringsförslaget en ny Utskottet föreslår en ändring 37 Slut på ändringsförslaget punkt som följer: 
1 § 
Lagens tillämpningsområde 
 En icke ändrad del av lagtexten har utelämnats 
På det sätt som föreskrivs i denna lag verkställs också 
 En icke ändrad del av lagtexten har utelämnats 
Utskottet föreslår en ändring 36) en påföljdsavgift enligt 25 § i lagen om konsumtionstjänsters säkerhet ( / ), Slut på ändringsförslaget 
Utskottet föreslår en ändring 37 Slut på ändringsförslaget) en försummelseavgift enligt 22 § i lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors 29.4.2025 

I den avgörande behandlingen deltog

ordförande 
Mauri Peltokangas saf 
 viceordförande 
Pihla Keto-Huovinen saml 
 medlem 
Tiina Elo gröna 
 medlem 
Eveliina Heinäluoma sd 
 medlem 
Petri Honkonen cent 
 medlem 
Juha Hänninen saml 
 medlem 
Christoffer Ingo sv 
 medlem 
Mari Kaunistola saml 
 medlem 
Anna Kontula vänst 
 medlem 
Rami Lehtinen saf 
 medlem 
Mira Nieminen saf 
 medlem 
Saku Nikkanen sd 
 medlem 
Eemeli Peltonen sd 
 medlem 
Hanna Räsänen cent 
 medlem 
Paula Werning sd 
 medlem 
Joakim Vigelius saf 
 medlem 
Ben Zyskowicz saml. 
 

Sekreterare var

utskottsråd Henri Helo.