Hallituksen esitys kyberturvallisuuslain muuttamiseksi

LVM004:00/2025 Säädösvalmistelu

Esityksen tavoitteena on täydentää NIS 2 -direktiivin ja CER-direktiivin kansallista täytäntöönpanoa koskien NIS 2 -direktiivin mukaisten kyberturvallisuusvelvoitteiden soveltumista kriittiseen toimijaan.

Hankkeen perustiedot Käynnissä

Hankenumero LVM004:00/2025

Asianumerot VN/2104/2025

Asettaja liikenne- ja viestintäministeriö

Tehtäväluokka Hallituksen esityksen valmistelu

Toimikausi/aikataulu 24.1.2025 – 31.12.2025

Asettamispäivä

Toteuttaa hallitusohjelman tavoitteita

Orpo

Luku 6 Kasvun kaava

Lainvalmistelu

HE laeiksi kyberturvallisuuslain ja julkisen hallinnon tiedonhallinnasta annetun lain 3 §:n muuttamisesta

Esityksellä saatettaisiin kyberturvallisuuslain soveltamisala koskemaan sellaisia yhteisöjä, jotka määritetään yhteiskunnan toiminnan kannalta kriittisiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ehdotetun lain nojalla. Esityksellä täydennettäisiin kriittisten toimijoiden häiriönsietokyvystä annetun Euroopan parlamentin ja neuvoston direktiivin (CER-direktiivi) sekä kyberturvallisuusdirektiivin (NIS 2 -direktiivi) kansallista täytäntöönpanoa kriittiseksi toimijoiksi määritettäviin toimijoihin sovellettavien kyberturvallisuusvelvoitteiden osalta. Muutoslaki on yhteydessä yhteiskunnan kriittisen infrastruktuurin suojaamisesta ehdotetun lain (HE 205/2024 vp) voimaantuloon.

VastuuministeriLiikenne- ja viestintäministeri Ranne

Lisätietoa

  • Annetaan eduskunnalle kiireellisenä: eduskunnan vastaus ennen eduskunnan istuntotaukoa.

Kevätistuntokauden 2025 lainsäädäntösuunnitelma

Yhteyshenkilö
Veikko Vauhkonen, Hallitussihteeri
puh. +358 295 342 168
etunimi.sukunimi@gov.fi

Tavoitteet ja tuotokset

Esityksen tavoitteena on toteuttaa lainsäädäntömuutokset, jotka ovat tarpeen kyberturvallisuuslain mukaisten velvoitteiden soveltamiseksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ehdotetun lain nojalla määritettäviin kriittisiin toimijoihin.

Esityksellä täydennetään Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (CER-direktiivi) sekä Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) kansallista täytäntöönpanoa.

Esityksessä keskeinen ehdotus on, että kyberturvallisuuslakia täydennettäisiin siten, että sen mukaisia velvoitteita kyberturvallisuutta koskevasta riskienhallinnasta ja merkittävistä poikkeamista ilmoittamisesta sovellettaisiin myös yhteisöihin, jotka määritettäisiin kriittisiksi toimijoiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ehdotetun lain nojalla.

Ehdotukset vastaisivat vähimmäistasoa siitä, mitä NIS 2 - direktiivi ja CER-direktiivi edellyttävät kyberturvallisuutta koskevien velvoitteiden ja niiden valvonnan tasosta kriittisille toimijoille.

Tiivistelmä

Esityksen tavoitteena on täydentää NIS 2 -direktiivin ja CER-direktiivin kansallista täytäntöönpanoa koskien NIS 2 -direktiivin mukaisten kyberturvallisuusvelvoitteiden soveltumista kriittiseen toimijaan.

Lähtökohdat

CER-direktiivin kansallista toimeenpanoa koskevan hallituksen esityksen HE 205/2024 vp mukaan valtioneuvosto valmistelee erikseen esityksen teknisistä lainsäädäntömuutoksista, jotka ovat tarpeen ehdotetun kyberturvallisuuslain (HE 57/2024 vp) velvoitteiden soveltamiseksi kriittisiin toimijoihin NIS 2- ja CER-direktiivien edellyttämällä tavalla. Esityksessä olisi kyse mainituista lainsäädäntömuutoksista.