Bestämmelser som kompletterar cyberresiliensförordningen träder i kraft: Målet att förbättra cybersäkerheten hos smarta enheter och programvara

Regeringen föreslog den 28 maj 2026 att nationell reglering som kompletterar Europeiska unionens cyberresilienförordning (Cyber Resilience Act, CRA) ska stadfästas. Lagarna träder i kraft den 1 juni 2026 och förordningens övergångstider på motsvarande sätt under 2026–2027. Syftet med cyberresiliensförordningen är att öka produkters cybersäkerhet.

Förordningen kompletteras av en ny lag om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering. I lagen föreskrivs det om tillsynen över skyldigheter som gäller produkter, om anmälan av organ för bedömning av överensstämmelse som ska anmälas för förordningen samt om administrativa påföljder. Kraven på produkterna grundar sig på fortfarande tillämplig EU-reglering. Genom lagen kompletteras dessutom den nationella regleringen om EU:s cybersäkerhetscertifiering.

De myndighetsuppgifter som gäller marknadskontrollen av cyberresiliensförordningen samt utseendet av och tillsynen över anmälda organ kommer att koncentreras till Transport- och kommunikationsverket. För marknadskontrollen av AI-system med hög risk ansvarar dock samma myndigheter som övervakar kraven i AI-förordningen. Sådana är enligt verksamhetsområdet Säkerhets- och kemikalieverket, Transport- och kommunikationsverket, Tillstånds- och tillsynsverket, Säkerhets- och utvecklingscentret för läkemedelsområdet, Energimyndigheten, dataombudsmannen eller Finansinspektionen. Transport- och kommunikationsverket ska även i fortsättningen vara nationell myndighet för cybersäkerhetscertifiering.

De organ som bedömer produkters kravenlighet kan, i och med att lagen träder i kraft, från den 11 juni 2026 ansöka om att i Finland få anmält bedömningsuppgifter enligt cyberhållbarhetsförordningen. Anmälning söks hos Transport- och kommunikationsverket. Ett organ som anmälts av Finland kan enligt kompetensområde göra en bedömning av överensstämmelse med kraven i cyberhållbarhetsförordningen i alla EU-medlemsstater.

Dessutom utökas lagen om tjänster inom elektronisk kommunikation med ett nytt kapitel. Det gäller insamling och utlämnande av uppgifter om registrering av domännamn på det sätt som förutsätts i EU:s cybersäkerhetsdirektiv (NIS 2-direktivet). Skyldigheterna att samla in och lämna ut uppgifter om registrering av domännamn utvidgas till att gälla också andra domännamn än .fi och .ax när domännamnsförmedlaren eller toppdomänregistret (TLD) finns i Finland.

Med regleringen kompletteras det nationella genomförandet av direktivet vilket samtidigt främjar tillgången till uppgifter om registrering av domännamn, vilket förbättrar möjligheterna att ingripa i olaglig verksamhet på nätet. De nya skyldigheterna i fråga om uppgifter om domännamn tillämpas efter en övergångsperiod på tre månader.

Cyberresiliensförordningen gäller apparater och programvara som kan kopplas upp till internet eller en annan enhet

Cyberresiliensförordningen fastställer på EU:s inre marknad minimikrav på cybersäkerheten för produkter och programvara som kan kopplas upp till internet eller en annan enhet. Sådana är till exempel övervakningskameror, kylskåp, smartklockor, tv-apparater, datorer, telefoner och leksaker. Förordningen gäller också programvara, såsom applikationer och spel.

Förordningen gäller också produkter som är avsedda för något annat än konsumentbruk, såsom operativsystem och programvara som ingår i apparater och maskiner, fjärravläsbara sensorer och fjärrstyrningssystem. Förordningen gäller produkter som finns på marknaden i EU.

Förordningen förpliktar tillverkare av enheter och programvara att planera och tillverka sina produkter i enlighet med väsentliga cybersäkerhetskrav. I fortsättningen ska tillverkarna dessutom rapportera om allvarliga avvikelser som påverkar produktsäkerheten och om sårbarheter som utnyttjats aktivt. Förordningen innehåller dessutom krav på produkternas importörer, återförsäljare och förvaltare av programvara med fri och öppen källkod.

Cyberresiliensförordningen bedöms förbättra samhällets övergripande säkerhet när det finns mer informationssäkra apparater och programvara i bruk och på marknaden än tidigare.

Vad händer nu?

Avsikten är att republikens president stadfäster lagarna den 29 maj 2026. Lagarna träder i kraft den 1 juni 2026 och i enlighet med de övergångstider som motsvarar påbörjandet av tillämpningen av cyberresiliensförordningen. Förordningen börjar tillämpas stegvis under 2026–2027.

Mer information:

Veikko Vauhkonen, regeringssekreterare, tfn 0295 342 168, [email protected]