Laki kyberturvallisuuslain 20 ja 28 §:n muuttamisesta (441 / 2026, alkuperäinen)
Eduskunnan päätöksen mukaisesti
20 § CSIRT-yksikön tehtävät
CSIRT-yksikön tehtävänä on:
9) antaa ohjeita ja suosituksia poikkeamien käsittelemisestä, kyberturvallisuuden kriisinhallinnasta ja koordinoidusta haavoittuvuuksien julkistamisesta;
10) vastaanottaa ja käsitellä digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvallisuusvaatimuksista ja asetusten (EU) N:o 168/2013 ja (EU) 2019/1020 ja direktiivin (EU) 2020/1828 muuttamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2024/2847 (kyberkestävyyssäädös) 14 ja 15 artiklassa tarkoitettuja ilmoituksia sekä vastata muista mainitussa asetuksessa sekä eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista annetussa laissa (439/2026) CSIRT-yksikölle säädetyistä tehtävistä.
28 § Tiedonsaantioikeus
Valvovalla viranomaisella on salassapitosäännösten, 2 momentissa säädetyn salassapitovelvollisuuden ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toiselle valvovalle viranomaiselle, CSIRT-yksikölle ja yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 19 §:ssä tarkoitetulle valvovalle viranomaiselle sekä Finanssivalvonnalle, jos se on välttämätöntä tässä laissa tai yhteiskunnan kriittisen infrastruktuurin suojaamisesta annetussa laissa viranomaiselle säädettyä tehtävää varten taikka Finanssivalvonnasta annetun lain (878/2008) 50 p §:n 1 ja 2 momentissa tarkoitettua toimivaltaisen viranomaisen tehtävää varten. Tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.