Laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista (439 / 2026, alkuperäinen)

Tällä lailla täsmennetään ja täydennetään digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvallisuusvaatimuksista ja asetusten (EU) N:o 168/2013 ja (EU) 2019/1020 ja direktiivin (EU) 2020/1828 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2024/2847 (kyberkestävyyssäädös), jäljempänä kyberkestävyysasetus , ja sen kansallista soveltamista.

Tällä lailla täsmennetään ja täydennetään Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2019/881 (kyberturvallisuusasetus), jäljempänä kyberturvallisuusasetus , ja sen kansallista soveltamista.

Tässä laissa tarkoitetaan:

Markkinavalvonnan, talouden toimijoiden kanssa tehtävän yhteistyön sekä Euroopan unionin markkinoille tulevien tuotteiden valvonnan puitteista säädetään markkinavalvonnasta ja tuotteiden vaatimustenmukaisuudesta sekä direktiivin 2004/42/EY ja asetusten (EY) N:o 765/2008 ja (EU) N:o 305/2011 muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2019/1020, jäljempänä markkinavalvonta-asetus .

Markkinavalvontaviranomaisten toimivallasta, markkinavalvonta-asetuksen 25–28 artiklan mukaisesta ulkorajavalvonnasta sekä muutoksenhausta markkinavalvontaviranomaisten päätöksiin säädetään eräiden tuotteiden markkinavalvonnasta annetussa laissa (1137/2016) , jäljempänä markkinavalvontalaki .

Kuluttajatuotteiden turvallisuudesta säädetään yleisestä tuoteturvallisuudesta, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 ja Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/1828 muuttamisesta sekä Euroopan parlamentin ja neuvoston direktiivin 2001/95/EY ja neuvoston direktiivin 87/357/ETY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2023/988 sekä kuluttajatuotteiden turvallisuudesta annetussa laissa (184/2025) .

Tekoälyjärjestelmiä koskevista vaatimuksista säädetään tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (tekoälysäädös) ja eräiden tekoälyjärjestelmien valvonnasta annetussa laissa (1377/2025) .

CSIRT-yksikön tehtävistä sekä muiden kuin kyberkestävyysasetuksessa tarkoitettujen haavoittuvuusilmoituksien käsittelystä säädetään kyberturvallisuuslaissa.

Digitaalisen elementin sisältävän tuotteen vaatimustenmukaisuudesta säädetään kyberkestävyysasetuksessa.

Digitaalisen elementin sisältävää tuotetta, joka ei täytä kyberkestävyysasetuksessa säädettyjä vaatimuksia, saa esitellä tai käyttää kyberkestävyysasetuksen 4 artiklan 2 kohdassa säädetyllä tavalla. Keskeneräisen ohjelmiston, joka ei täytä kyberkestävyysasetuksessa säädettyjä vaatimuksia, saa asettaa saataville markkinoilla kyberkestävyysasetuksen 4 artiklan 3 kohdassa säädetyllä tavalla rajoitetuksi ajaksi testausta varten.

Julkisista hankinnoista ja käyttöoikeussopimuksista annetun lain (1397/2016) soveltamisalaan kuuluvassa hankinnassa, jossa hankinnan kohteena on digitaalisen elementin sisältävä tuote, hankintayksikön on huomioitava, mitä kyberkestävyysasetuksen 5 artiklan 2 kohdassa säädetään vaatimusten noudattamisesta ja valmistajan kyvystä käsitellä tehokkaasti haavoittuvuuksia.

Valmistajan velvollisuudesta ilmoittaa digitaalisen elementin sisältävään tuotteeseen sisältyvästä aktiivisesti hyödynnetystä haavoittuvuudesta tai tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta säädetään kyberkestävyysasetuksen 14 artiklassa.

CSIRT-yksikön velvollisuudesta ilmoittaa markkinavalvontaviranomaiselle kyberkestävyysasetuksen 14 artiklan nojalla ilmoitetusta tapahtumasta säädetään kyberkestävyysasetuksen 16 artiklan 3 kohdassa.

CSIRT-yksikkö ottaa vastaan kyberkestävyysasetuksen 15 artiklan mukaisia vapaaehtoisia ilmoituksia mahdollisista digitaalisia elementtejä sisältävään tuotteeseen sisältyvistä haavoittuvuuksista, kyberuhkista, digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista vakavista poikkeamista sekä läheltä piti -tilanteista.

Siitä riippumatta, mitä viranomaisten tiedonsaantioikeuksista muualla laissa säädetään, kyberkestävyysasetuksen 15 artiklan mukaisesti CSIRT-yksikölle vapaaehtoisesti ilmoitettua tietoa ei saa ilman ilmoittajan suostumusta käyttää ilmoittajaan kohdistuvassa rikostutkinnassa eikä hallinnollisessa tai muussa tiedon luovuttajaan kohdistuvassa päätöksenteossa.

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja muualla laissa säädetään, CSIRT-yksiköllä on oikeus omasta aloitteestaan tai pyynnöstä luovuttaa tai ilmaista salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä kyberkestävyysasetuksen 14 artiklan 2, 4 ja 6 kohdan nojalla saamansa tieto tai mainitun asetuksen 15 artiklan nojalla saamansa vastaava tieto, jos se on tarpeen kyberkestävyysasetuksen 14–17 artiklassa säädettyjen tehtävien toteuttamiseksi:

CSIRT-yksikkö voi luovuttaa tai ilmaista muunkin kyberkestävyysasetuksen mukaisia tehtäviä hoitaessaan saamansa kuin 1 momentissa tarkoitetun tiedon siten kuin 1 momentissa säädetään, jos se on välttämätöntä kyberkestävyysasetuksen 14–17 artiklassa säädettyjen tehtävien toteuttamiseksi.

Liikenne- ja viestintävirasto voi päätöksellä perustaa kyberkestävyysasetuksen 33 artiklan 2 kohdassa tarkoitetun kyberkestävyyden sääntelyn testiympäristön. Päätöksessä kyberkestävyyden sääntelyn testiympäristön perustamisesta on määritettävä testiympäristön voimassaoloaika ja -paikka, soveltuva tekninen rajaus sekä lisäksi toimintasuunnitelma ja soveltuva testauksen kohde. Päätöksessä voidaan asettaa testiympäristöä koskevia ehtoja, jotka ovat tarpeellisia sen toiminnan järjestämisen tai turvallisuuden kannalta.

Liikenne- ja viestintävirasto myöntää hakemuksesta talouden toimijalle oikeuden toimintaan sääntelyn testiympäristössä. Hakemuksessa on esitettävä tarpeelliset tiedot hakijasta ja sen toiminnasta, testaukseen osallistuvista muista osapuolista, testauksen kohteesta ja testauksen tavoitteista. Oikeutta ei myönnetä, jos testauksen kohde tai suunniteltu toiminta ei ole testiympäristön perustamista koskevan päätöksen ehtojen mukaista, testaus aiheuttaisi kohtuutonta haittaa tai vaaraa muille tahoille taikka talouden toimijalle on määrätty hakemusta edeltävän kolmen vuoden aikana tämän lain nojalla hallinnollinen seuraamusmaksu. Oikeus voidaan jättää myöntämättä myös, jos testaus ei olisi testiympäristön käytettävissä olevien resurssien vuoksi mahdollista.

Liikenne- ja viestintävirasto vastaa kyberkestävyysasetuksen 33 artiklan 2 kohdassa tarkoitetun ilmoituksen tekemisestä testiympäristön perustamisesta sekä talouden toimijoiden valvonnasta, ohjauksesta ja tuesta sääntelyn testiympäristössä yhteistyössä muiden markkinavalvontaviranomaisten kanssa.

Liikenne- ja viestintäviraston määräyksellä voidaan antaa tarkempia säännöksiä kyberkestävyyden sääntelyn testiympäristön teknisestä järjestämisestä ja toiminnasta sekä talouden toimijan hakemuksesta.

Liikenne- ja viestintävirasto toimii kyberkestävyysasetuksen 36 artiklassa tarkoitettuna ilmoittamisesta vastaavana viranomaisena ( ilmoittava viranomainen ).

Ilmoittava viranomainen nimeää vaatimustenmukaisuuden arviointilaitoksen ilmoitetuksi laitokseksi, valvoo ilmoittamiaan laitoksia sekä vastaa muista ilmoittavalle viranomaiselle kyberkestävyysasetuksessa säädetyistä tehtävistä. Ilmoittava viranomainen vastaa kyberkestävyysasetuksen 35 artiklan 1 kohdassa, 38 artiklan 1 kohdassa ja 46 artiklan 2 kohdassa tarkoitettujen tietojen ilmoittamisesta Euroopan komissiolle ja muille Euroopan unionin jäsenvaltioille.

Ilmoittavaa viranomaista koskevista vaatimuksista säädetään kyberkestävyysasetuksen 37 artiklassa.

Suomeen sijoittautuneen vaatimustenmukaisuuden arviointilaitoksen on haettava ilmoittamista ilmoittavalta viranomaiselta. Hakemukseen on liitettävä Turvallisuus- ja kemikaaliviraston akkreditointiyksikön ( FINAS-akkreditointipalvelu ) antama akkreditointitodistus siitä, että vaatimustenmukaisuuden arviointilaitos täyttää kyberkestävyysasetuksessa säädetyt vaatimukset, sekä muut kyberkestävyysasetuksen 42 artiklassa tarkoitetut tiedot. Jos vaatimustenmukaisuuden arviointilaitos ei kuitenkaan voi liittää hakemukseen akkreditointitodistusta, sen on toimitettava ilmoittavalle viranomaiselle kaikki tarpeellinen tieto, jonka avulla voidaan varmentaa, todeta ja säännöllisesti valvoa, että se täyttää kyberkestävyysasetuksessa säädetyt vaatimukset.

Ilmoittava viranomainen nimeää hakemuksesta ilmoitetuksi laitokseksi vaatimustenmukaisuuden arviointilaitoksen, joka täyttää kyberkestävyysasetuksessa säädetyt vaatimukset.

Nimeämistä koskevassa päätöksessä määritellään ilmoitetun vaatimustenmukaisuuden arviointilaitoksen pätevyysalue, vahvistetaan laitoksen valvontaan liittyvät järjestelyt sekä asetetaan tarvittaessa sellaisia laitoksen toimintaa koskevia vaatimuksia, rajoituksia ja ehtoja, joilla varmistetaan tehtävien asianmukainen suorittaminen.

Nimeämisen rajaamisesta ja peruuttamisesta säädetään kyberkestävyysasetuksen 45 artiklassa.

Ilmoitetun laitoksen sekä sen käyttämän tytäryhtiön ja alihankkijan palveluksessa olevaan henkilöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan kyberkestävyysasetuksessa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974) .

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, ilmoittava viranomainen voi omasta aloitteestaan tai pyynnöstä salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä luovuttaa tai ilmaista vaatimustenmukaisuuden arviointilaitoksen ilmoittamisen perusteita ja muuta sen pätevyyttä koskevan saamansa tai laatimansa asiakirjan tai tiedon Euroopan komissiolle ja toiselle Euroopan unionin jäsenvaltiolle, jos se on tarpeen kyberkestävyysasetuksessa säädetyn ilmoittavan viranomaisen velvoitteen toteuttamiseksi.

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, ilmoitettu laitos voi omasta aloitteestaan tai pyynnöstä salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä luovuttaa tai ilmaista vaatimustenmukaisuuden arviointia ja tarkastuksen tuloksia koskevan saamansa tai laatimansa asiakirjan tai tiedon Euroopan komissiolle, Euroopan unionin jäsenvaltiolle ja toiselle ilmoitetulle laitokselle, jos se on tarpeen kyberkestävyysasetuksessa säädetyn ilmoitetun laitoksen velvoitteen toteuttamiseksi.

Kyberkestävyysasetuksen 52 artiklassa tarkoitettuna markkinavalvontaviranomaisena toimii Liikenne- ja viestintävirasto.

Edellä 15 §:ssä säädetystä poiketen sellaisen tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2024/1689 (tekoälysäädös) 6 artiklassa tarkoitetun suuririskisen tekoälyjärjestelmän, joka kuuluu kyberkestävyysasetuksen soveltamisalaan, markkinavalvontaviranomaisena toimii eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:n nojalla toimivaltainen valvova viranomainen.

Liikenne- ja viestintävirasto voi antaa pyynnöstä kyberkestävyysasetuksen markkinavalvontaa, vaatimustenmukaisuuden arviointia ja kyberturvallisuusriskien arviointia koskevaa asiantuntijatukea 16 §:ssä tarkoitetuille markkinavalvontaviranomaisille sekä sille, jolla on toimivalta määrätä 6 luvussa tarkoitettu seuraamusmaksu. Markkinavalvontaviranomaisten yhteistyöstä säädetään markkinavalvontalaissa.

Mitä markkinavalvontalain 11 ja 13 §:ssä säädetään oikeudesta luovuttaa tietoja salassapitosäännösten estämättä, sovelletaan myös digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuutta, turvajärjestelyjä sekä haavoittuvuutta ja tietoturvaan vaikuttavaa poikkeamaa koskeviin tietoihin. Markkinavalvontaviranomainen voi luovuttaa tietoja omasta aloitteestaan tai pyynnöstä.

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, markkinavalvontaviranomaisella on oikeus omasta aloitteestaan tai pyynnöstä luovuttaa salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto myös:

Liikenne- ja viestintävirastolla ja 17 §:ssä tarkoitettua asiantuntijatukea pyytävällä on oikeus salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä luovuttaa tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toisilleen, jos se on asiantuntijatuen antamiseksi välttämätöntä.

Sen lisäksi, mitä markkinavalvontalain 9 §:n 1 momentissa säädetään, tarkastus voidaan ulottaa myös pysyväisluonteiseen asumiseen käytettäviin tiloihin, joita talouden toimija käyttää elinkeino- tai ammattitoimintaansa liittyviin tarkoituksiin. Tarkastus pysyväisluonteiseen asumiseen käytettävään tilaan saadaan tehdä vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja on perusteltu ja yksilöity syy epäillä kyberkestävyysasetusta tai sen nojalla annettua säädöstä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena tässä laissa tarkoitettu seuraamusmaksu. Lisäksi edellytyksenä on, että epäillyssä rikkomuksessa on kyse digitaalisen elementin sisältävän tuotteen tai siihen liittyvän prosessin vaatimustenvastaisuudesta tai kyberkestävyysasetuksen 57 artiklassa tarkoitetusta tilanteesta, jossa tuote muutoin aiheuttaa merkittävän kyberturvallisuusriskin.

Markkinavalvontaviranomaisen oikeudesta ottaa tuotteita tutkittavaksi säädetään markkinavalvontalaissa. Ohjelmiston tutkittavaksi ottamisesta ei suoriteta talouden toimijalle korvausta.

Markkinavalvontaviranomainen voi ohjeistaa avoimen lähdekoodin ohjelmistovastaavaa kyberkestävyysasetuksessa säädetyistä velvollisuuksista sekä ehdottaa käytännöllisiä parannuksia ohjelmistovastaavan ylläpitämän avoimen lähdekoodin ohjelmistoprojektin sisältöön tai toimintatapoihin.

Markkinavalvontaviranomainen voi velvoittaa avoimen lähdekoodin ohjelmistovastaavan korjaamaan kohtuullisessa määräajassa havaitsemansa puutteet kyberkestävyysasetuksessa säädettyjen velvollisuuksien noudattamisessa. Markkinavalvontaviranomainen voi julkaista tietoja havaitsemistaan puutteista tai tiedottaa asiasta, mikäli havaittuja puutteita ei korjata kohtuullisessa määräajassa.

Kyberturvallisuusasetuksen 58 artiklassa tarkoitettuna kansallisena kyberturvallisuussertifioinnin myöntävänä viranomaisena ( kyberturvallisuussertifioinnin viranomainen ) toimii Liikenne- ja viestintävirasto.

Liikenne- ja viestintäviraston eurooppalaisten kyberturvallisuussertifikaattien myöntämiseen liittyvät tehtävät on eriytettävä kyberturvallisuusasetuksen 58 artiklan mukaisesta valvontatoiminnasta ja varmistettava, että nämä toiminnot suoritetaan toisistaan riippumattomasti.

Kyberturvallisuussertifioinnin viranomaisen tehtävistä vaatimustenmukaisuuden arviointilaitosten valtuuttamisessa kyberturvallisuussertifiointia varten säädetään kyberturvallisuusasetuksen 60 artiklan 3 kohdassa sekä kyberturvallisuussertifiointia varten akkreditoitujen vaatimustenmukaisuuden arviointilaitosten ilmoittamisesta Euroopan komissiolle kyberturvallisuusasetuksen 61 artiklassa. Jos sovellettava eurooppalainen kyberturvallisuuden sertifiointijärjestelmä sitä edellyttää, on ilmoittamisen edellytyksenä kyberturvallisuussertifioinnin viranomaisen valtuutus. Kyberturvallisuussertifioinnin viranomainen valvoo kyberturvallisuussertifiointia varten ilmoittamiaan vaatimustenmukaisuuden arviointilaitoksia.

Kyberturvallisuussertifiointia varten ilmoittamisen ja valtuuttamisen edellytyksenä on, että vaatimustenmukaisuuden arviointilaitokselle on myönnetty kyberturvallisuusasetuksen 60 artiklan 1 kohdassa tarkoitetusta akkreditoinnista FINAS-akkreditointipalvelun antama akkreditointitodistus siitä, että vaatimustenmukaisuuden arviointilaitos täyttää kyberturvallisuusasetuksessa säädetyt vaatimukset.

Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen on suoritettava vaatimustenmukaisuuden arvioinnit kyberturvallisuusasetuksen ja sen nojalla annettujen säädösten mukaisten vaatimustenmukaisuuden arviointimenettelyjen edellyttämällä tavalla. Lisäksi vaatimustenmukaisuuden arviointilaitoksen on suoritettava muut kyberturvallisuusasetuksessa ja sen nojalla annetuissa säädöksissä säädetyt tehtävät.

Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen on ilmoitettava kyberturvallisuussertifioinnin viranomaiselle kaikista muutoksista, joilla on vaikutusta ilmoittamisen tai valtuuttamisen edellytysten täyttymiseen.

Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen sekä sen käyttämän tytäryhtiön ja alihankkijan palveluksessa olevaan henkilöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan kyberturvallisuusasetuksessa ja tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa.

Kyberturvallisuussertifioinnin viranomainen voi siirtää tietyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän osalta kyberturvallisuusasetuksen 52 artiklan 7 kohdassa tarkoitetun korkean varmuustason eurooppalaisen kyberturvallisuussertifikaatin myöntämiseen liittyvän tehtävän kyberturvallisuussertifiointia varten ilmoitetulle vaatimuksenmukaisuuden arviointilaitokselle:

Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen kanssa tehtävässä sopimuksessa on sovittava ainakin:

Kyberturvallisuussertifioinnin viranomainen voi irtisanoa tai purkaa sopimuksen, jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos ei enää täytä vaatimuksia tai jos se olennaisesti laiminlyö sopimuksessa sovittujen tehtävien suorittamisen tai muutoin rikkoo sopimusta tai toimii olennaisesti tai toistuvasti lainvastaisesti.

Kyberturvallisuussertifioinnin viranomaisella on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada sen tässä laissa tai kyberturvallisuusasetuksessa säädettyjen tehtävien hoitamiseksi ja kyberturvallisuusasetuksen, sen nojalla annettujen säädösten ja tämän lain noudattamisen valvomiseksi välttämättömät tiedot vaatimustenmukaisuuden arviointilaitokselta, eurooppalaisen kyberturvallisuussertifikaatin haltijalta ja kyberturvallisuusasetuksen 53 artiklan 2 kohdassa tarkoitetulta EU-vaatimustenmukaisuusilmoituksen antajalta. Tiedot on luovutettava ilman aiheetonta viivytystä, viranomaisen pyytämässä muodossa ja maksutta.

Kyberturvallisuussertifioinnin viranomaisella on oikeus tehdä vaatimustenmukaisuuden arviointilaitosta, eurooppalaisen kyberturvallisuussertifikaatin haltijaa tai EU-vaatimustenmukaisuusilmoitusten antajaa koskevia tarkastuksia kyberturvallisuusasetuksen, sen nojalla annettujen säädösten ja tämän lain noudattamisen valvomiseksi. Tarkastuksissa noudatetaan, mitä hallintolain (434/2003) 39 §:ssä säädetään.

Kyberturvallisuussertifioinnin viranomaisella on oikeus teettää tarkastus riippumattomalla asiantuntijalla. Tarkastuksen suorittajalla ja siihen osallistuvalla on oltava sellainen koulutus ja kokemus kuin tarkastuksen suorittamiseksi on tarpeen. Riippumattomaan asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä pykälässä tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa.

Tarkastusta suorittavalla kyberturvallisuussertifioinnin viranomaisella ja riippumattomalla asiantuntijalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan kyberturvallisuusasetuksessa tarkoitettua toimintaa, sekä kaikkiin tiloihin ja tietojärjestelmiin, joissa säilytetään tai käsitellään valvonnan kannalta merkityksellisiä tietoja. Pysyväisluonteiseen asumiseen käytettäviin tiloihin tarkastuksia ei kuitenkaan saa ulottaa.

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, kyberturvallisuussertifioinnin viranomaisella on oikeus omasta aloitteestaan tai pyynnöstä luovuttaa salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä sen tässä laissa tai kyberturvallisuusasetuksessa säädettyjen tehtävien hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettäviä tieto:

Kyberturvallisuussertifioinnin viranomainen voi velvoittaa vaatimustenmukaisuuden arviointilaitoksen, eurooppalaisen kyberturvallisuussertifikaatin haltijan tai EU-vaatimustenmukaisuusilmoitusten antajan määräajassa korjaamaan puutteet sen tässä laissa tai kyberturvallisuusasetuksessa tai sen nojalla säädettyjen velvollisuuksien noudattamisessa.

Kyberturvallisuussertifioinnin viranomainen voi asettaa tämän pykälän nojalla antamansa päätöksen tehosteeksi uhkasakon tai uhan, että velvollisuuksien vastainen toiminta keskeytetään tai tekemättä jätetty toimenpide teetetään vaatimustenmukaisuuden arviointilaitoksen, eurooppalaisen kyberturvallisuussertifikaatin haltijan tai EU-vaatimustenmukaisuusilmoituksen antajan kustannuksella.

Kyberturvallisuussertifioinnin viranomainen voi peruuttaa myöntämänsä tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen kyberturvallisuusasetuksen 56 artiklan 6 kohdan mukaisesti myöntämän eurooppalaisen kyberturvallisuussertifikaatin, jos kyberturvallisuussertifikaatti ei täytä kyberturvallisuusasetuksessa säädettyjä tai kyseisen eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimuksia tai jos kyberturvallisuussertifikaatin haltija ei anna kyberturvallisuussertifioinnin viranomaiselle sen pyytämiä 25 §:n 1 momentissa tarkoitettuja tietoja eikä puutetta tai laiminlyöntiä korjata kohtuullisessa määräajassa.

Jollei kyberturvallisuusasetuksen nojalla säädetystä muuta johdu, kyberturvallisuussertifioinnin viranomaisen on tarvittaessa peruutettava tai keskeytettävä vaatimustenmukaisuuden arviointilaitoksen kyberturvallisuusasetuksen 60 artiklan 3 kohdassa tarkoitettu valtuutus tai 61 artiklan 1 kohdassa tarkoitettu ilmoitus tai rajoitettava sitä ja esitettävä kyberturvallisuusasetuksen 61 artiklan 4 kohdassa tarkoitettu pyyntö poistaa arviointilaitos luettelosta, jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos ei ole korjannut toimintaansa 27 §:n nojalla asetetussa määräajassa ja kyseessä on olennainen rikkomus tai laiminlyönti taikka jos arviointilaitos ei täytä sille säädettyjä vaatimuksia tai sen akkreditointia rajoitetaan, akkreditointi peruutetaan tai se keskeytetään.

Jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos on lopettanut toimintansa tai se poistetaan Euroopan komission luettelosta, on kyberturvallisuussertifioinnin viranomaisen ryhdyttävä asianmukaisiin toimenpiteisiin sen varmistamiseksi, että arviointilaitoksen asiakirjat käsittelee toinen kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos tai että asiakirjat pidetään kyberturvallisuussertifioinnin viranomaisen ja markkinavalvonnasta vastaavien viranomaisten saatavilla.

Poliisi on velvollinen antamaan virka-apua kyberturvallisuussertifioinnin viranomaiselle tässä laissa tai kyberturvallisuusasetuksessa tai sen nojalla säädettyjen velvollisuuksien noudattamisen valvomiseksi ja täytäntöön panemiseksi.

Poliisin antamasta virka-avusta säädetään poliisilaissa (872/2011) .

Hallinnollinen seuraamusmaksu voidaan määrätä valmistajalle, joka tahallaan tai huolimattomuudesta:

Hallinnollinen seuraamusmaksu voidaan määrätä 1 momentissa säädetyllä perusteella muulle kuin valmistajalle silloin, jos tämä kyberkestävyysasetuksen 21 tai 22 artiklan nojalla vastaa valmistajalle säädetystä velvollisuudesta.

Hallinnollinen seuraamusmaksu voidaan määrätä valtuutetulle edustajalle, joka tahallaan tai huolimattomuudesta:

Hallinnollinen seuraamusmaksu voidaan määrätä maahantuojalle, joka tahallaan tai huolimattomuudesta:

Hallinnollinen seuraamusmaksu voidaan määrätä jakelijalle, joka tahallaan tai huolimattomuudesta:

Hallinnollinen seuraamusmaksu voidaan määrätä ilmoitetulle laitokselle, joka tahallaan tai huolimattomuudesta:

Hallinnollinen seuraamusmaksu voidaan määrätä talouden toimijalle, joka tahallaan tai huolimattomuudesta:

Hallinnollinen seuraamusmaksu voidaan määrätä sille, joka tahallaan tai huolimattomuudesta:

Edellä 31 §:n 1 momentin nojalla valmistajalle määrättävän seuraamusmaksun enimmäismäärä on 15 000 000 euroa tai kaksi ja puoli prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Edellä 31 §:n 2 momentin nojalla, 32–35 §:n nojalla tai 36 §:n 1–3 kohdan nojalla määrättävän seuraamusmaksun enimmäismäärä on 10 000 000 euroa tai kaksi prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Edellä 36 §:n 4 kohdan nojalla määrättävän seuraamusmaksun enimmäismäärä on 5 000 000 euroa tai yksi prosentti yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Edellä 37 §:n nojalla määrättävän seuraamusmaksun enimmäismäärä on 100 000 euroa.

Seuraamusmaksun määrä perustuu kokonaisarviointiin. Seuraamusmaksun määrää arvioitaessa on otettava huomioon menettelyn luonne, vakavuus ja kesto sekä sen toistuvuus, rikkomuksen aiheuttama vahinko ja toimijan koko sekä sen mahdolliset aiemmat tämän lain alaan kuuluvat rikkomukset. Kyberkestävyysasetuksen rikkomisen perusteella seuraamusmaksua määrättäessä on lisäksi otettava huomioon, mitä kyberkestävyysasetuksen 64 artiklan 5 kohdassa säädetään.

Edellä 31–34 ja 36 §:ssä tarkoitetun hallinnollisen seuraamusmaksun määrää markkinavalvontaviranomainen. Milloin markkinavalvontaviranomaisena toimii eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:ssä tarkoitettu markkinavalvontaviranomainen, hallinnollinen seuraamusmaksu määrätään mainitun lain 13 §:ssä säädetyssä järjestyksessä.

Edellä 35 §:ssä tarkoitetun hallinnollisen seuraamusmaksun määrää ilmoittava viranomainen.

Edellä 37 §:ssä tarkoitetun hallinnollisen seuraamusmaksun määrää kyberturvallisuussertifioinnin viranomainen.

Seuraamusmaksun määräävällä viranomaisella on oikeus salassapitosäännösten estämättä saada maksutta talouden toimijalta tai muulta viranomaiselta tiedot, jotka ovat välttämättömiä seuraamusmaksun määräämiseksi tai sen määrän arvioimiseksi.

Seuraamusmaksu jätetään määräämättä, jos:

Seuraamusmaksua ei saa määrätä, jos on kulunut yli viisi vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt.

Seuraamusmaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. Kyberturvallisuussertifiointia koskevasta rikkomuksesta ei saa määrätä 37 §:ssä tarkoitettua seuraamusmaksua sille, jolle on määrätty samasta teosta 31–36 §:ssä tarkoitettu seuraamusmaksu.

Seuraamusmaksua ei saa määrätä valtion viranomaisille, valtion liikelaitoksille, hyvinvointialueille tai -yhtymille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelisluterilaiselle kirkolle tai Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille tai muille elimille.

Valmistajalle, joka on mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetussa komission suosituksessa 2003/361/EY tarkoitettu mikro- tai pienyritys, ei saa määrätä seuraamusmaksua sillä perusteella, että yritys on ylittänyt kyberkestävyysasetuksen 14 artiklan 2 kohdan a alakohdassa tai mainitun artiklan 4 kohdan a alakohdassa tarkoitetun määräajan ennakkoilmoitukselle.

Seuraamusmaksua ei saa määrätä avoimen lähdekoodin ohjelmistovastaavalle.

Tämän lain nojalla maksettavaksi määrätyn seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002) .

Ilmoitetun laitoksen antamaan päätökseen, kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen antamaan päätökseen sekä päätökseen, joka koskee viranomaisen suoritteesta perittävää maksua, saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.

Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019) .

Markkinavalvontaviranomaisen muu kuin seuraamusmaksun määräämistä koskeva päätös voidaan panna täytäntöön muutoksenhausta huolimatta.

Ilmoittava viranomainen voi määrätä, että ilmoitetun laitoksen nimeämistä taikka nimeämisen rajaamista tai peruuttamista koskevaa päätöstä on noudatettava muutoksenhausta huolimatta.

Kyberturvallisuussertifioinnin viranomainen voi muussa kuin seuraamusmaksun määräämistä koskevassa päätöksessä määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta.

Oikaisuvaatimuksesta annetussa ilmoitetun laitoksen tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen päätöksessä, joka koskee digitaalisen elementin sisältävän tuotteen valmistajalta tai eurooppalaisen kyberturvallisuussertifikaatin haltijalta vaadittavia korjaavia toimenpiteitä taikka digitaalisen elementin sisältävälle tuotteelle annetun vaatimustenmukaisuustodistuksen tai eurooppalaisen kyberturvallisuussertifikaatin peruuttamista, voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta.

Muutoksenhaussa uhkasakon asettamista ja maksettavaksi tuomitsemista sekä teettämis- tai keskeyttämisuhan asettamista ja täytäntöönpantavaksi määräämistä koskevaan päätökseen sovelletaan kuitenkin, mitä uhkasakkolaissa (1113/1990) säädetään.

Viranomaisten suoritteiden maksullisuudesta ja suoritteista perittävien maksujen suuruuden yleisistä perusteista sekä maksujen muista perusteista säädetään valtion maksuperustelaissa (150/1992) .

Tämä laki tulee voimaan 1 päivänä kesäkuuta 2026.

Tämän lain 3 lukua ja 35 §:ää sovelletaan kuitenkin vasta 11 päivästä kesäkuuta 2026.

Tämän lain 7–9 §:ää ja 31 §:n 1 momentin 23–26 kohtaa sovelletaan kuitenkin vasta 11 päivästä syyskuuta 2026.

Tämän lain 4–6 §:ää, 31 §:n 1 momentin 1–22 kohtaa, 32–34 §:ää ja 36 §:ää sovelletaan kuitenkin vasta 11 päivästä joulukuuta 2027.