Ny lag om cyberresiliens träder i kraft den 1 juni – sårbarheter ska anmälas till Traficom från och med hösten | Traficom
Hoppa till huvudinnehåll
Transport- och kommunikationsverket

Ny lag om cyberresiliens träder i kraft den 1 juni – sårbarheter ska anmälas till Traficom från och med hösten

2. juni 2026 kl 14:38

Cyberresiliensförordningen innebär att cybersäkerhetskrav på produktnivå för programvara och produkter införs på EU-marknaden för första gången. Den lag som träder i kraft den 1 juni 2026 kompletterar EU-förordningen och fastställer förfarandena i Finland. Dessutom kompletterar lagen regleringen om domännamn.

Syftet med den nya lagen om cyberresiliens och EU:s cyberresiliensförordning (Cyber Resilience Act, CRA) är att förbättra cybersäkerheten hos produkter som finns på marknaden. Enligt lagen ska tillverkare från och med den 11 september 2026 anmäla sårbarheter till Cybersäkerhetscentret vid Traficom. Från och med den 11 december 2027 ska alla produkter som släpps ut på marknaden uppfylla kraven i cyberresiliensförordningen. 

EU:s cyberresiliensförordning föreskriver obligatoriska cybersäkerhetskrav för programvara och enheter. De nationella lagar som kompletterar cyberresiliensförordningen träder i kraft den 1 juni 2026.

Cyberresiliensförordningen gäller apparater och programvara som kan kopplas upp till internet eller en annan enhet

Cyberresiliensförordningen fastställer minimikrav för cybersäkerheten hos produkter och programvara inom EU. Tillverkare ska utforma och utveckla produkter så att de är cybersäkra samt rapportera sårbarheter och allvarliga informationssäkerhetsincidenter. Krav ställs också på importörer, distributörer och förvaltare av programvara med fri och öppen källkod. Cyberresiliensförordningen bedöms förbättra samhällets övergripande säkerhet när det finns mer informationssäkra apparater och programvara i bruk och på marknaden än tidigare.

Cyberresiliensförordningens myndighetsuppgifter vid Traficom

Myndighetsuppgifterna enligt cyberresiliensförordningen koncentreras till Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom. Den nya lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering innehåller bestämmelser bland annat om marknadskontroll, rapportering av sårbarheter, anmälan av organ för bedömning av överensstämmelse samt administrativa påföljder. 

Lagen kompletterar dessutom de nationella bestämmelserna om EU:s cybersäkerhetscertifiering. Kraven på produkterna grundar sig även fortsättningsvis på EU-regleringen.

Rapportering av sårbarheter

Från och med den 11 september 2026 ska tillverkare rapportera aktivt utnyttjade sårbarheter som upptäckts i deras produkter samt allvarliga incidenter som påverkar produkternas säkerhet till Cybersäkerhetscentret vid Traficom. Rapporterna ska lämnas in inom 24 timmar från det att tillverkaren fått kännedom om sårbarheten eller incidenten.

Marknadskontroll

Myndighetsuppgifterna i fråga om marknadskontroll enligt cyberresiliensförordningen samt utseendet av och tillsynen över anmälda organ samlas till Cybersäkerhetscentret vid Traficom. För tillsynen över AI-system med hög risk ansvarar dock samma myndigheter som övervakar kraven i förordning om artificiell intelligens. Dessa är exempelvis Säkerhets- och kemikalieverket, Traficom, Tillstånds- och tillsynsverket, Säkerhets- och utvecklingscentret för läkemedelsområdet, Energimyndigheten, dataombudsmannen och Finansinspektionen. Cybersäkerhetscentret vid Traficom fortsätter att vara nationell myndighet för cybersäkerhetscertifiering.

Organ för bedömning av överensstämmelse

När lagen har trätt i kraft kan organ som bedömer produkters överensstämmelse med kraven ansöka om att bli anmälda för bedömningsuppgifter enligt cyberresiliensförordningen i Finland från och med den 11 juni 2026. Anmälning söks hos Cybersäkerhetscentret vid Traficom. Ett organ som anmälts av Finland kan utföra bedömningar av överensstämmelse enligt cyberresiliensförordningen i alla EU-medlemsstater inom sitt kompetensområde.

Bestämmelserna om domännamn kompletteras

Lagen om tjänster inom elektronisk kommunikation har preciserats och kompletterats med ett nytt kapitel. Ändringarna kompletterar regleringen om domännamn i enlighet med NIS 2-direktivet. De nya skyldigheterna kommer i fortsättningen också att gälla bland annat återförsäljare av domännamn och andra domännamn än .fi- och .ax-domännamn, om till exempel aktörens huvudsakliga etableringsställe eller utsedda företrädare finns i Finland. Ändringen förbättrar tillgången till uppgifter och myndigheternas möjligheter att ingripa mot olaglig verksamhet på nätet. De nya skyldigheterna börjar tillämpas efter en övergångsperiod på tre månader.

Cybersäkerhetskraven för radioutrustning upphävs

Kommissionen har dessutom publicerat en delegerad förordning genom vilken den delegerade förordningen (EU) 2022/30 om cybersäkerhetskrav för radioutrustning upphävs. Upphävandet träder i kraft den 11 december 2027, då EU:s cyberresiliensförordning börjar tillämpas fullt ut. Fram till dess tillämpas de nuvarande cybersäkerhetskraven enligt radioutrustningsdirektivet (RED-direktivet) som vanligt. I praktiken gäller ändringen alltså endast radioutrustning som släpps ut på EU-marknaden från och med den 11 december 2027. Syftet med ändringen är att undvika överlappande reglering.

EU:s cyberresiliensförordning (CRA) träder i kraft – infotillfälle den 3 juni 2026

Traficom, kommunikationsministeriet och Kyberala ry ordnar ett informationstillfälle om EU:s cyberresiliensförordning (CRA) den 3 juni kl. 9.00–11.30.