<akomaNtoso xmlns="http://docs.oasis-open.org/legaldocml/ns/akn/3.0" xmlns:finlex="http://data.finlex.fi/schema/finlex" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <act contains="originalVersion" name="main">
        <meta>
            <identification source="#organization_fi.finlex">
                <FRBRWork>
                    <FRBRthis value="/akn/fi/act/statute/2025/124/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/124"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/124/alkup"/>
                    <FRBRdate date="2025-04-04" name="dateIssued"/>
                    <FRBRdate date="2025-04-07" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRcountry value="fi"/>
                    <FRBRsubtype value="statute"/>
                    <FRBRnumber value="124"/>
                    <FRBRprescriptive value="true"/>
                    <FRBRauthoritative value="true"/>
                </FRBRWork>
                <FRBRExpression>
                    <FRBRthis value="/akn/fi/act/statute/2025/124/fin@/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/124/fin@"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/124/alkup/fin"/>
                    <FRBRdate date="2025-04-04" name="dateIssued"/>
                    <FRBRdate date="2025-04-07" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRlanguage language="fin"/>
                </FRBRExpression>
                <FRBRManifestation>
                    <FRBRthis value="/akn/fi/act/statute/2025/124/fin@/!main.xml"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/124/fin@.akn"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/124/alkup/fin/xml"/>
                    <FRBRdate date="2025-09-05" name="dateProduced"/>
                    <FRBRdate date="2025-04-07" name="datePublished"/>
                    <FRBRauthor as="#role_editor" href="#organization_fi.finlex"/>
                    <FRBRformat value="xml"/>
                </FRBRManifestation>
            </identification>
            <references source="#organization_fi.finlex">
                <TLCOrganization eId="organization_fi.finlex" href="/akn/ontology/organization/fi.finlex" showAs="Finlex"/>
                <TLCRole eId="role_author" href="/akn/ontology/role/author" showAs="Tekijä"/>
                <TLCRole eId="role_editor" href="/akn/ontology/role/editor" showAs="Toimittaja"/>
                <TLCConcept eId="act" href="/akn/ontology/concept/statute/type-statute.act" showAs="Laki"/>
                <TLCConcept eId="new-statute" href="/akn/ontology/concept/statute/category-statute.new-statute" showAs="Uusi säädös"/>
            </references>
            <proprietary source="#organization_fi.finlex">
                <finlex:typeStatute refersTo="#act"/>
                <finlex:categoryStatute refersTo="#new-statute"/>
                <finlex:documentYear>2025</finlex:documentYear>
            </proprietary>
        </meta>
        <preface>
            <p>
                <docNumber>124/2025</docNumber>
                <docTitle>Kyberturvallisuuslaki</docTitle>
            </p>
        </preface>
        <preamble>
            <formula name="enactingClause">
                <p>Eduskunnan päätöksen mukaisesti säädetään:</p>
            </formula>
        </preamble>
        <body>
            <hcontainer finlex:outline="Säädöksen teksti" name="statuteProvisionsWrapper">
                <chapter eId="chp_1">
                    <num>1 luku</num>
                    <heading>Yleiset säännökset</heading>
                    <section eId="chp_1__sec_1">
                        <num>1 §</num>
                        <heading>Soveltamisala</heading>
                        <subsection eId="chp_1__sec_1__subsec_1">
                            <content>
                                <p>Tässä laissa säädetään kyberturvallisuutta koskevien riskien hallinnasta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_1__subsec_2">
                            <content>
                                <p>
                                    Tällä lailla pannaan täytäntöön toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 (<i>NIS 2 -direktiivi</i>).
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_1__subsec_3">
                            <content>
                                <p>NIS 2 -direktiivin täytäntöönpanosta mainitun direktiivin liitteen I kohdassa 10 tarkoitetulla julkishallinnon toimialalla säädetään julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019).</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_2">
                        <num>2 §</num>
                        <heading>Määritelmät</heading>
                        <subsection eId="chp_1__sec_2__subsec_1">
                            <intro eId="chp_1__sec_2__subsec_1__intro">
                                <p>Tässä laissa tarkoitetaan:	</p>
                            </intro>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>
                                        <i>aluetunnusrekisterin ylläpitäjällä</i>
                                         tahoa, jolle on myönnetty oikeus hallinnoida tiettyä aluetunnusta ja joka sitä hallinnoidessaan vastaa verkkotunnusten rekisteröinnistä sen alle sekä sen teknisestä toiminnasta;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>
                                        <i>datakeskuspalvelulla</i>
                                         palvelua, joka käsittää rakenteita tai rakenteiden ryhmiä, jotka on tarkoitettu datan tallennus-, käsittely- ja siirtopalveluja tarjoavien tietoteknisten laitteiden ja verkkolaitteiden keskitettyyn ylläpitoon, yhteenliittämiseen ja ohjaukseen yhdessä kaikkien tarvittavien sähkönjakeluun ja toimintaolosuhteiden säätelyyn tarkoitettujen laitteiden ja infrastruktuurin kanssa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>
                                        <i>DNS-palveluntarjoajalla</i>
                                         toimijaa, joka tarjoaa yleisesti saatavilla olevia rekursiivisia verkkotunnusten selvityspalveluja internetin loppukäyttäjille tai auktoritatiivisia verkkotunnusten selvityspalveluja kolmansille osapuolille, lukuun ottamatta juurinimipalvelimia;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>
                                        <i>haavoittuvuudella</i>
                                         tieto- ja viestintätekniikan tuotteiden tai -palvelujen heikkoutta, alttiutta tai vikaa, joka voi aiheuttaa kyberuhkan tai poikkeaman;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>
                                        <i>hallintapalvelun tarjoajalla</i>
                                         toimijaa, joka tarjoaa 17 kohdassa tarkoitettujen TVT-tuotteiden, verkkojen, infrastruktuurin, sovellusten tai muiden viestintäverkkojen ja tietojärjestelmien asentamiseen, hallintaan, käyttöön tai ylläpitoon liittyviä palveluja joko asiakkaan tiloissa tai etäyhteyden välityksellä toteutettavan tuen tai aktiivisen ylläpidon muodossa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_6">
                                <num>6) </num>
                                <content>
                                    <p>
                                        <i>hyväksytyllä luottamuspalvelun tarjoajalla</i>
                                         sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (<i>eIDAS-asetus</i>) 3 artiklan 20 alakohdassa tarkoitettua hyväksyttyä luottamuspalvelun tarjoajaa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_7">
                                <num>7) </num>
                                <content>
                                    <p>
                                        <i>kyberturvallisuudella</i>
                                         toimia, joita tarvitaan viestintäverkkojen ja tietojärjestelmien, niiden käyttäjien ja muiden asianosaisten henkilöiden suojaamiseksi kyberuhilta;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_8">
                                <num>8) </num>
                                <content>
                                    <p>
                                        <i>kyberuhkalla</i>
                                         tilannetta, tapahtumaa tai toimintaa, joka toteutuessaan voi vahingoittaa tai häiritä viestintäverkkoja tai tietojärjestelmiä, tällaisten järjestelmien käyttäjiä ja muita henkilöitä tai muulla tavoin vaikuttaa näihin haitallisesti;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_9">
                                <num>9) </num>
                                <content>
                                    <p>
                                        <i>luottamuspalvelun tarjoajalla</i>
                                         eIDAS-asetuksen 3 artiklan 19 alakohdassa määriteltyä luottamuspalvelun tarjoajaa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_10">
                                <num>10) </num>
                                <content>
                                    <p>
                                        <i>pilvipalvelulla</i>
                                         digitaalista palvelua, joka tarjoaa laajaan etäkäyttöön skaalattavan ja joustavan joukon jaettavissa olevia ja tarveperusteisesti ohjattavia tietoteknisiä resursseja;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_11">
                                <num>11) </num>
                                <content>
                                    <p>
                                        <i>poikkeamalla</i>
                                         tapahtumaa, joka vaarantaa viestintäverkoissa ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_12">
                                <num>12) </num>
                                <content>
                                    <p>
                                        <i>poikkeaman käsittelyllä</i>
                                         toimia ja menettelyjä, joilla pyritään ehkäisemään ja havaitsemaan poikkeama, analysoimaan, rajoittamaan tai hallitsemaan sitä ja palautumaan siitä;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_13">
                                <num>13) </num>
                                <content>
                                    <p>
                                        <i>riskillä</i>
                                         poikkeaman aiheuttamien menetysten tai häiriön mahdollisuutta, joka ilmaistaan menetyksen tai häiriön suuruuden ja poikkeaman toteutumisen todennäköisyyden yhdistelmänä;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_14">
                                <num>14) </num>
                                <content>
                                    <p>
                                        <i>sisällönjakeluverkolla</i>
                                         maantieteellisesti hajautettujen palvelimien verkkoa, jonka tarkoituksena on varmistaa digitaalisen sisällön ja digitaalisten palvelujen hyvä saatavuus, käytettävyys ja nopea jakelu internetin käyttäjille sisällön ja palvelujen tarjoajien puolesta;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_15">
                                <num>15) </num>
                                <content>
                                    <p>
                                        <i>tietoturvapalveluntarjoajalla</i>
                                         hallintapalvelun tarjoajaa, joka toimii kyberturvallisuusriskien hallitsemiseksi tai antaa tukea sitä varten;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_16">
                                <num>16) </num>
                                <content>
                                    <p>
                                        <i>TVT-palvelulla</i>
                                         Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 (<i>kyberturvallisuusasetus</i>) 2 artiklan 13 kohdassa tarkoitettua tieto- ja viestintätekniikan palvelua;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_17">
                                <num>17) </num>
                                <content>
                                    <p>
                                        <i>TVT-tuotteella</i>
                                         kyberturvallisuusasetuksen 2 artiklan 12 kohdassa tarkoitettua tieto- ja viestintätekniikan tuotetta;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_18">
                                <num>18) </num>
                                <content>
                                    <p>
                                        <i>valvovalla viranomaisella</i>
                                         26 §:ssä mainittuja viranomaisia;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_19">
                                <num>19) </num>
                                <content>
                                    <p>
                                        <i>verkkoyhteisöalustalla</i>
                                         alustaa, jonka avulla loppukäyttäjät voivat olla yhteydessä toisiinsa, jakaa sisältöä, hakea tietoa ja viestiä keskenään monenlaisilla päätelaitteilla;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_20">
                                <num>20) </num>
                                <content>
                                    <p>
                                        <i>verkossa toimivalla hakukoneella</i>
                                         oikeudenmukaisuuden ja avoimuuden edistämisestä verkossa toimivien välityspalvelujen yrityskäyttäjiä varten annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/1150 2 artiklan 5 kohdassa tarkoitettua verkossa toimivaa hakukonetta;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_21">
                                <num>21) </num>
                                <content>
                                    <p>
                                        <i>verkossa toimivalla markkinapaikalla</i>
                                         kuluttajansuojalain (38/1978) 6 luvun 8 §:n 4 kohdassa tarkoitettua verkossa toimivaa markkinapaikkaa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_22">
                                <num>22)</num>
                                <intro eId="chp_1__sec_2__subsec_1__para_22__intro">
                                    <p>
                                        <i>viestintäverkolla ja tietojärjestelmällä</i>
                                    </p>
                                </intro>
                                <subparagraph eId="chp_1__sec_2__subsec_1__para_22__subpara_1">
                                    <num>a)</num>
                                    <content>
                                        <p>
                                            eurooppalaisesta sähköisen viestinnän säännöstöstä annettua Euroopan parlamentin ja neuvoston direktiivin (EU) 2018/1972 (<i>teledirektiivi</i>) 2 artiklan 1 kohdassa tarkoitettua sähköistä viestintäverkkoa;
                                        </p>
                                    </content>
                                </subparagraph>
                                <subparagraph eId="chp_1__sec_2__subsec_1__para_22__subpara_2">
                                    <num>b)</num>
                                    <content>
                                        <p>laitetta taikka yhteen kytkettyjen tai toisiinsa yhteydessä olevien laitteiden ryhmää, joista yksi tai useampi suorittaa ohjelman avulla digitaalisten tietojen automaattista käsittelyä; ja</p>
                                    </content>
                                </subparagraph>
                                <subparagraph eId="chp_1__sec_2__subsec_1__para_22__subpara_3">
                                    <num>c)</num>
                                    <content>
                                        <p>digitaalisia tietoja, joita a ja b alakohdassa tarkoitetuissa järjestelmissä säilytetään, käsitellään, haetaan tai siirretään näiden järjestelmien toimintaa, käyttöä, suojausta tai ylläpitoa varten;</p>
                                    </content>
                                </subparagraph>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_23">
                                <num>23) </num>
                                <content>
                                    <p>
                                        <i>viestintäverkon ja tietojärjestelmän turvallisuudella</i>
                                         viestintäverkon ja tietojärjestelmien kykyä suojautua tietyllä varmuudella tapahtumilta, jotka saattavat vaarantaa niissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_24">
                                <num>24) </num>
                                <content>
                                    <p>
                                        <i>yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajalla</i>
                                         sitä, joka tarjoaa sähköisen viestinnän palveluista annetun lain (917/2014) 3 §:n 37 kohdassa tarkoitettua viestintäpalvelua ennalta rajaamattomalle käyttäjäpiirille;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_25">
                                <num>25) </num>
                                <content>
                                    <p>
                                        <i>yleisten sähköisten viestintäverkkojen tarjoajalla</i>
                                         sitä, joka tarjoaa sähköisen viestinnän palveluista annetun lain 3 §:n 34 kohdassa tarkoitettua verkkopalvelua.
                                    </p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_3">
                        <num>3 §</num>
                        <heading>Toimijat</heading>
                        <subsection eId="chp_1__sec_3__subsec_1">
                            <intro eId="chp_1__sec_3__subsec_1__intro">
                                <p>
                                    Tätä lakia sovelletaan oikeushenkilöön ja luonnolliseen henkilöön (<i>toimija</i>), joka:
                                </p>
                            </intro>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>harjoittaa liitteessä I tai II tarkoitettua toimintaa tai on mainituissa liitteissä tarkoitettu toimija; ja </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>täyttää tai ylittää mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset ja tarjoaa palvelujaan tai harjoittaa toimintaansa jossakin Euroopan unionin jäsenvaltiossa.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_1__sec_3__subsec_2">
                            <intro eId="chp_1__sec_3__subsec_2__intro">
                                <p>Tätä lakia sovelletaan myös toimijaan, joka koostaan riippumatta on:</p>
                            </intro>
                            <paragraph eId="chp_1__sec_3__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>luottamuspalvelun tarjoaja;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>aluetunnusrekisterin ylläpitäjä; tai</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>DNS-palveluntarjoaja. </p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_1__sec_3__subsec_3">
                            <intro eId="chp_1__sec_3__subsec_3__intro">
                                <p>Lisäksi tätä lakia sovelletaan sellaiseen toimijaan sen koosta riippumatta, joka harjoittaa liitteessä I tai II tarkoitettua toimintaa tai on mainituissa liitteissä tarkoitettu toimija, jos:</p>
                            </intro>
                            <paragraph eId="chp_1__sec_3__subsec_3__para_1">
                                <num>1) </num>
                                <content>
                                    <p>se tarjoaa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen ja jota muut toimijat eivät tarjoa;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_3__para_2">
                                <num>2) </num>
                                <content>
                                    <p>häiriö sen tarjoamassa palvelussa vaikuttaisi merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_3__para_3">
                                <num>3) </num>
                                <content>
                                    <p>häiriö sen tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia; tai</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_3__para_4">
                                <num>4) </num>
                                <content>
                                    <p>se on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jonkin Euroopan unionin jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_1__sec_3__subsec_4">
                            <content>
                                <p>Edellä 3 momentissa tarkoitetuista kriteereistä voidaan antaa tarkempia säännöksiä valtioneuvoston asetuksella.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_3__subsec_5">
                            <content>
                                <p>Toimijaan ei sovelleta 1 momentin 2 kohdassa mainitun suosituksen liitteen 3 artiklan 4 kohtaa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_4">
                        <num>4 §</num>
                        <heading>Soveltamisalan rajaukset</heading>
                        <subsection eId="chp_1__sec_4__subsec_1">
                            <content>
                                <p>Tämän lain 2 lukua ei sovelleta toimintaan eikä palveluihin, joita tarjotaan maanpuolustuksen, kansallisen turvallisuuden, yleisen järjestyksen ja turvallisuuden taikka rikosten ennalta estämisen, rikostutkinnan ja syytetoimien toteuttamiseksi. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_4__subsec_2">
                            <content>
                                <p>Tätä lakia ei sovelleta toimijaan, joka tarjoaa ainoastaan 1 momentissa tarkoitettua toimintaa tai palvelua.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_4__subsec_3">
                            <content>
                                <p>Edellä 1 ja 2 momentista poiketen lakia sovelletaan toimijaan, joka on luottamuspalvelun tarjoaja. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_4__subsec_4">
                            <content>
                                <p>
                                    Tätä lakia ei sovelleta toimijaan, johon finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2022/2554 (<i>DORA-asetus</i>) ei sovelleta sen 2 artiklan 4 kohdan nojalla.
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_4__subsec_5">
                            <content>
                                <p>Tätä lakia ei sovelleta toimijaan, jonka harjoittama liitteessä I tai II tarkoitettu toiminta on satunnaista ja vähäistä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_4__subsec_6">
                            <content>
                                <p>Tätä lakia sovelletaan kuntalaissa (410/2015) tarkoitettuun kuntaan vain liitteessä I tai II tarkoitetun toiminnan osalta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_4__subsec_7">
                            <content>
                                <p>Tämän lain säännöksiä, jotka velvoittavat antamaan tietoa, ei sovelleta, jos tiedon luovuttaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta taikka olisi vastoin siihen liittyvää tärkeää etua.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_5">
                        <num>5 §</num>
                        <heading>Suhde muuhun lainsäädäntöön</heading>
                        <subsection eId="chp_1__sec_5__subsec_1">
                            <content>
                                <p>Jos muussa laissa tai sen nojalla annetuissa säännöksissä tai määräyksissä on tästä laista poikkeavia vaatimuksia kyberturvallisuusriskien hallinnasta tai merkittävistä poikkeamista ilmoittamisesta ja vaatimukset ovat vaikutuksiltaan vähintään tässä laissa säädettyjä velvoitteita vastaavia, niitä sovelletaan tämän lain vastaavien säännösten asemasta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_5__subsec_2">
                            <content>
                                <p>Jos Euroopan unionin asetuksessa tai NIS 2 -direktiivin nojalla säädetyssä komission asetuksessa edellytetään, että toimija ottaa käyttöön kyberturvallisuutta koskevien riskien hallitsemiseksi toimenpiteitä tai ilmoittaa merkittävistä poikkeamista, ja vaatimukset ovat vaikutuksiltaan vähintään tässä laissa säädettyjä velvoitteita vastaavia, säännöksiä sovelletaan tämän lain 2, 4 ja 5 luvun sekä 41 §:n asemasta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_5__subsec_3">
                            <content>
                                <p>
                                    Henkilötietojen käsittelyn tietoturvallisuudesta säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annetun Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679, jäljempänä 
                                    <i>yleinen tietosuoja-asetus</i>, ja tietosuojalaissa (1050/2018).
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_5__subsec_4">
                            <content>
                                <p>Sen lisäksi mitä tässä laissa säädetään valvovan viranomaisen toimivaltuuksista, luvan peruuttamiseen sovelletaan sähkö- ja maakaasumarkkinoiden valvonnasta annetun lain (590/2013) 23 §:n 6 kohdassa, vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annetun lain (390/2005) 109 a §:ssä sekä maa-asemista ja eräistä tutkista annetun lain (96/2023) 8 §:n 1 momentin 3 kohdassa säädettyä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_6">
                        <num> 6 §</num>
                        <heading>Lainkäyttövalta ja alueellisuus</heading>
                        <subsection eId="chp_1__sec_6__subsec_1">
                            <content>
                                <p>Tätä lakia sovelletaan toimijaan, joka on sijoittautunut Suomeen, jollei laissa toisin säädetä tai Euroopan unionin lainsäädännöstä tai Suomea sitovasta kansainvälisestä velvoitteesta muuta johdu. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_6__subsec_2">
                            <content>
                                <p>Riippumatta valtiosta, johon toimija on sijoittautunut, tätä lakia sovelletaan yleisen sähköisen viestintäverkon tarjoajaan ja yleisesti saatavilla olevan sähköisen viestintäpalvelun tarjoajaan silloin kun se tarjoaa palvelujaan Suomessa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_6__subsec_3">
                            <content>
                                <p>DNS-palveluntarjoaja, aluetunnusrekisterin ylläpitäjä, pilvipalvelujen tarjoaja, datakeskuspalvelujen tarjoaja, sisällönjakeluverkkojen tarjoaja, hallintapalvelun tarjoaja, tietoturvapalveluntarjoaja, verkossa toimivien markkinapaikkojen tarjoaja, verkossa toimivien hakukoneiden tarjoaja ja verkkoyhteisöalustojen tarjoaja kuuluvat tämän lain soveltamisalaan, jos sen NIS 2 -direktiivin 26 artiklan 2 kohdassa tarkoitettu päätoimipaikka tai 3 kohdassa tarkoitettu Euroopan unioniin nimetty edustaja sijaitsee Suomessa. Jos tällainen toimija ei ole sijoittautunut Euroopan unionin jäsenvaltioon ja se tarjoaa palvelujaan Suomessa tai muun Euroopan unionin jäsenvaltion alueella, sen on nimettävä NIS 2 -direktiivin 26 artiklan 3 kohdassa tarkoitettu edustaja Euroopan unionin jäsenvaltioiden aluetta varten. Jos toimija ei ole sijoittautunut Euroopan unionin jäsenvaltioon tai asettanut NIS 2 -direktiivin 26 artiklan 3 kohdassa tarkoitettua nimettyä edustajaa ja toimija
tarjoaa palveluita Suomessa, toimija kuuluu tämän lain soveltamisalaan. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_6__subsec_4">
                            <content>
                                <p>Valvova viranomainen voi suorittaa toiseen Euroopan unionin jäsenvaltioon sijoittautuneeseen toimijaan kohdistuvia valvonta- tai täytäntöönpanotoimia siten kuin tässä laissa säädetään, jos toisen jäsenvaltion toimivaltainen viranomainen sitä pyytää ja toimija tarjoaa palveluja Suomessa tai sillä on viestintäverkko tai tietojärjestelmä Suomen alueella. Edellytyksenä on lisäksi, että valvovalla viranomaisella olisi oikeus suorittaa vastaava valvonta- tai täytäntöönpanotoimi tämän lain nojalla, jos toimija olisi sijoittautunut Suomeen. Valvova viranomainen voi kieltäytyä pyynnöstä, jos sillä ei ole lain nojalla toimivaltaa antaa pyydettyä apua, pyydetty apu ei ole oikeassa suhteessa valvontatehtäviin tai pyyntö koskee sellaisia tietoja tai käsittää sellaisia toimintoja, joiden paljastaminen tai toteuttaminen olisi vastoin Suomen maapuolustukseen tai kansalliseen turvallisuuteen liittyviä etuja. Ennen pyynnöstä kieltäytymistä valvovan viranomaisen on kuultava muita asianomaisia
toimivaltaisia viranomaisia sekä, jos jokin Euroopan unionin jäsenvaltio sitä pyytää, Euroopan komissiota ja Euroopan unionin kyberturvallisuusvirastoa. </p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_2">
                    <num>2 luku</num>
                    <heading>Riskienhallinta ja poikkeamista ilmoittaminen</heading>
                    <section eId="chp_2__sec_7">
                        <num>7 §</num>
                        <heading>Riskienhallinta</heading>
                        <subsection eId="chp_2__sec_7__subsec_1">
                            <content>
                                <p>Toimijan on tunnistettava, arvioitava ja hallittava riskejä, joita kohdistuu sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Kyberturvallisuutta koskevalla riskienhallinnalla tulee estää tai minimoida poikkeamien vaikutus toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_7__subsec_2">
                            <content>
                                <p>Toimijan on toteutettava riskienhallintatoimenpiteet, jotka ovat ajantasaisia, oikeasuhtaisia ja riittäviä suhteessa toiminnassa käytettäville viestintäverkoille ja tietojärjestelmille aiheutuviin riskeihin ja viestintäverkon tai tietojärjestelmän merkitykseen toimijan toiminnan ja palveluntarjonnan kannalta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_8">
                        <num>8 §</num>
                        <heading>Kyberturvallisuutta koskeva riskienhallinnan toimintamalli</heading>
                        <subsection eId="chp_2__sec_8__subsec_1">
                            <content>
                                <p>Toimijalla on oltava käytössä ajantasainen kyberturvallisuutta koskeva riskienhallinnan toimintamalli viestintäverkkojen ja tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_8__subsec_2">
                            <content>
                                <p>
                                    Kyberturvallisuutta koskevassa riskienhallinnan toimintamallissa on tunnistettava viestintäverkkoihin ja tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvat riskit ottaen huomioon kaikki vaaratekijät huomioiva lähestymistapa. Toimintamallissa on määritettävä ja kuvattava kyberturvallisuutta koskevan riskienhallinnan tavoitteet, menettelyt ja vastuut sekä 9 §:n mukaiset toimenpiteet, joilla viestintäverkkoja ja tietojärjestelmiä ja niiden fyysistä ympäristöä suojataan kyberuhkilta ja poikkeamilta (<i>hallintatoimenpiteet</i>).
                                </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_9">
                        <num>9 §</num>
                        <heading>Toimenpiteet kyberturvallisuutta koskevien riskien hallinnassa</heading>
                        <subsection eId="chp_2__sec_9__subsec_1">
                            <content>
                                <p>Toimijoiden on toteutettava kyberturvallisuutta koskevan riskienhallinnan toimintamallin mukaiset oikeasuhtaiset tekniset, operatiiviset tai organisatoriset hallintatoimenpiteet viestintäverkkojen ja tietojärjestelmien turvallisuuteen kohdistuvien riskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_9__subsec_2">
                            <intro eId="chp_2__sec_9__subsec_2__intro">
                                <p>Toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä on otettava huomioon ja pidettävä yllä ajantasaisesti ainakin: </p>
                            </intro>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>kyberturvallisuutta koskevan riskienhallinnan toimintaperiaatteet ja hallintatoimenpiteiden vaikuttavuuden arviointi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelemiseksi ja julkistamiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>toimitusketjun välittömien toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, niihin sisällytetyt hallintatoimenpiteet sekä välittömien toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_5">
                                <num>5) </num>
                                <content>
                                    <p>omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_6">
                                <num>6) </num>
                                <content>
                                    <p>henkilöstöturvallisuus ja kyberturvallisuuskoulutus;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_7">
                                <num>7) </num>
                                <content>
                                    <p>pääsynhallinnan ja todentamisen menettelyt;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_8">
                                <num>8) </num>
                                <content>
                                    <p>salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttämiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_9">
                                <num>9) </num>
                                <content>
                                    <p>poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_10">
                                <num>10) </num>
                                <content>
                                    <p>varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_11">
                                <num>11) </num>
                                <content>
                                    <p>perustason tietoturvakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi; sekä</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_2__para_12">
                                <num>12) </num>
                                <content>
                                    <p>toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_2__sec_9__subsec_3">
                            <content>
                                <p>Toimenpiteet on suhteutettava toiminnan laatuun ja laajuuteen, poikkeamasta kohtuudella ennakoitavissa oleviin välittömiin vaikutuksiin, toimijan viestintäverkkojen ja tietojärjestelmien riskialttiuteen, poikkeamien todennäköisyyteen ja vakavuuteen, toimenpiteistä aiheutuviin kustannuksiin sekä ajantasainen kehitys huomioon ottaen käytettävissä oleviin teknisiin mahdollisuuksiin torjua uhka. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_9__subsec_4">
                            <intro eId="chp_2__sec_9__subsec_4__intro">
                                <p>Valvova viranomainen voi toimialallaan antaa riskienhallintavelvollisuuksia tarkentavia teknisiä määräyksiä:</p>
                            </intro>
                            <paragraph eId="chp_2__sec_9__subsec_4__para_1">
                                <num>1) </num>
                                <content>
                                    <p>toimialakohtaisista erityispiirteistä, jotka on otettava huomioon kyberturvallisuutta koskevassa riskienhallinnan toimintamallissa ja 2 momentissa tarkoitetuissa osa-alueissa sekä riskienhallinnan ja viestintäverkkojen ja tietojärjestelmien tietoturvallisuuden hallinnan menettelyissä; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_4__para_2">
                                <num>2) </num>
                                <content>
                                    <p>kriittisiä toimitusketjuja koskevien unionin tason koordinoitujen riskinarviointien tuloksien huomioimisesta toimialakohtaisessa riskienhallinnassa.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_2__sec_9__subsec_5">
                            <content>
                                <p>Riskienhallinnassa, riskienhallinnan toimintamallissa ja hallintatoimenpiteissä on noudatettava lisäksi NIS 2 -direktiivin 21 artiklan 5 kohdan nojalla annettavia Euroopan komission täytäntöönpanosäädöksiä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_10">
                        <num>10 §</num>
                        <heading>Johdon vastuu</heading>
                        <subsection eId="chp_2__sec_10__subsec_1">
                            <content>
                                <p>Toimijan johto vastaa kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy kyberturvallisuutta koskevan riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_10__subsec_2">
                            <content>
                                <p>Johdolla tarkoitetaan toimijan hallitusta, hallintoneuvostoa ja toimitusjohtajaa sekä muussa niihin rinnastettavassa asemassa olevaa, joka tosiasiallisesti johtaa sen toimintaa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_11">
                        <num>11 §</num>
                        <heading>Poikkeamailmoitukset viranomaiselle</heading>
                        <subsection eId="chp_2__sec_11__subsec_1">
                            <content>
                                <p>Toimijan on viipymättä ilmoitettava valvovalle viranomaiselle merkittävästä poikkeamasta. Merkittävällä poikkeamalla tarkoitetaan poikkeamaa, joka on aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön tai huomattavia taloudellisia tappioita asianomaiselle toimijalle, sekä poikkeamaa, joka on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_11__subsec_2">
                            <content>
                                <p>Ensi-ilmoitus on tehtävä 24 tunnin kuluessa merkittävän poikkeaman havaitsemisesta ja jatkoilmoitus 72 tunnin kuluessa merkittävän poikkeaman havaitsemisesta. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_11__subsec_3">
                            <intro eId="chp_2__sec_11__subsec_3__intro">
                                <p>Ensi-ilmoituksessa on ilmoitettava:</p>
                            </intro>
                            <paragraph eId="chp_2__sec_11__subsec_3__para_1">
                                <num>1) </num>
                                <content>
                                    <p>merkittävän poikkeaman havaitsemisesta;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_11__subsec_3__para_2">
                                <num>2) </num>
                                <content>
                                    <p>epäilläänkö merkittävän poikkeaman johtuvan rikoksesta tai muusta lainvastaisesta tai vihamielisestä teosta; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_11__subsec_3__para_3">
                                <num>3) </num>
                                <content>
                                    <p>rajat ylittävien vaikutuksien mahdollisuus ja todennäköisyys sekä rajat ylittävien vaikutuksien ennakointiin liittyvät tiedot.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_2__sec_11__subsec_4">
                            <intro eId="chp_2__sec_11__subsec_4__intro">
                                <p>Jatkoilmoituksessa on ilmoitettava:</p>
                            </intro>
                            <paragraph eId="chp_2__sec_11__subsec_4__para_1">
                                <num>1) </num>
                                <content>
                                    <p>arvio merkittävän poikkeaman laadusta, vakavuudesta ja vaikutuksista; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_11__subsec_4__para_2">
                                <num>2) </num>
                                <content>
                                    <p>tekniset vaarantumisindikaattorit, jos sellaisia on saatavilla; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_11__subsec_4__para_3">
                                <num>3) </num>
                                <content>
                                    <p>mahdolliset päivitykset ensi-ilmoituksen tietoihin.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_2__sec_11__subsec_5">
                            <content>
                                <p>Valvova viranomainen voi toimialallaan antaa tarkempia teknisiä määräyksiä, joilla tarkennetaan 11–15 §:n nojalla tehtävän ilmoituksen, tiedotuksen tai raportin tietosisältöä, teknistä muotoa ja menettelyä. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_11__subsec_6">
                            <content>
                                <p>Edellä 2 momentissa säädetystä poiketen luottamuspalvelun tarjoajan on tehtävä jatkoilmoitus 24 tunnin kuluessa merkittävän poikkeaman havaitsemisesta, jos merkittävä poikkeama vaikuttaa sen luottamuspalvelujen tarjontaan.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_11__subsec_7">
                            <content>
                                <p>Edellä 1 momentissa tarkoitetun lisäksi merkittävällä poikkeamalla tarkoitetaan NIS 2 -direktiivin 23 artiklan 11 kohdan nojalla annetussa Euroopan komission täytäntöönpanosäädöksessä täsmennettyä tilannetta, jossa poikkeama katsotaan merkittäväksi. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_12">
                        <num>12 §</num>
                        <heading>Poikkeamaa koskeva väliraportti</heading>
                        <subsection eId="chp_2__sec_12__subsec_1">
                            <content>
                                <p>Toimijan on annettava valvovan viranomaisen pyynnöstä lisätietoja tai väliraportti merkittävää poikkeamaa koskevista tilannepäivityksistä ja käsittelyn edistymisestä. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_12__subsec_2">
                            <content>
                                <p>Jos merkittävä poikkeama on pitkäkestoinen, toimijan on annettava väliraportti viimeistään kuukauden kuluttua jatkoilmoituksen antamisesta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_13">
                        <num>13 §</num>
                        <heading>Poikkeamaa koskeva loppuraportti</heading>
                        <subsection eId="chp_2__sec_13__subsec_1">
                            <content>
                                <p>Toimijan on annettava valvovalle viranomaiselle merkittävää poikkeamaa koskeva loppuraportti kuukauden kuluessa jatkoilmoituksen toimittamisesta tai, jos kyseessä on pitkäkestoinen poikkeama, kuukauden kuluessa sen käsittelyn päättymisestä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_13__subsec_2">
                            <intro eId="chp_2__sec_13__subsec_2__intro">
                                <p>Loppuraportin on sisällettävä:</p>
                            </intro>
                            <paragraph eId="chp_2__sec_13__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_13__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>selvitys poikkeaman todennäköisesti aiheuttaneen uhkan tai juurisyyn tyypistä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_13__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>selvitys toteutetuista ja meneillään olevista toimenpiteistä poikkeaman vaikutusten lieventämiseksi; ja</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_13__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>selvitys mahdollisista rajat ylittävistä vaikutuksista.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_14">
                        <num>14 §</num>
                        <heading>Poikkeamasta ja kyberuhkasta ilmoittaminen muulle kuin viranomaiselle</heading>
                        <subsection eId="chp_2__sec_14__subsec_1">
                            <content>
                                <p>Toimijan on ilmoitettava viipymättä merkittävästä poikkeamasta palvelujensa vastaanottajille, jos merkittävä poikkeama todennäköisesti haittaa toimijan palvelujen tarjoamista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_14__subsec_2">
                            <content>
                                <p>Toimijan on ilmoitettava viipymättä merkittävästä kyberuhkasta sekä kyberuhkan hallitsemiseksi käytettävissä olevista toimenpiteistä niille palvelujensa vastaanottajille, joihin merkittävä kyberuhka saattaa vaikuttaa. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_14__subsec_3">
                            <content>
                                <p>Jos merkittävästä poikkeamasta tiedottaminen on yleisen edun mukaista, valvova viranomainen voi velvoittaa toimijan tiedottamaan asiasta tai tiedottaa asiasta itse.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_15">
                        <num>15 §</num>
                        <heading>Vapaaehtoinen ilmoittaminen</heading>
                        <subsection eId="chp_2__sec_15__subsec_1">
                            <content>
                                <p>Toimijat voivat vapaaehtoisesti tehdä valvovalle viranomaiselle ilmoituksia muista kuin 11 §:ssä tarkoitetuista poikkeamista, kyberuhkista ja läheltä piti -tilanteista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_15__subsec_2">
                            <content>
                                <p>Valvovan viranomaisen on toimialallaan otettava vastaan vapaaehtoisia poikkeamailmoituksia merkittävistä poikkeamista, poikkeamista, kyberuhkista ja läheltä piti -tilanteista myös muilta kuin tässä laissa tarkoitetuilta toimijoilta. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_15__subsec_3">
                            <content>
                                <p>Valvovan viranomaisen on toimitettava tieto tämän pykälän nojalla tehdyistä ilmoituksista 18 §:ssä tarkoitetulle keskitetylle yhteyspisteelle.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_16">
                        <num>16 §</num>
                        <heading>Poikkeamailmoituksen vastaanottaminen</heading>
                        <subsection eId="chp_2__sec_16__subsec_1">
                            <content>
                                <p>Valvovan viranomaisen on vastattava poikkeamailmoituksen tehneelle taholle viivytyksettä. Vastauksessa on oltava alustava palaute merkittävästä poikkeamasta sekä ohjeet siitä ilmoittamisesta esitutkintaviranomaiselle, jos asiassa epäillään rikosta. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_16__subsec_2">
                            <content>
                                <p>Valvova viranomainen voi asettaa etusijalle 11 §:ssä tarkoitettuihin ilmoituksiin vastaamisen ja niiden 17 §:n mukaisen käsittelyn vapaaehtoisiin ilmoituksiin nähden.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_17">
                        <num>17 §</num>
                        <heading>Poikkeamailmoitusten käsittely</heading>
                        <subsection eId="chp_2__sec_17__subsec_1">
                            <content>
                                <p>Valvovan viranomaisen on toimitettava 11–13 ja 15 §:ssä tarkoitetut ilmoitukset ja raportit CSIRT-yksikölle välittömästi. CSIRT-yksikkö antaa toimijan pyynnöstä ohjeita ja operatiivisia neuvoja vaikutuksia lieventävistä toimenpiteistä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_17__subsec_2">
                            <content>
                                <p>Jos merkittävästä poikkeamasta on aiheutunut yleisen tietosuoja-asetuksen 33 artiklassa tarkoitettu henkilötietojen tietoturvaloukkaus, josta on ilmoitettava, valvovan viranomaisen on ilmoitettava poikkeaman havaitsemisesta tietosuojavaltuutetulle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_17__subsec_3">
                            <content>
                                <p>Jos merkittävässä poikkeamassa toimijan ilmoituksen perusteella voidaan olettaa tehdyksi rikos, josta säädetty enimmäisrangaistus on vähintään kolme vuotta vankeutta, valvovan viranomaisen on ilmoitettava merkittävän poikkeaman havaitsemisesta poliisille.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_17__subsec_4">
                            <content>
                                <p>Jos merkittävällä poikkeamalla on vaikutuksia muihin Euroopan unionin jäsenvaltioihin tai muihin toimialoihin, valvovan viranomaisen on tiedotettava siitä 18 §:ssä tarkoitetulle keskitetylle yhteyspisteelle ja toimitettava sitä koskevat ilmoitukset, raportit ja muut tiedot yhteyspisteelle. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_17__subsec_5">
                            <content>
                                <p>Jos merkittävä poikkeama vaikuttaa toiseen Euroopan unionin jäsenvaltioon, keskitetyn yhteyspisteen on ilmoitettava siitä ilman aiheetonta viivytystä Euroopan unionin kyberturvallisuusvirastolle ja niille jäsenvaltioille, joihin poikkeama vaikuttaa. Keskitetyn yhteyspisteen on pyynnöstä toimitettava myös 11–13 §:ssä tarkoitetut ilmoitukset ja raportit sen Euroopan unionin jäsenvaltion, johon poikkeama vaikuttaa, keskitetylle yhteyspisteelle. Keskitetty yhteyspiste saa luovuttaa tässä tarkoituksessa Euroopan unionin kyberturvallisuusvirastolle ja muiden Euroopan unionin jäsenvaltioiden keskitetyille yhteyspisteille tietoja merkittävästä poikkeamasta. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_18">
                        <num>18 §</num>
                        <heading>Keskitetty yhteyspiste</heading>
                        <subsection eId="chp_2__sec_18__subsec_1">
                            <content>
                                <p>Liikenne- ja viestintäviraston Kyberturvallisuuskeskus toimii NIS 2 -direktiivin 8 artiklan 3 kohdassa tarkoitettuna keskitettynä yhteyspisteenä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_18__subsec_2">
                            <content>
                                <p>Keskitetyn yhteyspisteen tehtävänä on edistää valvovien viranomaisten välistä yhteistyötä ja koordinaatiota tämän lain mukaisten tehtävien toteuttamisessa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_18__subsec_3">
                            <content>
                                <p>Keskitetyn yhteyspisteen on toimitettava Euroopan unionin kyberturvallisuusvirastolle kolmen kuukauden välein yhteenvetoraportti, joka sisältää anonymisoidut koontitiedot 11–13 ja 15 §:n nojalla ilmoitetuista merkittävistä poikkeamista, poikkeamista, kyberuhkista ja läheltä piti -tilanteista. Keskitetyllä yhteyspisteellä on oikeus saada tätä tarkoitusta varten anonymisoidut koontitiedot valvovalta viranomaiselta.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_3">
                    <num>3 luku</num>
                    <heading>CSIRT-yksikkö</heading>
                    <section eId="chp_3__sec_19">
                        <num>19 §</num>
                        <heading>CSIRT-yksikkö</heading>
                        <subsection eId="chp_3__sec_19__subsec_1">
                            <content>
                                <p>Liikenne- ja viestintävirastossa toimii tietoturvaloukkauksiin reagoiva ja niitä tutkiva NIS 2 ‑direktiivin 1 artiklan 2 kohdan a alakohdassa tarkoitettu CSIRT-yksikkö. Sen toiminta on järjestettävä erilliseksi 26 §:n nojalla tehtävästä valvonnasta. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_19__subsec_2">
                            <intro eId="chp_3__sec_19__subsec_2__intro">
                                <p>CSIRT-yksikön on täytettävä seuraavat vaatimukset:</p>
                            </intro>
                            <paragraph eId="chp_3__sec_19__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>sen on varmistettava viestintäkanaviensa kattava saatavuus välttäen viestinnän täysin katkaisevia yksittäisiä vikaantumispisteitä ja ylläpidettävä useita viestintäkeinoja, joilla muut voivat ottaa siihen ja se voi ottaa muihin yhteyttä milloin tahansa;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_19__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>sen toimitilat ja niiden toimia tukevat tietojärjestelmät on sijoitettava suojattuihin paikkoihin;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_19__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>sillä on oltava tarkoituksenmukainen järjestelmä pyyntöjen hallintaa ja reititystä varten, erityisesti tapausten tuloksekkaan ja tehokkaan edelleen ohjauksen helpottamiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_19__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>sen on varmistettava toimintojensa luottamuksellisuus ja luotettavuus;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_19__subsec_2__para_5">
                                <num>5) </num>
                                <content>
                                    <p>sillä on oltava riittävä henkilöstö palvelujensa jatkuvan saatavuuden varmistamiseksi, ja sen on varmistettava henkilöstönsä asianmukainen koulutus;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_19__subsec_2__para_6">
                                <num>6) </num>
                                <content>
                                    <p>sillä on oltava varautumisjärjestelyt palvelujensa jatkuvuuden varmistamiseksi.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_3__sec_19__subsec_3">
                            <content>
                                <p>CSIRT-yksikön on määritettävä selkeästi 2 momentin 1 kohdassa tarkoitetut viestintäkanavat ja tiedotettava niistä kohderyhmilleen ja yhteistyökumppaneilleen.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_20">
                        <num>20 §</num>
                        <heading>CSIRT-yksikön tehtävät</heading>
                        <subsection eId="chp_3__sec_20__subsec_1">
                            <intro eId="chp_3__sec_20__subsec_1__intro">
                                <p>CSIRT-yksikön tehtävänä on:</p>
                            </intro>
                            <paragraph eId="chp_3__sec_20__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>seurata ja analysoida kyberuhkia, haavoittuvuuksia ja poikkeamia kansallisella tasolla sekä kerätä niitä koskevia tietoja ja antaa niitä koskevia ennakkovaroituksia, hälytyksiä, ilmoituksia ja tietoja;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_20__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>avustaa pyynnöstä viestintäverkkojen ja tietojärjestelmien tietoturvallisuuden reaaliaikaisessa tai lähes reaaliaikaisessa seurannassa;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_20__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>reagoida poikkeamailmoituksiin ja tarvittaessa avustaa poikkeamasta ilmoittanutta tahoa poikkeaman käsittelyssä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_20__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>kerätä ja analysoida uhkatietoja ja tietoturvaloukkausten tutkintaa koskevia tietoja; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_20__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>laatia riski- ja poikkeama-analyysejä ja tukea kyberturvallisuuden tilannekuvan ylläpitämistä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_20__subsec_1__para_6">
                                <num>6) </num>
                                <content>
                                    <p>osallistua NIS 2 -direktiivin 15 artiklassa tarkoitettuun CSIRT-verkostoon ja avustaa sen jäseniä niiden pyynnöstä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_20__subsec_1__para_7">
                                <num>7) </num>
                                <content>
                                    <p>nimetä asiantuntijoita NIS 2 -direktiivin 19 artiklassa tarkoitettuihin vertaisarviointeihin; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_20__subsec_1__para_8">
                                <num>8) </num>
                                <content>
                                    <p>edistää tietoturvallisten tiedonjakovälineiden käyttöönottoa; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_20__subsec_1__para_9">
                                <num>9) </num>
                                <content>
                                    <p>antaa ohjeita ja suosituksia poikkeamien käsittelemisestä, kyberturvallisuuden kriisinhallinnasta ja koordinoidusta haavoittuvuuksien julkistamisesta.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_3__sec_20__subsec_2">
                            <content>
                                <p>CSIRT-yksikkö voi asettaa tehtäviään riskiperusteisesti tärkeysjärjestykseen käytettävissään olevien voimavarojen mukaisesti.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_20__subsec_3">
                            <content>
                                <p>CSIRT-yksikkö koordinoi 23 §:ssä tarkoitettuja kyberturvallisuustietojen vapaaehtoisia jakamisjärjestelyjä itsensä, tämän lain soveltamisalaan kuuluvien toimijoiden ja muiden yhteisöjen kesken.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_20__subsec_4">
                            <content>
                                <p>
                                    CSIRT-yksikkö voi tuottaa 1 momentin 2 kohdassa tarkoitettua viestintäverkon ja tietojärjestelmien reaaliaikaista tai lähes reaaliaikaista tietoturvallisuuden seurantaa koskevaa palvelua viestintäverkkojen ja tietojärjestelmien tietoturvallisuuden varmistamiseksi, poikkeamien havaitsemiseksi ja selvittämiseksi sekä kyberuhkien ennalta estämiseksi (<i>tietoturvaloukkausten havainnointipalvelu</i>). CSIRT-yksikkö voi tarjota tietoturvaloukkausten havainnointipalvelua suoraan sitä pyytäville toimijoille ja muille yhteisöille sekä sellaisille tietoturvapalveluntarjoajille, jotka tarjoavat tietoturvaloukkausten havainnointipalvelua toimijoille tai muille yhteisöille käytettäväksi (<i>palvelukeskus</i>).
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_20__subsec_5">
                            <content>
                                <p>CSIRT-yksikön 1 momentin 1 ja 2 kohdassa sekä 21 §:n 4 momentissa tarkoitetusta palvelusta voidaan periä maksu siltä, joka palvelua pyytää. Viranomaisten suoritteiden maksullisuudesta ja suoritteista perittävien maksujen suuruuden yleisistä perusteista sekä maksujen muista perusteista säädetään valtion maksuperustelaissa (150/1992). </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_21">
                        <num>21 §</num>
                        <heading>Yleisten viestintäverkkojen ja tietojärjestelmien verkkopohjainen haavoittuvuuskartoitus</heading>
                        <subsection eId="chp_3__sec_21__subsec_1">
                            <content>
                                <p>
                                    CSIRT-yksiköllä on oikeus ennakoivalla, muulla kuin intrusiivisella tavalla havainnoida ja kartoittaa tietoja yleiseen viestintäverkkoon liitetyistä viestintäverkoista ja tietojärjestelmistä haavoittuvuuksien, kyberuhkien ja turvattomasti määritettyjen viestintäverkkojen tai tietojärjestelmien asetuksien havaitsemiseksi (<i>haavoittuvuuskartoitus</i>). Haavoittuvuuskartoitus tehdään haavoittuvien tai turvattomasti määritettyjen viestintäverkkojen ja tietojärjestelmien asetuksien havaitsemiseksi ja havainnoista asianomaisille tahoille ilmoittamiseksi.
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_21__subsec_2">
                            <content>
                                <p>Haavoittuvuuskartoituksen toteuttamisessa CSIRT-yksiköllä on oikeus yleisen viestintäverkon välityksellä hankkia tietoja siihen kytkettyjen viestintäverkkolaitteiden, telepäätelaitteiden, muiden tietojärjestelmien ja niiden tietoliikennejärjestelyjen yksilöintitiedoista, käytetyistä ohjelmistoista ja niiden toiminnasta, teknisestä toteutuksesta ja niiden avulla tarjotuista palveluista. Haavoittuvuuskartoitus ei saa aiheuttaa haittaa kartoituksen kohteena olevan järjestelmän tai palvelun toiminnalle. Haavoittuvuuskartoituksella ei saa hankkia tietoa yleisessä viestintäverkossa tai yleisesti saatavilla olevassa viestintäpalvelussa välitettävänä olevasta viestinnästä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_21__subsec_3">
                            <content>
                                <p>Haavoittuvuuskartoituksessa havaittuja, kartoituksen kohteeseen yhdistettävissä olevia tietoja saa käyttää vain viestintäverkkoon tai tietojärjestelmään kohdistuvista haavoittuvuuksista ja riskeistä ilmoittamiseksi kartoituksen kohteelle. CSIRT-yksikkö voi käyttää haavoittuvuuskartoituksella hankittuja tietoja lisäksi 20 §:n 1 momentin 1, 4 ja 5 kohdassa tarkoitettujen tehtävien hoitamiseksi. Tarpeettomat tiedot on poistettava viipymättä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_21__subsec_4">
                            <content>
                                <p>
                                    CSIRT-yksiköllä on oikeus tehdä kartoituksen kohteen pyynnöstä haavoittuvuuskartoitus kartoituksen kohteen viestintäverkossa tai tietojärjestelmissä 1–3 momentissa säädetystä poikkeavalla tavalla sellaisen haavoittuvuuden, kyberuhkan tai turvattomasti määritettyjen asetuksien havaitsemiseksi, jolla voi olla merkittävä vaikutus viestintäverkkoon tai tietojärjestelmään tai niiden avulla tarjottaviin palveluihin (<i>kohdennettu haavoittuvuuskartoitus</i>).
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_21__subsec_5">
                            <content>
                                <p>Haavoittuvuuskartoituksessa ja kohdennetussa haavoittuvuuskartoituksessa ei saa käsitellä sähköisten viestien sisältöä eikä välitystietoa. CSIRT-yksikön on hävitettävä haavoittuvuuskartoituksessa tai kohdennetussa haavoittuvuuskartoituksessa saamansa tiedot, kun ne eivät ole enää tarpeen tässä pykälässä tarkoitettujen tehtävien hoitamiseksi.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_22">
                        <num>22 §</num>
                        <heading>Koordinoitu haavoittuvuuksien julkistaminen</heading>
                        <subsection eId="chp_3__sec_22__subsec_1">
                            <content>
                                <p>CSIRT-yksikkö toimii NIS 2 -direktiivin 12 artiklassa tarkoitettuna koordinaattorina koordinoitua haavoittuvuuksien julkistamista varten. Tässä tehtävässä CSIRT-yksikkö ottaa vastaan ilmoituksia haavoittuvuuksista ja huolehtii niistä johtuvista tarpeellisista jatkotoimista. Ilmoituksen saa antaa nimettömänä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_22__subsec_2">
                            <content>
                                <p>Koordinaattorina CSIRT-yksikkö ottaa yhteyttä ja toimii tarvittaessa välittäjänä haavoittuvuudesta ilmoittavan tahon ja TVT-tuotteen tai -palvelun valmistajan tai tarjoajan välillä, avustaa haavoittuvuudesta ilmoittavia tahoja ja neuvottelee haavoittuvuuden julkistamisen aikataulusta sekä koordinoi useisiin toimijoihin vaikuttavien haavoittuvuuksien hallintaa. Lisäksi CSIRT-yksikkö ohjaa ja neuvoo tietojen ilmoittamisessa Euroopan haavoittuvuustietokantaan ja tietojen hakemisessa siitä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_22__subsec_3">
                            <intro eId="chp_3__sec_22__subsec_3__intro">
                                <p>CSIRT-yksiköllä on oikeus ilmoittaa Euroopan haavoittuvuustietokantaan haavoittuvuuksista tiedot:</p>
                            </intro>
                            <paragraph eId="chp_3__sec_22__subsec_3__para_1">
                                <num>1) </num>
                                <content>
                                    <p>jotka sisältävät kuvauksen haavoittuvuudesta;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_22__subsec_3__para_2">
                                <num>2) </num>
                                <content>
                                    <p>TVT-tuotteista tai -palveluista, joihin haavoittuvuus vaikuttaa, sekä haavoittuvuuden vakavuus niiden olosuhteiden perusteella, joissa haavoittuvuutta voidaan hyödyntää;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_22__subsec_3__para_3">
                                <num>3) </num>
                                <content>
                                    <p>ohjelmistokorjausten saatavuudesta ja, jos niitä ei ole saatavilla, valvovan viranomaisen tai CSIRT-yksikön ohjeistuksesta haavoittuvien TVT-tuotteiden tai -palveluiden käyttäjille siitä, miten julkistetusta haavoittuvuudesta johtuvia riskejä voidaan vähentää.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_3__sec_22__subsec_4">
                            <content>
                                <p>Jos CSIRT-yksikkö saa tiedon sellaisesta haavoittuvuudesta, jolla voi olla merkittävä vaikutus muihin Euroopan unionin jäsenvaltioihin, sen on tehtävä yhteistyötä kyseisten valtioiden CSIRT-yksiköiden kanssa CSIRT-verkostossa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_23">
                        <num>23 §</num>
                        <heading>Kyberturvallisuustietojen vapaaehtoiset jakamisjärjestelyt</heading>
                        <subsection eId="chp_3__sec_23__subsec_1">
                            <content>
                                <p>CSIRT-yksikön, toimijoiden ja muiden kuin tämän lain soveltamisalaan kuuluvien yhteisöiden välillä voidaan muodostaa CSIRT-yksikön koordinoimia kyberturvallisuustietojen vapaaehtoisia jakamisjärjestelyitä niihin osallistuvien yhteisöjen sekä niiden asiakkaiden viestintäverkkoihin, tietojärjestelmiin tai palveluihin kohdistuvien kyberuhkien ehkäisemiseksi ja havaitsemiseksi, poikkeamien hallitsemiseksi ja niistä palautumiseksi ja niiden vaikutusten lieventämiseksi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_23__subsec_2">
                            <intro eId="chp_3__sec_23__subsec_2__intro">
                                <p>Kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn osallistuvien kesken voidaan luovuttaa tietoja: </p>
                            </intro>
                            <paragraph eId="chp_3__sec_23__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>kyberuhkista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_23__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>poikkeamista ja läheltä piti -tilanteista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_23__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>haavoittuvuuksista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_23__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>taktiikoista, tekniikoista ja menettelyistä; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_23__subsec_2__para_5">
                                <num>5) </num>
                                <content>
                                    <p>vaarantumisindikaattoreista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_23__subsec_2__para_6">
                                <num>6) </num>
                                <content>
                                    <p>yksittäisistä uhkatoimijoista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_23__subsec_2__para_7">
                                <num>7) </num>
                                <content>
                                    <p>kyberturvallisuushälytyksistä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_23__subsec_2__para_8">
                                <num>8) </num>
                                <content>
                                    <p>muista kuin 1–7 kohdassa tarkoitetuista kyberuhkien ja poikkeamien torjumiseksi tarpeellisista seikoista.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_3__sec_23__subsec_3">
                            <content>
                                <p>Sen lisäksi, mitä sähköisen viestinnän palveluista annetun lain 319 §:ssä säädetään tietojen luovuttamisesta, CSIRT-yksikkö voi luovuttaa jakamisjärjestelyyn osallistuvalle tämän lain mukaisia tehtäviä suorittaessaan saamansa tiedon kyberuhkaan tai poikkeamaan liittyvästä välitystiedosta tai haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_23__subsec_4">
                            <content>
                                <p>Jakamisjärjestelyihin osallistuva toimija tai muu yhteisö saa sähköisen viestinnän palveluista annetun lain 136 §:n 4 momentin estämättä luovuttaa oma-aloitteisesti CSIRT-yksikölle ja toiselle tämän lain mukaiseen vapaaehtoiseen jakamisjärjestelyyn osallistuvalle tietoa kyberuhkaan tai poikkeamaan liittyvästä välitystiedosta tai haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_23__subsec_5">
                            <content>
                                <p>Jakamisjärjestelyihin osallistuva saa käsitellä tämän pykälän nojalla saamaansa kyberuhkaan tai poikkeamaan liittyvää välitystietoa tai haitallisen tietokoneohjelman tai käskyn sisältävää viestiä koskevaa tietoa vain 1 momentissa tarkoitettuihin tarkoituksiin. CSIRT-yksikkö voi lisäksi käsitellä tämän pykälän nojalla saamiaan tietoja 20 §:n 1 momentissa säädetyn tehtävänsä hoitamiseksi. Tiedon luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä 1 momentissa säädetyn tarkoituksen vuoksi.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_24">
                        <num>24 §</num>
                        <heading>Tietoturvaloukkausten havainnointipalveluun liittyvä tiedonkäsittely</heading>
                        <subsection eId="chp_3__sec_24__subsec_1">
                            <content>
                                <p>Tietoturvaloukkausten havainnointipalvelua käyttävä toimija, muu yhteisö, palvelukeskus ja CSIRT-yksikkö saavat luovuttaa toisilleen viestintäverkkojen ja tietojärjestelmien tietoturvallisuuden seurannan kannalta tarpeellisia tietoja kyberuhkien ehkäisemiseksi ja havaitsemiseksi sekä poikkeamien hallitsemiseksi, niistä palautumiseksi ja niiden vaikutusten lieventämiseksi. Siinä määrin kuin tietoturvaloukkausten havainnointipalvelun toteuttamiseksi on välttämätöntä, luovutettavat tiedot saavat sisältää palvelua käyttävän toimijan tai muun yhteisön palvelussa käsiteltäväksi pyytämiä sellaisia sähköisiä viestejä tai niihin liittyviä välitystietoja, joita sillä on oikeus käsitellä sähköisen viestinnän palveluista annetun lain 272 §:n nojalla.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_24__subsec_2">
                            <content>
                                <p>Välitystietojen ja sähköisten viestien käsittelyyn tietoturvaloukkausten havainnointipalvelussa CSIRT-yksikössä ja palvelukeskuksessa sovelletaan, mitä sähköisen viestinnän palveluista annetun lain 136–138, 145 ja 272 §:ssä säädetään. CSIRT-yksikkö saa lisäksi käyttää palvelun tuottamisen yhteydessä saamiaan välitystietoja ja muita tietoja kansallisen kyberturvallisuuden tilannekuvan ylläpitämisen tukemiseksi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_24__subsec_3">
                            <content>
                                <p>Mitä sähköisen viestinnän palveluista annetun lain 316 §:n 4 momentissa säädetään merkittävien tietoturvaloukkausten tai -uhkien selvittämistä koskevien tietojen hävittämisestä ja 319 §:n 1 momentissa salassapitovelvollisuudesta, koskee myös CSIRT-yksikölle tietoturvaloukkausten havainnointipalvelun toteuttamiseksi luovutettuja viestejä ja välitystietoja.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_25">
                        <num>25 §</num>
                        <heading>CSIRT-yksikölle vapaaehtoisesti luovutettu tieto</heading>
                        <subsection eId="chp_3__sec_25__subsec_1">
                            <content>
                                <p>Siitä riippumatta, mitä viranomaisten tiedonsaantioikeuksista muualla laissa säädetään, CSIRT-yksikölle tämän lain mukaisten tehtävien hoitamiseksi vapaaehtoisesti luovutettua tietoa ei saa ilman tiedon luovuttaneen suostumusta käyttää tiedon luovuttajaan kohdistuvassa rikostutkinnassa eikä hallinnollisessa tai muussa tiedon luovuttajaan kohdistuvassa päätöksenteossa.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_4">
                    <num>4 luku</num>
                    <heading>Valvonta</heading>
                    <section eId="chp_4__sec_26">
                        <num>26 §</num>
                        <heading>Valvovat viranomaiset</heading>
                        <subsection eId="chp_4__sec_26__subsec_1">
                            <intro eId="chp_4__sec_26__subsec_1__intro">
                                <p>Tämän lain, sen nojalla annettujen määräysten ja NIS 2 -direktiivin nojalla annettujen säännösten noudattamista valvoo:</p>
                            </intro>
                            <paragraph eId="chp_4__sec_26__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>Liikenne- ja viestintävirasto siltä osin kuin kyse on liitteen I kohdissa 1–7 ja liitteen II kohdissa 1–5 tarkoitetuista toimijoista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_26__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>Energiavirasto siltä osin kuin kyse on liitteen I kohdissa 8 ja 9 sekä kohdan 10 alakohdissa a–c ja kohdan 12 alakohdassa b tarkoitetuista toimijoista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_26__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>Turvallisuus- ja kemikaalivirasto siltä osin kuin kyse on liitteen I kohdan 10 alakohdissa d–g, kohdassa 11, kohdan 12 alakohdassa a sekä liitteen II kohdissa 6 ja 11–13 tarkoitetuista toimijoista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_26__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>Sosiaali- ja terveysalan lupa- ja valvontavirasto siltä osin kuin kyse on liitteen I kohdan 13 alakohdissa a ja b tarkoitetuista toimijoista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_26__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus siltä osin kuin kyse on liitteen I kohdissa 14–15 sekä liitteen II kohdassa 8 tarkoitetuista toimijoista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_26__subsec_1__para_6">
                                <num>6) </num>
                                <content>
                                    <p>Ruokavirasto siltä osin kuin kyse on liitteen II kohdassa 7 tarkoitetuista toimijoista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_26__subsec_1__para_7">
                                <num>7) </num>
                                <content>
                                    <p>Lääkealan turvallisuus- ja kehittämiskeskus siltä osin kuin kyse on liitteen I kohdan 13 alakohdissa c–f ja liitteen II kohdissa 9 ja 10 tarkoitetuista toimijoista.</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_26__subsec_1__para_8">
                                <content>
                                    <p>Valvovien viranomaisten on tehtävä yhteistyötä valvonnan toteuttamisessa.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_27">
                        <num>27 §</num>
                        <heading>Valvonnan kohdistaminen</heading>
                        <subsection eId="chp_4__sec_27__subsec_1">
                            <content>
                                <p>Valvonta on kohdistettava keskeisiin toimijoihin. Valvova viranomainen voi kuitenkin kohdistaa valvontaa myös muuhun kuin keskeiseen toimijaan, jos on perusteltu syy epäillä, että tämä ei ole noudattanut tätä lakia, sen nojalla annettuja määräyksiä tai NIS 2 -direktiivin nojalla annettuja säännöksiä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_27__subsec_2">
                            <intro eId="chp_4__sec_27__subsec_2__intro">
                                <p>
                                    <i>Keskeisellä toimijalla</i>
                                     tarkoitetaan:
                                </p>
                            </intro>
                            <paragraph eId="chp_4__sec_27__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>liitteessä I tarkoitettua toimijaa, joka ylittää mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_27__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>hyväksyttyjä luottamuspalvelun tarjoajia, aluetunnusrekisterin ylläpitäjiä sekä DNS-palveluntarjoajia;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_27__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajia, jotka täyttävät tai ylittävät mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitteen 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset; sekä</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_27__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>3 §:n 3 momentissa tarkoitettua toimijaa. </p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4__sec_27__subsec_3">
                            <intro eId="chp_4__sec_27__subsec_3__intro">
                                <p>Valvova viranomainen voi asettaa sille tässä laissa säädetyt tehtävät tärkeysjärjestykseen riskiperusteisesti. Valvovan viranomaisen on otettava valvonnan kohdistamisessa ja 29–34 §:ssä tarkoitettujen toimien käyttämisestä päättäessään huomioon:</p>
                            </intro>
                            <paragraph eId="chp_4__sec_27__subsec_3__para_1">
                                <num>1) </num>
                                <content>
                                    <p>liitteessä I tai II tarkoitetun toiminnan laatu ja laajuus;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_27__subsec_3__para_2">
                                <num>2) </num>
                                <content>
                                    <p>tietojärjestelmän tai viestintäverkon merkitys liitteessä I tai II tarkoitetulle toiminnalle; ja </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_27__subsec_3__para_3">
                                <num>3) </num>
                                <content>
                                    <p>37 §:ssä tarkoitetut seikat.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_28">
                        <num>28 §</num>
                        <heading>Tiedonsaantioikeus</heading>
                        <subsection eId="chp_4__sec_28__subsec_1">
                            <content>
                                <p>Valvovalla viranomaisella on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada toimijalta kyberturvallisuutta koskevien riskien hallintaa, riskienhallinnan toimintamallia, hallintatoimenpiteitä ja merkittävää poikkeamaa koskevat tiedot sekä muut edellä mainittuihin tietoihin välittömästi liittyvät tiedot, jotka ovat välttämättömiä kyberturvallisuutta koskevan riskienhallintavelvoitteen noudattamisen ja merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvontaa varten.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_28__subsec_2">
                            <content>
                                <p>Valvovalla viranomaisella on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada toimijalta välitystieto, sijaintitieto sekä tieto haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä, jos se on välttämätöntä kyberturvallisuutta koskevan riskienhallintavelvoitteen noudattamisen tai merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvomista varten. Valvovan viranomaisen tämän momentin nojalla saamat tiedot on pidettävä salassa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_28__subsec_3">
                            <content>
                                <p>Valvovan viranomaisen on tietopyynnössä ilmoitettava pyynnön tarkoitus sekä täsmennettävä pyydetyt tiedot. Tiedot on luovutettava viipymättä, viranomaisen pyytämässä muodossa ja maksutta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_28__subsec_4">
                            <content>
                                <p>Valvovalla viranomaisella on salassapitosäännösten, 2 momentissa säädetyn salassapitovelvollisuuden ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toiselle valvovalle viranomaiselle ja CSIRT-yksikölle, jos se on välttämätöntä viranomaiselle tässä laissa säädettyä tehtävää varten. Tiedonsaantioikeuden käyttämisellä tai tietojen luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_28__subsec_5">
                            <content>
                                <p>Valvovan viranomaisen tiedonsaantioikeus ei koske CSIRT-yksikön tämän lain nojalla tuottamia palveluita eikä tietoja toimijassa. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_28__subsec_6">
                            <content>
                                <p>Tässä pykälässä tarkoitettu tiedonsaantioikeus ei koske salassa pidettäviä tietoja julkisen hallinnon turvallisuusverkkotoiminnasta annetussa laissa (10/2015) tarkoitetusta turvallisuusverkon palvelutuotannosta tai palvelujen käytöstä eikä tietoja, joiden luovuttaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta taikka olisi vastoin niihin liittyvää tärkeää etua.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_29">
                        <num>29 §</num>
                        <heading>Tarkastusoikeus</heading>
                        <subsection eId="chp_4__sec_29__subsec_1">
                            <content>
                                <p>Valvovalla viranomaisella on oikeus tehdä toimijaa koskeva tarkastus. Tarkastus tehdään tässä laissa tai sen nojalla annetussa määräyksessä taikka NIS 2 -direktiivin nojalla annetuissa säännöksissä säädettyjen velvollisuuksien noudattamisen valvomiseksi siinä laajuudessa kuin se on tarpeen. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_29__subsec_2">
                            <content>
                                <p>Jos se on tarkastuksen laadun tai siihen liittyvien teknisten syiden vuoksi tarpeellista, valvova viranomainen voi pyytää tarkastuksen suorittajaksi toisen valvovan viranomaisen tai käyttää tarkastuksessa apuna toista valvovaa viranomaista, tietoturvallisuuden arviointilaitosta ja ulkopuolista tietotekniikan asiantuntijaa. Tarkastuksen suorittajalla ja siihen osallistuvalla on oltava sellainen koulutus ja kokemus kuin tarkastuksen suorittamiseksi on tarpeen. Ulkopuoliseen asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan tämän pykälän mukaisia tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_29__subsec_3">
                            <content>
                                <p>Toimijoiden on tarkastusta varten päästettävä tarkastusta suorittava tarkastuksen edellyttämässä laajuudessa tarkastuksen kohteena olevaan viestintäverkkoon tai tietojärjestelmään ja muihin kuin pysyväisluonteiseen asumiseen tarkoitettuihin tiloihin. Tarkastuksen suorittamiseksi valvovalla viranomaisella, tarkastusta suorittavalla toisella viranomaisella, tietoturvallisuuden arviointilaitoksella ja ulkopuolisella asiantuntijalla on salassapitosäännösten tai muiden tiedon luovuttamista koskevien rajoitusten estämättä oikeus saada tutkittavakseen valvontatehtävän kannalta välttämättömät tiedot, asiakirjat, laitteet ja ohjelmistot, suorittaa tarvittavia testejä ja mittauksia sekä tarkastaa toimijan toteuttamat turvallisuusjärjestelyt. Tarkastuksen suorittajan tarkastus- ja tiedonsaantioikeuteen sovelletaan mitä 28 §:n 6 momentissa säädetään tiedonsaantioikeuden rajoituksista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_29__subsec_4">
                            <content>
                                <p>Tarkastuksessa noudatettavaan menettelyyn sovelletaan, mitä hallintolain (434/2003) 39 §:ssä säädetään tarkastuksesta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_30">
                        <num>30 §</num>
                        <heading>Turvallisuusauditointi</heading>
                        <subsection eId="chp_4__sec_30__subsec_1">
                            <intro eId="chp_4__sec_30__subsec_1__intro">
                                <p>Valvovalla viranomaisella on oikeus velvoittaa toimija teettämään kyberturvallisuuden riskienhallintaan kohdistuva turvallisuusauditointi, jos:</p>
                            </intro>
                            <paragraph eId="chp_4__sec_30__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>toimijaan on kohdistunut merkittävä poikkeama, joka on aiheuttanut palvelujen vakavan toimintahäiriön tai huomattavaa aineellista tai aineetonta vahinkoa; tai</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_30__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>toimija on olennaisesti ja vakavasti laiminlyönyt toteuttaa 8 §:ssä tarkoitetun kyberturvallisuutta koskevan riskienhallinnan toimintamallin tai siinä edellytettyjä hallintatoimenpiteitä taikka muutoin olennaisesti ja vakavasti toiminut tässä laissa tai sen nojalla taikka NIS 2 -direktiivin nojalla säädetyn velvollisuuden vastaisesti.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4__sec_30__subsec_2">
                            <content>
                                <p>Valvovalla viranomaisella on oikeus saada tieto teetetyn turvallisuusauditoinnin tuloksista sekä velvoittaa toimija toteuttamaan turvallisuusauditoinnin suosittelemat kohtuulliset ja oikeasuhtaiset toimenpiteet kyberturvallisuutta koskevan riskienhallinnan kehittämiseksi.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_31">
                        <num>31 §</num>
                        <heading>Valvontapäätös ja varoitus </heading>
                        <subsection eId="chp_4__sec_31__subsec_1">
                            <content>
                                <p>Valvova viranomainen voi velvoittaa toimijan määräajassa korjaamaan puutteet tässä laissa tai sen nojalla annetuissa määräyksissä taikka NIS 2 -direktiivin nojalla annetuissa säännöksissä säädettyjen velvollisuuksien noudattamisessa. Valvova viranomainen voi päätöksellä velvoittaa toimijan julkistamaan kyseiset puutteet tai muut seikat, jotka liittyvät tämän lain, sen nojalla annettujen määräysten tai NIS 2 -direktiivin nojalla annettujen säännösten rikkomiseen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_31__subsec_2">
                            <content>
                                <p>Valvova viranomainen voi antaa toimijalle varoituksen, jos tämä ei ole noudattanut tätä lakia, sen nojalla annettuja määräyksiä tai NIS 2 -direktiivin nojalla annettuja säännöksiä. Varoituksessa on yksilöitävä puute tai laiminlyönti, jota se koskee. Varoitus on annettava kirjallisena. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_32">
                        <num>32 §</num>
                        <heading>Johdon toiminnan rajoittaminen</heading>
                        <subsection eId="chp_4__sec_32__subsec_1">
                            <content>
                                <p>Valvova viranomainen voi kieltää määräajaksi henkilöä toimimasta keskeisen toimijan hallituksen jäsenenä tai varajäsenenä, hallintoneuvoston jäsenenä tai varajäsenenä, toimitusjohtajana tai muussa siihen rinnastettavassa asemassa, jos tämä on toistuvasti ja vakavasti rikkonut 10 §:ssä säädettyjä velvollisuuksia. Valvovan viranomaisen on ennen päätöksen tekemistä annettava keskeiselle toimijalle varoitus, jossa yksilöidään puute tai laiminlyönti, jonka korjaamatta jättäminen voi johtaa päätökseen johdon toiminnan rajoittamisesta, sekä varattava toimijalle kohtuullinen määräaika puutteen tai laiminlyönnin korjaamiseksi. Päätös saa olla voimassa enintään niin kauan, kuin sen perusteena oleva puute tai laiminlyönti on korjaamatta, kuitenkin enintään viisi vuotta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_32__subsec_2">
                            <content>
                                <p>Edellä 1 momentissa säädetystä poiketen johdon toimintaa ei saa rajoittaa, jos kyse on yksityisestä elinkeinonharjoittajasta, avoimesta yhtiöstä, kommandiittiyhtiöstä, valtion viranomaisesta, valtion liikelaitoksesta, hyvinvointialueesta tai -yhtymästä, kunnallisesta viranomaisesta, itsenäisestä julkisoikeudellisesta laitoksesta, eduskunnan virastosta, tasavallan presidentin kansliasta, Suomen evankelis-luterilaisesta kirkosta, Suomen ortodoksisesta kirkosta tai niiden seurakunnista, seurakuntayhtymistä taikka muista elimistä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_33">
                        <num>33 §</num>
                        <heading>Ilmoitus tietosuojavaltuutetulle</heading>
                        <subsection eId="chp_4__sec_33__subsec_1">
                            <content>
                                <p>Jos valvova viranomainen saa tässä laissa tarkoitettujen tehtävien hoitamisen yhteydessä tietoonsa, että 2 luvussa säädettyjen velvollisuuksien laiminlyönti voi johtaa tai on johtanut yleisessä tietosuoja-asetuksessa tarkoitettuun henkilötietojen tietoturvaloukkaukseen, josta on mainitun asetuksen 33 artiklan nojalla ilmoitettava asetuksessa tarkoitetulle valvontaviranomaiselle, valvovan viranomaisen on ilmoitettava asiasta tietosuojavaltuutetulle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_33__subsec_2">
                            <content>
                                <p>Valvovan viranomaisen on tehtävä 1 momentissa tarkoitettu ilmoitus tietosuojavaltuutetulle myös, jos yleisen tietosuoja-asetuksen nojalla toimivaltainen valvontaviranomainen on sijoittunut toiseen jäsenvaltioon.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_34">
                        <num>34 §</num>
                        <heading>Uhkasakko, teettämisuhka ja keskeyttämisuhka </heading>
                        <subsection eId="chp_4__sec_34__subsec_1">
                            <content>
                                <p>Valvova viranomainen voi asettaa tämän lain nojalla antamansa päätöksen tehosteeksi uhkasakon, teettämisuhan tai keskeyttämisuhan.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_5">
                    <num>5 luku</num>
                    <heading>Seuraamusmaksu</heading>
                    <section eId="chp_5__sec_35">
                        <num>35 §</num>
                        <heading>Hallinnollinen seuraamusmaksu</heading>
                        <subsection eId="chp_5__sec_35__subsec_1">
                            <intro eId="chp_5__sec_35__subsec_1__intro">
                                <p> Toimijalle voidaan määrätä hallinnollinen seuraamusmaksu, jos se tahallaan tai törkeästä huolimattomuudesta laiminlyö:</p>
                            </intro>
                            <paragraph eId="chp_5__sec_35__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>7 §:ssä tarkoitetun velvollisuuden hallita riskejä, 8 §:ssä tarkoitetun kyberturvallisuutta koskevan riskienhallinnan toimintamallin laatimisen tai 9 §:n 1 momentissa tarkoitettujen osa-alueiden huomioimisen osana kyberturvallisuuden riskienhallinnan toimintamallia;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_35__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>toteuttaa 9 §:n 2 momentissa tarkoitetut toimenpiteet;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_35__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>antaa 11 §:ssä tarkoitetun poikkeamailmoituksen, 12 §:ssä tarkoitetun väliraportin tai 13 §:ssä tarkoitetun loppuraportin valvovalle viranomaiselle; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_35__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>antaa 41 §:ssä tarkoitetut tiedot valvovalle viranomaiselle.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_5__sec_35__subsec_2">
                            <content>
                                <p>Seuraamusmaksua ei voi määrätä valtion viranomaisille, valtion liikelaitoksille, hyvinvointialueille eikä -yhtymille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_36">
                        <num>36 §</num>
                        <heading>Seuraamusmaksulautakunta</heading>
                        <subsection eId="chp_5__sec_36__subsec_1">
                            <content>
                                <p>Liikenne- ja viestintäviraston yhteydessä toimii seuraamusmaksulautakunta. Lautakunta määrää hallinnollisen seuraamusmaksun valvovan viranomaisen esityksestä. Hallinnollinen seuraamusmaksu määrätään maksettavaksi valtiolle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_36__subsec_2">
                            <content>
                                <p>Liikenne- ja viestintävirasto nimeää lautakunnan puheenjohtajan ja varapuheenjohtajan. Kukin valvova viranomainen nimeää lautakuntaan jäsenen ja tälle henkilökohtaisen varajäsenen. Lautakunnan jäseneltä ja varajäseneltä edellytetään perehtyneisyyttä kyberturvallisuutta koskevien riskien hallintaan sekä NIS 2 -direktiiviin ja sitä täytäntöönpanevassa sääntelyssä asetettuihin velvollisuuksiin nimeävän viranomaisen valvontatoimialalla. Lautakunnan puheenjohtajalla ja varapuheenjohtajalla tulee olla tehtävän edellyttämä riittävä oikeudellinen asiantuntemus. Lautakunnan jäsenet nimetään kolmen vuoden määräajaksi. Lautakunnan jäsen toimii tehtävässään riippumattomasti ja puolueettomasti.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_36__subsec_3">
                            <content>
                                <p>Seuraamusmaksulautakunnan päätös tehdään esittelystä. Esittelijänä toimii sen valvovan viranomaisen virkamies, jonka valvontatoimivaltaan kohdistuva asia on ratkaistavana. Lautakunta on päätösvaltainen, kun paikalla on puheenjohtaja tai varapuheenjohtaja ja vähintään kaksi muuta jäsentä tai varajäsentä. Päätökseksi tulee se kanta, jota enemmistö on kannattanut. Äänten mennessä tasan päätökseksi tulee se kanta, joka on lievempi sille, johon seuraamus kohdistuu. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_36__subsec_4">
                            <content>
                                <p>Seuraamusmaksulautakunnalla on oikeus salassapitosäännösten estämättä saada maksutta seuraamusmaksun määräämiseksi välttämättömät 28 §:ssä tarkoitetut tiedot sekä muut tiedot, jotka ovat välttämättömiä seuraamusmaksun määräämiseksi tai sen määrän arvioimiseksi.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_37">
                        <num>37 §</num>
                        <heading>Seuraamusmaksun määrääminen</heading>
                        <subsection eId="chp_5__sec_37__subsec_1">
                            <intro eId="chp_5__sec_37__subsec_1__intro">
                                <p>Hallinnollisen seuraamusmaksun määrä perustuu kokonaisarviointiin, jossa otetaan huomioon tapauksen olosuhteet sekä ainakin seuraavat seikat:</p>
                            </intro>
                            <paragraph eId="chp_5__sec_37__subsec_1__para_1">
                                <num>1)</num>
                                <intro eId="chp_5__sec_37__subsec_1__para_1__intro">
                                    <p>rikkomisen vakavuus ja rikottujen säännösten tärkeys siten, että rikkomisen vakavuutta osoittaa</p>
                                </intro>
                                <subparagraph eId="chp_5__sec_37__subsec_1__para_1__subpara_1">
                                    <num>a)</num>
                                    <content>
                                        <p>väärinkäytösten toistuvuus;</p>
                                    </content>
                                </subparagraph>
                                <subparagraph eId="chp_5__sec_37__subsec_1__para_1__subpara_2">
                                    <num>b)</num>
                                    <content>
                                        <p>merkittävien poikkeamien jättäminen ilmoittamatta tai korjaamatta;</p>
                                    </content>
                                </subparagraph>
                                <subparagraph eId="chp_5__sec_37__subsec_1__para_1__subpara_3">
                                    <num>c)</num>
                                    <content>
                                        <p>havaittujen puutteiden jättäminen korjaamatta valvovan viranomaisen päätöksistä tai varoituksista huolimatta;</p>
                                    </content>
                                </subparagraph>
                                <subparagraph eId="chp_5__sec_37__subsec_1__para_1__subpara_4">
                                    <num>d)</num>
                                    <content>
                                        <p>valvovan viranomaisen tarkastuksen estäminen tai määrätyn auditoinnin teettämättä jättäminen;</p>
                                    </content>
                                </subparagraph>
                                <subparagraph eId="chp_5__sec_37__subsec_1__para_1__subpara_5">
                                    <num>e)</num>
                                    <content>
                                        <p>riskienhallinnasta tai merkittävistä poikkeamista viranomaiselle liittyvien väärien tai harhaanjohtavien tietojen antaminen;</p>
                                    </content>
                                </subparagraph>
                            </paragraph>
                            <paragraph eId="chp_5__sec_37__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>rikkomisen kesto;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_37__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>toimijan mahdolliset vastaavat aiemmat rikkomiset;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_37__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>aiheutunut vahinko, mukaan lukien rahoitukseen liittyvät tai taloudelliset tappiot, vaikutukset muihin palveluihin sekä niiden käyttäjien lukumäärä, joihin rikkominen vaikuttaa;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_37__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>tahallisuuden aste;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_37__subsec_1__para_6">
                                <num>6) </num>
                                <content>
                                    <p>toimenpiteet, jotka toimija on toteuttanut vahingon ehkäisemiseksi tai lieventämiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_37__subsec_1__para_7">
                                <num>7) </num>
                                <content>
                                    <p>hyväksyttyjen käytännesääntöjen tai hyväksyttyjen sertifiointimekanismien noudattaminen;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_37__subsec_1__para_8">
                                <num>8) </num>
                                <content>
                                    <p>toimijan halukkuus tehdä yhteistyötä valvovan viranomaisen kanssa.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_38">
                        <num>38 §</num>
                        <heading>Seuraamusmaksun enimmäismäärä</heading>
                        <subsection eId="chp_5__sec_38__subsec_1">
                            <content>
                                <p>Keskeiselle toimijalle määrättävän hallinnollisen seuraamusmaksun enimmäismäärä on 10 000 000 euroa tai kaksi prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_38__subsec_2">
                            <content>
                                <p>Muulle kuin keskeiselle toimijalle määrättävän hallinnollisen seuraamusmaksun enimmäismäärä on 7 000 000 euroa tai 1,4 prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_39">
                        <num>39 §</num>
                        <heading>Seuraamusmaksun määräämättä jättäminen </heading>
                        <subsection eId="chp_5__sec_39__subsec_1">
                            <intro eId="chp_5__sec_39__subsec_1__intro">
                                <p>Seuraamusmaksu jätetään määräämättä, jos:</p>
                            </intro>
                            <paragraph eId="chp_5__sec_39__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>toimija on oma-aloitteisesti ryhtynyt riittäviin toimenpiteisiin rikkomuksen tai laiminlyönnin korjaamiseksi välittömästi sen havaitsemisen jälkeen ja ilmoittanut siitä viivytyksettä valvovalle viranomaiselle sekä toiminut yhteistyössä valvovan viranomaisen kanssa eikä rikkomus tai laiminlyönti ole vakava tai toistuva;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_39__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>rikkomusta tai laiminlyöntiä on pidettävä vähäisenä; tai </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_39__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>seuraamusmaksun määräämistä on pidettävä ilmeisen kohtuuttomana muutoin kuin 1 tai 2 kohdassa tarkoitetulla perusteella.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_5__sec_39__subsec_2">
                            <content>
                                <p>Seuraamusmaksua ei saa määrätä, jos on kulunut yli viisi vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_39__subsec_3">
                            <content>
                                <p>Seuraamusmaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_39__subsec_4">
                            <content>
                                <p>Seuraamusmaksua ei saa määrätä sille, jolle on määrätty samasta teosta yleisen tietosuoja-asetuksen 83 artiklassa tarkoitettu seuraamusmaksu.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_40">
                        <num>40 §</num>
                        <heading>Seuraamusmaksun täytäntöönpano</heading>
                        <subsection eId="chp_5__sec_40__subsec_1">
                            <content>
                                <p>Seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Seuraamusmaksu vanhenee viiden vuoden kuluttua lainvoiman saaneen päätöksen antamispäivästä. Seuraamusmaksu raukeaa, kun maksuvelvollinen luonnollinen henkilö kuolee.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_6">
                    <num>6 luku</num>
                    <heading>Muut säännökset</heading>
                    <section eId="chp_6__sec_41">
                        <num>41 §</num>
                        <heading>Toimijaluettelo</heading>
                        <subsection eId="chp_6__sec_41__subsec_1">
                            <content>
                                <p>Valvova viranomainen ylläpitää valvontatoimialansa osalta toimijaluetteloa. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_41__subsec_2">
                            <intro eId="chp_6__sec_41__subsec_2__intro">
                                <p>Toimijoiden on ilmoitettava valvovalle viranomaiselle:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_41__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>toimijan nimi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_41__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>osoitteensa, sähköpostiosoitteensa, puhelinnumeronsa ja muut ajantasaiset yhteystietonsa;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_41__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>IP-osoitealueensa;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_41__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>NIS 2 -direktiivin liitteessä I tai II tarkoitettu asiaankuuluva toimialansa ja sen osa; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_41__subsec_2__para_5">
                                <num>5) </num>
                                <content>
                                    <p>tieto siitä, onko se keskeinen toimija; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_41__subsec_2__para_6">
                                <num>6) </num>
                                <content>
                                    <p>luettelo niistä Euroopan unionin jäsenvaltioista, joissa se tarjoaa NIS 2 -direktiivin soveltamisalaan kuuluvia palveluja; ja</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_41__subsec_2__para_7">
                                <num>7) </num>
                                <content>
                                    <p>osallistumisesta 23 §:ssä tarkoitettuun kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_6__sec_41__subsec_3">
                            <intro eId="chp_6__sec_41__subsec_3__intro">
                                <p>DNS-palveluntarjoajien, aluetunnusrekisterin ylläpitäjien, pilvipalvelujen tarjoajien, datakeskuspalvelujen tarjoajien, sisällönjakeluverkkojen tarjoajien, hallintapalvelun tarjoajien, tietoturvapalveluntarjoajien, verkossa toimivien markkinapaikkojen tarjoajien, verkossa toimivien hakukoneiden tarjoajien ja verkkoyhteisöalustojen tarjoajien on ilmoitettava valvovalle viranomaiselle 2 momentissa tarkoitettujen tietojen lisäksi:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_41__subsec_3__para_1">
                                <num>1) </num>
                                <content>
                                    <p>NIS 2 -direktiivin liitteessä I tai II tarkoitettu toimijatyyppinsä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_41__subsec_3__para_2">
                                <num>2) </num>
                                <content>
                                    <p>päätoimipaikkansa ja muiden Euroopan unionin jäsenvaltiossa sijaitsevien laillisten toimipaikkojensa osoite tai, jos toimija ei ole sijoittautunut Euroopan unioniin, sen Euroopan unioniin nimetyn edustajan osoite, sähköpostiosoite, puhelinnumero ja muut ajantasaiset yhteystiedot; ja</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_41__subsec_3__para_3">
                                <num>3) </num>
                                <content>
                                    <p>luettelo Euroopan unionin jäsenvaltioista, joissa toimija tarjoaa palveluita.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_6__sec_41__subsec_4">
                            <content>
                                <p>Toimijoiden on ilmoitettava muutoksista tässä pykälässä tarkoitettuihin tietoihin viipymättä. Muutoksesta 2 momentissa tarkoitettuihin tietoihin on ilmoitettava valvovalle viranomaiselle kahden viikon kuluessa ja 3 momentissa tarkoitettuihin tietoihin kolmen kuukauden kuluessa muutoshetkestä. Valvova viranomainen voi antaa tarkempia teknisiä määräyksiä tietojen ilmoittamisesta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_41__subsec_5">
                            <content>
                                <p>Valvovan viranomaisen on toimitettava keskitetylle yhteyspisteelle NIS 2 -direktiivin 3 artiklan 5 kohdassa ja 27 artiklan 4 kohdassa tarkoitettujen ilmoituksien tekemiseksi tarpeelliset tiedot toimijaluettelosta. Keskitetty yhteyspiste vastaa mainituissa kohdissa tarkoitettujen ilmoituksien tekemisestä Euroopan komissiolle, NIS-yhteistyöryhmälle ja Euroopan unionin kyberturvallisuusvirastolle. CSIRT-yksiköllä on oikeus saada valvovalta viranomaiselta tietoja toimijaluettelosta. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_42">
                        <num>42 §</num>
                        <heading>Kansallinen kyberturvallisuusstrategia</heading>
                        <subsection eId="chp_6__sec_42__subsec_1">
                            <content>
                                <p>Valtioneuvosto hyväksyy kansallisen kyberturvallisuusstrategian ja vastaa sen päivittämisestä säännöllisesti vähintään viiden vuoden välein. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_42__subsec_2">
                            <content>
                                <p>Kansalliseen kyberturvallisuusstrategiaan on sisällytettävä vähintään NIS 2 -direktiivin 7 artiklan 1 kohdassa tarkoitetut osa-alueet ja 2 kohdassa tarkoitetut toimintaperiaatteet. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_42__subsec_3">
                            <content>
                                <p>Valtioneuvosto antaa kansallisen kyberturvallisuusstrategian tiedoksi Euroopan komissiolle kolmen kuukauden kuluessa sen hyväksymisestä. Kyberturvallisuusstrategiasta voidaan jättää antamatta tietoja, joiden luovuttaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta taikka olisi vastoin niihin liittyvää tärkeää etua. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_43">
                        <num>43 §</num>
                        <heading>Laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien hallintasuunnitelma</heading>
                        <subsection eId="chp_6__sec_43__subsec_1">
                            <content>
                                <p>Kyberturvallisuutta koskevissa kriisitilanteissa käytettävissä olevien valmiuksien, voimavarojen ja menettelyiden yksilöimiseksi laaditaan laajamittaisten kyberturvallisuuspoikkeamien ja ‑kriisien hallintasuunnitelma. Liikenne- ja viestintävirasto vastaa suunnitelman laatimisesta yhteistoiminnassa 26 §:ssä tarkoitettujen valvovien viranomaisten, poliisin, suojelupoliisin, Puolustusvoimien ja Huoltovarmuuskeskuksen kanssa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_43__subsec_2">
                            <intro eId="chp_6__sec_43__subsec_2__intro">
                                <p>Suunnitelman tulee sisältää laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien hallitsemiseksi tarpeelliset tiedot: </p>
                            </intro>
                            <paragraph eId="chp_6__sec_43__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>kansallisten varautumiskeinojen ja -toimien tavoitteista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_43__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>viranomaisten tehtävistä ja vastuista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_43__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>kriisinhallintaa koskevista toimintatavoista ja niiden sisällyttämisestä yleiseen kansalliseen kriisinhallintakehykseen sekä tiedonvaihtokanavista viranomaisten välillä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_43__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>kansallisista varautumiskeinoista, joihin kuuluvat myös harjoitukset ja koulutustoimenpiteet;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_43__subsec_2__para_5">
                                <num>5) </num>
                                <content>
                                    <p>keskeisistä julkisista ja yksityisistä sidosryhmistä ja keskeisestä infrastruktuurista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_43__subsec_2__para_6">
                                <num>6) </num>
                                <content>
                                    <p>viranomaisten välisestä menettelystä osallistuttaessa laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien koordinoituun hallintaan Euroopan unionin tasolla.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_6__sec_43__subsec_3">
                            <content>
                                <p>Edellä 2 momentissa tarkoitetut tiedot on annettava tiedoksi Euroopan komissiolle ja NIS 2 ‑direktiivin 16 artiklassa tarkoitetulle Euroopan kyberkriisien yhteysorganisaatioiden verkostolle kolmen kuukauden kuluessa suunnitelman hyväksymisestä. Tietoja voidaan jättää antamatta siltä osin, jos niiden luovuttaminen vaarantaisi maanpuolustusta tai kansallista turvallisuutta taikka olisi vastoin niihin liittyvää tärkeää etua.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_44">
                        <num>44 §</num>
                        <heading>Kyberkriisinhallintaviranomainen</heading>
                        <subsection eId="chp_6__sec_44__subsec_1">
                            <content>
                                <p>NIS 2 -direktiivin 9 artiklan 1 kohdan kohdassa tarkoitettuna kyberkriisinhallintaviranomaisena toimii kukin 43 §:n 1 momentissa tarkoitettu viranomainen sille laissa säädettyjen tehtävien mukaisesti. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus toimii koordinaattorina laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien hallinnassa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_45">
                        <num>45 §</num>
                        <heading>Viranomaisten yhteistyö</heading>
                        <subsection eId="chp_6__sec_45__subsec_1">
                            <content>
                                <p>Valvovien viranomaisten, CSIRT-yksikön ja keskitetyn yhteyspisteen on toimittava yhteistyössä tässä laissa ja NIS 2 -direktiivin nojalla säädettyjen tehtävien hoitamiseksi. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_45__subsec_2">
                            <content>
                                <p>Valvovien viranomaisten, CSIRT-yksikön ja keskitetyn yhteyspisteen on toimittava tarvittaessa yhteistyössä poliisin tai muun esitutkintaviranomaisen, tietosuojavaltuutetun, Liikenne- ja viestintäviraston sille ilmailulaissa (864/2014), sähköisen viestinnän palveluista annetussa laissa ja eIDAS-asetuksessa säädettyjen tehtävien osalta ja Finanssivalvonnan kanssa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_45__subsec_3">
                            <content>
                                <p>Valvovien viranomaisten on ilmoitettava DORA-asetuksen 32 artiklan 1 kohdan nojalla perustetulle valvontafoorumille, kun ne käyttävät valvonta- ja täytäntöönpanovaltuuksiaan toimijaan, joka on nimetty kriittiseksi TVT-palveluntarjoajana olevaksi kolmanneksi osapuoleksi DORA-asetuksen 31 artiklan nojalla.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_45__subsec_4">
                            <content>
                                <p>Valvovien viranomaisten, Liikenne- ja viestintäviraston ja Finanssivalvonnan on vaihdettava keskenään säännöllisesti tietoja merkittävistä poikkeamista ja kyberuhkista. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_46">
                        <num>46 §</num>
                        <heading>Muutoksenhaku</heading>
                        <subsection eId="chp_6__sec_46__subsec_1">
                            <content>
                                <p>Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019). </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_46__subsec_2">
                            <content>
                                <p>Valvovan viranomaisen tekemää päätöstä on noudatettava muutoksenhausta huolimatta, ellei muutoksenhakuviranomainen toisin määrää. Muutoksenhaussa uhkasakon asettamista ja maksettavaksi tuomitsemista sekä teettämis- tai keskeyttämisuhan asettamista ja täytäntöönpantavaksi määräämistä koskevaan päätökseen sovelletaan kuitenkin, mitä uhkasakkolaissa (1113/1990) säädetään.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_47">
                        <num>47 §</num>
                        <heading>Voimaantulo</heading>
                        <subsection eId="chp_6__sec_47__subsec_1">
                            <content>
                                <p>Tämä laki tulee voimaan 8 päivänä huhtikuuta 2025. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_47__subsec_2">
                            <content>
                                <p>Tämän lain 41 §:ssä tarkoitettu ilmoitus on tehtävä viimeistään kuukauden kuluessa lain voimaantulosta tai siitä, kun 3 §:n mukaiset toimijan kriteerit täyttyvät.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_47__subsec_3">
                            <content>
                                <p>Tämän lain 8 §:ssä tarkoitettu riskienhallinnan toimintamalli on laadittava kolmen kuukauden kuluessa lain voimaantulosta tai siitä, kun 3 §:n mukaiset toimijan kriteerit täyttyvät.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
            </hcontainer>
            <hcontainer finlex:outline="Esityöt ja allekirjoitukset" name="conclusions">
                <hcontainer finlex:outline="Esityöt" name="preliminaryWork">
                    <content>
                        <p>
                            <ref href="/akn/fi/doc/government-proposal/2024/57">HE 57/2024</ref>
                        </p>
                        <p>LiVM 1/2025 </p>
                        <p>EV 15/2025 </p>
                        <p>Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 (32022L2555), EUVL L 333, 27.12.2022, s. 80</p>
                    </content>
                </hcontainer>
                <hcontainer finlex:outline="Allekirjoitukset" name="signatures">
                    <content>
                        <p>Helsingissä 4.4.2025</p>
                        <p>
                            <signature>
                                <role refersTo="">Tasavallan Presidentti</role>
                                <person refersTo="">Alexander Stubb</person>
                            </signature>
                            <signature>
                                <role refersTo="">Liikenne- ja viestintäministeri</role>
                                <person refersTo="">Lulu Ranne</person>
                            </signature>
                        </p>
                    </content>
                </hcontainer>
            </hcontainer>
            <hcontainer name="attachments">
                <hcontainer name="attachment">
                    <content>
                        <p>
                            <b>Liite I</b>
                        </p>
                        <p>
                            <b>Toimijat, jotka harjoittavat seuraavaa toimintaa tai ovat seuraavaa toimijatyyppiä:</b>
                        </p>
                        <p>1. Ilmaliikenne:</p>
                        <p>a) Yhteisistä siviili-ilmailun turvaamista koskevista säännöistä ja asetuksen (EY) N:o 2320/2002 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 300/2008 3 artiklan 4 alakohdassa määritellyt lentoliikenteen harjoittajat, joiden toiminta on kaupallista</p>
                        <p>b) Lentoasemaverkoista ja -maksuista annetun lain (210/2011) 3 §:n 1 momentin 2 kohdassa tarkoitetut lentoaseman pitäjät</p>
                        <p>c) Yhtenäisen eurooppalaisen ilmatilan toteuttamisen puitteista annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 549/2004 2 artiklan 1 alakohdassa määriteltyä lennonjohtopalvelua tarjoavat lennonjohtopalvelun tarjoajat</p>
                        <p>2. Raideliikenne:</p>
                        <p>a) Raideliikennelain (1302/2018) 4 §:n 1 momentin 29 kohdassa tarkoitetut rataverkon haltijat ja liikenteenohjauspalvelua tarjoavat yhtiöt</p>
                        <p>b) Raideliikennelain 4 §:n 1 momentin 34 kohdassa tarkoitetut rautatieyritykset</p>
                        <p>c) Raideliikennelain 4 §:n 1 momentin 23 kohdassa tarkoitetut palvelupaikan ylläpitäjät</p>
                        <p>3. Vesiliikenne:</p>
                        <p>a) Alusten ja satamarakenteiden turvatoimien parantamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 725/2004 liitteessä I merenkulun osalta määritellyt sisävesillä, merillä ja rannikoilla matkustaja- ja rahtiliikennettä hoitavat yhtiöt, lukuun ottamatta tällaisten yhtiöiden liikennöimiä yksittäisiä aluksia</p>
                        <p>b) Eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain (485/2004) 2 §:n 2 kohdassa tarkoitetut satamanpitäjät sekä toimijat, jotka huolehtivat rakenteista ja varusteista sataman alueella</p>
                        <p>c) Alusliikennepalvelulain (623/2005) 2 §:n 1 momentin 5 kohdassa tarkoitetut VTS-palveluntarjoajat</p>
                        <p>4. Tieliikenne:</p>
                        <p>a) Liikenteen palveluista annetun lain (320/2017) 15 luvussa tarkoitetun tieliikenteen ohjaus- ja hallintapalvelun tarjoaja</p>
                        <p>b) Liikenteen palveluista annetun lain 160 §:ssä tarkoitettujen älykkäiden liikennejärjestelmien ylläpitäjät</p>
                        <p>5. Maa-asemista ja eräistä tutkista annetun lain (96/2023) 2 §:n 1 momentin 5 kohdassa tarkoitetut toiminnanharjoittajat; tai muut avaruuspohjaisten palvelujen tarjoamista tukevan, jäsenvaltioiden tai yksityisten tahojen omistaman, hallinnoiman ja operoiman maassa sijaitsevan infrastruktuurin ylläpitäjät, lukuun ottamatta yleisten sähköisten viestintäverkkojen tarjoajia</p>
                        <p>6. Digitaalinen infrastruktuuri:</p>
                        <p>
                            a) Internetin yhdysliikennepisteiden, eli sellaisen verkkoinfrastruktuurin osan, joka mahdollistaa useamman kuin kahden riippumattoman verkon (<i>autonomisen järjestelmän)</i>
                             yhdistämisen pääasiassa internetliikenteen välittämisen helpottamiseksi, joka tarjoaa yhteenliitäntää ainoastaan autonomisille järjestelmille ja joka ei edellytä minkään yhteenliittämänsä kahden autonomisen järjestelmän väliseltä internetliikenteeltä kulkemista minkään kolmannen autonomisen järjestelmän kautta eikä muokkaa tällaista liikennettä tai muutoin puutu siihen, ylläpitäjät
                        </p>
                        <p>b) DNS-palveluntarjoajat</p>
                        <p>c) Aluetunnusrekisterin ylläpitäjät</p>
                        <p>d) Pilvipalvelun tarjoajat</p>
                        <p>e) Datakeskuspalvelun tarjoajat</p>
                        <p>f) Sisällönjakeluverkon tarjoajat</p>
                        <p>g) Luottamuspalvelun tarjoajat</p>
                        <p>h) Yleisten sähköisten viestintäverkkojen tarjoajat</p>
                        <p>i) Yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat</p>
                        <p>7. TVT-palvelujen hallinta:</p>
                        <p>a) Hallintapalvelun tarjoajat</p>
                        <p>b) Tietoturvapalveluntarjoajat</p>
                        <p>8. Sähkö:</p>
                        <p>a) Sähkömarkkinalain (588/2013) 3 §:n 1 momentin 21 kohdassa tarkoitetut sähköalan yritykset, jotka harjoittavat momentin 11 kohdassa tarkoitettua sähköntoimitusta</p>
                        <p>b) Sähkömarkkinalain 3 §:n 1 momentin 10 kohdassa tarkoitetut jakeluverkonhaltijat</p>
                        <p>c) Sähkömarkkinalain 7 §:n mukaiset kantaverkonhaltijat</p>
                        <p>d) Sähkömarkkinalain 3 §:n 1 momentin 15 kohdassa tarkoitetut tuottajat</p>
                        <p>e) Sähkön sisämarkkinoista annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/943 2 artiklan 8 alakohdassa määritellyt nimitetyt sähkömarkkinaoperaattorit</p>
                        <p>f) Sähkömarkkinalain 3 §:n 1 momentin 37 kohdassa tarkoitetut sähkömarkkinoiden osapuolet, jotka tarjoavat sähkömarkkinalain 3 §:n 1 momentin 21 a kohdassa tarkoitettua aggregointia, 30 a kohdassa tarkoitettua kulutusjoustoa tai 21 c kohdassa tarkoitettua energian varastointia</p>
                        <p>g) Latauspisteiden operaattorit, jotka vastaavat latauspalvelua loppukäyttäjille tarjoavan latauspisteen hallinnoinnista ja toiminnasta, myös liikennepalvelun tarjoajan nimissä ja puolesta</p>
                        <p>9. Uusiutuvista lähteistä peräisin olevan energian käytön edistämisestä annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2018/2001 2 kohdan 19 alakohdassa määritellyn kaukolämmityksen tai kaukojäähdytyksen haltijat</p>
                        <p>10. Kaasu:</p>
                        <p>a) Maakaasumarkkinalain (587/2017) 3 §:n 1 momentin 10 kohdassa tarkoitetut jakeluverkonhaltijat</p>
                        <p>b) Maakaasumarkkinalain 3 §:n 1 momentin 9 kohdassa tarkoitetut siirtoverkonhaltijat</p>
                        <p>c) Maakaasumarkkinalain 3 §:n 1 momentin 14 kohdassa tarkoitetut maakaasun toimittajat</p>
                        <p>d) Maakaasumarkkinalain 3 §:n 1 momentin 20 kohdassa tarkoitetut varastointilaitteiston haltijat</p>
                        <p>e) Maakaasumarkkinalain 3 §:n 1 momentin 22 kohdassa tarkoitetut nesteytetyn maakaasun käsittelylaitteiston haltijat</p>
                        <p>f) Maakaasumarkkinalain 3 §:n 1 momentin 18 kohdassa tarkoitetut maakaasualan yritykset</p>
                        <p>g) Maakaasun jalostus- ja käsittelylaitteistojen haltijat</p>
                        <p>11. Öljy:</p>
                        <p>a) Öljynsiirtoputkistojen haltijat</p>
                        <p>b) Öljyn tuotanto-, jalostus- ja käsittelylaitteistojen haltijat sekä öljyn varastointia ja siirtoa hoitavat operaattorit</p>
                        <p>c) Jäsenvaltioiden velvollisuudesta ylläpitää raakaöljy- ja/tai öljytuotevarastojen vähimmäistasoa annetun Neuvoston direktiivin 2009/119/EY 2 kohdan f alakohdassa määritellyt keskusvarastointiyksiköt</p>
                        <p>12. Vety:</p>
                        <p>a) Vedyn tuotantoa ja varastointia harjoittavat toimijat</p>
                        <p>b) Vedyn siirtoa harjoittavat toimijat</p>
                        <p>13. Terveys:</p>
                        <p>a) Sosiaali- ja terveydenhuollon valvonnasta annetun lain (741/2023) 4 §:n 2 kohdassa tarkoitetut palveluntuottajat, jotka tuottavat mainitun pykälän 4 kohdassa tarkoitettua terveyspalvelua</p>
                        <p>b) Rajatylittävistä vakavista terveysuhkista ja päätöksen N:o 1082/2013/EU kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2371 15 artiklassa tarkoitetut EU:n vertailulaboratoriot</p>
                        <p>c) Ihmisille tarkoitettuja lääkkeitä koskevista yhteisön säännöistä annetun Euroopan parlamentin ja neuvoston direktiivin 2001/83/EY 1 artiklan 2 alakohdassa määriteltyjen lääkkeiden tutkimusta ja kehitystä harjoittavat toimijat</p>
                        <p>d) NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 21 tarkoitettua lääkeaineiden ja lääkkeiden valmistusta harjoittavat toimijat</p>
                        <p>e) Euroopan lääkeviraston roolin vahvistamisesta kriisivalmiudessa ja -hallinnassa lääkkeiden ja lääkinnällisten laitteiden osalta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/123 22 artiklassa tarkoitettuja vakavan kansanterveysuhan aikana kriittisiksi katsottuja lääkinnällisiä laitteita (kansanterveysuhan aikana kriittisten lääkinnällisten laitteiden luettelo) valmistavat toimijat</p>
                        <p>f) Veripalvelulain (197/2005) mukaiset veripalvelulaitokset, apteekit ja potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetun Euroopan parlamentin ja neuvoston direktiivin 2011/24/EU mukaiset lääkkeitä ja lääkinnällisiä laitteita toimittavat ja tarjoavat toimijat</p>
                        <p>14. Ihmisten käyttöön tarkoitetun veden laadusta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/2184 2 artiklan 1 alakohdan a alakohdassa määritellyn ihmisten käyttöön tarkoitetun veden toimittajat ja jakelijat, lukuun ottamatta jakelijoita, joille ihmisten käyttöön tarkoitetun veden jakelu ei ole keskeinen osa niiden yleistä toimintaa, joka muodostuu muiden hyödykkeiden ja tavaroiden jakelusta</p>
                        <p>15. Yhdyskuntajätevesien käsittelystä annetun Neuvoston direktiivin 91/271/ETY 2 artiklan 1, 2 ja 3 alakohdassa määriteltyä yhdyskuntajätevettä, talousjätevettä tai teollisuusjätevettä keräävät, hävittävät tai käsittelevät yritykset, lukuun ottamatta yrityksiä, joille yhdyskuntajäteveden, talousjäteveden tai teollisuusjäteveden kerääminen, hävittäminen tai käsittely ei ole keskeinen osa niiden yleistä toimintaa</p>
                    </content>
                </hcontainer>
                <hcontainer name="attachment">
                    <content>
                        <p>
                            <b>Liite II</b>
                        </p>
                        <p>
                            <b>Toimijat, jotka harjoittavat seuraavaa toimintaa tai ovat seuraavaa toimijatyyppiä:</b>
                        </p>
                        <p>1. Kuriiripalvelun tarjoajat ja yhteisön postipalvelujen sisämarkkinoiden kehittämistä ja palvelun laadun parantamista koskevista yhteisistä säännöistä annetun Euroopan parlamentin ja neuvoston direktiivin 97/67/EY 2 artiklan 1 a alakohdassa tarkoitetut postipalvelun tarjoajat </p>
                        <p>2. Digitaalisen palvelun tarjoajat:</p>
                        <p>a) Verkossa toimivien markkinapaikkojen tarjoajat</p>
                        <p>b) Verkossa toimivien hakukoneiden tarjoajat</p>
                        <p>c) Verkkoyhteisöalustojen tarjoajat</p>
                        <p>3. NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 29 tarkoitettua moottoriajoneuvojen, perävaunujen ja puoliperävaunujen valmistusta harjoittavat toimijat</p>
                        <p>4. NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 30 tarkoitettua muiden kulkuneuvojen valmistusta harjoittavat toimijat </p>
                        <p>5. Tutkimusorganisaatiot, joiden ensisijaisena tavoitteena on harjoittaa soveltavaa tutkimusta tai kokeellista kehitystyötä kyseisen tutkimuksen tulosten hyödyntämiseksi kaupallisiin tarkoituksiin mutta jotka eivät ole korkeakouluja tai muita opetus- ja koulutusalan laitoksia</p>
                        <p>6. Kemikaalien rekisteröinnistä, arvioinnista, lupamenettelyistä ja rajoituksista (REACH), Euroopan kemikaaliviraston perustamisesta, direktiivin 1999/45/EY muuttamisesta sekä neuvoston asetuksen (ETY) N:o 793/93, komission asetuksen (EY) N:o 1488/94, neuvoston direktiivin 76/769/ETY ja komission direktiivien 91/155/ETY, 93/67/ETY, 93/105/EY ja 2000/21/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1907/2006 3 artiklan 9 alakohdassa tarkoitettua aineiden valmistusta ja 14 alakohdassa tarkoitettua aineiden tai seosten jakelua harjoittavat yritykset sekä yritykset, jotka tuottavat mainitun asetuksen 3 artiklan 3 alakohdassa määriteltyjä esineitä aineista tai seoksista silloin, kun aine on rekisteröitävä ja toiminta edellyttää vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annetun lain (390/2005) 23 §:ssä tarkoitettua lupaa tai 24 §:ssä tarkoitettua ilmoitusta</p>
                        <p>7. Elintarvikelainsäädäntöä koskevista yleisistä periaatteista ja vaatimuksista, Euroopan elintarviketurvallisuusviranomaisen perustamisesta sekä elintarvikkeiden turvallisuuteen liittyvistä menettelyistä annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 178/2002 3 artiklan 2 alakohdassa määritellyt elintarvikeyritykset, jotka harjoittavat tukkukauppaa, teollista tuotantoa tai jalostusta</p>
                        <p>8. Jätteistä ja tiettyjen direktiivien kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin 2008/98/EY 3 artiklan 9 alakohdassa määriteltyä jätehuoltoa harjoittavat yritykset, lukuun ottamatta yrityksiä, joille jätehuolto ei ole niiden pääasiallista taloudellista toimintaa</p>
                        <p>9. Lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/745 2 artiklan 1 alakohdassa määriteltyjä lääkinnällisiä laitteita valmistavat toimijat </p>
                        <p>10. In vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista sekä direktiivin 98/79/EY ja komission päätöksen 2010/227/EU kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/746 2 artiklan 2 alakohdassa määriteltyjä in vitro -diagnostiikkaan tarkoitettuja lääkinnällisiä laitteita valmistavat toimijat, lukuun ottamatta tämän lain liitteessä I olevan 13 kohdan e-alakohdassa tarkoitettuja toimijoita </p>
                        <p>11. NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 26 tarkoitettua tietokoneiden sekä elektronisten ja optisten tuotteiden valmistusta harjoittavat yritykset</p>
                        <p>12. NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 27 tarkoitettua sähkölaitteiden valmistusta harjoittavat yritykset</p>
                        <p>13. NACE Rev. 2 -luokituksen C jakson kaksinumerotasossa 28 tarkoitettua muiden koneiden ja laitteiden valmistusta harjoittavat yritykset</p>
                    </content>
                </hcontainer>
            </hcontainer>
        </body>
    </act>
</akomaNtoso>
