<akomaNtoso xmlns="http://docs.oasis-open.org/legaldocml/ns/akn/3.0" xmlns:finlex="http://data.finlex.fi/schema/finlex" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <act contains="originalVersion" name="main">
        <meta>
            <identification source="#organization_fi.finlex">
                <FRBRWork>
                    <FRBRthis value="/akn/fi/act/statute/2026/439/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2026/439"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2026/439/alkup"/>
                    <FRBRdate date="2026-05-29" name="dateIssued"/>
                    <FRBRdate date="2026-06-01" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRcountry value="fi"/>
                    <FRBRsubtype value="statute"/>
                    <FRBRnumber value="439"/>
                    <FRBRprescriptive value="true"/>
                    <FRBRauthoritative value="true"/>
                </FRBRWork>
                <FRBRExpression>
                    <FRBRthis value="/akn/fi/act/statute/2026/439/fin@/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2026/439/fin@"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2026/439/alkup/fin"/>
                    <FRBRdate date="2026-05-29" name="dateIssued"/>
                    <FRBRdate date="2026-06-01" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRlanguage language="fin"/>
                </FRBRExpression>
                <FRBRManifestation>
                    <FRBRthis value="/akn/fi/act/statute/2026/439/fin@/!main.xml"/>
                    <FRBRuri value="/akn/fi/act/statute/2026/439/fin@.akn"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2026/439/alkup/fin/xml"/>
                    <FRBRdate date="2026-06-01" name="dateProduced"/>
                    <FRBRdate date="2026-06-01" name="datePublished"/>
                    <FRBRauthor as="#role_editor" href="#organization_fi.finlex"/>
                    <FRBRformat value="xml"/>
                </FRBRManifestation>
            </identification>
            <references source="#organization_fi.finlex">
                <TLCOrganization eId="organization_fi.finlex" href="/akn/ontology/organization/fi.finlex" showAs="Finlex"/>
                <TLCRole eId="role_author" href="/akn/ontology/role/author" showAs="Tekijä"/>
                <TLCRole eId="role_editor" href="/akn/ontology/role/editor" showAs="Toimittaja"/>
                <TLCConcept eId="act" href="/akn/ontology/concept/statute/type-statute.act" showAs="Laki"/>
                <TLCConcept eId="new-statute" href="/akn/ontology/concept/statute/category-statute.new-statute" showAs="Uusi säädös"/>
            </references>
            <proprietary source="#organization_fi.finlex">
                <finlex:typeStatute refersTo="#act"/>
                <finlex:categoryStatute refersTo="#new-statute"/>
                <finlex:documentYear>2026</finlex:documentYear>
            </proprietary>
        </meta>
        <preface>
            <p>
                <docNumber>439/2026</docNumber>
                <docTitle>Laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista</docTitle>
            </p>
        </preface>
        <preamble>
            <formula name="enactingClause">
                <p>Eduskunnan päätöksen mukaisesti säädetään: </p>
            </formula>
        </preamble>
        <body>
            <hcontainer finlex:outline="Säädöksen teksti" name="statuteProvisionsWrapper">
                <chapter eId="chp_1">
                    <num>1 luku</num>
                    <heading>Yleiset säännökset</heading>
                    <section eId="chp_1__sec_1">
                        <num>1 §</num>
                        <heading>Lain tarkoitus</heading>
                        <subsection eId="chp_1__sec_1__subsec_1">
                            <content>
                                <p>
                                    Tällä lailla täsmennetään ja täydennetään digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvallisuusvaatimuksista ja asetusten (EU) N:o 168/2013 ja (EU) 2019/1020 ja direktiivin (EU) 2020/1828 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2024/2847 (kyberkestävyyssäädös), jäljempänä 
                                    <i>kyberkestävyysasetus</i>, ja sen kansallista soveltamista.
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_1__subsec_2">
                            <content>
                                <p>
                                    Tällä lailla täsmennetään ja täydennetään Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2019/881 (kyberturvallisuusasetus), jäljempänä 
                                    <i>kyberturvallisuusasetus</i>, ja sen kansallista soveltamista.
                                </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_2">
                        <num>2 §</num>
                        <heading>Määritelmät</heading>
                        <subsection eId="chp_1__sec_2__subsec_1">
                            <intro eId="chp_1__sec_2__subsec_1__intro">
                                <p>Tässä laissa tarkoitetaan:</p>
                            </intro>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>
                                        <i>digitaalisia elementtejä sisältävällä tuotteella</i>
                                         ohjelmisto- tai laitteistotuotetta ja sen ratkaisuja datan etäkäsittelystä;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>
                                        <i>ilmoitetulla laitoksella</i>
                                         Suomen viranomaisen nimeämää ja Euroopan komissiolle kyberkestävyysasetuksen 43 artiklan nojalla ilmoitettua Suomeen sijoittautunutta vaatimustenmukaisuuden arviointilaitosta;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>
                                        <i>jakelijalla</i>
                                         sellaista muuta toimitusketjuun kuuluvaa luonnollista tai oikeushenkilöä kuin valmistajaa tai maahantuojaa, joka asettaa digitaalisia elementtejä sisältävän tuotteen saataville Euroopan unionin markkinoilla vaikuttamatta sen ominaisuuksiin;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_4">
                                <num>4)</num>
                                <content>
                                    <p>
                                        <i>maahantuojalla</i>
                                         Euroopan unioniin sijoittautunutta luonnollista tai oikeushenkilöä, joka saattaa markkinoille digitaalisia elementtejä sisältävän tuotteen, jossa on Euroopan unionin ulkopuolelle sijoittautuneen luonnollisen tai oikeushenkilön nimi tai tavaramerkki;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>
                                        <i>valmistajalla</i>
                                         luonnollista tai oikeushenkilöä, joka kehittää tai valmistaa digitaalisia elementtejä sisältäviä tuotteita tai suunnitteluttaa, kehityttää tai valmistuttaa digitaalisia elementtejä sisältäviä tuotteita ja pitää niitä kaupan omalla nimellään tai tavaramerkillään joko maksua vastaan, ansaintatarkoituksessa tai maksutta;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_6">
                                <num>6) </num>
                                <content>
                                    <p>
                                        <i>valtuutetulla edustajalla</i>
                                         Euroopan unioniin sijoittautunutta luonnollista tai oikeushenkilöä, jolla on valmistajan antama kirjallinen toimeksianto hoitaa valmistajan puolesta tietyt tehtävät;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_7">
                                <num>7) </num>
                                <content>
                                    <p>
                                        <i>talouden toimijalla</i>
                                         sellaista valmistajaa, valtuutettua edustajaa, maahantuojaa, jakelijaa ja muuta luonnollista tai oikeushenkilöä, jota koskevat kyberkestävyysasetuksen mukaiset digitaalisia elementtejä sisältävien tuotteiden valmistamiseen tai markkinoilla saataville asettamiseen liittyvät velvoitteet;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_8">
                                <num>8) </num>
                                <content>
                                    <p>
                                        <i>avoimen lähdekoodin ohjelmistovastaavalla</i>
                                         sellaista muuta oikeushenkilöä kuin valmistajaa, jonka tarkoituksena tai tavoitteena on järjestelmällisesti ja pitkäjänteisesti tarjota tukea sellaisten tiettyjen digitaalisia elementtejä sisältävien tuotteiden kehittämistä varten, jotka luokitellaan kyberkestävyysasetuksen 3 artiklan 48 kohdassa tarkoitetuiksi vapaiksi ja avoimen lähdekoodin ohjelmistoiksi ja jotka on tarkoitettu kaupalliseen toimintaan, ja joka varmistaa kyseisten tuotteiden toimintakelpoisuuden;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_9">
                                <num>9) </num>
                                <content>
                                    <p>
                                        <i>vaatimustenmukaisuuden arviointilaitoksella</i>
                                         elintä, joka suorittaa vaatimustenmukaisuuden arviointitoimia kuten kalibrointia, testausta, sertifiointia ja tarkastuksia;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_10">
                                <num>10) </num>
                                <content>
                                    <p>
                                        <i>akkreditoinnilla</i>
                                         kansallisen akkreditointielimen antamaa todistusta siitä, että vaatimustenmukaisuuden arviointilaitos täyttää tiettyä vaatimustenmukaisuuden arviointia koskevat, yhdenmukaistetuilla standardeilla vahvistetut vaatimukset, ja tarvittaessa muut vaatimukset, mukaan luettuna ne, jotka on vahvistettu asiaa koskevissa alakohtaisissa ohjelmissa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_11">
                                <num>11) </num>
                                <content>
                                    <p>
                                        <i>CSIRT-yksiköllä</i>
                                         kyberturvallisuuslain 
                                        <ref href="/akn/fi/act/statute/2025/124">(124/2025)</ref>
                                         19 §:ssä tarkoitettua yksikköä;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_2__subsec_1__para_12">
                                <num>12) </num>
                                <content>
                                    <p>
                                        <i>kyberturvallisuussertifiointia varten ilmoitetulla vaatimustenmukaisuuden arviointilaitoksella</i>
                                         kyberturvallisuusasetuksen 61 artiklan mukaisesti Euroopan komissiolle ilmoitettua vaatimustenmukaisuuden arviointilaitosta.
                                    </p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_3">
                        <num>3 §</num>
                        <heading>Suhde muuhun lainsäädäntöön</heading>
                        <subsection eId="chp_1__sec_3__subsec_1">
                            <content>
                                <p>
                                    Markkinavalvonnan, talouden toimijoiden kanssa tehtävän yhteistyön sekä Euroopan unionin markkinoille tulevien tuotteiden valvonnan puitteista säädetään markkinavalvonnasta ja tuotteiden vaatimustenmukaisuudesta sekä direktiivin 2004/42/EY ja asetusten (EY) N:o 765/2008 ja (EU) N:o 305/2011 muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2019/1020, jäljempänä 
                                    <i>markkinavalvonta-asetus</i>.
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_3__subsec_2">
                            <content>
                                <p>
                                    Markkinavalvontaviranomaisten toimivallasta, markkinavalvonta-asetuksen 25–28 artiklan mukaisesta ulkorajavalvonnasta sekä muutoksenhausta markkinavalvontaviranomaisten päätöksiin säädetään eräiden tuotteiden markkinavalvonnasta annetussa laissa 
                                    <ref href="/akn/fi/act/statute/2016/1137">(1137/2016)</ref>, jäljempänä 
                                    <i>markkinavalvontalaki</i>. 
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_3__subsec_3">
                            <content>
                                <p>
                                    Kuluttajatuotteiden turvallisuudesta säädetään yleisestä tuoteturvallisuudesta, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 ja Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/1828 muuttamisesta sekä Euroopan parlamentin ja neuvoston direktiivin 2001/95/EY ja neuvoston direktiivin 87/357/ETY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2023/988 sekä kuluttajatuotteiden turvallisuudesta annetussa laissa 
                                    <ref href="/akn/fi/act/statute/2025/184">(184/2025)</ref>.
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_3__subsec_4">
                            <content>
                                <p>
                                    Tekoälyjärjestelmiä koskevista vaatimuksista säädetään tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (tekoälysäädös) ja eräiden tekoälyjärjestelmien valvonnasta annetussa laissa 
                                    <ref href="/akn/fi/act/statute/2025/1377">(1377/2025)</ref>.
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_3__subsec_5">
                            <content>
                                <p>CSIRT-yksikön tehtävistä sekä muiden kuin kyberkestävyysasetuksessa tarkoitettujen haavoittuvuusilmoituksien käsittelystä säädetään kyberturvallisuuslaissa.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_2">
                    <num>2 luku</num>
                    <heading>Vaatimustenmukaisuus ja ilmoitukset</heading>
                    <section eId="chp_2__sec_4">
                        <num>4 §</num>
                        <heading>Digitaalisen elementin sisältävän tuotteen vaatimustenmukaisuus</heading>
                        <subsection eId="chp_2__sec_4__subsec_1">
                            <content>
                                <p>Digitaalisen elementin sisältävän tuotteen vaatimustenmukaisuudesta säädetään kyberkestävyysasetuksessa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_5">
                        <num>5 §</num>
                        <heading>Keskeneräiset tuotteet</heading>
                        <subsection eId="chp_2__sec_5__subsec_1">
                            <content>
                                <p>Digitaalisen elementin sisältävää tuotetta, joka ei täytä kyberkestävyysasetuksessa säädettyjä vaatimuksia, saa esitellä tai käyttää kyberkestävyysasetuksen 4 artiklan 2 kohdassa säädetyllä tavalla. Keskeneräisen ohjelmiston, joka ei täytä kyberkestävyysasetuksessa säädettyjä vaatimuksia, saa asettaa saataville markkinoilla kyberkestävyysasetuksen 4 artiklan 3 kohdassa säädetyllä tavalla rajoitetuksi ajaksi testausta varten.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_6">
                        <num>6 §</num>
                        <heading>Digitaalisen elementin sisältävä tuote julkisessa hankinnassa</heading>
                        <subsection eId="chp_2__sec_6__subsec_1">
                            <content>
                                <p>
                                    Julkisista hankinnoista ja käyttöoikeussopimuksista annetun lain 
                                    <ref href="/akn/fi/act/statute/2016/1397">(1397/2016)</ref>
                                     soveltamisalaan kuuluvassa hankinnassa, jossa hankinnan kohteena on digitaalisen elementin sisältävä tuote, hankintayksikön on huomioitava, mitä kyberkestävyysasetuksen 5 artiklan 2 kohdassa säädetään vaatimusten noudattamisesta ja valmistajan kyvystä käsitellä tehokkaasti haavoittuvuuksia.
                                </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_7">
                        <num>7 §</num>
                        <heading>Valmistajan ilmoitusvelvollisuus</heading>
                        <subsection eId="chp_2__sec_7__subsec_1">
                            <content>
                                <p>Valmistajan velvollisuudesta ilmoittaa digitaalisen elementin sisältävään tuotteeseen sisältyvästä aktiivisesti hyödynnetystä haavoittuvuudesta tai tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta säädetään kyberkestävyysasetuksen 14 artiklassa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_7__subsec_2">
                            <content>
                                <p>CSIRT-yksikön velvollisuudesta ilmoittaa markkinavalvontaviranomaiselle kyberkestävyysasetuksen 14 artiklan nojalla ilmoitetusta tapahtumasta säädetään kyberkestävyysasetuksen 16 artiklan 3 kohdassa. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_8">
                        <num>8 §</num>
                        <heading>Vapaaehtoinen ilmoittaminen</heading>
                        <subsection eId="chp_2__sec_8__subsec_1">
                            <content>
                                <p>CSIRT-yksikkö ottaa vastaan kyberkestävyysasetuksen 15 artiklan mukaisia vapaaehtoisia ilmoituksia mahdollisista digitaalisia elementtejä sisältävään tuotteeseen sisältyvistä haavoittuvuuksista, kyberuhkista, digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista vakavista poikkeamista sekä läheltä piti -tilanteista. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_8__subsec_2">
                            <content>
                                <p>Siitä riippumatta, mitä viranomaisten tiedonsaantioikeuksista muualla laissa säädetään, kyberkestävyysasetuksen 15 artiklan mukaisesti CSIRT-yksikölle vapaaehtoisesti ilmoitettua tietoa ei saa ilman ilmoittajan suostumusta käyttää ilmoittajaan kohdistuvassa rikostutkinnassa eikä hallinnollisessa tai muussa tiedon luovuttajaan kohdistuvassa päätöksenteossa. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_9">
                        <num>9 §</num>
                        <heading>CSIRT-yksikön oikeus luovuttaa salassa pidettäviä tietoja</heading>
                        <subsection eId="chp_2__sec_9__subsec_1">
                            <intro eId="chp_2__sec_9__subsec_1__intro">
                                <p>
                                    Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa 
                                    <ref href="/akn/fi/act/statute/1999/621">(621/1999)</ref>
                                     ja muualla laissa säädetään, CSIRT-yksiköllä on oikeus omasta aloitteestaan tai pyynnöstä luovuttaa tai ilmaista salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä kyberkestävyysasetuksen 14 artiklan 2, 4 ja 6 kohdan nojalla saamansa tieto tai mainitun asetuksen 15 artiklan nojalla saamansa vastaava tieto, jos se on tarpeen kyberkestävyysasetuksen 14–17 artiklassa säädettyjen tehtävien toteuttamiseksi:
                                </p>
                            </intro>
                            <paragraph eId="chp_2__sec_9__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>15 ja 16 §:ssä tarkoitetulle markkinavalvontaviranomaiselle;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>Euroopan unionin kyberturvallisuusvirasto ENISAlle; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_9__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>toisessa Euroopan unionin jäsenvaltiossa koordinaattoriksi nimetylle CSIRT-yksikölle.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_2__sec_9__subsec_2">
                            <content>
                                <p>CSIRT-yksikkö voi luovuttaa tai ilmaista muunkin kyberkestävyysasetuksen mukaisia tehtäviä hoitaessaan saamansa kuin 1 momentissa tarkoitetun tiedon siten kuin 1 momentissa säädetään, jos se on välttämätöntä kyberkestävyysasetuksen 14–17 artiklassa säädettyjen tehtävien toteuttamiseksi.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_10">
                        <num>10 §</num>
                        <heading>Kyberkestävyyden sääntelyn testiympäristö</heading>
                        <subsection eId="chp_2__sec_10__subsec_1">
                            <content>
                                <p>Liikenne- ja viestintävirasto voi päätöksellä perustaa kyberkestävyysasetuksen 33 artiklan 2 kohdassa tarkoitetun kyberkestävyyden sääntelyn testiympäristön. Päätöksessä kyberkestävyyden sääntelyn testiympäristön perustamisesta on määritettävä testiympäristön voimassaoloaika ja -paikka, soveltuva tekninen rajaus sekä lisäksi toimintasuunnitelma ja soveltuva testauksen kohde. Päätöksessä voidaan asettaa testiympäristöä koskevia ehtoja, jotka ovat tarpeellisia sen toiminnan järjestämisen tai turvallisuuden kannalta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_10__subsec_2">
                            <content>
                                <p>Liikenne- ja viestintävirasto myöntää hakemuksesta talouden toimijalle oikeuden toimintaan sääntelyn testiympäristössä. Hakemuksessa on esitettävä tarpeelliset tiedot hakijasta ja sen toiminnasta, testaukseen osallistuvista muista osapuolista, testauksen kohteesta ja testauksen tavoitteista. Oikeutta ei myönnetä, jos testauksen kohde tai suunniteltu toiminta ei ole testiympäristön perustamista koskevan päätöksen ehtojen mukaista, testaus aiheuttaisi kohtuutonta haittaa tai vaaraa muille tahoille taikka talouden toimijalle on määrätty hakemusta edeltävän kolmen vuoden aikana tämän lain nojalla hallinnollinen seuraamusmaksu. Oikeus voidaan jättää myöntämättä myös, jos testaus ei olisi testiympäristön käytettävissä olevien resurssien vuoksi mahdollista. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_10__subsec_3">
                            <content>
                                <p>Liikenne- ja viestintävirasto vastaa kyberkestävyysasetuksen 33 artiklan 2 kohdassa tarkoitetun ilmoituksen tekemisestä testiympäristön perustamisesta sekä talouden toimijoiden valvonnasta, ohjauksesta ja tuesta sääntelyn testiympäristössä yhteistyössä muiden markkinavalvontaviranomaisten kanssa. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_10__subsec_4">
                            <content>
                                <p>Liikenne- ja viestintäviraston määräyksellä voidaan antaa tarkempia säännöksiä kyberkestävyyden sääntelyn testiympäristön teknisestä järjestämisestä ja toiminnasta sekä talouden toimijan hakemuksesta.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_3">
                    <num>3 luku</num>
                    <heading>Ilmoitetut laitokset</heading>
                    <section eId="chp_3__sec_11">
                        <num>11 §</num>
                        <heading>Ilmoittava viranomainen</heading>
                        <subsection eId="chp_3__sec_11__subsec_1">
                            <content>
                                <p>
                                    Liikenne- ja viestintävirasto toimii kyberkestävyysasetuksen 36 artiklassa tarkoitettuna ilmoittamisesta vastaavana viranomaisena (<i>ilmoittava viranomainen</i>).
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_11__subsec_2">
                            <content>
                                <p>Ilmoittava viranomainen nimeää vaatimustenmukaisuuden arviointilaitoksen ilmoitetuksi laitokseksi, valvoo ilmoittamiaan laitoksia sekä vastaa muista ilmoittavalle viranomaiselle kyberkestävyysasetuksessa säädetyistä tehtävistä. Ilmoittava viranomainen vastaa kyberkestävyysasetuksen 35 artiklan 1 kohdassa, 38 artiklan 1 kohdassa ja 46 artiklan 2 kohdassa tarkoitettujen tietojen ilmoittamisesta Euroopan komissiolle ja muille Euroopan unionin jäsenvaltioille.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_11__subsec_3">
                            <content>
                                <p>Ilmoittavaa viranomaista koskevista vaatimuksista säädetään kyberkestävyysasetuksen 37 artiklassa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_12">
                        <num>12 §</num>
                        <heading>Ilmoittamista koskeva hakemus</heading>
                        <subsection eId="chp_3__sec_12__subsec_1">
                            <content>
                                <p>
                                    Suomeen sijoittautuneen vaatimustenmukaisuuden arviointilaitoksen on haettava ilmoittamista ilmoittavalta viranomaiselta. Hakemukseen on liitettävä Turvallisuus- ja kemikaaliviraston akkreditointiyksikön (<i>FINAS-akkreditointipalvelu</i>) antama akkreditointitodistus siitä, että vaatimustenmukaisuuden arviointilaitos täyttää kyberkestävyysasetuksessa säädetyt vaatimukset, sekä muut kyberkestävyysasetuksen 42 artiklassa tarkoitetut tiedot. Jos vaatimustenmukaisuuden arviointilaitos ei kuitenkaan voi liittää hakemukseen akkreditointitodistusta, sen on toimitettava ilmoittavalle viranomaiselle kaikki tarpeellinen tieto, jonka avulla voidaan varmentaa, todeta ja säännöllisesti valvoa, että se täyttää kyberkestävyysasetuksessa säädetyt vaatimukset.
                                </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_13">
                        <num>13 §</num>
                        <heading>Ilmoitetuksi laitokseksi nimeäminen ja nimeämisen rajaaminen tai peruuttaminen</heading>
                        <subsection eId="chp_3__sec_13__subsec_1">
                            <content>
                                <p>Ilmoittava viranomainen nimeää hakemuksesta ilmoitetuksi laitokseksi vaatimustenmukaisuuden arviointilaitoksen, joka täyttää kyberkestävyysasetuksessa säädetyt vaatimukset.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_13__subsec_2">
                            <content>
                                <p>Nimeämistä koskevassa päätöksessä määritellään ilmoitetun vaatimustenmukaisuuden arviointilaitoksen pätevyysalue, vahvistetaan laitoksen valvontaan liittyvät järjestelyt sekä asetetaan tarvittaessa sellaisia laitoksen toimintaa koskevia vaatimuksia, rajoituksia ja ehtoja, joilla varmistetaan tehtävien asianmukainen suorittaminen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_13__subsec_3">
                            <content>
                                <p>Nimeämisen rajaamisesta ja peruuttamisesta säädetään kyberkestävyysasetuksen 45 artiklassa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_13__subsec_4">
                            <content>
                                <p>
                                    Ilmoitetun laitoksen sekä sen käyttämän tytäryhtiön ja alihankkijan palveluksessa olevaan henkilöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan kyberkestävyysasetuksessa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa 
                                    <ref href="/akn/fi/act/statute/1974/412">(412/1974)</ref>.
                                </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_14">
                        <num>14 §</num>
                        <heading>Ilmoittavan viranomaisen ja ilmoitetun laitoksen oikeus luovuttaa salassa pidettäviä tietoja</heading>
                        <subsection eId="chp_3__sec_14__subsec_1">
                            <content>
                                <p>Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, ilmoittava viranomainen voi omasta aloitteestaan tai pyynnöstä salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä luovuttaa tai ilmaista vaatimustenmukaisuuden arviointilaitoksen ilmoittamisen perusteita ja muuta sen pätevyyttä koskevan saamansa tai laatimansa asiakirjan tai tiedon Euroopan komissiolle ja toiselle Euroopan unionin jäsenvaltiolle, jos se on tarpeen kyberkestävyysasetuksessa säädetyn ilmoittavan viranomaisen velvoitteen toteuttamiseksi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_14__subsec_2">
                            <content>
                                <p>Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, ilmoitettu laitos voi omasta aloitteestaan tai pyynnöstä salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä luovuttaa tai ilmaista vaatimustenmukaisuuden arviointia ja tarkastuksen tuloksia koskevan saamansa tai laatimansa asiakirjan tai tiedon Euroopan komissiolle, Euroopan unionin jäsenvaltiolle ja toiselle ilmoitetulle laitokselle, jos se on tarpeen kyberkestävyysasetuksessa säädetyn ilmoitetun laitoksen velvoitteen toteuttamiseksi.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_4">
                    <num>4 luku</num>
                    <heading>Markkinavalvonta</heading>
                    <section eId="chp_4__sec_15">
                        <num>15 §</num>
                        <heading>Markkinavalvontaviranomainen</heading>
                        <subsection eId="chp_4__sec_15__subsec_1">
                            <content>
                                <p>Kyberkestävyysasetuksen 52 artiklassa tarkoitettuna markkinavalvontaviranomaisena toimii Liikenne- ja viestintävirasto. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_16">
                        <num>16 §</num>
                        <heading>Suuririskisen tekoälyjärjestelmän markkinavalvonta</heading>
                        <subsection eId="chp_4__sec_16__subsec_1">
                            <content>
                                <p>Edellä 15 §:ssä säädetystä poiketen sellaisen tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2024/1689 (tekoälysäädös) 6 artiklassa tarkoitetun suuririskisen tekoälyjärjestelmän, joka kuuluu kyberkestävyysasetuksen soveltamisalaan, markkinavalvontaviranomaisena toimii eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:n nojalla toimivaltainen valvova viranomainen.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_17">
                        <num>17 §</num>
                        <heading>Markkinavalvonnan asiantuntijatuki</heading>
                        <subsection eId="chp_4__sec_17__subsec_1">
                            <content>
                                <p>Liikenne- ja viestintävirasto voi antaa pyynnöstä kyberkestävyysasetuksen markkinavalvontaa, vaatimustenmukaisuuden arviointia ja kyberturvallisuusriskien arviointia koskevaa asiantuntijatukea 16 §:ssä tarkoitetuille markkinavalvontaviranomaisille sekä sille, jolla on toimivalta määrätä 6 luvussa tarkoitettu seuraamusmaksu. Markkinavalvontaviranomaisten yhteistyöstä säädetään markkinavalvontalaissa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_18">
                        <num>18 §</num>
                        <heading>Markkinavalvontaviranomaisen oikeus luovuttaa salassa pidettäviä tietoja</heading>
                        <subsection eId="chp_4__sec_18__subsec_1">
                            <content>
                                <p>Mitä markkinavalvontalain 11 ja 13 §:ssä säädetään oikeudesta luovuttaa tietoja salassapitosäännösten estämättä, sovelletaan myös digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuutta, turvajärjestelyjä sekä haavoittuvuutta ja tietoturvaan vaikuttavaa poikkeamaa koskeviin tietoihin. Markkinavalvontaviranomainen voi luovuttaa tietoja omasta aloitteestaan tai pyynnöstä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_18__subsec_2">
                            <intro eId="chp_4__sec_18__subsec_2__intro">
                                <p>Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, markkinavalvontaviranomaisella on oikeus omasta aloitteestaan tai pyynnöstä luovuttaa salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto myös:</p>
                            </intro>
                            <paragraph eId="chp_4__sec_18__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>FINAS-akkreditointipalvelulle ja ilmoittavalle viranomaiselle, jos tiedon luovuttaminen on välttämätöntä vaatimustenmukaisuuden arviointilaitoksen pätevyyden arvioimiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_18__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>21 §:ssä tarkoitetulle viranomaiselle tai toisen Euroopan unionin jäsenvaltion vastaavalle viranomaiselle, jos tiedon luovuttaminen on välttämätöntä kyseisen viranomaisen valvontatehtävien suorittamiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_18__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>
                                        kyberturvallisuuslain 26 §:ssä ja julkisen hallinnon tiedonhallinnasta annetun lain 
                                        <ref href="/akn/fi/act/statute/2019/906">(906/2019)</ref>
                                         18 h §:ssä tarkoitetulle valvovalle viranomaiselle, Finanssivalvonnalle tai toisen Euroopan unionin jäsenvaltion vastaavalle viranomaiselle, jos digitaalisia elementtejä sisältävän tuotteen voidaan perustellusti arvioida aiheuttavan merkittävän kyberturvallisuusriskin muiden kuin teknisten riskitekijöiden vuoksi ja tiedon luovuttaminen on välttämätöntä kyberkestävyysasetuksen 54 artiklan 2 kohdassa säädetyn ilmoitusvelvollisuuden täyttämiseksi;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_18__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>Euroopan unionin kyberturvallisuusvirasto ENISAlle ja CSIRT-yksikölle, jos se on välttämätöntä kyberkestävyysasetuksessa 52 artiklan 4 ja 5 kohdassa tai 54 artiklan 1 kohdassa säädetyn yhteistyövelvollisuuden, neuvonnan tai tutkimuksen suorittamiseksi taikka CSIRT-yksikön kyberturvallisuuslaissa säädettyjen tehtävien hoitamista varten;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_18__subsec_2__para_5">
                                <num>5) </num>
                                <content>
                                    <p>tietosuojavaltuutetulle, jos tiedon luovuttaminen on välttämätöntä sen laissa säädettyjen valvontatehtävien hoitamiseksi; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_18__subsec_2__para_6">
                                <num>6) </num>
                                <content>
                                    <p>Euroopan komissiolle, Kilpailu- ja kuluttajavirastolle ja toisen Euroopan unionin jäsenvaltion kansalliselle kilpailuviranomaiselle, jos se on välttämätöntä Euroopan unionin kilpailulainsäädännön soveltamisen kannalta merkityksellisen tiedon antamiseksi kyberkestävyysasetuksen 52 artiklan 13 kohdassa säädetyn velvoitteen toteuttamiseksi.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4__sec_18__subsec_3">
                            <content>
                                <p>Liikenne- ja viestintävirastolla ja 17 §:ssä tarkoitettua asiantuntijatukea pyytävällä on oikeus salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä luovuttaa tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toisilleen, jos se on asiantuntijatuen antamiseksi välttämätöntä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_19">
                        <num>19 §</num>
                        <heading>Markkinavalvontaviranomaisen oikeus tehdä tarkastuksia ja ottaa ohjelmistoja tutkittavaksi</heading>
                        <subsection eId="chp_4__sec_19__subsec_1">
                            <content>
                                <p>Sen lisäksi, mitä markkinavalvontalain 9 §:n 1 momentissa säädetään, tarkastus voidaan ulottaa myös pysyväisluonteiseen asumiseen käytettäviin tiloihin, joita talouden toimija käyttää elinkeino- tai ammattitoimintaansa liittyviin tarkoituksiin. Tarkastus pysyväisluonteiseen asumiseen käytettävään tilaan saadaan tehdä vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja on perusteltu ja yksilöity syy epäillä kyberkestävyysasetusta tai sen nojalla annettua säädöstä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena tässä laissa tarkoitettu seuraamusmaksu. Lisäksi edellytyksenä on, että epäillyssä rikkomuksessa on kyse digitaalisen elementin sisältävän tuotteen tai siihen liittyvän prosessin vaatimustenvastaisuudesta tai kyberkestävyysasetuksen 57 artiklassa tarkoitetusta tilanteesta, jossa tuote muutoin aiheuttaa merkittävän kyberturvallisuusriskin. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_19__subsec_2">
                            <content>
                                <p>Markkinavalvontaviranomaisen oikeudesta ottaa tuotteita tutkittavaksi säädetään markkinavalvontalaissa. Ohjelmiston tutkittavaksi ottamisesta ei suoriteta talouden toimijalle korvausta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_20">
                        <num>20 §</num>
                        <heading>Avoimen lähdekoodin ohjelmistovastaavan valvonta</heading>
                        <subsection eId="chp_4__sec_20__subsec_1">
                            <content>
                                <p>Markkinavalvontaviranomainen voi ohjeistaa avoimen lähdekoodin ohjelmistovastaavaa kyberkestävyysasetuksessa säädetyistä velvollisuuksista sekä ehdottaa käytännöllisiä parannuksia ohjelmistovastaavan ylläpitämän avoimen lähdekoodin ohjelmistoprojektin sisältöön tai toimintatapoihin. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_20__subsec_2">
                            <content>
                                <p>Markkinavalvontaviranomainen voi velvoittaa avoimen lähdekoodin ohjelmistovastaavan korjaamaan kohtuullisessa määräajassa havaitsemansa puutteet kyberkestävyysasetuksessa säädettyjen velvollisuuksien noudattamisessa. Markkinavalvontaviranomainen voi julkaista tietoja havaitsemistaan puutteista tai tiedottaa asiasta, mikäli havaittuja puutteita ei korjata kohtuullisessa määräajassa.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_5">
                    <num>5 luku</num>
                    <heading>Kyberturvallisuussertifiointi</heading>
                    <section eId="chp_5__sec_21">
                        <num>21 §</num>
                        <heading>Kansallinen kyberturvallisuussertifioinnin viranomainen</heading>
                        <subsection eId="chp_5__sec_21__subsec_1">
                            <content>
                                <p>
                                    Kyberturvallisuusasetuksen 58 artiklassa tarkoitettuna kansallisena kyberturvallisuussertifioinnin myöntävänä viranomaisena (<i>kyberturvallisuussertifioinnin viranomainen</i>) toimii Liikenne- ja viestintävirasto. 
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_21__subsec_2">
                            <content>
                                <p>Liikenne- ja viestintäviraston eurooppalaisten kyberturvallisuussertifikaattien myöntämiseen liittyvät tehtävät on eriytettävä kyberturvallisuusasetuksen 58 artiklan mukaisesta valvontatoiminnasta ja varmistettava, että nämä toiminnot suoritetaan toisistaan riippumattomasti. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_22">
                        <num>22 §</num>
                        <heading>Vaatimustenmukaisuuden arviointilaitosten ilmoittaminen ja valtuuttaminen kyberturvallissertifiointia varten</heading>
                        <subsection eId="chp_5__sec_22__subsec_1">
                            <content>
                                <p>Kyberturvallisuussertifioinnin viranomaisen tehtävistä vaatimustenmukaisuuden arviointilaitosten valtuuttamisessa kyberturvallisuussertifiointia varten säädetään kyberturvallisuusasetuksen 60 artiklan 3 kohdassa sekä kyberturvallisuussertifiointia varten akkreditoitujen vaatimustenmukaisuuden arviointilaitosten ilmoittamisesta Euroopan komissiolle kyberturvallisuusasetuksen 61 artiklassa. Jos sovellettava eurooppalainen kyberturvallisuuden sertifiointijärjestelmä sitä edellyttää, on ilmoittamisen edellytyksenä kyberturvallisuussertifioinnin viranomaisen valtuutus. Kyberturvallisuussertifioinnin viranomainen valvoo kyberturvallisuussertifiointia varten ilmoittamiaan vaatimustenmukaisuuden arviointilaitoksia.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_22__subsec_2">
                            <content>
                                <p>Kyberturvallisuussertifiointia varten ilmoittamisen ja valtuuttamisen edellytyksenä on, että vaatimustenmukaisuuden arviointilaitokselle on myönnetty kyberturvallisuusasetuksen 60 artiklan 1 kohdassa tarkoitetusta akkreditoinnista FINAS-akkreditointipalvelun antama akkreditointitodistus siitä, että vaatimustenmukaisuuden arviointilaitos täyttää kyberturvallisuusasetuksessa säädetyt vaatimukset.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_23">
                        <num>23 §</num>
                        <heading>Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen velvollisuudet</heading>
                        <subsection eId="chp_5__sec_23__subsec_1">
                            <content>
                                <p>Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen on suoritettava vaatimustenmukaisuuden arvioinnit kyberturvallisuusasetuksen ja sen nojalla annettujen säädösten mukaisten vaatimustenmukaisuuden arviointimenettelyjen edellyttämällä tavalla. Lisäksi vaatimustenmukaisuuden arviointilaitoksen on suoritettava muut kyberturvallisuusasetuksessa ja sen nojalla annetuissa säädöksissä säädetyt tehtävät. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_23__subsec_2">
                            <content>
                                <p>Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen on ilmoitettava kyberturvallisuussertifioinnin viranomaiselle kaikista muutoksista, joilla on vaikutusta ilmoittamisen tai valtuuttamisen edellytysten täyttymiseen. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_23__subsec_3">
                            <content>
                                <p>Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen sekä sen käyttämän tytäryhtiön ja alihankkijan palveluksessa olevaan henkilöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan kyberturvallisuusasetuksessa ja tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_24">
                        <num>24 §</num>
                        <heading>Kyberturvallisuussertifikaatin myöntämiseen liittyvä tehtävien siirtäminen</heading>
                        <subsection eId="chp_5__sec_24__subsec_1">
                            <intro eId="chp_5__sec_24__subsec_1__intro">
                                <p>Kyberturvallisuussertifioinnin viranomainen voi siirtää tietyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän osalta kyberturvallisuusasetuksen 52 artiklan 7 kohdassa tarkoitetun korkean varmuustason eurooppalaisen kyberturvallisuussertifikaatin myöntämiseen liittyvän tehtävän kyberturvallisuussertifiointia varten ilmoitetulle vaatimuksenmukaisuuden arviointilaitokselle:</p>
                            </intro>
                            <paragraph eId="chp_5__sec_24__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>kyberturvallisuusasetuksen 56 artiklan 6 kohdan a alakohdassa tarkoitetussa tapauksessa siten, että kyberturvallisuussertifioinnin viranomainen hyväksyy ennalta kunkin kyberturvallisuussertifikaatin myöntämisen; tai</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_24__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>kyberturvallisuusasetuksen 56 artiklan 6 kohdan b alakohdassa tarkoitetussa tapauksessa yleisesti siten, että arviointilaitos myöntää kyberturvallisuussertifikaatin ilman kyberturvallisuussertifioinnin viranomaisen erillistä hyväksyntää.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_5__sec_24__subsec_2">
                            <intro eId="chp_5__sec_24__subsec_2__intro">
                                <p>Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen kanssa tehtävässä sopimuksessa on sovittava ainakin:</p>
                            </intro>
                            <paragraph eId="chp_5__sec_24__subsec_2__para_1">
                                <num>1)</num>
                                <content>
                                    <p>vaatimustenmukaisuuden arviointilaitoksen tehtävistä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_24__subsec_2__para_2">
                                <num>2)</num>
                                <content>
                                    <p>tarpeellisista vaatimustenmukaisuuden arviointilaitoksen pätevyyteen ja sen toiminnan turvallisuuteen kohdistuvista erityisistä vaatimuksista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_24__subsec_2__para_3">
                                <num>3)</num>
                                <content>
                                    <p>sopimuskaudesta, toiminnan aloittamisesta ja sopimuksen päättymisestä kesken sopimuskauden;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_24__subsec_2__para_4">
                                <num>4)</num>
                                <content>
                                    <p>vaatimustenmukaisuuden arviointilaitoksen toimintaan liittyvien asiakirjojen säilyttämisestä ja arkistoinnista; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_24__subsec_2__para_5">
                                <num>5)</num>
                                <content>
                                    <p>vaatimustenmukaisuuden arviointilaitoksen toiminnan puutteista ja laiminlyönneistä aiheutuvista seuraamuksista.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_5__sec_24__subsec_3">
                            <content>
                                <p>Kyberturvallisuussertifioinnin viranomainen voi irtisanoa tai purkaa sopimuksen, jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos ei enää täytä vaatimuksia tai jos se olennaisesti laiminlyö sopimuksessa sovittujen tehtävien suorittamisen tai muutoin rikkoo sopimusta tai toimii olennaisesti tai toistuvasti lainvastaisesti.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_25">
                        <num>25 §</num>
                        <heading>Kyberturvallisuussertifioinnin viranomaisen tiedonsaanti- ja tarkastusoikeus</heading>
                        <subsection eId="chp_5__sec_25__subsec_1">
                            <content>
                                <p>Kyberturvallisuussertifioinnin viranomaisella on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada sen tässä laissa tai kyberturvallisuusasetuksessa säädettyjen tehtävien hoitamiseksi ja kyberturvallisuusasetuksen, sen nojalla annettujen säädösten ja tämän lain noudattamisen valvomiseksi välttämättömät tiedot vaatimustenmukaisuuden arviointilaitokselta, eurooppalaisen kyberturvallisuussertifikaatin haltijalta ja kyberturvallisuusasetuksen 53 artiklan 2 kohdassa tarkoitetulta EU-vaatimustenmukaisuusilmoituksen antajalta. Tiedot on luovutettava ilman aiheetonta viivytystä, viranomaisen pyytämässä muodossa ja maksutta. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_25__subsec_2">
                            <content>
                                <p>
                                    Kyberturvallisuussertifioinnin viranomaisella on oikeus tehdä vaatimustenmukaisuuden arviointilaitosta, eurooppalaisen kyberturvallisuussertifikaatin haltijaa tai EU-vaatimustenmukaisuusilmoitusten antajaa koskevia tarkastuksia kyberturvallisuusasetuksen, sen nojalla annettujen säädösten ja tämän lain noudattamisen valvomiseksi. Tarkastuksissa noudatetaan, mitä hallintolain 
                                    <ref href="/akn/fi/act/statute/2003/434">(434/2003)</ref>
                                     39 §:ssä säädetään. 
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_25__subsec_3">
                            <content>
                                <p>Kyberturvallisuussertifioinnin viranomaisella on oikeus teettää tarkastus riippumattomalla asiantuntijalla. Tarkastuksen suorittajalla ja siihen osallistuvalla on oltava sellainen koulutus ja kokemus kuin tarkastuksen suorittamiseksi on tarpeen. Riippumattomaan asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä pykälässä tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_25__subsec_4">
                            <content>
                                <p>Tarkastusta suorittavalla kyberturvallisuussertifioinnin viranomaisella ja riippumattomalla asiantuntijalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan kyberturvallisuusasetuksessa tarkoitettua toimintaa, sekä kaikkiin tiloihin ja tietojärjestelmiin, joissa säilytetään tai käsitellään valvonnan kannalta merkityksellisiä tietoja. Pysyväisluonteiseen asumiseen käytettäviin tiloihin tarkastuksia ei kuitenkaan saa ulottaa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_26">
                        <num>26 § </num>
                        <heading>Kyberturvallisuussertifioinnin viranomaisen oikeus luovuttaa salassa pidettäviä tietoja</heading>
                        <subsection eId="chp_5__sec_26__subsec_1">
                            <intro eId="chp_5__sec_26__subsec_1__intro">
                                <p>Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja muualla laissa säädetään, kyberturvallisuussertifioinnin viranomaisella on oikeus omasta aloitteestaan tai pyynnöstä luovuttaa salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä sen tässä laissa tai kyberturvallisuusasetuksessa säädettyjen tehtävien hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettäviä tieto:</p>
                            </intro>
                            <paragraph eId="chp_5__sec_26__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>markkinavalvontalain 4 §:ssä tarkoitetulle markkinavalvontaviranomaiselle, ja Turvallisuus- ja kemikaaliviraston akkreditointiyksikölle tai toisen Euroopan unionin jäsenvaltion kansalliselle akkreditointielimelle, jos tiedon luovuttaminen on välttämätöntä kyseisen viranomaisen tehtävien suorittamisen kannalta;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_26__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>toiselle kansalliselle kyberturvallisuussertifioinnin viranomaiselle ja muulle Euroopan kyberturvallisuuden sertifiointiryhmän jäsenelle, Euroopan unionin kyberturvallisuusvirasto ENISAlle sekä Euroopan komissiolle, jos se on välttämätöntä kyberturvallisuusasetuksessa tai sen nojalla säädetyn kyberturvallisuussertifioinnin viranomaisen velvoitteen toteuttamiseksi; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_26__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>siitä, että tieto- ja viestintätekniikan tuote, palvelu tai prosessi taikka tietoturvapalvelu ei vastaa kyberturvallisuusasetuksessa säädettyjä tai eurooppalaisten kyberturvallisuuden sertifiointijärjestelmän vaatimuksia, samoin kuin tieto tällaista tuotetta, palvelua tai prosessia taikka tietoturvapalvelua koskevasta haavoittuvuudesta kyberturvallisuuslain 26 §:ssä ja julkisen hallinnon tiedonhallinnasta annetun lain 18 h §:ssä tarkoitetulle valvovalle viranomaiselle, Finanssivalvonnalle ja CSIRT-yksikölle, jos se on tarpeen niille säädettyjen tehtävien hoitamista varten. </p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_27">
                        <num>27 § </num>
                        <heading>Valvontapäätös</heading>
                        <subsection eId="chp_5__sec_27__subsec_1">
                            <content>
                                <p>Kyberturvallisuussertifioinnin viranomainen voi velvoittaa vaatimustenmukaisuuden arviointilaitoksen, eurooppalaisen kyberturvallisuussertifikaatin haltijan tai EU-vaatimustenmukaisuusilmoitusten antajan määräajassa korjaamaan puutteet sen tässä laissa tai kyberturvallisuusasetuksessa tai sen nojalla säädettyjen velvollisuuksien noudattamisessa. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_27__subsec_2">
                            <content>
                                <p>Kyberturvallisuussertifioinnin viranomainen voi asettaa tämän pykälän nojalla antamansa päätöksen tehosteeksi uhkasakon tai uhan, että velvollisuuksien vastainen toiminta keskeytetään tai tekemättä jätetty toimenpide teetetään vaatimustenmukaisuuden arviointilaitoksen, eurooppalaisen kyberturvallisuussertifikaatin haltijan tai EU-vaatimustenmukaisuusilmoituksen antajan kustannuksella.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_28">
                        <num>28 § </num>
                        <heading>Kyberturvallisuussertifikaatin peruuttaminen</heading>
                        <subsection eId="chp_5__sec_28__subsec_1">
                            <content>
                                <p>Kyberturvallisuussertifioinnin viranomainen voi peruuttaa myöntämänsä tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen kyberturvallisuusasetuksen 56 artiklan 6 kohdan mukaisesti myöntämän eurooppalaisen kyberturvallisuussertifikaatin, jos kyberturvallisuussertifikaatti ei täytä kyberturvallisuusasetuksessa säädettyjä tai kyseisen eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimuksia tai jos kyberturvallisuussertifikaatin haltija ei anna kyberturvallisuussertifioinnin viranomaiselle sen pyytämiä 25 §:n 1 momentissa tarkoitettuja tietoja eikä puutetta tai laiminlyöntiä korjata kohtuullisessa määräajassa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_29">
                        <num>29 § </num>
                        <heading>Kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen valtuutuksen ja ilmoituksen keskeyttäminen, rajoittaminen tai peruuttaminen</heading>
                        <subsection eId="chp_5__sec_29__subsec_1">
                            <content>
                                <p>Jollei kyberturvallisuusasetuksen nojalla säädetystä muuta johdu, kyberturvallisuussertifioinnin viranomaisen on tarvittaessa peruutettava tai keskeytettävä vaatimustenmukaisuuden arviointilaitoksen kyberturvallisuusasetuksen 60 artiklan 3 kohdassa tarkoitettu valtuutus tai 61 artiklan 1 kohdassa tarkoitettu ilmoitus tai rajoitettava sitä ja esitettävä kyberturvallisuusasetuksen 61 artiklan 4 kohdassa tarkoitettu pyyntö poistaa arviointilaitos luettelosta, jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos ei ole korjannut toimintaansa 27 §:n nojalla asetetussa määräajassa ja kyseessä on olennainen rikkomus tai laiminlyönti taikka jos arviointilaitos ei täytä sille säädettyjä vaatimuksia tai sen akkreditointia rajoitetaan, akkreditointi peruutetaan tai se keskeytetään. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_29__subsec_2">
                            <content>
                                <p>Jos kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos on lopettanut toimintansa tai se poistetaan Euroopan komission luettelosta, on kyberturvallisuussertifioinnin viranomaisen ryhdyttävä asianmukaisiin toimenpiteisiin sen varmistamiseksi, että arviointilaitoksen asiakirjat käsittelee toinen kyberturvallisuussertifiointia varten ilmoitettu vaatimustenmukaisuuden arviointilaitos tai että asiakirjat pidetään kyberturvallisuussertifioinnin viranomaisen ja markkinavalvonnasta vastaavien viranomaisten saatavilla. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_30">
                        <num>30 § </num>
                        <heading>Poliisin virka-apu</heading>
                        <subsection eId="chp_5__sec_30__subsec_1">
                            <content>
                                <p>Poliisi on velvollinen antamaan virka-apua kyberturvallisuussertifioinnin viranomaiselle tässä laissa tai kyberturvallisuusasetuksessa tai sen nojalla säädettyjen velvollisuuksien noudattamisen valvomiseksi ja täytäntöön panemiseksi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_30__subsec_2">
                            <content>
                                <p>
                                    Poliisin antamasta virka-avusta säädetään poliisilaissa 
                                    <ref href="/akn/fi/act/statute/2011/872">(872/2011)</ref>.
                                </p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_6">
                    <num>6 luku </num>
                    <heading>Seuraamusmaksut</heading>
                    <section eId="chp_6__sec_31">
                        <num>31 §</num>
                        <heading>Valmistajan seuraamusmaksu</heading>
                        <subsection eId="chp_6__sec_31__subsec_1">
                            <intro eId="chp_6__sec_31__subsec_1__intro">
                                <p>Hallinnollinen seuraamusmaksu voidaan määrätä valmistajalle, joka tahallaan tai huolimattomuudesta:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>saattaa markkinoille digitaalisia elementtejä sisältävän tuotteen kyberkestävyysasetuksen 13 artiklan 1 kohdan vastaisesti varmistamatta, että tuote on suunniteltu, kehitetty ja tuotettu kyberkestävyysasetuksen liitteessä I olevassa I osassa vahvistettujen olennaisten kyberturvallisuusvaatimusten mukaisesti; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 13 artiklan 2 kohdassa tarkoitetun kyberturvallisuusriskien arvioinnin tai arvioinnin tuloksien huomioon ottamisen; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 13 artiklan 3 kohdassa säädetyn velvollisuuden dokumentoida kyberturvallisuusriskien arviointi tai laiminlyö sen päivittämisen;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_4">
                                <num>4)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 13 artiklan 4 kohdassa säädetyn velvollisuuden sisällyttää teknisiin asiakirjoihin kyberturvallisuusriskien arvioinnin;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_5">
                                <num>5)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 13 artiklan 7 kohdassa säädetyn velvollisuuden dokumentoida kyberturvallisuuteen liittyvät seikat tai laiminlyö päivittää kyberturvallisuusriskien arvioinnin mainitun kohdan mukaisesti;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_6">
                                <num>6)</num>
                                <content>
                                    <p>integroi tuotteeseen kolmannelta osapuolelta hankitun komponentin muuten kuin kyberkestävyysasetuksen 13 artiklan 5 kohdassa säädetyllä tavalla taikka laiminlyö kyberkestävyysasetuksen 13 artiklan 6 kohdassa säädetyn velvollisuuden ilmoittaa tuotteeseen integroidun komponentin haavoittuvuudesta komponentin valmistajalle tai ylläpitäjälle, puuttua haavoittuvuuteen tai korjata se tai laiminlyö mainitussa kohdassa säädetyn velvollisuuden jakaa tietoja;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_7">
                                <num>7)</num>
                                <content>
                                    <p>määrittää tukiajan kyberkestävyysasetuksen 13 artiklan 8 kohdan vastaisesti tai jättää ilmoittamatta tukiajan päättymisestä 13 artiklan 19 kohdassa säädetyllä tavalla;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_8">
                                <num>8)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 13 artiklan 8 kohdassa säädetyn velvollisuuden käsitellä haavoittuvuuksia tehokkaasti ja kyberkestävyysasetuksen liitteessä I olevassa II osassa vahvistettujen olennaisten kyberturvallisuusvaatimusten mukaisesti tukiajan aikana;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_9">
                                <num>9)</num>
                                <content>
                                    <p>laiminlyö pitää tukiaikana käyttäjien saataville asetetun tietoturvapäivityksen saatavilla kyberkestävyysasetuksen 13 artiklan 9 kohdassa säädetyn ajan;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_10">
                                <num>10)</num>
                                <content>
                                    <p>varmistaa kyberkestävyysasetuksen 13 artiklan 10 kohdassa tarkoitetun olennaisen kyberturvallisuusvaatimuksen noudattamisen vain viimeksi markkinoille saattamansa version osalta, jos version käyttö ei ole käyttäjille maksutonta tai siitä aiheutuu lisäkustannuksia mainitussa kohdassa säädetyn vastaisesti; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_11">
                                <num>11)</num>
                                <content>
                                    <p>laiminlyö laatia kyberkestävyysasetuksen 31 artiklassa tarkoitetut tekniset asiakirjat ennen digitaalisia elementtejä sisältävän tuotteen saattamista markkinoille taikka laatii tekniset asiakirjat mainitun artiklan 1–4 kohdassa tai 33 artiklan 5 kohdassa säädetyn vastaisesti;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_12">
                                <num>12)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 13 artiklan 12 kohdan toisessa alakohdassa säädetyn velvollisuuden suorittaa tai teettää valitsemansa vaatimustenmukaisuuden arviointimenettelyn 32 artiklan 1–5 kohdassa säädetyllä tavalla;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_13">
                                <num>13)</num>
                                <content>
                                    <p>laiminlyö laatia EU-vaatimustenmukaisuusvakuutuksen kyberkestävyysasetuksen 28 artiklan mukaisesti taikka laiminlyö kiinnittää tai liittää tuotteeseen CE-merkinnän 30 artiklan mukaisesti silloin, kun vaatimustenmukaisuuden arviointimenettelyllä on osoitettu tuotteen täyttävän kyberkestävyysasetuksen 13 artiklan 12 kohdan kolmannessa alakohdassa tarkoitetut olennaiset kyberturvallisuusvaatimukset;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_14">
                                <num>14)</num>
                                <content>
                                    <p>laiminlyö pitää markkinavalvontaviranomaisen saatavilla tuotteen tekniset asiakirjat ja EU-vaatimustenmukaisuusvakuutus kyberkestävyysasetuksen 13 artiklan 13 kohdassa säädetyn ajan;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_15">
                                <num>15)</num>
                                <content>
                                    <p>laiminlyö käyttää kyberkestävyysasetuksen 13 artiklan 14 kohdassa tarkoitettuja menettelyitä tai huomioida kohdassa tarkoitettuja muutoksia;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_16">
                                <num>16)</num>
                                <content>
                                    <p>laiminlyö liittää tuotteeseen, sen pakkaukseen tai sen mukana seuraavaan asiakirjaan kyberkestävyysasetuksen 13 artiklan 15 kohdassa tarkoitetun tunnisteen, mainitun artiklan 16 kohdassa tarkoitetut tiedot taikka mainitun artiklan 17 kohdan toisessa alakohdassa tarkoitetun tiedon;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_17">
                                <num>17)</num>
                                <content>
                                    <p>laiminlyö nimetä kyberkestävyysasetuksen 13 artiklan 17 kohdan ensimmäisessä alakohdassa tarkoitetun keskitetyn yhteyspisteen tai rajaa käyttäjän viestintätavan pelkästään automatisoituihin välineisiin mainitun kohdan kolmannen alakohdan vastaisesti;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_18">
                                <num>18)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 13 artiklan 18 kohdassa säädetyn velvollisuuden varmistaa, että digitaalisia elementtejä sisältävän tuotteen mukana on mainitun säädöksen liitteessä II vahvistetut käyttäjälle annettavat tiedot ja ohjeet ja että ne annetaan mainitussa kohdassa tarkoitetulla tavalla, taikka laiminlyö pitää tiedot ja ohjeet käyttäjien ja markkinavalvontaviranomaisen saatavilla kohdassa säädetyn ajan;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_19">
                                <num>19)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 13 artiklan 20 kohdassa säädetyn velvollisuuden toimittaa EU-vaatimustenmukaisuusvakuutuksen jäljennös tai yksinkertaistettu EU-vaatimustenmukaisuusvakuutus tuotteen mukana;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_20">
                                <num>20)</num>
                                <content>
                                    <p>jättää toteuttamatta tarvittavat korjaavat toimenpiteet kyberkestävyysasetuksen 13 artiklan 21 kohdassa tarkoitetussa tilanteessa;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_21">
                                <num>21) </num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 13 artiklan 22 kohdassa säädetyn velvollisuuden antaa markkinavalvontaviranomaiselle tietoja tai asiakirjoja tai tehdä yhteistyötä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_22">
                                <num>22)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 13 artiklan 23 kohdassa säädetyn velvollisuuden ilmoittaa toiminnan lopettamisesta;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_23">
                                <num>23)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 14 artiklan 1 kohdassa säädetyn velvollisuuden ilmoittaa digitaalisia elementtejä sisältävään tuotteeseen sisältyvästä aktiivisesti hyödynnetyistä haavoittuvuuksista tai laiminlyö sisällyttää ilmoitukseen tai loppuraporttiin mainitun artiklan 2 kohdan mukaiset tiedot;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_24">
                                <num>24)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 14 artiklan 3 kohdassa säädetyn velvollisuuden ilmoittaa digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista vakavista poikkeamista tai laiminlyö antaa mainitun artiklan 4 kohdan mukaiset tiedot;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_25">
                                <num>25)</num>
                                <content>
                                    <p>laiminlyö toimittaa CSIRT-yksikölle kyberkestävyysasetuksen 14 artiklan 6 kohdassa tarkoitettuja tietoja, kun CSIRT-yksikkö on pyytänyt toimittamaan väliraportin;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_31__subsec_1__para_26">
                                <num>26)</num>
                                <content>
                                    <p>laiminlyö kyberkestävyysasetuksen 14 artiklan 8 kohdassa säädetyn velvollisuuden tiedottaa aktiivisesti hyödynnetystä haavoittuvuudesta tai digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta niitä tuotteen käyttäjiä, joihin vaikutukset kohdistuvat, ja tarvittaessa kaikkia käyttäjiä.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_6__sec_31__subsec_2">
                            <content>
                                <p>Hallinnollinen seuraamusmaksu voidaan määrätä 1 momentissa säädetyllä perusteella muulle kuin valmistajalle silloin, jos tämä kyberkestävyysasetuksen 21 tai 22 artiklan nojalla vastaa valmistajalle säädetystä velvollisuudesta. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_32">
                        <num>32 §</num>
                        <heading>Valtuutetun edustajan seuraamusmaksu</heading>
                        <subsection eId="chp_6__sec_32__subsec_1">
                            <intro eId="chp_6__sec_32__subsec_1__intro">
                                <p>Hallinnollinen seuraamusmaksu voidaan määrätä valtuutetulle edustajalle, joka tahallaan tai huolimattomuudesta:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_32__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>laiminlyö pitää EU-vaatimustenmukaisuusvakuutuksen ja tekniset asiakirjat markkinavalvontaviranomaisen saatavilla kyberkestävyysasetuksen 18 artiklan 3 kohdan a alakohdassa säädetyn ajan;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_32__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>laiminlyö antaa markkinavalvontaviranomaiselle tämän pyynnöstä kyberkestävyysasetuksen 18 artiklan 3 kohdan johdantokappaleessa tai b alakohdassa tarkoitetut asiakirjat tai tiedot taikka tehdä yhteistyötä mainitun kohdan c alakohdan mukaisesti;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_32__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>muuten kuin 1 tai 2 kohdassa tarkoitetulla tavalla laiminlyö valmistajalta saamaansa toimeksiantoon kuuluvan tehtävän, joka kyberkestävyysasetuksen nojalla kuuluu valmistajan velvollisuuksiin.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_33">
                        <num>33 §</num>
                        <heading>Maahantuojan seuraamusmaksu</heading>
                        <subsection eId="chp_6__sec_33__subsec_1">
                            <intro eId="chp_6__sec_33__subsec_1__intro">
                                <p>Hallinnollinen seuraamusmaksu voidaan määrätä maahantuojalle, joka tahallaan tai huolimattomuudesta:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_33__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>saattaa markkinoille digitaalisia elementtejä sisältävän tuotteen kyberkestävyysasetuksen 19 artiklan 1–3 kohdan vastaisesti;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_33__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>laiminlyö tehdä valmistajalle tai markkinavalvontaviranomaiselle ilmoituksen silloin, kun maahantuoja on siihen kyberkestävyysasetuksen 19 artiklan 3 kohdan nojalla velvollinen; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_33__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>laiminlyö ilmoittaa kyberkestävyysasetuksen 19 artiklan 4 kohdassa tarkoitetut tiedot kohdassa säädetyllä tavalla;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_33__subsec_1__para_4">
                                <num>4)</num>
                                <content>
                                    <p>laiminlyö toteuttaa kyberkestävyysasetuksen 19 artiklan 5 kohdan ensimmäisessä alakohdassa tarkoitetut toimenpiteet tai laiminlyö antaa mainitun kohdan toisessa alakohdassa tarkoitetun ilmoituksen valmistajalle ja markkinavalvontaviranomaiselle;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_33__subsec_1__para_5">
                                <num>5)</num>
                                <content>
                                    <p>laiminlyö pitää markkinavalvontaviranomaisen saatavilla EU-vaatimustenmukaisuusvakuutuksen jäljennöksen tai varmistaa, että tekniset asiakirjat voidaan antaa markkinavalvontaviranomaiselle tämän pyynnöstä kyberkestävyysasetuksen 19 artiklan 6 kohdassa säädetyn ajan; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_33__subsec_1__para_6">
                                <num>6)</num>
                                <content>
                                    <p>laiminlyö antaa markkinavalvontaviranomaiselle tämän pyynnöstä kyberkestävyysasetuksen 19 artiklan 7 kohdassa tarkoitetut tiedot.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_34">
                        <num>34 §</num>
                        <heading>Jakelijan seuraamusmaksu</heading>
                        <subsection eId="chp_6__sec_34__subsec_1">
                            <intro eId="chp_6__sec_34__subsec_1__intro">
                                <p>Hallinnollinen seuraamusmaksu voidaan määrätä jakelijalle, joka tahallaan tai huolimattomuudesta:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_34__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>asettaa digitaalisia elementtejä sisältävän tuotteen saataville markkinoille kyberkestävyysasetuksen 20 artiklan 1–3 kohdan vastaisesti;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_34__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>laiminlyö toteuttaa kyberkestävyysasetuksen 20 artiklan 4 kohdan ensimmäisessä alakohdassa tarkoitetut toimenpiteet tai laiminlyö antaa mainitun kohdan toisessa alakohdassa tarkoitetun ilmoituksen valmistajalle ja markkinavalvontaviranomaiselle;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_34__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>laiminlyö antaa markkinavalvontaviranomaiselle tämän perustellusta pyynnöstä kyberkestävyysasetuksen 20 artiklan 5 kohdassa tarkoitetut tiedot ja asiakirjat;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_34__subsec_1__para_4">
                                <num>4)</num>
                                <content>
                                    <p>laiminlyö antaa markkinavalvontaviranomaiselle kyberkestävyysasetuksen 20 artiklan 6 kohdassa tarkoitetun ilmoituksen.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_35">
                        <num>35 §</num>
                        <heading>Ilmoitetun laitoksen seuraamusmaksu</heading>
                        <subsection eId="chp_6__sec_35__subsec_1">
                            <intro eId="chp_6__sec_35__subsec_1__intro">
                                <p>Hallinnollinen seuraamusmaksu voidaan määrätä ilmoitetulle laitokselle, joka tahallaan tai huolimattomuudesta:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_35__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>toimii ilmoitetun laitoksen tehtävässä täyttämättä kyberkestävyysasetuksen 39 artiklassa säädettyjä vaatimuksia; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_35__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>käyttää tytäryhtiötä tai teettää tehtäviä alihankintana muuten kuin kyberkestävyysasetuksen 41 artiklan mukaisesti;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_35__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>suorittaa vaatimustenmukaisuuden arvioinnin muuten kuin kyberkestävyysasetuksen 47 artiklassa säädetyn menettelyn mukaisesti taikka muutoin laiminlyö mainitussa artiklassa säädetyn velvollisuuden;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_35__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>laiminlyö tiedottaa kyberkestävyysasetuksen 49 artiklan 1 kohdassa tarkoitetuista seikoista ilmoittamisesta vastaavaa viranomaista tai mainitun artiklan 2 kohdassa tarkoitetuista seikoista mainitun kohdan mukaisesti muita ilmoitettuja laitoksia.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_36">
                        <num>36 §</num>
                        <heading>Muut kyberkestävyysasetukseen liittyvät seuraamusmaksut</heading>
                        <subsection eId="chp_6__sec_36__subsec_1">
                            <intro eId="chp_6__sec_36__subsec_1__intro">
                                <p>Hallinnollinen seuraamusmaksu voidaan määrätä talouden toimijalle, joka tahallaan tai huolimattomuudesta:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_36__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>laiminlyö antaa markkinavalvontaviranomaiselle tämän pyynnöstä kyberkestävyysasetuksen 23 artiklassa tarkoitetut tiedot, kun talouden toimija on tietojen antamiseen velvollinen;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_36__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>kiinnittää tai liittää tuotteeseen CE-merkinnän muuten kuin kyberkestävyysasetuksen 30 artiklassa säädetyllä tavalla;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_36__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>laiminlyö antaa markkinavalvontaviranomaiselle tämän pyynnöstä pääsyn kyberkestävyysasetuksen 53 artiklassa tarkoitettuun tietoon, kun tieto on tarpeen sen arvioimiseksi, täyttävätkö digitaalisia elementtejä sisältävä tuote ja valmistajan käyttöön ottamat prosessit kyberkestävyysasetuksen liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_36__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>antaa ilmoitetulle laitokselle tai markkinavalvontaviranomaiselle väärän, puutteellisen tai harhaanjohtavan tiedon, joka on merkityksellinen tässä laissa tai kyberkestävyysasetuksessa tarkoitetun tehtävän hoitamisen kannalta.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_37">
                        <num>37 §</num>
                        <heading>Kyberturvallisuussertifiointia koskeva seuraamusmaksu</heading>
                        <subsection eId="chp_6__sec_37__subsec_1">
                            <intro eId="chp_6__sec_37__subsec_1__intro">
                                <p>Hallinnollinen seuraamusmaksu voidaan määrätä sille, joka tahallaan tai huolimattomuudesta: </p>
                            </intro>
                            <paragraph eId="chp_6__sec_37__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>antaa kyberturvallisuusasetuksen 53 artiklan 2 kohdassa tarkoitetun EU-vaatimustenmukaisuusilmoituksen, vaikka kyseiset tieto- ja viestintätekniikan tuotteet, palvelut tai prosessit taikka tietoturvapalvelut eivät ole kyseisen eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_37__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>laiminlyö asettaa kyberturvallisuussertifioinnin viranomaisen saataville kyberturvallisuusasetuksen 53 artiklan 3 kohdassa tarkoitetut tiedot tai laiminlyö toimittaa EU-vaatimustenmukaisuusilmoituksen jäljennöksen kyberturvallisuussertifioinnin viranomaiselle ja Euroopan unionin kyberturvallisuusvirastolle;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_37__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>rikkoo kyberturvallisuusasetuksen 54 artiklan 1 kohdan k alakohdassa tarkoitettuja eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän ehtoja; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_37__subsec_1__para_4">
                                <num>4)</num>
                                <content>
                                    <p>laiminlyö saattaa julkisesti saataville kyberturvallisuusasetuksen 55 artiklan 1 kohdassa tarkoitetut tiedot mainitun artiklan 2 kohdassa säädetyllä tavalla;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_37__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>antaa kyberturvallisuussertifioinnin viranomaiselle tai kyberturvallisuussertifiointia varten ilmoitetulle vaatimustenmukaisuuden arviointilaitokselle väärän, puutteellisen tai harhaanjohtavan tiedon, joka on merkityksellinen tässä laissa tai kyberturvallisuusasetuksessa tarkoitetun tehtävän hoitamisen kannalta;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_37__subsec_1__para_6">
                                <num>6)</num>
                                <content>
                                    <p>laiminlyö kyberturvallisuusasetuksen 56 artiklan 8 kohdassa tarkoitetun ilmoituksen tekemisen; </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_37__subsec_1__para_7">
                                <num>7)</num>
                                <content>
                                    <p>käyttää eurooppalaista kyberturvallisuussertifikaattia, joka on peruutettu tai jonka voimassaoloaika on päättynyt. </p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_38">
                        <num>38 §</num>
                        <heading>Seuraamusmaksun määrä</heading>
                        <subsection eId="chp_6__sec_38__subsec_1">
                            <content>
                                <p>Edellä 31 §:n 1 momentin nojalla valmistajalle määrättävän seuraamusmaksun enimmäismäärä on 15 000 000 euroa tai kaksi ja puoli prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_38__subsec_2">
                            <content>
                                <p>Edellä 31 §:n 2 momentin nojalla, 32–35 §:n nojalla tai 36 §:n 1–3 kohdan nojalla määrättävän seuraamusmaksun enimmäismäärä on 10 000 000 euroa tai kaksi prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_38__subsec_3">
                            <content>
                                <p>Edellä 36 §:n 4 kohdan nojalla määrättävän seuraamusmaksun enimmäismäärä on 5 000 000 euroa tai yksi prosentti yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_38__subsec_4">
                            <content>
                                <p>Edellä 37 §:n nojalla määrättävän seuraamusmaksun enimmäismäärä on 100 000 euroa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_38__subsec_5">
                            <content>
                                <p>Seuraamusmaksun määrä perustuu kokonaisarviointiin. Seuraamusmaksun määrää arvioitaessa on otettava huomioon menettelyn luonne, vakavuus ja kesto sekä sen toistuvuus, rikkomuksen aiheuttama vahinko ja toimijan koko sekä sen mahdolliset aiemmat tämän lain alaan kuuluvat rikkomukset. Kyberkestävyysasetuksen rikkomisen perusteella seuraamusmaksua määrättäessä on lisäksi otettava huomioon, mitä kyberkestävyysasetuksen 64 artiklan 5 kohdassa säädetään. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_39">
                        <num>39 §</num>
                        <heading>Seuraamusmaksun määrääminen</heading>
                        <subsection eId="chp_6__sec_39__subsec_1">
                            <content>
                                <p>Edellä 31–34 ja 36 §:ssä tarkoitetun hallinnollisen seuraamusmaksun määrää markkinavalvontaviranomainen. Milloin markkinavalvontaviranomaisena toimii eräiden tekoälyjärjestelmien valvonnasta annetun lain 3 §:ssä tarkoitettu markkinavalvontaviranomainen, hallinnollinen seuraamusmaksu määrätään mainitun lain 13 §:ssä säädetyssä järjestyksessä. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_39__subsec_2">
                            <content>
                                <p>Edellä 35 §:ssä tarkoitetun hallinnollisen seuraamusmaksun määrää ilmoittava viranomainen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_39__subsec_3">
                            <content>
                                <p>Edellä 37 §:ssä tarkoitetun hallinnollisen seuraamusmaksun määrää kyberturvallisuussertifioinnin viranomainen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_39__subsec_4">
                            <content>
                                <p>Seuraamusmaksun määräävällä viranomaisella on oikeus salassapitosäännösten estämättä saada maksutta talouden toimijalta tai muulta viranomaiselta tiedot, jotka ovat välttämättömiä seuraamusmaksun määräämiseksi tai sen määrän arvioimiseksi.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_40">
                        <num>40 §</num>
                        <heading>Seuraamusmaksun määräämättä jättäminen</heading>
                        <subsection eId="chp_6__sec_40__subsec_1">
                            <intro eId="chp_6__sec_40__subsec_1__intro">
                                <p>Seuraamusmaksu jätetään määräämättä, jos:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_40__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>toimija on oma-aloitteisesti ryhtynyt riittäviin toimenpiteisiin rikkomuksen tai laiminlyönnin korjaamiseksi välittömästi sen havaitsemisen jälkeen ja ilmoittanut siitä viivytyksettä valvovalle viranomaiselle sekä toiminut yhteistyössä valvovan viranomaisen kanssa eikä rikkomus tai laiminlyönti ole vakava tai toistuva;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_40__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>rikkomusta tai laiminlyöntiä on pidettävä vähäisenä; tai</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_40__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>seuraamusmaksun määräämistä on pidettävä ilmeisen kohtuuttomana muutoin kuin 1 tai 2 kohdassa tarkoitetulla perusteella.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_6__sec_40__subsec_2">
                            <content>
                                <p>Seuraamusmaksua ei saa määrätä, jos on kulunut yli viisi vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_40__subsec_3">
                            <content>
                                <p>Seuraamusmaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. Kyberturvallisuussertifiointia koskevasta rikkomuksesta ei saa määrätä 37 §:ssä tarkoitettua seuraamusmaksua sille, jolle on määrätty samasta teosta 31–36 §:ssä tarkoitettu seuraamusmaksu.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_40__subsec_4">
                            <content>
                                <p>Seuraamusmaksua ei saa määrätä valtion viranomaisille, valtion liikelaitoksille, hyvinvointialueille tai -yhtymille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelisluterilaiselle kirkolle tai Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille tai muille elimille.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_40__subsec_5">
                            <content>
                                <p>Valmistajalle, joka on mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetussa komission suosituksessa 2003/361/EY tarkoitettu mikro- tai pienyritys, ei saa määrätä seuraamusmaksua sillä perusteella, että yritys on ylittänyt kyberkestävyysasetuksen 14 artiklan 2 kohdan a alakohdassa tai mainitun artiklan 4 kohdan a alakohdassa tarkoitetun määräajan ennakkoilmoitukselle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_40__subsec_6">
                            <content>
                                <p>Seuraamusmaksua ei saa määrätä avoimen lähdekoodin ohjelmistovastaavalle. </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_41">
                        <num>41 §</num>
                        <heading>Seuraamusmaksun täytäntöönpano</heading>
                        <subsection eId="chp_6__sec_41__subsec_1">
                            <content>
                                <p>
                                    Tämän lain nojalla maksettavaksi määrätyn seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa 
                                    <ref href="/akn/fi/act/statute/2002/672">(672/2002)</ref>.
                                </p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_7">
                    <num>7 luku</num>
                    <heading>Erinäiset säännökset</heading>
                    <section eId="chp_7__sec_42">
                        <num>42 §</num>
                        <heading>Oikaisuvaatimus</heading>
                        <subsection eId="chp_7__sec_42__subsec_1">
                            <content>
                                <p>Ilmoitetun laitoksen antamaan päätökseen, kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen antamaan päätökseen sekä päätökseen, joka koskee viranomaisen suoritteesta perittävää maksua, saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_7__sec_43">
                        <num>43 §</num>
                        <heading>Muutoksenhaku</heading>
                        <subsection eId="chp_7__sec_43__subsec_1">
                            <content>
                                <p>
                                    Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa 
                                    <ref href="/akn/fi/act/statute/2019/808">(808/2019)</ref>.
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_43__subsec_2">
                            <content>
                                <p>Markkinavalvontaviranomaisen muu kuin seuraamusmaksun määräämistä koskeva päätös voidaan panna täytäntöön muutoksenhausta huolimatta. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_43__subsec_3">
                            <content>
                                <p>Ilmoittava viranomainen voi määrätä, että ilmoitetun laitoksen nimeämistä taikka nimeämisen rajaamista tai peruuttamista koskevaa päätöstä on noudatettava muutoksenhausta huolimatta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_43__subsec_4">
                            <content>
                                <p>Kyberturvallisuussertifioinnin viranomainen voi muussa kuin seuraamusmaksun määräämistä koskevassa päätöksessä määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_43__subsec_5">
                            <content>
                                <p>Oikaisuvaatimuksesta annetussa ilmoitetun laitoksen tai kyberturvallisuussertifiointia varten ilmoitetun vaatimustenmukaisuuden arviointilaitoksen päätöksessä, joka koskee digitaalisen elementin sisältävän tuotteen valmistajalta tai eurooppalaisen kyberturvallisuussertifikaatin haltijalta vaadittavia korjaavia toimenpiteitä taikka digitaalisen elementin sisältävälle tuotteelle annetun vaatimustenmukaisuustodistuksen tai eurooppalaisen kyberturvallisuussertifikaatin peruuttamista, voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_43__subsec_6">
                            <content>
                                <p>
                                    Muutoksenhaussa uhkasakon asettamista ja maksettavaksi tuomitsemista sekä teettämis- tai keskeyttämisuhan asettamista ja täytäntöönpantavaksi määräämistä koskevaan päätökseen sovelletaan kuitenkin, mitä uhkasakkolaissa 
                                    <ref href="/akn/fi/act/statute/1990/1113">(1113/1990)</ref>
                                     säädetään.
                                </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_7__sec_44">
                        <num> 44 §</num>
                        <heading>Maksut</heading>
                        <subsection eId="chp_7__sec_44__subsec_1">
                            <content>
                                <p>
                                    Viranomaisten suoritteiden maksullisuudesta ja suoritteista perittävien maksujen suuruuden yleisistä perusteista sekä maksujen muista perusteista säädetään valtion maksuperustelaissa 
                                    <ref href="/akn/fi/act/statute/1992/150">(150/1992)</ref>.
                                </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_7__sec_45">
                        <num>45 §</num>
                        <heading>Voimaantulo</heading>
                        <subsection eId="chp_7__sec_45__subsec_1">
                            <content>
                                <p>Tämä laki tulee voimaan 1 päivänä kesäkuuta 2026.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_45__subsec_2">
                            <content>
                                <p>Tämän lain 3 lukua ja 35 §:ää sovelletaan kuitenkin vasta 11 päivästä kesäkuuta 2026.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_45__subsec_3">
                            <content>
                                <p>Tämän lain 7–9 §:ää ja 31 §:n 1 momentin 23–26 kohtaa sovelletaan kuitenkin vasta 11 päivästä syyskuuta 2026.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_45__subsec_4">
                            <content>
                                <p>Tämän lain 4–6 §:ää, 31 §:n 1 momentin 1–22 kohtaa, 32–34 §:ää ja 36 §:ää sovelletaan kuitenkin vasta 11 päivästä joulukuuta 2027. </p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
            </hcontainer>
            <hcontainer finlex:outline="Esityöt ja allekirjoitukset" name="conclusions">
                <hcontainer finlex:outline="Esityöt" name="preliminaryWork">
                    <content>
                        <p>
                            <ref href="/akn/fi/doc/government-proposal/2025/179">HE 179/2025</ref>
                        </p>
                        <p>LiVM 6/2026</p>
                        <p>EV 55/2026</p>
                        <p>Euroopan parlamentin ja neuvoston asetus (EU) 2024/2487, EUVL L 2024/2847, 20.11.2024, s. 1</p>
                        <p>Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, EUVL L 151, 7.6.2019, s. 15</p>
                    </content>
                </hcontainer>
                <hcontainer finlex:outline="Allekirjoitukset" name="signatures">
                    <content>
                        <p>Helsingissä 29.5.2026</p>
                        <p>
                            <signature>
                                <role refersTo="">Tasavallan Presidentti</role>
                                <person refersTo="">Alexander Stubb</person>
                            </signature>
                            <signature>
                                <role refersTo="">Liikenne- ja viestintäministeri</role>
                                <person refersTo="">Lulu Ranne</person>
                            </signature>
                        </p>
                    </content>
                </hcontainer>
            </hcontainer>
        </body>
    </act>
</akomaNtoso>
