Cybersäkerhetsdirektivet (NIS2) inom livsmedelsindustrin

I Europaparlamentets och rådets direktiv (EU) 2022/2555 (NIS2-direktivet) fastställs åtgärder som syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen i syfte att förbättra den inre marknadens funktion.

Livsmedelsverket är tillsynsmyndighet för NIS2-direktivet och den nationella lagstiftningen om genomförandet av direktivet inom livsmedelsindustrin.

NIS2-direktivets tillämpningsområde

NIS2-direktivet ska tillämpas på offentliga och privata aktörer av den aktörstyp som avses i bilagorna I och II till direktivet som uppfyller villkoren för medelstora företag enligt artikel 2 i bilagan till rekommendation 2003/361/EG eller överskrider de tröskelvärden för definitionen av medelstora företag som anges i punkt 1 i den artikeln och som tillhandahåller sina tjänster eller bedriver sin verksamhet inom unionen.

Aktören uppfyller eller överträffar villkoren i kommissionens rekommendation 2003/361/EG för medelstora företag:

  • Medelstora företag är företag som sysselsätter minst 50 personer eller vars årliga omsättning och balansomslutning överstiger 10 miljoner euro, dvs. företaget är en medelstor aktör.
  • Kriterierna för ett medelstort företag överskrids när företaget sysselsätter minst 250 personer eller har en årsomsättning på över 50 miljoner euro och en balansomslutning på över 43 miljoner euro, dvs. företaget är en stor aktör.

NIS2-direktivet tillämpas på aktörer av den aktörstyp som avses i bilaga I eller II, oavsett deras storlek, även när

  • Aktören är den enda i medlemsstaten som tillhandahåller en tjänst som är väsentlig för att upprätthålla kritiska funktioner i samhället eller ekonomin.
  • En störning i den tjänst som aktören tillhandahåller kan ha en betydande inverkan på allmän ordning, allmän säkerhet eller folkhälsa.
  • En störning i den tjänst som tillhandahålls av aktören kan utgöra en betydande systemrisk, särskilt inom sektorer där en sådan störning kan få gränsöverskridande konsekvenser.
  • Aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för den berörda sektorn eller typen av tjänst i fråga eller för andra ömsesidigt beroende sektorer i en medlemsstat.
  • Aktören är en kritisk operatör enligt CER-direktivet.

De övriga kritiska sektorerna i bilaga II omfattar produktion, bearbetning och distribution av livsmedel och som aktörstyp de livsmedelsföretag enligt definitionen i artikel 3.2 i Europaparlamentets och rådets förordning (EG) nr 178/2002 som bedriver partihandel, industriell produktion och bearbetning.​

När ett livsmedelsföretag bedriver partihandel, industriell produktion eller bearbetning och uppfyller eller överträffar storlekskriterierna för ett medelstort företag eller uppfyller kriterierna för aktörer som är oberoende av storlek, omfattas företagaren av direktivets tillämpningsområde. 

Enligt NIS2-direktivet är aktörer antingen väsentliga eller viktiga, beroende på bransch, kritikalitet och storlek. Livsmedelsföretagare är viktiga aktörer enligt storleksklassificeringen, medan storleksoberoende aktörer och kritiska aktörer enligt CER-direktivet är väsentliga aktörer. I tabellen som utarbetats av Cybersäkerhetscentret vid Traficom (på finska) (pdf) beskrivs de organisationer som omfattas av direktivet.
  • En aktör som omfattas av NIS2-direktivet konstaterar att den omfattas av tillämpningsområdet och registrerar sig på eget initiativ i Livsmedelsverkets förteckning över aktörer inom de tidsfrister som den kommande cybersäkerhetslagen fastställer. Registreringsanvisningarna publiceras efter att cybersäkerhetslagen har trätt i kraft.
  • Aktören genomför riskhanteringsskyldigheterna enligt NIS2-direktivet.
  • Aktören ska utan dröjsmål underrätta tillsynsmyndigheten om varje betydande incident.

Skyldigheterna enligt direktivet gäller både viktiga och väsentliga aktörer, men tillsynen riktas på aktörer på olika sätt. De väsentliga aktörerna omfattas av förhandstillsynen.

Kontrollera om aktörens kriterier uppfylls (företagets bransch och storlek).

  • Tillämpningsområdet omfattar till exempel inte; primärproduktion, detaljhandel, lagring eller transport.
  • Aktörskriterierna gäller hela företagets affärsverksamhet, inte bara livsmedelsverksamhetens andel.

Anmäl dig till Livsmedelsverkets förteckning över aktörer senast 8.5.2025.

  • Anmäl dig via e-tjänsten ilppa. Anvisningar och en länk till den elektroniska anmälningstjänsten finns här Ilppa: Anmälningar för verksamhetsutövaren.
  • I e-tjänsten kan du:
    • Anmäla dina aktörsuppgifter i enlighet med 41 § i cybersäkerhetslagen.
    • Hantera dina rapporterade uppgifter (göra ändringsanmälningar).
    • Granska dina registrerade uppgifter.
  • Om det är inte möjligt att anmäla dig via e-tjänsten ilppa, kan du också anmäla dig med blanketten och säker e-post på följande sätt:
    • Fyll i formuläret och spara det på din dator.
    • Skicka den ifyllda blanketten till Livsmedelsverket med säker e-post.
    • Livsmedelsverket tar emot blanketten och skickar ett bekräftelsemeddelande till aktören när anmälan har behandlats.

I anmälan samlas uppgifter om aktören och verksamheten in i enlighet med 41 § i cybersäkerhetslagen:

  • Aktörens namn
  • Adressuppgifter, e-postadress, telefonnummer och andra aktuella kontaktuppgifter
  • IP-adresser
  • Relevanta sektor och delsektor som avses i bilaga II till NIS2-direktivet
  • Information om huruvida aktören är en väsentlig aktör
  • En förteckning över de medlemsstater i Europeiska unionen där företaget tillhandahåller tjänster som omfattas av NIS2-direktivet och
  • Uppgift om deltagande i frivilliga arrangemang för informationsutbyte om cybersäkerhet enligt 23 § i cybersäkerhetslagen.

Aktörerna ska underrätta tillsynsmyndigheten om ändringar i uppgifterna inom två veckor från det att ändringen gjordes.

Bestämmelser om utlämnande av IP-adresser till tillsynsmyndigheten finns i NIS2-direktivet, cybersäkerhetslagen, informationshanteringslagen och lagen om elektroniska kommunikationstjänster (artiklarna 3 och 27 i NIS2-direktivet, 41 § i cybersäkerhetslagen, 18 a § i informationshanteringslagen och 165 § i lagen om elektroniska kommunikationstjänster).

Tillhandahållandet av IP-adresser gör det möjligt att proaktivt upptäcka sårbarheter, cyberhot och osäkert konfigurerade inställningar för kommunikationsnätverk och informationssystem från organisationer som berörs av NIS2-direktivet. Dessa resultat kommuniceras till organisationen, vilket förbättrar de berörda parternas förmåga att skydda sig mot sårbarhetsexploateringar och cyberhot. I Finland är det Transport- och kommunikationsverkets s.k. CSIRT-enhet som ansvarar för åtgärderna. CSIRT-enheten har rätt att få information om förtäckningen över aktörer av tillsynsmyndigheten (41 § i cybersäkerhetslagen).

Enligt 11 § i cybersäkerhetslagen ska aktören utan dröjsmål underrätta tillsynsmyndigheten om varje betydande incident.

Gör anmälan om betydande incident i Traficoms applikation för incidentrapportering.

Med en betydande incident avses en incident som

  • har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller betydande ekonomiska förluster för den berörda aktören, samt
  • har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada.

Den första anmälan ska göras inom 24 timmar från det att den betydande incidenten upptäcktes och den uppföljande anmälan inom 72 timmar från det att den betydande incidenten upptäcktes.

I den första anmälan ska uppges

  • att en betydande incident har upptäckts,
  • om den betydande incidenten misstänks ha orsakats av ett brott eller av andra olagliga eller avsiktligt skadliga handlingar, 
  • möjligheten och sannolikheten för gränsöverskridande verkningar och uppgifter om förväntad utveckling vad gäller gränsöverskridande verkningar.

I den uppföljande anmälan ska uppges

  • en bedömning av den betydande incidentens art, allvarlighetsgrad och konsekvenser, 
  • i förekommande fall, tekniska angreppsindikatorer,
  • eventuella uppdateringar av uppgifterna i den första anmälan. 

Aktören ska lämna tillsynsmyndigheten en slutrapport om en betydande incident inom en månad från det att den uppföljande anmälan lämnades in eller, om det är fråga om en långvarig incident, inom en månad från det att hanteringen av den avslutades.​ 

Slutrapporten ska innehålla

  • en detaljerad beskrivning av incidenten, dess allvarlighetsgrad och konsekvenser,
  • en redogörelse för den typ av hot eller grundorsak som sannolikt har utlöst incidenten,
  • en redogörelse för tillämpade och pågående åtgärder för att begränsa konsekvenserna av incidenten, och 
  • en redogörelse för eventuella gränsöverskridande konsekvenser.

Dessutom ska aktören vid behov underrätta en betydande incident och ett betydande cyberhot till andra parter än myndigheterna, till exempel mottagarna av företagets tjänster.

Kom och diskutera cybersäkerhetslagen inom livsmedelssektorn

Livsmedelsverket anordnar en diskussion om ämnet för aktörer inom livsmedelssektorn via Teams den 8 maj 2025 kl. 9.00–10.30. Anmäl dig till evenemanget senast 6.5.2025. Du kommer att få en länk för att delta via e-post dagen före evenemanget.

Anmäl dig till evenemanget

Mer information

NIS2.kyberturvallisuus@ruokavirasto.fi

 

Sidan har senast uppdaterats 10.4.2025