Lagförslag 26/2024-2025 (parallelltext)

Tillhör ärendet: Tillsyn, efterlevnadskontroll och sanktioner inom cybersäkerhet och motståndskraft
Lagtingsår: 2024-2025
Typ av dokument: Parallelltexter

Ladda ner Word-dokument

regeringen_svartvit

5x5px

 

PARALLELLTEXTER

 

Datum

 

 

2025-08-28

 

 

 

 

 

 

 

 

 

 

Parallelltexter till landskapsregeringens lagförslag

Tillsyn, efterlevnadskontroll och sanktioner inom cybersäkerhet och motståndskraft

·       Landskapsregeringens lagförslag nr 26/2024-2025

 

INNEHÅLL

L A N D S K A P S L A G om ändring av landskapslagen om cybersäkerhet och motståndskraft 1

 

 

L A N D S K A P S L A G
om ändring av landskapslagen om cybersäkerhet och motståndskraft

 

 

     I enlighet med lagtingets beslut

     ändras 39 § 3 mom. och 47 § landskapslagen (2025:57) om cybersäkerhet och motståndskraft, samt

     fogas till lagen nya 36 § 1 mom. 2 punkten, 38 § 1 mom. 2 punkten, 38 § 2 mom. 8 och 9 punkterna, 40 § 1 och 2 mom., 44a, 45, och 46 §§ som följer:

 

Gällande lydelse

 

Föreslagen lydelse

 

36 §

Tillsyn och efterlevnadskontroll av kritiska verksamhetsutövare

     Landskapsregeringen kan vid tillsyn av en kritisk verksamhetsutövare vidta följande tillsynsåtgärder:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     Ny 2 punkt i stället för den vilken Republikens president förordnade att förfalla.

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

 

 

36 §

Tillsyn och efterlevnadskontroll av kritiska verksamhetsutövare

     Landskapsregeringen kan vid tillsyn av en kritisk verksamhetsutövare vidta följande tillsynsåtgärder:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     2) utföra eller ålägga verksamhetsutövaren att låta utföra säkerhetsrevisioner, och

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

 

38 §

Tillsyn och efterlevnadskontroll av väsentliga verksamhetsutövare

     Landskapsregeringen kan vid tillsyn av en väsentlig verksamhetsutövare vidta följande tillsynsåtgärder:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     2) Ny 2 punkt i stället för den vilken Republikens president förordnade att förfalla.

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     Landskapsregeringen kan vid konstaterade brister eller överträdelser vid efterlevnadskontroll av en väsentlig verksamhetsutövare vidta följande efterlevnadskontrollåtgärder:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     Ny 8 punkt i stället för den vilken Republikens president förordnade att förfalla.

 

 

 

 

     Ny 9 punkt i stället för den vilken Republikens president förordnade att förfalla.

 

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

 

 

38 §

Tillsyn och efterlevnadskontroll av väsentliga verksamhetsutövare

     Landskapsregeringen kan vid tillsyn av en väsentlig verksamhetsutövare vidta följande tillsynsåtgärder:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     2) utföra eller ålägga verksamhetsutövaren att låta utföra regelbundna och riktade säkerhetsrevisioner,

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     Landskapsregeringen kan vid konstaterade brister eller överträdelser vid efterlevnadskontroll av en väsentlig verksamhetsutövare vidta följande efterlevnadskontrollåtgärder:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     8) ålägga verksamhetsutövaren att låta utse en övervakningsansvarig, med väl definierade uppgifter och under en fastställd tidsperiod, i syfte att övervaka verksamhetsutövarens efterlevnad av 20 och 21 §§, och

     9) göra en framställning till påföljdsavgiftsnämnden om att verksamhetsutövaren ska påföras en administrativ påföljdssavgift.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

 

39 §

Tillsyn och efterlevnadskontroll av viktiga verksamhetsutövare

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     Landskapsregeringen kan vid konstaterade brister eller överträdelser vid efterlevnadskontroll av en viktig verksamhetsutövare vidta motsvarande efterlevnadskontrollåtgärder enligt 38 § 2 mom., med undantag för utseende av en övervakningsansvarig enligt 8 punkten.

 

 

 

39 §

Tillsyn och efterlevnadskontroll av viktiga verksamhetsutövare

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     Landskapsregeringen kan vid konstaterade brister eller överträdelser vid efterlevnadskontroll av en viktig verksamhetsutövare vidta motsvarande efterlevnadskontrollåtgärder enligt 38 § 2 mom., med undantag för åläggande av en verksamhetsutövare att låta utse en övervakningsansvarig enligt 8 punkten.

 

 

40 §

Rätt att få information

     Nytt 1 mom. i stället för det vilket Republikens president förordnade att förfalla.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

     Nytt 2 mom. i stället för det vilket Republikens president förordnade att förfalla.

 

 

 

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

 

 

40 §

Rätt att få information

     Landskapsregeringen har trots sekretessbestämmelser och andra begränsningar vilka gäller utlämnande av information följande rätt att få information:

     1) Rätt att av en kritisk verksamhetsutövare få information om riskbedömningar, åtgärder och plan för motståndskraft, incidenter och till denna direkt anknuten information vilken är nödvändig för tillsynen över fullgörandet av verksamhetsutövarens skyldigheter avseende åtgärder för motståndskraft samt över anmälan och rapporteringen av incidenter,

     2) rätt att av en väsentlig eller viktig verksamhetsutövare få information om åtgärder för cybersäkerhet, betydande cybersäkerhetsincidenter och till denna direkt anknuten information vilken är nödvändig för tillsynen över fullgörandet av verksamhetsutövarens skyldigheter avseende åtgärder för cybersäkerhet samt över anmälan och rapporteringen av cybersäkerhetsincidenter, och

     3) rätt att av en väsentlig eller viktig verksamhetsutövareförmedlingsuppgifter, lokaliseringsuppgifter och information om meddelanden vilka innehåller ett skadligt datorprogram eller ett skadligt kommando, om det är nödvändigt för tillsynen över fullgörandet av verksamhetsutövarens skyldigheter avseende åtgärder för cybersäkerhet eller över anmälan och rapporteringen av betydande incidenter. Den information som landskapsregeringen har fått med stöd av denna punkt är sekretessbelagd.

Landskapsregeringens rätt till information ska dock inte begränsa skyddet för vars och ens privatliv, brev- och telefonhemligheten samt hemligheten i fråga om andra förtroliga meddelanden mer än nödvändigt.

     Landskapsregeringen ska i begäran om information ange syftet med begäran och precisera den begärda informationen. Informationen ska lämnas ut utan dröjsmål, i den form vilken landskapsregeringen har begärt och avgiftsfritt.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

 

 

 

     Ny paragraf

 

 

 

44a §

Påföljdsavgiftsnämnd

     Landskapsregeringen ska utse en till denna ansluten påföljdsavgiftsnämnd, vilken på framställan ifrån landskapsregeringen kan påföra enskilda verksamhetsutövare administrativa påföljdsavgifter. Landskapsregeringen bestämmer i samband med påföljdsavgiftsnämndens tillsättande om ledamöternas ersättning.

     Påföljdsavgiftsnämnden ska bestå av en ordförande, en vice ordförande och minst fyra övriga ledamöter och personliga ersättare för dem. Nämndens ledamöter och ersättare ska antingen vara förtrogna med hantering av risker inom cybersäkerhet eller motståndskraft och cybersäkerhets- eller motståndskraftsdirektivet samt de skyldigheter vilka ankommer på verksamhetsutövare inom respektive sakområde enligt denna lag och författningar utfärdade med stöd av denna. Påföljdsavgiftsnämndens ordförande och vice ordförande ska därutöver ha sådan tillräcklig juridisk sakkunskap vilken uppdraget förutsätter. Påföljds-avgiftsnämndens ledamöter utses för en period om 5 år i taget. Nämndens ledamöter ska agera oberoende och opartiskt i sitt uppdrag.

     Påföljdsavgiftsnämnden ska fatta sina beslut efter föredragning. Föredragande är den tjänsteman vid landskapsregeringen vilken handlägger tillsyns-ärenden inom aktuellt sakområde. Påföljdsavgiftsnämnden är beslutsför när ordföranden eller vice ordföranden och minst två andra ledamöter eller ersättare är närvarande, förutsatt att de-samma i enlighet med 2 mom. är förtrogna med det sakområde vilket ärendet gäller. Det utslag vilket flertalet har understött ska gälla som påföljdsavgiftsnämndens beslut. Vid lika röstetal gäller det utslag vilket är lindrigare för den vilken påföljden riktas emot.

     Påföljdsavgiftsnämnden har trots sekretessbestämmelser rätt att avgiftsfritt få den i 40 § avsedda information samt övrig information som är nödvändig för påförande av en administrativ påföljdsavgift eller för beräkning av dess belopp.

 

 

 

 

     Ny paragraf i stället för den vilken Republikens president förordnade att förfalla.

 

 

 

45 §

Administrativ påföljdsavgift

     Påföljdsavgiftsnämnden kan genom beslut ålägga en enskild verksamhetsutövare, vilken uppsåtligen eller av grov oaktsamhet bryter mot dess skyldigheter enligt denna lag, att erlägga en administrativ påföljdssavgift. Den administrativa påföljdsavgiften ska tillfalla landskapet.

     Påföljdsavgiftsnämnden ska i varje enskilt fall, när den fattar beslut om huruvida en väsentlig eller viktig verksamhetsutövare ska påföras en administrativ påföljdsavgift och vid bedömningen av avgiftsbeloppets storlek, ta vederbörlig hänsyn till samma omständigheter enligt 37 § 4 mom. som vid vidtagande av övriga efterlevnadskontrollåtgärder.

     En administrativ påföljdsavgift vilken påförs en kritisk verksamhetsut-övare ska som minst uppgå till 2 000 och som högst till 20 000 euro.

     En administrativ påföljdsavgift vilken påförs en väsentlig verksamhetsut-övare ska som högst uppgå till 10 000 000 euro eller 2 % av den totala globala årsomsättningen, under det föregående räkenskapsåret, för det företag vilket den väsentliga verksamhetsutövaren tillhör, beroende på vilken siffra som är högst.

     En administrativ påföljdsavgift vilken påförs en viktig verksamhetsutövare ska som högst uppgå till 7 000 000 euro eller 1,4 % av den totala globala årsomsättningen, under det föregående räkenskapsåret, för det företag vilket den viktiga verksamhetsutövaren tillhör, beroende på vilken siffra som är högst.

     Påföljdsavgiftsnämnden ska, om påföljdskollegiet har beslutat att påföra en verksamhetsutövare en administrativ sanktionsavgift enligt den allmänna dataskyddsförordningen, inte påföra en väsentlig eller viktig verksamhetsut-övare en administrativ påföljdssavgift för en överträdelse enligt 41 § och vilken följer av samma gärning.

 

 

 

 

     Ny paragraf i stället för den vilken Republikens president förordnade att förfalla.

 

 

 

46 §

Verkställighet av påföljdsavgift

     Bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (FFS 672/2002). En påföljdsavgift preskriberas när fem år har förflutit från den dag då det lagakraftvunna beslutet om avgiften meddelades.

 

 

47 §

Ändringssökande

     En berörd verksamhetsutövare vilken inte är nöjd med ett av landskapsregeringens beslut får söka ändring genom besvär hos Högsta förvaltningsdomstolen, på det sätt som föreskrivs i lagen om rättegång i förvaltnings-ärenden (FFS 808/2019).

     Nytt moment

 

 

 

 

     Nytt moment

 

 

 

47 §

Ändringssökande

     En berörd verksamhetsutövare vilken inte är nöjd med ett av landskapsregeringens beslut får söka ändring genom besvär hos högsta förvaltningsdomstolen.

 

     En berörd verksamhetsutövare vilken inte är nöjd med ett av påföljdsavgiftsnämndens beslut får söka ändring genom besvär hos Ålands förvaltningsdomstol.

     Ändring söks på det sätt som föreskrivs i lagen om rättegång i förvaltningsärenden (FFS 808/2019).

 

 

 

 

__________________

 

     Denna lag träder i kraft den

__________________

 

 

 

__________________