På sidan har vi sammanställt de författningar om cybersäkerheten inom sjöfarten som gäller sjöfartsaktörer.
Cybersäkerhetslagen
NIS2-direktivet och den nationella cybersäkerhetslagen, som trädde i kraft den 8 april 2025, ålägger aktörer inom kritiska sektorer att hantera cybersäkerhetsrisker, rapportera betydande informationssäkerhetsincidenter samt anmäla sig till en aktörsförteckning som förs av den tillsynsmyndighet som ansvarar för övervakningen.
Sjöfartssektorn omfattas av cybersäkerhetslagens verksamhetsområde för vattenburen trafik och innefattar följande aktörer:
- Transportföretag som bedriver persontrafik och godstrafik på inre vattenvägar, till havs och längs kuster, enligt definitionerna för sjötransport i bilaga I till Europaparlamentets och rådets förordning (EG) nr 725/2004 om förbättrat sjöfartsskydd på fartyg och i hamnanläggningar, exklusive de enskilda fartyg som drivs av dessa företag
- Hamninnehavare som avses i 2 § 2 punkten i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004) och aktörer som sköter anläggningar och utrustning i hamnar
- VTS-tjänsteleverantörer som avses i 2 § 1 mom. 5 punkten i lagen om fartygstrafikservice (623/2005)
Dessutom omfattas även tillverkare av fartyg, båtar och andra flytande konstruktioner enligt bilaga II till cybersäkerhetslagen.
NIS2-aktörerna ska anmäla sig till Traficoms aktörsregister inom en månad från lagens ikraftträdande, det vill säga senast den 8 maj 2025. Anmälningsskyldigheten för betydande incidenter börjar omedelbart när lagen träder i kraft.