Inom vägtrafiksektorn finns det cybersäkerhetskrav bland annat för leverantörer av vägtrafikstyrnings- och vägtrafikledningstjänster och operatörer av intelligenta transportsystem.
Vad avses med cybersäkerhet?
Cybersäkerhet avser ett måltillstånd där man kan lita på cybermiljön och dess verksamhet säkerställs. Cybersäkerhetsrisker är av dynamisk karaktär. Detta innebär att man försöker utnyttja sårbarheter på många olika sätt och att de snabbt kan äventyra cybersäkerheten. För att skydda sig måste aktörerna ha aktuell vetskap om direkta och indirekta cybersäkerhetshot. Den ständigt föränderliga hotbilden uppmuntrar organisationer att tackla cybersäkerheten på ett proaktivt sätt. Cybersäkerhet är ett ramvillkor för utvecklingen av transportsystemet och ska främjas tillsammans med den övriga utvecklingen av transportsystemet.
Vilka cybersäkerhetskrav har ställts på leverantörer av vägtrafikstyrnings- och kontrolltjänster och operatörer av intelligenta transportsystem?
Direktiv (EU) 2022/2555 (Extern länk) från Europaparlamentet och rådet om åtgärder för att säkerställa en hög gemensam nivå av cybersäkerhet i hela unionen (NIS2-direktivet) omfattar ett brett spektrum av samhällskritiska sektorer och ställer samma skyldigheter på de aktörer som omfattas av tillämpningsområdet i hela unionen. Syftet med direktivet är att stärka EU:s cybersäkerhet och säkerställa kontinuiteten i kritiska tjänster vid undantagssituationer. Inom transportsektorn gäller NIS2-direktivets krav bland annat leverantörer av vägtrafikstyrnings- och kontrolltjänster samt operatörer av intelligenta transportsystem.
NIS2-direktivets mål har implementerats i vår nationella lagstiftning genom Cybersäkerhetslagen (124/2025) (Extern länk), som trädde i kraft den 8.4.2025. Kapitel 2 i Cybersäkerhetslagen innehåller de centrala cybersäkerhetskrav som ställs på NIS2-organisationer:
- 7 § - Riskhantering
- 8 § - Handlingsmodell för hantering av cybersäkerhetsrisker
- 9 § - Åtgärder för hantering av cybersäkerhetsrisker
- 10 § - Ledningens ansvar
- 11 § - Incidentanmälningar till myndigheten
- 12 § - Delrapport om incident
- 13 § - Slutrapport om incident
- 14 § - Rapportering om incidenter och cyberhot till andra än myndigheter
- 15 § - Frivillig underrättelse
Lagen innehåller också andra skyldigheter för NIS2-organisationer, såsom kravet på att anmäla sig och hålla uppgifterna aktuella i tillsynsmyndighetens aktörsförteckning (§ 41).
Traficoms roll
Cybersäkerhetslagen ger Traficom en roll och ett uppdrag som allmän tillsynsmyndighet. Traficom svarar för att transportsystemet i Finland iakttar skyldigheterna enligt lagen samt de bestämmelser, föreskrifter och beslut som utfärdats med stöd av den. Myndighetens roll utvidgas numera allt mer mot ett partnerskap och en dialog i andan av ständig förbättring. Traficom ger råd och vägledning i frågor som gäller cybersäkerhet till organisationer som tillhandahåller vägtrafikstyrnings- och kontrolltjänster samt till operatörer av intelligenta transportsystem.
Utöver uppgifterna som tillsynsmyndighet deltar Traficom aktivt i lagstiftningsarbetet på EU-nivå och nationell nivå samt i utvecklingen av cybersäkerhetsregleringen.