Finlands nya cybersäkerhets­lag: Vad livsmedels­industrins ledare behöver veta – och göra

Finlands cybersäkerhetslag (124/2025) markerar en historisk vändpunkt för livsmedelssektorn. För första gången lägger lagstiftningen ett personligt och juridiskt ansvar för cybersäkerhet på er företagsledning och ålägger ledningen att själv identifiera om de omfattas av lagen. Detta är inte längre en intern IT-fråga – det är en strategisk affärsskyldighet som kräver direkt deltagande och dokumenterbar kompetens från er styrelse och verkställande direktör.

Lagens ikraftträdande den 8 april 2025 inledde en snäv tidsplan, där den mest centrala tidsfristen – införandet av en handlingsmodell för riskhantering – är den 8 juli 2025. Tiden är knapp, och era åtgärder måste vara dokumenterade, implementerade och godkända av er styrelse. Underlåtenhet att följa lagen utsätter inte bara ert företag för sanktionsavgifter på upp till 7 miljoner euro, utan även för driftsstörningar och utmaningar med anseendet.

I den här artikeln går jag igenom de konkreta åtgärder ni måste vidta och visar hur denna lagändring kan omvandlas till en strategisk konkurrensfördel och förbättrad motståndskraft.

Företag inom livsmedelssektorn klassificeras i NIS2-regleringen vanligtvis som viktiga entiteter, för vilka den maximala administrativa sanktionsavgiften är 7 miljoner euro eller 1,4 % av den globala omsättningen (det högre av beloppen).

Omedelbara åtgärder för ledningen

• Utred om ert företag omfattas av cybersäkerhetslagen: Kontrollera om ert företag klassificeras som en viktig entitet enligt NIS2-regleringen. Om så är fallet, ta reda på vad det innebär i praktiken.

• Säkerställ att ni har registrerat er hos Livsmedelsverket: Om ert företag omfattas av lagens tillämpningsområde och ännu inte har registrerat sig, gör det omedelbart hos Livsmedelsverket via Ilppa-e-tjänsten.

• Inför riskhantering: Upprätta en heltäckande handlingsmodell för riskhantering inom cybersäkerhet – ett slags "cyber-HACCP" – som täcker de 12 kärnområden som lagen kräver. Tidsfristen för att dokumentera och implementera detta är 8 juli 2025.

• Förbered för incidentrapportering: Utveckla robusta interna processer för att upptäcka och rapportera betydande cybersäkerhetsincidenter till Livsmedelsverket inom 24–72 timmar.

• Säkra er DIGITALA leveranskedja: Bedöm och hantera aktivt de cybersäkerhetsrisker som är förknippade med era direkta leverantörer och tjänsteleverantörer, särskilt de som tillhandahåller kritiska IKT-produkter eller -tjänster för er verksamhet. Obs: Detta gäller digitala system och tjänster, inte den fysiska livsmedelsleveranskedjan, även om dessa är sammankopplade.

Cybersäkerhetslagen (124/2025) är Finlands nationella genomförande av EU:s NIS2-direktiv (direktiv (EU) 2022/2555). Finlands cybersäkerhetslag trädde i kraft den 8 april 2025 för att stärka cyberresiliensen inom kritiska sektorer.

Traficom (Transport- och kommunikationsverket) fungerar som gemensam kontaktpunkt för NIS2-samordningen, medan Livsmedelsverket är tillsynsmyndighet för livsmedelssektorn.

Lagen erkänner att cyberhot mot centrala delar av livsmedelssektorn kan vara lika förödande som fysiska katastrofer, med påverkan inte bara på enskilda företag utan även på allmän säkerhet, konsumentförtroende och den nationella leveranskedjans integritet.

Cyberhot kan verka abstrakta jämfört med konkreta livsmedelssäkerhetsrisker som kontaminering, men de kan störa produktionen, undergräva konsumenternas förtroende och till och med utgöra direkta risker för allmän säkerhet. Konsekvenserna varierar beroende på aktör inom livsmedelssektorn:

Livsmedelsproducenter och -förädlare

• Störningar i produktionslinjen: Ransomware-attacker mot produktionsstyrningssystem (MES) eller SCADA-system kan stoppa produktionslinjer i dagar eller veckor.

• Kvalitetskontrollen äventyras: Cyberattacker mot styrningen av pastöriserings-, steriliserings- eller kylsystem kan äventyra livsmedelssäkerheten.

• Stöld av recept och immateriella rättigheter: Obehörig åtkomst till egna recept, processparametrar eller kunddata.

• Förlust av insyn i leveranskedjan: Störningar i affärssystem (ERP) som påverkar råvaruinköp och produktionsplanering.

Inom livsmedelsindustrin kräver operativ teknik (OT), såsom styrsystem för produktionslinjer (PLC, SCADA), särskild uppmärksamhet. Dessa är ofta äldre, inte utformade för nätverksanslutning, och deras störningar kan direkt påverka produktionens kontinuitet och till och med livsmedelssäkerheten. Lagens riskhanteringsskyldigheter omfattar även dessa OT-miljöer.

Grossister och distributörer av livsmedel

• Störningar i logistiknätverket: Cyberattacker mot lagerhanteringssystem (WMS) eller transporthanteringssystem (TMS) kan lamslå distributionen.

• Avbrott i kylkedjeövervakningen: Komprometterade temperaturövervakningssystem som hotar produkternas kvalitet och säkerhet.

• Attacker mot EDI/Peppol-system: Störningar i elektroniska datautbytessystem som påverkar orderhantering, fakturering och leverantörskommunikation.

• Kunddata-intrång: Obehörig åtkomst till kundinformation, inköpsprocesser eller prisinformation.

Digitala sårbarheter mellan aktörer

• Kompromettering av affärssystem (ERP): Centrala affärssystem som hanterar allt från inköp till kundrelationer.

• Attacker mot ekonomisystem: Bokföringssystem, betalningshantering och bankanslutningar.

• Intrång i kommunikationsplattformar: E-postsystem, samarbetsplattformar samt leverantörs- och kundportaler.

• Störningar i molntjänster: SaaS-applikationer för CRM, lagerhantering eller kvalitetssäkring.

Cybersäkerhetslagens tillämpningsområde inom livsmedelssektorn riktar sig till medelstora och stora aktörer som bedriver partihandel, industriell produktion eller förädling av livsmedel och som uppfyller vissa storlekskriterier. Det är av yttersta vikt att företagen själva identifierar om de omfattas av lagen.

Storlekskriterier (bedömning för hela företaget)

Om antalet anställda ELLER båda de ekonomiska kriterierna uppfylls, omfattas företaget av lagen:

Tillämpningsområde för aktörer inom livsmedelssektorn

OMFATTAS AV LAGEN (om storlekskriterierna uppfylls och industriell verksamhet eller partihandel bedrivs):

Industriell livsmedelsproduktion och -förädling:

• Storskalig mejeriförädling, osttillverkning
• Industriell förädling av kött/fisk/frukt/grönsaker
• Kommersiella bagerier, kvarnar, stärkelseproduktion
• Dryckesproduktion (bryggerier, läskedrycker)
• Tillverkning av frysta livsmedel, glass; konservering
• Industriell olje-/fettförädling; sockerraffinaderier
• Kryddförädling, aromtillverkning

Partihandel och distribution av livsmedel:

• Grossister som distribuerar livsmedel till detaljhandel eller storhushåll
• Cash-and-carry-butiker (om storlekskriterierna uppfylls)
• Specialiserade råvaruleverantörer till tillverkare
• Import-/exportföretag för livsmedel
• Livsmedelslogistikföretag som bedriver betydande lagring relaterad till partihandel eller distribution av livsmedel och vars egna digitala system (som WMS) är kritiska för denna verksamhet

VANLIGTVIS UTANFÖR LAGEN (om de inte definieras som kritiska enligt CER-direktivet senast i mitten av 2026):

• Primärproduktion inom jordbruk/fiske (jordbruksföretag, fiskodlingar)
• Fodertillverkning
• Detaljhandelsbutiker och stormarknader (direktförsäljning till konsument)
• Restauranger, de flesta cateringföretag och livsmedelstjänster riktade direkt till konsumenter
• Tillverkare av livsmedelsförpackningsmaterial (om de inte också tillhandahåller kritiska digitala tjänster till livsmedelssektorn)
• Standardlagring och -transport av livsmedel (om de inte tillhandahåller kritiska digitala tjänster eller definieras enligt CER-direktivet)

Även om lagen (124/2025) medför nya skyldigheter, kan ett strategiskt tillvägagångssätt för regelefterlevnad öppna upp för betydande affärsfördelar:

• Operativ motståndskraft: Robust cybersäkerhet innebär direkt bättre skydd mot störningar, vilket minimerar driftstopp och säkerställer verksamhetens kontinuitet.

• Förtroende i leveranskedjan: Att kunna visa upp starka cybersäkerhetsrutiner ökar förtroendet hos leverantörer och B2B-kunder och kan bli en konkurrensfördel.

• Moderniseringsmöjligheter: Granskningen i samband med regleringen kan belysa ineffektiva system, vilket leder till möjligheter för modernisering, såsom automatisering, effektivare datautbyte eller konsolidering av system och programvarulicenser.

• Kostnadsbesparingar: Proaktiv riskhantering är nästan alltid billigare än att hantera konsekvenserna av en incident.

• Förbättrad informationshantering: Implementeringen förbättrar den övergripande informationshanteringen, kvalitetskontrollen, spårbarheten och andra regulatoriska krav.

Om ert livsmedelsföretag omfattas, kräver lagen (124/2025) tre huvudsakliga åtgärder:

1. Registrering hos Livsmedelsverket

Tidsfrist: 8 maj 2025 (Om ni inte har registrerat er, gör det omedelbart!)

Aktörer som omfattas av tillämpningsområdet var skyldiga att själva identifiera sig och registrera sig hos Livsmedelsverket via e-tjänsten Ilppa. Detta meddelade myndigheten att ert företag är en NIS2-aktör inom livsmedelssektorn.

Uppgifter som ska anmälas:

• Organisationens namn, FO-nummer, adress och kontaktuppgifter (inklusive kontaktperson för cybersäkerhet)
• Organisationens offentliga IP-adressrymder (enligt Traficoms närmare anvisningar, t.ex. 198.51.100.0/24)
• Bekräftelse av sektorsklassificering (livsmedelsproduktion, -förädling eller partihandel)
• Uppgifter om eventuell gränsöverskridande verksamhet inom EU

2. Införande och innehåll i en handlingsmodell för riskhantering inom cybersäkerhet

Tidsfrist: 8 juli 2025 (Detta är en kritisk tidsfrist – tiden är knapp!)

Detta är hörnstenen i regelefterlevnaden och en kontinuerlig process, inte en engångsuppgift. Enligt 47 § i cybersäkerhetslagen måste ert företag upprätta, genomföra och upprätthålla – samt regelbundet utvärdera och uppdatera – en dokumenterad handlingsmodell för riskhantering inom cybersäkerhet, vilket också kan ses som ett slags "cyber-HACCP-modell".

Om ert företag redan har kvalitets- eller riskhanteringssystem (som HACCP, ISO 22000, ISO 27001), bör ni utnyttja dessa befintliga processer och dokumentation och utvidga dem till att även omfatta cybersäkerhetskraven.

Riskhanteringsåtgärderna måste vara proportionella i förhållande till ert företags storlek, sannolikheten för incidenter och deras potentiella konsekvenser. De ska beakta tillgängliga aktuella lösningar och kostnadseffekter.

9 § i lagen definierar 12 områden som handlingsmodellen för riskhantering inom cybersäkerhet måste omfatta:

3. Anmälan av betydande incidenter

Tidsplan: Första anmälan inom 24 timmar, mer detaljerad anmälan inom 72 timmar, slutrapport inom en månad.

Ni är juridiskt skyldiga att anmäla betydande incidenter till Livsmedelsverket (via Traficoms nationella incidentanmälningsportal). En betydande incident är en som:

• Har orsakat eller kunde ha orsakat en allvarlig driftsstörning eller betydande ekonomisk förlust för ert företag
• Har påverkat eller kunde ha påverkat andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada

Exempel från livsmedelssektorn:

• Ransomware-attacker som stoppar produktionen eller påverkar livsmedelssäkerhetssystem
• Dataintrång som avslöjar kunddata, leverantörsinformation eller egna recept
• Cyberattacker mot kvalitetslednings- eller spårbarhetssystem
• Kompromettering av EDI/Peppol-system som påverkar kommunikationen i leveranskedjan
• Vilken som helst cyberincident som kräver produktionsstopp eller återkallelse av produkter

Enligt 47 § 3 mom. i cybersäkerhetslagen (124/2025) ska den handlingsmodell för riskhantering inom cybersäkerhet som avses i 8 § i lagen upprättas inom tre månader från lagens ikraftträdande (8 april 2025), så den absoluta tidsfristen är den 8 juli 2025.

Om formell cybersäkerhet är nytt och resurserna är begränsade, börja med dessa centrala metoder. Även om de inte ensamma uppfyller alla NIS2-krav, utgör de en kritisk grund och är i linje med Traficoms rekommendationer om grundläggande praxis för informationssäkerhet (lag 124/2025, 9 §, punkt 11).

Använd detta stegvisa tillvägagångssätt, baserat på Traficoms verifieringskategorier, för att bedöma er nuvarande cybersäkerhetsnivå i förhållande till lagens (124/2025) krav och för att identifiera brister.

• Nivå 1 är obligatorisk dokumentation. Börja med nivå 1 och fortsätt gradvis mot nivå 2.
• Nivå 2 ger en god funktionell säkerhet.
• Nivå 3 erbjuder en högre säkerhetsnivå, rekommenderas för större/högriskaktörer inom livsmedelssektorn eller de som strävar efter att visa mogen cybersäkerhet.

Externt stöd

• Cybersäkerhetskonsulter: Oberoende experter kan hjälpa till med gapanalyser, policyutveckling, implementering av riskhantering och validering av regelefterlevnad. Sök konsulter med erfarenhet från livsmedelsindustrin och/eller OT-säkerhet.

• Leverantörer av hanterade säkerhetstjänster (MSSP): För företag utan intern säkerhetskompetens kan MSSP:er erbjuda outsourcad övervakning, hotdetektering och incidenthanteringstjänster.

• Branschorganisationer: Livsmedelsbranschens organisationer kan erbjuda cybersäkerhetsresurser, delning av bästa praxis och möjligheter till peer-learning som är anpassade för sektorn.

Lagen (124/2025) lägger stor vikt vid hantering av cybersäkerhetsrisker i era leveranskedjor. En kritisk punkt för livsmedelssektorn: Detta omfattar alla direkta leverantörer vars digitala produkter eller tjänster, om de komprometteras, skulle kunna påverka säkerheten i er verksamhet, era nätverk och era informationssystem.

Livsmedelssektorn är van vid att hantera den fysiska leveranskedjan (råvaror, förpackningar, logistik). NIS2-lagen gäller den digitala leveranskedjan – IT-leverantörer, programvaruleverantörer, molntjänstleverantörer och andra teknikpartners och intressenter vars informationssystem er operativa verksamhet är beroende av.

Digitala beroenden med hög risk:

• Produktionsstyrningssystem (MES) som kontrollerar produktionslinjer
• Affärssystem (ERP) som hanterar centrala affärsprocesser
• System för hantering av leveranskedjan (SCM) som samordnar inköp och logistik
• Lagerhanteringssystem (WMS) som styr distributionen
• Kvalitetsledningssystem (QMS) som säkerställer efterlevnad
• EDI/Peppol-system för B2B-kommunikation
• SCADA/industriella automationssystem som hanterar produktionsutrustning

Exempel på digitala leverantörer att beakta:

• EDI/Peppol-säkerhet: Bedöm säkerheten hos era EDI-partners och Peppol-accesspunkter från början till slut.
• Digitala anslutningar till råvaru- och förpackningsleverantörer: EDI, portaler, API:er.
• Tredjepartslogistikleverantörer: och deras lagerhanteringssystem.
• Molntjänstleverantörer: för spårbarhets- och kvalitetssystem för livsmedel.
• Leverantörer av utrustningsunderhåll: med fjärråtkomstmöjligheter.

En central del av lagen (124/2025) är det direkta juridiska ansvar som läggs på företagets ledning. Enligt 10 § i lagen ska ledningen säkerställa tillräcklig kompetens inom riskhantering för cybersäkerhet och godkänna åtgärderna för riskhantering.

Vad detta innebär i praktiken för ledare inom livsmedelssektorn:

• Integrera cyberrisk i styrningen: Cyberrisk måste vara en regelbunden punkt på styrelsens dagordning, hanterad sida vid sida med finansiella, operativa och livsmedelssäkerhetsrisker.

• Resursallokering: Ledningen ansvarar för att säkerställa tillräcklig budget, personal och resurser för cybersäkerhet, i proportion till de identifierade riskerna.

• Främja en säkerhetskultur: Främja en företagsomfattande cybersäkerhetskultur, på samma sätt som en stark livsmedelssäkerhetskultur.

• Personlig utveckling: Styrelseledamöter och chefer bör aktivt förbättra sin förståelse för cyberrisker och bästa praxis.

Livsmedelsverket har betydande tillsynsbefogenheter för att säkerställa efterlevnaden av lagen (124/2025).

Tillsynsfilosofi och sanktionskontext

Även om de maximala administrativa sanktionsavgifterna är betydande (7 miljoner euro eller 1,4 % av den globala omsättningen), betonar Livsmedelsverkets tillsynssätt:

• Proportionalitet: Sanktionerna står i proportion till företagets storlek och överträdelsens allvar.
• Beaktande av god tro: Myndigheten tar hänsyn till företagets egna initiativ för att åtgärda brister och dess samarbetsvilja.
• Stegvis tillsyn: Varningar och uppmaningar att förbättra verksamheten föregår i allmänhet ekonomiska sanktioner.
• Branschförståelse: Erkännande av livsmedelssektorns operativa begränsningar och äldre system.

Detta samarbetsinriktade tillvägagångssätt gäller dock endast företag som aktivt strävar efter regelefterlevnad. Avsiktlig försummelse eller underlåtenhet att svara på myndighetens kommunikation kommer att utlösa tillsynsåtgärder.

Överträdelser som kan leda till sanktioner:

• Underlåtenhet att vidta tillräckliga åtgärder för riskhantering inom cybersäkerhet inom alla 12 kärnområden.
• Underlåtenhet att anmäla betydande incidenter till Livsmedelsverket inom tidsfristerna.
• Underlåtenhet att registrera sig hos Livsmedelsverket eller att lämna in uppdaterad information.
• Avsiktlig eller grovt oaktsam underlåtenhet att följa bindande förelägganden från tillsynsmyndigheten.

Företag inom livsmedelssektorn klassificeras i direktivet generellt som viktiga entiteter. Dessa omfattas i första hand av efterhandstillsyn, till exempel i samband med anmälan av en betydande incident eller underlåtenhet att anmäla en sådan, och inte av kontinuerlig proaktiv revision som väsentliga entiteter.

Om Livsmedelsverket i samband med annan tillsyn har anledning att misstänka att skyldigheterna i cybersäkerhetslagen har försummats, kan detta dock utlösa tillsynsåtgärder.

Myndighetsresurser

Livsmedelsverket - Som tillsynsmyndighet för livsmedelssektorn erbjuder de specifik vägledning för implementeringen av NIS2:

• Livsmedelsverkets NIS2-vägledning för livsmedelssektorn: Cybersäkerhetsdirektivet (NIS2) inom livsmedelssektorn↗
• Kontaktuppgifter: NIS2.kyberturvallisuus@ruokavirasto.fi↗
• Registrering: https://ilppa.fi/ilmoitus-aloitus↗

Traficom / Cybersäkerhetscentret erbjuder omfattande resurser:

• Webbplats: https://www.kyberturvallisuuskeskus.fi/sv↗

  • Detaljerad rekommendation (161 sidor): "Rekommendation till NIS-övervakande myndigheter om åtgärder för riskhantering för cybersäkerhet" - Detta dokument är ett nödvändigt verktyg och ger konkreta exempel och verifieringsmetoder för den praktiska implementeringen av alla 12 riskhanteringsområden.
  • Cybermätaren: Ett gratis självbedömningsverktyg för att bedöma den grundläggande cybersäkerhetsnivån och få förbättringsrekommendationer.
  • Incidentanmälningsportal: En central portal för NIS2-incidentanmälningar.
  • Hotunderrättelser: Regelbundna larm och råd - prenumerera på uppdateringar.
  • Korsreferenstabell: Traficom erbjuder en korsreferenstabell som kopplar NIS2-kraven till internationellt erkända standarder som ISO 27001, NIST CSF och IEC 62443 - förstå hur befintliga ramverk motsvarar NIS2.

Internationella standarder och ramverk

• ISO/IEC 27001 & 27002: Internationellt erkända standarder för ledningssystem för informationssäkerhet (ISMS) och säkerhetskontroller. Erbjuder ett heltäckande ramverk som väl motsvarar NIS2-kraven.

• NIST Cybersecurity Framework (CSF): Ett riskbaserat ramverk utvecklat av US National Institute of Standards and Technology. Används i stor utsträckning globalt och refereras till i Traficoms vägledning.

• IEC 62443-serien: Standarder för säkerhet i industriella automations- och styrsystem (IACS). Mycket relevant för livsmedelsproducenter med automatiserade produktionslinjer och OT-nätverk.

• CIS Controls: En prioriterad uppsättning åtgärder mot de vanligaste cyberattackerna. Ger praktisk, funktionell vägledning för grundläggande säkerhet.

---

Källor:

• Finlex – Lag 124/2025 (Cybersäkerhetslag↗)
• Direktiv (EU) 2022/2555 (NIS2-direktivet↗)
• Livsmedelsverket – Anvisningar om tillämpning av NIS2-direktivet inom livsmedelssektorn↗
• Traficom / Cybersäkerhetscentret – Rekommendation till NIS-tillsynsmyndigheter om åtgärderna för hantering av cybersäkerhetsrisker↗
• Dragos – Dragos Industrial Ransomware Analysis Q1 2025↗