Sisältöön

Kyberturvallisuuslaki - SecMeter

Ohita valikko
Ohita valikko

Kyberturvallisuuslaki

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
Kyberturvallisuuslaki


NIS-direktiivi (Network and Information Security Directive) (NIS1, EU 2016/1148) hyväksyttiin vuonna 2016 ja tuli voimaan 8.8.2016. Jäsenvaltioiden tuli saattaa se osaksi kansallista lainsäädäntöä viimeistään 9.5.2018.

NIS2-direktiivi (EU 2022/2555) hyväksyttiin 14.12.2022 ja tuli voimaan EU-tasolla 16.1.2023. Jäsenvaltioiden on toimeenpantava sen vaatimukset kansallisesti 17.10.2024 mennessä.

NIS1-direktiivin toimeenpano Suomessa
Suomi toteutti NIS1-direktiivin toimeenpanon hajautetusti. Uuden erillisen kansallisen lain säätämisen sijaan direktiivin vaatimukset implementoitiin muuttamalla olemassa olevaa, toimialakohtaista lainsäädäntöä. Muutoksia tehtiin yhteensä noin yhdentoista eri säädöksen puitteissa.

Muutokset koskivat muun muassa energia-, liikenne-, terveys- ja finanssisektoria. Kunkin alan sääntelyyn lisättiin direktiivin edellyttämät velvoitteet, kuten tietoturvariskien hallinta ja tietoturvaloukkausten ilmoittaminen toimivaltaisille viranomaisille.

Tämä hajautettu toteutustapa merkitsi sitä, että eri sektoreiden viranomaiset, kuten Liikenne- ja viestintävirasto (Traficom) ja Finanssivalvonta, vastasivat valvonnasta oman toimialansa puitteissa. Vaikka järjestelmä oli joustava, se johti käytännössä monimuotoiseen viranomaiskenttään ja eroja valvonnan toteutuksessa eri toimialojen välillä.

NIS2-direktiivin toimeenpano Suomessa
NIS2-direktiivi laajensi sääntelyn koskemaan entistä useampia toimialoja ja organisaatioita, tiukensi tietoturvavaatimuksia ja vahvisti valvontaviranomaisten toimivaltuuksia.

Suomen kansallinen toimeenpano viivästyi alkuperäisestä määräajasta. Lopulta direktiivi implementoitiin kyberturvallisuuslailla (124/2025), joka tuli voimaan 8.4.2025. Tämä laki poikkesi NIS1:n toimeenpanomallista merkittävästi: sen sijaan, että velvoitteet olisi jälleen hajautettu eri lakien muutoksiin, kyberturvallisuuslaki kokosi vaatimukset yhteen säädökseen.

Laki määritteli kattavasti riskienhallintavelvoitteet, kyberturvallisuuspoikkeamien raportointimenettelyt sekä valvontaviranomaisten roolit ja toimivaltuudet. Valvonta keskitettiin pääosin Traficomille, mutta tietyillä aloilla, kuten terveydenhuollossa ja lääkevalvonnassa, toimivalta säilyi erikoisviranomaisilla (Valvira, Fimea).
Asia Riskienhallinta Raportointivelvoitteet Sanktiot
NIS2 -direktiivin säätäminen osaksi kansallista lainsäädäntöä aiheuttaa laaja-alaisia muutoksia eri toimialoja koskeviin ertyislakeihin. NIS2 -kyberturvallisuusdirektiivin soveltamisala on huomattavasti laajempi kuin ensimmäisen NIS1 -direktiivin soveltamisala. Direktiivillä yhdenmukaistetaan mm. soveltamisalaan kuuluvien toimijoiden kyberturvallisuusriskienhallinta, raportointivelvoitteet, vastuut ja valvonta.

CIRT-viranomainen
Traficomin Kyberturvallisuuskeskus toimii Suomessa NIS2 CSIRT –roolissa (Computer Security Incident Response Team), jonka tehtävänä reagoida poikkeamiin ja avustaa keskeisiä ja tärkeitä toimijoita, kerätä ja analysoida tapauskohtaista aineistoa ja ylläpitää kyberturvallisuuden tilannekuvaa.

Kansallinen keskitetty yhteyspiste
Traficomin Kyberturvallisuuskeskus toimii Suomessa NIS2-direktiivin tarkoittamana keskitettynä yhteyspisteenä, jonka tehtävänä on edistää valvovien viranomaisten välistä yhteistyötä ja koordinaatiota tehtävien toteuttamisessa sekä antaa suosituksia valvoville viranomaisille NIS2-direktiivin vaatimusten ja valvonnan yhteensovittamiseksi.

EU-CyCLONe (European cyber crisis liaison organisation network)
Euroopan kyberkriisien yhteysorganisaatioiden verkoston EU-CyCLONe:n tehtävänä on tukea laajamittaisten kyberturvallisuuspoikkeamien ja kriisien koordinoitua hallintaa operatiivisella tasolla sekä varmistaa säännöllinen asiaankuuluvien tietojen vaihto jäsenvaltioiden ja unionin toimielinten, elinten, laitosten ja virastojen välillä. Suomen edustajana verkostossa toimii Traficomin Kyberturvallisuuskeskus.

NIS2-direktiivin tavoitteet
NIS2-direktiivin pääasiallisena tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisten ja tärkeiden toimialojen ja toimijatyyppien osalta. NIS2-direktiivin tavoitteena on myös vastata muuttuneeseen kyberturvallisuusympäristöön ja NIS1-direktiivin uudelleenarvioinnissa havaittuihin haasteisiin. Jäsenvaltioiden välillä ilmeni puutteita NIS1-direktiivin täytäntöönpanossa ja sen soveltamisalaan kuuluvien toimijoiden määrittämisessä.

  • NIS2-direktiivissä säädetään toimenpiteistä, joilla pyritään saavuttamaan kyberturvallisuuden yhteinen korkea taso Euroopan unionin jäsenvaltioissa.
  • NIS2-direktiivin tavoitteiden saavuttamiseksi soveltamisala on NIS1-direktiiviä laajempi.
  • NIS2-direktiivillä poistetaan jäsenvaltioiden välillä havaittuja eroja NIS1-direktiivin velvoitteiden täytäntöönpanossa.

Soveltamisala
NIS2-direktiiviä sovelletaan 2 artiklan nojalla liitteissä I ja II tarkoitettua toimijatyyppiä oleviin julkisiin ja yksityisiin toimijoihin, jotka tarjoavat palvelujaan tai harjoittavat toimintaansa Euroopan unionissa.

Keskisuuret yritykset
Keskisuuria yrityksiä, eli muita kuin mikro- ja pienyrityksiä, ovat yritykset, joiden palveluksessa on vähintään 50 työntekijää tai jonka vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa.

Kynnysarvon ylittävät yritykset
Kynnysarvot ylittävän yrityksen palveluksessa on vähintään 250 työntekijää tai jonka vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa.

Pien- ja mikroyritykset
Pien- ja mikroyrityksiin ei sovelleta NIS2-direktiiviä, ellei niitä koske poikkeus NIS2-direktiivin soveltamisalan poikkeus.

Muut yritykset
Yrityksen koosta riippumatta NIS2-direktiivin soveltamisalaan kuuluvat direktiivin liitteissä I ja II tarkoitetut toimijat, kun palvelun tarjoaja on:

  • yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja
  • luottamuspalvelun tarjoaja
  • aluetunnusrekisteri ja DNS-palveluntarjoaja.
  • Yrityksen koosta riippumatta NIS2-direktiivin soveltamisalaan CER-direktiivin nojalla kriittisiksi toimijoiksi määritellyt toimijat sekä verkkotunnusten rekisteröintipalveluja tarjoavat toimijat.

Yrityksen koosta riippumatta NIS2-direktiivin soveltamisalaan kuuluvat liitteissä I ja II tarkoitetut toimijat, kun palveluntarjoaja on:

  • Yritys, joka tarjoaa ainoana jäsenvaltiossa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen.
  • Jos häiriö yrityksen tarjoamassa palvelussa voi vaikuttaa merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen.
  • Jos häiriö yrityksen tarjoamassa palvelussa voi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voi olla rajat ylittäviä vaikutuksia.
  • Yritys, jos sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.

Keskeiset toimijat

  • Energia (vety- ja latauspisteiden palveluntarjoajat)
  • Liikenne
  • Pankkitoiminta
  • Finanssimarkkinoiden infrastruktuuri
  • Terveys
  • Juomavesi
  • Jätevesi
  • Digitaalinen infrastruktuuri (tele, luottamuspalvelut, CDN, konesalit)
  • TVT-palvelujen hallinta (yritysten välinen)
  • Julkishallinto
  • Avaruus

Tärkeät toimialat

  • Posti- ja kuriiripalvelut
  • Jätehuolto
  • Kemikaalien valmistus, tuotanto ja jakelu
  • Elintarvikkeiden tuotanto, jalostus ja jakelu
  • Valmistus (mm. lääkinnälliset laitteet, tietokoneet sekä elektroniset ja optiset laitteet, sähkölaitteet, muut koneet ja laitteet sekä kulkuneuvot)
  • Digitaalisen palvelun tarjoajat (verkkoyhteisöalustojen tarjoajat)
  • Tutkimustoiminta
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön