Kuva: Sasun Bughdaryan / Unsplash
Uusi kyberturvallisempi aikakausi – laki on nyt voimassa
Euroopan unioni on ottanut merkittäviä askelia kyberturvallisuuden vahvistamisessa hyväksymällä NIS2-direktiivin (EU 2022/2555). Suomessa direktiivin vaatimukset on implementoitu uudella kyberturvallisuuslailla, joka astui voimaan 8. huhtikuuta 2025. Julkishallinnon osalta direktiivin vaatimukset on sisällytetty lakiin julkisen hallinnon tiedonhallinnasta.
Kyberturvallisuuslaki asettaa aiempaa laajemmat ja tiukemmat vaatimukset useille organisaatioille. Lain noudattamista valvovat toimialan mukaisesti useat eri viranomaiset, joten valvontavastuu onkin jaettu. Näistä viranomaisista Liikenne- ja viestintävirasto Traficomilla on keskeinen valvontarooli tietyillä aloilla. Traficomin Kyberturvallisuuskeskus (NCSC-FI) toimii keskitettynä yhteyspisteenä sekä kansallisella että EU-tasolla, ja Kyberturvallisuuskeskuksen CSIRT-yksikkö (Computer Security Incident Response Team) hoitaa kansallisia CSIRT-tehtäviä.
Kyberturvallisuuslain voimaantulo edellyttää lain soveltamisalan alaisilta toimijoilta toimenpiteitä. Toimijoiden on kiireellisesti selvitettävä, mitä toimia heiltä edellytetään ja täytettävä uudet asetetut velvoitteet, kuten rekisteröityminen oikealle viranomaiselle.
Uuden kyberturvallisuussääntelyn tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa useiden yhteiskunnan toiminnan kannalta kriittisten toimialojen osalta. NIS2-direktiivi korvaa aiemman ensimmäisen NIS-direktiivin, jolla on säädetty tiettyihin toimialoihin kohdistuvista kyberturvallisuusvelvoitteista. Sääntelyn tavoitteena on parantaa keskeisten ja tärkeiden toimijoiden kykyä hallita kyberriskejä ja sietää häiriöitä.
Laajentunut soveltamisala ja rekisteröitymisvelvollisuus oikealle viranomaiselle
Kyberturvallisuuslaki kattaa aiempaa useampia toimialoja ja organisaatioita, jotka jaetaan keskeisiin toimijoihin sekä tärkeisiin toimijoihin niiden kriittisyyden, toimialan ja koon perusteella.
- Keskeiset toimijat (Kyberturvallisuuslain liite I) muodostuvat erittäin kriittisistä toimialoista, kuten: avaruus, digitaalinen infrastruktuuri, energia, finanssimarkkinoiden infrastruktuurit, julkishallinto, liikenne, pankki, terveydenhuolto, vesihuolto ja yritysten välinen TVT-palvelujen hallinta.
- Tärkeät toimijat (Kyberturvallisuuslain liite II) muodostuvat muista kriittisistä toimialoista, kuten: digitaaliset palvelut, elintarviketuotanto, jätehuolto, kemikaalit, postipalvelut, tiettyjen tuotteiden valmistus, tutkimus ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat.
Kokorajoitukset: Pääsääntöisesti laki koskee keskisuuria ja suuria yrityksiä, mutta tietyt toimijat kuuluvat soveltamisalaan koosta riippumatta.
Organisaation vastuu ja rekisteröityminen
Jokaisen organisaation on arvioitava, kuuluuko se kyberturvallisuuslain soveltamisalaan. Keskeinen ja ajankohtainen ensimmäinen askel lain soveltamisalaan kuuluville organisaatioille on ilmoittautua toimivaltaiselle valvontaviranomaiselle toimijaluetteloon. Alkuperäinen määräaika toimijaluetteloon ilmoittautumiselle on ollut 8.5.2025, johon mennessä toimijoiden olisi tullut tehdä rekisteröinti-ilmoitus toimijaluetteloon. Kyberturvallisuuslain piiriin kuuluvien toimijoiden tulee ilmoittautua toimijaluetteloon toimintaa aloitettaessa, tai toiminnan muuttuessa lain piiriin kuuluvaksi. Mikäli ilmoitus on tekemättä, tulee valvovalle viranomaiselle ilmoittautua viipymättä. Lain voimaan tullessa ollut siirtymäaika ilmoittautumiselle on ohi.
- Traficomin valvomat alat: avaruustoiminta, digitaalinen infrastruktuuri, julkishallinto, liikenne, moottoriajoneuvojen ja perävaunujen valmistus, muiden kulkuneuvojen valmistus, posti- ja kuriiripalvelut, tutkimustoiminta, TVT-palvelujen hallinta sekä tietyt digitaaliset palvelut (mm. verkossa toimivat markkinapaikat, hakukoneet, sosiaalisen median alustat). Näiden alojen toimijoiden tulee rekisteröityä Traficomin ylläpitämään NIS2-toimijaluetteloon.
- Muut alat: Muiden alojen (esim. energia, finanssi, terveys, vesihuolto) toimijoiden tulee tunnistaa oma valvova viranomaisensa (Energiavirasto, Etelä-Savon ELY-keskus, Fimea, Finanssivalvonta, Ruokavirasto, Tukes, Valvira) ja tehdä ilmoitus heidän ohjeistamallaan tavalla.
Kattavat riskienhallintatoimenpiteet keskeisenä velvoitteena
Kyberturvallisuuslaki velvoittaa toimijoita noudattamaan kyberturvallisuuden riskienhallinnan toimintamallia. Tämän mallin mukaan organisaatioiden on toteutettava oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimia, joilla hallitaan verkko- ja tietojärjestelmien turvallisuusriskejä sekä estetään tai minimoidaan niiden haitalliset vaikutukset. Lain 9 §:n mukaisessa toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä on otettava huomioon seuraavat osa-alueet:
1. Kyberturvallisuutta koskevan riskienhallinnan toimintaperiaatteet ja hallintatoimenpiteiden vaikuttavuuden arviointi: Riskienhallinnan toimintamallin tulee olla määriteltynä ja dokumentoituna. Sen tulee sisältää järjestelmälliset menettelyt riskien tunnistamiseksi, arvioimiseksi ja käsittelemiseksi.
2. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet: Kirjallisten toimintaperiaatteiden (tietoturvapolitiikka) tulee määritellä viestintäverkkojen ja tietojärjestelmien turvallisuuden päämäärät, periaatteet ja toteutustavat koko niiden elinkaaren ajan.
3. Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä haavoittuvuuksien käsittely: Tietoturvanäkökulmat tulee huomioida viestintäverkkojen ja tietojärjestelmien hankinnassa, kehittämisessä ja ylläpidossa, mukaan lukien turvallisten konfiguraatioiden määrittely ja ylläpito, ohjelmistopäivitysten hallinta sekä järjestelmälliset menettelyt haavoittuvuuksien tunnistamiseksi, käsittelemiseksi ja tarvittaessa julkistamiseksi.
4. Toimitusketjun turvallisuuden hallinta: Toimijan on arvioitava ja hallittava sen toimittajien ja palveluntarjoajien tuotteisiin ja palveluihin liittyviä riskejä kyberturvallisuuden näkökulmasta.
5. Omaisuudenhallinta ja turvallisuuden kannalta tärkeiden toimintojen tunnistaminen: Toimijan on tunnistettava, luokiteltava ja hallinnoitava järjestelmällisesti toimintansa ja kyberturvallisuutensa kannalta olennaista laite-, ohjelmisto- ja tieto-omaisuutta sekä niihin liittyviä kriittisiä toimintoja ja prosesseja.
6. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus: Toimijan henkilöstön riittävää tietoturvaosaamista ja tietoisuutta vastuista on varmistettava kyberturvallisuuskoulutuksen avulla, sekä toteutettava asianmukaiset menettelyt henkilöstöön ja ulkoisiin toimijoihin liittyvien riskien hallitsemiseksi.
7. Pääsynhallinnan ja todentamisen menettelyt: Toimijan on toteutettava tehokkaat ja dokumentoidut menettelyt käyttäjien, laitteiden, sovellusten ja järjestelmien luotettavaksi tunnistamiseksi ja todentamiseksi sekä pääsyn hallitsemiseksi tietoihin ja järjestelmiin.
8. Salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt: Toimijalla on oltava edellytykset asianmukaisten salausmenetelmien käytölle tiedon luottamuksellisuuden, eheyden ja aitouden suojaamiseksi sekä tarvittaessa suojatun sähköisen viestinnän toteuttamiseksi.
9. Poikkeamien havainnointi ja käsittely: Toimijan on luotava ja ylläpidettävä kattavat prosessit tietoturvapoikkeamien ennaltaehkäisemiseksi, havaitsemiseksi, analysoimiseksi, rajoittamiseksi ja niistä palautumiseksi, sekä niiden asianmukaiseksi raportoimiseksi ja käsittelemiseksi.
10. Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja toiminnan jatkuvuuden hallinta: Toimijan on varmistettava toimintansa jatkuvuus häiriötilanteissa säännöllisellä ja testatulla varmuuskopioinnilla, palautumissuunnitelmilla ja selkeillä kriisinhallintamenettelyillä.
11. Perustason tietoturvakäytännöt: Toimijan on noudatettava ja ylläpidettävä perustason tietoturvakäytäntöjä toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi.
12. Fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistaminen: Viestintäverkkojen ja tietojärjestelmien turvallisuuden varmistamiseksi niiden fyysinen ympäristö ja tilat tulee suojata fyysisiltä uhilta. Lisäksi on varmistettava toiminnan kannalta välttämättömien resurssien, kuten sähkön ja tietoliikenneyhteyksien, saatavuus.
Edellytyksenä nopea ja monivaiheinen häiriöilmoitusmenettely
Merkittävistä poikkeamista, eli kyberhäiriöistä on ilmoitettava valvovalle viranomaiselle. Velvoite koskee häiriöitä, joilla on merkittävä vaikutus palvelun tarjoamiseen tai sen käyttäjiin. Merkittävyyttä arvioidaan käyttäjämäärän, keston ja vaikutusten perusteella.
Ilmoitusvelvollisuus noudattaa seuraavaa aikataulua:
1. Ensi-ilmoitus (24 tunnin kuluessa): Heti kun organisaatio tulee tietoiseksi merkittävästä häiriöstä.
2. Jatkoilmoitus (72 tunnin kuluessa): Yksityiskohtaisempi ilmoitus, sisältäen arvion vakavuudesta ja vaikutuksista.
3. Väliraportti (mahdollisesti valvovan viranomaisen pyynnöstä): Lisätietoja tai väliraportti häiriötä koskevista tilannepäivityksistä ja käsittelyn etenemisestä. Pitkäkestoisen häiriön sattuessa toimijan on annettava väliraportti viimeistään kuukauden kuluttua jatkoilmoituksesta.
4. Loppuraportti (kuukauden kuluessa): Yksityiskohtainen kuvaus häiriöstä, syistä ja toimenpiteistä.
Valvonta, seuraamukset ja johdon vastuu
Kullakin valvovalla viranomaisella on laajat tarkastusvaltuudet. Tarkastuksia tehdään tarpeellisessa laajuudessa sen valvomiseksi, että toimija noudattaa kyberturvallisuussääntelyn mukaisia velvoitteita. Tarkastusta varten valvovalla viranomaisella on oikeus saada tutkittavakseen valvonnan kannalta välttämättömät tiedot, asiakirjat, laitteet ja ohjelmistot, tehdä tarvittavia testejä ja mittauksia sekä tarkastaa toimijan turvallisuusjärjestelyt.
Velvoitteiden laiminlyönnistä voi seurata merkittäviä hallinnollisia seuraamusmaksuja, jotka määrää seuraamusmaksulautakunta valvovan viranomaisen esityksestä:
- Keskeiset toimijat: Hallinnollinen sakko enintään 10 M€ tai 2 % toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
- Muulle kuin keskeiselle toimijalle: Hallinnollinen sakko enintään 7 M€ tai 1.4 % toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Kyberturvallisuuslaki vahvistaa johdon henkilökohtaisen vastuun kyberturvallisuuden riskienhallinnan järjestämisestä ja valvonnasta. Johto vastaa myös riskienhallinnan toimintamallin hyväksymisestä ja sen toteutumisen valvonnasta. Johdolta edellytetään riittävää perehtyneisyyttä kyberturvallisuuden riskienhallintaan. Johdolla tarkoitetaan toimijan hallitusta, hallintoneuvostoa, toimitusjohtajaa sekä muita vastaavassa asemassa olevia, jotka tosiasiallisesti johtavat toimintaa. Näiden vastuiden laiminlyönti voi johtaa toimijaan kohdistettuihin hallinnollisiin seuraamuksiin.
Miten organisaation tulisi toimia seuraavaksi?
Lain ollessa voimassa ja toimijaluetteloon rekisteröitymisen määräajan ollessa ajankohtainen, toimijoiden tulee toimia välittömästi:
1. Soveltamisalan tunnistaminen: Selvittäkää, kuuluuko organisaationne lain piiriin ja jos kuuluu, kumpaan kategoriaan (keskeinen vai tärkeä toimija).
2. Oma valvova viranomainen: Selvittäkää, onko valvova viranomaisenne Liikenne- ja viestintävirasto Traficom vai jokin muu (esim. Energiavirasto, Finanssivalvonta, Valvira).
3. Rekisteröityminen valvovalle viranomaiselle viipymättä: Tehkää vaadittu ilmoitus Traficomin ylläpitämään NIS2-toimijaluetteloon tai muulle valvovalle viranomaiselle heidän ohjeidensa mukaisesti. Huom.! Alkuperäinen määräaika toimijaluetteloon ilmoittautumiselle on ollut 8.5.2025, johon mennessä toimijoiden olisi tullut tehdä rekisteröinti-ilmoitus toimijaluetteloon. Kyberturvallisuuslain piiriin kuuluvien toimijoiden tulee ilmoittautua toimijaluetteloon toimintaa aloitettaessa, tai toiminnan muuttuessa lain piiriin kuuluvaksi. Mikäli ilmoitus on tekemättä, tulee ilmoitus tehdä viipymättä. Lain voimaan tullessa ollut siirtymäaika ilmoittautumiselle on ohi.
4. Nykytila-analyysi (ns. gap-analyysi): Arvioikaa nykyisten kyberturvallisuustoimenpiteidenne ja -prosessienne vastaavuus lain asettamiin vaatimuksiin.
5. Kehityssuunnitelman laatiminen: Määritelkää ja aikatauluttakaa tarvittavat korjaavat toimenpiteet. Varatkaa niihin riittävät resurssit.
6. Riskienhallintatoimenpiteiden toteutus: Ottakaa käyttöön tai päivittäkää tekniset, operatiiviset ja organisatoriset suojaukset lain edellyttämälle tasolle. Huomioikaa erityisesti palautumissuunnitelma, varmuuskopiot, toimitusketjujen turvallisuus, monivaiheinen tunnistautuminen (MFA) ja henkilöstön koulutus.
7. Häiriöilmoitusprosessien toimivuuden varmistaminen: Määritelkää selkeät prosessit ja vastuut poikkeamista ja häiriöistä ilmoittamiseksi oikealle viranomaiselle säädetyissä aikarajoissa (24h / 72h / 1kk).
8. Johdon ja henkilöstön kouluttaminen: Varmistakaa johdon sitoutuminen kyberturvallisuuteen ja koko henkilöstön tietoisuus heitä koskevista vastuista ja käytännöistä.
9. Tiedotuksen aktiivinen seuraaminen: Pysykää ajan tasalla valvovan viranomaisen ja Kyberturvallisuuskeskuksen antamasta ohjeistuksesta.
Lue aiheesta lisää:
- HH Partners on osallistunut Suomen osalta Fieldfisherin koordinoimaan yhteistyöhankkeeseen, jossa seurataan NIS 2 -direktiivin implementointia eri EU-maissa. Lisää artikkelissamme: NIS2-direktiivin velvoitteet voimaan.
- Traficom: Tärkeää tietoa Euroopan unionin kyberturvallisuusdirektiivistä (NIS2).
