NIS2-Direktiivi on täällä ja sen vaatimukset koskettavat laajasti eri toimialoja ja yrityksiä. Moni suomalainen yritys on havahtunut uuteen todellisuuteen: kyberturvallisuus ei ole enää vain IT-osaston huoli, vaan lakisääteinen velvoite, josta yrityksen johto vastaa henkilökohtaisesti.
Suomessa NIS2-direktiivi on viety osaksi kansallista lainsäädäntöä (Kyberturvallisuuslaki), ja se koskettaa tuhansia yrityksiä, jotka huolehtivat yhteiskunnan kriittisistä toiminnoista tai kuuluvat niiden toimitusketjuihin.
NIS2-direktiivi koskee keskisuuria ja suuria yrityksiä, jotka toimivat kriittisillä toimialoilla kuten energia, terveydenhuolto, liikenne, digitaalinen infrastruktuuri ja teollisuus. Myös tietyt pienemmät organisaatiot voivat kuulua direktiivin piiriin riskiperusteisesti.
NIS2-direktiivi on Euroopan unionin kyberturvallisuuslainsäädäntö, joka velvoittaa kriittisten toimialojen yritykset hallitsemaan tietoturvariskejä, raportoimaan kyberturvallisuuspoikkeamat viranomaisille ja varmistamaan toimintojen jatkuvuuden. Suomessa NIS2 on toimeenpantu kyberturvallisuuslailla, joka koskee erityisesti keskisuuria ja suuria yrityksiä sekä kriittisen infrastruktuurin toimijoita.
Tässä tietoturva-asiantuntijan kokoamassa oppaassa käymme läpi, mitä NIS2-vaatimukset tarkoittavat käytännössä, ketä NIS2-direktiivin vaatimukset koskevat ja miten yrityksesi tulisi valmistautua välttääkseen merkittävät sanktiot, jotka seuraavat NIS2-direktiivin noudattamatta jättämisestä.
Tarvitsetko apua NIS2-yhteensopivuuden varmistamisessa?
Löydä taitavimmat NIS2-asiantuntijat ja muut tietoturvapalvelut avullamme!
Mikä on NIS2-direktiivi?
NIS2 (Network and Information Security Directive) on EU:n laajuinen kyberturvallisuusdirektiivi, joka korvaa aiemman NIS1-sääntelyn. Sen tavoitteena on nostaa Euroopan kriittisen infrastruktuurin kyberresilienssiä vastaamaan vuoden 2026 monimutkaista uhkakuvastoa.
Suomessa NIS2-laki velvoittaa yrityksiä ottamaan käyttöön riskiperusteisen hallintamallin. Se ei keskity vain teknisiin estomuurituksiin, vaan korostaa toipumiskykyä, toimitusketjujen hallintaa ja johdon vastuuta.
NIS2 Toimialat ja nis2 soveltamisala
Yksi suurimmista muutoksista on sääntelyn piiriin kuuluvien toimijoiden määrän kasvu. NIS2 jakaa yritykset erittäin kriittisiin ja muihin kriittisiin toimijoihin.
NIS2-toimialat
Laki koskee yrityksiä, jotka toimivat seuraavilla aloilla:
Energia: Sähkö, lämpö, öljy ja kaasu.
Liikenne: Ilma-, rautatie-, vesi- ja tieliikenne.
Terveydenhuolto: Sairaalat, laboratoriot ja lääkevalmistajat.
Vesihuolto: Juomavesi ja jätevedenpuhdistus.
Digitaalinen infrastruktuuri: Pilvipalvelut, datakeskukset ja julkiset viestintäverkot.
ICT-palveluiden hallinta: (B2B-palveluntarjoajat).
Elintarvikeala: Tuotanto, jalostus ja jakelu.
Pääsääntöisesti NIS2 koskee keskisuuria ja suuria yrityksiä (yli 50 työntekijää tai yli 10 miljoonan euron liikevaihto). Kuitenkin, jos pk-yritys on kriittinen osa toimitusketjua tai se on alansa ainoa tarjoaja jäsenvaltiossa, laki voi koskea sitä koosta riippumatta.
Huom!
Vaikka yrityksesi ei olisikaan lain mukaan velvollinen noudattamaan NIS2:sen vaatimuksia, tulisi vastuullisen ja tulevaisuuttaan pitemmälle miettivän yrityksen paneutua tietoturvansa nykytilaan, etenkin jos tietoturvatoimenpiteitä, kuten tietoturva-auditointeja ei ole tehty ja mahdolliset heikkoudet yrityksen tietoturvassa ovat kartoittamatta. Laadukas ja säännöllisesti suoritetty tietoturva-auditointi, tai tietoturvakartoitus tulisi olla jokaiselle yritykselle itsestäänselvyys kyberrikollisuuden lisääntyessä rähähdysmäisesti.
NIS2 vaatimukset
Yritysten on toteutettava ”asianmukaiset ja oikeasuhteiset” tekniset ja organisatoriset toimenpiteet riskien hallitsemiseksi. Nämä keskeiset NIS2 vaatimukset ehkäisevät tietomurtojen ja väärinkäytösten tapahtumista ja ne toimivat yrityksen parhaaksi, ja niiden tulisi olla kunnossa ilman NIS2 direktiiviäkin, jotta yrityksen tietoturvan taso olisi riittävä.
1. Riskienhallinta ja dokumentointi nis2-direktiivissä
Laki edellyttää jatkuvaa, systemaattista riskienhallintaa – ei kertaluontoista kartoitusta.
Yrityksellä on oltava:
dokumentoitu riskienhallintaprosessi
ajantasainen riskirekisteri
tietoturvapolitiikka
selkeät vastuut ja roolit
lokien ja valvonnan käytännöt
Riskienhallinnan tulee kattaa ainakin:
fyysinen turvallisuus
henkilöstön turvallisuus (taustat, koulutus, perehdytys)
pääsynhallinta (least privilege -periaate)
verkko- ja järjestelmäturvallisuus
kriittisten järjestelmien suojaus
Lisäksi yrityksen on kyettävä osoittamaan valvovalle viranomaiselle, että riskienhallinta on jatkuvaa ja johdon hyväksymää.
2. Nis2-direktiivi ja Toimitusketjun turvallisuus
Tämä on yksi NIS2:n keskeisimmistä ja käytännössä haastavimmista vaatimuksista.
Yrityksen on arvioitava:
alihankkijoiden tietoturvataso
pilvipalveluntarjoajien turvallisuus
IT-palvelukumppaneiden riskit
kriittisten ohjelmistojen ja laitteiden turvallisuus
Pelkkä luottamus tai oletukset eivät riitä.
Käytännössä tämä tarkoittaa esimerkiksi:
tietoturvavaatimuksia sopimuksiin
auditointioikeutta (jotta voidaan varmistaa noudattaminen konkreettisesti)
vaatimusta ilmoittaa tietoturvaloukkauksista
alihankkijan riskiluokittelua
Toimitusketju on yleisin hyökkäysreitti, ja siksi NIS2 korostaa sitä voimakkaasti. Hyvin usein alihankkijalla tai yhteistyökumppanilla on myös hallussaan kriittistä tietoa yrityskumppaneistaan ja heidän välisistä projekteistaan, joten tietomurto alihankkijan järjestelmiin saattaisi olla kohtalokas myös toimeksiantajayritykselle ja altistaisi sen pahimmassa tapauksessa merkittäville mainehaitoille ja sanktioile NIS2:sen noudattamattajättämisestä.
3. nis2-direktiivin vaikutus Johdon ja hallituksen vastuuseen
Tämä on kohta, joka muuttaa pelin, koska tietoturvallisuuden ei tulisi muuten kaan olla pelkkä IT-osaston huoli, kuten se valitettavan monessa yrityksessä tällä hetkellä koetaan olevan. Yrityksen johto on velvollinen valvomaan ja hyväksymään kyberturvallisuuden toimenpiteet. Johdon on myös osallistuttava säännölliseen kyberturvallisuuskoulutukseen. Mikäli vaatimuksia laiminlyödään, johto voidaan asettaa henkilökohtaiseen vastuuseen.
Yrityksen johdon tulee:
hyväksyä riskienhallintatoimenpiteet
valvoa niiden toteutusta
varmistaa resurssit
osallistua säännölliseen kyberturvallisuuskoulutukseen
Johto ei voi enää vedota tietämättömyyteen.
Jos vaatimuksia laiminlyödään, seurauksena voi olla:
hallinnolliset sakot
määräykset toiminnan muuttamisesta
henkilökohtainen vastuu vakavissa tapauksissa
Tämä pakottaa hallitukset ja toimitusjohtajat ottamaan kyberturvallisuuden strategiselle tasolle.
4. Nis2 ilmoitusvelvollisuus ja poikkeamienhallinta
NIS2 tuo selkeän ilmoitusvelvollisuuden, josta voit lukea lisää tästä artikkelistamme:
varhainen varoitus 24 tunnin kuluessa
tarkempi ilmoitus 72 tunnin kuluessa
loppuraportti kuukauden sisällä
Yrityksellä on oltava:
valmiussuunnitelma
incident response -prosessi
dokumentoidut toimintamallit
testatut palautumismenettelyt
Ilman valmiutta reagoida nopeasti yritys rikkoo lakia.
5. Liiketoiminnan jatkuvuus ja palautuminen
NIS2-direktiivi edellyttää:
varmuuskopiointia
palautussuunnitelmia
kriittisten toimintojen priorisointia
häiriönsietokykyä
Kyse ei ole vain tietoturvasta, vaan yrityksen yleisestä toimintakyvystä kriisitilanteessa
6. Teknisen tietoturvan riittävä perusvaatimustaso nis2-direktiivissä
NIS2-Direktiivi korostaa myös:
monivaiheista tunnistautumista (MFA)
salattua viestintää
verkon segmentointia
haavoittuvuuksien hallintaa
tietoturvakoulutusta
Näitä ei mainita pelkkinä suosituksina, vaan minimitasona vaatimuksineen. Todellisuudessa NIS2 ei tuo “uusia” turvallisuusperiaatteita, vaan pakottaa yritykset tekemään ne asiat, jotka vastuullisessa orgnisaatiossa tulis olla jo tehtynä. NIS2-direktiivin vaatimukset toimivat yrityksen omaksi parhaaksi ja varmistavat yrityksen tulevaisuuden.
NIS2-direktiivin checklist yritykselle
Yrityksen kannattaa varmistaa NIS2-valmius systemaattisesti. Seuraava tarkistuslista auttaa arvioimaan, täyttääkö organisaatio keskeiset NIS2-vaatimukset.
Riskienhallinta on dokumentoitu
Organisaatiolla on jatkuva riskienhallintaprosessi ja ajantasainen riskirekisteri.Tietoturvapolitiikka on hyväksytty johdossa
Johto on hyväksynyt tietoturvan hallintamallin ja vastuut on määritelty.Toimitusketjun tietoturva on arvioitu asianmukaisesti
Alihankkijoiden ja palveluntarjoajien tietoturvataso on kartoitettu ja varmistettu.Poikkeamienhallintaprosessi on määritelty
Organisaatiolla on selkeä toimintamalli tietoturvapoikkeamien ja tietoturvaloukkausten käsittelyyn. Haavoittuvuuksien hallinta on siis kunnossa.NIS2-Ilmoitusvelvollisuus on huomioitu
Yrityksellä on valmius ilmoittaa merkittävistä poikkeamista viranomaisille.Varautuminen häiriötilanteisiin on suunniteltu
Organisaatiolla on asianmukaisesti dokumentoidut jatkuvuus- ja palautumissuunnitelmat häiriötilanteiden varalle.Varmuuskopiointi ja palautuminen on turvattu sekä testattu
Kriittisten järjestelmien palautus toimii käytännössä.Pääsynhallinta on toteutettu ja sitä hallitaan keskitetysti
Käytössä on least privilege -periaate (käyttäjille annetaan vain ne käyttöoikeudet, jotka ovat välttämättömiä heidän työtehtäviensä suorittamiseen). Lisäksi järjestelmissä käytetään monivaiheista tunnistautumista (MFA).Henkilöstön säännöllisestä tietoturvakoulutuksesta on huolehdittu
Henkilöstö ymmärtää tietoturvauhat ja toimintamallit.
- Tietoturvan auditointi tehdään säännöllisesti
Organisaatio arvioi tietoturvan kypsyyttä säännöllisesti tietoturva-auditoinnin avulla.
NIS2-ilmoitusvelvollisuus ja Traficom
Jos yritykseen kohdistuu merkittävä poikkeama (esim. onnistunut tietomurto), siitä on raportoitava viipymättä. Yrityksen jokaisen työntekijän tulisi olla tietoinen mahdollisista toimenpiteistä poikkeaman tapahtumisesssa ja mahdollisista seuraamuksista laiminlyöntitilanteissa.
Ennakkoilmoitus (24h): Ensimmäinen varoitus viranomaiselle (Suomessa Traficomin Kyberturvallisuuskeskus).
Poikkeamailmoitus (72h): Tarkempi selvitys tilanteesta ja vaikutuksista.
Loppuraportti (1 kk): Kattava analyysi vahingoista ja tehdyistä korjaavista toimenpiteistä.
NIS2-direktiivin sanktiot ja seuraamukset laiminlyönnistä
Laiminlyönneistä voidaan määrätä hallinnollisia sakkoja, jotka vastaavat GDPR-sanktioita:
Erittäin kriittiset toimijat: Jopa 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta.
Muut kriittiset toimijat: Jopa 7 miljoonaa euroa tai 1,4 % liikevaihdosta.
Miten yrityksen tulisi valmistautua NIS2:seen? (5 vaihetta)
Soveltuvuusanalyysi: Selvitä, kuuluuko yrityksesi tai sen asiakas suoraan sääntelyn piiriin.
Gyk-analyysi (Nykytilan kartoitus): Vertaa nykyisiä suojauksia NIS2-vaatimuksiin.
Hallintamallin rakentaminen: Päivitä turvallisuussuunnitelmat ja poikkeamienhallintaprosessit.
Henkilöstön ja johdon koulutus: Varmista, että vastuuhenkilöt ymmärtävät velvoitteensa.
Jatkuva auditointi: Kyberturvallisuus ei ole kertaprojekti, vaan jatkuva prosessi. Uhkavektorin jatkuvassa muutoksessa tietoturvan kypsyyden jatkuva tarkkailu on yritykselle välttämätöntä.
Käytännössä NIS2 tarkoittaa, että yrityksen on siirryttävä pistemäisistä tietoturvatempauksista jatkuvaan ja dokumentoituun kyberriskien hallintaprosessiin. Se tarkoittaa seuraavia asioita:
Tiukemmat tekniset vaatimukset: Yrityksen on otettava käyttöön monivaiheinen tunnistautuminen (MFA), varmistettava tietojen salaus ja huolehdittava, että varmuuskopiot ovat palautettavissa nopeasti hyökkäyksen sattuessa.
Toimitusketjun valvonta: Yrityksen on arvioitava alihankkijoidensa tietoturvataso. Jos kumppanisi tietoturva pettää, se voi olla myös sinun vastuullasi.
Johdon aktiivinen rooli: Yrityksen hallitus tai toimiva johto ei voi enää ulkoistaa tietoturvaa pelkästään IT-kumppanille. Johdon on hyväksyttävä turvallisuustoimenpiteet ja heillä on henkilökohtainen vastuu niiden toteutumisesta.
Raportointipakko: Jos yritykseen kohdistuu merkittävä tietoturvapoikkeama, siitä on tehtävä lakisääteinen ilmoitus Kyberturvallisuuskeskukselle (Traficom) erittäin tiukalla aikataululla (24h/72h).
Jatkuva koulutus: Koko henkilöstön, mutta erityisesti johdon, on ymmärrettävä kyberuhkien luonne ja osattava toimia niiden ehkäisemiseksi.
Usein kysytyt kysymykset NIS2-direktiivi (FAQ)
Milloin NIS2 tuli voimaan?
Euroopan unionin NIS2-direktiivi hyväksyttiin vuonna 2022. EU-maiden tuli saattaa direktiivi osaksi kansallista lainsäädäntöä lokakuuhun 2024 mennessä. Vuonna 2026 valvonta ja auditoinnit ovat jo täydessä käynnissä.
Ketä NIS2-direktiivi koskee?
NIS2-direktiivi koskee erityisesti kriittisillä toimialoilla toimivia keskisuuria ja suuria yrityksiä. Näihin kuuluvat esimerkiksi energia-ala, liikenne, terveydenhuolto, vesihuolto, digitaalinen infrastruktuuri sekä ICT-palveluntarjoajat. Myös osa pk-yrityksistä voi kuulua sääntelyn piiriin, jos ne ovat kriittinen osa toimitusketjua. Vaikka NIS2 ei vielä koski yritystäsi, kannattaa vaikutuspiiriin lukeutumiseen varautua ajoissa, ja NIS2 vaatimukset ovat hyvä perusta jokaiselle yritykselle.
Mikä on NIS2-laki?
Suomessa NIS2-direktiivi on toimeenpantu kyberturvallisuuslailla, joka velvoittaa kriittisten toimialojen yrityksiä huolehtimaan tietojärjestelmien turvallisuudesta ja ilmoittamaan merkittävistä tietoturvapoikkeamista viranomaisille.
Riittääkö ISO 27001 -sertifikaatti NIS2-yhteensopivuuteen?
ISO 27001 on erinomainen pohja, mutta se ei automaattisesti takaa lainmukaisuutta (esim. ilmoitusvelvollisuuden ja johdon vastuun osalta). Sertifikaatti ja laki on ”mäpättävä” yhteen.
Mikä on NIS2-ilmoitus?
NIS2-ilmoitus tarkoittaa velvollisuutta ilmoittaa merkittävistä kyberturvallisuuspoikkeamista viranomaiselle. Yrityksen on tehtävä:
ennakkovaroitus 24 tunnin kuluessa
tarkempi ilmoitus 72 tunnin kuluessa
loppuraportti kuukauden sisällä
Suomessa ilmoitus tehdään yleensä Traficomin Kyberturvallisuuskeskukselle.
Mitkä ovat NIS2-vaatimukset yrityksille?
NIS2 edellyttää yrityksiltä riskiperusteista kyberturvallisuuden hallintaa. Keskeisiä vaatimuksia ovat esimerkiksi:
tietoturvariskien hallinta
toimitusketjun turvallisuus
poikkeamienhallinta
liiketoiminnan jatkuvuussuunnittelu
pääsynhallinta ja monivaiheinen tunnistautuminen
henkilöstön tietoturvakoulutus
Mikä on NIS2-toimijaluettelo?
NIS2-toimijaluettelo on viranomaisten ylläpitämä rekisteri yrityksistä ja organisaatioista, jotka kuuluvat NIS2-sääntelyn piiriin. Suomessa toimijat ilmoittautuvat valvovalle viranomaiselle, joka ylläpitää toimialakohtaista rekisteriä.
Kuka valvoo NIS2-vaatimuksia?
Suomessa valvonnasta vastaavat toimialakohtaiset viranomaiset, kuten Traficom, Energiavirasto ja Fimea.
Mitä NIS2 tarkoittaa yrityksen arjessa?
NIS2-direktiivi tarkoittaa yrityksen arjessa sitä, että tietoturva ei ole enää pelkästään tekninen IT-asia, vaan osa yrityksen johtamista, riskienhallintaa ja päivittäisiä toimintamalleja. Yrityksen on tunnistettava tietoturvariskit, suojattava keskeiset järjestelmät sekä varauduttava kyberpoikkeamiin suunnitelmallisesti.
NIS2 ei siis tarkoita vain uusia teknisiä ratkaisuja, vaan kokonaisvaltaista tapaa hallita kyberturvallisuutta osana yrityksen normaalia toimintaa. Monelle yritykselle tämä merkitsee esimerkiksi tietoturva-auditointien tekemistä, prosessien dokumentointia ja tietoturvan nostamista osaksi strategista päätöksentekoa.
Lähteet ja lisätiedot
Kyberturvallisuuskeskus (Traficom): Ajankohtaisin tieto NIS2-valmistelusta ja poikkeamailmoituksista Suomessa.
Euroopan komissio: Alkuperäinen direktiivi ja sen tavoitteet EU-tasolla.
Finlex: Laki kyberturvallisuuden riskienhallinnasta (Suomen kansallinen lainsäädäntö).
