Kyberturvallisuus: NIS2-direktiivi astui voimaan Suomessa

Kirjoittaja

Antti Lassila

8. huhtikuuta 2025 astui Suomessa voimaan uusi kyberturvallisuuslaki, joka tuo isoja muutoksia sadoille organisaatioille. Kyseessä on EU:n NIS2-direktiivin kansallinen toimeenpano. Ja kyllä, se saattaa koskea myös sinun organisaatiotasi.

Mikä on NIS2?

NIS2 (Network and Information Security Directive 2) on Euroopan unionin kyberturvallisuusdirektiivi, jonka tavoitteena on:

parantaa organisaatioiden valmiuksia torjua ja havaita kyberuhkia
varmistaa yhteiskunnan kriittisten ja tärkeiden palveluiden jatkuvuus
tuoda yhdenmukaiset turvallisuusvaatimukset koko EU:n alueelle

Käytännössä NIS2 velvoittaa laajan joukon yrityksiä ja julkisia organisaatioita tunnistamaan, hallitsemaan ja raportoimaan kyberturvallisuuteen liittyviä riskejä suunnitelmallisesti ja dokumentoidusti.

Keitä NIS2 koskee?

Uusi laki laajentaa valvonnan piiriin aiempaa enemmän toimijoita. NIS2 koskee muun muassa energia-, liikenne-, pankki-, terveys-, ja digi-infrastruktuurialan toimijoita. Tarkemmin pääset tutustumaan toimialoihin tästä Kyberturvallisuuskeskuksen taulukosta.

Mitä vaatimuksia NIS2 pitää sisällään?

Direktiivi ei puhu pelkästä palomuurista tai salasanan vaihtamisesta. Se vaatii kokonaisvaltaista otetta digiturvaan. Keskeiset vaatimukset ovat:

Riskienhallinta – kyberriskien tunnistaminen, arviointi ja hallinta on oltava jatkuvaa ja dokumentoitua
Häiriöihin varautuminen – palveluiden on pysyttävä toimintakykyisinä myös kyberhäiriöiden aikana
Ilmoitusvelvollisuus – tietoturvaloukkauksista on raportoitava nopeasti Traficomille
Vastuut selväksi – organisaatiossa on oltava nimetyt kyberturvallisuuden vastuuhenkilöt
Toimittajaketju haltuun – myös alihankkijoiden ja teknisten kumppaneiden tietoturva on varmistettava

NIS2 siis käytännössä edellyttää, että sen piiriin lukeutuvat yhtiöt käsittelevät ja dokumentoivat tietoturva-asiansa asianmukaisesti. Ja kyllä – lakiin sisältyy myös sanktioita. Pahimmillaan kyse on jopa miljoonaluokan hallinnollisista seuraamuksista.

Miten NIS2 liittyy meihin, verkkosivustoihin ja muihin digitaalisiin palveluihin?

Jos tarjoat tai käytät digitaalisia palveluja, kuten verkkosivustoja, asiointipalveluita tai muita verkon kautta käytettäviä ratkaisuja, NIS2 voi vaikuttaa monella tasolla:

Palvelinten ja konesalien valinta – missä ja miten verkkosivustoasi isännöidään, on tietoturvakysymys
Käyttäjähallinta ja pääsynhallinta – kuka pääsee sisään järjestelmiin ja millä oikeuksilla
Päivityskäytännöt ja tekninen ylläpito – haavoittuvuuksien paikkaaminen ja järjestelmien ajantasaisuus
Dokumentointi ja valmiussuunnitelmat – mitä tapahtuu, jos sivusto kaatuu kyberhyökkäyksen vuoksi?

Me Into-Digitalilla rakennamme verkkopalveluita, jotka kestävät aikaa ja kyberuhkia. NIS2:n myötä yhä useampi asiakkaistamme kysyy: miten meidän sivuston tietoturva on järjestetty? Hyvä kysymys, ja juuri oikeaan aikaan.

NIS2 ei koske meitä suoraan. Me kuitenkin olemme lukuisten sellaisten asiakkaiden kumppani, joita sääntely koskettaa. Ja täten olemme osa toimitusketjua, jonka täytyy vastaamaan asiakkaitamme velvoittaviin vaatimuksiin ja odotuksiin laadukkaasti.

Kuinka varautua?

Seuraavassa tiivis muistilista NIS2:n huomiointiin:

Selvitä, kuuluuko organisaatiosi NIS2:n soveltamisalaan
Arvioi nykyinen kyberturvallisuuden taso ja dokumentaatio
Nimeä vastuuhenkilöt ja varmista osaaminen
Rakenna suunnitelma: riskienhallinta, varautuminen ja viestintä
Keskustele teknisten kumppaneiden (kuten meidän) kanssa palveluiden tietoturvasta
Ota mukaan organisaationne asiantuntijat, jotka tuntevat sekä teknologian että vaatimukset

Autamme mielellämme

Olemme kumppani, joka ei vain rakenna digitaalisia palveluja. Edistämme asiakkaidemme liiketoimintaa digitaalisten ratkaisujen välityksellä. Kyberturvallisuus on yksi osa tätä kokonaisuutta. Autamme asiakkaitamme: