Kyberturvallisuuslaki vihdoin voimaan

Light surfaces, LIEKE L-symbol

Tausta ja merkitys organisaatioille

Alun perin lokakuussa 2024 kansallisesti voimaan tarkoitettu kyberturvallisuusdirektiivi NIS 2 (Network and Information Systems Directive) on nyt hyväksytty ja laki astuu voimaan 8.4.2025 alkaen. Direktiivillä korvattiin aiempi verkko- ja tietoturvadirektiivi (NIS).

Direktiivin tavoitteena on vahvistaa Euroopan unionin ja sen jäsenvaltioiden kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta kriittisiksi katsottujen sektoreiden ja toimijoiden osalta. Direktiivi asettaa vähimmäistason toimenpiteille, jotka sen soveltamisalaan kuuluvien toimijoiden on toteutettava, sekä raportointivelvollisuuden merkittävistä poikkeamista. Lisäksi tavoitteiden toteutumisen tueksi asetetaan viranomaisille tiedonsaanti- ja valvontaoikeuksia sekä sanktioidaan velvoitteiden noudattamatta jättäminen.

Uusi sääntely koskee entistä laajempaa joukkoa organisaatioita. Esimerkiksi energiasektorin osalta aiemmin sääntelyn piiriin kuuluivat sähköverkonhaltijat ja maakaasun siirtoverkonhaltijat.  NIS 2-direktiivin myötä velvoitteet koskevat aiempaa laajempaa joukkoa, eli toimijoita, joiden toimialana on sähkö, kaukolämmitys ja -jäähdytys, kaasu, vety, öljy ja latauspalvelujen tarjoajat loppukäyttäjille. Energia-alan lisäksi sääntely tulee koskettamaan toimijoita laajasti muillakin yhteiskunnalle kriittisillä toimialoilla. Tällaisia toimialoja ovat muun muassa pankkiala, terveyspalvelut, infrastruktuuri- ja liikennepalvelut, elintarviketoimiala sekä julkishallinto.

Suomessa direktiivi pantiin täytäntöön pääosin uudella kyberturvallisuuslailla (124/2025), lisäksi julkisen sektorin osalta velvoitteista säädetään myös julkisen hallinnon tiedonhallinnasta annetussa laissa (ns. tiedonhallintalaki, 906/2019), johon lisättiin oma kyberturvallisuutta koskeva luku 4a.

Lainsäädäntö asettaa NIS 2-direktiivin soveltamisalaan kuuluville toimijoille velvoitteita, jotka voidaan tiivistää ilmoittautumisvelvollisuuteen, riskienhallintavelvollisuuteen sekä raportointivelvollisuuteen. Kyberturvallisuuslain säätämisen viimemetreillä ilmoittautumisvelvollisuuden osalta säädettiin yhden kuukauden määräaika ja riskienhallinnan toimintamallin laadinnalle kolmen kuukauden määräaika lain voimaantulosta. Toimijoiden on tärkeä kuitenkin huomata, että raportointivelvollisuus astuu voimaan välittömästi lain voimaantultua.

Ilmoittautumisvelvollisuus – toimivaltaiset viranomaiset ja sääntelyn piiriin kuuluvat toimijat

Suomessa valvonta on edelleen jaettu sektorikohtaisille viranomaisille. Esimerkiksi energiasektorin osalta valvonta on jaettu Energiaviraston ja Turvallisuus- ja kemikaaliviraston (Tukes) kanssa. Lisäksi Kyberturvallisuuskeskus toimii Suomessa tietoturvaloukkauksiin reagoivana ja niitä tutkivana niin kutsuttuna CSIRT-yksikkönä.

Soveltamisalaan kuuluvien toimijoiden kannalta on huomattava, että toimijoilla on itsenäinen velvollisuus tunnistaa kuuluvansa lain soveltamisalan piiriin ja ilmoittautua toimivaltaisen viranomaisen ylläpitämään toimijaluetteloon.

On kuitenkin huomattava, että NIS 2-direktiivi ja siihen perustuva kansallinen lainsäädäntö ei koske kaikkia kyberturvallisuuslaissa määriteltyjen toimialojen organisaatioita, vaan lähtökohtaisesti toimijan koko määrittää lopulta lainsäädännön soveltumisen. Koosta riippumatta myös tiettyä laissa määritettyä toimintoa tai tehtävää hoitavat toimijat voivat olla sääntelyn piirissä. Lainsäädäntö soveltuu lähtökohtaisesti keskisuuriin tai tätä suurempiin toimijoihin, eli toimijoihin, joiden palveluksessa on vähintään 50 työntekijää tai joiden vuosiliikevaihto ja tase ovat yli 10 miljoonaa euroa.

NIS 2-direktiiviä ja sen perusteella annettua lainsäädäntöä sovelletaan kuitenkin myös koosta riippumatta niihin toimijoihin, joiden toiminta katsotaan muutoin yhteiskunnan kannalta kriittiseksi. Soveltumiskynnyksen arviointi voi siis tulla kyseeseen myös toiminnan kriittisyyden kautta.

Riskienhallintavelvoitteet

Riskienhallintavelvoitteiden noudattamiseksi toimijan tulee ylläpitää ajantasaista kyberturvallisuuden riskienhallintamallia, joka suojaa viestintäverkot, tietojärjestelmät ja niiden fyysisen ympäristön poikkeamilta ja niiden vaikutuksilta.

Lainsäädäntö asettaa vähimmäistason riskienhallintavelvoitteille, jotka kaikkien soveltamisalaan kuuluvien toimijoiden tulee ottaa käyttöön riskiperustaisesti. Näihin riskienhallintavelvoitteisiin sisältyy muun muassa riskianalyysit, toiminnan jatkuvuuden hallinta sekä poikkeamien käsittely ja havainnointi. Lainsäädännön lähestymistapa on teknologianeutraali. Viranomaiset voivat antaa toimialakohtaista lisäohjeistusta, mistä syystä viranomaisten tiedonantoja on syytä seurata aktiivisesti.

Raportointivelvoitteet

Lainsäädäntö asettaa toimijoille kolmiportaisen raportointivelvollisuuden merkittävistä poikkeamista. Merkittävällä poikkeamalla tarkoitetaan poikkeamaa, jolla on merkittävä vaikutus palvelujen tarjoamiseen, kuten vakavat toimintahäiriöt, taloudelliset tappiot tai muut huomattavat vahingot.

Kolmiportainen raportointivelvoite tarkoittaa sitä, että ensimmäinen ilmoitus (ns. “ennakkovaroitus” tai “ensi-ilmoitus”) tulee toimittaa viimeistään 24 tunnin, toinen ilmoitus (ns. ”poikkeamailmoitus” tai “jatkoilmoitus”) viimeistään 72 tunnin, ja loppuraportti viimeistään kuukauden kuluttua poikkeaman havaitsemisesta. Raporttien tulee sisältää muun muassa tietoja poikkeaman sisällöstä sekä mahdollisista epäillyistä rikoksista tai rajat ylittävistä vaikutuksista. Toimijoiden on suositeltavaa luoda riittävä sisäiset prosessit sen varmistamiseksi, että he pystyvät noudattamaan säädettyjä raportointiaikoja.

Viranomaisen puolelta lähtökohtana on se, että sen on annettava vastaus 24 tunnin kuluessa poikkeaman tehneelle toimijalle.  Lisäksi on syytä huomioida, että toimijalle voi syntyä velvollisuus tiedottaa merkittävästä poikkeamasta myös palvelujensa käyttäjiä.

Valvonta ja sanktiot velvoitteiden laiminlyönnistä

Edellä määritellyt velvoitteet koskevat lainsäädännön soveltamisalaan kuuluvia toimijoita yhtäläisesti. Kuitenkin valvonnan piiriin kuuluvat toimijat on jaoteltu keskeisiin toimijoihin sekä muihin kuin keskeisiin toimijoihin, joiden osalta voidaan puhua myös tärkeistä toimijoista.

Ero näiden toimijoiden osalta löytyy valvonnasta. Viranomainen kohdistaa keskeisiin toimijoihin sekä etukäteis- että jälkivalvontaa ja muihin kuin keskeisiin toimijoihin lähtökohtaisesti ainoastaan jälkivalvontaa.

Velvoitteiden laiminlyönnistä voidaan määrätä hallinnollinen seuraamusmaksu, joka on suuruudeltaan keskeisille yrityksille enintään 10 miljoonaa euroa tai 2 prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Muulle kuin keskeiselle toimijalle vastaavat summat ovat 7 miljoonaa euroa tai 1,4 prosenttia. Seuraamusmaksun määrä perustuu kokonaisarviointiin ja sen määrää valvovan viranomaisen esityksestä erityinen Liikenne- ja viestintäviraston yhteyteen perustettu seuraamusmaksulautakunta.

Lopuksi

NIS 2-direktiivin perusteella annettu lainsäädäntö laajentaa lainsäädännön soveltamisalaan kuuluvien toimijoiden joukkoa sekä asettaa soveltamisalaan kuuluville toimijoille entistä laajempia velvoitteita.

Alan toimijoiden on tärkeää tiedostaa uudistunut lainsäädäntöpohja ja omalta osaltaan arvioida, kuuluvatko he sääntelyn soveltamisalaan. Jos organisaatio kuuluu sääntelyn soveltamisalaan, sen tulee ilmoittautua toimialansa valvovalle viranomaiselle sekä lisäksi arvioida tietojärjestelmiinsä ja viestintäverkkoihinsa liittyviä riskejä ja jo olemassa olevia kyberturvallisuustoimenpiteitä sekä niiden riittävyyttä.

Lisätietoa antaa