NIS2 pantiin Suomessa täytäntöön kyberturvallisuuslailla, joka tuli voimaan 8.4.2025. Se velvoittaa yhteiskunnan kriittisten toimialojen toimijat hallitsemaan kyberturvallisuusriskejä ja raportoimaan merkittävät poikkeamat valvovalle viranomaiselle. Valvonnasta vastaa keskitetysti Traficomin Kyberturvallisuuskeskus, joka toimii myös keskitettynä yhteyspisteenä ja CSIRT-yksikkönä. Keskeiset määräajat vuonna 2025 olivat toimijaluetteloon ilmoittautuminen 8.5.2025 mennessä ja riskienhallinnan toimintamallin laatiminen 8.7.2025 mennessä. Tässä oppaassa käydään läpi, keitä laki koskee ja mitä se edellyttää.
Mikä on NIS2 ja kyberturvallisuuslaki?
NIS2-direktiivi (2022/2555) on EU:n kyberturvallisuusdirektiivi, joka korvaa aiemman NIS-direktiivin ja laajentaa velvoitteet merkittävästi useammalle toimialalle. Suomessa direktiivi pantiin täytäntöön kansallisella kyberturvallisuuslailla. Laki asettaa vähimmäistoimet, jotka kaikkien velvoitettujen toimijoiden on toteutettava kyberturvallisuusriskien hallitsemiseksi, sekä velvoitteen ilmoittaa merkittävistä poikkeamista.
Virallinen tieto löytyy Traficomin Kyberturvallisuuskeskuksen sivuilta. Yleiskuva kansallisesta sääntelystä: tietosuoja Suomessa.
Keitä NIS2 koskee?
NIS2 jakaa toimijat kahteen luokkaan, joilla on eri tason valvonta ja seuraamukset: olennaiset toimijat (essential entities) ja tärkeät toimijat (important entities). Luokitteluun vaikuttavat toimiala ja yrityksen koko. Direktiivin toimialoihin kuuluvat muun muassa energia, liikenne, terveydenhuolto, digitaalinen infrastruktuuri, julkishallinto, vesihuolto, jätehuolto ja elintarvikkeet. Perusteet: NIS2:n olennaiset ja tärkeät toimijat.
Traficomin valvontavastuu laajeni uuden lain myötä kattamaan muun muassa posti- ja kuriiripalvelut, avaruusalan, julkishallinnon, hallintopalvelujen tuottajat, kyberturvallisuuspalvelujen tuottajat, tutkimustoiminnan ja ajoneuvovalmistuksen. Toimialakohtaisia valvovia viranomaisia on lisäksi useita.
Keskeiset velvoitteet ja määräajat
| Velvoite | Määräaika 2025 | Sisältö |
|---|---|---|
| Toimijaluetteloon ilmoittautuminen | 8.5.2025 | Rekisteröityminen valvovalle viranomaiselle |
| Riskienhallinnan toimintamalli | 8.7.2025 | Kirjallinen malli vähimmäistoimista |
| Poikkeamien raportointi | Jatkuva | Ennakkoilmoitus 24 h, seuranta myöhemmin |
| Toimitusketjun turvallisuus | Jatkuva | Alihankkijoiden riskien hallinta |
| Johdon vastuu | Jatkuva | Johto hyväksyy ja valvoo toimenpiteet |
Poikkeamaraportoinnissa noudatetaan vaiheittaista mallia: varhainen ennakkoilmoitus (yleensä 24 tunnin kuluessa), tarkempi poikkeamailmoitus ja loppuraportti. Katso NIS2-poikkeamaraportointi ja riskienhallinnan periaatteet NIS2-riskienhallinnasta.
Seuraamukset
NIS2:n seuraamukset ovat merkittävät ja porrastettu toimijaluokan mukaan. Olennaisille toimijoille hallinnollinen seuraamusmaksu voi olla enintään 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta, tärkeille toimijoille enintään 7 miljoonaa euroa tai 1,4 %. Lisäksi johdolle voidaan asettaa henkilökohtaista vastuuta. Katso NIS2:n seuraamukset.
NIS2 ja GDPR limittyvät
Sama tietoturvapoikkeama voi olla samanaikaisesti NIS2:n kyberturvallisuuspoikkeama ja GDPR:n henkilötietojen tietoturvaloukkaus. Tällöin syntyy kaksi eri raportointivelvoitetta eri viranomaisille eri määräajoissa. Yhtenäinen poikkeamien luokittelu ja dokumentaatio säästää työtä – katso poikkeamaraportointi DORA, NIS2 ja GDPR ja erot NIS2 vs GDPR. Legiscope hoitaa tietosuojan ydinvelvoitteet EU-isännöinnissä, mikä täydentää NIS2:n kyberturvallisuustyötä. Työkaluvertailu: paras NIS2-ohjelmisto.
NIS2:n toimialat: olennaiset ja tärkeät toimijat
NIS2 jakaa velvoitetut toimijat kahteen luokkaan toimialan ja koon perusteella. Karkeasti direktiivin liitteen I erittäin kriittiset toimialat kuuluvat pääsääntöisesti olennaisiin toimijoihin ja liitteen II muut kriittiset toimialat tärkeisiin toimijoihin. Kokorajat (yleensä keskisuuri yritys ja sitä suuremmat) vaikuttavat luokitteluun, mutta eräät toimijat kuuluvat soveltamisalaan kokoon katsomatta.
| Luokka | Toimialoja |
|---|---|
| Olennaiset toimijat (liite I) | Energia, liikenne, pankkitoiminta, finanssimarkkinoiden infrastruktuuri, terveydenhuolto, juoma- ja jätevesi, digitaalinen infrastruktuuri, TVT-palvelujen hallinta, julkishallinto, avaruusala |
| Tärkeät toimijat (liite II) | Posti- ja kuriiripalvelut, jätehuolto, kemikaalit, elintarvikkeet, valmistava teollisuus (mm. lääkinnälliset laitteet, elektroniikka, koneet, ajoneuvot), digitaaliset palvelut (verkossa toimivat markkinapaikat, hakukoneet, sosiaaliset alustat), tutkimus |
Ero luokkien välillä ei ole vain muodollinen: olennaisiin toimijoihin kohdistuu ennakollinen ja jatkuva valvonta, kun taas tärkeitä toimijoita valvotaan pääsääntöisesti jälkikäteisesti. Tarkempi luokittelulogiikka: NIS2:n olennaiset ja tärkeät toimijat ja kokonaiskuva NIS2-compliance-oppaasta.
Riskienhallinnan vähimmäistoimet
Kyberturvallisuuslaki edellyttää, että velvoitetut toimijat toteuttavat oikeasuhtaiset tekniset ja organisatoriset toimet kyberturvallisuusriskien hallitsemiseksi. NIS2-direktiivin 21 artiklan mukainen vähimmäistaso kattaa muun muassa:
- riskienhallinnan ja tietojärjestelmien turvallisuuspolitiikat
- poikkeamien käsittelyn ja havainnoinnin
- toiminnan jatkuvuuden, varmuuskopioinnin ja kriisinhallinnan
- toimitusketjun turvallisuuden ja alihankkijoiden riskien hallinnan
- turvallisuuden järjestelmien hankinnassa, kehittämisessä ja ylläpidossa
- menettelyt toimien vaikuttavuuden arvioimiseksi
- kyberhygienian perustason ja henkilöstön koulutuksen
- salauksen ja tarvittaessa vahvan tunnistautumisen käytön
- pääsynhallinnan ja omaisuudenhallinnan
Näiden toimien on oltava kirjallisesti dokumentoituja riskienhallinnan toimintamallissa, jonka laatimisen määräaika oli 8.7.2025. Periaatteet: NIS2-riskienhallinta.
Poikkeaman raportointi vaiheittain
Merkittävästä poikkeamasta on ilmoitettava valvovalle viranomaiselle vaiheittain. Ensimmäinen vaihe on varhainen ennakkoilmoitus, joka on annettava yleensä 24 tunnin kuluessa poikkeaman havaitsemisesta. Sitä seuraa tarkempi poikkeamailmoitus, jossa kuvataan tapahtuma ja sen vaikutukset, ja lopuksi loppuraportti, jossa esitetään syyt, vaikutukset ja korjaavat toimet. Merkittävänä pidetään poikkeamaa, joka aiheuttaa vakavan toimintahäiriön tai taloudellista vahinkoa taikka vaikuttaa muihin luonnollisiin henkilöihin tai yhteisöihin. Vaiheittainen malli: NIS2-poikkeamaraportointi.
Näin valmistaudut NIS2:een
Käytännön valmistautuminen etenee järjestelmällisesti:
- Soveltuvuuden arviointi. Selvitä, oletko olennainen vai tärkeä toimija toimialan ja koon perusteella.
- Ilmoittautuminen toimijaluetteloon. Rekisteröidy valvovalle viranomaiselle (määräaika oli 8.5.2025).
- Riskiarvio ja toimintamalli. Laadi kirjallinen riskienhallinnan toimintamalli 21 artiklan vähimmäistoimista (määräaika oli 8.7.2025).
- Poikkeamaprosessi. Rakenna havainnointi- ja ilmoitusprosessi 24 tunnin ennakkoilmoitusta varten.
- Toimitusketju. Arvioi kriittisten alihankkijoiden ja ICT-toimittajien riskit.
- Johdon vastuu. Varmista, että johto hyväksyy ja valvoo toimenpiteet – vastuu on henkilökohtaista.
NIS2 ja DORA finanssisektorilla
Finanssitoimijoilla NIS2 ja DORA voivat molemmat tulla sovellettaviksi, mutta DORA on finanssisektorin erityissääntelyä (lex specialis): sen ICT-riskienhallinnan ja poikkeamaraportoinnin vaatimukset syrjäyttävät NIS2:n vastaavat velvoitteet finanssitoimijoiden osalta. Suomessa DORA:n valvonnasta vastaa Finanssivalvonta, ei Traficom. Erot ja rajanveto: DORA Suomessa ja DORA vs NIS2.
Johdon vastuu ja henkilöstön rooli
NIS2:n merkittävä uudistus on johdon henkilökohtainen vastuu. Toimijan ylimmän johdon on hyväksyttävä kyberturvallisuuden riskienhallintatoimet, valvottava niiden toteutumista ja osallistuttava säännölliseen koulutukseen. Johto voidaan asettaa vastuuseen laiminlyönneistä, ja valvova viranomainen voi ääritapauksessa kieltää vastuuhenkilöä toimimasta johtotehtävissä, kunnes puutteet on korjattu. Tämä nostaa kyberturvallisuuden hallituksen ja johtoryhmän agendalle: kyse ei ole enää pelkästään IT-osaston tehtävästä.
Henkilöstön koulutus on osa 21 artiklan vähimmäistoimia. Kyberhygienian perustaso – vahvat tunnukset, päivitykset ja tietojenkalastelun tunnistaminen – edellytetään koko organisaatiolta, koska suuri osa poikkeamista alkaa inhimillisestä virheestä. Käytännössä johdon vastuu ja henkilöstön koulutus muodostavat NIS2:n hallinnollisen selkärangan: ilman johdon sitoutumista tekniset toimet jäävät helposti puolitiehen, ja ilman koulutettua henkilöstöä parhaatkin järjestelmät vaarantuvat arjen virheistä.
Valvonta ja täytäntöönpano Suomessa
Traficomin Kyberturvallisuuskeskuksella on käytössään porrastetut valvontakeinot. Olennaisiin toimijoihin voidaan kohdistaa ennakollisia tarkastuksia ja auditointeja, kun taas tärkeitä toimijoita valvotaan pääosin jälkikäteen poikkeamien ja ilmoitusten perusteella. Keinovalikoimaan kuuluvat ohjeet, määräykset, varoitukset ja viime kädessä edellä kuvatut hallinnolliset seuraamusmaksut. Traficom toimii lisäksi keskitettynä yhteyspisteenä ja CSIRT-yksikkönä, joka tukee toimijoita poikkeamatilanteissa ja jakaa tilannekuvaa. CSIRT-yksikön rooli on kaksitahoinen: se ei ainoastaan vastaanota ilmoituksia vaan myös varoittaa toimijoita ajankohtaisista uhkista ja koordinoi laajojen poikkeamien käsittelyä kansallisesti. Toimivan poikkeamaprosessin ohella toimijan kannattaa siksi ylläpitää suoraa yhteyttä keskukseen. Työkalut velvoitteiden hallintaan: NIS2-compliance-ohjelmisto.
Usein kysytyt kysymykset
Milloin NIS2 tuli voimaan Suomessa?
Kansallinen kyberturvallisuuslaki tuli voimaan 8.4.2025. Toimijaluetteloon oli ilmoittauduttava 8.5.2025 mennessä ja riskienhallinnan toimintamalli laadittava 8.7.2025 mennessä.
Kuka valvoo NIS2:ta Suomessa?
Keskitetysti Traficomin Kyberturvallisuuskeskus, joka toimii myös keskitettynä yhteyspisteenä ja CSIRT-yksikkönä. Toimialakohtaisia valvovia viranomaisia on lisäksi useita.
Mitä seuraa NIS2-velvoitteiden laiminlyönnistä?
Olennaiselle toimijalle enintään 10 miljoonaa euroa tai 2 % liikevaihdosta, tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4 %. Lisäksi johto voi olla henkilökohtaisesti vastuussa.
Mihin toimialoihin NIS2 vaikuttaa Suomessa?
NIS2 kattaa muun muassa energian, liikenteen, terveydenhuollon, digitaalisen infrastruktuurin, julkishallinnon, vesi- ja jätehuollon, elintarvikkeet, posti- ja kuriiripalvelut, avaruusalan ja tutkimuksen. Toimijat jaetaan olennaisiin ja tärkeisiin toimialan ja koon mukaan.
Mitkä ovat NIS2:n riskienhallinnan vähimmäistoimet?
Muun muassa turvallisuuspolitiikat, poikkeamien käsittely, toiminnan jatkuvuus ja varmuuskopiointi, toimitusketjun turvallisuus, salaus ja vahva tunnistautuminen, pääsynhallinta sekä henkilöstön koulutus. Ne on dokumentoitava kirjallisessa toimintamallissa.
Mitä johdon vastuu tarkoittaa NIS2:ssa?
Ylimmän johdon on hyväksyttävä kyberturvallisuuden riskienhallintatoimet, valvottava niitä ja osallistuttava koulutukseen. Johto voidaan asettaa henkilökohtaiseen vastuuseen laiminlyönneistä, ja ääritapauksessa vastuuhenkilöä voidaan kieltää toimimasta johtotehtävissä, kunnes puutteet on korjattu.
Onko NIS2 sama asia kuin GDPR?
Ei. NIS2 koskee kyberturvallisuutta ja koko organisaation toimintavarmuutta, kun taas GDPR koskee henkilötietojen suojaa. Sama poikkeama voi kuitenkin laukaista molempien ilmoitusvelvollisuudet eri viranomaisille eri määräajoissa.
Yhteenveto
NIS2 pantiin Suomessa täytäntöön kyberturvallisuuslailla, joka tuli voimaan 8.4.2025. Traficomin Kyberturvallisuuskeskus valvoo velvoitteita, joihin kuuluvat toimijaluetteloon ilmoittautuminen, riskienhallinnan toimintamalli, poikkeamien raportointi ja toimitusketjun turvallisuus. Koska NIS2 ja GDPR limittyvät poikkeamissa, yhtenäinen dokumentaatio kannattaa. Legiscope hoitaa tietosuojan ytimen EU-isännöinnissä. Katso myös finanssisektorin sääntely DORA Suomessa.
Viimeksi tarkistettu: heinäkuu 2026.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial