Tietosuoja

NIS2 Suomessa 2026: kyberturvallisuuslaki, Traficom ja velvoitteet

NIS2 Suomessa 2026: kyberturvallisuuslaki voimaan 8.4.2025, Traficomin Kyberturvallisuuskeskuksen valvonta, toimijaluettelo, riskienhallinta ja poikkeamien raportointi.

Also available in:Français·Deutsch·Español·Polski·et

NIS2 pantiin Suomessa täytäntöön kyberturvallisuuslailla, joka tuli voimaan 8.4.2025. Se velvoittaa yhteiskunnan kriittisten toimialojen toimijat hallitsemaan kyberturvallisuusriskejä ja raportoimaan merkittävät poikkeamat valvovalle viranomaiselle. Valvonnasta vastaa keskitetysti Traficomin Kyberturvallisuuskeskus, joka toimii myös keskitettynä yhteyspisteenä ja CSIRT-yksikkönä. Keskeiset määräajat vuonna 2025 olivat toimijaluetteloon ilmoittautuminen 8.5.2025 mennessä ja riskienhallinnan toimintamallin laatiminen 8.7.2025 mennessä. Tässä oppaassa käydään läpi, keitä laki koskee ja mitä se edellyttää.

Mikä on NIS2 ja kyberturvallisuuslaki?

NIS2-direktiivi (2022/2555) on EU:n kyberturvallisuusdirektiivi, joka korvaa aiemman NIS-direktiivin ja laajentaa velvoitteet merkittävästi useammalle toimialalle. Suomessa direktiivi pantiin täytäntöön kansallisella kyberturvallisuuslailla. Laki asettaa vähimmäistoimet, jotka kaikkien velvoitettujen toimijoiden on toteutettava kyberturvallisuusriskien hallitsemiseksi, sekä velvoitteen ilmoittaa merkittävistä poikkeamista.

Virallinen tieto löytyy Traficomin Kyberturvallisuuskeskuksen sivuilta. Yleiskuva kansallisesta sääntelystä: tietosuoja Suomessa.

Keitä NIS2 koskee?

NIS2 jakaa toimijat kahteen luokkaan, joilla on eri tason valvonta ja seuraamukset: olennaiset toimijat (essential entities) ja tärkeät toimijat (important entities). Luokitteluun vaikuttavat toimiala ja yrityksen koko. Direktiivin toimialoihin kuuluvat muun muassa energia, liikenne, terveydenhuolto, digitaalinen infrastruktuuri, julkishallinto, vesihuolto, jätehuolto ja elintarvikkeet. Perusteet: NIS2:n olennaiset ja tärkeät toimijat.

Traficomin valvontavastuu laajeni uuden lain myötä kattamaan muun muassa posti- ja kuriiripalvelut, avaruusalan, julkishallinnon, hallintopalvelujen tuottajat, kyberturvallisuuspalvelujen tuottajat, tutkimustoiminnan ja ajoneuvovalmistuksen. Toimialakohtaisia valvovia viranomaisia on lisäksi useita.

Keskeiset velvoitteet ja määräajat

Velvoite Määräaika 2025 Sisältö
Toimijaluetteloon ilmoittautuminen 8.5.2025 Rekisteröityminen valvovalle viranomaiselle
Riskienhallinnan toimintamalli 8.7.2025 Kirjallinen malli vähimmäistoimista
Poikkeamien raportointi Jatkuva Ennakkoilmoitus 24 h, seuranta myöhemmin
Toimitusketjun turvallisuus Jatkuva Alihankkijoiden riskien hallinta
Johdon vastuu Jatkuva Johto hyväksyy ja valvoo toimenpiteet

Poikkeamaraportoinnissa noudatetaan vaiheittaista mallia: varhainen ennakkoilmoitus (yleensä 24 tunnin kuluessa), tarkempi poikkeamailmoitus ja loppuraportti. Katso NIS2-poikkeamaraportointi ja riskienhallinnan periaatteet NIS2-riskienhallinnasta.

Seuraamukset

NIS2:n seuraamukset ovat merkittävät ja porrastettu toimijaluokan mukaan. Olennaisille toimijoille hallinnollinen seuraamusmaksu voi olla enintään 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta, tärkeille toimijoille enintään 7 miljoonaa euroa tai 1,4 %. Lisäksi johdolle voidaan asettaa henkilökohtaista vastuuta. Katso NIS2:n seuraamukset.

NIS2 ja GDPR limittyvät

Sama tietoturvapoikkeama voi olla samanaikaisesti NIS2:n kyberturvallisuuspoikkeama ja GDPR:n henkilötietojen tietoturvaloukkaus. Tällöin syntyy kaksi eri raportointivelvoitetta eri viranomaisille eri määräajoissa. Yhtenäinen poikkeamien luokittelu ja dokumentaatio säästää työtä – katso poikkeamaraportointi DORA, NIS2 ja GDPR ja erot NIS2 vs GDPR. Legiscope hoitaa tietosuojan ydinvelvoitteet EU-isännöinnissä, mikä täydentää NIS2:n kyberturvallisuustyötä. Työkaluvertailu: paras NIS2-ohjelmisto.

NIS2:n toimialat: olennaiset ja tärkeät toimijat

NIS2 jakaa velvoitetut toimijat kahteen luokkaan toimialan ja koon perusteella. Karkeasti direktiivin liitteen I erittäin kriittiset toimialat kuuluvat pääsääntöisesti olennaisiin toimijoihin ja liitteen II muut kriittiset toimialat tärkeisiin toimijoihin. Kokorajat (yleensä keskisuuri yritys ja sitä suuremmat) vaikuttavat luokitteluun, mutta eräät toimijat kuuluvat soveltamisalaan kokoon katsomatta.

Luokka Toimialoja
Olennaiset toimijat (liite I) Energia, liikenne, pankkitoiminta, finanssimarkkinoiden infrastruktuuri, terveydenhuolto, juoma- ja jätevesi, digitaalinen infrastruktuuri, TVT-palvelujen hallinta, julkishallinto, avaruusala
Tärkeät toimijat (liite II) Posti- ja kuriiripalvelut, jätehuolto, kemikaalit, elintarvikkeet, valmistava teollisuus (mm. lääkinnälliset laitteet, elektroniikka, koneet, ajoneuvot), digitaaliset palvelut (verkossa toimivat markkinapaikat, hakukoneet, sosiaaliset alustat), tutkimus

Ero luokkien välillä ei ole vain muodollinen: olennaisiin toimijoihin kohdistuu ennakollinen ja jatkuva valvonta, kun taas tärkeitä toimijoita valvotaan pääsääntöisesti jälkikäteisesti. Tarkempi luokittelulogiikka: NIS2:n olennaiset ja tärkeät toimijat ja kokonaiskuva NIS2-compliance-oppaasta.

Riskienhallinnan vähimmäistoimet

Kyberturvallisuuslaki edellyttää, että velvoitetut toimijat toteuttavat oikeasuhtaiset tekniset ja organisatoriset toimet kyberturvallisuusriskien hallitsemiseksi. NIS2-direktiivin 21 artiklan mukainen vähimmäistaso kattaa muun muassa:

  • riskienhallinnan ja tietojärjestelmien turvallisuuspolitiikat
  • poikkeamien käsittelyn ja havainnoinnin
  • toiminnan jatkuvuuden, varmuuskopioinnin ja kriisinhallinnan
  • toimitusketjun turvallisuuden ja alihankkijoiden riskien hallinnan
  • turvallisuuden järjestelmien hankinnassa, kehittämisessä ja ylläpidossa
  • menettelyt toimien vaikuttavuuden arvioimiseksi
  • kyberhygienian perustason ja henkilöstön koulutuksen
  • salauksen ja tarvittaessa vahvan tunnistautumisen käytön
  • pääsynhallinnan ja omaisuudenhallinnan

Näiden toimien on oltava kirjallisesti dokumentoituja riskienhallinnan toimintamallissa, jonka laatimisen määräaika oli 8.7.2025. Periaatteet: NIS2-riskienhallinta.

Poikkeaman raportointi vaiheittain

Merkittävästä poikkeamasta on ilmoitettava valvovalle viranomaiselle vaiheittain. Ensimmäinen vaihe on varhainen ennakkoilmoitus, joka on annettava yleensä 24 tunnin kuluessa poikkeaman havaitsemisesta. Sitä seuraa tarkempi poikkeamailmoitus, jossa kuvataan tapahtuma ja sen vaikutukset, ja lopuksi loppuraportti, jossa esitetään syyt, vaikutukset ja korjaavat toimet. Merkittävänä pidetään poikkeamaa, joka aiheuttaa vakavan toimintahäiriön tai taloudellista vahinkoa taikka vaikuttaa muihin luonnollisiin henkilöihin tai yhteisöihin. Vaiheittainen malli: NIS2-poikkeamaraportointi.

Näin valmistaudut NIS2:een

Käytännön valmistautuminen etenee järjestelmällisesti:

  1. Soveltuvuuden arviointi. Selvitä, oletko olennainen vai tärkeä toimija toimialan ja koon perusteella.
  2. Ilmoittautuminen toimijaluetteloon. Rekisteröidy valvovalle viranomaiselle (määräaika oli 8.5.2025).
  3. Riskiarvio ja toimintamalli. Laadi kirjallinen riskienhallinnan toimintamalli 21 artiklan vähimmäistoimista (määräaika oli 8.7.2025).
  4. Poikkeamaprosessi. Rakenna havainnointi- ja ilmoitusprosessi 24 tunnin ennakkoilmoitusta varten.
  5. Toimitusketju. Arvioi kriittisten alihankkijoiden ja ICT-toimittajien riskit.
  6. Johdon vastuu. Varmista, että johto hyväksyy ja valvoo toimenpiteet – vastuu on henkilökohtaista.

NIS2 ja DORA finanssisektorilla

Finanssitoimijoilla NIS2 ja DORA voivat molemmat tulla sovellettaviksi, mutta DORA on finanssisektorin erityissääntelyä (lex specialis): sen ICT-riskienhallinnan ja poikkeamaraportoinnin vaatimukset syrjäyttävät NIS2:n vastaavat velvoitteet finanssitoimijoiden osalta. Suomessa DORA:n valvonnasta vastaa Finanssivalvonta, ei Traficom. Erot ja rajanveto: DORA Suomessa ja DORA vs NIS2.

Johdon vastuu ja henkilöstön rooli

NIS2:n merkittävä uudistus on johdon henkilökohtainen vastuu. Toimijan ylimmän johdon on hyväksyttävä kyberturvallisuuden riskienhallintatoimet, valvottava niiden toteutumista ja osallistuttava säännölliseen koulutukseen. Johto voidaan asettaa vastuuseen laiminlyönneistä, ja valvova viranomainen voi ääritapauksessa kieltää vastuuhenkilöä toimimasta johtotehtävissä, kunnes puutteet on korjattu. Tämä nostaa kyberturvallisuuden hallituksen ja johtoryhmän agendalle: kyse ei ole enää pelkästään IT-osaston tehtävästä.

Henkilöstön koulutus on osa 21 artiklan vähimmäistoimia. Kyberhygienian perustaso – vahvat tunnukset, päivitykset ja tietojenkalastelun tunnistaminen – edellytetään koko organisaatiolta, koska suuri osa poikkeamista alkaa inhimillisestä virheestä. Käytännössä johdon vastuu ja henkilöstön koulutus muodostavat NIS2:n hallinnollisen selkärangan: ilman johdon sitoutumista tekniset toimet jäävät helposti puolitiehen, ja ilman koulutettua henkilöstöä parhaatkin järjestelmät vaarantuvat arjen virheistä.

Valvonta ja täytäntöönpano Suomessa

Traficomin Kyberturvallisuuskeskuksella on käytössään porrastetut valvontakeinot. Olennaisiin toimijoihin voidaan kohdistaa ennakollisia tarkastuksia ja auditointeja, kun taas tärkeitä toimijoita valvotaan pääosin jälkikäteen poikkeamien ja ilmoitusten perusteella. Keinovalikoimaan kuuluvat ohjeet, määräykset, varoitukset ja viime kädessä edellä kuvatut hallinnolliset seuraamusmaksut. Traficom toimii lisäksi keskitettynä yhteyspisteenä ja CSIRT-yksikkönä, joka tukee toimijoita poikkeamatilanteissa ja jakaa tilannekuvaa. CSIRT-yksikön rooli on kaksitahoinen: se ei ainoastaan vastaanota ilmoituksia vaan myös varoittaa toimijoita ajankohtaisista uhkista ja koordinoi laajojen poikkeamien käsittelyä kansallisesti. Toimivan poikkeamaprosessin ohella toimijan kannattaa siksi ylläpitää suoraa yhteyttä keskukseen. Työkalut velvoitteiden hallintaan: NIS2-compliance-ohjelmisto.

Usein kysytyt kysymykset

Milloin NIS2 tuli voimaan Suomessa?

Kansallinen kyberturvallisuuslaki tuli voimaan 8.4.2025. Toimijaluetteloon oli ilmoittauduttava 8.5.2025 mennessä ja riskienhallinnan toimintamalli laadittava 8.7.2025 mennessä.

Kuka valvoo NIS2:ta Suomessa?

Keskitetysti Traficomin Kyberturvallisuuskeskus, joka toimii myös keskitettynä yhteyspisteenä ja CSIRT-yksikkönä. Toimialakohtaisia valvovia viranomaisia on lisäksi useita.

Mitä seuraa NIS2-velvoitteiden laiminlyönnistä?

Olennaiselle toimijalle enintään 10 miljoonaa euroa tai 2 % liikevaihdosta, tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4 %. Lisäksi johto voi olla henkilökohtaisesti vastuussa.

Mihin toimialoihin NIS2 vaikuttaa Suomessa?

NIS2 kattaa muun muassa energian, liikenteen, terveydenhuollon, digitaalisen infrastruktuurin, julkishallinnon, vesi- ja jätehuollon, elintarvikkeet, posti- ja kuriiripalvelut, avaruusalan ja tutkimuksen. Toimijat jaetaan olennaisiin ja tärkeisiin toimialan ja koon mukaan.

Mitkä ovat NIS2:n riskienhallinnan vähimmäistoimet?

Muun muassa turvallisuuspolitiikat, poikkeamien käsittely, toiminnan jatkuvuus ja varmuuskopiointi, toimitusketjun turvallisuus, salaus ja vahva tunnistautuminen, pääsynhallinta sekä henkilöstön koulutus. Ne on dokumentoitava kirjallisessa toimintamallissa.

Mitä johdon vastuu tarkoittaa NIS2:ssa?

Ylimmän johdon on hyväksyttävä kyberturvallisuuden riskienhallintatoimet, valvottava niitä ja osallistuttava koulutukseen. Johto voidaan asettaa henkilökohtaiseen vastuuseen laiminlyönneistä, ja ääritapauksessa vastuuhenkilöä voidaan kieltää toimimasta johtotehtävissä, kunnes puutteet on korjattu.

Onko NIS2 sama asia kuin GDPR?

Ei. NIS2 koskee kyberturvallisuutta ja koko organisaation toimintavarmuutta, kun taas GDPR koskee henkilötietojen suojaa. Sama poikkeama voi kuitenkin laukaista molempien ilmoitusvelvollisuudet eri viranomaisille eri määräajoissa.

Yhteenveto

NIS2 pantiin Suomessa täytäntöön kyberturvallisuuslailla, joka tuli voimaan 8.4.2025. Traficomin Kyberturvallisuuskeskus valvoo velvoitteita, joihin kuuluvat toimijaluetteloon ilmoittautuminen, riskienhallinnan toimintamalli, poikkeamien raportointi ja toimitusketjun turvallisuus. Koska NIS2 ja GDPR limittyvät poikkeamissa, yhtenäinen dokumentaatio kannattaa. Legiscope hoitaa tietosuojan ytimen EU-isännöinnissä. Katso myös finanssisektorin sääntely DORA Suomessa.

Viimeksi tarkistettu: heinäkuu 2026.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →