Skip to content

NIS2-direktiivi

EU:n kyberturvallisuusdirektiivin kansallinen soveltaminen tapahtuu kyberturvallisuuslain kautta. Liity NIS2-tiedotuslistallemme ja pysyt ajan tasalla!

cybersec_f
Dashboard

NIS2-direktiivi ja kyberturvallisuuslaki

NIS2 eli kyberturvallisuusdirektiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, jonka tavoitteena on yhtenäistää ja parantaa EU:n kyberturvallisuuden yleistä tasoa. NIS2 korvaa aiemman NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia. Direktiivin kansallinen soveltaminen Suomessa tapahtuu uuden kyberturvallisuuslain kautta. Lakiesitys hyväksyttiin eduskunnassa maaliskuussa 2025 ja se astui voimaan 8.4.2025.

Laki määrittelee vähimmäistoimenpiteet, jotka toimijan tulee toteuttaa. Direktiivissä ja laissa korostuu riskienhallinta ja uutena vaatimuksena mukaan tulee mm. fyysinen turvallisuus. Lisäksi merkittäviä vaatimuksia on mm. jatkuva tietoturvavalvonta, tietoverkkojen segmentointi sekä henkilökunnan koulutus. Laki sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti tilanteista. Sen myötä keskeisiä toimijoita valvotaan aktiiviisesti (etukäteen) ja tärkeitä toimijoita passiivisesti (jälkikäteen). Hallinnolliset seuraamukset ovat myös merkittäviä.  

Kyberturvallisuuslaki astui voimaan – Mitä nyt?

Ilmoittautuminen rekisteriin

Lain piirissä olevien tulee ilmoittautua omalle valvovalle viranomaiselle kuukauden kuluessa lain voimaantulosta eli 8.5. mennessä. Tiedot valvovista viranomaisista, tarvittavat tiedot ilmoittautumiseen ja muuta tärkeää tietoa löydät kyberturvallisuuskeskuksen sivuilta.

Riskienhallinnan toimintamalli

Riskienhallinnan toimintamalli on laadittava kolmen kuukauden kuluessa lain voimaantulosta. Mahdolliset olemassa olevat riskienhallinan toimintamallit tulee mukauttaa lain vaatimaan formaattiin. Olemassa olevat sertifioinnit kuten ISO 27001 luovat hyvän pohjan mutta eivät suoraan sellaisenaan käy tarkoitukseen.  

 

Keitä laki koskee, mitä nyt tulee tehdä ja miten NIS2-vaatimustenmukaisuudesta huolehditaan jatkossa?
Näihin kysymyksiin saat vastaukset videolla, jossa haastattelussa on tietoturvakonsulttimme ja NIS2-asiantuntijamme Laura Halonen. 

Selvyyttä teidän NIS2-tilanteeseenne? 

Voimme auttaa NIS2-direktiivin ja kyberturvallisuuslain vaatimustenmukaisuudessa monella tavalla. Olemme auttaneet kymmeniä asiakkaita heidän NIS2-tilanteen kartoittamisessa, kehityksen johtamisessa ja vaatimustenmukaisuuden saavuttamisessa. Konsultoinnin lisäksi tuotamme NIS2:n vaatimaa jatkuvaa tietoturvavalvontaa (CSOC) sekä segmentoituja verkkoratkaisuja aina yhteyksistä asiantuntijapalveluihin. 

Sparraa NIS2-asiantuntijan kanssa

Jos tilanne mietityttää, niin voit varata kanssamme maksuttoman sparrituokion, jossa asiantuntijamme käy kanssanne juuri teidän tilannettanne läpi ja auttaa priorisoimaan ajattelua. Tapaaminen ei sido teitä mihinkään. Tarjoamme toki myös apua itse vaatimustenmukaisuuden saavuttamiseen, jos tarvetta sellaiseen ilmenee.

 

NIS2-kartoitus nykytilan selvittämiseen

Toimialan, lähtötason ja liiketoiminnan vaatimukset huomioiva kartoitus toimii helppona lähtönä vaatimustenmukaisuuden saavuttamiselle. Saat kokonaisvaltaisen ymmärryksen ympäristöstänne NIS2-vaatimuksiin nähden sekä selkeän ja konkreettisen toimintasuunnitelman kohti NIS2-vaatimustenmukaisuutta. Loppuraportti kostaa ja analysoi havainnot sekä priorisoi toimenpidesuositukset kehityspoluksi.
Hinta: 5 400 €, alv 0 %

NIS2 Compliance Support 6kk

NIS2 Compliance Support -palvelulla  asiantuntijamme tulee tueksenne 6kk johtamaan toimintanne vaatimusten mukaiseksi ajallaan. Palvelussa muodostetaan tiekartta, priorisoidaan toimenpiteet ja pystytetään ympäristö vaatimustenmukaisuuden seuraamista varten. Viikottaisissa läpikäynneissä käydään tilanteen edistymistä läpi ja kuukausittain muodostetaan johdonraportit, joiden pohjalta todellinen eteneminen on helppo käydä läpi esim. johtoryhmäpalavereissa.  

Tukea tavoitetilan saavuttamiseen

Kyberturvan asiantuntijapalvelumme tukevat laaja-alaisesti NIS2-direktiivin vaatimusten eri osa-alueita. Meiltä saat tukea mm. seuraaviin osa-alueisiin:

Politiikat, suunnitelmat ja häiriönhallinta

Olemassa olevien suunnitelmien ja politiikkojen katselmointi ja parannusehdotusten laadinta. Häiriönhallintasuunnitelman (MIM-prosessi) laadinta ja työstäminen yhdessä asiakkaan kanssa vastaamaan asiakkaan tarpeita.

Verkkosuunnittelu ja IAM

Suunnittelupalvelujen kautta voimme laatia suunnitelman lokienhallinnan, verkon segmentoinnin tai identiteetin- ja pääsyhallinnan toteuttamiseksi. Voimme myös auttaa ratkaisujen toteuttamisessa.

Haavoittuvuuksien hallinta

Haavoittuvuuksien tunnistuspalvelun avulla haavoittuvuudet saadaan hallintaan ja pystytään varmistamaan ettei ympäristössä ole kriittisiä haavoittuvuuksia.

Toiminnan jatkuvuuden hallinta

Voimme auttaa tietoliikenteen salauksen, varmistuksien ja palautuksien sekä assettien hallinnan teknisen ratkaisun määrittelyssä ja toteuttamisessa.

Kyberturvakoulutukset

Valmentavien palveluiden kautta voimme laatia kertakoulutuksia tai vuosisuunnitelman koulutuksien pitämiseksi. Tietoturvatietosuutta kasvattavia koulutuksia voidaan pitää suomen ja englannin kielellä.

Fyysisen turvallisuuden ratkaisut

Direktiivissä myös fyysisen turvallisuuden varmistaminen tulee mukaan. Kokonaisvaltaisena yritysturvallisuuden kumppaninasi saat meiltä myös tarvitsemasi turvateknologiat.

Miksi valita meidät NIS2-kumppaniksi?

Asiantuntija käytettävissäsi

Tietoturvan asiantuntija aina vastaamassa tietoturvan ja turvallisuuden kysymyksiin.

Laura Halonen
Lauralla on laaja-alaista kokemusta erilaisista yritysinfrastruktuureista. Pääasiassa taustalla on käyttäjä- ja sovellushallinnan vastuita hybridiympäristöissä. CSOC:ssa vietetyt vuodet paransivat entisestään puolustavan turvallisuuden tuntemusta. Zero Trust –sukupolvea.

Motto: ”Test, Fix, Secure, Repeat”

icon
Picture

Kokonaisvaltaista turvaa

Laaja-alainen osaaminen mahdollistaa kokonaisvaltaisen tietoturvan kehittämisen.

Juha Pennanen
Juha on kokenut moniosaaja. Juhan asiakaslähtöisellä lähestymistavalla tietoturva- ja tietosuoja-asioihin löydetään aina asiakkaan liiketoimintaan istuva ratkaisu. Kokonaiskuvan ymmärtäminen auttaa priorisoimaan asiat ja keskittymään olennaiseen.”

Motto: ”Kokemus tuo varmuutta”

icon
Picture

Hyvä tietää NIS2-direktiivistä

Loihde_some (58)

Toimialat, joita direktiivi koskee

Direktiivi koskee automaattisesti kaikkia keskisuuria (50+ henkilöä ja yli 10 milj. liikevaihto) ja suuria yrityksiä, jotka toimivat kriittisillä toimialoilla.

Direktiivi koskee myös kaikkia kansallisesti kriittiseksi toimijoiksi määriteltyjä koosta riippumatta, toimijoille ilmoitetaan tästä. Toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin.

otscada

Keskeiset toimijat

Liikenne, energia, pankki ja finanssi, terveys, vesi, IT-infra, ICT-palvelut, julkishallinto, avaruus

Tärkeät toimijat

Posti, jätehuolto, kemikaalit, elintarvikkeet, valmistava teollisuus, digipalvelut, tutkimus

Tarkempi taulukko toimijoista ja valvovista viranomaisista löytyy Kyberturvallisuuskeskuksen sivulta

Loihde - Person writing on a whiteboard - DSCF2801 - 1920 x 1280

Mikä muuttuu?

  • Direktiivin piiriin kuuluvien toimialojen (yritysten) määrä kasvaa
  • Riskienhallinta korostuu
  • Tietoturvaan lisää vaatimuksia
  • Viranomaisten valvonta ja ohjaus kasvaa
  • Mahdolliset sanktiot
  • Toimitusketjut hallintaan
  • Raportointivaatimukset tiukemmat
Loihde - Light bulb close-up - DSCF2790 - 1920 x 1280

Sanktiot

  • Liiketoiminnan väliaikainen keskeyttäminen
  • Toimitusjohtajan tai vastaavan laillisen edustajan johtotehtäväkielto
  • Hallinnollinen sakko keskeiselle toimijalle enintään 10 miljoonaa euroa tai 2 % liikevaihdosta
  • Hallinnollinen sakko tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4 % liikevaihdosta
NIS2-soveltamisopas FISC

NIS2-soveltamisopas

Kyberala ry (FISC) on julkaissut NIS2-soveltamisoppaan. Tavoitteena on tukea Suomessa toimivien yritysten kyberturvallisuustyötä vastaamaan muuttuvia lainsäädäntövelvoitteita.

Avaa opas

NIS2-direktiivin vaatimukset

Loihde - 20230317-DSCF2709 - 1920 x 2880
  • Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
  • Poikkeamien käsittely
  • Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
  • Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
  • Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
  • Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
  • Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
  • Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
  • Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
  • Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa

Kertauksena askeleet vaatimustenmukaisuuteen

Loihde_some (57)-1

1. Selvitä lähtötaso NIS2-kartoituksella

Kartoitus, joka huomioi toimialanne erityispiirteet, nykytilanteen ja liiketoiminnan tarpeet, tarjoaa vaivattoman lähtökohdan NIS2-vaatimusten täyttämiselle. Saat kattavan käsityksen organisaationne tilasta suhteessa NIS2-sääntelyyn sekä selkeän ja käytännönläheisen suunnitelman vaatimustenmukaisuuden saavuttamiseksi.

2. Suunnittele ja toteuta toimenpiteet

Kartoituksen myötä tai muuten tunnistettujen puutteiden korjaustoimien suunnitteluun ja toteutukseen saat käyttöösi Loihteen asiantuntijatiimin. Kyberturvan asiantuntijapalvelumme tukevat laaja-alaisesti NIS2-direktiivin vaatimusten eri osa-alueita. Meiltä saat tukea mm. politiikoiden ja muiden dokumenttien luontiin, häriönhallintaan, ratkaisusuunnitteluihin ja haavoittuvuuksien hallintaan, fyysistä turvallisuutta unohtamatta.

Loihde - 20230317-DSCF3068 - 1920 x 1280
Loihde - Workstations at office - 1920 x 1280

3. Varmista toimiva aktiivinen valvonta, reagointi ja kehitys

NIS2 tavoittelee parempaa tietoturvan tasoa ja siksi valvonta on tärkeä osa vaatimustenmukaisuutta. Direktiivi sisältää myös tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja lähetä piti -tilanteista. Kellon ympäri miehitetty CSOC-kyberturvakeskuksemme varmistaa osaltaan liiketoimintasi jatkuvuuden ja kehittymisen.

4. Hallintajärjestelmä johtamisen ja kehityksen tueksi

Tietoturvanhallintajärjestelmää hyödyntämällä kehitys kohti vaatimuksenmukaisuutta helpottuu. Järjestelmä parantaa merkittävästi organisaation kykyä raportoida, todentaa ja arvioida tehtyjen toimenpiteiden vaikutusta. Suosittelemme jonkin hallintajärjestelmän käyttöä tietoturvatason kehityksen johtamisen avuksi.

Loihde_some (60)

Tietoturvallisuuden hallintajärjestelmät

Tietoturvan johtamisen ja kehityksen tuki

Digiturvamalli

Digiturvamallin avulla hallitset tietoturvan kehitystä yhdestä paikasta. Järjestelmä sisältää NIS2-direktiivin lisäksi myös muut yleisimmät tietoturvan ja -suojan vaatimuskehikot (esim. ISO 27001, GDPR, Tiedonhallintalaki ja Katakri). Digiturvamalli on kätevästi käytettävissä suoraan Microsoft Teams:sta tai vaihtoehtoisesti selaimella.

Digiturvamalli sisältää:

  • Tietoturvatoimenpiteiden hallinnan
  • Dokumentoinnin työkalut
  • Henkilöstön ohjeistukset
  • Automaattiset raporttiohjeistukset
 

vCISO-palvelu

vCISO:n ja asiantuntijamme avulla hallinnoit tietoturvaa ja vaatimustenmukaisuutta kokonaisvaltaisesti. Palvelussamme tietoturva- ja vaatimustasonne määritellään järjestelmään kartoituksen ja teknisten tarkistusten myötä. Järjestelmään muodostuu tietoturvan kehityssuunnitelma tehtävineen valittujen vaatimusten (esim. NIST 800-53, ISO27001 ja GDPR ) tietoturvakäytäntöjen mukaisesti.

Palvelu sisältää:

  • Tietoturvan tilannearviointi
  • Vaatimustenmukaisuuden arviointi määriteltyjä viitekehyksiä vasten
  • Julkiverkon haavoittuvuuksien tunnistaminen
  • Tietoturva-ammattilaisten määrittelemät tietoturvakäytänteet ja priorisoidut toimenpidesuositukset
  • Jatkuva tietoturvatason mittaaminen ja hallinta
  • Säännöllinen tietoturvan raportointi