Kyberturvallisuuslaki astui voimaan – ilmoittaudu toimijaluetteloon viimeistään 8.5.
Euroopan unionin NIS2-direktiivin pohjalta valmisteltu uusi kyberturvallisuuslaki tuli voimaan 8.4.2025 ja tuo merkittäviä velvoitteita useille eri toimialojen yrityksille. Lain tavoitteena on vahvistaa kyberturvallisuutta ja yhtenäistää turvallisuustasoa koko EU:n alueella. Tärkeiksi ja keskeisiksi toimijoiksi määritellyille yrityksille tuli useita velvoitteita. Tarkista, kuulutko Turvallisuus- ja kemikaaliviraston (Tukes) valvonnan vastuusektorille ja ilmoittaudu toimijaluetteloon viimeistään 8.5.2025.
Keitä velvoitteet koskevat?
Kyberturvallisuusvelvoitteet koskevat vain riittävän suuria tai kriittisiä toimijoita. Esimerkiksi Tukesin valvomilla toimialoilla yritys kuuluu velvoitteiden piiriin, jos sillä on vähintään 50 työntekijää tai sen vuosiliikevaihto ja taseen loppusumma ylittävät 10 miljoonaa euroa.
Yritykset jaetaan kahteen ryhmään kriittisyyden perusteella: keskeisiin ja tärkeisiin toimijoihin. Velvoitteet koskevat yhtä lailla tärkeitä ja keskeisiä toimijoita, mutta viranomainen valvoo näitä eri tavoin. Vain keskeisiin toimijoihin kohdistetaan ennakkovalvontaa.
Tukesin valvontavastuulle kuuluvat seuraavat toimialat:
- Energiasektori: öljyn jalostus ja jakeluterminaalit, vedyn tuotanto ja varastointi sekä metaanin tuotanto, varastointi ja jalostus.
- Kemikaalisektori: REACH-asetuksen perusteella rekisteröitävien aineiden ja esineiden valmistus sekä kemikaalien jakelu silloin, kun toiminta on kemikaaliturvallisuuslain (390/2005) mukaan lupa- tai ilmoitusvelvollista. Huom. Velvoitteet koskevat aineiden ja seosten jakelua, mutta ei seosten valmistajia.
- Valmistussektori: tietokoneiden, elektronisten ja optisten tuotteiden valmistus, sähkölaitteiden valmistus sekä muiden koneiden ja laitteiden valmistus NACE Rev. 2-luokituksen mukaisesti.
Löydät tarkemmat toimialakohtaiset määritelmät ja ohjeet Tukesin verkkosivuilta. Kaikki valvovat viranomaiset vastuusektoreineen löydät listattuna Traficomin Kyberturvallisuuskeskuksen verkkosivuilta.
Toimijaluetteloon ilmoittautuminen on pakollista
Yrityksillä on velvollisuus:
- ilmoittautua toimijaluetteloon viimeistään 8.5.
- toteuttaa lainmukaiset kyberturvallisuuden riskienhallintavelvoitteet
- ilmoittaa viipymättä palveluun kohdistuvasta merkittävästä poikkeamasta.
Yrityksen on selvitettävä, mille viranomaiselle ilmoitus kuuluu tehdä, sillä valvontavastuu vaihtelee toimialoittain. Ilmoittautuminen Tukesin toimijaluetteloon tehdään oma-aloitteisesti sähköisen asiointipalvelun kautta. Ilmoituksen tekijällä on oltava oikeus asioida yrityksen puolesta. Oikeus voi olla esim. kaupparekisteriin merkitty rooli, jolla on oikeus edustaa yritystä yksin. Jos oikeutta ei ole, yritys voi valtuuttaa henkilön Suomi.fi-asiointivaltuudella. Lisätietoja yrityksen puolesta asioinnista ja valtuuksien antamisesta yrityksenä löydät Suomi.fi-valtuuksien ohjeista kohdasta Organisaation puolesta asiointi ja Valtuuksien antaminen organisaationa.
Riskienhallinnan toimintamalli tulee olla laadittuna viimeistään 8.7.2025. Suomessa poikkeamailmoitukset tehdään Kyberturvallisuuskeskuksen NIS2-ilmoitussovelluksella, josta tieto välittyy sekä Tukesille että Kyberturvallisuuskeskukselle.
Muutokset kemikaaliturvallisuuslakiin
Tukesin kemikaaliturvallisuusluvalla toimivien yritysten on huolehdittava kyberturvallisuudesta. Kemikaaliturvallisuuslakiin (390/2015) lisättiin viittaus kyberturvallisuuslakiin (5 §) ja uusi pykälä 109 a, jonka mukaan yrityksen tulee korjata määräajassa kyberturvallisuuteen liittyvät puutteet tai Tukes voi peruuttaa kemikaaliturvallisuusluvan kokonaan tai osittain.
Lisätietoa:
Kybeturvallisuus Tukesin verkkosivuilla
Kyberturvallisuuskeskuksen verkkosivut
Kysymykset:
