Kyberturvallisuus (NIS2)
Euroopan unionin NIS2-direktiivin pohjalta valmisteltu uusi kyberturvallisuuslaki tuli voimaan 8.4.2025 ja tuo merkittäviä kyberturvallisuusvelvoitteita useille toimijoille eri toimialoilla. Lain tavoitteena on vahvistaa kyberturvallisuutta ja yhtenäistää turvallisuustasoa koko EU:n alueella.
Traficomin kyberturvallisuuskeskus on koonnut NIS2-direktiivistä tietopaketin sivuilleen. Tutustu direktiivin sisältöön ja velvoitteisiin.
Kyberturvallisuuslaki koskee laajasti useita eri toimialoja. Velvoitteet koskevat toimijoita ainoastaan, jos ne ovat kooltaan riittävän suuria tai niiden toiminta katsotaan muuten kriittiseksi.
Tukesin valvomilla toimialoilla yritys kuuluu velvoitteiden piiriin, kun yrityksessä on vähintään 50 työntekijää tai vuosiliikevaihto ja taseen loppusumma ylittävät 10 miljoonaa euroa.
Keskeiset ja tärkeät toimijat
Toimijat jaetaan kriittisyyden perusteella keskeisiin (kriittisempi) ja tärkeisiin (vähemmän kriittinen) toimijoihin.
Energiasektorin yritys määritellään keskeiseksi toimijaksi (kriittisempi), jos yrityksellä on vähintään 250 työntekijää tai yrityksen vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa. Kemikaali- ja valmistussektorin yritykset luetaan tärkeiksi (vähemmän kriittisiksi) toimijoiksi.
Keskeisiä toimijoita ovat CER-direktiivin nojalla kriittiseksi määritellyt toimijat. CER-direktiivin täytäntöönpano on vielä kesken eikä kriittisiä toimijoita ole määritelty. Toimija voi olla keskeinen myös koosta riippumatta, jos joku seuraavista kriteereistä täyttyy:
- Toimija tarjoaa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen, ja jota muut toimijat eivät tarjoa.
- Häiriö toimijan tarjoamassa palvelussa vaikuttaisi merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen.
- Häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia.
- Toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jonkin Euroopan unionin jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.
Näitä kriteerejä voidaan täsmentää valtioneuvoston asetuksella.
Katso tarkemmat toimialakohtaiset määritelmät Kyberturvallisuuskeskuksen verkkosivujen liitteestä. Lakia ei sovelleta toimijaan, jos liitteen mukainen toiminta on satunnaista ja vähäistä. Toiminnan satunnaisuutta ja vähäisyyttä tulee arvioida suhteessa toiminnan ajalliseen kestoon, toiminnan pääasialliseen tarkoitukseen, toiminnan laajuuteen ja toiminnasta riippuvien henkilöiden tai asiakkaiden määrään. Yrityksen toimintaa on siis tarkasteltava laajemmin kuin pääasiallisen toiminnan tai toimialaksi ilmoitetun luokituksen kautta. Tutustu myös Komission suositukseen pienten ja keskisuurten yritysten määritelmästä 2003/361/EY.
Tukesin valvonnan vastuusektorit
Energiasektori
Valvonta on jaettu Tukesin ja Energiaviraston kanssa siten, että Tukes valvoo energiaa tuottavia ja varastoivia yrityksiä. Energiavirasto puolestaan valvoo jakelu- ja siirtoverkon haltijoita sekä maakaasun myyjiä.
Tukes valvoo seuraavia toimijoita energia-alalla:
- Öljyala (öljyn jalostus ja jakeluterminaalit)
- Vedyn tuotantoa ja varastointia harjoittavat toimijat
- Kaasualan toimijoihin kuuluvat
- metaanin tuotanto-, varastointi-, käsittely-, jalostus- ja nesteytyslaitteistojen haltijat sekä tätä toimintaa harjoittavat yritykset ja
- edellä mainittujen toimijoiden kaupallisista-, teknisistä- ja ylläpitotehtävistä vastaavat toimijat.
Kemikaalien valmistus, tuotanto ja jakelu
Kyberturvallisuuslaki määrittelee tärkeiksi toimijoiksi kemikaalien valmistajat, tuottajat sekä jakelijat. Sektori on määritelty EU:n REACH-asetuksen (EY N:o 1907/2006) ja kemikaaliturvallisuuslain (390/2005) kautta. Kyberturvallisuuslain velvoitteet koskevat yritystä, jos yrityksen valmistama aine (ei seos) tai esine on REACH-asetuksen perusteella rekisteröitävä ja toiminta edellyttää kemikaaliturvallisuuslain (390/2005) 23 §:ssä tarkoitettua lupaa tai 24 §:ssä tarkoitettua ilmoitusta. Myös lupa- tai ilmoitusvelvolliset kemikaalien jakelijat kuuluvat soveltamisalaan. Lisätietoa toimialan määrittelystä löydät erillisestä tulkintaohjeesta (katso PDF-tiedosto). Euroopan kemikaalivirasto ECHA:n sivuilla on lisätietoa valmistajan ja jakelijan määrittelystä.
Valmistus
NIS2-direktiivissä valmistussektori määritellään EU:ssa käytettävän toimialaluokituksen (NACE) perusteella. Valmistussektoriin luetaan seuraavat toimialat ja ne kuuluvat Tukesin valvontavastuulle:
- NACE Rev. 2-luokituksen C jakson kaksinumerotasossa 26 tarkoitettua tietokoneiden sekä elektronisten ja optisten tuotteiden valmistusta harjoittavat yritykset
- NACE Rev. 2-luokituksen C jakson kaksinumerotasossa 27 tarkoitettua sähkölaitteiden valmistusta harjoittavat yritykset ja
- NACE Rev. 2-luokituksen C jakson kaksinumerotasossa 28 tarkoitettua muiden koneiden ja laitteiden valmistusta harjoittavat yritykset.
Katso lisätietoa NACE/TOL-toimialaluokituksesta Tullin verkkosivuilta. Oleellista on tarkastella kaksinumerotasoa (26, 27 ja 28) eli onko valmistettu tuote kaksinumerotason tarkoittama laite. Alatasot voivat helpottaa tunnistamisessa, mutta niissä ei ole lueteltu kaikkia kaksinumerotason tarkoittamia laitteita.
Velvoitteet koskevat yhtä lailla tärkeitä ja keskeisiä toimijoita, mutta viranomainen valvoo näitä eri tavoin. Vain keskeisiin toimijoihin kohdistetaan ennakkovalvontaa.
Kaikki valvovat viranomaiset vastuusektoreineen löydät listattuna Traficomin Kyberturvallisuuskeskuksen verkkosivuilta.
Toimijoilla on velvollisuus:
- ilmoittautua viimeistään 8.5. Tukesin toimijaluetteloon
- toteuttaa lainmukaiset kyberturvallisuuden riskienhallintavelvoitteet
- ilmoittaa viipymättä palveluun kohdistuvasta merkittävästä poikkeamasta.
Toimijalla on oltava käytössä ajantasainen kyberturvallisuuden riskienhallinnan toimintamalli viestintäverkkojen ja tietojärjestelmien suojaamiseksi. Riskienhallinnan toimintamalli tulee olla laadittuna viimeistään 8.7.
Lue lisää vaatimuksista Kyberturvallisuuskeskuksen verkkosivuilta.
Toimijan on itse tunnistettava kuuluvansa lain soveltamisalaan ja ilmoittauduttava oma-aloitteisesti toimijaluetteloon. Voit käyttää apuna Tukesin arviointityökalua.
Toimijaluetteloon ilmoittaudutaan sähköisessä asiointipalvelussa.
Samalla lomakkeella yritys voi:
- ilmoittautua Tukesin toimijaluetteloon
- ilmoittaa toimijaluettelon tietojen muutoksista
- ilmoittaa, että ei enää kuulu sääntelyn soveltamisalaan.
Ilmoituksessa kerätään kyberturvallisuuslain 41§:n mukaiset tiedot toimijasta ja toiminnasta. Toimijoiden on ilmoitettava muutoksista tietoihin valvovalle viranomaiselle kahden viikon kuluessa muutoshetkestä.
HUOM. Ilmoituksen tekijällä on oltava oikeus asioida yrityksen puolesta. Oikeus voi olla esim. kaupparekisteriin merkitty rooli, jolla on oikeus edustaa yritystä yksin. Jos oikeutta ei ole, yritys voi valtuuttaa henkilön Suomi.fi- asiointivaltuudella. Valtuusasiassa on maininta KEHA-keskus > Aluehallinnon asiointipalvelu, joka koskee Tukesin asiointia sähköisessä asiointipalvelussa.
Lisätietoja yrityksen puolesta asioinnista ja valtuuksien antamisesta yrityksenä löydät Suomi.fi-valtuuksien ohjeista kohdasta Organisaation puolesta asiointi ja Valtuuksien antaminen organisaationa.
IP-osoitteiden antamisesta valvovalle viranomaiselle säädetään NIS2-direktiivissä, kyberturvallisuuslaissa, tiedonhallintalaissa ja sähköisen viestinnän palveluista annetussa laissa (NIS2-direktiivin artiklat 3 ja 27, kyberturvallisuuslain 41 §, tiedonhallintalain 18 a § ja SVPL 165 §)
IP-osoitteiden antaminen mahdollistaa ennakoivan haavoittuvuuksien, kyberuhkien ja turvattomasti määritettyjen viestintäverkkojen ja tietojärjestelmien asetuksien havaitsemisen NIS2-direktiviin kohteena olevista organisaatioista. Näistä havainnoista ilmoitetaan organisaatiolle, mikä parantaa asianomaisten tahojen mahdollisuuksia suojautua haavoittuvuuksien hyväksikäytöltä ja kyberuhilta. Suomessa toimenpiteistä vastaa Liikenne- ja viestintäviraston nk. CSIRT-yksikkö, jolla on oikeus saada valvovalta viranomaiselta tietoja toimijaluettelosta (Kyberturvallisuuslaki 41 §).
NIS2-direktiivin vaatimusten mukaisesti sääntelyn piiriin kuuluvan toimijan on ilmoitettava valvovalle viranomaiselle kaikki toimijalle kuuluvat julkiset IP-osoitealueet. Tarkoituksena ei ole ilmoittaa mahdollisten asiakasorganisaatioiden IP-osoitealueita. Myöskään tiheällä aikavälillä vaihtuvia, ns. dynaamisia IP-osoitteita, ei ole tarkoituksenmukaista ilmoittaa.
Tehokkaiden avustavien toimenpiteiden varmistamiseksi kannustamme toimijoita antamaan lomakkeella mahdollisuuksien mukaan tarkentavia lisätietoja IP-osoitealueista.
Mikäli toimijan IP-osoitteita hallinnoi joku toinen osapuoli esim. teleoperaattori tai palveluntarjoaja, on sääntelyn piirissä olevan toimijan tehtävä hankkia nämä IP-osoitetiedot ja toimittaa tiedot edelleen valvovalle viranomaiselle.
IP-osoite: Internetiin kytketyn tietojenkäsittely- tai tiedonsiirtolaitteen tai verkkoliittymän yksilöivä numeerinen tunnus esimerkiksi 198.51.100.34
IP-osoitealue: Useamman julkisen verkko-osoitteen (IP-osoitteen) muodostama IP-osoitealue.
IP-osoitealueet tulee ilmoittaa NIS2-toimijaluetteloon seuraavassa muodossa:
- 198.51.100.0–198.51.100.255 tai 93.190.96.0-93.190.103.255 (IP-range) tai
- 198.51.100.0/24 tai 93.190.96.0/21 (CIDR-muoto).
Tiedot on mahdollista ilmoittaa tarvittaessa myös yksittäisinä IP-osoitteina, mikäli laajempi osoitealue ei ole tiedossa:
- esim. 198.51.100.34 tai
- IPv6-muodossa: esim. 2001:db8:3333:4444:5555:6666:7777:8888 tai
2001:0db8:3333:4444:0000:0000:0000:0000/64 (CIDR-muoto).
HUOM. Seuraavat verkot ovat yksityisiä verkkoja, eli sisäisiä osoitealueita, eikä niitä tule ilmoittaa toimijaluetteloon:
- IPv4:
- 10.0.0.0-10.255.255.255 tai 10.0.0.0/8
- 172.16.0.0-172.31.255.254 tai 172.16.0.0/12
- 192.168.0.0-192.168.255.255 tai 192.168.0.0/24
- IPv6:
- fc00::/7
- fec0::/10
Tarvittavien tietojen selvittämiseksi suosittelemme teitä olemaan yhteydessä omaan IT-ylläpitoonne tai palveluntarjoajaanne.
Kyberturvallisuuslain 11§:n mukaan toimijan on viipymättä ilmoitettava valvovalle viranomaiselle merkittävästä poikkeamasta.
Suomessa poikkeamailmoitus tehdään Kyberturvallisuuskeskuksen NIS2-ilmoitussovelluksella. Käytettäessä NIS2-ilmoitussovellusta, tieto välittyy Tukesin lisäksi myös Kyberturvallisuuskeskukselle.
Merkittävällä poikkeamalla tarkoitetaan poikkeamaa, joka
- on aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön tai huomattavia taloudellisia tappioita asianomaiselle toimijalle, sekä
- on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.
Ensi-ilmoitus on tehtävä 24 tunnin kuluessa merkittävän poikkeaman havaitsemisesta ja jatkoilmoitus 72 tunnin kuluessa merkittävän poikkeaman havaitsemisesta.
Toimijan on annettava valvovalle viranomaiselle merkittävää poikkeamaa koskeva loppuraportti kuukauden kuluessa jatkoilmoituksen toimittamisesta tai, jos kyseessä on pitkäkestoinen poikkeama, kuukauden kuluessa sen käsittelyn päättymisestä.
Lisäksi toimijan on tarvittaessa ilmoitettava merkittävästä poikkeamasta ja merkittävästä kyberuhasta muille kuin viranomaiselle, kuten palvelujensa vastaanottajille.
Kyberturvallisuuskeskus käyttää saamaansa tietoa kansallisen kyberturvallisuuden tilannekuvan koostamiseen sekä yleisestä tietoturvatietoudesta viestimiseen.
- Kyberturvallisuuslaki 124/2025
- NIS2-direktiivi
- CER-direktiivi
- Komission suositus pienten ja keskisuurten yritysten määritelmästä 2003/361/EY
- Kyberturvallisuuskeskuksen verkkosivut
- NACE/TOL-toimialaluokitus
- Toimijan arviointityökalu
Lisätietoja ja yhteydenotot
[email protected]
Päivitämme Tukesin valvomia toimialoja koskevan ajantasaisen tiedon tälle sivulle.