Mitä NIS2 tarkoittaa pk-yritykselle käytännössä?

EU:n NIS2-direktiivi astui voimaan Suomessa 8. huhtikuuta 2025 kyberturvallisuuslain (124/2025) myötä. Vaikka laki kohdistuu ensisijaisesti suurempiin organisaatioihin, sen vaikutukset ulottuvat laajasti myös pk-yrityksiin toimitusketjujen kautta. Tässä artikkelissa selitämme, mitä NIS2 käytännössä tarkoittaa, ketä se koskee ja mitä toimenpiteitä se edellyttää.

Mikä NIS2 on?

NIS2 (Directive EU 2022/2555) on Euroopan unionin kyberturvallisuusdirektiivi, jonka tavoitteena on nostaa verkko- ja tietojärjestelmien turvallisuuden tasoa koko EU:ssa. Se korvaa vuoden 2016 NIS-direktiivin ja laajentaa sen soveltamisalaa merkittävästi.

Suomessa direktiivi pantiin täytäntöön kyberturvallisuuslailla (124/2025), joka astui voimaan 8. huhtikuuta 2025. Lain täytäntöönpanoa valvoo Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus.

Ketä NIS2 koskee suoraan?

Direktiivin velvoitteet kohdistuvat suoraan organisaatioihin, jotka täyttävät kaksi kriteeriä:

  1. Vähintään 50 työntekijää tai liikevaihto yli 10 miljoonaa euroa vuodessa
  2. Toimivat direktiivissä määritellyillä kriittisillä tai tärkeillä toimialoilla

Kriittiset toimialat (keskeisimmät velvoitteet):
energia, liikenne, pankit ja finanssimarkkinat, terveydenhuolto, juomavesi, jätevesi, digitaalinen infrastruktuuri, ICT-palveluiden hallinta, julkishallinto ja avaruus.

Tärkeät toimialat (hieman kevyemmät velvoitteet):
posti- ja kuriiripalvelut, jätehuolto, kemikaalit, elintarvikkeet, valmistava teollisuus, digitaaliset palvelut ja tutkimustoiminta.

Miten NIS2 vaikuttaa pk-yrityksiin toimitusketjun kautta?

Tässä kohta, jota moni pk-yrittäjä ei vielä huomioi: vaikka yrityksesi ei kuuluisikaan suoraan NIS2:n piiriin, kriittiset toimijat ovat velvollisia arvioimaan ja hallitsemaan toimitusketjunsa tietoturvariskejä. Tämä tarkoittaa käytännössä, että:

  • Suuryritys tai julkinen toimija voi vaatia alihankkijaltaan tai kumppaniltaan tietoturvasertifiointia tai -dokumentaatiota
  • Ilman riittävää tietoturvan tasoa voit menettää sopimuksia tai jäädä kilpailutusten ulkopuolelle
  • Monet toimialat — kuten IT-palvelut, logistiikka ja terveydenhuollon tukipalvelut — ovat käytännössä NIS2:n vaikutuspiirissä, vaikka yritys olisi alle 50 hengen

Mitä NIS2 vaatii käytännössä?

Direktiivi edellyttää organisaatioilta riskiperusteista lähestymistapaa tietoturvan hallintaan. Keskeisiä vaatimuksia ovat:

1. Riskienhallinta ja tietoturvapolitiikka

Organisaatiolla on oltava dokumentoitu riskienhallintaprosessi, joka kattaa verkon, tietojärjestelmät ja niiden fyysisen ympäristön.

2. Häiriönhallinta

Merkittävistä kyberturvallisuuspoikkeamista on ilmoitettava Kyberturvallisuuskeskukselle kolmessa vaiheessa:

  • 24 tunnin kuluessa havaitsemisesta: ensi-ilmoitus
  • 72 tunnin kuluessa: tarkempi jatkoilmoitus
  • 1 kuukauden kuluessa: loppuraportti

3. Johdon vastuu

Direktiivin 20. artikla velvoittaa, että hallintoelimet vastaavat kyberturvallisuuden riskienhallinnan järjestämisestä ja valvonnasta. Johdon jäsenillä on velvollisuus osallistua tietoturvakoulutukseen, ja laiminlyönneistä voi seurata henkilökohtainen vastuu.

4. Toimitusketjun turvallisuus

Organisaatioiden on arvioitava alihankkijoidensa ja kumppaneidensa tietoturvakäytännöt.

5. Henkilöstön koulutus

Tietoturvatietoisuuden kehittäminen koko organisaatiossa on kirjattu vaatimukseksi.

6. Jatkuvuudenhallinta

Varmuuskopioinnin, palautumissuunnittelun ja kriisinhallintamenettelyjen on oltava kunnossa.

Mitä sanktioita laiminlyönneistä seuraa?

NIS2 tuo merkittävästi aiempaa tiukemmat sakkorangaistukset:

  • Tärkeille toimijoille: enintään 7 miljoonaa euroa tai 1,4 % globaalista liikevaihdosta (suurempi summa)
  • Keskeisille toimijoille: enintään 10 miljoonaa euroa tai 2 % globaalista liikevaihdosta (suurempi summa)

Lisäksi valvova viranomainen voi velvoittaa organisaation tietoturvajärjestelmän auditointiin ja vaatia puutteiden korjaamista määräajassa.

Mistä aloittaa — käytännön etenemissuunnitelma pk-yritykselle

  1. Selvitä, kuuluuko yrityksesi suoraan lain piiriin — toimiala ja koko ratkaisevat
  2. Kartoita nykytila — missä tietoturvan taso on tällä hetkellä ja mitä puuttuu
  3. Tunnista toimitusketjuriskit — mitä vaatimuksia asiakkaat jo edellyttävät tai tulevat edellyttämään
  4. Laadi toimenpidesuunnitelma prioriteetteineen
  5. Kouluta johto ja henkilöstö — direktiivi edellyttää osaamista koko organisaatiolta

NIS2-vaatimusten täyttäminen alkaa aina nykytilan ymmärtämisestä. Tietoturvakartoitus on tehokkain tapa saada kokonaiskuva siitä, missä yrityksesi seisoo ja mitä toimenpiteitä tarvitaan.

Haluatko selvittää, miten yrityksesi täyttää NIS2-vaatimukset? Ota yhteyttä ja pyydä tietoturvakartoitus →

 

Scroll to Top