Kyberturvallisuuslaki voimaan 8.4.2025
Jaa sivu:
Liikenne- ja viestintäministeriön tiedote 27.3.2025
Hallitus esittää uuden kyberturvallisuuslain vahvistamista
Hallitus esittää, että Tasavallan presidentti vahvistaisi kyberturvallisuuslain ja määräisi sen tulemaan voimaan 8.4.2025. Tasavallan presidentin on tarkoitus vahvistaa laki perjantaina 4.4.2025.
Kyberturvallisuuslailla toimeenpannaan EU:n kyberturvallisuusdirektiivi (NIS 2). Direktiivin tavoitteena on vahvistaa EU:n ja jäsenvaltioiden kyberturvallisuutta kriittisillä toimialoilla. Soveltamisalaan kuuluvien toimijoiden on jatkossa arvioitava ja hallittava riskejä, joita kohdistuu niiden käyttämien viestintäverkojen ja tietojärjestelmien turvallisuuteen. Toimijoiden on myös ilmoitettava merkittävistä poikkeamista viestintäverkoissa ja tietojärjestelmissä. Julkishallinnon osalta direktiivi pannaan täytäntöön muutoksilla julkisen hallinnon tiedonhallinnasta annettuun lakiin.
Kyberturvallisuuslain soveltamisala kattaa toimijoita esimerkiksi liikenne-, energia- ja terveydenhuoltoaloilla sekä digitaalisen infrastruktuurin palveluntarjoajia. Laki koskee myös esimerkiksi elintarvikealaa, eräitä tuotteita valmistavaa teollisuutta, kemianteollisuutta, jätehuoltoa ja postipalveluita. Laki koskee pääsääntöisesti keskisuuria ja suurempia toimijoita, jotka harjoittavat lain liitteisiin kuuluvaa toimintaa.
Kansallisesti säädetään valvovista viranomaisista
Kyberturvallisuuslaissa säädetään kyberturvallisuusdirektiivin mukaisista velvoitteista, jotka koskevat organisaation riskienhallintaa ja merkittävien poikkeamien raportoimista. Lisäksi laissa säädetään velvoitteiden valvonnasta ja muista toimeenpanon edellyttämistä viranomaistehtävistä. Soveltamisalaan kuuluvia toimijoita edellytetään myös ilmoittamaan yhteystietonsa valvovalle viranomaiselle soveltamisen alkaessa. Kyberturvallisuuslain mukaiset määräajat riskienhallinnan järjestämiselle ja tietojen ilmoittamiselle alkavat lain voimaantulosta.
Kyberturvallisuuslain valvovia viranomaisia ovat toimialakohtaisesti Liikenne- ja viestintävirasto Traficom, Energiavirasto, Turvallisuus- ja kemikaalivirasto, Etelä-Savon ELY-keskus, Ruokavirasto, Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira ja Lääkealan turvallisuus- ja kehittämiskeskus Fimea. Valvovien viranomaisten yhteistyötä koordinoi Traficom. Hallinnollisia seuraamusmaksuja määrää erikseen perustettava seuraamusmaksulautakunta, joka koostuu valvovien viranomaisten nimeämistä jäsenistä.
Traficomin Kyberturvallisuuskeskukseen sijoitetaan tietoturvaloukkauksia tutkivan ja niihin reagoivan yksikön eli CSIRT-yksikön tehtävät, jotka vastaavat pitkälti Kyberturvallisuuskeskuksen nykyisiä tehtäviä esimerkiksi kyberuhkien seurannan ja analysoinnin osalta. Yksikkö koordinoi myös haavoittuvuuksien julkaisemista EU:n suuntaan. Yksikkö voi toimia kyberturvallisuustietoja koskevien vapaaehtoisten jakamisjärjestelyiden koordinaattorina.
Mitä seuraavaksi?
Lakien on tarkoitus tulla voimaan 8.4.2025. Kyberturvallisuuskeskus ja valvovat viranomaiset tiedottavat kyberturvallisuuslain toimeenpanosta.
Lisätietoja:
hallitussihteeri Veikko Vauhkonen, p. 0295 342 168, veikko.vauhkonen@gov.fi
Kyberala ry:n tiedote 31.3.2025
Kyberala ry julkaisi EU:n verkko- ja tietoturvallisuusdirektiivin (NIS2) soveltamisoppaan – laki voimaan 8.4.2025
Finnish Information Security Cluster (FISC) – Kyberala ry on julkaissut EU:n verkko- ja tietoturvallisuusdirektiivi NIS2:n kansallisen soveltamisoppaan. Tavoitteena on tukea Suomessa toimivien yritysten kyberturvallisuustyötä vastaamaan muuttuvia lainsäädäntövelvoitteita.
NIS2-direktiivi vahvistaa kyberturvallisuutta organisaatio- ja yhteiskuntatasolla: EU:n verkko- ja tietoturvadirektiivi on keskeinen osa Euroopan unionin pyrkimyksiä parantaa jäsenvaltioidensa kyberturvallisuutta. Direktiivi edistää yritysten toiminnan jatkuvuutta ja kannattavuutta sekä asettaa velvoitteita digitaalisten riskien hallintaan.
Kilpailuetu ja yhteiskunnan kyberkestävyys
Yritykset voivat saavuttaa kilpailuetua nopealla sopeutumisella direktiivin vaatimuksiin tai ylittämällä ne. Direktiivi tukee yhteiskunnan kyberkestävyyttä ja luo hallittavan toimintaympäristön. Vaikka direktiivin noudattaminen aiheuttaa kustannuksia, ne ovat ennakoitavissa ja tukevat toiminnan laatua, vastuullisuutta ja toimitusvarmuutta.
Eduskunta hyväksyi maaliskuussa 2025 kyberturvallisuuslain, jolla direktiivi saatetaan osaksi Suomen lainsäädäntöä. Hallitus esittää, että Tasavallan presidentti vahvistaisi kyberturvallisuuslain 4.4.2025 ja määräisi sen tulemaan voimaan 8.4.2025.
Soveltamisopas on suunnattu organisaatioille, jotka haluavat varmistaa, että niiden kyberturvallisuuskäytännöt täyttävät uuden lainsäädännön vaatimukset ja edistävät riskienhallintaa käytännössä. Kyberala ry:n uusi soveltamisopas tarjoaa selkeät tulkinnat sekä parhaat käytännöt direktiivin vaatimusten täyttämiseksi.
Koko toimialan laajuinen projekti soveltamisoppaan laatimiseksi käynnistyi syksyllä 2023. Oppaan valmistelussa on ollut mukana asiantuntijoita 18 eri yrityksestä, mikä on mahdollistanut laaja-alaisen huippuosaamisen sekä eri näkemysten ja kokemuksien hyödyntämisen.
Kyberala ry edustaa suomalaisia kyberturvallisuusalan yrityksiä ja on sitoutunut tukemaan organisaatioita niiden kyberturvallisuuden parantamisessa. Yhdistys toimii osana Teknologiateollisuus ry:tä yhtenä sen toimialajärjestöistä.
Opas ladattavissa osoitteessa:
https://teknologiateollisuus.fi/fisc/wp-content/uploads/sites/11/2025/03/NIS2-OPAS-1.0-JULKAISU.pdf
Johdolla on vastuu suojella organisaation digitaalista toimintaympäristöä
Voimakkaasti digitalisoituneessa ja verkottuneessa maailmassa kyberturvallisuuden merkitys kasvaa yhä enemmän. Tietoverkoissa ja digitaalisissa palveluissa käsitellään arkaluontoista tietoa, ja kyberhyökkäykset voivat aiheuttaa organisaatioille katastrofaalisia seurauksia. Tietovuodot, tietojenkalastelu, palvelunestohyökkäykset ja ransomware-hyökkäykset voivat vahingoittaa mainetta, häiritä liiketoimintaa ja johtaa merkittäviin taloudellisiin tappioihin.
Vuonna 2024 voimaan astuva uusi kyberturvallisuuslaki tuo mukanaan merkittäviä muutoksia organisaatioiden kyberturvallisuusvastuuseen. Laki perustuu EU:n kyberturvallisuusdirektiiviin (NIS2) ja asettaa sen piiriin kuuluville organisaatioille useita uusia velvoitteita. Nämä velvoitteet painottavat riskienhallintaa, tietoturvatoimia, raportointivelvoitteita ja yhteistyötä viranomaisten kanssa.
Mitä kyberturvallisuuslaki tarkoittaa organisaatioiden johdolle?
Johdolla on nyt entistäkin suurempi vastuu kyberturvallisuuden varmistamisessa. Ylin johto vastaa jatkossa lakisääteisesti organisaation kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy ja valvoo riskienhallinnan toimintamallia. Johdolla tulee myös olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.
Tämä tarkoittaa käytännössä mm. seuraavia asioita:
- Kyberturvallisuuden priorisointi: Kyberturvallisuuden on oltava osa organisaation strategista suunnittelua ja riskienhallintaa. Johdon on osoitettava selkeä sitoutuminen kyberturvallisuuteen ja varmistettava, että resursseja on varattu riittävästi asianmukaisten toimenpiteiden toteuttamiseen.
- Tietoisuuden lisääminen: Johdon on varmistettava, että kaikki organisaation työntekijät ymmärtävät kyberturvallisuuteen ja tietoturvaan liittyviä riskejä ja tietävät, miten toimia ja turvata organisaation käsittelemää luottamuksellista tietoa.
- Riskienhallinta: Organisaation on rakennettava systemaattinen riskienhallinnan toimintamalli, jossa tunnistetaan ja arvioidaan erilaisia kyberturvallisuusriskejä sekä tehdään riskiarvion pohjalta tarvittavia toimia riskien minimoimiseksi.
- Tietoturvatoimet: Organisaation on toteutettava asianmukaisia tietoturvan hallintakeinoja tietojärjestelmien ja tiedon suojaamiseksi. Näihin toimenpiteisiin sisältyy niin teknisiä kuin hallinnollisia toimia, kuten tietoverkkojen ja –järjestelmien suojaaminen, henkilöstöturvallisuus ja koulutus, pääsynhallinnan kehittäminen, salausratkaisut sekä varmuuskopiointi ja palautumissuunnitelma.
- Toimitusketjun turvallisuus: NIS2-toimijat ovat vastuussa myös toimitusketjunsa kyberturvallisuudesta. Tämä tarkoittaa käytännössä sitä, että organisaation on varmistettava niiden yhteistyökumppanien noudattavan samoja kyberturvallisuusvaatimuksia.
- Raportointivelvoitteet: Merkittävistä kyberuhkista ja tietoturvapoikkeamista on raportoitava viranomaisille. Ensi-ilmoitus tulee tehdä jo 24 tunnin sisällä poikkeaman havaitsemisesta. Merkittävästä poikkeamasta on ilmoitettava myös organisaation tarjoaman palvelun vastaanottajille, jos merkittävä poikkeama voi haitata palvelun tarjoamista.
- Yhteistyö: Organisaatioiden on tehtävä yhteistyötä viranomaisten ja muiden toimijoiden kanssa kyberturvallisuuden parantamiseksi.
- Valvovat viranomaiset: Kyberturvallisuuslakia valvovia viranomaisia on useita, ja organisaation kyberturvallisuutta valvova viranomainen riippuukin sen toimialasta. Käytännössä valvontaresursseja tullee olemaan huomattavasti enemmän kuin GDPR:n osalta.
- Hallinnolliset sakot: Kyberturvallisuuslain velvoitteiden, kuten riskienhallinnan toimintamallin tai poikkeamailmoitusten toteuttamatta jättämisestä voi organisaatiolle seurata hallinnollinen sakko.
Uuden kyberturvallisuuslain noudattaminen ei ole pelkkä velvollisuus, vaan investointi tulevaisuuteen. Vahva kyberturvallisuuteen panostaminen on edellytys luottamuksen rakentamiselle asiakkaiden ja kumppaneiden kanssa, liiketoiminnan jatkuvuudelle ja kilpailukyvylle. Systemaattinen varautuminen riskeihin tuo kustannukset ennustettaviksi, kun taas riskien toteutuminen voi aiheuttaa ennustamattomia kustannuksia, sekä myös vahingonkorvausvelvoitteita.
Miten organisaatiot voivat valmistautua kyberturvallisuuslain voimaantuloon?
Hyvä tapa valmistautua kyberturvallisuuslain velvoitteisiin on rakentaa NIS2 kyberturvallisuusdirektiivin ja suomalaisen lainsäädännön velvoitteet täyttävä tietoturvallisuuden hallintajärjestelmä Pro Kyberturva -palvelun avulla. Se auttaa organisaatioita tunnistamaan, arvioimaan ja hallitsemaan kyberturvallisuusriskejä, toteuttamaan asianmukaiset tietoturvatoimenpiteet sekä parantamaan jatkuvasti kyberturvallisuustoimintaansa. Palvelu auttaa organisaatioita halutessaan pääsemään tehokkaasti myös ISO 27001 sertifiointivalmiuteen.
Organisaatioiden on myös tärkeää varmistaa, että niillä on selkeät kyberturvallisuuteen liittyvät roolit ja vastuut. Kyberriskien hallinta on koko liiketoiminnan vastuulla, ei pelkästään tietohallinnon.
KUMPPANIMME TIETOTURVAN JA TIETOSUOJAN KEHITTÄMISESSÄ
Tikkasec Oy on vuonna 2017 perustettu tietoturvallisuuden ja tietosuojan kehittämiseen keskittynyt yritys, joka on auttanut kymmeniä eri toimialojen pk-yrityksiä kehittämään tietoturvastaan toimivaa ja käytännönläheistä. Autamme asiakkaitamme muun muassa kehittämään operatiivisen toimintansa turvallisuutta ja riskienhallintaa. Perustaja Pekka Vepsäläisellä on pitkä ja monipuolinen kokemus tietoturvan ja tietosuojan kehittämisestä, jossa toimenpiteet sovitetaan aina asiakasorganisaation tarpeista lähteviksi. Sparraamme asiakastamme nykytilanteen arvioinnin kautta rakentamaan täysimittaisen tietoturvallisuuden hallintajärjestelmän, joka on valmis sertifiointilaitoksen auditoitavaksi.
Tarjoamamme palvelut:
- tietosuojan ja tietoturvan kehittämispalvelut
- tietosuojan ja tietoturvan nykytilanteen arviointi
- riskien arviointi ja riskienhallinnan menetelmien kehittäminen
- tietoturvariskien hallintakeinojen kehittäminen organisaation tarpeet huomioiden
- tietoturvan ja tietosuojan koulutus- ja valmennuspalvelut
- projektinhallintapalvelut tietoturvan kehittämisprojekteille
Kysy lisätietoja, kuinka organisaationne voi valmistautua kyberturvallisuuslain voimaantuloon vaatimukset täyttävän tietoturvallisuuden hallintajärjestelmän avulla!
Pekka Vepsäläinen
Asiakkaan sanomaa: ”Pekka oli ylivoimaisesti kaikkein aktiivisin, aloitteellisin ja tunnollisin konsultti tietoturvan ja GDPR:n osalta. Erinomainen toteutus ja aktiivinen ote.”