NIS2-direktiivi: mitä se tarkoittaa, ketä se koskee ja mitä sinun pitää tehdä nyt

Lyhyt yhteenveto

  • NIS2 on EU:n kyberturvallisuusdirektiivi, joka tuli Suomessa voimaan huhtikuussa 2025, ja se koskee paljon useampia yrityksiä kuin edeltäjänsä
  • Vaikka organisaatiosi ei suoraan kuuluisi direktiivin piiriin, toimitusketjuvelvoite voi silti ulottaa vaatimukset sinulle asti
  • Johdon vastuu on nyt henkilökohtainen, ja merkittävistä tietoturvapoikkeamista on ilmoitettava viranomaiselle 24 tunnin sisällä
  • NIS2-vaatimuksenmukaisuus ei vaadi massiivisia investointeja – oikein tehtynä se on myös kilpailuetu

Oletko törmännyt viime aikoina termiin NIS2 ja miettinyt, onko se asia joka koskee sinunkin organisaatiotasi, vai taas yksi niistä EU-kirjainyhdistelmistä, jotka voi turvallisesti siirtää jonkun muun hoidettavaksi?

Spoiler alert: todennäköisesti se on asia, josta sinunkin kannattaa kiinnostua. Ja hyvä uutinen on, että se ei ole niin monimutkaista, kuin se alkuun kuulostaa.

Mitä NIS2 oikeastaan on?

Aloitetaan perusteista. NIS2 on EU:n kyberturvallisuusdirektiivi, joka astui Suomessa voimaan huhtikuussa 2025 Kyberturvallisuuslain (124/2025) muodossa. Se korvaa edeltäjänsä NIS1-direktiivin ja laajentaa sen soveltamisalaa merkittävästi.

Mutta mitä se käytännössä tarkoittaa? Tiivistäisin asian näin:

NIS2 on EU-tasoinen lainsäädäntö yritysten tietoturvallisuusasioihin liittyen. Sillä pyritään huolehtimaan, että yritykset toimivat vastuullisesti tietoturvan osalta laajasti – ei vain henkilötietojen käsittelyssä, josta GDPR huolehtii, vaan tietoturvallisuudessa kokonaisuutena.

Hyvä vertaus voisi olla siis vaikka se, että GDPR on kuin henkilötietoihin keskittyvä spesialisti. NIS2 on laajempi kokonaisuus, joka kattaa koko tietoturvallisuuden kentän, ja GDPR täydentää sitä omalta osaltaan.

Miksi NIS2 herättää niin paljon keskustelua juuri nyt?

Yksi sana: soveltamisala.

Aiempi NIS1-direktiivi koski lähinnä yhteiskunnan kaikkein kriittisimpiä infrastruktuureja – sähköverkkoja, vesilaitoksia, pankkeja. NIS2 laajensi tämän piirin moninkertaiseksi. Yhtäkkiä direktiivin piiriin kuuluu organisaatioita energia-alalta, terveydenhuollosta, liikenteestä, elintarviketeollisuudesta, valmistavan teollisuuden eri aloilta, digipalveluista ja julkishallinnosta.

Ja kun nämä organisaatiot tulevat sääntelyn piiriin, niiden toimitusketjut seuraavat perässä.

Tämä on NIS2:n ehkä tärkein käytännön vaikutus monelle suomalaiselle yritykselle: toimitusketjuvelvoite. Direktiivin piirissä olevat organisaatiot ovat vastuussa siitä, että myös heidän alihankkijansa täyttävät tietoturvan perusvaatimukset. Jos olet jonkun NIS2-velvoitteisen organisaation toimittaja, asiakas tulee vaatimaan tiettyä kyberturvallisuuden tasoa sekä näyttöä. Ilman tätä näyttöä, sopimukset mitä todennäköisemmin jäävät toteutumatta.

Tämä tarkoittaa, että NIS2 ulottuu huomattavasti laajemmalle, kuin lain kirjain antaa ymmärtää.

Ketä NIS2-direktiivi koskee?

Direktiivin piiriin kuuluvat ensisijaisesti keskisuuret ja suuret organisaatiot tietyillä määritellyillä toimialoilla. Tämä tarkoittaa yrityksiä, joilla on organisaatiossaan yli 50 työntekijää, tai yli 10M€ liikevaihto. Myös pienet ja mikrotoimijat voivat kuulua direktiivin piiriin, mikäli he ovat niin sanottuja kriittisiä toimijoita. Lisätietoja ja tarkat määritykset löytyvät Traficomin sivuilta.

Keskeisiä toimijoita:

  • Energia, liikenne, pankki- ja finanssiala
  • Terveydenhuolto, vesi ja jätevesi
  • Digitaalinen infrastruktuuri ja ICT-palvelut
  • Julkishallinto, avaruusala

Tärkeitä toimijoita:

  • Posti- ja kuriiripalvelut, jätehuolto
  • Kemikaalit, elintarvikkeet
  • Valmistava teollisuus (elektroniikka, koneet, sähkölaitteet)
  • Digitaaliset palvelut ja tutkimustoiminta

Ja kuten todettu – jos olet näiden yritysten toimittaja tai alihankkija, vaatimukset saattavat koskea sinuakin epäsuorasti.

Mitä NIS2 vaatii käytännössä?

Tämä kohta voi saada monen johtajan otsan kurttuun: ”Taas uusi lainsäädäntöviidakko.” Mutta voin onneksi rauhoitella tässä kohtaa, sillä NIS2:n noudattaminen ei oikeasti ole mitään rakettitiedettä ja direktiivin kannalta keskeiset vaatimukset voidaan toteuttaa jo olemassa olevien toimintamallien päälle. Tällöin ne eivät välttämättä vaadi mittavia rahallisia tai ajallisia investointeja.

Rakentamalla NIS2-vaatimusten mukaista riskien- ja tietoturvanhallintaa saa kuitenkin paljon aikaan; oman yrityksen tietopääoman ja työntekijöiden suojelemisen lisäksi turvaat asiakkaidesi tietoa ja pääomaa, ja voit viestiä siitä selkeästi.

Käytännössä direktiivi edellyttää muun muassa seuraavaa:

Riskienhallinta ja tietoturvapolitiikka: Organisaatiolla tulee olla dokumentoitu käsitys omista riskeistään ja toimintamalli niiden hallintaan.

Johdon vastuu: Tämä on yksi NIS2:n merkittävimmistä uudistuksista verrattuna edeltäjäänsä. Vastuu ei enää häivy organisaatiossa epämääräisesti, vaan yrityksen ylin johto on henkilökohtaisessa vastuussa vaatimusten noudattamisesta. Heidän tehtäviinsä kuuluu mm. riskienhallinnan käytäntöjen hyväksyminen sekä toiminnan valvonta.

Toimitusketjun turvallisuus: Oman toiminnan lisäksi on huolehdittava siitä, että keskeisten toimittajien tietoturva on kunnossa.

Toiminnan jatkuvuus: Varmuuskopiointi, palautumissuunnitelmat ja kriisinhallinta eivät saa olla vain merkintöjä muistilistan lopussa, vaan niiden tulee olla testattuja käytäntöjä arjessa.

Ilmoitusvelvollisuus: Merkittävästä tietoturvapoikkeamasta on ilmoitettava valvovalle viranomaiselle 24 tunnin kuluessa sen havaitsemisesta. Jatkoilmoitus seuraa 72 tunnin sisällä, ja pääsääntöisesti kuukauden kuluessa tulee toimittaa loppuraportti.

Koulutus: NIS2 edellyttää, että organisaatiolla on riittävä kyberturvallisuusosaamienn ja kyky hallita riskejä. Käytännössä tämä tarkoittaa myös henkilöstön kouluttamista roolien mukaisesti. Tämä edellytys koskee myös erityisesti yritysten johtoa ja hallitusta.

”Meillä on vielä aikaa” – vai onko?

Otsikossa mainittu ajattelutapa kannattaa haastaa. Jos asiaa lähtee ajattelemaan sillä tavalla, että ”onhan meillä vielä 16 kuukautta aikaa, ei hätää”, niin sitten mennään kyllä metsään.

Laki on jo voimassa – ilmoitusvelvollisuus merkittävistä poikkeamista alkoi huhtikuussa 2025. Vaikka viranomaistarkastuksia ei ehkä tule ovellesi huomenna, tietoturvaloukkaukset eivät kysy lupaa etukäteen.

Tässä kohtaa on kuitenkin hyvä muistaa myös asian inhimillinen puoli: tietoturvaloukkauksen jälkeen viranomainen arvioi, onko organisaatio toiminut vastuullisesti. Jos dokumentaatio puuttuu, jos johto ei ole käynyt asiaa läpi ja jos ilmeisiä paikkoja on jätetty korjaamatta tietoisesti, tilanne on hyvin erilainen kuin sellaisella organisaatiolla, joka voi näyttää toteen, että asioita on yritetty hoitaa kuntoon ja riskejä on pyritty mitigoimaan.

Analogia toimii arkielämässäkin: on vaikea selittää mustaa valkoiseksi, kun varas on kävellyt sisään etuovesta, jonka rikkinäinen lukko on jätetty tietoisesti korjaamatta, koska rahoja tarvittiin muihin asioihin.

Suomalainen haaste: kuinka olla tarkka olematta jäykkä

Suomalaisilla organisaatioilla on lain noudattamisessa puhtoinen maine – jos jossain osataan seurata sääntöjä kirjaimellisesti, niin täällä. Mutta asiassa on myös kääntöpuolensa.

Meillä ei ehkä ole joidenkin muiden maiden kaltaista rohkeutta soveltaa lakia hieman rennommin. Haluamme tehdä asiat oikein, mikä on hienoa, mutta laki ei ole niin mustavalkoinen. Organisaatiot saattavat ampaista täysillä syvään päätyyn: rahaa palaa, aikaa kuluu, dokumentaatiota kertyy satoja sivuja, mutta käytännön hyöty jää paperin makuiseksi.

Tämä on tärkeä viesti: NIS2 noudattaminen on isolle osalle organisaatioita liiketoimintapäätös, ja sitä voi toteuttaa niillä resursseilla ja keinoilla, jotka organisaatiolla on jo käytössään. Täydellinen järjestelmä paperilla, jota kukaan ei ymmärrä tai käytä, on heikompi kuin toimiva, yksinkertaisempi rakenne, jota oikeasti noudatetaan arjessa.

Oletko ajatellut, että NIS2 voisi olla kilpailuetunne?

Entäpä jos NIS2 ei olekaan vain rasite, vaan mahdollisuus?

Itse näen tämän lainsäädännön vastuullisuuslainsäädännön lisäksi mahdollisuutena erottua kilpailijoista, ajatuksella ”me ei tehdä asioita silloin kun on pakko, vaan silloin, kun se on oikein.”

Ajatellaan hetki. Yritys, jolla on selkeä tietoturvarakenne, dokumentoitu riskienhallinta ja kyky osoittaa vaatimuksenmukaisuutensa, on vahvoilla:

  • julkisissa kilpailutuksissa, joissa NIS2-vaatimukset näkyvät yhä useammin sopimuksissa
  • neuvotteluissa suurten asiakkaiden kanssa, jotka tarkistavat toimitusketjujaan
  • rekrytoinneissa, jossa kyberturvallisuus on kasvava osaamisalue

Lain minimivaatimusten täyttäminen on moraalin ja vastuullisen toiminnan alin taso. Päälle rakentuu kerroksia, jotka suojaavat liiketoimintaa, työntekijöitä ja asiakkaita, ja jotka voi kertoa ylpeänä myös ulospäin.

Mistä aloittaa?

Jos NIS2 tuntuu vielä epäselvältä tai pohdit koskeeko se organisaatiotasi, älä jää yksin miettimään. Hyvä lähtökohta on kolmivaiheinen:

  1. Selvitä soveltamisala. Kuuluuko organisaatiosi direktiivin piiriin suoraan? Entä epäsuorasti toimitusketjun kautta? Traficomin Kyberturvallisuuskeskuksen sivut ovat hyvä lähtökohta, mutta myös esimerkiksi Greenstepin asiantuntija osaa auttaa nopeasti.
  2. Tee nykytila-analyysi. Missä mennään tällä hetkellä? Mitkä ovat keskeisimmät riskit ja aukot? Nykytila-analyysi ei ole itseisarvo – se tehdään siksi, että tiedetään, mitä konkreettisesti pitää tehdä seuraavaksi.
  3. Rakenna toimintamalli arjen tasolle. Dokumentaatio, riskienhallinnan prosessit, ilmoitusmenettelyt, henkilöstön koulutus; näistä syntyy yhdessä jotain, joka oikeasti toimii, eikä vaan näytä hyvältä paperilla.

Greenstepin CIO-tiimi auttaa organisaatioita NIS2-valmiuden saavuttamisessa, käytännönläheisesti ja oikeassa mittakaavassa. Aloittaminen on helppoa: varaa 30 minuutin sparraussessio, jossa käymme läpi teidän tilanteenne ja annamme konkreettisia suuntaviivoja eteenpäin.

Julkaistu

Mietitkö, kuuluuko organisaatiosi NIS2-sääntelyn piiriin?

Varaa sparraushetki asiantuntijamme kanssa – 30 minuuttia riittää usein hyvään alkukäsitykseen.

Varaa aika tästä
Rasmus Kurtén

Rasmus Kurtén

Inbound Manager

+3584578721404 rasmus.kurten@greenstep.fi

Samankaltaiset artikkelit

Julkinen sektori 2 min lukuaika

Greenstep ja Netvisor uudistivat kuntien taloushallintoa – uusi kirjanpidon kuntaratkaisu

Taloushallinto-ohjelmisto Netvisoria on kehitetty Greenstepin ja Netvisorin asiantuntijoiden tiiviissä yhteistyössä vastaamaan julkisen sektorin erityistarpeita. Netvisoriin on rakennettu oma kuntaratkaisu, joka palvelee erityisesti kuntien, kaupunkien ja kuntayhtymien taloushallintoa prosesseissa, joissa korostuvat kustannustehokkuus, sujuva käyttöönotto sekä käytännönläheinen tuki taloushallinnon arkeen. Greenstep tuo Netvisor-kuntaratkaisun osaksi kuntien taloushallinnon palveluvalikoimaa. ”Olemme Greenstepillä tuoneet kehitykseen mukaan syvällisen ymmärryksemme kuntien taloushallinnon arjesta, […]
Julkinen sektori 2 min lukuaika

Vesihuoltolain uudistus 2026: Vaikutukset omaisuudenhallintaan

Omaisuudenhallintasuunnitelma tukee ennakoivaa talouden, riskienhallinnan ja investointien johtamista Yksi uudistuksen keskeisimmistä vaikutuksista kohdistuu omaisuudenhallintaan: vesihuoltolaitoksilta edellytetään jatkossa selkeästi laajempaa, suunnitelmallisempaa ja viranomaisille raportoitavaa otetta infrastruktuurin kehittämiseen ja ylläpitoon. Lisäksi lakiuudistuksella pyritään siihen, että vesihuoltomaksut kattavat vesihuollosta koituvat kustannukset myös pitkällä aikavälillä ja että maksujen määräytymisen perusteet ovat laskelmiin perustuvia. Talousasioista vastaavalle tämä tarkoittaa ennen kaikkea […]