Koskeeko NIS2 teidän yritystänne?

Lyhyt yhteenveto

  • NIS2:n soveltamisala määräytyy toimialan ja koon perusteella – direktiivi jakaa toimijat keskeisiin ja tärkeisiin toimijoihin
  • Vaikka oma yrityksenne ei kuuluisi suoraan direktiivin piiriin, toimitusketjuvelvoite voi silti ulottaa vaatimukset teihin asti
  • Asiakkaanne saattaa pian pyytää teiltä selvitystä tietoturvakäytännöistänne – ilman riittävää näyttöä sopimukset voivat jäädä syntymättä
  • NIS2-vaatimustenmukaisuus on liiketoimintapäätös: se määrittää, kenen kanssa voitte tulevaisuudessa tehdä bisnestä

Koskeeko NIS2 teidän yritystänne?

Suomessa astui huhtikuussa 2025 voimaan kyberturvallisuuslaki, joka toi NIS2-direktiivin osaksi kansallista lainsäädäntöä. Samaan aikaan internet alkoi täyttymään konsulttiyritysten oppailla ja asiantuntijablogeilla siitä, mitä kaikkea pitää nyt tehdä.

Eikä ihme. Kun direktiivin soveltamisala laajeni NIS1:stä NIS2:een, mukaan tulleiden yritysten määrä kasvoi merkittävästi. Moni yritys löysi itsensä uuden lainsäädännön piiristä – jotkut odotetusti, jotkut yllättyneenä.

Lue lisää: NIS2-direktiivi: mitä se tarkoittaa, ketä se koskee ja mitä sinun pitää tehdä nyt

 

Mutta tiedätkö, koskeeko NIS2 juuri teidän yritystänne? Vastataan savolaisesti – voi koskea, tai voi olla koskematta.

Miten NIS2-direktiivia sovelletaan käytännössä?

NIS2:n soveltamisala määräytyy ensisijaisesti toimialan ja näin ollen organisaation merkittävyyden perusteella, mutta siihen vaikuttavat myös toimialakohtaiset määrittelyt ja poikkeukset.

Direktiivi jakaa toimialat erittäin kriittisiin sekä muihin kriittisiin toimialoihin. Toimijat taas jaetaan suuriin, keskisuuriin sekä pieniin ja mikrotoimijoihin henkilöstömäärän tai  liikevaihdon perusteella.

Riippuen toimialasta, kuuluvat tietynlaiset yritykset NIS2 soveltamisalaan. Mitä kriittisempi toimiala, sitä pienemmät yritykset katsotaan keskeisiksi tai tärkeiksi toimijoiksi ja näin soveltamisalan piiriin kuuluviksi. Esimerkiksi jos toimija tarjoaa ainoana jäsenvaltiossa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen sovelletaan NIS2-direktiiviä poikkeusperusteisesti toimijan koosta tai liikevaihdosta riippumatta.

Käydään asiaa läpi muutamin käytännön esimerkein Traficomin julkaisemasta taulukosta:

Esimerkkejä erittäin kriittisistä toimialoista:Esimerkkejä muista kriittisistä toimialoista:

Mitä eroa sitten on sillä, onko keskeinen vai tärkeä toimija? Erot näkyvät pääosin valvonnassa ja seuraamuksissa:

Tarkat toimialaluettelot ja valvovien viranomaisten yhteystiedot löytyvät Traficomin kyberturvallisuuskeskuksen sivuilta.

Emme kuulu NIS2-soveltamisalaan – mitä sitten?

Tähän kannattaa pysähtyä hetkeksi.

NIS2:n kenties tärkein käytännön vaikutus monelle suomalaiselle yritykselle ei ole suora lakivelvoite, vaan toimitusketjuvelvoite. Direktiivin piirissä olevat organisaatiot ovat vastuussa siitä, että myös niiden alihankkijat ja toimittajat täyttävät tietoturvan perusvaatimukset.

Käytännössä tämä tarkoittaa, että asiakkaanne saattaa hyvinkin pian pyytää teiltä selvityksen tietoturvakäytännöistänne, vaikka oma toimintanne ei kirjaimellisesti kuuluisi direktiivin piiriin. Ilman riittävää näyttöä sopimukset voivat jäädä syntymättä.

Kuten Greenstepin CIO-konsultointipalveluiden johtaja Tuulia Nissinen asian ilmaisee: NIS2-vaatimustenmukaisuus on lopulta liiketoimintapäätös. Se ei ole pelkkä lakitekninen velvoite; se on kysymys siitä, kenen kanssa voitte tulevaisuudessa tehdä bisnestä.

Kolme kysymystä, joilla selvität, koskeeko NIS2 yritystäsi

Jos soveltamisala tuntuu edelleen epäselvältä, seuraavat kysymykset auttavat hahmottamaan kokonaiskuvan:

  1. Toimitteko jollakin soveltamisalaan kuuluvista toimialoista ja oletteko vähintään keskisuuri toimija? Jos kyllä, kuulutte todennäköisesti suoraan direktiivin piiriin. Kannattaa tarkistaa asia Traficomin sivuilta tai kääntyä asiantuntijan puoleen, sillä toimialakohtaisia erityispiirteitä on paljon.
  2. Onko asiakkaissanne organisaatioita, jotka kuuluvat direktiivin piiriin? Jos kyllä, heidän velvoitteensa ulottuvat toimitusketjun kautta teihin asti. Tässä tapauksessa vaatimustenmukaisuus on käytännön edellytys yhteistyön jatkumiselle.
  3. Haluatteko osallistua julkisiin kilpailutuksiin tai laajentaa asiakaskuntaanne isoihin organisaatioihin? NIS2-vaatimukset näkyvät yhä useammin sopimusehdoissa ja kilpailutuskriteeristöissä. Vaatimustenmukaisuus on kilpailuetu, jonka merkitys kasvaa jatkuvasti.

NIS2 on suunniteltu turvaamaan koko toimitusketju

Monet yritykset olettavat, että koska he eivät ole ”se iso kriittinen toimija”, asia ei kosketa heitä. Tämä on ymmärrettävä, mutta usein virheellinen, ajatus.

Toimitusketjuvelvoite toimii ikään kuin verkostovaikutuksena: se leviää ketju kerrallaan. Direktiivin piirissä oleva asiakas vaatii teiltä vaatimustenmukaisuutta, koska muuten yhteistyö ja kumppanuus eivät välttämättä onnistu ollenkaan. Te vaaditte samaa omilta toimittajiltanne. Ja niin edelleen.

Tämä on myös lainsäädännöllinen design-valinta, ei sivuvaikutus. Toimitusketjun turvallisuus on yksi NIS2:n keskeisistä tavoitteista.

Mitä tehdä seuraavaksi?

Jos olette epävarmoja omasta tilanteestanne, hyvä lähtökohta on yksinkertainen: selvittäkää ensin, millainen nykytilanteenne on.

Tähän ei tarvita kuukausia kestävää analyysiä. Greenstepin CIO-tiimi tekee tämän kartoituksen nopeasti ja käytännönläheisesti, ja maksuton 30 minuutin sparraussessio riittää usein jo hyvän alkukäsityksen muodostamiseen.

Julkaistu

Samankaltaiset artikkelit