NIS2 käytännössä – 10 asiaa jotka pk-yrityksen tulee tietää

Kyberturvallisuuslaki astui Suomessa voimaan 8.4.2025, ja NIS2-direktiivin vaatimukset koskevat nyt laajempaa joukkoa yrityksiä kuin koskaan aiemmin. Vaikka et toimisikaan kriittisellä toimialalla, saatat silti kuulua sääntelyn piiriin toimitusketjujen kautta. Tässä artikkelissa käymme läpi kymmenen keskeistä asiaa, jotka jokaisen pk-yrityksen tulee ymmärtää.

1. Mikä NIS2 on ja miksi se koskee sinua?

NIS2 (Network and Information Security Directive 2) on EU:n kyberturvallisuusdirektiivi, joka korvaa aiemman NIS-direktiivin. Sen tavoitteena on parantaa kriittisten toimijoiden kyberturvallisuuden tasoa ja yhdenmukaistaa käytäntöjä koko EU:ssa.

Suomessa direktiivi toteutettiin kyberturvallisuuslailla, joka tuli voimaan 8.4.2025. Tämä tarkoittaa, että vaatimusten noudattaminen on nyt pakollista – ei vapaaehtoista.

2. Ketkä kuuluvat NIS2:n piiriin?

NIS2 koskee lähtökohtaisesti organisaatioita, jotka:

  • Toimivat kriittisillä toimialoilla (energia, liikenne, terveydenhuolto, vesihuolto, digitaalinen infrastruktuuri, julkishallinto)
  • Työllistävät vähintään 50 henkilöä
  • Joiden liikevaihto tai tase ylittää 10 miljoonaa euroa

Mutta tässä tulee tärkeä asia: myös pienemmät yritykset voivat kuulua sääntelyn piiriin, jos ne ovat osa kriittisten toimijoiden toimitusketjua.

3. Toimitusketjuvastuu – myös alihankkijat tarkkailussa

NIS2 edellyttää, että yritykset varmistavat myös toimittajiensa ja alihankkijoidensa kyberturvallisuuden. Tämä tarkoittaa käytännössä sitä, että vaikka yrityksesi ei suoraan kuuluisi direktiivin piiriin, asiakkaasi saattavat vaatia sinulta NIS2-yhteensopivia käytäntöjä.

Käytännössä pk-yritys voi menettää merkittävän asiakkaan, jos se ei pysty osoittamaan tietoturvansa tasoa.

4. Johdon henkilökohtainen vastuu

Yksi NIS2:n merkittävimmistä uudistuksista on johdon vastuu. Yrityksen johto vastaa henkilökohtaisesti kyberturvallisuutta koskevan riskienhallinnan toteuttamisesta ja valvonnasta.

Tämä tarkoittaa, että hallituksen jäsenet ja toimitusjohtaja eivät voi enää delegoida vastuuta IT-osastolle. Heidän on ymmärrettävä riskit ja varmistettava, että toimenpiteet ovat riittävät.

5. Riskienhallinta on keskiössä

NIS2:n ydin on riskiperusteinen lähestymistapa. Organisaation tulee:

  1. Tunnistaa ja arvioida kyberturvallisuusriskit
  2. Laatia riskienhallintapolitiikka
  3. Toteuttaa asianmukaiset suojatoimenpiteet
  4. Arvioida toimenpiteiden tehokkuutta säännöllisesti

Riskiarvioinnissa on huomioitava sekä tekniset että fyysiset uhat verkko- ja tietojärjestelmille.

6. 24 tunnin ilmoitusvelvollisuus

NIS2 tuo mukanaan tiukat raportointivaatimukset tietoturvapoikkeamista:

  • Ensi-ilmoitus: 24 tunnin kuluessa poikkeaman havaitsemisesta
  • Jatkoilmoitus: 72 tunnin kuluessa
  • Loppuraportti: kuukauden kuluessa jatkoilmoituksesta

Tämä edellyttää, että yrityksellä on toimivat prosessit poikkeamien havaitsemiseen ja raportointiin.

7. Sanktiot voivat olla merkittäviä

NIS2-direktiivin rikkomisesta voidaan määrätä hallinnollisia sakkoja:

  • Keskeisille toimijoille: enintään 10 miljoonaa euroa tai 2 % globaalista liikevaihdosta
  • Tärkeille toimijoille: enintään 7 miljoonaa euroa tai 1,4 % liikevaihdosta

Lisäksi johtoa voidaan kieltää määräajaksi toimimasta yrityksen ylimmässä johdossa.

8. Traficomin tukirahoitus pk-yrityksille

Positiivinen uutinen: Liikenne- ja viestintävirasto Traficom myöntää tukirahoitusta kyberturvallisuuslain piiriin kuuluville pk-yrityksille. Tuki on tarkoitettu vaatimusten toteuttamiseen ja kyberturvallisuustason nostamiseen. Haku päättyy 16.10.2025.

Tämä on erinomainen tilaisuus laittaa asiat kuntoon tuetulla rahoituksella.

9. ISO 27001 helpottaa vaatimustenmukaisuutta

Vaikka ISO 27001 -sertifikaatti ei ole pakollinen, se on käytännössä paras tapa osoittaa NIS2-vaatimusten täyttyminen. Sertifioitu tietoturvan hallintajärjestelmä:

  • Kattaa suurimman osan NIS2:n vaatimuksista
  • Antaa kolmannen osapuolen auditoiman todisteen
  • Helpottaa neuvotteluja asiakkaiden kanssa
  • Vähentää valvontaviranomaisten tarkastusten tarvetta

10. Mistä aloittaa?

Jos NIS2-vaatimukset ovat vielä tekemättä, suosittelemme seuraavia askeleita:

  1. Selvitä, kuulutko suoraan tai toimitusketjun kautta sääntelyn piiriin
  2. Tee kattava tietoturvakartoitus nykytilan selvittämiseksi
  3. Nimeä vastuuhenkilöt ja varmista johdon sitoutuminen
  4. Laadi riskienhallintapolitiikka ja toimintasuunnitelma
  5. Rakenna prosessit poikkeamien havaitsemiseen ja raportointiin
  6. Kouluta henkilöstö ja dokumentoi kaikki toimenpiteet

Yhteenveto

NIS2 ei ole pelkkä lakisääteinen velvoite – se on mahdollisuus rakentaa kestävää kilpailuetua. Yritykset, jotka ottavat kyberturvallisuuden vakavasti, rakentavat luottamusta asiakkaiden ja kumppaneiden silmissä.

Tärkeintä on aloittaa nyt. Vaatimukset ovat jo voimassa, ja siirtymäaika riskienhallinnan toimintamallin käyttöönotolle on vain 3 kuukautta ilmoittautumisesta.

Haluatko selvittää yrityksesi NIS2-valmiuden? Tee ilmainen tarveanalyysi osoitteessa 3nfocus.fi tai varaa tietoturvakartoitus osoitteessa tietoturvakartoitus.fi