Kyberturvallisuuslain täytäntöönpano

Hallituksen esitys 57/2024 eduskunnalle kyberturvallisuusdirektiivin (NIS2-direktiivin) täytäntöönpanoa koskevaksi lainsäädännöksi annettiin eduskunnalle 23.5.2024.

Tasavallan presidentti vahvisti lain perjantaina 4.4.2025 ja kyberturvallisuuslaki (124/20259) tuli voimaan 8.4.2025.

Julkishallinnon osalta direktiivi pannaan täytäntöön kyberturvallisuuslailla ja muutoksilla (tiedonhallintalain uusi 4 a luku) julkisen hallinnon tiedonhallinnasta annettuun lakiin.

Soveltamisalaan kuuluvia toimijoita edellytetään ilmoittamaan yhteystietonsa valvovalle viranomaiselle soveltamisen alkaessa 8.5.2025 mennessä (1 kk siirtymäaika).

Kyberturvallisuuslain mukaiset määräajat riskienhallinnan järjestämiselle ja tietojen ilmoittamiselle alkoivat lain voimaantulosta.

1.   Toimijoiden velvoitteet

  1. Toimijan on laadittava riskienhallinnan toimintamalli 8.7.2025 mennessä. Riskienhallintatoimenpiteiden toteuttaminen ja dokumentointi riskienhallinnan toimintamalliin, johdon vastuu riskienhallinnasta ja sen toteuttamisen valvonnasta.
  2. Velvollisuus ilmoittaa merkittävästä poikkeamasta valvovalle viranomaiselle sekä ilmoittaa merkittävästä poikkeamasta palvelujen vastaanottajille ja yleisölle sekä ilmoittaa merkittävästä kyberuhkasta sekä kyberuhkan hallitsemiseksi käytettävissä olevista toimenpiteistä niille palvelujen vastaanottajille, joihin merkittävä kyberuhka saattaa vaikuttaa.
  3. Ilmoituksen voi tehdä Traficomin Kyberturvallisuuskeskuksen NIS2-ilmoitussovelluksella.

2.   Toimijaksi ilmoittautuminen

Toimintaa koskeva ilmoitus valvovalle viranomaiselle. Tarkista laista oletko NIS2-toimija. Toimijoiden on ilmoitettava oman toimialansa valvovalle viranomaiselle seuraavat tiedot:

  1. Toimijan nimi
  2. Yhteystiedot, kuten osoite, sähköposti ja puhelinnumero
  3. Julkiset IP-osoitealueet
  4. Onko toimija keskeinen toimija
  5. EU:n jäsenvaltiot, joissa toimija tarjoaa palveluaan
  6. Osallistuminen kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn

3.   Merkittävän poikkeaman ilmoittaminen

Kaikkien NIS2 -toimijoiden on aina ilmoitettava merkittävästä poikkeamasta valvovalle viranomaiselle

  • 24 h kuluessa ensi-ilmoitus
    • Havainto merkittävästä poikkeamasta
    • Epäilläänkö, että kyseessä on rikos tai vihamielinen teko
    • Rajat ylittävien vaikutusten mahdollisuus
  • 72 h kuluessa jatkoilmoitus
    • Arvio poikkeaman laadusta, vakavuudesta ja vaikutuksista
    • Vaarantumisindikaattorit (IOC), jos mahdollista
    • Mahdolliset täydennykset
  • Mahdollinen väliraportti
  • 1 kk kuluessa loppuraportti
    • Yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista
    • Poikkeaman arveltu aiheuttaja
    • Toimenpiteet tilanteen hoitamiseksi
    • Mahdolliset rajat ylittävät vaikutukset

4.   Merkittävä poikkeama

NIS2-direktiivin 23 artiklan 3 kohdan nojalla poikkeama katsotaan merkittäväksi, jos

  • on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai asianomaiselle toimijalle taloudellisia tappioita; tai
  • jos poikkeama on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

5.   Säädöspohja

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on laatinut suosituksen osana keskitetyn yhteyspisteen viranomaisyhteistyötä ja koordinointitehtävää.

Suosituksen taustalla on NIS2-direktiivin riskienhallintavelvoitteiden täsmentäminen ja tulkintakäytäntöjen yhteensovittaminen.

Suositus voi tukea toimijoiden kyberturvallisuuden riskienhallinnan suunnittelua. Suositukseen on koottu tietoa ja käytännön esimerkkejä siitä, millaisia toimenpiteitä laissa säädettyihin vaatimuksiin voi kuulua ja kuvataan erilaisia keinoja, joita valvova viranomainen voi harkintansa ja arvionsa mukaan käyttää ohjaus- ja valvontatehtävissään.

  • Valvova viranomainen ratkaisee, millaiset toimenpiteet täyttävät säädetyt vaatimukset kullakin toimialalla.
  • Suosituksen mukaisten käytäntöjen toteuttaminen ei takaa sitä, että toimija täyttäisi kansallisen sääntelyn edellyttämät vaatimukset.

6.   Suosituksen sisällöstä

Suositukseen on koottu yleisimmin käytetyt kyberturvallisuuden riskienhallintakeinot.

  • Esimerkkejä toteutuksista, joita valvoja viranomainen saattaa kohdata valvonnan yhteydessä.
  • Esimerkkejä todennusmenetelmistä ja viittaukset yleisimpiin kansallisiin ja kansainvälisiin viitekehyksiin.

7.   Kyberturvallisuuden riskienhallinnan toimenpiteet

  1. Kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja toimenpiteiden vaikuttavuuden arviointi.
  2. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet.
  3. Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen.
  4. Toimitusketjun välittömien toimittajien ja palveluntarjoajien palveluiden yleinen laatu ja häiriönsietokyky, niihin sisällytetyt hallintatoimenpiteet ja kyberturvallisuuskäytännöt.
  5. Omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen.
  6. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus.
  7. Pääsynhallinnan ja todentamisen menettelyt.
  8. Salausmenetelmien käyttämistä koskevat toimintaperiaatteet.
  9. Poikkeamien havainnointi ja käsittely.
  10. Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muun toiminnan jatkuvuuden hallinta.
  11. Perustason tietoturvakäytännöt.
  12. Fyysisen ympäristön sekä välttämättömien resurssien varmistaminen.