Kyberturvallisuus on puhuttanut viime vuosina suomalaista yhteiskuntaa aika paljon. Mitä enemmän tieto- ja viestintäteknologiset asiat yhteiskunnassa lisääntyvät, sitä merkittävämmäksi nousee myös kyberturvallisuuteen liittyvät asiat. Lailla on tarkoitus turvata kyberturvallisuuden osalta yhteiskunnan toiminnan kannalta keskeisimmät toimialat.
Euroopan parlamentin ja neuvoston direktiivi (NIS2) (EU) 2022/2555 toimi pohjana lakivalmistelulle. Direktiivillä on tarkoitus varmistaa kyberturvallisuuden yhteinen korkean tason koko unionin alueella (Euroopan komissio 2022).
Direktiivi edellyttää, että unionin jäsenvaltiot parantavat merkittävästi kyberturvallisuusvalmiuksiaan ja kehittävät riskinhallintatoimenpiteitä sekä erilaisia raportointivaatimuksia monille eri aloille. Se edellyttää myös yhteistyön vahvistamista eri sektoreilla, tietojen jakamista ja valvontaa. Osana sitä ovat kyberturvallisuustoimenpiteiden toimeenpanoa koskevat säännökset (Euroopan komissio 2022).
Riskienhallinnan toimintamalli laadittava
Tuoreen kyberturvallisuuslain tavoitteena on parantaa yhteiskunnan toiminnan kannalta keskeisten toimialojen ja palveluiden kyberturvallisuutta ja torjua kyberhyökkäyksiä ja niistä aiheutuneita häiriöitä (Kyberturvallisuuslaki 124/2025). Laki koskee muun muassa energia-, liikenne- ja terveydenhuoltoalojen sekä digitaalisten järjestelmien palveluntarjoajia. Lain soveltamisalan piiriin kuuluvat myös esimerkiksi suuret ja keskisuuret elintarvikealan, kemianteollisuuden, jätehuollon toimijat ja postipalveluiden tuottajat sekä tiettyjä tuotteita valmistava teollisuus (Liikenne- ja viestintäministeriö 2025).
Laki edellyttää, että jokaisen toimijan on kyettävä tunnistamaan, arvioimaan ja hallitsemaan riskejä, jotka kohdistuvat sen toimintoihin taikka organisaation viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Lain soveltamisalaan kuuluvien organisaatioiden on rakennettava kyberturvallisuutta koskeva riskienhallinnan toimintamalli, jolla pystytään suojautumaan ulkopuolisilta hyökkäyksiltä (HE 57/2024).
Toimintamallissa edellytetään sitä, että organisaatiot valmistelevat tarvittavat tekniset, operatiiviset ja organisatoriset hallintatoimenpiteet, jolla voidaan turvata viestintäverkkojen ja tietojärjestelmien turvallisuus ja minimoimaan niihin kohdistuvat haitalliset vaikutukset (Kyberturvallisuuslaki 124/2025). Mikäli poikkeamia havaitaan, niin organisaation on tehtävä niistä ilmoitus vuorokauden kuluessa ja raportoitava tapahtumista laissa määriteltyjen aikarajojen puitteissa valvovalle viranomaiselle (HE 57/2024).
Liikenne- ja viestintäministeriön alaisuudessa toimii tietoturvaloukkauksiin erikoistunut CSIRT-yksikkö (Computer Security and Incident Response Team). Yksikön tehtävänä on mm. seurata ja analysoida kyberuhkia ja erilaisia poikkeamia kansallisesti (HE 57/2024). CSIRT-yksikön toiminta perustuu sen ja eri yhteiskunnan toimijoiden väliseen luottamukseen ja sille vapaaehtoisesti ilmoitettuihin tietoturvaloukkauksien analysointiin arviointiin (Traficom 2025).
Yritysten ja organisaatioiden tulee tarkastaa, onko se NIS2-direktiivin mukainen toimija. Mikäli yritys tai organisaatio kuuluu sellaisiin toimijoihin, niin sen tulee ilmoittua 8.5.2025 mennessä jokaiselle toimialakohtaiselle viranomaiselle. Toimijoiden on laadittava riskienhallinnan toimintamalli 8.7.2025 mennessä (Traficom 2025).
Poikkeamista raportoitava viipymättä
Käytännön tasolla yritysten ja organisaatioiden tulee ilmoittaa poikkeamista kolmivaiheisesti. Ensi-ilmoitus tulee tehdä 24 tunnin sisällä tällaisesta havainnosta. Jatkoilmoitus 72 tunnin sisällä merkittävän poikkeaman havaitsemisesta ja loppuraportti kuukauden kuluessa jatkoilmoituksen toimittamisesta. Mikäli kyseessä on pitkäaikainen poikkeama, niin rapotti tapahtumasta on toimitettava kuukauden kuluessa sen päättymisestä. Traficomin sivuilta löytyy valmiit lomakkeet, joilla ilmoituksen poikkeamista voi tehdä (Traficom 2025).
Uusi kyberturvallisuuslaki tuo siis velvoitteita yrityksille ja organisaatioille varsin lyhyellä varoitusajalla. Toisaalta se nostaa huomattavasti yhteiskunnan eri toimintojen valmiutta vastata erilaisiin kyberuhkiin.
Kirjoittaja
Jarmo Kemppinen työskentelee lehtorina LAB-ammattikorkeakoulussa opettaen muun muassa liiketalouden juridiikkaa.
Lähteet
Euroopan komissio. 2022. NIS 2 -direktiivi: verkko- ja tietojärjestelmien kyberturvallisuutta koskevat uudet säännöt. Viitattu 15.4.2025. Saatavissa https://digital-strategy.ec.europa.eu/fi/policies/nis2-directive
Hallituksen esitys HE 57/2024. Viitattu 15.4.2025. Saatavissa https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Sivut/HE_57+2024.aspx
ItNeverEnds. 2017. Tietokone, kaupunki, hakata, verkkoon. Pixabay. Viitattu 16.4.2025. Saatavissa https://pixabay.com/fi/illustrations/tietokone-kaupunki-hakata-verkkoon-2930704/
Kyberturvallisuuslaki 124/2025. Finlex. Viitattu 15.5.2025. Saatavissa https://www.finlex.fi/fi/lainsaadanto/2025/124
Liikenne- ja viestintäministeriö. 2025. Hallitus esittää uuden kyberturvallisuuslain vahvistamista. Tiedote. 27.3.2025. Viitattu 15.4.2025. Saatavissa https://www.kyberturvallisuusdirektiivi.com/kyberturvallisuuslaki/
Traficom. 2025. Kyberturvallisuuslaki on hyväksytty eduskunnassa – NIS2-direktiivin mukaiset velvoitteet astuvat voimaan 8.4.2025. Viitattu 16.4.2025. Saatavissa https://www.traficom.fi/fi/ajankohtaista/kyberturvallisuuslaki-hyvaksytty-eduskunnassa-nis2-direktiivin-mukaiset-velvoitteet
