Kyberturvallisuuslaki tuo mukanaan uusia riskienhallinta- ja raportointivelvoitteita monille toimialoille. Ilmoittaudu toimijaluetteloon 8.5.2025 mennessä.

Kansallinen kyberturvallisuuslaki astui voimaan huhtikuun alussa. Lailla pannaan täytäntöön EU:n kyberturvallisuusdirektiivi (NIS 2 -direktiivi).

Kyberturvallisuusdirektiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa useiden yhteiskunnan toiminnan kannalta kriittisten toimialojen osalta. NIS 2 -direktiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi).

NIS 2 -sääntelyn velvoitteet tulevat voimaan vaiheittain. Alle on koottu yleistä tietoa velvoitteista ja niiden voimaantulosta. Lisätietoja ja ohjeita saat oman alasi valvovalta viranomaiselta.

Ilmoittaudu toimijaluetteloon

Tarkista kyberturvallisuuslaista ja tiedonhallintalaista, oletko NIS 2 -toimija. NIS 2 -sääntelyn soveltamisalaan kuuluvien toimijoiden on ilmoittauduttava oman toimialansa valvovan viranomaisen ylläpitämään toimijaluetteloon. Huomaathan, että ilmoittautuminen pitää tehdä 8.5.2025 mennessä. 

>> Toimialakohtaiset valvovat viranomaiset löydät Kyberturvallisuuskeskuksen NIS2-verkkosivuilta

>> Traficomin valvomat toimijat: Ilmoittaudu Traficomille NIS2-toimijaluetteloon

>> Kyberturvallisuuslaki

>> Tiedonhallintalaki

Toteuta riskienhallinnan toimintamalli ja toimenpiteet

Tutustu kyberturvallisuuslaissa asetettuun riskienhallintavelvoitteeseen. Toimijan on laadittava riskienhallinnan toimintamalli 8.7.2025 mennessä. Huomaathan, että julkishallinnon toimijoille ei ole erillistä siirtymäaikaa riskienhallinnan toimintamallin laatimiseen.

Traficom on valmistellut suosituksen riskienhallinnan toimenpiteistä. Suositus on suunnattu valvoville viranomaisille, mutta se tukee myös NIS 2 -toimijoiden riskienhallinnan suunnittelua. Lisäksi Euroopan komissio on antanut riskienhallintavelvoitetta täsmentävää sääntelyä tietyille digitaalisen infrastruktuurin ja digitaalisten palveluiden toimijoille.

>> Traficomin suositus kyberturvallisuuden riskienhallinnan toimenpiteistä 

>> Täytäntöönpanoasetus (EU) 2690/2024 tietyille digitaalisen infrastruktuurin ja -palveluiden tarjoajille 

Tutustu poikkeamailmoituksen tekemiseen

Toimijoiden tulee ilmoittaa valvovalle viranomaiselleen merkittävistä poikkeamista 8.4.2025 alkaen. Ilmoitus on kolmivaiheinen.

>> Tutustu NIS2-poikkeamailmoitukseen

Kannustamme NIS2-sääntelyn kohteena olevia toimijoita tekemään Traficomin Kyberturvallisuuskeskuksen CSIRT-yksikölle vapaaehtoisen ilmoituksen myös erilaisista organisaatioon kohdistuneista tietoturvaloukkauksista, kuten tietojenkalastelusta tai palvelunestohyökkäyksistä, sekä näiden yrityksistä. Kyberturvallisuuskeskus voi tarvittaessa auttaa vakavien tietoturvaloukkausten teknisessä selvityksessä. Ilmoitusten perusteella koostamme myös kyberturvallisuuden kansallista tilannekuvaa.

>> Tee vapaaehtoinen tietoturvaloukkausilmoitus