Vuonna 2025 voimaan tullut kyberturvallisuuslaki tuo mukanaan uusia vastuita ja tiivistää entisestään viranomaisten ja elinkeinoelämän välistä yhteistyötä. Tiukentuneet vaatimukset edellyttävät tehokasta tiedonvaihtoa, selkeää tilannekuvaa ja yhteisiä toimintamalleja myös nopeisiin häiriöihin varautumiseksi. TIETO 2026 -harjoituksen ensimmäinen jakso keskittyy juuri tähän yhteistyöhön.

Suomessa vapaaehtoisuuteen perustuvalla yhteistyöllä on rakennettu vahva pohja kyberturvallisuuden varautumiselle. Toimiva yhteistyö tukee häiriötilanteisiin varautumista ja niistä toipumista, ja Suomi onkin varautumisen edelläkävijä. Vuonna 2025 varautumista vahvisti erityisesti muuttuneeseen uhkaympäristöön vastaava sääntely, kuten kyberturvallisuuslaki (NIS2) ja laki yhteiskunnan kriittisen infran suojaamisesta ja häiriönsietokyvyn parantamisesta (CER). NIS2-lain ja CER-kokonaisuuden valmistelut kulkivat käsi kädessä ja molempien pääpaino on varmistaa kriittisen infran turvallisuus.

Ilmoita merkittävät kyberpoikkeamat valvovalle viranomaiselle

Kansallinen kyberturvallisuuslaki astui voimaan huhtikuussa 2025. Laki laajensi kyberturvallisuusvaatimukset uusille toimialoille ja organisaatioille osana NIS2-direktiivin toimeenpanoa. Sektorilaajennusten myötä myös julkishallinto on nyt soveltamisalassa ja sitä koskevat velvoitteet pantiin täytäntöön tiedonhallintalaissa.

Laki parantaa ennakoitavuutta luomalla selkeät velvoitteet ja yhtenäiset toimintaperiaatteet. Se ohjaa kriittisiä toimijoita vahvistamaan turvallisuutta ja varmistaa suojatoimien vähimmäistason. Kokonaisuutena laki vahvistaa kriittisen infrastruktuurin häiriönsietokykyä sekä selkeyttää viranomaisten ja yritysten vastuita.

Uusille sektoreille asetetut vaatimukset eivät ole ylivoimaisia, vaan pitkälti perustason toimia, jotka kyberturvallisuudesta huolehtivat organisaatiot ovat pääosin jo toteuttaneet. Yksi keskeisimmistä velvoitteista on merkittävien häiriöiden ilmoittaminen valvovalle viranomaiselle. Laki parantaa kansallista resilienssiä merkittävästi. Toinen tärkeä velvoite on toimitusketjujen turvallisuudesta huolehtiminen. Toimitusketjujen turvallisuuteen on kiinnitetty huomiota myös Euroopan komission uudessa ehdotuksessa kyberturvallisuusasetukseksi (CRA2).

Kyberturvallisuuslaki vahvistaa toimijoiden välistä vastuunjakoa ja tiedonvaihtoa myös hybridiuhkien torjunnassa. Tämä näkyy TIETO-harjoituksessa, jossa mukana on useita toimivaltaisia viranomaisia. Harjoituksen aiheisiin kuuluvat myös valmiuslain toimivaltuuksien soveltaminen sekä pitkittyneen kriisin vaikutukset yritysten toimintakykyyn.

Toimivaltuudet siviiliviranomaisten kesken ovat jo kyberturvallisuuslain myötä hyvässä kunnossa. Kokonaisturvallisuuden mallissa kyberturvallisuuden viranomaiskehikossa tärkeää on myös yhteistyö sisäasianhallinnon ja puolustushallinnon kanssa. Suomessa elinkeinoelämän ja viranomaisten yhteistyö perustuu edelleen suurelta osin vapaaehtoisuuteen – ja se on vahvuutemme.

Elintarvikehuolto ja sen toimitusketjut harjoittelevat laajamittaisten häiriöiden varalta

Suomessa monet palvelut tukeutuvat kansainvälisiin toimitusketjuihin ja teknologiaratkaisuihin. Elintarvikehuolto ja sen toimitusketjut ovat laajasti digitalisoituneita ja usein kansainvälisiä. Kyberuhkat ovat todellisia, ja nämä yhdessä asettavat toimialalle korkeat resilienssivaatimukset.

Kyberturvallisuuskeskuksen ISAC-verkostoissa (Information Sharing and Analysis Centre) toimijat vaihtavat luottamuksellisesti tietoa kyberuhkista, ilmiöistä ja hyvistä käytännöistä sekä tuottavat toimialakohtaisia riskianalyysejä ja ohjeita. Elintarvike-ISAC:ssa Kyberturvallisuuskeskus käsittelee digitalisoituvan toimintaympäristön haasteita yhdessä alan toimijoiden kanssa. ISAC:eissa sovitut toimintatavat rohkaisevat avoimeen tiedonjakoon jäsenten kesken ja käyttämään saatuja tietoja vastuullisesti ja tietojen lähdettä paljastamatta.

Häiriötilanteissa viranomaiset tukevat yrityksiä tilannetiedolla, analyyseillä ja koordinaatiolla. Toimialakohtaiset ISAC-ryhmät ovat tärkeä osa tätä yhteistyötä. Yhteistyöllä luodaan jaettua tilanneymmärrystä, josta hyötyvät paitsi ISAC:ien jäsenet, myös muut toimijat, joille Kyberturvallisuuskeskus voi laatia ajankohtaisia tiedotteita.

Kyberturvallisuuskeskus tukee elinkeinoelämää

Kyberturvallisuuskeskuksen tavoitteena on koko kyberturvallisuusekosysteemin vahvistaminen. Yksi toiminnan painopisteistä on elinkeinoelämän kasvun tukeminen: haluamme auttaa suomalaisia yrityksiä kehittämään turvallisia ratkaisuja ja menestymään myös kansainvälisesti.

Kyberturvallisuuskeskus on pyrkinyt kehittämään aktiivisesti tietojärjestelmien ja salaustuotteiden arviointipalveluja. Arviointien avulla viranomaiset ja yritykset voivat varmistaa turvallisen viestinnän niin kotimaassa kuin kansainvälisesti.

Arviointipalvelujen tehostaminen parantaa suomalaisyritysten mahdollisuuksia tuoda markkinoille ja vientiin hyväksyttyjä ratkaisuja. Kysyntä kasvaa erityisesti niillä aloilla, jotka ovat vasta tulleet sääntelyn piiriin.

Kyberturvallisuus on keskeinen osa kokonaisturvallisuutta.

Anssi Kärkkäinen
Ylijohtaja
Traficomin Kyberturvallisuuskeskus

 

Lisätietoa Tieto26-harjoituksesta:

• Digipooli: Tieto26-Harjoitus
• Huoltovarmuuskeskus: TIETO26-harjoituksessa vahvistetaan yhteistyötä myös poikkeusolojen varalle – keskiössä elintarvikehuolto