19.5.2025

NIS 2 -direktiivi: Kyberturvallisuuden riskienhallinnan toimintamallin pitää olla valmis 8.7.2025 – katso viime hetken vinkit

Palvelut

NIS 2 -direktiivin täytäntöönpanevan kyberturvallisuuslain edellyttämät valmistelut alkavat kääntyä yrityksissä loppusuoralle. Kyberturvallisuuslaki astui voimaan 8.4.2025, ja lain soveltamisalaan kuuluvien yritysten eli niin sanottujen toimijoiden tuli ilmoittautua valvoville viranomaisille viimeistään 8.5.2025. Maaliviiva on 8.7.2025, jolloin toimijalla tulee olla valmiina laissa säädetty kyberturvallisuuden riskienhallinnan toimintamalli.

Toimintamallin laatiminen on toimijan keskeisimpiä kyberturvallisuuslain mukaisia velvoitteita. Moni toimijoista työstää toimintamallia vielä viime metreillä. Vaikka toimintamalli olisi jo hyvällä mallilla, sen koeponnistamisesta ei ole haittaa. Tästä syystä kokosimme yhteen viime hetken vinkit toimintasuunnitelman laatimiseen.

1. Varmista vielä, kuulutko kyberturvallisuuslain soveltamisalaan

Valvovien viranomaisten arvion mukaan ilmoittautumisia puuttuu vielä runsaasti. Ainakaan ilmoittautuneiden määrä ei vastaa niitä arvioita, joita kyberturvallisuuslain soveltamisalaan kuuluvista yrityksistä on tehty. Jos ilmoittautuminen on vielä tekemättä, se kannattaa tehdä oitis. Valvovat viranomaiset vaikuttavat suhtautuvan myöhästyneisiin ilmoittautumisiin ymmärtäväisesti.

Ilmoittautumisten vähäistä määrää saattaa selittää se, että yrityksillä on ollut hankaluuksia määrittää, kuuluvatko ne kyberturvallisuuslain soveltamisalaan. Havaintojemme mukaan seuraavat asia ovat tuottaneet eniten päänvaivaa soveltamisalan määrittämisessä ja ilmoittautumisessa:

  1. Lain liitteissä mainitut toimialakategoriat eivät ole tarkkarajaisia eikä niiden soveltamiseen ole löydettävissä välttämättä juurikaan tulkinta-apua.
  2. Toimijan määritelmä on oikeushenkilökohtainen. Esimerkiksi tytäryhtiön kuuluminen lain toimialakategoriaan ei itsessään tuo emoyhtiötä soveltamisalan piiriin.
  3. Vaikka toimijan määritelmä on oikeushenkilökohtainen, toimijan koon määrittämisessä huomioidaan myös omistusyhteys- ja sidosyritykset.
  4. Itse ilmoittautumisessa harmaita hiuksia on aiheuttanut laillisten toimipaikkojen listaaminen.

Jos olet epävarma mistä tahansa soveltamisalaan tai ilmoittautumiseen liittyvästä kysymyksestä, olethan yhteydessä tiimiimme. Parempi myöhään kuin ei milloinkaan.

2. Tarkista, että kyberturvallisuuden riskienhallinnan toimintamalli sisältää lain vaatimat asiat

Toimintamallin laatiminen ei ole rakettitiedettä. Viranomaiset ovat antaneet kyberturvallisuuden riskienhallinnan toimenpiteistä suosituksen, ja toimintamallin vaatimuksista liikkuu monenlaista tietoa, mutta viime kädessä toimintamallin vaatimukset käyvät ilmi kyberturvallisuuslaista, jonka mukaan toimintamallin tulee

  1. olla ajantasainen
  2. koskea kyberturvallisuutta
  3. suojata viestintäverkkoja, tietojärjestelmiä ja niiden fyysistä ympäristöä
  4. suojata poikkeamilta ja niiden vaikutuksilta
  5. tunnistaa riskit ottaen huomioon kaikki vaaratekijät huomioiva lähestymistapa
  6. määrittää ja kuvata riskienhallinnan tavoitteet, menettelyt ja vastuut
  7. määrittää ja kuvata ainakin lain 9 pykälän mukaiset 12 hallintatoimenpidettä.

Jos toimintamallissa on otettu huomioon nämä laissa säädetyt vaatimukset oikeassa suhteessa toimijan toimintaan, ollaan toimintamallin kanssa jo aika selvillä vesillä.

3. Älä nyhjäise toimintamallia tyhjästä

Mistä aloittaa toimintamallin valmistelu? Monellakaan toimijalla toimintamallin valmistelua ei suinkaan tarvitse aloittaa nollasta. Riskien tunnistus ja -hallinta on keskeinen ja sisäänrakennettu osa monen toimijan liiketoimintaa. Olennaista on hahmottaa, miltä osin jo käytössä olevat menettelyt ja käytännöt vastaavat edellä kuvattuihin vaatimuksiin. Tehtäväksi jää käytäntöjen kehittäminen ja luominen siltä osin, kun vaatimuksia ei vielä täytetä.

4. Vertaa toimintamalliasi ISO-standardiin

Osa toimijoista on rakentanut itselleen tietoturvallisuuden johtamisjärjestelmän ISO/IEC 27000 -standardisarjan mukaisesti. Näissä toimijoissa on luonnollisesti mietitty, voiko ISO/IEC 27001 -vaatimukset täyttämällä täyttää myös kyberturvallisuuslain vaatimukset.

Ei voida sanoa, että ISO/IEC 27001 -sertifioitu toimija täyttäisi suoraan kyberturvallisuuslain velvoitteet, mutta sertifiointi on erittäin hyvä lähtökohta. Standardin mukaista tietoturvallisuuden hallintajärjestelmää voidaan käyttää riskienhallinnan toimintamallin perustana, ja on mahdollista, että lain mukainen riskienhallinnan toimintamalli edellyttää siihen vain vähäisiä muutoksia ja lisäyksiä. Esimerkiksi sertifioinnin yhteydessä tehty riskien tunnistus voi täyttää sellaisenaan kyberturvallisuuslain mukaisen riskien tunnistusvelvoitteen, kunhan se on ajan tasalla.

5. Document or it didn’t happen

Toimintamallia laadittaessa ei voi korostaa liikaa dokumentoinnin tärkeyttä. ”Document or it didn’t happen” on hyvä nyrkkisääntö. Entä pitääkö toimintamallin olla yksittäinen dokumentti, vai voiko toimintamalli koostua useista eri dokumenteista? Toimintamallille ei ole määrämuotoa, joten molemmat vaihtoehdot käyvät. Mikäli toimintamalli on joukko dokumentteja, toimintamalli on hyvä rajata niin, että pystyy tarvittaessa selkeästi esittämään viranomaiselle relevantin dokumentaation. Toimintamalli on hyvä laatia siten, että sen perusteella on mahdollista laatia tarkempia ohjeita käytännön hallintatoimenpiteiksi, joilla tosiasiallista kyberturvallisuustyötä on mahdollista tehdä.

6. Hyväksytä toimintamalli hallituksessa

Johdon velvollisuuksiin kuuluu muun muassa toimintamallin hyväksyminen ja sen toteuttamisen valvonta. Johtoon kuuluu tyypillisessä osakeyhtiössä toimijan hallitus ja toimitusjohtaja. Mitä johdolle laissa asetettu velvollisuus hyväksymisestä käytännössä tarkoittaa?

Toimintamalli on syytä hyväksyttää muodollisesti pätevällä tavalla hallituksessa. Toimintamalli on kyberturvallisuusriskien hallinnan keskeisin työkalu. Vaikka mallin sisältö valmistellaan käytännössä toimijan organisaation alemmilla tasoilla, johdon muodollinen hyväksyntä osoittaa muun muassa, että malliin sitoudutaan ja että mallin osoittamille vastuille ja rooleille annetaan mandaatti.

Muodollisella päätöksellä tarkoitetaan hallituksen tavanomaista asioiden käsittely- ja päätöksentekoprosessia, joka edellyttää johdon riittävää perehtymistä kyberturvallisuussääntelyn vaatimuksiin ja itse kyberturvallisuuteen ennen päätöksentekoa. Hallitus ei ole siten pelkästään ”kumileimaisin”, eikä pelkkä toimintamallin hyväksymispäätöksen kirjaaminen pöytäkirjaan välttämättä ole riittävää vaan uskottava hyväksymispäätös edellyttää asianmukaisen informaation hankkimista päätöksenteon taustalle. Johdon perehtyminen asiaan on myös hyvä dokumentoida hallituksen päätösaineistossa.

Lue lisää johdon velvollisuuksista täältä.

7. Hanki tarvittaessa apua

Jos toimintamallisi on vielä pahasti vaiheessa tai sen sisällöstä on epävarmuutta, apua on aina saatavilla. Kyberturvallisuuslain esitöissäkin todetaan, että toimija voi luoda riskienhallinnan toimintamallin itse tai hankkia sen ulkoistetusti. Apua on tarjolla niin mallin tekemiseen kuin sen tarkastukseen.

Eniten toimintamallin laatimisesta saa hyötyä, kun sitä ei ota pelkän paperin laatimisena vaan suhtautuu siihen aitona mahdollisuutena kehittää yrityksen kyberturvallisuutta.

Blogi NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista

Uusimmat uutiset

Julkaistu 22.8.2025 – Data ja teknologia Kyberturvallisuus suojaa yrityksen arvokkainta pääomaa – tietoa
Eija Warma-Lehtinen
Topi Lusenius

Eija Warma-Lehtinen & Topi Lusenius

 Julkaistu 24.2.2025 – Data ja teknologia NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista
Eija Warma-Lehtinen
Janne Koivisto

Eija Warma-Lehtinen & Janne Koivisto

 Julkaistu 15.11.2024 – Data ja teknologia Vältä nämä sudenkuopat ja sopimusmokat strategisissa IT-hankkeissa
Topi Lusenius

Topi Lusenius

 Julkaistu 10.10.2024 – Data ja teknologia Uusi kaksikäyttötuotelaki astui voimaan syyskuun puolivälissä – Mitä muuttuneesta sääntelystä tulee tietää?
Kim Parviainen
Lauri Laatunen

Kim Parviainen & Lauri Laatunen
Kaikki uutiset

Uusimmat referenssit

Lantmännen – Leipurin-liiketoiminnan osto Aspolta
Toimimme Lantmännen ek förin neuvonantajana Leipurin Oyj:n suunnitellussa hankinnassa Aspo Oyj:ltä. Castrén & Snellman on johtava neuvonantaja elintarviketeollisuuden yritysjärjestelyissä. Lantmännen on Pohjois-Euroopan johtava toimija maatalous-, kone-, bioenergia- ja elintarviketoimialalla. Sen omistaa 17 000 ruotsalaista maanviljelijää, ja sillä on 12 000 työntekijää sekä toimintaa yli 20 maassa. Leipurin on pohjoismaiden johtava leivonnan raaka-aineiden, välineiden ja asiantuntijapalveluiden toimittaja leipomoille ja laajemmin elintarviketeollisuudelle. Tytäryhtiöidensä kautta se toimii Suomen lisäksi myös Ruotsissa ja Baltian maissa tarjoten kattavia leipomo- ja konditoriateollisuuden ratkaisuja. Järjestelyn toteutuminen edellyttää vielä viranomaisten hyväksyntöjä.
Julkaistu 25.8.2025
Oomi – Laajentuminen mobiililiiketoimintaan
Avustimme Oomi Oy:tä sen laajentaessa toimintaansa uudelle mobiililiittymien liiketoiminta-alueelle ja uuden Oomi Mobiili -operaattoribrändin lanseeraamisessa. Työmme sisälsi hanketta edeltäneen due diligence -prosessin sekä keskeisten kumppanuussopimusten valmistelun ja neuvottelun, luoden Oomille vahvan perustan uuden liiketoiminnan aloittamiselle. Oomi Mobiili toimii virtuaalioperaattorina (MVNO) ja tarjoaa asiakkaille mahdollisuuden hankkia puhelinliittymän sähkösopimuksen yhteydessä. Palvelun vaiheittainen lanseeraus alkaa syksyllä 2025, ja tavoitteena on valtakunnallinen saatavuus vuoden 2026 alusta.
Julkaistu 15.8.2025
Nevel – Labion liiketoiminnan osto
Neuvoimme Nevel Oy:tä sen hankkiessa Suomen toiseksi suurinta biokaasulaitosta operoivan Labio Oy:n liiketoiminnan. Järjestelyssä Lahti Aqua Oy ja Salpakierto Oy myivät Labion koko osakekannan Nevelille, mikä laajentaa Nevelin jo entuudestaan merkittävää materiaalitehokkuus- ja biokaasuportfoliota. Kauppa ei vaikuta Lahti Aquan vesihuoltotoimintaan tai Salpakierron yhdyskuntajätehuollon palvelutehtäviin. Labion toiminta ja asiakassuhteet jatkuvat ennallaan. ”Yhteistyö on meille luonnollinen askel jatkaessamme investointeja materiaalitehokkuuteen ja kestäviin energiaratkaisuihin. Integroimalla Labion kattavan tarjooman sekä osaamisen voimme tarjota asiakkaille vahvan alustan materiaalin kiertoon. Vahvistamme myös markkina-asemaamme yhtenä Suomen johtavana toimijana materiaalitehokkuuden saralla”, sanoo Nevelin liiketoimintajohtaja Ville Koikkalainen. Nevel on energiainfrayhtiö, joka tarjoaa teollisuuden ja kiinteistöjen kehittyneitä, ilmastopositiiviseen tulevaisuuteen tähtääviä ratkaisuja. Se operoi yli 130:tä energiantuotantolaitosta ja hallinnoi yli 40:tä kaukolämpöverkkoa. Nevelin liikevaihto on 150 miljoonaa euroa, ja sen palveluksessa on 190 asiantuntijaa Suomessa, Ruotsissa ja Virossa.
Julkaistu 16.7.2025
Liikennevakuutuskeskus – Potilastietojen käsittelyä koskeva ennakkopäätös ja seuraamusmaksun kumoaminen
Korkein hallinto-oikeus antoi merkittävän ennakkopäätöksen (KHO:2025:23) asiassa, jossa se katsoi, että Liikennevakuutuskeskus (LVK) käsitteli potilastietoja kohtuullisuutta, tietojen minimointia sekä sisäänrakennettua ja oletusarvoista tietosuojaa koskevien vaatimusten mukaisesti korvausasioita ratkaistaessa. Edustimme LVK:ta tässä asiassa, jossa KHO pysytti voimassa hallinto-oikeuden päätöksen kumota Tietosuojavaltuutetun toimiston (TSV) seuraamuskollegion LVK:lle asettama 52 000 euron seuraamusmaksu. KHO vahvisti myös hallinto-oikeuden, tiettävästi Suomessa ensimmäisenä annetun, päätöksen, jossa TSV määrättiin korvaamaan asiakkaamme oikeudenkäyntikuluja. Päätös on erittäin merkittävä koko vakuutustoimialalle. Asiassa oli kyse siitä, että LVK pyytää liikennevakuutuslain nojalla välttämättömiä potilastietoja käsiteltävänä olevan vakuutus- tai korvausasian ratkaisemista varten. Tietyissä tapauksissa laajat potilastiedot voivat olla tarpeellisia ratkaisun tekemisessä. TSV katsoi, että LVK olisi järjestelmällisesti esittänyt liian laajoja tietopyyntöjä tietosuoja-asetuksen 5 ja 25 artiklan vastaisesti, ja että tiedot olisi tullut toimittaa lääkärin laatiman erillisen lausunnon muodossa. Hallinto-oikeus kumosi TSV:n päätöksen ja katsoi, että käyntimerkinnät ovat lähtökohtaisesti välttämättömiä syy-yhteyden selvittämiseksi korvaustilanteessa, ja korvausasian harkintaan liittyvät tehtävät ovat nimenomaan vakuutusyhtiön ydintehtäviä, ei potilastietojen rekisterinpitäjän tehtäviä. Hallinto-oikeus ei myöskään löytänyt näyttöä siitä, että LVK olisi järjestelmällisesti esittänyt liian laajoja tietopyyntöjä. ”Cassun kanssa yhteistyö oli jälleen saumatonta koko pitkän prosessin ajan ja pystyimme luottamaan siihen, että asiamme on asiantuntevissa käsissä”, sanoo Vakuutuskeskus-ryhmän lakiasiainjohtaja Visa Kronbäck. Lue päätös kokonaisuudessaan KHO:n sivuilta:  KHO:2025:23
Julkaistu 18.6.2025
Kaikki referenssit