19.5.2025

NIS 2 -direktiivi: Kyberturvallisuuden riskienhallinnan toimintamallin pitää olla valmis 8.7.2025 – katso viime hetken vinkit

Palvelut

NIS 2 -direktiivin täytäntöönpanevan kyberturvallisuuslain edellyttämät valmistelut alkavat kääntyä yrityksissä loppusuoralle. Kyberturvallisuuslaki astui voimaan 8.4.2025, ja lain soveltamisalaan kuuluvien yritysten eli niin sanottujen toimijoiden tuli ilmoittautua valvoville viranomaisille viimeistään 8.5.2025. Maaliviiva on 8.7.2025, jolloin toimijalla tulee olla valmiina laissa säädetty kyberturvallisuuden riskienhallinnan toimintamalli.

Toimintamallin laatiminen on toimijan keskeisimpiä kyberturvallisuuslain mukaisia velvoitteita. Moni toimijoista työstää toimintamallia vielä viime metreillä. Vaikka toimintamalli olisi jo hyvällä mallilla, sen koeponnistamisesta ei ole haittaa. Tästä syystä kokosimme yhteen viime hetken vinkit toimintasuunnitelman laatimiseen.

1. Varmista vielä, kuulutko kyberturvallisuuslain soveltamisalaan

Valvovien viranomaisten arvion mukaan ilmoittautumisia puuttuu vielä runsaasti. Ainakaan ilmoittautuneiden määrä ei vastaa niitä arvioita, joita kyberturvallisuuslain soveltamisalaan kuuluvista yrityksistä on tehty. Jos ilmoittautuminen on vielä tekemättä, se kannattaa tehdä oitis. Valvovat viranomaiset vaikuttavat suhtautuvan myöhästyneisiin ilmoittautumisiin ymmärtäväisesti.

Ilmoittautumisten vähäistä määrää saattaa selittää se, että yrityksillä on ollut hankaluuksia määrittää, kuuluvatko ne kyberturvallisuuslain soveltamisalaan. Havaintojemme mukaan seuraavat asia ovat tuottaneet eniten päänvaivaa soveltamisalan määrittämisessä ja ilmoittautumisessa:

  1. Lain liitteissä mainitut toimialakategoriat eivät ole tarkkarajaisia eikä niiden soveltamiseen ole löydettävissä välttämättä juurikaan tulkinta-apua.
  2. Toimijan määritelmä on oikeushenkilökohtainen. Esimerkiksi tytäryhtiön kuuluminen lain toimialakategoriaan ei itsessään tuo emoyhtiötä soveltamisalan piiriin.
  3. Vaikka toimijan määritelmä on oikeushenkilökohtainen, toimijan koon määrittämisessä huomioidaan myös omistusyhteys- ja sidosyritykset.
  4. Itse ilmoittautumisessa harmaita hiuksia on aiheuttanut laillisten toimipaikkojen listaaminen.

Jos olet epävarma mistä tahansa soveltamisalaan tai ilmoittautumiseen liittyvästä kysymyksestä, olethan yhteydessä tiimiimme. Parempi myöhään kuin ei milloinkaan.

2. Tarkista, että kyberturvallisuuden riskienhallinnan toimintamalli sisältää lain vaatimat asiat

Toimintamallin laatiminen ei ole rakettitiedettä. Viranomaiset ovat antaneet kyberturvallisuuden riskienhallinnan toimenpiteistä suosituksen, ja toimintamallin vaatimuksista liikkuu monenlaista tietoa, mutta viime kädessä toimintamallin vaatimukset käyvät ilmi kyberturvallisuuslaista, jonka mukaan toimintamallin tulee

  1. olla ajantasainen
  2. koskea kyberturvallisuutta
  3. suojata viestintäverkkoja, tietojärjestelmiä ja niiden fyysistä ympäristöä
  4. suojata poikkeamilta ja niiden vaikutuksilta
  5. tunnistaa riskit ottaen huomioon kaikki vaaratekijät huomioiva lähestymistapa
  6. määrittää ja kuvata riskienhallinnan tavoitteet, menettelyt ja vastuut
  7. määrittää ja kuvata ainakin lain 9 pykälän mukaiset 12 hallintatoimenpidettä.

Jos toimintamallissa on otettu huomioon nämä laissa säädetyt vaatimukset oikeassa suhteessa toimijan toimintaan, ollaan toimintamallin kanssa jo aika selvillä vesillä.

3. Älä nyhjäise toimintamallia tyhjästä

Mistä aloittaa toimintamallin valmistelu? Monellakaan toimijalla toimintamallin valmistelua ei suinkaan tarvitse aloittaa nollasta. Riskien tunnistus ja -hallinta on keskeinen ja sisäänrakennettu osa monen toimijan liiketoimintaa. Olennaista on hahmottaa, miltä osin jo käytössä olevat menettelyt ja käytännöt vastaavat edellä kuvattuihin vaatimuksiin. Tehtäväksi jää käytäntöjen kehittäminen ja luominen siltä osin, kun vaatimuksia ei vielä täytetä.

4. Vertaa toimintamalliasi ISO-standardiin

Osa toimijoista on rakentanut itselleen tietoturvallisuuden johtamisjärjestelmän ISO/IEC 27000 -standardisarjan mukaisesti. Näissä toimijoissa on luonnollisesti mietitty, voiko ISO/IEC 27001 -vaatimukset täyttämällä täyttää myös kyberturvallisuuslain vaatimukset.

Ei voida sanoa, että ISO/IEC 27001 -sertifioitu toimija täyttäisi suoraan kyberturvallisuuslain velvoitteet, mutta sertifiointi on erittäin hyvä lähtökohta. Standardin mukaista tietoturvallisuuden hallintajärjestelmää voidaan käyttää riskienhallinnan toimintamallin perustana, ja on mahdollista, että lain mukainen riskienhallinnan toimintamalli edellyttää siihen vain vähäisiä muutoksia ja lisäyksiä. Esimerkiksi sertifioinnin yhteydessä tehty riskien tunnistus voi täyttää sellaisenaan kyberturvallisuuslain mukaisen riskien tunnistusvelvoitteen, kunhan se on ajan tasalla.

5. Document or it didn’t happen

Toimintamallia laadittaessa ei voi korostaa liikaa dokumentoinnin tärkeyttä. ”Document or it didn’t happen” on hyvä nyrkkisääntö. Entä pitääkö toimintamallin olla yksittäinen dokumentti, vai voiko toimintamalli koostua useista eri dokumenteista? Toimintamallille ei ole määrämuotoa, joten molemmat vaihtoehdot käyvät. Mikäli toimintamalli on joukko dokumentteja, toimintamalli on hyvä rajata niin, että pystyy tarvittaessa selkeästi esittämään viranomaiselle relevantin dokumentaation. Toimintamalli on hyvä laatia siten, että sen perusteella on mahdollista laatia tarkempia ohjeita käytännön hallintatoimenpiteiksi, joilla tosiasiallista kyberturvallisuustyötä on mahdollista tehdä.

6. Hyväksytä toimintamalli hallituksessa

Johdon velvollisuuksiin kuuluu muun muassa toimintamallin hyväksyminen ja sen toteuttamisen valvonta. Johtoon kuuluu tyypillisessä osakeyhtiössä toimijan hallitus ja toimitusjohtaja. Mitä johdolle laissa asetettu velvollisuus hyväksymisestä käytännössä tarkoittaa?

Toimintamalli on syytä hyväksyttää muodollisesti pätevällä tavalla hallituksessa. Toimintamalli on kyberturvallisuusriskien hallinnan keskeisin työkalu. Vaikka mallin sisältö valmistellaan käytännössä toimijan organisaation alemmilla tasoilla, johdon muodollinen hyväksyntä osoittaa muun muassa, että malliin sitoudutaan ja että mallin osoittamille vastuille ja rooleille annetaan mandaatti.

Muodollisella päätöksellä tarkoitetaan hallituksen tavanomaista asioiden käsittely- ja päätöksentekoprosessia, joka edellyttää johdon riittävää perehtymistä kyberturvallisuussääntelyn vaatimuksiin ja itse kyberturvallisuuteen ennen päätöksentekoa. Hallitus ei ole siten pelkästään ”kumileimaisin”, eikä pelkkä toimintamallin hyväksymispäätöksen kirjaaminen pöytäkirjaan välttämättä ole riittävää vaan uskottava hyväksymispäätös edellyttää asianmukaisen informaation hankkimista päätöksenteon taustalle. Johdon perehtyminen asiaan on myös hyvä dokumentoida hallituksen päätösaineistossa.

Lue lisää johdon velvollisuuksista täältä.

7. Hanki tarvittaessa apua

Jos toimintamallisi on vielä pahasti vaiheessa tai sen sisällöstä on epävarmuutta, apua on aina saatavilla. Kyberturvallisuuslain esitöissäkin todetaan, että toimija voi luoda riskienhallinnan toimintamallin itse tai hankkia sen ulkoistetusti. Apua on tarjolla niin mallin tekemiseen kuin sen tarkastukseen.

Eniten toimintamallin laatimisesta saa hyötyä, kun sitä ei ota pelkän paperin laatimisena vaan suhtautuu siihen aitona mahdollisuutena kehittää yrityksen kyberturvallisuutta.

Blogi NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista

Uusimmat uutiset

Julkaistu 2.2.2026 – Data ja teknologia Hyvin laadittu jakelusopimus auttaa välttämään kalliit riskit
Topi Lusenius
Samuli Salminen

Topi Lusenius & Samuli Salminen

 Julkaistu 22.8.2025 – Data ja teknologia Kyberturvallisuus suojaa yrityksen arvokkainta pääomaa – tietoa
Eija Warma-Lehtinen
Topi Lusenius

Eija Warma-Lehtinen & Topi Lusenius

 Julkaistu 24.2.2025 – Data ja teknologia NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista
Eija Warma-Lehtinen
Janne Koivisto

Eija Warma-Lehtinen & Janne Koivisto

 Julkaistu 15.11.2024 – Data ja teknologia Vältä nämä sudenkuopat ja sopimusmokat strategisissa IT-hankkeissa
Topi Lusenius

Topi Lusenius
Kaikki uutiset

Uusimmat referenssit

Brookfield – DayOne Data Centersin miljardin euron holdco-rahoitus
Avustimme johtavaa kansainvälistä sijoitusyhtiötä Brookfieldia sekä kansainvälistä valtion sijoitusrahastoa DayOne Data Centersin miljardin euron holdco-rahoituksessa Suomen lain osalta. DayOne Data Centers on hyperscale-datakeskusten kehittäjä ja operaattori, jonka pääkonttori sijaitsee Singaporessa. Rahoitus on järjestetty seitsemänvuotisena 500 miljoonan euron holdco-rahoitusjärjestelynä, jota voidaan laajentaa miljardiin euroon ja jonka vakuutena on DayOnen Suomen kehityshankkeet. Rahoitus tukee hyperscale-hankkeiden kehitystä Lahdessa ja Kouvolassa, ja se tarjoaa lähes 300 MW suunniteltua kapasiteettia eri puolilla Suomea. Lisäksi rahoitus tukee myös DayOnen maailmanlaajuista laajentumista EU:ssa ja APAC-alueella, ja tuo joustoa kohdentaa rahoitusta myös muihin tärkeisiin kasvumarkkinoihin tarpeen mukaan.
Julkaistu 29.1.2026
SuperOffice – Lyytin osto 
Toimimme Axcelin portfolioyhtiön SuperOffice AS:n suomalaisena neuvonantajana, kun se hankki Lyyti Oy:n  suomalaiselta pääomasijoitusyhtiö Vaaka Partnersilta ja muilta myyjiltä. Lyyti tarjoaa johtavaa tapahtumanhallintajärjestelmää, jonka avulla voidaan toteuttaa live-, online- ja hybriditapahtumia. Yhtiöllä on vahva asiakaskunta Suomessa, Ruotsissa ja Ranskassa. SuperOffice on Pohjois-Euroopan johtava asiakkuudenhallinta- eli CRM-ohjelmistojen toimittaja pienille ja keskisuurille yrityksille. Axcel on pohjoismainen pääomasijoitusyhtiö, joka keskittyy teknologiaan, yrityspalveluihin ja teollisuuteen, terveydenhuoltoon sekä kuluttajasektoriin.
Julkaistu 9.12.2025
Lantmännen – Leipurin-liiketoiminnan osto Aspolta
Toimimme Lantmännen ek förin neuvonantajana Leipurin Oyj:n suunnitellussa hankinnassa Aspo Oyj:ltä. Castrén & Snellman on johtava neuvonantaja elintarviketeollisuuden yritysjärjestelyissä. Lantmännen on Pohjois-Euroopan johtava toimija maatalous-, kone-, bioenergia- ja elintarviketoimialalla. Sen omistaa 17 000 ruotsalaista maanviljelijää, ja sillä on 12 000 työntekijää sekä toimintaa yli 20 maassa. Leipurin on pohjoismaiden johtava leivonnan raaka-aineiden, välineiden ja asiantuntijapalveluiden toimittaja leipomoille ja laajemmin elintarviketeollisuudelle. Tytäryhtiöidensä kautta se toimii Suomen lisäksi myös Ruotsissa ja Baltian maissa tarjoten kattavia leipomo- ja konditoriateollisuuden ratkaisuja. Järjestelyn toteutuminen edellyttää vielä viranomaisten hyväksyntöjä.
Julkaistu 25.8.2025
Oomi – Laajentuminen mobiililiiketoimintaan
Avustimme Oomi Oy:tä sen laajentaessa toimintaansa uudelle mobiililiittymien liiketoiminta-alueelle ja uuden Oomi Mobiili -operaattoribrändin lanseeraamisessa. Työmme sisälsi hanketta edeltäneen due diligence -prosessin sekä keskeisten kumppanuussopimusten valmistelun ja neuvottelun, luoden Oomille vahvan perustan uuden liiketoiminnan aloittamiselle. Oomi Mobiili toimii virtuaalioperaattorina (MVNO) ja tarjoaa asiakkaille mahdollisuuden hankkia puhelinliittymän sähkösopimuksen yhteydessä. Palvelun vaiheittainen lanseeraus alkaa syksyllä 2025, ja tavoitteena on valtakunnallinen saatavuus vuoden 2026 alusta.
Julkaistu 15.8.2025
Kaikki referenssit