19.5.2025

NIS 2 -direktiivi: Kyberturvallisuuden riskienhallinnan toimintamallin pitää olla valmis 8.7.2025 – katso viime hetken vinkit

NIS 2 -direktiivin täytäntöönpanevan kyberturvallisuuslain edellyttämät valmistelut alkavat kääntyä yrityksissä loppusuoralle. Kyberturvallisuuslaki astui voimaan 8.4.2025, ja lain soveltamisalaan kuuluvien yritysten eli niin sanottujen toimijoiden tuli ilmoittautua valvoville viranomaisille viimeistään 8.5.2025. Maaliviiva on 8.7.2025, jolloin toimijalla tulee olla valmiina laissa säädetty kyberturvallisuuden riskienhallinnan toimintamalli.

Toimintamallin laatiminen on toimijan keskeisimpiä kyberturvallisuuslain mukaisia velvoitteita. Moni toimijoista työstää toimintamallia vielä viime metreillä. Vaikka toimintamalli olisi jo hyvällä mallilla, sen koeponnistamisesta ei ole haittaa. Tästä syystä kokosimme yhteen viime hetken vinkit toimintasuunnitelman laatimiseen.

1. Varmista vielä, kuulutko kyberturvallisuuslain soveltamisalaan

Valvovien viranomaisten arvion mukaan ilmoittautumisia puuttuu vielä runsaasti. Ainakaan ilmoittautuneiden määrä ei vastaa niitä arvioita, joita kyberturvallisuuslain soveltamisalaan kuuluvista yrityksistä on tehty. Jos ilmoittautuminen on vielä tekemättä, se kannattaa tehdä oitis. Valvovat viranomaiset vaikuttavat suhtautuvan myöhästyneisiin ilmoittautumisiin ymmärtäväisesti.

Ilmoittautumisten vähäistä määrää saattaa selittää se, että yrityksillä on ollut hankaluuksia määrittää, kuuluvatko ne kyberturvallisuuslain soveltamisalaan. Havaintojemme mukaan seuraavat asia ovat tuottaneet eniten päänvaivaa soveltamisalan määrittämisessä ja ilmoittautumisessa:

  1. Lain liitteissä mainitut toimialakategoriat eivät ole tarkkarajaisia eikä niiden soveltamiseen ole löydettävissä välttämättä juurikaan tulkinta-apua.
  2. Toimijan määritelmä on oikeushenkilökohtainen. Esimerkiksi tytäryhtiön kuuluminen lain toimialakategoriaan ei itsessään tuo emoyhtiötä soveltamisalan piiriin.
  3. Vaikka toimijan määritelmä on oikeushenkilökohtainen, toimijan koon määrittämisessä huomioidaan myös omistusyhteys- ja sidosyritykset.
  4. Itse ilmoittautumisessa harmaita hiuksia on aiheuttanut laillisten toimipaikkojen listaaminen.

Jos olet epävarma mistä tahansa soveltamisalaan tai ilmoittautumiseen liittyvästä kysymyksestä, olethan yhteydessä tiimiimme. Parempi myöhään kuin ei milloinkaan.

2. Tarkista, että kyberturvallisuuden riskienhallinnan toimintamalli sisältää lain vaatimat asiat

Toimintamallin laatiminen ei ole rakettitiedettä. Viranomaiset ovat antaneet kyberturvallisuuden riskienhallinnan toimenpiteistä suosituksen, ja toimintamallin vaatimuksista liikkuu monenlaista tietoa, mutta viime kädessä toimintamallin vaatimukset käyvät ilmi kyberturvallisuuslaista, jonka mukaan toimintamallin tulee

  1. olla ajantasainen
  2. koskea kyberturvallisuutta
  3. suojata viestintäverkkoja, tietojärjestelmiä ja niiden fyysistä ympäristöä
  4. suojata poikkeamilta ja niiden vaikutuksilta
  5. tunnistaa riskit ottaen huomioon kaikki vaaratekijät huomioiva lähestymistapa
  6. määrittää ja kuvata riskienhallinnan tavoitteet, menettelyt ja vastuut
  7. määrittää ja kuvata ainakin lain 9 pykälän mukaiset 12 hallintatoimenpidettä.

Jos toimintamallissa on otettu huomioon nämä laissa säädetyt vaatimukset oikeassa suhteessa toimijan toimintaan, ollaan toimintamallin kanssa jo aika selvillä vesillä.

3. Älä nyhjäise toimintamallia tyhjästä

Mistä aloittaa toimintamallin valmistelu? Monellakaan toimijalla toimintamallin valmistelua ei suinkaan tarvitse aloittaa nollasta. Riskien tunnistus ja -hallinta on keskeinen ja sisäänrakennettu osa monen toimijan liiketoimintaa. Olennaista on hahmottaa, miltä osin jo käytössä olevat menettelyt ja käytännöt vastaavat edellä kuvattuihin vaatimuksiin. Tehtäväksi jää käytäntöjen kehittäminen ja luominen siltä osin, kun vaatimuksia ei vielä täytetä.

4. Vertaa toimintamalliasi ISO-standardiin

Osa toimijoista on rakentanut itselleen tietoturvallisuuden johtamisjärjestelmän ISO/IEC 27000 -standardisarjan mukaisesti. Näissä toimijoissa on luonnollisesti mietitty, voiko ISO/IEC 27001 -vaatimukset täyttämällä täyttää myös kyberturvallisuuslain vaatimukset.

Ei voida sanoa, että ISO/IEC 27001 -sertifioitu toimija täyttäisi suoraan kyberturvallisuuslain velvoitteet, mutta sertifiointi on erittäin hyvä lähtökohta. Standardin mukaista tietoturvallisuuden hallintajärjestelmää voidaan käyttää riskienhallinnan toimintamallin perustana, ja on mahdollista, että lain mukainen riskienhallinnan toimintamalli edellyttää siihen vain vähäisiä muutoksia ja lisäyksiä. Esimerkiksi sertifioinnin yhteydessä tehty riskien tunnistus voi täyttää sellaisenaan kyberturvallisuuslain mukaisen riskien tunnistusvelvoitteen, kunhan se on ajan tasalla.

5. Document or it didn’t happen

Toimintamallia laadittaessa ei voi korostaa liikaa dokumentoinnin tärkeyttä. ”Document or it didn’t happen” on hyvä nyrkkisääntö. Entä pitääkö toimintamallin olla yksittäinen dokumentti, vai voiko toimintamalli koostua useista eri dokumenteista? Toimintamallille ei ole määrämuotoa, joten molemmat vaihtoehdot käyvät. Mikäli toimintamalli on joukko dokumentteja, toimintamalli on hyvä rajata niin, että pystyy tarvittaessa selkeästi esittämään viranomaiselle relevantin dokumentaation. Toimintamalli on hyvä laatia siten, että sen perusteella on mahdollista laatia tarkempia ohjeita käytännön hallintatoimenpiteiksi, joilla tosiasiallista kyberturvallisuustyötä on mahdollista tehdä.

6. Hyväksytä toimintamalli hallituksessa

Johdon velvollisuuksiin kuuluu muun muassa toimintamallin hyväksyminen ja sen toteuttamisen valvonta. Johtoon kuuluu tyypillisessä osakeyhtiössä toimijan hallitus ja toimitusjohtaja. Mitä johdolle laissa asetettu velvollisuus hyväksymisestä käytännössä tarkoittaa?

Toimintamalli on syytä hyväksyttää muodollisesti pätevällä tavalla hallituksessa. Toimintamalli on kyberturvallisuusriskien hallinnan keskeisin työkalu. Vaikka mallin sisältö valmistellaan käytännössä toimijan organisaation alemmilla tasoilla, johdon muodollinen hyväksyntä osoittaa muun muassa, että malliin sitoudutaan ja että mallin osoittamille vastuille ja rooleille annetaan mandaatti.

Muodollisella päätöksellä tarkoitetaan hallituksen tavanomaista asioiden käsittely- ja päätöksentekoprosessia, joka edellyttää johdon riittävää perehtymistä kyberturvallisuussääntelyn vaatimuksiin ja itse kyberturvallisuuteen ennen päätöksentekoa. Hallitus ei ole siten pelkästään ”kumileimaisin”, eikä pelkkä toimintamallin hyväksymispäätöksen kirjaaminen pöytäkirjaan välttämättä ole riittävää vaan uskottava hyväksymispäätös edellyttää asianmukaisen informaation hankkimista päätöksenteon taustalle. Johdon perehtyminen asiaan on myös hyvä dokumentoida hallituksen päätösaineistossa.

Lue lisää johdon velvollisuuksista täältä.

7. Hanki tarvittaessa apua

Jos toimintamallisi on vielä pahasti vaiheessa tai sen sisällöstä on epävarmuutta, apua on aina saatavilla. Kyberturvallisuuslain esitöissäkin todetaan, että toimija voi luoda riskienhallinnan toimintamallin itse tai hankkia sen ulkoistetusti. Apua on tarjolla niin mallin tekemiseen kuin sen tarkastukseen.

Eniten toimintamallin laatimisesta saa hyötyä, kun sitä ei ota pelkän paperin laatimisena vaan suhtautuu siihen aitona mahdollisuutena kehittää yrityksen kyberturvallisuutta.

Uusimmat referenssit

Neuvoimme Pihlajalinna Oyj:tä järjestelyssä, jossa Pihlajalinna Terveys Oy ja Ikipihlaja Setälänpiha Oy myivät erityisasumispalveluiden liiketoimintansa Esperi Care Oy:lle. Kaupan kohteena olivat kolme Pihlajalinna Uniikki -yksikköä Hämeenlinnassa, Lohjalla ja Riihimäellä sekä Ikipihlaja Oiva Raisiossa. Järjestelyn seurauksena yhteensä yli 100 työntekijää siirtyi Esperille. Pihlajalinna on yksi Suomen johtavista yksityisistä sosiaali- ja terveydenhuoltopalveluiden tuottajista. Pihlajalinnalla on yli 160 toimipistettä ympäri Suomea ja laaja palveluvalikoima sekä yksityisen että julkisen sektorin asiakkaille.
Julkaistu 2.6.2025
Toimimme PwC:n oikeudellisena neuvonantajana Kelan etuusjärjestelmien uudistushankkeen kilpailutuksessa, jonka PwC voitti. Kyseessä on merkittävä Suomen sosiaaliturvainfrastruktuurin modernisointia koskeva hanke. Kela on valinnut PwC:n strategiseksi kumppanikseen toteuttamaan etuusjärjestelmiensä laajan uudistuksen, joka käsittää etuuskäsittelyn tietojärjestelmien, digitaalisen asioinnin, asiakkuudenhallinnan ja tiedonvälityksen alustat. Hankkeen tavoitteena on vastata tulevaisuuden digitaalisen toimintaympäristön ja asiakkaiden vaatimuksiin. Teknologiaksi on valittu Salesforce. Uusien järjestelmien odotetaan sujuvoittavan etuuskäsittelyä ja parantavan asiakkaiden, työntekijöiden ja muiden sidosryhmien käyttäjäkokemusta. Lisäksi niiden avulla pystytään varautumaan aiempaa paremmin lainsäädäntömuutoksiin. Castrén & Snellman toimi PwC:n strategisena oikeudellisena neuvonantajana tarjouskilpailun alusta loppuun saakka. Kilpailutus toteutettiin kilpailullisena neuvottelumenettelynä. Onnittelemme lämpimästi PwC:tä tarjouskilpailun voittamisesta ja jäämme mielenkiinnolla seuraamaan, millaisia positiivisia vaikutuksia hankkeella on Suomen sosiaaliturvajärjestelmään.
Julkaistu 24.4.2025
Avustimme Valio Oy:tä sen ostaessa Raisio Oyj:n kasviproteiiniliiketoiminnan, siihen liittyvän käyttöomaisuuden ja Härkis®- ja Beanit®-härkäpapubrändit. Käyttöomaisuuteen kuuluvat muun muassa kasviproteiinituotteita Kauhavalla valmistavan tehtaan laitteet. Kauppa tukee Valion strategiaa kasvaa meijeriyhtiöstä ruokataloksi. Tämä liiketoimintakauppa tekee meistä entistäkin merkittävämmän kasvipohjaisten proteiinituotteiden kehittäjän ja valmistajan. Näiden tuotteiden kysyntä kasvaa pitkällä aikavälillä ja kasvupotentiaalia on vielä paljon. Vuonna 2022 ostimme Gold&Green® -liiketoiminnan ja siitä lähtien olemme tehneet vahvaa tuotekehitystä sekä uudistaneet brändiä. Myynti on kasvanut onnistuneiden tuotelanseerauksien myötä vuoden 2024 viimeisellä neljänneksellä noin 50 % edelliseen verrattuna. Tällä kaupalla rakennamme omaa tuotantokyvykkyyttä. Kauhavan tehtaan tuotantovälineet sopivat juuri meidän tarpeeseemme ja tilanteeseemme Valion liiketoimintajohtaja Kimmo Luoma sanoo. Valio on vuonna 1905 perustettu suomalainen meijeri ja ruokatalo, jonka omistajia ovat suomalaiset maidontuottajaosuuskunnat. Valiolla on tytäryhtiöt Ruotsissa, Virossa, Yhdysvalloissa ja Kiinassa. Konsernin liikevaihto vuonna 2023 oli 2 278 miljoonaa euroa, ja sillä on yli 4 000 työntekijää.
Julkaistu 14.2.2025
Avustimme WithSecure Oyj:tä sen myydessä kyberturvallisuuskonsultointiliiketoimintansa Neqstille. WithSecure Oyj on listattu NASDAQ OMX Helsingissä. Neqst on ruotsalainen sijoitusyhtiö, joka keskittyy teknologiayrityksiin. Kaupan toteutuminen edellyttää vielä tavanomaisten ehtojen täyttymistä ja viranomaishyväksyntöjä.
Julkaistu 24.1.2025