NIS 2 -direktiivin täytäntöönpanevan kyberturvallisuuslain edellyttämät valmistelut alkavat kääntyä yrityksissä loppusuoralle. Kyberturvallisuuslaki astui voimaan 8.4.2025, ja lain soveltamisalaan kuuluvien yritysten eli niin sanottujen toimijoiden tuli ilmoittautua valvoville viranomaisille viimeistään 8.5.2025. Maaliviiva on 8.7.2025, jolloin toimijalla tulee olla valmiina laissa säädetty kyberturvallisuuden riskienhallinnan toimintamalli.
NIS 2 -direktiivi: Kyberturvallisuuden riskienhallinnan toimintamallin pitää olla valmis 8.7.2025 – katso viime hetken vinkit




Eija Warma-Lehtinen, Hilma Laamanen & Janne Koivisto
Toimintamallin laatiminen on toimijan keskeisimpiä kyberturvallisuuslain mukaisia velvoitteita. Moni toimijoista työstää toimintamallia vielä viime metreillä. Vaikka toimintamalli olisi jo hyvällä mallilla, sen koeponnistamisesta ei ole haittaa. Tästä syystä kokosimme yhteen viime hetken vinkit toimintasuunnitelman laatimiseen.
1. Varmista vielä, kuulutko kyberturvallisuuslain soveltamisalaan
Valvovien viranomaisten arvion mukaan ilmoittautumisia puuttuu vielä runsaasti. Ainakaan ilmoittautuneiden määrä ei vastaa niitä arvioita, joita kyberturvallisuuslain soveltamisalaan kuuluvista yrityksistä on tehty. Jos ilmoittautuminen on vielä tekemättä, se kannattaa tehdä oitis. Valvovat viranomaiset vaikuttavat suhtautuvan myöhästyneisiin ilmoittautumisiin ymmärtäväisesti.
Ilmoittautumisten vähäistä määrää saattaa selittää se, että yrityksillä on ollut hankaluuksia määrittää, kuuluvatko ne kyberturvallisuuslain soveltamisalaan. Havaintojemme mukaan seuraavat asia ovat tuottaneet eniten päänvaivaa soveltamisalan määrittämisessä ja ilmoittautumisessa:
- Lain liitteissä mainitut toimialakategoriat eivät ole tarkkarajaisia eikä niiden soveltamiseen ole löydettävissä välttämättä juurikaan tulkinta-apua.
- Toimijan määritelmä on oikeushenkilökohtainen. Esimerkiksi tytäryhtiön kuuluminen lain toimialakategoriaan ei itsessään tuo emoyhtiötä soveltamisalan piiriin.
- Vaikka toimijan määritelmä on oikeushenkilökohtainen, toimijan koon määrittämisessä huomioidaan myös omistusyhteys- ja sidosyritykset.
- Itse ilmoittautumisessa harmaita hiuksia on aiheuttanut laillisten toimipaikkojen listaaminen.
Jos olet epävarma mistä tahansa soveltamisalaan tai ilmoittautumiseen liittyvästä kysymyksestä, olethan yhteydessä tiimiimme. Parempi myöhään kuin ei milloinkaan.
2. Tarkista, että kyberturvallisuuden riskienhallinnan toimintamalli sisältää lain vaatimat asiat
Toimintamallin laatiminen ei ole rakettitiedettä. Viranomaiset ovat antaneet kyberturvallisuuden riskienhallinnan toimenpiteistä suosituksen, ja toimintamallin vaatimuksista liikkuu monenlaista tietoa, mutta viime kädessä toimintamallin vaatimukset käyvät ilmi kyberturvallisuuslaista, jonka mukaan toimintamallin tulee
- olla ajantasainen
- koskea kyberturvallisuutta
- suojata viestintäverkkoja, tietojärjestelmiä ja niiden fyysistä ympäristöä
- suojata poikkeamilta ja niiden vaikutuksilta
- tunnistaa riskit ottaen huomioon kaikki vaaratekijät huomioiva lähestymistapa
- määrittää ja kuvata riskienhallinnan tavoitteet, menettelyt ja vastuut
- määrittää ja kuvata ainakin lain 9 pykälän mukaiset 12 hallintatoimenpidettä.
Jos toimintamallissa on otettu huomioon nämä laissa säädetyt vaatimukset oikeassa suhteessa toimijan toimintaan, ollaan toimintamallin kanssa jo aika selvillä vesillä.
3. Älä nyhjäise toimintamallia tyhjästä
Mistä aloittaa toimintamallin valmistelu? Monellakaan toimijalla toimintamallin valmistelua ei suinkaan tarvitse aloittaa nollasta. Riskien tunnistus ja -hallinta on keskeinen ja sisäänrakennettu osa monen toimijan liiketoimintaa. Olennaista on hahmottaa, miltä osin jo käytössä olevat menettelyt ja käytännöt vastaavat edellä kuvattuihin vaatimuksiin. Tehtäväksi jää käytäntöjen kehittäminen ja luominen siltä osin, kun vaatimuksia ei vielä täytetä.
4. Vertaa toimintamalliasi ISO-standardiin
Osa toimijoista on rakentanut itselleen tietoturvallisuuden johtamisjärjestelmän ISO/IEC 27000 -standardisarjan mukaisesti. Näissä toimijoissa on luonnollisesti mietitty, voiko ISO/IEC 27001 -vaatimukset täyttämällä täyttää myös kyberturvallisuuslain vaatimukset.
Ei voida sanoa, että ISO/IEC 27001 -sertifioitu toimija täyttäisi suoraan kyberturvallisuuslain velvoitteet, mutta sertifiointi on erittäin hyvä lähtökohta. Standardin mukaista tietoturvallisuuden hallintajärjestelmää voidaan käyttää riskienhallinnan toimintamallin perustana, ja on mahdollista, että lain mukainen riskienhallinnan toimintamalli edellyttää siihen vain vähäisiä muutoksia ja lisäyksiä. Esimerkiksi sertifioinnin yhteydessä tehty riskien tunnistus voi täyttää sellaisenaan kyberturvallisuuslain mukaisen riskien tunnistusvelvoitteen, kunhan se on ajan tasalla.
5. Document or it didn’t happen
Toimintamallia laadittaessa ei voi korostaa liikaa dokumentoinnin tärkeyttä. ”Document or it didn’t happen” on hyvä nyrkkisääntö. Entä pitääkö toimintamallin olla yksittäinen dokumentti, vai voiko toimintamalli koostua useista eri dokumenteista? Toimintamallille ei ole määrämuotoa, joten molemmat vaihtoehdot käyvät. Mikäli toimintamalli on joukko dokumentteja, toimintamalli on hyvä rajata niin, että pystyy tarvittaessa selkeästi esittämään viranomaiselle relevantin dokumentaation. Toimintamalli on hyvä laatia siten, että sen perusteella on mahdollista laatia tarkempia ohjeita käytännön hallintatoimenpiteiksi, joilla tosiasiallista kyberturvallisuustyötä on mahdollista tehdä.
6. Hyväksytä toimintamalli hallituksessa
Johdon velvollisuuksiin kuuluu muun muassa toimintamallin hyväksyminen ja sen toteuttamisen valvonta. Johtoon kuuluu tyypillisessä osakeyhtiössä toimijan hallitus ja toimitusjohtaja. Mitä johdolle laissa asetettu velvollisuus hyväksymisestä käytännössä tarkoittaa?
Toimintamalli on syytä hyväksyttää muodollisesti pätevällä tavalla hallituksessa. Toimintamalli on kyberturvallisuusriskien hallinnan keskeisin työkalu. Vaikka mallin sisältö valmistellaan käytännössä toimijan organisaation alemmilla tasoilla, johdon muodollinen hyväksyntä osoittaa muun muassa, että malliin sitoudutaan ja että mallin osoittamille vastuille ja rooleille annetaan mandaatti.
Muodollisella päätöksellä tarkoitetaan hallituksen tavanomaista asioiden käsittely- ja päätöksentekoprosessia, joka edellyttää johdon riittävää perehtymistä kyberturvallisuussääntelyn vaatimuksiin ja itse kyberturvallisuuteen ennen päätöksentekoa. Hallitus ei ole siten pelkästään ”kumileimaisin”, eikä pelkkä toimintamallin hyväksymispäätöksen kirjaaminen pöytäkirjaan välttämättä ole riittävää vaan uskottava hyväksymispäätös edellyttää asianmukaisen informaation hankkimista päätöksenteon taustalle. Johdon perehtyminen asiaan on myös hyvä dokumentoida hallituksen päätösaineistossa.
Lue lisää johdon velvollisuuksista täältä.
7. Hanki tarvittaessa apua
Jos toimintamallisi on vielä pahasti vaiheessa tai sen sisällöstä on epävarmuutta, apua on aina saatavilla. Kyberturvallisuuslain esitöissäkin todetaan, että toimija voi luoda riskienhallinnan toimintamallin itse tai hankkia sen ulkoistetusti. Apua on tarjolla niin mallin tekemiseen kuin sen tarkastukseen.
Eniten toimintamallin laatimisesta saa hyötyä, kun sitä ei ota pelkän paperin laatimisena vaan suhtautuu siihen aitona mahdollisuutena kehittää yrityksen kyberturvallisuutta.