Euroopan unionissa on hiljattain tullut voimaan uusi NIS2-niminen kyberturvallisuusdirektiivi, jonka tarkoituksena on yhdenmukaistaa eri jäsenmaiden kyberturvallisuutta koskevia vaatimuksia ja kyberturvallisuustoimien toteuttamista. Direktiivi korvaa unionin aiemman NIS-kyberturvallisuusdirektiivin. Direktiivin velvoitteet tulee saattaa osaksi jäsenvaltioiden lainsäädäntöä viimeistään lokakuussa 2024, ja liikenne- ja viestintäministeriössä on tämän saavuttamiseksi käynnistetty vuoden alussa kansallinen täytäntöönpanohanke.
9.3.2023
NIS2-kyberturvallisuusdirektiivi luo uusia velvollisuuksia kriittisillä sektoreilla toimiville yrityksille
Kim Parviainen
Palvelut
Säännellyt toimialat ja toimijat
Direktiivi asettaa velvoitteita julkisten toimijoiden lisäksi pääasiassa kriittisillä toimialoilla toimiville suurille ja keskisuurille yrityksille. Kriittisiksi toimialoiksi direktiivin puitteissa katsotaan esimerkiksi energia-, finanssi-, terveydenhuolto- ja liikennesektorit sekä digitaalinen infrastruktuuri. Tiettyihin erityisen kriittisiin yrityksiin velvoitteet kohdistuvat yrityksen koosta riippumatta.
Uusia velvoitteita direktiivin soveltamisalaan kuuluvien yritysten hallintoelimille
Yksi direktiivin tarkoituksista on varmistaa, että vastuu kyberturvallisuusriskien hallintatoimenpiteistä ja raportointivelvoitteista on soveltumisalaan kuuluvien yritysten organisaatiossa korkealla tasolla. Tästä johtuen direktiivissä asetetaan uusia velvoitteita kyseisten yritysten hallintoelimille.
Hallintoelimen käsitettä ei ole tarkemmin määritelty itse direktiivissä, vaan tämä on jätetty kansallisten lainsäätäjien tehtäväksi. Direktiivin eri kieliversioiden ja sanamuotojen perusteella pidämme kuitenkin todennäköisenä, että Suomessa velvoitteet kohdistuvat ainakin yritysten hallituksiin. Tarkka määritelmä varmistuu kuitenkin vasta siinä vaiheessa, kun luonnos kansalliseksi lainsäädännöksi julkaistaan.
Hallintoelimen on ensinnäkin hyväksyttävä yrityksessä käytettävät kyberturvallisuusriskien hallintatoimenpiteet ja valvottava niiden täytäntöönpanoa. Hallintatoimenpiteiden konkreettisesta vähimmäissisällöstä säädetään tarkemmin kyberturvallisuusdirektiivissä, mutta niiden tulee sisältää muun muassa seuraavat:
Lisäksi hallintoelinten jäseniltä edellytetään osallistumista kyberturvallisuuskoulutukseen, jotta he tunnistaisivat paremmin mahdolliset kyberturvallisuusriskit ja pystyisivät arvioimaan niiden hallintaa koskevia käytäntöjä.
Vastuusäännökset laajenevat koskemaan myös yritysten yksittäisiä edustajia
NIS2 edellyttää, että jäsenvaltiot toimeenpanevat joukon sanktiomekanismeja – kuten yrityksiin kohdistuvia hallinnollisia määräyksiä ja sakkoja – direktiivin velvoitteiden rikkomisesta. Uuden direktiivin myötä vastuusäännökset laajenevat tietyissä tilanteissa yrityksiltä myös niiden yksittäisille edustajille.
Hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaisesti vastuuseen, mikäli he laiminlyövät velvollisuutensa varmistaa yrityksen kyberturvallisuutta koskevien velvoitteiden noudattaminen. Tiettyjen edellytysten täyttyessä yritysten johtotehtävissä olevia henkilöitä voidaan myös määrätä väliaikaisesti keskeyttämään tehtäviensä hoitaminen.
Direktiivin tuomiin muutoksiin kannattaa valmistautua jo nyt
Kaikkinensa NIS2-direktiivi asettaa joukon uusia velvoitteita soveltamisalaansa kuuluville kriittisten toimintasektorien yrityksille. Yrityksiä koskevien velvoitteiden lisäksi direktiivissä edellytetään aiempaa aktiivisempaa roolia kyberturvallisuuden varmistamisessa myös näiden yritysten hallintoelimiltä. Täten myös hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaiseen vastuuseen, jos he eivät pysty varmistamaan, että direktiivissä yrityksille asetettuja kyberturvallisuusvelvoitteita noudatetaan.
Lopullisen muotonsa direktiivin velvoitteet saavat vasta osana kansallista täytäntöönpanoa, viimeistään lokakuussa 2024. Direktiivin soveltamisalaan kuuluvien yrityksen on kuitenkin suositeltavaa ryhtyä arvioimaan omia kyberturvallisuuskäytäntöjään sekä mahdollisten riskien hallintatoimenpiteitä jo hyvissä ajoin, myös toimitusketjujensa osalta.
Uusimmat uutiset
Julkaistu 2.4.2026 – Data ja teknologia
AI-agentit muuttavat pelisäännöt ja alkavat määrittää yritysten arvoa
Julkaistu 2.2.2026 – Data ja teknologia
Hyvin laadittu jakelusopimus auttaa välttämään kalliit riskit
Julkaistu 22.8.2025 – Data ja teknologia
Kyberturvallisuus suojaa yrityksen arvokkainta pääomaa – tietoa
Julkaistu 19.5.2025 – Data ja teknologia
NIS 2 -direktiivi: Kyberturvallisuuden riskienhallinnan toimintamallin pitää olla valmis 8.7.2025 – katso viime hetken vinkit
Topi Lusenius, Valentin Golovanov & Wille Järvelä
Topi Lusenius & Samuli Salminen
Eija Warma-Lehtinen & Topi Lusenius
Eija Warma-Lehtinen, Hilma Laamanen & Janne Koivisto
Uusimmat referenssit
Downing – Tornionlaakson Voiman koko osakekannan osto
Avustimme isobritannialaista sijoitysyhtiö Downingia sen ostaessa Tornionlaakson Voima Oy:n koko osakekannan. Tornionlaakson Voima omistaa kolme vesivoimalaitosta Tengeliönjoen vesistössä – Ylitorniolla Portimokosken, Raanujärvellä Jolmankosken ja Sirkkakoskella Kaaranneskosken voimalaitokset. Voimalaitokset tuottavat yhteensä keskimäärin noin 45 gigawattituntia sähköä vuodessa. Tornionlaakson Voiman päivittäinen toiminta jatkuu normaalisti, eikä kaupalla ole vaikutuksia asiakkaille. Kaupan toteutuminen on ehdollinen työ- ja elinkeinoministeriön hyväksynnälle. Downingilla on yli 35 vuoden kokemus monipuolisten sijoitusratkaisujen tarjoamisesta institutionaalisten sijoittajien, neuvonantajien ja yksityissijoittajien tarpeisiin. Yhtiö hallinnoi yli 2 miljardin punnan varallisuutta, sekä yksityisillä että julkisilla markkinoilla, ja sen nykyiseen vesivoimaportfolioon kuuluu Pohjoismaissa noin 50 vesivoimalaitosta.
Julkaistu 27.3.2026
Brookfield – DayOne Data Centersin miljardin euron holdco-rahoitus
Avustimme johtavaa kansainvälistä sijoitusyhtiötä Brookfieldia sekä kansainvälistä valtion sijoitusrahastoa DayOne Data Centersin miljardin euron holdco-rahoituksessa Suomen lain osalta. DayOne Data Centers on hyperscale-datakeskusten kehittäjä ja operaattori, jonka pääkonttori sijaitsee Singaporessa. Rahoitus on järjestetty seitsemänvuotisena 500 miljoonan euron holdco-rahoitusjärjestelynä, jota voidaan laajentaa miljardiin euroon ja jonka vakuutena on DayOnen Suomen kehityshankkeet. Rahoitus tukee hyperscale-hankkeiden kehitystä Lahdessa ja Kouvolassa, ja se tarjoaa lähes 300 MW suunniteltua kapasiteettia eri puolilla Suomea. Lisäksi rahoitus tukee myös DayOnen maailmanlaajuista laajentumista EU:ssa ja APAC-alueella, ja tuo joustoa kohdentaa rahoitusta myös muihin tärkeisiin kasvumarkkinoihin tarpeen mukaan.
Julkaistu 29.1.2026
SuperOffice – Lyytin osto
Toimimme Axcelin portfolioyhtiön SuperOffice AS:n suomalaisena neuvonantajana, kun se hankki Lyyti Oy:n suomalaiselta pääomasijoitusyhtiö Vaaka Partnersilta ja muilta myyjiltä. Lyyti tarjoaa johtavaa tapahtumanhallintajärjestelmää, jonka avulla voidaan toteuttaa live-, online- ja hybriditapahtumia. Yhtiöllä on vahva asiakaskunta Suomessa, Ruotsissa ja Ranskassa. SuperOffice on Pohjois-Euroopan johtava asiakkuudenhallinta- eli CRM-ohjelmistojen toimittaja pienille ja keskisuurille yrityksille. Axcel on pohjoismainen pääomasijoitusyhtiö, joka keskittyy teknologiaan, yrityspalveluihin ja teollisuuteen, terveydenhuoltoon sekä kuluttajasektoriin.
Julkaistu 9.12.2025
Lantmännen – Leipurin-liiketoiminnan osto Aspolta
Toimimme Lantmännen ek förin neuvonantajana Leipurin Oyj:n suunnitellussa hankinnassa Aspo Oyj:ltä. Castrén & Snellman on johtava neuvonantaja elintarviketeollisuuden yritysjärjestelyissä. Lantmännen on Pohjois-Euroopan johtava toimija maatalous-, kone-, bioenergia- ja elintarviketoimialalla. Sen omistaa 17 000 ruotsalaista maanviljelijää, ja sillä on 12 000 työntekijää sekä toimintaa yli 20 maassa. Leipurin on pohjoismaiden johtava leivonnan raaka-aineiden, välineiden ja asiantuntijapalveluiden toimittaja leipomoille ja laajemmin elintarviketeollisuudelle. Tytäryhtiöidensä kautta se toimii Suomen lisäksi myös Ruotsissa ja Baltian maissa tarjoten kattavia leipomo- ja konditoriateollisuuden ratkaisuja. Järjestelyn toteutuminen edellyttää vielä viranomaisten hyväksyntöjä.
Julkaistu 25.8.2025