9.3.2023

NIS2-kyberturvallisuusdirektiivi luo uusia velvollisuuksia kriittisillä sektoreilla toimiville yrityksille

Palvelut

Euroopan unionissa on hiljattain tullut voimaan uusi NIS2-niminen kyberturvallisuusdirektiivi, jonka tarkoituksena on yhdenmukaistaa eri jäsenmaiden kyberturvallisuutta koskevia vaatimuksia ja kyberturvallisuustoimien toteuttamista. Direktiivi korvaa unionin aiemman NIS-kyberturvallisuusdirektiivin. Direktiivin velvoitteet tulee saattaa osaksi jäsenvaltioiden lainsäädäntöä viimeistään lokakuussa 2024, ja liikenne- ja viestintäministeriössä on tämän saavuttamiseksi käynnistetty vuoden alussa kansallinen täytäntöönpanohanke.

Säännellyt toimialat ja toimijat

Direktiivi asettaa velvoitteita julkisten toimijoiden lisäksi pääasiassa kriittisillä toimialoilla toimiville suurille ja keskisuurille yrityksille. Kriittisiksi toimialoiksi direktiivin puitteissa katsotaan esimerkiksi energia-, finanssi-, terveydenhuolto- ja liikennesektorit sekä digitaalinen infrastruktuuri. Tiettyihin erityisen kriittisiin yrityksiin velvoitteet kohdistuvat yrityksen koosta riippumatta.

Uusia velvoitteita direktiivin soveltamisalaan kuuluvien yritysten hallintoelimille

Yksi direktiivin tarkoituksista on varmistaa, että vastuu kyberturvallisuusriskien hallintatoimenpiteistä ja raportointivelvoitteista on soveltumisalaan kuuluvien yritysten organisaatiossa korkealla tasolla. Tästä johtuen direktiivissä asetetaan uusia velvoitteita kyseisten yritysten hallintoelimille.

Hallintoelimen käsitettä ei ole tarkemmin määritelty itse direktiivissä, vaan tämä on jätetty kansallisten lainsäätäjien tehtäväksi. Direktiivin eri kieliversioiden ja sanamuotojen perusteella pidämme kuitenkin todennäköisenä, että Suomessa velvoitteet kohdistuvat ainakin yritysten hallituksiin. Tarkka määritelmä varmistuu kuitenkin vasta siinä vaiheessa, kun luonnos kansalliseksi lainsäädännöksi julkaistaan.

Hallintoelimen on ensinnäkin hyväksyttävä yrityksessä käytettävät kyberturvallisuusriskien hallintatoimenpiteet ja valvottava niiden täytäntöönpanoa. Hallintatoimenpiteiden konkreettisesta vähimmäissisällöstä säädetään tarkemmin kyberturvallisuusdirektiivissä, mutta niiden tulee sisältää muun muassa seuraavat:

Lisäksi hallintoelinten jäseniltä edellytetään osallistumista kyberturvallisuuskoulutukseen, jotta he tunnistaisivat paremmin mahdolliset kyberturvallisuusriskit ja pystyisivät arvioimaan niiden hallintaa koskevia käytäntöjä.

Vastuusäännökset laajenevat koskemaan myös yritysten yksittäisiä edustajia

NIS2 edellyttää, että jäsenvaltiot toimeenpanevat joukon sanktiomekanismeja – kuten yrityksiin kohdistuvia hallinnollisia määräyksiä ja sakkoja – direktiivin velvoitteiden rikkomisesta. Uuden direktiivin myötä vastuusäännökset laajenevat tietyissä tilanteissa yrityksiltä myös niiden yksittäisille edustajille.

Hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaisesti vastuuseen, mikäli he laiminlyövät velvollisuutensa varmistaa yrityksen kyberturvallisuutta koskevien velvoitteiden noudattaminen. Tiettyjen edellytysten täyttyessä yritysten johtotehtävissä olevia henkilöitä voidaan myös määrätä väliaikaisesti keskeyttämään tehtäviensä hoitaminen.

Direktiivin tuomiin muutoksiin kannattaa valmistautua jo nyt

Kaikkinensa NIS2-direktiivi asettaa joukon uusia velvoitteita soveltamisalaansa kuuluville kriittisten toimintasektorien yrityksille. Yrityksiä koskevien velvoitteiden lisäksi direktiivissä edellytetään aiempaa aktiivisempaa roolia kyberturvallisuuden varmistamisessa myös näiden yritysten hallintoelimiltä. Täten myös hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaiseen vastuuseen, jos he eivät pysty varmistamaan, että direktiivissä yrityksille asetettuja kyberturvallisuusvelvoitteita noudatetaan.

Lopullisen muotonsa direktiivin velvoitteet saavat vasta osana kansallista täytäntöönpanoa, viimeistään lokakuussa 2024. Direktiivin soveltamisalaan kuuluvien yrityksen on kuitenkin suositeltavaa ryhtyä arvioimaan omia kyberturvallisuuskäytäntöjään sekä mahdollisten riskien hallintatoimenpiteitä jo hyvissä ajoin, myös toimitusketjujensa osalta.

Uusimmat uutiset

Julkaistu 22.8.2025 – Data ja teknologia Kyberturvallisuus suojaa yrityksen arvokkainta pääomaa – tietoa
Eija Warma-Lehtinen
Topi Lusenius

Eija Warma-Lehtinen & Topi Lusenius

 Julkaistu 19.5.2025 – Data ja teknologia NIS 2 -direktiivi: Kyberturvallisuuden riskienhallinnan toimintamallin pitää olla valmis 8.7.2025 – katso viime hetken vinkit
Eija Warma-Lehtinen
Hilma Laamanen
Janne Koivisto

Eija Warma-Lehtinen, Hilma Laamanen & Janne Koivisto

 Julkaistu 24.2.2025 – Data ja teknologia NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista
Eija Warma-Lehtinen
Janne Koivisto

Eija Warma-Lehtinen & Janne Koivisto

 Julkaistu 15.11.2024 – Data ja teknologia Vältä nämä sudenkuopat ja sopimusmokat strategisissa IT-hankkeissa
Topi Lusenius

Topi Lusenius
Kaikki uutiset

Uusimmat referenssit

Lantmännen – Leipurin-liiketoiminnan osto Aspolta
Toimimme Lantmännen ek förin neuvonantajana Leipurin Oyj:n suunnitellussa hankinnassa Aspo Oyj:ltä. Castrén & Snellman on johtava neuvonantaja elintarviketeollisuuden yritysjärjestelyissä. Lantmännen on Pohjois-Euroopan johtava toimija maatalous-, kone-, bioenergia- ja elintarviketoimialalla. Sen omistaa 17 000 ruotsalaista maanviljelijää, ja sillä on 12 000 työntekijää sekä toimintaa yli 20 maassa. Leipurin on pohjoismaiden johtava leivonnan raaka-aineiden, välineiden ja asiantuntijapalveluiden toimittaja leipomoille ja laajemmin elintarviketeollisuudelle. Tytäryhtiöidensä kautta se toimii Suomen lisäksi myös Ruotsissa ja Baltian maissa tarjoten kattavia leipomo- ja konditoriateollisuuden ratkaisuja. Järjestelyn toteutuminen edellyttää vielä viranomaisten hyväksyntöjä.
Julkaistu 25.8.2025
Oomi – Laajentuminen mobiililiiketoimintaan
Avustimme Oomi Oy:tä sen laajentaessa toimintaansa uudelle mobiililiittymien liiketoiminta-alueelle ja uuden Oomi Mobiili -operaattoribrändin lanseeraamisessa. Työmme sisälsi hanketta edeltäneen due diligence -prosessin sekä keskeisten kumppanuussopimusten valmistelun ja neuvottelun, luoden Oomille vahvan perustan uuden liiketoiminnan aloittamiselle. Oomi Mobiili toimii virtuaalioperaattorina (MVNO) ja tarjoaa asiakkaille mahdollisuuden hankkia puhelinliittymän sähkösopimuksen yhteydessä. Palvelun vaiheittainen lanseeraus alkaa syksyllä 2025, ja tavoitteena on valtakunnallinen saatavuus vuoden 2026 alusta.
Julkaistu 15.8.2025
Nevel – Labion liiketoiminnan osto
Neuvoimme Nevel Oy:tä sen hankkiessa Suomen toiseksi suurinta biokaasulaitosta operoivan Labio Oy:n liiketoiminnan. Järjestelyssä Lahti Aqua Oy ja Salpakierto Oy myivät Labion koko osakekannan Nevelille, mikä laajentaa Nevelin jo entuudestaan merkittävää materiaalitehokkuus- ja biokaasuportfoliota. Kauppa ei vaikuta Lahti Aquan vesihuoltotoimintaan tai Salpakierron yhdyskuntajätehuollon palvelutehtäviin. Labion toiminta ja asiakassuhteet jatkuvat ennallaan. ”Yhteistyö on meille luonnollinen askel jatkaessamme investointeja materiaalitehokkuuteen ja kestäviin energiaratkaisuihin. Integroimalla Labion kattavan tarjooman sekä osaamisen voimme tarjota asiakkaille vahvan alustan materiaalin kiertoon. Vahvistamme myös markkina-asemaamme yhtenä Suomen johtavana toimijana materiaalitehokkuuden saralla”, sanoo Nevelin liiketoimintajohtaja Ville Koikkalainen. Nevel on energiainfrayhtiö, joka tarjoaa teollisuuden ja kiinteistöjen kehittyneitä, ilmastopositiiviseen tulevaisuuteen tähtääviä ratkaisuja. Se operoi yli 130:tä energiantuotantolaitosta ja hallinnoi yli 40:tä kaukolämpöverkkoa. Nevelin liikevaihto on 150 miljoonaa euroa, ja sen palveluksessa on 190 asiantuntijaa Suomessa, Ruotsissa ja Virossa.
Julkaistu 16.7.2025
Liikennevakuutuskeskus – Potilastietojen käsittelyä koskeva ennakkopäätös ja seuraamusmaksun kumoaminen
Korkein hallinto-oikeus antoi merkittävän ennakkopäätöksen (KHO:2025:23) asiassa, jossa se katsoi, että Liikennevakuutuskeskus (LVK) käsitteli potilastietoja kohtuullisuutta, tietojen minimointia sekä sisäänrakennettua ja oletusarvoista tietosuojaa koskevien vaatimusten mukaisesti korvausasioita ratkaistaessa. Edustimme LVK:ta tässä asiassa, jossa KHO pysytti voimassa hallinto-oikeuden päätöksen kumota Tietosuojavaltuutetun toimiston (TSV) seuraamuskollegion LVK:lle asettama 52 000 euron seuraamusmaksu. KHO vahvisti myös hallinto-oikeuden, tiettävästi Suomessa ensimmäisenä annetun, päätöksen, jossa TSV määrättiin korvaamaan asiakkaamme oikeudenkäyntikuluja. Päätös on erittäin merkittävä koko vakuutustoimialalle. Asiassa oli kyse siitä, että LVK pyytää liikennevakuutuslain nojalla välttämättömiä potilastietoja käsiteltävänä olevan vakuutus- tai korvausasian ratkaisemista varten. Tietyissä tapauksissa laajat potilastiedot voivat olla tarpeellisia ratkaisun tekemisessä. TSV katsoi, että LVK olisi järjestelmällisesti esittänyt liian laajoja tietopyyntöjä tietosuoja-asetuksen 5 ja 25 artiklan vastaisesti, ja että tiedot olisi tullut toimittaa lääkärin laatiman erillisen lausunnon muodossa. Hallinto-oikeus kumosi TSV:n päätöksen ja katsoi, että käyntimerkinnät ovat lähtökohtaisesti välttämättömiä syy-yhteyden selvittämiseksi korvaustilanteessa, ja korvausasian harkintaan liittyvät tehtävät ovat nimenomaan vakuutusyhtiön ydintehtäviä, ei potilastietojen rekisterinpitäjän tehtäviä. Hallinto-oikeus ei myöskään löytänyt näyttöä siitä, että LVK olisi järjestelmällisesti esittänyt liian laajoja tietopyyntöjä. ”Cassun kanssa yhteistyö oli jälleen saumatonta koko pitkän prosessin ajan ja pystyimme luottamaan siihen, että asiamme on asiantuntevissa käsissä”, sanoo Vakuutuskeskus-ryhmän lakiasiainjohtaja Visa Kronbäck. Lue päätös kokonaisuudessaan KHO:n sivuilta:  KHO:2025:23
Julkaistu 18.6.2025
Kaikki referenssit