Suomen kyberturvallisuuslaki (124/2025) astui voimaan 8. huhtikuuta 2025 ja toi EU:n NIS2-direktiivin velvoitteet osaksi kansallista lainsäädäntöä. Laki muutti yhdessä yössä sen, mitä tuhansilta suomalaisilta organisaatioilta vaaditaan kyberturvallisuudessa. Merkittävästä poikkeamasta on ilmoitettava viranomaiselle 24 tunnissa, johdolle syntyi henkilökohtainen vastuu, ja laiminlyönneistä voi seurata jopa 10 miljoonan euron hallinnollinen sakko. Tässä uutisanalyysissä käymme läpi, ketä laki koskee, mitä se konkreettisesti vaatii ja miten Suomi sijoittuu pohjoismaisessa vertailussa kesäkuussa 2026.
Päivitetty 12. kesäkuuta 2026. Tämä artikkeli perustuu Traficomin, Kyberturvallisuuskeskuksen (NCSC-FI), Finlexin sekä riippumattomien oikeudellisten asiantuntijoiden julkaisemiin tietoihin.
Mikä kyberturvallisuuslaki on ja miksi se koskee tuhansia organisaatioita
Kyberturvallisuuslaki on Suomen kansallinen toteutus EU:n NIS2-direktiivistä (Network and Information Security 2). Direktiivin tavoite on yksinkertainen mutta kunnianhimoinen: nostaa kriittisten yhteiskunnan toimintojen kyberturvallisuuden vähimmäistasoa koko unionissa ja yhtenäistää tapa, jolla vakavista häiriöistä ilmoitetaan. NIS2 korvaa vuoden 2016 alkuperäisen NIS-direktiivin, jonka soveltamisala jäi kapeaksi ja jonka kansalliset toteutukset hajautuivat liikaa.
Suomessa NIS2 ei jää paperille. Laki velvoittaa organisaatiot tunnistamaan kyberriskinsä, ottamaan käyttöön vähimmäissuojaukset, ilmoittamaan merkittävistä poikkeamista määräajassa ja rekisteröitymään valvovan viranomaisen toimijaluetteloon. Arvioiden mukaan velvoitteet koskevat Suomessa noin 5 000:ta toimijaa, kun aiempi NIS1 kattoi vain murto-osan tästä. Joukko kasvoi, koska NIS2 laajensi sektorit 18:aan ja sisällytti mukaan keskisuuret yritykset, ei vain suurimpia.
Käytännössä laki siirtää kyberturvallisuuden tietohallinnon nurkasta hallituksen pöydälle. Se ei enää ole pelkkä tekninen kysymys, vaan oikeudellinen velvoite, jonka laiminlyönti maksaa rahaa ja voi koskea johdon henkilökohtaista vastuuta. Tämä on suurin sääntelymuutos suomalaisessa kyberturvallisuudessa sitten GDPR:n voimaantulon vuonna 2018, ja sen vaikutus ulottuu energiayhtiöistä terveydenhuoltoon, logistiikkaan ja digitaaliseen infrastruktuuriin.
Aikajana: näin kyberturvallisuuslaki eteni Suomessa
NIS2-direktiivin kansallinen täytäntöönpano oli määrä saada valmiiksi 17. lokakuuta 2024 mennessä. Suomi, kuten valtaosa EU-maista, myöhästyi tästä määräajasta. Eduskunta hyväksyi kyberturvallisuuslain alkuvuodesta 2025, ja laki tuli voimaan 8. huhtikuuta 2025. Voimaantulosta käynnistyi nopea siirtymäaikataulu, jonka tärkeimmät päivämäärät on koottu alle.
| Päivämäärä | Velvoite |
|---|---|
| 17.10.2024 | EU:n NIS2-direktiivin määräaika kansalliselle täytäntöönpanolle |
| 8.4.2025 | Kyberturvallisuuslaki (124/2025) voimaan, merkittävien poikkeamien ilmoitusvelvollisuus alkaa |
| 8.5.2025 | Toimijoiden rekisteröidyttävä Traficomin toimijaluetteloon |
| 8.7.2025 | Riskienhallintamenettelyn oltava käytössä (julkishallinnon toimijoilla jo 8.4.2025) |
| Jatkuva | 24 tunnin ennakkovaroitus, 72 tunnin ilmoitus, kuukauden loppuraportti merkittävistä poikkeamista |
Aikataulu oli tiukka. Voimaantulosta oli vain kuukausi aikaa rekisteröityä toimijaluetteloon ja kolme kuukautta saada riskienhallintamenettely kuntoon. Monelle keskisuurelle yritykselle tämä tarkoitti ensimmäistä kertaa muodollisen kyberturvallisuuden hallintajärjestelmän rakentamista. Traficom julkaisi keväällä 2025 suosituksen riskienhallinnan suunnittelusta ja avasi siitä lausuntokierroksen, jonka määräaika päättyi 31. toukokuuta 2025.
Keskeiset ja tärkeät toimijat: kuka kuuluu lain piiriin
NIS2 jakaa velvoitetut organisaatiot kahteen luokkaan: keskeisiin toimijoihin (essential entities) ja tärkeisiin toimijoihin (important entities). Jako perustuu kolmeen tekijään: organisaation kokoon, toimialaan ja kriittisyyteen yhteiskunnalle. Pääsääntöisesti laki koskee keskisuuria ja suuria toimijoita NIS2:n piiriin kuuluvilla aloilla, mutta tietyt toimijat kuuluvat lain piiriin kokoon katsomatta.
Kokorajasta riippumatta velvoitetuiksi luetaan esimerkiksi yleisten viestintäverkkojen ja -palvelujen tarjoajat, luottamuspalvelujen tarjoajat, verkkotunnusrekisterit (TLD) ja DNS-palveluntarjoajat. Näiden toimijoiden häiriö voi kaataa laajoja palveluketjuja, joten kokoraja ei suojaa pieniä alan toimijoita velvoitteilta.
Keskeisen ja tärkeän toimijan ero käytännössä
Suomessa molempien luokkien sisällölliset velvoitteet ja määräajat ovat lähtökohtaisesti samat: riskienhallinta, ilmoitusvelvollisuus ja rekisteröityminen koskevat kumpaakin. Ero näkyy ennen kaikkea valvonnan luonteessa ja sakkojen enimmäismäärässä. Keskeisiin toimijoihin kohdistuu ennakollinen ja jatkuva valvonta, kun taas tärkeisiin toimijoihin valvonta kohdistuu pääsääntöisesti jälkikäteen, kun viranomaisella on syytä epäillä laiminlyöntiä. Sakkokatto on keskeisillä toimijoilla korkeampi, mihin palaamme jäljempänä.
Organisaation on itse arvioitava, kuuluuko se lain piiriin ja kumpaan luokkaan. Tämä itsearviointi on osoittautunut yhdeksi lain hankalimmista kohdista, koska monet yritykset toimivat usealla sektorilla ja alihankintaketjut hämärtävät rajoja. Jos olet epävarma yrityksesi asemasta, kannattaa tutustua myös laajempaan verkkoturvallisuuden oppaaseemme, joka taustoittaa sääntelyn peruskäsitteet.
18 sektoria NIS2:n piirissä: energiasta avaruuteen
NIS2 laajensi soveltamisalan 18 sektoriin, mikä on selvästi enemmän kuin alkuperäisessä NIS1:ssä. Mukana ovat perinteiset kriittiset alat kuten energia, liikenne, viestintä, terveydenhuolto, vesihuolto, jätehuolto, digitaalinen infrastruktuuri ja rahoituspalvelut. NIS2 toi mukaan myös uusia toimialoja, joita aiempi sääntely ei tavoittanut.
Uusia tai aiempaa selvemmin valvonnan piiriin tulleita aloja ovat muun muassa posti- ja kuriiripalvelut, avaruusala, julkishallinto, hallinnoidut palveluntarjoajat (MSP), hallinnoidut tietoturvapalvelut (MSSP), tutkimuslaitokset sekä ajoneuvojen ja kuljetusvälineiden valmistus. Listan laajeneminen selittää, miksi velvoitettujen organisaatioiden määrä kasvoi Suomessa moninkertaiseksi NIS1-aikaan verrattuna.
Yksi olennainen rajanveto koskee pankki- ja rahoitusmarkkinainfrastruktuuria. Näiden toimijoiden kyberturvallisuutta säännellään ensisijaisesti EU:n DORA-asetuksella (Digital Operational Resilience Act), joka tuli sovellettavaksi 17. tammikuuta 2025. DORA toimii rahoitusalalla NIS2:ta täydentävänä erityissäännöksenä, mikä tarkoittaa, että saman toimijan on tunnettava molemmat kehikot. Tämä päällekkäisyys on lisännyt rahoitusalan compliance-työn taakkaa merkittävästi.
24 tunnin ilmoitusvelvollisuus: mitä, milloin ja kenelle
Kyberturvallisuuslain näkyvin yksittäinen velvoite on porrastettu ilmoitusmenettely merkittävistä poikkeamista. Kun toimija havaitsee merkittävän kyberturvallisuuspoikkeaman, kello alkaa käydä. Menettely etenee kolmessa vaiheessa, jotka on koottu alle.
| Vaihe | Määräaika havainnosta | Sisältö |
|---|---|---|
| Ennakkovaroitus | 24 tuntia | Alustava ilmoitus, epäilläänkö poikkeamaa rikolliseksi tai rajat ylittäväksi |
| Varsinainen ilmoitus | 72 tuntia | Päivitetty arvio vakavuudesta, vaikutuksista ja mahdollisista indikaattoreista |
| Loppuraportti | 1 kuukausi | Yksityiskohtainen kuvaus poikkeamasta, syistä ja korjaavista toimista |
Ilmoitukset tehdään pääsääntöisesti toimialan oman valvontaviranomaisen ohjeistuksen mukaisesti, ja Kyberturvallisuuskeskus (NCSC-FI) toimii kansallisena yhteyspisteenä ja CSIRT-yksikkönä. Keskus kannustaa toimijoita tekemään myös vapaaehtoisia ilmoituksia muista tietoturvaloukkauksista, kuten tietojenkalasteluyrityksistä ja palvelunestohyökkäyksistä, vaikka ne eivät ylittäisi merkittävän poikkeaman kynnystä.
24 tunnin määräaika on tiukin osa lakia. Käytännössä se pakottaa organisaatiot rakentamaan etukäteen valmiit prosessit poikkeaman tunnistamiseen, luokitteluun ja raportointiin. Yksikään tiimi ei ehdi keksiä ilmoitusketjua kesken kriisin. Tämä on yksi syy siihen, miksi tietomurtojen torjuntasuunnitelmat ja harjoittelu ovat nousseet keskeiseen rooliin lain myötä.
Sakot ja seuraamukset: jopa 10 miljoonaa euroa
Laissa on hampaat. Hallinnolliset sakot määrää erillinen seuraamuslautakunta valvontaviranomaisen esityksestä, ja sakko maksetaan valtiolle. Enimmäismäärät on porrastettu toimijaluokan mukaan, ja ne lasketaan sen mukaan, kumpi on suurempi: euromääräinen katto vai prosenttiosuus maailmanlaajuisesta liikevaihdosta.
| Toimijatyyppi | Euromääräinen enimmäissakko | Vaihtoehtoinen prosenttiosuus |
|---|---|---|
| Keskeinen toimija | 10 000 000 € | 2 % maailmanlaajuisesta vuotuisesta liikevaihdosta |
| Tärkeä (muu) toimija | 7 000 000 € | 1,4 % maailmanlaajuisesta vuotuisesta liikevaihdosta |
Suurelle yritykselle 2 prosentin osuus liikevaihdosta voi olla huomattavasti enemmän kuin 10 miljoonaa euroa, joten prosenttiperuste on tarkoituksellisen kova. Sakkojen rakenne muistuttaa GDPR:n mallia, mikä ei ole sattumaa: EU on omaksunut saman pelotteen logiikan tietosuojasta kyberturvallisuuteen. Sakko ei kuitenkaan ole ainoa seuraamus. Viranomainen voi antaa varoituksia, määräyksiä korjaaviin toimiin ja ääritapauksessa rajoittaa toimintaa.
Johdon henkilökohtainen vastuu nousi keskiöön
Yksi NIS2:n merkittävimmistä muutoksista on johdon vastuun korostaminen. Lain mukaan toimijan johtoelimen on hyväksyttävä ja valvottava kyberturvallisuuden riskienhallintaa. Tämä tarkoittaa, ettei kyberturvallisuutta voi enää delegoida puhtaasti IT-osastolle ja unohtaa hallituksen pöydältä.
Helsinkiläisen asianajotoimisto Roschierin julkaisemassa analyysissä osakas Johanna Lilja ja hänen kollegansa korostavat, että laki asettaa johtoelimelle nimenomaisen vastuun riskienhallintatoimien toteuttamisesta ja seurannasta. Roschierin asiantuntijoiden mukaan laki edellyttää aiempaa yksityiskohtaisempia riskienhallintavelvoitteita, mukaan lukien haavoittuvuuksien havaitsemisen, ja että laiminlyönneistä voi seurata sanktioita. Käytännössä tämä tarkoittaa, että hallituksen jäsenten on ymmärrettävä kyberriskit ja voitava osoittaa, että ne on käsitelty.
Johdon vastuu on muuttanut keskustelun sävyä yrityksissä. Kyberturvallisuusinvestoinnit, jotka aiemmin kilpailivat budjeteista muiden IT-hankkeiden kanssa, ovat nyt oikeudellinen velvoite, jonka laiminlyönti voi kohdistua suoraan päättäjiin. Tämä on nostanut kyberturvallisuuden hallitustyöskentelyn vakioaiheeksi suomalaisissa keskisuurissa ja suurissa yrityksissä.
Traficom ja Kyberturvallisuuskeskus valvojina
Suomi valitsi hajautetun valvontamallin. Velvoitteita valvoo useampi toimialakohtainen viranomainen sen sijaan, että yksi keskusviranomainen vastaisi kaikesta. Liikenne- ja viestintävirasto Traficom valvoo viestintäalan toimijoita, Energiavirasto energiasektoria, Tukes (Turvallisuus- ja kemikaalivirasto) tiettyjä teollisuuden aloja, Valvira sosiaali- ja terveydenhuoltoa ja Fimea lääkealaa.
Traficomin alainen Kyberturvallisuuskeskus (NCSC-FI) toimii koordinoivana elimenä, joka yhteensovittaa eri valvontaviranomaisten yhteistyötä ja toimii kansallisena yhteyspisteenä EU-tasolla. Keskus ylläpitää myös CSIRT-yksikköä, joka käsittelee poikkeamailmoitukset ja jakaa uhkatietoa. Tämä rakenne tarkoittaa, että organisaation on tunnistettava oma valvojansa toimialansa perusteella, mikä ei aina ole yksiselitteistä monialaisille konserneille.
Hajautetun mallin etuna on, että kukin viranomainen tuntee oman sektorinsa erityispiirteet. Haittapuolena on, että valvontakäytännöt voivat vaihdella viranomaisten välillä, ja toimijat voivat saada erilaista ohjeistusta riippuen siitä, kuka niitä valvoo. Kyberturvallisuuskeskuksen koordinointirooli on suunniteltu tasoittamaan näitä eroja.
Riskienhallintavelvoitteet: mitä organisaatioiden on tehtävä
Laki ei jätä riskienhallintaa pelkän hyvän tahdon varaan. Se luettelee vähimmäistoimet, jotka kaikkien velvoitettujen toimijoiden on otettava käyttöön. Näihin kuuluvat riskianalyysi ja tietojärjestelmien turvallisuuspolitiikka, poikkeamien hallinta, toiminnan jatkuvuuden ja varmuuskopioinnin hallinta, toimitusketjun turvallisuus, hankintojen ja kehittämisen turvallisuus, kyberhygienia ja koulutus, salauksen käyttö, pääsynhallinta sekä monivaiheinen tunnistautuminen.
Toimitusketjun turvallisuus on monelle vaikein kohta. NIS2 edellyttää, että toimija arvioi myös alihankkijoidensa ja palveluntarjoajiensa kyberturvallisuuden. Tämä on käytännössä laajentanut lain vaikutuksen myös sellaisiin pieniin yrityksiin, jotka eivät suoraan kuulu sen piiriin mutta toimittavat palveluja velvoitetuille toimijoille. Iso asiakas vaatii nyt sopimuksissa kyberturvallisuustakeet.
Tekniset perusvaatimukset käytännössä
Vähimmäistoimien tekninen ydin on tuttua tietoturvan ammattilaisille mutta uutta monelle keskisuurelle organisaatiolle. Monivaiheinen tunnistautuminen on noussut käytännössä pakolliseksi: aiheeseen kannattaa tutustua kaksivaiheisen tunnistautumisen vertailussamme. Salatun liikenteen varmistaminen taas nojaa HTTPS- ja TLS-yhteyksiin, joiden perusteet käymme läpi erillisessä artikkelissa. Nämä eivät ole NIS2:n keksintöjä, mutta laki tekee niistä todistettavia velvoitteita, joiden puuttuminen voi johtaa sanktioon.
Markkinavaikutus: mitä laki merkitsee yrityksille ja kyberturva-alalle
Kyberturvallisuuslaki on muuttanut Suomen kyberturvamarkkinaa kysyntäpuolelta. Compliance-velvoite on luonut jatkuvan kysynnän riskienhallinnan konsultoinnille, valvontatyökaluille, poikkeamien hallintapalveluille ja hallinnoiduille tietoturvapalveluille. Erityisesti hallinnoitujen tietoturvapalvelujen (MSSP) markkina on kasvanut, koska keskisuurilla toimijoilla ei useinkaan ole omaa tietoturvatiimiä ja ne ulkoistavat valvonnan.
Markkinatutkimusten mukaan Suomen kyberturvamarkkinan odotetaan kasvavan tasaisesti vuosikymmenen loppua kohti, ja sääntely on yksi keskeisistä kasvun ajureista. Kasvu ei jakaudu tasaisesti: eniten hyötyvät palveluntarjoajat, jotka osaavat paketoida NIS2-vaatimustenmukaisuuden selkeäksi palveluksi keskisuurelle asiakkaalle. Toisaalta velvoite on kustannus niille tuhansille organisaatioille, joiden on rahoitettava uudet prosessit ilman, että ne tuottavat suoraa liiketoiminta-arvoa.
Talousvaikutusta ei pidä aliarvioida. Jokainen velvoitettu organisaatio joutuu varaamaan resursseja dokumentointiin, koulutukseen, työkaluihin ja mahdollisiin auditointeihin. Pienille keskisuurille toimijoille tämä on suhteellisesti raskaampi taakka kuin suurille konserneille, joilla on jo valmiit tietoturvatoiminnot. Tämä epäsymmetria on yksi lain kritisoiduimmista piirteistä.
Pohjoismainen vertailu: Suomi, Ruotsi, Tanska ja Norja
Suomi oli pohjoismaista nopeimpien joukossa NIS2:n täytäntöönpanossa, vaikka sekin myöhästyi EU:n virallisesta määräajasta. Naapurimaiden tilanne vaihtelee huomattavasti, ja erityisesti Ruotsi jäi selvästi jälkeen. Norja taas on erityistapaus, koska se ei ole EU-jäsen vaan ETA-maa, jossa NIS2:n soveltaminen edellyttää erillistä ETA-päätöstä.
| Maa | Laki | Voimaantulo / vaatimustenmukaisuus | Tilanne kesäkuussa 2026 |
|---|---|---|---|
| Suomi | Kyberturvallisuuslaki (124/2025) | 8.4.2025 | Voimassa, valvonta käynnissä |
| Tanska | NIS2:n kansallinen toteutus | Vaatimustenmukaisuus 1.7.2025 alkaen | Voimassa, valvontavaihe |
| Ruotsi | Cybersäkerhetslagen | 15.1.2026 (valtiopäivät hyväksyi 10.12.2025) | Voimassa, vasta käynnistynyt |
| Norja | Digitalsikkerhetsloven (NIS1) | 1.10.2025 (NIS1) | NIS2 ei vielä ETA-säännöstössä, ei voimaantulopäivää |
Vertailu paljastaa, että pohjoismaat eivät edenneet yhtä jalkaa. Tanska ehti vaatia vaatimustenmukaisuutta jo heinäkuussa 2025, Suomi oli liikkeellä huhtikuussa 2025, mutta Ruotsin Cybersäkerhetslagen tuli voimaan vasta 15. tammikuuta 2026 sen jälkeen, kun valtiopäivät hyväksyi sen 10. joulukuuta 2025. Norja sovelsi lokakuussa 2025 vielä NIS1:tä vastaavaa digitaalisen turvallisuuden lakia, eikä NIS2:lle ole asetettu voimaantulopäivää, koska sitä ei ole vielä sisällytetty ETA-sopimukseen. Laajemmin Pohjolan uhkakuvaa olemme käsitelleet erillisessä analyysissä Pohjoismaiden kyberuhista.
Tahtiero luo käytännön ongelman pohjoismaisille konserneille. Yhtiön, jolla on toimintaa Suomessa, Ruotsissa ja Tanskassa, on noudatettava kolmea kansallista toteutusta, joiden aikataulut, valvojat ja yksityiskohdat poikkeavat toisistaan, vaikka pohjana on sama direktiivi. Tämä on lisännyt monikansallisten yritysten oikeudellisen seurannan tarvetta.
Historiallinen konteksti: NIS1:stä NIS2:een
Alkuperäinen NIS-direktiivi vuodelta 2016 oli EU:n ensimmäinen laaja kyberturvallisuuslainsäädäntö. Se kuitenkin osoittautui riittämättömäksi: soveltamisala oli kapea, kansalliset toteutukset hajautuivat liikaa, ja valvonta jäi heikoksi. Kun digitaalinen riippuvuus kasvoi ja kyberhyökkäykset kriittiseen infrastruktuuriin yleistyivät, EU päätti uudistaa kehikon perusteellisesti.
NIS2 hyväksyttiin vuonna 2022, ja sen kansallisen täytäntöönpanon määräaika oli 17. lokakuuta 2024. Uusi direktiivi laajensi sektorit, lisäsi keskisuuret yritykset, kiristi ilmoitusvelvollisuuksia, otti käyttöön johdon vastuun ja toi GDPR:n tapaiset tuntuvat sakot. Se on osa laajempaa EU:n digisääntelyn aaltoa, johon kuuluvat myös DORA rahoitusalalle, kriittisten toimijoiden häiriönsietokykyä koskeva CER-direktiivi ja kyberresilienssiasetus CRA tuotteille.
Maaliskuussa 2026 Euroopan komissio ilmoitti harkitsevansa NIS2:n keventämistä osana laajempaa sääntelyn yksinkertaistamispyrkimystä. Tämä on huomionarvoista, koska se kertoo, että velvoitteiden raskaus on tunnistettu myös EU-tasolla. Mahdolliset muutokset eivät kuitenkaan poista voimassa olevia kansallisia velvoitteita, vaan organisaatioiden on noudatettava nykyistä lakia sellaisenaan.
Asiantuntija-arviot ja kentän reaktiot
Oikeudellisten asiantuntijoiden viesti on ollut yhtenäinen: kyberturvallisuuslaki on suurin kertarysäys suomalaiselle kyberturvasääntelylle vuosiin. Roschierin asiantuntijat Johanna Lilja, Emma Swahne ja Emil Koskikuru kuvaavat julkaistussa analyysissään lakia kokonaisuudeksi, joka tuo aiempaa yksityiskohtaisemmat riskienhallintavelvoitteet, johdon vastuun ja sanktiot samaan pakettiin. Heidän mukaansa laki koskee suuria ja keskisuuria toimijoita asianomaisilla sektoreilla, mutta myös pienempiä toimijoita silloin, kun ne tarjoavat keskeisiä palveluja yhteiskunnan tai talouden kriittisten toimintojen ylläpitämiseksi.
Kyberturvallisuuskeskus on omissa viesteissään korostanut riskienhallinnan käytännönläheisyyttä: keskus muistuttaa organisaatioita varautumaan konkreettisiin poikkeamatilanteisiin ja tutustumaan NIS2:n riskienhallintavelvoitteeseen ennen kuin häiriö iskee. Viranomaisen mukaan NIS2-direktiivin tavoite on nostaa kyberturvallisuuden yleistä tasoa EU:ssa, ja Suomen toteutus nojaa tähän tavoitteeseen.
Kentällä reaktiot ovat jakautuneet. Suuret organisaatiot, joilla oli jo kypsä tietoturvatoiminto, ovat kokeneet lain ennemmin dokumentoinnin ja muodollistamisen harjoituksena. Keskisuurille toimijoille laki on sen sijaan ollut iso ponnistus, joka on vaatinut uusia rooleja, budjettia ja ulkoista apua. Yhteistä on, että harva enää kyseenalaistaa kyberturvallisuuden merkitystä hallitustasolla.
Viisi ennustetta: mihin NIS2-valvonta etenee 2026–2027
Mihin tilanne kehittyy seuraavaksi? Esitämme viisi perusteltua ennustetta lain ensimmäisen toimintavuoden jälkeen.
- Ensimmäiset merkittävät sakot annetaan vuosien 2026–2027 aikana. Valvontaviranomaiset ovat olleet ensimmäisen vuoden ohjaavia, mutta sakkojen kynnys laskee, kun siirtymäajat ovat ohi ja toistuvat laiminlyönnit tulevat ilmi.
- Toimitusketjuvaatimukset valuvat pieniin yrityksiin. Velvoitetut toimijat vaativat alihankkijoiltaan yhä tiukempia kyberturvatakeita sopimuksissa, jolloin laki vaikuttaa epäsuorasti myös sen ulkopuolisiin yrityksiin.
- MSSP- ja konsultointimarkkina jatkaa kasvuaan. Keskisuurten toimijoiden tarve ulkoistaa valvonta ja vaatimustenmukaisuus pitää hallinnoitujen tietoturvapalvelujen kysynnän korkealla.
- EU:n yksinkertaistamishanke tuo tarkennuksia, ei kumoa velvoitteita. Maaliskuussa 2026 esillä ollut keventäminen kohdistuu todennäköisesti raportoinnin yksityiskohtiin ja päällekkäisyyksiin, ei lain ydinvelvoitteisiin.
- Johdon vastuu nostaa kybervakuutusten kysyntää. Kun laiminlyönti voi kohdistua päättäjiin, hallitusten ja johdon vastuuvakuutukset sekä kybervakuutukset yleistyvät suomalaisissa keskisuurissa yrityksissä.
Usein kysytyt kysymykset kyberturvallisuuslaista
Milloin kyberturvallisuuslaki tuli voimaan Suomessa?
Kyberturvallisuuslaki (124/2025) tuli voimaan 8. huhtikuuta 2025. Samasta päivästä alkoi velvollisuus ilmoittaa merkittävistä kyberturvallisuuspoikkeamista. Toimijoiden oli rekisteröidyttävä toimijaluetteloon 8. toukokuuta 2025 mennessä ja otettava riskienhallintamenettely käyttöön 8. heinäkuuta 2025 mennessä.
Ketä NIS2 ja kyberturvallisuuslaki koskevat Suomessa?
Laki koskee keskisuuria ja suuria toimijoita 18 kriittisellä sektorilla, kuten energia, liikenne, viestintä, terveydenhuolto, vesihuolto ja digitaalinen infrastruktuuri. Tietyt toimijat, kuten viestintäverkkojen, luottamuspalvelujen ja DNS-palvelujen tarjoajat, kuuluvat lain piiriin kokoon katsomatta. Arvioiden mukaan velvoite koskee Suomessa noin 5 000:ta toimijaa.
Kuinka nopeasti poikkeamasta on ilmoitettava?
Merkittävästä poikkeamasta on annettava ennakkovaroitus 24 tunnin kuluessa havainnosta, varsinainen ilmoitus 72 tunnin kuluessa ja loppuraportti kuukauden kuluessa. Ilmoitukset tehdään toimialan valvontaviranomaisen ohjeistuksen mukaisesti, ja Kyberturvallisuuskeskus toimii kansallisena yhteyspisteenä.
Kuinka suuria sakot voivat olla?
Keskeisille toimijoille hallinnollinen sakko voi olla enintään 10 miljoonaa euroa tai 2 prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta, kumpi näistä on suurempi. Tärkeille toimijoille katto on 7 miljoonaa euroa tai 1,4 prosenttia liikevaihdosta. Sakon määrää seuraamuslautakunta valvontaviranomaisen esityksestä.
Mikä on keskeisen ja tärkeän toimijan ero?
Molempien luokkien velvoitteet ja määräajat ovat Suomessa lähtökohtaisesti samat. Ero näkyy valvonnan luonteessa ja sakkojen enimmäismäärässä: keskeisiin toimijoihin kohdistuu ennakollinen ja jatkuva valvonta sekä korkeampi sakkokatto, kun taas tärkeisiin toimijoihin valvonta kohdistuu pääsääntöisesti jälkikäteen.
Mikä viranomainen valvoo kyberturvallisuuslakia?
Valvonta on hajautettu toimialakohtaisille viranomaisille, kuten Traficomille, Energiavirastolle, Tukesille, Valviralle ja Fimealle. Traficomin alainen Kyberturvallisuuskeskus (NCSC-FI) koordinoi valvontaviranomaisten yhteistyötä ja toimii kansallisena yhteyspisteenä sekä CSIRT-yksikkönä.
Miten kyberturvallisuuslaki eroaa GDPR:stä?
GDPR suojaa henkilötietoja, kun taas kyberturvallisuuslaki keskittyy kriittisten palvelujen toimintavarmuuteen ja kyberriskien hallintaan. Sakkojen rakenne muistuttaa GDPR:ää, ja sama organisaatio voi joutua noudattamaan molempia. Jos esimerkiksi tietomurto vuotaa henkilötietoja, kyseessä voi olla samanaikaisesti sekä NIS2- että GDPR-velvoite.
Yhteenveto: laki, joka teki kyberturvasta hallituksen asian
Kyberturvallisuuslaki muutti suomalaisen kyberturvallisuuden pelisäännöt pysyvästi. 24 tunnin ilmoitusvelvollisuus, 10 miljoonan euron sakkokatto ja johdon henkilökohtainen vastuu nostivat kyberriskit IT-osaston nurkasta hallituksen agendalle. Arviolta 5 000 organisaatiota Suomessa elää nyt uuden velvoitekehikon alla, ja vaikutus valuu toimitusketjujen kautta vielä laajemmalle.
Pohjoismainen vertailu osoittaa, ettei sama direktiivi takaa samaa toteutusta: Tanska, Suomi ja Ruotsi ehtivät maaliin eri aikoina, ja Norja odottaa yhä ETA-ratkaisua. Lain ensimmäinen toimintavuosi oli ohjaava, mutta valvonnan terävöityminen ja ensimmäiset sakot ovat todennäköisiä vuosina 2026–2027. Organisaatioille viesti on selvä: vaatimustenmukaisuus ei ole kertaprojekti vaan jatkuva velvoite.
Aiheeseen liittyvää
- Pohjoismaiden kyberuhat: 44 häiriötä Suomessa [2026]
- Tietomurrot: miten ne tapahtuvat ja miten suojaudut
- Tietojenkalastelu: tunnista huijaus ja suojaudu
- 2FA-vertailu: 5 tapaa ja 99,9 % suoja [2026]
- HTTPS ja TLS: miten salattu yhteys suojaa sinua
- Verkkoturvallisuus: opas digitaalisen elämän suojaamiseen
