{"id":60,"date":"2026-06-12T08:54:57","date_gmt":"2026-06-12T08:54:57","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/12\/nis2-suomi-kyberturvallisuuslaki-2026\/"},"modified":"2026-06-12T16:51:25","modified_gmt":"2026-06-12T16:51:25","slug":"nis2-suomi-kyberturvallisuuslaki-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/2026\/06\/12\/nis2-suomi-kyberturvallisuuslaki-2026\/","title":{"rendered":"NIS2 Suomessa: 24 tunnin ilmoitus, 10 M\u20ac sakot [2026]"},"content":{"rendered":"\n

Suomen kyberturvallisuuslaki<\/strong> (124\/2025) astui voimaan 8. huhtikuuta 2025 ja toi EU:n NIS2-direktiivin velvoitteet osaksi kansallista lains\u00e4\u00e4d\u00e4nt\u00f6\u00e4. Laki muutti yhdess\u00e4 y\u00f6ss\u00e4 sen, mit\u00e4 tuhansilta suomalaisilta organisaatioilta vaaditaan kyberturvallisuudessa. Merkitt\u00e4v\u00e4st\u00e4 poikkeamasta on ilmoitettava viranomaiselle 24 tunnissa, johdolle syntyi henkil\u00f6kohtainen vastuu, ja laiminly\u00f6nneist\u00e4 voi seurata jopa 10 miljoonan euron hallinnollinen sakko. T\u00e4ss\u00e4 uutisanalyysiss\u00e4 k\u00e4ymme l\u00e4pi, ket\u00e4 laki koskee, mit\u00e4 se konkreettisesti vaatii ja miten Suomi sijoittuu pohjoismaisessa vertailussa kes\u00e4kuussa 2026.<\/p>\n\n\n\n

P\u00e4ivitetty 12. kes\u00e4kuuta 2026. T\u00e4m\u00e4 artikkeli perustuu Traficomin, Kyberturvallisuuskeskuksen (NCSC-FI), Finlexin sek\u00e4 riippumattomien oikeudellisten asiantuntijoiden julkaisemiin tietoihin.<\/p>\n\n\n\n

Mik\u00e4 kyberturvallisuuslaki on ja miksi se koskee tuhansia organisaatioita<\/h2>\n\n\n\n

Kyberturvallisuuslaki on Suomen kansallinen toteutus EU:n NIS2-direktiivist\u00e4 (Network and Information Security 2). Direktiivin tavoite on yksinkertainen mutta kunnianhimoinen: nostaa kriittisten yhteiskunnan toimintojen kyberturvallisuuden v\u00e4himm\u00e4istasoa koko unionissa ja yhten\u00e4ist\u00e4\u00e4 tapa, jolla vakavista h\u00e4iri\u00f6ist\u00e4 ilmoitetaan. NIS2 korvaa vuoden 2016 alkuper\u00e4isen NIS-direktiivin, jonka soveltamisala j\u00e4i kapeaksi ja jonka kansalliset toteutukset hajautuivat liikaa.<\/p>\n\n\n\n

Suomessa NIS2<\/strong> ei j\u00e4\u00e4 paperille. Laki velvoittaa organisaatiot tunnistamaan kyberriskins\u00e4, ottamaan k\u00e4ytt\u00f6\u00f6n v\u00e4himm\u00e4issuojaukset, ilmoittamaan merkitt\u00e4vist\u00e4 poikkeamista m\u00e4\u00e4r\u00e4ajassa ja rekister\u00f6itym\u00e4\u00e4n valvovan viranomaisen toimijaluetteloon. Arvioiden mukaan velvoitteet koskevat Suomessa noin 5 000:ta toimijaa, kun aiempi NIS1 kattoi vain murto-osan t\u00e4st\u00e4. Joukko kasvoi, koska NIS2 laajensi sektorit 18:aan ja sis\u00e4llytti mukaan keskisuuret yritykset, ei vain suurimpia.<\/p>\n\n\n\n

K\u00e4yt\u00e4nn\u00f6ss\u00e4 laki siirt\u00e4\u00e4 kyberturvallisuuden tietohallinnon nurkasta hallituksen p\u00f6yd\u00e4lle. Se ei en\u00e4\u00e4 ole pelkk\u00e4 tekninen kysymys, vaan oikeudellinen velvoite, jonka laiminly\u00f6nti maksaa rahaa ja voi koskea johdon henkil\u00f6kohtaista vastuuta. T\u00e4m\u00e4 on suurin s\u00e4\u00e4ntelymuutos suomalaisessa kyberturvallisuudessa sitten GDPR:n voimaantulon vuonna 2018, ja sen vaikutus ulottuu energiayhti\u00f6ist\u00e4 terveydenhuoltoon, logistiikkaan ja digitaaliseen infrastruktuuriin.<\/p>\n\n\n\n

Aikajana: n\u00e4in kyberturvallisuuslaki eteni Suomessa<\/h2>\n\n\n\n

NIS2-direktiivin kansallinen t\u00e4yt\u00e4nt\u00f6\u00f6npano oli m\u00e4\u00e4r\u00e4 saada valmiiksi 17. lokakuuta 2024 menness\u00e4. Suomi, kuten valtaosa EU-maista, my\u00f6h\u00e4styi t\u00e4st\u00e4 m\u00e4\u00e4r\u00e4ajasta. Eduskunta hyv\u00e4ksyi kyberturvallisuuslain alkuvuodesta 2025, ja laki tuli voimaan 8. huhtikuuta 2025. Voimaantulosta k\u00e4ynnistyi nopea siirtym\u00e4aikataulu, jonka t\u00e4rkeimm\u00e4t p\u00e4iv\u00e4m\u00e4\u00e4r\u00e4t on koottu alle.<\/p>\n\n\n\n

\n
P\u00e4iv\u00e4m\u00e4\u00e4r\u00e4<\/th>Velvoite<\/th><\/tr><\/thead>
17.10.2024<\/td>EU:n NIS2-direktiivin m\u00e4\u00e4r\u00e4aika kansalliselle t\u00e4yt\u00e4nt\u00f6\u00f6npanolle<\/td><\/tr>\n
8.4.2025<\/td>Kyberturvallisuuslaki (124\/2025) voimaan, merkitt\u00e4vien poikkeamien ilmoitusvelvollisuus alkaa<\/td><\/tr>\n
8.5.2025<\/td>Toimijoiden rekister\u00f6idytt\u00e4v\u00e4 Traficomin toimijaluetteloon<\/td><\/tr>\n
8.7.2025<\/td>Riskienhallintamenettelyn oltava k\u00e4yt\u00f6ss\u00e4 (julkishallinnon toimijoilla jo 8.4.2025)<\/td><\/tr>\n
Jatkuva<\/td>24 tunnin ennakkovaroitus, 72 tunnin ilmoitus, kuukauden loppuraportti merkitt\u00e4vist\u00e4 poikkeamista<\/td><\/tr>\n<\/tbody><\/table>
Kyberturvallisuuslain keskeiset m\u00e4\u00e4r\u00e4ajat Suomessa. L\u00e4hde: Traficom, Kyberturvallisuuskeskus.<\/figcaption><\/figure>\n\n\n\n

Aikataulu oli tiukka. Voimaantulosta oli vain kuukausi aikaa rekister\u00f6ity\u00e4 toimijaluetteloon ja kolme kuukautta saada riskienhallintamenettely kuntoon. Monelle keskisuurelle yritykselle t\u00e4m\u00e4 tarkoitti ensimm\u00e4ist\u00e4 kertaa muodollisen kyberturvallisuuden hallintaj\u00e4rjestelm\u00e4n rakentamista. Traficom julkaisi kev\u00e4\u00e4ll\u00e4 2025 suosituksen riskienhallinnan suunnittelusta ja avasi siit\u00e4 lausuntokierroksen, jonka m\u00e4\u00e4r\u00e4aika p\u00e4\u00e4ttyi 31. toukokuuta 2025.<\/p>\n\n\n\n

Keskeiset ja t\u00e4rke\u00e4t toimijat: kuka kuuluu lain piiriin<\/h2>\n\n\n\n

NIS2 jakaa velvoitetut organisaatiot kahteen luokkaan: keskeisiin toimijoihin (essential entities) ja t\u00e4rkeisiin toimijoihin (important entities). Jako perustuu kolmeen tekij\u00e4\u00e4n: organisaation kokoon, toimialaan ja kriittisyyteen yhteiskunnalle. P\u00e4\u00e4s\u00e4\u00e4nt\u00f6isesti laki koskee keskisuuria ja suuria toimijoita NIS2:n piiriin kuuluvilla aloilla, mutta tietyt toimijat kuuluvat lain piiriin kokoon katsomatta.<\/p>\n\n\n\n

Kokorajasta riippumatta velvoitetuiksi luetaan esimerkiksi yleisten viestint\u00e4verkkojen ja -palvelujen tarjoajat, luottamuspalvelujen tarjoajat, verkkotunnusrekisterit (TLD) ja DNS-palveluntarjoajat. N\u00e4iden toimijoiden h\u00e4iri\u00f6 voi kaataa laajoja palveluketjuja, joten kokoraja ei suojaa pieni\u00e4 alan toimijoita velvoitteilta.<\/p>\n\n\n\n

Keskeisen ja t\u00e4rke\u00e4n toimijan ero k\u00e4yt\u00e4nn\u00f6ss\u00e4<\/h3>\n\n\n\n

Suomessa molempien luokkien sis\u00e4ll\u00f6lliset velvoitteet ja m\u00e4\u00e4r\u00e4ajat ovat l\u00e4ht\u00f6kohtaisesti samat: riskienhallinta, ilmoitusvelvollisuus ja rekister\u00f6ityminen koskevat kumpaakin. Ero n\u00e4kyy ennen kaikkea valvonnan luonteessa ja sakkojen enimm\u00e4ism\u00e4\u00e4r\u00e4ss\u00e4. Keskeisiin toimijoihin kohdistuu ennakollinen ja jatkuva valvonta, kun taas t\u00e4rkeisiin toimijoihin valvonta kohdistuu p\u00e4\u00e4s\u00e4\u00e4nt\u00f6isesti j\u00e4lkik\u00e4teen, kun viranomaisella on syyt\u00e4 ep\u00e4ill\u00e4 laiminly\u00f6nti\u00e4. Sakkokatto on keskeisill\u00e4 toimijoilla korkeampi, mihin palaamme j\u00e4ljemp\u00e4n\u00e4.<\/p>\n\n\n\n

Organisaation on itse arvioitava, kuuluuko se lain piiriin ja kumpaan luokkaan. T\u00e4m\u00e4 itsearviointi on osoittautunut yhdeksi lain hankalimmista kohdista, koska monet yritykset toimivat usealla sektorilla ja alihankintaketjut h\u00e4m\u00e4rt\u00e4v\u00e4t rajoja. Jos olet ep\u00e4varma yrityksesi asemasta, kannattaa tutustua my\u00f6s laajempaan verkkoturvallisuuden oppaaseemme<\/a>, joka taustoittaa s\u00e4\u00e4ntelyn perusk\u00e4sitteet.<\/p>\n\n\n\n

18 sektoria NIS2:n piiriss\u00e4: energiasta avaruuteen<\/h2>\n\n\n\n

NIS2 laajensi soveltamisalan 18 sektoriin, mik\u00e4 on selv\u00e4sti enemm\u00e4n kuin alkuper\u00e4isess\u00e4 NIS1:ss\u00e4. Mukana ovat perinteiset kriittiset alat kuten energia, liikenne, viestint\u00e4, terveydenhuolto, vesihuolto, j\u00e4tehuolto, digitaalinen infrastruktuuri ja rahoituspalvelut. NIS2 toi mukaan my\u00f6s uusia toimialoja, joita aiempi s\u00e4\u00e4ntely ei tavoittanut.<\/p>\n\n\n\n

Uusia tai aiempaa selvemmin valvonnan piiriin tulleita aloja ovat muun muassa posti- ja kuriiripalvelut, avaruusala, julkishallinto, hallinnoidut palveluntarjoajat (MSP), hallinnoidut tietoturvapalvelut (MSSP), tutkimuslaitokset sek\u00e4 ajoneuvojen ja kuljetusv\u00e4lineiden valmistus. Listan laajeneminen selitt\u00e4\u00e4, miksi velvoitettujen organisaatioiden m\u00e4\u00e4r\u00e4 kasvoi Suomessa moninkertaiseksi NIS1-aikaan verrattuna.<\/p>\n\n\n\n

Yksi olennainen rajanveto koskee pankki- ja rahoitusmarkkinainfrastruktuuria. N\u00e4iden toimijoiden kyberturvallisuutta s\u00e4\u00e4nnell\u00e4\u00e4n ensisijaisesti EU:n DORA-asetuksella (Digital Operational Resilience Act), joka tuli sovellettavaksi 17. tammikuuta 2025. DORA toimii rahoitusalalla NIS2:ta t\u00e4ydent\u00e4v\u00e4n\u00e4 erityiss\u00e4\u00e4nn\u00f6ksen\u00e4, mik\u00e4 tarkoittaa, ett\u00e4 saman toimijan on tunnettava molemmat kehikot. T\u00e4m\u00e4 p\u00e4\u00e4llekk\u00e4isyys on lis\u00e4nnyt rahoitusalan compliance-ty\u00f6n taakkaa merkitt\u00e4v\u00e4sti.<\/p>\n\n\n\n

24 tunnin ilmoitusvelvollisuus: mit\u00e4, milloin ja kenelle<\/h2>\n\n\n\n

Kyberturvallisuuslain n\u00e4kyvin yksitt\u00e4inen velvoite on porrastettu ilmoitusmenettely merkitt\u00e4vist\u00e4 poikkeamista. Kun toimija havaitsee merkitt\u00e4v\u00e4n kyberturvallisuuspoikkeaman, kello alkaa k\u00e4yd\u00e4. Menettely etenee kolmessa vaiheessa, jotka on koottu alle.<\/p>\n\n\n\n

\n
Vaihe<\/th>M\u00e4\u00e4r\u00e4aika havainnosta<\/th>Sis\u00e4lt\u00f6<\/th><\/tr><\/thead>
Ennakkovaroitus<\/td>24 tuntia<\/td>Alustava ilmoitus, ep\u00e4ill\u00e4\u00e4nk\u00f6 poikkeamaa rikolliseksi tai rajat ylitt\u00e4v\u00e4ksi<\/td><\/tr>\n
Varsinainen ilmoitus<\/td>72 tuntia<\/td>P\u00e4ivitetty arvio vakavuudesta, vaikutuksista ja mahdollisista indikaattoreista<\/td><\/tr>\n
Loppuraportti<\/td>1 kuukausi<\/td>Yksityiskohtainen kuvaus poikkeamasta, syist\u00e4 ja korjaavista toimista<\/td><\/tr>\n<\/tbody><\/table>
Merkitt\u00e4v\u00e4n poikkeaman porrastettu ilmoitusaikataulu NIS2:n mukaan. L\u00e4hde: Traficom, Kyberturvallisuuskeskus.<\/figcaption><\/figure>\n\n\n\n

Ilmoitukset tehd\u00e4\u00e4n p\u00e4\u00e4s\u00e4\u00e4nt\u00f6isesti toimialan oman valvontaviranomaisen ohjeistuksen mukaisesti, ja Kyberturvallisuuskeskus (NCSC-FI) toimii kansallisena yhteyspisteen\u00e4 ja CSIRT-yksikk\u00f6n\u00e4. Keskus kannustaa toimijoita tekem\u00e4\u00e4n my\u00f6s vapaaehtoisia ilmoituksia muista tietoturvaloukkauksista, kuten tietojenkalasteluyrityksist\u00e4<\/a> ja palvelunestohy\u00f6kk\u00e4yksist\u00e4, vaikka ne eiv\u00e4t ylitt\u00e4isi merkitt\u00e4v\u00e4n poikkeaman kynnyst\u00e4.<\/p>\n\n\n\n

24 tunnin m\u00e4\u00e4r\u00e4aika on tiukin osa lakia. K\u00e4yt\u00e4nn\u00f6ss\u00e4 se pakottaa organisaatiot rakentamaan etuk\u00e4teen valmiit prosessit poikkeaman tunnistamiseen, luokitteluun ja raportointiin. Yksik\u00e4\u00e4n tiimi ei ehdi keksi\u00e4 ilmoitusketjua kesken kriisin. T\u00e4m\u00e4 on yksi syy siihen, miksi tietomurtojen<\/a> torjuntasuunnitelmat ja harjoittelu ovat nousseet keskeiseen rooliin lain my\u00f6t\u00e4.<\/p>\n\n\n\n

Sakot ja seuraamukset: jopa 10 miljoonaa euroa<\/h2>\n\n\n\n

Laissa on hampaat. Hallinnolliset sakot m\u00e4\u00e4r\u00e4\u00e4 erillinen seuraamuslautakunta valvontaviranomaisen esityksest\u00e4, ja sakko maksetaan valtiolle. Enimm\u00e4ism\u00e4\u00e4r\u00e4t on porrastettu toimijaluokan mukaan, ja ne lasketaan sen mukaan, kumpi on suurempi: eurom\u00e4\u00e4r\u00e4inen katto vai prosenttiosuus maailmanlaajuisesta liikevaihdosta.<\/p>\n\n\n\n

\n
Toimijatyyppi<\/th>Eurom\u00e4\u00e4r\u00e4inen enimm\u00e4issakko<\/th>Vaihtoehtoinen prosenttiosuus<\/th><\/tr><\/thead>
Keskeinen toimija<\/td>10 000 000 \u20ac<\/td>2 % maailmanlaajuisesta vuotuisesta liikevaihdosta<\/td><\/tr>\n
T\u00e4rke\u00e4 (muu) toimija<\/td>7 000 000 \u20ac<\/td>1,4 % maailmanlaajuisesta vuotuisesta liikevaihdosta<\/td><\/tr>\n<\/tbody><\/table>
Hallinnollisten sakkojen enimm\u00e4ism\u00e4\u00e4r\u00e4t kyberturvallisuuslain mukaan. Korkeampi luku on m\u00e4\u00e4r\u00e4\u00e4v\u00e4. L\u00e4hde: Kyberturvallisuuskeskus.<\/figcaption><\/figure>\n\n\n\n

Suurelle yritykselle 2 prosentin osuus liikevaihdosta voi olla huomattavasti enemm\u00e4n kuin 10 miljoonaa euroa, joten prosenttiperuste on tarkoituksellisen kova. Sakkojen rakenne muistuttaa GDPR:n mallia, mik\u00e4 ei ole sattumaa: EU on omaksunut saman pelotteen logiikan tietosuojasta kyberturvallisuuteen. Sakko ei kuitenkaan ole ainoa seuraamus. Viranomainen voi antaa varoituksia, m\u00e4\u00e4r\u00e4yksi\u00e4 korjaaviin toimiin ja \u00e4\u00e4ritapauksessa rajoittaa toimintaa.<\/p>\n\n\n\n

Johdon henkil\u00f6kohtainen vastuu nousi keski\u00f6\u00f6n<\/h2>\n\n\n\n

Yksi NIS2:n merkitt\u00e4vimmist\u00e4 muutoksista on johdon vastuun korostaminen. Lain mukaan toimijan johtoelimen on hyv\u00e4ksytt\u00e4v\u00e4 ja valvottava kyberturvallisuuden riskienhallintaa. T\u00e4m\u00e4 tarkoittaa, ettei kyberturvallisuutta voi en\u00e4\u00e4 delegoida puhtaasti IT-osastolle ja unohtaa hallituksen p\u00f6yd\u00e4lt\u00e4.<\/p>\n\n\n\n

Helsinkil\u00e4isen asianajotoimisto Roschierin julkaisemassa analyysiss\u00e4 osakas Johanna Lilja ja h\u00e4nen kollegansa korostavat, ett\u00e4 laki asettaa johtoelimelle nimenomaisen vastuun riskienhallintatoimien toteuttamisesta ja seurannasta. Roschierin asiantuntijoiden mukaan laki edellytt\u00e4\u00e4 aiempaa yksityiskohtaisempia riskienhallintavelvoitteita, mukaan lukien haavoittuvuuksien havaitsemisen, ja ett\u00e4 laiminly\u00f6nneist\u00e4 voi seurata sanktioita. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa, ett\u00e4 hallituksen j\u00e4senten on ymm\u00e4rrett\u00e4v\u00e4 kyberriskit ja voitava osoittaa, ett\u00e4 ne on k\u00e4sitelty.<\/p>\n\n\n\n

Johdon vastuu on muuttanut keskustelun s\u00e4vy\u00e4 yrityksiss\u00e4. Kyberturvallisuusinvestoinnit, jotka aiemmin kilpailivat budjeteista muiden IT-hankkeiden kanssa, ovat nyt oikeudellinen velvoite, jonka laiminly\u00f6nti voi kohdistua suoraan p\u00e4\u00e4tt\u00e4jiin. T\u00e4m\u00e4 on nostanut kyberturvallisuuden hallitusty\u00f6skentelyn vakioaiheeksi suomalaisissa keskisuurissa ja suurissa yrityksiss\u00e4.<\/p>\n\n\n\n

Traficom ja Kyberturvallisuuskeskus valvojina<\/h2>\n\n\n\n

Suomi valitsi hajautetun valvontamallin. Velvoitteita valvoo useampi toimialakohtainen viranomainen sen sijaan, ett\u00e4 yksi keskusviranomainen vastaisi kaikesta. Liikenne- ja viestint\u00e4virasto Traficom valvoo viestint\u00e4alan toimijoita, Energiavirasto energiasektoria, Tukes (Turvallisuus- ja kemikaalivirasto) tiettyj\u00e4 teollisuuden aloja, Valvira sosiaali- ja terveydenhuoltoa ja Fimea l\u00e4\u00e4kealaa.<\/p>\n\n\n\n

Traficomin alainen Kyberturvallisuuskeskus (NCSC-FI) toimii koordinoivana elimen\u00e4, joka yhteensovittaa eri valvontaviranomaisten yhteisty\u00f6t\u00e4 ja toimii kansallisena yhteyspisteen\u00e4 EU-tasolla. Keskus yll\u00e4pit\u00e4\u00e4 my\u00f6s CSIRT-yksikk\u00f6\u00e4, joka k\u00e4sittelee poikkeamailmoitukset ja jakaa uhkatietoa. T\u00e4m\u00e4 rakenne tarkoittaa, ett\u00e4 organisaation on tunnistettava oma valvojansa toimialansa perusteella, mik\u00e4 ei aina ole yksiselitteist\u00e4 monialaisille konserneille.<\/p>\n\n\n\n

Hajautetun mallin etuna on, ett\u00e4 kukin viranomainen tuntee oman sektorinsa erityispiirteet. Haittapuolena on, ett\u00e4 valvontak\u00e4yt\u00e4nn\u00f6t voivat vaihdella viranomaisten v\u00e4lill\u00e4, ja toimijat voivat saada erilaista ohjeistusta riippuen siit\u00e4, kuka niit\u00e4 valvoo. Kyberturvallisuuskeskuksen koordinointirooli on suunniteltu tasoittamaan n\u00e4it\u00e4 eroja.<\/p>\n\n\n\n

Riskienhallintavelvoitteet: mit\u00e4 organisaatioiden on teht\u00e4v\u00e4<\/h2>\n\n\n\n

Laki ei j\u00e4t\u00e4 riskienhallintaa pelk\u00e4n hyv\u00e4n tahdon varaan. Se luettelee v\u00e4himm\u00e4istoimet, jotka kaikkien velvoitettujen toimijoiden on otettava k\u00e4ytt\u00f6\u00f6n. N\u00e4ihin kuuluvat riskianalyysi ja tietoj\u00e4rjestelmien turvallisuuspolitiikka, poikkeamien hallinta, toiminnan jatkuvuuden ja varmuuskopioinnin hallinta, toimitusketjun turvallisuus, hankintojen ja kehitt\u00e4misen turvallisuus, kyberhygienia ja koulutus, salauksen k\u00e4ytt\u00f6, p\u00e4\u00e4synhallinta sek\u00e4 monivaiheinen tunnistautuminen.<\/p>\n\n\n\n

Toimitusketjun turvallisuus on monelle vaikein kohta. NIS2 edellytt\u00e4\u00e4, ett\u00e4 toimija arvioi my\u00f6s alihankkijoidensa ja palveluntarjoajiensa kyberturvallisuuden. T\u00e4m\u00e4 on k\u00e4yt\u00e4nn\u00f6ss\u00e4 laajentanut lain vaikutuksen my\u00f6s sellaisiin pieniin yrityksiin, jotka eiv\u00e4t suoraan kuulu sen piiriin mutta toimittavat palveluja velvoitetuille toimijoille. Iso asiakas vaatii nyt sopimuksissa kyberturvallisuustakeet.<\/p>\n\n\n\n

Tekniset perusvaatimukset k\u00e4yt\u00e4nn\u00f6ss\u00e4<\/h3>\n\n\n\n

V\u00e4himm\u00e4istoimien tekninen ydin on tuttua tietoturvan ammattilaisille mutta uutta monelle keskisuurelle organisaatiolle. Monivaiheinen tunnistautuminen on noussut k\u00e4yt\u00e4nn\u00f6ss\u00e4 pakolliseksi: aiheeseen kannattaa tutustua kaksivaiheisen tunnistautumisen vertailussamme<\/a>. Salatun liikenteen varmistaminen taas nojaa HTTPS- ja TLS-yhteyksiin<\/a>, joiden perusteet k\u00e4ymme l\u00e4pi erillisess\u00e4 artikkelissa. N\u00e4m\u00e4 eiv\u00e4t ole NIS2:n keksint\u00f6j\u00e4, mutta laki tekee niist\u00e4 todistettavia velvoitteita, joiden puuttuminen voi johtaa sanktioon.<\/p>\n\n\n\n

Markkinavaikutus: mit\u00e4 laki merkitsee yrityksille ja kyberturva-alalle<\/h2>\n\n\n\n

Kyberturvallisuuslaki on muuttanut Suomen kyberturvamarkkinaa kysynt\u00e4puolelta. Compliance-velvoite on luonut jatkuvan kysynn\u00e4n riskienhallinnan konsultoinnille, valvontaty\u00f6kaluille, poikkeamien hallintapalveluille ja hallinnoiduille tietoturvapalveluille. Erityisesti hallinnoitujen tietoturvapalvelujen (MSSP) markkina on kasvanut, koska keskisuurilla toimijoilla ei useinkaan ole omaa tietoturvatiimi\u00e4 ja ne ulkoistavat valvonnan.<\/p>\n\n\n\n

Markkinatutkimusten mukaan Suomen kyberturvamarkkinan odotetaan kasvavan tasaisesti vuosikymmenen loppua kohti, ja s\u00e4\u00e4ntely on yksi keskeisist\u00e4 kasvun ajureista. Kasvu ei jakaudu tasaisesti: eniten hy\u00f6tyv\u00e4t palveluntarjoajat, jotka osaavat paketoida NIS2-vaatimustenmukaisuuden selke\u00e4ksi palveluksi keskisuurelle asiakkaalle. Toisaalta velvoite on kustannus niille tuhansille organisaatioille, joiden on rahoitettava uudet prosessit ilman, ett\u00e4 ne tuottavat suoraa liiketoiminta-arvoa.<\/p>\n\n\n\n

Talousvaikutusta ei pid\u00e4 aliarvioida. Jokainen velvoitettu organisaatio joutuu varaamaan resursseja dokumentointiin, koulutukseen, ty\u00f6kaluihin ja mahdollisiin auditointeihin. Pienille keskisuurille toimijoille t\u00e4m\u00e4 on suhteellisesti raskaampi taakka kuin suurille konserneille, joilla on jo valmiit tietoturvatoiminnot. T\u00e4m\u00e4 ep\u00e4symmetria on yksi lain kritisoiduimmista piirteist\u00e4.<\/p>\n\n\n\n

Pohjoismainen vertailu: Suomi, Ruotsi, Tanska ja Norja<\/h2>\n\n\n\n

Suomi oli pohjoismaista nopeimpien joukossa NIS2:n t\u00e4yt\u00e4nt\u00f6\u00f6npanossa, vaikka sekin my\u00f6h\u00e4styi EU:n virallisesta m\u00e4\u00e4r\u00e4ajasta. Naapurimaiden tilanne vaihtelee huomattavasti, ja erityisesti Ruotsi j\u00e4i selv\u00e4sti j\u00e4lkeen. Norja taas on erityistapaus, koska se ei ole EU-j\u00e4sen vaan ETA-maa, jossa NIS2:n soveltaminen edellytt\u00e4\u00e4 erillist\u00e4 ETA-p\u00e4\u00e4t\u00f6st\u00e4.<\/p>\n\n\n\n

\n
Maa<\/th>Laki<\/th>Voimaantulo \/ vaatimustenmukaisuus<\/th>Tilanne kes\u00e4kuussa 2026<\/th><\/tr><\/thead>
Suomi<\/td>Kyberturvallisuuslaki (124\/2025)<\/td>8.4.2025<\/td>Voimassa, valvonta k\u00e4ynniss\u00e4<\/td><\/tr>\n
Tanska<\/td>NIS2:n kansallinen toteutus<\/td>Vaatimustenmukaisuus 1.7.2025 alkaen<\/td>Voimassa, valvontavaihe<\/td><\/tr>\n
Ruotsi<\/td>Cybers\u00e4kerhetslagen<\/td>15.1.2026 (valtiop\u00e4iv\u00e4t hyv\u00e4ksyi 10.12.2025)<\/td>Voimassa, vasta k\u00e4ynnistynyt<\/td><\/tr>\n
Norja<\/td>Digitalsikkerhetsloven (NIS1)<\/td>1.10.2025 (NIS1)<\/td>NIS2 ei viel\u00e4 ETA-s\u00e4\u00e4nn\u00f6st\u00f6ss\u00e4, ei voimaantulop\u00e4iv\u00e4\u00e4<\/td><\/tr>\n<\/tbody><\/table>
NIS2:n t\u00e4yt\u00e4nt\u00f6\u00f6npano Pohjoismaissa. L\u00e4hteet: Bird & Bird, CMS, kansalliset viranomaiset.<\/figcaption><\/figure>\n\n\n\n

Vertailu paljastaa, ett\u00e4 pohjoismaat eiv\u00e4t edenneet yht\u00e4 jalkaa. Tanska ehti vaatia vaatimustenmukaisuutta jo hein\u00e4kuussa 2025, Suomi oli liikkeell\u00e4 huhtikuussa 2025, mutta Ruotsin Cybers\u00e4kerhetslagen tuli voimaan vasta 15. tammikuuta 2026 sen j\u00e4lkeen, kun valtiop\u00e4iv\u00e4t hyv\u00e4ksyi sen 10. joulukuuta 2025. Norja sovelsi lokakuussa 2025 viel\u00e4 NIS1:t\u00e4 vastaavaa digitaalisen turvallisuuden lakia, eik\u00e4 NIS2:lle ole asetettu voimaantulop\u00e4iv\u00e4\u00e4, koska sit\u00e4 ei ole viel\u00e4 sis\u00e4llytetty ETA-sopimukseen. Laajemmin Pohjolan uhkakuvaa olemme k\u00e4sitelleet erillisess\u00e4 analyysiss\u00e4 Pohjoismaiden kyberuhista<\/a>.<\/p>\n\n\n\n

Tahtiero luo k\u00e4yt\u00e4nn\u00f6n ongelman pohjoismaisille konserneille. Yhti\u00f6n, jolla on toimintaa Suomessa, Ruotsissa ja Tanskassa, on noudatettava kolmea kansallista toteutusta, joiden aikataulut, valvojat ja yksityiskohdat poikkeavat toisistaan, vaikka pohjana on sama direktiivi. T\u00e4m\u00e4 on lis\u00e4nnyt monikansallisten yritysten oikeudellisen seurannan tarvetta.<\/p>\n\n\n\n

Historiallinen konteksti: NIS1:st\u00e4 NIS2:een<\/h2>\n\n\n\n

Alkuper\u00e4inen NIS-direktiivi vuodelta 2016 oli EU:n ensimm\u00e4inen laaja kyberturvallisuuslains\u00e4\u00e4d\u00e4nt\u00f6. Se kuitenkin osoittautui riitt\u00e4m\u00e4tt\u00f6m\u00e4ksi: soveltamisala oli kapea, kansalliset toteutukset hajautuivat liikaa, ja valvonta j\u00e4i heikoksi. Kun digitaalinen riippuvuus kasvoi ja kyberhy\u00f6kk\u00e4ykset kriittiseen infrastruktuuriin yleistyiv\u00e4t, EU p\u00e4\u00e4tti uudistaa kehikon perusteellisesti.<\/p>\n\n\n\n

NIS2 hyv\u00e4ksyttiin vuonna 2022, ja sen kansallisen t\u00e4yt\u00e4nt\u00f6\u00f6npanon m\u00e4\u00e4r\u00e4aika oli 17. lokakuuta 2024. Uusi direktiivi laajensi sektorit, lis\u00e4si keskisuuret yritykset, kiristi ilmoitusvelvollisuuksia, otti k\u00e4ytt\u00f6\u00f6n johdon vastuun ja toi GDPR:n tapaiset tuntuvat sakot. Se on osa laajempaa EU:n digis\u00e4\u00e4ntelyn aaltoa, johon kuuluvat my\u00f6s DORA rahoitusalalle, kriittisten toimijoiden h\u00e4iri\u00f6nsietokyky\u00e4 koskeva CER-direktiivi ja kyberresilienssiasetus CRA tuotteille.<\/p>\n\n\n\n

Maaliskuussa 2026 Euroopan komissio ilmoitti harkitsevansa NIS2:n kevent\u00e4mist\u00e4 osana laajempaa s\u00e4\u00e4ntelyn yksinkertaistamispyrkimyst\u00e4. T\u00e4m\u00e4 on huomionarvoista, koska se kertoo, ett\u00e4 velvoitteiden raskaus on tunnistettu my\u00f6s EU-tasolla. Mahdolliset muutokset eiv\u00e4t kuitenkaan poista voimassa olevia kansallisia velvoitteita, vaan organisaatioiden on noudatettava nykyist\u00e4 lakia sellaisenaan.<\/p>\n\n\n\n

Asiantuntija-arviot ja kent\u00e4n reaktiot<\/h2>\n\n\n\n

Oikeudellisten asiantuntijoiden viesti on ollut yhten\u00e4inen: kyberturvallisuuslaki on suurin kertarys\u00e4ys suomalaiselle kyberturvas\u00e4\u00e4ntelylle vuosiin. Roschierin asiantuntijat Johanna Lilja, Emma Swahne ja Emil Koskikuru kuvaavat julkaistussa analyysiss\u00e4\u00e4n lakia kokonaisuudeksi, joka tuo aiempaa yksityiskohtaisemmat riskienhallintavelvoitteet, johdon vastuun ja sanktiot samaan pakettiin. Heid\u00e4n mukaansa laki koskee suuria ja keskisuuria toimijoita asianomaisilla sektoreilla, mutta my\u00f6s pienempi\u00e4 toimijoita silloin, kun ne tarjoavat keskeisi\u00e4 palveluja yhteiskunnan tai talouden kriittisten toimintojen yll\u00e4pit\u00e4miseksi.<\/p>\n\n\n\n

Kyberturvallisuuskeskus on omissa viesteiss\u00e4\u00e4n korostanut riskienhallinnan k\u00e4yt\u00e4nn\u00f6nl\u00e4heisyytt\u00e4: keskus muistuttaa organisaatioita varautumaan konkreettisiin poikkeamatilanteisiin ja tutustumaan NIS2:n riskienhallintavelvoitteeseen ennen kuin h\u00e4iri\u00f6 iskee. Viranomaisen mukaan NIS2-direktiivin tavoite on nostaa kyberturvallisuuden yleist\u00e4 tasoa EU:ssa, ja Suomen toteutus nojaa t\u00e4h\u00e4n tavoitteeseen.<\/p>\n\n\n\n

Kent\u00e4ll\u00e4 reaktiot ovat jakautuneet. Suuret organisaatiot, joilla oli jo kyps\u00e4 tietoturvatoiminto, ovat kokeneet lain ennemmin dokumentoinnin ja muodollistamisen harjoituksena. Keskisuurille toimijoille laki on sen sijaan ollut iso ponnistus, joka on vaatinut uusia rooleja, budjettia ja ulkoista apua. Yhteist\u00e4 on, ett\u00e4 harva en\u00e4\u00e4 kyseenalaistaa kyberturvallisuuden merkityst\u00e4 hallitustasolla.<\/p>\n\n\n\n

Viisi ennustetta: mihin NIS2-valvonta etenee 2026\u20132027<\/h2>\n\n\n\n

Mihin tilanne kehittyy seuraavaksi? Esit\u00e4mme viisi perusteltua ennustetta lain ensimm\u00e4isen toimintavuoden j\u00e4lkeen.<\/p>\n\n\n\n

    \n
  1. Ensimm\u00e4iset merkitt\u00e4v\u00e4t sakot annetaan vuosien 2026\u20132027 aikana.<\/strong> Valvontaviranomaiset ovat olleet ensimm\u00e4isen vuoden ohjaavia, mutta sakkojen kynnys laskee, kun siirtym\u00e4ajat ovat ohi ja toistuvat laiminly\u00f6nnit tulevat ilmi.<\/li>\n
  2. Toimitusketjuvaatimukset valuvat pieniin yrityksiin.<\/strong> Velvoitetut toimijat vaativat alihankkijoiltaan yh\u00e4 tiukempia kyberturvatakeita sopimuksissa, jolloin laki vaikuttaa ep\u00e4suorasti my\u00f6s sen ulkopuolisiin yrityksiin.<\/li>\n
  3. MSSP- ja konsultointimarkkina jatkaa kasvuaan.<\/strong> Keskisuurten toimijoiden tarve ulkoistaa valvonta ja vaatimustenmukaisuus pit\u00e4\u00e4 hallinnoitujen tietoturvapalvelujen kysynn\u00e4n korkealla.<\/li>\n
  4. EU:n yksinkertaistamishanke tuo tarkennuksia, ei kumoa velvoitteita.<\/strong> Maaliskuussa 2026 esill\u00e4 ollut kevent\u00e4minen kohdistuu todenn\u00e4k\u00f6isesti raportoinnin yksityiskohtiin ja p\u00e4\u00e4llekk\u00e4isyyksiin, ei lain ydinvelvoitteisiin.<\/li>\n
  5. Johdon vastuu nostaa kybervakuutusten kysynt\u00e4\u00e4.<\/strong> Kun laiminly\u00f6nti voi kohdistua p\u00e4\u00e4tt\u00e4jiin, hallitusten ja johdon vastuuvakuutukset sek\u00e4 kybervakuutukset yleistyv\u00e4t suomalaisissa keskisuurissa yrityksiss\u00e4.<\/li>\n<\/ol>\n\n\n\n

    Usein kysytyt kysymykset kyberturvallisuuslaista<\/h2>\n\n\n\n

    Milloin kyberturvallisuuslaki tuli voimaan Suomessa?<\/h3>\n\n\n\n

    Kyberturvallisuuslaki (124\/2025) tuli voimaan 8. huhtikuuta 2025. Samasta p\u00e4iv\u00e4st\u00e4 alkoi velvollisuus ilmoittaa merkitt\u00e4vist\u00e4 kyberturvallisuuspoikkeamista. Toimijoiden oli rekister\u00f6idytt\u00e4v\u00e4 toimijaluetteloon 8. toukokuuta 2025 menness\u00e4 ja otettava riskienhallintamenettely k\u00e4ytt\u00f6\u00f6n 8. hein\u00e4kuuta 2025 menness\u00e4.<\/p>\n\n\n\n

    Ket\u00e4 NIS2 ja kyberturvallisuuslaki koskevat Suomessa?<\/h3>\n\n\n\n

    Laki koskee keskisuuria ja suuria toimijoita 18 kriittisell\u00e4 sektorilla, kuten energia, liikenne, viestint\u00e4, terveydenhuolto, vesihuolto ja digitaalinen infrastruktuuri. Tietyt toimijat, kuten viestint\u00e4verkkojen, luottamuspalvelujen ja DNS-palvelujen tarjoajat, kuuluvat lain piiriin kokoon katsomatta. Arvioiden mukaan velvoite koskee Suomessa noin 5 000:ta toimijaa.<\/p>\n\n\n\n

    Kuinka nopeasti poikkeamasta on ilmoitettava?<\/h3>\n\n\n\n

    Merkitt\u00e4v\u00e4st\u00e4 poikkeamasta on annettava ennakkovaroitus 24 tunnin kuluessa havainnosta, varsinainen ilmoitus 72 tunnin kuluessa ja loppuraportti kuukauden kuluessa. Ilmoitukset tehd\u00e4\u00e4n toimialan valvontaviranomaisen ohjeistuksen mukaisesti, ja Kyberturvallisuuskeskus toimii kansallisena yhteyspisteen\u00e4.<\/p>\n\n\n\n

    Kuinka suuria sakot voivat olla?<\/h3>\n\n\n\n

    Keskeisille toimijoille hallinnollinen sakko voi olla enint\u00e4\u00e4n 10 miljoonaa euroa tai 2 prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta, kumpi n\u00e4ist\u00e4 on suurempi. T\u00e4rkeille toimijoille katto on 7 miljoonaa euroa tai 1,4 prosenttia liikevaihdosta. Sakon m\u00e4\u00e4r\u00e4\u00e4 seuraamuslautakunta valvontaviranomaisen esityksest\u00e4.<\/p>\n\n\n\n

    Mik\u00e4 on keskeisen ja t\u00e4rke\u00e4n toimijan ero?<\/h3>\n\n\n\n

    Molempien luokkien velvoitteet ja m\u00e4\u00e4r\u00e4ajat ovat Suomessa l\u00e4ht\u00f6kohtaisesti samat. Ero n\u00e4kyy valvonnan luonteessa ja sakkojen enimm\u00e4ism\u00e4\u00e4r\u00e4ss\u00e4: keskeisiin toimijoihin kohdistuu ennakollinen ja jatkuva valvonta sek\u00e4 korkeampi sakkokatto, kun taas t\u00e4rkeisiin toimijoihin valvonta kohdistuu p\u00e4\u00e4s\u00e4\u00e4nt\u00f6isesti j\u00e4lkik\u00e4teen.<\/p>\n\n\n\n

    Mik\u00e4 viranomainen valvoo kyberturvallisuuslakia?<\/h3>\n\n\n\n

    Valvonta on hajautettu toimialakohtaisille viranomaisille, kuten Traficomille, Energiavirastolle, Tukesille, Valviralle ja Fimealle. Traficomin alainen Kyberturvallisuuskeskus (NCSC-FI) koordinoi valvontaviranomaisten yhteisty\u00f6t\u00e4 ja toimii kansallisena yhteyspisteen\u00e4 sek\u00e4 CSIRT-yksikk\u00f6n\u00e4.<\/p>\n\n\n\n

    Miten kyberturvallisuuslaki eroaa GDPR:st\u00e4?<\/h3>\n\n\n\n

    GDPR suojaa henkil\u00f6tietoja, kun taas kyberturvallisuuslaki keskittyy kriittisten palvelujen toimintavarmuuteen ja kyberriskien hallintaan. Sakkojen rakenne muistuttaa GDPR:\u00e4\u00e4, ja sama organisaatio voi joutua noudattamaan molempia. Jos esimerkiksi tietomurto vuotaa henkil\u00f6tietoja, kyseess\u00e4 voi olla samanaikaisesti sek\u00e4 NIS2- ett\u00e4 GDPR-velvoite.<\/p>\n\n\n\n

    Yhteenveto: laki, joka teki kyberturvasta hallituksen asian<\/h2>\n\n\n\n

    Kyberturvallisuuslaki muutti suomalaisen kyberturvallisuuden pelis\u00e4\u00e4nn\u00f6t pysyv\u00e4sti. 24 tunnin ilmoitusvelvollisuus, 10 miljoonan euron sakkokatto ja johdon henkil\u00f6kohtainen vastuu nostivat kyberriskit IT-osaston nurkasta hallituksen agendalle. Arviolta 5 000 organisaatiota Suomessa el\u00e4\u00e4 nyt uuden velvoitekehikon alla, ja vaikutus valuu toimitusketjujen kautta viel\u00e4 laajemmalle.<\/p>\n\n\n\n

    Pohjoismainen vertailu osoittaa, ettei sama direktiivi takaa samaa toteutusta: Tanska, Suomi ja Ruotsi ehtiv\u00e4t maaliin eri aikoina, ja Norja odottaa yh\u00e4 ETA-ratkaisua. Lain ensimm\u00e4inen toimintavuosi oli ohjaava, mutta valvonnan ter\u00e4v\u00f6ityminen ja ensimm\u00e4iset sakot ovat todenn\u00e4k\u00f6isi\u00e4 vuosina 2026\u20132027. Organisaatioille viesti on selv\u00e4: vaatimustenmukaisuus ei ole kertaprojekti vaan jatkuva velvoite.<\/p>\n\n\n\n

    Aiheeseen liittyv\u00e4\u00e4<\/h3>\n\n\n\n