Abstrakti digitaalinen maisema, vaaleanpunaiset ja violetit verkko- ja pistekuviot.
Kyberturvallisuus NIS2-direktiivin vaatimukset Kyberturvallisuuden vaatimukset tiukentuvat – Tiedätkö, mitkä kyberriskit ovat teollisuuslaitoksesi kannalta tärkeimpiä?

Kyberturvallisuuslaki (124/2025) – NIS2-direktiivin toimeenpano

Uusi kyberturvallisuuslaki (124/2025) toimeenpanee NIS2‑direktiivin Suomessa. Se astui voimaan 8.4.2025, ja sen tavoitteena on nostaa organisaatioiden kyberresilienssi moderneihin vaatimuksiin EU‑tasolla.

Lue lisää Traficomin sivuilta

Kuka kuuluu kyberturvallisuuslain piiriin?

  1. Vaihtoehtoiset toimijaryhmät: lain piiriin kuuluu sekä välttämättömiä että tärkeitä toimijoita. Näitä ovat esimerkiksi keskisuuret teollisuusyritykset, tuotantolaitokset, palveluntarjoajat (ICT, DNS, pilvipalvelut) ja julkisen hallinnon yksiköt yli 50 000 asukkaan kunnissa.
  2. Velvollisuudet riippuvat koosta:
    1. Välttämättömät: ≥ 250 työntekijää tai ≥ 50 miljoonaa € liikevaihtoa
    2. Tärkeät: ≥ 50 työntekijää tai ≥ 10 miljoonaa € liikevaihtoa

 

Kyberturvallisuuslain keskeiset vaatimukset

Kyberturvallisuuslaki edellyttää ainakin seuraavia toimia:

  1. Toimijaluetteloon ilmoittautuminen: Organisaatiot rekisteröityvät alansa valvontaviranomaiselle (esim. Fimea terveydenhuollossa).
  2. Riskienhallinta: Organisaation on luotava riskienhallintamalli, joka kattaa toimitusketjut, ICT- ja OT‑infrastruktuurin sekä havaitsemisen, reagoinnin ja toipumisen.
  3. Poikkeamien raportointi: Merkittävistä tietoturvapoikkeamista on raportoitavanimetylle viranomaiselle ehdottoman nopeasti.
  4. Tekninen ja hallinnollinen suojaus: Käytännön toimet sisältävät henkilökunnan koulutuksen, toiminnan jatkuvuuden, kriisinhallinnan ja fyysisen turvan.
  5. Johtamisvastuu: Yrityksen johto vastaa kyberturvapolitiikan ja -mallien hyväksymisestä ja seurantajärjestelmien toimivuudesta. Puutteista voidaan määrätä seuraamuksia ja mahdollisia johtamiskieltoja.

Seuraukset ja sanktiot

  1. Tiukempi valvonta: viranomaisilla on laajat oikeudet tarkastaa, auditioida ja antaa hallinnollisia määräyksiä sekä sakkoja – joiden suuruus voi nousta miljooniin.
  2. Johdon henkilökohtainen vastuu: Johtajat voivat saada henkilökohtaisia seuraamuksia, mukaan lukien roolin väliaikaiset kiellot.

Miksi tämä koskee teollisuuttanne?

Teollisuuslaitokset ovat nyt suoraan lain piirissä. Jos organisaatiollanne on yli 50 työntekijää tai yli 10 miljoonan euron liikevaihto, teidän on:

  1. rekisteröidyttävä valvovalle viranomaiselle
  2. toteutettava riskienhallintamalli, raportointiprosessit ja tekniset suojaukset
  3. koulutettava henkilöstö ja dokumentoitava toimintaprosessit
  4. varmistettava johdon tietämys ja aktiivinen valvonta

Miksi valita Sweco kyberturvallisuuskonsultiksi?

Sweco tarjoaa kokonaisvaltaista kyberturvallisuuskonsultointia ja -palveluita vahvalla kokemuksella:

  1. autamme rekisteröitymisessä ja nykytilan kartoituksessa
  2. laadimme riskienhallintastrategiat ja -malleja (myös OT-ympäristöissä)
  3. tuemme poikkeamaraportoinnissa ja sanktiovalmistelussa
  4. muokkaamme teknisiä ja hallinnollisia toimenpiteitä NIS2-yhteensopiviksi
  5. koulutamme henkilöstön ja johdon velvoitteisiin
  6. toimimme linkkinä valvovien viranomaisten suosituksiin

Tutustu myös näihin

Kyberturvallisuuskonsultointi ja -palvelut

NIS2-direktiivi

Prosessiturvallisuuden kyberriskien hallinta – IT ja automaatio samassa veneessä

Kyberturvallisuuden vaatimukset tiukentuvat – Tiedätkö, mitkä kyberriskit ovat teollisuuslaitoksesi kannalta tärkeimpiä?

Sanna-Maria Järvensivu

Kyber- ja prosessiturvallisuusasiantuntija

Jätä meille yhteydenottopyyntö

  • Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.