Jo jokunen tovi yrityksissä on puhuttu kyberturvallisuusdirektiivistä (NIS2), jonka tavoitteena on nostaa kyberturvallisuuden ja riskienhallinnan tasoa koko EU:n alueella. Puheet ovat vihdoin muuttuneet lakiin kirjatuksi todeksi myös Suomessa, kun kyberturvallisuuslaki astui voimaan 8.4.2025.
NIS2-direktiivi tuo mukanaan uusia riskienhallinta- ja raportointivelvoitteita yhteiskunnan toiminnan kannalta kriittisille toimijoille sekä tällaisten toimijoiden toimitusketjuun kuuluville yrityksille.
Mitä lain voimaanastuminen tarkoittaa Suomessa toimiville yrityksille? Ensimmäinen askel on selvittää, kuuluuko yrityksesi NIS2-toimijoihin.
Onko yrityksenne NIS2-toimija?
Jos vastaus on kyllä, ilmoittautuminen toimijaluetteloon pitää tehdä viimeistään 8.5.2025. Riskienhallinnan toimintamalli tulee olla laadittuna 8.7.2025 mennessä – eli kohtuu nopeasti on toimittava.
Jos taas yrityksenne ei lukeudu suoraan NIS2-sääntelyn piiriin, on hyvä selvittää, onko toimitusketjunne ylä- tai alapuolella NIS2-toimijoita. Kyseisten sidosryhmien on ruvettava vaatimaan teiltä riittävää tietoturvaa kumppanuuden tai asiakassuhteen edellytyksenä. Tällöin teidän on suositeltavaa tutustua kyberturvallisuuslain vaatimuksiin ja kehittää tietoturvaanne niiden mukaisesti. Lue lisää, miten otat 6 askelta kohti NIS2-direktiivin velvoitteiden täyttämistä.
Kyberturvallisuuslain velvoittamien organisaatioiden on viipymättä ilmoitettava viranomaiselle merkittävästä tietoturvapoikkeamasta. Ensi-ilmoitus on tehtävä 24 tunnin kuluessa poikkeaman havaitsemisesta, jatkoilmoitus 72 tunnin kuluessa ja loppuraportti kuukauden kuluessa. Traficomin sivuilta löydät ohjeet näissä tilanteissa toimimiseen.
Me autamme mielellämme kaikissa kyberturvallisuuslain vaatimuksiin tähtäävissä valmisteluissa, toimenpiteissä ja raportoinnissa, mukaan lukien henkilöstön tietoturvakouluttamisessa.
Tehdään kyberturvasta yrityksenne kilpailuetu.