Kyberturvallisuuslaki astuu voimaan 8.4.2025

Suomen tasavallan presidentti Alexander Stubb hyväksyi perjantaina 4. huhtikuuta 2025 kauan valmistelussa olleen Kyberturvallisuuslain, jonka täytäntöönpano alkaa odotetusti tiistaina 8. huhtikuuta 2025. Marraskuussa 2024 Suomi ja 22 muuta jäsenmaata saivat huomautuksen täytäntöönpanon viivästymisestä.

Kyberturvallisuuslailla toimeenpannaan EU:n kyberturvallisuusdirektiivi (NIS 2). Direktiivin tavoitteena on vahvistaa EU:n ja jäsenvaltioiden kyberturvallisuutta kriittisillä toimialoilla.
Tarkista, koskeeko kyberturvallisuuslaki tai tiedonhallintalaki organisaatiotasi ja oletko NIS2-toimija.
Tarvittaessa voit kysyä neuvoja oman toimialasi valvovalta viranomaiselta. Ilmoittaudu valvovan viranomaisen ylläpitämään toimijaluetteloon ja tutustu merkittävän poikkeaman ilmoittamisen menettelyihin.
Ilmoitukset tehdään NIS2-poikkeamailmoitussovelluksen kautta. Lisäksi voit perehtyä tarkemmin EU:n NIS 2 -direktiiviin täältä.

Laki koskee erityisesti keskisuuria ja suurempia toimijoita liikenne-, energia-, terveydenhuolto- ja digitaalisen infrastruktuurin aloilla.
Laki kattaa myös elintarvikealan, kemianteollisuuden, jätehuollon ja postipalvelut (Katso kaikki: https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/TRAFICOM_NIS2_taulukko_07012025.pdf).

Soveltamisalaan kuuluvien toimijoiden on jatkossa arvioitava ja hallittava riskejä, joita kohdistuu niiden käyttämien viestintäverkojen ja tietojärjestelmien turvallisuuteen. Toimijoiden on myös ilmoitettava merkittävistä poikkeamista viestintäverkoissa sekä tietojärjestelmissä. Lisäksi laissa säädetään velvoitteiden valvonnasta ja muista toimeenpanon edellyttämistä viranomaistehtävistä.
Soveltamisalaan kuuluvia toimijoita edellytetään ilmoittamaan yhteystietonsa valvovalle viranomaiselle soveltamisen alkaessa. Kyberturvallisuuslain mukaiset määräajat riskienhallinnan järjestämiselle ja tietojen ilmoittamiselle alkavat lain voimaantulosta. Julkishallinnon osalta direktiivi pannaan täytäntöön muutoksilla julkisen hallinnon tiedonhallinnasta annettuun lakiin.

Valvovat viranomaiset

Kyberturvallisuuslain valvovia viranomaisia ovat toimialakohtaisesti:

• Liikenne- ja viestintävirasto Traficom
• Energiavirasto
• Turvallisuus- ja kemikaalivirasto
• Etelä-Savon ELY-keskus
• Ruokavirasto
• Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira
• Lääkealan turvallisuus- ja kehittämiskeskus Fimea.

Valvovien viranomaisten yhteistyötä koordinoi Traficom. Hallinnollisia seuraamusmaksuja määrää erikseen perustettava seuraamusmaksulautakunta, joka koostuu valvovien viranomaisten nimeämistä jäsenistä.

CSIRT-yksikkö

Traficomin Kyberturvallisuuskeskukseen sijoitetaan tietoturvaloukkauksia tutkivan ja niihin reagoivan yksikön eli CSIRT-yksikön tehtävät, jotka vastaavat pitkälti Kyberturvallisuuskeskuksen nykyisiä tehtäviä esimerkiksi kyberuhkien seurannan ja analysoinnin osalta. Yksikkö koordinoi myös haavoittuvuuksien julkaisemista EU:n suuntaan ja se voi toimia kyberturvallisuustietoja koskevien vapaaehtoisten jakamisjärjestelyiden koordinaattorina.

Mitä seuraavaksi?

Kyberturvallisuuskeskus ja valvovat viranomaiset tiedottavat lain toimeenpanosta ennen sen virallista voimaantuloa. Yritysten ja organisaatioiden on tärkeää valmistautua noudattamaan uusia vaatimuksia ja varmistamaan, että niiden tietoturvakäytännöt ovat ajan tasalla.

Tarvitsetko apua? Meiltä saat valmiit ratkaisut ja asiantuntevaa tukea

Uusi kyberturvallisuuslaki tuo mukanaan paljon uutta vastuuta ja vaatimuksia – mutta sinun ei tarvitse selviytyä niistä yksin. Me tarjoamme valmiit ja käytännössä testatut ratkaisut kaikkiin kyberturvallisuuslain edellyttämiin hallintakeinoihin.
Lisäksi asiantuntijamme voivat tukea organisaatiotasi tietoturvallisuuden johtamisessa, riskienhallinnassa ja vaatimustenmukaisuuden rakentamisessa.