NIS2 ja kyberturva helposti haltuun

25.11.2025

NIS2

EU:n NIS2-direktiivi on uusi kyberturvallisuutta kiristävä sääntelykehikko, joka laajentaa velvoitteita aiempaa useammille toimialoille ja organisaatioille. Direktiivi hyväksyttiin EU-tasolla 2022 ja jäsenmaiden piti tuoda se kansalliseen lainsäädäntöön vuoden 2024 loppuun mennessä. Suomessa tämä tehtiin kyberturvallisuuslailla, jonka NIS2-pohjaiset velvoitteet tulivat voimaan huhtikuussa 2025.

Käytännössä NIS2 velvoittaa ensisijaisesti isoja ja keskisuuria toimijoita tietyillä kriittisillä toimialoilla. Suurin osa suomalaisista pk-yrityksistä jää toistaiseksi suoran velvoitteen ulkopuolelle. Se ei silti tarkoita, että direktiivin voisi unohtaa.

Miksi NIS2 on ajankohtainen myös pk-yrityksille

• Olet osana jonkun isomman toimijan toimitusketjua. Vaatimukset valuvat sopimuksiin ja kilpailutuksiin.
• NIS2 tarjoaa hyvän mittarin omalle kyberturvan tasolle.
• Aikaisin aloitettu valmistautuminen on halvempaa ja tuottaa parempia tuloksia, kuin kiireessä tehty.

Pidämme tämän artikkelin näkökulman käytännönläheisenä. Selitämme, mikä NIS2 on, miksi se koskettaa myös pienempiä toimijoita ja ennen kaikkea: mitä konkreettisia askeleita voitte ottaa ilman jättiprojekteja.

Mistä direktiivissä on kyse

NIS2 on EU:n kyberturvallisuusdirektiivi, jonka tavoite on nostaa koko unionin vähimmäistasoa kyberturvan suhteen, erityisesti kriittisten palveluiden osalta.

• Soveltamisalue on laajennettu aiemman NIS-direktiiviin seitsemästä toimialasta viiteentoista.
• Direktiivi jakaa toimijat kahteen ryhmään: keskeiset ja tärkeät toimijat.
• Vaatimukset koskevat riskienhallintaa, teknisiä ja hallinnollisia suojaustoimia sekä kyberturvapoikkeamien raportointia viranomaisille.
• Johtoon kohdistuu selkeä vastuu: myös henkilökohtaisia seuraamuksia voidaan määrätä, jos velvoitteita laiminlyödään.

Direktiivi ei siis ole pelkkä IT-osaston asia, vaan se kytkee kyberturvallisuuden osaksi organisaation johtamista, riskienhallintaa ja jatkuvuuden suunnittelua.

Soveltamisalue

NIS2 koskee 15 toimialaa, kuten energia, liikenne, finanssiala, terveydenhuolto, julkishallinto, digitaalinen infrastruktuuri, jätehuolto ja useat valmistavan teollisuuden sektorit.

Toimijat jaetaan kahteen kokoluokkaan:

• Keskeiset toimijat: tyypillisesti yli 250 työntekijää tai yli 50 miljoonaa euroa liikevaihtoa.
• Tärkeät toimijat: tyypillisesti yli 50 työntekijää tai yli 10 miljoonaa euroa liikevaihtoa, tietyillä toimialoilla.

Lisäksi NIS2 voidaan soveltaa kansallisesti kriittisiin toimijoihin koosta riippumatta, esimerkiksi CER-direktiivin perusteella määriteltyihin tahoihin.

Suurin osa suomalaisista pk-yrityksistä ei siis kuulu suoraan NIS2:n piiriin. Silti kannattaa huomioida kolme asiaa:

1. Toimitusketjut: Direktiivi korostaa toimitusketjujen kyberturvallisuutta. Tämä tarkoittaa, että NIS2-velvoitettu asiakas joutuu arvioimaan ja usein myös kiristämään vaatimuksiaan alihankkijoille ja palvelutoimittajille.
2. Sopimusehdot ja kilpailutus: Pk-yritykset tulevat kohtaamaan NIS2 -vaatimuksia sopimuksissa, vaikka laki ei vielä suoraan velvoita.
3. NIS2 mittatikkuna: NIS2 on hyvä mittari, jos olet NIS2-tasolla, olet todennäköisesti jo hyvässä kunnossa myös muiden vaatimusten suhteen.

Velvoite vai kilpailuetu

Kun suuret ja keskisuuret yritykset alkavat käytännössä noudattaa kyberturvallisuuslakia, niiden on osoitettava myös kumppaneidensa riittävä kyberturvan taso. Käytännössä tämä näkyy esimerkiksi:

• Tietoturvaliitteinä sopimuksissa
• Vaatimuksina tietoturvan hallintajärjestelmästä tai sertifioinneista
• Kyselyinä, joissa kartoitetaan toimittajien kyberturvakäytännöt.

Pk -yritykselle tilanne voi tuntua rasitteelta, mitä se myös osittain onkin.. Käytännössä kyse on kuitenkin myös mahdollisuudesta:

• Jos pystyt vastaamaan asiakkaiden tietoturvavaatimuksiin ennen kilpailijoitasi se tuo merkittävän kilpailuedun.
• Dokumentoitu ja johdettu kyberturva lisää luottamusta, mikä painaa yhä enemmän vaakakupissa B2B-myyntitilanteissa.

Ajattelumalliksi pk-yrityksille suosittelemme:

”Emme tee NIS2:ta vain siksi, että laki ehkä jossain vaiheessa velvoittaa, vaan siksi, että haluamme olla luotettava kumppani ja vähentää omaa liiketoimintariskiämme.”

Keskeiset vaatimukset

Direktiivi ja kyberturvallisuuslaki ovat juridista tekstiä, mutta niiden ydin voidaan tiivistää muutamaan osa-alueeseen. Traficomin ja Kyberturvallisuuskeskuksen materiaaleissa puhutaan etenkin riskienhallinnasta, teknisistä ja organisatorisista suojatoimista sekä raportointivelvoitteista.

• Riskienhallinta: Yrityksen pitää tunnistaa merkittävät kyberturvariskit, arvioida niiden vaikutukset ja päättää, miten niitä hallitaan. Tämä ei ole pelkkä kerran tehtävä excel, vaan jatkuva prosessi.
• Tekniset suojaustoimet: Direktiivi korostaa esimerkiksi:
  • Pääsynhallinnan ja vahvan tunnistautumisen merkitystä
  • Verkkojen ja järjestelmien suojaamista
  • Varmuuskopiointia ja palautumiskyvyn varmistamista
  • Lokitusta ja valvontaa.
• Hallinnolliset käytännöt ja johdon vastuu: Organisaatiolla pitää olla tietoturvapolitiikka, roolit ja vastuut määriteltynä sekä prosessit, joilla johdolle raportoidaan kyberturvan tilasta.
• Toimitusketju ja hankinnat: Yrityksen pitää huomioida myös toimittajiin ja kumppaneihin liittyvät kyberriskit. NIS2:n taulukoitu soveltamisohje korostaa toimitusketjun arviointia ja jatkuvaa seurantaa.
• Poikkeamien raportointi ja käsittely: Kyberturvapoikkeamista pitää ilmoittaa viranomaisille tiukkojen aikarajojen puitteissa, tyypillisesti ensin 24 tunnin sisällä, sitten 72 tunnissa ja lopullinen raportti kuukaudessa.

Pk-yrityksen kannalta olennaista ei ole ulkoa opetella lakipykäliä, vaan ymmärtää nämä viisi kokonaisuutta ja miettiä, miltä ne näyttävät omassa mittakaavassa.

“NIS2-tasoinen” kyberturva pk -yrityksessä

Pk-yritykselle NIS2-taso ei tarkoita SOC-keskusta kellarissa, vaan sitä, että perusasiat on tehty hyvin ja niitä johdetaan systemaattisesti. Direktiivi nostaa tietoturvan strategiselle tasolle, ei pelkäksi IT-kustannukseksi.

Karkeasti jaettuna NIS2-tasoinen ympäristö sisältää seuraavat elementit:

Tekninen perusta

• Monivaiheinen tunnistautuminen: Käytössä kaikissa kriittisissä järjestelmissä.
• Roolipohjaiset käyttöoikeudet: Kaikki eivät pääse kaikkeen ja poistuneiden henkilöiden tunnukset suljetaan hallitusti.
• Laitehallinta: Työasemilla ja kannettavilla on vähintään perusvaatimukset täyttävä suojaus, päivitykset ovat kunnossa ja kadonneen laitteen voi tyhjentää etänä.
• Varmuuskopiointi: Pilvipalveluiden, sekä omien järjestelmien data varmuuskopioidaan ja voidaan palauttaa.

Hallinnollinen puoli

• Tietoturvapolitiikka: On olemassa kirjallinen politiikka ja muutama ydinohje: salasanat, etätyö, laitteiden käyttö, poikkeamien raportointi.
• Raportointi: Johto saa säännöllisesti tiiviin raportin kyberturvan tilanteesta, esimerkiksi neljä keskeistä mittaria kvartaaleittain.
• Vastuut: Joku omistaa kyberturvan kokonaisuuden, vaikka käyttäisi ulkopuolista kumppania.

Henkilöstö

• Perehdytys: Uudet työntekijät perehdytetään tietoturvaan lyhyellä keskustelulla tai koulutuksella.
• Esimerkit: Säännöllisiä muistutuksia ja esimerkkejä jaetaan, esimerkiksi kalastelukampanjoiden tulosten purku.

Kun nämä perusasiat ovat kunnossa, ero NIS2-vaatimuksiin nähden ei ole enää mahdoton. Usein tarvitaan lisää dokumentointia, joitain lisäkontrolleja ja viranomaisraportoinnin prosessit, mutta perusrunko on sama.

Yksinkertainen itsearvio

Hyvä lähtökohta on nopea, rehellinen itsearvio. Alla on esimerkkilistaus kysymyksistä, joita useat NIS2- ja kyberturvallisuusoppaat käyttävät eri muodoissa.

Vastaa jokaiseen kyllä tai ei.

1. Onko yrityksellä nimetty kyberturvallisuudesta vastaava henkilö tai rooli?
2. Onko kyberturvallisuudesta kirjattu edes kevyt politiikka tai perusperiaatteet?
3. Tunnistatteko ja arvioitteko säännöllisesti keskeiset kyberriskit, esimerkiksi osana riskikarttaa tai johtoryhmätyötä?
4. Onko käytössä monivaiheinen tunnistautuminen kaikissa tärkeimmissä järjestelmissä?
5. Onko kriittinen data varmuuskopioitu niin, että palautus on testattu viimeisen 12 kuukauden aikana?
6. Onko henkilöstölle järjestetty tietoturvakoulutusta kahden viime vuoden aikana?
7. Onko toimittajiin liittyvät kyberriskit huomioitu sopimuksissa tai toimittajavalinnan kriteereissä?
8. Onko teillä yksinkertainen jatkuvuus- tai toipumissuunnitelma merkittäviä häiriöitä varten?

Mitä useampi “ei” löytyy, sitä suurempi on hyöty siitä, että otatte NIS2:n periaatteet käyttöön ajoissa, vaikka ette olisikaan vielä lain piirissä.

Ennakoiva valmistautuminen

Pienyrityksen ei tarvitse tehdä NIS2:ta kerralla. Järkevä eteneminen voidaan pilkkoa 6 vaiheeseen, jotka vastaavat myös Traficomin suosittelemaa jatkuvan kehittämisen mallia.

1. Johdon päätös

• Päätetään, että kyberturvaa kehitetään suunnitelmallisesti ja että NIS2 toimii mittatikkuna, vaikka laki ei vielä velvoita.
• Sovitaan tavoitetaso, esimerkiksi, että 2 vuoden päästä olemme “perustasolla” seuraavien asioiden osalta.

2. Vastuut ja organisointi

• Nimetään kyberturvasta vastaava henkilö ja varahenkilö.
• Päätetään, mitä tehdään itse ja missä käytetään kumppania.

3. Nykytilan kartoitus ja riskien tunnistaminen

• Tehdään kevyt arvio nykyisestä tasosta, tarvittaessa ulkopuolisen kumppanin avulla.
• Kootaan yhteen suurimmat riskit ja niihin liittyvät toimenpiteet.

4. Teknisten perusasioiden kuntoon laittaminen

• Vahva tunnistautuminen tärkeimpiin järjestelmiin.
• Käyttöoikeuksien läpikäynti ja siivous.
• Varmuuskopioinnin tarkistus ja palautustestit.

5. Dokumentointi ja henkilöstön koulutus

• Kirjataan lyhyet käytännön ohjeet ja tietoturvapolitiikka.
• Järjestetään vähintään yksi yhteinen tietoturvakoulutus vuodessa.

6. Jatkuva parantaminen

• Luodaan vuosikello: milloin tarkistetaan riskit, testataan palautus ja päivitetään ohjeet.
• Raportoidaan johdolle lyhyesti mutta säännöllisesti.

Tällä tavalla NIS2-valmistautuminen ei ole kertaponnistus, vaan osa normaalia johtamista.

Esimerkkitoimenpiteitä

Monissa yrityksissä arki pyörii pilvessä, tyypillisesti Google Workspacen tai Microsoft 365:n ympärillä. NIS2- ja kyberturvasuositukset eivät ota kantaa yksittäisiin tuotteisiin, mutta niiden periaatteet voi toteuttaa näissä ympäristöissä hyvin.

Esimerkkejä konkreettisista toimenpiteistä:

1. Tunnistautuminen ja pääsynhallinta

• Kytke kaksivaiheinen tunnistautuminen (MFA) päälle kaikille käyttäjille.
• Hyödynnä ryhmiä ja rooleja oikeuksien hallinnassa, älä jaa resursseja yksittäisten käyttäjien sähköpostiosoitteilla.

2. Tiedonhallinta ja jaot

• Rakenna selkeä kansiorakenne osastoittain tai tiimeittäin.
• Vältä “kaikki pääsevät kaikkeen” -oletuksia. Dokumenteille ja jaetuille levyille vain tarpeelliset oikeudet.

3. Laitteiden hallinta

• Ota käyttöön keskitetty laitehallinta siltä osin kuin lisenssit sallivat.
• Varmista, että laitteet salataan ja että niillä on ajantasaiset päivitykset.

4. Varmuuskopiointi

• Pilvipalvelu (esim. Google Drive) ei ole varsinainen varmuuskopio. Siellä tiedostot ovat edelleen alttiina sekä käyttäjävirheille, että haittaohjelmille.
• Liiketoimintakriittinen tieto on tärkeää suojata myös aktiivisessa käytössä olevan järjestelmän ulkopuolelle.

5. Lokitus ja valvonta

• Käytä pilvialustan tarjoamia perusraportteja kirjautumisista, epäonnistuneista yrityksistä ja epäilyttävistä tapahtumista.
• Sovi prosessi sille, kuka seuraa ilmoituksia ja miten epäilyttävät tapahtumat tutkitaan.

Nämä toimenpiteet eivät ole vain NIS2:n vuoksi. Ne vähentävät suoraan riskiä joutua kiristyshaittaohjelman, tilikaappauksen tai käyttäjävirheen uhriksi.

Tuki ja rahoitusmahdollisuudet

Pk-yrityksen ei tarvitse selvitä NIS2-valmistautumisesta yksin. Suomessa on kohtuullisen hyvä tarjonta sekä neuvonnasta että rahoituksesta, jota voi hyödyntää kyberturvallisuuden kehittämisessä.

Viranomaisohjeet ja neuvonta

• Traficomin Kyberturvallisuuskeskus julkaisee NIS2:een ja kyberturvallisuuslakiin liittyviä ohjeita, usein kysyttyjä kysymyksiä ja webinaareja.
• Eri toimialajärjestöt ja kyberalan yhteistyöhankkeet kokoavat yhteen oppaita ja vinkkejä, erityisesti pk-yrityksille.

Rahoitusmahdollisuuksia

• ELY-keskusten yrityksen kehittämisavustus voi tietyissä tapauksissa kattaa esimerkiksi kehittämishankkeita, joissa parannetaan yrityksen prosesseja ja järjestelmiä, myös tietoturvan osalta.
• Business Finlandin TKI-rahoitus voi tukea hankkeita, joissa kyberturvallisuus liittyy uusiin palveluihin tai kansainvälistymistä tukeviin ratkaisuihin.

Käytännössä monetyritykset aloittavat pienestä. Esimerkiksi tilaavat kevyen kyberturvakartoituksen, jonka kustannuksia voidaan osittain kattaa kehittämisavustuksella ja jatkavat siitä oman vuosikellon ja toimenpiteiden rakentamiseen.

Yhteenveto

NIS2 ja sitä toteuttava kyberturvallisuuslaki kiristävät rimaa Suomessa erityisesti kriittisillä toimialoilla. Vaikka suurin osa pk-yrityksistä ei ole vielä suoraan lain piirissä, tilanne ei pysy paikallaan. Vaatimukset valuvat toimitusketjuihin, sopimuksiin ja asiakkaiden odotuksiin.

Ajoissa aloitettu valmistautuminen tarjoaa kolme selkeää hyötyä:

1. Mielenrauha: Tiedätte, missä kunnossa olette ja mihin asioihin on jo puututtu.
2. Vähemmän kiirettä myöhemmin: Kun perusta on kunnossa, mahdollinen tuleva lakivelvoite on enemmän hienosäätöä kuin kriisiprojekti.
3. Kilpailuetu: Pystytte osoittamaan uskottavasti asiakkaillenne, että hoidatte kyberturvan paremmin kuin minimitasolla.

Tärkeintä on aloittaa ajoissa. Jos et ole varma, mistä lähteä liikkeelle tai miten NIS2:n periaatteet toteutetaan teidän ympäristössänne, niin pyydä meiltä kevyt NIS2-valmiuskartoitus. Saat konkreettiset toimenpide-ehdotukset seuraavalle 12 kuukaudelle, jotta vältät myöhemmän kiireen ja suuret kertakustannukset.

Ota yhteyttä!

Usein kysytyt kysymykset

Koskeeko NIS2-direktiivi suoraan meidän alle 50 hengen yritystämme?

Vastaus: Todennäköisesti ei. NIS2-lain (Kyberturvallisuuslaki) suorat velvoitteet koskevat pääasiassa yli 50 työntekijän tai yli 10 miljoonan euron liikevaihdon omaavia toimijoita tietyillä kriittisillä aloilla. Suurin osa pienistä pk-yrityksistä (alle 50 henkeä) jää suoran soveltamisalan ulkopuolelle.

Miksi meidän pitäisi silti välittää NIS2:sta, jos laki ei suoraan velvoita?

Vastaus: Kolmesta syystä:

1. Toimitusketju: Isommat asiakkaanne joutuvat lain myötä kiristämään vaatimuksiaan myös alihankkijoilleen ja kumppaneilleen. Vaatimukset valuvat teille sopimusehdoissa.
2. Kilpailuetu: Dokumentoitu kyberturva on yhä suurempi luottamustekijä B2B-myynnissä ja tuo merkittävän kilpailuedun.
3. Mittatikku: NIS2 tarjoaa erinomaisen, viranomaisten hyväksymän mittatikun sille, että yrityksenne kyberturvan perusasiat ovat kunnossa.

Mikä on lain voimaantulon aikataulu Suomessa?

Vastaus: NIS2-direktiiviin perustuvat kansalliset velvoitteet (Kyberturvallisuuslaki) tulivat voimaan vuoden .2025 alussa. Vaikka teitä ei koskisi suoraan, vaatimukset ovat jo nyt ajankohtaisia toimitusketjujen kautta.

Mitkä ovat NIS2:n tärkeimmät vaatimukset pk-yrityksen näkökulmasta?

Vastaus: Ydin on viidessä kohdassa:

1. Riskienhallinta: Merkittävimpien kyberriskien tunnistaminen ja hallinta.
2. Tekniset suojatoimet: Monivaiheinen tunnistautuminen, järjestelmien suojaus ja varmuuskopiointi.
3. Hallinnolliset käytännöt: Tietoturvapolitiikka ja johdon raportointiprosessit.
4. Toimitusketjun riskit: Kumppaneihin ja toimittajiin liittyvien riskien huomiointi.
5. Poikkeamien raportointi: Prosessi kyberturvapoikkeamien ilmoittamiseen viranomaisille.

Riittääkö, että meillä on Google Drive tai Microsoft 365 käytössä, jotta varmuuskopiointi on kunnossa?

Vastaus: Ei riitä. Pilvipalvelut eivät ole varsinainen varmuuskopio. Tiedostot ovat niissä edelleen alttiina käyttäjävirheille ja haittaohjelmille. Liiketoimintakriittinen tieto on tärkeää suojata erillisellä, ulkopuolisella varmistusratkaisulla aktiivisen järjestelmän ulkopuolelle.

Mitä on "NIS2-tasoinen" kyberturva 10 hengen yrityksessä?

Vastaus: Sitä, että perusasiat on tehty hyvin ja niitä johdetaan systemaattisesti. Tähän kuuluvat: monivaiheinen tunnistautuminen kaikissa kriittisissä järjestelmissä, roolipohjaiset käyttöoikeudet, laitteiden hallinta ja salaus sekä testattu varmuuskopiointi.

Mikä on johdon rooli NIS2-valmistautumisessa?

Vastaus: Johto kantaa selkeän vastuun kyberturvasta. Johtoryhmän tulee tehdä päätös kyberturvan kehittämisestä ja nimittää sille vastuuhenkilö. Lisäksi johdolle tulee raportoida säännöllisesti kyberturvan tilasta. Kyse on riskienhallinnasta ja jatkuvuudesta, ei vain IT-osaston asiasta.

Jos meillä on jo ISO 27001 -sertifikaatti, riittääkö se?

Vastaus: ISO 27001 on erinomainen pohja, sillä se kattaa monia NIS2:n vaatimia hallinnollisia ja teknisiä suojatoimia. NIS2 tuo kuitenkin mukanaan uusia vaatimuksia, erityisesti johdon vastuuseen, toimitusketjun arviointiin ja poikkeamien tiukkaan raportointiin liittyen. Sertifikaatti auttaa paljon, mutta ei korvaa kokonaan valmistautumista.

Mistä meidän kannattaisi aloittaa valmistautuminen?

Vastaus: Aloita johdon päätöksellä ja nykytilan arvioinnilla.

1. Päätös: Sitoudu kehittämään kyberturvaa suunnitelmallisesti (käytä NIS2:ta mittatikkuna).
2. Kartoitus: Tee rehellinen itsearvio (esim. artikkelin kysymyksillä) tai tilaa kevyt valmiuskartoitus.
3. Tekniikka: Laita ensin kuntoon tekniset perusasiat, kuten monivaiheinen tunnistautuminen.

Onko saatavilla tukea tai rahoitusta NIS2-valmistautumiseen?

Vastaus: Kyllä. Suomessa on tarjolla tukea kyberturvallisuuden kehittämiseen. ELY-keskusten kehittämisavustus voi kattaa konsultoinnin ja kehittämishankkeiden kustannuksia, joilla parannetaan yrityksen prosesseja ja tietoturvaa. Myös Business Finlandin TKI-rahoitus voi soveltua tiettyihin hankkeisiin.

Artikkelin sisällön tuottamisessa on hyödynnetty tekoälyä kirjoittamisen tukena.