Kyberturvallisuuslaki astui voimaan 8.4.2025 ja sillä toimeenpannaan EU:n kyberturvallisuusdirektiivi NIS2, joka tuli voimaan 17.10.2024. Suomen kansallinen lainsäädäntö myöhästyi EU:n vaatimuksesta, mutta ilman kansallista lakiakin, NIS2 kyberturvallisuusdirektiivi on ollut jo sovellettavissa.
NIS2 direktiivin ja kansallisen kyberturvallisuuslainsäädännön tavoitteena on parantaa EU:n ja jäsenvaltioiden kriittisten toimialojen kyberturvallisuutta. NIS2-direktiivi laajentaa soveltamisalaan kuuluvia toimialoja ja asettaa tiukemmat vaatimukset mm. riskienhallinnalle ja tietoturvahäiriöiden raportoinnille.
Tähän artikkeliin on koostettu linkkejä valvovista viranomaisista, rekisteröitymisestä ja tietoturvapoikkeamien ilmoittautmisesta.
Raportointi ja valvovat viranomaiset
Suomessa kyberturvallisuuslain raportointia koordinoi Traficomin Kyberturvallisuuskeskus. Kyberturvallisuuskeskuksessa toimii myös tietoturvaloukkauksia tutkiva ja niihin reagoiva CSIRT-yksikkö, joka vastaa kyberuhkien analysoinnista ja haavoittuvuuksien ilmoittamisesta EU:lle. Valvonta on pääosin Kyberturvallisuuskeskuksen vastuulla, toimialakohtaisia valvovia viranomaisia ovat muun muassa Energiavirasto, Tukes, Valvira, Ruokavirasto ja Fimea.
Sektorikohtaiset valvovat viranomaiset löytyvät tästä linkistä:
Valvovat viranomaiset (linkki kyberturvallisuuskeskuksen sivuille)
NIS2 toimijoiden on rekisteröidyttävä valvovalle viranomaiselle kuukauden kuluessa lain voimaan astumisesta eli 8.5.2025 mennessä. Viranomaisten linkkejä rekisteröitymisohjeisiin eri toimialoilla:
- Ilmoittautuminen traficomin toimijaluetteloon (vain traficomin valvomat toimialat)
- Energiavirasto: Rekisteröityminen toimijaluetteloon
- Elintarvikeala: Ohjeet ja linkki sähköiseen ilmoittautumispalvelu ilppaan löytyvät Ruokaviraston nettisivuilta.
Vakavista kyberturvallisuuspoikkeamista on raportoitava 24 tunnin kuluessa (ensi-ilmoitus) ja jatkoilmoitus on tehtävä 72 tunnin kuluessa. Poikkeamailmoitukseen liittyviä linkkejä:
- NIS2-direktiivin mukainen poikkeamailmoitus
- NIS2-lomake, poikkeamailmoitus Traficomin kyberturvallisuuskeskukselle
Poikkeaman loppuraportti on toimitettava kuukauden sisällä jatkoilmoituksen toimittamisesta.
NIS2 ilmoittamisvelvollisuus (lähde: Traficom)