Kyberturvallisuuslaki oli tarkoitus hyväksyä tänään 4.4.2025 presidentti Alexander Stubbin toimesta ja hyväksymisen mukaisesti, sen on tarkoitus tulla voimaan tiistaina 8.4.2025. Presidentti on hyväksynyt esityksen, ja täytäntöönpano toteutuu odotetusti. Lailla pannaan toimeen EU:n kyberturvallisuusdirektiivi, jonka tavoitteena on parantaa EU:n ja jäsenvaltioiden kriittisten toimialojen kyberturvallisuutta. Alun perin kansallisten lainsäädäntöjen odotettiin tulevan toimeen yhdessä NIS2-direktiivin kanssa lokakuussa 2024, mutta huhtikuuhun 2025 mennessä ei kaikkia kansallisia lakeja ole saatu vieläkään valmiiksi. 2024 marraskuussa 23 maata, Suomi mukaan lukien sai huomautuksen täytäntöönpanon uupumisesta. Suomen kansallinen laki on odottanut hyväksymistä jo pidemmän aikaa, mutta lakia on pystytty jo hyödyntämään ehdotuksen pohjalta ennen virallista täytäntöönpanoa.
NIS2-direktiivi laajentaa alkuperäisen NIS-direktiivin soveltamisalaan kuuluvia aloja ja asettaa tiukemmat vaatimukset riskienhallinnalle, häiriöiden raportoinnille ja toimitusketjun turvallisuudelle. Direktiivi edellyttää kansallisia päätöksiä, kuten valvovien viranomaisten määrittelyä ja seurannan tarkennuksia. Direktiivi sisältää vähimmäismenetelmät valvonnalle, joita voidaan täydentää kansallisilla lisäyksillä.
Kansallisella tasolla huomioitavia kohtia ovat mm.
Suomen kyberturvallisuuslailla luodaan selkeä lainsäädäntökehys NIS2-direktiivin mukaiselle tietoturvariskien hallinnalle ja häiriöiden raportoinnille. Uudella lailla pyritään yhtenäistämään Suomen nykyiset hajanaiset kyberturvallisuussäädökset ja yhdenmukaistamaan ne NIS2:ssa käyttöön otettujen EU:n laajuisten standardien kanssa. Se laajentaa riskinhallinta- ja raportointivaatimusten soveltamisalaa ja selkeyttää niiden yritysten ja julkisten laitosten määrää, joiden on noudatettava niitä. Kyberturvallisuuslain lähtökohtana on direktiivin vähimmäistaso, ja se määrittelee lähinnä direktiivin sisältöjä vastaavat kohdat.
Riskienhallinta ja tietoturvan toimenpiteet: Kyberturvallisuuslaki edellyttää, että Suomessa toimijoilla on käytössä ajantasainen riskienhallinnan toimintamalli, joka kattaa viestintäverkkojen, tietojärjestelmien ja niiden fyysisen ympäristön suojauksen sekä heidän on ilmoitettava merkittävistä poikkeamista.
Kyberturvallisuuslaki vaatii NIS2-standardien mukaisia raportointiprotokollia, mutta raportoinnin yksityiskohdista, kuten häiriöiden kynnysarvoista ja määräajoista, vastaavat kansalliset viranomaiset, erityisesti Traficomin Kyberturvallisuuskeskus.
Valvontaviranomaiset: Valvontaa koordinoi Traficom, ja hallinnollisia seuraamusmaksuja määrää erityinen seuraamuslautakunta. Suomen Kyberturvallisuuslaissa on määritelty myös alakohtaisia valvovia viranomaisia, muun muassa Energiavirasto, Tukes, Valvira, Ruokavirasto ja Fimea.
CSIRT-yksikkö: Traficomin Kyberturvallisuuskeskukseen sijoitetaan tietoturvaloukkauksia tutkiva ja niihin reagoiva yksikkö, joka vastaa myös kyberuhkien analysoinnista ja haavoittuvuuksien ilmoittamisesta EU:lle.
Suomen kyberturvallisuuslaki ei aseta lisäyksiä NIS2-direktiivin antamiin soveltamisalaan, eikä valvontakeinoihin. Kyberturvallisuuslaki koskee erityisesti keskisuuria ja suurempia toimijoita liikenne-, energia-, terveydenhuolto- ja digitaalisen infrastruktuurin aloilla. Lisäksi se kattaa elintarvikealan, kemianteollisuuden, jätehuollon ja postipalvelut.
Kyberturvallisuuskeskus ja valvovat viranomaiset tulevat tiedottamaan erikseen vielä lain toimeenpanosta ennen sen virallista voimaantuloa, mutta Kyberturvallisuuslain on tarkoitus tulla voimaan virallisesti 8.4.2025, pian presidentin hyväksynnän jälkeen.
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.png)
.svg)
.png)
.svg)
