Mitä yritysten tulee tietää NIS 2 -direktiivistä?

16.12.2025

NIS 2 -direktiivi laajentaa kyberturvallisuusvaatimukset koskemaan aiempaa useampia yrityksiä ja toimialoja. Direktiivi velvoittaa konkreettisiin toimenpiteisiin, jotka keskeisten ja tärkeiden toimijoiden on toteutettava määräajassa. Kyse ei ole pelkästä lainsäädännön päivityksestä, vaan kyberturvallisuus on johdon vastuulla osana organisaation riskienhallintaa. 

Direktiivi on Euroopan unionin vastaus kasvaviin kyberuhkiin ja tarpeeseen suojata kriittistä infrastruktuuria yhtenäisesti koko EU:n alueella. Direktiivi lisää valvontaa ja selkeyttää velvoitteita. 

Keitä NIS 2 -direktiivi koskee?

NIS 2 -direktiivi koskee kriittisiä ja erittäin kriittisiä toimialoja, jotka luokitellaan toimijan koon perusteella joko keskeisiksi tai tärkeiksi toimijoiksi. NIS 2 -direktiivi koskee joissain tapauksissa myös pienempiä toimijoita riskiperusteisesti. 

Kyberturvallisuuskeskus on julkaissut selkeän taulukon, josta organisaatiot voivat tarkistaa sääntelyn kohdentumisen. Lisäksi toimialakohtaiset valvovat viranomaiset tarjoavat ohjeistusta ja neuvontaa.  

Mitä vaatimuksia NIS 2 asettaa?

Direktiivi määrittelee useita velvoitteita, jotka liittyvät riskienhallintaan, teknisiin kontrolleihin ja organisaation hallintamalleihin.

Keskeisiä vaatimuksia ovat:  

  • riskien arviointi ja hallintakeinot  
  • tietoturvapolitiikat ja tekniset suojaukset  
  • lokienhallinta ja järjestelmien valvonta  
  • häiriönsieto- ja palautumiskyky  
  • poikkeamien raportointi  
  • toimitusketjujen ja palvelujentarjoajien tietoturvariskien hallinta 

Näiden vaatimusten taustalla on ajatus siitä, että organisaatioiden tulee pystyä tunnistamaan ja hallitsemaan keskeisiä kyberriskejä ennen kuin ne tapahtuvat. Tavoitteena on pienentää häiriöiden vaikutuksia ja parantaa kykyä palautua normaaliin toimintaan. 

Johtoryhmän vastuut

Direktiivi korostaa johdon vastuuta kyberturvallisuudesta. Organisaation johto on vastuussa siitä, että riittävät resurssit, osaaminen ja prosessit ovat käytössä, jotta direktiivin vaatimukset voidaan täyttää. Tämä sisältää riskien tunnistamisen, arvioinnin ja hallinnan osana organisaation strategista johtamista.

Lisäksi organisaation on varmistettava, että työntekijät ymmärtävät roolinsa kyberturvallisuuden ylläpitämisessä. Säännöllinen koulutus, harjoitukset ja tietoisuuden lisääminen ovat keskeisiä keinoja kyberriskien hallinnassa. 

Raportointivelvoitteet ja seuraamusmaksut

Merkittävistä poikkeamista raportointi on pakollista kaikille NIS 2 -toimijoille. Raportointivelvollisuus on kolmivaiheinen: 

  • ensi-ilmoitus 24 tunnin kuluessa poikkeaman havaitsemisesta  
  • jatkoilmoitus 72 tunnin kuluessa (ja mahdollinen väliraportti) 
  • loppuraportti yhden kuukauden kuluessa 

Jos organisaatio tarvitsee apua poikkeaman selvittämiseen, se voi pyytää tukea tietoturvaloukkausten tutkimiseen ja koordinointiin erikoistuneelta CSIRT-yksiköltä. 

Direktiivi sisältää myös seuraamusmaksut laiminlyönneistä. Suurin mahdollinen seuraamus on 10 miljoonaa euroa tai 2 % yrityksen vuotuisesta liikevaihdosta, riippuen kumpi on suurempi. 

NIS 2 ja toimitusketju

Direktiivi korostaa toimitusketjujen merkitystä. Organisaation on tunnistettava, arvioitava ja hallittava toimitusketjujen ja palveluntarjoajien riskejä. Tämä tarkoittaa, että yritysten tulee kartoittaa kriittiset palveluntuottajat ja alihankkijat sekä dokumentoida mahdolliset riskit. Tämä on tärkeää erityisesti aloilla, joilla palveluita ulkoistetaan laajasti. 

Kuinka yritykset voivat valmistautua käytännössä?

Yritykset voivat valmistautua direktiivin velvoitteisiin seuraavasti: 

  • perehtymällä Kyberturvallisuuslakiin ja NIS 2 -direktiiviin  
  • ilmoittautumalla toimijaluetteloon  
  • laatimalla ja toteuttamalla riskienhallintamallin 
  • raportoimalla merkittävät poikkeamat määräajassa  
  • seuraamalla alan hyviä kyberturvallisuuskäytäntöjä 

Valmistautuminen edellyttää systemaattista lähestymistapaa, jossa nykyiset käytännöt arvioidaan ja tunnistetaan mahdolliset puutteet.

Yhteenveto

NIS 2 ei ole pelkästään uusi sääntely, vaan mahdollisuus vahvistaa organisaatioiden kykyä toimia digitaalisessa ympäristössä. Direktiivin noudattaminen lisää organisaation häiriönsietokykyä, parantaa toimintavarmuutta ja vahvistaa luottamusta niin asiakkaiden kuin yhteistyökumppanienkin suuntaan. Monet direktiivin vaatimuksista ovat sellaisia, joita organisaatioiden olisi hyvä toteuttaa joka tapauksessa osana normaalia riskienhallintaa.

Lähteet :

Kuva: vectorjuice (Freepik)

Kyberturvallisuuslaki 4.4.2025/124. Viitattu 10.12.2025. https://www.finlex.fi/fi/lainsaadanto/2025/124

Kyberturvallisuuskeskus 2025. Viitattu 10.12.2025.

Lehtinen, M. 2025. Tietoturvan ja tietosuojan kehittäminen : tietoturvaharjoittelijan oppimispäiväkirja. Viitattu 12.12.2025. URN:NBN:fi:amk-2025121135187

Traficom 2025. Kyberturvallisuuslaki on hyväksytty eduskunnassa – NIS2-direktiivin mukaiset velvoitteet astuvat voimaan 8.4.2025. Viitattu 11.12.2025. https://www.traficom.fi/fi/ajankohtaista/kyberturvallisuuslaki-hyvaksytty-eduskunnassa-nis2-direktiivin-mukaiset-velvoitteet

Tekijät

  • Maria Lehtinen, Turun ammattikorkeakoulu

Opettaja

Marika Säisä
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe20251212118618

Viittausohje

Lehtinen, M. 2025. Mitä yritysten tulee tietää NIS 2 -direktiivistä?. Talk by Students. Turku: Turun ammattikorkeakoulu. Viitattu 16.12.2025. https://urn.fi/URN:NBN:fi-fe20251212118618

Teemat | Themes

ICT ja tuotantotalous

Data Engineering ja AI-teknologiat (4) ICT (116) Johtaminen (8) Master School ICT and Industrial Engineering (11) Ohjelmistotuotanto ja interaktiiviset teknologiat (5) Tuotantotalous (111) Verkotetut järjestelmät ja turvallisuus (4)

Liiketoiminta

Johtaminen (8) Kestävä ympäristö (13) Liiketalous (86) Logistiikka (45) Master School Business (50) Master School Engineering and Business (269) Myynti (25) Palvelut ja talous (32) Yrittäjyys (14) Yrittäjyys ja markkinointi (5)

Taideakatemia

Elokuva ja media (16) Master School Arts Academy (25) Nykytaide (11) Taidepedagogiikka ja taidekasvatus (8)

Tekniikka

Ajoneuvo- ja kuljetustekniikka (23) Energia- ja ympäristötekniikka (92) Energiajärjestelmät ja ajoneuvot (11) Kemiantekniikka (106) Kestävä ympäristö (13) Konetekniikka (126) Master School Engineering (7) Master School Engineering and Business (269) Master School ICT and Industrial Engineering (11) Rakentaminen (24) Teknologiateollisuus (27) Tuotantotalous (111)

Terveys ja hyvinvointi

Bioanalytiikka (3) Ensihoito (49) Fysioterapia (23) Hammastekniikka (14) Kätilötyö (14) Master School Engineering and Business (269) Master School Health and Well-being (228) Radiografia (8) Sairaanhoito (86) Sosiaali- ja kasvatusala (76) Terveydenhoito (34) Toimintaterapia (32)

Tekniikka ja liiketoiminta

Ajoneuvo- ja kuljetustekniikka (23) Energia- ja ympäristötekniikka (92) ICT (116) Kemiantekniikka (106) Konetekniikka (126) Liiketalous (86) Logistiikka (45) Master School Engineering and Business (269) Master School Health and Well-being (228) Myynti (25) Rakennustekniikka (67) Teknologiateollisuus (27) Tuotantotalous (111) Yrittäjyys (14)