Suomessa astui 8.4.2025. voimaan Kyberturvallisuuslaki. Laki määrittää lukuisten etenkin yhteiskunnan toiminnan kannalta kriittisten alojen yritysten ja organisaatioiden kyberturvallisuuden tasoa ja asettaa sille vaatimuksia. Kyberturvallisuuslaki on Euroopan Unionin NIS2-tietoturvadirektiivin kansallinen sovellus.
Kyberturvallisuuslaki on laaja-alainen ja kattava laki, joka asettaa useiden alojen yrityksille vaatimuksia kyberturvallisuuden ja siihen liittyvän riskienhallinnan minimitasoa. Lisäksi soveltamisalan alla olevien yritysten täytyy raportoida Kyberturvallisuuskeskukselle, mikäli niille tapahtuu tietoturvaloukkaus.
Soveltamisaloihin kuuluvilla yrityksillä on kuukausi aikaa ilmoittautua Kyberturvallisuuskeskuksen valvottavien luetteloon. Riskienhallintamallin kehityksen takarajaksi on asetettu heinäkuun alku, joten aikaa on lain voimaanastumisesta kolme kuukautta. Kyberturvallisuuskeskus on julkaissut sääntelyn piiriin kuuluville yrityksille omat ohjeet.
Kyberturvallisuuslaki koskettaa suoraan seuraavien alojen keskisuuria ja sitä suurempia toimijoita:
- Energia-ala
- Liikenne
- Vesihuolto
- Terveydenhuolto
- Digitaalinen infrastuktuuri
- Tietoverkkopalvelut
- Julkishallinto
- Avaruusalan toimijat
- Posti- ja kuriiripalvelut
- Elintarvikkeiden valmistus, tuotanto ja jakelu
- Valmistava teollisuus
- Kemianteollisuus
- Jätehuolto
- Digitaalisten palveluiden tarjoajat
- Tutkimustoiminta
- Alkuperäinen NIS2-direktiivi ulottuu myös finanssialaan mutta finanssialan toimijoille asettaa tiukempia vaatimuksia DORA-asetus, joten Kyberturvallisuuslakia ei sovelleta finanssialan toimijoihin
Toimijoiden koon rajana on 50 työntekijää tai yli 10 miljoonan euron vuosiliikevaihto tai taseen loppusumma. Lisäksi joitakin erityisen kriittisiä toimijoita laki koskee yritysten koosta riippumatta.
Kyberturvallisuuslaki ja riskienhallinta
Kyberturvallisuuslakiin liittyvässä vaatimustenmukaisuustyössä on tärkeässä osassa dokumentoitu tietoturvan hallintajärjestelmä, jolla yritys voi dokumentoidusti todeta ottaneensa lain vaatimukset huomioon.
Vaatimukset täyttävässä hallintajärjestelmässä on dokumentoitu yritykseen liittyvät kyberriskit ja niiden analyysi. Tietoturvapoikkeuksiin täytyy olla valmistauduttu häiriönhallintasuunnitelmalla, joka kertoo kuinka yritys reagoi tietoturvaloukkauksen tapahtuessa. Tällaisia tilanteita voivat olla esimerkiksi organisaation kadonneet laitteet, tietojenkalastelun kohteeksi joutuminen tai asiattomien henkilöiden kulku organisaation tiloissa.
- Liiketoiminnan jatkuvuuden varmistaminen. Tähän kuuluvat esimerkiksi tietojen varmuuskopiointi, palautumissuunnitelmat ja poikkeustilanteiden hallinta.
- Toimitusketjun turvallisuuden kokonaisvaltainen hallinta ja arviointi. Tämä kattaa alihankkijoiden ja näiden kumppanien sekä palvelutoimittajien turvallisuuskäytäntöjen tarkastelun.
- IT-järjestelmien ja verkkoinfrastruktuurin hankinnan, kehityksen ja ylläpidon turvallisuuden varmistaminen. Vaatimus sisältää myös haavoittuvuuksien käsittely- ja tiedotuskäytännöt.
- Menetelmät ja periaatteet kyberturvallisuustoimenpiteiden toimivuuden ja tehokkuuden arviointiin.
- Kirjallisesti määritellyt tietoturvahygienian periaatteet ja kyberturvallisuuden koulutusjärjestelmä.
- Salausmenetelmien ja kryptografian käyttöä koskevat ohjeet ja menettelytavat.
- Henkilöstön turvallisuuteen liittyvät käytännöt, käyttöoikeuksien hallintaperiaatteet ja omaisuuden hallinta.
- Tarpeen mukaan monivaiheisen tai jatkuvan tunnistautumisen käyttö, suojatut viestintäkanavat puheelle, videolle ja tekstiviesteille sekä turvatut hälytysjärjestelmät organisaation toiminnassa
Kyberturvallisuuslaki ja ISO 27001 -standardi
Markkinoilla on jo nyt nähtävissä, että Kyberturvallisuuslaki ja NIS2-direktiivi lisäävät ISO 27001 -sertifikaattien vaatimuksia kaupankäynnin osana etenkin Euroopan alueella.
ISO 27001 ja NIS2 on monissa Euroopan maissa kytketty toisiinsa vieläkin vahvemmin kuin Suomessa. Mutta myös Suomessa on havaittu, että Kyberturvallisuuslain soveltamisalaan kuuluvat yritykset ovat useammat hankkineet ISO 27001 -sertifikaatin ja vaativat sitä myös toimitusketjujensa yrityksiltä kaupan ehtona.
ISO 27001 -standardi on tullut suosituksi tavaksi hoitaa lakiin liittyvä vaatimustenmukaisuus, sillä sen sisällöstä on vedettävissä yhtäläisyysmerkit lain vaatimuksiin. Lisäksi kolmannen osapuolen auditoima sertifikaatti on erillistä omatekoista riskienhallintajärjestelmää helpompi tapa esimerkiksi kaupantekotilanteessa osoittaa vaatimustenmukaisuus ja siihen sitoutuminen.