Kyberturvallisuus

NIS2 pk-yritykselle 2026 — kuuluuko yritykseni soveltamisalaan?

NIS2-direktiivi ja Suomen kyberturvallisuuslaki 124/2025: kuuluuko pk-yrityksesi suoraan tai alihankkijana soveltamisalaan, mitä laki vaatii ja mitä CEO:n on tehtävä.

Olli Junes · · 10 min

Kysymys, jonka kuulen viikoittain pk-yrittäjiltä, kuuluu yksinkertaisesti: "Koskeeko NIS2 minua?" Useimmat olettavat, ettei kosketa, koska he eivät ole sähköyhtiö, sairaala tai televiestintäoperaattori. Tämä oletus on osittain oikea ja merkittävällä tavalla väärä.

Käyn alla läpi mitä Suomen kyberturvallisuuslaki 124/2025 tarkoittaa pk-yrittäjälle 2026: ketkä kuuluvat suoraan, ketkä kuuluvat välillisesti alihankintaketjun kautta (siis useimmat) ja mitä laki vaatii toimitusjohtajalta henkilökohtaisesti. Lopussa konkreettinen toimintalista, jonka voit aloittaa heti.

Lakitausta lyhyesti — direktiivistä Suomen lakiin

EU:n NIS2-direktiivi (2022/2555) hyväksyttiin joulukuussa 2022 ja se piti panna kansallisesti täytäntöön 17.10.2024 mennessä. Suomi viimeisteli toimeenpanon kyberturvallisuuslailla 124/2025, joka tuli voimaan 8.4.2025. Laki korvaa vanhan kyberturvallisuusdirektiivin (NIS1) toimeenpanon ja laajentaa sekä soveltamisalaa että velvoitteita olennaisesti.

Valvova viranomainen Suomessa on Traficom (Liikenne- ja viestintävirasto), ja sen alainen Kyberturvallisuuskeskus toimii operatiivisena tukena. Eri toimialoilla on lisäksi omat valvojansa: esimerkiksi finanssisektorilla Finanssivalvonta ja terveydenhuollossa Valvira.

Suora soveltamisala — ketkä kuuluvat lain piiriin koon ja toimialan perusteella

Laki jakaa toimijat kahteen luokkaan: olennaiset (keskeiset) ja tärkeät. Erot näkyvät sekä velvoitteissa että sanktioissa.

Olennaiset toimijat ovat suuria yrityksiä (vähintään 250 henkilöä tai liikevaihto yli 50 miljoonaa euroa) tietyillä erittäin kriittisillä toimialoilla.

Tärkeät toimijat ovat keskisuuria yrityksiä (vähintään 50 henkilöä tai liikevaihto yli 10 miljoonaa euroa) joko kriittisillä tai muilla soveltamisalaan kuuluvilla toimialoilla.

Soveltamisalaan kuuluvia toimialoja on yhteensä 18. Ne jakautuvat erittäin kriittisiin (energia, liikenne, pankki, finanssimarkkinoiden infrastruktuuri, terveydenhuolto, juomavesi, jätevesi, digitaalinen infrastruktuuri, ICT-palvelujen hallinta, julkishallinto, avaruus) ja muihin kriittisiin (posti- ja kuriiripalvelut, jätehuolto, kemikaalien valmistus, elintarviketuotanto ja -jakelu, valmistus tietyillä aloilla, digitaaliset palvelut kuten hakukoneet ja verkkokauppa-alustat, tutkimusorganisaatiot).

Kokorajoista on tärkeitä poikkeuksia. Eräät pk-yritykset kuuluvat lain piiriin koostaan riippumatta. Tällaisia ovat muun muassa DNS-palveluntarjoajat, verkkotunnusrekisterit, luottamuspalveluiden tarjoajat (esim. sähköinen allekirjoitus), julkisen sähköisen viestinnän tarjoajat ja tietyt kriittiset yksittäiset toimijat, joiden palvelujen menetys aiheuttaisi merkittäviä yhteiskunnallisia vaikutuksia.

Epäsuora soveltamisala — tämä koskee suurinta osaa pk-yrityksistä

Tämä on osio, joka jää useimmilta huomaamatta. Vaikka oma yrityksesi ei kuulu lain piiriin koon tai toimialan perusteella, vaatimukset valuvat sinulle alihankintaketjun kautta.

Kyberturvallisuuslaki velvoittaa säännellyt kriittiset toimijat arvioimaan toimitusketjunsa kyberturvallisuutta. Käytännössä laki vaatii, että lain piiriin kuuluva organisaatio huomioi riskienhallinnassaan "välittömien toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt" sekä näiden tuotteiden ja palveluiden yleisen laadun ja häiriönsietokyvyn.

Tämä tarkoittaa konkreettisesti seuraavaa. Jos olet kunnan WordPress-sivuston ylläpitäjä, sairaalan IT-toimittaja, suuren teollisuusyrityksen tilitoimisto tai energiayhtiön asiakaspalveluohjelmiston kehittäjä, päämieheltäsi tulee sopimusvaatimuksia, joiden pohja on NIS2-velvoitteissa. Vaatimukset kattavat muun muassa pääsynhallinnan ja todentamisen menettelyt, salausmenetelmien käytön, perustason tietoturvakäytännöt, varmuuskopioinnin ja jatkuvuussuunnitelmat.

Konservatiivinenkin arvio on, että 80 prosenttia suomalaisista pk-yrityksistä on tällä epäsuoralla tavalla NIS2:n piirissä — ne vain eivät vielä tiedä sitä, koska iso asiakas ei ole vielä päivittänyt sopimuspohjiaan.

Mitä laki vaatii — pääkohtina toimijoille

Lain piiriin kuuluvilla toimijoilla on viisi pääryhmää velvoitteita. Vaikka olisit alihankintaketjun kautta vain välillisesti piirissä, päämiehen sopimusvaatimukset kopioivat näitä lähes sellaisinaan.

1. Rekisteröityminen valvojalle. Lain piiriin kuuluvan toimijan on ilmoitettava yhteystietonsa, IP-osoitealueensa, toimialatietonsa ja jäsenvaltiot, joissa palvelua tarjotaan. Aikaraja: yksi kuukausi lain voimaantulosta tai kriteerien täyttymisestä.

2. Kirjallinen riskienhallinnan toimintamalli. Yrityksen on laadittava ja dokumentoitava kaikki vaaratekijät huomioiva toimintamalli, jossa tunnistetaan viestintäverkkoihin ja tietojärjestelmiin kohdistuvat riskit ja määritellään vastuut sekä hallintatoimenpiteet. Tämä on laadittava kolmen kuukauden kuluessa lain voimaantulosta.

3. Tekniset suojatoimet käyttöön. Pääsynhallinta ja todentaminen (käytännössä MFA), salausmenetelmät, suojattu sähköinen viestintä (SPF, DKIM, DMARC), perustason tietoturvakäytännöt sekä omaisuuden ja haavoittuvuuksien hallinta.

4. Poikkeamaraportointi. Merkittävästä poikkeamasta on tehtävä ensi-ilmoitus valvovalle viranomaiselle 24 tunnin kuluessa, jatkoilmoitus 72 tunnin kuluessa ja loppuraportti kuukauden kuluessa havaitsemisesta. Tämä vaatii toimivan havainnointi- ja viestintäprosessin etukäteen, ei vasta kun kriisi iskee.

5. Toimitusketjun arviointi. Toimijan on kartoitettava ja arvioitava omien välittömien toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt. Tämä on se sama velvoite, joka valuu sinulle sopimusteitse, jos olet alihankkijana.

Toimitusjohtajan henkilökohtainen vastuu — tämä on uutta

Kyberturvallisuuslain 10 §:n mukaan yrityksen johto (mukaan lukien toimitusjohtaja ja hallitus) vastaa henkilökohtaisesti kyberturvallisuutta koskevan riskienhallinnan järjestämisestä, toimintamallin hyväksymisestä ja sen toteuttamisen valvonnasta. Tähän liittyy lakisääteinen osaamisvaatimus: johdon on hankittava riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.

Jos velvoitteita rikotaan toistuvasti ja vakavasti, valvova viranomainen voi varoituksen ja kohtuullisen korjausajan jälkeen kieltää henkilöä toimimasta toimitusjohtajana tai hallituksen jäsenenä väliaikaisesti, enimmillään viiden vuoden ajan. Tämä on suomalaisessa lainsäädännössä poikkeuksellisen vahva työkalu.

Hallinnollisten seuraamusmaksujen katot ovat olennaisille toimijoille 10 miljoonaa euroa tai 2 prosenttia maailmanlaajuisesta vuosiliikevaihdosta, ja tärkeille toimijoille 7 miljoonaa euroa tai 1,4 prosenttia. Suurempi luku määrää. Sopimusketjussa on lisäksi odotettavissa, että päämiehet siirtävät tämän taloudellisen riskin alihankintasopimuksiin ankarina vahingonkorvaus- ja regressilausekkeina.

Vastaamo-narratiivi konservatiivisesti — mitä se tarkoittaa CEO-vastuulle

Vastaamo-tapaus on muokannut keskustelua johdon vastuusta enemmän kuin mikään muu yksittäinen tapaus Suomessa. Käräjäoikeus tuomitsi Vastaamon entisen toimitusjohtajan Ville Tapion huhtikuussa 2023 kolmen kuukauden ehdolliseen vankeuteen tietosuojarikoksesta, perusteena puutteellisesti suojattu potilastietokanta. Helsingin hovioikeus kuitenkin kumosi käräjäoikeuden tuomion ja hylkäsi syytteen.

Itse tietomurron tehnyt Aleksanteri Kivimäki sai käräjäoikeudessa kuusi vuotta ja kolme kuukautta vankeutta huhtikuussa 2024. Helsingin hovioikeus kovensi tuomion kuuteen vuoteen ja 11 kuukauteen 26.2.2026.

Mitä tämä tarkoittaa pk-yrityksen CEO:lle? Lopullisia ennakkopäätöksiä CEO:n rikosvastuusta tietosuojan laiminlyönnistä odotetaan yhä. Mutta — ja tämä on olennaista — kyberturvallisuuslaki 124/2025 luo vastuun nyt lakitasolle riippumatta yksittäisistä tuomioista. Et tarvitse ennakkopäätöstä siihen, että johdon valvontavelvollisuus on kirjattu lakiin ja että viranomainen voi määrätä sinulle toimintakiellon. Lue tarkempi käsittely Vastaamo-tekstistäni.

Konkreettinen toimintalista pk-yrittäjälle — mitä tehdä tänään

Aloita kolmesta vaiheesta, jotka voit toteuttaa parin viikon sisällä ilman ulkopuolista konsulttia.

1. Riskianalyysi (1–2 työpäivää). Listaa kaikki järjestelmät, joissa käsitellään asiakas- tai työntekijätietoa: sähköposti, verkkokauppa, CRM, taloushallinto, tiedostojaot. Kirjaa kustakin: missä data sijaitsee, kuka on toimittaja, mikä on varmuuskopiokäytäntö, kenellä on pääsy, milloin viimeksi tarkistettu.

2. Kontrolli-inventaario (1 työpäivä). Käy läpi viisi perusasiaa ja kirjaa nykytila ja tavoitetila: SPF, DKIM ja DMARC sähköpostille (ohje); MFA kaikkiin admin-tileihin; salaus liikenteessä ja varmuuskopioissa (salatun sähköpostin opas) sekä etätyöyhteyksien suojaus yritys-VPN:llä (VPN puhelimeen pk-yritykselle); päivitysprosessi WordPressille ja muille sovelluksille; offsite-varmuuskopiot ja niiden testaus.

Päätös siitä, hoidatko nämä itse vai ostatko ne palveluna, ratkaisee toteutusvauhdin ja kustannustason. Vertailu eri vaihtoehdoista: tietoturvapalvelu vs. itse tehty pk-yritykselle.

3. Sopimukset kuntoon (2–4 viikkoa). Käy läpi olemassa olevat asiakas- ja toimittajasopimukset. Asiakassopimuksiin lisää tietoturvalauseke, joka kuvaa miten ilmoitat poikkeamasta ja miten hallinnoit alihankkijoitasi. Toimittajasopimuksissa vaadi vastaavaa dokumentaatiota omilta toimittajiltasi.

Henkilöstön koulutus on neljäs kerros, joka kannattaa rakentaa kuukausittain toistuvaksi käytännöksi. Konkreettinen lähestymistapa kyberturvallisuuskoulutus-tekstissä, kun se julkaistaan.

Resahost helpottaa NIS2-dokumentointia yhden oven mallilla

Yksi konkreettisimpia tapoja keventää NIS2-taakkaa on keskittää hosting, sähköposti ja niihin liittyvä dokumentaatio yhdelle toimittajalle. Tämä on yhden oven mallin ydin: yksi sopimus, yksi vastuutaho, yksi paikka, josta saat tarvittaessa kirjallisen selvityksen viranomaiselle ja päämiehellesi.

Resahost on rakennettu kyberturvallisuuslain velvoitteet mielessä. Saat dokumentaation TLS-konfiguraatiosta, sähköpostin turvallisuusasetuksista, päivityskäytännöistä ja varmuuskopiointiprosesseista yhtenä koosteena. Voit liittää sen omaan riskienhallinnan toimintamalliisi ja osoittaa hallitukselle ja viranomaiselle, että toimittajavalintasi on tehty harkitusti.

Aloita ilmaisella tietoturva-auditilla, joka näyttää nykytilan omalle verkkotunnuksellesi. Jos haluat keskustella siitä, miten NIS2 koskee juuri sinun yritystäsi, ota yhteyttä niin käymme tilanteen läpi puolen tunnin puhelussa veloituksetta.

Lähteet: Kyberturvallisuuslaki 124/2025 (Finlex), EU:n NIS2-direktiivi 2022/2555, Traficom 2025, Kyberturvallisuuskeskus 2024–2026, Helsingin hovioikeus 28.2.2026 ja (Kivimäki ja Tapio), Tietosuojavaltuutetun toimisto 2025.