GDPR · NIS2
Vastaamo-oikeudenkäynnit ja CEO-vastuu — mitä se tarkoittaa sinulle
Vastaamon oikeudenkäynnit määrittävät CEO-vastuun rajoja. NIS2-kyberturvallisuuslaki 8.4.2025 nostaa johdon henkilökohtaisen vastuun uudelle tasolle. Mitä pk-yrittäjän on tehtävä juuri nyt.
Suomalainen pk-yrityksen toimitusjohtaja ei voi enää sanoa "en tiennyt" silloin kun asiakastiedot vuotavat. Vastaamo-tapauksen oikeudenkäynnit ovat kuljettaneet kysymystä johdon henkilökohtaisesta rikosvastuusta — ja vaikka ennakkopäätöksiä CEO-vastuusta odotetaan vielä, 8.4.2025 voimaan astunut kyberturvallisuuslaki on jo nostanut riman selvästi korkeammalle. Käyn alla läpi mitä nyt tiedetään, mitä laki vaatii ja mitä pk-yrittäjän on tehtävä.
Vastaamo-tuomion lyhyt aikajana
Aleksanteri Kivimäki sai käräjäoikeudessa 30.4.2024 kuusi vuotta ja kolme kuukautta vankeutta yli 33 000 henkilön kiristyksestä, törkeästä tietomurrosta sekä törkeästä yksityiselämää loukkaavasta tiedon levittämisestä. Helsingin hovioikeus kovensi tuomion 28.2.2026 kuuteen vuoteen ja 11 kuukauteen.
Johdon vastuun puoli on edelleen kesken. Vastaamon entinen toimitusjohtaja Ville Tapio sai huhtikuussa 2023 Helsingin käräjäoikeudesta kolmen kuukauden ehdollisen vankeustuomion tietosuojarikoksesta — perusteena se, että Vastaamon tietokanta oli julkisesti saavutettavissa ilman riittävää suojausta pitkään, eikä toimitusjohtaja puuttunut tilanteeseen. Helsingin hovioikeus kuitenkin kumosi tuomion ja hylkäsi syytteen myöhemmässä käsittelyssä. Lopullisia ennakkopäätöksiä CEO-vastuusta odotetaan siten yhä — mutta tapauksen kulku on tehnyt johdon roolista keskustelun aiheen tavalla, jota ei aiemmin Suomessa ole nähty.
Miksi Vastaamo-tapaus muutti keskustelun
Vaikka Tapion lopullinen tuomio kaatui hovioikeudessa, ensimmäisen asteen tuomio loi ennakkotapauksen siitä, että suomalainen syyttäjä on valmis nostamaan syytteen toimitusjohtajaa vastaan tietosuojan laiminlyönnistä. Tämä koskee yhtä lailla 5 hengen tilitoimistoa kuin 500 hengen ohjelmistotaloa. Vastuuta arvioidaan tehtyjen ja tekemättä jätettyjen päätösten kautta, ei yrityksen koon mukaan.
Käytännössä se tarkoittaa kahta asiaa pk-yrittäjälle. Sinun pitää pystyä osoittamaan, että olet tehnyt päätöksiä tietoturvasta. Sinun pitää myös säilyttää ne dokumentit, joilla todistat tehneesi.
NIS2 ja kyberturvallisuuslaki 8.4.2025: mikä muuttui
Suomen uusi kyberturvallisuuslaki astui voimaan 8.4.2025. Se panee toimeen EU:n NIS2-direktiivin ja muuttaa johdon vastuun maiseman täysin.
Keskeiset muutokset ovat suoria seurauksia:
- Hallinnolliset sakot ovat enintään 10 miljoonaa euroa tai 2 prosenttia yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta, kumpi on suurempi.
- Toimitusjohtajan henkilökohtainen vastuu on kirjattu lakiin. Johto vastaa siitä, että kyberturvariskit on tunnistettu ja käsitelty dokumentoidusti.
- Viranomainen voi määrätä johdolle toimintakiellon. Käytännössä toimitusjohtaja voidaan kieltää johtamasta vastaavaa yritystä määräajaksi.
- Velvoitteet ulottuvat alihankintaketjuun: vastuu omasta hosting-toimittajasta, sähköpostipalvelusta ja tilitoimisto-ohjelmistosta.
NIS2 koskee suoraan keskisuuria ja suuria toimijoita kriittisillä toimialoilla, mutta käytännössä se valuu sopimusvaatimuksina pk-sektorille. Kun iso asiakkaasi vaatii NIS2-yhteensopivuutta, sinun on todistettava se omalla dokumentaatiollasi.
GDPR-sakot 2024 ja 2025: tilastot eivät enää valehtele
Pelkät seuraukset eivät enää ole teoreettisia. Tietosuojavaltuutettu vastaanotti vuonna 2024 yhteensä 7 152 tietoturvaloukkausilmoitusta. Luku on suuri myös eurooppalaisessa vertailussa, ja se kertoo siitä, kuinka paljon kotimaisten yritysten suojaus pettää.
Suomalaisia GDPR-sakkoja vuonna 2025:
- S-Pankki: 1,8 miljoonaa euroa S-mobiilin tietoturvahaavoittuvuudesta.
- Yliopiston Apteekki: 1,1 miljoonaa euroa verkkokaupan tietosuojapuutteista.
- Aktia: 865 000 euroa.
Posti sai vuonna 2024 Suomen siihen mennessä suurimman GDPR-sakon. Koko EU:n alueella määrättiin vuoden 2024 aikana GDPR-sakkoja yhteensä noin 1,2 miljardia euroa.
Sakot eivät enää ole symbolisia. Ne ovat tasolla, joka vie pk-yrityksen vuoden tuloksen tai useamman.
Mitä tämä tarkoittaa pk-yrityksellesi konkreettisesti
Sinun ei tarvitse olla S-Pankki päätyäksesi vastuuseen. Riittää, että asiakasrekisteri vuotaa, lomakedata päätyy julkiseen indeksiin tai sähköpostipalvelimesi lähettää tunnistettavasti spämmiä asiakasdatalla.
Tietosuoja-asetuksen artikla 28 sanoo, että rekisterinpitäjä vastaa koko ketjusta. Jos hosting-toimittajasi ei ole NIS2-velvoitteiden mukainen, vastuu valuu sinulle. Et voi delegoida vastuuta pois sopimuspykälällä.
Tästä syystä toimittajavalinta on yksi konkreettisimmista CEO-päätöksistä, jonka voit dokumentoida. Valitse hosting- ja sähköpostitoimittaja, jolla on osoitettavissa olevat NIS2-prosessit. Säilytä todisteet siitä, miksi valitsit juuri sen.
Kolme asiaa, joista olet juridisesti vastuussa
Jos olet pk-yrityksen toimitusjohtaja, lue nämä huolellisesti.
Ensimmäinen vastuu: tiedät, missä asiakasdatasi sijaitsee. Et voi vedota tietämättömyyteen, jos verkkokauppasi tietokanta on jonkin alihankkijan palvelimella ilman varmuuskopiointia. Sinun on osattava nimetä toimittaja, sijaintimaa ja varmistusprosessi.
Toinen vastuu: olet päättänyt tietoturvasta dokumentoidusti. Yksittäinen sähköposti riittää, mutta päätöksen on oltava olemassa kirjallisena. Esimerkki: "Olen valinnut toimittajan X, koska sillä on Y-sertifiointi ja Z-prosessit." Ilman tätä paperia oletus on, että et tehnyt päätöstä lainkaan.
Kolmas vastuu: ketjun loppupäänkin toimittajat ovat sinun vastuullasi. Jos sähköpostipalvelu hajoaa ja vuotaa asiakaslistasi, viranomainen kysyy ensin sinulta. Sinun on osattava osoittaa, miten valvot toimittajiasi käytännössä.
Resahost on rakennettu CEO-vastuun kanssa
Resahost on suomalainen hosting-palvelu, joka on rakennettu nimenomaan kyberturvallisuuslain ja NIS2-velvoitteiden näkökulmasta. Konfiguraatiot, prosessit ja päivityskäytännöt on dokumentoitu. Saat tarvittaessa kirjallisen selvityksen, jolla todistat omalle hallituksellesi ja viranomaiselle, että hosting-toimittajavalintasi täyttää velvoitteet.
Aja ilmainen tietoturva-auditti omalle verkkotunnuksellesi ja näe, missä kunnossa nykyinen ympäristösi on. Audit kattaa TLS-konfiguraation, sähköpostin turvallisuusasetukset ja PHP-version. Saat raportin, jonka voit liittää omaan tietosuojadokumentaatioosi.
Jos haluat keskustella siitä, mitä CEO-vastuu konkreettisesti tarkoittaa juuri sinun yrityksellesi, ota yhteyttä. Käymme tilanteen läpi puolen tunnin puhelussa veloituksetta.
Lue myös
- NIS2 pk-yritykselle 2026 — kuuluuko yritykseni soveltamisalaan?
- Mitä on kyberturvallisuus pk-yritykselle 2026
- Suojattu sähköposti: SPF, DKIM ja DMARC
- Yhden oven malli — manifesti
- Tietoturvapalvelu vai itse tehty
Lähteet: Helsingin hovioikeus 28.2.2026 (tuomioistuimet.fi), Yle 30.4.2024 ja Yle "Vastaamon ex-toimitusjohtajan Ville Tapion syyte kaatui", Tietosuojavaltuutetun toimisto (tietosuoja.fi) 2024 ja 2025, Traficom / kyberturvallisuuslaki 8.4.2025, Kyberturvallisuuskeskus.