Uutta tietoturvaa koskevaa lainsäädäntöä tulee lähiaikoina lisää ja osin se koskee yhä useampia yrityksiä Suomessa. Vaikutukset koskevat erityisesti yhteiskunnan kriittisten toimintojen ja finanssipalveluiden parissa toimivia yrityksiä, mutta epäsuorasti myös tuhansia muita alihankintaverkostojen kautta. Mitä yrityspäättäjän ja IT-ammattilaisen on syytä tietää regulaatiosta?
Uuden kyberturvallisuuteen liittyvän sääntelyn taustalla on Euroopan maiden yhteinen tavoite nostaa tietoturvan perustasoa ja yhdenmukaistaa käytäntöjä. Sääntelyn tarpeen ovat herättäneet laajasti vaikuttaneet kyberhyökkäykset ja geopoliittinen tilanne.
”Lainsäädännössä on pitkälti kyse siitä, että halutaan nostaa tietoturvan rimaa ylöspäin ja saada perustasoa parannettua. Liian korkeaa tietoturvatason nostoa ei kuitenkaan ole pyritty tekemään”, kertoo johtava asiantuntija Juhani Eronen Traficomin Kyberturvallisuuskeskuksesta.
Hänen mukaansa uudet vaatimukset eivät tuo mullistavia vaatimuksia yritykselle, joka on tähänkin asti hoitanut tietoturvan kunnolla. Säädöksiä ei tarvitse säikkyä, vaikka niihin liittyy byrokratiaa eli velvoite osoittaa, että yritys täyttää ne.
Ajankohtaiset NIS2, RED, CRA, DORA ja AIA
Yrityksiä koskevan tietoturvaregulaation voi jakaa muutamaan eri kategoriaan:
- Yhteiskunnan turvallisuus: NIS2, CER, CSOA ja DORA
- Tuoteturvallisuus: radiolaitedirektiivi (RED) ja kyberkestävyyssäädös (CRA)
- Tekoälyn ja datan hyödyntäminen: AI Act (AIA) ja Data Act (DA)
Vuoden 2025 merkittävin lakimuutos on NIS2, joka on Suomessa integroitu valmisteilla olevaan kyberturvallisuuslakiin. Direktiivi kattaa huomattavasti suuremman yritysjoukon verrattuna sen aiempaan versioon.
”NIS2-direktiivin tavoite on saada yhdenmukaisuutta kyberturvan tasossa yhteiskunnan toimivuuden kannalta kriittisillä sektoreilla. Pääosassa ovat ne vähimmäistason velvoitteet, jotka liittyvät riskien hallintaan ja kyberhygieniaan, ja toisaalta poikkeamien raportoinnin velvoitteet”, Traficomin Eronen sanoo.
Hän arvioi, että kovimman kiireen yrityksille voi aiheuttaa radiolaitedirektiivi, koska sen tietoturvavaatimukset tulevat sovellettaviksi elokuussa 2025. RED kuitenkin koskee ainoastaan uusia markkinoille tuotavia laitteita, joissa on radio- ja internetyhteys. Niissä pitää huolehtia perustietoturvan asioista, jotka liittyvät verkon ja käyttäjien suojaamiseen sekä petosten ennaltaehkäisemiseen.
”Jos tuo maahan direktiivin mukaisia uusia laitteita, pitää voida osoittaa, että laite täyttää vaatimukset. Jos on osa toimitusketjua, eikä ole sovittu tietoturvan varmistamisesta ja päivityksistä, vastuu voi tulla maahantuojalle yllätyksenä. Ongelmia voi tulla siitä, miten tietoturvan puutteet korjataan ja kenelle se kuuluu”, Eronen huomauttaa.
Vaatimukset voivat koskea yrityksiä, vaikka ne eivät suoraan kuulu säädösten piiriin ja omista kriittistä infrastruktuuria.
Kyberkestävyyssäädöstä (CRA) aletaan soveltaa vaiheittain vuosina 2026–2027. Tekoälysäädös (AI Act) tuo eettisiä vaatimuksia korkean riskin tekoälyjärjestelmille. Yhteiskunnan turvallisuutta parantavat muut säädökset, CER ja CSOA, koskevat vain suppeaa joukkoa huoltovarmuustoimijoita ja rajat ylittävää viranomaisten tiedonvaihtoa kyberuhkista.
Aikataulullisesti riskienhallintaa ja häiriötilanteista selviämistä korostava DORA on jo tullut sovellettavaksi. Se koskee suoraan pankki- ja rahoitusalaa, jossa on pitkä ja vahva vaatimustenmukaisuuden kulttuuri. Myös alan yritysten alihankkijoiden, kuten konesali-, ohjelmisto- ja laitetoimittajien täytyy tuntea direktiivi ja noudattaa sen vaatimuksia.
Vaikutukset ulottuvat alihankintaverkostoihin
Erityisen tärkeää yrityspäättäjälle on ymmärtää, että tietoturvasääntely vaikuttaa yrityksiin myös epäsuorasti. Varsinkin NIS2:n soveltamisalaan kuuluva yritys voi esittää turvallisuusvaatimuksia kumppaneilleen, jotka toimittavat palveluita, laitteita tai ohjelmistoja, kun se toteuttaa toimitusketjun turvallisuuteen liittyviä toimenpiteitä. Toisin sanoen vaatimukset voivat koskea yrityksiä, vaikka ne eivät suoraan kuulu säädösten piiriin ja omista kriittistä infrastruktuuria.
Jos toimit alihankkijana, ota huomioon, että vastuuta lähdetään valuttamaan koko alihankintaketjuun.
”Voi olla, että on yrityksiä, jotka eivät ole vielä huomanneet, kuinka NIS2 laajentuu koskemaan myös niitä alihankintaketjun osana. Yrityksen oma toiminta on ajan mittaan voinut myös laajentua niin, että siihen liittyy kriittistä infraa. Jos siis toimit alihankkijana, ota huomioon, että vastuuta lähdetään valuttamaan koko alihankintaketjuun”, Eronen sanoo.
Tietoturvaa kannattaa parantaa järjestelmällisesti
Erosen mukaan sääntely itse asiassa pitkällä aikavälillä helpottaa tietoturvan ylläpitoa tuomalla siihen selkeät raamit ja yhteiset pelisäännöt. Tavoitteena on ennen kaikkea kannustaa yrityksiä parantamaan tietoturvaansa suunnitelmallisesti ja etupainotteisesti.
Vähintään yhtä iso riski on yrityksen joutuminen kyberhyökkäyksen maalitauluksi, tietomurto ja maineen menetys.
”Järjestelmällinen ja vaiheittainen varautuminen ja tietoturvan tason kasvattaminen on helpompaa ja halvempaa kuin nopeat viimehetken korjausliikkeet. Uskon, että monet yritykset ovatkin tässä onnistuneet sekä havainneet, että tietoturvan uhkataso on vuosien varrella noussut. Regulaatio on viimesijainen keino, vaikka jostainhan se kertoo, että sitä tulee”, Eronen sanoo.
Jos yritys ei noudata tietoturvaa koskevia uusia säädöksiä, pahimmassa tapauksessa riskinä ovat raskaat viranomaisen määräämät ja liikevaihtoon perustuvat sakot. Sanktiomahdollisuus on kuitenkin vasta viranomaisen viimesijainen keino. Vähintään yhtä iso riski on yrityksen joutuminen kyberhyökkäyksen maalitauluksi, tietomurto ja maineen menetys.
Näin yrityksesi voi varautua tietoturvan regulaatioon
- Selvitä, koskevatko velvoitteet yritystäsi suoraan tai välillisesti
- Kartoita oma asema alihankintaverkostoissa
- Aloita varautuminen hyvissä ajoin
- Varmista tietoturvan perustason toteutuminen
Lue lisää: NIS2-direktiivi on yrityksille mahdollisuus – Näin täytät vaatimukset ja rakennat kestävää liiketoimintaa
