
Varmista yrityksesi NIS2-valmius
EU:n kyberturvallisuusdirektiivi, NIS2, astui voimaan EU:ssa 16.1.2023, ja sen kansallinen soveltaminen Suomessa alkoi 8.4.2025. Millaisia yrityksiä direktiivi ja uusi kyberturvallisuuslaki koskevat, mitä organisaatioissa pitäisi tehdä ja mitä tapahtuu, jos uusia tietoturvavaatimuksia ja kyberturvallisuuslakia rikkoo? Tältä sivulta löydät oleellisen tiedon kyberturvallisuusdirektiivistä, kyberturvallisuuslaista ja siitä, miten saat yrityksesi yhteensopivaksi NIS2-vaatimusten kanssa.
Elmo auttaa ketterästi ja käytännönläheisesti direktiivivalmiuteen. Ota yhteyttä asiantuntijoihimme.
27.12.2022
Uusi kyberturvallisuusdirektiivi julkaistiin2.1.2023
Kansallinen toimeenpanohanke käynnistettiin16.1.2023
NIS2 astui voimaan EU:ssa25.9.2023
Kuulemistilaisuus9.10.2023
Lausuntokierros8.4.2025
Suomen kyberturvallisuuslaki astui voimaanNIS2:n tausta lyhyesti:
EU:n uusi kyberturvallisuusdirektiivi (NIS2) korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) ja sen tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa. Uusi direktiivi kulkee nimellä NIS2.

Tietoturvan hallintajärjestelmä NIS2-yhteensopivaksi Elmon avulla
Elmon NIS2-ratkaisu nojaa maailman tunnetuimpaan ja tunnustetuimpaan tietoturvadirektiiviin, ISO/IEC 27001:een, jonka päivitetty sertifikaattiversio myönnettiin meille ensimmäisenä Suomessa.
NIS2-ratkaisuna tuotamme yritykselle tietoturvan hallintajärjestelmän, joka kattaa kaikki kyberturvallisuusdirektiivin vaatimukset.
Toteutus sisältää:
- tietoturvan hallintajärjestelmän dokumentointi
- lähtötilanteen kartoitus
- iterointi ja jalostus
- kyberturvakäytänteiden koulutus
Työlle on laatutakuu: Takaamme, että luodun tietoturvan hallintajärjestelmän avulla yrityksenne on NIS2-yhteensopiva. Työ vie keskimäärin 3 kuukautta, joten varaa Elmo avuksi nyt!

Videoita ohjeeksi yrityksille
Elmo on Suomen ensimmäinen ISO/IEC 27001:2022 -sertifioitu asiantuntijatalo. Koostimme avuksesi videoita, joissa kerromme kyberturvallisuusdirektiivistä, sen vaikutuksista, vaatimuksista ja Elmon tarjoamasta avusta. Ota samalla YouTube-kanavamme seurantaan.
Autamme yrityksiä ja julkisen sektorin toimijoita navigoimaan haastavassa tietoturvaympäristössä ja olemme koonneet selkeät oppaat tietoturvan hallintaan. Lataa täältä.
NIS2 – Kyberturvallisuusdirektiivi pähkinänkuoressa:
Elmon toimitusjohtaja Janne Aaltonen kertoo, mitä suurten ja keskisuurten yritysten tulisi tietää NIS2-direktiivistä sekä lisäksi hän esittelee tärkeimmät velvoitteet ja vaikutukset liiketoimintaan. Videon kesto: n. 20 min.
Keitä kyberturvallisuusdirektiivi NIS2 koskee?
Videolla kerromme, keitä NIS2-direktiivi koskee, miten yrityksiä valvotaan ja mitkä ovat sanktiot rikkomuksista. Jos edustat suurta tai keskisuurta yritystä, tarkista toimialalistasta, onko yrityksenne velvollinen hallinnoimaan, raportoimaan ja tiedottamaan tietoturvapoikkeamista viranomaisille.
Ratkaisu – Näin saat yrityksesi NIS2-yhteensopivaksi:
Elmon mallissa unohdetaan aikaa syövät konsultoinnit ja lähdetään rakentamaan yritykselle tietoturvan hallintajärjestelmää, jolla kyberturvallisuusdirektiivin vaatimukset tulevat huomioiduiksi. Videon kesto: noin 1 min.
Usein kysyttyjä kysymyksiä

Mikä on kyberturvallisuusdirektiivi eli NIS2?
EU:n uusi kyberturvallisuusdirektiivi (NIS2) korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) ja sen tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa. Uusi direktiivi kulkee nimellä NIS2.
Miten kyberturvallisuusdirektiivi toimeenpannaan Suomessa?
Liikenne- ja viestintäministeriö käynnisti 2.1.2023 kansallisen toimeenpanohankkeen uuden direktiivin velvoitteiden saattamiseksi osaksi kansallista lainsäädäntöä. Eduskunta hyväksyi kyberturvallisuuslain maaliskuussa 2025, ja Tasavallan presidentti vahvisti lain 4.4.2025. Laki tuli voimaan 8.4.2025.
Kyberturvallisuuslailla toimeenpannaan NIS2-direktiivi Suomessa. Laki asettaa velvoitteita muun muassa riskienhallintaan, poikkeamien raportointiin ja toimijaluetteloon ilmoittautumiseen.

Keitä kyberturvallisuusdirektiivi ja kyberturvallisuuslaki koskevat?
EU:n kyberturvallisuusdirektiivin (NIS2) ja Suomen sitä toimeenpanevan kyberturvallisuuslain soveltamisala kattaa laajasti yhteiskunnan kannalta kriittiset toimijat.
Direktiivi ja laki koskevat sekä julkisia että yksityisiä toimijoita, jotka tarjoavat välttämättömiä tai tärkeitä palveluita yhteiskunnalle. Toimijat jaetaan kahteen luokkaan:
- Erittäin kriittiset toimialat:
- Energia (sähkö, kaukolämmitys ja jäähdytys, öljy, kaasu, vety), Liikenne (ilmailu-, raide-, vesi- ja tieliikenne) , Pankkitoiminta, Finanssimarkkinoiden infrastruktuuri, Terveys, Juomavesi, Jätevesi, Digitaalinen infrastruktuuri, TVT-palvelujen (Tieto- ja Viestintätekniikka) hallinta (yritysten välinen), Julkishallinto, Avaruus
- Energia (sähkö, kaukolämmitys ja jäähdytys, öljy, kaasu, vety), Liikenne (ilmailu-, raide-, vesi- ja tieliikenne) , Pankkitoiminta, Finanssimarkkinoiden infrastruktuuri, Terveys, Juomavesi, Jätevesi, Digitaalinen infrastruktuuri, TVT-palvelujen (Tieto- ja Viestintätekniikka) hallinta (yritysten välinen), Julkishallinto, Avaruus
- Muut kriittiset toimialat:
- Posti- ja kuriiripalvelut, Jätehuolto, Kemikaalien valmistus, tuotanto ja jakelu, Elintarvikkeiden tuotanto, jalostus ja jakelu, Valmistus (Lääkinnällisten laitteiden ja in vitro -diagnostiikkaan tarkoitettujen lääkinnällisten laitteiden valmistus, Tietokoneiden sekä elektronisten ja optisten tuotteiden valmistus, Sähkölaitteiden valmistus, Muiden koneiden ja laitteiden valmistus, Moottoriajoneuvojen, perävaunujen ja puoliperävaunujen valmistus, Muiden kulkuneuvojen valmistus), Digitaalisen palvelun tarjoajat, tutkimustoiminta.
- Posti- ja kuriiripalvelut, Jätehuolto, Kemikaalien valmistus, tuotanto ja jakelu, Elintarvikkeiden tuotanto, jalostus ja jakelu, Valmistus (Lääkinnällisten laitteiden ja in vitro -diagnostiikkaan tarkoitettujen lääkinnällisten laitteiden valmistus, Tietokoneiden sekä elektronisten ja optisten tuotteiden valmistus, Sähkölaitteiden valmistus, Muiden koneiden ja laitteiden valmistus, Moottoriajoneuvojen, perävaunujen ja puoliperävaunujen valmistus, Muiden kulkuneuvojen valmistus), Digitaalisen palvelun tarjoajat, tutkimustoiminta.

Mitä kyberturvallisuusdirektiivi ja kyberturvallisuuslaki velvoittavat?
NIS2-direktiivi ja sitä Suomessa toimeenpaneva kyberturvallisuuslaki asettavat velvoitteita sekä keskeisille että tärkeille toimijoille, riippumatta organisaation koosta. Keskeisiä velvoitteita on kolme:
- Raportointi
- Riskienhallinta
- Tiedottaminen
Miten NIS2-direktiivin ja kyberturvallisuuslain noudattamista valvotaan?
Kyberturvallisuuslain mukaisesti Suomessa määritellään toimialakohtaiset valvontaviranomaiset, jotka vastaavat kyberturvallisuusvelvoitteiden noudattamisen valvonnasta. Valvontamalli perustuu toimijan kokoluokkaan ja kriittisyyteen, ja se jakautuu kahteen päämuotoon:
- Ennakkovalvontaa tehdään organisaatoille, joiden koko ylittää keskisuuren yrityksen määritelmän. Näitä organisaatioita kutsutaan direktiivissä keskeisiksi toimijoiksi. Ennakkovalvonta tarkoittaa, että valvova viranomainen voi tehdä ennakkotarkastuksia etukäteen ilmoittamatta.
- Jälkivalvontaa tehdään keskikokoisille organisaatioille. Näitä organisaatioita kutsutaan direktiivissä tärkeiksi toimijoiksi. Jälkivalvontaa tehdään, jos valvovalla viranomaisella on syytä olettaa, ettei toimija toimi kyberturvallisuusdirektiivin velvoitteiden mukaan.
Mitä sanktioita kyberturvallisuudirektiivin rikkomisesta seuraa?
Keskeiset organisaatiot
- Velvoitteiden laiminlyönnistä viranomaisella on mahdollisuus asettaa hallinnollinen seuraamusmaksu, joka on enintään 10 milj. euroa tai 2 % vuosittaisesta liikevaihdosta.
Keskikokoiset organisaatiot
- Velvoitteiden laiminlyönnistä viranomaisella on mahdollisuus asettaa hallinnollinen seuraamusmaksu, joka on enintään 7 milj. euroa tai 1,4 % vuosittaisesta.

Ohjeita yksilöille, yrityksille ja päättäjille -lataa opas
Kyberturvallisuus on tietoturvallisuuden osa-alue, joka koskee digitaalisessa muodossa olevia tietoja, näiden käyttöä, käsittelyä, tallentamista ja siirtoa. Kyberturvallisuudella pyritään sähköisen ja verkotetun yhteiskunnan ja yritystoiminnan turvallisuuteen.
Lataa oppaamme täältä.
“Rakennamme ratkaisun ketterästi ja käytännönläheisesti. Pääsette NIS2-kuntoon parhaimmillaan jo kolmessa kuukaudessa: Lähtökohta on, että tuossa on alku, tuossa loppu ja sitten olette valmiina!”
– Vesa
“Elmon kanssa skippaat turhat konsultoinnit ja siirryt suoraan ratkaisun rakentamiseen. Ongelma ei nimittäin poistu päättäjän päästä, jos ensimmäisen vaiheen jälkeen ollaan vasta kokonaistilanteen arvioinnissa.”
– Janne
Ota yhteyttä asiantuntijoihimme!

Vesa Pääkkönen
Myyntijohtaja
“Meille hyvä palvelu on sitä, että ollaan asiakkaan kanssa samalla puolella pöytää. Tehdään asiat niin hyvin, että asiakassuhde syvenee kumppanuudeksi. Ennakointi, nopea reagointi ja ihmiset ovat toimintamme ytimessä.”
Janne Aaltonen
CEO, CISO, partner
“Elmo on toimialan ainoa yritys, jossa asiakas on aidosti prioriteetti #1 kaikessa tekemisessä ja päätöksenteossa. Palvelu on ainutlaatuisen yksilöllistä, mutta valikoima ICT-alan laajin. Varmistamme yrityksesi menestyksen – nyt ja tulevaisuudessa.”
Lisää artikkeleja aiheesta

Oppaamme muutokseen: NIS2-direktiivin mukainen tietoturvajärjestelmä