Tuote on lisätty ostoskoriin.
Tee GDPR testi!Kirjaudu EasyGDPR-palveluun!

Mikä on NIS2? 5 minuutin selitys kiireiselle johdolle

NIS2 on EU:n kyberturvallisuusdirektiivi, jonka tavoite on nostaa verkko- ja tietojärjestelmien turvallisuuden vähimmäistasoa ja parantaa häiriöihin varautumista yhteiskunnallisesti tärkeissä palveluissa ja niitä tukevissa ketjuissa. Virallinen nimi on Directive (EU) 2022/2555. Suomessa NIS2-direktiivi on jalkautettu pääasiassa uudella kyberturvallisuuslailla (124/2025), joka astui voimaan 8. huhtikuuta 2025.

NIS2 yhdellä lauseella: mitä se yrittää ratkaista?

NIS2 on syntynyt tilanteeseen, jossa häiriöt ja kyberhyökkäykset eivät pysähdy organisaation rajalle: ne leviävät toimittajiin, alihankkijoihin ja palveluketjuihin. Direktiivin ydin on, että turvallisuus ei ole kertaluonteinen hanke, vaan pysyvä osa organisaation riskienhallintaa ja johtamista.

Mitä NIS2 ei ole: miksi tämä ei ole vain IT-osaston projekti

Moni ajattelee NIS2:ta “tietoturvastandardina”. Se on liian kapea tulkinta.

NIS2 kohdistuu siihen, että yritys pystyy:

  • tunnistamaan ja hallitsemaan riskejä (myös kumppaneissa),
  • ylläpitämään kriittisiä toimintoja häiriöissä,
  • reagoimaan poikkeamiin ja raportoimaan niistä sovitulla tavalla.

Eli: tämä koskee hallintaa, prosesseja ja johtamista vähintään yhtä paljon kuin teknisiä kontrollipisteitä. Vastuun osalta NIS2 on ensisijaisesti johdon asia.

Kolme asiaa, jotka johdon kannattaa ymmärtää heti

  1. Toimitusketjun vastuu muuttuu: asiakkaat ja päämiehet alkavat vaatia kyberturvakäytäntöjä toimittajiltaan aiempaa systemaattisemmin. Vaatimukset eivät siis koske vain “suoraan velvoitettuja” yrityksiä.
  2. Todennettavuus ratkaisee: “Meillä on käytäntö”-ei riitä, jos sitä ei voi näyttää toteen (esim. prosessi, roolit, harjoittelu, dokumentaatiot, muu evidenssi). NIS2-maailmassa kyberkyvykkyys mitataan usein siitä, miten sen arki toimii häiriötilanteessa.
  3. Pienikin alku on parempi kuin täydellisyyden odottaminen: parhaat organisaatiot aloittavat siitä, että tekevät oman tilanteen näkyväksi (mitä suojataan, ketkä ovat kriittisiä toimittajia, miten reagoidaan).

Miten NIS2 näkyy arjessa: riskit, jatkuvuus ja kumppanivaatimukset

Käytännössä NIS2 näkyy usein näissä:

  • hankinta ja sopimukset: vaatimukset toimittajille, auditointioikeudet, vastuut
  • kybertoimintojen toteutuksen dokumentaatioiden pyynnöt
  • johtaminen: omistajuus ja päätöksenteko, ei “IT:n sivuprojektina”
  • jatkuvuus: varautuminen, palautuminen, harjoittelu
  • poikkeamatilanteet: kyky tuottaa tilannekuva ja toimia prosessin mukaan.

Ensimmäinen askel: selvitä koskeeko teitä ja missä roolissa

Älä aloita “tekemisestä” ennen kuin tiedät roolin.

Aloita näin:

  1. Onko toimialanne/roolinne sellainen, että velvoite voi koskea suoraan?
  2. Jos ei suoraan, tuleeko vaatimuksia asiakkailta tai päämiehiltä toimitusketjun kautta?
  3. Mitkä 5 toimittajaa tai palvelua ovat teille kriittisimpiä (ja miksi)?

Tämä ohjaa järkevään jatkoon, eikä kannibalisoi “vaatimukset”-artikkelin sisältöä.

(nosto)

NIS2 (Directive (EU) 2022/2555) on EU:n kyberturvallisuusdirektiivi, joka tekee kyberturvasta johdon riskienhallinnan ja toimitusketjun hallinnan kysymyksen. Se vaikuttaa myös toimittajiin ja kumppaneihin, koska vaatimukset leviävät palveluketjussa.

Usein kysytyt (FAQ)

Mikä on NIS2 lyhyesti?
EU:n kyberturvallisuusdirektiivi, joka asettaa vaatimuksia riskienhallinnalle, häiriöihin varautumiselle ja raportoinnille useilla kriittisillä sektoreilla ja niiden ketjuissa. NIS2-direktiivi on jalkautettu kyberturvallisuuslailla, joka astui voimaan 8. huhtikuuta 2025.

Koskeeko NIS2 vain isoja yrityksiä?
Ei välttämättä. Vaikka velvoite kohdistuu tietyille toimijoille, toimitusketju voi tuoda vaatimuksia myös pienemmille toimittajille.

Mistä kannattaa aloittaa?
Roolin tunnistamisesta (koskeeko suoraan vai toimitusketjun kautta) ja kriittisten palvelujen/toimittajien kartoituksesta.