Tuote on lisätty ostoskoriin.
Tee GDPR testi!Kirjaudu EasyGDPR-palveluun!

NIS2-direktiivi pähkinänkuoressa: miksi EU teki tämän ja miksi hankinnan pitää välittää?

NIS2-direktiivi (Directive (EU) 2022/2555) rakentaa EU:hun yhtenäisempää kyberturvallisuuden vähimmäistasoa ja parantaa yhteistyötä sekä valvontaa jäsenmaissa. Suomessa NIS2-direktiivi on jalkautettu pääasiassa uudella kyberturvallisuuslailla (124/2025), joka astui voimaan 8. huhtikuuta 2025.

Liiketoiminnan näkökulmasta yksi suurimmista muutoksista on tämä: NIS2 tekee toimitusketjusta strategisen riskialueen. Se ei ole enää vain operatiivinen verkosto, vaan osa organisaation kokonaisriskipintaa – ja siksi toimittajahallinta on suoraan oman riskitason hallintaa.

Direktiivi vs. laki: mitä eroa niillä on yrityksen kannalta?

Direktiivi määrittää EU-tason vaatimusten suunnan ja sisällön, mutta käytännön velvoitteet tulevat jäsenmaiden kansallisen toimeenpanon kautta. Siksi yritykselle “direktiivi” on hyödyllinen, koska se kertoo mihin suuntaan vaatimukset ja markkinakäytännöt liikkuvat (jo ennen kuin kaikki yksityiskohdat ovat teillä valmiiksi pureskeltuna).

Toimitusketjuvaikutus: miten vaatimukset valuvat kumppaneille

NIS2:n logiikka on käytännössä: jos kriittinen palvelu nojaa alihankkijaan, alihankkijasta tulee osa riskienhallintaa.

Siksi toimitusketjuun liittyvät teemat nousevat yhä useammin:

  • toimittajariskien arviointi
  • vaatimusten asettaminen ja todentaminen
  • “mitä tapahtuu jos toimittaja kaatuu?” -suunnittelu
  • jatkuva seuranta ja parantaminen.

ENISA on julkaissut erikseen hyviä käytäntöjä toimitusketjun kyberturvaan, joita kannattaa käyttää pohjana myös NIS2-ajattelussa (etenkin jos teillä on paljon IT-palveluita/ulkoistuksia).

Mitä hankinnan kannattaa muuttaa: kysymykset, kriteerit ja sopimusajattelu

Jos hankinta on tähän asti painottunut hintaan ja toimitusaikaan, NIS2 tuo rinnalle “kolmannen akselin”: todennettavat kyberturvakäytännöt 

Käytännön tasolla hankinnan kannattaa pystyä kysymään (ja dokumentoimaan vastaukset):

  • Mitä palvelua ostamme, ja mihin se pääsee käsiksi?
  • Miten palveluntarjoaja estää ja havaitsee poikkeamat?
  • Miten incidentit hoidetaan: kuka ilmoittaa, missä ajassa, millä tiedoilla?
  • Miten varmistetaan jatkuvuus (varautuminen, palautuminen, vaihtoehdot)?
  • Mitä evidenssiä toimittaja voi antaa (ei pelkkä “kyllä meillä kaikki on kunnossa”)?

Tämä ei ole “paperiharjoitus”. Huonoin lopputulos on compliance, joka näyttää hyvältä paperilla ja pettää kriisissä.

Miten vältät “paperiturvan”: mitä kannattaa oikeasti vaatia ja todentaa

Tässä on selkeä käytännön sääntö:
vaadi aina se, minkä vaikutuksen ymmärrät.

Esimerkki:

  • Jos toimittaja vastaa kriittisestä järjestelmästä, älä tyydy listaan kontrolleista. Vaadi kuvaus prosessista: miten poikkeama havaitaan, kuka tekee päätökset, miten palautuminen tapahtuu, ja mitä dataa voidaan toimittaa teille.

ENISAn tekninen ohjeistus ja toimitusketjumateriaali ovat hyviä “evidenssi-ajatuksen” lähteitä: ne auttavat kysymään juuri niitä asioita, jotka ovat kriisissä olennaisia. 

Mitä tämä tarkoittaa myös toimittajille ja palveluntarjoajille?

Jos myyt palvelua yrityksille, joita NIS2 koskee, NIS2 muuttaa peliä myös sinulle:

  • sinulta aletaan pyytää kyberturvakuvauksia ja prosessimalleja
  • ennen yhteistyön aloittamista sinulta saatetaan vaatia selostusta kyberturvatoiminnoistanne
  • saatat joutua vastaamaan auditointikyselyihin
  • sopimuksiin tulee ehtoja (esim. incident-kommunikaatio, alihankkijat).

Tässä on mahdollisuus: kyvykkyys kuvata ja todentaa tekeminen voi olla kilpailuetu.

(Nosto)

NIS2-direktiivi (Directive (EU) 2022/2555) on EU:n kyberturvallisuuskehikko, joka nostaa vaatimuksia riskienhallinnalle ja tekee toimitusketjusta keskeisen riskipinnan. Hankinnan ja sopimusten pitää pystyä asettamaan ja todentamaan toimittajavaatimuksia, ei vain “tietoturvapolitiikkaa”.

Usein kysytyt (FAQ)

Mitä NIS2-direktiivi tarkoittaa hankinnalle?
Se nostaa toimittajariskin ja todennettavat kyberturvakäytännöt osaksi valintakriteerejä ja sopimusmallia.

Miksi toimitusketju korostuu?
Koska häiriöt ja hyökkäykset voivat tulla kumppanin kautta, ja kriittinen palvelu voi kaatua alihankkijan ongelmaan.

Mistä saan “minkälaisia kontrolleja kannattaa vaatia” -tason tukea?
ENISA on julkaissut toimitusketjun hyviä käytäntöjä ja teknistä ohjeistusta, joita voi käyttää pohjana vaatimusten ja evidenssin määrittelyyn.