Siirry pääsivulle
Näkemys:
Näkemys

NIS2 on täällä – Mitä nyt?

Read this in English >>

Tiistaina, 8. huhtikuuta 2025, tuli Suomessa voimaan odotettu uusi kyberturvallisuuslaki ja muu liitännäinen lainsäädäntö, jonka myötä EU:n NIS2-direktiivin mukaiset velvoitteet astuivat voimaan. Tämä on merkittävä askel kohti yhtenäisempää ja vahvempaa kyberturvallisuuden tasoa Euroopassa.  

Suomessa tämä tarkoittaa, että useat keskeiset ja tärkeät toimialat ovat nyt velvollisia vahvistamaan kyberturvallisuuttaan. Tämä koskee niin suuria kuin monia keskisuuriakin yrityksiä kriittisillä sektoreilla. Uusi lainsäädäntö laajentaa aiempaan NIS-direktiiviin verrattuna merkittävästi sääntelyn piiriin kuuluvien organisaatioiden joukkoa, johon kuuluvat muun muassa energia, liikenne, terveys, digitaalinen infrastruktuuri, valmistus sekä monet muut elintärkeät palvelut.  

On tärkeää, että organisaatiot nyt viimeistään selvittävät, kuuluvatko ne NIS2:n soveltamisalaan ja ryhtyvät tarvittaviin toimenpiteisiin. Ensimmäinen takaraja lähestyy jo: toimijoiden on ilmoittauduttava omille valvoville viranomaisilleen 8. toukokuuta 2025 mennessä. Lisäksi riskienhallintamallien luomiseen on aikaa 8. heinäkuuta 2025 asti. 

 

Mitä uutta NIS2 tuo tullessaan?
 

Direktiivi asettaa organisaatioille aiempaa yksityiskohtaisempia vaatimuksia liittyen: 

  • Kyberturvallisuusriskien hallintaan: tämä ei ole enää vapaaehtoista, vaan systemaattista ja dokumentoitua toimintaa, johon johdon on sitouduttava. 

  • Poikkeamien raportointiin: velvollisuus ilmoittaa merkittävistä tietoturvaloukkauksista on nyt selkeämpi ja aikataulutetumpi. Ensimmäinen ilmoitus on tehtävä nopeasti havaitsemisen jälkeen. 

  • Toiminnan jatkuvuuteen ja kriisinhallintaan: organisaatioilta edellytetään suunnitelmia toiminnan palauttamiseksi häiriötilanteissa. 

  • Toimitusketjun turvallisuuteen: huomio on kiinnitettävä myös omien alihankkijoiden ja kumppaneiden kyberturvallisuuteen. 

  • Valvontaan ja seuraamuksiin: viranomaisilla on laajemmat valtuudet valvoa lain noudattamista, ja laiminlyönneistä voi seurata merkittäviä sanktioita. 

Tämä uusi lainsäädäntö ei ole pelkästään velvoite, vaan myös mahdollisuus vahvistaa organisaation omaa resilienssiä ja lisätä luottamusta sidosryhmien silmissä. Vahva kyberturvallisuus on kilpailuetu ja perusta kestävälle liiketoiminnalle. 

 

Tarvitsetteko apua NIS2:n jalkauttamisessa? 

 
Me Deloittella ymmärrämme, että NIS2:n vaatimusten täyttäminen voi olla monimutkainen prosessi – erityisesti jos organisaation liiketoimintaa on useammassa maassa. Laajan verkostomme avulla pystymme tukemaan teitä NIS2 piiriin kuulumisen tulkinnassa sekä kehitystoimissa Suomen (Traficomin ohjeistus) lisäksi muualla EU alueella varmistaen sujuvan ja tehokkaan NIS2-vaatimustenmukaisuuden rakentamisen.

Ota yhteyttä, niin keskustellaan siitä, miten voimme olla teidän kumppaninne matkalla kohti NIS2-vaatimustenmukaisuutta ja vahvempaa kyberturvallisuutta – niin Suomessa kuin laajemmin Euroopassa.  

 

NIS2 is Here – What Now?

 

On Tuesday, 8th April 2025, Finland enacted the anticipated new cybersecurity law and other associated legislation, bringing the EU's NIS2 directive into effect. This marks a significant step towards a more unified and robust level of cybersecurity across Europe. 

In Finland, this means that several key and critical sectors are now obligated to strengthen their cybersecurity measures. This applies to both large and many medium-sized companies in critical sectors. Compared to the previous NIS directive, the new legislation significantly expands the range of organisations subject to regulation, including energy, transport, health, digital infrastructure, manufacturing, and many other essential services. 

It is crucial for organisations to actively determine whether they fall under the scope of NIS2 and take the necessary actions. The first deadline is approaching: entities must register with their respective supervisory authorities by 8th May 2025. Additionally, there is time until 8th July 2025 to create risk management models. 

 

What New Requirements Does NIS2 Introduce?

 

The directive imposes more detailed requirements on organisations regarding: 

  • Cybersecurity Risk Management: This is no longer optional but a systematic and documented activity that management must commit to. 

  • Incident Reporting: The obligation to report significant security breaches is now clearer and more scheduled. The first report must be made promptly after detection. 

  • Business Continuity and Crisis Management: Organisations are required to have plans for restoring operations in case of disruptions. 

  • Supply Chain Security: Attention must also be paid to the cybersecurity of subcontractors and partners. 

  • Supervision and Sanctions: Authorities have broader powers to monitor compliance with the law, and non-compliance can result in significant penalties. 

This new legislation is not just an obligation but also an opportunity to strengthen the organisation's resilience and increase trust among stakeholders. Strong cybersecurity is a competitive advantage and a foundation for sustainable business. 

 

Need Help Implementing NIS2? 

At Deloitte, we understand that meeting the requirements of NIS2 can be a complex process – especially if your organisation operates in multiple countries. With our extensive network, we can help determine the scope of NIS2 for your organization in Finland and other EU countries, and support in development activities (Traficom's guidelines concerning Finland), ensuring a smooth and efficient build-up of NIS2 compliance. 

Contact us to discuss how we can be your partner on the journey towards NIS2 compliance and stronger cybersecurity – both in Finland and across Europe.

Contact us

Teemu Hokkanen

Partner, Cyber Risk
+358 (0)50 530 3897

Kari Mikkola

Cyber & Strategic Risk
+358 (0)40 823 8369

Nikolas Sjöberg

Partner, Head of Legal
+358 (0)44 750 5663

Did you find this useful?

Yes
No

Thanks for your feedback

Your feedback is important to us

To tell us what you think, please update your settings to accept analytics and performance cookies.

Need help updating cookies?

Lue lisää aiheesta

The NIS 2 Directive

Are you ready to raise your level of cybersecurity?
Näkemys

NIS2-direktiivi – Tavoitteena kyberturvallisempi tulevaisuus

EU:n verkko- ja tietoturvadirektiivin (The Network and Information Security 2, NIS2) tavoitteena on saavuttaa korkeampi kyberturvallisuuden taso yhtenäistämällä jäsenvaltioiden kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita tärkeillä ja keskeisillä toimialoilla.
Näkemys

Identiteetin- ja pääsynhallinnan kyvykkyyksien merkitys NIS2-vaatimusten täyttämisessä

Vuonna 2023 EU julkaisi kyberturvallisuusdirektiivin (NIS2-direktiivi), joka korvaa aiemman verkko- ja tietoturvadirektiivin (NIS1) unionin alueella. Vaikka NIS2-direktiivi ei suoraan mainitse identiteetin- ja pääsynhallintaa, se on olennainen osa organisaation tietoturvaa ja siten myös direktiivin vaatimusten toteuttamista.
Näkemys
3 minuutin lukuaika

NIS2 and industrial cybersecurity – understanding the impact on operational technology

The EU NIS2 directive came into force in 2023. The objective of NIS2 is to enhance the overall cybersecurity of member states and organisations. It will also set new cybersecurity requirements that will influence entities with operational technology (OT) in their environments.
Näkemys
3 minuutin lukuaika