Kybertuvallisuuslain vaatimukset valuvat toimitusketjuissa eteenpäin

henkilöt keskustelemassa tietokoneen ääressä

Euroopan kyberturvallisuusdirektiivi NIS2 on kansallisessa lainsäädännössämme kyberturvallisuuslaki (124/2025). Laki on astunut voimaan 8.4.2025 ja on velvoittava määritellyille toimialoille, mutta lain vaatimukset valuvat toimittajaverkoissa paljon laajemmalle.

Laki asettaa toimijoille useita vaatimuksia, mutta ei anna yksiselitteisiä ohjeita siitä, miten vaatimukset tulee täyttää tai miten niiden täyttyminen osoitetaan. Käytännössä ISO/IEC 27001 -sertifiointi tarjoaa hyvän pohjan tietoturvallisuuden johtamiseen. Sertifikaatin avulla yritys voi luotettavasti osoittaa sidosryhmilleen, että sen toiminta täyttää lain vaatimukset.

Yritysten olisikin hyvä huomioida erityisesti seuraavat asiat:

  • tunnistaa, kuuluuko oma toiminta lain soveltamisalaan,
  • ilmoittautua valvovalle viranomaiselle (viipymättä, jos ei ole jo tehnyt niin),
  • kartoittaa liiketoimintaansa kohdistuvat kyberturvallisuuden riskit, 
  • määritellä, miten yritys täyttää lain vaatimukset, ja
  • suunnitella, miten vaatimusten täyttyminen voidaan osoittaa.

Kybertuvallisuuslain vaatimukset toimitusketjuissa

On jo nyt havaittavissa, että lain piiriin kuuluvat yritykset edellyttävät tietoturvallisuuden johtamista ja osaamista myös omilta toimittajiltaan ja kumppaneiltaan. Näin ollen lain vaikutukset ulottuvat laajasti – myös niihin yrityksiin, jotka eivät suoraan kuulu lain soveltamisalaan.

Kyberriskien tunnistaminen ja yritysjohdon vastuu

Kyberturvallisuuslaki perustuu riskien tunnistamiseen. Lain piiriin kuuluvilla yrityksillä tulee olla ajantasainen riskienhallinnan toimintamalli valmiina viimeistään 8.7.2025. ISO/IEC 27001 -standardi tukee tehokkaasti riskien tunnistamista sekä toimintamallin rakentamista ja ylläpitoa.

Laki korostaa erityisesti yritysjohdon vastuuta – toimitusjohtajan ja hallituksen rooli on keskeinen. Tärkeitä ovat myös oman toimintaympäristön tuntemus ja riskiperusteinen varautuminen kyberuhkiin. Yrityksen tulee lisäksi varautua siihen, että mahdolliset poikkeamat kyberympäristössä ilmoitetaan viipymättä valvovalle viranomaiselle.

Kyberturvallisuuslaki ja miten Kiwa voi auttaa?

Kyberturvallisuuslaki on laaja ja velvoittaa tietyt toimialat. Sen haltuunotto voi olla haastavaa – joskus jo alkuun pääseminen voi tuntua vaikealta. Kiwa tarjoaa tukea ja asiantuntemusta eri vaiheisiin:

Koulutus

Kiwa Impact Oy järjestää kattavia koulutuksia tietoturvallisuudesta

Kiwa Comply

Kiwa Comply tukee tietoturvallisuuden hallintajärjestelmän rakentamisessa

Sertifiointi, arviointi ja todentaminen

Kiwa Sertifiointi Oy tarjoaa sertifiointipalveluita.
Yhteystiedot

Ota yhteyttä

Voit jättää meille yhteydenottopyynnön tällä lomakkeella. Olemme sinuun yhteydessä mahdollisimman pian.

Ota yhteyttä