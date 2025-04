Kyberturvallisuuslaki toimeenpanee EU:n kyberturvallisuusdirektiivin (NIS2), jonka tarkoituksena on vahvistaa kyberturvallisuutta koko EU:n alueella, erityisesti kriittisillä toimialoilla. Suomessa sen valvonnasta vastaavat toimialakohtaisesti Traficom, Energiavirasto, Turvallisuus- ja kemikaalivirasto, Etelä-Savon ELY-keskus, Ruokavirasto, Valvira ja Fimea.

Direktiivi velvoittaa myös kansallisen CSIRT-yksikön (Computer Security Incident Response Team) perustamiseen. CSIRT-yksikön tehtävinä on reagoida tietoturvaloukkauksiin ja tutkia niitä. Suomessa nämä toiminnot sijoitetaan Traficomin alaisuudessa toimivaan Kyberturvallisuuskeskukseen. Yksikkö koordinoi myös kansainvälistä tiedonjakoa EU:n suuntaan ja voi toimia kyberturvallisuustietojen vapaaehtoisen jakamisjärjestelmän koordinaattorina.

Lain keskeisimpinä vaatimuksina soveltamisalaan kuuluvien yritysten on jatkossa arvioitava ja hallittava niiden käyttämiin viestintäverkkoihin ja tietojärjestelmiin kohdistuvia riskejä. Myös mahdollisista tietoturvapoikkeamista tulee jatkossa ilmoittaa viipymättä valvovalle viranomaiselle.

Kyberturvallisuuslaki ja vesihuoltosektori



Vesihuoltosektorilla (juomavesi ja jätevesi) laki koskee noin kolmeakymmentä suurinta laitosta. Lain velvoitteisiin valmistautumista on laitoksilla tehty aktiivisesti jo jonkin aikaa, ja vesihuollon kyberturvallisuuden parantamiseksi on laadittu oppaita ja työkaluja.

Maa- ja metsätalousministeriö osoitti vesihuollon kyberturvallisuuden ja toimintavarmuuden parantamiseen avustusmäärärahoja yli kaksi miljoonaa euroa vuonna 2023. Näillä avustusrahoilla on tuettu vesihuoltolaitosten kyberturvallisuushankkeita ja kyberturvallisuustyökalujen kehittämistä.

Suomessa on yli tuhat vesihuoltolaitosta, eli lain velvoitteet koskevat suoraan vain pientä osaa laitoksista. Myös pienemmillä laitoksilla on kyberturvallisuustyötä tehty ja laissa kirjattujen riskienhallintatoimenpiteiden tekeminen myös pienemmillä laitoksilla on suositeltavaa ja tärkeää.

Kyberturvallisuuslaki ja jätehuoltosektori



Jätehuolto lisättiin uutena toimialana NIS2-direktiivin päivityksen myötä, joten sen valmistautuminen ei ole yhtä pitkällä kuin vesihuollossa. Tärkeimmät toiminnot saadaan kuitenkin toteutettua, ja järjestelmiä sekä ohjeistusta kehitetään jatkuvasti. Jätehuoltosektori on paljon hajanaisempi kuin muut lain piiriin kuuluvat toimialat. ELY-keskuksien valvomia toimijoita on noin neljäsataa, mutta toimiala sisältää myös paljon pieniä toimijoita (jätehuoltorekisterissä noin 4000 jätteenkuljettajaa). Pienet toimijat eivät suoraan kuulu lain soveltamisalaan, kuitenkin heillekin tulee vaatimuksia alihankintaketjujen kautta isommilta toimijoilta.

Soveltamisalaan kuuluvia toimijoita on tunnistettu tällä hetkellä noin viisikymmentä, mutta lisäksi on lukuisia toimijoita, jotka ovat kokonsa puolesta lähellä soveltamisalaan kuulumista sekä useamman toiminta-alan piiriin kuuluvia toimijoita, kuten jätteenpolttolaitoksia. Jätehuoltosektorilla on myös jonkun verran kansainvälistä toimintaa harjoittavia yrityksiä, joihin liittyy omat haasteensa valvonnan suhteen.