← Blog
20. huhtikuuta 2026 · 8 min · Nordic Defence

NIS2 käytännössä: Täydellinen 2026-opas pohjoismaisille yrityksille

NIS2 on nyt voimassa koko ETA-alueella. Käymme läpi juridisen jargonin ohi: ketä se koskee, kymmenen keskeistä vaatimusta, määräajat ja kuusi konkreettista askelta compliance-valmiuteen.

NIS2-direktiivi (EU 2022/2555) on laajin kyberturvallisuussääntely, jonka kanssa Pohjoismaat ovat koskaan joutuneet tekemisiin. Suomessa se on toimeenpantu kyberturvallisuuslailla. Norjalla, Ruotsilla, Tanskalla ja Islannilla on vastaavat kansalliset lait. Tuhansille yrityksille, jotka eivät ole koskaan ajatelleet itseään kriittiseksi infrastruktuuriksi, tämä on aivan uusi todellisuus.

Jos olet epävarma siitä, koskeeko laki teitä tai mitä teidän pitää tehdä — et ole yksin. Tämä opas leikkaa byrokratian läpi ja antaa sinulle selkeän kuvan.

Mikä NIS2 on — ja miksi juuri nyt?

NIS2 korvaa alkuperäisen vuoden 2016 NIS-direktiivin. Perustelu on yksinkertainen: NIS1 oli liian kapea, epätasaisesti toimeenpantu, ja kyberuhka on räjähtänyt. Edeltäjäänsä verrattuna NIS2 kattaa enemmän toimialoja, enemmän yrityksiä, asettaa tiukemmat vaatimukset ja tuo merkittäviä sakkoja rikkomuksista.

Johtoryhmille uutta: NIS2 asettaa henkilökohtaisen vastuun. Hallituksen jäseniä ja toimitusjohtajaa voidaan pitää vastuussa, jos yritys ei ole asianmukaisesti suojattu.

Koskeeko tämä meitä? Koko ja toimiala

NIS2:lla on kaksi tasoa: 'olennaiset' ja 'tärkeät' toimijat. Molemmilla on suurin piirtein samat vaatimukset, mutta erilainen valvonnan intensiteetti.

Olennaiset toimijat (tiukin valvonta)

  • Energia (sähkö, öljy, kaasu, kaukolämpö, vety)
  • Liikenne (ilma, rautatie, meri, tie)
  • Pankki- ja finanssimarkkinainfrastruktuuri
  • Terveydenhuolto (sairaalat, lääkevalmistajat, laboratoriot)
  • Juomavesi ja jätevesi
  • Digitaalinen infrastruktuuri (pilvi, DNS, IXP, datakeskukset)
  • Julkishallinto (keskuselimet)
  • Avaruus

Tärkeät toimijat

  • Posti- ja kuriiripalvelut
  • Jätehuolto
  • Kemikaalit
  • Elintarviketuotanto ja -jakelu
  • Valmistus (lääkintälaitteet, tietokonelaitteet, ajoneuvot, koneet)
  • Digitaaliset palveluntarjoajat (markkinapaikat, hakukoneet, sosiaalinen media)
  • Tutkimuslaitokset

Kymmenen keskeistä vaatimusta

NIS2:n artikla 21 listaa kymmenen vähimmäisvaatimusta, jotka jokaisen toimijan on täytettävä. Nämä eivät ole rasti ruutuun -kohtia — valvoja odottaa dokumentoitua toimeenpanoa.

  1. Riskianalyysi ja tietoturvapolitiikka — muodollinen, ajantasainen, hallituksen hyväksymä.
  2. Poikkeamien hallinta — määritellyt prosessit, harjoiteltu.
  3. Toiminnan jatkuvuus ja kriisivalmius — sis. varmuuskopiointi ja palautuminen.
  4. Toimitusketjun turvallisuus — kartoita ja sopimuksellista kolmannet osapuolet.
  5. Turvallisuus hankinnoissa, kehityksessä ja ylläpidossa — turvallinen SDLC, päivitykset.
  6. Periaatteet turvallisuustoimenpiteiden vaikuttavuuden arviointiin.
  7. Perus kyberhygienia ja koulutus — phishing-tietoisuus, salasanakuri.
  8. Kryptografia ja salaus — missä ja miten.
  9. Henkilöstöturvallisuus, pääsynhallinta, omaisuudenhallinta.
  10. Monivaiheinen tunnistautuminen ja suojattu viestintä.

Raportointivelvoitteet jotka yllättävät

Raportointivelvollisuus on ehkä NIS2:n tiukin osa. Sinä hetkenä, kun havaitset 'merkittävän poikkeaman' — jonka on tai voi olla vakavia toiminnallisia seurauksia — kello alkaa käydä.

  1. 24 tunnin sisällä: Varhainen varoitus valvojalle sillä tiedolla, joka teillä on.
  2. 72 tunnin sisällä: Päivitetty arvio mukaan lukien hyökkäysvektori ja alustavat vastatoimet.
  3. 1 kuukauden sisällä: Täydellinen loppuraportti juurisyyanalyysillä ja suljetuilla toimilla.

Sakot, henkilökohtainen vastuu ja valvonta

Olennaisille toimijoille sakko voi olla jopa 10 miljoonaa euroa tai 2 prosenttia globaalista vuosiliikevaihdosta — suurempi sovelletaan. Tärkeille toimijoille katto on 7 miljoonaa euroa tai 1,4 prosenttia.

Henkilökohtainen vastuu on uusi elementti. Hallituksen puheenjohtajia ja toimitusjohtajia voidaan väliaikaisesti estää toimimasta johtotehtävissä törkeän huolimattomuuden vuoksi. Kyberturvallisuus on nyt hallituksen asia — ei IT-asia.

Kuusi askelta compliance-valmiuteen

  1. Selvitä tilanne: Koskeeko meitä? Olennainen vai tärkeä? Rekisteröi yritys valvovalle viranomaiselle, jos ei ole vielä tehty.
  2. Gap-analyysi: Mittaa nykytilaa kymmentä vaatimusta vastaan. Olkaa rehellisiä — on halvempaa löytää aukot nyt kuin hyökkäyksen jälkeen.
  3. Riskipohjainen priorisointi: Älkää yrittäkö korjata kaikkea yhtä aikaa. Mitkä ovat todennäköisimmät hyökkäysreitit? Mikä vahingoittaisi eniten? Aloittakaa siitä.
  4. Rakenna poikkeamienhallinta: Määrittele roolit, tee yhteystietolista, harjoitelkaa skenaarioita vähintään kahdesti vuodessa. 24 tunnin ikkuna vaatii, että tiedätte jo, mitä tehdä.
  5. Lukitse toimitusketju: Kartoita kriittiset kolmannet osapuolet. Sopimuksellista turvallisuusvaatimukset. Pyydä SOC 2 -raportit tai ISO 27001 -sertifikaatit.
  6. Dokumentoi kaikki: Politiikat, harjoitukset, poikkeamat, toimet, päätökset. Valvoja haluaa todisteita — ei aikomuksia.

Mitä tämä maksaa, realistisesti?

Keskisuurelle yritykselle (100–500 työntekijää), jolla ei ole kypsää turvallisuutta, ensimmäisen vuoden investointi on tyypillisesti 50 000–200 000 euroa. Se kattaa gap-analyysin, politiikoiden kehittämisen, tekniset kontrollit (MFA, EDR, lokitus), koulutuksen ja poikkeamienhallinnan alustavan käyttöönoton.

Jatkuva toiminta: 1–3 prosenttia IT-budjetista on yleinen peukalosääntö vakiinnutetun turvallisuustyön jälkeen.

Miten Nordic Defence auttaa

Olemme tehneet NIS2-gap-analyyseja pohjoismaisille yrityksille siitä lähtien, kun direktiivi hyväksyttiin. Lähestymistapamme on pragmaattinen: dokumentoimme, mitä teillä on, tunnistamme puuttuvan ja priorisoimme todellisen riskin mukaan — ei sen mukaan, mikä on helpoin rastittaa.

Organisaatioille, joilla ei ole sisäistä SOC-kapasiteettia, tarjoamme SOC-as-a-Service -palvelun 24/7-seurannalla ja poikkeamaresponssilla NIS2-määräaikojen puitteissa. Se tekee teistä raportointivalmiita päivästä yksi.