Kyberturvallisuuslaki tulee voimaan 8.4.2025. Lailla pannaan täytäntöön Euroopan unionin kyberturvallisuusdirektiivi (NIS2). Tuore lainsäädäntö tuo uusia kyberturvallisuutta koskevia riskienhallinnan ja raportoinnin velvoitteita aiempaa laajemmalle joukolle yrityksiä. Energia-alan yritysten on nyt tarkistettava itse, koskevatko uudet velvoitteet heitä ja tarvittaessa ilmoittauduttava valvovalle viranomaiselle.
Uudella kyberturvallisuuslailla pannaan täytäntöön Euroopan unionin kyberturvallisuusdirektiivi (NIS2-direktiivi). Lain piiriin kuuluvia yrityksiä kutsutaan toimijoiksi: toimijoiden on ilmoittauduttava valvovan viranomaisen ylläpitämään toimijaluetteloon viimeistään 8.5.2025 tai kuukauden kuluessa siitä, kun toimijan kriteerit täyttyvät.
NIS2-direktiivin tavoitteena on varmistaa yhtenäinen kyberturvallisuuden taso kriittisillä sektoreilla koko Euroopan unionin alueella. Uuden direktiivin ja nyt hyväksytyn lain myötä kyberturvallisuusvelvoitteet koskevat entistä laajempaa joukkoa yrityksiä ja ne ovat aiempaa yksityiskohtaisempia.
Kyberturvallisuuslaki on kaikkia toimialoja koskeva yhteinen yleislaki. NIS2-direktiivi ja uusi laki korvaavat aiemman verkko- ja tietoturvadirektiivin (NIS1-direktiivi), jonka soveltamisalaan on Suomessa kuulunut energia-alalta sähköverkkoyhtiöitä ja maakaasun siirtoverkkoyhtiö.
Kriteereinä yrityksen koko ja toiminnan kriittisyys
Energia-alalla uuden kyberturvallisuuslain piiriin kuuluu sähkön, kaukolämmityksen ja -jäähdytyksen, kaasun, öljyn sekä vedyn toimijoita. Valvontatoimivalta on jaettu Energiaviraston ja Turvallisuus- ja kemikaaliviraston (Tukes) kesken. Energia-alan yrityksen on itse tarkistettava, kuuluuko se lain piiriin ja mihin viranomaisten toimijaluetteloihin sen on ilmoittauduttava.
Energiaviraston valvomia toimijoita energia-alalla ovat:
- sähkön ja maakaasun verkkoyhtiöt
- kaukolämmityksen ja kaukojäähdytyksen jakelijat (kaukolämmön tai -jäähdytyksen tuottajat, joilla ei ole ollenkaan jakelutoimintaa on jätetty soveltamisalan ulkopuolelle)
- vedyn siirtoa harjoittavat toimijat
- sähkön ja maakaasun toimittajat eli myyjät, mukaan lukien jälleenmyyjät
- sähkön tuottajat
- latauspisteiden operaattorit*
- nimitetyt sähkömarkkinaoperaattorit
- muut sähköalan yritykset, jotka tarjoavat aggregointia, kulutusjoustoa tai energian varastointia
Velvoitteet koskevat yrityksiä ainoastaan, jos ne ovat kooltaan riittävän suuria tai niiden toiminta katsotaan muuten kriittiseksi. Kriteerit on kuvattu Energiaviraston verkkosivuilla.
Suosittelemme seuraamaan Energiaviraston verkkosivujen ohjeistusta ja tilaamaan kyberturvallisuus-uutiskirjeemme.
Tietoa kyberturvallisuusvelvoitteista energia-alan toimijoille
Tilaa Kyberturvallisuus-uutiskirje
Traficomin Kyberturvallisuuskeskuksen tietopaketti NIS2-direktiivistä
Kyberturvallisuuslaki
Lisätiedot: annamme lisätietoja mieluiten sähköpostitse: [email protected]. Juristi Minna Koivula, puh. 029 5050 010 ja johtava asiantuntija Tarvo Siukola, puh. 029 5050 074.
* päivitetty 11.4.2025
