Energia-alan yritysten on tarkistettava, koskevatko uuden kyberturvallisuuslain velvoitteet heitä ja ilmoittauduttava tarvittaessa toimivaltaisen valvontaviranomaisen toimijaluetteloon 8.5.2025 mennessä.
Uusi kyberturvallisuuslaki (NIS2) tuo velvoitteita laajalle joukolle eri toimialojen yrityksiä. Energia-alan yritysten on nyt viipymättä tarkistettava, kuuluvatko he uusien velvoitteiden piiriin.
- Tarkista, koskevatko kyberturvallisuusvelvoitteet edustamaasi yritystä, ja mikä viranomainen valvoo yrityksen toimialaa. Huomaa, että jos yrityksen toimintaa valvoo useampi viranomainen, ilmoittautuminen on tehtävä molempien toimijaluetteloihin.
Arvioi arviointityökalun avulla, onko yrityksen ilmoittauduttava Energiavirastolle.
- Ilmoittaudu tarvittaessa Energiaviraston toimijaluetteloon viimeistään 8.5.2025 tai kuukauden kuluessa siitä, kun toimijan kriteerit täyttyvät. Huomaa, että ilmoituksen tekemistä varten tarvitset valtuuden yrityksen puolesta asiointiin.
Katso ohjevideo yrityksiä koskevista kriteereistä ja ilmoituksen tekemisestä Energiaviraston asiointijärjestelmässä.
Energiaviraston toimijaluetteloon voivat ilmoittautua:
- sähkön ja maakaasun verkkoyhtiöt
- kaukolämmityksen ja kaukojäähdytyksen jakelijat (kaukolämmön tai -jäähdytyksen tuottajat, joilla ei ole ollenkaan jakelutoimintaa on jätetty soveltamisalan ulkopuolelle)
- vedyn siirtoa harjoittavat toimijat
- sähkön ja maakaasun toimittajat eli myyjät, mukaan lukien jälleenmyyjät
- sähkön tuottajat
- latauspisteiden operaattorit
- nimitetyt sähkömarkkinaoperaattorit
- muut sähkömarkkinoiden osapuolet, jotka tarjoavat aggregointia, kulutusjoustoa tai energian varastointia
Velvoitteet koskevat yrityksiä ainoastaan, jos ne ovat kooltaan riittävän suuria tai niiden toiminta katsotaan muuten kriittiseksi. On tärkeää huomioida, että jos yritys kuuluu konserniin tai sillä on muita omistusyhteyksiä, myös näiden yritysten tiedot vaikuttavat kokokriteerien arviointiin.
Toimijaluetteloon ilmoittautuminen on yritykselle pakollista, jos yritys täyttää kyberturvallisuustoimijaa koskevat kriteerit. Kehotamme arvioimaan kriteerien täyttymisen huolellisesti Energiaviraston ohjeen perusteella.
Huomaathan, että energia-alalla Tukesin valvomat toimialat ovat: öljyn jalostus ja jakeluterminaalit, vedyn tuotanto ja varastointi sekä metaanin tuotanto, varastointi ja jalostus. Ohjeistus näille toimialoille löytyy Tukesin sivuilta.
Riskienhallinta- ja ilmoitusvelvollisuus
Kyberturvallisuuslaki velvoittaa yritykset pitämään yllä riskienhallinnan toimintamallia viestintäverkkojen, tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta. Riskienhallinnan toimintamallin tulee olla valmiina 8.7.2025 mennessä.
Lisäksi yrityksillä on velvollisuus ilmoittaa viipymättä havaitsemistaan merkittävistä tietoturvapoikkeamista. NIS2-ilmoitus tehdään Energiavirastolle Kyberturvallisuuskeskuksen ilmoituslomakkeella.
Energiaviraston ohjeistus kyberturvallisuusvelvoitteista energia-alalla
Tukesin ohjeistus kyberturvallisuusvelvoitteista
Kyberturvallisuuskeskuksen yleinen NIS2-tietopaketti
Tilaa kyberturvallisuus-uutiskirje
Lisätiedot
- jätä lisätietopyyntö meille mieluiten sähköpostiin: [email protected].
- johtava asiantuntija Tarvo Siukola, puh. 029 5050 074 ja verkkoinsinööri Santeri Vauhkonen puh. 029 5050 115.
