Tarkista, koskevatko kyberturvallisuusvelvoitteet edustamaasi yritystä

Julkaisuajankohta 25.4.2025 13.04
Tyyppi:Tiedote

Energia-alan yritysten on tarkistettava, koskevatko uuden kyberturvallisuuslain velvoitteet heitä ja ilmoittauduttava tarvittaessa toimivaltaisen valvontaviranomaisen toimijaluetteloon 8.5.2025 mennessä.

Uusi kyberturvallisuuslaki (NIS2) tuo velvoitteita laajalle joukolle eri toimialojen yrityksiä. Energia-alan yritysten on nyt viipymättä tarkistettava, kuuluvatko he uusien velvoitteiden piiriin.  

  1. Tarkista, koskevatko kyberturvallisuusvelvoitteet edustamaasi yritystä, ja mikä viranomainen valvoo yrityksen toimialaa. Huomaa, että jos yrityksen toimintaa valvoo useampi viranomainen, ilmoittautuminen on tehtävä molempien toimijaluetteloihin. 

    Arvioi arviointityökalun avulla, onko yrityksen ilmoittauduttava Energiavirastolle. 
     
  2. Ilmoittaudu tarvittaessa Energiaviraston toimijaluetteloon viimeistään 8.5.2025 tai kuukauden kuluessa siitä, kun toimijan kriteerit täyttyvät. Huomaa, että ilmoituksen tekemistä varten tarvitset valtuuden yrityksen puolesta asiointiin. 

    Katso ohjevideo yrityksiä koskevista kriteereistä ja ilmoituksen tekemisestä Energiaviraston asiointijärjestelmässä. 

Energiaviraston toimijaluetteloon voivat ilmoittautua: 

  • sähkön ja maakaasun verkkoyhtiöt  
  • kaukolämmityksen ja kaukojäähdytyksen jakelijat (kaukolämmön tai -jäähdytyksen tuottajat, joilla ei ole ollenkaan jakelutoimintaa on jätetty soveltamisalan ulkopuolelle)  
  • vedyn siirtoa harjoittavat toimijat  
  • sähkön ja maakaasun toimittajat eli myyjät, mukaan lukien jälleenmyyjät  
  • sähkön tuottajat  
  • latauspisteiden operaattorit 
  • nimitetyt sähkömarkkinaoperaattorit  
  • muut sähkömarkkinoiden osapuolet, jotka tarjoavat aggregointia, kulutusjoustoa tai energian varastointia   

Velvoitteet koskevat yrityksiä ainoastaan, jos ne ovat kooltaan riittävän suuria tai niiden toiminta katsotaan muuten kriittiseksi. On tärkeää huomioida, että jos yritys kuuluu konserniin tai sillä on muita omistusyhteyksiä, myös näiden yritysten tiedot vaikuttavat kokokriteerien arviointiin.  
 
Toimijaluetteloon ilmoittautuminen on yritykselle pakollista, jos yritys täyttää kyberturvallisuustoimijaa koskevat kriteerit. Kehotamme arvioimaan kriteerien täyttymisen huolellisesti Energiaviraston ohjeen perusteella. 

Huomaathan, että energia-alalla Tukesin valvomat toimialat ovat: öljyn jalostus ja jakeluterminaalit, vedyn tuotanto ja varastointi sekä metaanin tuotanto, varastointi ja jalostus. Ohjeistus näille toimialoille löytyy Tukesin sivuilta.     

Riskienhallinta- ja ilmoitusvelvollisuus 

Kyberturvallisuuslaki velvoittaa yritykset pitämään yllä riskienhallinnan toimintamallia viestintäverkkojen, tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta. Riskienhallinnan toimintamallin tulee olla valmiina 8.7.2025 mennessä. 

Lisäksi yrityksillä on velvollisuus ilmoittaa viipymättä havaitsemistaan merkittävistä tietoturvapoikkeamista. NIS2-ilmoitus tehdään Energiavirastolle Kyberturvallisuuskeskuksen ilmoituslomakkeella.  

Energiaviraston ohjeistus kyberturvallisuusvelvoitteista energia-alalla 
Tukesin ohjeistus kyberturvallisuusvelvoitteista 
Kyberturvallisuuskeskuksen yleinen NIS2-tietopaketti 

Tilaa kyberturvallisuus-uutiskirje 

Lisätiedot 

  • jätä lisätietopyyntö meille mieluiten sähköpostiin: [email protected]
  • johtava asiantuntija Tarvo Siukola, puh. 029 5050 074 ja verkkoinsinööri Santeri Vauhkonen puh. 029 5050 115. 
Sähkö ja maakaasumarkkinat Sähkö ja maakaasuverkot Tiedote