Kyberturvallisuuslain arviointityökalu

Energiaviraston kyberturvallisuuslain arviointityökalulla yritys voi arvioida, onko se kyberturvallisuuslain piiriin kuuluva toimija. Arviointityökalun vastaus on viitteellinen.

Toimijoiden on tarkistettava itse, koskevatko uudet kyberturvallisuusvelvoitteet heitä ja mille viranomaiselle heidän on ilmoittauduttava.

Tarkemmin kyberturvallisuuslain piiriin kuuluvista Energiaviraston valvomista toimijoista löydät ohjeestamme.

Valitse, millä toimialan osalla yritys toimii. Lueteltuna on ainoastaan Energiaviraston valvomat toimialan osat ja toimijatyypit energia-alalla. 


Kaikki kyberturvallisuuslain piiriin kuuluvat toimialat ja valvovat viranomaiset löydät listattuna Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen  yleisessä tietopaketissa NIS2-direktiivistä.


Huomioitavaa: Energia-alan toimijat jakautuvat Energiaviraston ja Turvallisuus- ja kemikaaliviraston (Tukes) valvonnan alle.

  • Sähköalan yritykset, jotka harjoittavat sähköntoimitusta eli myyjät mukaan lukien jälleenmyyjät
  • Jakeluverkonhaltijat
  • Kantaverkonhaltijat
  • Sähkön tuottajat
  • Nimitetyt sähkömarkkinaoperaattorit 
  • Sähkömarkkinoiden osapuolet, jotka tarjoavat aggregointia, kulutusjoustoa tai energian varastointia 
  • Latauspisteiden operaattorit, jotka vastaavat latauspalvelua loppukäyttäjille tarjoavan latauspisteen hallinnoinnista ja toiminnasta, myös liikennepalvelun tarjoajan nimissä ja puolesta.

Kaukolämmityksen tai kaukojäähdytyksen haltijat eli kaukolämmityksen ja -jäähdytyksen jakelijat. Kaukolämmön tai -jäähdytyksen tuottajat, joilla ei ole ollenkaan jakelutoimintaa, jäävät soveltamisalan ulkopuolelle.
  • Jakeluverkonhaltijat
  • Siirtoverkonhaltijat
  • Maakaasun toimittajat eli myyjät mukaan lukien jälleenmyyjät

Vedyn siirtoa harjoittavat toimijat

Velvoitteet koskevat toimijoita ainoastaan, jos ne ovat kooltaan riittävän suuria tai niiden toiminta katsotaan muuten kriittiseksi.

Huomioitavaa: Jos yritys kuuluu konserniin tai sillä on muita omistusyhteyksiä, vaikuttavat näiden yritysten tiedot kokokriteerien arviointiin. 

Tarkista yrityksen kokoarvioinnin määrittely komission suosituksesta 2003/361/EY.

Lisäksi yrityksen tulee tarjota palvelujaan tai harjoittaa toimintaansa Euroopan unionissa.

Keskisuuren yrityksen kriteerit täyttyvät, kun yrityksellä on palveluksessaan vähintään 50 työntekijää tai sen vuosiliikevaihto ja tase ovat yli 10 miljoonaa euroa.

Suuri yritys on yritys, joka ylittää keskisuuren yrityksen kriteerit. Keskisuuren yrityksen kriteerit ylittyvät, kun yrityksellä on palveluksessaan vähintään 250 työntekijää tai sen vuosiliikevaihto on yli 50 miljoonaa euroa ja tase yli 43 miljoonaa euroa. 

 Yritys ei täytä eikä ylitä keskisuuren yrityksen kriteerejä. 

Velvoitteet koskevat toimijoita ainoastaan, jos ne ovat kooltaan riittävän suuria tai niiden toiminta katsotaan muuten kriittiseksi.

Kyberturvallisuuslakia sovelletaan sellaiseen toimijaan sen koosta riippumatta, joka harjoittaa lain liitteissä mainittua tiettyä toimintaa tai on tiettyä toimijatyyppiä, jos:
 

  1. se tarjoaa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen ja jota muut toimijat eivät tarjoa;
  2. häiriö sen tarjoamassa palvelussa vaikuttaisi merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen;
  3. häiriö sen tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia; tai
  4. se on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jonkin Euroopan unionin jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.

Huomioitavaa: Edellä mainituista kriteereistä voidaan antaa tarkempia säännöksiä valtioneuvoston asetuksella. Valtioneuvoston asetusta tarkemmista säännöksistä ei ole vielä annettu. Energiavirasto ohjeistaa, että edellä mainitun mukaiset toimijat jäävät poikkeuskriteerien yhdenmukaisen tulkinnan varmistamiseksi odottamaan valtioneuvoston asetuksen antamista. Jos toimija kuuluu kokonsa vuoksi kyberturvallisuuslain soveltamisalaan, toimijan tulee ilmoittautua Energiavirastolle valvottavaksi toimijaksi. Kun koosta riippumattomien toimijoiden kriteerejä on täsmennetty valtioneuvoston asetuksella, kriteerit täyttävän toimijan on ilmoittauduttava tai päivitettävä ilmoituksensa NIS2-toimijaluetteloon.

Valitse tämä, jos yritys on määritetty kriittisiksi toimijaksi CER-direktiivin (EU) 2022/2557 nojalla. 


Huomioitavaa: CER-direktiivin mukaisia kriittisiä toimijoita ei ole vielä määritetty. Kriittiset toimijat määritetään viimeistään heinäkuussa 2026.

Vastausten perusteella yritys olisi tärkeä toimija Energiaviraston valvomalla toimialalla.

Tutustu Energiaviraston  ohjeeseen kyberturvallisuuslaista ja ilmoittaudu Energiaviraston toimijaluetteloon.

Jos yrityksesi harjoittaa Energiaviraston valvoman toiminnan lisäksi muuta lain piiriin kuuluvaa toimintaa, jota valvoo toinen NIS2-valvova viranomainen, yrityksen on erikseen ilmoittauduttava kaikkien valvovien viranomaisten toimijaluetteloihin.

Kaikki kyberturvallisuuslain piiriin kuuluvat toimialat ja valvovat viranomaiset löydät listattuna Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen yleisessä tietopaketissa NIS2-direktiivistä.

Vastausten perusteella yritys olisi keskeinen toimija Energiaviraston valvomalla toimialalla.

Tutustu Energiaviraston ohjeeseen kyberturvallisuuslaista  ja  ilmoittaudu Energiaviraston toimijaluetteloon.

Jos yrityksesi harjoittaa Energiaviraston valvoman toiminnan lisäksi muuta lain piiriin kuuluvaa toimintaa, jota valvoo toinen NIS2-valvova viranomainen, yrityksen on erikseen ilmoittauduttava kaikkien valvovien viranomaisten toimijaluetteloihin.

Kaikki kyberturvallisuuslain piiriin kuuluvat toimialat ja valvovat viranomaiset löydät listattuna Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen yleisessä tietopaketissa NIS2-direktiivistä.

Vastausten perusteella yritys olisi keskeinen toimija Energiaviraston valvomalla toimialalla.

Huomioitavaa: Olet vastannut joko, että yritys kuuluu lain piiriin koostaan riippumatta tai, että yritys on CER-direktiivin mukainen kriittinen toimija. Ota arviontityökalun vastauksessa huomioon yllä olevat ohjetekstit ja muuta tarvittaessa valintojasi.

Tutustu Energiaviraston  ohjeeseen kyberturvallisuuslaista  ja  ilmoittaudu Energiaviraston toimijaluetteloon.

Jos yrityksesi harjoittaa Energiaviraston valvoman toiminnan lisäksi muuta lain piiriin kuuluvaa toimintaa, jota valvoo toinen NIS2-valvova viranomainen, yrityksen on erikseen ilmoittauduttava kaikkien valvovien viranomaisten toimijaluetteloihin. Kaikki kyberturvallisuuslain piiriin kuuluvat toimialat ja valvovat viranomaiset löydät listattuna Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen yleisessä tietopaketissa NIS2-direktiivistä.

Vastausten perusteella yritys ei olisi kyberturvallisuuslain mukainen toimija Energiaviraston valvomalla toimialalla. Kyberturvallisuuslaki koskee yritystä ainoastaan, jos se on kooltaan riittävän suuri tai sen toiminta katsotaan muuten kriittiseksi.

Olethan huomioinut, että jos yritys kuuluu konserniin tai sillä on muita omistusyhteyksiä, myös näiden yritysten tiedot on huomioitava kokokriteerien arvioinnissa. Tarkista yrityksen kokoarvioinnin määrittely komission suosituksesta 2003/361/EY.

Ups, ei yhtäkään tulosta. Tarkista vastauksesi!

{{ errorText }}

Luodaan PDF. Tämä voi kestää hetken.

Virhe sattui PDF-tiedostoa luotaessa. Koeta uudelleen.