Kyberturvallisuusdirektiivi (NIS2)

Kyberturvallisuusdirektiivi NIS2:n toimeenpanoa valmistellaan parhaillaan ja se tulee osaksi kansallista lainsäädäntöä viimeistään 17.10.2024. Säännökset tulevat sovellettaviksi viimeistään 18.10.2024 alkaen. 

NIS2-direktiivin tavoitteena on varmistaa yhtenäinen kyberturvallisuuden taso koko Euroopan unionin alueella. Uuden direktiivin myötä kyberturvallisuusvelvoitteet koskevat entistä laajempaa joukkoa ja ne ovat aiempaa yksityiskohtaisempia.

NIS2-direktiivistä valmistellaan kaikkia toimialoja koskevaa yhteistä yleislakia. Uusi direktiivi korvaa nyt voimassa olevan verkko- ja tietoturvadirektiivin (NIS), jonka soveltamisalaan on kuulunut energia-alalta sähköverkonhaltijat ja maakaasun siirtoverkonhaltija. NIS-direktiivin myötä tehdyt muutokset sähkömarkkinalakiin ja maakaasumarkkinalakiin ollaan kumoamassa.

Tämä sivu on päivitetty viimeksi 24.5.2024.

Kyberturvallisuusverkkosääntö (NCCS)

Euroopan komissio on julkaissut sähköalan kyberturvallisuutta koskevan EU:n verkkosäännön (NCCS) 24.5.2024. Verkkosääntö tulee voimaan 13.6.2024, mutta sitä sovelletaan asteittain eri menetelmien ja suunnitelmien laatimisen myötä.

Kyberturvallisuusverkkosääntöä sovelletaan Suomessa suoraan eli siitä ei säädetä erikseen kansallista lainsäädäntöä. 

Kyberturvallisuusverkkosääntö on komission delegoitu asetus, jolla täydennetään sähkökauppa-asetusta (EU 2019/943) vahvistamalla verkkosääntö rajat ylittävien sähkönsiirtojen kyberturvanäkökohtia koskevista toimialakohtaisista säännöistä. Verkkosääntö sisältää säännöt kyberturvallisuuden riskienhallinnasta, yhteisistä kyberturvallisuuden vähimmäisvaatimuksista, suunnittelusta, seurannasta, raportoinnista ja kriisinhallinnasta. Verkkosäännön on tarkoitus täydentää NIS2-direktiivissä säädettyjä verkko- ja tietojärjestelmien turvallisuutta koskevia yleisiä sääntöjä.

Verkkosäännön perusteella tullaan laatimaan ehtoja, menetelmiä ja suunnitelmia, jotka määrittävät pitkälti verkkosäännön konkreettisen sisällön. Verkkosäännön soveltamisalaan kuuluvat muun muassa sähköalan yritykset ja kriittiset tieto- ja viestintätekniikan palveluntarjoajat. Verkkosäännön lopullinen toimijakohtainen soveltamisala määräytyy kuitenkin vasta myöhemmin määriteltävien kriteerien kautta. Energiavirasto ilmoittaa toimijoille heidän kuulumisestaan verkkosäännön soveltamisalaan.

Verkkosääntö rajat ylittävien sähkönsiirtojen kyberturvanäkökohtia koskevista toimialakohtaisista säännöistä (EU) 2024/1366