Kyberturvallisuusvelvoitteet energia-alalla

Kyberturvallisuuslaki on tullut voimaan 8.4.2025. Kansallisella lailla toimeenpannaan kyberturvallisuusdirektiivi (NIS2-direktiivi), jonka tavoitteena on varmistaa yhtenäinen kyberturvallisuuden taso koko Euroopan unionin alueella. NIS2-direktiivi ja kyberturvallisuuslaki korvaavat aiemman verkko- ja tietoturvadirektiivin (NIS1-direktiivi), jonka soveltamisalaan on Suomessa kuulunut energia-alalta sähköverkonhaltijoita ja maakaasun siirtoverkonhaltija. 

Kyberturvallisuuslaki on kaikkia toimialoja koskeva yhteinen yleislaki. Yhä laajempaa joukkoa koskevat kyberturvallisuusvelvoitteet ovat nyt myös aiempaa yksityiskohtaisempia.  

Energia-alalla uuden lainsäädännön piiriin kuuluu sähkön, kaukolämmityksen ja -jäähdytyksen, kaasun, öljyn sekä vedyn toimijoita.

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen sivuilta löydät yleisen tietopaketin NIS2-direktiivistä 

Tämä sivu on päivitetty viimeksi 11.4.2025. 

Kyberturvallisuusverkkosääntö (NCCS)

Euroopan komissio on julkaissut sähköalan kyberturvallisuutta koskevan EU:n verkkosäännön (NCCS) 24.5.2024. Verkkosääntö tulee voimaan 13.6.2024, mutta sitä sovelletaan asteittain eri menetelmien ja suunnitelmien laatimisen myötä.

Kyberturvallisuusverkkosääntöä sovelletaan Suomessa suoraan eli siitä ei säädetä erikseen kansallista lainsäädäntöä. 

Kyberturvallisuusverkkosääntö on komission delegoitu asetus, jolla täydennetään sähkökauppa-asetusta (EU 2019/943) vahvistamalla verkkosääntö rajat ylittävien sähkönsiirtojen kyberturvanäkökohtia koskevista toimialakohtaisista säännöistä. Verkkosääntö sisältää säännöt kyberturvallisuuden riskienhallinnasta, yhteisistä kyberturvallisuuden vähimmäisvaatimuksista, suunnittelusta, seurannasta, raportoinnista ja kriisinhallinnasta. Verkkosäännön on tarkoitus täydentää NIS2-direktiivissä säädettyjä verkko- ja tietojärjestelmien turvallisuutta koskevia yleisiä sääntöjä.

Verkkosäännön perusteella tullaan laatimaan ehtoja, menetelmiä ja suunnitelmia, jotka määrittävät pitkälti verkkosäännön konkreettisen sisällön. Verkkosäännön soveltamisalaan kuuluvat muun muassa sähköalan yritykset ja kriittiset tieto- ja viestintätekniikan palveluntarjoajat. Verkkosäännön lopullinen toimijakohtainen soveltamisala määräytyy kuitenkin vasta myöhemmin määriteltävien kriteerien kautta. Energiavirasto ilmoittaa toimijoille heidän kuulumisestaan verkkosäännön soveltamisalaan.

Verkkosääntö rajat ylittävien sähkönsiirtojen kyberturvanäkökohtia koskevista toimialakohtaisista säännöistä (EU) 2024/1366

Eurooppalaisten kantaverkkoyhtiöiden yhteistyöjärjestö Entso-e:n infovideot (YouTube)