Kyberturvallisuusdirektiivi (NIS2)

Kyberturvallisuusdirektiivi NIS2:n kansallista toimeenpanoa valmistellaan parhaillaan. Hallituksen esitys eduskunnalle NIS2-direktiivin täytäntöönpanoa koskevaksi lainsäädännöksi on edelleen eduskunnan käsittelyssä, joten lakia ei ole ehditty saattaa voimaan alkuperäisen aikataulun mukaisesti 18.10.2024. Lain säätämisen etenemistä voi seurata eduskunnan sivuilta.

NIS2-direktiivin tavoitteena on varmistaa yhtenäinen kyberturvallisuuden taso koko Euroopan unionin alueella. Uuden direktiivin myötä kyberturvallisuusvelvoitteet koskevat entistä laajempaa joukkoa ja ne ovat aiempaa yksityiskohtaisempia.

NIS2-direktiivistä valmistellaan kaikkia toimialoja koskevaa yhteistä yleislakia. Uusi direktiivi korvaa nyt voimassa olevan verkko- ja tietoturvadirektiivin (NIS), jonka soveltamisalaan on kuulunut energia-alalta sähköverkonhaltijat ja maakaasun siirtoverkonhaltija. NIS-direktiivin myötä tehdyt muutokset sähkömarkkinalakiin ja maakaasumarkkinalakiin ollaan kumoamassa.

Tämä sivu on päivitetty viimeksi 11.12.2024.

Kyberturvallisuusverkkosääntö (NCCS)

Euroopan komissio on julkaissut sähköalan kyberturvallisuutta koskevan EU:n verkkosäännön (NCCS) 24.5.2024. Verkkosääntö tulee voimaan 13.6.2024, mutta sitä sovelletaan asteittain eri menetelmien ja suunnitelmien laatimisen myötä.

Kyberturvallisuusverkkosääntöä sovelletaan Suomessa suoraan eli siitä ei säädetä erikseen kansallista lainsäädäntöä. 

Kyberturvallisuusverkkosääntö on komission delegoitu asetus, jolla täydennetään sähkökauppa-asetusta (EU 2019/943) vahvistamalla verkkosääntö rajat ylittävien sähkönsiirtojen kyberturvanäkökohtia koskevista toimialakohtaisista säännöistä. Verkkosääntö sisältää säännöt kyberturvallisuuden riskienhallinnasta, yhteisistä kyberturvallisuuden vähimmäisvaatimuksista, suunnittelusta, seurannasta, raportoinnista ja kriisinhallinnasta. Verkkosäännön on tarkoitus täydentää NIS2-direktiivissä säädettyjä verkko- ja tietojärjestelmien turvallisuutta koskevia yleisiä sääntöjä.

Verkkosäännön perusteella tullaan laatimaan ehtoja, menetelmiä ja suunnitelmia, jotka määrittävät pitkälti verkkosäännön konkreettisen sisällön. Verkkosäännön soveltamisalaan kuuluvat muun muassa sähköalan yritykset ja kriittiset tieto- ja viestintätekniikan palveluntarjoajat. Verkkosäännön lopullinen toimijakohtainen soveltamisala määräytyy kuitenkin vasta myöhemmin määriteltävien kriteerien kautta. Energiavirasto ilmoittaa toimijoille heidän kuulumisestaan verkkosäännön soveltamisalaan.

Verkkosääntö rajat ylittävien sähkönsiirtojen kyberturvanäkökohtia koskevista toimialakohtaisista säännöistä (EU) 2024/1366

Eurooppalaisten kantaverkkoyhtiöiden yhteistyöjärjestö Entso-e:n infovideot (YouTube)