Kyberturvallisuusvelvoitteet energia-alalla

Lain piiriin kuuluvia kutsutaan toimijoiksi. Energia-alalla uuden lainsäädännön piiriin kuuluu sähkön, kaukolämmityksen ja -jäähdytyksen, kaasun, öljyn sekä vedyn toimijoita. 

Energia-alan toimijat jakautuvat Energiaviraston ja Turvallisuus- ja kemikaaliviraston (Tukes) valvonnan alle. Toimijoiden on tarkistettava itse, koskevatko uudet kyberturvallisuusvelvoitteet heitä ja mille viranomaiselle heidän on ilmoittauduttava. 

Energiaviraston valvomat toimijat: 

• sähkön ja maakaasun verkonhaltijat 
• kaukolämmityksen ja kaukojäähdytyksen jakelijat (kaukolämmön tai -jäähdytyksen tuottajat, joilla ei ole ollenkaan jakelutoimintaa, jäävät soveltamisalan ulkopuolelle) 
• vedyn siirtoa harjoittavat toimijat 
• sähkön ja maakaasun toimittajat eli myyjät mukaan lukien jälleenmyyjät 
• sähkön tuottajat 
• latauspisteiden operaattorit 
• nimitetyt sähkömarkkinaoperaattorit 
• muut sähkömarkkinoiden osapuolet, jotka tarjoavat aggregointia, kulutusjoustoa tai energian varastointia  

Velvoitteet koskevat toimijoita ainoastaan, jos ne ovat kooltaan riittävän suuria tai niiden toiminta katsotaan muuten kriittiseksi: 

1. Toimija täyttää tai ylittää keskisuuria yrityksiä koskevat komission suosituksen 2003/361/EY edellytykset ja tarjoaa palvelujaan tai harjoittaa toimintaansa Euroopan unionissa: 
   • Keskisuuren yrityksen kriteerit täyttyvät, kun yrityksellä on palveluksessaan vähintään 50 työntekijää tai sen vuosiliikevaihto ja tase ovat yli 10 miljoonaa euroa.  
   • Keskisuuren yrityksen kriteerit ylittyvät, kun yrityksellä on palveluksessaan vähintään 250 työntekijää tai sen vuosiliikevaihto on yli 50 miljoonaa euroa ja tase yli 43 miljoonaa euroa.  
2. Toimija on määritetty kriittisiksi toimijaksi CER-direktiivin (EU) 2022/2557 nojalla. Toimijat määritetään viimeistään heinäkuussa 2026. 
3. Toimijat koosta riippumatta, jos  
   • Toimija tarjoaa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen, ja jota muut toimijat eivät tarjoa. 
   • Häiriö toimijan tarjoamassa palvelussa vaikuttaisi merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen. 
   • Häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia. 
   • Toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jonkin Euroopan unionin jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta. 

Huomioitavaa: 3. kohdan kriteereistä voidaan antaa tarkempia säännöksiä valtioneuvoston asetuksella. Valtioneuvoston asetusta tarkemmista säännöksistä ei ole vielä annettu. Energiavirasto ohjeistaa, että 3. kohdan mukaiset toimijat jäävät poikkeuskriteerien yhdenmukaisen tulkinnan varmistamiseksi odottamaan valtioneuvoston asetuksen antamista. Jos toimija kuuluu kokonsa vuoksi kyberturvallisuuslain soveltamisalaan, toimijan tulee ilmoittautua Energiavirastolle valvottavaksi toimijaksi. Kun koosta riippumattomien toimijoiden kriteerejä on täsmennetty valtioneuvoston asetuksella, kriteerit täyttävän toimijan on ilmoittauduttava tai päivitettävä ilmoituksensa NIS2-toimijaluetteloon. 

Toimijat jaetaan tärkeisiin ja keskeisiin toimijoihin. Tärkeitä toimijoita ovat keskisuuret yritykset. Keskeisiä toimijoita ovat keskisuuren yrityksen määritelmän ylittävät toimijat eli suuret yritykset, CER-direktiivin mukaiset kriittiset toimijat ja muut koostaan riippumatta lain piiriin kuuluvat toimijat.  

Huomioitavaa: Velvoitteet koskevat yhtä lailla tärkeitä ja keskeisiä toimijoita, mutta viranomainen valvoo näitä eri tavoin. Valvonta kohdistetaan keskeisiin toimijoihin. Tärkeään toimijaan kohdistetaan valvontaa, jos viranomaisella on perusteltu syy epäillä, että tämä ei ole noudattanut velvoitteitaan.  

Komission suositus pienten ja keskisuurten yritysten määritelmästä 2003/361/EY
Komission käyttöopas pk-yrityksen määritelmästä (pdf)

Ohje Energiaviraston valvomille toimijoille kyberturvallisuuslain noudattamiseksi (pdf)

Energiaviraston valvomien energia-alan toimijoiden on ilmoittauduttava NIS2-toimijaluetteloon. 

• Perehdy ennen ilmoittautumisen tekemistä ohjeeseen.
• Ilmoittaudu toimijaluetteloon Energiaviraston VERTTI-valvontatietojärjestelmässä 8.5.2025 mennessä, tai kuukauden kuluessa siitä, kun toimijan kriteerit täyttyvät.
• Jos toimintaa valvoo useampi NIS-viranomainen, ilmoittautuminen on tehtävä myös toisten viranomaisten toimijaluetteloihin. 

Ohje Energiaviraston valvomille toimijoille kyberturvallisuuslain noudattamiseksi (pdf)

Ilmoittaudu toimijaluetteloon

Toimijan on tunnistettava, arvioitava ja hallittava riskejä, joita kohdistuu sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Kyberturvallisuutta koskevalla riskienhallinnalla tulee estää tai minimoida poikkeamien vaikutus toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin.  

Toimijan on toteutettava ajantasaiset, oikeasuhtaiset ja riittävät riskienhallintatoimenpiteet suhteessa sen toiminnassa käyttämiin viestintäverkkoihin ja tietojärjestelmiin kohdistuviin riskeihin. Toteutuksessa on huomioitava, kuinka merkittävä viestintäverkko tai tietojärjestelmä on toiminnan ja palveluntarjonnan kannalta. 

Riskienhallinnan toimintamalli 

Toimijalla on oltava käytössä ajantasainen kyberturvallisuutta koskeva riskienhallinnan toimintamalli viestintäverkkojen, tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta.  

Toimintamallissa on tunnistettava viestintäverkkoihin ja tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvat riskit (kaikki vaaratekijät huomioiva lähestymistapa) ja määritettävä sekä kuvattava riskienhallinnan tavoitteet, menettelyt ja vastuut sekä hallintatoimenpiteet. 

Kyberturvallisuutta koskeva riskienhallinnan toimintamalli voi olla osa toimijan laajempaa riskienhallintasuunnitelmaa, jossa huomioidaan myös muita toimintaan kohdistuvia riskejä tai osa muuta turvallisuusvarautumista. 

Kyberturvallisuutta koskeva riskienhallinnan toimintamallia on pidettävä ajantasaisena. Riskienhallinnan toimintamalli on laadittava kolmen kuukauden kuluessa lain voimaantulosta (viimeistään 8.7.2025) tai siitä, kun toimijan kriteerit täyttyvät. 

Toimijoiden on toteutettava kyberturvallisuutta koskevan riskienhallinnan toimintamallin mukaiset oikeasuhtaiset tekniset, operatiiviset tai organisatoriset hallintatoimenpiteet viestintäverkkojen ja tietojärjestelmien turvallisuuteen kohdistuvien riskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi. Kyberturvallisuuslaissa on 12 kohtainen luettelo osa-alueista, jotka toimijan on otettava huomioon kyberturvallisuuden riskienhallinnan toimintamallin luomisessa ja tarpeellisten riskienhallintatoimenpiteiden määrittelyssä. 

Ohje Energiaviraston valvomille toimijoille kyberturvallisuuslain noudattamiseksi (pdf)  
Suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä

Toimijan on ilmoitettava Energiavirastolle merkittävästä poikkeamasta viipymättä. Ilmoitus tehdään Energiavirastolle Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen ilmoituslomakkeella. Ilmoituksen tiedot välittyvät molemmille viranomaisille. 

Merkittävällä poikkeamalla tarkoitetaan poikkeamaa, joka  

1. on aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön,  
2. on aiheuttanut tai voi aiheuttaa huomattavia taloudellisia tappioita asianomaiselle toimijalle, tai 
3. on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. 

Poikkeamalla tarkoitetaan tapahtumaa, joka vaarantaa viestintäverkoissa ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen tai palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. 

Energiavirasto suosittelee energia-alan toimijoita tekemään NIS2-ilmoituksen aina, kun havaitusta poikkeamasta voi aiheutua palvelujen toimintahäiriö. 

Ilmoitukset tehdään Energiavirastolle. Ilmoitusvelvollisuus on kolmivaiheinen: 

1. Ensi-ilmoitus 24 tunnin kuluessa merkittävän poikkeaman havaitsemisesta. 
2. Jatkoilmoitus 72 tunnin kuluessa merkittävän poikkeaman havaitsemisesta. 
3. Loppuraportti kuukauden kuluessa jatkoilmoituksen toimittamisesta tai pitkäkestoisissa poikkeamissa kuukauden kuluessa poikkeaman käsittelyn päättymisestä. Jos merkittävä poikkeama on pitkäkestoinen, toimijan on annettava väliraportti viimeistään kuukauden kuluttua jatkoilmoituksen antamisesta. 

Ohje Energiaviraston valvomille toimijoille kyberturvallisuuslain noudattamiseksi (pdf)  
Tee NIS2-ilmoitus

• Kyberturvallisuuslaki
• NIS2-direktiivi
• CER-direktiivi
• Komission suositus 2003/361/EY mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä
• Käyttöopas pk-yrityksen määritelmästä

• Energiavirasto ja Tukes valvovat NIS2-velvoitteiden toteutumista energia-alalla.
• Liikenne- ja viestintäviraston Kyberturvallisuuskeskus avustaa toimijoita tietoturvaloukkausten käsittelyssä sekä pitää yllä kyberturvallisuuden tilannekuvaa. Kyberturvallisuuskeskus on koonnut yleisen tietopaketin NIS2-direktiivistä.
• CER-direktiivin kansallista lainsäädäntöä on valmistellut sisäministeriö.

Ota meihin yhteyttä: [email protected].