Kyberturvallisuusdirektiivi (NIS2) korvasi aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivin). Sen tavoitteena on vahvistaa ja yhdenmukaistaa Euroopan unionin ja sen jäsenvaltioiden kyberturvallisuuden tasoa direktiivissä määritellyillä kriittisillä toimialoilla, lieventää verkko- ja tietojärjestelmiin kohdistuvia uhkia sekä varmistaa palvelujen jatkuvuus poikkeamatilanteissa.
Suomessa NIS2-direktiivi on toimeenpantu kansallisesti kyberturvallisuuslailla (124/2025), joka astui voimaan 8.4.2025. Lain kautta direktiivin velvoitteet ovat nyt osa kansallista lainsäädäntöä.
Kyberturvallisuuslaki asettaa organisaatiolle velvoitteita muun muassa seuraaviin osa-alueisiin:
riskienhallintaan ja hallintatoimenpiteisiin,
merkittävien tietoturvapoikkeamien ilmoittamiseen valvovalle viranomaiselle,
toimijaluetteloon ilmoittautumiseen soveltuvien organisaatioiden osalta.
NIS2-toimijaksi ilmoittautuminen on organisaation lakisääteinen velvollisuus. Direktiivin kansallisen valmistelun yhteydessä on arvioitu, että Suomessa noin 4 000 organisaatiota kuuluu NIS2-direktiivin soveltamisalaan. Kaikki soveltamisalaan kuuluvat toimijat eivät kuitenkaan ole vielä ilmoittautuneet toimijaluetteloon, vaikka velvoite on ollut voimassa huhtikuusta 2025 lähtien.
Rekisteröitymisen toteutumista seurataan osana viranomaisten valvontaa.
Instan asiantuntijat auttavat organisaatioita arvioimaan, kuuluuko toimintanne kyberturvallisuuslain ja NIS2-direktiivin soveltamisalaan. Tuemme velvoitteiden täyttämisessä, kuten riskienhallinnan kehittämisessä, vaatimusten mukaisen dokumentaation laatimisessa sekä poikkeamien hallinta- ja raportointikäytäntöjen määrittelyssä.
Lue lisää NIS2-direktiivistäNIS2-arvioinnin hyödyt
Varmista liiketoimintasi jatkuvuus myös poikkeustilanteessa
Valmistaudu ja varaudu Suomen lainsäädännön velvoitteisiin
Kasvata johdon tietoisuutta tietoturvasta ja valitse oikeat kyberturvallisuuden hallintatoimenpiteet
Arvioinnin pohjalta laadittava raportti antaa selkeän kokonaiskuvan organisaation nykyisestä kyberturvallisuuden tasosta. Raportti auttaa tunnistamaan keskeiset kehityskohteet ja tukee NIS2-velvoitteiden edellyttämien toimenpiteiden priorisointia.
Arviointi toimii myös osoituksena NIS2-direktiivin velvoitteiden noudattamisesta esimerkiksi asiakasyritykselle tai yhteistyökumppaneille
Nykytilan kartoitus
Nykytilan kartoituksessa Istan asiantuntijat arvioivat organisaation kyberturvallisuuden nykytilan ja valmiudet täyttää kyberturvallisuuslain (NIS2) asettamat vaatimukset. Kartoituksen tavoitteena on muodostaa kokonaiskuva siitä, miten organisaation toiminta vastaa lainsäädännön velvoitteita.
Kartoituksessa tarkastellaan erityisesti:
täyttääkö johto NIS2-direktiivin edellyttämän kouluttautumis- ja vastuuvelvoitteen,
miten kyberturvallisuusriskien hallinta on järjestetty,
miten johto valvoo riskienhallintatoimenpiteiden toteutumista,
onko organisaatiolla riittävät valmiudet poikkeamien raportointiin sekä viranomaisten ennakko- ja jälkivalvontaan.
Riskienhallinta
Riskienhallintatyöpajoissa arvioidaan kyberturvallisuusriskien merkittävyyttä ja varmistetaan, että käytössä olevat hallintatoimenpiteet ovat oikeassa suhteessa tunnistettuihin riskeihin ja toiminnan kriittisyyteen.
Arvioinnin kohteena ovat:
organisaation toimintaan kohdistuva kokonaisriskitaso,
kyberturvallisuusriskien hallintatoimenpiteiden ajantasaisuus ja riittävyys suhteessa tunnistettuihin uhkiin ja lainsäädännön vaatimuksiin.
Loppuraportti
Insta laatii arvioinnin perusteella loppuraportin, joka tukee organisaation kyberturvallisuuden systemaattista kehittämistä ja NIS2-velvoitteiden täyttämistä.
Palvelun lopputuloksena organisaatio saa:
selkeän kokonaiskuvan nykytilasta suhteessa NIS2-vaatimuksiin,
priorisoidun listan tunnistetuista kehityskohteista,
käytännönläheisen tiekartan lainsäädännön velvoitteiden täyttämiseksi ja kyberturvallisuuden kehittämiseksi.
Lue kuinka autoimme asiakkaitamme parantamaan kyberturvaa:
Case Kouvolan Vesi