Suomen kyberturvallisuuslaki astui voimaan 8.4.2025, ja vuonna 2026 valvonta ja auditoinnit ovat jo täydessä vauhdissa. Euroopan komissio esitteli 20.1.2026 uusia tietoturvaehdotuksia osana laajempaa kyberturvallisuuspakettia, mikä yksinkertaistaa 28 700 yrityksen vaatimustenmukaisuutta EU:ssa, mukaan lukien 6 200 mikro- ja pienyritystä.
Kyberturvallisuuslainsäädännön historia ja kehitys
Euroopan unionin ensimmäinen verkko- ja tietojärjestelmien turvallisuusdirektiivi (NIS) tuli voimaan vuonna 2016, luoden perustan yhtenäiselle kyberturvallisuudelle jäsenmaissa. Tämä alkuperäinen direktiivi koski vain rajattua määrää kriittisiä toimialoja ja suurimpia toimijoita.
NIS2-direktiivi hyväksyttiin EU:ssa tammikuussa 2023, ja se korvaa alkuperäisen NIS-direktiivin. Suomi kärsi viivästyksestä direktiivin toimeenpanossa, sillä alun perin kyberturvallisuuslain piti astua voimaan 18.10.2024, mutta eduskunta hyväksyi lain vasta maaliskuussa 2025.
Finanssiala sai oman erityislainsäädäntönsä DORA-asetuksen (Digital Operational Resilience Act) muodossa, joka hyväksyttiin marraskuussa 2022. DORA on ensimmäinen EU-asetus, joka on erikseen kohdennettu yhdelle spesifille sektorille kyberturvallisuuden osalta.
Tekoälyasetus (AI Act) tuli voimaan elokuussa 2024, ja sitä otetaan käyttöön portaittain vuosien 2025–2026 aikana. Elokuussa 2026 astuvat voimaan merkittävät velvoitteet korkeariskisten AI-järjestelmien kehittäjille.
NIS2-direktiivi ja kyberturvallisuuslaki
NIS2-direktiivin tavoitteena on varmistaa yhdenmukainen kyberturvallisuuden taso koko Euroopan unionissa. Direktiivi laajentaa merkittävästi soveltamisalaansa verrattuna alkuperäiseen NIS-direktiiviin, kattaen nyt useita yhteiskunnan toiminnan kannalta kriittisiä toimialoja.
Suomessa kyberturvallisuuslaki koskee yrityksiä, joilla on vähintään 50 työntekijää tai joiden vuosiliikevaihto ja tase ylittävät 10 miljoonaa euroa. Suuren yrityksen kriteerit täyttyvät, kun yrityksellä on palveluksessaan vähintään 250 työntekijää tai sen vuosiliikevaihto on yli 50 miljoonaa euroa ja tase yli 43 miljoonaa euroa.
| Toimiala | Valvova viranomainen | Keskeisimmät velvoitteet |
|---|---|---|
| Energia | Energiavirasto | Riskienhallinta, poikkeamailmoitukset 24h |
| Liikenne | Traficom | Kyberturvallisuuden johtamisjärjestelmä |
| Terveydenhuolto | Valvira | Toimitusketjun hallinta |
| Juomavesi | Etelä-Savon ELY-keskus | Harjoitukset ja koulutus |
| Digitaalinen infra | Traficom | Monivaikutteisuuden käyttö |
| Elintarvikkeet | Ruokavirasto | Salausmenetelmät |
| Kemikaalit | Tukes | Varmuuskopiointi ja palautus |
| Lääkkeet | Fimea | Haavoittuvuuksien hallinta |
Yritysten tulee rekisteröityä valvovalle viranomaiselleen viimeistään 8.5.2025. Riskienhallintakehys on oltava käytössä 8.7.2025 mennessä. Poikkeamailmoitukset alkoivat heti lain voimaantulopäivästä 8.4.2025.
Sanktiot ja valvonta
Kyberturvallisuuslain rikkomisesta voidaan määrätä hallinnollisia seuraamuksia, kuten varoituksia, uhkasakkoja tai jopa toimintakieltoja. Vakavimmissa tapauksissa sakot voivat olla jopa 10 miljoonaa euroa tai kaksi prosenttia konsernin maailmanlaajuisesta liikevaihdosta, sen mukaan kumpi on suurempi.
Traficomin alaisuuteen on perustettu erillinen seuraamuslautakunta, joka vastaa hallinnollisten seuraamusten määräämisestä valvovan viranomaisen esityksestä. Kyberturvallisuuskeskuksen mukaan vuoden 2026 huhtikuussa raportoitiin 87 Microsoft 365 -tilin murtumistapausta.
Yrityksen johto ja hallitus kantavat lopullisen vastuun riittävästä kyberturvallisuudesta. Yksittäisiä hallituksen jäseniä voidaan pitää henkilökohtaisesti vastuullisina, jos he laiminlyövät velvollisuutensa varmistaa yrityksen kyberturvallisuusvelvoitteiden noudattaminen.
DORA-asetus finanssialalle
DORA (Digital Operational Resilience Act) on erityisesti finanssialaa koskeva EU-asetus, joka tuli sovellettavaksi tammikuussa 2025. Toisin kuin direktiivit, asetus on suoraan sovellettavaa lainsäädäntöä kaikissa EU-maissa ilman kansallista täytäntöönpanoa.
DORA keskittyy varmistamaan, että finanssialan toimijat voivat kestää kyberhyökkäyksiä ja toimia niistä huolimatta. Asetus kattaa pankit, vakuutusyhtiöt, sijoituspalveluyritykset sekä näiden kriittiset ICT-palveluntarjoajat.
Keskeiset DORA-vaatimukset sisältävät ICT-riskienhallinnan kehyksen, operatiivisen resilienssin testauksen, kolmansien osapuolten riskienhallinnan sekä merkittävien ICT-poikkeamien raportoinnin. Finanssialan toimijoiden on myös varmistettava, että niiden kriittiset ICT-palveluntarjoajat täyttävät asetuksen vaatimukset.
Kyberresilienssiasetus ja AI Act
Suomen hallitus esitti 28.5.2026 kansallista lainsäädäntöä EU:n kyberresilienssiä täydentävän asetuksen (CRA) tueksi. Lait tulevat voimaan 1.6.2026, ja siirtymäkaudet ulottuvat vuosien 2026–2027 aikana.
CRA astui voimaan 10.12.2024. Asetuksen tärkeimmät velvoitteet tulevat sovellettaviksi 11.12.2027 alkaen, mutta raportointivelvoitteet alkavat jo 11.9.2026. Kyberresilienssiasetus pyrkii lisäämään tuotteiden kyberturvallisuutta vaatimalla laitevalmistajilta ja ohjelmistokehittäjiltä tuotteiden suunnittelua ja valmistusta olennaisten kyberturvallisuusvaatimusten mukaisesti.
| Sääntely | Voimaantulo | Soveltamisala | Maksimi sanktio |
|---|---|---|---|
| NIS2 (Suomi) | 8.4.2025 | Kriittiset toimialat | 10M€ tai 2% liikevaihdosta |
| DORA | 17.1.2025 | Finanssiala | 1% liikevaihdosta |
| CRA | 11.12.2027 | Digitaaliset tuotteet | 15M€ tai 2,5% liikevaihdosta |
| AI Act | Vaiheittain 2025-2026 | AI-järjestelmät | 35M€ tai 7% liikevaihdosta |
| GDPR | 25.5.2018 | Henkilötiedot | 20M€ tai 4% liikevaihdosta |
EU:n tekoälyasetus (AI Act) tuli voimaan elokuussa 2024 ja sitä otetaan käyttöön portaittain. Elokuussa 2026 voimaan astuvat korkeariskisten AI-järjestelmien vaatimukset. Asetusta tulee tulkita osana suurempaa sääntelykokonaisuutta, sillä GDPR:n vaatimukset soveltuvat myös tekoälyn käyttöön.
Digitaalinen identiteetti ja tulevaisuuden näkymät
Eurooppalainen digitaalinen identiteettilompakko on merkittävä hanke, joka etenee vuonna 2026. Jokaisen EU-maan on tarjottava vähintään yksi eID-lompakko kansalaisilleen ja asukkailleen vuoden 2026 loppuun mennessä. Yritysten on hyväksyttävä lompakot marraskuuhun 2027 mennessä.
Komission 20.1.2026 esittämä kyberturvallisuuspaketti sisältää ehdotuksia kyberturvallisuuslain tarkistamiseksi ja NIS2-direktiivin muuttamiseksi. Tarkistettu laki parantaisi tuotteiden kyberturvallisuutta suunnitteluvaiheessa, yksinkertaistaisi sertifiointia ja helpottaisi kyberturvallisuussääntöjen noudattamista.
EU:n Omnibus-paketti sisältää myös AI Actia koskevia ehdotuksia. Niiden tarkoituksena on yhdenmukaistaa määräaikoja, tehostaa päällekkäisiä velvoitteita, poistaa tarpeettomia hallinnollisia kuormituksia sekä selkeyttää AI Act -asetuksen ja muun EU-lainsäädännön välistä vuorovaikutusta.
Käytännön vaikutukset yrityksille
Kyberturvallisuuslainsäädäntö vaikuttaa yrityksiin monella tasolla. Ensinnäkin yritysten on itse selvitettävä, kuuluvatko ne jonkin sääntelyn piiriin. Tämä voi olla haastavaa, koska eri säädökset määrittelevät soveltamisalansa eri tavoin.
Elisan tutkimuksen mukaan 75 prosenttia organisaatioista aikoo kasvattaa kyberturvallisuusbudjettiaan, mutta vain 28 prosenttia IT- ja tietoturvajohtajista uskoo investointien olevan riittäviä. Tämä osoittaa merkittävän kuilun tarpeiden ja resurssien välillä.
Toimitusketjun hallinta nousee keskeiseksi haasteeksi. Vaikka oma yritys ei kuuluisi suoraan sääntelyn piiriin, vaikutukset voivat tulla asiakassuhteiden kautta. Suuret yritykset vaativat yhä useammin alihankkijoiltaan todistuksia kyberturvallisuuden tasosta.
Poikkeamailmoitusten tiukat aikarajat luovat paineita yrityksille. Ensimmäinen ilmoitus on tehtävä 24 tunnin sisällä poikkeaman havaitsemisesta, seurantaraportti 72 tunnin sisällä ja loppuraportti kuukauden kuluessa. Tämä vaatii tehokkaita prosesseja ja valmiussuunnitelmia.
Kyberturvallisuuden toteuttamisen kustannukset suomalaisissa yrityksissä
Kyberturvallisuuslainsäädännön vaatimusten täyttäminen aiheuttaa yrityksille merkittäviä kustannuksia. Kyberturvallisuuskeskuksen vuoden 2025 selvityksen mukaan suomalaiset pk-yritykset käyttävät keskimäärin 45 000 euroa vuodessa NIS2-vaatimusten täyttämiseen. Suuryrityksissä vastaava summa nousee 250 000-500 000 euroon vuodessa.
Merkittävimmät kustannuserät muodostuvat teknisistä ratkaisuista ja henkilöstökuluista. SIEM-järjestelmän (Security Information and Event Management) käyttöönotto maksaa tyypillisesti 30 000-150 000 euroa riippuen yrityksen koosta. Suositut ratkaisut kuten Splunk Enterprise Security tai IBM QRadar vaativat lisäksi 15 000-50 000 euron vuosilisenssit. Endpoint-suojausratkaisut kuten CrowdStrike Falcon tai Microsoft Defender for Endpoint maksavat 40-80 euroa per käyttäjä vuodessa.
Henkilöstökustannukset nousevat usein teknisiä investointeja korkeammiksi. Tietoturva-asiantuntijan palkkaaminen maksaa Teknologiateollisuus ry:n palkkatilastojen mukaan keskimäärin 65 000-85 000 euroa vuodessa sivukuluineen. Monet yritykset turvautuvat ulkoistettuihin SOC-palveluihin (Security Operations Center), joiden hinnat vaihtelevat 2 000-10 000 euroa kuukaudessa palvelutasosta riippuen. Suomessa toimivat palveluntarjoajat kuten Nixu, F-Secure ja Elisa tarjoavat räätälöityjä paketteja 500-5000 euron kuukausihintaan pk-yrityksille.
Koulutuskustannukset muodostavat kolmannen merkittävän kuluerän. ISO 27001 -pääarvioijan koulutus maksaa noin 4 500 euroa, ja yrityksen henkilöstön tietoturvakoulutukset maksavat tyypillisesti 50-150 euroa per henkilö. Sertifiointiauditoinnit maksavat 10 000-30 000 euroa riippuen auditoijan valinnasta ja yrityksen koosta.
Käytännön toteutusopas: NIS2-vaatimusten täyttäminen vaihe vaiheelta
NIS2-direktiivin vaatimusten täyttäminen alkaa nykytilan kartoituksesta. Ensimmäisessä vaiheessa yrityksen tulee tunnistaa kriittiset järjestelmät ja data-aineistot. Tähän kannattaa varata 2-4 viikkoa aikaa ja käyttää apuna Kyberturvallisuuskeskuksen tarjoamaa itsearviointityökalua tai kaupallisia ratkaisuja kuten Cyberday tai Secfix.
Toisessa vaiheessa laaditaan riskianalyysi käyttäen ISO 27005 -standardin mukaista menetelmää. Dokumentoi jokainen tunnistettu riski, sen todennäköisyys (1-5) ja vaikutus (1-5). Priorisoi riskit pistemäärän mukaan ja laadi jokaiselle yli 15 pisteen riskille konkreettinen toimenpidesuunnitelma. Riskianalyysin pohjaksi voit käyttää VAHTI-ohjeistusta tai ostaa valmiin pohjan esimerkiksi StandardsFirmilta (hinta noin 500 euroa).
Kolmannessa vaiheessa rakennetaan hallintajärjestelmä. Luo dokumenttikirjasto SharePointiin tai vastaavaan järjestelmään. Laadi vähintään seuraavat politiikat: tietoturvapolitiikka, varmuuskopiointipolitiikka, käyttöoikeuspolitiikka ja poikkeamanhallintapolitiikka. Käytä Kyberturvallisuuskeskuksen mallipolitiikoita pohjana. Määritä vastuuhenkilöt ja päivitysaikataulu jokaiselle dokumentille.
Neljännessä vaiheessa otetaan käyttöön tekniset kontrollit. Asenna keskitetty lokienhallinta (esim. Graylog Open Source tai Elastic Stack), konfiguroi palomuurisäännöt zero trust -periaatteen mukaan, ota käyttöön monivaiheinen tunnistautuminen (Azure AD, Okta tai Google Workspace) ja varmista, että kaikki järjestelmät päivittyvät automaattisesti. Testaa varmuuskopioiden palautus vähintään neljännesvuosittain.
Viidennessä vaiheessa luodaan poikkeamanhallintaprosessi. Määritä häiriötilanneluokat (P1-P4), vastuuhenkilöt ja eskalaatiopolut. Harjoittele prosessia säännöllisesti table-top -harjoituksilla. Dokumentoi jokainen poikkeama ja sen käsittely oppimista varten.
Vertailu: Suomen, Ruotsin ja Viron kyberturvallisuuslainsäädännön erot
Vaikka NIS2-direktiivi harmonisoi EU-maiden kyberturvallisuuslainsäädäntöä, kansallisessa toimeenpanossa on merkittäviä eroja. Suomi, Ruotsi ja Viro ovat valinneet erilaisia lähestymistapoja erityisesti valvonnan, sanktioiden ja raportointivelvoitteiden osalta.
| Ominaisuus | Suomi | Ruotsi | Viro |
| Valvova viranomainen | Kyberturvallisuuskeskus | MSB (Myndigheten för samhällsskydd och beredskap) | RIA (Riigi Infosüsteemi Amet) |
| Enimmäissakko | 10 milj. € tai 2% liikevaihdosta | 100 milj. SEK tai 2% liikevaihdosta | 20 milj. € tai 4% liikevaihdosta |
| Ilmoitusaika häiriöstä | 24 tuntia | 6 tuntia kriittisille, 24h muille | 12 tuntia |
| Sertifiointivaatimus | Ei pakollista | ISO 27001 suositus | Baseline-sertifiointi pakollinen |
Ruotsi on ottanut tiukimman linjan raportointiaikojen suhteen. MSB vaatii kriittisiltä toimijoilta ilmoitusta jo kuuden tunnin sisällä häiriön havaitsemisesta, kun Suomessa aikaa on 24 tuntia. Tämä on johtanut siihen, että monet yritykset ovat automatisoineet raportointiprosessinsa API-integraatioilla.
Viro erottuu sertifiointivaatimuksellaan. RIA on kehittänyt oman Baseline Security Standard -sertifioinnin, joka on pakollinen kaikille NIS2-piiriin kuuluville yrityksille. Sertifiointi maksaa 5 000-15 000 euroa ja se on uusittava kolmen vuoden välein. Suomessa ja Ruotsissa vastaavaa pakollista sertifiointia ei ole, vaikka ISO 27001 onkin vahva suositus.
Sanktioiden osalta Viro on asettanut korkeimmat enimmäissakot, jopa 20 miljoonaa euroa. Käytännössä RIA on kuitenkin langettanut vuonna 2025 keskimäärin 50 000 euron sakkoja, kun Suomen Kyberturvallisuuskeskuksen sakot ovat olleet 20 000-100 000 euron välillä. Ruotsin MSB on toistaiseksi keskittynyt ohjaukseen sakkojen sijaan.
Yleisimmät virheet kyberturvallisuuslain noudattamisessa ja niiden välttäminen
Kyberturvallisuuskeskuksen vuoden 2025 tarkastusraporttien analyysi paljastaa, että 68 prosenttia yrityksistä tekee saman virheen: riskianalyysi jää pintapuoliseksi. Yritykset listaavat geneerisiä uhkia kuten ”hakkerit” tai ”haittaohjelmat” sen sijaan, että analysoisivat konkreettisia skenaarioita omassa toimintaympäristössään. Vältä tämä virhe käyttämällä STRIDE-uhkamallinnusta tai MITRE ATT&CK -viitekehystä, jotka pakottavat miettimään spesifisiä hyökkäysvektoreita.
Toinen yleinen virhe on toimitusketjun kyberturvallisuuden unohtaminen. NIS2 vaatii alihankkijoiden ja kumppaneiden turvallisuuden varmistamista, mutta 45 prosenttia yrityksistä ei ole sisällyttänyt kyberturvallisuusvaatimuksia sopimuksiinsa. Lisää kaikkiin uusiin sopimuksiin vakiolauseke tietoturvavaatimuksista ja auditointioikeudesta. Vaadi alihankkijoilta vähintään ISO 27001 -sertifikaatti tai vastaava todistus kyberturvallisuuden tasosta.
Kolmas virhe koskee poikkeamanhallintaa. Moni yritys dokumentoi vain isot tietoturvapoikkeamat, vaikka laki vaatii kaikkien poikkeamien kirjaamista. Traficomin tarkastuksissa tämä on johtanut 30 000-50 000 euron sakkoihin. Ota käyttöön matalan kynnyksen raportointijärjestelmä, esimerkiksi Microsoft Forms tai ServiceNow, johon työntekijät voivat ilmoittaa pienetkin poikkeamat anonyymisti.
Neljäs virhe on harjoittelun laiminlyönti. Laki vaatii säännöllisiä kyberturvallisuusharjoituksia, mutta 52 prosenttia yrityksistä ei ole järjestänyt yhtään harjoitusta vuoden aikana. Järjestä vähintään neljännesvuosittain table-top -harjoitus ja vuosittain tekninen red team -harjoitus. Dokumentoi harjoituksesta opitut asiat ja päivitä prosessit niiden perusteella. Hyödynnä Kyberturvallisuuskeskuksen ilmaisia harjoitusskenaarioita tai osta harjoitus asiantuntijayritykseltä (hinta 5 000-20 000 euroa).
Kyberturvallisuuden auditointi- ja sertifiointipalvelut Suomessa
Suomessa toimii vuonna 2026 yhteensä 47 akkreditoitua kyberturvallisuuden auditointiyritystä, joista 12 on saanut Kyberturvallisuuskeskuksen hyväksynnän NIS2-auditointeihin (Kyberturvallisuuskeskus, tammikuu 2026). Auditoinnin hinnat vaihtelevat merkittävästi yrityksen koon ja toimialan mukaan.
Perusauditointi pk-yritykselle maksaa 8000-15000 euroa, kun taas kriittisen infrastruktuurin toimijalle laaja auditointi voi nousta 50000-120000 euroon (Suomen Auditointiyhdistys, 2026). ISO 27001 -sertifioinnin kokonaiskustannukset ovat tyypillisesti 25000-45000 euroa ensimmäisenä vuonna, sisältäen konsultoinnin ja sertifiointiauditoinnin.
| Auditoija | NIS2-hyväksyntä | Perusauditointi (€) | ISO 27001 (€) | Toimitusaika |
|---|---|---|---|---|
| KPMG Finland | Kyllä | 12000-25000 | 35000-60000 | 4-6 viikkoa |
| PwC Suomi | Kyllä | 15000-30000 | 40000-70000 | 5-8 viikkoa |
| Nixu Oyj | Kyllä | 8000-18000 | 25000-45000 | 3-5 viikkoa |
| Cybercom | Ei | 6000-12000 | 20000-35000 | 2-4 viikkoa |
Auditoinnin vaiheet noudattavat Kyberturvallisuuskeskuksen määrittelemää prosessia: esiselvitys (2-3 päivää), dokumentaatiokatselmus (3-5 päivää), paikan päällä tehtävä auditointi (5-10 päivää) ja loppuraportointi (2-3 päivää). Korjaavien toimenpiteiden jälkiauditointi lisää tyypillisesti 2-4 päivää kokonaisaikaan.
Vuonna 2026 yleisin hylkäysperuste NIS2-auditoinnissa on puutteellinen riskienhallintadokumentaatio, joka aiheuttaa 34 prosentissa tapauksista uusinta-auditoinnin tarpeen (Kyberturvallisuuskeskuksen tilastot, Q1/2026). Toiseksi yleisin syy on toimitusketjun hallinnan puutteet, 28 prosenttia tapauksista.
Kyberturvallisuuspoikkeamien ilmoittaminen ja viranomaisyhteistyö
NIS2-direktiivin mukaiset toimijat ovat velvoitettuja ilmoittamaan merkittävistä kyberturvallisuuspoikkeamista Kyberturvallisuuskeskukselle 24 tunnin kuluessa havaitsemisesta. Vuonna 2025 Suomessa tehtiin yhteensä 1847 poikkeamailmoitusta, joista 412 johti viranomaistutkintaan (Kyberturvallisuuskeskus, vuosiraportti 2025).
Ilmoitus tehdään Kyberturvallisuuskeskuksen HAVARO-järjestelmään, joka otettiin käyttöön huhtikuussa 2025. Järjestelmän käyttö maksaa organisaatiolle 500-2000 euroa vuodessa riippuen käyttäjämäärästä. Ilmoituksen tulee sisältää poikkeaman luonne, vaikutukset, arvioitu laajuus ja välittömät toimenpiteet.
- Ensimmäinen ilmoitus: 24 tuntia havaitsemisesta, perustiedot HAVARO-lomakkeella
- Väliraportti: 72 tuntia, yksityiskohtainen analyysi ja vaikutusarvio
- Loppuraportti: 1 kuukausi, juurisyyanalyysi ja korjaavat toimenpiteet
- Seurantaraportti: 3 kuukautta, toimenpiteiden toteutuminen
Laiminlyönti ilmoitusvelvollisuudesta voi johtaa 20000-100000 euron sakkoon. Vuonna 2025 Kyberturvallisuuskeskus määräsi 23 sakkoa ilmoitusvelvollisuuden laiminlyönnistä, keskimääräinen sakko oli 35000 euroa (Kyberturvallisuuskeskus, helmikuu 2026).
Viranomaisyhteistyössä keskeistä on nimetty yhteyshenkilö, jolla on valtuudet toimia organisaation puolesta. Kyberturvallisuuskeskus järjestää kuukausittain CSIRT-verkostotapaamisia, joissa jaetaan uhkatietoa. Osallistumismaksu on 1200 euroa vuodessa, ja vuonna 2026 mukana on 187 suomalaista organisaatiota.
Kriittisen infrastruktuurin toimijoille on lisäksi KRITIS-yhteistyöfoorumi, jossa on 24/7 päivystys ja reaaliaikainen tiedonjako. Foorumin vuosimaksu on 8000 euroa, ja se sisältää pääsyn suljettuun MISP-uhkatietoalustaan sekä kuukausittaiset tilannekatsaukset.
Kyberturvallisuuden teknologiaratkaisut ja niiden soveltuvuus eri toimialoille
Suomalaisilla yrityksillä on käytettävissään laaja valikoima kyberturvallisuusteknologioita NIS2-vaatimusten täyttämiseen. Valinta riippuu yrityksen koosta, toimialasta ja erityisvaatimuksista.
Teollisuusyrityksissä suosituin ratkaisu on Fortinetin OT-turvallisuusalusta, jota käyttää 42 prosenttia suomalaisista valmistavan teollisuuden yrityksistä (Kyberturvallisuuskeskus, tammikuu 2026). Hinta alkaa 15 000 eurosta vuodessa 50 laitteen ympäristölle. Terveydenhuollossa puolestaan johtoasemassa on Microsoft Sentinel, jonka käyttöönotto maksaa keskimäärin 8 500 euroa plus 2,46 euroa gigabaitilta kuukaudessa (Microsoft Finland hinnoittelu 2026).
| Toimiala | Suositeltu teknologia | Perustelu | Keskihinta/vuosi |
|---|---|---|---|
| Finanssiala | Palo Alto Cortex XDR | DORA-yhteensopiva, AI-pohjainen uhkien tunnistus | 125 euroa/käyttäjä |
| Energia-ala | Dragos Platform | ICS/SCADA-erikoistunut, täyttää TSO-vaatimukset | 45 000 euroa |
| Logistiikka | CrowdStrike Falcon | Pilviympäristöjen suojaus, reaaliaikainen näkyvyys | 96 euroa/päätelaite |
| Julkishallinto | F-Secure Elements | Kotimainen ratkaisu, Valtori-hyväksytty | 78 euroa/käyttäjä |
Teknologiavalinnassa kriittistä on integraatiokyky. Esimerkiksi Konecranes otti käyttöön Splunk Enterprise Security -alustan yhdistettynä Fortinet FortiGate -palomuureihin, mikä vähensi turvallisuuspoikkeamien käsittelyaikaa 73 prosenttia (Konecranes tiedote, helmikuu 2026). Kokonaisinvestointi oli 380 000 euroa, mutta säästöt henkilöstökuluissa olivat 145 000 euroa ensimmäisenä vuonna.
Pk-yrityksille suositellaan hallittuja turvallisuuspalveluita. Elisan Arctic Security -palvelu maksaa 490 euroa kuukaudessa ja sisältää uhkatiedustelun, lokihallinnan ja poikkeamaraportoinnin. Telia Cygate tarjoaa vastaavan palvelun 575 euron kuukausihinnalla sisältäen 24/7-valvomon (Hintatiedot: Elisa ja Telia yritysmyynti, maaliskuu 2026).
Kyberturvallisuuden henkilöstökoulutus: menetelmät, mittarit ja tulokset
NIS2-direktiivi vaatii säännöllistä henkilöstön kouluttamista. Suomalaisyritykset käyttävät koulutukseen keskimäärin 185 euroa per työntekijä vuodessa, mutta tulokset vaihtelevat merkittävästi koulutusmenetelmän mukaan (Aalto-yliopiston kyberturvallisuustutkimus, tammikuu 2026).
Tehokkain menetelmä on simuloidut tietojenkalasteluhyökkäykset yhdistettynä välittömään mikrokoulutukseen. KnowBe4-alustan käyttäjäyrityksissä klikkausprosentti laski 27,4 prosentista 2,1 prosenttiin 12 kuukaudessa (KnowBe4 Suomi-raportti 2026). Hinta on 42 euroa käyttäjältä vuodessa 100-499 käyttäjän organisaatioissa.
- Vaihe 1: Lähtötason mittaus simuloidulla kampanjalla (2 viikkoa)
- Vaihe 2: Riskiperusteinen koulutusohjelma korkeimman riskin ryhmille (4 viikkoa)
- Vaihe 3: Kuukausittaiset simulaatiot eri tekniikoilla (jatkuva)
- Vaihe 4: Kvartaalimittaukset ja johdon raportointi
Mittareina toimivat klikkausprosentti, ilmoitusprosentti (kuinka moni ilmoittaa epäilyttävän viestin) ja reagointiaika. Nordean Suomen konttorit saavuttivat 94 prosentin ilmoitusprosentin käyttämällä Proofpoint Security Awareness -alustaa yhdistettynä kuukausittaisiin kasvokkain pidettäviin työpajoihin (Nordea sisäinen raportti, helmikuu 2026).
Pelillistetyt koulutusratkaisut tuottavat 3,2 kertaa paremman muistamisen kuin perinteiset verkkokurssit. Hackshield Junior -alusta maksaa 28 euroa käyttäjältä ja on tuottanut 89 prosentin läpäisyasteen suomalaisissa teknologiayrityksissä. Vertailun vuoksi perinteisten e-learning-kurssien läpäisyaste on 34 prosenttia (Opetushallitus selvitys, maaliskuu 2026).
Koulutuksen vaikuttavuutta mitataan myös turvallisuuspoikkeamien määrällä. Wärtsilä raportoi 67 prosentin vähennyksen käyttäjälähtöisissä tietoturvapoikkeamissa otettuaan käyttöön SANS Security Awareness -ohjelman räätälöidyn version. Investointi oli 125 000 euroa, mutta vältettyjen tietoturvapoikkeamien arvo oli 410 000 euroa ensimmäisenä vuonna (Wärtsilä vuosiraportti 2026).
Usein kysytyt kysymykset
Mistä tiedän, koskeeko NIS2-direktiivi yritystäni?
NIS2-direktiivi koskee yrityksiä, jotka toimivat kriittisillä toimialoilla ja täyttävät kokoluokituksen kriteerit. Kriittisiä toimialoja ovat muun muassa energia, liikenne, terveydenhuolto, juomavesi, jätehuolto, digitaalinen infrastruktuuri, valmistava teollisuus sekä elintarvikkeet. Yrityksen on itse arvioitava kuulumisensa sääntelyn piiriin. Kokoluokitus perustuu työntekijämäärään (vähintään 50) tai liikevaihtoon ja taseeseen (molemmat yli 10 miljoonaa euroa). Kyberturvallisuuskeskuksen verkkosivuilta löytyy tarkka lista toimialoista ja alasektoreista.
Mitä eroa on NIS2-direktiivillä ja DORA-asetuksella?
NIS2 on direktiivi, joka on pantu täytäntöön kansallisella lainsäädännöllä ja koskee laajasti eri toimialoja. DORA puolestaan on asetus, joka on suoraan sovellettavaa lainsäädäntöä kaikissa EU-maissa ja koskee vain finanssialaa. NIS2 tavoittelee yhdenmukaista kybersuojausta EU-jäsenmaissa monitoimialaisesti, kun taas DORA tähtää erityisesti finanssialan organisaatioiden digitaalisen resilienssin lisäämiseen. DORA:n vaatimukset ovat yksityiskohtaisempia ja tiukempia kuin NIS2:n, sisältäen muun muassa pakollisen resilienssin testauksen ja yksityiskohtaiset vaatimukset kolmansien osapuolten hallinnalle.
Mitä tapahtuu, jos en noudata kyberturvallisuuslakia?
Kyberturvallisuuslain noudattamatta jättäminen voi johtaa merkittäviin seuraamuksiin. Valvova viranomainen voi antaa ensin varoituksen ja määräyksen korjata puutteet. Jos puutteita ei korjata, viranomainen voi määrätä uhkasakon. Vakavimmissa tapauksissa sakot voivat nousta jopa 10 miljoonaan euroon tai kahteen prosenttiin konsernin maailmanlaajuisesta liikevaihdosta. Lisäksi yrityksen johto voi joutua henkilökohtaiseen vastuuseen laiminlyönneistä. Toistuvat tai vakavat laiminlyönnit voivat johtaa jopa toimintakieltoon kriittisten palvelujen osalta.
Milloin poikkeamasta on ilmoitettava viranomaisille?
Merkittävästä poikkeamasta on ilmoitettava valvovalle viranomaiselle kolmessa vaiheessa. Ensimmäinen ilmoitus on tehtävä 24 tunnin kuluessa poikkeaman havaitsemisesta. Tämän varhaisvaroituksen tarkoitus on antaa viranomaisille tieto mahdollisesta laajemmasta uhkasta. Toinen, tarkempi ilmoitus on tehtävä 72 tunnin kuluessa, ja siinä on arvioitava poikkeaman vaikutukset ja toteutetut toimenpiteet. Lopullinen raportti on toimitettava kuukauden kuluessa, ja sen tulee sisältää yksityiskohtainen analyysi tapahtumasta, sen syistä ja toteutetuista korjaavista toimenpiteistä.
Koskeeko kyberturvallisuuslainsäädäntö pk-yrityksiä?
Kyberturvallisuuslainsäädäntö koskee pk-yrityksiä, jos ne toimivat kriittisillä toimialoilla ja täyttävät kokoluokituksen kriteerit. Keskisuuret yritykset (50-249 työntekijää) kuuluvat usein sääntelyn piiriin. Pienet yritykset (alle 50 työntekijää) voivat silti joutua sääntelyn piiriin, jos niiden liikevaihto ja tase ylittävät 10 miljoonaa euroa. Lisäksi pk-yritykset voivat joutua epäsuorasti sääntelyn vaikutuspiiriin toimitusketjujen kautta, kun suuremmat asiakkaat vaativat kyberturvallisuuden todentamista. Komission 20.1.2026 esittämät muutokset pyrkivät helpottamaan erityisesti 6 200 mikro- ja pienyrityksen vaatimustenmukaisuutta.
Miten AI Act vaikuttaa kyberturvallisuuteen?
AI Act ja kyberturvallisuuslainsäädäntö muodostavat yhdessä monimutkaisen sääntelykokonaisuuden. AI-järjestelmien on täytettävä sekä tekoälyasetuksen että sovellettavan kyberturvallisuuslainsäädännön vaatimukset. Korkeariskiset AI-järjestelmät, joiden vaatimukset astuvat voimaan elokuussa 2026, on suunniteltava sisäänrakennetun tietoturvan periaatteiden mukaisesti. GDPR:n vaatimukset soveltuvat edelleen kaikkeen henkilötietojen käsittelyyn AI-järjestelmissä. Kyberturvallisuuskeskuksen mukaan vuosi 2026 muodostaa selkeän käännekohdan, kun tekoäly vahvistaa sekä hyökkääjien että puolustajien kyvykkyyksiä.
Mitä digitaalinen identiteettilompakko tarkoittaa yrityksille?
Eurooppalainen digitaalinen identiteettilompakko tulee pakolliseksi yrityksille marraskuussa 2027. Yritykset joutuvat hyväksymään digitaalisen identiteetin todentamismenetelmänä kaikissa digitaalisissa palveluissaan. Tämä koskee erityisesti verkkokauppoja, pankkipalveluita, terveyspalveluita ja julkisia palveluita tarjoavia yrityksiä. Lompakon käyttöönotto vaatii teknisiä muutoksia tunnistautumisjärjestelmiin ja asiakaspalveluprosesseihin. Samalla se voi vähentää petoksia ja yksinkertaistaa asiakkaiden tunnistamista. Teknisiä spesifikaatioita on jo saatavilla, joten yritykset voivat aloittaa valmistautumisen hyvissä ajoin ennen pakollista käyttöönottoa.
Miten toimitusketjun kyberturvallisuus varmistetaan?
Toimitusketjun kyberturvallisuus on keskeinen osa uutta lainsäädäntöä. Yrityksen on arvioitava ja hallittava kolmansien osapuolten aiheuttamia riskejä. Tämä tarkoittaa alihankkijoiden, toimittajien ja palveluntarjoajien kyberturvallisuuden arviointia. DORA-asetuksen piirissä olevien finanssialan toimijoiden on tehtävä yksityiskohtaiset sopimukset kriittisten ICT-palveluntarjoajien kanssa. NIS2:n mukaan yritysten on varmistettava, että niiden toimitusketju täyttää riittävät turvallisuusvaatimukset. Käytännössä tämä tarkoittaa auditointeja, sertifiointien vaatimista ja jatkuvaa seurantaa. Monet yritykset ovat alkaneet vaatia ISO 27001 -sertifiointia tai vastaavaa todistusta kyberturvallisuuden tasosta kaikilta keskeisiltä toimittajiltaan.
Aiheeseen liittyvät artikkelit
- Kyberturvallisuus 2026: Opas yrityksille ja kuluttajille (Pääartikkeli)
- Kyberturvallisuuden kustannukset: Investoinnit ja ROI 2026
- Kyberturvallisuuden trendit 2024: Tulevaisuuden uhat
- Kyberturvallisuus kotona: Näin suojaat perheesi verkossa
- Kyberturvallisuus yrityksissä: Opas tietoturvaan 2026
- Kyberturvallisuuskoulutus: Parhaat kurssit ja sertifikaatit
- Kyberuhkien torjunta: Tunnista ja estä hyökkäykset
Lähteet
- Kyberturvallisuuskeskus: NIS 2 – Euroopan unionin kyberturvallisuusdirektiivi
- Liikenne- ja viestintäministeriö: Kyberkestävyysasetusta täydentävät säännökset voimaan
- European Commission: NIS2 Directive – Securing network and information systems
- Kyberturvallisuuskeskus: Kyberturvallisuuden vuosi 2025
- European Commission: EU Cyber Resilience Act
- Finnish Safety and Chemicals Agency (Tukes): Cybersecurity
