Hallitus linjasi kantojaan EU:n kyberturvallisuussääntelyyn

Hallitus antoi eduskunnalle 12.3.2026 kirjelmän EU:n komission ehdotuksesta kyberturvallisuusasetukseksi (CSA 2) ja kyberturvallisuusdirektiivin (NIS 2) muutoksiksi. Euroopan komissio antoi tammikuussa 2026 ehdotukset kyberturvallisuusasetuksen uudistamisesta ja kyberturvallisuusdirektiivin muuttamisesta.

Valtioneuvosto kannattaa pääosin komission ehdotuksia ja tavoitteita. Valtioneuvosto pitää hyvänä ehdotusten tavoitetta vahvistaa kyberturvallisuuden hallinnointia ja sitä, että asiaankuuluvilla toimielimillä, viranomaisilla ja muilla sidosryhmillä olisi paremmat edellytykset estää, havaita ja torjua kyberturvallisuusuhkia. Valtioneuvosto pitää EU-tasoisia ratkaisuja tieto- ja viestintätekniikan toimitusketjujen turvallisuudesta ja siihen liittyviä tavoitteita kannatettavina. ICT-toimitusketjuihin liittyvien toimenpiteiden tulisi kuitenkin olla oikeasuhtaisia ja riskiperustaisia. Lisäksi valtioneuvosto kannattaa NIS 2 -muutosehdotuksien tavoitetta sääntelyn yksinkertaistamisesta ja sääntelystä aiheutuvien hallinnollisten kustannusten alentamisesta.

Kyberturvallisuussääntelyn tavoitteena on parantaa EU:n kyberturvallisuutta

Kyberturvallisuusasetuksen uudistamisen tavoitteena on EU:n kyberturvallisuuden kyvykkyyksien ja resilienssin lisääminen sekä sisämarkkinoiden pirstaloitumisen ehkäiseminen. Asetusehdotuksen myötä EU:n kyberturvallisuusvirasto ENISAn tehtävät uudistettaisiin ja eurooppalainen kyberturvallisuuden sertifiointikehys (ECCF) selkeytettäisiin.

Uutena asiana säädettäisiin tieto- ja viestintätekniikan toimitusketjujen turvallisuudesta. EU:n jäsenvaltiot voisivat laatia ICT-toimitusketjuista riskiarviointeja, joiden pohjalta komissio voisi tunnistaa kriittiset ICT-osat, nimetä kyberturvallisuushuolia aiheuttavia kolmansia maita ja niiden korkean riskin toimittajia sekä asettaa toimijoita muun muassa käyttökieltoon.

Komissio ehdottaa samalla kohdennettuja muutoksia EU:n kyberturvallisuusdirektiiviin eli NIS 2 -direktiiviin. Direktiivin soveltamisalaa laajennettaisiin merenalaisen tiedonsiirtoinfrastruktuurin tarjoajiin ja eurooppalaisten digitaalisten identiteetti- ja yrityslompakoiden tarjoajiin. Direktiiviä tarkennettaisiin energia- ja kemianteollisuuden toimijoiden osalta. Lisäksi ENISAlle ehdotetaan uusia tehtäviä liittyen valvovien viranomaisten rajat ylittävään yhteistyöhön ja jäsenvaltioiden rajat ylittäviin kyberturvallisuusriskeihin.

Mitä seuraavaksi?

EU:n jäsenmaat ja Euroopan parlamentti muodostavat omat näkemyksensä komission ehdotuksista.

Lisätietoja:

ylitarkastaja Eevi Vuorinen, p. 0295 342 080, [email protected]