Kyberturvallisuuslain täydennykset voimaan heinäkuun alusta
Tasavallan presidentti vahvisti 27.6.2025 muutokset kyberturvallisuuslakiin. Lakimuutoksilla täydennetään kriittisten toimijoiden häiriönsietokyvystä annetun direktiivin (CER) ja kyberturvallisuusdirektiivin (NIS 2) kansallista toimeenpanoa. Muutokset tulevat voimaan 1.7.2025.
Lakimuutosten myötä kyberturvallisuuslakia sovelletaan myös yhteisöihin, jotka määritetään tulevaisuudessa kriittisiksi toimijoiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ehdotetun lain nojalla. Julkishallinnon osalta vastaavat muutokset tehdään tiedonhallinnasta annettuun lakiin.
Muutosten myötä kyberturvallisuuslain velvoitteet koskevat kriittiseksi määritettävää yritystä myös silloin, jos yritys ei ennen kriittiseksi määrittämistä kuulu kyberturvallisuuslain soveltamisalaan. Näitä yrityksiä voivat olla esimerkiksi kriittiseksi määritettävät pien- tai mikroyritykset toimialasta riippumatta sekä julkisen liikenteen harjoittajat tai lääketukkukaupat.
Lakimuutokset tulevat voimaan samaan aikaan uuden yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain kanssa. Laissa säädetään kriittisten toimijoiden määrittämisestä ja CER-direktiivin mukaisista velvoitteista kriittisille toimijoille. CER-direktiivin mukaiset kriittiset toimijat on määritettävä ensimmäisen kerran heinäkuussa 2026.
Mitä seuraavaksi?
Lakimuutokset tulevat voimaan 1.7.2025.
Lisätietoja:
erityisasiantuntija Marko Priiki, p. 0295 342 187, [email protected]
Tiedote 10.4.2025: Hallitus esittää kyberturvallisuuslakiin täydennyksiä kriittisille toimijoille
Valtioneuvoston hankeikkuna: Hallituksen esitys kyberturvallisuuslain muuttamiseksi
Sisäministeriön tiedote 12.6.2025: Kriittisen infrastruktuurin suojaamista ja yhteiskunnan häiriönsietokykyä vahvistetaan uudella lailla
Liikenne- ja viestintävirasto Traficom: NIS 2 - Euroopan unionin kyberturvallisuusdirektiivi
