Suomen uusi kyberturvallisuuslaki: Mitä elintarvikealan johtajien on tiedettävä – ja tehtävä
Kirjoittaja Ilpo Elfving / Econ CEO
Loading article content...
Lisää artikkeleita
Tekoäly on toimitusketju, ei taikasauva: mitä NIS2 tarkoittaa tekoälyn hallinnalle
Suomen kyberturvallisuuslaki asettaa johdon henkilökohtaiseen vastuuseen tekoälyyn liittyvistä riskeistä. Elintarvike-, kaupan- ja terveysalan johtajille tekoäly ei ole työkalu vaan digitaalinen toimitusketju, joka vaatii saman hallinnan kuin mikä tahansa kriittinen toimittaja.
Kun huippuosaajat ajautuvat Wolt-kuskeiksi: Miksi Suomi ei osaa hyödyntää kouluttamaansa osaamista?
Valmistunut tekoälyinsinööri kuljettaa Wolt-ruokaa karkotusuhan alla samalla kun 50-70% kansainvälisistä opiskelijoista keskeyttää erikoisaloilta. Kuinka Integraattori-PM-malli ja intratekoäly voivat ratkaista Suomen osaajien integraatiokriisin.
Suomen kyberturvallisuuslaki (124/2025) merkitsee historiallista käännekohtaa elintarvikealalle. Ensimmäistä kertaa lainsäädäntö
asettaa yrityksenne johdolle henkilökohtaisen ja laillisen vastuun kyberturvallisuudesta ja velvoittaa johtoanne itse tunnistamaan
kuuluvuuden lain piiriin. Tämä ei ole enää IT-osaston sisäinen
asia – se on strateginen liiketoimintavelvoite, joka vaatii hallitukseltanne ja toimitusjohtajaltanne suoraa osallistumista ja
dokumentoitavissa olevaa osaamista.
Lain voimaantulo 8. huhtikuuta 2025 käynnisti tiukan aikataulun, jonka keskeisin määräaika – riskienhallinnan toimintamallin käyttöönotto –
on 8. heinäkuuta 2025. Aikaa on jäljellä vähän, ja toimintanne on oltava dokumentoitua, käytössä olevaa ja hallituksenne hyväksymää.
Noudattamatta jättäminen altistaa yrityksenne paitsi jopa 7 miljoonan euron seuraamusmaksuille, myös toiminnallisille häiriöille ja mainehallinnan haasteille.
Tässä artikkelissa käyn läpi konkreettiset toimenpiteet, joita teidän on toteutettava, sekä osoitan, miten sääntelymuutos voidaan kääntää
strategiseksi kilpailueduksi ja häiriönsietokyvyn parantamiseksi.
Johtoryhmän päätöksenteko: Kriittiset toimet ja välittömät määräajat
⚠️
KRIITTINEN MÄÄRÄAIKA LÄHESTYY
Kyberturvallisuuden riskienhallinnan toimintamallin laatimiselle ja
dokumentoinnille on aikaa vain 8.7.2025 asti. Jos yrityksenne ei ole vielä
täydessä toteutusvauhdissa, nyt on viimeinen hetki toimia. Rekisteröitymisen
määräaika Ruokavirastolle oli 8.5.2025 – jos tämä on myöhässä, hoitakaa se
välittömästi. Viranomaiset odottavat aktiivista vaatimustenmukaisuuteen
pyrkimistä.
8.5.2025
Ruokavirastoon rekisteröitymisen määräaika
8.7.2025
Riskienhallinnan toimintamallin määräaika
7M€
Enimmäissakko tai 1,4% globaalista liikevaihdosta
24–72h
Poikkeamien raportointiaika
Elintarvikealan yritykset luokitellaan NIS2-sääntelyssä tyypillisesti tärkeiksi toimijoiksi, joille hallinnollisen seuraamusmaksun enimmäismäärä on 7 miljoonaa euroa tai 1,4 % maailmanlaajuisesta liikevaihdosta (kumpi tahansa on suurempi).
Johto on suoraan vastuussa: Kyberturvallisuuslain 10 § mukaan yrityksenne
hallitus, hallintoneuvosto ja toimitusjohtaja ovat laillisesti vastuussa
riittävän kyberturvallisuuden riskienhallinnan osaamisen varmistamisesta ja
kyberturvallisuuden riskienhallintatoimenpiteiden hyväksymisestä. Lain
mainitsema riittävä perehtyneisyys todennäköisesti edellyttää dokumentoitua
koulutusta tai perehdytystä. Tämä ei ole enää pelkästään IT-osaston
huolenaihe; se on hallitustason vastuu.
Econin huomioVaatimustenmukaisuuden todellisuus
Välittömät toimenpiteet johdolle
Selvitä kuuluuko yrityksenne kyberturvallisuuslain piiriin: Tarkista, onko yrityksenne luokiteltu NIS2-sääntelyn tärkeäksi toimijaksi. Jos on, ota selvää mitä se tarkoittaa käytännössä.
Varmista että olette rekisteröityneet Ruokavirastoon: Jos lain soveltamisalaan kuuluva yrityksenne ei ole vielä rekisteröitynyt, tehkää se välittömästi Ruokavirastolle Ilppa-asiointipalvelun kautta.
Ota käyttöön riskienhallinta: Laadi kattava kyberturvallisuuden riskienhallinnan toimintamalli – eräänlainen "kyber-HACCP" – joka kattaa lain edellyttämät 12 ydinaluetta. Määräaika tämän dokumentoimiseksi ja käyttöönotoksi on 8. heinäkuuta 2025.
Valmistaudu poikkeamista ilmoittamiseen: Kehitä vankat sisäiset prosessit merkittävien kyberturvallisuuspoikkeamien havaitsemiseksi ja niistä ilmoittamiseksi Ruokavirastolle 24–72 tunnin kuluessa.
Turvaa DIGITAALINEN toimitusketjusi: Arvioi ja hallinnoi aktiivisesti kyberturvallisuusriskejä, jotka liittyvät suoriin toimittajiisi ja palveluntarjoajiisi, erityisesti niihin, jotka tarjoavat toimintojesi kannalta kriittisiä ICT-tuotteita tai -palveluita. Huomio: Tämä koskee digitaalisia järjestelmiä ja palveluita, ei fyysistä elintarvikkeiden toimitusketjua, vaikka nämä ovatkin sidoksissa toisiinsa.
Kyberturvallisuuslaki 124/2025: Uusi todellisuus elintarvikealalle
Kyberturvallisuuslaki 124/2025 on Suomen kansallinen täytäntöönpano EU:n NIS2-direktiiville (direktiivi (EU) 2022/2555). Suomen kyberturvallisuuslaki tuli voimaan 8. huhtikuuta 2025 vahvistaakseen kriittisten alojen kyberresilienssiä.
NIS2-direktiivi (EU) 2022/2555
EU:n oikeusperusta
Kyberturvallisuuslaki 124/2025
Suomen täytäntöönpano
Traficom
Kansallinen koordinaattori
Ruokavirasto
Elintarvikealan valvoja
Traficom (Liikenne- ja viestintävirasto) toimii kansallisena keskitettynä yhteyspisteenä NIS2-koordinaatiossa, kun taas Ruokavirasto toimii elintarvikealan valvovana viranomaisena.
Laki tunnistaa, että elintarvikealan keskeisiin toimialoihin kohdistuvat kyberuhat voivat olla
yhtä tuhoisia kuin fyysiset katastrofit, vaikuttaen paitsi yksittäisiin yrityksiin myös yleiseen
turvallisuuteen, kuluttajien luottamukseen ja kansalliseen toimitusketjun eheyteen.
Miksi kyberturvallisuus on liiketoimintakriittistä elintarvikealalla
Kyberuhat saattavat tuntua abstrakteilta verrattuna konkreettisiin elintarviketurvallisuusriskeihin, kuten kontaminaatioon, mutta ne voivat häiritä tuotantoa, heikentää kuluttajien luottamusta ja jopa aiheuttaa suoria riskejä yleiselle turvallisuudelle. Vaikutukset vaihtelevat elintarvikealan toimijoiden mukaan:
Elintarvikkeiden valmistajat ja jalostajat
Tuotantolinjan häiriöt: Kiristysohjelmahyökkäykset tuotannonohjausjärjestelmiin (MES) tai valvomo- ja tiedonkeruujärjestelmiin (SCADA) voivat pysäyttää tuotantolinjat päiviksi tai viikoiksi.
Laadunvalvonnan vaarantuminen: Kyberhyökkäykset pastörointi-, sterilointi- tai jäähdytysjärjestelmien ohjaukseen voivat vaarantaa elintarviketurvallisuuden.
Reseptien ja immateriaalioikeuksien varkaudet: Luvaton pääsy omiin resepteihin, prosessiparametreihin tai asiakastietoihin.
Toimitusketjun näkyvyyden menetys: Toiminnanohjausjärjestelmien (ERP) häiriöt, jotka vaikuttavat raaka-aineiden hankintaan ja tuotannon suunnitteluun.
Erityistä huomiota elintarviketeollisuudessa vaativat tuotantoteknologian (OT) järjestelmät, kuten tuotantolinjojen ohjausjärjestelmät (PLC, SCADA). Nämä ovat usein vanhempia, niitä ei ole suunniteltu verkkoyhteyksiä varten ja niiden häiriöt voivat suoraan vaikuttaa tuotannon jatkuvuuteen ja jopa elintarviketurvallisuuteen. Lain riskienhallintavelvoitteet kattavat myös nämä OT-ympäristöt.
Elintarvikkeiden tukkukauppiaat ja jakelijat
Logistiikkaverkoston häiriöt: Kyberhyökkäykset varastonhallintajärjestelmiin (WMS) tai kuljetustenhallintajärjestelmiin (TMS) voivat lamauttaa jakelun.
Kylmäketjun valvonnan pettäminen: Vaarantuneet lämpötilanvalvontajärjestelmät, jotka uhkaavat tuotteiden laatua ja turvallisuutta.
EDI/Peppol-järjestelmien hyökkäykset: Sähköisten tiedonsiirtojärjestelmien häiriöt, jotka vaikuttavat tilausten käsittelyyn, laskutukseen ja toimittajaviestintään.
Asiakastietojen tietomurrot: Luvaton pääsy asiakastietoihin, ostoprosesseihin tai hinnoittelutietoihin.
Toimijoiden väliset digitaaliset haavoittuvuudet
Toiminnanohjausjärjestelmien (ERP) vaarantuminen: Keskeiset liiketoimintajärjestelmät, jotka hallinnoivat kaikkea hankinnasta asiakassuhteisiin.
Taloushallinnon järjestelmien hyökkäykset: Kirjanpitojärjestelmät, maksujenkäsittely ja pankkiyhteydet.
Viestintäalustojen tietomurrot: Sähköpostijärjestelmät, yhteistyöalustat sekä toimittaja- ja asiakasportaalit.
Pilvipalveluiden häiriöt: SaaS-sovellukset CRM:ään, varastonhallintaan tai laadunvarmistukseen.
Kyberhyökkäykset ovat jatkuva ja kasvava uhka elintarvikealalle. Dragosin Q1
2025 -raportin mukaan maailmanlaajuisesti 708 teollista organisaatiota
joutui kiristysohjelmahyökkäyksen kohteeksi, mikä on merkittävä kasvu
edellisestä neljänneksestä. Erityisesti valmistava teollisuus oli kohteena
480 tapauksella, ja tästä elintarvike- ja juomateollisuuden osuus oli 75
tapausta (16 % valmistavan teollisuuden hyökkäyksistä). Nämä luvut
osoittavat selvästi, että elintarvikeala on houkutteleva kohde
kyberrikollisille.
Kenen on noudatettava lakia: Yksityiskohtainen soveltamisalan arviointi
Kyberturvallisuuslain soveltamisala elintarvikealalla kohdistuu keskisuuriin ja suuriin toimijoihin, jotka harjoittavat elintarvikkeiden
tukkukauppaa, teollista tuotantoa tai jalostusta ja täyttävät tietyt kokokriteerit. On ensiarvoisen tärkeää, että yritykset itse tunnistavat, kuuluvatko ne lain piiriin.
💡
Yleisiä väärinkäsityksiä kokokriteereistä
Huomio: Arvioidessanne yrityksenne kokoa, teidän on tarkasteltava koko
yritystä, ei pelkästään elintarvikkeiden tukkukauppaa, teollista tuotantoa tai jalostusta harjoittavien yksiköiden kokoa.
Lain piiriin kuulumiseksi yrityksen on täytettävä:
JOKOtyöntekijämäärän kynnys (≥ 50 työntekijää)
TAImolemmat taloudelliset kynnykset:
vuosiliikevaihto >10M€
taseen loppusumma >10M€
Pelkkä työntekijämäärän ylittyminen siis riittää, mutta liikevaihdon ylittyminen ei riitä, jos työntekijämäärä on alle 50 eikä
taseraja ylity.
Kokokriteerit (koko yrityksen laajuinen arviointi)
Työntekijämäärän TAI molempien taloudellisten kriteerien täyttyminen johtaa lain piiriin kuulumiseen:
Työntekijämäärä
≥ 50 työntekijää
Taloudelliset kriteerit
Vuosittainen liikevaihto JA taseen loppusumma > 10M€
Soveltamisala elintarvikealan toimijoiden mukaan
LAIN PIIRISSÄ (jos kokokriteerit täyttyvät ja harjoitetaan teollista toimintaa tai tukkukauppaa):
Elintarvikkeiden tukkujakelijat vähittäiskaupalle tai suurtalouksille
Noutotukut (jos kokokriteerit täyttyvät)
Erikoistuneet raaka-ainetoimittajat valmistajille
Elintarvikkeiden tuonti-/vientiyritykset
Elintarvikelogistiikkayritykset, jotka harjoittavat merkittävää elintarvikkeiden tukkukauppaan tai jakeluun liittyvää varastointia ja joiden omat digitaaliset järjestelmät (kuten WMS) ovat kriittisiä tälle toiminnalle
YLEENSÄ LAIN ULKOPUOLELLA (ellei määritellä kriittiseksi CER-direktiivin nojalla vuoden 2026 puoliväliin mennessä):
Kyberturvallisuuslain 124/2025 pääpaino elintarvikealalla on teollisen mittakaavan tuotannossa,
jalostuksessa ja tukkukaupassa. Puhtaat vähittäiskaupan tai ruokapalvelun toiminnot ovat yleensä lain ulkopuolella.
Kriittinen ero syntyy, jos kokokriteerit täyttävä yritys, jonka pääliiketoiminta saattaa olla vähittäiskauppa tai ruokapalvelu, harjoittaa myös merkittävää tukkukauppaa tai keskitettyjä elintarvikkeiden valmistus- tai jalostusyksiköitä teollisessa mittakaavassa..
Vaikka laki 124/2025 tuo uusia velvoitteita, strateginen lähestymistapa vaatimustenmukaisuuteen voi avata merkittäviä liiketoimintaetuja:
Toiminnallinen häiriönsietokyky: Vankka kyberturvallisuus tarkoittaa suoraan parempaa suojaa häiriöiltä,
minimoiden seisokkiaikoja ja varmistaen liiketoiminnan jatkuvuuden.
Toimitusketjun luottamus: Vahvojen kyberturvallisuuskäytäntöjen osoittaminen lisää luottamusta
toimittajien ja B2B-asiakkaiden keskuudessa, ja siitä voi tulla kilpailuvaltti.
Modernisointimahdollisuudet: Sääntelyn tarkastelu voi tuoda esiin tehottomia järjestelmiä, johtaen
modernisointimahdollisuuksiin, kuten automaatioihin, tiedonvaihdon tehostamiseen tai järjestelmien sekä ohjelmistolisenssien keskittämiseen.
Kustannussäästöt: Ennakoiva riskienhallinta on lähes aina halvempaa kuin poikkeaman jälkiseurausten käsittely.
Parannettu tiedonhallinta: Toteutus parantaa yleistä tiedonhallintaa, laadunvalvontaa, jäljitettävyyttä ja muita sääntelyvaatimuksia.
✅
Strateginen etu
Kyberturvallisuuslaki 124/2025 ei ole vain sääntelyeste, vaan toimii
katalyyttinä tarkastella ja parantaa digitaalisia toimintojanne, vahvistaa
häiriönsietokykyänne ja mahdollisesti löytää merkittäviä toiminnallisia ja
taloudellisia tehokkuushyötyjä.
Keskeiset vaatimustenmukaisuusvaatimukset: Kolme pääkohtaa
Jos elintarvikeyrityksenne kuuluu soveltamisalaan, laki 124/2025 edellyttää kolmea pääasiallista toimenpidettä:
1. Rekisteröityminen Ruokavirastoon
Määräaika: 8. toukokuuta 2025 (Jos ette ole rekisteröityneet, tehkää se viipymättä!)
Soveltamisalaan kuuluvien toimijoiden oli itse tunnistettava kuuluvuutensa lain piiriin ja rekisteröidyttävä Ruokavirastoon Ilppa-asiointipalvelun kautta. Tämä ilmoitti viranomaiselle, että yrityksenne on NIS2-toimija elintarvikealalla.
Ilmoitettavat tiedot:
Organisaation nimi, Y-tunnus, osoite ja yhteystiedot (mukaan lukien kyberturvallisuuden yhteyshenkilö)
Organisaation käyttämät julkiset IP-osoitealueet (Traficomin tarkemman ohjeistuksen mukaisesti, esim. 198.51.100.0/24)
Vahvistus toimialaluokituksesta (elintarviketuotanto, -jalostus tai -tukkukauppa)
Tiedot mahdollisista rajat ylittävistä toiminnoista EU:n sisällä
⚠️
Myöhästyittekö 8.5.2025 määräajasta?
Rekisteröitykää välittömästi Ilppa-asiointipalvelun kautta (Ilmoita
toiminnasta↗). Vaikka myöhästynyt
rekisteröityminen ei ole ihanteellista, se osoittaa halukkuutta noudattaa
vaatimuksia. Viranomainen pyrkii ensisijaisesti auttamaan yrityksiä
saavuttamaan vaatimustenmukaisuuden eikä rankaisemaan välittömästi
vilpittömistä pyrkimyksistä.
2. Kyberturvallisuuden riskienhallinnan toimintamallin käyttöönotto ja sisältö
Määräaika: 8.7.2025 (Tämä on kriittinen määräaika – aikaa on vähän jäljellä!)
Tämä on vaatimustenmukaisuuden kulmakivi ja jatkuva prosessi, ei kertaluonteinen tehtävä.
Kyberturvallisuuslain 47 §:n mukaan yrityksenne on perustettava, toteutettava ja ylläpidettävä – sekä säännöllisesti arvioitava ja päivitettävä – dokumentoitu kyberturvallisuuden riskienhallinnan toimintamalli, joka voidaan nähdä myös eräänlaisena "kyber-HACCP-toimintamallina".
Mikäli yrityksellänne on jo käytössä laatu- tai riskienhallintajärjestelmiä (kuten HACCP, ISO 22000, ISO 27001), näitä olemassa olevia prosesseja ja dokumentaatiota kannattaa hyödyntää ja laajentaa kattamaan myös kyberturvallisuusvaatimukset.
Riskienhallintatoimenpiteiden on oltava oikeasuhteisia yrityksenne kokoon, poikkeamien todennäköisyyteen ja mahdollisiin vaikutuksiin nähden. Niissä on otettava huomioon saatavilla olevat ajantasaiset ratkaisut ja kustannusvaikutukset.
Lain 9 § määrittelee 12 aluetta, jotka kyberturvallisuutta koskeva riskienhallinnan toimintamallin on katettava:
12 Kyberturvallisuuden riskienhallinnan aluetta
🎯
1. Kyberturvallisuutta koskevan riskienhallinnan toimintaperiaatteet ja hallintatoimenpiteiden vaikuttavuuden arviointi
Määritelkää ja dokumentoikaa kyberturvallisuuden hallintakehys. Luokaa ylimmän johdon hyväksymä toimintaperiaate. Integroikaa kyberriskit olemassa olevaan riskienhallintaan (HACCP, laatu, toimitusketju) ja määritelkää roolit.
🔒
2. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet
Dokumentoikaa erityiset menettelyt IT- ja tuotantoteknologiajärjestelmien (OT) turvaamiseksi. Huomioikaa erikseen toimiston IT-verkot ja tuotannon OT-verkot, joilla on usein vanhempia laitteita.
🛠️
3. Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus
Integroikaa kyberturvallisuusvaatimukset järjestelmien ja laitteiden hankintaprosesseihin alusta alkaen, erityisesti tuotantolaitteiden ja ohjausjärjestelmien osalta.
🔗
4. Toimitusketjun välittömien toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky
Arvioikaa ja hallinnoikaa DIGITAALISEN toimitusketjunne riskejä: ICT-tuotteita ja -palveluita tarjoavat kumppanit, kuten ohjelmisto- ja pilvipalvelutoimittajat. Tämä ei koske suoraan fyysistä raaka-aineketjua.
📋
5. Omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen
Tunnistakaa ja ylläpitäkää luetteloa kaikista digitaalisista resursseistanne (IT/OT). Tunnistakaa ja luokitellaa kriittiset järjestelmät, jotka vaikuttavat suoraan elintarviketurvallisuuteen, laatuun ja tuotannon jatkuvuuteen.
3. Merkittävistä poikkeamista ilmoittaminen
Aikataulu: Ensi-ilmoitus 24 tunnin kuluessa, yksityiskohtaisempi ilmoitus 72 tunnin kuluessa, loppuraportti kuukauden kuluessa.
Olette laillisesti velvollisia ilmoittamaan merkittävistä poikkeamista Ruokavirastolle (Traficomin kansallisen poikkeamien ilmoitusportaalin kautta). Merkittävä poikkeama on sellainen, joka:
On aiheuttanut tai olisi voinut aiheuttaa vakavan toiminnallisen häiriön tai huomattavaa taloudellista tappiota yrityksellenne
On vaikuttanut tai olisi voinut vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa
Esimerkkejä elintarvikealalta:
Kiristysohjelmahyökkäykset, jotka pysäyttävät tuotannon tai vaikuttavat elintarviketurvallisuusjärjestelmiin
Tietomurrot, jotka paljastavat asiakastietoja, toimittajatietoja tai omia reseptejä
Kyberhyökkäykset laadunhallinta- tai jäljitettävyysjärjestelmiin
EDI/Peppol-järjestelmien vaarantuminen, joka vaikuttaa toimitusketjun viestintään
Mikä tahansa kyberpoikkeama, joka vaatii tuotannon pysäyttämistä tai tuotteiden takaisinvetoa
Kriittiset määräajat ja nykytilanne: Toimi nyt!
Lain 124/2025 soveltamisen kriittiset määräajat
Kyberturvallisuuslain (124/2025) 47 §:n 3 momentin mukaan lain 8 §:ssä tarkoitettu kyberturvallisuuden riskienhallinnan toimintamalli on laadittava kolmen kuukauden kuluessa lain voimaantulosta (8.4.2025), joten ehdoton takaraja on 8. heinäkuuta 2025.
⚠️
Realiteetti
Kun 8.7.2025 määräaikaan on enää viikkoja, yritysten tulisi olla jo pitkällä riskienhallintamallinsa
toteutusvaiheessa, ei vasta suunnittelun alkuvaiheessa. Kattavan ja lain vaatimukset täyttävän
kyberturvallisuuden riskienhallinnan toimintamallin huolellinen kehittäminen ja käyttöönotto vaativat
tyypillisesti vähintään 6–12 kuukautta organisaation koosta ja lähtötasosta riippuen.
Nyt aloittaville yrityksille: Keskittykää ensin dokumentoituun riskinarviointiin ja perustason
turvallisuuskontrolleihin. Täysi toteutus voidaan vaiheistaa, mutta teillä on oltava perusteltavissa olevat
väliaikaiset toimenpiteet käytössä 8. heinäkuuta mennessä.
Jos muodollinen kyberturvallisuus on uutta ja resurssit ovat rajalliset, aloittakaa näillä keskeisillä
käytännöillä. Vaikka ne eivät yksinään täytä kaikkia NIS2-vaatimuksia, ne muodostavat kriittisen perustan ja
ovat linjassa Traficomin suositusten perustason tietoturvakäytäntöjen kanssa (laki 124/2025, 9 §, kohta 11).
Välittömät toimet (1-4) & Lyhyen aikavälin parannukset (5-8)
🛡️
1. Perustason päätelaitteiden suojaus
Asentakaa ja päivittäkää jatkuvasti virustorjunta-/haittaohjelmien torjuntaohjelmisto kaikkiin tietokoneisiin ja palvelimiin. Ottakaa käyttöön käyttöjärjestelmien ja kaikkien ohjelmistojen automaattiset päivitykset. Toteuttakaa ja konfiguroikaa perustason verkkopalomuuri.
🔐
2. Turvalliset salasanat ja MFA
Vahvistakaa vahvat, yksilölliset salasanat kaikille käyttäjä- ja järjestelmätileille. Ottakaa käyttöön salasananhallintaohjelma työntekijöille. Ottakaa käyttöön monivaiheinen todennus (MFA) aina kun mahdollista, erityisesti etäkäyttöön ja järjestelmänvalvojien tileille.
💾
3. Tietojen varmuuskopiointi ja palautustestaus
Toteuttakaa automaattiset päivittäiset varmuuskopiot kaikesta kriittisestä liiketoimintadatasta ja järjestelmäkonfiguraatioista. Säilyttäkää varmuuskopiot turvallisesti ja erillään (esim. offline-tilassa tai erillisessä pilviympäristössä). Säännöllisesti testatkaa palautuskykyänne näistä varmuuskopioista.
🎓
4. Henkilöstön tietoisuus ja raportointi
Järjestäkää perustason koulutusta kaikille henkilöstön jäsenille tietojenkalasteluviestien, epäilyttävien linkkien ja sosiaalisen manipulaation taktiikoiden tunnistamisesta. Laatikaa yksinkertainen, selkeä sisäinen prosessi, jonka avulla työntekijät voivat ilmoittaa epäillyistä tietoturvapoikkeamista välittömästi.
🌐
5. Verkon perusturvallisuus
Suojatkaa Wi-Fi-verkkonne (käyttäkää WPA3-salausta, vahvoja salasanoja). Segmentoikaa verkkonne mahdollisuuksien mukaan (erillinen vieras-Wi-Fi yritysjärjestelmistä; ihanteellisesti erillinen toimiston IT tuotanto-/OT-verkoista). Vaihtakaa oletusarvoiset järjestelmänvalvojan salasanat kaikissa verkkolaitteissa.
ℹ️
Aloita pienestä, rakenna eteenpäin
Nämä perustason käytännöt torjuvat monia yleisiä uhkia ja muodostavat perustan kattavammalle NIS2-vaatimustenmukaisuudelle. Keskittykää johdonmukaiseen soveltamiseen ja henkilöstön sitouttamiseen.
Hyödynnä olemassa olevia kehyksiä: Jos teillä on jo HACCP-, ISO 22000-, BRC- tai IFS-sertifikaatteja, käyttäkää niiden riskienhallinta- ja dokumentaatiorakenteita perustana. Monia prosesseja voidaan laajentaa sen sijaan, että ne rakennettaisiin uudelleen.
Käyttäkää tätä Traficomin todentamiskategorioihin pohjautuvaa porrastettua lähestymistapaa, arvioidaksenne nykyistä kyberturvallisuustasoanne suhteessa lain (124/2025) vaatimuksiin ja tunnistaaksenne puutteet.
Taso 1 on pakollista dokumentaatiota. Aloittakaa tasosta 1 ja edetkää asteittain kohti tasoa 2.
Taso 2 antaa hyvän toiminnallisen varmuuden.
Taso 3 tarjoaa korkeamman varmuustason, suositellaan
suuremmille/korkeamman riskin elintarvikealan toimijoille tai niille, jotka
pyrkivät osoittamaan kypsää kyberturvallisuutta.
ℹ️
Taso 1: Dokumentaation ja käytäntöjen tarkastelu (Ovatko suunnitelmanne olemassa?)
Kyberturvallisuuskäytännöt:
Onko teillä kirjalliset, johdon hyväksymät kyberturvallisuuskäytännöt, jotka kattavat 12 keskeistä riskialuetta?
Tietääkö henkilöstö, mistä nämä käytännöt löytyvät, ja ymmärtävätkö he roolinsa?
Tarkistetaanko ja päivitetäänkö käytäntöjä säännöllisesti (vähintään vuosittain tai merkittävien muutosten/poikkeamien jälkeen)?
Onko kriittiset digitaaliset resurssit (IT/OT) tunnistettu ja niiden erityisriskit arvioitu?
Poikkeamanratkaisusuunnitelma:
Onko teillä dokumentoitu poikkeamanratkaisusuunnitelma, mukaan lukien roolit, vastuut ja viestintämenettelyt?
Kattaako se 24/72 tunnin raportointivaatimukset Ruokavirastolle?
Oletteko harjoitelleet tai simuloineet ratkaisumenettelyjänne?
Koulutus- ja tietoisuustiedot:
ℹ️
Taso 2: Teknisen näytön ja toteutuksen tarkastelu (Toimivatko suunnitelmanne?)
Järjestelmäkonfiguraatiot:
Tarkastelkaa todellisia järjestelmäasetuksia (palomuurit, pääsynhallinta, turvallisuusohjelmistot) IT-/OT-henkilöstön tai ulkoisen tuen kanssa. Varmistakaa, että turvalliset konfiguraatiot on otettu käyttöön ja oletustunnukset vaihdettu.
Pääsynhallinnan auditointi:
Auditoikaa käyttäjätilit, pääsyoikeudet ja MFA:n toteutus keskeisissä järjestelmissä. Tarkistakaa passiiviset tilit tai liialliset oikeudet. Varmistakaa, että järjestelmänvalvojan pääsy on rajoitettu ja valvottu.
Päivitysten ja haavoittuvuuksien hallinta:
Tarkastelkaa prosesseja ohjelmistopäivitysten ja tietoturvakorjausten tunnistamiseksi ja soveltamiseksi. Tarkistakaa vanhentuneet tai tukemattomat ohjelmistot/laiteohjelmistot.
Valvonnan ja lokien tarkastelu:
Tarkastelkaa keskeisten järjestelmien turvallisuuslokeja. Tarkistakaa, onko valvontahälytykset konfiguroitu epäilyttäville toiminnoille. Varmistakaa varmuuskopioiden onnistumisprosentit ja järjestelmän saatavuuslokit.
ℹ️
Taso 3: Edistynyt testaus ja validointi (Kuinka häiriönsietokykyisiä todella olette?)
Haavoittuvuusskannaus:
Tehkää säännöllisiä verkon haavoittuvuusskannauksia (sisäisiä ja ulkoisia) hyödynnettävissä olevien heikkouksien tunnistamiseksi. Testatkaa verkkosovellukset yleisten haavoittuvuuksien varalta.
Palautus- ja jatkuvuustestaus:
Tehkää todellisia palautustestejä varmuuskopioista varmistaaksenne tietojen eheyden ja palautusajat. Tehkää liiketoiminnan jatkuvuusharjoituksia suurten poikkeamien skenaarioille.
Vaatimustenmukaisuuden validointi:
Harkitkaa riippumatonta ulkopuolista auditointia tai puuteanalyysiä lain (124/2025) vaatimuksia tai tunnettuja viitekehyksiä, kuten ISO 27001 tai IEC 62443 OT-järjestelmille, vastaan.
Ulkoinen tuki
Kyberturvallisuuskonsultit: Riippumattomat asiantuntijat voivat auttaa puuteanalyyseissä, politiikkojen kehittämisessä, riskienhallinnan toteutuksessa ja vaatimustenmukaisuuden validoinnissa. Etsikää konsultteja, joilla on kokemusta elintarviketeollisuudesta ja/tai OT-turvallisuudesta.
Hallinnoidut tietoturvapalveluntarjoajat (MSSP): Yrityksille, joilla ei ole sisäistä tietoturvaosaamista, MSSP:t voivat tarjota ulkoistettuja valvonta-, uhkien havaitsemis- ja poikkeamanratkaisupalveluita.
Toimialajärjestöt: Elintarvikealan järjestöt voivat tarjota kyberturvallisuusresursseja, parhaiden käytäntöjen jakamista ja vertaisoppimismahdollisuuksia, jotka on räätälöity alalle.
ℹ️
Aloittakaa virallisista suomalaisista lähteistä
Aloittakaa virallisista suomalaisista lähteistä, kuten Ruokaviraston
ohjeistuksesta ja Kyberturvallisuuskeskuksen Kybermittarista sekä Traficomin
yksityiskohtaisesta suosituksesta. Ohjelmanne kypsyessä, mukautukaa
relevantteihin kansainvälisiin standardeihin ja harkitkaa ammattilaisapua, jos
riskinarviointinne osoittaa tarvetta.
Laki (124/2025) painottaa merkittävästi kyberturvallisuusriskien hallintaa toimitusketjuissanne. Kriittinen huomio elintarvikealalle: Tämä kattaa kaikki suorat toimittajat, joiden digitaalisten tuotteiden tai palveluiden vaarantuminen voisi vaikuttaa toimintojenne, verkkonne ja tietojärjestelmienne turvallisuuteen.
Elintarvikeala on tottunut hallinnoimaan fyysistä toimitusketjua (raaka-aineet, pakkaukset, logistiikka). NIS2-laki koskee digitaalista toimitusketjua – IT-toimittajia, ohjelmistotoimittajia, pilvipalveluntarjoajia ja muita teknologiakumppaneita sekä sidosryhmiä, joiden tietojärjestelmistä operatiivinen toimintanne on riippuvainen.
Keskeiset vaatimukset elintarvikeyrityksille
📋
Ylläpidä DIGITAALISTEN toimittajien luetteloa
Luokaa ja ylläpitäkää kattava luettelo kaikista suorista toimittajista ja palveluntarjoajista, kiinnittäen erityistä huomiota niihin, jotka tarjoavat toimintojenne kannalta kriittisiä ICT-tuotteita ja -palveluita.
🔍
Arvioi toimittajien turvallisuuskäytäntöjä
Arvioikaa kriittisten toimittajienne kyberturvallisuustasoa kyselylomakkeilla, sertifikaattien tarkastelulla (esim. ISO 27001), turvallisuuspolitiikkojen arvioinnilla tai auditoinneilla korkean riskin toimittajille.
📄
Sopimukselliset turvallisuusvaatimukset
Sisällyttäkää erillisiä kyberturvallisuuslausekkeita toimittajasopimuksiin, mukaan lukien vaatimukset turvallisuusstandardien ylläpidosta, tietomurroista ilmoittamisesta ja yhteistyöstä poikkeamanratkaisussa.
🔧
Hallinnoi tuotteiden haavoittuvuuksia
Ymmärtäkää hankittujen tuotteiden ja palveluiden tyypilliset haavoittuvuudet. Seuratkaa haavoittuvuustiedotteita ja soveltakaa korjauspäivityksiä/lievennystoimia nopeasti. Harkitkaa ohjelmistojen materiaaliluetteloiden (SBOM) pyytämistä kriittisille ohjelmistoille.
🚨
Suunnittele toimittajahäiriöiden varalle
Kehittäkää varautumissuunnitelmia kriittisten toimittajien kyberpoikkeamien varalle. Entä jos pilvipohjainen tilausjärjestelmänne kaatuu? Entä jos tuotantolinjan PLC-laitteiden etähuoltoyhteys vaarantuu?
EDI/Peppol-turvallisuus: Arvioikaa sähköisten tiedonsiirtokumppaneiden ja
Peppol-yhteyspisteiden turvallisuus päästä päähän.
Raaka-aine- ja pakkaustoimittajien digitaaliset yhteydet: EDI, portaalit, API:t.
Kolmannen osapuolen logistiikkatoimittajat: ja niiden varastonhallintajärjestelmät.
Pilvipalveluntarjoajat: elintarvikkeiden jäljitettävyys- ja laatujärjestelmille.
Laitteiden huoltotoimittajat: joilla on etäkäyttömahdollisuuksia.
ℹ️
Toimittajaturvallisuuden vertauskuva
Aivan kuten auditoitte raaka-ainetoimittajienne
elintarviketurvallisuussertifikaatteja ja -käytäntöjä, teidän on nyt
tarkasteltava keskeisten digitaalisten toimittajienne
kyberturvallisuustoimenpiteitä. Luotetun toimittajan vaarantunut
ohjelmistopäivitys voi olla yhtä vahingollinen kuin saastunut raaka-aine-erä.
Johdon vastuu: Tämä ei ole vain IT-tehtävä
Lain (124/2025) keskeinen piirre on suora oikeudellinen vastuu, joka asetetaan yrityksen johdolle. Lain 10 §:n mukaan johdon on varmistettava riittävä kyberturvallisuuden riskienhallinnan osaaminen ja hyväksyttävä kyberturvallisuuden riskienhallintatoimenpiteet.
Osaamisvaatimus
Johdon on ylläpidettävä riittävää kyberturvallisuuden riskienhallinnan osaamista
Hyväksyntävalta
Johdon on hyväksyttävä kyberturvallisuuden riskienhallintatoimenpiteet
Koulutusvelvoite
Johdon on osallistuttava asianmukaiseen kyberturvallisuuskoulutukseen
Valvontavastuu
Johdon on valvottava turvallisuustoimenpiteiden täytäntöönpanoa
Mitä tämä käytännössä tarkoittaa elintarvikealan johtajille:
Integroi kyberriski hallintotapaan: Kyberturvallisuusriskin on oltava säännöllinen hallituksen asialistalla, käsiteltävänä taloudellisten, toiminnallisten ja elintarviketurvallisuusriskien rinnalla.
Resurssien kohdentaminen: Johto vastaa riittävän budjetin, henkilöstön ja resurssien varmistamisesta kyberturvallisuudelle, suhteessa tunnistettuihin riskeihin.
Edistä turvallisuuskulttuuria: Edistä koko yrityksen laajuista kyberturvallisuuskulttuuria, samoin kuin vahvaa elintarviketurvallisuuskulttuuria.
Henkilökohtainen kehittyminen: Hallituksen jäsenten ja johtajien tulisi aktiivisesti parantaa ymmärrystään kyberturvallisuusriskeistä ja parhaista käytännöistä.
Laki on selvä: kyberturvallisuusosaamista ja hyväksyntää ei voida yksinomaan
delegoida IT-osastolle. Johdon on oltava aktiivisesti mukana ja tietoinen.
Tämä vaatii ennakoivaa otetta elintarvikeyrityksenne huipulta alkaen.
Econin huomio:Laki ja toiminnallinen todellisuus
Valvonta: Seuraamukset ja seuraukset
Ruokavirastolla on merkittävät valvontavaltuudet varmistaakseen lain (124/2025) noudattamisen.
Seuraamusmaksu
7M€ tai 1,4 % globaalista liikevaihdosta, kumpi tahansa on suurempi
Valvonnan tyyppi
Riskipohjainen, jälkikäteinen
Valvontafilosofia ja seuraamusten konteksti
Vaikka hallinnolliset enimmäisseuraamukset ovat huomattavia (7 milj. € tai 1,4 % maailmanlaajuisesta liikevaihdosta), Ruokaviraston valvontatapa korostaa:
Oikeasuhteisuus: Seuraamukset suhteutetaan yrityksen kokoon ja rikkomuksen vakavuuteen
Vilpittömän mielen huomioiminen: Viranomainen ottaa huomioon yrityksen oma-aloitteiset toimet puutteiden korjaamiseksi ja yhteistyöhalukkuuden
Asteittainen valvonta: Varoitukset ja kehotukset parantaa toimintaa edeltävät yleensä taloudellisia seuraamuksia
Toimialan ymmärrys: Elintarvikealan toiminnallisten rajoitteiden ja vanhojen järjestelmien tunnistaminen
Tämä yhteistyöhön perustuva lähestymistapa koskee kuitenkin vain yrityksiä, jotka aktiivisesti pyrkivät vaatimustenmukaisuuteen. Tahallinen laiminlyönti tai viranomaisen viestintään vastaamatta jättäminen käynnistää valvontatoimet.
Rikkomukset, jotka voivat johtaa seuraamuksiin:
Riittämättömien kyberturvallisuuden riskienhallintatoimenpiteiden laiminlyönti kaikilla 12 ydinalueella.
Rekisteröitymättä jättäminen Ruokavirastoon tai päivitettyjen tietojen toimittamatta jättäminen.
Tahallinen tai törkeän huolimaton laiminlyönti noudattaa valvovan viranomaisen antamia sitovia määräyksiä.
Elintarvikealan yritykset luokitellaan direktiivissä yleensä tärkeiksi toimijoiksi. Näihin kohdistetaan ensisijaisesti jälkikäteisvalvontaa,
esimerkiksi merkittävän poikkeaman ilmoittamisen tai ilmoittamatta jättämisen yhteydessä, eikä niinkään jatkuvaa ennakoivaa auditointia
kuten keskeisiin toimijoihin.
Kuitenkin, jos Ruokaviraston muun valvonnan yhteydessä on syytä olettaa, että kybertutrvallisuuslain veloitteita on laiminlyöty, voi tämä käynnistää valvontatoimenpiteet.
Vaikka sakot ovat huomattavia, elintarvikeyrityksille toiminnalliset
häiriöt, tuotannon menetys, tuotteiden pilaantuminen, toimitusketjun katkokset
ja mainevahingot, jotka johtuvat onnistuneesta kyberhyökkäyksestä
(riittämättömän turvallisuuden vuoksi), voivat usein olla paljon kalliimpia
kuin mikään sääntelyseuraamus. Vaatimustenmukaisuus on pohjimmiltaan
liiketoiminnan häiriönsietokykyä.
Yksityiskohtainen suositus (139 sivua): "Liikenne- ja viestintävirasto Traficomin suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä" - Tämä asiakirja on välttämätön työkalu ja tarjoaa konkreettisia esimerkkejä ja todentamismenetelmiä kaikkien 12 riskienhallinnan alueen käytännön toteutukseen.
Kybermittari: Ilmainen itsearviointityökalu perustason kyberturvallisuuden arviointiin ja parannussuositusten saamiseen.
Uhkatiedustelu: Säännölliset hälytykset ja neuvot - tilaa päivitykset.
Ristiinviittaustaulukko: Traficom tarjoaa ristiinviittaustaulukon, joka yhdistää NIS2-vaatimukset kansainvälisesti tunnustettuihin standardeihin, kuten ISO 27001, NIST CSF ja IEC 62443 - ymmärrä miten olemassa olevat viitekehykset vastaavat NIS2:ta.
Kansainväliset standardit ja viitekehykset
ISO/IEC 27001 & 27002: Kansainvälisesti tunnustetut standardit tietoturvallisuuden hallintajärjestelmille (ISMS) ja turvallisuuskontrolleille. Tarjoaa kattavan viitekehyksen, joka vastaa hyvin NIS2-vaatimuksia.
NIST Cybersecurity Framework (CSF): Riskipohjainen viitekehys, jonka on kehittänyt Yhdysvaltain National Institute of Standards and Technology. Laajasti käytössä maailmanlaajuisesti ja viitattu Traficomin ohjeistuksessa.
IEC 62443 -sarja: Standardit teollisuusautomaatio- ja ohjausjärjestelmien (IACS) turvallisuudelle. Erittäin relevantti elintarvikevalmistajille, joilla on automatisoituja tuotantolinjoja ja tuotantoteknologiaverkkoja (OT).
CIS Controls: Priorisoitu joukko toimenpiteitä yleisimpiä kyberhyökkäyksiä vastaan. Tarjoaa käytännöllistä, toiminnallista ohjeistusta perustason turvallisuudelle.
Lopullinen toteutuksen tarkistuslista
Vaiheittainen toteutussuunnitelma
Välittömät toimet (seuraavat 7 päivää)
Vahvista soveltamisala ja nimeä sisäinen vastuuhenkilö NIS2-vaatimustenmukaisuudelle.
Rekisteröidy Ruokavirastoon Ilppa-palvelun kautta.
Lataa ja käy läpi Traficomin 139-sivuinen suositusasiakirja.
Arvioi nykyinen kyberturvallisuustasosi Kyberturvallisuuskeskuksen Kybermittari-työkalulla.
Lyhyen aikavälin toimet (seuraavat 30 päivää)
Tee kattava riskinarviointi, joka kattaa kaikki 12 vaadittua aluetta.
Dokumentoi nykyiset turvatoimenpiteet ja tunnista puutteet.
Suomen kyberturvallisuuslain (124/2025) menestyksekäs noudattaminen on
elintarvikealalle enemmän kuin vain sääntelytaakka. Se on investointi
liiketoiminnan jatkuvuuteen, häiriönsietokykyyn ja luottamukseen
digitaalisessa toimintaympäristössä. Vastuu tämän strategisen muutoksen
johtamisesta ja onnistumisesta on viime kädessä yrityksenne johdolla.
Suomen uusi kyberturvallisuuslaki: Mitä elintarvikealan johtajien on tiedettävä – ja tehtävä - Econ
👥
6. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus
Toteuttakaa kyberturvallisuustietoisuutta lisääviä koulutusohjelmia kaikille, mukaan lukien johto ja tuotantohenkilöstö. Kouluttakaa tunnistamaan elintarviketurvallisuuteen vaikuttavat kyberuhat.
🔑
7. Pääsynhallinnan ja todentamisen menettelyt
Toteuttakaa vankka pääsynhallinta ja käyttäkää vahvoja todennusmenetelmiä, kuten monivaiheista todennusta (MFA), erityisesti etäkäytössä ja kriittisissä järjestelmissä.
🔐
8. Salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt
Määritelkää, milloin ja miten käytätte salausta arkaluonteisen tiedon suojaamiseksi (esim. reseptit, asiakastiedot, tuotekehitys) sekä levossa että siirrettäessä.
🚨
9. Poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi
Kehittäkää kyky havaita kyberpoikkeamat nopeasti. Integroikaa tämä olemassa oleviin elintarviketurvallisuuden poikkeamanratkaisumenettelyihin ja arvioikaa poikkeamien vaikutus laatuun.
💾
10. Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta
Varmistakaa, että voitte ylläpitää tai nopeasti palauttaa keskeiset toiminnot merkittävän kyberpoikkeaman jälkeen. Priorisoikaa elintarviketurvallisuus- ja laatujärjestelmien palautus.
🛡️
11. Perustason tietoturvakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden varmistamiseksi
Ylläpitäkää perustason kyberhygieniaa, kuten järjestelmien koventamista, päivitysten hallintaa ja haittaohjelmien torjuntaa, jotka ovat yhteensopivia myös teollisuusautomaatioympäristöjen (OT) kanssa.
🏢
12. Toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden varmistamiseksi
Suojatkaa fyysinen ympäristö, jossa kriittiset IT- ja OT-järjestelmänne sijaitsevat, mukaan lukien tuotantolinjan ohjauskaapit ja palvelintilat.
👤
6. Pääsynhallinnan tarkistus
Tarkistakaa säännöllisesti, kenellä on pääsy mihinkin järjestelmiin ja tietoihin. Poistakaa pääsy entisiltä työntekijöiltä välittömästi heidän lähtiessään. Rajoittakaa järjestelmänvalvojan oikeudet tiukasti niihin, jotka tarvitsevat niitä työtehtäviinsä.
📋
7. Perustason resurssien inventaario
Luokaa ja ylläpitäkää luettelo kaikista IT- ja OT-laitteistanne (palvelimet, työasemat, PLC:t, verkkolaitteet) ja keskeisistä ohjelmistosovelluksista. Merkitkää, mitkä järjestelmät ovat kriittisiä elintarviketoimintojenne kannalta.
📝
8. Yksinkertaiset turvallisuuspolitiikat
Kehittäkää ja viestikää perustason, ymmärrettävät turvallisuussäännöt työntekijöille. Käsitelkää aiheita kuten yrityksen IT:n hyväksyttävä käyttö, henkilökohtaisten laitteiden käyttö (BYOD) jos sallittu, sähköpostin turvallisuus ja tietojen käsittely.
Ylläpidättekö tietoja henkilöstölle (mukaan lukien johto) annetusta kyberturvallisuuskoulutuksesta?
Onko kyberturvallisuustietoisuus osa uusien työntekijöiden perehdytystä?
Kehitä kyberturvallisuutta koskeva riskienhallinnan toimintamallin kehys.
Suunnittele johdon kyberturvallisuuskoulutus ja tietoisuusohjelma.
Kriittisen määräajan toimet (8.7.2025 mennessä)
Viimeistele ja dokumentoi kattava kyberturvallisuuden riskienhallinnan toimintamalli.
