Suomen uusi kyber­turvallisuus­laki: Mitä elintarvike­alan johtajien on tiedettävä – ja tehtävä

Suomen kyberturvallisuuslaki (124/2025) merkitsee historiallista käännekohtaa elintarvikealalle. Ensimmäistä kertaa lainsäädäntö asettaa yrityksenne johdolle henkilökohtaisen ja laillisen vastuun kyberturvallisuudesta ja velvoittaa johtoanne itse tunnistamaan kuuluvuuden lain piiriin. Tämä ei ole enää IT-osaston sisäinen asia – se on strateginen liiketoimintavelvoite, joka vaatii hallitukseltanne ja toimitusjohtajaltanne suoraa osallistumista ja dokumentoitavissa olevaa osaamista.

Lain voimaantulo 8. huhtikuuta 2025 käynnisti tiukan aikataulun, jonka keskeisin määräaika – riskienhallinnan toimintamallin käyttöönotto – on 8. heinäkuuta 2025. Aikaa on jäljellä vähän, ja toimintanne on oltava dokumentoitua, käytössä olevaa ja hallituksenne hyväksymää. Noudattamatta jättäminen altistaa yrityksenne paitsi jopa 7 miljoonan euron seuraamusmaksuille, myös toiminnallisille häiriöille ja mainehallinnan haasteille.

Tässä artikkelissa käyn läpi konkreettiset toimenpiteet, joita teidän on toteutettava, sekä osoitan, miten sääntelymuutos voidaan kääntää strategiseksi kilpailueduksi ja häiriönsietokyvyn parantamiseksi.

Elintarvikealan yritykset luokitellaan NIS2-sääntelyssä tyypillisesti tärkeiksi toimijoiksi, joille hallinnollisen seuraamusmaksun enimmäismäärä on 7 miljoonaa euroa tai 1,4 % maailmanlaajuisesta liikevaihdosta (kumpi tahansa on suurempi).

Välittömät toimenpiteet johdolle

• Selvitä kuuluuko yrityksenne kyberturvallisuuslain piiriin: Tarkista, onko yrityksenne luokiteltu NIS2-sääntelyn tärkeäksi toimijaksi. Jos on, ota selvää mitä se tarkoittaa käytännössä.

• Varmista että olette rekisteröityneet Ruokavirastoon: Jos lain soveltamisalaan kuuluva yrityksenne ei ole vielä rekisteröitynyt, tehkää se välittömästi Ruokavirastolle Ilppa-asiointipalvelun kautta.

• Ota käyttöön riskienhallinta: Laadi kattava kyberturvallisuuden riskienhallinnan toimintamalli – eräänlainen "kyber-HACCP" – joka kattaa lain edellyttämät 12 ydinaluetta. Määräaika tämän dokumentoimiseksi ja käyttöönotoksi on 8. heinäkuuta 2025.

• Valmistaudu poikkeamista ilmoittamiseen: Kehitä vankat sisäiset prosessit merkittävien kyberturvallisuuspoikkeamien havaitsemiseksi ja niistä ilmoittamiseksi Ruokavirastolle 24–72 tunnin kuluessa.

• Turvaa DIGITAALINEN toimitusketjusi: Arvioi ja hallinnoi aktiivisesti kyberturvallisuusriskejä, jotka liittyvät suoriin toimittajiisi ja palveluntarjoajiisi, erityisesti niihin, jotka tarjoavat toimintojesi kannalta kriittisiä ICT-tuotteita tai -palveluita. Huomio: Tämä koskee digitaalisia järjestelmiä ja palveluita, ei fyysistä elintarvikkeiden toimitusketjua, vaikka nämä ovatkin sidoksissa toisiinsa.

Kyberturvallisuuslaki 124/2025 on Suomen kansallinen täytäntöönpano EU:n NIS2-direktiiville (direktiivi (EU) 2022/2555). Suomen kyberturvallisuuslaki tuli voimaan 8. huhtikuuta 2025 vahvistaakseen kriittisten alojen kyberresilienssiä.

Traficom (Liikenne- ja viestintävirasto) toimii kansallisena keskitettynä yhteyspisteenä NIS2-koordinaatiossa, kun taas Ruokavirasto toimii elintarvikealan valvovana viranomaisena.

Laki tunnistaa, että elintarvikealan keskeisiin toimialoihin kohdistuvat kyberuhat voivat olla yhtä tuhoisia kuin fyysiset katastrofit, vaikuttaen paitsi yksittäisiin yrityksiin myös yleiseen turvallisuuteen, kuluttajien luottamukseen ja kansalliseen toimitusketjun eheyteen.

Kyberuhat saattavat tuntua abstrakteilta verrattuna konkreettisiin elintarviketurvallisuusriskeihin, kuten kontaminaatioon, mutta ne voivat häiritä tuotantoa, heikentää kuluttajien luottamusta ja jopa aiheuttaa suoria riskejä yleiselle turvallisuudelle. Vaikutukset vaihtelevat elintarvikealan toimijoiden mukaan:

Elintarvikkeiden valmistajat ja jalostajat

• Tuotantolinjan häiriöt: Kiristysohjelmahyökkäykset tuotannonohjausjärjestelmiin (MES) tai valvomo- ja tiedonkeruujärjestelmiin (SCADA) voivat pysäyttää tuotantolinjat päiviksi tai viikoiksi.

• Laadunvalvonnan vaarantuminen: Kyberhyökkäykset pastörointi-, sterilointi- tai jäähdytysjärjestelmien ohjaukseen voivat vaarantaa elintarviketurvallisuuden.

• Reseptien ja immateriaalioikeuksien varkaudet: Luvaton pääsy omiin resepteihin, prosessiparametreihin tai asiakastietoihin.

• Toimitusketjun näkyvyyden menetys: Toiminnanohjausjärjestelmien (ERP) häiriöt, jotka vaikuttavat raaka-aineiden hankintaan ja tuotannon suunnitteluun.

Erityistä huomiota elintarviketeollisuudessa vaativat tuotantoteknologian (OT) järjestelmät, kuten tuotantolinjojen ohjausjärjestelmät (PLC, SCADA). Nämä ovat usein vanhempia, niitä ei ole suunniteltu verkkoyhteyksiä varten ja niiden häiriöt voivat suoraan vaikuttaa tuotannon jatkuvuuteen ja jopa elintarviketurvallisuuteen. Lain riskienhallintavelvoitteet kattavat myös nämä OT-ympäristöt.

Elintarvikkeiden tukkukauppiaat ja jakelijat

• Logistiikkaverkoston häiriöt: Kyberhyökkäykset varastonhallintajärjestelmiin (WMS) tai kuljetustenhallintajärjestelmiin (TMS) voivat lamauttaa jakelun.

• Kylmäketjun valvonnan pettäminen: Vaarantuneet lämpötilanvalvontajärjestelmät, jotka uhkaavat tuotteiden laatua ja turvallisuutta.

• EDI/Peppol-järjestelmien hyökkäykset: Sähköisten tiedonsiirtojärjestelmien häiriöt, jotka vaikuttavat tilausten käsittelyyn, laskutukseen ja toimittajaviestintään.

• Asiakastietojen tietomurrot: Luvaton pääsy asiakastietoihin, ostoprosesseihin tai hinnoittelutietoihin.

Toimijoiden väliset digitaaliset haavoittuvuudet

• Toiminnanohjausjärjestelmien (ERP) vaarantuminen: Keskeiset liiketoimintajärjestelmät, jotka hallinnoivat kaikkea hankinnasta asiakassuhteisiin.

• Taloushallinnon järjestelmien hyökkäykset: Kirjanpitojärjestelmät, maksujenkäsittely ja pankkiyhteydet.

• Viestintäalustojen tietomurrot: Sähköpostijärjestelmät, yhteistyöalustat sekä toimittaja- ja asiakasportaalit.

• Pilvipalveluiden häiriöt: SaaS-sovellukset CRM:ään, varastonhallintaan tai laadunvarmistukseen.

Kyberturvallisuuslain soveltamisala elintarvikealalla kohdistuu keskisuuriin ja suuriin toimijoihin, jotka harjoittavat elintarvikkeiden tukkukauppaa, teollista tuotantoa tai jalostusta ja täyttävät tietyt kokokriteerit. On ensiarvoisen tärkeää, että yritykset itse tunnistavat, kuuluvatko ne lain piiriin.

Kokokriteerit (koko yrityksen laajuinen arviointi)

Työntekijämäärän TAI molempien taloudellisten kriteerien täyttyminen johtaa lain piiriin kuulumiseen:

Soveltamisala elintarvikealan toimijoiden mukaan

LAIN PIIRISSÄ (jos kokokriteerit täyttyvät ja harjoitetaan teollista toimintaa tai tukkukauppaa):

Teollinen elintarviketuotanto ja -jalostus:

• Suurimuotoinen meijerijalostus, juustonvalmistus
• Teollinen lihan/kalan/hedelmien/vihannesten jalostus
• Kaupalliset leipomot, viljan jauhatus, tärkkelyksen tuotanto
• Juomien tuotanto (panimot, virvoitusjuomat)
• Pakasteiden valmistus, jäätelö; säilöntä
• Teollinen öljyn/rasvan jalostus; sokerinjalostamot
• Mausteiden jalostus, aromien valmistus

Elintarvikkeiden tukkukauppa ja jakelu:

• Elintarvikkeiden tukkujakelijat vähittäiskaupalle tai suurtalouksille
• Noutotukut (jos kokokriteerit täyttyvät)
• Erikoistuneet raaka-ainetoimittajat valmistajille
• Elintarvikkeiden tuonti-/vientiyritykset
• Elintarvikelogistiikkayritykset, jotka harjoittavat merkittävää elintarvikkeiden tukkukauppaan tai jakeluun liittyvää varastointia ja joiden omat digitaaliset järjestelmät (kuten WMS) ovat kriittisiä tälle toiminnalle

YLEENSÄ LAIN ULKOPUOLELLA (ellei määritellä kriittiseksi CER-direktiivin nojalla vuoden 2026 puoliväliin mennessä):

• Maatalouden/kalastuksen alkutuotanto (maatilat, kalanviljelylaitokset)
• Rehunvalmistus
• Vähittäiskaupat ja supermarketit (suora vähittäismyynti)
• Ravintolat, useimmat catering-palvelut ja suoraan kuluttajille suunnatut ruokapalvelut
• Elintarvikepakkausmateriaalien valmistajat (elleivät tarjoa myös kriittisiä digitaalisia palveluita elintarvikealalle)
• Standardi elintarvikevarastointi ja -kuljetus (elleivät tarjoa kriittisiä digitaalisia palveluita tai ole määritelty CER-direktiivin nojalla)

Vaikka laki 124/2025 tuo uusia velvoitteita, strateginen lähestymistapa vaatimustenmukaisuuteen voi avata merkittäviä liiketoimintaetuja:

• Toiminnallinen häiriönsietokyky: Vankka kyberturvallisuus tarkoittaa suoraan parempaa suojaa häiriöiltä, minimoiden seisokkiaikoja ja varmistaen liiketoiminnan jatkuvuuden.

• Toimitusketjun luottamus: Vahvojen kyberturvallisuuskäytäntöjen osoittaminen lisää luottamusta toimittajien ja B2B-asiakkaiden keskuudessa, ja siitä voi tulla kilpailuvaltti.

• Modernisointimahdollisuudet: Sääntelyn tarkastelu voi tuoda esiin tehottomia järjestelmiä, johtaen modernisointimahdollisuuksiin, kuten automaatioihin, tiedonvaihdon tehostamiseen tai järjestelmien sekä ohjelmistolisenssien keskittämiseen.

• Kustannussäästöt: Ennakoiva riskienhallinta on lähes aina halvempaa kuin poikkeaman jälkiseurausten käsittely.

• Parannettu tiedonhallinta: Toteutus parantaa yleistä tiedonhallintaa, laadunvalvontaa, jäljitettävyyttä ja muita sääntelyvaatimuksia.

Jos elintarvikeyrityksenne kuuluu soveltamisalaan, laki 124/2025 edellyttää kolmea pääasiallista toimenpidettä:

1. Rekisteröityminen Ruokavirastoon

Määräaika: 8. toukokuuta 2025 (Jos ette ole rekisteröityneet, tehkää se viipymättä!)

Soveltamisalaan kuuluvien toimijoiden oli itse tunnistettava kuuluvuutensa lain piiriin ja rekisteröidyttävä Ruokavirastoon Ilppa-asiointipalvelun kautta. Tämä ilmoitti viranomaiselle, että yrityksenne on NIS2-toimija elintarvikealalla.

Ilmoitettavat tiedot:

• Organisaation nimi, Y-tunnus, osoite ja yhteystiedot (mukaan lukien kyberturvallisuuden yhteyshenkilö)
• Organisaation käyttämät julkiset IP-osoitealueet (Traficomin tarkemman ohjeistuksen mukaisesti, esim. 198.51.100.0/24)
• Vahvistus toimialaluokituksesta (elintarviketuotanto, -jalostus tai -tukkukauppa)
• Tiedot mahdollisista rajat ylittävistä toiminnoista EU:n sisällä

2. Kyberturvallisuuden riskienhallinnan toimintamallin käyttöönotto ja sisältö

Määräaika: 8.7.2025 (Tämä on kriittinen määräaika – aikaa on vähän jäljellä!)

Tämä on vaatimustenmukaisuuden kulmakivi ja jatkuva prosessi, ei kertaluonteinen tehtävä. Kyberturvallisuuslain 47 §:n mukaan yrityksenne on perustettava, toteutettava ja ylläpidettävä – sekä säännöllisesti arvioitava ja päivitettävä – dokumentoitu kyberturvallisuuden riskienhallinnan toimintamalli, joka voidaan nähdä myös eräänlaisena "kyber-HACCP-toimintamallina".

Mikäli yrityksellänne on jo käytössä laatu- tai riskienhallintajärjestelmiä (kuten HACCP, ISO 22000, ISO 27001), näitä olemassa olevia prosesseja ja dokumentaatiota kannattaa hyödyntää ja laajentaa kattamaan myös kyberturvallisuusvaatimukset.

Riskienhallintatoimenpiteiden on oltava oikeasuhteisia yrityksenne kokoon, poikkeamien todennäköisyyteen ja mahdollisiin vaikutuksiin nähden. Niissä on otettava huomioon saatavilla olevat ajantasaiset ratkaisut ja kustannusvaikutukset.

Lain 9 § määrittelee 12 aluetta, jotka kyberturvallisuutta koskeva riskienhallinnan toimintamallin on katettava:

3. Merkittävistä poikkeamista ilmoittaminen

Aikataulu: Ensi-ilmoitus 24 tunnin kuluessa, yksityiskohtaisempi ilmoitus 72 tunnin kuluessa, loppuraportti kuukauden kuluessa.

Olette laillisesti velvollisia ilmoittamaan merkittävistä poikkeamista Ruokavirastolle (Traficomin kansallisen poikkeamien ilmoitusportaalin kautta). Merkittävä poikkeama on sellainen, joka:

• On aiheuttanut tai olisi voinut aiheuttaa vakavan toiminnallisen häiriön tai huomattavaa taloudellista tappiota yrityksellenne
• On vaikuttanut tai olisi voinut vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa

Esimerkkejä elintarvikealalta:

• Kiristysohjelmahyökkäykset, jotka pysäyttävät tuotannon tai vaikuttavat elintarviketurvallisuusjärjestelmiin
• Tietomurrot, jotka paljastavat asiakastietoja, toimittajatietoja tai omia reseptejä
• Kyberhyökkäykset laadunhallinta- tai jäljitettävyysjärjestelmiin
• EDI/Peppol-järjestelmien vaarantuminen, joka vaikuttaa toimitusketjun viestintään
• Mikä tahansa kyberpoikkeama, joka vaatii tuotannon pysäyttämistä tai tuotteiden takaisinvetoa

Kyberturvallisuuslain (124/2025) 47 §:n 3 momentin mukaan lain 8 §:ssä tarkoitettu kyberturvallisuuden riskienhallinnan toimintamalli on laadittava kolmen kuukauden kuluessa lain voimaantulosta (8.4.2025), joten ehdoton takaraja on 8. heinäkuuta 2025.

Jos muodollinen kyberturvallisuus on uutta ja resurssit ovat rajalliset, aloittakaa näillä keskeisillä käytännöillä. Vaikka ne eivät yksinään täytä kaikkia NIS2-vaatimuksia, ne muodostavat kriittisen perustan ja ovat linjassa Traficomin suositusten perustason tietoturvakäytäntöjen kanssa (laki 124/2025, 9 §, kohta 11).

Käyttäkää tätä Traficomin todentamiskategorioihin pohjautuvaa porrastettua lähestymistapaa, arvioidaksenne nykyistä kyberturvallisuustasoanne suhteessa lain (124/2025) vaatimuksiin ja tunnistaaksenne puutteet.

• Taso 1 on pakollista dokumentaatiota. Aloittakaa tasosta 1 ja edetkää asteittain kohti tasoa 2.
• Taso 2 antaa hyvän toiminnallisen varmuuden.
• Taso 3 tarjoaa korkeamman varmuustason, suositellaan suuremmille/korkeamman riskin elintarvikealan toimijoille tai niille, jotka pyrkivät osoittamaan kypsää kyberturvallisuutta.

Ulkoinen tuki

• Kyberturvallisuuskonsultit: Riippumattomat asiantuntijat voivat auttaa puuteanalyyseissä, politiikkojen kehittämisessä, riskienhallinnan toteutuksessa ja vaatimustenmukaisuuden validoinnissa. Etsikää konsultteja, joilla on kokemusta elintarviketeollisuudesta ja/tai OT-turvallisuudesta.

• Hallinnoidut tietoturvapalveluntarjoajat (MSSP): Yrityksille, joilla ei ole sisäistä tietoturvaosaamista, MSSP:t voivat tarjota ulkoistettuja valvonta-, uhkien havaitsemis- ja poikkeamanratkaisupalveluita.

• Toimialajärjestöt: Elintarvikealan järjestöt voivat tarjota kyberturvallisuusresursseja, parhaiden käytäntöjen jakamista ja vertaisoppimismahdollisuuksia, jotka on räätälöity alalle.

Laki (124/2025) painottaa merkittävästi kyberturvallisuusriskien hallintaa toimitusketjuissanne. Kriittinen huomio elintarvikealalle: Tämä kattaa kaikki suorat toimittajat, joiden digitaalisten tuotteiden tai palveluiden vaarantuminen voisi vaikuttaa toimintojenne, verkkonne ja tietojärjestelmienne turvallisuuteen.

Elintarvikeala on tottunut hallinnoimaan fyysistä toimitusketjua (raaka-aineet, pakkaukset, logistiikka). NIS2-laki koskee digitaalista toimitusketjua – IT-toimittajia, ohjelmistotoimittajia, pilvipalveluntarjoajia ja muita teknologiakumppaneita sekä sidosryhmiä, joiden tietojärjestelmistä operatiivinen toimintanne on riippuvainen.

Korkean riskin digitaaliset riippuvuudet:

• Tuotantolinjoja kontrolloivat tuotannonohjausjärjestelmät (MES)
• Keskeisiä liiketoimintaprosesseja hallinnoivat toiminnanohjausjärjestelmät (ERP)
• Hankintaa ja logistiikkaa koordinoivat toimitusketjunhallintajärjestelmät (SCM)
• Jakelua ohjaavat varastonhallintajärjestelmät (WMS)
• Vaatimustenmukaisuuden varmistavat laadunhallintajärjestelmät (QMS)
• B2B-viestintää hoitavat EDI/Peppol-järjestelmät
• Tuotantolaitteita hallinnoivat SCADA/teollisuusautomaatiojärjestelmät

Esimerkkejä huomioitavista digitaalisista toimittajista:

• EDI/Peppol-turvallisuus: Arvioikaa sähköisten tiedonsiirtokumppaneiden ja Peppol-yhteyspisteiden turvallisuus päästä päähän.
• Raaka-aine- ja pakkaustoimittajien digitaaliset yhteydet: EDI, portaalit, API:t.
• Kolmannen osapuolen logistiikkatoimittajat: ja niiden varastonhallintajärjestelmät.
• Pilvipalveluntarjoajat: elintarvikkeiden jäljitettävyys- ja laatujärjestelmille.
• Laitteiden huoltotoimittajat: joilla on etäkäyttömahdollisuuksia.

Lain (124/2025) keskeinen piirre on suora oikeudellinen vastuu, joka asetetaan yrityksen johdolle. Lain 10 §:n mukaan johdon on varmistettava riittävä kyberturvallisuuden riskienhallinnan osaaminen ja hyväksyttävä kyberturvallisuuden riskienhallintatoimenpiteet.

Mitä tämä käytännössä tarkoittaa elintarvikealan johtajille:

• Integroi kyberriski hallintotapaan: Kyberturvallisuusriskin on oltava säännöllinen hallituksen asialistalla, käsiteltävänä taloudellisten, toiminnallisten ja elintarviketurvallisuusriskien rinnalla.

• Resurssien kohdentaminen: Johto vastaa riittävän budjetin, henkilöstön ja resurssien varmistamisesta kyberturvallisuudelle, suhteessa tunnistettuihin riskeihin.

• Edistä turvallisuuskulttuuria: Edistä koko yrityksen laajuista kyberturvallisuuskulttuuria, samoin kuin vahvaa elintarviketurvallisuuskulttuuria.

• Henkilökohtainen kehittyminen: Hallituksen jäsenten ja johtajien tulisi aktiivisesti parantaa ymmärrystään kyberturvallisuusriskeistä ja parhaista käytännöistä.

Ruokavirastolla on merkittävät valvontavaltuudet varmistaakseen lain (124/2025) noudattamisen.

Valvontafilosofia ja seuraamusten konteksti

Vaikka hallinnolliset enimmäisseuraamukset ovat huomattavia (7 milj. € tai 1,4 % maailmanlaajuisesta liikevaihdosta), Ruokaviraston valvontatapa korostaa:

• Oikeasuhteisuus: Seuraamukset suhteutetaan yrityksen kokoon ja rikkomuksen vakavuuteen
• Vilpittömän mielen huomioiminen: Viranomainen ottaa huomioon yrityksen oma-aloitteiset toimet puutteiden korjaamiseksi ja yhteistyöhalukkuuden
• Asteittainen valvonta: Varoitukset ja kehotukset parantaa toimintaa edeltävät yleensä taloudellisia seuraamuksia
• Toimialan ymmärrys: Elintarvikealan toiminnallisten rajoitteiden ja vanhojen järjestelmien tunnistaminen

Tämä yhteistyöhön perustuva lähestymistapa koskee kuitenkin vain yrityksiä, jotka aktiivisesti pyrkivät vaatimustenmukaisuuteen. Tahallinen laiminlyönti tai viranomaisen viestintään vastaamatta jättäminen käynnistää valvontatoimet.

Rikkomukset, jotka voivat johtaa seuraamuksiin:

• Riittämättömien kyberturvallisuuden riskienhallintatoimenpiteiden laiminlyönti kaikilla 12 ydinalueella.
• Merkittävistä poikkeamista ilmoittamatta jättäminen Ruokavirastolle määräajoissa.
• Rekisteröitymättä jättäminen Ruokavirastoon tai päivitettyjen tietojen toimittamatta jättäminen.
• Tahallinen tai törkeän huolimaton laiminlyönti noudattaa valvovan viranomaisen antamia sitovia määräyksiä.

Elintarvikealan yritykset luokitellaan direktiivissä yleensä tärkeiksi toimijoiksi. Näihin kohdistetaan ensisijaisesti jälkikäteisvalvontaa, esimerkiksi merkittävän poikkeaman ilmoittamisen tai ilmoittamatta jättämisen yhteydessä, eikä niinkään jatkuvaa ennakoivaa auditointia kuten keskeisiin toimijoihin.

Kuitenkin, jos Ruokaviraston muun valvonnan yhteydessä on syytä olettaa, että kybertutrvallisuuslain veloitteita on laiminlyöty, voi tämä käynnistää valvontatoimenpiteet.

Viranomaisten resurssit

Ruokavirasto - Elintarvikealan valvovana viranomaisena tarjoaa erityisohjeita NIS2:n täytäntöönpanosta:

• Ruokaviraston NIS2-ohjeistus elintarvikealalle: Kyberturvallisuusdirektiivi (NIS2) elintarviketoimialalla↗
• Yhteystiedot: NIS2.kyberturvallisuus@ruokavirasto.fi↗
• Rekisteröityminen: https://ilppa.fi/ilmoitus-aloitus↗

Traficom / Kyberturvallisuuskeskus tarjoaa laajoja resursseja:

• Verkkosivusto: https://www.kyberturvallisuuskeskus.fi/↗

  • Yksityiskohtainen suositus (139 sivua): "Liikenne- ja viestintävirasto Traficomin suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä" - Tämä asiakirja on välttämätön työkalu ja tarjoaa konkreettisia esimerkkejä ja todentamismenetelmiä kaikkien 12 riskienhallinnan alueen käytännön toteutukseen.
  • Kybermittari: Ilmainen itsearviointityökalu perustason kyberturvallisuuden arviointiin ja parannussuositusten saamiseen.
  • Poikkeamien ilmoitusportaali: Keskitetty portaali NIS2-poikkeamailmoituksille.
  • Uhkatiedustelu: Säännölliset hälytykset ja neuvot - tilaa päivitykset.
  • Ristiinviittaustaulukko: Traficom tarjoaa ristiinviittaustaulukon, joka yhdistää NIS2-vaatimukset kansainvälisesti tunnustettuihin standardeihin, kuten ISO 27001, NIST CSF ja IEC 62443 - ymmärrä miten olemassa olevat viitekehykset vastaavat NIS2:ta.

Kansainväliset standardit ja viitekehykset

• ISO/IEC 27001 & 27002: Kansainvälisesti tunnustetut standardit tietoturvallisuuden hallintajärjestelmille (ISMS) ja turvallisuuskontrolleille. Tarjoaa kattavan viitekehyksen, joka vastaa hyvin NIS2-vaatimuksia.

• NIST Cybersecurity Framework (CSF): Riskipohjainen viitekehys, jonka on kehittänyt Yhdysvaltain National Institute of Standards and Technology. Laajasti käytössä maailmanlaajuisesti ja viitattu Traficomin ohjeistuksessa.

• IEC 62443 -sarja: Standardit teollisuusautomaatio- ja ohjausjärjestelmien (IACS) turvallisuudelle. Erittäin relevantti elintarvikevalmistajille, joilla on automatisoituja tuotantolinjoja ja tuotantoteknologiaverkkoja (OT).

• CIS Controls: Priorisoitu joukko toimenpiteitä yleisimpiä kyberhyökkäyksiä vastaan. Tarjoaa käytännöllistä, toiminnallista ohjeistusta perustason turvallisuudelle.

---

Lähteet:

• Finlex – Laki 124/2025 (Kyberturvallisuuslaki↗)
• Direktiivi (EU) 2022/2555 (NIS2-direktiivi↗)
• Ruokavirasto – Ohjeita NIS2-direktiivin soveltamisesta elintarvikealalla↗
• Traficom / Kyberturvallisuuskeskus – Suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä↗
• Dragos – Dragos Industrial Ransomware Analysis Q1 2025↗