NIS2-opas

NIS2-opas · 7 min

Käyttävätkö toimittajasi tekoälyä? NIS2:n toimittajariski ja EU:n tekoälyasetus

NIS2:ssa olet vastuussa toimittajiesi kantamasta kyberriskistä (artikla 21(2)(d)). Yhä useammin tähän riskiin kuuluu tekoäly: toimittajat upottavat tekoälyä palveluihin, joista olet riippuvainen, ja niin tekevät myös heidän toimittajansa. EU:n tekoälyasetus, joka on nyt vaiheittaisessa täytäntöönpanossa, lisää velvoitteita organisaatioille, jotka ottavat käyttöön tai nojaavat tekoälyjärjestelmiin, myös kolmansien osapuolten tarjoamiin. Useimmat toimittaja-arvioinnit eivät kysy tekoälystä lainkaan. Tämä opas selittää, missä toimittajan ja nth-party-tekoäly luo riskiä NIS2:n ja tekoälyasetuksen kannalta, mitä arvioida ja miten säilyttää näkyvyys tekoälyn levitessä.

Keskeiset opit

  • NIS2 tekee toimittajan kyberriskistä sinun vastuutasi; toimittajan upottama tekoäly on nyt osa sitä.
  • EU:n tekoälyasetus lisää velvoitteita, kun nojaat kolmannen osapuolen tekoälyyn, myös suuririskisiin järjestelmiin.
  • Useimmat kyselyt sivuuttavat tekoälyn; nth-party-tekoäly (toimittajiesi toimittajat) on vaikein katvealue.

Mistä tekoäly tulee toimitusketjuusi

Tekoäly saavuttaa sinut toimittajien kautta kolmella tavalla: toimittaja käyttää tekoälyä palvelussa, jota kulutat; toimittaja käsittelee dataasi tekoälyllä (koulutus, päättely, tukityökalut); ja toimittajasi omat toimittajat tekevät samoin (nth-party). Kukin lisää hyökkäyspinta-alaa (malli- ja data-altistus, kehotehyökkäykset, uudet integraatiot) ja sääntelyaltistusta. NIS2:n artikla 21(2)(d) tekee sinusta vastuullisen näiden suhteiden turvallisuudesta, ja EU:n tekoälyasetus lisää läpinäkyvyys- ja riskienhallintavelvoitteita, kun otat käyttöön tai nojaat tekoälyjärjestelmiin, myös kolmansien osapuolten.

Viralliset lähteet: NIS2-direktiivi EUR-Lexissä — artikla 21(2)(d); lisäksi EU:n tekoälyasetus (asetus (EU) 2024/1689) tekoälykohtaisista velvoitteista.

Mitä arvioida toimittajan tekoälystä

Lisää nämä toimittaja-arviointiin. Ne vastaavat NIS2:n toimitusketjutoimenpiteitä ja tekoälyasetuksen velvoitteita niille, jotka nojaavat tekoälyyn.

1

Missä tekoäly koskettaa dataasi

Kysy, mitkä palvelun osat käyttävät tekoälyä, käytetäänkö dataasi koulutukseen tai päättelyyn ja missä käsittely tapahtuu. Tämä määrittää sekä NIS2-altistuksesi että tekoälyasetus- ja GDPR-asemasi.

2

Onko tekoäly suuririskinen tekoälyasetuksen mukaan

Jos toimittajan tekoäly kuuluu tekoälyasetuksen suuririskiseen luokkaan, peri läpinäkyvyys-, ihmisvalvonta- ja kirjanpitovelvoitteet, kun nojaat siihen. Varmista luokitus ja toimittajan vaatimustenmukaisuustyö.

3

Nth-party-tekoäly (toimittajasi toimittajat)

Toimittajat yhä useammin jälleenmyyvät tai upottavat kolmannen osapuolen tekoälyä (perusmallit, tekoäly-API:t). Vaadi näiden alitoimittajien ilmoittaminen, jottei mallikatko, datapoikkeama tai käytäntömuutos yllätä sinua.

4

Tekoälykohtaiset turvakontrollit

Suoja kehotehyökkäyksiä ja datavuotoja vastaan, pääsynhallinta mallirajapintoihin, lokitus ja automaattisten päätösten ihmisvalvonta. Nämä ovat artiklan 21(2) perustason tekoälyaikainen laajennus.

5

Tekoälypoikkeamien ilmoittaminen

Laajenna sopimuksen ilmoitusvelvoite tekoälykohtaisiin häiriöihin (datavuoto mallin kautta, haitallinen tai manipuloitu tuotos), jotta toimittajan tekoälypoikkeama tavoittaa sinut ajoissa oman ilmoituksesi kannalta.

Katso, miten toimittajasi todella pärjäävät

7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain

Miten säilyttää näkyvyys tekoälyn levitessä

Tekoälyn käyttöönotto toimitusketjussasi muuttuu nopeammin kuin vuosittainen kysely: toimittaja lisää tekoälyominaisuuden, vaihtaa mallintarjoajaa tai uusi alikäsittelijä ilmestyy. Yhdistä kysely jatkuvaan ulkoiseen seurantaan ja elävään neljännen osapuolen inventaarioon, jotta uudet tekoälyriippuvuudet ja niiden takana olevat alitoimittajat tulevat esiin heti ilmestyessään, kytkettynä NIS2:n ja tekoälyasetuksen velvoitteisiin, ei vasta seuraavassa arviointisyklissä.

Yleisiä virheitä

  • Toimittajakysely, joka ei kysy tekoälystä lainkaan.
  • Arvioidaan suora toimittaja mutta sivuutetaan palvelun takana oleva kolmannen osapuolen malli tai tekoäly-API.
  • Käsitellään tekoälyä pelkkänä innovaatioaiheena, ei toimitusketjun turvallisuutena ja tekoälyasetuksen vaatimustenmukaisuutena.
  • Ei sopimusvelvoitetta ilmoittaa tekoälyn käytöstä tai tekoälykohtaisista poikkeamista.

Katso miten toimittaja- ja tekoälyriski kytkeytyy NIS2:een

Esimerkki toimittajaraportista (löydökset, NIS2-kytkentä ja näyttö) kahdessa minuutissa.

7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain

Aiheeseen liittyvät oppaat

Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma

NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2 toimittajalle: sinua ei ole nimetty, mutta asiakkaasi on

Useimpia yrityksiä ei koskaan nimetä NIS2:ssa, mutta monien on silti noudatettava sitä. Miten asiakkaan artiklan 21(2)(d) toimitusketjuvelvoite valuu sinuun, mitä he pyytävät ja miten vastata uskottavasti.

NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa keskeiset ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

NIS2 Art. 21(2): tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.

NIS2-sakot ja seuraamukset: kuinka paljon, kuka on vastuussa ja miten välttää ne

Mitä NIS2-seuraamukset ovat: artiklan 34 enimmäismäärät (10 M€ / 2 % keskeisille, 7 M€ / 1,4 % tärkeille toimijoille), johdon henkilökohtainen vastuu (art. 20, art. 32), ei-rahalliset toimenpiteet ja miten ne vältetään jatkuvalla, todennetulla huolellisuudella.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat

Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.

EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi

Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.

EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)

Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.

NIS2:n täytäntöönpanon tila: missä EU-maissa se on voimassa

Mitkä 27 EU-jäsenvaltiosta ovat kirjanneet NIS2:n kansalliseen lakiin ja mitkä yhä viimeistelevät, ja miksi erot tavoittavat toimitusketjusi joka tapauksessa.

NIS2-toimittajasopimuksen klausuulit: mitä vaatia toimittajiltasi

Sopimusklausuulit jotka tekevät NIS2:n toimitusketjuvelvoitteesta toimeenpantavan: tietoturvan perustaso, ilmoitusikkuna, näyttö- ja auditointioikeudet, alihankkijaketjutus, ja miten todentaa ne jatkuvasti.

Ulkoinen tietoturva-asentosi NIS2:ssa: mitä toimittajat ja asiakkaat näkevät

Julkisesti näkyvät signaalit, joita asiakkaat arvioivat NIS2 art. 21(2)(d):n nojalla: sähköpostin väärennettävyys (SPF/DMARC), sertifikaattien kunto, internetiin altistuneet järjestelmät ja vuotaneet tunnukset, miksi kukin on tärkeä ja miten ne tarkistetaan ja korjataan.

Toimittajan esiintyminen ja toimitusjohtajahuijaus (BEC): sähköpostin väärentäminen, DMARC ja NIS2

Yksi yleisimmistä toimitusketjuhyökkäyksistä ei vaadi murtoa: väärennetty sähköposti, joka ohjaa maksun toisaalle tai varastaa dataa. Miten BEC ja toimittajan esiintyminen toimivat, mitkä SPF-, DKIM- ja DMARC-asetukset estävät ne, ja miten se kytkeytyy NIS2 art. 21(2)(d):hen.

Viimeksi tarkistettu: 19. kesäkuuta 2026

Tämä opas on yleistä tietoa EU-lainsäädännöstä, ei oikeudellista neuvontaa. NIS2 tulee voimaan kunkin EU-jäsenvaltion kansallisen täytäntöönpanolain kautta, joka voi poiketa yksityiskohdissa. Varmista sinua koskevat velvoitteet toimivaltaiselta viranomaiselta tai lakimieheltä.