Keskeiset toimijat: Enintään 10 000 000 € tai 2 % maailmanlaajuisesta vuosiliikevaihdosta (edellinen tilikausi), sen mukaan kumpi on suurempi. Tärkeät toimijat: Enintään 7 000 000 € tai 1,4 % maailmanlaajuisesta vuosiliikevaihdosta (edellinen tilikausi), sen mukaan kumpi on suurempi. Nämä ovat direktiivin asettamia enimmäismääriä (art. 34). Todelliset sakot päätetään kansallisesti, ja niiden on oltava tehokkaita, oikeasuhtaisia ja varoittavia, ottaen huomioon vakavuus, kesto ja yhteistyösi. Vahvista maasi täytäntöönpanon tarkat säännöt pätevältä neuvonantajalta.

NIS2-opas · 8 min

NIS2-sakot ja seuraamukset: kuinka paljon, kuka on vastuussa ja miten välttää ne

NIS2 antaa valvojille todelliset hampaat: liikevaihtoon sidotut sakot, sitovat määräykset ja keskeisten toimijoiden osalta vallan keskeyttää sertifiointi tai kieltää ylin johtaja tehtävästään väliaikaisesti. Tämä opas selittää, mitä seuraamukset ovat, kuka on henkilökohtaisesti vastuussa, miten valvonta eroaa keskeisillä ja tärkeillä toimijoilla, ja käytännön tavan pysyä poissa pulasta: toteuta artiklan 21(2) toimenpiteet ja säilytä jatkuva, päivätty näyttö siitä, että teet niin.

Keskeiset asiat

Enimmäissakot on sidottu liikevaihtoon: keskeisille toimijoille enintään 10 M€ tai 2 % maailmanlaajuisesta vuosiliikevaihdosta ja tärkeille toimijoille 7 M€ tai 1,4 %, sen mukaan kumpi on suurempi.
Johdon on hyväksyttävä ja valvottava tietoturvatoimenpiteet (art. 20), ja johto voidaan asettaa henkilökohtaiseen vastuuseen; keskeisten toimijoiden osalta valvoja voi kieltää ylintä johtajaa hoitamasta tehtäväänsä väliaikaisesti (art. 32(5)).
Sakot ovat viimeinen keino: arkinen altistus on sitovat määräykset, auditoinnit ja huolellisuuden todistamisen kustannus. Jatkuva, todennettu toimitusketjuseuranta on halvin vakuutus.

Mitä NIS2-seuraamukset kattavat

NIS2 (direktiivi (EU) 2022/2555) saatetaan osaksi kunkin jäsenvaltion kansallista lakia, joten tarkat luvut ja menettelyt määritetään kansallisesti, mutta direktiivi vahvistaa enimmäissakkojen vähimmäistason ja täytäntöönpanon työkalut. Seuraamukset liittyvät toimijan velvoitteiden laiminlyöntiin: artiklan 21(2) riskienhallintatoimenpiteet, artiklan 23 poikkeamailmoitusvelvollisuudet, rekisteröinti ja yhteistyö viranomaisten kanssa.

Olennaista on, että NIS2 ei koske vain rahaa. Artikla 32 (keskeiset toimijat) ja artikla 33 (tärkeät toimijat) antavat toimivaltaisille viranomaisille porrastetut valtuudet varoituksista sitoviin ohjeisiin ja keskeisten toimijoiden osalta keskeytyksiin ja johdon kieltoihin asti. Sakko on otsikko; operatiiviset toimenpiteet ovat se, minkä useimmat toimijat tosiasiassa kohtaavat.

Enimmäissakot

Keskeiset toimijat

Enintään 10 000 000 € tai 2 % maailmanlaajuisesta vuosiliikevaihdosta (edellinen tilikausi), sen mukaan kumpi on suurempi.

Suuremmat toimijat erittäin kriittisillä toimialoilla: energia, liikenne, pankki, finanssimarkkinainfrastruktuuri, terveys, juoma- ja jätevesi, digitaalinen infrastruktuuri, ICT-palveluhallinta, julkishallinto, avaruus.

Tärkeät toimijat

Enintään 7 000 000 € tai 1,4 % maailmanlaajuisesta vuosiliikevaihdosta (edellinen tilikausi), sen mukaan kumpi on suurempi.

Muut keskisuuret ja suuret toimijat katetuilla toimialoilla, mukaan lukien posti- ja kuriiripalvelut, jätehuolto, kemikaalit, elintarvikkeet, valmistus, digitaaliset palveluntarjoajat ja tutkimus.

Nämä ovat direktiivin asettamia enimmäismääriä (art. 34). Todelliset sakot päätetään kansallisesti, ja niiden on oltava tehokkaita, oikeasuhtaisia ja varoittavia, ottaen huomioon vakavuus, kesto ja yhteistyösi. Vahvista maasi täytäntöönpanon tarkat säännöt pätevältä neuvonantajalta.

Henkilökohtainen ja johdon vastuu

NIS2 asettaa kyberturvallisuuden tarkoituksella hallituksen pöydälle. Artiklan 20 mukaan johdon on hyväksyttävä kyberriskien hallintatoimenpiteet ja valvottava niiden toteutusta, ja johto voidaan asettaa vastuuseen laiminlyönneistä. Johdon jäsenten on myös osallistuttava koulutukseen, ja heidän odotetaan tarjoavan vastaavaa koulutusta henkilöstölleen.

Keskeisten toimijoiden osalta artikla 32(5) menee pidemmälle: kun muu täytäntöönpano on epäonnistunut, toimivaltaiset viranomaiset voivat keskeyttää sertifioinnin tai luvan väliaikaisesti ja kieltää toimitusjohtaja- tai lakimääräisen edustajan tason henkilöä hoitamasta johtotehtäviä väliaikaisesti. Tämä henkilökohtainen altistus on syy, miksi NIS2-hallinto ulottuu nyt organisaation huipulle.

Katso, miten toimittajasi todella pärjäävät

Aloita ilmainen kokeilu Katso esimerkkiraportti

7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain

Täytäntöönpanon työkalupakki (sakkojen lisäksi)

Ennen sakkoa tai sen rinnalla viranomaiset voivat soveltaa joukkoa sitovia toimenpiteitä (art. 32 ja 33). Käytännössä nämä ovat todennäköisimmin kohtaamasi:

Varoitukset ja sitovat ohjeet korjata tietyt puutteet määräajassa.
Määräykset noudattaa, ilmoittaa asiakkaille merkittävästä uhasta tai toteuttaa auditoinnin suositukset.
Pakolliset tietoturva-auditoinnit ja paikan päällä tehtävät tarkastukset omalla kustannuksellasi.
Valvontavastaavan nimeäminen valvomaan vaatimustenmukaisuuttasi määräajaksi.
Rikkomuksen julkistaminen ja määräykset tehdä osa poikkeamasta julkiseksi.
Vain keskeisille toimijoille: sertifioinnin tai luvan väliaikainen keskeytys ja johdon väliaikainen kielto (art. 32(5)).

Valvonta eroaa luokittain

Keskeiset toimijat ovat ennakoivan (ex-ante) ja jälkikäteisen (ex-post) valvonnan kohteena artiklan 32 mukaisesti: säännölliset ja kohdennetut auditoinnit, paikan päällä tehtävät tarkastukset, tietoturvaskannaukset ja tietopyynnöt voivat tapahtua riippumatta siitä, epäilläänkö ongelmaa.

Tärkeitä toimijoita valvotaan vain jälkikäteen (ex-post) artiklan 33 mukaisesti: viranomaiset toimivat, kun on näyttöä tai viite vaatimustenvastaisuudesta, tyypillisesti poikkeaman tai valituksen jälkeen. Joka tapauksessa sinun on osoitettava, että asianmukaiset toimenpiteet olivat käytössä, mikä on paljon helpompaa jatkuvilla tallenteilla kuin kerran vuodessa otetulla tilannekuvalla.

Lähteet: Direktiivi (EU) 2022/2555 (NIS2), artiklat 20, 32, 33 ja 34 Enimmäissakkojen luvut on asetettu direktiivissä; kansalliset täytäntöönpanot määrittävät tarkat säännöt ja menettelyt. Tämä opas on yleistietoa, ei oikeudellista neuvontaa.

Miten norppa.io pienentää altistustasi

Useimmat seuraamukset palautuvat kahteen laiminlyöntiin: riittämättömät artiklan 21(2) toimenpiteet (erityisesti toimitusketjun turvallisuus) ja kyvyttömyys todistaa huolellisuus pyydettäessä. norppa.io vastaa molempiin seuraamalla jokaista toimittajadomainia jatkuvasti ja kartoittamalla jokaisen löydöksen sille NIS2-artiklalle, jota se koskee.

Koska jokainen seurantakierros kirjataan, sinulla on jatkuva, päivätty kirjausketju, juuri se näyttö, jota artiklojen 32 ja 33 valvonta pyytää, eikä vain hetkellinen tilannekuva. Se muuttaa ”aioimme tehdä” muotoon ”tässä on tallenne”, ja se on halvin vakuutus yllä olevia sakkoja ja määräyksiä vastaan.

Todista toimitusketjusi huolellisuus

Katso esimerkkitoimittajaraportti (löydökset, näyttö ja NIS2-artiklakartoitus) noin kahdessa minuutissa.

Aloita ilmainen kokeilu Katso esimerkkiraportti

7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain

Katso esimerkki-dashboard

Viimeksi tarkistettu: 19. kesäkuuta 2026

Tämä opas on yleistä tietoa EU-lainsäädännöstä, ei oikeudellista neuvontaa. NIS2 tulee voimaan kunkin EU-jäsenvaltion kansallisen täytäntöönpanolain kautta, joka voi poiketa yksityiskohdissa. Varmista sinua koskevat velvoitteet toimivaltaiselta viranomaiselta tai lakimieheltä.

Aiheeseen liittyvät oppaat

Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma

NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2 toimittajalle: sinua ei ole nimetty, mutta asiakkaasi on

Useimpia yrityksiä ei koskaan nimetä NIS2:ssa, mutta monien on silti noudatettava sitä. Miten asiakkaan artiklan 21(2)(d) toimitusketjuvelvoite valuu sinuun, mitä he pyytävät ja miten vastata uskottavasti.

NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa keskeiset ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

NIS2 Art. 21(2): tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat

Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.

EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi

Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.

EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)

Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.