NIS2-opas

NIS2-opas · 8 min

NIS2-toimittajasopimuksen klausuulit: mitä vaatia toimittajiltasi

NIS2 tekee sinusta vastuullisen toimittajiesi kyberriskistä (art. 21(2)(d)), etkä voi ulkoistaa tuota vastuuta. Sopimus on paikka jossa velvoite muuttuu todeksi: se antaa sinulle oikeuden pyytää näyttöä, saada tieto poikkeamista ajoissa omien ilmoitusmääräaikojesi täyttämiseksi, ja pitää toimittaja tietoturvan perustasossa. Tämä on käytännön tarkistuslista olennaisista klausuuleista: miksi kukin on olemassa ja miten tehdä niistä toimeenpantavia eikä koristeellisia.

Keskeiset huomiot

  • Toimitusketjuvelvoite on sinun; sopimus on tapa siirtää se ketjussa alaspäin.
  • Ilmoitusajan klausuuli suojaa omia art. 23 -määräaikojasi.
  • Allekirjoitettu klausuuli ei ole varmistus: yhdistä se tapaan todentaa toimittaja jatkuvasti.

Miksi sopimusklausuulit, ei pelkkä kyselylomake

Kyselylomake kuvaa toimittajan väitteet yhtenä päivänä. Sopimus luo velvoitteita joihin voit tarttua: perustason joka heidän on täytettävä, velvollisuuden kertoa kun jokin hajoaa, ja oikeuden tarkistaa. NIS2 art. 21(2)(d) odottaa sinun hallitsevan suhteen turvallisuutta suoriin toimittajiisi, ja art. 23 voi tehdä toimittajan poikkeamasta sinun ilmoitusmääräaikasi. Kumpikaan ei toimi pelkällä hyvällä tahdolla; molemmat on kirjattava.

Virallinen lähde: NIS2-direktiivi EUR-Lexissä — art. 21(2)(d) (toimitusketjutoimenpiteet) ja art. 23 (poikkeamailmoitus).

Sisällytettävät klausuulit

Mukauta sanamuoto toimialaasi ja lakimieheesi, mutta kata jokainen näistä. Ne kytkeytyvät suoraan NIS2:n odottamiin toimenpiteisiin ja sen asettamiin määräaikoihin.

1

NIS2-toimenpiteisiin kytketty tietoturvan perustaso

Vaadi toimittajaa ylläpitämään palvelun kannalta olennaiset art. 21(2) -toimenpiteet: riskienhallinta, pääsynhallinta, MFA, salaus, haavoittuvuuksien käsittely ja paikkaus sekä testatut varmuuskopiot. Viittaa toimenpiteisiin eksplisiittisesti, jotta standardi on objektiivinen eikä epämääräinen 'alan paras käytäntö'.

2

Poikkeaman ilmoitusikkuna

Aseta kova määräaika (yleisesti 24 tuntia) jossa toimittajan on ilmoitettava sinulle palveluusi vaikuttavasta poikkeamasta, nimetty yhteyshenkilö joka vastaa myös virka-ajan ulkopuolella, ja vähimmäistiedot jotka ilmoituksen on sisällettävä. Tämä mahdollistaa oman 24 tunnin ennakkovaroituksesi ja 72 tunnin ilmoituksesi art. 23:n mukaan.

3

Oikeus pyytää näyttöä ja auditoida

Varaa oikeus pyytää näyttöä kontrolleista (sertifikaatit, testitulokset, skannaustulosteet) ja korkeamman riskin toimittajien osalta auditoida tai teettää riippumaton arviointi. Ilman sitä 'olemme turvallisia' on todentamaton.

4

Alihankkija- (neljäs osapuoli) -ketjutus

Vaadi toimittajaa asettamaan vastaavat tietoturva- ja ilmoitusvelvoitteet omille alihankkijoilleen, ja paljastamaan alihankkijat jotka olennaisesti käsittelevät dataasi tai tukevat palvelua. Riskisi ei pääty suoraan toimittajaasi.

5

Haavoittuvuus- ja paikkaussitoumukset

Määritä odotetut aikataulut aktiivisesti hyödynnettyjen ja kriittisten haavoittuvuuksien korjaamiselle sinua palvelevissa järjestelmissä, ja velvollisuus ilmoittaa sinulle, jos olennaista haavoittuvuutta ei saada korjattua ajoissa.

6

Datan sijainti ja alikäsittelijöiden läpinäkyvyys

Vaadi tiedon paljastamista siitä missä dataasi käsitellään ja säilytetään ja mitä alikäsittelijöitä käytetään, ennakkoilmoituksella ennen olennaisia muutoksia. Tämä tukee sekä NIS2-toimitusketjunäkymääsi että GDPR-velvoitteitasi.

7

Yhteistyö, korjaus ja sijaantulo-oikeus

Velvoita toimittaja tekemään yhteistyötä poikkeamanhallintasi ja viranomaisten kanssa, korjaamaan löydökset sovituissa aikarajoissa, ja anna itsellesi oikeussuojakeinot (korjaussuunnitelma, eskalointi, viime kädessä irtisanominen) jos näin ei tapahdu.

8

Voimassaolo ja datan palautus päättyessä

Varmista että salassapito, näyttövelvoitteet ja datasi turvallinen palautus tai poisto säilyvät sopimuksen päättymisen jälkeen, jottei poistuvasta toimittajasta tule valvomatonta altistusta.

Katso, miten toimittajasi todella pärjäävät

7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain

Allekirjoita, sitten todenna jatkuvasti

Sopimusklausuuli asettaa velvoitteen; se ei kerro täyttääkö toimittaja sen tänään. Allekirjoituksen ja todellisuuden välinen kuilu on siellä missä toimitusketjun poikkeamat tapahtuvat. Yhdistä klausuulit jatkuvaan, ulkoiseen toimittajien tilan seurantaan, jotta kun jokin ajautuu (vanheneva varmenne, vuotaneet tunnukset, vasta altistunut palvelu) näet sen ja voit vedota klausuuliin, sen sijaan että saisit tiedon poikkeamailmoituksesta.

Yleiset virheet

  • Epämääräinen 'asianmukaiset tietoturvatoimet' -standardi ilman objektiivista toimeenpantavaa.
  • Ei ilmoitusmääräaikaa, jolloin saat tiedon toimittajan poikkeamasta vasta kun oma ilmoituskellosi on jo käynyt.
  • Klausuulit jotka pysähtyvät suoraan toimittajaan ja sivuuttavat alihankkijat.
  • Allekirjoitus kerran eikä koskaan todennusta, käsitellen sopimusta huolellisuuden päätepisteenä eikä alkuna.

Katso NIS2-tason toimittajavalvonta

Malliraportti (löydökset, NIS2-kartoitus ja näyttö) kahdessa minuutissa.

7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain

Aiheeseen liittyvät oppaat

Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma

NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2 toimittajalle: sinua ei ole nimetty, mutta asiakkaasi on

Useimpia yrityksiä ei koskaan nimetä NIS2:ssa, mutta monien on silti noudatettava sitä. Miten asiakkaan artiklan 21(2)(d) toimitusketjuvelvoite valuu sinuun, mitä he pyytävät ja miten vastata uskottavasti.

NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa keskeiset ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

NIS2 Art. 21(2): tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.

NIS2-sakot ja seuraamukset: kuinka paljon, kuka on vastuussa ja miten välttää ne

Mitä NIS2-seuraamukset ovat: artiklan 34 enimmäismäärät (10 M€ / 2 % keskeisille, 7 M€ / 1,4 % tärkeille toimijoille), johdon henkilökohtainen vastuu (art. 20, art. 32), ei-rahalliset toimenpiteet ja miten ne vältetään jatkuvalla, todennetulla huolellisuudella.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat

Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.

EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi

Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.

EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)

Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.

NIS2:n täytäntöönpanon tila: missä EU-maissa se on voimassa

Mitkä 27 EU-jäsenvaltiosta ovat kirjanneet NIS2:n kansalliseen lakiin ja mitkä yhä viimeistelevät, ja miksi erot tavoittavat toimitusketjusi joka tapauksessa.

Viimeksi tarkistettu: 19. kesäkuuta 2026

Tämä opas on yleistä tietoa EU-lainsäädännöstä, ei oikeudellista neuvontaa. NIS2 tulee voimaan kunkin EU-jäsenvaltion kansallisen täytäntöönpanolain kautta, joka voi poiketa yksityiskohdissa. Varmista sinua koskevat velvoitteet toimivaltaiselta viranomaiselta tai lakimieheltä.