NIS2-opas · 6 min
NIS2:n täytäntöönpanon tila: missä EU-maissa se on voimassa
NIS2 on EU-direktiivi, eli jokaisen jäsenvaltion on kirjoitettava se omaan kansalliseen lakiinsa ennen kuin se puree. Täytäntöönpanon määräaika oli 17. lokakuuta 2024. Se meni umpeen useimpien maiden vielä valmistellessa, ja maat ovat kuroneet eroa kiinni hyvin eri tahtiin. Tämä sivu seuraa kunkin 27 jäsenvaltion tilannetta ja sitä, miksi erot koskevat sinua vaikka oma maasi olisi myöhässä.
Keskeiset huomiot
- • NIS2:n piti olla kansallisessa laissa 17.10.2024; moni jäsenvaltio myöhästyi.
- • Velvoite tavoittaa sinut asiakkaidesi kautta, ei vain oman maasi lain kautta.
- • Tila muuttuu jatkuvasti: varmista aina virallisista EU- ja kansallisista lähteistä.
Missä 27 jäsenvaltiota menevät
20 / 27
kansallinen laki voimassa
7 / 27
täytäntöönpano kesken
Miksi tilkkutäkki silti tavoittaa sinut
On houkuttelevaa rentoutua, jos oma maa ei ole saanut lakiaan valmiiksi. Se on väärä tulkinta. NIS2:n toimitusketjuvelvoite (art. 21(2)(d)) valuu sopimuksin: jos vaikka yksi asiakkaistasi on sijoittautunut jäsenvaltioon jossa laki on jo voimassa, sen on arvioitava ja jatkuvasti arvioitava tietoturvaasi riippumatta siitä missä itse sijaitset. Käytännössä aikaisimmin täytäntöönpanneet maat asettavat tahdin kaikille jotka myyvät niihin.
Tila maittain
Jokainen maa linkittää omaan sivuunsa: toimivaltainen viranomainen, kansallinen CSIRT, kansallinen laki ja keskeiset päivämäärät.
Voimassa (20)
Kesken (7)
Miten pidämme tämän ajantasaisena
Kansallinen täytäntöönpano elää. Tarkistamme jokaisen maan virallista kansallista viranomaista ja Euroopan komission transposition-trackeria vasten, ja päiväämme jokaisen merkinnän, jotta näet kuinka tuore se on. Live-tason maakohtainen tieto löytyy yllä olevilta maasivuilta tai suoraan komission trackerista.
Euroopan komission transposition-trackerKatso NIS2-tason toimittajavalvonta
Malliraportti (löydökset, NIS2-kartoitus ja näyttö) kahdessa minuutissa.
7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain
Aiheeseen liittyvät oppaat
Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma
NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.
Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat
Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.
NIS2 toimittajalle: sinua ei ole nimetty, mutta asiakkaasi on
Useimpia yrityksiä ei koskaan nimetä NIS2:ssa, mutta monien on silti noudatettava sitä. Miten asiakkaan artiklan 21(2)(d) toimitusketjuvelvoite valuu sinuun, mitä he pyytävät ja miten vastata uskottavasti.
NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä
NIS2-direktiivi velvoittaa keskeiset ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.
Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa
Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.
NIS2 Art. 21(2): tarkistuslista toimittajille
Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.
NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli
Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.
NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä
Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.
NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä
Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.
ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata
Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.
NIS2-sakot ja seuraamukset: kuinka paljon, kuka on vastuussa ja miten välttää ne
Mitä NIS2-seuraamukset ovat: artiklan 34 enimmäismäärät (10 M€ / 2 % keskeisille, 7 M€ / 1,4 % tärkeille toimijoille), johdon henkilökohtainen vastuu (art. 20, art. 32), ei-rahalliset toimenpiteet ja miten ne vältetään jatkuvalla, todennetulla huolellisuudella.
NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua
Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.
GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat
Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.
EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi
Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.
EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)
Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.
NIS2-toimittajasopimuksen klausuulit: mitä vaatia toimittajiltasi
Sopimusklausuulit jotka tekevät NIS2:n toimitusketjuvelvoitteesta toimeenpantavan: tietoturvan perustaso, ilmoitusikkuna, näyttö- ja auditointioikeudet, alihankkijaketjutus, ja miten todentaa ne jatkuvasti.
Viimeksi tarkistettu: 19. kesäkuuta 2026
Tämä opas on yleistä tietoa EU-lainsäädännöstä, ei oikeudellista neuvontaa. NIS2 tulee voimaan kunkin EU-jäsenvaltion kansallisen täytäntöönpanolain kautta, joka voi poiketa yksityiskohdissa. Varmista sinua koskevat velvoitteet toimivaltaiselta viranomaiselta tai lakimieheltä.