NIS2-opas

NIS2-opas · 6 min

NIS2:n täytäntöönpanon tila: missä EU-maissa se on voimassa

NIS2 on EU-direktiivi, eli jokaisen jäsenvaltion on kirjoitettava se omaan kansalliseen lakiinsa ennen kuin se puree. Täytäntöönpanon määräaika oli 17. lokakuuta 2024. Se meni umpeen useimpien maiden vielä valmistellessa, ja maat ovat kuroneet eroa kiinni hyvin eri tahtiin. Tämä sivu seuraa kunkin 27 jäsenvaltion tilannetta ja sitä, miksi erot koskevat sinua vaikka oma maasi olisi myöhässä.

Keskeiset huomiot

  • NIS2:n piti olla kansallisessa laissa 17.10.2024; moni jäsenvaltio myöhästyi.
  • Velvoite tavoittaa sinut asiakkaidesi kautta, ei vain oman maasi lain kautta.
  • Tila muuttuu jatkuvasti: varmista aina virallisista EU- ja kansallisista lähteistä.

Missä 27 jäsenvaltiota menevät

20 / 27

kansallinen laki voimassa

7 / 27

täytäntöönpano kesken

Miksi tilkkutäkki silti tavoittaa sinut

On houkuttelevaa rentoutua, jos oma maa ei ole saanut lakiaan valmiiksi. Se on väärä tulkinta. NIS2:n toimitusketjuvelvoite (art. 21(2)(d)) valuu sopimuksin: jos vaikka yksi asiakkaistasi on sijoittautunut jäsenvaltioon jossa laki on jo voimassa, sen on arvioitava ja jatkuvasti arvioitava tietoturvaasi riippumatta siitä missä itse sijaitset. Käytännössä aikaisimmin täytäntöönpanneet maat asettavat tahdin kaikille jotka myyvät niihin.

Tila maittain

Jokainen maa linkittää omaan sivuunsa: toimivaltainen viranomainen, kansallinen CSIRT, kansallinen laki ja keskeiset päivämäärät.

Voimassa (20)

Kesken (7)

Miten pidämme tämän ajantasaisena

Kansallinen täytäntöönpano elää. Tarkistamme jokaisen maan virallista kansallista viranomaista ja Euroopan komission transposition-trackeria vasten, ja päiväämme jokaisen merkinnän, jotta näet kuinka tuore se on. Live-tason maakohtainen tieto löytyy yllä olevilta maasivuilta tai suoraan komission trackerista.

Euroopan komission transposition-tracker

Katso NIS2-tason toimittajavalvonta

Malliraportti (löydökset, NIS2-kartoitus ja näyttö) kahdessa minuutissa.

7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain

Aiheeseen liittyvät oppaat

Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma

NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2 toimittajalle: sinua ei ole nimetty, mutta asiakkaasi on

Useimpia yrityksiä ei koskaan nimetä NIS2:ssa, mutta monien on silti noudatettava sitä. Miten asiakkaan artiklan 21(2)(d) toimitusketjuvelvoite valuu sinuun, mitä he pyytävät ja miten vastata uskottavasti.

NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa keskeiset ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

NIS2 Art. 21(2): tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.

NIS2-sakot ja seuraamukset: kuinka paljon, kuka on vastuussa ja miten välttää ne

Mitä NIS2-seuraamukset ovat: artiklan 34 enimmäismäärät (10 M€ / 2 % keskeisille, 7 M€ / 1,4 % tärkeille toimijoille), johdon henkilökohtainen vastuu (art. 20, art. 32), ei-rahalliset toimenpiteet ja miten ne vältetään jatkuvalla, todennetulla huolellisuudella.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat

Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.

EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi

Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.

EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)

Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.

NIS2-toimittajasopimuksen klausuulit: mitä vaatia toimittajiltasi

Sopimusklausuulit jotka tekevät NIS2:n toimitusketjuvelvoitteesta toimeenpantavan: tietoturvan perustaso, ilmoitusikkuna, näyttö- ja auditointioikeudet, alihankkijaketjutus, ja miten todentaa ne jatkuvasti.

Viimeksi tarkistettu: 19. kesäkuuta 2026

Tämä opas on yleistä tietoa EU-lainsäädännöstä, ei oikeudellista neuvontaa. NIS2 tulee voimaan kunkin EU-jäsenvaltion kansallisen täytäntöönpanolain kautta, joka voi poiketa yksityiskohdissa. Varmista sinua koskevat velvoitteet toimivaltaiselta viranomaiselta tai lakimieheltä.