CER- ja NIS2-direktiivit: missä mennään nyt ja mitä on tulossa 2026

Euroopan unionin CER- ja NIS2-direktiivit ovat tuoneet mukanaan mittavia muutoksia siihen, miten Suomessa johdetaan kriittisen infrastruktuurin turvallisuutta ja kyberturvallisuutta. Molemmat direktiivit on jo saatettu osaksi kansallista lainsäädäntöä, ja niiden vaikutukset ulottuvat laajalle eri toimialoille. Tässä artikkelissa tarkastelemme, missä vaiheessa mennään nyt  ja mitä vuonna 2026 on odotettavissa.

Missä mennään nyt?

NIS2-direktiivi vietiin Suomessa käytäntöön Kyberturvallisuuslailla (124/2025), joka astui voimaan 8. huhtikuuta 2025. Tämä tarkoittaa sitä, että monet organisaatiot ovat jo nyt velvollisia ilmoittautumaan soveltamisalaan kuuluviksi ja rakentamaan riskienhallinnan sekä kyberturvallisuuden prosessinsa vastaamaan lain edellytyksiä. Erityisesti kyberpoikkeamien raportointivelvoite on tullut ajankohtaiseksi, ja organisaatioiden on kyettävä toimimaan tiukassa aikataulussa viranomaisten suuntaan.

CER-direktiivi puolestaan toimeenpantiin lailla yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (310/2025), joka tuli voimaan 1. heinäkuuta 2025. Tämän lain toimeenpanosta vastaa sisäministeriö, ja parhaillaan työn alla ovat kansallinen riskiarvio sekä valtakunnallinen suunnitelma, joiden avulla kokonaisuutta viedään eteenpäin. Käytännössä tämä merkitsee sitä, että viranomaiset ja toimijat yhdessä rakentavat uudenlaista perustaa yhteiskunnan kriittisten palveluiden turvaamiseksi.

Mitä tapahtuu vuonna 2026?

Vuosi 2026 on käänteentekevä sekä CER- että NIS2-direktiivien toimeenpanossa. Tammikuuhun mennessä kansallinen riskiarvio ja valtakunnallinen suunnitelma on hyväksyttävä, mikä asettaa selkeän aikarajan viranomaisille. Heinäkuuhun mennessä puolestaan ensimmäinen kierros kriittisten toimijoiden tunnistamisesta ja nimeämisestä on saatettava valmiiksi. Tämä tarkoittaa sitä, että viranomaiset nimeävät ne organisaatiot, joilla katsotaan olevan erityisen merkittävä rooli yhteiskunnan toiminnan jatkuvuuden kannalta.

Aikataulujen hallinta on avainasemassa, sillä tammikuu ja heinäkuu 2026 deadlinet ovat sitovia.

NIS2:n osalta vuosi 2026 on ensimmäinen täysi valvontavuosi. Tämä merkitsee sitä, että viranomaisilla – esimerkiksi Traficomilla ja toimialakohtaisilla valvojilla – on valtuudet seurata, miten hyvin organisaatiot täyttävät velvoitteensa. Jos puutteita ilmenee, seurauksena voi olla hallinnollisia seuraamuksia. Käytännössä tämä on se hetki, jolloin direktiivien velvoitteet muuttuvat paperista todelliseksi arjeksi organisaatioissa.

Mitä tämä tarkoittaa organisaatioille?

Organisaatioiden kannalta direktiivien toimeenpano tarkoittaa suurta muutosta. Soveltamisalaan kuuluminen ei ole valinnaista, vaan velvollisuudet ovat lakisääteisiä. Jokaisen toimijan on kyettävä dokumentoimaan riskienhallintaprosessinsa ja jatkuvuussuunnitelmansa, arvioimaan kriittiset riskit ja ylläpitämään toimintamalleja, jotka varmistavat häiriönsietokyvyn.

Lisäksi organisaatioiden on varauduttava raportointiin. Poikkeamista ja uhista on ilmoitettava viranomaisille nopeasti ja täsmällisesti. Tämä vaatii paitsi teknisiä ratkaisuja myös selkeitä toimintatapoja ja koulutusta henkilöstölle. Aikataulujen hallinta on avainasemassa, sillä tammikuun ja heinäkuun 2026 deadlinet ovat sitovia. Niihin valmistautuminen kannattaa aloittaa hyvissä ajoin, jos sitä ei ole jo tehty.

Direktiivien tuomat velvoitteet koskettavat myös arjen käytäntöjä, kuten avainten, kulkutunnisteiden ja muiden kriittisten resurssien hallintaa. LokiTime tarjoaa ratkaisun, jolla nämä voidaan hoitaa keskitetysti, turvallisesti ja läpinäkyvästi. Kun organisaatio joutuu osoittamaan viranomaisille, että riskienhallinta ja jatkuvuus on otettu vakavasti, LokiTime helpottaa todentamista ja tuo varmuutta siihen, että prosessit toimivat niin kuin pitää. Näin arjen hallinta tukee myös strategisia tavoitteita ja lainsäädännön velvoitteiden täyttämistä.

Lue lisää miten fyysinen pääsynhallinta liittyy kyberturvallisuuteen ja NIS2-direktiiviin: https://shorturl.at/wzOZQ

Lue lisää huoltovarmuuskriittisestä avainhallinnasta ja CER-direktiivin vaatimuksista: https://shorturl.at/65eAG