Uusi lainsäädäntö tulee – ja se koskee myös avainhallintaa

06.05.2025

🔔 Uusi lainsäädäntö tulee – ja se koskee myös avainhallintaa

Vuonna 2026 Suomessa astuu voimaan uusi lainsäädäntö, joka vaikuttaa merkittävästi siihen, miten yritykset ja organisaatiot varautuvat häiriöihin ja suojaavat yhteiskunnan kannalta tärkeät toimintonsa. Kyseessä on EU:n CER-direktiivin kansallinen toimeenpano, joka tuo mukanaan uusia velvollisuuksia – ja sanktioita – erityisesti niille, jotka katsotaan niin sanotuiksi kriittisiksi toimijoiksi.

Useimmat tietävät, että direktiivi koskee huoltovarmuuden kannalta tärkeitä aloja, kuten energiaa, liikennettä ja vesihuoltoa. Mutta joukko on laajempi kuin moni arvaa: se voi sisältää esimerkiksi julkisia tilapalveluja, terveydenhuollon tukitoimintoja, kunnallistekniikkaa ja yksityisiä palveluntarjoajia, jotka ylläpitävät fyysistä infrastruktuuria. Jos organisaation toiminnan keskeytyminen voisi aiheuttaa häiriötä yhteiskunnan toiminnalle – se on todennäköisesti mukana.

Monelle tämä tieto tulee jälkikäteen. Mutta silloin voi olla jo kiire.

Miksi avainhallinta on osa tätä kokonaisuutta?

CER-direktiivi edellyttää, että kriittiset toimijat varautuvat paitsi kyberuhkiin ja toiminnan keskeytyksiin myös fyysisiin riskeihin. Se tarkoittaa, että on pystyttävä osoittamaan, kenellä on pääsy tiloihin, milloin pääsy on myönnetty, ja mitä on tapahtunut, jos jotain katoaa tai menee pieleen. Tämä ei onnistu ilman järjestelmällistä ja digitaalista avainhallintaa.

Jos jokin tila on lukossa – mutta ei ole selvää, kuka hallitsee avaimia – kriittinen reagointi voi viivästyä. Ja se voi olla ratkaisevaa.

Vuoden jakso, jolloin kannattaa toimia

Nyt on käynnissä siirtymävaihe. Suomessa direktiivin kansallinen laki valmistuu vuoden 2025 aikana, ja viranomaiset nimeävät kriittiset toimijat kesällä 2026. Tästä alkaa aikaraja, jonka puitteissa jokaisen nimetyn toimijan tulee toimittaa oma riskiarvionsa ja valmiussuunnitelmansa viranomaisille.

Tämä tarkoittaa, että vuoden 2025 loppupuolisko on ratkaiseva valmistelujakso. Avainhallinnan kannalta se tarkoittaa konkretiaa: nyt on hetki kartoittaa, missä kunnossa pääsynhallinta ja vastuunjako on. Kenellä on avaimet? Miten ne luovutetaan ja palautetaan? Onko jokaisesta tapahtumasta jäänyt jälki?

Avainhallinnan digitalisointi ei tapahdu yhdessä yössä. Useimmille organisaatioille se on 4–8 kuukauden hanke, jossa täytyy ensin selvittää nykytila, tunnistaa vastuuhenkilöt, syöttää tiedot järjestelmään ja kouluttaa käyttäjät. Jos tämä työ aloitetaan vasta silloin, kun nimeämiskirje tulee postissa, ollaan jo auttamattomasti myöhässä.

Entä jos ei kuulu kriittisiin toimijoihin?

Tämä kysymys tulee usein – ja se on tärkeä. Totuus on, että monet organisaatiot eivät vielä tiedä kuuluvansa kriittisten toimijoiden joukkoon, mutta se voi muuttua direktiivin soveltamisen edetessä. Lisäksi moni organisaatio toimii alihankkijana, palveluntuottajana tai teknisenä tukena kriittisille toimijoille – ja joutuu näin osaksi ketjua, joka on valvonnan piirissä.

Avainhallinnan laittaminen kuntoon on perusteltua joka tapauksessa. Se lisää turvallisuutta, selkeyttää vastuita ja vähentää virheitä – ja samalla mahdollistaa sen, että raportointi onnistuu heti, jos viranomainen sitä kysyy.

⚠️ Entä jos ei toimi ajoissa?

Direktiivi itsessään antaa jäsenvaltioille oikeuden asettaa seuraamuksia. Suomessa tuleva laki tulee sisältämään mahdollisuuden sanktioihin niille, jotka laiminlyövät velvoitteensa ilman perusteltua syytä.

Käytännössä tämä voi tarkoittaa:

viranomaisilta tulevia huomautuksia ja tarkastuksia
korjausmääräyksiä, jotka voivat hidastaa toimintaa
ja äärimmäisessä tapauksessa myös taloudellisia seuraamuksia, erityisesti jos laiminlyönti aiheuttaa haittaa tai vaarantaa kriittisen infrastruktuurin.

Kyse ei siis ole pelkästä “byrokraattisesta velvollisuudesta”, vaan vastuusta, jolla voi olla hyvin konkreettisia seurauksia.

✅ Toimi nyt – ennen kuin on liian myöhäistä

Vuoden 2025 toinen puolisko ja kevät 2026 muodostavat ikkunan, jossa on vielä aikaa varautua rauhassa. Kun direktiiviä aletaan soveltaa käytännössä, ensimmäiset auditoinnit ja raportointivelvoitteet tulevat nopeasti. Silloin ei enää kysytä, onko avaimet dokumentoitu – vaan missä se dokumentaatio on.

Me LokiTimella autamme varmistamaan, että avaimet, tunnisteet ja kriittiset tilaresurssit ovat hallinnassa, ennen kuin niitä aletaan kysyä virallisesti.

Cookie	Kesto	Kuvaus
_GRECAPTCHA		Tämän evästeen asettaa Google. reCAPTCHA -evästettä käytään muiden googlen evästeiden lisäksi, jolla voidaan tehdä riskien tunnistamista mm. lomakkeiden lähettämisen yhteydessä.
cookielawinfo-checbox-analytics		Tämän evästeen asettaa GDPR Cookie Consent -lisäosa. Tämä eväste tallentaa käyttäjän hyväksynnän "Analytiikka" -kategoriassa.
cookielawinfo-checbox-functional		Tämän evästeen asettaa GDPR Cookie Consent -lisäosa. Tämä eväste tallentaa käyttäjän hyväksynnän "Toiminnallinen" -kategoriassa.
cookielawinfo-checbox-others		Tämän evästeen asettaa GDPR Cookie Consent -lisäosa. Tämä eväste tallentaa käyttäjän hyväksynnän "Muut" -kategoriassa.
cookielawinfo-checkbox-advertisement		Tämän evästeen asettaa GDPR Cookie Consent -lisäosa. Tämä eväste tallentaa käyttäjän hyväksynnän "Mainokset" -kategoriassa.
cookielawinfo-checkbox-necessary		Tämän evästeen asettaa GDPR Cookie Consent -lisäosa. Tämä eväste tallentaa käyttäjän hyväksynnän "Pakolliset" -kategoriassa.
cookielawinfo-checkbox-performance		Tämän evästeen asettaa GDPR Cookie Consent -lisäosa. Tämä eväste tallentaa käyttäjän hyväksynnän "Suorituskyky" -kategoriassa.
leadoo_session		Tämän evästeen asettaa Leadoo. Leadoo mahdollistaa interaktiivisten chatbottien toiminnan sivustolla.
viewed_cookie_policy		Tämän evästeen asettaa GDPR cookie consent -lisäosa. Tämä eväste tallentaa käyttäjän hyväksynnän evästeiden käytöstä. Tämä eväste ei tallenna mitään henkilökohtaista tietoa.
XSRF-TOKEN		Tämän evästeen asettaa Wix -verkkosivusto. Tätä evästettä käytetään tietoturvaan liittyvissä asioissa.

Cookie	Kesto	Kuvaus
anj		Tämän evästeen asettaa AppNexus. Tämä eväste mittaa mainoskampanjoiden tehokkuutta.
IDE		Tämän evästeen asettaa Google DoubleClick. Tämä eväste tallentaa tiedon siitä, kuinka käyttäjä käyttää sivustoa sekä muita mainostamiseen liittyviä toimintoja ennen sivustolle saapumistaan. Tämä eväste näyttää kohdennettuja mainoksia edellä mainittujen tietojen perusteella.
t_gid		Tämän evästeen asettaa taboola.com. Tämä eväste luo numeerisen tunnisteen jokaiselle kävijälle ja näyttää sen perusteella kohdennettuja mainoksia sekä muuta sisältöä.
test_cookie		Tämän evästeen asettaa doubleclick.net. Tällä evästeellä tarkistetaan tukeeko käyttäjän selain evästeitä.
uuid2		Tämän evästeen asettaa AppNexus. Tämä eväste auttaa tunnistamaan erilaiset laitteet sekä selaimet. Tämä eväste seuraa mainontaan liittyviä toimintoja, kuten mainoskampanjoiden tehokkuutta.

Cookie	Kesto	Kuvaus
_ga		Tämän evästeen asettaa Google Analytics. Tämä eväste laskee vierailijat, sessiot ja kampanjoiden tiedot ja seuraa sivuston käyttöä analytiikkaa varten. Tämä eväste tallentaa tiedon anonyymisti ja käyttää satunnaisesti luotua numeroa tunnistamaan uniikit sivustokävijät.
_gat_gtag_UA_79225249_1		Googlen asettama eväste, jolla tunnistetaan eri käyttäjät toisistaan.
_gid		Tämän evästeen asettaa Google Analytics. Tämä eväste tallentaa tiedon siitä, miten käyttäjät käyttävät sivustoa ja auttaa luomaan parempaa analytiikkaa sivuston toiminnasta. Kaikki kerätyt tiedot, kuten kävijöiden määrä, vieraillut sivut sekä lähde, josta sivustolle saavuttiin, ovat anonymisoitu.

Cookie	Kesto	Kuvaus
prism_25812680		Tämän evästeen asettaa ActiveCampaign. Tämä eväste kerää tietoa käyttäjän toiminnasta sivustolla sekä mainontaan liittyvistä asioista.
READPEAKBID		Tämän evästeen asettaa Readpeak. Readpeak kerää tietoa sivuston markkinointikampanjoista sekä käyttäjien toiminnoista sivustolla.

Ajankohtaista