06.08.2025 13:33
Kyberturvallisuuslain täydennykset voimaan heinäkuun alusta
Kyberturvallisuuslain muutokset tulivat voimaan 1.7.2025, ja ne täydentävät CER- ja NIS 2 -direktiivien kansallista toimeenpanoa. Lain soveltamisala laajenee koskemaan myös tulevaisuudessa kriittisiksi määritettäviä toimijoita, vaikka ne eivät aiemmin olisi kuuluneet lain piiriin.
Muutokset kyberturvallisuuslakiin tulivat voimaan 1.7.2025. Lakimuutoksilla täydennetään kriittisten toimijoiden häiriönsietokyvystä annetun direktiivin (CER) ja kyberturvallisuusdirektiivin (NIS 2) kansallista toimeenpanoa.
Lakimuutosten myötä kyberturvallisuuslakia sovelletaan myös yhteisöihin, jotka määritetään tulevaisuudessa kriittisiksi toimijoiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ehdotetun lain nojalla. Julkishallinnon osalta vastaavat muutokset tehdään tiedonhallinnasta annettuun lakiin.
Muutosten myötä kyberturvallisuuslain velvoitteet koskevat kriittiseksi määritettävää yritystä myös silloin, jos yritys ei ennen kriittiseksi määrittämistä kuulu kyberturvallisuuslain soveltamisalaan. Näitä yrityksiä voivat olla esimerkiksi kriittiseksi määritettävät pien- tai mikroyritykset toimialasta riippumatta sekä julkisen liikenteen harjoittajat tai lääketukkukaupat.
Lakimuutokset tulevat voimaan samaan aikaan uuden yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain kanssa. Laissa säädetään kriittisten toimijoiden määrittämisestä ja CER-direktiivin mukaisista velvoitteista kriittisille toimijoille. CER-direktiivin mukaiset kriittiset toimijat on määritettävä ensimmäisen kerran heinäkuussa 2026.