Ketkä ovat NIS2:n piirissä Suomessa?

NIS2 koskee Suomessa kriittisen infrastruktuurin toimijoita kahdessa kategoriassa: keskeinen toimija (essential entity) ja tärkeä toimija (important entity). Sektoreita ovat muun muassa energia, liikenne, pankit, terveydenhuolto, digitaalinen infrastruktuuri, julkinen hallinto ja postipalvelut. Kynnys on tyypillisesti vähintään 50 henkilöä tai yli 10 miljoonan euron liikevaihto.

Mitä NIS2 edellyttää tietoturvan testaukselta käytännössä?

NIS2:n 21 artikla edellyttää muun muassa riskienhallintaa, henkilöstöturvallisuutta ja tietojärjestelmien turvallisuuden testausta. Käytännössä tämä tarkoittaa dokumentoituja testejä, joiden tulokset osoittavat, että organisaatio on arvioinut inhimillisen tekijän haavoittuvuudet. Social engineering -testauksen raportti soveltuu tähän dokumentaatioksi suoraan.

Mikä on sanktio jos NIS2-velvoite laiminlyödään?

NIS2-direktiivin mukaan keskeisille toimijoille voidaan määrätä hallinnollisia sakkoja enintään 10 000 000 euroa tai 2 % edellisen vuoden maailmanlaajuisesta liikevaihdosta, riippuen siitä kumpi on suurempi. Tärkeille toimijoille enintään 7 000 000 euroa tai 1,4 % liikevaihdosta. Lähde: NIS2-direktiivi, artikla 34.

Miten social engineering -testaus dokumentoidaan NIS2-auditointia varten?

Backline Private Officen raportti on kirjallinen dokumentti, joka kuvaa testattavat skenaariot, tulokset prosessitasolla (ei yksilötasolla) ja toimenpidesuositukset. Dokumentti soveltuu suoraan NIS2-auditointiaineistoksi tietoturvavastuulliselle tai ulkoiselle auditoijalle.

NIS2 ja social engineering -testausvelvoite

Lyhyt vastaus: velvoittaako NIS2 social engineering -testauksen?

Ei suoraan nimellä, mutta käytännössä kyllä. NIS2-direktiivi edellyttää kattavaa riskienhallintaa, johon kuuluu henkilöstöturvallisuus ja tietojärjestelmien testaus. Social engineering -testaus on dokumentoitu ja auditoitavissa oleva tapa täyttää tämä velvoite.

Direktiivin 21 artikla määrää, että toimijoiden on "arvioitava turvallisuusriskit, otettava huomioon inhimillinen tekijä ja testattava tietoturvatoimenpiteiden tehokkuus." Suomessa Kyberturvallisuuskeskus (Traficom) valvoo noudattamista.

Milloin NIS2 tuli voimaan Suomessa?

NIS2-direktiivi (EU 2022/2555) hyväksyttiin EU-tasolla joulukuussa 2022. Jäsenmaiden implementointifrist oli lokakuu 2024. Suomessa direktiivi saatettiin kansalliseksi lainsäädännöksi lailla kyberturvallisuudesta (laki 124/2025), joka tuli voimaan vuonna 2025.

Lain 124/2025 ydinvelvoite (21 artikla)

Toimijoiden on toteutettava asianmukaiset ja oikeasuhteiset tekniset, toiminnalliset ja organisatoriset toimenpiteet, joilla hallitaan riskit, jotka kohdistuvat niiden tarjoamien palvelujen turvallisuuteen vaikuttavien verkko- ja tietojärjestelmien turvallisuuteen.

Ketkä ovat NIS2:n piirissä?

NIS2 jakaa toimijat kahteen kategoriaan:

Keskeinen toimija (essential entity). Energia, liikenne, pankit, rahoitusmarkkinoiden infrastruktuuri, terveydenhuolto, juomavesi, jätevesi, digitaalinen infrastruktuuri, ICT-palvelujen hallinta, julkinen hallinto, avaruus.
Tärkeä toimija (important entity). Posti- ja kuriiripalvelut, jätehuolto, kemianteollisuus, elintarviketeollisuus, valmistava teollisuus, digitaaliset palveluntarjoajat, tutkimus.

Kokonaisskaalakynnys on tyypillisesti vähintään 50 henkilöä tai yli 10 miljoonan euron liikevaihto. Joillain sektoreilla, kuten kriittinen infrastruktuuri, velvoite koskee myös pienempiä toimijoita.

Huomio pk-yrityksille

Alle 50 henkilön yritys voi silti olla NIS2:n piirissä, jos se toimii kriittisen infrastruktuurin toimittajana tai alihankkijana. Epävarmuuden vallitessa kannattaa tarkistaa asia Kyberturvallisuuskeskuksen (Traficom) ohjeistuksesta.

Mitä NIS2 käytännössä edellyttää tietoturvan testaukselta?

Direktiivin 21 artiklan perusteella toimijoilta edellytetään vähintään seuraavat viisi kohtaa:

Riskienhallinta ja -arviointi. Kirjallinen prosessi, joka tunnistaa ja arvioi riskit säännöllisesti.
Henkilöstöturvallisuus. Toimenpiteet, joilla varmistetaan, että henkilöstö ei muodosta tietoturvariskiä. Vishing-testaus mittaa tätä.
Turvallisuustoimenpiteiden testaus ja arviointi. Osoitettava, että käytössä olevat toimenpiteet ovat tehokkaita. Social engineering -testauksen raportti on auditoitava näyttö.
Poikkeamien havaitseminen ja hallinta. Prosessit, joilla tietoturvahäiriöt havaitaan ja ilmoitetaan Traficomille.
Toimitusketjun turvallisuus. Myös alihankkijoiden on täytettävä vaatimukset.

Sanktiot laiminlyönnistä

NIS2-direktiivin artikla 34 määrittää hallinnolliset sanktiot:

Keskeinen toimija

10 M€

tai 2 % edellisen vuoden maailmanlaajuisesta liikevaihdosta, kumpi on suurempi

Tärkeä toimija

7 M€

tai 1,4 % edellisen vuoden maailmanlaajuisesta liikevaihdosta, kumpi on suurempi

Sanktioiden lisäksi Kyberturvallisuuskeskuksella on oikeus keskeyttää palvelut tai asettaa tilapäinen toimintakielto keskeisille toimijoille, joiden johto laiminlyö velvoitteet toistuvasti.

Miten Backline Private Officen testaus täyttää NIS2-velvoitteen?

Vishing-testaus kattaa NIS2:n henkilöstöturvallisuus- ja testaamisvelvoitteet seuraavasti:

Dokumentoitu testaus. Jokainen toimeksianto tuottaa kirjallisen raportin, joka kuvaa skenaariot, tulokset prosessitasolla ja toimenpidesuositukset. Raportti toimitetaan suoraan ulkoiselle auditoijalle.
Inhimillisen tekijän arviointi. Social engineering -testaus mittaa juuri sitä, mitä direktiivi edellyttää: henkilöstön kykyä tunnistaa ja torjua tietosuojauhkat käytännössä.
Toistettavuus. Uusintatesti 8-12 viikon kuluttua osoittaa, onko toimenpiteillä ollut vaikutusta. Tärkeä näyttö auditointia varten.
Laillisuusdokumentaatio. Jokainen toimeksianto sisältää Authorization Letterin ja get-out-of-jail-kirjeen, jotka osoittavat testin olevan lainmukainen.

Usein kysytyt kysymykset NIS2:sta

Velvoittaako NIS2 social engineering -testauksen?

NIS2-direktiivi ei mainitse social engineering -testausta nimeltä, mutta velvoittaa kattavan tietoturvariskien hallinnan, johon kuuluu henkilöstöturvallisuus ja tietojärjestelmien testaus. Social engineering -testaus on käytännön tapa täyttää tämä velvoite ja dokumentoida se auditoijalle.
Milloin NIS2 tuli voimaan Suomessa?

NIS2-direktiivi (EU 2022/2555) tuli voimaan Suomessa lailla kyberturvallisuudesta (laki 124/2025) vuonna 2025. EU-tason direktiivi hyväksyttiin joulukuussa 2022 ja implementointifrist oli lokakuu 2024.
Ketkä ovat NIS2:n piirissä?

Keskeisiä toimijoita ovat energia, liikenne, pankit, terveydenhuolto, digitaalinen infrastruktuuri ja julkinen hallinto. Tärkeitä toimijoita ovat muun muassa posti, elintarviketeollisuus ja digitaaliset palveluntarjoajat. Kokokynnys on yleensä vähintään 50 henkilöä tai 10 miljoonan euron liikevaihto.
Mitä sanktioita NIS2-laiminlyönnistä voi seurata?

Keskeisille toimijoille hallinnollinen sakko voi olla enintään 10 000 000 euroa tai 2 % maailmanlaajuisesta liikevaihdosta, kumpi on suurempi. Tärkeille toimijoille enintään 7 000 000 euroa tai 1,4 % liikevaihdosta. Lähde: NIS2-direktiivi, artikla 34.
Pitääkö NIS2-testaus teettää ulkopuolisella toimijalla?

Direktiivi ei vaadi ulkoista testausta, mutta ulkoinen arvioija tarjoaa riippumattoman näytön, jota sisäinen testi ei pysty antamaan. Auditoijat ja vakuuttajat arvostavat ulkoisen tahon allekirjoittamaa raporttia.
Miten social engineering -testauksen raportti toimitetaan auditointia varten?

Backline Private Officen raportti on kirjallinen PDF-dokumentti, joka kuvaa testattavat skenaariot, tulokset prosessitasolla (ei yksilötasolla) ja toimenpidesuositukset. Se voidaan toimittaa suoraan ulkoiselle auditoijalle tai liittää NIS2-riskienhallinnan dokumentaatioon.

Lue myös: Mitä vishing-testaus maksaa? Hinnoittelun anatomia 2026