Ota yhteyttä

Kyberturvallisuuslaki korostaa yhtiön johdon vastuuta näin uusi laki vaikuttaa hallituksen ja toimitusjohtajan velvollisuuksiin

Kyberturvallisuuden päivittynyt lainsäädäntö pyrkii vahvistamaan EU:n jäsenvaltioiden kyberturvallisuuden tasoa ja samalla liittää kyberturvallisuuden ylläpitovastuun yhtiön johdon jäsenten henkilökohtaisen vastuun piiriin. Uusien velvollisuuksien laiminlyönti voi johtaa toimintakieltoon ja vahingonkorvausvelvollisuuteen.

EU:n NIS 2 -direktiivi on implementoitu Suomessa 8.4.2025 voimaan astuneella kyberturvallisuuslailla (124/2025). Kyberturvallisuuslaki on muuttanut kyberturvallisuuden roolia yrityksissä perustavanlaatuisesti. Kyberturvallisuus ei ole enää vain tekninen kysymys IT-osastolle, vaan sen turvaaminen on johdon lakisääteinen huolellisuus- ja valvontavelvollisuus. Huolimattomuus ja muun muassa perehtyneisyyden hankkimatta jättäminen voi johtaa merkittäviin seuraamuksiin sekä yritykselle että sen johdolle henkilökohtaisesti. Johdolle on asetettu nimenomaisesti viimesijainen vastuu tarkoittaen, että hallituksen ja toimitusjohtajan on ylläpidettävä asiantuntijuuttaan ja varmistettava velvollisuuksien noudattaminen yrityksen toiminnassa.


Mikä on muuttunut?

NIS 2 ja kyberturvallisuuslaki edellyttävät käytännössä, että johto hyväksyy kyberturvallisuuden riskienhallintatoimet ja valvoo niiden toimeenpanoa ja resursointia. Lisäksi johdon on huolehdittava säännöllisen koulutuksen järjestämisestä organisaation henkilöstölle. Toisin sanoen kyberturvallisuus on strateginen tehtävä, ei pelkkä muodollisuus. Direktiiviin perustuen johdon vastuulla on korostettu kyberturvallisuuden merkitystä jäsenvaltioiden turvallisuudessa ja pyritty varmistamaan vaatimuksien täytäntöönpano.

Johdon tulee vähintään:
  • Hyväksyä kyberturvallisuuden riskienhallinnan toimintamalli
  • Järjestää riskienhallinnan toteutus ja resursointi
  • Valvoa riskienhallinnan toimivuutta ja ajantasaisuutta käytännössä
  • Huolehtia säännöllisestä koulutuksesta ja sen järjestämisestä henkilökunnalle

Vaikka kyseisten tehtävien delegointi esimerkiksi organisaation asiantuntijoille on toki mahdollista, säilyy johdolla vastuu riskienhallinnan toteuttamisesta ja valvonnasta. Vastuun merkitys korostuu, kun kyberturvallisuusriskit ovat yhtiön toimialalla merkittäviä.


Mitä seuraamuksia laiminlyönnistä aiheutuu?

  • Hallinnolliset seuraamusmaksut: Kyberturvallisuuslain rikkominen voi johtaa seuraamusmaksuun, joka arvioidaan rikkomuksen vakavuuden perusteella ja voi olla enintään 10 miljoonaa euroa, tai 2% yhtiön maailmanlaajuisesta liikevaihdosta.
  • Määräaikainen toimintakielto: Vakavat tai toistuvat laiminlyönnit voivat johtaa johdon jäsenen määräaikaiseen kieltoon toimia johto- tai hallintotehtävissä.
  • Henkilökohtainen vahingonkorvausvastuu: Jos yhtiölle määrätään seuraamusmaksu, yhtiön johdossa toimivat henkilöt voivat joutua myös henkilökohtaiseen vahingonkorvausvastuuseen yhtiölle liittyen huolellisuusvelvollisuuden laiminlyöntiin.

Kyberturvallisuuslain myötä kyberturvallisuuden riskienhallinta on noussut yhdeksi keskeiseksi johdon vastuulle kuuluvaksi velvollisuudeksi.


Keitä laki koskee?

Kyberturvallisuuslaki koskee laajasti yhteiskunnan kriittisiä toimijoita, kuten energia-, liikenne-, terveys- ja finanssialaa, sekä julkishallintoa ja digitaalista infrastruktuuria. Velvoitteet kattavat sekä fyysisen infrastruktuurin turvallisuuden että tietojärjestelmät, koskien pääosin suuria ja keskisuuria yrityksiä, jotka tarjoavat välttämättömiä tai tärkeitä palveluita. Lisäksi korostuneet velvollisuudet koskevat koosta riippumatta digitaalisen infrastruktuurin kriittisiä toimijoita, kuten sähköisten viestintäverkkojen ja DNS-palvelujen tarjoajia.


Mitä yhtiön johdon tulee tehdä?

Kyberturvallisuus on integroitava osaksi yhtiön riskienhallintaa. Käytännössä tämä sisältää kolme keskeistä vaihetta:

  1. Arvioi soveltuvuus: Kuuluuko yritys lain soveltamisalaan?
  2. Rekisteröidy: Yrityksen on ilmoittauduttava oman sektorinsa toimijaluetteloon
  3. Täytäntöönpano: Velvoitteiden tunnistaminen ja toteuttaminen

Johdon ei tarvitse muuttua kyberturvan teknisiksi asiantuntijoiksi, mutta sen on varmistettava, että kyberturvallisuutta johdetaan ammattimaisesti ja systemaattisesti.


Johdon viisi keskeistä tehtävää

  1. Tunnista ja arvioi kyberturvallisuusriskit
  2. Hyväksy selkeä riskienhallinnan toimintamalli
  3. Varmista säännöllinen raportointi
  4. Määritä vastuuhenkilöt ja varmista resurssit
  5. Jatkuva valvonta.


Yhteenveto: kyberturvallisuus lukeutuu nykyisin johdon oikeudelliseen vastuuseen

Kyberturvallisuuslaki on nostanut kyberturvallisuuden yhdeksi yritysjohdon ydintehtävistä. Kyse ei ole vain teknisestä suojauksesta, vaan myös oikeudellisesta ja henkilökohtaisesta vastuusta, jolloin tehtävien laiminlyönti voi johtaa merkittäviin seuraamuksiin.

Ennakoiva toiminta, selkeä vastuunjako ja huolellinen dokumentointi ovat paras tapa minimoida riskejä ja täyttää lakisääteiset velvoitteet.


Tarvitsetko tukea velvoitteiden arviointiin?

Autamme mielellämme arvioimaan kyberturvallisuusvelvoitteiden soveltumista sekä varmistamaan niiden lainmukaisen ja tehokkaan toteutuksen.

Lasse

Riski

Partner

Teknologia

Lotta

Lavonen

Associate

Transaktiot

Jaa sisältö verkossa

Lue myös

  • Uutiset

Haemme joukkoomme Legal Technologistia

  • Uutiset

Haemme Junior Trainee, Legal Trainee ja Associate Trainee -ohjelmiin harjoittelijoita syyskuussa 2026 alkaville harjoittelujaksoille

  • Uutiset

Lasse Luoma ja Risto Sandvik kutsuttu HPP:n osakkaiksi

Palvelut

Toimialat

Asiantuntijat

Referenssit

Ajankohtaista

Yritys

Vihreäsiirtymä
Linkedin Instagram

Ota yhteyttä