Mikä on NIS ja miksi NIS2 on tärkeä
Verkko- ja tietoturvadirektiivi (NIS) oli EU:n ensimmäinen kyberturvallisuuslaki, joka hyväksyttiin vuonna 2016. Se vaati jäsenvaltioita luomaan toimivaltaisia viranomaisia, perustamaan kansallisia CSIRT-ryhmiä ja soveltamaan vähimmäisriskienhallintastandardeja.
Kokemus osoitti, että NIS1 oli liian kapea. Monet sektorit eivät olleet katettuja, ja velvoitteet vaihtelivat suuresti.
Siksi EU hyväksyi NIS2-direktiivin (direktiivi (EU) 2022/2555) 14. joulukuuta 2022. Se julkaistiin virallisessa lehdessä 27. joulukuuta 2022 ja tuli voimaan 16. tammikuuta 2023. Kaikkien jäsenvaltioiden oli saatettava se osaksi kansallista lainsäädäntöä 17. lokakuuta 2024 mennessä, korvaten NIS1. Voit lukea virallisen direktiivitekstin EUR-Lexissä.
Kenen on noudatettava NIS2:ta
NIS2 koskee kahta toimijakategoriaa:
- Keskeiset toimijat – energia, liikenne, terveydenhuolto, digitaalinen infrastruktuuri, julkishallinto.
- Tärkeät toimijat – oikeudelliset palvelut, posti- ja kuriiripalvelut, elintarvikehuolto, digitaaliset alustat.
Käytännössä suurin osa NIS2:n kattamilla aloilla toimivista yrityksistä, joilla on yli 50 työntekijää tai yli 10 miljoonan euron liikevaihto, kuuluu direktiivin piiriin. Tämä tuo tuhansia keskisuuria yrityksiä Euroopassa direktiivin piiriin. Katso lisää kuka tarvitsee LEI-koodin.
NIS2:n keskeiset velvoitteet
Direktiivi asettaa tiukat velvoitteet:
- Riskienhallinta – toteuta uhkiin suhteutettuja turvatoimia.
- Tapahtumien raportointi – ilmoita merkittävistä tapahtumista 24 tunnin kuluessa ja toimita täydellinen raportti 72 tunnin kuluessa.
- Toimitusketjun turvallisuus – arvioi toimittajien ja palveluntarjoajien kyberturvallisuus.
- Johtokunnan vastuu – johtajat ovat vastuussa vaatimustenmukaisuudesta.
- Sanktiot – sakot voivat olla mittakaavaltaan samankaltaisia kuin GDPR-rangaistukset.
Katso jäsennelty yleiskatsaus ENISA:n NIS2-yhteenvedosta.
Miksi monet maat ovat edelleen myöhässä
NIS2 on EU-direktiivi. Tämä tarkoittaa, että se asettaa tavoitteet, mutta jokaisen jäsenvaltion on saatettava ne osaksi omaa lainsäädäntöään. Määräaika oli 17. lokakuuta 2024, mutta monet maat eivät saavuttaneet sitä.
28. marraskuuta 2024 Euroopan komissio lähetti viralliset huomautuskirjeet 23 jäsenvaltiolle, jotka eivät olleet saattaneet NIS2-direktiiviä osaksi kansallista lainsäädäntöä määräaikaan mennessä. 7. toukokuuta 2025 komissio antoi perustellut lausunnot 19 jäsenvaltiolle – mukaan lukien Viro, Latvia, Puola, Suomi, Espanja ja muut – jotka eivät olleet vielä täysin saattaneet NIS2:ta osaksi kansallista lainsäädäntöä. Tämä on viimeinen vaihe ennen mahdollisia oikeustoimia Euroopan unionin tuomioistuimessa. Katso komission lehdistötiedote: “Komissio kehottaa 19 jäsenvaltiota saattamaan NIS2-direktiivin täysin osaksi kansallista lainsäädäntöä”.
Tämä tarkoittaa, että jäsenvaltiot ovat kovan paineen alla. Saattaminen osaksi kansallista lainsäädäntöä tapahtuu nyt täydellä vauhdilla. Yrityksille viesti on selvä: NIS2-säännöt tulevat pian voimaan jokaisessa EU-maassa, riippumatta siitä, onko kansallinen lainsäädäntö jo päivitetty vai ei.
LEI-koodin rooli
Oikeushenkilötunnus (LEI) on 20-merkkinen aakkosnumeerinen koodi, joka yksilöi oikeushenkilöt maailmanlaajuisesti. Se luotiin vuoden 2008 finanssikriisin jälkeen parantamaan läpinäkyvyyttä globaaleilla markkinoilla, ja sitä käyttävät nyt laajalti sääntelyviranomaiset, pankit ja yritykset. Lue lisää Global Legal Entity Identifier Foundation (GLEIF) -sivustolta.
NIS2-yhteydessä LEI on käytännöllinen työkalu:
- Selkeä identiteetti – raportit ja viestintä rajojen yli ovat johdonmukaisia.
- Toimitusketjun läpinäkyvyys – LEI näyttää sekä “kuka on kuka” että “kuka omistaa kenet”.
- Audit trail – standardoitu tunniste vähentää virheitä ja parantaa raportointia.
Katso myös mikä on LEI saadaksesi täydellisen selityksen.
Askeleet yrityksille nyt
- Tarkista tilasi – oletko luokiteltu keskeiseksi vai tärkeäksi toimijaksi?
- Hae LEI-koodia – jos sinulla ei vielä ole sitä, rekisteröidy nyt. Voit hakea LEI:tä suoraan LEI Systemin kautta.
- Integroi LEI hallintoon – sisällytä se sopimuksiin, toimitusketjun auditointeihin ja tapahtumaraportteihin.
- Kouluta johtokuntaasi – johtajuus on vastuussa NIS2:n alaisuudessa.
- Valmistele raportointityönkulut – varmista, että voit täyttää 24h/72h määräajat.
Kustannustietoja varten vieraile LEI-hinnoittelusivullamme.
Suurempi kuva
NIS2 ei ole valinnainen. Se on jo EU-laki. Vaikka jotkut kansalliset lait eivät ole vielä valmiita, täytäntöönpano on tulossa kaikkialle.
Ja vaikutus ulottuu EU:n ulkopuolelle. Yritykset maissa kuten Norja tai Meksiko, jotka palvelevat EU-asiakkaita, tuntevat myös paineen täyttää nämä standardit.
LEI-koodi on yksinkertainen mutta tehokas tapa rakentaa luottamusta ja läpinäkyvyyttä tässä uudessa digitaalisen sääntelyn aikakaudessa.
Maa-kohtainen yleiskatsaus
LEI System tarjoaa LEI-rekisteröintipalveluja yli 170 lainkäyttöalueella maailmanlaajuisesti, mikä tekee meistä yhden maailmanlaajuisesti yhteyksiltään laajimmista rekisteröintitoimijoista. Alla korostamme valikoiman markkinoita, joissa meillä on jo omistettuja paikallisia verkkosivustoja. Tämä lista ei ole tyhjentävä – uusia maakohtaisia verkkotunnuksia lisätään jatkuvasti kansainvälisen läsnäolomme laajentuessa. Seuraavat esimerkit osoittavat, miten NIS2:n täytäntöönpano kehittyy näissä maissa, mitä se tarkoittaa yrityksille ja miten LEI-koodi tukee vaatimustenmukaisuutta.
🇪🇪 Viro
Tila. 7. toukokuuta 2025 Euroopan komissio antoi perustellun lausunnon Virolle, koska NIS2:n täysi saattaminen osaksi kansallista lainsäädäntöä ei ollut ilmoitettu. Virolla on jo Kyberturvallisuuslaki (2018, muutettu 2022), jota päivitetään nyt NIS2:n mukaisesti. Talous- ja viestintäministeriö on vastuussa. Katso myös EU:n digitaalistrategiasivu NIS2:sta.
Mitä tämä tarkoittaa. Täytäntöönpanosäädökset määrittelevät vaatimukset riskienhallinnalle, johtokunnan vastuulle, toimitusketjun arvioinnille ja tapahtumien raportoinnille. Yritysten tulisi valmistella prosessejaan nyt.
LEI:n rooli. Muun muassa LEI on tarpeen selkeään tunnistamiseen tapahtumaraporteissa ja toimitusketjun auditoinneissa. Se nopeuttaa rajat ylittävää yhteistyötä, välttää sekaannuksia yritysnimissä ja tukee audit trailia.
LEI:n hakeminen on erittäin helppoa Viron LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇱🇻 Latvia
Tila. Latvia hyväksyi uuden Kyberturvallisuuslain, joka tuli voimaan 1. syyskuuta 2024. Yritysten oli rekisteröitävä tilansa 1. huhtikuuta 2025 mennessä ja toimitettava ensimmäinen itsearviointi 1. lokakuuta 2025 mennessä. Toimivaltainen viranomainen on CERT.LV.
Mitä tämä tarkoittaa. Latvialaiset yritykset on nimettävä vastuuhenkilö, suoritettava riskinarviointeja ja noudatettava uuden lain mukaisia raportointivelvoitteita.
LEI:n rooli. Muun muassa LEI auttaa selkeästi tunnistamaan rajat ylittävät kumppanit ja parantaa läpinäkyvyyttä Baltian markkinoilla.
LEI:n hakeminen on erittäin helppoa Latvian LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇱🇹 Liettua
Tila. Liettua muutti Kyberturvallisuuslakiaan 11. heinäkuuta 2024, ja säännökset tulivat voimaan 18. lokakuuta 2024. Täytäntöönpanosäännökset seurasivat 11. marraskuuta 2024. Toimivaltainen viranomainen on Kansallinen kyberturvallisuuskeskus (NCSC).
Mitä tämä tarkoittaa. Liettualaiset yritykset on noudatettava uusia velvoitteita riskienhallinnassa, toimitusketjun valvonnassa ja tapahtumien raportoinnissa.
LEI:n rooli. Muun muassa LEI on tärkeä toimittajien kartoituksessa ja auditoinneissa, varmistaen johdonmukaisen tunnistamisen rajojen yli.
LEI:n hakeminen on erittäin helppoa Liettuan LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇵🇱 Puola
Tila. Puola ei saavuttanut lokakuun 2024 määräaikaa. 7. toukokuuta 2025 komissio antoi perustellun lausunnon. Lakiluonnos on valmisteilla ja odotettavissa vuonna 2026. Toimivaltainen viranomainen on Digitaaliasioiden ministeriö.
Mitä tämä tarkoittaa. Puolalaisten yritysten on pian osoitettava vaatimustenmukaisuus rekisteröinnin, riskienhallinnan ja toimitusketjun tarkastusten kautta.
LEI:n rooli. Muun muassa LEI auttaa standardoimaan toimittajien tarkastuksia ja yksinkertaistaa raportointia EU-järjestelmissä.
LEI:n hakeminen on erittäin helppoa Puolan LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇩🇰 Tanska
Tila. Tanska sai perustellun lausunnon 7. toukokuuta 2025 täyden saattamisen ilmoittamatta jättämisestä. Luonnokset sektorikohtaisista laeista on julkaistu. Tanskan yritysvirasto on vastuussa.
Mitä tämä tarkoittaa. Yritysten tulisi jo perustaa järjestelmiä riskienhallintaa, tapahtumien raportointia ja johtokunnan vastuuta varten, sillä nämä vaatimukset tulevat pian pakollisiksi.
LEI:n rooli. Muun muassa LEI parantaa toimitusketjun läpinäkyvyyttä ja helpottaa vaatimustenmukaisuutta EU-kumppanivaatimusten kanssa.
LEI:n hakeminen on erittäin helppoa Tanskan LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇸🇮 Slovenia
Tila. Slovenia sai perustellun lausunnon 7. toukokuuta 2025. Muutokset sisällytetään tietoturvalakiin. Toimivaltainen viranomainen on Tietoturvahallinto.
Mitä tämä tarkoittaa. Yksityiskohtaisia menettelyjä tapahtumailmoituksille ja riskienhallinnalle valmistellaan.
LEI:n rooli. Muun muassa LEI tuo selkeyttä raporteissa ja kumppaniarvioinneissa.
LEI:n hakeminen on erittäin helppoa Slovenian LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇮🇹 Italia
Tila. Italia on saattanut NIS2:n osaksi kansallista lainsäädäntöä. Toimivaltainen viranomainen on ACN (Kansallinen kyberturvallisuusvirasto).
Mitä tämä tarkoittaa. Italialaisten yritysten on noudatettava selkeästi määriteltyjä vaatimuksia riskienhallinnassa, johtokunnan vastuussa ja tapahtumien raportoinnissa.
LEI:n rooli. Muun muassa LEI auttaa yhtenäistämään raportointia kansainvälisissä organisaatioissa ja vähentää virheitä rajat ylittävissä vaihdoissa.
LEI:n hakeminen on erittäin helppoa Italian LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇪🇸 Espanja
Tila. Espanja sai perustellun lausunnon 7. toukokuuta 2025. Saattaminen osaksi kansallista lainsäädäntöä on käynnissä. Talous- ja digitaalisen muutoksen ministeriö on vastuussa.
Mitä tämä tarkoittaa. Espanjalaiset yritykset on valmisteltava päivitettyjä raportointimenettelyjä ja tiukempia toimitusketjun arviointeja varten.
LEI:n rooli. Muun muassa LEI yksinkertaistaa rajat ylittävien toimittajien tunnistamista ja parantaa raportoinnin tarkkuutta.
LEI:n hakeminen on erittäin helppoa Espanjan LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇫🇮 Suomi
Tila. Suomi sai perustellun lausunnon 7. toukokuuta 2025. Teknisiä säännöksiä valmistellaan. Kansallinen kyberturvallisuuskeskus on vastuussa.
Mitä tämä tarkoittaa. Yritysten on valmistauduttava 24h ja 72h raportointiaikatauluihin sekä toimitusketjun turvallisuustarkastuksiin.
LEI:n rooli. Muun muassa LEI tukee toimittajien due diligence -tarkastuksia ja varmistaa johdonmukaisen tunnistamisen raporteissa.
LEI:n hakeminen on erittäin helppoa Suomen LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇸🇪 Ruotsi
Tila. Ruotsi sai perustellun lausunnon 7. toukokuuta 2025. Uusi kyberturvallisuuslaki on valmisteilla. Ruotsin pelastusvirasto (MSB) on toimivaltainen viranomainen.
Mitä tämä tarkoittaa. Yritysten tulisi odottaa nopeaa täytäntöönpanoa lain hyväksymisen jälkeen ja alkaa mukauttaa prosessejaan nyt.
LEI:n rooli. Muun muassa LEI vähentää virheitä toimittajien tunnistamisessa ja vahvistaa audit trailia.
LEI:n hakeminen on erittäin helppoa Ruotsin LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇨🇿 Tšekki
Tila. Tšekki sai perustellun lausunnon 7. toukokuuta 2025. Toimivaltainen viranomainen on NÚKIB (Kansallinen kyber- ja tietoturvavirasto).
Mitä tämä tarkoittaa. Keskeisten ja tärkeiden toimijoiden listat sekä tapahtumien raportointimenettelyt viimeistellään.
LEI:n rooli. Muun muassa LEI auttaa välttämään sekaannuksia yritysnimissä ja tukee yhteistyötä rajojen yli.
LEI:n hakeminen on erittäin helppoa Tšekin LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇧🇪 Belgia
Tila. Belgia on saattanut NIS2:n osaksi kansallista lainsäädäntöä. Toimivaltainen viranomainen on Belgian kyberturvallisuuskeskus (CCB).
Mitä tämä tarkoittaa. Belgialaisten yritysten on noudatettava valvontakehystä ja täytettävä tapahtumien raportointivelvoitteet.
LEI:n rooli. Muun muassa LEI nopeuttaa auditointeja ja varmistaa raportoinnin tarkkuuden.
LEI:n hakeminen on erittäin helppoa Belgian LEI System -verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisesta LEI-hinnoittelustamme.
🇳🇱 Alankomaat
Tila. Alankomaat sai perustellun lausunnon 7. toukokuuta 2025. Kansallinen kyberturvallisuuskeskus (NCSC) on toimivaltainen viranomainen.
Mitä tämä tarkoittaa. Alankomaalaiset yritykset joutuvat pian täyttämään yksityiskohtaiset valvonta- ja vaatimustenmukaisuusvelvoitteet.
LEI:n rooli. LEI yksinkertaistaa muun muassa KYC/KYB-prosesseja kansainvälisissä toimitusketjuissa.
LEI:n hakeminen on erittäin helppoa Hollannin LEI-järjestelmän verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisista LEI-hinnoistamme.
🇵🇹 Portugali
Tila. Portugali sai perustellun lausunnon 7. toukokuuta 2025. Täytäntöönpano on edelleen kesken. Toimivaltainen viranomainen on Kansallinen kyberturvallisuuskeskus (CNCS).
Mitä tämä tarkoittaa. Portugalilaisten yritysten tulisi valmistautua alakohtaisiin vaatimuksiin ja tiukempaan tapahtumaraportointiin.
LEI:n rooli. LEI:tä voidaan käyttää muun muassa sopimuksissa ja toimittajien tarkastuksissa vastuullisuuden vahvistamiseksi.
LEI:n hakeminen on erittäin helppoa Portugalin LEI-järjestelmän verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisista LEI-hinnoistamme.
🇫🇷 Ranska
Tila. Ranska sai perustellun lausunnon 7. toukokuuta 2025. Täytäntöönpano on osittain kesken. Toimivaltainen viranomainen on ANSSI (Kansallinen kyberturvallisuusvirasto).
Mitä tämä tarkoittaa. Ranskalaiset yritykset odottavat alakohtaisia täytäntöönpanosäädöksiä, jotka määrittelevät vaatimustenmukaisuuden askeleet.
LEI:n rooli. LEI tukee muun muassa luotettavuutta rajat ylittävissä sopimuksissa ja sääntelyraportoinnissa.
LEI:n hakeminen on erittäin helppoa Ranskan LEI-järjestelmän verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisista LEI-hinnoistamme.
🇳🇴 Norja (EU:n ulkopuolella)
Tila. Norja ei ole EU:n jäsen, mutta se omaksuu usein EU:n sääntöjä ETA:n kautta. NIS1 on jo käytössä, ja valmistelut NIS2:n mukauttamiseksi ovat käynnissä. Kansallinen turvallisuusviranomainen (NSM) on vastuussa.
Mitä tämä tarkoittaa. Norjalaiset yritykset, jotka työskentelevät EU-kumppaneiden kanssa, tulisi ennakoivasti mukautua NIS2-standardeihin pysyäkseen vaatimustenmukaisina ja kilpailukykyisinä.
LEI:n rooli. LEI vähentää muun muassa kustannuksia KYC/KYB-prosesseissa ja helpottaa yhteistyötä EU-kumppaneiden kanssa.
LEI:n hakeminen on erittäin helppoa Norjan LEI-järjestelmän verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisista LEI-hinnoistamme.
🇲🇽 Meksiko (EU:n ulkopuolella)
Tila. Meksikolla ei tällä hetkellä ole yhtenäistä kansallista kyberturvallisuuslakia. Vuonna 2025 keskustelut kyberturvallisuuskehyksen luomisesta ovat käynnissä. Liittovaltion tietosuojalaki päivitettiin äskettäin.
Mitä tämä tarkoittaa. Yritysten, joilla on yhteyksiä EU-kumppaneihin, tulisi vapaaehtoisesti mukautua EU-standardeihin säilyttääkseen luottamuksen rajat ylittävissä toimitusketjuissa.
LEI:n rooli. LEI vahvistaa muun muassa luottamusta kansainvälisessä toiminnassa, erityisesti rahoituksessa ja logistiikassa.
LEI:n hakeminen on erittäin helppoa Meksikon LEI-järjestelmän verkkosivustolla. Katso myös yksityiskohtainen yleiskatsaus edullisista LEI-hinnoistamme.