Kyberturvallisuusdirektiivi (NIS2) elintarviketoimialalla

Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2555 (NIS 2 -direktiivi) säädetään toimenpiteistä, joilla pyritään saavuttamaan kyberturvallisuuden yhteinen korkea taso kaikkialla unionissa sisämarkkinoiden toiminnan parantamiseksi.

Ruokavirasto toimii NIS2-direktiivin ja sen täytäntöönpanoa koskevan kansallisen lainsäädännön valvovana viranomaisena elintarviketoimialalla.

NIS2-direktiivin soveltamisala

NIS2-direktiiviä sovelletaan direktiivin liitteissä I ja II tarkoitettua toimijatyyppiä oleviin julkisiin ja yksityisiin toimijoihin, jotka täyttävät suosituksen 2003/361/EY liitteessä olevan 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset tai ylittävät kyseisen artiklan 1 kohdassa säädetyt keskisuurten yritysten määrittelyssä käytettävät kynnysarvot ja jotka tarjoavat palvelujaan tai harjoittavat toimintaansa unionissa.

Toimija täyttää tai ylittää keskisuuria yrityksiä koskevat komission suosituksen 2003/361/EY edellytykset:

  • Keskisuuria yrityksiä ovat yritykset, joiden palveluksessa on vähintään 50 työntekijää tai jonka vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa eli yritys on keskisuuri toimija.
  • Keskisuuren yrityksen kriteerit ylittyvät, kun yrityksellä on palveluksessaan vähintään 250 työntekijää tai sen vuosiliikevaihto on yli 50 miljoonaa euroa ja tase yli 43 miljoonaa euroa eli yritys on suuri toimija.

NIS2-direktiiviä sovelletaan liitteessä I tai II tarkoitettua toimijatyyppiä oleviin toimijoihin niiden koosta riippumatta myös, kun

  • toimija tarjoaa ainoana jäsenvaltiossa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen
  • häiriö toimijan tarjoamassa palvelussa voisi vaikuttaa merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen
  • häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia
  • toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta
  • toimija on CER-direktiivin nojalla kriittinen toimija

Liitteen II muiden kriittisten toimialojen alla sijaitsee toimialana elintarvikkeiden tuotanto, jalostus ja jakelu ja toimijatyyppinä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 178/2002 3 artiklan 2 alakohdassa määritellyt elintarvikeyritykset, jotka harjoittavat tukkukauppaa sekä teollista tuotantoa ja jalostusta.

Kun elintarvikeyritys harjoittaa tukkukauppaa, teollista tuotantoa tai jalostusta ja täyttää tai ylittää keskisuuren yrityksen kokokriteerit tai täyttää koosta riippumattomien toimijoiden kriteerit, kuuluu toimija direktiivin soveltamisalaan. 

NIS2-direktiivin mukaan toimijat ovat joko keskeisiä tai tärkeitä riippuen toimialasta, kriittisyydestä ja koosta. Elintarvikealan toimijat ovat kokoluokituksen puolesta tärkeitä toimijoita, mutta koosta riippumattomat toimijat ja CER-direktiivin nojalla kriittiset toimijat ovat keskeisiä toimijoita. Traficomin kyberturvallisuuskeskuksen laatimassa taulukossa (pdf) on pääpiirteissään kuvattu direktiivin kohteena olevat organisaatiot.
  • NIS2-direktiivin soveltamisalaan kuuluva toimija tunnistaa kuuluvansa soveltamisalaan ja ilmoittautuu oma-aloitteisesti Ruokaviraston toimijaluetteloon tulevan kyberturvallisuuslain määräaikojen puitteissa. Ilmoittautumisohje julkaistaan kyberturvallisuuslain tultua voimaan.
  • Toimija toteuttaa NIS2-direktiivin mukaiset riskienhallintavelvoitteet.
  • Toimija ilmoittaa viipymättä merkittävästä poikkeamasta valvovalle viranomaiselle.

Direktiivin velvoitteet koskevat sekä tärkeitä että keskeisiä toimijoita, mutta valvontaa kohdistetaan toimijoihin eri tavoin. Ennakkovalvonnan piirissä ovat keskeiset toimijat.

Tarkista täyttyvätkö toimijan kriteerit (yrityksen toimiala ja koko).

  • Soveltamisalaan eivät kuulu esim. alkutuotanto, vähittäiskauppa, varastointi tai kuljetus.
  • Toimijakriteerit koskevat koko yrityksen liiketoimintaa, ei vain elintarviketoiminnan osuutta.

Ilmoittaudu viimeistään 8.5.2025 Ruokaviraston toimijaluetteloon.

  • Ilmoittaudu sähköisen asiointipalvelu ilppan kautta. Ohjeet ja linkin sähköiseen ilmoittautumispalveluun löydät täältä Ilppa: Toiminnanharjoittajan ilmoitukset
  • Sähköisessä asioinnissa voit: 
    • Ilmoittaa kyberturvallisuuslain 41§:n mukaiset toimijatietosi. 
    • Hallinnoida ilmoitettuja tietojasi (tehdä muutosilmoituksia).
    • Tarkastaa rekisteröityjä tietojasi. 
  • Mikäli sähköinen ilmoittautuminen ei ole mahdollista, voit ilmoittautua myös lomakkeen ja turvasähköpostin avulla seuraavasti:
    • Täytä lomake ja tallenna se koneellesi.
    • Lähetä täytetty lomake turvasähköpostilla Ruokavirastoon.
    • Ruokavirasto vastaanottaa lomakkeen ja lähettää vahvistusviestin toimijalle, kun ilmoittautuminen on käsitelty.

Ilmoituksessa kerätään kyberturvallisuuslain 41§:n mukaiset tiedot toimijasta ja toiminnasta: 

  • Toimijan nimi 
  • Osoitetiedot, sähköpostiosoite, puhelinnumero ja muut ajantasaiset yhteystiedot
  • IP-osoitealueet 
  • NIS 2 -direktiivin liitteessä II tarkoitettu toimiala ja sen osa
  • Tieto siitä, onko yritys keskeinen toimija
  • Luettelo niistä Euroopan unionin jäsenvaltioista, joissa yritys tarjoaa NIS 2 -direktiivin soveltamisalaan kuuluvia palveluja ja  
  • Osallistumisesta kyberturvallisuuslain 23 §:ssä tarkoitettuun kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn.

Toimijoiden on ilmoitettava muutoksista tietoihin valvovalle viranomaiselle kahden viikon kuluessa muutoshetkestä. 

IP-osoitteiden antamisesta valvovalle viranomaiselle säädetään NIS2-direktiivissä, kyberturvallisuuslaissa, tiedonhallintalaissa ja sähköisen viestinnän palveluista annetussa laissa (NIS2-direktiivin artiklat 3 ja 27, kyberturvallisuuslain 41 §, tiedonhallintalain 18 a § ja SVPL 165 §)

IP-osoitteiden antaminen mahdollistaa ennakoivan haavoittuvuuksien, kyberuhkien ja turvattomasti määritettyjen viestintäverkkojen ja tietojärjestelmien asetuksien havaitsemisen NIS2-direktiviin kohteena olevista organisaatioista. Näistä havainnoista ilmoitetaan organisaatiolle, mikä parantaa asianomaisten tahojen mahdollisuuksia suojautua haavoittuvuuksien hyväksikäytöltä ja kyberuhilta. Suomessa toimenpiteistä vastaa Liikenne- ja viestintäviraston nk. CSIRT-yksikkö, jolla on oikeus saada valvovalta viranomaiselta tietoja toimijaluettelosta (Kyberturvallisuuslaki 41 §).

NIS2-direktiivin vaatimusten mukaisesti sääntelyn piiriin kuuluvan toimijan on ilmoitettava valvovalle viranomaiselle kaikki toimijalle kuuluvat julkiset IP-osoitealueet.

Mikäli toimijan IP-osoitteita hallinnoi joku toinen osapuoli esim. teleoperaattori tai palveluntarjoaja, on sääntelyn piirissä olevan toimijan tehtävä hankkia nämä IP-osoitetiedot ja toimittaa tiedot edelleen valvovalle viranomaiselle.

  • IP-osoite: Internetiin kytketyn tietojenkäsittely- tai tiedonsiirtolaitteen tai verkkoliittymän yksilöivä numeerinen tunnus esimerkiksi 198.51.100.34
  • IP-osoitealue: Useamman julkisen verkko-osoitteen (IP-osoitteen) muodostama IP-osoitealue.
  • IP-osoitealueet tulee ilmoittaa NIS2-toimijaluetteloon seuraavassa muodossa:
    • 198.51.100.0–198.51.100.255 tai 93.190.96.0-93.190.103.255 (IP-range) tai
    • 198.51.100.0/24 tai 93.190.96.0/21 (CIDR-muoto)
  • Tiedot on mahdollista ilmoittaa tarvittaessa myös yksittäisinä IP-osoitteina, mikäli laajempi osoitealue ei ole tiedossa: esim. 198.51.100.34
  • Tiedot on mahdollista ilmoittaa myös IPv6-muodossa: esim. 2001:db8:3333:4444:5555:6666:7777:8888
  • HUOM! Seuraavat verkot ovat ns. privaattiverkkoja, eli sisäisiä osoitealueita, eikä niitä tule ilmoittaa toimijaluetteloon:
    • IPv4:
      • 10.0.0.0-10.255.255.255 tai 10.0.0.0/8
      • 172.16.0.0-172.31.255.254 tai 172.16.0.0/12
      • 192.168.0.0-192.168.255.255 tai 192.168.0.0/24
    • IPv6:
      • fc00::/7
      • fec0::/10

Tarvittavien tietojen selvittämiseksi suosittelemme teitä olemaan yhteydessä omaan IT-ylläpitoonne tai palveluntarjoajaanne.

NIS2-direktiivin soveltamisalaan kuuluvien toimijoiden on ilmoitettava valvovalle viranomaiselle kaikista muutoksista toimitettuihin IP-osoitetietoihin viipymättä ja joka tapauksessa kahden viikon kuluessa muutospäivästä.

Kyberturvallisuuslain 11§:n mukaan toimijan on viipymättä ilmoitettava valvovalle viranomaiselle merkittävästä poikkeamasta.

​Tee ilmoitus merkittävästä poikkeamasta Traficomin poikkeamailmoitussovellukseen.

Merkittävällä poikkeamalla tarkoitetaan poikkeamaa, joka 

  • on aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön tai huomattavia taloudellisia tappioita asianomaiselle toimijalle, sekä ​
  • on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. 

Ensi-ilmoitus on tehtävä 24 tunnin kuluessa merkittävän poikkeaman havaitsemisesta ja jatkoilmoitus 72 tunnin kuluessa merkittävän poikkeaman havaitsemisesta.

Ensi-ilmoituksessa on ilmoitettava:

  • merkittävän poikkeaman havaitsemisesta;
  • epäilläänkö merkittävän poikkeaman johtuvan rikoksesta tai muusta lainvastaisesta tai vihamielisestä teosta;
  • rajat ylittävien vaikutuksien mahdollisuus ja todennäköisyys sekä rajat ylittävien vaikutuksien ennakointiin liittyvät tiedot.

Jatkoilmoituksessa on ilmoitettava:

  • arvio merkittävän poikkeaman laadusta, vakavuudesta ja vaikutuksista;
  • tekniset vaarantumisindikaattorit, jos sellaisia on saatavilla;
  • mahdolliset päivitykset ensi-ilmoituksen tietoihin.

Toimijan on annettava valvovalle viranomaiselle merkittävää poikkeamaa koskeva loppuraportti kuukauden kuluessa jatkoilmoituksen toimittamisesta tai, jos kyseessä on pitkäkestoinen poikkeama, kuukauden kuluessa sen käsittelyn päättymisestä. ​ 

Loppuraportin on sisällettävä:

  • yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista;
  • selvitys poikkeaman todennäköisesti aiheuttaneen uhkan tai juurisyyn tyypistä;
  • selvitys toteutetuista ja meneillään olevista toimenpiteistä poikkeaman vaikutusten lieventämiseksi; ja
  • selvitys mahdollisista rajat ylittävistä vaikutuksista.

Lisäksi toimijan on tarvittaessa ilmoitettava merkittävästä poikkeamasta ja merkittävästä kyberuhasta muille kuin viranomaiselle, kuten palvelujensa vastaanottajille.

Tule keskustelemaan kyberturvallisuuslaista elintarvikealalla

Ruokavirasto järjestää elintarvikealan toimijoille aiheeseen liittyvän keskustelutilaisuuden Teamsilla 8.5.2025 klo 9-10.30. Ilmoittaudu tilaisuuteen viimeistään 6.5.2025, saat osallistumislinkin sähköpostitse tilaisuutta edeltävänä päivänä.

Ilmoittaudu tilaisuuteen

Lisätietoa

NIS2.kyberturvallisuus@ruokavirasto.fi

 

 

Sivu on viimeksi päivitetty 10.4.2025