Kyberturvallisuusdirektiivi (NIS2) elintarviketoimialalla

Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2555 (NIS 2 -direktiivi) säädetään toimenpiteistä, joilla pyritään saavuttamaan kyberturvallisuuden yhteinen korkea taso kaikkialla unionissa sisämarkkinoiden toiminnan parantamiseksi.

Ruokavirasto toimii NIS2-direktiivin ja sen täytäntöönpanoa koskevan kansallisen lainsäädännön valvovana viranomaisena elintarviketoimialalla.

NIS2-direktiivin soveltamisala

NIS2-direktiiviä sovelletaan direktiivin liitteissä I ja II tarkoitettua toimijatyyppiä oleviin julkisiin ja yksityisiin toimijoihin, jotka täyttävät suosituksen 2003/361/EY liitteessä olevan 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset tai ylittävät kyseisen artiklan 1 kohdassa säädetyt keskisuurten yritysten määrittelyssä käytettävät kynnysarvot ja jotka tarjoavat palvelujaan tai harjoittavat toimintaansa unionissa.

Toimija täyttää tai ylittää keskisuuria yrityksiä koskevat komission suosituksen 2003/361/EY edellytykset:

  • Keskisuuria yrityksiä ovat yritykset, joiden palveluksessa on vähintään 50 työntekijää tai jonka vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa eli yritys on keskisuuri toimija.
  • Keskisuuren yrityksen kriteerit ylittyvät, kun yrityksellä on palveluksessaan vähintään 250 työntekijää tai sen vuosiliikevaihto on yli 50 miljoonaa euroa ja tase yli 43 miljoonaa euroa eli yritys on suuri toimija.

NIS2-direktiiviä sovelletaan liitteessä I tai II tarkoitettua toimijatyyppiä oleviin toimijoihin niiden koosta riippumatta myös, kun

  • toimija tarjoaa ainoana jäsenvaltiossa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen
  • häiriö toimijan tarjoamassa palvelussa voisi vaikuttaa merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen
  • häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia
  • toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta
  • toimija on CER-direktiivin nojalla kriittinen toimija

Liitteen II muiden kriittisten toimialojen alla sijaitsee toimialana elintarvikkeiden tuotanto, jalostus ja jakelu ja toimijatyyppinä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 178/2002 3 artiklan 2 alakohdassa määritellyt elintarvikeyritykset, jotka harjoittavat tukkukauppaa sekä teollista tuotantoa ja jalostusta.

 

Kun elintarvikeyritys harjoittaa tukkukauppaa, teollista tuotantoa tai jalostusta ja täyttää tai ylittää keskisuuren yrityksen kokokriteerit tai täyttää koosta riippumattomien toimijoiden kriteerit, kuuluu toimija direktiivin soveltamisalaan. 

NIS2-direktiivin mukaan toimijat ovat joko keskeisiä tai tärkeitä riippuen toimialasta, kriittisyydestä ja koosta. Elintarvikealan toimijat ovat kokoluokituksen puolesta tärkeitä toimijoita, mutta koosta riippumattomat toimijat ja CER-direktiivin nojalla kriittiset toimijat ovat keskeisiä toimijoita. Traficomin kyberturvallisuuskeskuksen laatimassa taulukossa (pdf) on pääpiirteissään kuvattu direktiivin kohteena olevat organisaatiot.
  • NIS2-direktiivin soveltamisalaan kuuluva toimija tunnistaa kuuluvansa soveltamisalaan ja ilmoittautuu oma-aloitteisesti Ruokaviraston toimijaluetteloon tulevan kyberturvallisuuslain määräaikojen puitteissa. Ilmoittautumisohje julkaistaan kyberturvallisuuslain tultua voimaan.
  • Toimija toteuttaa NIS2-direktiivin mukaiset riskienhallintavelvoitteet.
  • Toimija ilmoittaa viipymättä merkittävästä poikkeamasta valvovalle viranomaiselle.

Direktiivin velvoitteet koskevat sekä tärkeitä että keskeisiä toimijoita, mutta valvontaa kohdistetaan toimijoihin eri tavoin. Ennakkovalvonnan piirissä ovat keskeiset toimijat.

Hallituksen esitys eduskunnalle kyberturvallisuusdirektiivin (NIS2 -direktiivi) täytäntöönpanoa koskevaksi lainsäädännöksi on edelleen eduskunnan käsittelyssä ja käsittelyn etenemistä voi seurata eduskunnan sivulta.

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus valmistelee suositusta kyberturvallisuuden riskienhallinnan toimenpiteistä. Suosituksen valmistelu noudattaa lainsäädännön valmistelun aikataulua ja suositus julkaistaan lakien hyväksymisen jälkeen. Lisätietoa NIS2-direktiivistä on saatavilla Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen sivulta.

Ruokavirasto päivittää ohjeistusta tälle verkkosivulle kyberturvallisuuslain tultua voimaan.


Lainsäädäntöä

NIS2-direktiivi (EU) 2022/2555 
Komission suositus 2003/361/EY 
CER-direktiivi (EU) 2022/2557 
Yleinen elintarvikeasetus (EY) N:o 178/2002 
Hallituksen esitys HE 57/2024

Sivu on viimeksi päivitetty 18.2.2025