Liikelaitosten johtokunta 03.03.2026 § 4     

180/07.01.00.00/2026  

NIS2-direktiivi (Network and Information Security Directive) asettaa vaatimuksia kriittisten infrapalveluiden kyberturvallisuuden varmistamiseksi. Erittäin kriittisiksi toimialoiksi luokitellaan mm. energia (esim. sähkö, kaukolämmitys- ja jäähdytys, kaasu), juoma- ja jätevesi, liikenne ja terveydenhuoltopalvelut. Direktiivillä tähdätään riskien tunnistamiseen ja eliminointiin sekä jatkuvuuden varmistamiseen (resilienssi ja toipuminen). Toissijaisena keinona on riskien minimointi. Vesihuoltolaitokset kuuluvat siis direktiivin soveltamisalaan, ja niiden on toteutettava asianmukaiset toimenpiteet riskienhallinnan, poikkeamaraportoinnin, tilaturvallisuuden ja hallinnollisten velvoitteiden osalta. Tämä dokumentti kokoaa yhteen keskeiset vaatimukset vesihuoltolaitoksen näkökulmasta.

Vesihuoltolaitosten osalta 08.04.2025 voimaan tullut NIS2-direktiivi koskee niitä vesihuoltolaitoksia, joilla on vähintään 50 työntekijää tai 10 miljoonan euron liikevaihto ja tase. Suomessa on noin 30 soveltamisalaan kuuluvaa vesihuoltolaitosta, joista yhtenä Nurmijärven Vesi -liikelaitos.

 Vesihuoltolaitoksen on toteutettava dokumentoitu riskienhallintajärjestelmä, joka sisältää mm. riskien tunnistamisen ja arvioinnin, suojaamistoimenpiteet viestintäverkkojen ja tietojärjestelmien suojaamiseksi, toimitusketjun ja kolmannet osapuolet sekä jatkuvuussuunnitelmat (varautumissuunnitelma, varmuuskopiot ja kriisinhallinta).

Traficomin julkaisemassa suosituksessa kyberturvallisuuden riskienhallinnan toimenpiteistä on käsitelty myös tilaturvallisuutta. Tilaturvallisuuden suositukset perustuvat NIS2-direktiivin 21 artiklaan 2 kohtaan ja tämän kansallisesta täytäntöönpanosta säädetään kyberturvallisuuslaissa sekä tiedonhallintalaissa. Traficomin suositukset on esitetty alla.

1. Tilaturvallisuus ja fyysinen pääsynvalvonta

Toimijan tulisi tunnistaa fyysisen ympäristön tekijät, joiden turvallisuus on viestintäverkkojen ja tietojärjestelmien toiminnan kannalta tärkeää ja suojata näitä toimintaan vaikuttavien uhkien vaikutukselta ja häiriöiltä. Perustelut: Asiattomien henkilöiden pääsy toimijan kriittisiin tiloihin saattaa vaarantaa toiminnan luottamuksellisuuden, eheyden tai saatavuuden. Erityisesti tilat, joissa toimija säilyttää suojattavaa omaisuutta, henkilötietoja tai turvallisuusluokiteltua tietoa tulee suojata ulkopuolisilta henkilöiltä.

2. Suojaus fyysisiä ja ympäristön aiheuttamia uhkia vastaan

Fyysisiä uhkia ovat ympäristötekijät ja pahantahtoiset toimijat. Viestintäverkkoja ja tietojärjestelmiä voitaisiin esimerkiksi valvoa ja niitä tulisi suojata luvattomalta fyysiseltä pääsyltä, vahingoilta ja häiriöiltä. Lisäksi on suojauduttava luonnollisilta ja yhteiskunnallisilta tapahtumilta, kuten tulipaloilta, tulvilta ja levottomuuksilta. Perustelut: Fyysiset ja ympäristön aiheuttamat uhkat saattavat vaarantaa toiminnan jatkuvuuden. Pahimmassa tapauksessa uhkat voivat vaikuttaa toimijaan niin, että liiketoimintaa ei pystytä enää jatkamaan.

3. Toiminnalle välttämättömien resurssien jatkuvuuden varmistaminen

Toimijan tulisi varautua välttämättömien resurssien, kuten sähkönjakelun, tietoliikenneyhteyksien ja jäähdytyksen häiriöihin ja estää viestintäverkkojen ja tietojärjestelmien tuhoutuminen, vahingoittuminen tai toimijan kriittisten toimintojen keskeytyminen välttämättömien resurssien puutteen tai häiriön vuoksi.

Nurmijärven veden NIS2-direktiivin vastaavuutta kuvaava ja Kybermittariin perustuva dokumentaation ensimmäinen vaihe on valmistunut. Samassa yhteydessä on tarkasteltu Nurmijärven veden CER-direktiivin vastaavuutta. Organisaation johto on vastuussa riskienhallintamallin hyväksymisestä, toteutuksesta ja valvonnasta. Johdon sitoutuminen on keskeistä NIS2-vaatimusten täyttämisessä. Esityslistan ei julkisissa oheismateriaaleissa on Nurmijärven Vesi -liikelaitoksen NIS2 ja CER-vastaavuuden raportti 2025.

Esittelijä

Vesilaitoksen johtaja

Esitys

Valmistelija

vesilaitoksen johtaja, kimmo.rintamaki(at)nurmijarvi.fi

Päätös

Jakelu